JP2002352163A - 電子チケット使用支援システム及び方法 - Google Patents
電子チケット使用支援システム及び方法Info
- Publication number
- JP2002352163A JP2002352163A JP2002059821A JP2002059821A JP2002352163A JP 2002352163 A JP2002352163 A JP 2002352163A JP 2002059821 A JP2002059821 A JP 2002059821A JP 2002059821 A JP2002059821 A JP 2002059821A JP 2002352163 A JP2002352163 A JP 2002352163A
- Authority
- JP
- Japan
- Prior art keywords
- ticket
- electronic ticket
- date
- electronic
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012795 verification Methods 0.000 claims description 23
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000004891 communication Methods 0.000 description 39
- 238000007726 management method Methods 0.000 description 33
- 238000004364 calculation method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000002265 prevention Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012011 method of payment Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000010992 reflux Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
くて済み、且つ、同一のチケットを複数の商店で使用す
ることに適した電子チケットシステム及び方法を提供す
る。 【解決手段】 車載コンピュータ27は、電子チケット
Tをハッシュ化してハッシュ化した電子チケットT”を生
成し、且つ、それを生成し始めたときの自車位置情報Lo
c及び車載時計の日時情報TS2と、電子チケットTとを用
いて、C=g(T‖TS 2‖Loc)を計算しチケット使用証Cを生
成し、T”及びCと、電子チケットTの生成に使用されたI
dC及びIdTとを、受領マシン31に送信する。受領マシ
ン31は、車載コンピュータ27からT”、C、IdC及びI
dTを受信したら、受信したIdC及びIdTとを用いてT”の
正当性の有無を検証し、且つ、受領マシン31の位置情
報Locと、車載コンピュータ27からデータ受信したと
きの受領マシン時計の日時情報TS2’と用いてCの正当性
の有無を検証する。
Description
用を支援するための技術に関し、具体的には、電子チケ
ットを発行するチケット発行システム、発行された電子
チケットを保持し出力することができるユーザ端末、ユ
ーザ端末から電子チケットを受信するチケット受領マシ
ン、及び、それらを含んだシステムに関する。
電子マネーや電子的な証明書など、所定の行為を認める
又は所定の権限の有無を確かめる等の所定の用途又は目
的に応じた様々な種類の電子データ(これを本明細書に
おいて「電子チケット」と総称する)全般に適用できる
ものであるが、そのうち、ITS(Intelligent Transp
ort System)における料金決済での使用が考えられる電
子チケットを例にとり以下の説明を行う。
System)と称する、道路交通の利便性を高めるためのシ
ステムが知られている。ITSは、道路を走行する自動
車に搭載された無線通信可能な装置(以下、車載器)
と、道路上又は道路近傍の所定場所に設けられた無線通
信可能な装置(以下、路側機)との間で無線通信を行う
ことで、走行中の自動車に対し様々なサービスを提供し
うるものである。そのサービスの一つに、高速道路等の
料金所において、料金所を停止することなく通過しても
料金決済を行えるというものがある。
レジットカードを使用する決済方法がある。この決済方
法には、与信残額(つまり利用可能な金額)をチェック
する方法としない方法とがあるが、与信残額のチェック
には数十秒かかってしまうため、後述するような、IT
Sにおける無線通信での実効的な通信時間長の観点から
すると、ITSにおける料金決済でクレジットカードを
使用する場合には、与信残額をチェックしない方法が好
ましいと考えられる。しかし、この決済方法では、与信
残額がないのにサービスの使用を許してしまう、クレジ
ットカード或いはクレジットカード番号が盗難された場
合には不正に料金決済が行われてしまうなど、種々の問
題がある。
ジットカードを使用した決済方法は不向きであると考え
られる。そこで、別の決済方法として、電子チケットを
使用する方法が考えられる。
は、チケットの二重使用や偽造を防ぐというセキュリテ
ィの観点から、電子署名を用いるチャレンジ・レスポン
ス方式が一般的である。その方式では、図1に示すよう
なシーケンス(以下、チケット使用シーケンス)で決済
が行われる。
ユーザ(チケット使用者)が、電子チケットの発行セン
タの電子署名(以下、発行センタ署名)5が付された電
子チケット3と、公開鍵証明書の認証機関の電子署名
(以下、認証機関署名)9が付された公開鍵証明書7と
を有する。
は、まず、商店(チケット受領者)が、チャレンジ(固
有情報)1を生成し、そのチャレンジ1をチケット使用
者に送付する。次に、ユーザが、それに応答して、チャ
レンジ1及び電子チケット3に対して自身の秘密鍵で電
子署名(以下、ユーザ署名)11を作成し、そのユーザ
署名11と共に、公開鍵証明書7及び電子チケット3を
チケット受領者に送信する。そして、商店が、公開鍵証
明書7の認証機関署名9、電子チケット3の発行センタ
署名5、及び、ユーザ署名11の3つの電子署名につい
て正当性の有無を検証し、3つ全ての電子署名について
正当性が認められたら電子チケット3の使用を認める。
レスポンス方式でのチケット使用シーケンスでは、2回
の通信と3回の電子署名の検証が行われる。
ける無線通信では、自動車の走行速度と路側機がカバー
できる通信可能領域とを考えると、通信可能な最大時間
長は数秒あるが、様々な通信状況を考慮すると、その実
効的な通信時間長はごくわずかであると考えられる(例
えば、自動車の走行速度が時速60kmであって、路側
機の通信可能領域が半径30m程度であれば、通信可能
な最大時間長は3.6秒であるが、実効的な通信時間は
数百msecであると考えられる)。この実効的な通信時間
長は、自動車の走行速度が特に大きい場合、例えば高速
道路では一層短くなる。ITSにおける料金決済では、
このわずかな通信時間長内に、少なくとも、電子チケッ
トの送信と、その電子チケットの正当性の有無の検証が
完了されなければならない。このため、ITSでは、チ
ケットの送信からそのチケットの正当性の有無の検証ま
での時間長が短くて済むチケット使用シーケンスが要求
される。
方式でのチケット使用シーケンスは、通信回数が2回で
あることと、電子署名の検証が3回であることからする
と、上記要求を満たしているとは言えない。なぜなら、
車載器と路側機との無線通信における通信速度(帯域
幅)は限られており、また、電子署名の検証に必要な演
算量は多いために、上述したわずかな時間長内にチケッ
ト使用シーケンスが完了するとは限らないからである。
された論文として、赤鹿らによる論文と、Rivestらによ
る論文とがある。(赤鹿らによる論文は、1999年暗号と
情報セキュリティシンポジウム予稿集のW4-3.5に記載さ
れている。一方、Rivestらの論文は、URL「http://t
heory.lcs.mit.edu/~rivest/RivestShamir-mpay.ps」に
記載されている)。
間で予めチャレンジを共有することにより、チケット使
用シーケンスにおける通信回数が1回で済む方法が記載
されている。しかし、この論文に記載の方法は、1つの
業者に複数の商店が所属しその業者が発行したチケット
であればそれら複数の商店で使用できるようなシステ
ム、例えば、ITSでの高速道路料金支払いのように、
同一業者(道路公団)に所属するどの商店(料金所)で
チケットが使用されるかがかわからない場合には不向き
である。なぜなら、上記方法では、各々の商店がどのユ
ーザにどのようなチャレンジが付与されたかを管理する
必要があるため、同一業者に所属する全ての商店が同一
のチャレンジを管理しなければならず、或る一商店でチ
ケットと共にチャレンジが使用されたときは、その一商
店は他の全ての商店にそのチャレンジが使用されたこと
を通知する必要があり面倒だからである。
を用いて(つまり電子署名を用いないで)電子マネーの
正当性の有無を検証する方法が記載されている。しか
し、この論文に記載の方法は、クレジットカードを使用
することが前提となっているため、上述した観点からI
TSには全く不向きである。
ーケンスにかかる時間長が短くて済み、且つ、同一のチ
ケットを複数の商店で使用できるシステムに適した電子
チケット使用支援システムを提供することにある。
う電子チケット使用支援システムは、電子チケットを発
行するチケット発行システムと、チケット発行システム
が発行した電子チケットを取得しそれを送出するユーザ
端末と、ユーザ端末が送出した電子チケットを受信しそ
れの正当性の有無を検証するチケット受領マシンとを備
える。ユーザ端末は、電子チケットを送出するときに、
ユーザ端末側の日時を示す第1の日時情報を含むユーザ
端末データを電子チケットに付加し、そのユーザ端末デ
ータを付加した電子チケットを暗号化して、暗号化した
電子チケットをチケット受領マシンに送出する。チケッ
ト受領マシンは、ユーザ端末から暗号化された電子チケ
ットを受信したとき、チケット受領マシン側の日時を示
す第2の日時情報を含む受領マシンデータを使用して、
暗号化された電子チケットの正当性の有無を検証する。
認める又は所定の権限の有無を確かめる等の所定の用途
又は目的(例えば、入場する、商品又はサービスを購入
又は利用する、特定のリソースへのアクセス制御、所定
の認証など)に応じた電子データであって、例えば、電
子チケットそれ自体は勿論、電子マネー、電子的な証明
書等である。また、「ユーザ端末」は、例えば、携帯電
話機、パーソナルコンピュータ、PDA、ICカードや
磁気カード等の記録媒体、又は、後述する車載コンピュ
ータ等である。ユーザ端末は、所有者がユーザ自身であ
る端末は勿論、所有者がユーザ自身ではなく或る者から
貸し出された端末であっても良い。つまり、本発明に従
う電子チケット支援システムは、ITSには勿論、例え
ば、遊園地などのテーマパークにおいて、来場者にユー
ザ端末を貸し出し、来場者がその端末を用いて電子チケ
ットを使用することで、テーマパークの種々のサービス
を来場者に提供する等にも適用することができる。
ットが発行された日時、或いは、電子チケットを送出す
る時の日時等である。
ットを受信したときの日時等である。
ば、ハッシュ値等である。
援システムによれば、ユーザ端末側の第1の日時情報を
含んだユーザ端末データが付加され暗号化された電子チ
ケットの正当性の有無が、チケット受領マシン側の第2
の日時情報を含んだ受領マシンデータを用いることで検
証される。具体的な例としては、第1の日時情報と第2
の日時情報が所定の関係にならなければ(例えば、第1
の日時情報に示される日時と第2の日時情報に示される
日時との時間差が所定時間以上になっていれば)不正が
検出される。これにより、従来のように、予め、ユーザ
端末とチケット受領マシンとの間でチャレンジを共有し
なくても、不正を防止でき、且つ、チケットを使用する
時の通信回数が1回で良い。故に、本発明に従う電子チ
ケット支援システムは、チケット使用シーケンスにかか
る時間長が短くて済み、且つ、同一のチケットを複数の
商店で使用できるシステムに好適に利用することが図れ
る。
チケットを送出するとき、第1の日時情報に加えて、又
は、第1の日時情報に代えて、ユーザ端末の位置を示す
第1の位置情報をユーザ端末データに含ませる。この場
合、チケット受領マシンは、ユーザ端末から暗号化され
た電子チケットを受信したとき、第2の日時情報に加え
て、又は、第2の日時情報に代えて、チケット受領マシ
ンの位置を示す第2の位置情報を受領マシンデータに含
ませ、第2の位置情報を含む受領マシンデータを用い
て、暗号化された電子チケットの正当性の有無を検証す
る。
チケットの正当性の有無に、ユーザ端末の位置を示す第
1の位置情報と、チケット受領マシンの位置を示す第2
の位置情報とが使用される。これにより、チケットがど
の場所で使用されたかが分かるので、セキュリティが向
上し、電子チケットの使用が一層支援される。また、こ
の実施形態では、電子チケットが、一回使いきりのタイ
プであっても良いし、電車の定期券のように何回使える
タイプであっても良い。
が、暗号化された電子チケットに関する情報である暗号
化チケット情報をチケット発行システムに送信し、チケ
ット発行システムが、発行した電子チケットに関する情
報である発行済みチケット情報を記憶し、チケット受領
マシンから暗号化チケット情報を受信したときは、記憶
している発行済みチケット情報の中に、受信した暗号化
チケット情報に対応すると推定される発行済みチケット
情報があるか否かをチェックし、そのチェックにおい
て、推定される発行済みチケット情報があればそれを消
去し、推定される発行済みチケット情報がなければ、不
正が行われたと推定する。
用支援システムは、電子チケットを発行するチケット発
行システムと、発行された電子チケットを保持し出力す
ることができるユーザ端末と、ユーザ端末から出力され
た電子チケットを受信するチケット受領マシンとを備
る。チケット発行システム又はユーザ端末は、電子チケ
ットに対する第1の動作が行われたときの日時を示す又
は電子チケットの有効日時を示す第1の日時情報を含ん
だ第1のデータを生成する第1データ生成手段を有す
る。また、ユーザ端末又はチケット受領マシンは、電子
チケットに対する第2の動作が行われたときの日時を示
す第2の日時情報を含んだ第2のデータを生成する第2
データ生成手段を有する。チケット受領マシン、又はチ
ケット発行システムは、上記第1のデータと上記第2の
データとを使用して、電子チケットの正当性の有無を検
証するチケット検証手段を有する。第1のデータ及び第
2のデータの少なくとも一方は、電子チケットに関連付
けることもできる。
チケットの発行、又は、ユーザ端末からの電子チケット
の出力である。
端末からの電子チケットの出力、又は、チケット受領マ
シンにおける電子チケットの受信である。
第1の日時情報に加えて、又は、第1の日時情報に代え
て、第1の動作が行われたときの位置を示す又は電子チ
ケットの有効位置を示す第1の位置情報が含まれてお
り、第2のデータには、第2の日時情報に加えて、又
は、第2の日時情報に代えて、第2の動作が行われたと
きの位置を示す第2の位置情報が含まれており、チケッ
ト検証手段は、第1のデータに含まれている第1の日時
情報及び第1の位置情報のうちの少なくとも一方と、第
2のデータに含まれている第2の日時情報及び第2の位
置情報のうちの少なくとも一方とを用いて、電子チケッ
トの正当性の有無を検証する。
ット受領マシンは、電子チケットをチケット発行システ
ムに送信し、チケット発行システムが、チケット検証手
段が実行する方法とは別の方法で電子チケットの正当性
を検証する。具体的には、例えば、チケット発行システ
ムが、電子チケットの状態を管理するチケット管理手段
を備え、チケット管理手段が、ユーザ端末又はチケット
受領マシンから受信した電子チケットの状態が使用済み
であるか否かをチェックし、その結果、使用済みでなけ
れば、その電子チケットの状態を使用済みにし(例え
ば、その電子チケットに関する情報を削除し)、使用済
みであれば(例えば、その電子チケットに関する情報が
削除されて存在しなければ)、電子チケットが二重に使
用された可能性があるのでそれに対応した所定の処理を
実行する。
ムは、発行する電子チケットに関する有効位置及び有効
時刻(例えば、電子チケットを使用しても良い位置及び
時刻)の一方又は双方に基づいて暗号鍵を生成し、生成
された暗号鍵を用いて電子チケットを暗号化して発行
し、チケット検証手段は、第2の日時情報及び第2の位
置情報の一方又は双方に基づいて復号鍵を生成し、生成
された復号鍵を用いて上記暗号化されている電子チケッ
トの復号化を試みる。このとき、例えば、復号化に成功
したときは、チケット検証手段は、使用された電子チケ
ットは正当であると判断し、復号化に失敗したときは、
使用された電子チケットは正当でないと判断する。
発行された電子チケットを蓄積する手段と、第1の動作
が行われたときの日時を示す又は電子チケットの有効日
時を示す第1の日時情報と、前記第1の動作が行われた
ときの位置を示す又は電子チケットの有効位置を示す第
1の位置情報とのうちの少なくとも一方を含んだ第1の
データを外部システム(例えば、チケット受領マシン又
はチケット発行システム)へ出力する第1データ出力手
段と、電子チケットを外部システムへ出力するチケット
出力手段とを備える。
の動作が行われたときの日時を示す第2の日時情報と、
第2の動作が行われたときの位置を示す第2の位置情報
とのうちの少なくとも一方を含んだ第2のデータを取得
する取得手段と、第2のデータを外部システムへ出力す
る第2データ出力手段とをさらに備える。
シンは、第1の動作が行われたときの日時を示す又は電
子チケットの有効日時を示す第1の日時情報と、第1の
動作が行われたときの位置を示す又は電子チケットの有
効位置を示す第1の位置情報とのうちの少なくとも一方
を含んだ第1のデータを、ユーザ端末から受信する第1
データ受信手段と、電子チケットをユーザ端末から受信
するチケット受信手段と、以下の(1)及び(2) (1)第2の動作が行われたときの日時を示す第2の日
時情報、及び、前記第2の動作が行われたときの位置を
示す第2の位置情報のうちの少なくとも一方を含んだ第
2のデータを取得し、受信した電子チケット、受信した
第1のデータ、及び取得した第2のデータを、電子チケ
ットの状態を管理しているチケット管理システムに送信
する送信手段と、(2)第2の動作が行われたときの日
時を示す第2の日時情報、及び、第2の動作が行われた
ときの位置を示す第2の位置情報のうちの少なくとも一
方を含んだ第2のデータを取得し、第1のデータと第2
のデータとを使用して、電子チケットの正当性の有無を
検証するチケット検証手段とのうちのいずれか一方を備
える。
ステムは、電子チケットを発行するチケット手段と、発
行された電子チケットを持つユーザ端末によって使用さ
れた電子チケットを受信するチケット受信手段と、受信
した電子チケットの正当性を所定の方法で検証するチケ
ット検証手段とを備える。
端末、及びチケット受領マシンの各々の機能はコンピュ
ータにより実施することができるが、そのためのコンピ
ュータプログラムは、ディスク型ストレージ、半導体メ
モリ及び通信ネットワークなどの各種媒体を通じてコン
ピュータにインストール又はロードすることができる。
ITSに適用した一実施形態を説明する。
形態に係るシステムのブロック図である。
有料道路の使用料金を決済するための電子チケットを発
行し管理する電子チケット管理サーバシステム(以下、
単に「サーバ」という)21が備えられる。また、ユー
ザが乗車する自動車25には、サーバ21から発行され
た電子チケットを保持し無線通信して使用するためのコ
ンピュータマシン(以下、車載コンピュータ)27が搭
載される。また、有料道路29上又は有料道路29近傍
の各々の所定場所(例えば、高速道路の各々の料金所付
近)には、車載コンピュータ27が無線通信して発した
電子チケットを受領するためのコンピュータマシン(以
下、電子チケット受領マシン)31が備えられる。以
下、サーバ21、車載コンピュータ27、及び受領マシ
ン31について詳述する。
めのデータベース(以下、チケット管理DB)41を有
し、チケット管理DB41内に、発行可能な電子チケッ
トに関する情報(以下、電子チケット情報)を格納する
ためのディレクトリ(以下、チケット管理ディレクト
リ)43と、発行済みのチケットを管理するためのテー
ブル(以下、発行済みチケット管理テーブル)45とを
有する。チケット管理ディレクトリ43に格納される電
子チケット情報は、有料道路を管理するベンダ(業者)
から受けたものであって1又は複数種類あり、各々の電
子チケット情報には、電子チケットのチケット名、値
段、その電子チケットによる料金決済を認めるベンダ
(以下、使用承認ベンダ)の識別情報(以下、「IdV」
と表記する)等が含まれている(1つの電子チケットに
対して使用承認ベンダは複数存在しても良い)。発行済
みチケット管理テーブル45には、発行済みの電子チケ
ットのチケット名と、それの使用承認ベンダのIdVと、
その電子チケットを受取ったユーザの車載コンピュータ
27からサーバ21が受信したIdT及びIdC(IdT及びIdC
については後述する)とが登録される。
ベンダから電子チケット情報を受けて、それをチケット
管理ディレクトリ43に格納する。サーバ21は、矢印
200に示すように、車載コンピュータ27から電子チ
ケットの発行を要求されたときは、矢印300に示すよ
うに、その要求に応じた電子チケットを暗号化したもの
を車載コンピュータ27に発行する(このときに、サー
バ21は、発行した電子チケットの値段の決済を済ませ
る)。また、サーバ21は、矢印500に示すように、
既に発行した電子チケットが受領マシン31を介して還
流してきたときは(つまり、受領マシン31が車載コン
ピュータ27から受領した電子チケットを受領マシン3
1から受信したときは)、その電子チケットの正当性の
有無を検証する。その検証において、正当性が認められ
たときは、サーバ21は、発行済みチケット管理テーブ
ル45に記録されているデータのうち、正当性が認めら
れた電子チケットに関するデータを削除する。一方、正
当性が認められないときは、サーバ21は、不正対処の
ための処理を実行する(この処理の具体的な内容につい
ては後に例示する)。
ンターネット2等の通信ネットワークを介してサーバ2
1と通信する機能と、ユーザ識別情報(以下、「IdC」
と表記する)を保持する機能と、GPS信号を受信して
位置情報を取得する機能と、時計(以下、これを「車載
時計」と言う)とを有する。なお、ユーザ識別情報IdC
は、例えば、車載コンピュータ27の製造シリアル番
号、或いは、サーバ21にユーザ登録することによりサ
ーバ21からユニークに付与された情報などである。
データ(電子チケットやIdC等)を外部に見せたり改ざ
んさせたり等を防ぐ、いわゆる耐タンパ性も有する。
望の電子チケットのチケット名の入力とその電子チケッ
トの発行要求とを受けたときは、矢印200に示すよう
に、入力されたチケット名をサーバ21に通知すると共
に、そのチケット名を持つ電子チケットの発行をサーバ
21に要求する(所望のチケット名を入力する方法とし
ては、予め車載コンピュータ27に複数のチケット名が
登録されていてそれらの中から所望のチケット名を選択
することで入力する、或いは、車載コンピュータ27を
用いてサーバ21にアクセスしそのサーバ21のWeb
ページ上に表示される複数のチケット名から所望のチケ
ット名を選択することで入力するなど種々の方法がある
が、どれを採用しても良い)。そして、車載コンピュー
タ27は、矢印300に示すように、その要求に応じて
発行された、暗号化されている電子チケットを受信し、
その電子チケットを復号して保持する。なお、本実施形
態では、保持することができる電子チケットの数は1種
類であるとする。
料道路29を走行することにより受領マシン31の通信
領域に入ったときは、矢印400に示すように、保持し
ている電子チケットを含む送信データを作成しその送信
データを電子チケット受領マシン31に送信する。な
お、そのとき、車載コンピュータ27は、送信データの
作成し始めた時に車載時計が示した日時を表す情報(以
下、これを「データ作成開始日時情報」と言う)と、電
子チケットを送信する時の自車位置を示す自車位置情報
と、電子チケットとを用いて、電子チケットを使用でき
ることを証明するための情報(以下、これを「チケット
使用証」と言う)を生成し、生成したチケット使用証も
送信データに含めて送信する。
シン」と略記する)31は、有料道路29を管理する或
るベンダに属するものであり、無線通信可能な通信領域
(例えば、自身を中心に半径30m程度の円領域)を有
している。受領マシン31は、少なくとも、自身が属す
るベンダのIdVを保持する機能と、受領を認める(つま
り自身が取扱う対象の)電子チケットのチケット名の情
報(以下、これを「tic」と表記する)を保持する機能
と、GPS信号を受信して位置情報を取得する機能と、
時計(以下、「受領マシン時計」と言う)と、自身の通
信領域を走行した自動車を写真撮影する機能と、撮影し
た写真画像と撮影した日時とを記憶する機能とを有す
る。なお、受領マシン時計が示す時刻と、車載時計が示
す時刻は、少なくとも上記通信領域に車載コンピュータ
27が存在する場合には、GPS衛星からの信号を受領
マシン31及び車載コンピュータ27の双方が受信す
る、或いは、受領マシン31が車載時計が示す時刻を受
領マシン時計が示す時刻に補正する等により、完全に同
一である。
車25の車載コンピュータ27が入ったときは、矢印4
00に示すように、車載コンピュータ27から、電子チ
ケット及びチケット使用証を受信する。それらを受信し
たら、受領マシン31は、それらを受信したときに受領
マシン時計が示した日時を表す情報(以下、これを「チ
ケット受信日時情報」と言う)と、受領マシン31の位
置情報等を用いて、受信した電子チケット及びチケット
使用証の正当性の有無を検証する(受領マシン31の位
置情報と、電子チケット及びチケット使用証を送信した
ときの自車位置情報とは、実質的に同一であるとす
る)。受領マシン31は、その検証において、電子チケ
ット及びチケット使用証の双方について正当性が認めら
れたときは、直ちに或いは所定のタイミングで、矢印5
00に示すように、電子チケット及びチケット使用証を
サーバ21に還流(つまり送信)する。一方、受信した
電子チケット及びチケット使用証情報のいずれか一方に
ついて不当性があったときは、受領マシン31は、後に
説明するような不正対処のための処理を行う。
る流れを説明する。なお、その説明をするにあたっての
ノーテーションを図3に示す。
において、「A‖B」という表記は、データAとデータBと
を結合することを示す。また、「PkC」という表記は、
ユーザの公開鍵を示し、「SkC」という表記は、公開鍵P
kCを有するユーザの秘密鍵(つまり、公開鍵PkCとペア
の秘密鍵)を示す。また、「f」、「g」、及び「h」
は、ハッシュ関数(衝突困難な一方向性関数)を示す。
また、「h(A)」という表記は、データAにハッシュ関数h
を施した結果を示す。また、「Enc<PkC>A」という表記
は、データAを公開鍵PkCで暗号化した結果を示し、「De
c<SkC>A」という表記は、データAを秘密鍵SkCで復号し
た結果を示す。
るシステムにおける流れを説明する。
ットの発行をサーバ21に要求してからその電子チケッ
トをサーバ21から受取るまでの流れを示す。
望の電子チケットのチケット名の入力とその電子チケッ
トの発行要求とを受けたときは(ステップS0)、そのと
きに車載時計が示した日時を示す発行要求日時情報(以
下、これを「TS1」と表記する)を取得すると共に乱数R
を生成し、IdT=h(R)‖TS1を計算して、IdTを算出する
(S1)。そして、車載コンピュータ27は、算出したId
Tと、予め保持しているユーザ識別情報IdCと、ユーザに
入力されたチケット名を示す情報(この情報は、受領マ
シン31が取扱う対象の電子チケットのチケット名を示
す情報と同一の「tic」であるとする)とをサーバ21
に送信し(S2-1)、生成した乱数Rと算出したIdTとを組
にして一定期間(例えば、その乱数Rを生成した日に発
行された全ての電子チケットがサーバ21に戻されて正
当性が検証され終えるまでの最大期間(一例として1ヶ
月間))記憶する(S2-2)。
IdC、IdT及びticを受信したら、受信したticの使用承認
ベンダのIdVをチケット管理DB41内のチケット管理
ディレクトリ43から取得し、T=h(tic‖IdC‖IdV‖Id
T)を計算して(つまり、tic、dC、dV、及びdTを結合し
てハッシュ化して)電子チケットTを生成する(S3)。
その後、Enc<PkC>T=T’を計算して(つまり電子チケッ
トTを、IdCを持つユーザの公開鍵PkCで暗号化して)暗
号化した電子チケットT’を車載コンピュータ27に送
信し(S4-1)、その電子チケットT’に関連するIdC、Id
T、及びticの組を、チケット管理DB41の発行済みチ
ケット管理テーブル45に登録する(S4-2)。
子チケットT’を受信したら、Dec<SkC>T’=Tを計算して
(つまり暗号化された電子チケットT’を、公開鍵PkCを
持つユーザの秘密鍵SkCで復号して)電子チケットTを取
得し保持する(S5)。
コンピュータ27が使用するときの流れ(チケット使用
シーケンス)を示す。
行することにより受領マシン31の通信領域に入ったと
きは、保持している電子チケットTを受領マシン31に
送信する(S6)。具体的には、車載コンピュータ27
は、T”=f(T)を計算して(つまり保持している電子チケ
ットTをハッシュ化して)ハッシュ化した電子チケット
(以下、ハッシュ化チケット)T”を生成する。また、
車載コンピュータ27は、T”=f(T)を計算し始めたとき
の自車位置情報(以下、これを「Loc」と表記する)
と、T”=f(T)を計算し始めた時に車載時計が示した日時
を表すデータ作成開始日時情報(以下、これを「TS2」
と表記する)と、電子チケットTとを用いて、C=g(T‖TS
2‖Loc)を計算し(つまり、T、TS2、Locを結合してハッ
シュ化し)チケット使用証Cを生成する。そして、車載
コンピュータ31は、生成したハッシュ化チケットT”
及びチケット使用証Cと、予め保持しているIdCと、図4
のステップS2-2で記憶したIdTとを、受領マシン31に
送信する(S6)。(なお、特に図示しないが、車載コン
ピュータ31は、送信したT”、C、IdC及びIdTと、それ
らを送信したときのTS2とを組み合わせ、その組合わせ
を、チケット使用履歴として一定期間(例えば、送信し
たT”に対応する電子チケットT及びチケット使用証Cの
正当性がサーバ21において検証され終えるまでの期
間)保存するようにしても良い)。
からT”、C、IdC及びIdTを受信したら、受信したIdC及
びIdTと、取り扱い対象のチケット名として予め保持し
ているticと、予め保持しているIdVとを用いて、f(h(ti
c‖IdC‖IdV‖IdT))=Yを計算し(つまりT”を算出する
ための計算式と同一の計算式でYを計算し)、Y=T”にな
るか否かをチェックする(S7)。
(S8でNo)、不正があったと判定して、不正対処のため
の処理を実行する(S11)(例えば、T”、C、IdC及びId
Tを受信した時刻を示すTS2’、自身の位置情報Loc、及
び、上記受信した時刻の前後所定時間域(例えば前後2
秒間)、つまり、不正が行われた可能性のある時間帯に
撮影された全ての写真画像をサーバ21に送信する。そ
れにより、サーバ21を管理する機関が、不正が行われ
た可能性のある時間帯及び場所で撮影された各々の写真
画像に写っている自動車のナンバーから各々のユーザを
特定し、特定した各々のユーザから、車載コンピュータ
に記録されている所定の情報(例えば乱数R)を提出し
てもらうことができる)。
シン31は、上述したIdC、IdT、tic、及びIdVと、受領
マシン31の位置情報(この位置情報は、既に述べたよ
うに、電子チケット及びチケット使用証を送信したとき
の自車位置情報と実質的に同一ので、自車位置情報と同
一の「Loc」と表記する)と、車載コンピュータ27か
らデータ受信したときに受領マシン時計が示した日時を
示す情報(以下、これを「TS2’」と表記する)とを用
いて、チケット使用証Cの正当性の有無を検証する(S
9)。具体的には、車載コンピュータ27のデータ作成
開始日時情報TS2と受領マシン31のチケット受信日時
情報TS2’とではタイムラグがあるため、チケット使用
証Cを算出するための計算式C=g(h(tic‖IdC‖IdV‖Id
T)‖TS2‖Loc)のTS2を時間変数tとし、g(h(tic‖IdC‖I
dV‖IdT)‖t‖Loc)=Y2を、TS2’−t’≦t<TS2’の範囲
(t’は、車載コンピュータ27が送信データを作成し
始めてから受領マシン31がその送信データを受信する
までにかかると推定される最大時間長)について、C=Y2
になるか否かをチェックする。つまり、受領マシン31
は、車載コンピュータ27から送信データを受信した日
時からさかのぼって、ハッシュ値CとY2との照合を行う
(S9)。なお、受領マシン31は、この照合チェック
を、上述したようにTS2’−t’≦t<TS2’の範囲におい
て行うが、時間変数tには、所定のサンプリング単位
(分解能)で値を代入する(例えば、t’が100msecで
あって、サンプリング単位が10msecである場合には、時
間変数tには、10、20、30、…、90、100というように
値を代入する(つまり、この場合は、ハッシュ値CとY2
との照合チェックは最高10回行われる))。
ックにおいて、C=Y2にならなければ(S10でNo)、不正
ありと判定して上述したステップS11を実行し、C=Y2に
なれば(S10でYes)、正当性ありと判定して、ステップ
S7で受信したデータについての検証を終える。なお、図
示しないが、このとき、受領マシン31は、ステップS9
の検証でC=Y2になったときのY2をC”とし、時間変数tを
TS2”として記憶する(更にこのとき、ステップS7で受
信したデータ及びそのデータの検証に関する全データを
記憶するようにしても良い)。
認められた電子チケット及びチケット使用証がサーバ2
1に還流(つまり送信)されるときの流れを示す。
テップS7で受信したIdC及びIdTと、予め保持するIdV及
びticとを用いて、T=h(tic‖IdC‖IdV‖IdT)を計算し電
子チケットTを生成する。そして、受領マシン31は、
生成した電子チケットT、それの生成に用いたIdT、受領
マシンの位置情報Loc、及び上記記憶したC”とTS2”
を、サーバ21に送信する(S12)。
C”、IdT、TS2”、及びLocを受信したときは、受信した
IdTに対応するIdC、IdV、及びticをチケット管理DB4
1内の発行済みチケット管理テーブル45から取得し
て、電子チケットTを生成するための計算式h(tic‖IdC
‖IdV‖IdT)を計算し、その計算によって算出される値
(以下、これを「Y3」と表記する)が、受領マシン21
からの電子チケットTと一致するか否かをチェックする
(S13)。
ば(S14でNo)、サーバ21は、不正ありと判定して、
不正対処のための処理を実行し(S18)、一方、Y3=Tに
なれば(S14でYes)、正当性ありと判定してステップS1
5を実行する。
ト使用証Cを生成するための計算式g(T‖TS2‖Loc)のTS2
の値に、受領マシン31からのTS2”を代入し、g(T‖TS
2”‖Loc)を計算して、その計算により算出される値
(以下、これを「Y4」と表記する)が、受領マシン31
からのC”(つまり受領マシン31が正当であるとした
チケット使用証)と一致するか否かをチェックする(S1
5)。
ければ(S16でNo)、サーバ21は、不正ありと判定し
て、不正対処のための処理を実行し(S18)、一方、Y4
=C”になれば(S16でYes)、正当性ありと判定し、発行
済みチケット管理テーブル45に記録されているデータ
のうち、ステップS13及びS15のチェックで使用された電
子チケットTに関するデータ(tic、IdT、IdC、及びId
V)を削除する(S17)。特に図示しないが、ここで、削
除対象のデータがなければ、サーバ21は、電子チケッ
トの二重還流が行われたと判定し、不正対処のための処
理を実行する。
ト使用シーケンスにおける通信回数は1回で済み、電子
チケット及びチケット使用証の正当性の有無の検証が、
電子署名の検証の1/1000程度の処理時間で済むハ
ッシュ計算により行われている。このため、チケット使
用シーケンスにかかる時間長は非常に短くて済むので、
高速走行中でも電子チケットの使用による料金決済が可
能になる。
るように、電子チケットの送信及び受信における日時情
報から、電子チケットの二重使用を防止できる。換言す
れば、車載コンピュータ27(ユーザ)と受領マシン3
1(商店)との間で、予め同一のチャレンジを共有しな
くても、チケット使用シーケンスにおける通信回数が1
回で済み且つチケットの二重使用を防止できる。このた
め、本実施形態では、従来のように、各々の商店がどの
ユーザにどのようなチャレンジが付与されたかを管理す
る必要がなくなるので、ITSでの高速道路料金支払い
のように、同一業者に所属するどの商店でチケットが使
用されるかがかわからない場合に、電子チケットの使用
による料金決済を好適に行うことが可能である。
ユーザによる電子チケットの二重使用の防止、(2)ユ
ーザによる電子チケットの改ざん及び偽造防止、(3)
盗聴者(悪意の第三者)による盗聴チケットの使用防
止、(4)盗聴者によるチケット偽造防止、(5)オフ
ラインでの電子チケット使用、(6)不正ユーザの追跡
の6つの効果を得ることができる。以下、それら6つの
効果について具体的に述べる。
用の防止 電子チケットの二重使用を行った場合、つまり、電子を
チケット使用する時に、過去に使用した電子チケットを
含む送信データと同一の送信データを車載コンピュータ
27から受領マシン31に送信した場合、その送信デー
タ内のチケット使用証に含まれるTS2は、過去に使用し
たときのデータ作成開始日時を示すため、そのTS2に示
される日時と、受領マシン31におけるチケット使用証
Cの正当性の有無の検証の際に使用されるTS2’に示され
る日時とでは、タイムラグが大きすぎる。このため、図
5に示したステップS9及びS10において、チケット使用
証の正当性が認められることはあり得ず、不正と判定さ
れる。故に、本実施形態では、電子チケットの二重使用
を防ぐことができる。
及び偽造防止 電子チケットに関する情報(T、IdCなど)は、耐タンパ
性を持った車載コンピュータ27に格納されるため、そ
の情報をユーザが取得することは実質的に不可能であ
る。また、サーバ21と車載コンピュータ27との通信
路上で電子チケットを取得して改ざん又は偽造を試みる
ことが考えられるが、サーバ21からの電子チケット
は、ユーザの公開鍵PkCで暗号化されているため、その
通信路上で電子チケットを取得することは実質的に不可
能である。故に、本実施形態では、ユーザによる電子チ
ケットの改ざん及び偽造を防ぐことが可能である。
チケットの使用防止 正当なユーザが電子チケットを使用する際に、盗聴者
が、その正当なユーザから出力された電子チケットを盗
み取って、それをチケットの有効期間内(例えば、TS2
に示される日時とTS2’に示される日時との差が上記
t’以内)にそのまま使用したとする(以下、正当なユ
ーザが使用した電子チケットを「正当チケット」と言
い、盗聴者が使用した電子チケットを「盗聴チケット」
と言う)。この場合、盗聴チケットは正当チケットと同
一なので、受領マシン31では盗聴チケットでも正当性
ありと判定されてしまうが、その盗聴チケットはサーバ
21に送られるので、サーバ21の図6に示したステッ
プS17において、その盗聴チケットに対応する発行済み
データは先に送られてきた正当チケットによって既に削
除されているので、不正が発見される。この場合、サー
バ21は、受領マシン31から受信したTS2”及びLocを
基に不正が行われたと推定される日時及び場所で撮影さ
れた全ての写真画像を受領マシン31に送信してもら
い、各々の写真画像に写っている自動車のナンバーから
各々のユーザを特定し、特定した各々のユーザから、正
当なユーザのみが知り得る乱数Rを提出させる。このと
き、盗聴者は、その乱数Rを提出することができない
(盗み取ったデータには乱数Rが使用されたIdTが含まれ
ているが、IdTはハッシュ値であるため、ハッシュ関数
の特性上、そのハッシュ値からはIdTを作成するときに
使用された乱数Rは取得できない)。故に、本実施形態
では、盗聴者による盗聴チケットの使用を防ぐことがで
きる。
が、その正当なユーザから出力された電子チケット及び
チケット使用証を盗み取って、別の日時、別の場所で使
用できる電子チケットとチケット使用証を偽造する攻撃
を試みたとする。しかし、電子チケット及びチケット使
用証は、ハッシュ値であるため、ハッシュ関数の特性
上、電子チケット及びチケット使用証に使用されたデー
タを取得することは不可能である。このため、別の日
時、別の場所で使用できるような電子チケット及びチケ
ット使用証を偽造することはできないので、盗聴者によ
る電子チケットの偽造を防ぐことができる。
ットを格納しその電子チケットを使用するので、電子チ
ケットの使用の際は、車載コンピュータ27と受領マシ
ン31はサーバ21と通信する必要なく、各々の保持し
ている情報に基づいて電子チケットの使用及びそれの正
当性の有無の検証を行うことができる。すなわち、本実
施形態では、電子チケットの使用は、オフラインで行う
ことができる。
特定 本実施形態では、チケットの二重使用、盗聴チケットの
使用等の不正なチケット使用が見つけられたときは、所
定の機関(例えばサーバ21を管理する機関)が、不正
な使用がされたと考えられる日時及び場所(つまり、受
領マシン31から受信したTS2’に示される日時の近傍
の日時及び位置情報Loc)で撮影された全ての写真画像
を受領マシン31からサーバ21に送信してもらえば、
各々の写真画像に写っている自動車のナンバーから各々
のユーザを特定することができる。そして、上記所定の
機関は、特定できた各々のユーザから、所定の情報(例
えば、乱数R)を提出してもらう。このとき、提出して
もらった所定の情報から得られるはずの情報が得られな
い等の場合には、その情報を提出したユーザを不正なチ
ケット使用をしたユーザであると特定することができ
る。
実施形態が考えられる。
道路の入口等の所定場所に、その有料道路で有効な電子
チケットを無線通信により発行するための装置(以下、
「チケット発行装置」と言う)を設置し、車載コンピュ
ータ27がチケット発行装置の通信領域に入ったときに
自働的に電子チケットを発行するようにしても良い。こ
れにより、ユーザは、チケット名を入力してチケット発
行を要求するという面倒な操作をしなくても、走行して
いる有料道路の料金決済に必要な電子チケットを取得で
きるので、便利である。
シン31の通信領域が広く、電子チケット及びチケット
使用証を使用するときの車載コンピュータ27の位置が
複数通り考えられる場合には、受領マシン31は、その
複数通りの位置情報を保持していても良い。この場合、
受領マシン31は、車載コンピュータ27から電子チケ
ット及びチケット使用証を受信したときは、チケット使
用証の正当性を、それら複数通りの位置情報を用いて検
証する。
路の出口付近であって自動車の走行路上に開閉可能なゲ
ートを設け、受領マシン31において不正なチケット使
用が発覚したときは、上記ゲートを閉めて、不正なチケ
ット使用をしたと推定される自動車が有料道路を出られ
ないようにしても良い。
バリエーションが考えられる。
法 (i)ターゲットの位置及び時刻(例えば、ユーザが電
子チケットを使用した時の位置及び時刻)は、GPS端
末、携帯電話機、又はPHS端末を用いて取得すること
ができる。具体的に言うと、GPS端末を用いる場合、
GPS衛星からのGPS信号に含まれている緯度・経度
情報や時刻情報をターゲットの位置及び時刻として取得
することができる。携帯電話機又はPHS端末を用いる
場合、携帯電話機又はPHS端末が通信している基地局
の位置情報及びその基地局における時刻情報がその基地
局から出力されることによりターゲットの位置及び時刻
を取得することができる(なお、ターゲットの時刻は、
携帯電話機又はPHS端末に内蔵されているタイマーか
ら取得することもできる)。
施形態を例に言えば車載コンピュータ27、以下、ユー
ザ端末)に、位置及び時刻情報を取得する機能、すなわ
ち、測位手段及び時刻計測手段が内蔵されることによ
り、ユーザ端末が自分でターゲットの位置及び時刻を取
得しても良い。
又は双方の情報が予め保持されていても良い。具体例を
言うと、ユーザ端末として、記録媒体(例えば、ICカ
ード、磁気カード等)又はその記録媒体を用いてデータ
を送受できる装置を採用し、その記録媒体内に、予め、
電子チケットの有効な位置及び時刻の一方又は双方の情
報(つまり、電子チケットを使用することができる位置
及び時刻の一方又は双方の情報、以下、有効位置時刻情
報)が記録されていても良い。有効位置時刻情報は、例
えば、記録媒体の発行時又は電子チケットの購入時に記
録される。この場合、電子チケットそれ自体に、有効位
置時刻情報が埋め込まれており、その電子チケットが実
際に使用されたときに、実際に使用されたときの位置及
び時刻の情報と、その電子チケットに埋め込まれている
有効位置時刻情報とに基づいて、その電子チケットの正
当性がチェックされる。
ることができる。ユーザ端末は、例えば、パーソナルコ
ンピュータ、GPS端末、携帯電話機、PHS端末、記
録媒体(例えば、接触型又は非接触型のICカード、磁
気カード等)、又は、その記録媒体内のデータを送信し
たりその記録媒体に受信したデータを格納したりするこ
とができる装置など、通信機能を備えた装置であればど
のようなものでも良い。
シンを採用することができる。受領マシンは、例えば、
POS(Point Of Sales)端末、パーソナルコンピュー
タ、携帯電話機、又はPHS端末など、ユーザ端末と同
様に通信機能を備えた装置であればどのようなものでも
良い。
くとも一方と、受領マシン又は/及びサーバにおける位
置情報及び時刻情報の少なくとも一方とが、電子チケッ
トの正当性をチェックするための項目として使用され
る。つまり、位置情報のみ、時刻情報のみ、又は、位置
情報と時刻情報の双方を用いて、電子チケットの正当性
がチェックされる。
(ハッシュ化)する方式を採用することができる。具体
的な内容は、図5を参照して既に説明した通りである。
鍵を生成し、その鍵を用いて暗号化及び復号化する方式
も採用することができる。これについて、具体的な例を
説明する。
る各電子チケットには、上述した有効位置時刻情報(す
なわち、電子チケットを使用することが可能な位置及び
時刻の一方又は双方の情報)が埋め込まれている。チケ
ット管理サーバは、電子チケットが購入されたときは、
その電子チケットの有効位置時刻情報を用いて、その電
子チケットに専用の鍵情報を生成し、購入された電子チ
ケットを、生成した鍵情報を用いて暗号化してユーザ端
末に送信する。なお、上記専用の鍵情報は、予め生成し
保持されていても良い。また、例えば、二以上の有効位
置時刻情報があるときは、例えば、各有効位置時刻情報
を用いて電子チケットを暗号化し、暗号化された二以上
の電子チケットを一つの電子チケットとして管理し、そ
の電子チケットが購入されたときは、二以上の暗号化さ
れた電子チケットをユーザ端末に送信する。
は、その電子チケットが使用された時の位置及び時刻の
一方又は双方の情報(以下、使用時位置時刻情報)と、
上記専用の鍵情報で暗号化されている電子チケットと
が、ユーザ端末から受領マシンに送信される。
化されている電子チケットを、IdVを使ってその場で生
成できる専用の鍵情報を用いて復号化する。そして、受
領マシンは、復号化された電子チケットに埋め込まれて
いる有効位置時刻情報と、ユーザ端末から受信した使用
時位置時刻情報とに基づいて、その電子チケットの正当
性をチェックする(例えば、二以上の暗号化されている
電子チケットがある場合には、二以上の電子チケットの
各々に対して復号化を試みて、復号化に成功した電子チ
ケットがあったときに正当だと判断される)。
及び復号化するための専用の鍵情報は、ユーザ端末には
送信されない。このため、暗号化されている電子チケッ
トをユーザ端末において復号化して改ざんする等の不正
行為が行なわれることを未然に防ぐことができる。
的又は用途 (i)電子チケットが、例えば、商品又はサービスを利
用(又は購入)するために必要なものである場合は、商
品又はサービスを利用(又は購入)する権限の有無を判
断するために、電子チケットの正当性がチェックされ
る。この場合は、例えば、受領マシンが電子チケットを
受領した時に、電子チケットの正当性がチェックされ
る。
証(例を挙げると、個人認証、特定の権限を持っている
こと、又は、特定の会員であるかことの認証等)のため
に必要なものである場合は、正確な認証を行うために、
電子チケットの正当性がチェックされる。この場合は、
例えば、その認証を行う時に、電子チケットの正当性が
チェックされる。
のリソース(例を挙げると、ディレクトリ、Webペー
ジ等)へのアクセスを制御するために必要なものであれ
ば、そのアクセスの制御のために、電子チケットの正当
性がチェックされる。それの正当性のチェックの結果に
よって、或るリソースにはアクセス許可し、別のリソー
スにはアクセス許可しない等のアクセス制御が行われ
る。この場合、例えば、リソースへのアクセス要求を受
けたときに、電子チケットの正当性がチェックされる。
電子チケットの正当性をチェックすることができる。具
体的には、例えば、受領マシンが、ユーザ端末から電子
チケットを受信した時に、使用時位置時刻情報と、有効
位置時刻情報とに基づいて、電子チケットの正当性をチ
ェックすることができる。ここで、「使用時位置時刻情
報」は、受領マシンの機能により取得した情報であって
も良いし、所定の装置(例えばユーザ端末)から受信し
た情報であっても良い。また、「有効位置時刻情報」
は、ユーザ端末から受信した電子チケットに埋め込まれ
ている情報であっても良いし、受領マシンの機能によっ
て取得した情報であっても良い。
子チケットの正当性をチェックすることができる。これ
により、以下のような利点がある。
使用する際に、盗聴者(すなわち悪意の第三者)が、そ
の正当なユーザから出力された電子チケットを盗み取っ
て、それをチケットの有効期間内(例えば、正当なユー
ザとほとんど同時)に使用したとする(以下、正当なユ
ーザが使用した電子チケットを「正当チケット」と言
い、盗聴者が使用した電子チケットを「盗聴チケット」
と言う)。この場合、盗聴チケットは正当チケットと同
一なので、受領マシン31では盗聴チケットでも正当性
ありと判定されてしまう。この場合、盗聴チケットも正
当チケットも、チケット管理サーバに送られ、チケット
管理サーバでは、盗聴チケット及び正当チケットのうち
の先に受信した一方のチケットによって、そのチケット
に対応する発行済みデータは使用済みを示すデータに変
更される。その後に、チケット管理サーバは、他方のチ
ケットを受信する。
のチケットに対応する発行済みデータは、先に受信した
一方のチケットによって使用済みデータに変更されてい
るため存在しないので、チケット管理サーバは、その他
方のチケットか又は先に受信した一方のチケットが不正
なチケットであるかを判別することができる。なお、一
方のチケットにも他方のチケットにも、上記実施形態で
説明したように、ハッシュ化された乱数Rが含まれてお
り、且つ、ハッシュ化された乱数Rは、チケット管理サ
ーバにおいて管理されている。
チケットの送信元のユーザ端末と、他方のチケットの送
信元のユーザ端末の両方から、乱数Rを提出してもらう
(上記実施形態では、既に説明したように、不正が行わ
れたと推定される日時及び場所で撮影された全ての写真
画像を受領マシンに送信してもらい、各々の写真画像に
写っている自動車のナンバーから各々のユーザを特定
し、特定した各々のユーザから乱数Rを提出してもら
う)。このとき、盗聴者であれば、正当な乱数Rを提出
することができない。なぜなら、盗み取ったデータには
ハッシュ化された乱数Rが含まれているが、ハッシュ関
数の特性上、そのハッシュ化された乱数Rからはハッシ
ュ化前の乱数Rを知ることはできないからである。
チケットの正当性をチェックするようにすれば、盗聴者
によって盗聴チケットが使用されてもそれを検出し且つ
盗聴者を特定することができるので、盗聴チケットの使
用を抑制することができる。
ーバ以外の装置(例えば、所定の機関に設置されている
コンピュータシステム)が、電子チケットの正当性をチ
ェックするようにしても良い。
説明したが、これらは本発明の説明のための例示であっ
て、本発明の範囲をこれらの実施形態にのみ限定する趣
旨ではない。本発明は、他の種々の形態でも実施するこ
とが可能である。
ケット使用シーケンスを示す図。
ステムのブロック図。
するにあたってのノーテーションを示す図。
バに要求してからその電子チケットをサーバから受取る
までの流れを示す図。
使用するときの流れ(チケット使用シーケンス)を示す
図。
ケット及びチケット使用証がサーバに還流されるときの
流れを示す図。
Claims (12)
- 【請求項1】 電子チケットを発行するチケット発行シ
ステムと、 前記チケット発行システムが発行した電子チケットを取
得し前記取得した電子チケットを送出するユーザ端末
と、 前記ユーザ端末が送出した電子チケットを受信するチケ
ット受領マシンとを備え、 前記ユーザ端末が、前記電子チケットを送出するとき
に、前記ユーザ端末側の日時を示す第1の日時情報を含
むユーザ端末データを前記電子チケットに付加し、前記
ユーザ端末データを付加した電子チケットを暗号化し
て、前記暗号化した電子チケットを前記チケット受領マ
シンに送出し、 前記チケット受領マシンが、前記ユーザ端末から前記暗
号化された電子チケットを受信したとき、前記チケット
受領マシン側の日時を示す第2の日時情報を含む受領マ
シンデータを使用して、前記暗号化された電子チケット
の正当性の有無を検証する電子チケット使用支援システ
ム。 - 【請求項2】 前記ユーザ端末が、前記電子チケットを
送出するとき、前記第1の日時情報に加えて、又は、前
記第1の日時情報に代えて、前記ユーザ端末の位置を示
す第1の位置情報を前記ユーザ端末データに含ませ、 前記チケット受領マシンが、前記ユーザ端末から前記暗
号化された電子チケットを受信したとき、前記第2の日
時情報に加えて、又は、前記第2の日時情報に代えて、
前記チケット受領マシンの位置を示す第2の位置情報を
前記受領マシンデータに含ませ、前記第2の位置情報を
含む受領マシンデータを用いて、前記暗号化された電子
チケットの正当性の有無を検証する請求項1記載の電子
チケット使用支援システム。 - 【請求項3】 電子チケットの使用を支援するためのシ
ステムであって、 電子チケットを発行するチケット発行システムと、 発行された電子チケットを保持し出力することができる
ユーザ端末と、 前記ユーザ端末から出力された電子チケットを受信する
チケット受領マシンとを備え、 前記チケット発行システム又は前記ユーザ端末が、前記
電子チケットに対する第1の動作が行われたときの日時
を示す又は前記電子チケットの有効日時を示す第1の日
時情報を含んだ第1のデータを生成する第1データ生成
手段を有し、 前記ユーザ端末又は前記チケット受領マシンが、前記電
子チケットに対する第2の動作が行われたときの日時を
示す第2の日時情報を含んだ第2のデータを生成する第
2データ生成手段を有し、 前記チケット受領マシン、又は前記チケット発行システ
ムが、前記第1のデータと前記第2のデータとを使用し
て、前記電子チケットの正当性の有無を検証するチケッ
ト検証手段を有する電子チケット使用支援システム。 - 【請求項4】 前記第1の動作は、前記電子チケットの
発行、又は、前記ユーザ端末からの前記電子チケットの
出力である請求項3記載の電子チケット使用支援システ
ム。 - 【請求項5】 前記第2の動作は、前記ユーザ端末から
の前記電子チケットの出力、又は、前記チケット受領マ
シンにおける前記電子チケットの受信である請求項3記
載の電子チケット使用支援システム。 - 【請求項6】 前記第1のデータには、前記第1の日時
情報に加えて、又は、前記第1の日時情報に代えて、前
記第1の動作が行われたときの位置を示す又は前記電子
チケットの有効位置を示す第1の位置情報が含まれてお
り、 前記第2のデータには、前記第2の日時情報に加えて、
又は、前記第2の日時情報に代えて、前記第2の動作が
行われたときの位置を示す第2の位置情報が含まれてお
り、 前記チケット検証手段は、前記第1のデータに含まれて
いる第1の日時情報及び第1の位置情報のうちの少なく
とも一方と、前記第2のデータに含まれている第2の日
時情報及び第2の位置情報のうちの少なくとも一方とを
用いて、前記電子チケットの正当性の有無を検証する請
求項3記載の電子チケット使用支援システム。 - 【請求項7】 前記ユーザ端末又は前記チケット受領マ
シンは、前記電子チケットを前記チケット発行システム
に送信し、 前記チケット発行システムが、前記チケット検証手段が
実行する方法とは別の方法で電子チケットの正当性を検
証する請求項3記載の電子チケット使用支援システム。 - 【請求項8】 電子チケットを使用することができるユ
ーザ端末であって、 発行された電子チケットを蓄積する手段と、 第1の動作が行われたときの日時を示す又は前記電子チ
ケットの有効日時を示す第1の日時情報と、前記第1の
動作が行われたときの位置を示す又は前記電子チケット
の有効位置を示す第1の位置情報とのうちの少なくとも
一方を含んだ第1のデータを外部システムへ出力する第
1データ出力手段と、 前記電子チケットを前記外部システムへ出力するチケッ
ト出力手段とを備えるユーザ端末。 - 【請求項9】 第2の動作が行われたときの日時を示す
第2の日時情報と、前記第2の動作が行われたときの位
置を示す第2の位置情報とのうちの少なくとも一方を含
んだ第2のデータを取得する取得手段と、 前記第2のデータを前記外部システムへ出力する第2デ
ータ出力手段とを更に備える請求項8記載のユーザ端
末。 - 【請求項10】 電子チケットを受領するチケット受領
マシンにおいて、 第1の動作が行われたときの日時を示す又は電子チケッ
トの有効日時を示す第1の日時情報と、第1の動作が行
われたときの位置を示す又は前記電子チケットの有効位
置を示す第1の位置情報とのうちの少なくとも一方を含
んだ第1のデータを、ユーザ端末から受信する第1デー
タ受信手段と、 電子チケットを前記ユーザ端末から受信するチケット受
信手段と、 以下の(1)及び(2) (1)第2の動作が行われたときの日時を示す第2の日
時情報と、前記第2の動作が行われたときの位置を示す
第2の位置情報のうちの少なくとも一方を含んだ第2の
データを取得し、前記受信した電子チケット、前記受信
した第1のデータ、及び前記取得した第2のデータを、
前記電子チケットの状態を管理しているチケット管理シ
ステムに送信する送信手段と、 (2)第2の動作が行われたときの日時を示す第2の日
時情報、及び、前記第2の動作が行われたときの位置を
示す第2の位置情報のうちの少なくとも一方を含んだ第
2のデータを取得し、前記第1のデータと前記第2のデ
ータとを使用して、前記電子チケットの正当性の有無を
検証するチケット検証手段とのうちのいずれか一方を備
えるチケット受領マシン。 - 【請求項11】 電子チケットを発行するチケット手段
と、 発行された前記電子チケットを持つユーザ端末によって
使用された前記電子チケットを受信するチケット受信手
段と、 前記受信した電子チケットの正当性を所定の方法で検証
するチケット検証手段とを備えるチケット発行システ
ム。 - 【請求項12】 請求項3又は6記載の電子チケット使
用支援システムにおいて、 前記チケット発行システムは、発行する電子チケットに
関する有効位置及び有効時刻の一方又は双方に基づいて
暗号鍵を生成し、前記生成された暗号鍵を用いて前記電
子チケットを暗号化して発行し、 前記チケット検証手段は、前記第2の日時情報及び前記
第2の位置情報の一方又は双方に基づいて復号鍵を生成
し、前記生成された復号鍵を用いて前記暗号化されてい
る電子チケットの復号化を試みる電子チケット使用支援
システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002059821A JP3693969B2 (ja) | 2001-03-19 | 2002-03-06 | 電子チケット使用支援システム |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001-79480 | 2001-03-19 | ||
JP2001079480 | 2001-03-19 | ||
JP2002059821A JP3693969B2 (ja) | 2001-03-19 | 2002-03-06 | 電子チケット使用支援システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002352163A true JP2002352163A (ja) | 2002-12-06 |
JP3693969B2 JP3693969B2 (ja) | 2005-09-14 |
Family
ID=26611599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002059821A Expired - Lifetime JP3693969B2 (ja) | 2001-03-19 | 2002-03-06 | 電子チケット使用支援システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3693969B2 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006013816A1 (ja) * | 2004-08-06 | 2006-02-09 | Masaya Ota | 認証システム、音出力端末、情報処理装置、サーバ装置および認証方法 |
JP2006121687A (ja) * | 2004-10-19 | 2006-05-11 | Samsung Electronics Co Ltd | 使用者の匿名性を保証するデジタルチケットを利用した電子商取り引き方法及び装置 |
JP2006202192A (ja) * | 2005-01-24 | 2006-08-03 | Oki Electric Ind Co Ltd | 自動取引システム |
JP2006311251A (ja) * | 2005-04-28 | 2006-11-09 | Kts:Kk | 有料番組視聴システム |
JP2009135722A (ja) * | 2007-11-30 | 2009-06-18 | Kddi Corp | コンテンツ管理システム、コンテンツ管理方法およびプログラム |
JP2015535367A (ja) * | 2012-09-28 | 2015-12-10 | インテル・コーポレーション | 道路上での使用のための複数のインセンティブオファーの生成のためのシステム及び方法 |
WO2023053276A1 (ja) * | 2021-09-29 | 2023-04-06 | 日本電気株式会社 | 判定システム、判定方法、および、プログラム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09153156A (ja) * | 1995-12-01 | 1997-06-10 | Hitachi Ltd | 通行料金自動徴収システムの不正防止方法 |
JPH1056449A (ja) * | 1996-08-09 | 1998-02-24 | Oki Electric Ind Co Ltd | セキュリティ強化システム |
JPH10283517A (ja) * | 1997-03-31 | 1998-10-23 | Toshiba Corp | 有料道路料金収受システム及び方法 |
JPH113033A (ja) * | 1996-05-15 | 1999-01-06 | Rsa Data Security Inc | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム |
JPH1131204A (ja) * | 1997-07-14 | 1999-02-02 | Fuji Xerox Co Ltd | 電子チケットシステム |
JP2000048230A (ja) * | 1998-07-27 | 2000-02-18 | Toshiba Corp | 無線料金収受システム |
JP2000196588A (ja) * | 1998-12-25 | 2000-07-14 | Matsushita Electric Ind Co Ltd | Etc認証システム及び認証方法 |
-
2002
- 2002-03-06 JP JP2002059821A patent/JP3693969B2/ja not_active Expired - Lifetime
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09153156A (ja) * | 1995-12-01 | 1997-06-10 | Hitachi Ltd | 通行料金自動徴収システムの不正防止方法 |
JPH113033A (ja) * | 1996-05-15 | 1999-01-06 | Rsa Data Security Inc | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム |
JPH1056449A (ja) * | 1996-08-09 | 1998-02-24 | Oki Electric Ind Co Ltd | セキュリティ強化システム |
JPH10283517A (ja) * | 1997-03-31 | 1998-10-23 | Toshiba Corp | 有料道路料金収受システム及び方法 |
JPH1131204A (ja) * | 1997-07-14 | 1999-02-02 | Fuji Xerox Co Ltd | 電子チケットシステム |
JP2000048230A (ja) * | 1998-07-27 | 2000-02-18 | Toshiba Corp | 無線料金収受システム |
JP2000196588A (ja) * | 1998-12-25 | 2000-07-14 | Matsushita Electric Ind Co Ltd | Etc認証システム及び認証方法 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006013816A1 (ja) * | 2004-08-06 | 2006-02-09 | Masaya Ota | 認証システム、音出力端末、情報処理装置、サーバ装置および認証方法 |
JP2006121687A (ja) * | 2004-10-19 | 2006-05-11 | Samsung Electronics Co Ltd | 使用者の匿名性を保証するデジタルチケットを利用した電子商取り引き方法及び装置 |
US7730314B2 (en) | 2004-10-19 | 2010-06-01 | Samsung Electronics Co., Ltd. | Method and apparatus for electronic commerce using digital ticket to provide anonymity |
JP4728081B2 (ja) * | 2004-10-19 | 2011-07-20 | 三星電子株式会社 | 使用者の匿名性を保証するデジタルチケットを利用した電子商取り引き方法及び装置 |
JP2006202192A (ja) * | 2005-01-24 | 2006-08-03 | Oki Electric Ind Co Ltd | 自動取引システム |
JP2006311251A (ja) * | 2005-04-28 | 2006-11-09 | Kts:Kk | 有料番組視聴システム |
JP2009135722A (ja) * | 2007-11-30 | 2009-06-18 | Kddi Corp | コンテンツ管理システム、コンテンツ管理方法およびプログラム |
JP2015535367A (ja) * | 2012-09-28 | 2015-12-10 | インテル・コーポレーション | 道路上での使用のための複数のインセンティブオファーの生成のためのシステム及び方法 |
KR20180092963A (ko) * | 2012-09-28 | 2018-08-20 | 인텔 코포레이션 | 도로 상에서 사용할 인센티브 제안의 생성을 위한 시스템 및 방법 |
KR102028493B1 (ko) * | 2012-09-28 | 2019-10-04 | 인텔 코포레이션 | 도로 상에서 사용할 인센티브 제안의 생성을 위한 시스템 및 방법 |
US10713675B2 (en) | 2012-09-28 | 2020-07-14 | Intel Corporation | Systems and methods for generation of incentive offers for on-road users |
WO2023053276A1 (ja) * | 2021-09-29 | 2023-04-06 | 日本電気株式会社 | 判定システム、判定方法、および、プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP3693969B2 (ja) | 2005-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8340296B2 (en) | Method and system for registering and verifying smart card certificate for users moving between public key infrastructure domains | |
US10440014B1 (en) | Portable secure access module | |
JP2006521724A (ja) | セキュア・テレマティクス | |
US20040236632A1 (en) | System and method for conducing financial transactions using a personal transaction device with vehicle-accessed, payment-gateway terminals | |
US20200236175A1 (en) | Federated Closed-Loop System | |
US20090024458A1 (en) | Position-based Charging | |
WO2009070430A2 (en) | Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones | |
EP1410658A2 (en) | A method and a system for obtaining services using a cellular telecommunication system | |
US11423133B2 (en) | Managing travel documents | |
US20190108690A1 (en) | Systems for counting passengers | |
US20140316992A1 (en) | Method for charging an onboard-unit with an electronic ticket | |
US20240048395A1 (en) | Method and system for authentication credential | |
JP2004139380A (ja) | 車載器のセットアップ方法、車載器のセットアップシステム及び車載器 | |
JP3693969B2 (ja) | 電子チケット使用支援システム | |
JPH09297789A (ja) | 電子商取引決済管理システム及び方法 | |
JP2001216360A (ja) | 予約証明証発行装置および方法 | |
Borges et al. | Parking tickets for privacy-preserving pay-by-phone parking | |
EP3559849B1 (en) | Mobile credential with online/offline delivery | |
JP2001331646A (ja) | 指紋照合を利用した金融取引システムおよび金融取引方法 | |
Castella-Roca et al. | Secure and anonymous vehicle access control system to traffic-restricted urban areas | |
Dzurenda et al. | Privacy-preserving online parking based on smart contracts | |
Borges et al. | An anonymous and unlinkable electronic toll collection system | |
WO2012131029A1 (en) | Vehicle usage verification system | |
Limbasiya et al. | Sampark: Secure and lightweight communication protocols for smart parking management | |
CN116349198B (zh) | 用于认证凭证的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20040521 |
|
RD05 | Notification of revocation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7425 Effective date: 20040526 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041027 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041102 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050315 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050509 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050614 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050622 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3693969 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080701 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090701 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090701 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100701 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110701 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110701 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120701 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120701 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130701 Year of fee payment: 8 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |