JP2004102880A - 電子改札システム、プログラム及び方法 - Google Patents

電子改札システム、プログラム及び方法 Download PDF

Info

Publication number
JP2004102880A
JP2004102880A JP2002266640A JP2002266640A JP2004102880A JP 2004102880 A JP2004102880 A JP 2004102880A JP 2002266640 A JP2002266640 A JP 2002266640A JP 2002266640 A JP2002266640 A JP 2002266640A JP 2004102880 A JP2004102880 A JP 2004102880A
Authority
JP
Japan
Prior art keywords
value
public key
ticket gate
information
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002266640A
Other languages
English (en)
Inventor
Takanori Nakamizo
中溝 孝則
Takehisa Kato
加藤 岳久
Shingo Miyazaki
宮崎 真悟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002266640A priority Critical patent/JP2004102880A/ja
Publication of JP2004102880A publication Critical patent/JP2004102880A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】切符の契約性及び証拠性を向上させる。
【解決手段】公開鍵暗号方式を用いた電子改札システムを実現するので、切符の契約性及び証拠性を向上できる。また、バリュー情報や駅情報に対して必要なデータを盛り込み、電子署名を施すことにより、一層、切符の契約性及び証拠性を向上できる。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、駅の自動改札に用いられる電子改札システム、プログラム及び方法に関する。
【0002】
【従来の技術】
一般に、駅の自動改札の分野では、チャージ(入金)機能を持つICカードを利用者が携帯し、このICカードを自動改札機のR/Wに接触させ、認証及び書込の後、ゲートを開放する電子改札システムが知られている(例えば、非特許文献1参照)。
【0003】
【非特許文献1】
椎橋章夫,「JR乗車券への導入事例」,エレクトロニクス,オーム社,2001年6月1日,第565号(第46巻第6号),pp.47−50
【0004】
【発明が解決しようとする課題】
しかしながら以上のような電子改札システムは、特に何も問題は無いが、本発明者の考察によれば、切符の契約性や証拠性を向上させる観点から、より良いものに改良する余地があると考えられる。
【0005】
本発明は上記実情を考慮してなされたもので、切符の契約性及び証拠性を向上し得る電子改札システム、プログラム及び方法を提供することを目的とする。
【0006】
【課題を解決するための手段】
第1の発明は、電子化されたバリュー情報及び駅情報に基づいて、入札時又は出札時に、改札口の通過ゲートを開放するための電子改札システムであって、証明書発行機関装置、携帯装置、バリュー発行機関装置、第1及び第2の自動改札機を備えた電子改札システムである。
【0007】
ここで、証明書発行機関装置は、「証明書発行機関の秘密鍵・公開鍵・公開鍵証明書」、「利用者の秘密鍵・公開鍵・公開鍵証明書」、「バリュー発行機関の秘密鍵・公開鍵・公開鍵証明書」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を発行するものである。
【0008】
携帯装置は、前記証明書発行機関装置により発行された「利用者の秘密鍵・公開鍵・公開鍵証明書」、「証明書発行機関の公開鍵」及び「バリュー発行機関の公開鍵」を保持し、自装置の検証時には利用者の公開鍵証明書を送信し、前記バリュー情報の購入時には受信したバリュー情報を保持し、前記入札時及び出札時には、受信した「自動改札機の公開鍵・公開鍵証明書」により自動改札機を検証し、検証結果が真の場合、入札時にはバリュー情報の読出と駅情報の書込とが無線通信により行われ、出札時にはバリュー情報及び駅情報の読出が行われるものである。
【0009】
バリュー発行機関装置は、前記証明書発行機関装置により発行された「証明書発行機関の公開鍵」及び「バリュー発行機関の秘密鍵・公開鍵」を保持し、前記携帯装置からの要求に応じて、前記携帯装置から送信された「利用者の公開鍵証明書」を前記証明書発行機関の公開鍵に基づいて検証し、検証結果が真の場合、前記バリュー発行機関の秘密鍵により生成したバリュー情報を前記携帯装置に送信するものである。
【0010】
第1の自動改札機は、前記証明書発行機関装置により発行された「バリュー発行機関の公開鍵」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を保持し、前記携帯装置の入札時には、前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信し、この携帯装置から無線通信により読出したバリュー情報を前記バリュー発行機関の公開鍵に基づいて検証し、検証結果が真の場合、前記自動改札機の秘密鍵により生成した駅情報を無線通信により当該携帯装置に書込んで通過ゲートを開放するものである。
【0011】
第2の自動改札機は、前記証明書発行機関装置により発行された「バリュー発行機関の公開鍵」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を保持し、前記携帯装置の出札時には、前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信し、この携帯装置から無線通信により読出した駅情報を前記自動改札機の公開鍵に基づいて検証し、検証結果が真の場合、この駅情報から運賃を計算し、前記バリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、前記運賃の支払要求を前記携帯装置に送信し、前記携帯装置から支払証明書を受けると、通過ゲートを開放するものである。
【0012】
以上のように、第1の発明は、公開鍵暗号方式を用いた電子改札システムを実現するので、切符の契約性及び証拠性を向上させることができる。また、バリュー情報や駅情報に対して必要なデータを盛り込み、電子署名を施すことにより、一層、切符の契約性及び証拠性を向上させることができる。
【0013】
さて第1の発明は、全ての装置を対象とした「システム」として表現したが、これに限らず、全ての装置又は各装置を対象とした「装置」、「方法」、「コンピュータ読取り可能な記憶媒体」又は「プログラム」として表現してもよいことは言うまでもない。
【0014】
これらの表現の例として、以下、第2〜第5の発明を描写する。
第2の発明は、公開鍵暗号方式を用いて電子化されたバリュー情報を管理し、入札時又は出札時に、改札口の通過ゲートを開放させるためのバリュー管理装置であって、予めバリュー発行機関の公開鍵及び自動改札機の公開鍵が記憶される鍵記憶手段と、入力された購入要求に基づいて、バリュー発行要求を送信し、受信したバリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、当該バリュー情報を購入するバリュー購入手段と、前記購入したバリュー情報及びバリュー残高を管理するバリュー残高管理手段と、入札時に、前記管理中のバリュー情報を送信し、受信した駅情報を前記自動改札機の公開鍵により検証し、検証結果が真の場合、当該駅情報をメモリに格納し、格納通知を送信することにより、通過ゲートを開放させるための入札処理手段と、出札時に、前記管理中のバリュー情報及び駅情報を送信し、受信した支払要求を前記自動改札機の公開鍵により検証し、検証結果が真の場合、当該支払要求に従って前記バリュー残高管理手段にバリュー情報の残高を減額させ、この減額に対応した支払証明書を送信することにより、通過ゲートを開放させるための出札処理手段と、を備えたバリュー管理装置である。
【0015】
第3の発明は、第2の発明の「バリュー管理装置」を「ICカード」としたものである。第4の発明は、第2の発明のバリュー管理装置のコンピュータを、バリュー管理装置の各手段として機能させるためのプログラムである。
【0016】
第5の発明は、公開鍵暗号方式を用いて電子化されたバリュー情報及び駅情報に基づいて、前記バリュー情報を保持する携帯装置に対し、入札時又は出札時に改札口の各自動改札機を通過させるための電子改札システムであって、前記各自動改札機の各工程としては、予め「バリュー発行機関の公開鍵」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を保持する工程と、携帯装置の入札時には、前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信する工程と、この携帯装置から無線通信により読出したバリュー情報を前記バリュー発行機関の公開鍵に基づいて検証し、検証結果が真の場合、前記自動改札機の秘密鍵により生成した駅情報を無線通信により当該携帯装置に書込んで通過ゲートを開放する工程と、前記携帯装置の出札時には、前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信する工程と、この携帯装置から無線通信により読出した駅情報を前記自動改札機の公開鍵に基づいて検証し、検証結果が真の場合、この駅情報から運賃を計算する工程と、この携帯装置から無線通信により読出したバリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、前記運賃の支払要求を前記携帯装置に送信する工程と、前記携帯装置から支払証明書を受けると、通過ゲートを開放する工程と、を含んでいる電子改札方法である。
これにより、特に自動改札機に関して容易且つ確実に、第1の発明と同様の作用を奏することができる。
【0017】
【発明の実施の形態】
以下、本発明の各実施形態について図面を参照しながら説明する。なお、本明細書中、利用者が改札口から駅のプラットホームに入ることを「入札」と呼び、利用者が改札口から駅の外に出ることを「出札」と呼ぶ。また、自動改札機との無線通信には、Bluetoothを用いるが、これに限らず、無線LANや赤外線通信を用いる構成としてもよい。
【0018】
(第1の実施形態)
図1は本発明の第1の実施形態に係る電子改札システムの構成を示す模式図である。この電子改札システムは、証明書発行機関10、バリュー発行機関20、ベンダー30、利用者Uの携帯端末40、ポータルサイト50、決済機関60及び自動改札機70から構成されている。
【0019】
ここで、証明書発行機関10は、組織としての証明書発行機関に用いられる処理装置であり、バリュー発行機関20、携帯端末40、自動改札機70の正当性を確認後、各装置別の検証鍵・署名鍵の鍵ペア及びその公開鍵証明書を発行し、装置別の鍵ペア、公開鍵証明書及び証明書発行機関検証鍵を対応する各装置20,40,70に送信する機能をもっている。なお、証明書発行機関10は、信頼できるものとする。
【0020】
バリュー発行機関20は、組織としてのバリュー発行機関に用いられる処理装置であり、インターネットなどのネットワークに接続可能であって、証明書発行機関10から受けた自装置20の鍵ペア、公開鍵証明書及び証明書発行機関検証鍵を予めメモリ(図示せず)に格納する機能と、ベンダー30にバリュー発行料金を支払ってバリュー発行許可を受ける機能と、携帯端末40からのバリュー発行要求に基づいてバリューを携帯端末40に送信する機能と、ポータルサイト50から受けた契約情報により携帯端末40を登録する機能と、送信したバリュー相当額の決済情報をポータルサイトに送信する機能と、を備えている。
【0021】
ベンダー30は、ベンダー用の処理装置であり、バリュー発行機関20から受けたバリュー発行料金に応じてバリュー発行許可をバリュー発行機関20に送信する機能をもっている。
【0022】
携帯端末40は、通常の端末機能に加え、インターネットなどのネットワークに接続可能であり、またBluetoothなどの無線通信が可能であって、証明書発行機関10から受けた自端末40の鍵ペア・公開鍵証明書、バリュー発行機関検証鍵、証明書発行機関検証鍵を予めメモリ(図示せず)に格納する機能をもっている。
【0023】
また、携帯端末40は、利用者Uの操作により、バリュー発行機関20からバリューを購入して保持する機能と、入札時に自動改札機70を認証し、認証結果が真の場合、自動改札機70から駅情報を受信する機能と、出札時に自動改札機70を認証し、認証結果が真の場合、駅情報を自動改札機70に送信する機能とをもっている。
【0024】
ポータルサイト50は、バリュー発行機関の管理者に運営されるホームページであり、利用者U側のアクセスにより、利用者Uの契約情報を登録してバリュー発行機関30に送信する機能と、バリュー発行機関20から受けたバリュー決済情報を決済機関60に送信し、返信されたバリュー決済通知を受ける機能とをもっている。
【0025】
決済機関60は、決済機関の処理装置であり、ポータルサイト50から受けたバリュー決済情報に基づいて口座振替等の決済処理を実行し、バリュー決済通知をポータルサイト50に送信する機能をもっている。
【0026】
自動改札機70は、Bluetoothといった無線通信が可能であり、証明書発行機関10により生成された自装置70の鍵ペア・公開鍵証明書、バリュー発行機関検証鍵及び証明書発行機関検証鍵が予めメモリ(図示せず)に格納されている。
【0027】
また、自動改札機70は、入札時及び出札時に携帯端末40と無線通信を行ない、携帯端末40に認証される機能と、認証結果が真の場合、入札時には駅情報を携帯端末40に送信してゲートを開放する機能と、出札時には携帯端末40から受信した駅情報から運賃を計算し支払要求を携帯端末40に送信し、携帯端末40から受けた支払証明書を検証し、検証結果が真の場合、受領通知を携帯端末40に送信してゲートを開放する機能とをもっている。
【0028】
なお、自動改札機70は、入札・出札の機能を備えたものとするが、駅の事情に応じて、適宜、入札専用又は出札専用の自動改札機を設けてもよい。
【0029】
次に、以上のように構成された電子改札システムの動作を図1に沿って説明する。
(準備)
証明書発行機関10は、予めバリュー発行機関20の正当性を確認し、バリュー発行機関検証鍵・バリュー発行機関署名鍵の鍵ペアと、バリュー発行機関公開鍵証明書と、証明書発行機関検証鍵とを発行してバリュー発行機関20に送信する。
【0030】
バリュー発行機関20は、これらバリュー発行機関検証鍵・バリュー発行機関署名鍵の鍵ペアと、バリュー発行機関公開鍵証明書と、証明書発行機関検証鍵とを格納する。
【0031】
また同様に、証明書発行機関10は、予め携帯端末40や自動改札機70の正当性を確認し、各々の検証鍵・署名鍵の鍵ペアと、各々の公開鍵証明書と、証明書発行機関検証鍵とを発行してバリュー発行機関20に送信する。
【0032】
携帯端末40や自動改札機70は、これら検証鍵・署名鍵の鍵ペアと、各々の公開鍵証明書と、証明書発行機関検証鍵とを格納する。
【0033】
(電子改札処理)
バリュー発行機関20は、予めバリューを発行するための契約をしておく。すなわち、バリュー発行機関20は、バリュー発行金額分のバリュー発行料金をベンダー30へ支払い(ST1)、ベンダー30から発行許可を受けておく(ST2)。
【0034】
携帯端末40の契約時に、利用者が電子改札サービスの利用を望む場合、携帯端末会社の計算機端末を介し、利用者Uの契約情報がポータルサイト40に登録される(ST3)。ポータルサイト50は、登録した利用者Uの契約情報をバリュー発行機関20へ通知する(ST4)。
【0035】
これにより、利用者Uは携帯端末40を介して電子改札システムを利用可能になる。
続いて、携帯端末40は、利用者Uの操作により、希望するベンダー30のバリューを購入する要求をバリュー発行機関20へ送信する。この要求は、例えば携帯端末40がポータルサイト50へ一旦アクセスし、ポータルサイト50がインターネットなどを介してバリュー発行機関20へアクセスするようにしてもよい。但し、ここでは簡略化のため、携帯端末40から直接、バリュー発行機関20に接続するものとする。
【0036】
携帯端末40では、バリュー発行機関20に接続した後、バリュー発行機関20から受信したバリュー購入や再充填といった操作のための初期メニューを表示する。
【0037】
携帯端末40は、利用者Uの操作により、初期メニューから希望するベンダー30のバリューを購入し、少額となったバリューを再充填する。このとき、携帯端末40は、利用者Uの操作により、バリューを購入するためのバリュー発行要求を生成し、バリュー発行機関20へ送信する(ST5)。
【0038】
バリュー発行機関20では、バリュー発行要求の正当性を検証し、正当性が確認された場合にバリューを生成し、携帯端末40に送信する(ST6)。その後、バリュー発行機関20は、バリューの購入に関するバリュー決済情報をポータルサイト50に送信する(ST7)。
【0039】
ポータルサイト50は、このバリュー決済情報を決済機関60に送信し(ST8)、決済機関60との間でバリュー購入に関する決済を行う。具体的には利用者Uが購入したバリュー購入金額分を、利用者Uが予め登録した口座から引き落とすという手段により決済を行う。
【0040】
引落し完了に伴い、ポータルサイト50が決済機関60からバリュー決済通知を受信すると、決済が完了する(ST9)。
【0041】
一方、利用者Uの携帯端末40は、利用者Uが入札時の自動改札機70を通過する際に、入札時の自動改札機70との間で無線通信を行い、入札時の自動改札機70を認証する。
【0042】
入札時の自動改札機70は、入札時の乗車駅及び日時情報である駅情報を携帯端末40に送信し(ST10)、ゲートを開放する。
【0043】
利用者Uは、ゲートを通過して乗車ホームに入り、適宜、電車に乗って目的地の駅に行く。
【0044】
目的地の駅では、利用者Uが改札を出る際に、携帯端末40は、出札時の自動改札機70との間で無線通信を行い、出札時の自動改札機70を認証した後、この自動改札機70に駅情報を送信する。
【0045】
出札時の自動改札機70は、受信した駅情報から運賃を計算し支払要求を携帯端末40に送信する。携帯端末40は、バリューから運賃分を減額し、減額した旨を証明する支払証明書を作成し、出札時の自動改札機70に送信する(ST11)。
【0046】
出札時の自動改札機70は、支払証明書の正当性を確認し、検証結果が正しければ受領通知を携帯端末40に送信し(ST12)、ゲートを開放する。
【0047】
さらに、出札時の自動改札機70は、売上に関する履歴を格納し、定期的にベンダー30へ売上情報として送る(ST13)。
【0048】
上述したように本実施形態によれば、公開鍵暗号方式を用いた電子改札システムを実現するので、切符の契約性及び証拠性を向上させることができる。また、バリュー情報や駅情報に対して必要なデータを盛り込み、電子署名を施すことにより、一層、切符の契約性及び証拠性を向上させることができる。
【0049】
(第2の実施形態)
次に、本発明の第2の実施携帯に係る電子改札システムについて図2乃至図4を参照し、前述した図面と同一部分には同一符号を用いて説明する。なお、以下の各実施形態も同様にして重複した部分の説明を省略する。
【0050】
本実施形態は、第1の実施形態の具体例であり、図2乃至図4に示すように、各装置20,40,70の構成を詳細に述べるものである。
【0051】
ここで、バリュー発行機関20は、図2に示すように、通信インターフェース21、バリュー購入受付部22、バリュー発行管理部23、ログ管理部24、ログファイル記憶部25を備えている。
【0052】
通信インターフェース21は、ネットワークを介して携帯端末40との通信を行なうためのものである。
【0053】
バリュー購入受付部22は、携帯端末40からのバリュー購入を受け付けるものであり、次の各機能f22−1〜f22−5をもっている。
【0054】
(f22−1) 携帯端末40から携帯端末公開鍵証明書を含む接続要求を受け取り、予め格納されている証明書発行機関検証鍵により、携帯端末公開鍵の正当性を確認後、発行メニューを携帯端末40に送信する機能。
【0055】
(f22−2) 携帯端末40より保持バリュー、ベンダーIDを受け取り、新規発行メニュー・再充填メニューを返す機能。
【0056】
(f22−3) 携帯端末40からバリュー新規発行要求(ID‖Prepay‖ID‖date‖Rand‖SIG(H(ID‖Prepay‖ID‖date‖Rand)))を受け取り、携帯端末公開鍵Yによりバリュー新規発行要求の正当性を確認後、バリュー発行要求をバリュー発行管理部23に送信する機能。
【0057】
(f22−4) 携帯端末40からバリュー再充填要求及び残高初期化証明書を受け取り、携帯端末公開鍵により、携帯端末40の残高が初期化された事を示す残高初期化証明書及びバリュー再充填要求の正当性を確認し、残高初期化証明書の検証結果を示す検証結果情報とバリュー発行要求をバリュー発行管理部23に送信する機能。
【0058】
バリュー発行管理部23は、バリュー発行を管理するものであり、次の各機能f23−1〜f23−3をもっている。
【0059】
(f23−1) バリュー購入受付部22よりバリュー発行要求を受け取り、予め格納されているバリュー発行機関署名鍵を用いてバリュー発行機関の署名情報であるバリュー情報(ID‖Prepay‖Y‖vnum‖SIG(H(ID‖Prepay‖Y‖vnum)))を生成し、このバリュー情報を携帯端末40に送信し、発行したバリューに関する情報である販売情報をログ管理部24に渡す機能。
【0060】
ここで、vnumはベンダー毎のバリューの通し番号であり、Iはバリュー発行機関20を表している。
【0061】
(f23−2) 携帯端末40からの再送要求を受け取り、再送要求の正当性を携帯端末公開鍵により検証後、バリュー情報を再発行し携帯端末40に送信する機能。
【0062】
(f23−3) 携帯端末40からの格納通知を受け取り、格納通知の正当性を携帯端末公開鍵により検証後、完了通知を生成し携帯端末40に送信する機能。
【0063】
ログ管理部24は、バリュー発行管理部23よりバリュー販売情報を受け取り、販売ログファイル記憶部25に保存する機能と、管理者Mからのログ要求を受け取り、販売ログファイルからログを読出し、管理者Mにログ情報を渡す機能とをもっている。
【0064】
携帯端末40は、図3に示すように、第1及び第2通信インターフェース41a,41b、携帯端末制御部42、バリュー購入部43、バリュー残高管理部44、メモリA 45a、メモリB 45b、改札処理部46、出札処理部47、ログ管理部48、ログファイル記憶部49を備えている。
【0065】
ここで、第1通信インターフェース41aは、ネットワークを介してバリュー発行機関20との通信を行うためのものである。
【0066】
第2通信インターフェース41bは、自動改札機70との間で無線通信を行うためのものである。なお、無線通信としては、本実施形態では簡略化のためBluetoothを用いるものとする。
【0067】
携帯端末制御部42は、携帯端末40のユーザ・インターフェースや通話機能(携帯電話の場合)などを制御する部分であり、次の各機能f42−1〜f42−6をもっている。
【0068】
(f42−1) 利用者Uからの接続処理要求を受けると、携帯端末40に予め格納されている携帯端末公開鍵証明書(Cert_Y)を含む接続要求(kinf‖Y‖Cert_Y)を作成し、この接続要求をバリュー発行機関20に送信する機能。
【0069】
ここで、接続要求に含まれるkinfは、IDe ‖ID‖kdateからなる。
IDは、エンティティIDで、バリュー発行機関20、携帯端末40、自動改札機70、ベンダー30といった種類を区別するために用いるIDである。
IDは、携帯端末40のIDで、本実施形態ではTは携帯端末40を表し、IDは携帯端末(携帯電話)の電話番号を用いるものとする。
kdateは、携帯端末用の公開鍵(以下、検証鍵ともいう)及び秘密鍵(以下、署名鍵ともいう))が発行された日付を示すデータである。
‖は、データの連結を表している。
は、携帯端末40の検証鍵データである。
Cert_Yは、携帯端末40の検証鍵が正当である事を証明するための公開鍵証明書である。ここで、公開鍵証明書Cert_Yは、ID‖ID‖kdate‖Y‖SIGCA(H(ID‖ID‖kdate‖Y))からなる。H(m)は、mを一方向性関数にかけて得られるメッセージダイジェストであり、SHA−1やMD5などの関数がある。SIG(x)は、xに対してKの署名鍵(秘密鍵)で電子署名した旨を示している。CAは証明書発行機関10を表す。
【0070】
なお、各公開鍵・秘密鍵等の鍵データ及び公開鍵証明書は、証明書発行機関10により発行されるが、これに限らず、商用に運用されている機関を用いても良い。
【0071】
(f42−2) 接続要求の送信結果としてバリュー発行機関20から発行メニューを受け取り携帯端末40の画面に表示する機能。
【0072】
(f42−3) 利用者Uが発行メニューに入力した新規購入、再充填に応じ、ベンダーID要求、バリュー提示要求をバリュー残高管理部44に送信し、バリュー発行機関20より、新規発行メニュー、再充填メニューを受け取り画面に表示する機能。
【0073】
(f42−4) 利用者Uがメニューに入力した新規発行要求、再充填要求をバリュー購入部43に送信し、バリュー購入部43からバリューの発行が完了した事を示す完了通知を受け取り携帯端末40の画面に表示する機能。
【0074】
(f42−5) 利用者Uからの残高情報要求を受け取りバリュー残高管理部44に送信しその結果として、バリュー残高管理部44から残高情報を受け取り携帯端末の画面に表示する機能。
【0075】
(f42−6) 利用者Uからのログ表示要求を受け取り、ログ管理部48に送信する。その結果としてログ情報を受け取り、携帯端末40の画面に表示する機能。
【0076】
バリュー購入部43は、バリューの購入に関する処理を行なうものであり、次の各機能f43−1〜f43−5をもっている。
【0077】
(f43−1) 利用者Uからの新規発行要求を受け取り、バリュー新規発行要求(ID‖Prepay‖ID‖date‖Rand‖SIG(H(ID‖Prepay‖ID‖date‖Rand)))を生成しバリュー発行機関20に送信する機能。
【0078】
ここで、IDは選択したベンダー30のIDであり、Prepayは購入金額であり、Randは乱数である。SIG()は、メッセージダイジェストH(ID‖Prepay‖ID‖date‖Rand)に施した携帯端末40の電子署名である。
【0079】
(f43−2) 利用者Uからの再充填要求を受け取り、残高初期化要求をバリュー残高管理部44に送信しその結果として残高初期化証明書を受け取る機能。さらに、受け取った残高初期化証明書とバリュー再充填要求をバリュー発行機関20に送信する機能。
【0080】
(f43−3) バリュー発行機関20からバリュー情報を受け取り、バリュー情報の正当性を検証する機能。
【0081】
(f43−4) 検証結果が真の場合にはバリュー情報をバリュー残高管理部44に渡す機能。バリュー残高管理部44より格納通知を受け取り、バリュー発行機関20に送信し、その結果としてバリュー発行機関20から完了通知を受け取り携帯端末制御部42に完了通知を送信すると共に、ログ管理部48に購入ログを送信する機能。
【0082】
(f43−5) バリュー情報の検証結果が偽の場合にはバリューの再送要求をバリュー発行機関20に送信する機能。
【0083】
バリュー残高管理部44は、バリュー残高を管理するものであり、次の各機能f44−1〜f44−6をもっている。
【0084】
(f44−1) バリュー購入部43から残高初期化要求を受け取り、メモリA 45a上の残高カウンターを初期化後、残高初期化証明書を生成しバリュー購入部43に送信する機能。
【0085】
(f44−2) バリュー購入部43からバリュー情報を受け取り、メモリA45aにバリュー情報及び残高を書込むと共に格納通知を生成しバリュー購入部43に送信する機能。
【0086】
(f44−3) 改札処理部46からベンダーIDを受け取り、該当するIDのバリュー情報及び残高をメモリA 45aから読出して、改札処理部46にバリュー情報及びバリュー残高を送信する機能。
【0087】
(f44−4) 出札処理部47からベンダーIDを受け取り、該当するIDのバリュー情報、残高をメモリA 45aから読出して、出札処理部へバリュー情報、バリュー残高を送信する機能。
【0088】
(f44−5) 携帯端末制御部42からの残高情報要求を受け取り、バリューの残高をメモリA 45aから読出して残高情報を生成し携帯端末制御部42に送信する機能。
【0089】
(f44−6) 出札処理部47から減額要求を受け取りメモリA 45aのバリュー残高を減額した後、減額完了通知を生成し出札処理部47に送信する機能。
【0090】
改札処理部46は、入札時の処理(改札処理)を行なうものであり、次の各機能f46−1〜f46−4をもっている。
【0091】
(f46−1) 認証要求を自動改札機70に送信する機能。
【0092】
(f46−2) その結果として自動改札機70からバリュー提示要求及び、自動改札機公開鍵証明書を受け取り、自動改札機公開鍵、バリュー提示要求の正当性を確認後、ベンダーIDをバリュー残高管理部44に送信する機能。
【0093】
(f46−3) その結果としてバリュー残高管理部44からバリュー情報及びバリュー残高を受け取り、それら及び携帯端末公開鍵を自動改札機70に送信する機能。
【0094】
(f46−4) 自動改札機70から駅情報(ID‖date‖Y‖Sig(H(ID‖date‖Y)))を受け取り、それをメモリB 45bに格納後、格納通知を生成し自動改札機70に送信する機能。ここで、IDは自動改札機IDであり、乗車駅(自動改札機70の設置駅)に関する情報を含む。dateは改札時刻を表す。
【0095】
出札処理部47は、出札時の改札処理(出札処理)を行なうものであり、次の各機能f47−1〜f47−4をもっている。
【0096】
(f47−1) 認証要求を自動改札機70に送信する機能。
【0097】
(f47−2) その結果として自動改札機70からバリュー提示要求及び、自動改札機公開鍵証明書を受け取り、自動改札機公開鍵、バリュー提示要求の正当性を確認後、ベンダーIDをバリュー残高管理部44に送信する機能。
【0098】
(f47−3) その結果としてバリュー残高管理部44からバリュー情報、バリュー残高を受取る機能。さらにメモリB 45bより駅情報を読出して、バリュー情報、バリュー残高、駅情報を自動改札機70に送信する機能。
【0099】
(f47−4) 自動改札機70から支払要求を受け取り、バリュー残高管理部44に減額要求を送信しその結果として減額完了通知を受け取った後、支払証明書を生成し自動改札機70に送信する機能。
【0100】
(f47−5) その結果として自動改札機70から受領通知を受け取ると、受領通知から支払ログを生成しログ管理部48に送信する機能。
【0101】
ログ管理部48は、出札処理部47から支払ログを受け取りログファイル記憶部49に保存する機能と、バリュー購入部43から購入ログを受け取りログファイル記憶部49に保存する機能と、利用者からのログ表示要求を受け取り、ログファイル記憶部49からログを読み込み、ログ情報として携帯端末40に表示する機能とをもっている。
【0102】
自動改札機70は、図4に示すように、通信インターフェース71、残高確認部72、改札部73、改札情報管理部74、改札ログ記憶部75、出札部76、出札情報管理部77、出札ログ記憶部78を備えている。
【0103】
通信インターフェース71は、携帯端末40との間でBluetooth等の無線通信を行うためのものである。
【0104】
残高確認部72は、携帯端末40のバリュー残高を確認するものであり、次の各機能f72−1〜f72−3をもっている。
【0105】
(f72−1) 携帯端末40からの認証要求を受け取り、バリュー提示要求を生成し自動改札機公開鍵証明書と共に携帯端末40に送信する機能。
【0106】
(f72−2) その結果として携帯端末40からバリュー情報・残高のみを受け取った場合には、バリュー情報の検証を行いその検証結果を改札部73に送信する機能。
【0107】
(f72−3) 携帯端末40からバリュー情報・残高及び駅情報を受け取った場合には検証結果及び駅情報を出札部76に送信する機能。
【0108】
改札部73は、残高確認部72より検証結果を受け取り、検証結果が真の場合には駅情報を生成し携帯端末に送信し、その結果として格納通知を受け取り後ゲートを開放する機能をもっている。
【0109】
改札情報管理部74は、改札部73から改札情報を受け取り、改札ログ記憶部75の改札情報ファイルに保存する機能をもっている。
【0110】
出札部76は、残高確認部72より検証結果及び駅情報を受け取り、受け取った駅情報より請求金額を計算した後、支払要求を生成し、携帯端末40に送信する機能と、その結果として携帯端末40から支払証明書を受け取り、支払証明書の正当性を検証後、ゲートを開放し受領通知を携帯端末40に送信する機能とをもっている。
【0111】
ここで、支払証明書は、ID‖bdate‖prepay‖balance‖balanceold‖price‖Y‖SIG(H(Rand))‖SIG(H(ID‖bdate‖prepay‖balance‖bakanceold‖price‖Y SIG(H(Rand))))である。
【0112】
bdateは支払をする日付であり、balanceは支払後のバリュー残高であり、balanceoldは支払前のバリューの残高である。
【0113】
出札情報管理部77は、出札部76から出札情報を受け取り、出札ログ記憶部78の出札情報ファイルに保存する機能をもっている。
【0114】
次に、以上のように構成された電子改札システムの動作を述べる。なお、ここでは特に、バリュー新規購入処理、バリュー再充填処理、改札処理、出札処理を順に詳しく述べる。
(バリュー新規購入処理:図5)
携帯端末40は、利用者Uの操作により、携帯端末制御部42が接続要求(IDe ‖ID‖kdate‖Y‖Cert_Y)をバリュー発行機関20へ送信する(ST5−1)。
【0115】
バリュー発行機関20は、携帯端末40からの接続要求を受け取ると、携帯端末40の公開鍵Yの検証を行う。公開鍵Yの検証には、バリュー発行機関20に予め格納されている証明書発行機関検証鍵を用いるものとする。
【0116】
ここで、検証結果が偽の場合には、検証エラーのメッセージを携帯端末40に送信する。但し、ここでは携帯端末公開鍵Yの検証結果が真の場合を述べるものとし、この場合、本システムを利用するための発行メニューを携帯端末40に送信する(ST5−2)。
【0117】
携帯端末40は、この発行メニューを携帯端末制御部42により画面に表示する。利用者Uは、発行メニューの表示画面を見て、バリューを新規に購入するか、再充填するかを決める。なお、再充填の場合は図6で後述する。
【0118】
バリューを新規に購入する場合、携帯端末40においては、利用者Uの新規購入の操作に応じて、携帯端末制御部42がベンダーID要求をバリュー残高管理部44に送信し、バリュー残高管理部44がメモリA 45a内の既存のバリューのベンダーIDをバリュー発行機関20に送信する(ST5−3)。
【0119】
バリュー発行機関20では、このベンダーIDに基づいて、バリュー購入受付部22が、利用者Uの新規購入可能なベンダー30のリストを作成し、このリストを含む新規発行メニューを携帯端末40に送信する(ST5−4)。
【0120】
携帯端末40は、携帯端末制御部42により、新規発行メニューを画面に表示する。利用者Uは、表示画面を見て、購入するベンダー30及び購入金額を選択して携帯端末40を操作する。
【0121】
携帯端末40は、この操作により、バリュー購入部43が新規発行要求メッセージ(ID‖Prepay‖ID‖date‖Rand)に電子署名を施して、得られたバリュー新規発行要求(ID‖Prepay‖ID‖date‖Rand‖SIG(H(ID‖Prepay‖ID‖date‖Rand)))をバリュー発行機関20に送信する(ST5−5)。
【0122】
バリュー発行機関20は、バリュー新規発行要求を受けると、バリュー購入受付部22がバリュー新規発行要求のメッセージ部分(ID‖Prepay‖ID‖date‖Rand)からメッセージダイジェストH(ID‖Prepay‖ID‖date‖Rand)を計算する。
【0123】
次に、バリュー購入受付部22は、バリュー新規発行要求の電子署名部分SIG(H(ID‖Prepay‖ID‖date‖Rand))を携帯端末検証鍵Yを用いて復号し、得られたメッセージダイジェストと、先に計算したメッセージダイジェストとが一致するか否かにより、電子署名を検証する。
【0124】
以後、電子署名の検証を、Veri(SIG(x))と表現する。Kの署名鍵でxの電子署名を生成したものをKの検証鍵で検証することを意味する。
【0125】
バリュー購入受付部22は、検証結果が偽の場合にはエラーメッセージを携帯端末40へ送信する。但し、ここでは検証結果が真の場合を述べるものとし、この場合、バリュー購入受付部22はバリュー発行要求をバリュー発行管理部23に送信する。
【0126】
バリュー発行管理部23は、バリュー発行要求を受けると、予め格納されているバリュー発行機関署名鍵を用いてバリュー発行機関20の署名情報であるバリュー情報(ID‖Prepay‖Y‖vnum‖SIG(H(ID‖Prepay‖Y‖vnum)))を生成し、このバリュー情報を携帯端末40に送信すると共に(ST6−1)、発行したバリューに関する情報である販売情報をログ管理部24に渡す。ログ管理部24は、この販売情報を販売ログファイル記憶部25に保存する。
【0127】
一方、携帯端末40は、バリュー情報を受け取ると、バリュー購入部43が、バリュー情報のメッセージ部分(ID‖Prepay‖Y‖vnum)のメッセージダイジェストを計算し、前述同様に、電子署名の検証Veri(SIG(H(ID‖Prepay‖Y‖vnum))を計算し、バリュー情報の正当性を検証する。
【0128】
ここで、データの欠落などで検証結果が偽の場合には、バリュー購入部43はバリュー情報の再送要求をバリュー発行機関20に送信する。但し、ここではバリュー情報が真の場合を述べるものとし、この場合、バリュー購入部43は、バリュー情報をバリュー残高管理部44に渡す。
【0129】
バリュー残高管理部44は、バリュー情報を受け取り、メモリA 45aにバリュー情報及び残高(購入金額分)を書込む。
【0130】
そして、バリュー残高管理部44は、バリュー情報のメッセージ部分(ID‖ID‖result‖vnum)に対して電子署名(SIG(H(ID‖ID‖result‖vnum))を生成し、これらを格納通知(ID‖ID‖result‖vnum‖SIG(H(ID‖ID‖result‖vnum))としてバリュー購入部43を介してバリュー発行機関20へ送信する(ST6−2)。
【0131】
ここで、resultはバリューの検証結果であり、true又はfalseが返される。従って、resultがtrueの場合は格納通知であり、falseの場合は再送要求となる。
【0132】
バリュー発行機関20は、携帯端末40から格納通知を受け取ると、バリュー発行管理部23により、そのメッセージ部分(ID‖ID‖result‖vnum)のメッセージダイジェストを作成し、前述同様に、電子署名の検証Veri(SIG(H(ID‖ID‖result‖vnum))を行い、格納通知もしくは再送要求を検証する。
【0133】
検証結果が偽の場合には、バリュー発行管理部23は、エラーメッセージを携帯端末40に送信する。検証結果が正しければ、バリュー発行管理部23は、再送要求であれば生成したバリュー情報を検証した後、バリュー情報を再送し、格納通知であれば完了通知ackとして(ID‖Prepay‖ID‖ID‖true vnum)を携帯端末40に送信し(ST6−3)、バリュー発行が完了した事を携帯端末40に通知する。
【0134】
携帯端末40は、完了通知ackを受けると、バリュー購入部43が携帯端末制御部42に完了通知を送信すると共に、ログ管理部48に購入ログを送信する。ログ管理部48は、この購入ログをログファイル記憶部49に保存する。
【0135】
また、携帯端末制御部42は、受取った完了通知ackを携帯端末40の画面に表示する。これにより、バリュー新規購入処理が完了する。
【0136】
(バリュー再充填処理:図6)
接続要求から発行メニューの送信処理(ST5−1〜ST5−2)までは、前述した通りに実行される。
【0137】
次に、携帯端末40は、この発行メニューを携帯端末制御部42により画面に表示する。利用者Uは、発行メニューの表示画面を見て、バリューを新規に購入するか、再充填するかを決める。なお、新規購入の場合は図5で述べた。
【0138】
バリューを再充填する場合、携帯端末40においては、利用者の再充填の操作に応じて、携帯端末制御部42がベンダーID要求及びバリュー提示要求をバリュー残高管理部44に送信し、バリュー残高管理部44がメモリA 45a内の既存のバリューのベンダーID及び残高を含むデータ(IDVi‖Prepay‖balance‖vnum‖ID‖value)をバリュー発行機関20に送信する(ST5−3r)。
【0139】
ここで、jは携帯端末40が保有するバリューのベンダー30を表しているため、jは携帯端末40が保有するバリューの個数と一致する。また、valueは携帯端末40が保有するベンダーjのバリュー情報であり、IDVi‖Prepay‖Y‖vnum‖SIG(H(IDVi‖Prepay‖Y‖vnum))である。balanceはvalueの残高である。
【0140】
バリュー発行機関20は、バリュー購入受付部22が、受け取ったバリュー情報の検証を行い、保有しているバリュー情報のベンダーID及び残高から、利用者Uが再充填可能なベンダー30のリスト及び再充填金額を含む再充填メニューを作成する。しかる後、バリュー購入受付部22は、乱数RandCを生成し、この乱数RandC及び再充填メニューを携帯端末40に送信する(ST5−4r)。
【0141】
携帯端末40は、携帯端末制御部42により、再充填メニューを画面に表示する。利用者Uは、表示画面を見て、再充填するベンダー30及び再充填金額を選択して携帯端末40を操作する。
【0142】
携帯端末40は、この操作により、バリュー購入部43がこの選択内容をバリュー残高管理部44に送信する。
【0143】
バリュー残高管理部44は、この選択内容に基づき、選択されたベンダー30のバリュー残高を初期化後、初期化した旨を証明する残高初期化証明書を生成する。残高初期化証明書の生成は、ID‖ID‖rdate‖Prepay‖balance‖balanceold‖total‖RandC に対して、携帯端末40の電子署名を生成することにより行なう。すなわち、残高初期化証明書は、ID‖order‖ID‖rdate‖Rand‖SIG(H(ID‖order‖ID‖rdate‖RandC)))である。
【0144】
ここで、rdateは再充填する日付、balanceは初期化したバリューの残高で0、balanceoldは初期化する前の残高、totalは再充填する前のバリューを利用した累積利用金額である。
【0145】
生成された残高初期化証明書は、バリュー購入部43に送信される。
【0146】
また一方、バリュー購入部43は、選択したベンダー30のIDをIDとし、再充填金額をorderとして、乱数Randを生成し、ID‖order‖ID‖rdate‖Randに対して、携帯端末40の電子署名を生成することにより、バリュー再充填要求を生成する。すなわち、バリュー再充填要求は、ID‖order‖ID‖rdate‖Rand‖SIG(H(ID‖order‖ID‖rdate‖Rand))である。
【0147】
しかる後、バリュー購入部43は、残高初期化証明書及びバリュー再充填要求をバリュー発行機関20へ送信する(ST5−5r)。
【0148】
バリュー発行機関20は、残高初期化証明書を受け取ると、バリュー購入受付部22により、残高初期化証明書の検証Veri(SIG(H(ID‖ID‖rdate‖Prepay‖balance‖bakanceold‖total‖RandC))を行なう。
【0149】
ここで、検証結果が偽の場合には、バリュー購入受付部22は、エラーメッセージを携帯端末40に通知し、検証結果が正しい場合にはバリュー再充填要求の検証Veri(SIG(H(ID‖order‖ID‖rdate‖Rand))を行う。
【0150】
この検証結果が偽の場合には、バリュー購入受付部22は、エラーメッセージを携帯端末40に通知し、検証結果が真の場合にはバリュー発行要求をバリュー発行管理部23に送信する。
【0151】
バリュー発行管理部23は、バリュー発行要求を受けると、前述同様に、バリュー発行機関署名鍵を用いてバリュー情報(ID‖order‖Y‖vnum’‖SIG(H(ID‖order‖Y‖vnum’)))を生成し、このバリュー情報を携帯端末40に送信すると共に(ST6−1r)、発行したバリューの販売情報をログ管理部24を介して販売ログファイル記憶部25に保存する。但し、orderは再充填金額であり、vnum’は新しいバリューの通し番号である。
【0152】
以下、前述同様に、携帯端末40は、バリュー情報の正当性を検証し、検証結果が偽の場合には再送要求をバリュー発行機関20に送信し、検証結果が真の場合にはメモリA 45aにバリューを格納し、残高を購入金額分にする。
【0153】
そして、格納通知(ID‖ID‖result‖vnum’‖SIG(H(ID‖ID‖result‖vnum’)))を生成してバリュー発行機関20へ送信する(ST6−2r)。
【0154】
バリュー発行機関20は、格納通知又は再送要求を検証し、検証の結果が誤っていれば、エラーメッセージを携帯端末40に送信する。検証結果が正しければ、再送要求であれば生成したバリューの検証を行った後、バリューを再送し、格納通知であれば完了通知ackとして(ID‖order‖ID‖ID‖true‖vnum’)を携帯端末40へ送信し、バリュー発行が完了した事を携帯端末40に通知する(ST6−3r)。
【0155】
(改札処理:図7)
携帯端末40は、利用者Uに携帯され、利用者Uの歩行に応じて入札時の自動改札機70に接近する。このとき、携帯端末40は自己の無線通信機能を用い、自動改札機70との間でセッションを確立する。セッションが確立されると、携帯端末40は、改札処理部46により、乱数Randを生成し、この乱数Randを含む認証要求を自動改札機70に送信する(ST10−1)。
【0156】
自動改札機70は、この認証要求を受けると、残高確認部72が、乱数Randのメッセージダイジェスト(H(Rand))を生成し、その電子署名SIG(H(Rand))を生成する。
【0157】
その後、残高確認部72は、電子署名SIG(H(Rand))と、自動改札機70の公開鍵Y、公開鍵証明書Cert_Y、自動改札機70が取扱うベンダー30のベンダーID、及びバリュー提示要求を送信する(ST10−2)。
【0158】
携帯端末40は、これらを受けると、改札処理部46が、送信された自動改札機70の公開鍵証明書Yから、自動改札機公開鍵Yの検証を行う。検証結果が真の場合に、電子署名の検証Veri(SIG(H(Rand)))を行い、自動改札機70の正当性を確認する。
【0159】
検証結果が偽の場合には、エラーメッセージを携帯端末40の画面上に表示し、Bluetoothによる自動改札機70とのセッションを切断する。
【0160】
携帯端末40は、自動改札機70の正当性を確認した後、改札処理部46が、送信されたベンダーIDに対応するバリュー情報・残高をバリュー残高管理部44を介してメモリA 45aから読出し、これらバリュー情報、残高、携帯端末検証鍵Yを自動改札機70に送信する(ST10−3)。
【0161】
自動改札機70は、バリュー情報を予め保持したバリュー発行機関20の検証鍵Yを用いて検証し、検証の結果、バリュー情報の正当性を確認すると、駅情報(ID‖date‖Y‖Sig(H(ID‖date‖Y)))を生成して携帯端末40に送信する(ST10−4)。
【0162】
携帯端末40は、駅情報を受け取り、改札処理部46が駅情報をメモリB 45bに格納する。その後、改札処理部46は、格納通知を生成し自動改札機70に送信する(ST10−5)。
【0163】
自動改札機70は、改札部73が格納通知を受け取った後、ゲートを開放する。これにより、携帯端末40を保持した利用者Uは、自動改札機70を通って駅のホームに入ることができる。
【0164】
(出札処理:図8)
携帯端末40を保持した利用者Uが、電車に乗って目的地の駅に到着し、電車から駅のホームに降りたとする。
【0165】
携帯端末40は、利用者Uに携帯され、利用者Uの歩行に応じて出札時の自動改札機70に接近する。このとき、携帯端末40は、前述同様に無線通信機能を用いて自動改札機70とのセッションを確立し、出札処理部47が、生成した乱数Randを含む認証要求を自動改札機70に送信する(ST11−1)。
【0166】
自動改札機70は、この認証要求を受けると、前述した通り、残高確認部72が、乱数Randに基づいて、電子署名SIG(H(Rand))を生成する。
【0167】
その後、残高確認部72は、電子署名SIG(H(Rand))と、自動改札機70の公開鍵Y、公開鍵証明書Cert_Y、自動改札機70が取扱うベンダー30のベンダーID、及びバリュー提示要求を送信する(ST11−2)。
【0168】
携帯端末40は、これらを受けると、前述した改札処理部46と同様に、出札処理部47が自動改札機公開鍵Yの検証及び電子署名の検証を順次行い、検証結果が偽の場合には、エラーメッセージを表示し、セッションを切断する。
【0169】
携帯端末40は、自動改札機70の正当性を確認した後、出札処理部47が、送信されたベンダーIDに対応するバリュー情報・残高をバリュー残高管理部44を介してメモリA 45aから読出すと共に、駅情報をメモリB 45bから読出し、これらバリュー情報、残高、携帯端末検証鍵Y及び駅情報を自動改札機70に送信する(ST11−3)。すなわち、出札時は、入札時とは異なり、携帯端末40からの送信内容に駅情報が含まれる。
【0170】
自動改札機70では、これらを受けると、残高確認部72が予め格納された自動改札機公開鍵Yを用いて、駅情報の検証Veri(Sig(H(ID‖time‖Y)))を行なう。
【0171】
検証結果が真の場合、残高確認部72は、検証結果及び駅情報を出札部76に送信する。出札部76は、これらを受けると、駅情報IDに含まれる乗車駅情報より運賃を計算する。
【0172】
また、自動改札機70は、残高確認部72が、携帯端末40から送信されたバリュー情報について、予め保持しているバリュー発行機関20の検証鍵Yを用いて検証を行い、検証結果が真の場合には検証結果、バリュー情報及び残高を出札部76に送信する。
【0173】
出札部76は、これらを受けると、運賃と残高を比較し、運賃よりも残高が少ない場合には携帯端末40にエラーを送信し利用者Uに通知する。また、運賃よりも残高が多い場合には、運賃priceから支払要求billを生成して携帯端末40に送信する(ST11−4)。ここで、支払要求billは、ID‖priceである。
【0174】
携帯端末40は、支払要求billを受けると、出札処理部47が、該当するベンダー30のバリュー残高を、運賃の金額price分だけ減額する旨の減額要求をバリュー残高管理部44に送信する。バリュー残高管理部44は、この減額要求に従い、メモリA 45a内のバリュー残高を減額し、減額完了通知を出札処理部47に送信する。
【0175】
出札処理部47は、この減額完了通知を受けると、携帯端末40のバリュー残高が減額された事を証明する支払証明書(ID‖bdate‖prepay‖balance‖balanceold‖price‖Y‖SIG(H(Rand))‖SIG(H(ID‖bdate‖prepay‖balance‖bakanceold‖price‖Y SIG(H(Rand)))))を生成し、この支払証明書を自動改札機70に送信する(ST11−5)。
【0176】
自動改札機70は、支払証明書を受信すると、出札部76が支払証明書の検証Veri(SIG(H(ID‖bdate‖prepay‖balance‖balanceold‖price‖Y‖SIG(H(Rand)))))を行なう。
【0177】
検証結果が偽の場合、出札部76は、エラーメッセージを携帯端末40へ送信する。検証結果が真の場合、出札部76は、ゲートを開放し、受領通知(SIG(H(ID‖bdate‖prepay‖balance‖balanceold‖price‖Y‖SIG(H(Rand)))))を生成し、この受領通知を携帯端末40に送信する(ST11−6)。
【0178】
携帯端末40は、受けた受領通知について、出札処理部47が電子署名の検証Veri(SIG(H(ID‖bdate‖prepay‖balance‖balanceold‖price‖Y‖SIG(H(Rand)))))を行ない、処理を終了する。
【0179】
また、自動改札機70は、出札部76が支払証明書及びその受取り日時を含む出札情報を出札情報管理部77に送信し、出札情報管理部77が出札部76から受けた出札情報に基づいて、ベンダID別のベンダー30用販売ログと、全てのベンダIDに関するバリュー発行機関20用販売ログとを生成し、各販売ログを出札ログ記憶部78に保存する。
【0180】
上述したように本実施形態によれば、第1の実施形態の効果に加え、第1の実施形態の構成を具体化したので、より容易且つ確実に第1の実施形態の作用効果を得ることができる。
【0181】
(第3の実施形態)
次に、本発明の第3の実施形態に係る電子改札システムについて図9を参照して説明する。
本実施形態は、第1の実施形態の変形例であり、図9に示すように、携帯端末40に代えて、バリュー発行端末40t及び非接触ICカード40icを備えた電子改札システムとなっている。
【0182】
この電子改札システムは、証明書発行機関10、バリュー発行機関20、ベンダー30、バリュー発行端末40t、非接触ICカード40ic、ポータルサイト50、決済機関60及び自動改札機70icから構成されている。
【0183】
なお、証明書発行機関10、バリュー発行機関20、ベンダー30、ポータルサイト50及び決済機関60については、第1の実施形態の電子改札システムと同様なので説明を省略する。
【0184】
ここで、バリュー発行端末40tは、通常の端末機能を有し、インターネットなどのネットワークに接続可能であって、ICカードリーダ・ライタを使って非接触ICカード40icから各種データを読出/書込可能なものである。
【0185】
非接触ICカード40icは、バリュー発行端末40tを介して証明書発行機関10から受けたICカード署名鍵、ICカード検証鍵、ICカード公開鍵証明書、バリュー発行機関検証鍵、証明書発行機関検証鍵を予めメモリ(図示せず)に格納する機能をもっている。
【0186】
また、非接触ICカード40icは、利用者Uによるバリュー発行端末40tの操作により、バリュー発行端末40tを介してバリュー発行機関20からバリューを購入して保持する機能と、利用者Uによる自動改札機70tへの提示により、入札時に自動改札機70tを認証し、認証結果が真の場合、自動改札機70tから駅情報を受信する機能と、利用者Uによる自動改札機70tへの提示により、出札時に自動改札機70tを認証し、認証結果が真の場合、駅情報を自動改札機70tに送信する機能とをもっている。
【0187】
自動改札機70tは、前述した自動改札機70の機能において、携帯端末40との無線通信機能に代えて、非接触ICカード40icとの無線通信機能をもつものである。この無線通信機能は、例えばICカードリーダ・ライタにより実現可能となっている。
【0188】
次に、以上のように構成された電子改札システムの動作を図9に沿って説明する。
始めに、電子改札システムが実現されるまでの準備段階の処理、及び利用者Uが電子改札システムを利用可能になるまでのステップST1〜ST4までの処理は前述同様に実行される。なお、ステップST3の「携帯端末40の契約時」は「ICカード40icの契約時」と読み替える。
【0189】
続いて、バリュー発行端末40tは、利用者Uにより非接触ICカードが近づけられると、バリュー購入要求を送信するための画面を表示し、利用者Uの操作により、希望するベンダー30のバリューを購入する要求をバリュー発行機関20へ送信する。この要求は、前述同様に、例えばポータルサイト50を介してもよいが、簡略化のため、バリュー発行端末40tから直接、バリュー発行機関20に接続するものとする。
【0190】
携帯端末40では、バリュー発行機関20に接続した後、バリュー発行機関20から受信したバリュー購入や再充填といった操作のための初期メニューを表示する。
【0191】
バリュー発行端末40tは、利用者Uの操作により、初期メニューから希望するベンダー30のバリューを購入し、少額となったバリューを非接触ICカード40icに再充填する。このとき、バリュー発行端末40tは、利用者Uの操作により、非接触ICカード40ic内で生成されたバリュー発行要求をバリュー発行機関20へ送信する(ST5)。
【0192】
バリュー発行機関20では、バリュー発行要求の正当性を検証し、正当性が確認された場合にバリューを生成し、バリュー発行端末40に送信する(ST6a)。バリュー発行端末40は、このバリューを非接触ICカード40icに入力する(ST6b)。
【0193】
非接触ICカード40では、このバリューの正当性の検証を行い、検証結果が真の場合にはバリューをメモリに書込む。以下、ステップST7〜ST9の決済処理は前述同様に行なわれる。
【0194】
一方、利用者Uの非接触ICカード40icは、利用者Uが入札時の自動改札機70tに提示した際に、入札時の自動改札機70tとの間で無線通信を行う。これにより、前述同様に、ステップST10の入札処理が行なわれ、自動改札機70tのゲートが開放される。
【0195】
利用者Uは、ゲートを通過して乗車ホームに入り、適宜、電車に乗って目的地の駅に行く。
【0196】
目的地の駅では、利用者Uが改札を出る際に、非接触ICカード40icを出札時の自動改札機70tに提示すると、非接触ICカード40icと出札時の自動改札機70との間で無線通信が行なわれる。これにより、前述同様に、ステップST11〜ST12の出札処理が行なわれ、出札時の自動改札機70のゲートが開放される。
以下、前述同様に、ステップST13の売上情報の送付が行われる。
【0197】
上述したように本実施形態によれば、第1の実施形態の携帯端末40に代えてバリュー発行端末40t及び非接触ICカード40icを備えた電子改札システムに変形しても、第1の実施形態と同様の作用効果を得ることができる。
【0198】
(第4の実施形態)
次に、本発明の第4の実施携帯に係る電子改札システムについて図10及び図11を参照して説明する。
本実施形態は、第3の実施形態の具体例であり、図10及び図11に示すように、各装置40t,40icの構成を詳細に述べるものである。
【0199】
ここで、バリュー発行端末40tは、図10に示すように、第1及び第2通信インターフェース41ta,41tb及び携帯端末制御部42tを備えている。
【0200】
ここで、第1通信インターフェース41taは、前述した通り、ネットワークを介してバリュー発行機関20との通信を行なうためのものである。
【0201】
第2通信インターフェース41tbは、ICカードリーダライタであり、非接触ICカード40icに対して読出/書込を行うためのものである。
【0202】
携帯端末制御部42tは、バリュー発行端末40tのユーザインターフェースを制御する部分であり、バリュー発行機関20に対して前述した各機能f42−1,f42−2を有し、また、非接触ICカード40ic内の該当する機能ブロックに対して前述した各機能f42−3〜f42−6を持つものである。
【0203】
非接触ICカード40icは、図11に示すように、バリュー購入部43ic、バリュー残高管理部44ic、メモリA 45ica、メモリB 45icb、改札処理部46ic、出札処理部47ic、ログ管理部48ic、ログファイル記憶部49icを備えている。
【0204】
ここで、各機能部43ic〜49icは、非接触ICカード40ic内に設けられ、第2の実施形態の対応する各機能部43〜49の機能を有するものである。
【0205】
また、バリュー発行機関20は、前述した機能において、携帯端末公開鍵証明書Cert_Yに代えて、ICカード公開鍵証明書Cert_Yを用いるものである。
【0206】
すなわち、各データ等は、携帯端末40に代えて非接触ICカード40icにより処理されることから、携帯端末40に関する添字Tに代えて、非接触ICカード40icに関する添字Cにより表現される。例えば携帯端末検証鍵Yに代えてICカード検証鍵Yが用いられ、携帯端末40の識別情報IDに代えてICカード40icの識別情報IDが用いられる。同様に、携帯端末40の乱数Randに代えてICカード40icの乱数Randが用いられ、携帯端末40の電子署名SIG( )に代えてICカード40icの電子署名SIG( )が用いられる。また同様に、携帯端末40の検証Veri( )に代えてICカード40icの検証Veri( )が用いられる。
【0207】
また、自動改札機70tは、前述した機能において、通信インターフェースをbluetoothに代えて、ICカードリーダライタとしたものである。
【0208】
次に、以上のように構成された電子改札システムの動作を述べる。なお、ここでは第2の実施形態と同様に、バリュー新規購入処理、バリュー再充填処理、改札処理、出札処理を順に詳しく述べる。
(バリュー新規購入処理:図12)
バリュー発行端末40tは、利用者Uにより非接触ICカードが近づけられると、通信要求を送信するための画面を表示し、利用者Uの操作により、通信要求を非接触ICカード40icに入力する(ST5−0)。
【0209】
非接触ICカード40icは、この通信要求に基づいて、ICカード公開鍵証明書Cert_Yを含む接続要求(IDe ‖ID‖kdate‖Y‖Cert_Y)を生成し、この接続要求をバリュー発行端末40tを介してバリュー発行機関20へ送信する(ST5−1)。
【0210】
バリュー発行機関20は、前述同様に、ICカード公開鍵Yを検証し、発行メニューをバリュー発行端末40tに送信する(ST5−2)。
【0211】
バリュー発行端末40tは、この発行メニューを携帯端末制御部42tにより画面に表示する。利用者Uは、発行メニューの表示画面を見て、バリューを新規に購入するか、再充填するかを決める。なお、再充填の場合は図13で後述する。
【0212】
バリューを新規に購入する場合、バリュー発行端末40tにおいては、利用者Uの新規購入の操作に応じて、携帯端末制御部42tがベンダーID要求をICカード40icに入力する(ST5−2’)。
【0213】
ICカード40icは、このベンダID要求に応じてバリュー残高管理部44icがメモリA 45ica内の既存のバリューのベンダーIDをバリュー発行機関20に送信する(ST5−3)。
【0214】
バリュー発行機関20では、このベンダーIDに基づいて、前述同様に、新規発行メニューをバリュー発行端末40tに送信する(ST5−4)。
【0215】
バリュー発行端末40tは、携帯端末制御部42tにより、新規発行メニューを画面に表示する。利用者Uは、表示画面を見て、購入するベンダー30及び購入金額を選択してバリュー発行端末40tを操作する。
【0216】
バリュー発行端末40tは、この操作により、選択したベンダのID及び購入金額Prepayを含む新規発行要求(ID‖Prepay)を非接触ICカード40icに入力する(ST5−4’)。
【0217】
非接触ICカード40icは、バリュー購入部43icが乱数Randを生成し、これらに基づいて新規発行要求メッセージ(ID‖Prepay‖ID‖date‖Rand)を生成する。
【0218】
そして、バリュー購入部43icは、新規発行要求メッセージに電子署名を施して、得られたバリュー新規発行要求(ID‖Prepay‖ID‖date‖Rand‖SIG(H(ID‖Prepay‖ID‖date‖Rand)))をバリュー発行端末40tを介してバリュー発行機関20に送信する(ST5−5)。
【0219】
バリュー発行機関20は、バリュー新規発行要求を受けると、前述同様に、バリュー新規発行要求の電子署名部分SIG(H(ID‖Prepay‖ID‖date‖Rand))を検証し、バリュー情報(ID‖Prepay‖Y‖vnum‖SIG(H(ID‖Prepay‖Y‖vnum)))を生成し、このバリュー情報をバリュー発行端末40tを介して非接触ICカード40icに送信すると共に(ST6−1)、発行したバリューに関する情報である販売情報を保存する。
【0220】
一方、非接触ICカード40icは、バリュー情報を受け取ると、バリュー購入部43icが、前述同様に、電子署名の検証Veri(SIG(H(ID‖Prepay‖Y‖vnum))の計算により、バリュー情報の正当性を検証してバリュー残高管理部44icに渡す。
【0221】
バリュー残高管理部44icは、バリュー情報を受け取り、メモリA 45icaにバリュー情報及び残高(購入金額分)を書込む。
【0222】
そして、バリュー残高管理部44icは、バリュー情報のメッセージ部分(ID‖ID‖result‖vnum)に対して電子署名(SIG(H(ID‖ID‖result‖vnum))を生成し、これらを格納通知(ID‖ID‖result‖vnum‖SIG(H(ID‖ID‖result‖vnum))としてバリュー購入部43ic及びバリュー発行端末40tを介してバリュー発行機関20へ送信する(ST6−2)。
【0223】
バリュー発行機関20は、この格納通知を受け取ると、前述同様に、そのメッセージ部分(ID‖ID‖result‖vnum)のメッセージダイジェストを作成し、電子署名の検証Veri(SIG(H(ID‖ID‖result‖vnum))を行い、格納通知もしくは再送要求を検証する。
【0224】
また、バリュー発行機関20は、前述同様に、検証結果が真の場合に格納通知に対応する完了通知ackとして(ID‖Prepay‖ID‖ID‖true vnum)をバリュー発行端末40tを介して非接触ICカード40icに送信し(ST6−3)、バリュー発行が完了した事を非接触ICカード40icに通知する。
【0225】
非接触ICカード40icは、完了通知ackを受けると、バリュー購入部43icがバリュー発行端末40tの携帯端末制御部42tに完了通知を送信すると共に、ログ管理部48icを介して購入ログをログファイル記憶部49に保存する。
【0226】
また、バリュー発行端末40tは、携帯端末制御部42tが、受取った完了通知ackを画面に表示する。これにより、バリュー新規購入処理が完了する。
【0227】
(バリュー再充填処理:図13)
接続要求から発行メニューの送信処理(ST5−1〜ST5−2)までは、前述した通りに実行される。
【0228】
次に、バリュー発行端末40tは、この発行メニューを携帯端末制御部42tにより画面に表示する。利用者Uは、発行メニューの表示画面を見て、バリューを新規に購入するか、再充填するかを決める。なお、新規購入の場合は図12で述べた。
【0229】
バリューを再充填する場合、バリュー発行端末40tにおいては、利用者の再充填の操作に応じて、携帯端末制御部42tがベンダーID要求及びバリュー提示要求を非接触ICカード40icに入力する。
【0230】
非接触ICカード40icでは、バリュー残高管理部44icがメモリA 45ica内の既存のバリューのベンダーID及び残高を含むデータ(IDVi‖Prepay‖balance‖vnum‖ID‖value)をバリュー発行端末40tを介してバリュー発行機関20に送信する(ST5−3r)。
【0231】
ここで、jは非接触ICカード40icが保有するバリューのベンダー30を表しているため、jは非接触ICカード40icが保有するバリューの個数と一致する。また、valueは非接触ICカード40icが保有するベンダーjのバリュー情報であり、IDVi‖Prepay‖Y‖vnum‖SIG(H(IDVi‖Prepay‖Y‖vnum))である。
【0232】
バリュー発行機関20は、前述同様に、受け取ったバリュー情報の検証を行い、再充填メニューを作成する。しかる後、バリュー発行機関20は、乱数RandCを生成し、この乱数RandC及び再充填メニューをバリュー発行端末40tに送信する(ST5−4r)。
【0233】
バリュー発行端末40tは、携帯端末制御部42tにより、再充填メニューを画面に表示する。利用者Uは、表示画面を見て、再充填するベンダー30及び再充填金額を選択してバリュー発行端末40tを操作する。
【0234】
バリュー発行端末40tは、この操作により、バリュー購入部43tがこの選択内容及び乱数を含む再充填要求(ID‖Prepay‖RandC)を非接触ICカード40icに送信する(ST5−4r’)。
【0235】
非接触ICカード40icは、バリュー残高管理部44icがこの選択内容に基づき、選択されたベンダー30のバリュー残高を初期化後、初期化した旨を証明する残高初期化証明書(ID‖order‖ID‖rdate‖RandC‖SIG(H(ID‖order‖ID‖rdate‖RandC))))を生成してバリュー購入部43icに送信する。
【0236】
また、バリュー購入部43icは、前述同様に、バリュー再充填要求(ID‖order‖ID‖rdate‖Rand‖SIG(H(ID‖order‖ID‖rdate‖Rand)))を生成する。
【0237】
しかる後、バリュー購入部43icは、残高初期化証明書及びバリュー再充填要求をバリュー発行端末40tを介してバリュー発行機関20へ送信する(ST5−5r)。
【0238】
バリュー発行機関20は、残高初期化証明書を受け取ると、前述同様に、残高初期化証明書の検証Veri(SIG(H(ID‖ID‖rdate‖Prepay‖balance‖bakanceold‖total‖RandC))を行ない、バリュー再充填要求の検証Veri(SIG(H(ID‖order‖ID‖rdate‖Rand))を行なう。
【0239】
前述同様に、検証結果が真の場合にはバリュー情報(ID‖order‖Y‖vnum’‖SIG(H(ID‖order‖Y‖vnum’)))を生成し、このバリュー情報をバリュー発行端末40tを介して非接触ICカード40icに送信すると共に(ST6−1r)、発行したバリューの販売情報を保存する。
【0240】
以下、前述同様に、非接触ICカード40icは、バリュー情報の正当性を検証し、検証結果が偽の場合には再送要求をバリュー発行機関20に送信し、検証結果が真の場合にはメモリA 45icaにバリューを格納し、残高を購入金額分にする。
【0241】
そして、格納通知(ID‖ID‖result‖vnum’‖SIG(H(ID‖ID‖result‖vnum’)))を生成してバリュー発行機関20へ送信する(ST6−2r)。
【0242】
バリュー発行機関20は、格納通知又は再送要求を検証し、検証の結果が誤っていれば、エラーメッセージをバリュー発行端末40tに送信する。検証結果が正しければ、再送要求であれば生成したバリューの検証を行った後、バリューを再送し、格納通知であれば完了通知ackとして(ID‖order‖ID‖ID‖true‖vnum’)をバリュー発行端末40tを介して非接触ICカード40icへ送信し(ST6−3r)、バリュー発行が完了した事をバリュー発行端末40tを介して利用者に通知する。
【0243】
(改札処理:図14)
入札時の改札処理は、携帯端末40に代えて非接触ICカード40icを用い、Bluetoothに代えてICカードリーダ・ライタを用いた以外は、第2の実施形態と同様である。
【0244】
(出札処理:図15)
出札時の出札処理は、携帯端末40に代えて非接触ICカード40icを用い、Bluetoothに代えてICカードリーダ・ライタを用いた以外は、第2の実施形態と同様である。
【0245】
上述したように本実施形態によれば、第3の実施形態の効果に加え、第3の実施形態の構成を具体化したので、より容易且つ確実に第3の実施形態の作用効果を得ることができる。
【0246】
なお、本実施形態では、駅などに設置されたバリュー発行端末40tを用いて非接触ICカード40tにバリューを充填する場合を想定しているが、これに限らず、携帯可能なバリュー発行端末40tを携帯可能なものとし、この携帯可能なバリュー発行端末40tから非接触ICカード40icにバリューを充填する方式としてもよい。
【0247】
また、第1の実施形態では、携帯端末用の携帯端末制御部42と、電子改札用の各機能部41a,41b,43〜49とが一体不可分の携帯端末40を用いた場合を説明したが、これに限らず、図16に示すように、電子改札用の各部41a,41b,43〜49を独立のバリュー管理装置40vとし、このバリュー管理装置40vを携帯端末40に着脱自在に備えた構成としても、第1の実施形態を同様に実施して同様の効果を得ることができる。
【0248】
さらに、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0249】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0250】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0251】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0252】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0253】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0254】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0255】
なお、本願発明は、上記各実施形態に限定されるものでなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組み合わせて実施してもよく、その場合、組み合わされた効果が得られる。さらに、上記各実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜な組み合わせにより種々の発明が抽出され得る。例えば実施形態に示される全構成要件から幾つかの構成要件が省略されることで発明が抽出された場合には、その抽出された発明を実施する場合には省略部分が周知慣用技術で適宜補われるものである。
【0256】
その他、本発明はその要旨を逸脱しない範囲で種々変形して実施できる。
【0257】
【発明の効果】
以上説明したように本発明によれば、切符の契約性及び証拠性を向上できる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る電子改札システムの全体構成を表す模式図
【図2】本発明の第2の実施形態に係るバリュー発行機関及びその周辺の構成例を示すブロック図。
【図3】同実施形態における携帯端末及びその周辺の構成例を示すブロック図。
【図4】同実施形態における自動改札機及びその周辺の構成例を示すブロック図。
【図5】同実施形態におけるバリュー新規購入の処理手順を示すシーケンス図。
【図6】同実施形態におけるバリュー再充填の処理手順を示すシーケンス図。
【図7】同実施形態における改札の処理手順を示すシーケンス図。
【図8】同実施形態における出札の処理手順を示すシーケンス図。
【図9】本発明の第3の実施形態に係る電子改札システムの全体構成を表す模式図。
【図10】本発明の第4の実施形態に係るバリュー発行機関及びその周辺の構成例を示すブロック図。
【図11】同実施形態におけるICカード及びその周辺の構成例を示すブロック図。
【図12】同実施形態におけるバリュー新規購入の処理手順を示すシーケンス図。
【図13】同実施形態におけるバリュー再充填の処理手順を示すシーケンス図。
【図14】同実施形態における改札の処理手順を示すシーケンス図。
【図15】同実施形態における出札の処理手順を示すシーケンス図。
【図16】本発明の第1の実施形態に係る携帯端末の変形例を説明するための模式図
【符号の説明】
10…証明書発行機関
20…バリュー発行機関
21,41a,41b,41ta,41tb,71…通信インターフェース
22…バリュー購入受付部
23…バリュー発行管理部
24…ログ管理部
25…ログファイル記憶部
30…ベンダー
40…携帯端末
40t…バリュー発行端末
40ic…ICカード
42,42t…携帯端末制御部
43,43ic…バリュー購入部
44,44ic…バリュー残高管理部
45a,45b,45ica,45icb…メモリ
46,46ic…改札処理部
47,47ic…出札処理部
48,48ic…ログ管理部
49,49ic…ログファイル記憶部
50…ポータルサイト
60…決済機関
70,70t…自動改札機
72…残高確認部
73…改札部
74…改札情報管理部
75…改札ログ記憶部
76…出札部
77…出札情報管理部
78…出札ログ記憶部
U…利用者

Claims (8)

  1. 電子化されたバリュー情報及び駅情報に基づいて、入札時又は出札時に、改札口の通過ゲートを開放するための電子改札システムであって、
    「証明書発行機関の秘密鍵・公開鍵・公開鍵証明書」、「利用者の秘密鍵・公開鍵・公開鍵証明書」、「バリュー発行機関の秘密鍵・公開鍵・公開鍵証明書」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を発行する証明書発行機関装置と、
    前記証明書発行機関装置により発行された「利用者の秘密鍵・公開鍵・公開鍵証明書」、「証明書発行機関の公開鍵」及び「バリュー発行機関の公開鍵」を保持し、自装置の検証時には利用者の公開鍵証明書を送信し、前記バリュー情報の購入時には受信したバリュー情報を保持し、前記入札時及び出札時には、受信した「自動改札機の公開鍵・公開鍵証明書」により自動改札機を検証し、検証結果が真の場合、入札時にはバリュー情報の読出と駅情報の書込とが無線通信により行われ、出札時にはバリュー情報及び駅情報の読出が行われる携帯装置と、
    前記証明書発行機関装置により発行された「証明書発行機関の公開鍵」及び「バリュー発行機関の秘密鍵・公開鍵」を保持し、前記携帯装置からの要求に応じて、前記携帯装置から送信された「利用者の公開鍵証明書」を前記証明書発行機関の公開鍵に基づいて検証し、検証結果が真の場合、前記バリュー発行機関の秘密鍵により生成したバリュー情報を前記携帯装置に送信するバリュー発行機関装置と、
    前記証明書発行機関装置により発行された「バリュー発行機関の公開鍵」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を保持し、前記携帯装置の入札時には、前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信し、この携帯装置から無線通信により読出したバリュー情報を前記バリュー発行機関の公開鍵に基づいて検証し、検証結果が真の場合、前記自動改札機の秘密鍵により生成した駅情報を無線通信により当該携帯装置に書込んで通過ゲートを開放する第1の自動改札機と、
    前記証明書発行機関装置により発行された「バリュー発行機関の公開鍵」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を保持し、前記携帯装置の出札時には、前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信し、この携帯装置から無線通信により読出した駅情報を前記自動改札機の公開鍵に基づいて検証し、検証結果が真の場合、この駅情報から運賃を計算し、前記バリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、前記運賃の支払要求を前記携帯装置に送信し、前記携帯装置から支払証明書を受けると、通過ゲートを開放する第2の自動改札機と、
    を備えたことを特徴とする電子改札システム。
  2. 請求項1に記載の電子改札システムにおいて、
    前記バリュー発行機関装置は、
    前記利用者の公開鍵証明書の検証結果が真の場合、少なくとも「金額」、「通し番号」及び「携帯装置の公開鍵」を含むメッセージ部分と、このメッセージ部分を圧縮したメッセージダイジェストに対して前記バリュー発行機関の秘密鍵により電子署名を生成し、前記メッセージ部分と前記電子署名とを連結して前記バリュー情報を生成するバリュー情報生成手段、
    を備えたことを特徴とする電子改札システム。
  3. 請求項1又は請求項2に記載の電子改札システムにおいて、
    前記第1の自動改札機は、
    前記バリュー情報の検証結果が真の場合、少なくとも「自動改札機のID情報」、「入札時刻」及び「携帯装置の公開鍵」を含むメッセージ部分と、このメッセージ部分を圧縮したメッセージダイジェストに対して前記自動改札機の秘密鍵により電子署名を生成し、前記メッセージ部分と前記電子署名とを連結して前記駅情報を生成する駅情報生成手段、
    を備えたことを特徴とする電子改札システム。
  4. 公開鍵暗号方式を用いて電子化されたバリュー情報を管理し、入札時又は出札時に、改札口の通過ゲートを開放させるためのバリュー管理装置であって、
    予めバリュー発行機関の公開鍵及び自動改札機の公開鍵が記憶される鍵記憶手段と、
    入力された購入要求に基づいて、バリュー発行要求を送信し、受信したバリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、当該バリュー情報を購入するバリュー購入手段と、
    前記購入したバリュー情報及びバリュー残高を管理するバリュー残高管理手段と、
    入札時に、前記管理中のバリュー情報を送信し、受信した駅情報を前記自動改札機の公開鍵により検証し、検証結果が真の場合、当該駅情報をメモリに格納し、格納通知を送信することにより、通過ゲートを開放させるための入札処理手段と、
    出札時に、前記管理中のバリュー情報及び駅情報を送信し、受信した支払要求を前記自動改札機の公開鍵により検証し、検証結果が真の場合、当該支払要求に従って前記バリュー残高管理手段にバリュー情報の残高を減額させ、この減額に対応した支払証明書を送信することにより、通過ゲートを開放させるための出札処理手段と、
    を備えたことを特徴とするバリュー管理装置。
  5. 請求項4に記載のバリュー管理装置を着脱自在に保持する携帯装置であって、
    前記バリュー管理装置を着脱自在に保持するための着脱手段と、
    前記着脱手段に装着されたバリュー管理装置に対し、前記購入要求を入力するための入力手段と、
    前記バリュー管理装置から送信されたバリュー購入に関する情報を表示するための表示手段と、
    を備えたことを特徴とする携帯装置。
  6. 公開鍵暗号方式を用いて電子化されたバリュー情報を管理し、入札時又は出札時に改札口を通過するためのICカードであって、
    予めバリュー発行機関の公開鍵及び自動改札機の公開鍵が記憶される鍵記憶手段と、
    入力された購入要求に基づいて、バリュー発行要求を出力し、入力されたバリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、当該バリュー情報を購入するバリュー購入手段と、
    前記購入したバリュー情報及びバリュー残高を管理するバリュー残高管理手段と、
    入札時に、前記管理中のバリュー情報を送信し、受信した駅情報を前記自動改札機の公開鍵により検証し、検証結果が真の場合、当該駅情報をメモリに格納し、格納通知を送信することにより、通過ゲートを開放させるための入札処理手段と、
    出札時に、前記管理中のバリュー情報及び駅情報を送信し、受信した支払要求を前記自動改札機の公開鍵により検証し、検証結果が真の場合、当該支払要求に従って前記バリュー残高管理手段にバリュー情報の残高を減少させ、この減額に対応した支払証明書を送信することにより、通過ゲートを開放させるための出札処理手段と、
    を備えたことを特徴とするICカード。
  7. 予めバリュー発行機関の公開鍵及び自動改札機の公開鍵が記憶されるメモリを有し、公開鍵暗号方式を用いて電子化されたバリュー情報を管理し、入札時又は出札時に、改札口の通過ゲートを開放させるためのバリュー管理装置に用いられるプログラムであって、
    前記バリュー管理装置のコンピュータを、
    入力された購入要求に基づいて、バリュー発行要求を送信し、受信したバリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、当該バリュー情報を購入する手段、
    前記購入したバリュー情報及びバリュー残高を管理する手段、
    入札時に、前記管理中のバリュー情報を送信し、受信した駅情報を前記メモリ内の自動改札機の公開鍵により検証し、検証結果が真の場合、当該駅情報をメモリに格納し、格納通知を送信することにより、通過ゲートを開放させるための手段、
    出札時に、前記管理中のバリュー情報及び駅情報を送信し、受信した支払要求を前記メモリ内の自動改札機の公開鍵により検証し、検証結果が真の場合、当該支払要求に従って前記バリュー残高管理手段にバリュー情報の残高を減額させ、この減額に対応した支払証明書を送信することにより、通過ゲートを開放させるための手段、
    として機能させるためのプログラム。
  8. 公開鍵暗号方式を用いて電子化されたバリュー情報及び駅情報に基づいて、前記バリュー情報を保持する携帯装置に対し、入札時又は出札時に改札口の各自動改札機を通過させるための電子改札システムであって、
    前記各自動改札機の各工程としては、
    予め「バリュー発行機関の公開鍵」及び「自動改札機の秘密鍵・公開鍵・公開鍵証明書」を保持する工程と、
    携帯装置の入札時には、
    前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信する工程と、
    この携帯装置から無線通信により読出したバリュー情報を前記バリュー発行機関の公開鍵に基づいて検証し、検証結果が真の場合、前記自動改札機の秘密鍵により生成した駅情報を無線通信により当該携帯装置に書込んで通過ゲートを開放する工程と、
    前記携帯装置の出札時には、
    前記自動改札機の公開鍵・公開鍵証明書を携帯装置に送信する工程と、
    この携帯装置から無線通信により読出した駅情報を前記自動改札機の公開鍵に基づいて検証し、検証結果が真の場合、この駅情報から運賃を計算する工程と、
    この携帯装置から無線通信により読出したバリュー情報を前記バリュー発行機関の公開鍵により検証し、検証結果が真の場合、前記運賃の支払要求を前記携帯装置に送信する工程と、
    前記携帯装置から支払証明書を受けると、通過ゲートを開放する工程と、
    を含んでいることを特徴とする電子改札方法。
JP2002266640A 2002-09-12 2002-09-12 電子改札システム、プログラム及び方法 Pending JP2004102880A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002266640A JP2004102880A (ja) 2002-09-12 2002-09-12 電子改札システム、プログラム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002266640A JP2004102880A (ja) 2002-09-12 2002-09-12 電子改札システム、プログラム及び方法

Publications (1)

Publication Number Publication Date
JP2004102880A true JP2004102880A (ja) 2004-04-02

Family

ID=32265395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002266640A Pending JP2004102880A (ja) 2002-09-12 2002-09-12 電子改札システム、プログラム及び方法

Country Status (1)

Country Link
JP (1) JP2004102880A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016187146A (ja) * 2015-03-27 2016-10-27 株式会社東芝 発券機、電子署名生成器、料金計算機及び判定器
JP2017092677A (ja) * 2015-11-09 2017-05-25 株式会社東芝 通行券判定システム、発券機、電子署名生成器、料金計算機、判定器及び通行券判定方法
JP2022164573A (ja) * 2021-04-16 2022-10-27 株式会社日立製作所 マルチモードトランスポートを管理するための方法、サーバ、およびシステム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016187146A (ja) * 2015-03-27 2016-10-27 株式会社東芝 発券機、電子署名生成器、料金計算機及び判定器
JP2017092677A (ja) * 2015-11-09 2017-05-25 株式会社東芝 通行券判定システム、発券機、電子署名生成器、料金計算機、判定器及び通行券判定方法
JP2022164573A (ja) * 2021-04-16 2022-10-27 株式会社日立製作所 マルチモードトランスポートを管理するための方法、サーバ、およびシステム
JP7361148B2 (ja) 2021-04-16 2023-10-13 株式会社日立製作所 マルチモードトランスポートを管理するための方法、サーバ、およびシステム

Similar Documents

Publication Publication Date Title
JP6426537B2 (ja) 電子決済システム、および電子決済管理装置
US7287690B2 (en) Value holding system, value holding method, value holding program, and transaction system
US8196818B2 (en) Apparatus and method for integrated payment and electronic merchandise transfer
KR100719902B1 (ko) 휴대전화를 이용한 모바일 통합 결제 시스템 및 방법
US20050250538A1 (en) Method and system for making card-based payments using mobile devices
CA3023328A1 (en) Electronic check-based payment system and methods for issuing, transferring, paying and verifying electronic checks
CN202771476U (zh) 一种安全认证系统
CN103117856A (zh) 在移动装置中配置应用的方法和装置
JP2008027425A (ja) 電子決済システム、電子決済サーバ、有価価値提供装置、移動体通信端末、並びに電子決済方法
KR100829353B1 (ko) 이동 통신망을 통한 전자화폐의 지불결제 방법과 그 시스템
KR20060098023A (ko) 휴대전화를 이용한 모바일 통합 결제 시스템 및 방법
TW201317911A (zh) 雲端信用卡交易系統及其交易方法
KR20030068603A (ko) 휴대폰을 이용한 대금 결재 시스템 및 그 방법
JP2004102880A (ja) 電子改札システム、プログラム及び方法
JP4750932B2 (ja) 商品購入システム、装置、方法及び記憶媒体
JP2002170063A (ja) 電子価値取引システムおよび方法、電子価値取引端末装置、電子価値取引センタ装置
JP2002324202A (ja) 電子決済システム,決済管理装置,店舗装置,クライアント装置,データ記憶装置,コンピュータプログラム,記憶媒体および電子決済方法
KR101505847B1 (ko) 결제 처리를 위한 제휴사 앱 인증 방법
CN113011870A (zh) 通过etc天线进行用户卡圈存的方法及装置
JPH10334164A (ja) 電子小切手方法、その装置およびその実行プログラム記録媒体
KR100929369B1 (ko) 아이씨 카드 기반 모바일 전자화폐 결제 시스템 및 결제방법
KR20090085857A (ko) 이동 단말기에서 결제 모듈을 사용한 구매 시스템 및 구매방법
KR101006876B1 (ko) 홈쇼핑 결제방법 및 시스템
KR100822957B1 (ko) 금융거래 처리용 프로그램을 기록한 것을 특징으로 하는기록매체와, 이를 이용한 금융거래 처리방법 및 시스템
KR20100126065A (ko) 결제 처리 방법 및 시스템과 이를 위한 기록매체