JP2006119771A - 匿名注文システム、装置及びプログラム - Google Patents

匿名注文システム、装置及びプログラム Download PDF

Info

Publication number
JP2006119771A
JP2006119771A JP2004304948A JP2004304948A JP2006119771A JP 2006119771 A JP2006119771 A JP 2006119771A JP 2004304948 A JP2004304948 A JP 2004304948A JP 2004304948 A JP2004304948 A JP 2004304948A JP 2006119771 A JP2006119771 A JP 2006119771A
Authority
JP
Japan
Prior art keywords
order
information
purchaser
group signature
anonymous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004304948A
Other languages
English (en)
Other versions
JP4768979B2 (ja
Inventor
Takuya Yoshida
琢也 吉田
Koji Okada
光司 岡田
Takehisa Kato
岳久 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2004304948A priority Critical patent/JP4768979B2/ja
Priority to US11/251,859 priority patent/US20070255661A1/en
Priority to CN200510114122.4A priority patent/CN1773546A/zh
Publication of JP2006119771A publication Critical patent/JP2006119771A/ja
Application granted granted Critical
Publication of JP4768979B2 publication Critical patent/JP4768979B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

【課題】 サービス提供者が個人情報を管理する必要が無く、利用者の匿名性を実現し且つ注文内容に関するプライバシを保護する。
【解決手段】 販売店装置20は、購入者装置30から注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報と当該注文IDに対応する商品とを商品名を秘匿した状態で管理者装置10を介して購入者に販売する。従って、サービス提供者としての販売店装置20が個人情報を管理する必要が無く、利用者の匿名性を実現できる。また、管理者装置10が商品名の秘匿された商品を扱うので、注文内容に関するプライバシを管理者装置10から保護できる。
【選択図】 図1

Description

本発明は、グループ署名方式を用いた匿名注文システム、装置及びプログラムに係り、特に、サービス提供者が個人情報を管理する必要が無く、利用者が匿名性を有して注文内容に関するプライバシを保護し得る匿名注文システム、装置及びプログラムに関する。
グループ署名は、1991年チャウム(Chaum)ら(非特許文献1参照)により提案された以下の性質(1)〜(4)を満たす電子署名方式であり、匿名性を持った電子署名と言える。
(1)グループに所属するメンバのみが、メンバ署名鍵を用いてグループを代表する署名(グループ署名)を生成できる。
(2)グループ公開鍵により、グループ署名の正当性(グループメンバが生成した署名であること)を検証できる。
(3)グループ署名から署名を生成したグループメンバを特定することはできない(Anonymity;匿名性)。
(4)グループ秘密鍵により、グループ署名から署名を生成したグループメンバを特定(トレース)できる(Traceability;追跡能力)。
しかしながら、チャウムらにより提案されたグループ署名方式は、署名サイズ・鍵サイズがグループメンバ数に依存する等により、効率が非実用的である。また、安全性が不十分である。その後、グループ署名方式が満たすべき安全性としては、以下の要件が提案されている。
2つのグループ署名が、同一のグループメンバが署名したものかどうか判別できない(Unlinkability;非結合性)。
グループメンバが結託しても、メンバをトレース不可能なグループ署名を生成することができない(Coalition-Resistance;耐結託性)。
グループ秘密鍵を知っていても、グループメンバになりすましてグループ署名を生成することができない(Exculpability;弁解能力)。
以降、多くのグループ署名方式が提案されてきたが、その中でも2000年アテニース(Ateniese)ら(非特許文献2参照)により提案されたグループ署名方式は、署名サイズ・鍵サイズがグループメンバ数に依存せず、さらに強RSA仮定および決定性ディフィーへルマン(Decisional Diffie-Hellman)問題の困難性仮定の下で上記の安全性要件を全て満たすことが証明された方式であり、効率・安全性の両面で実用に耐えうる唯一の方式であると考えられる。なお、強RSA仮定とは、n=pq、p=2p’+1、q=2q’+1、(p,q,p’,q’:素数)を満たすn、平方剰余群QR(n)(位数p’q’)の任意の元u∈QR(n)が与えられたとき、z≡u (mod n)を満たすe>1を見つけることが困難という仮定である。決定性ディフィーヘルマン問題とは、巡回群G=〈g〉(ここでは上記nの平方剰余群QR(n))について、g,g,g,g∈Gが与えられたとき,gxyと、gとが等しいかどうかを決める問題である。
ここで、非特許文献1,2等に記載されたグループ署名方式に類似するグループ署名方式を標準的な例として述べる(非特許文献3参照)。ここで、次の表1は、この標準的なグループ署名方式の記号とその説明を示している。
Figure 2006119771
(初期設定)
グループ管理者GM及び追跡機関EMは、それぞれ公開鍵、秘密鍵のペア(PG,SG),(PE,SE)を作成する。また、グループ公開鍵(PG,PE)及び生成元g等が公開される。
メンバAとなるユーザは、例えば生成元gに基づき、以下の関係をもつ公開鍵と秘密鍵のペア(PA,SA)を生成する。
PA=gSA
次に、ユーザは秘密鍵SAにより公開鍵PAに署名処理を施し、デジタル署名SigSA(PA)を得る。ユーザは、鍵ペア(PA,SA)が正しく生成された旨(述語)の次のような知識署名SPK(Signature based on a Proof of Knowledge)を生成する。但し、初期設定なので、ここではメッセージmは存在しない。
SPK{(α)|PA=gα}(m)=SPK{(SA)|PA=gSA}(m)
この知識署名SPKは、e=H(g‖PA‖gPA‖m)を満たす(e,v)∈{0,1}×[−2|L|+k,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k)に基づいて、u=gを計算し、e=H(g‖PA‖u‖m)とし、v=r−eSAを整数上で求める。
しかる後、ユーザは、公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)をグループ管理者GMに送信する。
グループ管理者GMは、これらを受けると、公開鍵PAによりデジタル署名SigSA(PA)を検証し、公開鍵PA及び生成元gにより知識署名(e,v)を検証する。なお、知識署名の検証は、e=H(g‖PA‖gPA‖m)に基づいて行う。
両者の検証により正当性を確認すると、グループ管理者GMは、自己の秘密鍵SGにより、次のようにユーザの公開鍵PAに署名処理を施し、得られたメンバ証明書σAをユーザに返信する。これにより、ユーザはメンバAとなる。
σA=SigSG(PA)
また、グループ管理者GMは、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)を秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PA,SigSA(PA))をメンバリストに追加する。
(グループ署名生成)
署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、x=SAである。
SPKσ,x=SPK{(α,β)|VerifyPG(f(α),β)=1}(m)
=SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PA‖gr^PG‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKを生成する。
SPK=SPK{(α,β)|VerifyPE(f(α),β)=1}(m)
=SPK{(x,c)|VerifyPE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PA‖gr^PE‖m)、v2=r−e2(x+c)
しかる後、メンバAは、メッセージmと共に、各データ(SPKσ,x、c、SPK)を署名として検証者に送信する。なお、cは、証明書σAを暗号化した値c=EPE(σA)としてもよい。
(グループ署名検証)
検証者は、メッセージmと共に、各データ(SPKσ,x、c、SPK)を署名として受けると、グループ公開鍵PG,PEに基づいて、知識署名SPKσ,x=(e1,v1)及びSPK=(e2,v2)を検証する。
e1=H(g‖PA‖gv1^PGPAe1^PG‖m)
e2=H(g‖PA‖gv2^PEPAe2^PE‖m)
検証者は、メンバAの生成した署名が正当なとき、メッセージmに基づく処理を実行する。一方、検証者は、メンバAの生成した署名に不正があったとき、暗号化された値cを追跡機関EMに送信する。
(追跡)
追跡機関EMは、検証者sから受けた値c(=EPE(PA))を自己の秘密鍵SEにより復号し、得られたメンバAの公開鍵PAをグループ管理者GMに送信する。グループ管理者GMは、公開鍵PAからメンバAを特定する。
以上が標準的なグループ署名方式であるが、他のグループ署名方式も同様な性質をもっている。
D. Chaum, E. van Heyst, "Group Signatures", EUROCRYPT’91, LNCS 547, Springer-Verlag, pp.257-265, 1991. G. Ateniese , J. Camenisch, M. Joye and G. Tsudik. A practical and provably secure coalition-resistant group signature scheme. CRYPTO 2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000. 宮地充子、菊池浩明 編著、「情報セキュリティ」、オーム社、ISBN4−274−13284−6、pp.112−114. 特開2004−54905号公報
本発明者の検討によれば、オンラインで商品又はサービスを注文する際には、匿名性と注文内容に関するプライバシについて以下のような課題があると考えられる。
匿名性に関しては、個人情報を管理するコストとリスクが高まる一方であり、サービス提供者にとっては個人情報を管理しなければサービスを提供できないことは望ましくない。また、サービス利用者にとっても複数のサービス提供者がそれぞれ個人情報を管理している状態は望ましくない。
しかしながら、一般的な注文では、サービス提供者に個人情報を渡す必要がある。なお、個人情報を渡さず、個人IDを渡す方法も考えられるが、個人IDでは完全な匿名性は実現できない。理由は、複数の異なる注文が同一のサービス利用者によるものか否かが判断可能なことから、その利用者の注文履歴を把握して趣味・趣向などを知ることが可能なためである。更に、個人IDを渡す場合、注文の際にサービス提供者との送受信だけでは済まず、個人情報の管理サーバなどにアクセスする必要がある方式では、注文の処理効率が悪いものとなってしまう。特許文献1ではグループ署名を利用し、完全な匿名で効率よくオンラインサービスを受けることができるが、物流を伴う商品の購入などは考慮されていない。
注文内容のプライバシに関しては、上記いずれの方法であっても「誰が」「何を」注文したかがサービス提供者に知られるので、プライバシ保護の観点から望ましくない。
さらに、匿名性と注文内容のプライバシを考慮する場合であっても、サービス提供者がマーケット情報を取得できる仕組みは必要である。
本発明は上記実情を考慮してなされたもので、オンライン以外のサービスを行うサービス提供者が個人情報を管理する必要が無く、利用者の匿名性を実現し得る匿名注文システム、装置及びプログラムを提供することを目的とする。
また、本発明の他の目的は、注文内容のプライバシを保護し得る匿名注文システム、装置及びプログラムを提供することにある。
さらに、本発明の他の目的は、匿名性と注文内容のプライバシ保護を実現しつつサービス提供者がマーケット情報を取得し得る匿名注文システム、装置及びプログラムを提供することにある。
第1の発明は、追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムであって、前記匿名注文をする購入者の個人情報及びグループ署名関連情報を記憶装置に記憶し、販売店から受けた注文ID及びグループ署名を含む匿名注文情報に基づいて、前記追跡機能により、当該グループ署名を復号して得られたグループ署名関連情報から前記記憶装置内の対応する個人情報を特定し、この個人情報を外部の配送手段による配送のために出力する管理者装置と、前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する販売店装置と、前記購入者の操作により、前記販売店装置から注文IDを受けると、この注文ID及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売店装置に送信する購入者装置とを備えた匿名注文システムである。
第2の発明は、追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文を実行するための匿名注文システムに用いられ、前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置であって、前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段と、この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、前記注文基本情報、前記注文詳細情報及び前記販売店秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と、前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段とを備えた購入者装置である。
第3の発明は、追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記販売をする販売店の販売店装置との両装置と通信可能で、前記購入者の個人情報及びグループ署名関連情報を記憶装置に記憶して管理する管理者装置であって、前記販売店又は販売店装置から注文ID及びグループ署名を含む匿名注文情報を受けると、前記追跡機能により、当該グループ署名を復号して得られたグループ署名関連情報から前記記憶装置内の対応する購入者の個人情報を特定する購入者特定手段と、前記特定した個人情報から個人を特定可能な情報を削除してマーケット情報を生成するマーケット情報生成手段と、得られたマーケット情報を前記販売店装置に送信するマーケット情報送信手段とを備えた管理者装置である。
(作用)
第1の発明によれば、販売店装置は、購入者装置から注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を管理者装置に送出する。管理者装置は、この匿名注文情報に基づいて、追跡機能により、当該グループ署名を復号して得られたグループ署名関連情報から記憶装置内の対応する個人情報を特定し、この個人情報を外部の配送手段による配送のために出力する。外部の配送手段は、この個人情報に基づいて販売対象を購入者に配送する。
従って、サービス提供者としての販売店装置が個人情報を管理する必要が無く、利用者の匿名性を実現することができる。また、管理者装置が匿名注文情報を扱うので、注文内容に関するプライバシを管理者装置から保護することができる。
また、第2の発明は、前述した作用に加え、購入者装置としては、秘匿メッセージ生成手段により、販売店へのメッセージを販売店装置の公開鍵により暗号化して販売店秘匿メッセージを生成し、編集手段により、この販売店秘匿メッセージを含むように匿名注文情報を編集するので、第三者から秘匿した状態で販売店にメッセージを伝えることができる。
一方、第3の発明は、前述した作用に加え、管理者装置としては、マーケット情報生成手段により、特定した個人情報から個人を特定可能な情報を削除してマーケット情報を生成し、マーケット情報送信手段により、このマーケット情報を販売店装置に送信するので、購入者を秘匿した状態で注文に関するマーケット情報を販売店に提供することができる。
以上説明したように本発明によれば、サービス提供者が個人情報を管理する必要が無く、利用者の匿名性を実現できる。また、注文内容のプライバシを保護できる。さらに、匿名性と注文内容のプライバシ保護を実現しつつサービス提供者がマーケット情報を取得できる。
以下、本発明の各実施形態について図面を参照しながら説明する。なお、各実施形態では、匿名注文システムの一例として、物流会社(グループ管理者、追跡機関)、購入者(メンバ、署名者)及び販売店(署名検証者)からなり、物流を伴うオンラインでの商品購入に適用した場合を代表例に挙げて述べる。なお、商品に代えて、サービスを用いても良いことは言うまでもない。また、以下の各実施形態は、非特許文献3のグループ署名を代表例に挙げて述べているが、これに限らず、任意のグループ署名方式についても、メッセージmをm=(m1‖H(m2))又はm=(m1‖H(m2)‖EPSP(m3)‖EGM(m4))とすることにより、同様に適用できることも言うまでもない。
(第1の実施形態)
図1は本発明の第1の実施形態に係る匿名注文システムの構成を示す模式図である。この匿名注文システムは、物流会社装置10、販売店装置20及び購入者装置30が互いにネットワーク41〜44を介して接続されている。
ここで、物流会社装置10は、物流会社用記憶装置11、初期設定部12、販売店登録部13、購入者登録部14、決済処理部15、注文検証部16、購入者特定部17及びマーケット情報生成部18を備えている。
物流会社用記憶装置11は、各部12〜18から読出/書込可能なメモリであり、図2に示すように、グループ管理情報、秘密管理情報、メンバリスト、販売店登録情報及び注文履歴リストが記憶されるものである。
ここで、グループ管理情報は、グループ公開鍵(PG,PE)、グループ秘密鍵(SG,SE)、物流会社公開鍵PGM、物流会社秘密鍵SGMからなる。
秘密管理情報(購入者のグループ署名関連情報)は、メンバ毎のメンバID、メンバ公開鍵PA及びメンバ証明書σAからなる。
メンバリストは、メンバID毎のメンバの個人情報、メンバ公開鍵PA及びデジタル署名SigSA(PA)からなるリストである。メンバの個人情報は、例えば氏名、住所、年齢層、性別、決済情報(銀行口座情報又はクレジットカード番号など)からなり、所望により、Eメールアドレス、IPアドレス等のネットワークアドレス情報、電話番号など任意の情報を付加してもよい。なお、メンバリスト内のメンバ公開鍵も購入者のグループ署名関連情報に該当する。
販売店登録情報は、販売店情報及び販売店公開鍵PSPからなる。販売店情報は、例えば販売店名、住所、電話番号、Eメールアドレス、決済情報(銀行口座情報又はクレジットカード番号など)からなる。
注文履歴リストは、過去の注文における匿名注文情報mのリストである。
初期設定部12は、システム立ち上げ時に1回だけ使用され、グループ公開鍵・秘密鍵のペア(PG,SG),(PE,SE)を生成する機能と、物流会社公開鍵・秘密鍵のペア(PGM,SGM)を生成する機能と、生成した鍵ペアからなるグループ管理情報を物流会社用記憶装置11に書込む機能とを有するものである。
販売店登録部13は、販売店を登録する際に、販売店装置20から受けた販売店情報及び販売店公開鍵PSPを含む販売店登録情報を物流会社用記憶装置11に書込む機能と、書込の後、物流会社用記憶装置11内のグループ公開鍵(PG,PE)を販売店装置20に返信する機能とをもっている。
購入者登録部14は、購入者装置30から受けた個人情報に基づいて、購入者が匿名注文サービスを受けられるか否かを審査する機能と、審査の結果を購入者装置30に通知する機能と、審査を通過したとき、購入者装置30との間でチャレンジ・レスポンス認証をする機能と、購入者装置30から受けたデジタル署名SigSA(PA)及び知識署名SPKを検証する機能と、両者の検証により正当性を確認すると、グループ秘密鍵SGによりメンバ公開鍵PAに署名処理を施してメンバ証明書σA(=SigSG(PA))を作成する機能と、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)からなる秘密管理情報を物流会社記憶装置11の耐タンパー領域に保管するとともに、メンバ公開鍵PAとデジタル署名のペア(PA,SigSA(PA))をメンバリストに追加する機能と、メンバ証明書σAを購入者装置30に送信する機能とをもっている。
決済処理部15は、物流会社用記憶装置11内のメンバリストに記載のメンバ個人情報に基づいて、代理決済を行う機能をもっている。
注文検証部16は、販売店から匿名注文情報を受け取ると、物流会社用記憶装置11内の注文履歴リストに同一情報があるか否かを調べ、同一情報がある場合には不正な要求として商品配送・決済を拒否し、否の場合には匿名注文情報に含まれるグループ署名の正当性を検証する機能と、署名が不正な場合に商品配送・決済を拒否する機能と、署名の正当性が確認できた場合のみ受理し、匿名注文情報を注文履歴リストに追加して物流会社用記憶装置11に保存する機能とをもっている。
購入者特定部17は、匿名注文情報内のグループ署名c(=EPE(PA))をグループ秘密鍵SEにより復号し、得られたメンバ公開鍵PAからメンバリストを参照して署名者(=購入者)を特定する追跡機能をもっている。
マーケット情報生成部18は、特定した署名者の情報から個人を特定できる情報(例、住所、氏名等)を削除してマーケット情報を生成するものであり、得られたマーケット情報を販売店装置20に送信する機能とをもっている。マーケット情報とは、注文に関する情報のうち、個人を特定できない情報であり、商品の購買層を示すのに有効な情報である。
販売店装置20は、販売店用記憶装置21、登録要求部22、注文受付部23、注文情報生成部24、注文検証部25及び決済要求部26を備えている。
販売店用記憶装置21は、各部22〜26から読出/書込可能なメモリであり、図3に示すように、注文情報生成情報(=匿名注文情報検証情報)、商品情報及び注文受付リストが記憶されるものである。
注文情報生成情報は、グループ公開鍵(PG,PE)、販売店公開鍵PSP、販売店秘密鍵SSPからなる。
商品情報は、購入者装置30から受ける商品特定情報(販売対象特定情報)から注文情報を作成するための関連情報であり、例えば商品分類m13、商品IDm21、商品名m21及び単価m23を含むものである。なお、商品特定情報とは、販売店が提供する商品を特定するための情報であり、管理者に知られたくない情報であって、図4に示すように、商品ID(例、商品番号)m21及び個数m24などが使用可能となっている。
注文受付リストは、購入者装置30から受けた注文情報m1,m2及び匿名注文情報m、(SPKσ,x、c、SPK)のリストである。
注文情報とは、注文基本情報m1と注文詳細情報m2を含むものである。
注文基本情報m1とは、商品代金の決済のために必要最低限の情報であり、例えば、注文IDm11、販売店名m12、商品分類m13、合計金額m14及び支払方法m15からなる。
注文詳細情報m2とは、商品に関する情報のうち、プライバシの観点から販売店以外(=管理者など)には秘匿されることが望ましい情報であり、少なくとも商品特定情報を含み、他に任意の情報を付加したものであって、例えば商品IDm21、商品名m22、単価m23、個数m24及び注文日時m25からなる。
匿名注文情報については後述する。
登録要求部22は、販売店員の操作により、登録要求部22が販売店情報及び販売店公開鍵PSPを物流会社装置10に送信する機能と、物流会社装置10から受けたグループ公開鍵(PG,PE)を販売店用記憶装置22に書き込む機能とをもっている。
注文受付部23は、購入者装置30と、販売店装置20内の各部24,25との間に位置するインターフェイス機能をもっている。
注文情報生成部24は、購入者装置30から受ける商品特定情報から注文情報生成情報に基づいて、注文基本情報m1と注文詳細情報m2からなる注文情報mを生成する機能と、得られた注文情報mと、販売店公開鍵PSPとを購入者装置30に送信する機能をもっている。
注文検証部25は、購入者装置30から匿名注文情報を受けると、販売店用記憶装置21内の匿名注文検証情報に基づいて匿名注文情報の正当性を検証する機能と、正当性を検証できた場合に注文を受け付け、注文情報と匿名注文情報を販売店用記憶装置21に保存する機能と、匿名注文情報とともに、発送先の代わりに注文IDが記載された伝票を発行する機能とをもっている。
決済要求部26は、匿名注文情報を物流会社装置10に送信して決済を要求する機能と、決済終了後、物流会社装置10から受けたマーケット情報を物流会社用記憶装置11に保存する機能をもっている。なお、決済要求部26の決済要求機能は、本実施形態では伝票の匿名注文情報により決済を要求するために使用しないが、商品がデジタルコンテンツの場合などに好適に使用可能となっている。
購入者装置30は、購入者用記憶装置31、登録要求部32、商品選択部33、匿名注文部34、匿名情報生成部35及び注文確認部36を備えている。
購入者用記憶装置31は、各部32〜35から読出/書込可能なメモリであり、図5に示すように、匿名注文情報生成情報及び注文済情報が記憶されるものである。
匿名注文情報生成情報は、グループ公開鍵(PG,PE)、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σA、物流会社公開鍵PGMからなる。
注文済情報は、注文情報m1,m2及び匿名注文情報m、(SPKσ,x、c、SPK)からなる。
匿名注文情報とは、図6に示すように、注文基本情報m1、秘匿注文詳細情報H(m2)、販売店への秘匿メッセージEPSP(m3)、物流会社への秘匿メッセージEPGM(m4)、匿名注文正当性検証情報(SPKσ,x、c、SPK)を含む。
秘匿注文詳細情報H(m2)とは、注文詳細情報m2を知らないと作れない情報であり、注文を受けた販売店が匿名注文情報の正当性を検証するために利用する。但し、秘匿注文詳細情報H(m2)から注文詳細情報m2を復元できなくてもよい。よって、ここではハッシュ値H(m2)を用いるが、これに限らず、販売店の公開鍵PGMで暗号化された注文詳細情報m2としてもよい。
販売店への秘匿メッセージEPSP(m3)とは、購入者が販売店だけに伝えたいメッセージであり、例えば、クーポン券の番号や、割引用のキーワード等があって、販売店だけが復号可能な形態で暗号化されている。
物流会社への秘匿メッセージEPGM(m4)とは、購入者が物流会社だけに伝えたいメッセージであり、例えば、商品の送り先などがあり、物流会社だけが復号可能な形態で暗号化されている。
匿名注文正当性検証情報(SPKσ,x、c、SPK)とは、匿名注文情報の正当性を検証するためのグループ署名であり、匿名注文検証情報に基づき、注文検証部25により正当性を検証可能となっている。これにより販売店は注文を受けてよいことを確認できるが、個人情報を一切取得できない。また、グループ管理情報とともに購入者特定部14により、正当性が検証可能であり、正当な場合には生成した購入者を特定可能となっている。
登録要求部32は、購入者の操作により、個人情報を物流会社装置10に送信する機能と、物流会社装置14から受けた審査を通過した旨の通知に基づいて、匿名注文システムのメンバとしてのメンバ公開鍵・秘密鍵のペア(PA,SA)を生成して購入者用記憶装置31に書き込む機能と、物流会社装置10との間でチャレンジ・レスポンス認証を実行する機能と、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)を生成し、これらデジタル署名SigSA(PA)及び知識署名SPKを物流会社装置10に送信する機能と、物流会社装置10から受けたメンバ証明書σAを購入者用記憶装置31に保存する機能とをもっている。
商品選択部33は、購入者の操作により、商品特定情報及び注文要求を販売店装置に送信するものである。
匿名注文部34は、販売店装置20と、購入者装置30内の各部33,35,36との間に位置するインターフェイス機能をもっている。
匿名情報生成部35は、購入者の操作により、購入者用記憶装置31内の匿名注文生成情報に基づいて、注文基本情報m1及び注文詳細情報m2から匿名注文情報を生成するものであり、得られた匿名注文情報を匿名注文部34を介して販売店装置20に送信する機能をもっている。
注文確認部36は、販売店装置20から受けた注文基本情報m1と注文詳細情報m2とを画面表示し、購入者に注文内容の確認を促す機能をもっている。
次に、以上のように構成された匿名注文システムの動作を図7乃至図16を用いて説明する。
(初期設定;図8乃至図10)
物流会社装置10は、匿名注文サービスを立ち上げる際に(ST1)、物流会社員の操作により、初期設定部12が匿名注文用グループをセットアップし、グループ公開鍵・秘密鍵のペア(PG,SG),(PE,SE)を生成すると共に、自己の物流会社公開鍵・秘密鍵のペア(PGM,SGM)を生成し、これらの鍵ペアからなるグループ管理情報を物流会社用記憶装置11に書き込む。物流会社装置10は、以上の処理をサービス立ち上げ時の最初の1回だけ行えばよい。これにより、物流会社装置10は、匿名注文サービスの提供が可能となる。
販売店装置20においては、匿名注文サービスの提供を開始する際に、販売店員の操作により、登録要求部22が販売店情報及び販売店公開鍵PSPを物流会社装置10に送信する(ST2)。
物流会社装置10では、販売店登録部13が、これら販売店情報及び販売店公開鍵PSPを含む販売店登録情報を物流会社用記憶装置11に書込み、販売店登録処理を実行する(ST3)。販売店登録部13は、物流会社用記憶装置11内のグループ公開鍵(PG,PE)を販売店装置20に返信する(ST4)。
販売店装置20では、登録要求部22がグループ公開鍵(PG,PE)を注文情報生成情報及び匿名注文情報検証情報の一部として販売店用記憶装置22に書き込む。注文情報生成情報及び匿名注文情報検証情報としては、他に、販売店の公開鍵・秘密鍵のペア(PSP,SSP)がある。販売店装置20では、以上の処理を物流会社に登録する際の最初の1回だけ行えばよい。
購入者装置30では、購入者の操作により、登録要求部32が個人情報を物流会社装置10に送信する(ST4)。物流会社装置14では、購入者登録部14がこの個人情報に基づいて、購入者が匿名注文サービスを受けられるか否かを審査し(ST6)、例えば審査を通過した旨を購入者装置30に通知する(ST7)。
購入者装置30では、登録要求部32がこの通知に基づいて、匿名注文システムのメンバとしてのメンバ公開鍵・秘密鍵のペア(PA,SA)を生成して購入者用記憶装置31に書き込む(ST8)。しかる後、購入者装置30では、登録要求部32が物流会社装置10との間でチャレンジ・レスポンス認証を実行する(ST9)。なお、チャレンジ・レスポンス認証の過程で、メンバ公開鍵PA及び物流会社公開鍵PGMは、購入者装置30と物流会社装置10との間で共有される。
ステップST9のチャレンジ・レスポンスにより、相互に認証が完了すると、購入者装置30は、登録要求部32がデジタル署名SigSA(PA)及び知識署名SPK=(e,v)を生成し、これらデジタル署名SigSA(PA)及び知識署名SPKを物流会社装置10に送信する(ST10)。
物流会社装置10では、購入者登録部14が、これらデジタル署名SigSA(PA)及び知識署名SPKを検証し(ST11)、両者の検証により正当性を確認すると、グループ秘密鍵SGによりメンバ公開鍵PAに署名処理を施してメンバ証明書σA(=SigSG(PA))を作成する(ST12)。
しかる後、購入者登録部14は、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)からなる秘密管理情報を物流会社記憶装置11の耐タンパー領域に保管するとともに、メンバ公開鍵PAとデジタル署名のペア(PA,SigSA(PA))をメンバリストに追加する。
また、物流会社装置10は、購入者登録部14がメンバ証明書σAを購入者装置30に送信する(ST14)。購入者装置30では、登録要求部32がメンバ証明書σAを購入者用記憶装置31に保存する(ST15)。購入者装置30は、以上の処理をメンバ登録時の最初の1回だけ行えばよい。購入者はここで生成されたメンバ秘密鍵SA・メンバ証明書σAを利用して何度でも匿名注文を行うことができる
(匿名注文・配送・決済;図11乃至図16)
購入者装置30は、購入者の操作により、商品選択部33が商品特定情報及び注文要求を販売店装置に送信する(ST21)。
販売店装置20は、注文情報生成部24がこの商品特定情報から注文情報生成情報に基づいて、注文基本情報m1と注文詳細情報m2からなる注文情報mを生成し、得られた注文情報と販売店公開鍵PSPとを購入者装置30に送信する(ST22)。
ここで、注文情報mは、注文基本情報m1と注文詳細情報m2とが互いに連接して形成されている(m={m1‖m2})。
注文基本情報は物流会社が商品配送・決済を行うのに必要な最低限の情報であり、注文を一意に識別するための情報である注文IDを含む。注文詳細情報はそれ以外の詳細な情報であり、購入者のプライバシ保護の観点から物流会社に対しては秘匿されることが望ましい。
以下に注文基本情報m1、注文詳細情報m2の具体例をあげる(図4参照)。
注文基本情報m1=(注文ID‖販売店名‖商品分類‖合計金額‖支払方法)
=(m11‖m12‖m13‖m14‖m15)
注文詳細情報m2=(商品番号‖商品名‖単価‖個数‖注文日時)
=(m21‖m22‖m23‖m24‖m25)
商品分類m13は本、CD、DVD等を指す。商品名m22はそのタイトル等を指す。
購入者装置30は、これら注文基本情報m1と注文詳細情報m2とを注文確認部36が画面表示する。購入者は、この画面表示により、注文内容が自分の意図したものであるかを確認し、購入者装置30を操作する。購入者装置30は、購入者の操作により、匿名情報生成部35が購入者用記憶装置31内の匿名注文生成情報に基づいて、注文基本情報m1及び注文詳細情報m2から匿名注文情報を生成し(ST23)、この匿名注文情報を匿名注文部34を介して販売店装置20に送信する(ST24)。
匿名注文情報は、少なくとも注文基本情報m1、注文詳細情報のハッシュ値H(m2)、販売店への秘匿メッセージEPSP(m3)、物流会社への秘匿メッセージEPGM(m4)、これらを連接したメッセージm(=m1‖H(m2)‖EPSP(m3)‖EPGM(m4))に対するグループ署名(SPKσ,x、c、SPK)からなる(図6参照)。但し、各秘匿メッセージEPSP(m3),EPGM(m4)は、それぞれ省略可能である。ここでは省略した場合を述べる。
グループ署名(SPKσ,x、c、SPK)は、グループ公開鍵(PG,PE)、購入者のメンバ秘密鍵SA・証明書σAから計算される。ここで、グループ署名生成関数をGrSigで表すと、匿名注文情報は次式で表される。
匿名注文情報=(m‖GrSig(m))
=(m1‖H(m2)‖GrSig(m1‖H(m2)))
秘匿メッセージを省略しない場合、上式のmにm1‖H(m2)‖EPSP(m3)‖EPGM(m4))を代入すればよい。なお、秘匿メッセージを省略する/しないのいずれにしても、グループ署名の生成方法自体は前述した通りであるが、メッセージmの構成が従来とは異なるものとなっている。
販売店装置20は、匿名注文情報を受けると、注文検証部25が販売店用記憶装置21内の匿名注文検証情報に基づいて匿名注文情報の正当性を検証し(ST25)、注文詳細情報のハッシュ値H(m2)が正しく計算されていることと、グループ署名(SPKσ,x、SPK)が正当であることを確認できた場合にのみ注文を受け付け(ST26;正当)、それ以外の場合は注文を拒否する(ST26;不当)。
販売店装置20は、注文検証部25が注文を受け付けると注文情報と匿名注文情報を販売店用記憶装置21に保存する(ST27)。さらに、販売店装置20は、匿名注文情報とともに、発送先の代わりに注文IDが記載された伝票を発行する。この伝票は、販売店員により、梱包された商品に貼り付けられて発送される(ST28)。この伝票は代理決済要求としても作用する。
以上のような匿名注文においては、注文詳細情報m2がハッシュ値H(m2)で秘匿された匿名注文情報により、購入者が「何を」買ったかを秘匿し、注文内容に関する購入者のプライバシを守ることができる。
注文手続き開始のリクエストから注文確定までの間、購入者の個人情報は仮名、IDも含めて一切送られておらず、また物流会社へのアクセスも一切行われていないことが匿名注文の大きな特長の1つである。
次に、商品配送及び決済について説明する。
物流会社は、販売店が受注した商品の配送および決済を行う。物流会社装置10は、販売店による不正を防ぐため、過去に受け取った匿名注文情報を注文履歴リストとして物流会社用記憶装置11に保存している。
物流会社装置10は、販売店から匿名注文情報を受け取ると、注文検証部16が注文履歴リストに同じ情報がないかを調べ、同じ情報が見つかった場合には不正な要求として商品配送・決済を拒否する。そうでない場合には匿名注文情報に含まれるグループ署名の正当性を検証する(ST29)。
注文検証部16は、署名が不正な場合にも商品配送・決済を拒否し(ST30;拒否)、署名の正当性が確認できた場合のみ受理し(ST30;受理)、匿名注文情報を注文履歴リストに追加して物流会社用記憶装置11に保存する。これにより、物流会社は、販売店の不正な要求を防止する。
続いて、物流会社装置10は、購入者特定部17が匿名注文情報内のグループ署名c(=EPE(PA))をグループ秘密鍵SEにより復号し、得られたメンバ公開鍵PAからメンバリストを参照して署名者を特定し(ST31)、住所・氏名等の特定内容を画面表示するか又は貼付シールとして発行する(住所情報出力手段)。
物流会社員は、対応する商品の伝票に特定した署名者の情報を記入して商品を配送する(ST32;外部の配送手段)。なお、署名者の特定処理は、グループ管理情報とメンバの個人情報を持つ唯一の装置である物流会社装置10のみが実行できる。また、物流会社装置10では、決済処理部15が物流会社用記憶装置11内のメンバリストに記載のメンバ個人情報に基づいて、購入者の金融機関等から代理決済を行い(ST33)、商品代金を販売店(の金融機関等)へ支払う(ST34)。さらに、物流会社装置10では、マーケット情報生成部18が、特定した署名者の情報から個人を特定できる情報(例、住所、氏名等)を削除し、例えば都道府県、年齢層及び性別からなるマーケット情報を生成し、このマーケット情報を販売店装置20に送信する(ST35)。販売店装置20では、このマーケット情報を保存し、各種の分析などに使用可能とする。
上述したように本実施形態によれば、販売店装置20は、購入者装置30から注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報と当該注文IDに対応する商品とを商品名を秘匿した状態で物流会社装置10に送る。管理者装置10は、この匿名注文情報に基づいて、追跡機能により、当該グループ署名を復号して得られたメンバ公開鍵PAから記憶装置10内の対応する個人情報を特定し、この個人情報を外部の配送手段(物流会社員)による配送のために画面表示又はシール発行等の形態で出力する。物流会社員は、この個人情報に基づいて販売対象を購入者に配送する。
従って、サービス提供者としての販売店装置20が個人情報を管理する必要が無く、利用者の匿名性を実現することができる。また、物流会社装置10が匿名注文情報を扱うので、注文内容に関するプライバシを物流会社装置10から保護することができる。
すなわち、従来のグループ署名方式を単にオンラインショッピングに適用すると、注文内容が管理者装置10に知られてプライバシを保護できないと考えられるが、本実施形態によれば、注文内容を秘匿した注文詳細情報H(m2)を用いるので、プライバシを保護することができる。
補足すると、「誰が」「何を」注文したかを知るのは購入者本人だけである。注文は購入者と販売店の間のやりとりだけで完結する。販売店は「何を」注文したかは分かるが、「誰が」注文したかが分からない。物流会社は「誰が」注文したかは分かるが、「何を」注文したかが(商品分類以上には)分からない。更に補足すると、販売店は「誰が」注文したかが分からない匿名注文でありながら、各種の分析に必要な、注文に関するマーケット情報を得ることができる。
続いて、このような本実施形態の効果を詳細に説明する。具体的には、従来のオンラインサービス注文(一般注文)と匿名注文システムを利用したオンラインサービス注文(匿名注文)を比較し、登場人物である購入者(サービス利用者)、販売店(サービス提供者)、物流会社(個人情報管理機関)ごとに利点を述べる。
(購入者Aの利点)
(A1:匿名注文が可能)
従来の一般注文では、購入者は販売店ごとに個人情報を渡し、販売店それぞれが個人情報を管理する必要がある。また、購入代金決済のためにクレジットカード会社などの決済事業者にも個人情報を登録してあることが一般的である。すなわち、購入者の個人情報は多くの場所に拡散して管理されている状態であり、ずさんな管理が行われているところが1個所でもあれば個人情報の漏洩につながってしまう。購入者にとって、利用する全ての販売店のセキュリティポリシーを把握し個人情報が適正に管理されているかを知ることは困難であり、個人情報漏洩のリスクが高い。実際、販売店に個人情報を渡すことに抵抗を感じるサービス利用者は多く、米国でのRSAセキュリティ社の調査によれば、44%ものユーザがサービスを受ける際に個人情報を提供することに抵抗を感じている。
これに対し、匿名注文では、販売店には一切の個人情報を渡す必要がなく、個人情報を物流会社のみに預けておけばよい。購入者は、セキュリティポリシーや個人情報管理に関して物流会社さえ信頼できれば、どの販売店でも安心して注文することができる。
(A2:注文のプライバシを保護)
従来の一般注文では、販売店が「誰が」「何を」注文したかを把握できる。
これに対し、本実施形態の匿名注文では、販売店は「何を」注文したかしか分からず、物流会社は「誰が」注文したかしか分からない。これにより、注文に関する購入者のプライバシを保護できる。
(A3:注文手続きの簡素化)
従来の一般注文では、Cookieなどを利用して個人情報の入力を省略することで注文を簡易化する方法が知られている。しかしこれは同じサービス提供者での2度目以降の注文に限られ、初回利用時には個人情報の入力が必要である。
これに対し、本実施形態の匿名注文では、初回、2回目以降に関わらず個人情報の入力が不要であり、簡単に注文を行うことができる。
(販売店SPの利点)
(SP1:個人情報管理のコスト・リスクを排除)
従来の一般注文では、注文を受けるためには個人情報の管理が必要となる。しかし相次ぐ個人情報漏洩問題や個人情報保護法の施行により、厳重な個人情報管理が求められるようになっているため管理コストは増加する一方である。また、個人情報が漏洩した際の社会的信用の失墜など、リスクの大きさは計り知れない。
これに対し、本実施形態の匿名注文では、個人情報を扱わずに受注することで、これらのコストやリスクを排除することができる。
(SP2:潜在的な需要の取り込み)
購入者の利点で述べた通り、個人情報を渡すことに抵抗を感じている購入者は数多く、特に初めて利用する販売店には抵抗が大きいと考えられる。中断されるオンライントランザクションの推定額は2004年には630万ドルにも上るとの調査結果もあり、この潜在的需要を一部でも取り込めることは販売店にとって大きなメリットとなる。
(SP3:個人情報を管理せずにマーケット情報を入手)
従来の一般注文では、販売店ごとに個人情報を管理しているため詳細なマーケット情報を取得できる。
これに対し、本実施形態の匿名注文では、一般注文と同様のマーケット情報を直接入手することはできないが、物流会社を通じてマーケット情報を取得することが可能である。
(物流会社GMの利点)
(1:既存の個人情報の活用)
前述した通り、個人情報の管理には多大なコストとリスクが伴うため、管理している個人情報を有効に活用することが望まれる。
物流会社は匿名注文システムを利用して新たなサービスを行うことができる。匿名注文に対する需要は購入者の利点、販売店の利点で述べた通りであり、個人情報の有効活用を期待できる。
(第2の実施形態)
次に、本発明の第2の実施形態に係る匿名注文システムについて説明する。
本実施形態は、第1の実施形態の変形例であり、プレゼントのように購入者が商品の発送先として自分の住所以外を指定する構成である。
具体的には、本実施形態は第1の実施形態とほぼ同様であるが、図6に示したように、プレゼントの送り先を示すメッセージm4を物流会社公開鍵PGMで暗号化し、得られた物流会社への秘匿メッセージEPGM(m4)を匿名注文情報に含めている。匿名注文情報にプレゼントかどうかを表すフラグを追加してもよい。
以上のような構成では、図17に示すように、ステップST23aにおいて秘匿メッセージEPGM(m4)を含む匿名注文情報が生成され、ステップST32aにおいて商品が送り先に配送される。その他の動作は前述した通りである。
従って、本実施形態によれば、第1の実施形態の効果に加え、購入者が商品の発送先として自分の住所以外を指定することができる。
(第3の実施形態)
次に、本発明の第3の実施形態に係る匿名注文システムについて説明する。
本実施形態は、第1の実施形態の変形例であり、商品をデジタルコンテンツとした構成である。これに伴い、物流会社装置10に代えて、物流会社装置10と同様の構成をもつクレジット会社装置10’を備えている。
以上のような構成では、図18に示すように、ステップST28bにおいて暗号化デジタルコンテンツが販売店装置20からクレジット会社装置10’に送信され、ステップST32b−1(住所出力手段、提供手段)において、ST31で特定された購入者の個人情報として記憶装置11から読み出された購入者のネットワークアドレス情報に向けて暗号化デジタルコンテンツが購入者装置10に送信される。暗号化デジタルコンテンツは、購入者のメンバ公開鍵PAで暗号化されたものである。また、ステップST32b−2において暗号化デジタルコンテンツがメンバ秘密鍵SAにより復号されて購入者用記憶装置11に保存される。その他の動作は前述した通りである。
従って、本実施形態によれば、商品をデジタルコンテンツとしても、第1の実施形態と同様の作用効果を得ることができる。また、本実施形態は、第2の実施形態に適用し、暗号化デジタルコンテンツを購入者装置10以外の送り先アドレスに送信することもできる。また、本実施形態は、図18のステップST28bにおける暗号化デジタルコンテンツとステップST32b−1とを省略し、ステップST26の正当メッセージに代えて暗号化デジタルコンテンツを販売店装置20が購入者装置30に送信する構成に変形してもよい。この変形例によれば、暗号化デジタルコンテンツをクレジットカード会社装置10’を介さずに送信できるので、デジタルコンテンツを迅速に購入者に提供できる。
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
本発明の第1の実施形態に係る匿名注文システムの構成を示す模式図である。 同実施形態における物流会社用記憶装置を説明するための模式図である。 同実施形態における販売店用記憶装置を説明するための模式図である。 同実施形態における注文情報等を説明するための模式図である。 同実施形態における購入者用記憶装置を説明するための模式図である。 同実施形態における匿名注文情報等を説明するための模式図である。 同実施形態における初期設定の動作を説明するためのシーケンス図である。 同実施形態における立ち上げの動作を説明するための模式図である。 同実施形態における販売店登録の動作を説明するための模式図である。 同実施形態における購入者登録の動作を説明するための模式図である。 同実施形態における匿名注文・配送・決済の動作を説明するためのシーケンス図である。 同実施形態における匿名注文の動作を説明するための模式図である。 同実施形態における匿名注文の動作を詳細に説明するための模式図である。 同実施形態における匿名注文の検証処理を説明するための模式図である。 同実施形態における商品配送・決済の動作を説明するための模式図である。 同実施形態における署名者特定・マーケット情報生成の動作を説明するための模式図である。 本発明の第2の実施形態に係る匿名注文システムの動作を説明するためのシーケンス図である。 本発明の第3の実施形態に係る匿名注文システムの動作を説明するためのシーケンス図である。
符号の説明
10…物流会社装置、11…物流会社用記憶装置、12…初期設定部、13…販売店登録部、14…購入者登録部、15…決済処理部、16…注文検証部、17…購入者特定部、18…マーケット情報生成部、20…販売店装置、21…販売店用記憶装置、22,32…登録要求部、23…注文受付部、24…注文情報生成部、25…注文検証部、26…決済要求部、30…購入者装置、31…購入者用記憶装置、33…商品選択部、34…匿名注文部、35…匿名情報生成部、36…注文確認部、41〜44…ネットワーク。

Claims (26)

  1. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムであって、
    前記匿名注文をする購入者の個人情報及びグループ署名関連情報を記憶装置に記憶し、販売店から受けた注文ID及びグループ署名を含む匿名注文情報に基づいて、前記追跡機能により、当該グループ署名を復号して得られたグループ署名関連情報から前記記憶装置内の対応する個人情報を特定し、この個人情報を外部の配送手段による配送のために出力する管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する販売店装置と、
    前記購入者の操作により、前記販売店装置から注文IDを受けると、この注文ID及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売店装置に送信する購入者装置と
    を備えたことを特徴とする匿名注文システム。
  2. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムであって、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、販売店から受けた注文ID及びグループ署名を含む匿名注文情報に基づいて、このグループ署名から前記追跡機能により購入者を特定し、この購入者の個人情報を外部の配送手段による配送のために出力する管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する販売店装置と、
    前記購入者の操作により、前記販売店装置から注文IDを受けると、この注文ID及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売店装置に送信する購入者装置と
    を備えたことを特徴とする匿名注文システム。
  3. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記購入者を前記グループ署名方式により管理する管理者装置との両装置と通信可能な販売店装置であって、
    前記購入者装置から受けた販売対象特定情報に基づいて、注文IDを含む注文情報を生成し、この注文情報を前記購入者装置に送信する注文情報生成手段と、
    前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証する署名検証手段と、
    この検証の結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する送信手段と
    を備えたことを特徴とする販売店装置。
  4. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、販売店から受けた注文ID及びグループ署名を含む匿名注文情報に基づいて、このグループ署名から前記追跡機能により購入者を特定し、この購入者の個人情報を外部の配送手段による配送のために出力する管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する販売店装置と、の両装置と通信可能な、前記購入者の購入者装置であって、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段と、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文ID及びグループ署名を含む匿名注文情報を生成する匿名情報生成手段と、
    得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段と
    を備えたことを特徴とする購入者装置。
  5. 請求項4に記載の購入者装置において、
    前記匿名情報生成手段は、
    前記注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、
    前記注文基本情報及び前記注文詳細情報を少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と
    を備えたことを特徴とする購入者装置。
  6. 請求項5に記載の購入者装置において、
    前記管理者装置へのメッセージを前記管理者装置の公開鍵により暗号化して秘匿し、管理者秘匿メッセージを生成する第1秘匿メッセージ生成手段を備え、
    前記編集手段は、前記管理者秘匿メッセージを前記メッセージ部分に含めることを特徴とする購入者装置。
  7. 請求項6に記載の購入者装置において、
    前記管理者装置へのメッセージは、購入者とは異なる送り先情報を含むことを特徴とする購入者装置。
  8. 請求項5乃至請求項7のいずれか1項に記載の購入者装置において、
    前記販売店へのメッセージを前記販売店装置の公開鍵により暗号化して秘匿し、販売店秘匿メッセージを生成する第2秘匿メッセージ生成手段を備え、
    前記編集手段は、前記販売店秘匿メッセージを前記メッセージ部分に含めることを特徴とする購入者装置。
  9. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置であって、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段と、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、
    前記注文基本情報及び前記注文詳細情報を少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段と
    を備えたことを特徴とする購入者装置。
  10. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置であって、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段と、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、
    前記管理者装置へのメッセージを前記管理者装置の公開鍵により暗号化して秘匿し、管理者秘匿メッセージを生成する管理者秘匿メッセージ生成手段と、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、
    前記注文基本情報、前記注文詳細情報及び前記管理者秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段と
    を備えたことを特徴とする購入者装置。
  11. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置であって、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段と、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、
    前記管理者装置へのメッセージとして、購入者とは異なる送り先情報を含むメッセージを前記管理者装置の公開鍵により暗号化して秘匿し、管理者秘匿メッセージを生成する管理者秘匿メッセージ生成手段と、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、
    前記注文基本情報、前記注文詳細情報及び前記管理者秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段と
    を備えたことを特徴とする購入者装置。
  12. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置であって、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段と、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、
    前記販売店へのメッセージを前記販売店装置の公開鍵により暗号化して秘匿し、販売店秘匿メッセージを生成する販売店秘匿メッセージ生成手段と、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、
    前記注文基本情報、前記注文詳細情報及び前記販売店秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段と
    を備えたことを特徴とする購入者装置。
  13. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記販売をする販売店の販売店装置との両装置と通信可能で、前記購入者を前記グループ署名方式のメンバとして管理する管理者装置であって、
    前記販売店又は販売店装置から販売対象名を秘匿した販売対象と、注文ID及びグループ署名を含む匿名注文情報とを受けると、このグループ署名から前記追跡機能により購入者を特定する購入者特定手段と、
    前記特定した購入者に前記販売対象を提供するための提供手段に対し、当該購入者の住所/居所情報又はネットワークアドレス情報を出力する住所出力手段と
    を備えたことを特徴とする管理者装置。
  14. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記販売をする販売店の販売店装置との両装置と通信可能で、前記購入者の個人情報及びグループ署名関連情報を記憶装置に記憶して管理する管理者装置であって、
    注文ID及びグループ署名を含む匿名注文情報を受けると、前記追跡機能により、当該グループ署名を復号して得られたグループ署名関連情報から前記記憶装置内の対応する購入者の個人情報を特定する購入者特定手段と、
    前記特定した個人情報から個人を特定可能な情報を削除してマーケット情報を生成するマーケット情報生成手段と、
    得られたマーケット情報を前記販売店装置に送信するマーケット情報送信手段と
    を備えたことを特徴とする管理者装置。
  15. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記購入者を前記グループ署名方式により管理する管理者装置との両装置と通信可能な販売店装置のプログラムであって、
    前記販売店装置のコンピュータを、
    前記購入者装置から受けた販売対象特定情報に基づいて、注文IDを含む注文情報を生成し、この注文情報を前記購入者装置に送信する注文情報生成手段、
    前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、メモリ内のグループ公開鍵に基づいて、当該グループ署名を検証する署名検証手段、
    この検証の結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する送信手段、
    として機能させるためのプログラム。
  16. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売とを実行する匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、販売店から受けた注文ID及びグループ署名を含む匿名注文情報に基づいて、このグループ署名から前記追跡機能により購入者を特定し、この購入者の個人情報を外部の配送手段による配送のために出力する管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記管理者装置に送出する販売店装置と、の両装置と通信可能な、前記購入者の購入者装置のプログラムであって、
    前記購入者装置のコンピュータを、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段、
    この送信に応じて前記販売店装置から注文IDを受けると、メモリ内のメンバ秘密鍵及びメンバ証明書に基づいて、この注文ID及びグループ署名を含む匿名注文情報を生成する匿名情報生成手段、
    得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段、
    として機能させるためのプログラム。
  17. 請求項16に記載のプログラムにおいて、
    前記匿名情報生成手段は、
    前記注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段と、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段と、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段と、
    前記注文基本情報及び前記注文詳細情報を少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段と
    を含むことを特徴とするプログラム。
  18. 請求項17に記載のプログラムにおいて、
    前記購入者装置のコンピュータを、
    前記管理者装置へのメッセージを前記管理者装置の公開鍵により暗号化して秘匿し、管理者秘匿メッセージを生成する第1秘匿メッセージ生成手段として機能させ、
    前記編集手段は、前記管理者秘匿メッセージを前記メッセージ部分に含めることを特徴とするプログラム。
  19. 請求項18に記載のプログラムにおいて、
    前記管理者装置へのメッセージは、購入者とは異なる送り先情報を含むことを特徴とするプログラム。
  20. 請求項17乃至請求項19のいずれか1項に記載のプログラムにおいて、
    前記購入者装置のコンピュータを、
    前記販売店へのメッセージを前記販売店装置の公開鍵により暗号化して秘匿し、販売店秘匿メッセージを生成する第2秘匿メッセージ生成手段として機能させ、
    前記編集手段は、前記販売店秘匿メッセージを前記メッセージ部分に含めることを特徴とするプログラム。
  21. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な前記購入者の購入者装置に用いられるプログラムであって、
    前記購入者装置のコンピュータを、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段、
    前記注文基本情報及び前記注文詳細情報を少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段、
    として機能させるためのプログラム。
  22. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置に用いられるプログラムであって、
    前記購入者装置のコンピュータを、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段、
    前記管理者装置へのメッセージを前記管理者装置の公開鍵により暗号化して秘匿し、管理者秘匿メッセージを生成する管理者秘匿メッセージ生成手段、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段、
    前記注文基本情報、前記注文詳細情報及び前記管理者秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段、
    として機能させるためのプログラム。
  23. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置に用いられるプログラムであって、
    前記購入者装置のコンピュータを、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段、
    前記管理者装置へのメッセージとして、購入者とは異なる送り先情報を含むメッセージを前記管理者装置の公開鍵により暗号化して秘匿し、管理者秘匿メッセージを生成する管理者秘匿メッセージ生成手段、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段、
    前記注文基本情報、前記注文詳細情報及び前記管理者秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段、
    として機能させるためのプログラム。
  24. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、
    前記匿名注文をする購入者をグループ署名方式のメンバとして管理し、注文ID及びグループ署名を含む匿名注文情報を受けると、このグループ署名から前記追跡機能により購入者を特定するための管理者装置と、
    前記購入者の購入者装置に注文IDを発行し、前記購入者装置からこの注文ID及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該注文IDに対応する販売対象を前記購入者に販売するための販売店装置と、の両装置と通信可能な、前記購入者の購入者装置に用いられるプログラムであって、
    前記購入者装置のコンピュータを、
    前記購入者の操作により、前記販売店装置に販売対象特定情報を送信する対象情報送信手段、
    この送信に応じて前記販売店装置から注文IDを受けると、この注文IDを含み前記販売対象特定情報を含まない注文基本情報を生成する基本情報生成手段、
    前記販売対象特定情報を秘匿した注文詳細情報を生成する詳細情報生成手段、
    前記販売店へのメッセージを前記販売店装置の公開鍵により暗号化して秘匿し、販売店秘匿メッセージを生成する販売店秘匿メッセージ生成手段、
    前記グループ署名方式により前記グループ署名を生成するグループ署名生成手段、
    前記注文基本情報、前記注文詳細情報及び前記販売店秘匿メッセージを少なくとも含むメッセージ部分と前記グループ署名とを前記匿名注文情報として編集する編集手段、
    前記編集手段により得られた匿名注文情報を前記販売店装置に送信する匿名情報送信手段、
    として機能させるためのプログラム。
  25. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記販売をする販売店の販売店装置との両装置と通信可能で、前記購入者を前記グループ署名方式のメンバとして管理する管理者装置のプログラムであって、
    前記管理者装置のコンピュータを、
    前記販売店又は販売店装置から販売対象名を秘匿した販売対象と、注文ID及びグループ署名を含む匿名注文情報とを受けると、前記追跡機能によりこのグループ署名をメモリ内のグループ秘密鍵に基づいて復号することにより、購入者を特定する購入者特定手段、
    前記特定した購入者に前記販売対象を提供するための提供手段に対し、当該購入者の住所/居所情報又はネットワークアドレス情報を出力する住所出力手段、
    として機能させるためのプログラム。
  26. 追跡機能を有するグループ署名方式により、商品又はサービスからなる販売対象の匿名注文と、前記匿名注文に応じた販売対象の販売及び提供とを実行するための匿名注文システムに用いられ、前記匿名注文をする購入者の購入者装置と前記販売をする販売店の販売店装置との両装置と通信可能で、前記購入者の個人情報及びグループ署名関連情報を記憶装置に記憶して管理する管理者装置のプログラムであって、
    前記管理者装置のコンピュータを、
    前記販売店又は販売店装置から販売対象名を秘匿した販売対象と、注文ID及びグループ署名を含む匿名注文情報とを受けると、前記追跡機能により、当該グループ署名を復号して得られたグループ署名関連情報から前記記憶装置内の対応する購入者の個人情報を特定する購入者特定手段、
    前記特定した個人情報に対応する購入者に前記販売対象を提供するための提供手段に対し、当該購入者の住所/居所情報又はネットワークアドレス情報を出力する住所出力手段と、
    前記特定した個人情報から個人を特定可能な情報を削除してマーケット情報を生成するマーケット情報生成手段、
    得られたマーケット情報を前記販売店装置に送信するマーケット情報送信手段、
    として機能させるためのプログラム。
JP2004304948A 2004-10-19 2004-10-19 匿名注文システム、装置及びプログラム Active JP4768979B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004304948A JP4768979B2 (ja) 2004-10-19 2004-10-19 匿名注文システム、装置及びプログラム
US11/251,859 US20070255661A1 (en) 2004-10-19 2005-10-18 Anonymous order system, an anonymous order apparatus, and a program therefor
CN200510114122.4A CN1773546A (zh) 2004-10-19 2005-10-19 匿名定购系统、匿名定购装置及程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004304948A JP4768979B2 (ja) 2004-10-19 2004-10-19 匿名注文システム、装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2006119771A true JP2006119771A (ja) 2006-05-11
JP4768979B2 JP4768979B2 (ja) 2011-09-07

Family

ID=36537619

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004304948A Active JP4768979B2 (ja) 2004-10-19 2004-10-19 匿名注文システム、装置及びプログラム

Country Status (3)

Country Link
US (1) US20070255661A1 (ja)
JP (1) JP4768979B2 (ja)
CN (1) CN1773546A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203819A (ja) * 2005-01-24 2006-08-03 Nippon Hoso Kyokai <Nhk> セキュリティモジュール、コンテンツ受信装置、契約情報生成装置及び契約情報検証装置、並びに、契約情報検証方法
JP2007310830A (ja) * 2006-05-22 2007-11-29 Toshiba Corp 匿名注文システム、装置及びプログラム
KR100989477B1 (ko) * 2007-01-23 2010-10-22 도시바 솔루션 가부시끼가이샤 익명 주문용 프로그램을 기억한 기억 매체 및 장치
JP2014127939A (ja) * 2012-12-27 2014-07-07 Mizuho Information & Research Institute Inc 仮名管理システム、仮名管理方法及び仮名管理プログラム

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1625470A1 (en) * 2003-05-21 2006-02-15 Hewlett-Packard Development Company, L.P. Use of certified secrets in communication
JP2007004461A (ja) * 2005-06-23 2007-01-11 Nec Corp サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム
JP4548441B2 (ja) * 2007-04-11 2010-09-22 日本電気株式会社 コンテンツ利用システム、及びコンテンツ利用方法
US20080262937A1 (en) * 2007-04-18 2008-10-23 Kerry Wayne Willis Method and system for performing automated group purchasing
US8499154B2 (en) * 2009-01-27 2013-07-30 GM Global Technology Operations LLC System and method for establishing a secure connection with a mobile device
FR2949932A1 (fr) * 2009-09-04 2011-03-11 France Telecom Procede cryptographique d'abonnement anonyme a un service
IL217478A0 (en) * 2012-01-10 2012-03-29 Nds Ltd Anonymous authentication
IL217559A (en) * 2012-01-16 2016-11-30 Amdocs Dev Ltd A system and method for maintaining user anonymity
US11120436B2 (en) * 2015-07-17 2021-09-14 Mastercard International Incorporated Authentication system and method for server-based payments
US10790978B2 (en) * 2016-05-25 2020-09-29 Intel Corporation Technologies for collective authorization with hierarchical group keys
US10796591B2 (en) * 2017-04-11 2020-10-06 SpoonRead Inc. Electronic document presentation management system
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes
US11509484B1 (en) 2019-12-18 2022-11-22 Wells Fargo Bank, N.A. Security settlement using group signatures
US11265176B1 (en) 2019-12-18 2022-03-01 Wells Fargo Bank, N.A. Systems and applications to provide anonymous feedback
US11398916B1 (en) 2019-12-18 2022-07-26 Wells Fargo Bank, N.A. Systems and methods of group signature management with consensus
US11710373B2 (en) 2020-01-23 2023-07-25 SpoonRead Inc. Distributed ledger based distributed gaming system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000215252A (ja) * 2000-01-01 2000-08-04 Hitachi Ltd 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法
JP2002007904A (ja) * 2000-06-06 2002-01-11 Internatl Business Mach Corp <Ibm> 物品配送方法、オンラインショッピング方法、オンラインショッピングシステム、サーバ、販売者サーバ
US20020116337A1 (en) * 2001-02-20 2002-08-22 Ariel Peled System for anonymous distribution and delivery of digital goods
JP2004054905A (ja) * 2002-05-30 2004-02-19 Toshiba Corp アクセス制御システム、装置及びプログラム
JP2004102766A (ja) * 2002-09-11 2004-04-02 Japan Research Institute Ltd 販売促進支援システムおよび販売促進支援方法
JP2004139413A (ja) * 2002-10-18 2004-05-13 Nippon Telegr & Teleph Corp <Ntt> 匿名物品発注方法、発注者端末装置、匿名サービス端末装置、及びプログラム
JP2004258897A (ja) * 2003-02-25 2004-09-16 Fujitsu Ltd 匿名電子決済システム及び方法、並びに匿名配送システム及び方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557518A (en) * 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US6076078A (en) * 1996-02-14 2000-06-13 Carnegie Mellon University Anonymous certified delivery
US6029150A (en) * 1996-10-04 2000-02-22 Certco, Llc Payment and transactions in electronic commerce system
EP0926637B1 (en) * 1997-12-26 2005-04-27 Nippon Telegraph and Telephone Corporation Electronic cash implementing method for issuer having electronic cash balance counters, corresponding issuer equipment and recording medium having recorded thereon a program for execution of the method
US6807530B1 (en) * 1998-08-05 2004-10-19 International Business Machines Corporation Method and apparatus for remote commerce with customer anonymity
JP2001202013A (ja) * 2000-01-21 2001-07-27 Nec Corp 匿名参加権限管理システム
KR100358426B1 (ko) * 1998-08-18 2003-01-29 한국전자통신연구원 전자현금거래방법
US20020004900A1 (en) * 1998-09-04 2002-01-10 Baiju V. Patel Method for secure anonymous communication
AU6229000A (en) * 1999-07-26 2001-02-13 Iprivacy Llc Electronic purchase of goods over a communication network including physical delivery while securing private and personal information
AU6500400A (en) * 1999-07-29 2001-02-19 Privacash.Com, Inc. Method and system for transacting an anoymous purchase over the internet
JP2001290990A (ja) * 2000-04-07 2001-10-19 Nec Corp 匿名売買方法及び匿名売買システム並びにプログラムを記録した機械読み取り可能な記録媒体
GB2372344A (en) * 2001-02-17 2002-08-21 Hewlett Packard Co System for the anonymous purchase of products or services online
JP2003248780A (ja) * 2002-02-25 2003-09-05 Fujitsu Ltd 購買情報管理システム,購買情報匿名化サーバおよび購買情報管理方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000215252A (ja) * 2000-01-01 2000-08-04 Hitachi Ltd 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法
JP2002007904A (ja) * 2000-06-06 2002-01-11 Internatl Business Mach Corp <Ibm> 物品配送方法、オンラインショッピング方法、オンラインショッピングシステム、サーバ、販売者サーバ
US20020116337A1 (en) * 2001-02-20 2002-08-22 Ariel Peled System for anonymous distribution and delivery of digital goods
JP2004054905A (ja) * 2002-05-30 2004-02-19 Toshiba Corp アクセス制御システム、装置及びプログラム
JP2004102766A (ja) * 2002-09-11 2004-04-02 Japan Research Institute Ltd 販売促進支援システムおよび販売促進支援方法
JP2004139413A (ja) * 2002-10-18 2004-05-13 Nippon Telegr & Teleph Corp <Ntt> 匿名物品発注方法、発注者端末装置、匿名サービス端末装置、及びプログラム
JP2004258897A (ja) * 2003-02-25 2004-09-16 Fujitsu Ltd 匿名電子決済システム及び方法、並びに匿名配送システム及び方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203819A (ja) * 2005-01-24 2006-08-03 Nippon Hoso Kyokai <Nhk> セキュリティモジュール、コンテンツ受信装置、契約情報生成装置及び契約情報検証装置、並びに、契約情報検証方法
JP4559868B2 (ja) * 2005-01-24 2010-10-13 日本放送協会 セキュリティモジュール、コンテンツ受信装置、契約情報生成装置及び契約情報検証装置、並びに、契約情報検証方法
JP2007310830A (ja) * 2006-05-22 2007-11-29 Toshiba Corp 匿名注文システム、装置及びプログラム
KR100989477B1 (ko) * 2007-01-23 2010-10-22 도시바 솔루션 가부시끼가이샤 익명 주문용 프로그램을 기억한 기억 매체 및 장치
US9129262B2 (en) 2007-01-23 2015-09-08 Kabushiki Kaisha Toshiba Shop apparatus and purchaser apparatus
JP2014127939A (ja) * 2012-12-27 2014-07-07 Mizuho Information & Research Institute Inc 仮名管理システム、仮名管理方法及び仮名管理プログラム

Also Published As

Publication number Publication date
JP4768979B2 (ja) 2011-09-07
US20070255661A1 (en) 2007-11-01
CN1773546A (zh) 2006-05-17

Similar Documents

Publication Publication Date Title
JP4768979B2 (ja) 匿名注文システム、装置及びプログラム
KR100989477B1 (ko) 익명 주문용 프로그램을 기억한 기억 매체 및 장치
US11900405B2 (en) Blockchain data
US8713691B2 (en) Attribute information providing system
KR100241350B1 (ko) 전자 거래에서 안전한 전자 공증문서 생성방법
JP2003501712A (ja) ディジタル・チケットの配信および検査システムおよび方法
JP2004509390A (ja) 認可要求データのループバックによる安全な電子商取引の実行方法及びシステム
JP2004005643A (ja) 定義されたパーティにより検証可能な匿名支払方法
JP5084746B2 (ja) ピアツーピアでのカルマおよび信頼を確立する方法ならびにその装置
JP2008099138A (ja) 匿名注文システム、装置、及びプログラム
JPH10171887A (ja) オンラインショッピングシステム
JP4724040B2 (ja) 匿名注文システム、装置及びプログラム
JP2008004042A (ja) 電子商取引方法
JP2002288502A (ja) 電子クーポンサービス装置及び電子クーポンシステム
JP4643240B2 (ja) 匿名再送システム、装置及びプログラム
JP2008028983A (ja) 匿名注文用プログラム及び装置
JP2005284327A (ja) 領収書発行システム
JP2005050311A (ja) サービス提供方法及びシステム
JP2004535619A (ja) 安全な決済取引を行うシステムと方法
WO2024048734A1 (ja) アバター管理システム、アバター管理方法、及びプログラム
JP2001236435A (ja) 電子商取引システム、電子商取引方法及び情報処理装置
JP2002304589A (ja) 決済システム
JP3250610B2 (ja) 資金移動先情報取得方法
Kim N-times consumable digital ticket and its application to content access service
Rime Global Internet Trading

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070704

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100507

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110524

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110617

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4768979

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350