JP2007310830A - 匿名注文システム、装置及びプログラム - Google Patents
匿名注文システム、装置及びプログラム Download PDFInfo
- Publication number
- JP2007310830A JP2007310830A JP2006141958A JP2006141958A JP2007310830A JP 2007310830 A JP2007310830 A JP 2007310830A JP 2006141958 A JP2006141958 A JP 2006141958A JP 2006141958 A JP2006141958 A JP 2006141958A JP 2007310830 A JP2007310830 A JP 2007310830A
- Authority
- JP
- Japan
- Prior art keywords
- product
- order
- information
- delivery destination
- delivery
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 非会員の個人情報を用いずに、会員が匿名注文した商品を非会員に配送する。
【解決手段】 会員装置200は、注文の後、販売者装置300から受けた注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を販売者装置に送信する。販売者装置は匿名注文情報を決済・配達要求として管理者装置100に送信する。管理者装置は、決済・配達要求を決済処理し、配達情報を出力する。管理者装置は、注文IDを含む引取情報を配達先装置に送信し、注文IDを含む引取コードを会員装置に送信する。会員装置は引取コードを引取人装置500に転送する。引取人装置は、転送された引取コードを表示する。コンビニエンスストア装置600は、表示された引取コードの注文IDと、受信した引取情報の注文IDとが一致すると、配達情報により配達された商品の引取りを許可する。
【選択図】 図1
【解決手段】 会員装置200は、注文の後、販売者装置300から受けた注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を販売者装置に送信する。販売者装置は匿名注文情報を決済・配達要求として管理者装置100に送信する。管理者装置は、決済・配達要求を決済処理し、配達情報を出力する。管理者装置は、注文IDを含む引取情報を配達先装置に送信し、注文IDを含む引取コードを会員装置に送信する。会員装置は引取コードを引取人装置500に転送する。引取人装置は、転送された引取コードを表示する。コンビニエンスストア装置600は、表示された引取コードの注文IDと、受信した引取情報の注文IDとが一致すると、配達情報により配達された商品の引取りを許可する。
【選択図】 図1
Description
本発明は、グループ署名方式を用いた会員制の匿名注文システム、装置及びプログラムに係り、例えば、管理者が管理していない非会員の個人情報を用いずに、会員により匿名注文された商品を非会員に配送し得る匿名注文システム、装置及びプログラムに関する。
グループ署名は、1991年チャウム(Chaum)ら(非特許文献1参照)により提案された以下の性質(1)〜(4)を満たす電子署名方式であり、匿名性を持った電子署名と言える。
(1)グループに所属するメンバのみが、メンバ署名鍵を用いてグループを代表する署名(グループ署名)を生成できる。
(2)グループ公開鍵により、グループ署名の正当性(グループメンバが生成した署名であること)を検証できる。
(3)グループ署名から署名を生成したグループメンバを特定することはできない(Anonymity;匿名性)。
(4)グループ秘密鍵により、グループ署名から署名を生成したグループメンバを特定(トレース)できる(Traceability;追跡能力)。
しかしながら、チャウムらにより提案されたグループ署名方式は、署名サイズ・鍵サイズがグループメンバ数に依存する等により、効率が非実用的である。また、安全性が不十分である。その後、グループ署名方式が満たすべき安全性としては、以下の要件が提案されている。
2つのグループ署名が、同一のグループメンバが署名したものかどうか判別できない(Unlinkability;非結合性)。
グループメンバが結託しても、メンバをトレース不可能なグループ署名を生成することができない(Coalition-Resistance;耐結託性)。
グループ秘密鍵を知っていても、グループメンバになりすましてグループ署名を生成することができない(Exculpability;弁解能力)。
以降、多くのグループ署名方式が提案されてきたが、その中でも2000年アテニース(Ateniese)ら(非特許文献2参照)により提案されたグループ署名方式は、署名サイズ・鍵サイズがグループメンバ数に依存せず、さらに強RSA仮定及び決定性ディフィーへルマン(Decisional Diffie-Hellman)問題の困難性仮定の下で上記の安全性要件を全て満たすことが証明された方式であり、効率・安全性の両面で実用に耐えうる唯一の方式であると考えられる。なお、強RSA仮定とは、n=pq、p=2p’+1、q=2q’+1、(p,q,p’,q’:素数)を満たすn、平方剰余群QR(n)(位数p’q’)の任意の元u∈QR(n)が与えられたとき、z≡ue (mod n)を満たすe>1を見つけることが困難という仮定である。決定性ディフィーヘルマン問題とは、巡回群G=〈g〉(ここでは上記nの平方剰余群QR(n))について、g,gx,gy,gz∈Gが与えられたとき,gxyと、gzとが等しいかどうかを決める問題である。
ここで、非特許文献1,2等に記載されたグループ署名方式に類似するグループ署名方式を標準的な例として述べる(非特許文献3参照)。ここで、次の表1は、この標準的なグループ署名方式の記号とその説明を示している。
(初期設定)
グループ管理者GM及び追跡機関EMは、それぞれ公開鍵、秘密鍵のペア(PKG,SKG),(PKE,SKE)を作成する。また、グループ公開鍵(PG,PE)及び生成元g等が公開される。
グループ管理者GM及び追跡機関EMは、それぞれ公開鍵、秘密鍵のペア(PKG,SKG),(PKE,SKE)を作成する。また、グループ公開鍵(PG,PE)及び生成元g等が公開される。
メンバAとなるユーザは、例えば生成元gに基づき、以下の関係をもつ公開鍵と秘密鍵のペア(PKA,SKA)を生成する。
PA=gSKA
次に、ユーザは秘密鍵SKAにより公開鍵PKAに署名処理を施し、デジタル署名SigSKA(PKA)を得る。ユーザは、鍵ペア(PKA,SKA)が正しく生成された旨(述語)の次のような知識署名SPK(Signature based on a Proof of Knowledge)を生成する。但し、初期設定なので、ここではメッセージmは存在しない。
次に、ユーザは秘密鍵SKAにより公開鍵PKAに署名処理を施し、デジタル署名SigSKA(PKA)を得る。ユーザは、鍵ペア(PKA,SKA)が正しく生成された旨(述語)の次のような知識署名SPK(Signature based on a Proof of Knowledge)を生成する。但し、初期設定なので、ここではメッセージmは存在しない。
SPK{(α)|PKA=gα}(m)=SPK{(SKA)|PA=gSKA}(m)
この知識署名SPKは、e=H(g‖PKA‖gvPKAe‖m)を満たす(e,v)∈{0,1}k×[−2|L|+k,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k)に基づいて、u=grを計算し、e=H(g‖PKA‖u‖m)とし、v=r−eSKAを整数上で求める。
この知識署名SPKは、e=H(g‖PKA‖gvPKAe‖m)を満たす(e,v)∈{0,1}k×[−2|L|+k,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k)に基づいて、u=grを計算し、e=H(g‖PKA‖u‖m)とし、v=r−eSKAを整数上で求める。
しかる後、ユーザは、公開鍵PKA、デジタル署名SigSKA(PKA)及び知識署名SPK=(e,v)をグループ管理者GMに送信する。
グループ管理者GMは、これらを受けると、公開鍵PKAによりデジタル署名SigSKA(PKA)を検証し、公開鍵PKA及び生成元gにより知識署名(e,v)を検証する。なお、知識署名の検証は、e=H(g‖PKA‖gvPKAe‖m)に基づいて行う。
両者の検証により正当性を確認すると、グループ管理者GMは、自己の秘密鍵SKGにより、次のようにユーザの公開鍵PKAに署名処理を施し、得られたメンバ証明書σAをユーザに返信する。これにより、ユーザはメンバAとなる。
σA=SigSKG(PKA)
また、グループ管理者GMは、メンバAのメンバID、公開鍵及び証明書の組(IDA,PKA,σA)を秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PKA,SigSKA(PKA))をメンバリストに追加する。
また、グループ管理者GMは、メンバAのメンバID、公開鍵及び証明書の組(IDA,PKA,σA)を秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PKA,SigSKA(PKA))をメンバリストに追加する。
(グループ署名生成)
署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、x=SAである。
署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、x=SAである。
SPKσ,x=SPK{(α,β)|Verify PKG(f(α),β)=1}(m)
=SPK{(x,σA)|Verify PKG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PKA‖gr^PKG‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPKE(PKA)(追跡可能性)と、この値cの平文(PKA)に対応する秘密鍵xを有する旨を証明する知識署名SPKcを生成する。
=SPK{(x,σA)|Verify PKG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PKA‖gr^PKG‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPKE(PKA)(追跡可能性)と、この値cの平文(PKA)に対応する秘密鍵xを有する旨を証明する知識署名SPKcを生成する。
SPKc=SPK{(α,β)|Verify PKE(f(α),β)=1}(m)
=SPK{(x,c)|Verify PKE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PKA‖gr^PKE‖m)、v2=r−e2(x+c)
しかる後、メンバAは、メッセージmと共に、各データ(SPKσ,x、c、SPKc)を署名として検証者に送信する。なお、cは、証明書σAを暗号化した値c=EPKE(σA)としてもよい。
=SPK{(x,c)|Verify PKE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PKA‖gr^PKE‖m)、v2=r−e2(x+c)
しかる後、メンバAは、メッセージmと共に、各データ(SPKσ,x、c、SPKc)を署名として検証者に送信する。なお、cは、証明書σAを暗号化した値c=EPKE(σA)としてもよい。
(グループ署名検証)
検証者は、メッセージmと共に、各データ(SPKσ,x、c、SPKc)を署名として受けると、グループ公開鍵PKG,PKEに基づいて、知識署名SPKσ,x=(e1,v1)及びSPKc=(e2,v2)を検証する。
検証者は、メッセージmと共に、各データ(SPKσ,x、c、SPKc)を署名として受けると、グループ公開鍵PKG,PKEに基づいて、知識署名SPKσ,x=(e1,v1)及びSPKc=(e2,v2)を検証する。
e1=H(g‖PKA‖gv1^PKGPKAe1^PKG‖m)
e2=H(g‖PKA‖gv2^PKEPKAe2^PKE‖m)
検証者は、メンバAの生成した署名が正当なとき、メッセージmに基づく処理を実行する。一方、検証者は、メンバAの生成した署名に不正があったとき、暗号化された値cを追跡機関EMに送信する。
e2=H(g‖PKA‖gv2^PKEPKAe2^PKE‖m)
検証者は、メンバAの生成した署名が正当なとき、メッセージmに基づく処理を実行する。一方、検証者は、メンバAの生成した署名に不正があったとき、暗号化された値cを追跡機関EMに送信する。
(追跡)
追跡機関EMは、検証者sから受けた値c(=EPKE(PA))を自己の秘密鍵SKEにより復号し、得られたメンバAの公開鍵PKAをグループ管理者GMに送信する。グループ管理者GMは、公開鍵PKAからメンバAを特定する。
追跡機関EMは、検証者sから受けた値c(=EPKE(PA))を自己の秘密鍵SKEにより復号し、得られたメンバAの公開鍵PKAをグループ管理者GMに送信する。グループ管理者GMは、公開鍵PKAからメンバAを特定する。
以上が標準的なグループ署名方式であるが、他のグループ署名方式も同様な性質をもっている。
D. Chaum, E. van Heyst, "Group Signatures", EUROCRYPT’91, LNCS 547, Springer-Verlag, pp.257-265, 1991. G. Ateniese , J. Camenisch, M. Joye and G. Tsudik. A practical and provably secure coalition-resistant group signature scheme. CRYPTO 2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000. 宮地充子、菊池浩明 編著、「情報セキュリティ」、オーム社、ISBN4−274−13284−6、pp.112−114. 特開2004−54905号公報
特開2006−119771号公報
D. Chaum, E. van Heyst, "Group Signatures", EUROCRYPT’91, LNCS 547, Springer-Verlag, pp.257-265, 1991. G. Ateniese , J. Camenisch, M. Joye and G. Tsudik. A practical and provably secure coalition-resistant group signature scheme. CRYPTO 2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000. 宮地充子、菊池浩明 編著、「情報セキュリティ」、オーム社、ISBN4−274−13284−6、pp.112−114.
本発明者の検討によれば、オンラインで商品又はサービスを注文する際には、匿名性と注文内容に関するプライバシについて以下のような課題があると考えられる。
匿名性に関しては、個人情報を管理するコストとリスクが高まる一方であり、サービス提供者にとっては個人情報を管理しなければサービスを提供できないことは望ましくない。また、サービス利用者にとっても複数のサービス提供者がそれぞれ個人情報を管理している状態は望ましくない。
しかしながら、一般的な注文では、サービス提供者に個人情報を渡す必要がある。なお、個人情報を渡さず、個人IDを渡す方法も考えられるが、個人IDを渡す方法では完全な匿名性を実現できない。理由は、複数の異なる注文を同一の個人IDに関連付けられるため、個人ID毎に、注文履歴から趣味・趣向などを把握可能なためである。更に、個人IDを渡す方法では、注文の際にサービス提供者との送受信に加え、個人情報の管理サーバなどにアクセスする場合には、注文の処理効率が低いものとなる。
一方、グループ署名を利用し、完全な匿名で効率よくオンラインサービスを受けることができる技術として、特許文献1記載の技術がある。しかしながら、特許文献1記載の技術では、物流を伴う商品の購入などが考慮されていない。
他方、物流を伴う商品の購入を考慮した技術として、特許文献2記載の技術がある。特許文献2記載の技術では、注文内容のプライバシを保護する仕組みや、サービス提供者がマーケティング情報を入手する仕組みを可能としている。また、秘匿メッセージを用いて管理者のみに商品の発送先を指定する構成により、サービス提供者へ発送先の個人情報が伝わることを防止している(特許文献2の第79段落、第130−133段落及び図17などを参照)。これにより、管理者が管理していない非会員宛であっても、会員により匿名注文された商品を配送することが可能となっている。
しかしながら、本発明者の検討によれば、非会員には無関係の第三者(管理者)に、非会員の氏名や住所、電話番号などの個人情報が知られるのは、あまり好ましくない。
本発明は上記実情を考慮してなされたもので、管理者が管理していない非会員の個人情報を用いずに、会員により匿名注文された商品を非会員に配送し得る匿名注文システム、装置及びプログラムを提供することを目的とする。
第1の発明は、追跡機能を有するグループ署名方式に基づいて、会員による匿名注文に応じて商品を配送するための匿名注文システムであって、前記会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶装置を有し、販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報に対応する個人情報と前記合計金額に基づいて決済処理を実行し、前記注文IDと、前記配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力し、前記注文IDをそれぞれ含む引取情報及び引取コードを個別に送信可能な管理者装置と、商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶装置を有し、前記会員の会員装置から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を前記販売者用記憶装置に記憶して当該注文情報を会員装置に送信し、当該会員装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記決済・配達要求として前記管理者装置に送信し、前記配達情報が入力されると前記販売者用記憶装置を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する販売者装置と、前記会員の操作により、前記販売者装置から前記商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、前記会員の操作により、商品ID、商品個数及び配達先IDを前記販売者装置に送信し、当該販売者装置から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売者装置に送信し、前記管理者装置から受けた引取コードを転送する会員装置と、前記会員装置から転送された引取コードを記憶し且つ表示可能な引取人装置と、前記引取人装置に表示された引取コードに含まれる注文IDと、前記管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、前記配達情報に基づいて予め配達された商品の引取りを、前記引取人装置の持参者に許可する配達先装置とを備えた匿名注文システムである。
なお、第1の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置単体を「装置」、「方法」、「プログラム」、「プログラムを記憶した記憶媒体」として表現してもよい。
(作用)
第1の発明によれば、各装置が以下のように動作する。
第1の発明によれば、各装置が以下のように動作する。
会員装置は、会員の操作により、販売者装置から商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、会員の操作により、商品ID、商品個数及び配達先IDを販売者装置に送信する。
販売者装置は、商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を販売者用記憶装置に記憶して当該注文情報を会員装置に送信する。
会員装置は、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を販売者装置に送信する。
販売者装置は、匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を決済・配達要求として管理者装置に送信する。
管理者装置は、決済・配達要求を受けると、追跡機能により当該グループ署名を復号して得られたグループ署名関連情報に対応する会員の個人情報と合計金額に基づいて決済処理を実行し、注文IDと配達先名と配達先住所とを含む配達情報を出力する。配達情報は、運送会社等から販売者装置に照会される。
販売者装置は、配達情報が入力されると販売者用記憶装置を参照して対応する商品ID及び商品個数を出力する。運送会社等は、配達情報、商品ID及び商品個数に基づいて、商品を販売者から集荷して配達先に配達する。
販売者装置は、配達情報が入力されると販売者用記憶装置を参照して対応する商品ID及び商品個数を出力する。運送会社等は、配達情報、商品ID及び商品個数に基づいて、商品を販売者から集荷して配達先に配達する。
一方、管理者装置は、注文IDを含む引取情報を配達先装置に送信し、注文IDを含む引取コードを会員装置に送信する。
会員装置は、管理者装置から受けた引取コードを引取人装置に転送する。
引取人装置は、引取コードを記憶すると、引取人により配達先に運ばれる。しかる後、引取人装置は、引取人の操作により、引取コードを表示する。
配達先装置は、引取人装置に表示された引取コードに含まれる注文IDと、管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、配達情報に基づいて予め配達された商品の引取りを、引取人装置の持参者に許可する。
以上により、管理者装置は、会員装置が注文した商品の詳細な情報や、会員以外の個人情報を用いることなく、商品を購入した会員から決済をすることができる。補足すると、管理者装置は、商品IDと商品単価と商品個数とのハッシュ値を受けるが、ハッシュ値からは商品IDが分からない。また、販売者装置は、会員や引取人の個人情報を管理する必要がなく、会員や引取人の匿名性を保ったまま商品を販売することができる。
従って、管理者が管理していない非会員の個人情報を用いずに、会員により匿名注文された商品を非会員に配送できる。
以上説明したように本発明によれば、管理者が管理していない非会員の個人情報を用いずに、会員により匿名注文された商品を非会員に配送できる。
以下、本発明の一実施形態について図面を用いて説明する。なお、以下の各装置は、各装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
また、以下の実施形態では、匿名注文システムの一例として、管理会社(グループ管理者、追跡機関)、会員(メンバ、署名者)、販売者(検証者)、運送会社、コンビニエンスストアからなり、物流を伴うオンラインの商品販売に適用した場合を例に挙げて述べる。また、以下の各実施形態は、非特許文献3のグループ署名を代表例に挙げて述べているが、これに限らず、任意のグループ署名方式についても、メッセージmをm=(m1‖H(m2))又はm=(m1‖H(m2)‖EPSP(m3)‖EGM(m4))とすることにより、同様に適用できることも言うまでもない。なお、‖は、連接を表す。
図1乃至図3は本発明の一実施形態に係る匿名注文システムの構成を示す模式図である。この匿名注文システムは、管理者装置100、会員装置200、販売者装置300、運送会社装置400、引取人装置500、及びコンビニエンスストア装置600が互いにネットワーク700を介して接続されている。
ここで、管理者装置100は、会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶装置を有し、販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、追跡機能により当該グループ署名を復号して得られたグループ署名関連情報に対応する個人情報と合計金額に基づいて決済処理を実行し、注文IDと、配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力し、注文IDをそれぞれ含む引取情報及び引取コードを個別に送信可能な装置である。
具体的には、管理者装置100は、管理者用記憶装置101、初期設定部102、会員登録部103、販売者登録部104、決済・配達処理部105、注文検証部106、注文者特定部107、配達情報生成部108、引取情報生成部109及び処理状況管理部110を備えている。
管理者用記憶装置101は、各部102〜110から読出/書込可能な記憶装置であり、図4に示すように、会員管理情報、立ち上げ情報、秘密管理情報、販売者登録情報、配達先登録情報、決済・配達要求、引取状況情報が記憶される。
会員管理情報としては、会員の個人情報や、メンバ公開鍵PKAとデジタル署名のペア(PKA,SigSK_A(PKA))やメンバ証明書σAがある。なお、下付き添字中の空白下線「_」は、続く下付き添字「A」が更なる下付き添字(=2段階目の下付き添字)である旨を表す。この表記は、「_A」に限らず、後述する「_G」、「_GM」及び「_SP」等でも同様である。
会員の個人情報としては、例えば氏名、年齢、住所、連絡先(自宅電話番号)、職業、職場連絡先(職場電話番号)、電子メールアドレス(E-mail)及び決済口座番号などがある。
会員の個人情報としては、例えば氏名、年齢、住所、連絡先(自宅電話番号)、職業、職場連絡先(職場電話番号)、電子メールアドレス(E-mail)及び決済口座番号などがある。
立ち上げ情報としては、グループ公開鍵PKG、PKE、グループ秘密鍵SKG、SKE、管理者公開鍵PKGM、管理者秘密鍵SKGMがある。
秘密管理情報は、管理者用記憶装置101が秘密に管理しなければならない情報であり、メンバIDであるIDAと共に、対応するメンバ公開鍵PKAとメンバ証明書σAがある。なお、秘密管理情報としては、これらに限らず、例えば引取状況の確認などに使用されるパスワードを更に管理してもよい。
秘密管理情報は、管理者用記憶装置101が秘密に管理しなければならない情報であり、メンバIDであるIDAと共に、対応するメンバ公開鍵PKAとメンバ証明書σAがある。なお、秘密管理情報としては、これらに限らず、例えば引取状況の確認などに使用されるパスワードを更に管理してもよい。
販売者登録情報としては、販売者IDm、販売者情報SPB及び販売者公開鍵PKSP_Bがある。
配達先登録情報は、非会員とは無関係に予め記憶され、非会員について商品を引き取り可能な場所を配達先に用いるための情報であり、配達先ID、配達先名、住所及び電話番号がある。
配達先登録情報は、非会員とは無関係に予め記憶され、非会員について商品を引き取り可能な場所を配達先に用いるための情報であり、配達先ID、配達先名、住所及び電話番号がある。
決済・配達要求及び引取状況情報については後述する。
初期設定部102は、初期設定部102により匿名注文用グループをセットアップし、グループ公開鍵・秘密鍵のペア(PKG,SKG),(PKE,SKE)を生成すると共に、自己の管理者公開鍵・秘密鍵のペア(PKGM,SKGM)を生成し、これらの鍵ペアからなる立ち上げ情報を管理者用記憶装置101に書き込む機能をもっている。
会員登録部103は、会員装置200から受信した個人情報に基づいて、会員に対して匿名注文サービスを受けられるか否かを審査する機能と、審査結果を会員装置200に通知する機能と、審査結果が合格のとき、会員IDを発行して、会員ID及び個人情報を会員管理情報として管理者用記憶装置101に書き込む機能と、会員装置200との間で相互認証を実行し、会員装置200から受けたデジタル署名SigSK_A(PKA)及び知識署名SPKを検証して正当性を確認すると、グループ秘密鍵SKGによりメンバ公開鍵PKAに署名処理を施してメンバ証明書σA(=SigSK_G(PKA))を作成する機能と、メンバAのメンバID、公開鍵及び証明書の組(IDA,PKA,σA)からなる秘密管理情報を管理者用記憶装置101の耐タンパー領域に保管するとともに、メンバ公開鍵PKAとデジタル署名のペア(PKA,SigSK_A(PKA))をメンバリストに追加する機能と、メンバ証明書σAを会員装置200に送信する機能とをもっている。
販売者登録部104は、販売者装置300から受けた販売者情報及び販売者公開鍵PKSPを含む販売者登録情報を管理者用記憶装置101に書込み、販売者登録処理を実行する機能と、管理者用記憶装置101内のグループ公開鍵(PKG,PKE)を販売者装置300に返信する機能とをもっている。
決済・配達処理部105は、販売者装置300から受けた決済・配達要求を受けると、匿名注文情報を注文検証部106に渡す機能と、注文者特定部107から受けた会員IDに対応する会員管理情報内の決済口座番号に基づいて、決済処理を実行する機能とをもっている。
注文検証部106は、決済・配達処理部105から受けた匿名注文情報の正当性を検証する機能と、検証結果を注文者特定部107に出力する機能と、検証結果を販売者装置300へ返す機能とをもっている。
注文者特定部107は、注文検証部106から受けた検証結果が正当である場合、管理者用記憶装置101に記憶されている会員から、どの会員が注文したかを特定する機能と、特定した会員の会員IDを決済・配達処理部105及び配達情報生成部108に送出する機能とをもっている。
配達情報生成部108は、注文者特定部107から受けた会員IDに対応する配達先登録情報に基づいて、配達情報を生成する機能をもっている。
引取情報生成部109は、注文IDを含む引取情報を生成する機能をもっている。
処理状況管理部110は、管理者用記憶装置101内の引取状況情報を読出/書込する機能をもっている。
会員装置200は、会員の操作により、販売者装置300から商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、会員の操作により、商品ID、商品個数及び配達先IDを販売者装置300に送信し、当該販売者装置300から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を販売者装置300に送信し、管理者装置100から受けた引取コードを転送する装置である。
具体的には会員装置200は、会員用記憶装置201、登録要求部202、商品選択部203、配送先選択部204、引取人情報入力部205、注文確認部206、匿名情報生成部207、匿名注文部208、引取情報送信部209及び商品状況確認部210を備えている。
会員用記憶装置201は、各部202〜210から読出/書込可能な記憶装置であり、図5に示すように、匿名注文情報生成情報、引取状況問合せ情報及び注文済情報が記憶される。
匿名注文生成情報は、グループ公開鍵PKG,PKE、メンバ公開鍵PKA、メンバ秘密鍵SKA、メンバ証明書σAである。引取状況問合せ情報は、会員ID及びパスワードである。注文済情報は、注文情報及び匿名注文情報である。注文情報及び匿名注文情報については後述する。
登録要求部202は、会員登録時に、会員の操作により、会員の個人情報を管理者装置100に送信する機能と、管理者装置100から受けた会員ID及びパスワードを会員用記憶装置201に書き込む機能と、会員IDと登録したパスワードにより管理者装置100から匿名注文を行うために必要なクライアントソフトウェアをダウンロードしてインストールする機能と、メンバ公開鍵・秘密鍵のペア(PKA,SKA)を生成して会員用記憶装置201に書き込む機能と、管理者装置100との間で相互認証が完了すると、デジタル署名SigSK_A(PKA)及び知識署名SPK=(e,v)を生成し、これらデジタル署名SigSK_A(PKA)及び知識署名SPKを管理者装置100に送信する機能と、管理者装置100から受けたメンバ証明書σAを会員用記憶装置201に保存する機能とをもっている。
商品選択部203は、販売者装置300から提供される商品情報の表示中、会員の操作により、購入する商品の商品IDを選択的に匿名注文部208に入力する機能をもっている。入力としては、商品IDをキー入力してもよく、商品IDの一覧から選択入力してもよい。
配送先選択部204は、販売者装置300から提供される配送先ID一覧の表示中、会員の操作により、配送先IDを選択的に匿名注文部208に入力する。入力としては、配送先IDをキー入力してもよく、配送先IDの一覧から選択入力してもよい。
引取人情報入力部205は、会員の操作により、受取人(引取人)の情報を匿名情報生成部207に入力する機能をもっている。
注文確認部206は、販売者装置300から受けた注文情報mと販売者公開鍵PKSPとを画面表示する機能と、会員の操作により、注文情報mが確認されたとき、当該注文情報及び販売者公開鍵PKSPを匿名情報生成部207に送出する機能とをもっている。
匿名情報生成部207は、注文確認部206から受けた注文情報m及び会員用記憶装置201内の匿名注文生成情報に基づいて、匿名注文情報を生成する機能と、この匿名注文情報を匿名注文部208に送出する機能をもっている。
匿名注文情報は、少なくとも注文基本情報m1、注文詳細情報のハッシュ値H(m2)、販売者への秘匿メッセージEPK_SP(mSP)、管理者への秘匿メッセージEPK_GM(mGM)、これらを連接したメッセージm(=m1‖H(m2)‖EPK_SP(mSP)‖EPK_GM(mGM))に対するグループ署名(SPKσ,x, c, SPKc)からなる(図7参照)。但し、各秘匿メッセージEPK_SP(mSP)、EPK_GM(mGM)は、それぞれ省略可能である。ここでは省略した場合を述べる。
グループ署名(SPKσ,x, c, SPKc)は、グループ公開鍵(PKG, PKE)、会員のメンバ秘密鍵SKA・証明書σAから計算される。ここで、グループ署名生成関数をGSigで表すと、匿名注文情報は次式で表される。
匿名注文情報=(m‖GSig(m))=(m1‖H(m2)‖GSig(m1‖H(m2)))
なお、秘匿メッセージを省略しない場合、上式のmに(m1‖H(m2)‖EPK_SP(mSP)‖EPK_GM(mGM))を代入すればよい。秘匿メッセージを省略しない場合としては、例えば、受取人を親戚又は友人等の他者にする場合、他者宅の住所を含む受取人情報をmGMとした秘匿メッセージEPK_GM(mGM)を用いる場合が考えられる。
なお、秘匿メッセージを省略しない場合、上式のmに(m1‖H(m2)‖EPK_SP(mSP)‖EPK_GM(mGM))を代入すればよい。秘匿メッセージを省略しない場合としては、例えば、受取人を親戚又は友人等の他者にする場合、他者宅の住所を含む受取人情報をmGMとした秘匿メッセージEPK_GM(mGM)を用いる場合が考えられる。
匿名注文部208は、各部203,204等から入力された注文内容(個数、支払方法、配達先ID)と商品IDを販売者装置300へ送信する機能と、匿名情報生成部207から受けた匿名注文情報を販売者装置300に送信する機能とをもっている。
引取情報送信部209は、管理者装置100から受信した引取情報を会員用記憶装置201に格納する機能と、会員の操作により、引取人装置500へ引取情報を転送する機能とをもっている。
商品状況確認部210は、会員の操作により、管理者装置100が提供する会員用ホームページへアクセスし、会員IDとパスワードでログインして、注文IDを含む状況確認要求を送信する機能と、管理者装置100から返信された引取状況情報を表示する機能とをもっている。
販売者装置300は、商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶装置を有し、会員の会員装置200から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を販売者用記憶装置に記憶して当該注文情報を会員装置200に送信し、当該会員装置200から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を決済・配達要求として管理者装置100に送信し、配達情報が入力されると販売者用記憶装置を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する装置である。
具体的には、販売者装置300は、販売者用記憶装置301、登録要求部302、注文受付部303、注文情報生成部304、注文検証部305及び決済・配達要求部306を備えている。
販売者用記憶装置301は、図6に示すように、鍵情報としては、グループ公開鍵(PKG, PKE)、販売者公開鍵PKSP(公開鍵証明書の形式で格納されていてもよい)、販売者秘密鍵SKSPがあり、商品情報としては、商品分類IDCls、商品IDであるIDGDs、商品名GDs_name、単価priceがあり、注文受付情報としては、注文情報(IDm, IDCls, IDGDs, GDs_name, order_time, IDCVS, PKSP)があり、匿名注文情報(m, (SPKσ,x、 c、 SPKc))がある。
ここで、注文情報mは、注文基本情報m1と注文詳細情報m2とが互いに連接して形成されている(m={m1‖m2})。注文基本情報m1は管理者が商品配送・決済を行うのに必要な最低限の情報であり、注文を一意に識別するための情報である注文IDを含む。注文詳細情報m2は、注文基本情報以外の詳細な情報であり、会員のプライバシ保護の観点から管理者に対しては秘匿されることが望ましい情報である。
以下に注文基本情報m1、注文詳細情報m2の具体例を挙げる(図7参照)。
注文基本情報:m1
=(注文ID‖販売者ID‖商品分類ID‖配達先ID‖合計金額‖支払方法)
=(IDorder‖IDm‖IDCls‖IDCVS‖total_amount‖payment_method)
注文詳細情報m2=(商品ID‖商品名‖単価‖個数‖注文日時)
=(IDGDs‖GDs_name‖price‖n‖order_time)
商品分類IDであるIDClsは、本、CD、DVD等の商品区分を指す。商品名GDs_nameは、商品のタイトル等を指す。合計金額は、商品金額に限らず、配送代金を加算される場合がある。配送代金は、例えば商品金額が基準額を上回る場合、無料としてもよい。また、配送先IDに対応する配送先住所が離島の場合、離島でない場合に比べて高額としてもよい。
注文基本情報:m1
=(注文ID‖販売者ID‖商品分類ID‖配達先ID‖合計金額‖支払方法)
=(IDorder‖IDm‖IDCls‖IDCVS‖total_amount‖payment_method)
注文詳細情報m2=(商品ID‖商品名‖単価‖個数‖注文日時)
=(IDGDs‖GDs_name‖price‖n‖order_time)
商品分類IDであるIDClsは、本、CD、DVD等の商品区分を指す。商品名GDs_nameは、商品のタイトル等を指す。合計金額は、商品金額に限らず、配送代金を加算される場合がある。配送代金は、例えば商品金額が基準額を上回る場合、無料としてもよい。また、配送先IDに対応する配送先住所が離島の場合、離島でない場合に比べて高額としてもよい。
登録要求部302は、匿名注文サービスの提供を開始する際に、販売者の操作により、販売者情報及び販売者公開鍵PKSPを管理者装置100に送信する機能と、管理者装置100から受けたグループ公開鍵(PKG,PKE)を鍵情報の一部として販売者用記憶装置301に書き込む機能とをもっている。
注文受付部303は、会員装置200から受けた注文内容(個数、支払方法、配達先ID)及び商品IDを注文情報生成部304に送出する機能と、会員装置200から受けた匿名注文情報を注文検証部305に送出する機能とをもっている。
注文情報生成部304は、注文受付部303から注文内容及び商品IDを受けると、販売者用記憶装置301を参照しながら、注文基本情報m1と注文詳細情報m2からなる注文情報mを生成し、得られた注文情報mと販売者公開鍵PKSPとを会員装置200に送信する機能をもっている。
注文検証部305は、注文受付部303から匿名注文情報を受けると、販売者用記憶装置301内の鍵情報に基づいて匿名注文情報の正当性を検証し、検証結果が正当を示す場合にのみ注文を受け付ける機能をもっている。
決済・配達要求部306は、注文検証部305による検証結果が正当を示すとき、匿名注文情報としての決済・配達要求を管理者装置100へ送信する機能をもっている。
決済・配達要求としては、図4に示したように(IDorder‖ IDm‖ IDCls‖ H(IDGDs‖ GDs_name‖ price‖ n‖ order_time)‖ IDCVS‖ total_amount‖ payment_method)及び(SPKσ,x、 c、 SPKc)が送られる。すなわち、決済・配達要求は、匿名注文情報に含まれる情報の順序を変えたものに相当する。
運送会社装置400は、運送会社用記憶装置401、配送受付部402、配達情報検証部403及び配達確認情報生成部404を備えている。
運送会社用記憶装置401は、各部402〜404から読出/書込可能な記憶装置であり、図8に示すように、鍵情報と、署名付の配達情報とが記憶される。
鍵情報は、管理者公開鍵PKGMである。署名付の配達情報は、配達情報(IDorder‖IDm‖IDGDs‖time_limit‖IDDVS‖total_amount‖payment_method)と、配達情報に対する管理者装置100の秘密鍵SKGMによる電子署名とから構成される。
配送受付部402は、管理者装置100から受けた署名付きの配達情報を配達情報検証部403に送出する機能をもっている。
配達情報検証部403は、配送受付部402から受けた署名付きの配達情報を検証する機能と、検証結果が正しいとき、署名付きの配達情報を運送会社用記憶装置401に書き込む機能とをもっている。
配達確認情報生成部404は、配送員の操作により、図9に示す如き、注文ID、ステータス及び日時情報からなる配達確認情報を生成する機能と、この配達確認情報を管理者装置100に送信する機能とをもっている。
引取人装置500は、会員とは異なる非会員により携帯され、会員装置200から転送された引取コードを記憶し且つ表示可能な装置である。
具体的には、引取人装置500は、引取人用記憶装置501、引取情報受信部502及び引取情報表示部503を備えている。
引取人用記憶装置501は、各部502〜503から読出/書込可能な記憶装置であり、図10に示すように、署名付きの引取情報が二次元コード化されてなる引取コードが記憶される。
引取情報受信部502は、会員装置200から転送された引取コードを受信して引取人用記憶装置501に書き込む機能をもっている。
引取情報表示部503は、引取人の操作により、引取人用記憶装置501内の引取コードを表示する機能をもっている。
コンビニエンスストア装置600は、引取人装置500に表示された引取コードに含まれる注文IDと、管理者装置100から受信した引取情報に含まれる注文IDとが互いに一致するとき、配達情報に基づいて予め配達された商品の引取りを、引取人装置の持参者に許可する装置(配達先装置)である。ここで、コンビニエンスストア装置600は、非会員により商品を引き取り可能な任意の場所(商品の配達先)に予め配置されている。なお、商品の配達先としては、配達先登録情報内の配達先IDに対応する配達先住所で示される場所であれば、コンビニエンスストアに限定されない。例えば、郵便局、デパート又は駅などの任意の場所が商品の配達先として使用可能である。
具体的には、コンビニエンスストア装置600は、コンビニエンスストア用記憶装置601、引取情報検証部602、引取状況応答部603、引取情報確認部604及び引取完了送信部605を備えている。
コンビニエンスストア用記憶装置601は、各部602〜605から読出/書込可能な記憶装置であり、図11に示すように、鍵情報と、署名付きの引取情報と、引取状況情報とが記憶される。
鍵情報は、管理者公開鍵PKGMである。署名付の引取情報は、引取情報(IDorder‖IDm‖total_amount‖payment_method)と、引取情報に対する管理者装置100の秘密鍵SKGMによる電子署名とから構成される。引取状況情報は、注文ID、ステータス及び更新日時から構成される。
引取情報検証部602は、管理者装置100から受信した署名付きの引取情報を管理者公開鍵PKGMにより検証する機能と、検証結果が正当のとき、署名付きの引取情報をコンビニエンス用記憶装置601に書き込む機能とをもっている。
引取状況応答部603は、管理者装置100から注文IDを含む状況確認要求を受けると、コンビニエンス用記憶装置601を参照し、注文IDに対応する引取状況情報を管理者装置100に返信する機能をもっている。
引取情報確認部604は、引取人装置500に表示された二次元コードを読み取り、コンビニエンスストア用記憶装置601内の引取情報と一致するものがあるか確認する機能と、一致するものがあれば、商品の引取りを許可する旨を表示画面等に出力する機能とをもっている。
なお、引取情報確認部604は、これに限らず、引取人装置500に表示された二次元コードの検証機能を有していてもよい。この場合、引取情報確認部604は、引取人装置500に表示された二次元コードをコンビニエンスストア用記憶装置601内の管理者公開鍵PKGMにより検証する機能を備えればよい。このような検証機能によれば、例えば、コンビニエンスストア用記憶装置601内の引取情報と比較する前に、引取人装置500に表示された二次元コードを検証できる利点がある。なお、この検証機能は、必ずしも引取情報確認部604に実装する必要は無く、例えば、引取情報検証部602に二次元コードの検証を要求してもよいことは言うまでもない。
引取完了送信部605は、コンビニエンスストアの店員の操作により、注文ID、ステータス及び引取日時からなる引取完了通知を生成する機能と、この引取完了通知を管理者装置100へ送信する機能と、コンビニエンスストア用記憶装置601内の引取状況情報を引取完了通知の内容に更新する機能とをもっている。
次に、以上のように構成された匿名注文システムの動作を図12乃至図14のシーケンス図を用いて説明する。以下の説明は、登録フェーズ、匿名注文フェーズ、配送・引取フェーズの順に行う。
(登録フェーズ;図12)
管理者装置100は、匿名注文を会員向けに行うために、初期設定(ST1)が必要となる。これについては、特許文献2に詳しい。本実施形態では、管理者装置100は、初期設定部102により匿名注文用グループをセットアップし、グループ公開鍵・秘密鍵のペア(PKG,SKG),(PKE,SKE)を生成すると共に、自己の管理者公開鍵・秘密鍵のペア(PKGM,SKGM)を生成し、これらの鍵ペアからなる立ち上げ情報を管理者用記憶装置101に書き込まれているものとする。
管理者装置100は、匿名注文を会員向けに行うために、初期設定(ST1)が必要となる。これについては、特許文献2に詳しい。本実施形態では、管理者装置100は、初期設定部102により匿名注文用グループをセットアップし、グループ公開鍵・秘密鍵のペア(PKG,SKG),(PKE,SKE)を生成すると共に、自己の管理者公開鍵・秘密鍵のペア(PKGM,SKGM)を生成し、これらの鍵ペアからなる立ち上げ情報を管理者用記憶装置101に書き込まれているものとする。
販売者装置300は、匿名注文サービスの提供を開始する際に、販売者の操作により、登録要求部302が販売者情報及び販売者公開鍵PKSPを管理者装置100に送信する(ST2)。
管理者装置100では、販売者登録部104が、これら販売者情報及び販売者公開鍵PKSPを含む販売者登録情報を管理者用記憶装置101に書込み、販売者登録処理を実行する(ST3)。販売者登録部104は、管理者用記憶装置101内のグループ公開鍵(PKG,PKE)を販売者装置300に返信する(ST4)。
販売者装置300では、登録要求部302がグループ公開鍵(PKG,PKE)を鍵情報の一部として販売者用記憶装置301に書き込む。鍵情報としては、他に、販売者の公開鍵・秘密鍵のペア(PKSP,SKSP)がある。
会員は会員装置200を用いて、登録要求部202よりネットワーク700を介して管理者装置100へ会員登録を行う。
会員装置200では、会員の操作により、登録要求部202が個人情報を管理者装置100に送信する(ST5)。
管理者装置100では、会員登録部103がこの個人情報に基づいて、会員が匿名注文サービスを受けられるか否かを審査し(ST6)、例えば審査を通過した旨を会員装置200に通知する(ST7)。と同時に、管理者装置100では、会員登録の要求を受けると会員IDを発行して、それら会員ID及び個人情報等を会員管理情報として管理者用記憶装置101に登録する。また、管理者装置100では、発行した会員ID及びパスワードを会員装置に送信する。
会員装置200では、登録後、例えば会員は発行された会員IDと登録したパスワードにより管理者装置が提供する会員限定のホームページから匿名注文を行うために必要なクライアントソフトウェアをダウンロードし、会員装置200にインストールする。
クライアントソフトウェアがインストールされると、登録要求部202がこの通知に基づいて、匿名注文システムのメンバとしてのメンバ公開鍵・秘密鍵のペア(PKA,SKA)を生成して会員用記憶装置201に書き込む(ST8)。
しかる後、会員装置200では、登録要求部202が管理者装置100との間でチャレンジ・レスポンス認証を実行する(ST9)。なお、チャレンジ・レスポンス認証の過程で、メンバ公開鍵PKA及び管理者公開鍵PKGMは、会員装置200と管理者装置100との間で共有される。
ステップST9のチャレンジ・レスポンスにより相互に認証が完了すると、会員装置200は、登録要求部202がデジタル署名SigSK_A(PKA)及び知識署名SPK=(e,v)を生成し、これらデジタル署名SigSK_A(PKA)及び知識署名SPKを管理者装置100に送信する(ST10)。
管理者装置100では、会員登録部103が、これらデジタル署名SigSK_A(PKA)及び知識署名SPKを検証し(ST11)、両者の検証により正当性を確認すると、グループ秘密鍵SKGによりメンバ公開鍵PKAに署名処理を施してメンバ証明書σA(=SigSK_G(PKA))を作成する(ST12)。
しかる後、会員登録部103は、メンバAのメンバID、公開鍵及び証明書の組(IDA,PKA,σA)からなる秘密管理情報を管理者用記憶装置101の耐タンパー領域に保管するとともに、メンバ公開鍵PKAとデジタル署名のペア(PKA,SigSK_A(PKA))をメンバリストに追加する。
また管理者装置100は、会員登録部103がメンバ証明書σAを会員装置200に送信する(ST14)。
会員装置200では、登録要求部202がメンバ証明書σAを会員用記憶装置201に保存する(ST15)。会員装置200は、以上の処理をグループ参加時のメンバ登録の最初の1回だけ行えばよい。会員は、ここで生成されたメンバ秘密鍵SKAとメンバ証明書σAを利用して何度でも匿名注文を行うことができる。
(匿名注文フェーズ;図13)
図13は、匿名注文フェーズの流れを示した図である。
図13は、匿名注文フェーズの流れを示した図である。
会員装置200では、例えばインターネットを経由してホームページなどにより販売者装置300から提供される商品情報を表示する(ST21)。
会員装置200の商品選択部203では、商品情報の表示中、会員の操作により、購入する商品を選択する(ST22)。そして、商品の受取人が会員以外(友人、親戚等)である場合、もしくは会員であっても自宅住所を管理者以外(運送会社等)に知られたくない場合は、会員装置200は、会員の操作により、配送先選択部204が、ホームページ上で表示される配送先IDの一覧などから配送先を選択する(ST23)。
なお、受取人へ配送先を管理者から通知する場合には、受取人情報入力部205にて、受取人の連絡先として例えば電子メールアドレスを匿名注文部208に入力する。この場合、匿名注文部208は、電子メールアドレスを含むメッセージmGMを管理者公開鍵PKGMで暗号化し、得られた秘匿メッセージEPK_GM(mGM)を、後述する匿名注文情報に含めればよい。但し、今回は、受取人の情報を管理者に通知しない観点から、電子メールアドレスを入力しない。
匿名注文部208は、注文内容(個数、支払方法、配達先ID)と商品IDを販売者装置300へ送信する(ST24)。
販売者装置300においては、注文受付部303が注文内容及び商品IDを受けると、注文情報生成部304が販売者用記憶装置301を参照しながら、注文基本情報m1と注文詳細情報m2からなる注文情報mを生成し、得られた注文情報mと販売者公開鍵PKSPとを会員装置200に送信する(ST25)。
会員装置200は、これら注文基本情報m1と注文詳細情報m2とを注文確認部206が画面表示する。会員は、この画面表示により、注文内容が自分の意図したものであるかを確認し、会員装置200を操作する。
会員装置200は、会員の操作により、匿名情報生成部207が会員用記憶装置201内の匿名注文生成情報に基づいて、注文基本情報m1及び注文詳細情報m2から匿名注文情報を生成し(ST26)、この匿名注文情報を、匿名注文部208を介して販売者装置300に送信する(ST27)。
販売者装置300は、注文受付部303で匿名注文情報を受信すると、注文検証部305が販売者用記憶装置301内の鍵情報に基づいて匿名注文情報の正当性を検証し(ST28)、注文詳細情報のハッシュ値H(m2)が正しく計算されていることと、グループ署名(SPKσ,x, c, SPKc)が正当であることを確認できた場合にのみ注文を受け付け(ST29;OK(正当))、それ以外の場合は注文を拒否する(ST29;NG(不当))。
販売者装置300は、注文検証部305が注文を受け付けると、注文情報生成部304が生成した注文情報と、受け付けた匿名注文情報とを販売者用記憶装置301に保存する(ST30)。そして、販売者装置300は、注文情報を会員装置200へ送信する。
会員装置200では、注文情報を受け取ると、注文確認部206にて注文した内容が正しいことを確認する。
さらに販売者装置300は、決済・配達要求部306にて、匿名注文情報とともに、配達先の代わりに注文IDが記載された決済・配達要求を発行し(ST31)、管理者装置100へ送信する(ST32)。
管理者装置100は、決済配達処理部105で決済・配達要求を受けると、匿名注文情報の正当性を検証し(ST33)、検証結果を販売者装置300へ返す(ST34)。検証結果が正当である場合には、注文者特定部107にて、管理者用記憶装置101に記憶されている会員から、どの会員が注文したかを特定する(ST35)。しかる後、決済・配達処理部105は、注文者特定部107から受けた会員IDに対応する会員管理情報内の決済口座番号に基づいて、決済処理を実行する。なお、実際の決済(銀行からの引き落とし等)は、必ずしもこの時点で行う必要は無く、支払方法(payment_method)又は会員登録時の規則に従って月末などに行えばよい。
そして、配達情報生成部108は、運送会社装置400へ配達内容を指示するための配達情報を生成する(ST36)。さらに、配送先で引取人が引取りを確認するための引取情報を引取情報生成部109にて生成する(ST37)。
そして、受け取った決済・配達要求や、生成した配達情報、引取情報などは管理者用記憶装置101に格納される。
(配送・引取フェーズ;図14)
管理者装置100は、配達情報生成部108にて配達情報を生成すると、配達情報をネットワーク700を通じて運送会社装置400へ送信する(ST41)。
管理者装置100は、配達情報生成部108にて配達情報を生成すると、配達情報をネットワーク700を通じて運送会社装置400へ送信する(ST41)。
運送会社装置400は、配送受付部402にて配達情報を受け付けると、配達情報を配達情報検証部403にて検証する。配達情報の検証としては、例えば管理者の電子署名を管理者公開鍵PKGMにより検証することにより、正当性や改竄の有無などを検証する。検証結果が正しければ、配達情報検証部403は、運送会社用記憶装置401に配達情報を格納する。
続いて、管理者装置100は、二次元コード化された引取情報(引取コード)を会員装置200に送信すると共に、引取情報をコンビニエンスストア装置600に送信する(ST43、ST46)。
なお、匿名注文情報の管理者へのメッセージmGMに、例えば引取人の電子メールアドレスなどが含まれる場合には、会員装置100へ引取情報を送信するのではなく、直接引取人装置500へ引取情報を送信してもよい。本形態では、個人情報保護の観点から、会員装置200へ引取情報を送信し、会員装置200から引取人装置500へ引取情報を送信するものとする。
引取コードは、二次元コードの画像形式で表現された引取情報である。なお、引取コードに代えて、管理者装置100の電子署名の形式に基づく引取情報を用いてもよい。引取情報は、管理者装置100の電子署名形式に基づいて作成され、例えば、引取情報(IDorder‖IDm‖total_amount‖payment_method)及びその電子署名(SigSK_GM(IDorder‖IDm‖total_amount‖payment_method))からなる署名付の引取情報(IDorder‖IDm‖total_amount‖payment_method‖SigSK_GM(IDorder‖IDm‖total_amount‖payment_method))となっている。なお、引取情報は電子署名を省略してもよい。また、引取情報及び引取コードは、いずれもセキュリティを考慮しないならば、IDとパスワードの様なデータでも構わない。
会員装置100は、管理者装置100から受信した引取情報を会員用記憶装置201に格納する(ST45)。そして、引取人装置500へ引取情報を転送する(ST44)。引取人装置500は、引取人用記憶装置501に引取情報を格納する(ST45)。
コンビニエンスストア装置600は、引取情報を受信すると引取情報検証部602にて検証する。この検証は、管理者の公開鍵PKGMで行うものとする。検証結果が正しければ、コンビニエンスストア用記憶装置601に引取情報を格納する(ST47)。
運送会社は、配達情報に基づいて、配達情報に含まれる注文IDに対応した商品を集荷し、同じく配達情報に含まれる配送先IDに対応したコンビニエンスストアへ商品を配送する。配送が終了すると、配送員の操作により、配達確認情報生成部404にて配達確認情報を生成し(ST48)、管理者装置100へ送信する(ST49)。配達確認情報は、図9に示す様な注文IDとステータスに配送完了日時とからなる情報である。管理者装置100は、管理者用記憶装置101の引取状況情報のステータスを“(配送先IDの店舗に)配送済”に更新する(ST50)。
商品の注文主である会員は、会員装置200の操作により、管理者装置100へ商品の配送状況や引取状況がどうなっているか確認できる。例えば会員装置200の商品状況確認部210は、会員の操作により、管理者装置100が提供する会員用ホームページへアクセスし、会員IDとパスワードでログインして、注文IDを含む状況確認要求を送信する(ST51)。
管理者装置100は、状況確認要求を受け取ると、処理状況管理部110が、対応する注文IDに基づいて管理者用記憶装置101内の引取状況情報を検索し(ST52)、得られた引取状況情報を会員装置200に返信する(ST53)。
会員装置200は、引取状況情報を表示し、配送済み(商品が指定されたコンビニエンスストアに配送された)や引取済み(商品が引き取られた)といった状況を会員に確認させる(ST54)。
また、管理者装置100が配達確認情報を受信後で、かつコンビニエンスストア装置600より引取完了通知を受け取っていなければ、コンビニエンスストア装置100の引取状況応答部603へ確認をする。引取状況応答部603は、商品が引き取られているか、引き取られていないかをコンビニエンスストア用記憶装置601にて確認し回答する。
続いて、引取人は、引取人装置500を持って指定されたコンビニエンスストアへ行く。引取人装置500は、引取情報表示部503に二次元コードを表示する。
一方、コンビニエンスストア装置600は、この二次元コードを引取情報確認部604が読み取り(ST55)、コンビニエンスストア用記憶装置601内の引取情報と一致するものがあるか確認する(ST56)。一致するものがあれば、引取情報確認部604は、商品の引取りを許可する旨を表示画面等に出力する。この出力により、コンビニエンスストアの店員は、引取情報に対応する注文IDの商品を引取人に引き渡し、必要であれば決済を行う(ST57)。
コンビニエンスストア装置600は、店員の操作により、引取完了送信部605にて引取完了通知を生成し、管理者装置100へ送信する(ST58)。引取完了通知は、図9同様に、注文IDに引取りが完了したステータス、引取日時からなる情報である。
管理者装置100は、引取完了通知を受信すると、管理者用記憶装置101の対応する商品の引取状況を更新し(ST59)、引取完了通知を会員装置200へ送信する(ST60)。
以上の手順により、会員は管理者、販売者、配送会社に商品の配送先である引取人の個人情報を知られることなく、商品を引取人へ送ることが可能となる。
また、運送会社による商品の配送状況、引取人による商品の引取状況の確認も可能となる。
上述したように本実施形態によれば、匿名注文システムにおいて、注文IDに対応する商品を配達先IDで指定した配達先(例、コンビニエンスストア)に配達しておき、非会員が引取コード(注文ID)を提示して商品を受け取る構成となっている。
これにより、管理者が管理していない非会員の個人情報を用いずに、会員により匿名注文された商品を非会員に配送できる。また、会員が注文した商品を管理者が管理していない非会員に配達する際に、利用者の匿名性とプライバシを保護し、かつ配達先の個人情報を保護することができる。
詳しくは、管理者装置は、会員装置が注文した商品の詳細な情報や、会員以外の個人情報を用いることなく、商品を購入した会員から決済をすることができる。補足すると、管理者装置は、商品IDと商品単価と商品個数とのハッシュ値を受けるが、ハッシュ値からは商品IDが分からない。また、販売者装置は、会員や引取人の個人情報を管理する必要がなく、会員や引取人の匿名性を保ったまま商品を販売することができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
100…管理者装置、101…管理者用記憶装置、102…初期設定部、103…会員登録部、104…販売者登録部、105…決済・配達処理部、106…注文検証部、107…注文者特定部、108…配達情報生成部、109…引取情報生成部、110…処理状況管理部、200…会員装置、201…会員用記憶装置、202…登録要求部、203…商品選択部、204…配送先選択部、205…引取人情報入力部、206…注文確認部、207…匿名情報生成部、208…匿名注文部、209…引取情報送信部、210…商品状況確認部、300…販売者装置、301…販売者用記憶装置、302…登録要求部、303…注文受付部、304…注文情報生成部、305…注文検証部、306…決済・配達要求部、400…運送会社装置、401…運送会社用記憶装置、402…配送受付部、403…配達情報検証部、404…配達確認情報生成部、500…引取人装置、501…引取人用記憶装置、502…引取情報受信部、503…引取情報表示部、600…コンビニエンスストア装置、601…コンビニエンスストア用記憶装置、602…引取情報検証部、603…引取状況応答部、604…引取情報確認部、605…引取完了送信部、700…ネットワーク。
Claims (5)
- 追跡機能を有するグループ署名方式に基づいて、会員による匿名注文に応じて商品を配送するための匿名注文システムであって、
前記会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶装置を有し、販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報に対応する個人情報と前記合計金額に基づいて決済処理を実行し、前記注文IDと、前記配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力し、前記注文IDをそれぞれ含む引取情報及び引取コードを個別に送信可能な管理者装置と、
商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶装置を有し、前記会員の会員装置から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を前記販売者用記憶装置に記憶して当該注文情報を会員装置に送信し、当該会員装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記決済・配達要求として前記管理者装置に送信し、前記配達情報が入力されると前記販売者用記憶装置を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する販売者装置と、
前記会員の操作により、前記販売者装置から前記商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、前記会員の操作により、商品ID、商品個数及び配達先IDを前記販売者装置に送信し、当該販売者装置から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売者装置に送信し、前記管理者装置から受けた引取コードを転送する会員装置と、
前記会員装置から転送された引取コードを記憶し且つ表示可能な引取人装置と、
前記引取人装置に表示された引取コードに含まれる注文IDと、前記管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、前記配達情報に基づいて予め配達された商品の引取りを、前記引取人装置の持参者に許可する配達先装置と
を備えたことを特徴とする匿名注文システム。 - 追跡機能を有するグループ署名方式を管理者装置が管理し且つ前記グループ署名方式に基づいて、会員による匿名注文に応じて商品を配送するための匿名注文システムに用いられ、
商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶装置を有し、前記会員の会員装置から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を前記販売者用記憶装置に記憶して当該注文情報を会員装置に送信し、当該会員装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記決済・配達要求として前記管理者装置に送信し、配達情報が入力されると前記販売者用記憶装置を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する販売者装置と、
前記会員の操作により、前記販売者装置から前記商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、前記会員の操作により、商品ID、商品個数及び配達先IDを前記販売者装置に送信し、当該販売者装置から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売者装置に送信し、受信した引取コードを転送する会員装置と、
前記会員装置から転送された引取コードを記憶し且つ表示可能な引取人装置と、
前記引取人装置に表示された引取コードに含まれる注文IDと、前記管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、前記配達情報に基づいて予め配達された商品の引取りを、前記引取人装置の持参者に許可する配達先装置とを備えた前記匿名注文システムにおける前記各装置のうち、前記販売者装置、前記会員装置及び前記配達先装置に通信可能な前記管理者装置であって、
前記会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶装置と、
前記販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、当該グループ署名を検証する検証手段と、
この検証結果が正当のとき、前記追跡機能により当該グループ署名を復号する復号手段と、
前記復号により得られたグループ署名関連情報に対応する個人情報と前記合計金額に基づいて決済処理を実行する決済処理手段と、
前記検証手段による検証結果が正当のとき、前記決済・配達要求に含まれる注文IDに基づいて前記管理者用記憶装置を参照し、当該注文IDと、前記配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力する配達情報出力手段と、
前記検証手段による検証結果が正当のとき、前記決済・配達要求に含まれる注文IDを含む引取情報を前記配達先装置に送信すると共に、当該注文IDを含む引取コードを前記会員装置に送信する引取情報送信手段と
を備えたことを特徴とする管理者装置。 - 追跡機能を有するグループ署名方式に基づいて、会員による販売者装置への匿名注文に応じて商品を配送するための匿名注文システムに用いられ、
前記会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶装置を有し、前記販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報に対応する個人情報と前記合計金額に基づいて決済処理を実行し、前記注文IDと、前記配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力し、前記注文IDをそれぞれ含む引取情報及び引取コードを個別に送信可能な管理者装置と、
前記会員の操作により、前記販売者装置から前記商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、前記会員の操作により、商品ID、商品個数及び配達先IDを前記販売者装置に送信し、当該販売者装置から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売者装置に送信し、前記管理者装置から受けた引取コードを転送する会員装置と、
前記会員装置から転送された引取コードを記憶し且つ表示可能な引取人装置と、
前記引取人装置に表示された引取コードに含まれる注文IDと、前記管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、前記配達情報に基づいて予め配達された商品の引取りを、前記引取人装置の持参者に許可する配達先装置とを備えた前記匿名注文システムにおける前記各装置のうち、前記管理者装置及び前記会員装置に通信可能な前記販売者装置であって、
商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶装置と、
前記会員の会員装置から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を前記販売者用記憶装置に書き込んで当該注文情報を会員装置に送信する注文情報送信手段と、
当該会員装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証する検証手段と、
この検証結果が正当のとき、当該匿名注文情報を前記決済・配達要求として前記管理者装置に送信する決済・配達要求送信手段と、
前記配達情報が入力されると前記販売者用記憶装置を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する出力手段と
を備えたことを特徴とする販売者装置。 - 追跡機能を有するグループ署名方式を管理者装置が管理し且つ前記グループ署名方式に基づいて、会員による匿名注文に応じて商品を配送するための匿名注文システムに用いられ、
商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶装置を有し、前記会員の会員装置から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を前記販売者用記憶装置に記憶して当該注文情報を会員装置に送信し、当該会員装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証して検証結果が正当のとき、当該匿名注文情報を前記決済・配達要求として前記管理者装置に送信し、配達情報が入力されると前記販売者用記憶装置を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する販売者装置と、
前記会員の操作により、前記販売者装置から前記商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、前記会員の操作により、商品ID、商品個数及び配達先IDを前記販売者装置に送信し、当該販売者装置から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売者装置に送信し、受信した引取コードを転送する会員装置と、
前記会員装置から転送された引取コードを記憶し且つ表示可能な引取人装置と、
前記引取人装置に表示された引取コードに含まれる注文IDと、前記管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、前記配達情報に基づいて予め配達された商品の引取りを、前記引取人装置の持参者に許可する配達先装置とを備えた前記匿名注文システムにおける前記各装置のうち、前記販売者装置、前記会員装置及び前記配達先装置に通信可能な前記管理者装置のプログラムであって、
前記管理者装置のコンピュータを、
前記会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶手段、
前記販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、当該グループ署名を検証する検証手段、
この検証結果が正当のとき、前記追跡機能により当該グループ署名を復号する復号手段、
前記復号により得られたグループ署名関連情報に対応する個人情報と前記合計金額に基づいて決済処理を実行する決済処理手段、
前記検証手段による検証結果が正当のとき、前記決済・配達要求に含まれる注文IDに基づいて前記管理者用記憶手段を参照し、当該注文IDと、前記配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力する配達情報出力手段、
前記検証手段による検証結果が正当のとき、前記決済・配達要求に含まれる注文IDを含む引取情報を前記配達先装置に送信すると共に、当該注文IDを含む引取コードを前記会員装置に送信する引取情報送信手段、
として機能させるためのプログラム。 - 追跡機能を有するグループ署名方式に基づいて、会員による販売者装置への匿名注文に応じて商品を配送するための匿名注文システムに用いられ、
前記会員の個人情報とグループ署名関連情報とが互いに関連付けられて記憶され且つ配達先IDと配達先名と配達先住所とが互いに関連付けられて記憶された管理者用記憶装置を有し、前記販売者装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む決済・配達要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報に対応する個人情報と前記合計金額に基づいて決済処理を実行し、前記注文IDと、前記配達先IDに対応する配達先名と配達先住所とを含む配達情報を出力し、前記注文IDをそれぞれ含む引取情報及び引取コードを個別に送信可能な管理者装置と、
前記会員の操作により、前記販売者装置から前記商品ID、商品単価、配達先ID及び配達先名を読み出して表示し、前記会員の操作により、商品ID、商品個数及び配達先IDを前記販売者装置に送信し、当該販売者装置から注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を受けると、この注文情報に基づいて、注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を生成し、得られた匿名注文情報を前記販売者装置に送信し、前記管理者装置から受けた引取コードを転送する会員装置と、
前記会員装置から転送された引取コードを記憶し且つ表示可能な引取人装置と、
前記引取人装置に表示された引取コードに含まれる注文IDと、前記管理者装置から受信した引取情報に含まれる注文IDとが互いに一致するとき、前記配達情報に基づいて予め配達された商品の引取りを、前記引取人装置の持参者に許可する配達先装置とを備えた前記匿名注文システムにおける前記各装置のうち、前記管理者装置及び前記会員装置に通信可能な前記販売者装置のプログラムであって、
前記販売者装置のコンピュータを、
商品IDと商品単価とが互いに関連付けられて記憶され且つ配達先IDと配達先名とが互いに関連付けられて記憶された販売者用記憶手段、
前記会員の会員装置から商品ID、商品個数及び配達先IDを受けると、注文ID、商品ID、商品単価、商品個数、配達先ID及び合計金額を含む注文情報を前記販売者用記憶手段に書き込んで当該注文情報を会員装置に送信する注文情報送信手段、
当該会員装置から注文ID、商品IDと商品単価と商品個数とのハッシュ値、配達先ID、合計金額及びグループ署名を含む匿名注文情報を受けると、当該グループ署名を検証する検証手段、
この検証結果が正当のとき、当該匿名注文情報を前記決済・配達要求として前記管理者装置に送信する決済・配達要求送信手段、
前記配達情報が入力されると前記販売者用記憶手段を参照して当該配達情報に含まれる注文IDに対応する商品ID及び商品個数を出力する出力手段、
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006141958A JP2007310830A (ja) | 2006-05-22 | 2006-05-22 | 匿名注文システム、装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006141958A JP2007310830A (ja) | 2006-05-22 | 2006-05-22 | 匿名注文システム、装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007310830A true JP2007310830A (ja) | 2007-11-29 |
Family
ID=38843596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006141958A Pending JP2007310830A (ja) | 2006-05-22 | 2006-05-22 | 匿名注文システム、装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007310830A (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002109409A (ja) * | 2000-09-29 | 2002-04-12 | Fujitsu Ltd | 電子商取引システムにおける電子商取引方法 |
JP2006119771A (ja) * | 2004-10-19 | 2006-05-11 | Toshiba Corp | 匿名注文システム、装置及びプログラム |
-
2006
- 2006-05-22 JP JP2006141958A patent/JP2007310830A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002109409A (ja) * | 2000-09-29 | 2002-04-12 | Fujitsu Ltd | 電子商取引システムにおける電子商取引方法 |
JP2006119771A (ja) * | 2004-10-19 | 2006-05-11 | Toshiba Corp | 匿名注文システム、装置及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4116971B2 (ja) | グループ署名のための暗号システム | |
JP4509611B2 (ja) | 電子署名保証システム、プログラム及び装置 | |
KR100989477B1 (ko) | 익명 주문용 프로그램을 기억한 기억 매체 및 장치 | |
US5671279A (en) | Electronic commerce using a secure courier system | |
US6061792A (en) | System and method for fair exchange of time-independent information goods over a network | |
US20070255661A1 (en) | Anonymous order system, an anonymous order apparatus, and a program therefor | |
CN108476139B (zh) | 匿名通信系统及用于向该通信系统加入的方法 | |
WO2003105400A1 (ja) | データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム | |
KR20050089802A (ko) | 조건부 전자 서명의 생성 방법, 조건부 전자 서명의 검증방법, 상태 정보 배포 방법 및 이를 수행하는 데이터 처리장치 및 컴퓨터 프로그램 | |
KR20040055776A (ko) | 데이터 공급 방법 및 시스템, 디지털 인증서, 디지털서명, 디지털 서명 제공 방법 및 시스템, 전자적 재산권의소유권 이전 방법 및 시스템, 전자 투표 방법 및 시스템,및 컴퓨터 프로그램 제품 | |
JP2002247029A (ja) | 認証装置、認証システムおよびその方法、処理装置、通信装置、通信制御装置、通信システムおよびその方法、情報記録方法およびその装置、情報復元方法およびその装置、その記録媒体 | |
JP2004013600A (ja) | データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム | |
JP2001357322A (ja) | 契約方法及び契約処理システム | |
JP2010218440A (ja) | 決済システム、決済方法および情報処理装置 | |
JP2008099138A (ja) | 匿名注文システム、装置、及びプログラム | |
JP6800045B2 (ja) | 署名支援サーバ、中継サーバ、署名支援プログラム、及び中継プログラム | |
JP2007141005A (ja) | 公文書取得機能を備えた電子申請システム | |
JP2001216360A (ja) | 予約証明証発行装置および方法 | |
JP4724040B2 (ja) | 匿名注文システム、装置及びプログラム | |
JP4643240B2 (ja) | 匿名再送システム、装置及びプログラム | |
JP2002288502A (ja) | 電子クーポンサービス装置及び電子クーポンシステム | |
JP2004015507A (ja) | アクセス権限管理システム、通信処理装置、および方法、並びにコンピュータ・プログラム | |
JP4795776B2 (ja) | サービス提供システム、装置及びプログラム | |
JP4207465B2 (ja) | データ処理権限管理システム、情報処理装置、および方法、並びにコンピュータ・プログラム | |
JP2008028983A (ja) | 匿名注文用プログラム及び装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090311 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110726 |