JP2008199206A - 電子マネーシステム、その決済端末、プログラム - Google Patents
電子マネーシステム、その決済端末、プログラム Download PDFInfo
- Publication number
- JP2008199206A JP2008199206A JP2007030899A JP2007030899A JP2008199206A JP 2008199206 A JP2008199206 A JP 2008199206A JP 2007030899 A JP2007030899 A JP 2007030899A JP 2007030899 A JP2007030899 A JP 2007030899A JP 2008199206 A JP2008199206 A JP 2008199206A
- Authority
- JP
- Japan
- Prior art keywords
- secret key
- terminal
- key
- split
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000006854 communication Effects 0.000 claims abstract description 56
- 238000004891 communication Methods 0.000 claims abstract description 53
- 238000012545 processing Methods 0.000 claims abstract description 48
- 238000000034 method Methods 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 25
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 230000004913 activation Effects 0.000 abstract description 10
- 239000006185 dispersion Substances 0.000 abstract description 2
- 101150012579 ADSL gene Proteins 0.000 description 15
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 15
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 15
- 238000001994 activation Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 3
- 230000001934 delay Effects 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 101000775660 Anarhichas lupus Type-3 ice-structuring protein 1.5 Proteins 0.000 description 1
- 101000775628 Anarhichas lupus Type-3 ice-structuring protein 1.9 Proteins 0.000 description 1
- 101000643905 Nostoc sp. (strain PCC 7120 / SAG 25.82 / UTEX 2576) Cytochrome b6-f complex iron-sulfur subunit 3 Proteins 0.000 description 1
- 101000775697 Pseudopleuronectes americanus Ice-structuring protein 3 Proteins 0.000 description 1
- 101000775692 Pseudopleuronectes americanus Ice-structuring protein 4 Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
【課題】決済端末が盗難にあった場合でも、ICカード不正アクセスや秘匿鍵漏洩を有効に防止でき且つ決済端末起動時間の遅延やばらつきを抑制することができる。
【解決手段】各決済端末5はICカードとの通信処理に秘匿鍵を必要とする。秘匿鍵はセンタサーバ1が管理している。この秘匿鍵を分割した分割鍵A、Bのうち分割鍵Aを各決済端末5、分割鍵Bを仮認証端末6の不揮発性メモリに記憶する。各決済端末5は、起動後、まず、仮認証端末6との認証処理を行い、認証成功したら分割鍵Bを取得してこれを分割鍵Aと結合することで秘匿鍵を生成し、生成した秘匿鍵を用いて仮運用を開始する。その後、センタサーバ1から秘匿鍵を取得し、この秘匿鍵を用いて運用を行う。秘匿鍵は揮発性メモリに格納され、端末5の電源OFFにより消去される。
【選択図】図1
【解決手段】各決済端末5はICカードとの通信処理に秘匿鍵を必要とする。秘匿鍵はセンタサーバ1が管理している。この秘匿鍵を分割した分割鍵A、Bのうち分割鍵Aを各決済端末5、分割鍵Bを仮認証端末6の不揮発性メモリに記憶する。各決済端末5は、起動後、まず、仮認証端末6との認証処理を行い、認証成功したら分割鍵Bを取得してこれを分割鍵Aと結合することで秘匿鍵を生成し、生成した秘匿鍵を用いて仮運用を開始する。その後、センタサーバ1から秘匿鍵を取得し、この秘匿鍵を用いて運用を行う。秘匿鍵は揮発性メモリに格納され、端末5の電源OFFにより消去される。
【選択図】図1
Description
本発明は、ICカードを用いた電子マネー用の決済端末、すなわち、投入金額分の電子マネーをICカードに入金、積み増ししたり、商品やサービス購入時の利用額分の電子マネーをICカードから差し引いたりする決済端末を有する電子マネーシステムに関する。
今日、電車やバスなどの公共交通手段や、各種商店等において、ICカード(非接触型又は接触型のICカード;以下特に区別せずにICカードと記す)を用いた電子マネーを使用するキャッシュレス決済システム(電子マネーシステム)が導入されている。このようなシステムでは、ICカードへの入金処理や、利用額の差引き処理を始めとするICカードへのアクセス処理(電子マネー決済処理)を、ICカードR/W(リーダ/ライタ)を有する決済端末が行なっている。
電子マネーを用いた決済システムでは、ICカードへの不正なアクセス(入金せずに利用額を積みましたり、利用履歴の書換えを行う等)を防ぐために、決済端末とICカードとの通信において、秘匿鍵による認証を行なったり、通信を暗号化したりするなどして、安全性を高めている。
しかしながら、このようなシステムでは、決済端末の盗難が問題となる。たとえば、盗難にあった決済端末がICカードへの金額積み増し機だった場合、窃盗犯は紙幣を利用して自己のICカードに電子マネーを無尽蔵に積み増すことが出来る。また、積み増し機ではなかったとしても、決済端末の記憶領域を解析することで、前述の秘匿鍵の読み出しを試行される可能性がある。万が一その秘匿鍵が漏洩してしまった場合は、技術的にはその秘匿鍵を用いてICカードへの通信を自由に行なうことが可能となってしまい、電子マネーシステムの安全性を破綻させてしまう。
上記の決済端末の盗難による秘匿鍵漏洩等の問題を解決する手法として、特許文献1記載の発明では、プリペイドタイプのICカード用の金額積み増し機において、決済端末起動毎に、センタサーバと接続して認証を行い、正常であれば、センタサーバより、ICカード通信用の秘匿鍵(認証鍵Z)を獲得している。
特開2005−157497号公報
しかし、上記特許文献1の発明では、決済端末起動毎に必ずセンタサーバに接続する必要がある為、決済端末の設置台数が増加するに従い、センタサーバにおける通信負荷が増加する問題がある。
通常、決済端末の起動は、当該端末を設置する店舗の開店時付近にほぼ同時に行なわれる。この為、センタサーバにおける同時接続数の制限によっては、決済端末からの認証通信にセンタサーバビジーによるリトライが発生し、その結果、認証・秘匿鍵の受信が遅延し、決済端末電源ONからICカードが利用可能となるまでの時間(端末起動時間というものとする)に、通信回線状況による遅延・ばらつきが発生するという問題が生じてしまう。更に、場合によっては、リトライ回数が許容回数を超過し、端末停止状態に遷移する場合もある。
特に、電子マネーの利用が拡大し、決済端末の設置台数が増加することが予想され、決
済端末間の端末起動時間の遅延、ばらつきがより大きくなり、端末の利便性という点で、大きな問題となる。
済端末間の端末起動時間の遅延、ばらつきがより大きくなり、端末の利便性という点で、大きな問題となる。
本発明の課題は、決済端末が盗難にあった場合でも、ICカード不正アクセスや秘匿鍵漏洩を有効に防止でき、更に決済端末起動時間の遅延やばらつきを抑制することができる電子マネーシステム、その決済端末、プログラム等を提供することである。
本発明の電子マネーシステムは、電子マネー機能を有するICカードに対して秘匿鍵を必要とする通信処理を行う複数の決済端末を有する電子マネーシステムであって、第1のネットワークに接続された1又は複数の前記決済端末と該第1のネットワークを介して通信可能な仮認証端末を設け、該仮認証端末は、前記秘匿鍵を分割して成る2つの分割鍵の一方を記憶する第1の不揮発性の記憶手段を有し、前記各決済端末は、前記2つの分割鍵の他方を記憶する第2の不揮発性の記憶手段と、起動する毎に、前記第1のネットワークを介して前記仮認証端末から前記一方の分割鍵を取得して、該取得した分割鍵と前記第2の不揮発性の記憶手段に記憶されている他方の分割鍵とから秘匿鍵を生成して、該生成した秘匿鍵を揮発性の記憶手段に記憶する初期処理手段とを有し、該生成・記憶した秘匿鍵を用いて前記ICカードとの通信処理を行う。
上記決済端末がもし盗難にあった場合でも、電源OFFにより揮発性の記憶手段に記憶された秘匿鍵は消去された状態であり、この決済端末から秘匿鍵情報の読出しは出来ない。また、第2の不揮発性の記憶手段に記憶された分割鍵のみでは、秘匿鍵は生成できない。従って、ICカード不正アクセスや秘匿鍵漏洩を有効に防止できる。更に決済端末起動時間の遅延やばらつきを抑制することができる。
更に、例えば、前記各決済端末は、前記初期処理手段による処理後、第2のネットワークを介してセンタサーバに対して秘匿鍵を要求し、該センタサーバから秘匿鍵を取得したら、該取得した秘匿鍵を前記揮発性の記憶手段に上書き記憶することで、その後は該センタサーバから取得した秘匿鍵を用いて前記ICカードとの通信処理を行うようにしてもよい。
秘匿鍵が更新(バージョンアップ等)される場合があるので、これに対応して、分割鍵による秘匿鍵生成・運用開始後に、センタサーバから秘匿鍵(上記の通り更新版となる場合もある)を取得する。このとき、もし、センタサーバがビジー状態等であっても、既に運用開始されているので(ここでは仮運用となるが)、決済端末起動時間の遅延等の問題は生じない。
また、例えば、前記決済端末は、前記仮認証端末から前記一方の分割鍵を取得する前に該仮認証端末との認証処理を行い、1又は複数回認証失敗した場合には、自端末の運用を強制停止する。
上記の通り、決済端末が盗難された場合、秘匿鍵は保持されていないが、盗難者が盗んだ決済端末を外部ネットワークに接続してセンタサーバにアクセスして、センタサーバから秘匿鍵を取得することを試みる可能性がある。この問題に対応して、上記の通り、起動後にはまず仮認証端末との認証処理が行われ、認証失敗した場合には端末停止とすることで、センタサーバにアクセスできないようにしている。
本発明の電子マネーシステム、その決済端末、プログラム等によれば、決済端末が盗難にあった場合でも、ICカード不正アクセスや秘匿鍵漏洩を有効に防止でき、更に決済端
末起動時間の遅延やばらつきを抑制することができる。すなわち、盗難にあった決済端末を用いたICカードへのアクセスが出来ないようにし、あるいはこの決済端末から秘匿鍵情報の読出しが出来ないようにし、更に端末起動時にセンタサーバからの秘匿鍵取得が遅れることによる端末起動時間の遅延・ばらつきを抑制することができる。
末起動時間の遅延やばらつきを抑制することができる。すなわち、盗難にあった決済端末を用いたICカードへのアクセスが出来ないようにし、あるいはこの決済端末から秘匿鍵情報の読出しが出来ないようにし、更に端末起動時にセンタサーバからの秘匿鍵取得が遅れることによる端末起動時間の遅延・ばらつきを抑制することができる。
以下、図面を参照して、本発明の実施の形態について説明する。
図1に本例の電子マネーシステム全体の構成例を示す。
図示の電子マネーシステムでは、センタサーバ1はネットワーク2に接続しており、各決済端末5及び仮認証端末6は、ISP(Internet Service Provider;プロバイダ)3、ADSL機器4を介して、ネットワーク2(インターネット等の外部ネットワーク)に接続している。これより、センタサーバ1と各決済端末5又は仮認証端末6とは、ネットワーク2を介して通信可能となっている。また、各決済端末5同士又は決済端末5と仮認証端末6とは、ADSL機器4を介して、相互に通信可能となっている。尚、ADSL機器4は、例えばADSLモデム、ADSLルータ等から成り、各決済端末5及び仮認証端末6はLANケーブル等によってADSLルータに接続され、ネットワーク7を構成している(よく知られているように、これによってLANが構成される。これを内部ネットワークと呼ぶものとする)。勿論、これは一例であり、インターネットへの接続方法はADSLに限るものではないし、各決済端末5同士又は決済端末5と仮認証端末6との通信は、何等かのネットワーク、たとえばLAN等を介するものであればよい。
図1に本例の電子マネーシステム全体の構成例を示す。
図示の電子マネーシステムでは、センタサーバ1はネットワーク2に接続しており、各決済端末5及び仮認証端末6は、ISP(Internet Service Provider;プロバイダ)3、ADSL機器4を介して、ネットワーク2(インターネット等の外部ネットワーク)に接続している。これより、センタサーバ1と各決済端末5又は仮認証端末6とは、ネットワーク2を介して通信可能となっている。また、各決済端末5同士又は決済端末5と仮認証端末6とは、ADSL機器4を介して、相互に通信可能となっている。尚、ADSL機器4は、例えばADSLモデム、ADSLルータ等から成り、各決済端末5及び仮認証端末6はLANケーブル等によってADSLルータに接続され、ネットワーク7を構成している(よく知られているように、これによってLANが構成される。これを内部ネットワークと呼ぶものとする)。勿論、これは一例であり、インターネットへの接続方法はADSLに限るものではないし、各決済端末5同士又は決済端末5と仮認証端末6との通信は、何等かのネットワーク、たとえばLAN等を介するものであればよい。
各決済端末5は、例えば百貨店やショッピングモール等の所定のエリア内の各店舗毎に1台以上設けられており、例えばこの百貨店やショッピングモール等のような所定のエリア毎に1つのADSL機器4と1台の仮認証端末6が設けられている。各ADSL機器4にはドメインが割り当てられている。任意の1つのADSL機器4に接続される各決済端末5は、当該ADSL機器4に接続される仮認証端末6によって(換言すれば、同一ドメインのグループ内の処理によって)、詳しくは後述するように仮運用が行える。
各決済端末5は、電子マネー機能を有するICカードメディア(上記ICカード等)との間で接触型又は非接触型の通信処理を行って、ICカードに記憶される金額データの積み増し/差し引き等を行ったり、履歴書込み等を行う(電子マネー決済処理を行う)。尚、ICカードメディアにはICカード以外にも様々な種類(タグ等)があるが、ここではこれらもICカードと呼ぶものとする。
上述した従来技術で説明した通り、各決済端末5がICカードとの通信処理を行う為に必要となる秘匿鍵は、センタサーバ1において管理されている。そして、基本的には、各決済端末5は、起動(電源ON)する毎にセンタサーバ1から秘匿鍵を取得する必要がある(電源OFFにより秘匿鍵は消去される)。但し、本手法では、センタサーバ1から秘匿鍵を取得する前でも(あるいは取得しなくても)運用可能となっており、その為に仮認証端末6を設けている。詳しくは後述する。
図2、図3にそれぞれ、図1における決済端末、仮認証端末の構成例を示す。
図2に示すように、決済端末5は、主局(上位コントローラ)10と従局(カード制御ユニット)20とから成る。ICカードとの通信制御ユニットである従局20は、主制御部21(CPU等)、記憶装置(不揮発性)22、記憶装置23(揮発性)、通信制御部(対主局)24、通信制御部25、通信制御部(対カード)26、及びR/W(リーダライタ)27等から成り、特に図示しないが、タンパ技術が適用されている。
図2に示すように、決済端末5は、主局(上位コントローラ)10と従局(カード制御ユニット)20とから成る。ICカードとの通信制御ユニットである従局20は、主制御部21(CPU等)、記憶装置(不揮発性)22、記憶装置23(揮発性)、通信制御部(対主局)24、通信制御部25、通信制御部(対カード)26、及びR/W(リーダライタ)27等から成り、特に図示しないが、タンパ技術が適用されている。
主制御部21(CPU等)は、当該従局20全体を制御する中央処理装置である。
記憶装置(不揮発性)22は、例えばフラッシュメモリ等の不揮発性のメモリ等であり
、例えば後述する図5、図6のフローチャートに示す決済端末5の処理を、主制御部21(CPU等)により実行させる為の所定のアプリケーションプログラムが記憶されている。更に、後述する分割/結合アルゴリズムを実現させるアプリケーションプログラムも記憶されている。また、後述する分割鍵Aも、記憶装置(不揮発性)22に記憶されることになる。従って、分割鍵Aは電源OFF時にも消去されない。
記憶装置(不揮発性)22は、例えばフラッシュメモリ等の不揮発性のメモリ等であり
、例えば後述する図5、図6のフローチャートに示す決済端末5の処理を、主制御部21(CPU等)により実行させる為の所定のアプリケーションプログラムが記憶されている。更に、後述する分割/結合アルゴリズムを実現させるアプリケーションプログラムも記憶されている。また、後述する分割鍵Aも、記憶装置(不揮発性)22に記憶されることになる。従って、分割鍵Aは電源OFF時にも消去されない。
記憶装置23(揮発性)は、例えばRAM等の揮発性メモリ等であり、上記秘匿鍵等が格納されることになる。従って、電源OFFにより秘匿鍵は消去され、起動後に再び秘匿鍵を獲得する必要がある。
決済端末5が盗まれる際には、通常、電源ケーブルが抜かれることになるので、電源OFFになる。よって、秘匿鍵は消去されるので、当該盗難にあった決済端末5を用いてICカードに不正アクセスすることは出来ないし、当然、秘匿鍵は漏洩されない。尚、分割鍵Aは消去されずに残っているが、当然、分割鍵Aを用いてICカードにアクセスすることは出来ないし、分割鍵Aを解析しても秘匿鍵は分からない。従って、決済端末が盗まれた場合でも、ICカード不正アクセスや秘匿鍵漏洩を有効に防止できる。
通信制御部(対主局)24は、主局(上位コントローラ)10と接続されており、主局10との通信を制御する。主制御部21は、この通信制御部(対主局)24を介して、主局10との通信を行うが、本発明には特に関係しないので、特に説明しない。
通信制御部25は、上記ADSL機器4、ISP3、及びネットワーク2を介してセンタサーバ1との通信を行い、あるいはADSL機器4を介して他の決済端末5又は仮認証端末6との通信を行う機能部である。
R/W(リーダライタ)27は、ICカード・リーダ/ライタであり、ここでは一例として非接触型ICカードとの通信を行うものとするが、上記の通り、接触型であってもよい。通信制御部(対カード)26は、このR/W(リーダライタ)27を制御して、任意のユーザが提示するICカードとの通信を行って、上述した各種電子マネー決済処理を行う。その際、上記秘匿鍵が必要となる。
図3に示すように、仮認証端末6は、主制御部31、記憶装置32、及び通信制御部33を有する。
主制御部31(CPU等)は、当該仮認証端末6全体を制御する中央処理装置である。
主制御部31(CPU等)は、当該仮認証端末6全体を制御する中央処理装置である。
記憶装置(不揮発性)32には、例えば後述する図5のフローチャートに示す仮認証端末6の処理を、主制御部31(CPU等)により実行させる為の所定のアプリケーションプログラムが記憶されている。更に、後述する分割アルゴリズムを実現させるアプリケーションプログラムも記憶されている。また、後述する分割鍵B等も、記憶装置32に記憶されることになる。
通信制御部33は、センタサーバ1や各決済端末5との通信を行う通信機能部である。
ここで、上述した分割鍵A、分割鍵Bについて説明する。
図4は、分割鍵について説明する為の図である。
ここで、上述した分割鍵A、分割鍵Bについて説明する。
図4は、分割鍵について説明する為の図である。
図示の通り、分割鍵A、分割鍵Bは、秘匿鍵を、所定の分割アルゴリズムによって2つに分割したものである。すなわち、各決済端末5および仮認証端末6は、それぞれ、定期的に(決済端末5の場合は後述する図5、図6の処理等により)、秘匿鍵をセンタサーバ1より獲得する。各決済端末5は、獲得した秘匿鍵を揮発性の記憶領域(記憶装置23)に格納すると共に、この秘匿鍵を上記分割アルゴリズムによって2つに分割する。分割方
法は様々であってよいが、本例では秘匿鍵を上位バイトと下位バイトに2等分し、それぞれ分割鍵Aおよび分割鍵Bとする。そして、決済端末5では、分割鍵Aのみを不揮発性の格納領域(記憶装置22)に格納する(分割鍵Bは消去する)。そして、上記格納した秘匿鍵を用いてICカードとの通信処理を行うが、電源OFFにより秘匿鍵は端末上から消去されることになる。その後、端末起動した際には、後述するように分割鍵を利用することになる。
法は様々であってよいが、本例では秘匿鍵を上位バイトと下位バイトに2等分し、それぞれ分割鍵Aおよび分割鍵Bとする。そして、決済端末5では、分割鍵Aのみを不揮発性の格納領域(記憶装置22)に格納する(分割鍵Bは消去する)。そして、上記格納した秘匿鍵を用いてICカードとの通信処理を行うが、電源OFFにより秘匿鍵は端末上から消去されることになる。その後、端末起動した際には、後述するように分割鍵を利用することになる。
一方、仮認証端末6は、獲得した秘匿鍵を、上記決済端末5と同じ分割アルゴリズムによって分割鍵Aと分割鍵Bとに分割するが、分割鍵Bのみを不揮発性の格納領域(記憶装置32)に格納する。更に、秘匿鍵のハッシュ値も算出し、不揮発性の記憶領域(記憶装置32)に格納しておく。そして、獲得した秘匿鍵及び分割鍵Aは消去する。ハッシュ値算出アルゴリズムは任意でよいが、後述するように、決済端末5も同じアルゴリズムを用いる。
上記分割鍵の生成処理は、センタサーバ1から秘匿鍵を獲得する毎に行ってもよいし、予め分割鍵生成の為に秘匿鍵を取得して上記分割鍵の生成処理を行った後は、この処理は行わないようにしてもよい。あるいは、センタサーバ1が、分割鍵の生成処理は行ったうえで、分割鍵A、Bをそれぞれ各決済端末5、仮認証端末6に配信するようにしてもよい。
尚、秘匿鍵の分割アルゴリズムについては、上述した単純に上位/下位で2等分する方法に限るものではなく、2つに分割する方法であればどのような方式であってもよい。
秘匿鍵を分割し、それぞれ異なる端末に格納することで、決済端末の盗難等によって仮に不揮発性の記憶領域を解析され内容が読み取られたとしても、有効な秘匿鍵情報が読み出せない仕組みにしている。
秘匿鍵を分割し、それぞれ異なる端末に格納することで、決済端末の盗難等によって仮に不揮発性の記憶領域を解析され内容が読み取られたとしても、有効な秘匿鍵情報が読み出せない仕組みにしている。
図5、図6に、決済端末の起動時の初期化フローを示す。
上述した通り、起動直後の決済端末5は、ICカードとの種々の通信処理(電子マネー決済処理、積み増し処理等)に必要な秘匿鍵を保持していない状態である。ただし、不揮発性記憶領域内に、秘匿鍵を分割した分割鍵Aを保持している。このような状態の決済端末5(の従局20)は先ず、カウントダウンタイマを起動し、カウントダウンを始める(ステップS11)。このタイマは、後述する仮認証サーバとの相互認証が正常終了する毎に(ステップS14,YES)初期化される(カウントダウンを初めからやり直す)(ステップS15)。タイムアップした場合は(ステップS12,YES)決済端末5の運用を強制的に停止する。仮認証端末6との認証処理が失敗し続け、ステップS12、S13、S14の処理がループして所定時間経過したとき、ステップS12の判定がYESとなる。これは、特許文献1と同様、決済端末5が盗難された後にセンタサーバ1にアクセスされて秘匿鍵を取得されてしまうことを防止する為である(盗難者が別の場所で外部ネットワークに接続しても、仮認証端末6にはアクセスできない。よって、新たに秘匿鍵を取得することはできない。また、分割鍵Bも取得できないので、秘匿鍵が生成されることもない)。尚、認証処理の内容は、特許文献1記載の認証処理を行ってもよいし、他の任意の認証処理であってもよい。これは後述するステップS24の処理においても同様である。
上述した通り、起動直後の決済端末5は、ICカードとの種々の通信処理(電子マネー決済処理、積み増し処理等)に必要な秘匿鍵を保持していない状態である。ただし、不揮発性記憶領域内に、秘匿鍵を分割した分割鍵Aを保持している。このような状態の決済端末5(の従局20)は先ず、カウントダウンタイマを起動し、カウントダウンを始める(ステップS11)。このタイマは、後述する仮認証サーバとの相互認証が正常終了する毎に(ステップS14,YES)初期化される(カウントダウンを初めからやり直す)(ステップS15)。タイムアップした場合は(ステップS12,YES)決済端末5の運用を強制的に停止する。仮認証端末6との認証処理が失敗し続け、ステップS12、S13、S14の処理がループして所定時間経過したとき、ステップS12の判定がYESとなる。これは、特許文献1と同様、決済端末5が盗難された後にセンタサーバ1にアクセスされて秘匿鍵を取得されてしまうことを防止する為である(盗難者が別の場所で外部ネットワークに接続しても、仮認証端末6にはアクセスできない。よって、新たに秘匿鍵を取得することはできない。また、分割鍵Bも取得できないので、秘匿鍵が生成されることもない)。尚、認証処理の内容は、特許文献1記載の認証処理を行ってもよいし、他の任意の認証処理であってもよい。これは後述するステップS24の処理においても同様である。
タイマを起動した後、決済端末5は、当該端末5と同ドメイン内の(同じADSL機器に接続されている)仮認証端末6との相互認証処理を行う(ステップS13、S31)。相互認証処理が正常に完了すると(ステップS14,YES)、上記の通り、タイマをクリアする(ステップS15)。そして仮認証端末6に対して、仮認証端末6が所持する分割鍵Bの要求と、センタサーバ1への接続許可を要求する(ステップS16)。
ステップS32でこの要求を受信した仮認証端末6は、自己が保持する分割鍵B及び秘匿鍵のハッシュ値を読出し、これらを要求元の決済端末5に送信する。また、センタサーバ1への接続可否を決定し、この決定内容(許可or不許可)も要求元の決済端末5へ送信する(ステップS33)。
尚、センタサーバ1への接続可否を仮認証端末6が設定するのは、同ドメイン内の決済端末5のセンタサーバ1への接続をスケジューリングするためである(特に、多くの決済端末5が同時期に集中してセンタサーバ1にアクセスしないようにする為である)。センタサーバ1への接続可否を決定する方法は、この趣旨に沿うものであれば何でもよい。例えば一例としては、接続許可を受けた決済端末5は、センタサーバ1との通信処理(秘匿鍵の獲得処理等)が完了したら、仮認証端末6に対してアクセス完了を通知するようにし、仮認証端末6は接続許可を出してから完了通知を受信するまでの間は、他の決済端末5に接続許可を出さない、等とする。
ステップS17で分割鍵B等の情報を受信した決済端末5は、仮運用開始済みではない場合には(ステップS18,NO)、分割鍵の結合処理を実行する。すなわち、自己が所持する分割鍵Aを読み出して(ステップS19)、この分割鍵Aと受信した分割鍵Bとを結合することで、ICカードとの通信処理に必要な秘匿鍵を生成する。勿論、この結合処理には、上記分割アルゴリズムに対応する結合アルゴリズムを用いる。
更に、結合処理により生成した秘匿鍵のハッシュ値を算出し、これを仮認証端末6から受信したハッシュ値と比較することで、生成した秘匿鍵の妥当性と検証する(例えば、両者が一致すれば、正常な秘匿鍵を生成できたと判定する)(ステップS20)。尚、このハッシュ値算出には、当然、上記仮認証端末6がハッシュ値を算出したアルゴリズムと同じアルゴリズムを用いる。
正常な秘匿鍵が生成出来た場合(ステップS21,YES)、この秘匿鍵を揮発性の記憶領域(記憶装置23)に格納する(ステップS22)。この時点で、この決済端末5では、ICカードとの通信処理(電子マネー決済処理等)が可能な状態となる。このタイミングで端末5の内部状態を仮運用状態とし、仮運用を開始する(ステップS23)。
尚、ハッシュ値は、上記のように仮認証端末で生成/保持する方法のほかに、決済端末側で分割鍵生成時に生成/格納し、それを妥当性検証に用いる方式であっても良い。
また、尚、上記ステップS17の処理後、仮運用開始済みであれば(ステップS18,YES)(後述するステップS25の判定がNOの場合、ステップS12に戻る為)、ステップS19〜S23の処理は行わない。
また、尚、上記ステップS17の処理後、仮運用開始済みであれば(ステップS18,YES)(後述するステップS25の判定がNOの場合、ステップS12に戻る為)、ステップS19〜S23の処理は行わない。
その後、決済端末5は、仮認証端末6からセンタサーバ1との接続を許可されていれば、センタサーバ1との相互認証処理を行い(ステップS24、S41)、認証成功した場合には(ステップS25,YES)、センタサーバ2に対して秘匿鍵を要求する(ステップS26)。センタサーバ1は、この要求を受信すると(ステップS42)、現在自己が管理している秘匿鍵を、要求元の決済端末5へ送信する(ステップS43)。
これにより、センタサーバ1が現在保持・管理している秘匿鍵を受信した決済端末5は(ステップS27)、この秘匿鍵を揮発性の記憶領域(記憶装置23)に格納し(分割鍵A、Bを結合した秘匿鍵に上書きしてしまう)(ステップS28)、決済処理の本運用を開始し(ステップS29)、本起動処理を終了する。
上記の例に限らず、例えば、上記分割鍵A、Bを用いて生成した秘匿鍵を用いて本運用を行うようにし、センタサーバ1からの秘匿鍵取得は行わないようにしてもよい。この場
合には、更に、分割鍵A、Bは、それぞれ、予め各決済端末5、仮認証端末6に記憶しておくようにし、上記分割アルゴリズムを用いた分割鍵生成処理は行わなくても済むようにできる。
合には、更に、分割鍵A、Bは、それぞれ、予め各決済端末5、仮認証端末6に記憶しておくようにし、上記分割アルゴリズムを用いた分割鍵生成処理は行わなくても済むようにできる。
但し、上記の例のように仮運用開始後にセンタサーバ1から秘匿鍵を取得している理由は、実運用上、秘匿鍵の更新(バージョンアップ等)が行われることがあるからである。もし、秘匿鍵の更新が行われていた場合、分割鍵A、Bを用いて生成した秘匿鍵は古いもの(旧バージョン等)となるので、とりあえずこの旧秘匿鍵を用いて仮運用を行い、その後にセンタサーバ1から新秘匿鍵を取得したら、この新秘匿鍵を用いて本運用を行うことになる。尚、この場合には、新秘匿鍵の分割鍵を生成・記憶する必要があるので、上記分割アルゴリズムを用いた分割鍵生成処理も行う必要がある。
この様に、秘匿鍵の更新に対応する必要がある場合には上記図5、図6の処理を行うことになるし、秘匿鍵の更新を考慮する必要が無い場合には、上記の通り、センタサーバ1からの秘匿鍵取得等は行わなくてもよい。
センタサーバとの接続が許可されていない場合、あるいは、センタサーバとの通信に失敗した場合(ステップS25,NO)(センタサーバビジーで通信できなかった場合)等は、仮認証端末6との通信からやり直す。これは、接続を許可されていない場合には当然接続許可を得る為に行う。センタサーバとの通信に失敗した場合には、仮認証端末6との通信からやり直す必要なくリトライするようにしてもよいが、接続許可が1回の通信の許可のみを意味するものである場合には、やはり、仮認証端末6との通信からやり直す。
上記図5、図6の処理では、仮にセンタサーバ1がビジー状態である為にセンタサーバ1から秘匿鍵を取得するのが遅れたとしても、それまでは分割鍵A、Bを用いて生成した秘匿鍵を用いたICカードとの通信処理を行えるので、上記端末起動時間の遅延・ばらつきを抑制することができる。また、これによってセンタサーバ1からの秘匿鍵獲得を急ぐ必要は無くなるので、上記の通り、接続許可によるスケジューリングによってセンタサーバ1の通信処理負荷を軽減できる。
尚、図5、図6に示す処理は一例であり、この例に限るものではない。
以上説明した本発明の電子マネーシステム、その決済端末、仮認証端末等によれば、決済端末が盗難にあった場合でも、この盗難にあった決済端末を用いたICカードとの通信処理が行なえず、不揮発性の記憶領域にはICカードとの通信に必要な秘匿鍵は格納されていないことから、情報漏洩の問題も無くなる。そして、更に、センタサーバの通信負荷状況により、通信に失敗し、センタサーバからの秘匿鍵の獲得が行なえない状況になったとしても、上記仮運用を行うことができるので、決済端末起動時間(決済端末電源ONからICカードが利用可能となるまでの時間)の遅延やばらつきを抑制することができる。また、仮認証端末6の通信処理負荷に関しては、仮認証端末6の通信相手はそのエリア内の決済端末のみであるので、これによって上記遅延やばらつきの問題が生じることは無い(問題が生じないように、各エリア毎の決済端末の台数の上限を決めればよい)。
以上説明した本発明の電子マネーシステム、その決済端末、仮認証端末等によれば、決済端末が盗難にあった場合でも、この盗難にあった決済端末を用いたICカードとの通信処理が行なえず、不揮発性の記憶領域にはICカードとの通信に必要な秘匿鍵は格納されていないことから、情報漏洩の問題も無くなる。そして、更に、センタサーバの通信負荷状況により、通信に失敗し、センタサーバからの秘匿鍵の獲得が行なえない状況になったとしても、上記仮運用を行うことができるので、決済端末起動時間(決済端末電源ONからICカードが利用可能となるまでの時間)の遅延やばらつきを抑制することができる。また、仮認証端末6の通信処理負荷に関しては、仮認証端末6の通信相手はそのエリア内の決済端末のみであるので、これによって上記遅延やばらつきの問題が生じることは無い(問題が生じないように、各エリア毎の決済端末の台数の上限を決めればよい)。
1 センタサーバ
2 ネットワーク
3 ISP
4 ADSL機器
5 決済端末
6 仮認証端末
7 ネットワーク
10 主局(上位コントローラ)
20 従局(カード制御ユニット)
21 主制御部
22 記憶装置(不揮発性)
23 記憶装置(揮発性)
24 通信制御部(対主局)
25 通信制御部
26 通信制御部(対カード)
27 R/W(リーダライタ)
31 主制御部
32 記憶装置
33 通信制御部
2 ネットワーク
3 ISP
4 ADSL機器
5 決済端末
6 仮認証端末
7 ネットワーク
10 主局(上位コントローラ)
20 従局(カード制御ユニット)
21 主制御部
22 記憶装置(不揮発性)
23 記憶装置(揮発性)
24 通信制御部(対主局)
25 通信制御部
26 通信制御部(対カード)
27 R/W(リーダライタ)
31 主制御部
32 記憶装置
33 通信制御部
Claims (6)
- 電子マネー機能を有するICカードに対して秘匿鍵を必要とする通信処理を行う複数の決済端末を有する電子マネーシステムであって、
第1のネットワークに接続された1又は複数の前記決済端末と該第1のネットワークを介して通信可能な仮認証端末を設け、
該仮認証端末は、前記秘匿鍵を分割して成る2つの分割鍵の一方を記憶する第1の不揮発性の記憶手段を有し、
前記各決済端末は、
前記2つの分割鍵の他方を記憶する第2の不揮発性の記憶手段と、
起動する毎に、前記第1のネットワークを介して前記仮認証端末から前記一方の分割鍵を取得して、該取得した分割鍵と前記第2の不揮発性の記憶手段に記憶されている他方の分割鍵とから秘匿鍵を生成して、該生成した秘匿鍵を揮発性の記憶手段に記憶する初期処理手段とを有し、
該生成・記憶した秘匿鍵を用いて前記ICカードとの通信処理を行うことを特徴とする電子マネーシステム。 - 前記各決済端末は、前記初期処理手段による処理後、第2のネットワークを介してセンタサーバに対して秘匿鍵を要求し、該センタサーバから秘匿鍵を取得したら、該取得した秘匿鍵を前記揮発性の記憶手段に上書き記憶することで、その後は該センタサーバから取得した秘匿鍵を用いて前記ICカードとの通信処理を行うことを特徴とする請求項1記載の電子マネーシステム。
- 前記決済端末は、前記仮認証端末から前記一方の分割鍵を取得する前に該仮認証端末との認証処理を行い、1又は複数回認証失敗した場合には、自端末の運用を強制停止することを特徴とする請求項1又は2記載の電子マネーシステム。
- 前記仮認証端末と各決済端末は、それぞれ、前記センタサーバから前記秘匿鍵を取得したら、同一の所定の分割アルゴリズムにより該秘匿鍵から前記2つの分割鍵を生成し、
前記仮認証端末は該生成した分割鍵の一方を前記第1の不揮発性の記憶手段に記憶し、
前記各決済端末は、該生成した分割鍵の他方を前記第2の不揮発性の記憶手段に記憶することを特徴とする請求項2記載の電子マネーシステム。 - 電子マネー機能を有するICカードに対して秘匿鍵を必要とする通信処理を行う決済端末であって、
前記秘匿鍵を分割して成る2つの分割鍵の他方を記憶する不揮発性の記憶手段と、
起動する毎に、前記2つの分割鍵の一方を記憶している仮認証端末に対して、ネットワークを介してアクセスして、該仮認証端末から前記一方の分割鍵を取得して、該取得した分割鍵と前記不揮発性の記憶手段に記憶されている他方の分割鍵とから秘匿鍵を生成して、該生成した秘匿鍵を揮発性の記憶手段に記憶する初期処理手段とを有し、
該生成・記憶した秘匿鍵を用いて前記ICカードとの通信処理を行うことを特徴とする決済端末。 - 電子マネー機能を有するICカードに対して秘匿鍵を必要とする通信処理を行う決済端末のコンピュータに、
前記秘匿鍵を分割して成る2つの分割鍵の他方を不揮発性の記憶手段に記憶する機能と、
起動する毎に、前記2つの分割鍵の一方を記憶している仮認証端末に対して、ネットワークを介してアクセスして、該仮認証端末から前記一方の分割鍵を取得して、該取得した分割鍵と前記不揮発性の記憶手段に記憶されている他方の分割鍵とから秘匿鍵を生成して
、該生成した秘匿鍵を揮発性の記憶手段に記憶する機能と、
該生成・記憶した秘匿鍵を用いて前記ICカードとの通信処理を行う機能と、
を実現させる為のプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007030899A JP2008199206A (ja) | 2007-02-09 | 2007-02-09 | 電子マネーシステム、その決済端末、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007030899A JP2008199206A (ja) | 2007-02-09 | 2007-02-09 | 電子マネーシステム、その決済端末、プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008199206A true JP2008199206A (ja) | 2008-08-28 |
Family
ID=39757779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007030899A Withdrawn JP2008199206A (ja) | 2007-02-09 | 2007-02-09 | 電子マネーシステム、その決済端末、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008199206A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019536319A (ja) * | 2016-11-18 | 2019-12-12 | パーマネント プライバシー エルティディー | 不正コピー用の保護(アンチクローニング)方法とシステム |
US20220103532A1 (en) * | 2020-09-29 | 2022-03-31 | International Business Machines Corporation | Consensus service for blockchain networks |
US11475116B2 (en) | 2017-03-21 | 2022-10-18 | Nec Corporation | Terminal device, information processing system, method of controlling terminal device, and program |
-
2007
- 2007-02-09 JP JP2007030899A patent/JP2008199206A/ja not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019536319A (ja) * | 2016-11-18 | 2019-12-12 | パーマネント プライバシー エルティディー | 不正コピー用の保護(アンチクローニング)方法とシステム |
US11475116B2 (en) | 2017-03-21 | 2022-10-18 | Nec Corporation | Terminal device, information processing system, method of controlling terminal device, and program |
US20220103532A1 (en) * | 2020-09-29 | 2022-03-31 | International Business Machines Corporation | Consensus service for blockchain networks |
US11736456B2 (en) * | 2020-09-29 | 2023-08-22 | International Business Machines Corporation | Consensus service for blockchain networks |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5449905B2 (ja) | 情報処理装置、プログラム、および情報処理システム | |
CA3027909C (en) | Authentication in ubiquitous environment | |
JP3918827B2 (ja) | セキュアリモートアクセスシステム | |
CN110049066B (zh) | 一种基于数字签名和区块链的资源访问授权方法 | |
US7853534B2 (en) | Authentication-authorization system for mobile communication terminal and method therefor | |
EP2626804B1 (en) | Method for managing memory space in a secure non-volatile memory of a secure element | |
US20050210499A1 (en) | Distribution method, distribution program and storage media storing distribution program for contents, and terminal devices, for ad-hoc network | |
CN112352410B (zh) | 使用智能卡作为安全令牌的方法和装置,可读存储介质 | |
JP2012065123A (ja) | Icカードシステム、その通信端末、携帯端末 | |
JP5286019B2 (ja) | 半導体素子および生体認証方法、生体認証システム、携帯端末 | |
US8839415B2 (en) | Blank smart card device issuance system | |
WO2018156384A1 (en) | Determining legitimate conditions at a computing device | |
KR20140069596A (ko) | 보안 요소 정보 관리 방법 및 시스템 | |
CN102859529A (zh) | 许可证发行系统、客户端终端、服务器及许可证发行方法 | |
KR101115511B1 (ko) | 스마트 카드 웹서버를 이용한 인증 시스템 및 방법 | |
JP2008199206A (ja) | 電子マネーシステム、その決済端末、プログラム | |
Lee et al. | An NFC Anti-Counterfeiting framework for ID verification and image protection | |
CN110313005B (zh) | 用于设备应用的安全性架构 | |
KR101711024B1 (ko) | 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치 | |
KR100590587B1 (ko) | 복수의 보안영역을 가진 스마트카드의 보안영역 삭제 방법 | |
CN112020718A (zh) | 电子装置的完整性检查 | |
JP5347417B2 (ja) | Icカードシステム、その上位機器、プログラム | |
JPH11134451A (ja) | Icカード及びicカードの認証切替方法及びシステム及びicカードの認証切替プログラムを格納した記憶媒体 | |
KR101850705B1 (ko) | 앱 방식을 이용한 교통카드 발급 및 운용 시스템 및 방법 | |
JP2008197817A (ja) | 電子マネーシステム、その中継サーバ、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100511 |