以下、本発明の好適な実施の形態について、添付図面に基づいて詳細に説明する。図1(a)は、ネット決済補助装置1の外観図であり、図1(b)は、ネット決済補助装置1の電気的ハードウェアの構成図である。
ネット決済補助装置1は、クレジットカードやデビットカード等のカード契約者の契約者端末(携帯電話やパーソナルコンピュータ等)と、契約者の本人認証を行なう認証サーバ(通常、カード会社が保有)が、相互にネットワーク接続されたネット決済システムにおいて、契約者が当該契約者の識別情報を用いた決済により、ネットショッピング等のネット商取引を行なう際に用いられるものであり、図1(a)に示されるように、手のひらに収まる程度の外形を有し、薄型で持ち運びが可能な筐体10で構成され、筐体10の外表面に、ディスプレイ11と、キー操作部12が露出している。
尚、本実施例のディスプレイ11は、8桁の表示ディスプレイであり、キー操作部12は、0〜9までのテンキー12aと、スタートキー12bとから構成される。
筐体10の内部は、図1(b)に示すように、ディスプレイ11、キー操作部12の他、カード情報格納部13、認証情報格納部15、認証手段14、OTP生成手段16、OTP生成情報格納部17、計時手段18として各々機能するためのハードウェア(CPU、メモリ)と、これらのハードウェア電気部品(ディスプレイ11、キー操作部12、CPU、メモリ)を駆動するための駆動用電源19(電池)によって構成される。
尚、本実施例の筐体11には、ディスプレイ11とキー操作部12と駆動用電源19の他、SIM等のICカードを内蔵するスロットが設けられており、当該スロットにICカードを挿入して用いる。そして、上記CPUとメモリは、このICカードに含まれるものを使用する。後述するように、カード情報格納部13、認証情報格納部15、OTP生成情報格納部17には、契約者毎に異なる情報が記憶されるので、このような情報をICカードのメモリに格納して、スロットに挿入して用いることで、筐体11自体は、契約者によらず、共通のものでよく、また、筐体11自体に個人情報を保有しないので、筐体11の生産性が向上するとともに、筐体11の取り扱い、管理が容易となる。
また、本実施例の、駆動用電源19は、ボタン電池であるが、太陽電池や充電池等であってもよい。また、ネット決済補助装置1は、通常時は電源オフ状態にしておき、例えば、キー操作部12のいずれかのキー操作があった場合に、電源起動するようになっていてもよい。
本実施例のカード情報格納部13、認証情報格納部15、OTP生成情報格納部17は、具体的には、後述するカード情報、認証情報、OTP生成情報を各々格納するメモリによって構成されており、メモリは、物理的には、これら情報をまとめて格納する1つのメモリであってもよいし、2以上のメモリであってもよい。
本実施例の認証手段14及びOTP生成手段16は、具体的には、メモリに格納されたプログラムによって構成されており、ネット決済補助装置1内のCPUが、当該プログラムをメモリから読み出して実行することによって、これら認証手段14及びOTP生成手段16の機能が実現されることになる。尚、CPU、メモリを備えないネット決済補助装置においては、認証手段14、OTP生成手段16の機能が、電子部品を用いて回路的に実現されてもよい。
本実施例のネット決済補助装置1は、クレジットカードブランドとのライセンス契約に基づいてクレジットカードを発行するイシュア(デビットカードであれば、デビットカードを発行する銀行もしくはカード発行会社)から個々のカード会員である契約者に対し、イシュアにおいて契約者毎に固有のカード情報、認証情報、OTP生成情報がメモリに記録された状態で、配布(配布形態は、貸与、譲渡いずれもよい)されるものであり、配布後は、メモリ(カード情報格納部13、認証情報格納部15、OTP生成情報格納部17)の格納内容を、外部から読み出すことが出来ないように構成されている。
また、ネット決済補助装置1を配布された契約者自身であっても、メモリの記録内容を外部から読み出すことは出来ない。契約者自身は、契約者の本人認証が行なわれ、本人と確認された場合に限り、カード情報がディスプレイ11に表示されることによって、当該カード情報のみ、知ることが出来、それ以外の状態においては、カード情報は秘匿化されている。
メモリの格納内容を、外部から読み出すことが出来ないようになっているのは、ネット決済補助装置1がインターネット等のネットワークに接続されるインターフェースを備えていない、ネット非接続型の端末であるからである。
尚、メモリの格納内容の盗聴、改竄に対する更なるセキュリティ向上のため、ネット決済補助装置1または、ネット決済補助装置1に内蔵されるSIM等のICカードが、耐タンパ性(分解して、メモリから直接記録内容を読み出そうとすると、メモリの記録内容が消去されたり、プログラムが起動しなくなる性質)を備えていてもよい。
以下、ネット決済補助装置1の各部の詳細について説明する。
カード情報格納部13は、契約者の識別情報を少なくとも含むカード情報が、外部から読み出せないような状態で予め格納されたメモリであり、本実施例のカード情報は、契約者固有の識別情報(カード番号)と、有効期限と、セキュリティコード(所定の方法により予め暗号化した3桁の10進数。通常、プラスチックタイプのクレジットカードのサインパネルに印字されている。この数字によって、カードの真正性を確認することが出来る)から構成される。また、名義人名が含まれていてもよい。
認証情報格納部15は、契約者が定めた暗証番号や、契約者の指紋、虹彩、声帯、顔写真等の生体的特徴を数値化した生体情報等、契約者の本人認証を行なうための認証情報が、外部から読み出せないような状態で予め格納されたメモリである。
尚、認証情報格納部15に格納される認証情報は、ネット決済システムにおける認証サーバが契約者の本人認証に用いる認証情報とは異なり、ネット決済補助装置1が契約者の本人認証を行なうために必要な認証情報である。また、認証サーバにおける認証情報とネット決済補助装置1における認証情報は、種類が異なるものである。
OTP生成情報格納部17は、ネット決済補助装置1に固有のOTP生成情報が、外部から読み出せないような状態で予め格納されたメモリであり、本実施例のOTP生成情報は、ネット決済補助装置1に固有の共通鍵であり、共通鍵は、OTP生成手段16で生成されたワンタイムパスワードの検証を行なうサーバ(後述の実施例における認証サーバ)において、カード情報格納部13に格納されている識別情報と関連付けられている。
尚、共通鍵は、ネット商取引において、契約者の本人認証を行なう認証サーバと、ネット決済補助装置1のみに格納された鍵であり、本実施例では、後述のOTP生成手段16が、ワンタイムパスワードを生成するのに用いられる。
認証手段14は、ネット決済補助装置1の操作者が、カード情報格納部13に格納されている識別情報を利用可能な契約者(カード会員)であるか否かの本人認証を行なう手段であり、入力手段(本実施例では、テンキー12a)から入力された入力情報と、認証情報格納部15に格納されている認証情報と一致するか確認し、一致した場合に、ネット決済補助装置1の操作者が当該契約者本人であるものとして、カード情報格納部13に格納されているカード情報の全て又は一部を読み出して、ディスプレイ11に表示する手段である。
本実施例の認証手段14は、操作者が、キー操作部12のスタートキー12bを押下することで、スタートキー12bの押下検出を受けて起動する。更にその後、操作者が、入力手段に相当するテンキー12aを押下して4桁の数字を入力すると、認証手段14は、入力された数字が、認証情報格納部15に格納されている暗証番号と一致するか否かを確認し、一致した場合にディスプレイ11にカード情報を表示する。
認証情報が本実施例のように暗証番号であれば、入力手段としてテンキーがあればよく、入力情報と認証情報の一致判定処理も容易に行なわれるので、比較的安価な構成でネット決済装置1が実現され、ネット決済装置1の利用促進が図られる。
本実施例の認証情報は4桁の暗証番号となるが、認証方法及び認証情報は、これに限らず、複数の認証方法による認証手段が適宜、組み合わせられてもよく、複数の認証手段を採用すれば、それだけ認証精度が高まり、第三者によるネット決済補助装置の悪用が防止される。
例えば、認証手段14が、バイオメトリクス認証方法を採用していれば、認証情報は、バイオメトリクス情報(指紋、虹彩、声帯、顔写真等の生体的特徴を数値化したデータ)となり、また、入力手段は、これらのバイオメトリクス情報を入力するスキャナー、マイク、ディジタルカメラ等となる。
バイオメトリクス認証方法は、高精度な認証方法であるから、仮にネット決済補助装置1を第三者に盗まれても、ネット決済補助装置1が配布された契約者でなければ、ネット決済補助装置1を使うことが出来ず、悪用が防止される。
また、本実施例の認証情報である暗証番号には、数字の他、アルファベットが含まれていてもよく、その場合は、テンキーの他にアルファベットキーをネット決済補助装置が備える必要がある。
OTP生成手段16は、認証手段14によって、カード情報が表示された後、OTP生成情報格納部17に格納されたOTP生成情報(本実施例では、共通鍵)に基づいて、ワンタイムパスワードを生成し、ディスプレイ11に表示する手段である。
このワンタイムパスワードは、契約者端末から認証サーバに送信され、認証サーバが契約者の本人認証を行なう際の照合に用いられる。そして、認証サーバによって本人確認がなされた場合、当該契約者の識別情報を用いた決済によるネット商取引が可能となる。
本実施例では、認証手段14による認証が行なわれ、カード情報がディスプレイ11に表示された後に、操作者がスタートキー12bを押下すると、スタートキー12bを押下したことが、OTP生成手段16を起動させる契機となり、ワンタイムパスワードが生成・表示される。
尚、本実施例のOTP生成手段16は、詳細は後述する時間同期方式により、ワンタイムパスワードを生成するものとするが、その他の生成方式、例えば、カウンタ同期方式や、チャレンジ&レスポンス方式により、ワンタイムパスワードが生成されてもよい。
計時手段18は、本実施例のOTP生成手段16が時間同期方式によりワンタイムパスワードを生成するために必要となる手段であり、計時する手段である。尚、計時手段18は、リアルタイムクロックによって構成されていてもよいし、また、計時プログラムがメモリに格納され、当該計時プログラムをCPUが読み出して実行し計時機能を実現するようになっていてもよい。また、OTP生成手段16が、時間同期方式以外の方式でワンタイムパスワードを生成する場合には、計時手段18は不要であり、代わりに、各生成方式に必要な手段が付加されることとなる。
本実施例では、OTP生成手段16は、前述したように、認証手段14がディスプレイ11にカード情報を表示したのを受けて、スタートキー12bの押下検出待ち状態となる。OTP生成手段16は、スタートキー12bの押下が検出されると、押下検出を計時手段18に伝達する。計時手段18は、スタートキー12bが押下検出された日時を計時し、日時データ(年月日時分秒。秒は30秒単位)をOTP生成手段16に引き渡す。
そして、OTP生成手段16は、OTP生成情報格納部17から、共通鍵を読み出し、引き渡された日時データを読み出した共通鍵で暗号化し、これを十進数に変換し、ディスプレイ11に表示する。尚、本実施例の暗号化方式は、共通鍵暗号方式を採用しているが、その他の暗号化方式でもよい。
以上説明したネット決済補助装置1によれば、ネット決済補助装置1によって契約者の本人認証が行なわれ、本人と確認された場合に、認証手段14が表示したカード情報は、カード決済が可能な加盟店のウェブサイト又は認証サーバから送信され契約者端末に表示されるカード情報入力画面に入力された後、ウェブサイト又は認証サーバに送信可能にされる。
このように、ネット決済補助装置1によって契約者の本人認証が行なわれ、本人と確認されなければ、すなわち、入力された入力情報が、ネット決済補助装置に格納されている認証情報と一致しなければ、契約者自身であってもカード情報を知ることが出来ず、カード情報は、外部から読み出せないような状態で格納されているので、カード情報が露出している従来のクレジットカードと異なり、カード情報の秘匿性が高まり、ネット商取引におけるカード情報の不正使用が防止される。
また、ネット決済補助装置は可搬型であるので、契約者がどこにいても、携帯電話、自宅のパソコン、出先のパソコンを用いて、安全なネット商取引を行なうことが出来、ネット商取引の利便性が増す。
また、OTP生成手段16が表示したワンタイムパスワードは、契約者の本人認証を行う認証サーバから送信され契約者端末に表示されるワンタイムパスワード入力画面に入力された後、認証サーバに送信可能にされるとともに、認証サーバが生成したワンタイムパスワードとの照合により、一致した場合に、本人確認がなされ、契約者の識別情報を用いた決済によるネット商取引が可能にされる。
このように、契約者の本人認証に、ネット決済補助装置に格納された契約者固有のOTP生成情報に基づいて作成されたワンタイムパスワードを用いるので、第三者が、仮にワンタイムパスワードを入手しても、次のネット商取引には使えない。
ワンタイムパスワード生成用のOTP生成情報は、外部から読み出せないような状態で格納されているので、契約者本人であっても、OTP生成情報を知ることは出来ず、ネット決済補助装置を操作している契約者本人のみが生成結果のワンタイムパスワードを知ることが出来る。つまり、第三者によるワンタイムパスワード生成は出来ないので、より、ネット商取引の安全性が保証される。
しかも、このワンタイムパスワードの生成は、ネット決済補助装置にカード情報が表示された後でなければ、行なわれないようになっているから、ネット決済補助装置を有していない第三者は、識別情報のみを知っていても、ワンタイムパスワードの生成が出来ない。また、第三者がネット決済補助装置を盗んだとしても、ネット決済補助装置に入力する認証情報がなければ、ワンタイムパスワードの生成が出来ない。
つまり、契約者は、ネット決済補助装置の認証手段によって本人認証を受けた後、更に、認証サーバによって本人認証を受けることになり、最終的にネット商取引が可能となるまでに2種類の異なる認証情報に基づく本人認証を経なければいけないので、第三者によるなりすましがより防止され、ネット商取引の安全性が高まる。
尚、認証情報格納部15は、上述した認証情報の他、認証手段14が行なう一致判定処理で、入力情報と認証情報が一致しなかった場合に、入力情報の再入力を受付ける回数(エラー許容回数)を予め格納してもよい。その場合、ネット決済補助装置1又は認証手段14は、計数手段(カウンタ)をも備える構成となる。
そして、認証手段14が一致判定処理を行なうフローにおいて、入力情報と認証情報が一致しなかった場合、その都度、計数手段が1からカウントアップを行い、カウントアップされた数字と、エラー許容回数とを比較して、カウントアップされた数字がエラー許容回数を上回った場合には、以降、認証手段14は、自身の処理が行なわれないようにし、更に、OTP生成手段16が起動しないようにし、認証フロー及びOTP生成フローが行なわれないようにする。
これにより、悪意の第三者が、ネット決済補助装置1を盗用して、認証情報を手当たり次第に入力した結果、カード情報やワンタイムパスワードがディスプレイ11に表示されてしまうのを防止することが出来る。
尚、カウントアップされた数字がエラー許容回数を上回ることなく、入力情報と認証情報が一致した場合には、認証手段14は、ディスプレイ11にカード情報の表示を行なうことにするが、この時に、カウントアップされた数字は、0にリセット(初期化)されるものとする。
ここで、ネット決済補助装置1を操作手順及びディスプレイ11の画面遷移の一例を図5に示す。尚、本実施例のディスプレイ11は、8桁の英数字・記号表示用ディスプレイである。
まず、操作者によってスタートキー12bが押下されると、ネット決済補助装置1の電源が起動し(S200)、ディスプレイ11に、「APPLI」と表示される(S210)ので、更にスタートキー12bが押下された後(S225)カード情報を表示させたい場合は、操作者はテンキー12aの「1」を押下し(S230)、認証情報(暗証番号)の変更を行ないたい場合は、テンキー12aの「2」を押下する(S330)。
「1」が押下された場合(S230)、ディスプレイ11に「PIN」と表示されるので、操作者は認証情報として4桁の暗証番号をテンキー12aの中から選択して押下する(S240)。その後、スタートキー12bが押下され(S245)、押下された暗証番号が、認証情報格納部15に格納されている認証情報と一致すれば、カード情報格納部13に格納されているカード情報のうち、まず、識別情報(以下、カード番号という)の上8桁がディスプレイ11に表示される(S250)。
続いて、スタートキー12bが押下されると(S255)、カード番号の下8桁がディスプレイ11に表示される(S260)。
続いて、スタートキー12bが押下されると(S265)、有効期限とセキュリティコードがディスプレイ11に表示される(S270)。
続いて、スタートキー12bが押下されると(S275)、ディスプレイ11に「OTP=1」と表示され、ワンタイムパスワードを生成・表示するか、終了するか否かの選択がなされる。ここで、スタートキー12bが押下された後(S290)、テンキー12aの「1」が押下されると(S295)、ディスプレイ11に、認証情報の入力を促す「PIN」が表示されるので(S305)、操作者は、再び4桁の暗証番号をテンキー12aから押下し、スタートキー12bを押下する(S310)。
押下された暗証番号が、認証情報格納部15に格納されている認証情報と一致すれば、OTP生成情報格納部17に格納されているOTP生成情報に基づき、ワンタイムパスワードが生成され、これがディスプレイ11に表示される(S315)。
再び、スタートキー12bが押下されると(S320)、ネット決済補助装置1の電源が遮断される。
テンキー12aの「1」以外のキーが押下されるか、いずれのキーも押下されず、予め決められた所定時間が経過した場合には(S300)、自動的にネット決済補助装置1の電源が遮断される。
尚、S240とS305で入力される暗証番号は、カード情報表示用とワンタイムパスワード生成用とで、別々の暗証番号でもよく、その場合は、認証情報格納部15に、それぞれの暗証番号が区別して格納されている。
また、本実施例では、ワンタイムパスワードをディスプレイ11に表示するフロー(S315)の前に、S305で、操作者に再度、認証情報の入力を促したが、S305を省略して、S310のスタートキー12bの押下のみで、ワンタイムパスワードが生成されてもよい。
S225の後、テンキー12aの「2」が押下された場合には(S330)、ディスプレイ11に「CHANGE?」と表示される(S335)。
スタートキー12bが押下されると(S340)、ディスプレイ11に「PIN」と表示され、暗証番号の入力が促されるので、操作者は、テンキー12aから4桁の暗証番号を押下後(S345)、更に、スタートキー12bを押下し(S350)、押下された暗証番号が、認証情報格納部15に格納されている認証情報と一致すれば、変更後の暗証番号の入力を促す「NEW1」がディスプレイ11に表示されるので、操作者は変更後の暗証番号をテンキー12aから押下し(S355)、更に、スタートキー12bを押下する(S360)。
次に、ディスプレイ11には、再度、変更後の暗証番号の入力を促す「NEW2」がディスプレイ11に表示されるので、操作者は変更後の暗証番号を再度テンキー12aから押下し(S365)、更に、スタートキー12bを押下する(S370)。
S355で押下された暗証番号と、S365で押下された暗証番号が一致していれば、ディスプレイ11に、暗証番号の変更が完了した旨を表す「COMPLETE」が表示される(S375)ので、その確認を経た後、スタートキー12bが押下されると(S380)、暗証番号の変更手続が完了し、電源が遮断される。
尚、セキュリティ向上のため、S355とS365で、テンキー12aから入力がなされても、入力された値は、ディスプレイ11上に表示されないことが望ましい。
以下、図1に示したネット決済補助装置1を配布されたクレジットカード契約者であるクレジットカード会員(以下、カード会員という)が、当該ネット決済補助装置1を用いて、通信機能を有するパソコンや携帯電話から、当該カード会員のカード番号を用いた決済により、ネットショッピング等のネットワーク商取引(以下、ネット商取引という)を行なう場合の一実施例について説明する。
本実施例のネット決済システムのシステム構成とネットワーク接続関係を図2のシステム構成図に示す。また、本実施例のネット決済システムにおけるネット商取引のフローを、図3のフローチャートに示す。
尚、本実施例で、ネット決済システムにおけるネット商取引サービスを提供するのは、クレジットカードブランドである。
カード会員は、予め、イシュアに対してクレジットカードの申込みを行い、クレジットカードの発行を受けるとともに、イシュアから、個々のカード会員に固有の認証情報(カード会員がクレジットカード申込み時に登録した暗証番号や指紋情報等の生体情報)、カード情報(個々のカード会員に固有のカード番号、有効期限)、OTP生成情報(共通鍵)が格納されたネット決済補助装置1の配布を受けているものとする。
また、本実施例では、図1(b)に示したネット決済補助装置1の構成のうち、ディスプレイ11とキー操作部12と駆動用電源19を除く構成は、SIM等のICカードに予め格納されており、筐体10に設けられたICカードスロット(図示せず)に当該ICカードが挿入されることで、ネット決済補助装置1の機能が実現されるが、必ずしも、ネット決済補助装置がICカードを備えていなくてもよく、ICカードを備えていない場合は、ネット決済補助装置自身が、CPUやメモリを備えていればよい。
また、本実施例のネット決済補助装置1は、カード会員の識別情報を用いた決済、すなわち、カード決済、を利用したネット商取引に用いられるものとするが、カード会員が、ネット商取引のみを希望し、従来のプラスチックタイプの磁気カード、ICカード等からなるクレジットカードによるリアルの対面取引を希望しない場合には、クレジットカードの発行は受けなくてもよい。
また、クレジットカードブランドが、イシュアの業務も行なっているような場合は、クレジットカードブランドから、ネット決済補助装置1が配布されてもよい。
会員端末2は、契約者の端末であり、カード会員が、ネット決済補助装置1を用いてネット商取引を行なうための端末であり、通信機能とブラウザ表示機能を少なくとも有するパーソナルコンピュータ、携帯電話等の端末である。
加盟店端末3は、会員端末2に仮想店舗(ウェブサイト)を提供して、商品やサービスの注文を受付けるとともに、注文したカード会員の本人認証をイシュア側に依頼し、カード会員の本人認証が行なわれた後、アクワイアラ(クレジットカードブランドとのライセンス契約に基づき、加盟店の獲得・契約・管理業務を行なう)に対して、オーソリ(注文された商品やサービスの金額分の与信枠がカード会員に残っているかどうかを調べ、与信枠が残っている場合にその金額分を決済用に確保すること)を依頼する端末である。
アクワイアラ端末4は、加盟店端末3から受けたオーソリ依頼を、イシュア側に再依頼(オーソリ再仕向)する端末である。
仲介サーバ5は、加盟店端末3と後述の認証サーバ7の仲介役を担う、すなわち、会員端末2と加盟店端末3との間でカード会員の認証サービスを仲介する役割を担うサーバである。
仲介サーバ5は、本実施例ではクレジットカードブランドが運営するサーバであり、ネット決済補助装置1を用いたネット商取引サービスに対応している加盟店を識別する加盟店識別情報と、ネット決済補助装置1を用いたネット商取引サービスに対応しているイシュアを識別するイシュア識別情報とを格納している。
尚、本実施例のネット決済システムにおいて、ネット決済補助装置1を用いないネット商取引サービスが混在する場合には、仲介サーバ5は、ネット決済補助装置1を用いたネット商取引サービスに未対応の加盟店及びイシュアの識別情報を、上記加盟店識別情報及びイシュア識別情報と区別して格納している必要がある。
イシュア端末6は、アクワイアラ端末4から受けたオーソリ依頼を引受け、オーソリを行なう端末である。
認証サーバ7は、ネット商取引を行なう際に、オーソリに先立ち、カード会員の本人認証を行なうサーバである。本実施例では、認証サーバ7は、イシュアが運営するサーバであり、イシュア端末6に接続されており、ネット決済補助装置1を用いてネット商取引を行なうことが可能なカード会員のカード情報(カード番号、有効期限)及びOTP生成情報(ネット決済補助装置1に固有の共通鍵)を、互いに関連付けられた状態で格納している。つまり、1カード会員につき、カード情報とOTP生成情報とが関連付けられて、認証サーバ7に格納されている。
尚、認証サーバ7へのこれらの情報の格納は、カード会員にネット決済補助装置1を配布するのと同時期、もしくはその前後に行なわれる。
図2において、会員端末2、加盟店端末3、仲介サーバ5、認証サーバ7間は、それぞれ、インターネット等のネットワーク9aによって接続されており、加盟店端末3、アクワイアラ端末4、イシュア端末6は、それぞれ専用回線9bによって接続されている。
尚、イシュア端末6及び認証サーバ7は、イシュア毎に個別に用意され、それぞれが会員端末2、アクワイアラ端末4、仲介サーバ5にネットワーク9a、専用回線9bで接続されることになる。
また、加盟店端末3も、加盟店毎に個別に用意され、それぞれが会員端末2、仲介サーバ5、アクワイアラ端末4にネットワーク9a、専用回線9bで接続されることになる。
以下、図3のフローチャート及び図2のシステム構成図に基づいて、ネット決済補助装置1を用いたネット商取引の流れを説明する。カード会員は、会員端末2から、ネットワーク9aを介して、仮想店舗(Webサイト)である加盟店端末3にアクセスし、商品やサービスを閲覧する。そして、注文する商品や希望のサービスが決まったら、会員端末2は、加盟店端末3に、注文商品や希望サービスに関してカード決済によるネット商取引を希望する旨を送信する。
加盟店端末3は、会員端末2に、図4(a)に示されるようなカード情報入力画面100を表示させ、会員端末2に、カード番号及びカードの有効期限を入力して、送信するように依頼する。
そこで、カード会員が、ネット決済補助装置1のスタートキー12bを押下すると、ネット決済補助装置1の認証手段14が起動し、ネット決済補助装置1が認証待ち状態となる。続けて、カード会員は、本人認証のために必要な入力情報(本実施例では、4桁の暗証番号)をテンキー12aから入力する。尚、ここで入力される4桁の暗証番号は、予め、カード会員がカード申込み時に決めておき、既にネット決済補助装置1内の認証情報格納部15に格納されているものである。
認証手段14は、認証情報格納部15に格納されている認証情報を読み出し、テンキー12aから入力された入力情報と一致するかどうか確認する。そして、両者が一致した場合、認証手段14は、カード情報格納部13からカード情報としてのカード番号と有効期限を読み出し、ディスプレイ11に表示する。
そして、カード番号と有効期限を全てディスプレイ11に表示し終えると、認証手段14は、表示し終えた旨を、OTP生成手段16に伝達する。これによって、OTP生成手段16は、後述するワンタイムパスワード生成待ち状態となる。
尚、本実施例では、ディスプレイ11の表示可能桁数が8桁に限られているため、認証手段14は、カード情報格納部13から読み出したカード番号を上8桁と下8桁とに分割処理した上で、ディスプレイ11にまず、カード番号の上8桁を表示する。カード会員は、その表示に基づき、カード情報入力画面100のカード番号入力欄100aにカード番号の上8桁を入力する。
カード番号の上8桁の入力が終わると、カード会員はスタートキー12bを押下する。認証手段14は、スタートキー12bの押下検出を受けて、カード番号の下8桁をディスプレイ11に表示する。カード会員は、その表示に基づき、カード情報入力画面100のカード番号入力欄100aにカード番号の下8桁を入力する。
カード番号の下8桁の入力が終わると、カード会員はスタートキー12bを押下する。認証手段14は、スタートキー12bの押下検出を受けて、有効期限を4桁(MM(月)/YY(年))で表示する。カード会員は、その表示に基づき、カード情報入力画面100の有効期限入力欄100bに、有効期限を入力する。
尚、ディスプレイの表示領域、表示可能桁数に余裕がある場合には、当然、カード番号が一度に全て、ディスプレイに表示されてもよいし、また、カード番号と有効期限が一度に全て表示されてもよい。また逆に、ディスプレイの表示可能桁数が8桁より少ない場合は、認証手段14は、表示可能桁数に合わせて、カード情報格納部13から読み出したカード情報を予め分割しておき、スタートキー12bその他、任意のキーの押下検出により順次、分割されたカード情報を表示してもよい。
以上のように、ネット決済補助装置1は、入力された入力情報が、認証情報格納部15に格納されている認証情報と一致した場合にのみ、ディスプレイ11上にカード情報を表示するので、認証情報を知らなければ、第三者が、ネット決済補助装置1を盗んだとしても、内部のカード情報を知ることが出来ない。従って、カード情報が印字されている従来のクレジットカードに比べて安全性が高く、カード情報をネット商取引に悪用される心配がない。
カード会員が、カード番号及び有効期限の入力を終えると(尚、図4のカード情報入力画面100には示されていないが、注文した商品・サービス名、金額、注文日、加盟店名、商品の発送先等の情報が同一画面内に表示されていてもよい)、カード情報入力画面100内の送信ボタン100cをクリックする。送信ボタン100cがクリックされることにより、加盟店端末3側に、入力されたカード情報が送信される(S10)。
会員端末2から、注文した商品・サービス名、金額、注文日、加盟店名、商品の発送先等に関する注文情報と、注文商品の決済に用いるカードのカード番号や有効期限等のカード情報を受信した加盟店端末3は、受信したカード情報に加え、加盟店毎に付与された加盟店識別情報を、ネットワーク9aを介して接続された仲介サーバ5に送信し、カード会員がネット決済補助装置1を用いたネット商取引サービスを受けられる会員であるか否かの確認(認証実行可否確認)を要求する(S20)。
仲介サーバ5は、受信した加盟店識別情報が、保有している加盟店識別情報と一致するか否かの確認(加盟店認証)を行なう。これらの情報が一致すれば、ネット決済補助装置1を用いたネット商取引サービスに参加している加盟店の加盟店端末3から仲介サーバ5にアクセスがあったということになる。一致しなければ、ネット決済補助装置1を用いたネット商取引サービスに参加していない加盟店端末3からのアクセスであるか、不正アクセスであるため、以後のフローには進まない。
仲介サーバ5は、ネット決済補助装置1を用いたネット商取引サービスに参加している加盟店端末3から受信したカード会員のカード情報に基づいて、当該カード会員のカード番号が発行されたイシュアを特定し、特定されたイシュアの認証サーバ7に、カード情報を送信し、カード会員がネット決済補助装置1を用いたネット商取引サービスを受けられる会員であるか否かの確認(認証実行可否確認)を要求する(S30)。
本実施例の仲介サーバ5には、イシュアを識別するイシュア識別情報が格納されており、仲介サーバ5は、受信したカード情報に基づいてイシュア識別情報を検索して、イシュアを特定する。
つまり、本実施例の仲介サーバ5は、直接、認証実行可否確認を行なうのではなく、加盟店認証を行なうとともに、加盟店端末3から受信したカード情報に基づいて、カード会員のカード番号が発行されたイシュアを特定し、特定されたイシュアの認証サーバ7にカード情報を転送し、当該認証サーバ7から受信した認証実行可否確認結果を加盟店端末3に転送する役割を担っている。
尚、本実施例では、仲介サーバ5は、クレジットカードブランドが運営しているサーバであるが、これを個々の加盟店端末3が備えていてもよく、その場合は、直接、加盟店端末3から認証サーバ7に、認証実行可否確認が要求されることになる。また、認証サーバ7において、加盟店認証が行なわれてもよい。
認証サーバ7は、仲介サーバ5から受信したカード情報が認証サーバ7に登録されているか否かを確認することによって、当該カード情報を有するカード会員がネット決済補助装置1を用いたネット商取引サービスを受けられるカード会員であるか否かの確認(認証実行可否確認)を行ない、その結果を、仲介サーバ5に返信する(S40)。尚、認証実行可否確認結果は、仲介サーバ5から受信したカード情報が認証サーバ7に登録されていれば「可」であり、登録されていなければ「否」である。
そして、認証実行可否確認結果を受信した仲介サーバ5は、その結果を加盟店端末3に転送する(S50)。
カード会員の認証実行可否確認結果が「可」である場合には、このカード会員がネット決済補助装置1を用いたネット商取引サービスを受けられるということであるから、加盟店端末3は、このカード会員の本人認証要求を行なうフローに進む(S60)。具体的には、加盟店端末3は、会員端末2に対し、認証実行可否結果とともに、先に認証実行可否確認を行なったイシュアの認証サーバ7のURL情報を送信する。
加盟店端末3から認証要求を受けた会員端末2は、受信したURLに基づき、先に仲介サーバ5がアクセスしたのと同一の認証サーバ7にアクセスし、認証要求を行なう(S70)。尚、S70のフローは、S60から一連の流れとして行なわれ、会員端末2として用いられるパーソナルコンピュータや携帯電話のブラウザが一般的に備えるリダイレクト機能等を用いて実現可能であり、カード会員が意識することなく、会員端末2内部で自動的に処理されるフローである。
認証サーバ7は、会員端末2に、ワンタイムパスワードの送信を促し、会員端末2から受信したワンタイムパスワードに基づいて、カード会員の認証を行なう(S80)。
具体的には、認証サーバ7は、アクセスしてきた会員端末2から、カード情報及び注文情報を受信して、このカード情報を有するカード会員が、先ほど、加盟店端末3から仲介サーバ5を介して、認証実行可否確認要求を受けたカード会員であるか否かを確認する。この確認は、予め定められた所定時間前に仲介サーバ5から当該カード会員のカード情報を受信したか否かのログを残しておき、会員端末2から受信したカード会員のカード情報が、所定時間前にログに残されたカード情報に一致するか否かを確認することで行なわれる。
尚、注文情報は、会員端末2からではなく、S20,30のフローにおいて、加盟店端末3から仲介サーバ5を介して認証サーバ7に送信されていてもよいし、加盟店端末3から会員端末2に、認証サーバ7のURL情報が送信される際、一緒に送信され、会員端末2が認証サーバ7にアクセスする際に、認証サーバ7に転送されるようになっていてもよい。
また、認証サーバ7が、アクセスしてきた会員端末2のカード会員と、加盟店端末3から認証実行可否確認要求を受けたカード会員と同一であるか否かの確認は、カード情報の照合のみならず、注文情報を、会員端末2及び加盟店端末3(直接的には仲介サーバ5)の双方から受信して、それらの照合を併用して行なわれてもよい。
認証サーバ7が、先に認証実行可否確認要求を受けたカード会員のネット決済補助装置1からのアクセスであることを確認したら、認証サーバ7は、受信した注文情報に基づき、図4(b)に示されるようなワンタイムパスワード入力画面101を作成し、アクセスのあった会員端末2に送信する。
図4(b)のワンタイムパスワード入力画面101には、カード会員がネット商取引を行なう相手である加盟店名と、注文しようとしている商品・サービスの金額、注文日が、表示されている。
会員端末2にワンタイムパスワード入力画面101が表示されると、カード会員は、ネット決済補助装置1のスタートキー12bを押下する。ネット決済補助装置1のOTP生成手段16は、スタートキー12b押下を検出すると、ワンタイムパスワード生成待ち状態から、ワンタイムパスワード生成フローに移行する。
OTP生成手段16は、OTP生成情報格納部17に格納された共通鍵を読み出し、計時手段18によって計時された、スタートキー12bが押下された日時から成る日時データ(年月日秒、秒は30秒単位)を、この共通鍵で暗号化することでワンタイムパスワードを生成し、これを10進数にし、ディスプレイ11に表示する。尚、本実施例の暗号化方式は共通鍵暗号方式を採用している。また、本実施例のディスプレイ11の表示可能桁数は8桁なので、ディスプレイ11には生成されたワンタイムパスワードの上6〜8桁を表示することにする。
カード会員は、会員端末2に表示されたワンタイムパスワード入力画面101のパスワード入力欄101aに、ネット決済補助装置1のディスプレイ11に表示されたワンタイムパスワードを入力し、送信ボタン101bをクリックすると、入力されたワンタイムパスワードが認証サーバ7に送信される。
尚、ワンタイムパスワードの入力が終わった後は、カード会員が、ネット決済補助装置1のスタートキー12bを再押下することで、ネット決済補助装置1のディスプレイ11に表示されているワンタイムパスワードを非表示とすることがセキュリティの観点から望ましい。また同時に、電源もオフされるのが、省エネの観点から望ましい。
会員端末2からワンタイムパスワードを受信した認証サーバ7は、まず、この会員端末2が、先に、ワンタイムパスワードの送信を要求した相手であることを、会員端末2の識別番号等の照合や、当該会員端末2個別に生成されて送信されたワンタイムパスワード入力画面101に対する返信か否かの確認により、確認する。
確認後、認証サーバ7は、ワンタイムパスワードの送信を要求する前に受信していたカード会員のカード情報に基づき、OTP生成情報の中から、このカード番号に関連付けて登録されている共通鍵を取出し、認証サーバ7が会員端末2からワンタイムパスワードを受信した日時からなる日時データ(年月日秒、秒は30秒単位)を、この共通鍵で暗号化してワンタイムパスワードを生成し、これを十進数に変換する。尚、本実施例の暗号化方式は、共通鍵暗号方式を採用している。
このようにして認証サーバ7で生成されたワンタイムパスワードと、先に会員端末2から受信したワンタイムパスワードとが、一致するか否かを確認する。一致すれば、このワンタイムパスワードは、確かに、ネット決済補助装置1と認証サーバ7のみに格納された共通鍵によって、ほぼ同時刻に作成されたワンタイムパスワードであることが証明される。
つまり、ワンタイムパスワードを認証サーバ7に送信した会員端末2の操作者が、当該ワンタイムパスワードの生成に用いられた共通鍵及び、当該共通鍵に関連付けられたカード情報が格納されたネット決済補助装置1の操作者であり、かつ、当該カード情報を利用可能なカード会員本人であり、これによって、ネット商取引を依頼してきたカード会員の本人確認がされたことになる。
尚、ワンタイムパスワード生成方式が、本実施例のように時間同期方式を採用している場合、ネット決済補助装置1がワンタイムパスワード生成に用いる日時と、認証サーバ7がワンタイムパスワード生成に用いる日時とは、厳密には同じにならず、よって、認証サーバ7がワンタイムパスワードを生成してから、カード会員が、ネット決済補助装置1のスタートキー12bを押下して、ネット決済補助装置1がワンタイムパスワードを生成するまでの時間差を考慮して、本実施例では、日時データの秒分解能を30秒としている。
しかし、両者によって生成されたワンタイムパスワードが完全に一致しない限り、カード会員の真正性を認めないというのでは、カード会員がネット決済補助装置1のスタートキー12bを押下してワンタイムパスワードが生成されてから、認証サーバ7が、会員端末2からワンタイムパスワードを受信するまでの間、30秒以上経過してしまった場合に、それだけで、ワンタイムパスワードが不一致となり、認証されないという事態が増え、かえってネット商取引の利便性が損なわれることになってしまう。
従って、認証サーバ7は、会員端末2から受信したワンタイムパスワードが一致しなかった場合でも、会員端末2からワンタイムパスワードを受信した日時を、前後N回×30秒分ずらして、認証サーバ7側でワンタイムパスワードを生成し直して、会員端末2側で生成されたワンタイムパスワードと一致すれば、カード会員の本人確認がされたものとする。
尚、Nは、セキュリティ精度を考慮して、予め決定しておく。すなわち、セキュリティ精度を高くしたい時は、Nを小さく設定し、セキュリティ精度を低くしてカード会員側の利便性を優先したい場合は、Nを大きく設定しておく。
認証サーバ7は、ワンタイムパスワード照合によるカード会員の認証結果を、会員端末2に送信する(S90)。尚、具体的には、認証サーバ7は、会員端末2に対し、認証結果に加え、加盟店端末3のURL情報を送信し、会員端末2から加盟店端末3に認証結果が転送されるようにしておく。
認証結果を受信した会員端末2は、当該認証結果(本人認証OK、本人認証NG)を更に、加盟店端末3に転送する(S100)。尚、S100のフローは、S70同様、S90から一連の流れとして行なわれ、会員端末2のブラウザのリダイレクト機能によって実現可能であり、実際には、カード会員が意識することなく、会員端末2内部で自動的に処理されるフローである。
加盟店端末3は、会員端末2から認証結果を受信し、認証の結果、カード会員の本人確認がされた場合(本人認証OK)には、アクワイアラに、当該カード会員のオーソリ要求をするため、アクワイアラ端末4に、カード会員のカード情報と、決済希望金額(カード会員が注文しようとしている商品・サービスの金額)からなる取引データに加え、当該認証結果を送信する(S110)。尚、取引データは、S10で、会員端末2から、注文情報とカード情報の送信があった時点で既に生成されて、加盟店端末3に記憶されたものが、読み出されてもよい。
アクワイアラ端末4は、加盟店端末3から受信した取引データと認証結果に基づき、本人認証OKのカード会員のカード番号に基づいて、カード発行元であるイシュアを特定し、特定されたイシュアのイシュア端末6に、取引データと認証結果を転送する(S120)。
取引データと認証結果を受信したイシュア端末6は、図示しない会員データベースに格納されている会員毎の会員情報や与信情報に基づいて、取引データに含まれる決済希望金額が、オーソリを依頼されたカード会員の与信枠の範囲内か否かを確認する。決済希望金額が与信枠の範囲内であれば、オーソリOKとして、決済希望金額分の与信枠を確保する。
そして、イシュア端末6は、オーソリの結果(オーソリOK、オーソリNG)をアクワイアラ端末4に送信し(S130)、更に、アクワイアラ端末4は、加盟店端末3に、オーソリ結果を転送する(S140)。
そして、加盟店端末3は、アクワイアラ端末4からオーソリ結果を受信した後、その結果を会員端末2に通知する(S150)。具体的には、オーソリ結果がOKだった場合には、加盟店とカード会員との間で、当該カード会員のカード番号を用いた決済によるネット商取引が成立した旨の画面を会員端末2に送信し、会員端末2に表示する。またオーソリ結果がNGだった場合には、ネット商取引が不成立の旨の画面を会員端末2に送信、表示する。
尚、本実施例では、認証サーバ7におけるワンタイムパスワードを用いた本人認証は、会員端末2と加盟店端末3との間でネット商取引が行なわれる都度、行なわれる。つまり、本実施例のOTP生成手段16で生成されるワンタイムパスワードは、1回限りのネット商取引に有効なものであるから、仮にネット決済補助装置を所持していない第三者がワンタイムパスワードを盗聴しても、第三者が、カード会員になりすまして以降のネット商取引を行なうことは出来ず、ネット商取引の安全性が更に向上する。
次に、ネット決済補助装置1a(図示せず)を配布されたカード会員が、当該ネット決済補助装置1aを用いて、通信機能を有するパソコンや携帯電話から、当該カード会員のカード番号を用いた決済により、ネット商取引を行なう場合の一実施例について説明する。
先の実施例1と、本実施例との相違点は、ネット決済補助装置が備えるOTP生成手段16のワンタイムパスワード生成方法と、OTP生成情報格納部17の格納内容と、図3における会員端末2と認証サーバ7(本実施例では認証サーバ7aとする)との間の認証フロー(S80,S90)の内容である。
すなわち、先の実施例1では、ワンタイムパスワード生成方法を、時間同期方式としていたが、本実施例では、利用回数同期方式を採用する。これに伴い、本実施例のネット決済補助装置1aにおいては、図1に記載されていた計時手段18が、計数手段18a(図示せず)に代わる。
ネット決済補助装置1,1aと認証サーバ7,7aに関し、上述した相違点以外の構成及び、S80,S90以外のフローについては、図1〜図3に示された実施例と同一であるので、以下、図1〜図3を用いて、図3のS80,S90の部分のみの詳細フローを説明する。
本実施例のOTP生成情報格納部17に格納されるOTP生成情報は、ネット決済補助装置1aに固有の共通鍵と、利用回数情報とから構成される。
このうち、共通鍵は、OTP生成情報格納部17内に書き換え不可能な状態で格納され、OTP生成手段16で生成されたワンタイムパスワードの検証を行なう認証サーバ7aにおいて、カード情報格納部13に格納されているカード番号と関連付けられている。
利用回数情報は、共通鍵同様、認証サーバ7aにおいて、カード情報格納部13に格納されているカード番号と関連付けられている。
つまり、これらのOTP生成情報は、カード番号と関連付けられた状態で、認証サーバ7aにも格納されており、認証サーバ7aが会員端末2からワンタイムパスワードを受信した際、会員端末2同様、認証サーバ7aでもワンタイムパスワードを生成して、これらが一致するかどうかを確認することによって、ワンタイムパスワードの妥当性検証、カード会員の認証を行なう。
また、利用回数情報は、OTP生成手段16からの書き換え指令があった場合のみ、書き換えが可能な情報であり、計数手段18aによって、0回、1回、2回というように1ずつ加算されるか又は、100回、99回、98回というように、1ずつ減算された後、加算又は減算後の数値が、OTP生成情報格納部17に格納されて、利用回数情報が更新される。尚、加算か減算かは、予め決められている。
尚、計数手段18aは、OTP生成手段16に含まれていてもよいし、OTP生成手段16と別に設けられていてもよいが、後者の場合は、OTP生成手段16が計数手段18aを制御して、利用回数情報の書き換えが行なわれる必要がある。
図3のS80において、まず、認証サーバ7aは、会員端末2に、ワンタイムパスワードの送信を促し、会員端末2から受信したワンタイムパスワードに基づいて、カード会員の認証を行なう。
具体的には、認証サーバ7aは、アクセスしてきた会員端末2から、カード情報及び注文情報を受信して、このカード情報を有するカード会員が、先ほど、加盟店端末3から仲介サーバ5を介して、認証実行可否確認要求を受けたカード会員であるか否かを確認する。この確認は、予め定められた所定時間前に仲介サーバ5から当該カード会員のカード情報を受信したか否かのログを残しておき、会員端末2から受信したカード会員のカード情報が、所定時間前にログに残されたカード情報に一致するか否かを確認することで行なわれる。
尚、注文情報は、会員端末2からではなく、S20,30のフローにおいて、加盟店端末3から仲介サーバ5を介して認証サーバ7aに送信されていてもよいし、加盟店端末3から会員端末2に、認証サーバ7aのURL情報が送信される際、一緒に送信され、会員端末2が認証サーバ7aにアクセスする際に、認証サーバ7aに転送されるようになっていてもよい。
また、認証サーバ7aが、アクセスしてきた会員端末2のカード会員と、加盟店端末3から認証実行可否確認要求を受けたカード会員と同一であるか否かの確認は、カード情報の照合のみならず、注文情報を、会員端末2及び加盟店端末3(直接的には仲介サーバ5)の双方から受信して、それらの照合を併用して行なわれてもよい。
認証サーバ7aが、先に認証実行可否確認要求を受けたカード会員のネット決済補助装置1からのアクセスであることを確認したら、認証サーバ7aは、受信した注文情報に基づき、図4(b)に示されるようなワンタイムパスワード入力画面101を作成し、アクセスのあった会員端末2に送信する。
図4(b)のワンタイムパスワード入力画面101には、カード会員がネット商取引を行なう相手である加盟店名と、注文しようとしている商品・サービスの金額、注文日が、表示されている。
会員端末2にワンタイムパスワード入力画面101が表示されると、カード会員は、ネット決済補助装置1のスタートキー12bを押下する。ネット決済補助装置1のOTP生成手段16は、スタートキー12b押下を検出すると、ワンタイムパスワード生成待ち状態から、ワンタイムパスワード生成フローに移行する。
OTP生成手段16は、OTP生成情報格納部17に格納された共通鍵と利用回数情報を読み出し、当該利用回数情報を、共通鍵で暗号化してワンタイムパスワードを生成し、これを10進数にし、ディスプレイ11に表示する。
尚、本実施例では、利用回数情報を所定のワンタイムパスワード生成アルゴリムを用いて、ワンタイムパスワードを生成している。
また、本実施例のディスプレイ11の表示可能桁数は8桁なので、ディスプレイ11には生成されたワンタイムパスワードの上6〜8桁を表示することにする。
尚、OTP生成情報は、上記の利用回数情報と共通鍵の他に、その他、ネット決済補助装置1aと認証サーバ7aの両者しか知り得ない任意の情報(例えば、ポリシー等)を含んでいてもよく、その場合、利用回数情報と、当該任意の情報が、共通鍵で暗号化され、ワンタイムパスワードが生成されてもよい。
OTP生成手段16は、ワンタイムパスワードを生成した後、計数手段18aに、先に読み出した利用回数情報を1、加算又は減算させて、OTP生成情報格納部17の利用回数情報を書き換え、更新する。
カード会員は、会員端末2に表示されたワンタイムパスワード入力画面101のパスワード入力欄101aに、ネット決済補助装置1のディスプレイ11に表示されたワンタイムパスワードを入力し、送信ボタン101bをクリックすると、入力されたワンタイムパスワードが認証サーバ7aに送信される。
尚、ワンタイムパスワードの入力が終わった後は、カード会員が、ネット決済補助装置1のスタートキー12bを再押下することで、ネット決済補助装置1のディスプレイ11に表示されているワンタイムパスワードを非表示とすることがセキュリティの観点から望ましい。また同時に、電源もオフされるのが、省エネの観点から望ましい。
会員端末2からワンタイムパスワードを受信した認証サーバ7aは、まず、この会員端末2が、先に、ワンタイムパスワードの送信を要求した相手であることを、会員端末2の識別番号等の照合や、当該会員端末2個別に生成されて送信されたワンタイムパスワード入力画面101に対する返信か否かの確認により、確認する。
確認後、認証サーバ7aは、ワンタイムパスワードの送信を要求する前に受信していたカード会員のカード情報に基づき、OTP生成情報の中から、このカード番号に関連付けて登録されている共通鍵と利用回数情報を取出し、利用回数情報を共通鍵で暗号化してワンタイムパスワードを生成し、これを十進数に変換する。
尚、本実施例では、利用回数情報を所定のワンタイムパスワード生成アルゴリムを用いて、ワンタイムパスワードを生成している。また、OTP生成情報に、任意の情報が含まれていれば、利用回数情報に加え、当該任意の情報も合わせて共通鍵で暗号化する。
このようにして認証サーバ7aで生成されたワンタイムパスワードと、先に会員端末2から受信したワンタイムパスワードとが、一致するか否かを確認する。一致すれば、このワンタイムパスワードは、確かに、ネット決済補助装置1と認証サーバ7aのみに格納された利用回数情報と共通鍵とによって作成されたワンタイムパスワードであることが証明される。
つまり、ワンタイムパスワードを認証サーバ7aに送信した会員端末2の操作者が、当該ワンタイムパスワードの生成に用いられた利用回数情報と共通鍵及び、当該共利用回数情報と通鍵に関連付けられたカード情報が格納されたネット決済補助装置1の操作者であり、かつ、当該カード情報を利用可能なカード会員本人であり、これによって、ネット商取引を依頼してきたカード会員の本人確認がされたことになる。
認証サーバ7aは、ワンタイムパスワード照合によるカード会員の認証結果(本人認証OK、本人認証NG)を、会員端末2に送信するとともに、先のワンタイムパスワード生成に用いた利用回数情報を、予め決められた演算方法により加算又は減算し、その演算結果を認証サーバ7a内の利用回数情報として書き換え、更新する(S90)。
尚、ワンタイムパスワード生成方式が、本実施例のように利用回数同期方式を採用している場合、会員端末2及びネット決済補助装置1aの操作者が正当なカード会員であったとしても、ネット決済補助装置1aがワンタイムパスワード生成に用いる利用回数情報と、認証サーバ7aがワンタイムパスワード生成に用いる利用回数情報とが異なり、ワンタイムパスワードが一致しない場合がある。
カード会員が、ネット決済補助装置1aでワンタイムパスワードを生成しても、それが必ず、認証サーバ7aに送信される保証はなく、カード会員が、ネット商取引を途中で中断してしまう場合や、また、そもそもネット商取引を行なっていないにもかかわらず、ネット決済補助装置1aを操作して、いたずらにワンタイムパスワードを生成してしまうことがある。そのような場合には、ネット決済補助装置1aの利用回数情報は更新されるのに、認証サーバ7aの利用回数情報は更新されないので、当然、生成されるワンタイムパスワードも異なるものになってしまう。
しかし、両者によって生成されたワンタイムパスワードが完全に一致しない限り、カード会員の真正性を認めないというのでは、認証NGが増え、かえってネット商取引の利便性が損なわれることになってしまう。
従って、認証サーバ7aは、会員端末2から受信したワンタイムパスワードが一致しなかった場合でも、認証サーバ7aに格納されている利用回数情報を所定範囲(例えば、利用回数情報+N)で変更して、認証サーバ7a側でワンタイムパスワードを生成し直して、会員端末2側で生成されたワンタイムパスワードと一致すれば、カード会員の本人確認がされたものとする。
尚、Nは、セキュリティ精度を考慮して、予め決定しておく。すなわち、セキュリティ精度を高くしたい時は、Nを小さく設定し、セキュリティ精度を低くしてカード会員側の利便性を優先したい場合は、Nを大きく設定しておく。
以上のように、本発明のネット決済補助装置を用いてネット商取引を行なうと、カード情報をカード情報入力画面に入力する際、ネット決済補助装置に入力された入力情報が、ネット決済補助装置に格納されている認証情報と一致しなければ、カード会員自身であってもカード情報を知ることが出来ないので、カード情報が露出している従来のクレジットカードと異なり、カード情報の秘匿性が高まり、ネット商取引におけるカード情報の不正使用が防止される。
また、ネット決済補助装置は可搬型であるので、カード会員がどこにいても、携帯電話、自宅のパソコン、出先のパソコンを用いて、安全なネット商取引を行なうことが出来、ネット商取引の利便性が増す。
また、ネット商取引が行なわれる際のカード会員の本人認証は、ネット決済補助装置で生成されるワンタイムパスワードと、認証サーバで生成されるワンタイムパスワードとが一致するか否かによって行なわれる。
このワンタイムパスワードは、ネット決済補助装置に固有で、ネット決済補助装置及び認証サーバのみに格納され、かつ、カード会員自身でさえも知ることが出来ない共通鍵を用いて、所定キーの押下が検出された日時からなる日時データもしくはワンタイムパスワードの生成都度、更新される利用回数情報を暗号化したものである。
つまりは、ネット決済補助装置を操作しているカード会員のみが作成可能な認証情報であるから、ネット決済補助装置を所持していない第三者が、カード会員になりすましてネット商取引を行なうことは出来ず、ネット商取引の安全性が更に向上する。
しかも、このワンタイムパスワードの生成は、ネット決済補助装置にカード情報が表示された後でなければ、行なわれないようになっているので、ネット決済補助装置を有していない第三者は、カード番号のみを知っていても、ワンタイムパスワードの生成が出来ない。また、第三者がネット決済補助装置を盗んだとしても、ネット決済補助装置に入力する認証情報がなければ、ワンタイムパスワードの生成が出来ない。つまり、第三者は、ネット決済補助装置の入手有無にかかわらず、カード会員になりすましたネット商取引を行なうことが出来ないので、ネット商取引の安全性が保証される。
尚、ワンタイムパスワードの生成方法は、上記実施例の時間同期方式に限らず、ネット決済補助装置と認証サーバとの間で、ネット決済補助装置を所有するカード会員の本人認証が行える方式であればよい。
また、ネット決済補助装置は、ネット非接続型の構成を採用しているから、一度、ネット決済補助装置に格納されたカード情報、認証情報、OTP生成情報は、不正アクセス等により読み出すことが出来ず、ネット決済補助装置を配布されたカード会員さえもが読み出すことが出来ないようになっている。
仮に、ネット決済補助装置が、パーソナルコンピュータや携帯電話等の端末に接続可能であるとすると、ネット決済補助装置と端末を接続中に、何らかの不具合が発生した場合、不具合の原因が、ネット決済補助装置側にあるのか、端末側にあるのかという責任分解点が不明確となる。従って、ネット非接続型の構成を採用しているネット決済補助装置は、責任分解点が明確となる意味でも、有効である。
ここで、ネット決済補助装置を持たないカード会員が、本実施例のネット決済システムで、ネット商取引を行なう場合の事前登録のシステム構成及びフローを図6に示す。
カード会員は、会員PCから、カード会社(クレジットカードブランド又はイシュア)が運営するカード会員向けのWEBサイトにアクセスし、カード会員だけが知る会員情報(生年月日、電話番号、口座番号等)を入力して、WEBサイトに送信する(図6中、1)。
会員情報を受信したカード会社のWEBサイトは、当該会員情報が登録されているカード会社の基幹システムにアクセスし、受信した会員情報と、基幹システムに登録されている会員情報との照合を基幹システムに依頼する(図6中、2)。基幹システムは、WEBサイトに照合結果を返信する(図6中、3)。
照合結果がOKであれば、カード会員の本人確認が行なわれたものとし、WEBサイトから、会員PCに、パスワードの登録を要求する。会員PCは、パスワードをWEBサイトに送信する(図6中、4)。
会員PCからパスワードを受信したWEBサイトは、当該パスワードをカード会社の認証サーバ7に登録する(図6中、5)。
ここで登録されるパスワードは、固定パスワードであり、ネット決済補助装置で生成されるようなワンタイムパスワードではない。つまり、ネット決済補助装置を持たないカード会員が、ネット決済システム上でネット決済を行なう場合の、カード会員の認証方法は、固定パスワードによる方法しかなく、カード番号と固定パスワードが第三者に一度知られてしまうと、以後は、第三者がカード会員になりすましてネット決済を行なうことが可能となってしまう。
また、ネット決済補助装置を持たないカード会員は、パスワードを登録するために、カード会社のWEBサイトにアクセスして、本人認証を経た後にパスワード登録作業を行なわなければならず、カード会員側の負担が大きい。
更に、カード会員のみならず、カード会社側においても、パスワードをカード会員に登録させるためのWEBサイトの構築、カード会員の本人認証を行なうための基幹システムの構築が必要となる。
また、ネット決済補助装置は、通常、カード番号が露出しておらず、カード会員のみが知り得るもしくは、カード会員のみが有する認証情報の入力がなければ、カード番号が表示されない構成となっており、更に、ネット決済の際に、カード会員の本人認証に用いられるパスワードは、固定パスワードではなく、ワンタイムパスワードであるので、第三者がカード会員になりすましてネット商取引を行なうことは極めて困難となる。
以上、ネット決済補助装置1の実施例につき説明したが、本発明のネット決済補助装置は、上記実施例で説明した構成要件の全てを備えたネット決済補助装置1に限定されるものではなく、各種の変更及び修正が可能であり、個々の目的実現に必要な構成要件を任意に組み合わせて、本発明のネット決済補助装置を構成することが可能である。又、かかる変更及び修正についても本発明の特許請求の範囲に属することは言うまでもない。
例えば、実施例では、クレジットカードのカード番号を用いたネット決済について説明したが、少なくともカード番号によってネット決済を行なうことが可能なカードであれば、クレジットカード以外に、デビットカード等のカードによる実施例も、本発明の特許請求の範囲に属する。
また、本実施例では、カード決済を利用したネット商取引に用いられるものとしたが、カード会員が、ネット商取引のみを希望し、従来のプラスチックタイプの磁気カード、ICカード等からなるクレジットカードによるリアルの対面取引を希望しない場合には、クレジットカードの発行は受けなくてもよく、本発明のネット決済補助装置の所有者が、従来のプラスチックタイプのクレジットカードを必ずしも有している必要はない。
また、例えば、実施例では、1のネット決済補助装置1のカード情報格納部13に、1種類のカード情報を有する1カード会員のカード情報を格納し、認証情報格納部15に1種類の認証情報を格納した場合を説明したが、複数のカード番号がカード情報格納部13に格納されてもよい。その場合の認証情報は、複数のカード番号を表示するために共通の認証情報であってもよいし、カード番号と認証情報がそれぞれ対応し、入力された認証情報によって、ディスプレイ11に表示されるカード番号が異なるようになっていてもよい。
また、親子クレジットカード等、同一又は複数のカード番号を、複数人が使用する場合は、それぞれの人によって異なる認証情報が認証情報格納部15に格納されていてもよいし、共通の認証情報が格納されていてもよい。
また、上記実施例においては、カード情報とOTP生成情報が、ネット決済補助装置1,1a及び認証サーバ7,7aで、それぞれ、関連付けられている旨を述べたが、カード情報の盗聴を防止するため、カード情報とOTP生成情報が、直接的ではなく間接的に関連付けられていても、特許請求の範囲に含まれるものとする。
具体的には、図3のS10において会員端末2で入力されたカード情報が、S20,30で、加盟店端末3、仲介サーバ5を経由して、最終的に認証サーバ7,7aに送信されることになるが、認証サーバ7,7aはこの際、受信したカード情報のうち、カード番号を、当該カード番号とは異なるユニークな番号に変換して、仲介サーバ5を経由して、加盟店端末3に送信する(S40,50において)。
更に、このユニークな番号は、加盟店端末2から会員端末2に送信され、会員端末2を経由して認証サーバ7,7aに送信される(S60,70において)。
当該ユニークな番号を受信した認証サーバ7,7aは、最初にカード番号をユニークな番号に変換したのとは逆の変換ルールによって、ユニークな番号をカード番号に変換し、変換されたカード番号に関連付けられているOTP生成情報をワンタイムパスワードの生成に用いることになる。
このように、カード番号とカード番号以外のユニークな番号とOTP生成情報とが関連付けられることによって、S10,S20,S30でカード番号が送信される以外は、ネットワーク9a上を、カード番号が流れることがないので、カード番号を盗聴される可能性が大幅に下がり、セキュリティ向上に寄与する。
また、上記実施例では、認証サーバ7,7aが、加盟店端末3からの依頼に基づき、図2のS80においてカード会員の本人認証を行なう場合について説明したが、必ずしも、加盟店端末3からの依頼に基づいて本人認証が行なわれる必要はない。
例えば、先に会員端末2が認証サーバ7,7aにアクセスして、認証サーバ7,7aがカード会員専用の認証情報入力画面を会員端末2に送信し、当該認証入力画面に入力されたカード情報とワンタイムパスワードに基づいて、端末2と認証サーバ7,7aとの間で本人認証を行なっておき、その結果、本人と確認されて以降、所定条件(例えば、所定時間、所定回数、所定加盟店等)内で、会員端末2が、加盟店端末3のウェブサイトにアクセスして、ネット商取引を行えるようになっていてもよい。
つまり、本発明のネット決済補助装置は、会員端末2と、カード会社側の認証サーバ7,7aとの間で、カード会員の本人認証に用いられ、認証後、実際に加盟店のウェブサイト等においてネット商取引が出来るようになることを基本としており、必ずしも、加盟店端末2からの本人認証依頼を前提としているものではない。
本発明に於ける各手段、データベースは、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。又データベースの代わりにデータファイルであっても良いことは言うまでもなく、データベースとの記載にはデータファイルをも含んでいる。
上記実施例では、ネット決済システム上の端末やサーバが、クレジットカードブランド(ネット商取引サービスの提供主体)、イシュア(カード会員の獲得・カード会員へのカード発行主体)、アクワイアラ(加盟店の獲得・契約・管理主体)、加盟店のそれぞれが運営するものである旨を説明したが、これらは全て概念上・役割上、区別されるものであり、物理的には、イシュアとアクワイアラが同一である場合もあるし、また、クレジットカードブランド、イシュア、アクワイアラが同一である場合もある。
従って、例えば、本明細書において、ネット決済補助装置1,1aは、イシュアから配布されることに限定されるものではない。また、必ずしもネット決済システムの提供主体がクレジットカードブランドである必要もない。また、イシュア端末6と認証サーバ7,7aとアクワイアラ端末4が同一であってもよい。また、仲介サーバ5が、その他の端末やサーバのいずれかと同一であってもよい。
尚、本発明を実施するにあたり本実施態様の機能を実現するソフトウェアのプログラムを記録した記憶媒体をシステムに供給し、そのシステムのコンピュータが記憶媒体に格納されたプログラムを読み出し実行することによっても実現される。
この場合、記憶媒体から読み出されたプログラム自体が前記した実施態様の機能を実現することとなり、そのプログラムを記憶した記憶媒体は本発明を構成する。
プログラムを供給する為の記憶媒体としては、例えば磁気ディスク、ハードディスク、光ディスク、光磁気ディスク、磁気テープ、不揮発性のメモリカード等を使用することができる。
又、コンピュータが読み出したプログラムを実行することにより、上述した実施態様の機能が実現されるだけではなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているオペレーティングシステムなどが実際の処理の一部又は全部を行い、その処理によって前記した実施態様の機能が実現される場合も本発明に含まれる。
更に、記憶媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わる不揮発性あるいは揮発性の記憶手段に書き込まれた後、そのプログラムの指示に基づき、機能拡張ボードあるいは機能拡張ユニットに備わる演算処理装置などが実際の処理の一部あるいは全部を行い、その処理により前記した実施態様の機能が実現される場合も本発明に含まれる。