この出願は、2009年9月17日に米国特許庁になされた出願61/243,203に基づくものであり、その利益を主張する。これらの出願の全内容がこの出願に含まれる。
電子支払いシステムは従来知られている。そのようなシステムの代表的なものは、銀行からその顧客に発行される「デビットカード」を使用する。簡単な取引では、顧客がそのカードを自動預け払い機(ATM、Automatic Teller Machine)にカードを挿入し、ATMがカードに記憶された情報を使用して顧客の銀行口座にアクセスする。銀行がカード所持者の本人確認をすることができるように、顧客はしばしば秘密の個人同定番号(PIN, Personal Identification Number)を示すことが求められる。本人確認プロセスが成功すると、顧客は、現金引き出しまたは他の口座への送金のような種々のタイプの取引をリクエストすることができる。
商業者のポイントオブセールス(POS)装置もデビットカード取引を取り扱うよう構成することができる。この場合には、デビットカードをPOS端末に挿入すると、POS端末がカードに記憶されている情報を使用して顧客の銀行と通信セッションを開始し、お金を顧客の銀行口座からこの商業者の銀行口座(同じ銀行または異なる銀行)に転送することをリクエストする。銀行の認証プロセス(再びPINを使用して)が成功裏に完了すると、銀行は顧客の口座に十分な資金があるかどうか検証し、もしあるならば銀行はリクエストされた取引を実行する。
同じような態様でクレジットカードがしばしば使われるが、クレジットカードの場合は、顧客の口座は、顧客が現存するバランスに対して利息を課される信用(クレジット)機構である。
クレジットカードでの問題は、銀行その他のカード発行機関がカードの使用に対してしばしば大きな料金を課することである。これらの料金は、カード所持者、商業者、またはその両方にカード発行者の方針に基づいて課される。しばしば、料金は取引ごとに課され、商業者およびカード所持者にとってビジネスのコストを大きく増加させる。
クレジットカードの使用についてのもう一つの問題は、通常、取引を匿名態様では行うことができないことである。カード所持者および商業者両方のアイデンティティがカード発行者によって取引の一部分として記録される。このことは、システムのセキュリティおよび完全性を確かなものにするが、カード発行者がカード所持者の購入履歴の詳細な記録を編集することを可能にする。このような記録は、カード所持者の同意(informed consent)なくして、さまざまな不正使用を生じる可能性がある。したがって、多くの状況において消費者は、匿名態様で支払いをすることができることを望む。
デビットカードおよびクレジットカードのさらなる制約は、カード所持者の認証プロセス(PINの入力)が取引が必要とするプロセスをスローダウンすることである。このことは、小額の取引を最小の遅延でお粉会うことが望まれる状況には、デビットカードおよびクレジットカードは適さないことを意味する。そのようなあ取引の典型的な例は、バス料金とか地下鉄料金の支払いである。
必要とされるのは、現金(キャッシュ)の使用に近似し、支払いに使用するときに費用を発生させず、匿名の取引ができる電子支払いシステムである。現金の特徴は、第三者に参照することなく機能し、特定の取引に支払者と受取人だけが関係することである。
電子的キャッシュ等価物のさらなる利点は、支払いがワイヤレスまたはケーブルのネットワークによりリアルタイムで遠隔から行うことができることである。
デビッド チャウム(David Chum)氏は、表題”Blind Signatures for Untraceable Payments” (トレースできない支払いのための盲目署名)、Advances in Cryptology Proceedings of Crypto 82, D. Chaum, R.L. Rivestr, A.T. Sherman (Eds.), Plenum, 199-203ページ にこれらの問題のいくつかについて記載している。チャウム氏のアイディアは、電子紙幣の作成を可能にする盲目ディジタル署名の概念であった。銀行は、たとえばドル紙幣の値を表すディジタル署名によって保護された電子メッセージを作ることができる。このディジタル署名は、この紙幣の発行者として銀行を同定するが、銀行からドル紙幣を得る顧客は同定しない。商業者に支払いをするには、顧客は商品の合計値を表す1組の電子的ドル紙幣を商業者に与えなければならない。顧客は、たとえば米国通貨では1セントから1ドルまでの各コインを表す電子メッセージをも必要とするであろう。
適当な組の電子紙幣を管理することの困難さはさておき、詐欺師にとって電子的ドル紙幣の複製を作るのはたやすいことであろう。オリジナルのディジタル署名されたメッセージとこのメッセージのコピーとを区別するのは不可能であるので、システムは発行銀行が提示される紙幣の最初のコピーだけを受け付け、その他のコピーは、正しく権限のあるバージョンであっても拒否されるであろう。このことは、チャウム氏の手法は、支払いが行われることを確実にするためには、商業者が発行銀行に接続されるオンラインで実施されねばならないことを意味する。この手法は、ローカルの資産移転システムのように見えるが、実際は、詐欺のリスクがあるのでそのようには実施することができない。
米国特許5,623,547号および5,778,067号には、資産価値を格納するのに使用することができる電子財布をユーザに所持させるシステムが記載されている。銀行(その他の発行機関)が特別の大容量財布を維持し、システム内で循環する資産価値の合計量を管理する。資産価値は、この大容量財布と他の財布との間および電子財布間で交換することができ、それぞれディジタル署名された4つのメッセージのプロトコルが使用される。このプロトコルは、二重払いを避けるよう設計されている。このシステムの制約は、取引の両当事者が電子財布および電子的な値移転のプロトコルを実施する手段を所有しなければならないことである。さらなる制約は、4メッセージのプロトコルは値移転を行うのに要する時間を増大させることであり、これは大量交通機関における料金の支払いのようなプリケーションでは受け入れられない。
この発明は、電子的資産保管および転送のための方法および装置を提供する。この発明の実施例を図1―7を参照して例としてだけ説明する。
図1aを参照すると、この発明の実施例の資産交換システム2は、通信媒体6を介してメッセージを交換するよう構成された少なくとも2つの電子財布4を備える。各電子財布(e財布)4は、e財布4が通信媒体6を介してメッセージの送受信をすることができるよう構成されたインターフェイス8と、受信したメッセージに応答してe財布4への資産価値の転送をe財布4に記録し、e財布4から資産価値を転送するコントローラ10と、現在の資産価値(Cur.Val)14、e財布のそれぞれ特異な識別子16と、e財布4eへのまたはe財布4eからの資産転送のログ18と、からなる。
メッセージの送受信機能20だけでなく、インターフェイス8は、暗号化22および解読24の機能をもつことが好ましく、e財布によって送られたメッセージが送信前にディジタル署名され(暗号化され)、e財布が受信したメッセージが有効化(解読)される。このような態様で使用する暗号化および解読機能は、この分野において周知である。
従来技術において知られているように、従来の公開キーインフラストラクチャ(PKI)のセキュリティシステムは、「秘密キー(private key)」および「公開キー(public key)」と呼ばれる1対のキーを生成し割り当てることによって機能する。秘密キーは当事者によって秘密に保持され、他の当事者に送信する前にファイルを暗号化するために使われる。公開キーは受取人に送られ、受取人がファイルを解読することを可能にする。システムによっては、秘密キーはファイル自体を暗号化するのには使われず、ファイルにディジタル署名を加えるのに使われる。この場合、受取人がファイル到着前にファイルが変更され(または壊され)ていないことを検証するのを可能にするために公開キーが使われ、公開キーは、そのファイルが送信者から実際に送られてきたことを信ずることができる理由を受信人に提供もする。
実施例によっては、インターフェイス8によって実行される暗号化および解読は、秘密キー/公開キーシステムを使ってe財布4によって送受信される資産価値転送メッセージにディジタル署名しこれを検証する。この場合、各e財布には特異な秘密キー/公開キーの対が与えられ、そのうち少なくとも公開キーが従来知られている態様で信頼された認証機関によって認証される。e財布をリバースエンジニアリングしたりハッキングしたりすることができないようにキーを記憶させるのに既知の手段を使うことができる。動作において、インターフェイスの暗号化機能は、「秘密キー」を使ってe財布によって送られる資産価値転送メッセージにディジタル署名し、解読機能は、「公開キー」を使ってe財布によって受信された資産価値転送メッセージを検証する。e財布によって送られる資産価値転送メッセージはe財布の公開キー証明書を伴っているか、含んでいてもよい。このことにより、資産価値転送メッセージを受け取るe財布は、公開キーの所有によって署名をチェックする前に公開キーの真正さをまずチェックすることができる。
実施例によっては、e財布は物理的な物体として実施される。その場合、メモリ12は不揮発性ランダムアクセスメモリ(RAM)として備えられ、コントローラ10は適当なファームウェアにしたがって動作する集積回路として実施することができ、インテーフェイス8は電気的接続またはワイヤレス接続を介した通信を可能にするよう設計することができる。所望の場合、e財布4のメモリ12、コントローラ10および少なくとも暗号化/解読機能22、24は、一つの特定用途集積回路(ASIC)内で実施することができる。物理的なe財布は、種々の適当なフォームファクタの任意のものを使って設計することができる。たとえば、コンピュータの取り外し可能なメモリデバイス(メモリスティック(商標)その他のいわゆるサムドライブ(thumb-drive)デバイスを含み、これに限らない)およびディジタルカメラを使うことができる。所望の場合、その他のフォームファクタを使うことができ、これにはたとえばスマートカードおよびキーフォブ(key-fob)が含まれる。
図1bを参照すると、実施例によっては、物理的なe財布は、コントローラ10に接続されたディスプレイ26を備えることができ、たとえばメモリ12に記憶された現在の資産価値などの情報を表示する。実施例によっては、ディスプレイ26は、ユーザがコントローラ10への指示(コマンド)を入力することができる、いわゆる「タッチスクリーン」として実施することができる。代わりにこの目的にためにボタンまたはスイッチを物理的e財布に備えることができる。その場合、コントローラ10は、グラフィカルユーザインターフェイス(GUI)を実施するソフトウェアを実行することができ、これは種々の機能を実施するためにユーザがコントローラ10と対話することを可能にするが、メモリ12に記憶された資産転送のログ18の全てまたは一部を表示すること、メモリ12に記憶された現在の資産価値の額の表示、およびe財布の状態の表示、に限定されない。
電気コネクタタイプのインターフェイス8を持つ物理的e財布の場合、電気コネクタの構成が少なくとも部分的にはe財布全体のフォームファクタに基づいて選択されるであろう。たとえば、場合によっては、ユニバーサルシリアルバス(USB)標準に適合したソケットが使われる。所望の場合、その他の電気コネクタ構造を使うことができる。ワイヤレス接続インターフェイスを持つ物理的e財布の場合、電力要求を低減しセキュリティを高めるため、ワイヤレス接続がごく限られた距離(たとえば、10cmのオーダーまたはこれ以下)で機能することが好ましい。この距離でのワイヤレス接続を行うためには、種々の既知の無線周波数電磁結合または磁気結合技術を使うことができる。
所望の場合、e財布の種々のコンポーネントによって必要とされる電力の少なくともいくらかを提供するためにバッテリを既知の態様で使用することができる。インターフェイス8、コントローラ10およびメモリ12の動作を可能にするため、e財布に電力を供給する通路をインターフェイス8が提供するのが好ましい。電気コネクタタイプのインテーフェイスをもつe財布の場合、コネクタの一部としてグランド(接地)および+Vdd接点を備えるのは簡単である。ワイヤレスコネクタタイプのインターフェイスをもつe財布の場合、既知の態様で受信したワイヤレスエネルギーを電力に変換するための整流器をインターフェイスが備えることが好ましい。インターフェイス8、コントローラ10およびメモリ12の適当な設計によって、ワイヤレスエネルギーを整流することによって単独またはバッテリ電力と組み合わせてe財布の信頼性ある動作のための十分な電力を作ることができる程度に、e財布の電力要求を小さくすることができる。得られる電力はe財布とワイヤレス端末との間の距離の二乗に逆比例して変化するので、この構成はe財布4へのワイヤレス接続を行うことができる最大距離を制限する有効な手段として作用する。
実施例によっては、e財布4は高セキュリティのサーバがホストとなる仮想e財布として実施される。この場合、メモリはデータベースレコードとして実施され、サーバが適当なソフトウェアを使用してインターフェイス8およびコントローラ10の機能を提供する。仮想e財布は、たとえば複数のクライエント口座を管理する手段としてブローカーによって使用される。
上述のようにコントローラ10は、受信したメッセージに応答して資産価値の転送をe財布4に記録し、e財布4から資産価値を転送する。図2aは代表的な「転送アウト」プロセスを示す流れ図であり、e財布によって実行されてe財布から資産を転送する。図2aを参照すると、転送アウトプロセスは、転送すべき資産価値の額(Val)を含むリクエストメッセージを受け取ること(28)から開始する。ステップ30において、コントローラ10が転送すべき資産価値の額(Val)をメモリ12に記憶された現在の資産価値(Cur.Val)14と比較する。現在の値14が転送すべき値の額(Val)より小さければ、コントローラ10はエラーメッセージを生成して返す(32)。さもなければ、コントローラ10はメモリ12に記憶された現在の値(Cur.Val)を転送すべき額(Val)だけ減らし(34)、転送すべき額(Val)およびナンスを含むメッセージを生成する(36)。ナンスは、少なくともコントローラ10によって生成され送信される価値転送メッセージの間でそれぞれのメッセージを特異に識別する。最後に、コントローラ10は転送に関する情報をログに記録する(38)。実施例によっては、ナンスはカウンタの値であってよく、カウンタは連続する価値転送メッセージのそれぞれについてインクリメントされる。上述のように、インターフェイス8の暗号化機能22は、ディジタル署名を価値転送メッセージに与え(40)、次いで署名された価値転送メッセージを通信媒体6に伝送する。
図2bは、代表的な「転送イン」プロセスを示す流れ図であり、このプロセスは資産価値のe財布4への転送を記録するためにe財布4によって実行される。図2bを参照すると、転送インプロセスは、転送すべき資産価値の額およびナンスを含む価値転送メッセージを受け取ること(42)で開始する。最初のステップで、インターフェイス8の解読機能24が公開キーを使って受け取った価値転送メッセージのディジタル署名を検証する(44)。検証に失敗すると、その価値転送メッセージは破棄され(46)、エラーメッセージが生成され(48)、転送インプロセスが終了する。検証に成功すると、コントローラ10がナンスを使って受信した価値転送メッセージをそのログ18と比較し、その価値転送メッセージが以前に受信したメッセージと重複しているかどうかを判定する。重複していれば、その価値転送メッセージは破棄され(46)、エラーメッセージを生成し(48)、転送インプロセスを終了する。さもなければ、コントローラ10がその転送についての情報をログに記録し(52)、メモリ12に記憶された現在の値(Cur.Val)を転送すべき大きな(Val.)だけ増加させる(54)。
上述のように、ログ18はe財布4に出入りする資産転送の記録を維持する。実施例によっては、ログ18に記録される情報は、e財布4が受信または送信した各資産転送メッセージのコンテントからなる。実施例によっては、コンテント全体ではなく、各資産転送メッセージのダイジェストをログ18に記録することができる。場合によっては、ダイジェストは資産転送メッセージの少なくとも一部分について計算されたハッシュの形をとることができる。受信した価値転送メッセージのハッシュを記録することは、たとえば、ログ18を記憶するのに要するメモリ量を最小にしながら、重複メッセージの効果的な検出を可能にする。実施例によっては、送信および受信した資産転送メッセージをそれぞれ別のログに記録することができる。この構成は、各ログ18にそれぞれ異なる情報セットを記録することができるという利点がある。たとえば、メッセージのログはe財布が送信するすべての価値転送メッセージの全コンテントを記録し、受信したメッセージについては各受信メッセージのハッシュだけを記録することができる。
図2を参照しての上記の記述は、e財布4から受け取った資産価値および点背負う資産価値を記録するためにコントローラ10によって実行される代表的な機能を説明する。説明は、e財布自身によって実行される特定の機能だけに関するものである。この機能は、より一般的に以下に説明するように当事者間で資産価値転送を行う種々の方法において使用することができる。
一般に、通信媒体6は、e財布4とメッセージを交換することのできるハードウェアおよびソフトウェアの任意の適当な組合せであることができる。e財布がサーバがホストとなる仮想e財布である実施例では、通信媒体はインターネットのようなデータネットワークであることができる。e財布が物理的な物体である実施例では、通信媒体は、通常、インターフェイスを介してe財布に接続され、他の当事者との通信のためエータネットワークに接続された通信媒体である。図3は、種々の代表的なタイプの通信媒体およびe財布フォームファクタを組み込む値交換システムの概略を示す。特に図3は、e財布4と共に使われる(ワイヤレスまたは電気コネクタタイプのインターフェイスを使用)ラップトップ、パーソナルデータアシスタント(PDA)または携帯電話のようなユーザの個人用通信媒体デバイス56、顧客の物理的e財布4とインターフェイスするための「リーダ」60を有する(ワイヤレスまたは電気コネクタタイプのインターフェイスを使用)ポイントオブセールス(POS)端末58、ワイヤレスインターフェイスを持つ物理的e財布と共に使用される「タッチアンドゴー」端末62、および仮想e財布をインスタンス生成し維持するホストサーバ64、を示す。これらの構成のそれぞれを以下に詳しく説明する。
通信媒体6がユーザの個人用通信デバイス56である場合、ユーザの物理的e財布はワイヤレスまたは電気コネクタタイプのインターフェイスを使用してルウ新媒体56に接続することができる。電気コネクタタイプのインテーフェイスを持つe財布では、インターフェイスは、直接または適当なケーブルを介して通信デバイス56の適当なポートにプラグ差し込みできるよう構成することができる。USBポートが比較的ユビキタスであり、この目的のために容易に使用することができるが、その他の適当なコネクタタイプが同様に使用可能である。
e財布のメッセージの送受信、およびこれにユーザのコントロール下での関連する資産価値の転送を助けるため、ユーザの個人用通信デバイス56にソフトウェアアプリケーション(またはアプレット)が導入されることが好ましい。たとえば、図4は、所望の資産価値の額が第1のユーザ(ユーザ「A」)所有のe財布4aから第2のユーザ(ユーザ「B」)所有のe財布4bに転送されるシナリオを示す。このシナリオで、ユーザ「A」がその個人用通信デバイス56a上でアプレットを立ち上げてディスプレイスクリーンにウィンドウを開き、ユーザ「B」に転送したい所望の値の額を示す情報をユーザ「A」が入力することができるようにすることができる。入力された情報に基づいてアプレットは、転送すべき値を含むリクエストメッセージ66を生成し、インターフェイスを介してユーザ「A」のe財布にリクエストを送ることができる。受信したリクエストメッセージに応答して、e財布は図2aを参照して説明した「転送アウト」プロセスを実行する。上述のように「転送アウト」プロセスに続いて、e財布はエラーメッセージまたは転送すべき値を含む価値転送メッセージ68を返す。ユーザAは、次いでアプレットとやり取りしてデータネットワークを介してユーザBに価値転送メッセージを送る(70)。たとえば、価値転送メッセージはeメールの添付としてユーザBに送ることができる。ユーザBは、(たとえば、そのeメールボックスに)この価値転送メッセージを含むeメールメッセージを受け取るとき、個人用通信デバイス56b上のeメールソフトウェアおよびアプレットとやり取りし、受信した価値転送メッセージをそのe財布4bに送り(72)、e財布4bは図2bを参照して説明した「転送イン」プロセスを実行してe財布4bへの資産価値の転送を記録する。
理解されるように、上述の機能性はそれぞれのデータネットワーク6を介してメッセージ交換をすることができる通信デバイス56をホストとする任意の2つのe財布の間で所望の資産価値の額を転送するのに使うことができる。メッセージ転送のためにeメールを使用することは、eメールソフトウェアが簡単に得られ、信頼性のある高セキュリティのメッセージ転送のためのロバストな手段を提供する点で有用である。それはさらに、メッセージ転送が「リアルタイム」である必要がなく、転送を行うために二人の当事者が専用の通信リンクを確立する必要がない点で有利である。しかし、メッセージ転送を行うためにeメールを使用することは、必須ではない。送信側のe財布の現在値は、価値転送メッセージが生成される時間に、転送中の額だけ減らされる。受信側のe財布は重複を捕捉し(そして破棄し)、価値転送メッセージを受け取った時間にその現在値をインクリメントする。これらのイベントは一つの通信セッションのコンテキスト内で起きることができるが、必須ではない。この動作は、二人の当事者の間で値の交換が行われ、第三者(銀行など)の介入を含まず必要ともしないという意味で、キャッシュの法定貨幣(紙幣またはコイン)を交換するパターンに近似することがわかるであろう。
図4に関連して上で説明したシナリオは、値の交換に係る二人の当事者はそれぞれ(物理的)e財布4および個人用通信デバイス56の人間ユーザであるとしている。しかし、これは本質的なことでないことがわかるであろう。たとえば、ユーザAのe財布4aは遠隔サーバがホストとなる仮想e財布であってよい。この場合、ユーザAは、このサーバ上のクライアントアプリケーションとやり取りしてリクエストメッセージを送信し、その(仮想)e財布から所望の価値転送メッセージを得る。同様に、ユーザBのe財布は、遠隔サーバをホストとする仮想e財布であることができる。この場合、ユーザBは、このサーバ上のクライアントアプリケーションとやり取りして、受け取った資産価値転送メッセージを自己のeメールアプリケーションから自己の(仮想)e財布に送る。
さらに、ユーザAまたはユーザBの一方または両方が人間である必要はない。たとえば、ユーザAは所定のスケジュールでユーザBに支払いを送るよう設計された自動化システムであってよい。同様に、ユーザBは、価値転送メッセージをオンライントランザクションの一部としてその(仮想)e財布に送受信するeコマースアプリケーションであることができ、またはデータネットワークを介して支払いを受け取り処理する任意のタイプの自動支払い処理システムであることができる。
このように図4を参照して説明したシナリオは、二人の人間の間の資産転送の場合にも、人間と自動支払い処理システムとの間の資産転送の場合にも、または二つの自動化システムの間の資産転送の場合でも、等しく適用可能であることがわかるであろう。
実施例によっては、e財布に保管された資産価値は法定貨幣として扱うことができる。この場合、ユーザの銀行はユーザの銀行口座が仮想e財布によって代表される機能を提供する。ユーザの物理的e財布は電子ウォレットまたはパースとして使用されることができる。この構成では、ユーザは資産価値の額をその仮想および物理的e財布の間で転送することによって、銀行口座から現金を引き出しまたは預け入れすることができ、これはたとえばユーザの物理的e財布に接続するよう構成された自動払い出し預け入れ機(automatic teller machine)を使うことによって行われ、銀行アクセスカードを使用した現金の払い出しおよび預け入れの従来方法と同じ態様で行われる。
実施例によっては、e財布に保管された資産価値は、法的貨幣ではないが、価値を保管し交換する手段として受け入れられる。たとえば、e財布ベースの資産価値は、選択された小売店で商品またはディスカウントに埋め合わせることができるクーポンまたは割引券として扱うことができる。もう一つの例では、e財布ベースの資産価値はオンライン取引のための価値交換の手段として使うことができ、たとえばオンラインゲームまたはソーシャルネットワーク環境において使うことができる。両方の場合において、ユーザは所与の資産価値の額がメモリ12に保管されているe財布を購入することができる。代わりに、ユーザは、所望の資産価値の額を、たとえばブローカーから購入し、これをユーザが既に所有しているe財布に転送することができる(たとえば、図4を参照して説明した方法を使って)。ユーザがユーザのe財布に保管された資産価値の額の一部または全てを法定貨幣との交換としてブローカーに売ることが想定される。このようにして、ブローカーは、ユーザが法定貨幣をe財布ベースの資産価値に変換しその逆も行う手段として作用することができる。
上述のように、通信媒体がユーザの個人用通信デバイス(ラップトップ、PDAまたは携帯電話など)である実施例では、個人用通信デバイスの間のやり取りにアプレットを実行してe財布とのやり取りを助けることができる。実施例によっては、このアプレットは個人用の通信デバイスに導入することができ、ユーザの希望どおりに起動することができる。実施例によっては、このアプレットは自動的に起動され、たとえばe財布がこのデバイスのI/Oポートの一つに接続されたことの(個人用通信デバイスによる)検出に応答して起動される。他の実施例では、アプレットはe財布自体に記憶されており、e財布が個人用通信デバイスのI/Oポートに接続されるとき、個人用通信デバイスにアップロードされ起動される。
e財布が遠隔サーバがホストとなる仮想e財布である実施例では、アプレットは、ブラウザまたは「プラグイン」の形をとることができ、これによりユーザはウェブブラウザソフトウェアを介して仮想e財布とやり取りをすることができる。
上述のように、転送すべき所望の額がe財布に保管されている現在の値を超えるならば、「転送アウト」プロセスがエラーメッセージを返す。同様に、受信した価値転送メッセージが重複であるならば、「転送イン」プロセスがエラーメッセージを返すことができる。e財布とやり取りするのに使われるアプレットがこのエラーメッセージに応答してユーザに適当な警告および/またはプロンプトを表示するよう設計されていることが好ましい。実施例によっては、ユーザによるe財布の使用を助けるためにアプレットとe財布との間で追加のメッセージを交換することができる。
たとえば、アプレットはユーザの個人用通信デバイスで起動されるとき、自動的にe財布に状態リクエストメッセージを送ることができる。これに応答して、e財布は、状態チェックメッセージを返すことができ、これにはe財布に保管された現在の資産価値が含まれる。状態チェックメッセージを受信すると、アプレットは、ユーザの個人用通信デバイスのディスプレイに現在の資産価値を表示することができる。所定の時間内に応答を受け取らないならば、アプレットはe財布が接続されていないか適切に動作していないと判定し、個人用通信デバイスの死すプレイに適当な警告を表示することができる。
所望ならば、アプレットはユーザがログ記録リクエストメッセージをe財布におくることを可能にすることができ、これに応じてe財布はe財布のメモリ12に記憶されたログのコンテントを含むログ記録メッセージを返す。実施例によっては、アプレットは、このログ記録メッセージまたはその中のログコンテントが会計アプリケーションにアップロードされるようにすることができ、これによりユーザは支出の個人記録を維持することができる。
図5および6は、顧客と商業者との間で、たとえば購買取引の一部として資産価値転送を取り扱うためのメッセージ流れ図を示す。
図5のメッセージフローは、ポイントオブセールス(POS)端末58が顧客所有のe財布から所望の資産価値を商業者所有のローカルe財布74に転送するのに使われるシナリオに関係する。
図5に見られるように、POS端末58は、POS端末58と顧客の物理的e財布4との間の接続をワイヤレスまたは電気的接続を使用して確立するよう設計された読み取りデバイス60を備える。商業者のローカルe財布74はPOS端末58のI/Oポートに接続された周辺装置として設けられることができる。所望ならば、商業者のローカルe財布74は、一つのPOS端末58によって制御されるかまたはたとえば所与の小売り所における2つ以上のPOS端末のクラスタによって制御される資産価値転送をサポートするのに使用することができる。商業者のローカルe財布74は、図5に示すようにPOS端末58に接続された物理的デバイスであってよく、または遠隔サーバがホストとなる仮想e財布であってよい。仮想e財布の場合、POS端末58は、遠隔サーバへの高セキュリティのリンクを介して、たとえばブラウザアプリケーションを使用してそのe財布とやり取りをするよう設計することができる。
POS端末58は、商業者が従来の態様で購入額を入力し、顧客のe財布から転送されるべき合計の資産価値を計算することができるアプリケーションを実行する。このPOSアプリケーションは、次いで転送されるべき値を含むリクエストメッセージを生成し(76)、このリクエストを読み取りデバイス60を介して顧客のe財布4に送る。受信したリクエストメッセージに応答して、顧客のe財布4は、図2aを参照して説明した「転送アウト」プロセスを実行する。上述のように、「転送アウト」プロセスに続いて、顧客のe財布4は、エラーメッセージまたは転送すべき値を含む価値転送メッセージを返す(78)。この価値転送メッセージを受け取ると、POSアプリケーションは、受信した価値転送メッセージを商業者のローカルe財布74に送ることができ(80)、商業者のローカルe財布は図2bを参照して説明した「転送イン」プロセスを実行して資産価値の転送を記録する。当然、顧客に返金するときは、このプロセスを逆進させる。
理解されるように、この構成は、法定貨幣の現金ではなく顧客のe財布に保管された資産価値の額を使用して、POS端末58が従来のPOS端末の通常の現金販売処理のすべてを実行することを可能にする。商業者のローカルe財布74のメモリに記憶されたログは、電子的な資産価値の取引の完全な記録を含み、この記録は商業者によって読み出され所望により帳簿記帳および会計目的に使用することができる。
商業者がその顧客に物理的なe財布を提供し、商品に付け替えまたは店内ディスカウントに使う従来のクーポンまたは割引券と同様の態様でe財布ベースの資産価値取引を使用することが想定される。そのような場合、商業者が提供する物理的e財布4は、その商業者のPOS端末58だけを認識してやり取りするよう構成することができる。この選択的な運用は、e財布4を権利的なインターフェイス8で設計する、権利的な暗号アルゴリズムまたはその商業者に特異な対になったキーでe財布4を設計する、コントローラ10を、その商業者だけが知っている所定のコードワードを含むリクエストメッセージだけに応答するよう設計する、などの種々の手段によって達成することができ、これに限られない。たとえば、図2の転送インおよび転送アウトのプロセスのそれぞれは、コードワードが含まれているかどうか受信したメッセージをチェックするステップを含み、もし含まれているならば、そのコードワードが有効かどうか判定する(たとえば、それをメモリ12に予め保管されている値と比較することにより)ステップを含むよう変更することができる。もしそのコードワードが有効であると判定されるならば、残りの転送インおよび転送アウトのプロセスが通常通り進行する。そのコードワードが向こうであると判定されるならば、エラーメッセージを送り、転送インおよび転送アウトのプロセスを終了することができる。
e財布ベースの資産価値が法定貨幣として認識される実施例においては、商業者は、自己のローカルのe財布に保管された資産価値の額の全てまたな一部を自己の銀行口座に転送することを希望することがある。図5に戻ると、商業者は、自己のPOS端末とやり取りして転送すべき額を入力する。そのPOS端末がその入力された額を含む適当なリクエストメッセージを生成しその商業者のローカルe財布74に送る(82)。ローカルe財布74はこれに応答して、図2aを参照して説明した態様でPOS端末58に価値転送メッセージを返す(84)。次いでこの価値転送メッセージは、商業者の銀行口座を代表するよう先に設定されている仮想e財布に(自動的にまたはPOS端末へのユーザ入力に応じて)送ることができ、これによりこの資産価値の額がこの商業者の銀行口座の預金に入れられる。
e財布ベースの資産価値が法定貨幣として認識されない実施例では、商業者は、自己のローカルのe財布74に保管されている資産価値の一部またはすべてをブローカーに法定貨幣と交換に売ることを望むかもしれない。上述したのと実質的に同じ方法を使ってこの取引を行うことができるが、この場合、商業者のローカルe財布74によって返された価値転送メッセージをeメールの添付としてブローカーに送ることができ、次いでブローカーは、取引の一部として、従来の電子送金の方法を使って法定貨幣の額を商業者の銀行口座に預け入れることができる。
図5を参照して上述した実施例では、顧客のe財布4から転送された資産価値の額が商業者のローカルe財布74に保管され、次いでこの保管された資産価値の一部または全部が法定貨幣への交換のためにこの商業者の銀行口座(仮想e財布)またはブローカーに送られる。商業者のローカルe財布74による転送インプロセスが成功裏に完了すると、意図した示唆案価値の額が転送されて購買取引が完了したことの即時の確認が得られる点で、この構成は有用である。しかし、一つまたは複数のローカルe財布74をセットアップし管理する必要性は商業者にとって不便かもしれない。図6は、この困難性を避ける実施例を示す。
図6の実施例では、商業者が資産転送サービスを提供するブローカーと契約する。この商業者のPOS端末58には公開キーおよびソフトウェアアプリケーションが与えられ、POSアプリケーションが顧客のe財布4から返された資産転送メッセージを検証することを可能にする。購買取引中に商業者が従来の態様で購買額を入力し、顧客のe財布4から転送されるべき合計資産価値を、図5を参照して説明したのと同じ態様で計算する。POSアプリケーションは次いでリクエストメッセージを生成し(88)、このメッセージはこの場合、転送すべき価値の額およびチャレンジワードを含む。チャレンジワードは、少なくともPOS端末58によって送られる資産価値転送リクエストメッセージの中で特異な任意の英数字列であることができる。このリクエストメッセージが顧客のe財布4によって受け取られると、e財布4は図2aを参照して説明した「転送アウト」プロセスを実行し、成功裏に完了すると少なくとも転送すべき価値、チャレンジワードおよび顧客のe財布の特異な識別子を含む価値転送メッセージを返す(90)。実施例によっては、返された価値転送メッセージは顧客のe財布4によって生成されたナンスをも含み、ブローカーが重複メッセージを検出することを可能にする。他の実施例では、この目的でチャレンジワードを使用することができ、その場合、顧客のe財布で生成されたナンスはe財布のログ18で使われるだけで返された価値転送メッセージはナンスを含まない。価値転送メッセージを受け取ると、POSアプリケーションは、ディジタル署名をチェックし(92)、価値転送メッセージを検証し、チャレンジワードを調べる。検証に成功し返されたチャレンジワードが顧客のe財布4に送信されたものと一致するならば、商業者は顧客のe財布4が適切に動作しており、有効な価値転送メッセージを発行したと結論することができる。次いで(暗号化され/署名された)価値転送メッセージがPOS端末からブローカーに、たとえばeメールへの添付として送ることができる(94)。この価値転送メッセージを受け取ると、ブローカーアプリケーションが価値転送メッセージを検証し(96)、価値転送メッセージの重複コピーを検出するためe財布識別子およびナンスをチェックし(98)、次いで価値転送メッセージの資産価値の額を商業者の口座に(貸方、credit)記入する(100)。この後者の操作は資産価値の額を商業者の銀行口座を代表する仮想e財布に転送するか、所望により、法定貨幣を商業者の銀行口座に従来の電子送金することによって実行することができる。
図5および6を参照して説明した実施例では、購買取引は、たとえば商業者の小売りアウトレットにあるPOS端末58によって制御される。しかし、たとえばバスまたは地下鉄のターミナルで乗り換えの料金支払いを取り扱うために、「タッチアンドゴー」端末62で取引を取り扱うために実質的に同じプロセスを使用することができることがわかるであろう。この場合、しかし、転送すべき額は事前にわかっており、「タッチアンドゴー」端末62はe財布がそのインターフェイスに正しく接続されたことが検出されると即時に転送リクエストメッセージを送ることができる。その後のe財布4による価値転送メッセージの取り扱いは、図5および6を参照して説明したものと実質的に同じであり、手動のPOS端末58の代わりに「タッチアンドゴー」端末が自動的に動作する。これらのシナリオの両方において、「タッチアンドゴー」端末はe財布4が返した価値転送メッセージを検証する。所望ならば、この検証ステップは回転式出札口その他のアクセス制限システムを制御するために使用することができるので、e財布のユーザは資産価値転送が失敗しても進行を妨げられることがない。
この構成の利点は、「タッチアンドゴー」端末が転送リクエストメッセージを発行し、返される資産価値転送メッセージを非常に短時間内に受信し検証することができることである。多くの場合、このことは、地下鉄の駅での通勤者がなんら遅延を生じることなく乗り換え料金を支払うことを可能にし、通勤者にとっての利便性を最大にし、同時に乗り換え機関によって生じる取引コストを最小にする。
上述のように、いくつかの実施例では商業者は、e財布の選択的な運用を可能にするために権利的な(proprietary)コードワードを使用することができ、たとえばe財布ベースの資産価値を商品またはディスカウントに当てる割引券またはクーポンとして使用することを可能にする。関心のあるコミュニティを規定するため、および所与のe財布がそのコミュニティ内の他のe財布とだけ資産価値の交換をすることを可能にするために、同じ原理を適用することができる。たとえば、資産価値の額が(少なくとも名目上)所与の国の通貨で表されている例を考える。資産価値の交換をその資産価値が同じ通貨で示されているe財布との間で行うことが望まれるであろう。こうして、一つの関心あるコミュニティが英国ポンドで示される資産価値について規定され、もう一つの関心あるコミュニティがカナダドルで示される資産価値について規定される。両方の関心あるコミュニティで使用されるe財布は同じものであるが、価値の交換はコミュニティごとにそれぞれ異なるコードワード(この例では通貨標示の形をとるであろう)を発行することによってそれぞれの関心あるコミュニティに制限される。この構成で、「カナダドル」コミュニティ内でe財布によって発行された資産価値転送メッセージは、たとえば「英国ポンド」コミュニティ内のe財布では受信しプロセスすることができない。所望であれば、ユーザは2つ以上の関心コミュニティのために複数のe財布を得ることができ、サービスを提供するブローカーを使って、その間で資産価値の額を転送することができる(こうして通貨の両替を効果的に行うことができる)。わかるように、所与の国の法定貨幣で資産価値を示すことは、e財布ベースの資産価値が法定貨幣と考えられるか否かとは独立に、資産価値の額を表す便利な方法を提供する。こうして、上記の例はe財布ベースの資産価値が法定貨幣である場合に限られない。さらに、関心あるコミュニティの使用は資産価値が異なる国の通貨で示されるe財布の間での転送を防止することに限られない。任意の所望の基準を使って関心あるコミュニティを規定し、その関心あるコミュニティ内のe財布をその関心あるコミュニティ内の他のe財布との資産価値転送に制限することができる。
図2―6を参照して説明した上述の実施例では、e財布が転送すべき資産価値の額を含む転送リクエストメッセージを受け取り、エラーメッセージまたは転送すべき資産価値の額を含む資産価値転送メッセージを返す。場合によっては、ユーザが転送リクエストメッセージ(図4)を生成するのに自身の通信デバイス56を使用するか、またはたの者(たとえば商業者のPOSシステム58または立ちアンドゴー端末62)が転送すべき資産価値の正しい額でリクエストメッセージを提供することを信頼するかしなければならないので、この操作は望ましくないことがある。物理的e財布が、図1bで説明したように、ディスプレイ26およびユーザ入力デバイス(タッチスクリーンなど)を備える実施例では、転送すべき額のユーザ入力を受け入れるようコントローラ10を構成することでこの制限は克服することができる。e財布が続いて(たとえば図5および6に示されるPOS端末から)転送リクエストメッセージを受け取るとき、コントローラ10は、リクエストメッセージに含まれる価値の額をユーザが入力した額と比較することができる。2つの額が一致するなら、コントローラ10は、上述のように転送アウトプロセスを実行してリクエストされた額を転送する。さもなければ、コントローラ10は、受信したリクエストメッセージを無視するかエラーメッセージを送信する。
ある代替シナリオではPOS端末は転送すべき資産価値の額として「ヌル(null)」値を含む転送リクエストメッセージを生成することができる。このシナリオでは、コントローラ10が上述のように転送アウトプロセスを実行するが、転送リクエストメッセージに含まれる価値を使用するのではなく、ユーザが入力した資産額を価値転送メッセージに挿入する。この場合、POS端末58上で実行しているPOSアプリケーションが資産転送メッセージに含まれる資産価値の額を支払うべき合計額と比較することができる。2つの額が一致すれば、POSアプリケーションが顧客に領収書を発行して販売取引を完了する。所望ならば、POS端末58は、リーダ60が顧客の物理的e財布4を検出すると、自動的に「ヌル」転送リクエストメッセージを生成するよう構成することができる。この操作は、結果として従来の現金による販売取引に非常によく似た態様で進む交換になり、現金による販売では、POS端末が合計販売価格を計算し、顧客が次いで販売員に現金を提示し、顧客が提示した額がPOS端末で計算された合計価格と一致するとき、販売取引が完了する。その結果、紙幣およびコインの法定貨幣を取り扱う不便さなくして、従来の現金による販売取引の利点および親しさが得られる。
図7は、第1のユーザ(ユーザA)が所有する物理的e財布から第2のユーザ(ユーザB)が所有する物理的e財布に直接、所望の資産価値の額が転送されるシナリオを示す。このシナリオでは、ユーザAのe財布4aはディスプレイ26およびユーザ入力デバイス(タッチスクリーンなど)を備え、両方のe財布にワイヤレスインターフェイスが備えられている。図7を参照すると、ユーザAが転送すべき額を入力し(102)、そのe財布4aをユーザBのe財布4bの近くに持ってくる。この2つのe財布がワイヤレスリンクを確立するに十分近くにあると、ユーザBのe財布4bが転送すべき金額としてヌル値を持つ転送リクエストメッセージを送信する(104)。「ヌル」転送リクエストメッセージを受け取ると、ユーザAのe財布4aは上述の転送アウトプロセスを実行して、先にユーザAが入力した転送すべき金額を含む資産転送メッセージを生成する(106)。ユーザBのe財布4bは、価値転送メッセージを受け取るとき、上述の転送インプロセスを自動的に実行してe財布への資産価値の転送を記録する。
このシナリオは、たとえば顧客がホテルのベルボーイにチップを渡したい場合のように二人の間で自発的に資産転送を行うのに特に適している。上述のように、ユーザAが価値転送を開始し、転送すべき金額を選択する。ユーザAは、選択した資産価値を転送すべきe財布の近くに自己のe財布を置くことによって受領者をコントロールする。この場合、ユーザAのe財布4aは転送すべき金額を入力した後、ヌル価値を含む転送リクエストメッセージの受信だけに応答し、受信した転送リクエストメッセージに応じて一つの資産転送メッセージを送信するだけなので、転送のセキュリティが維持される。さらに、資産転送は二つのe財布が近くに置かれたときだけ生じる。その結果、ユーザAのe財布から望まない資産転送が生じる可能性は極めて低い。
図7のシナリオでは、ユーザBのe財布4bがユーザAのe財布の存在に応答して転送リクエストメッセージを送信する。この機能は、ユーザBのe財布がそのワイヤレスインターフェイスのレンジ内でユーザAのe財布4aの存在を検出することができることを要する。これを達成するため種々の方法を使用することができる。たとえば、ユーザAが転送すべき金額をひとたび入力すると、ユーザAのe財布は所定のハンドシェイク信号の送信を開始することができる。ユーザBのe財布はハンドシェイク信号の検出に応答して転送リクエストメッセージを生成することができる。当業者にとってその他の技術も自明であり、この出願の特許請求の範囲が意図するところから逸脱することなく使用することができるであろう。
上に説明したこの発明の実施例は、例示だけのものである。この発明の範囲は特許請求の範囲によってのみ規定されることを意図している。