JP2013524323A - メッセージ記憶・転送システム - Google Patents

メッセージ記憶・転送システム Download PDF

Info

Publication number
JP2013524323A
JP2013524323A JP2013501574A JP2013501574A JP2013524323A JP 2013524323 A JP2013524323 A JP 2013524323A JP 2013501574 A JP2013501574 A JP 2013501574A JP 2013501574 A JP2013501574 A JP 2013501574A JP 2013524323 A JP2013524323 A JP 2013524323A
Authority
JP
Japan
Prior art keywords
transfer
message
content
transferred
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2013501574A
Other languages
English (en)
Other versions
JP2013524323A5 (ja
Inventor
エバレット,デビッド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Royal Canadian Mint
Original Assignee
Royal Canadian Mint
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/CA2010/000435 external-priority patent/WO2011032257A1/en
Application filed by Royal Canadian Mint filed Critical Royal Canadian Mint
Publication of JP2013524323A publication Critical patent/JP2013524323A/ja
Publication of JP2013524323A5 publication Critical patent/JP2013524323A5/ja
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • G06Q20/123Shopping for digital content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

電子コンテンツ交換システムは、通信媒体と、少なくとも2つの記憶媒体とを含む。各記憶媒体は、メッセージを送受信するように構成されたインターフェースと、現在のコンテンツ、個々の一意の識別子、およびコンテンツ転送のログを記憶するメモリと、コントローラとを含む。コントローラは、少なくとも1つの転送されるべきメッセージコンテンツを含むコンテンツ転送メッセージを受け取り、転入プロセスを実行して現在のコンテンツを転送されるべきメッセージコンテンツの分だけ増やし、転送の情報をログに記録する。コントローラは、インターフェースを介して、少なくとも1つの転送されるべきメッセージコンテンツを含むコンテンツ転送要求メッセージを受け取り、転出プロセスを実行して転送されるべきメッセージコンテンツを含むコンテンツ転送メッセージを生成し、送り出し、現在のコンテンツを転送されるべきメッセージコンテンツの分だけ減らし、転送の情報をログに記録する。

Description

本発明は、通信システムの関与者により保持される記憶媒体間でメッセージコンテンツをセキュアに記憶し、移動するためのシステムに関する。
現代の通信空間には、当事者間でメッセージコンテンツをセキュアに記憶し、交換し得ることが求められる多数のシナリオがある。この種の機能が求められるシナリオには、それだけに限らないが、メッセージコンテンツが資産価値または金額を含み得る電子商取引、メッセージコンテンツが投票者の選択を含み得る電子投票、メッセージコンテンツがセンサデータおよび/または制御コマンドを含み得る遠隔測定が含まれる。
あらゆるそのようなシナリオにおいて、メッセージコンテンツがある当事者により「所有される」記憶媒体に記憶され、また、そのメッセージコンテンツを別の当事者により「所有される」記憶媒体へ転送し、または送信することが求められる。記憶媒体は、その都度、例えば不揮発性メモリなどを含む任意の所望の形をとり得る。関与する当事者は、実際の人間もしくは組織とすることもでき、あるいは、特に遠隔測定システムなどの場合には、識別される観測所もしくは設備とすることもできる。
本明細書の文脈においては、メッセージコンテンツのセキュアな記憶および交換とは、メッセージコンテンツを記憶し、交換するための機構が、以下の価値のうちの少なくともいくつかを反映し、または具現化するものであることを意味する。
セキュリティ:コンピュータを使用して、ある当事者が記憶装置内のメッセージコンテンツへ不正にアクセスすることは不可能であるべきである。同様に、ある当事者が別の当事者へアドレス指定されたメッセージコンテンツを誤って受信する場合に、コンピュータを使用して、受信側当事者が当該メッセージコンテンツを受信側当事者自身の記憶媒体に不適切に記憶することも不可能であるべきである。
取消不能:メッセージコンテンツがある当事者から別の当事者へ転送されるべきであるときに、所望のメッセージコンテンツを含むメッセージが生成され得る。メッセージ生成機構は、好ましくは、送信側当事者が後で当該メッセージを取り消すことができないように動作すべきである。
否認不可:送信側当事者から受信側当事者へ転送されるべきコンテンツを含むメッセージは、送信側当事者が、当該メッセージがある別の当事者によって生成され、送信されたとまことしやかに主張することができないようにタグ付けされるべきである。
匿名性:記憶・転送機構は、当事者が、当該当事者の識別情報の知識を有する第三者の実際の交換への介入なしでメッセージコンテンツを交換することができるように動作すべきである。
複製検出:メッセージコンテンツ転送機構は、好ましくは、複製メッセージが検出され、適正に処理されるように動作すべきである。
前述の価値のすべてが存在することが不可欠とは限らないことも理解できる。例えば、ある遠隔測定シナリオでは、「匿名性」の価値が望ましくない可能性がある。というのは、メッセージを送信した観測所または設備の識別情報が受け手にとって有用となり得るからである。他方、場合によっては、この匿名性は、コンテンツ転送メッセージを不適切に受信する無許可の当事者が、メッセージを解析することにより送信側当事者の識別情報を突き止めることができないという点で有用となり得る。例えば、遠隔測定シナリオでは、この匿名性は、ハッカーが、傍受した遠隔測定データを、当該データを送信した特定の観測所または設備と相関させることを防止し得る。同様に、オンライン投票システムでも、匿名性は、「秘密投票」の遂行を可能にし、取消不能、否認不可、および複製検出というその他の長所は、選挙違反の検出および防止を可能にする。
電子商取引の分野では、電子決済システムが当分野において公知である。電子決済システムの一般的な例は、銀行によりその顧客に発行される「デビットカード」を使用する。単純な取引では、顧客は自分のカードを現金自動預け払い機(ATM:automated teller machine)へ挿入し、ATMはカード上に記憶された情報を使用して銀行にある顧客の口座にアクセスする。顧客は、多くの場合、銀行にカード保有者の信憑性が保証され得るように、秘密の個人識別番号(PIN:Personal Identification Number)を提供するよう要求される。認証プロセスが正常に完了すると、顧客は、現金引き出しや別の口座への振替といった様々な種類の取引を要求することができる。
また、商人のPOS(Point−of Sale)装置にも、デビットカード取引を処理する機能が備わっていてよい。この場合、デビットカードはPOS端末へ挿入され、POS端末は、カード上に記憶された情報を使用して顧客の銀行との通信セッションを開始し、銀行へ、顧客の銀行口座から(同じ銀行または別の銀行にある)商人の銀行口座へのある金額の送金を要求するメッセージを送信する。(やはりPINを使用する)銀行の認証プロセスが正常に完了すると、銀行は、顧客の口座が十分な資金を含むかどうか確認し、十分な資金がある場合に、要求される取引を実行する。
クレジットカードは、多くの場合、全く同様のやり方で使用されるが、クレジットカードの場合には、顧客のアカウントは、顧客がそのアカウントの未払い残高に対する利子を請求される信用供与である。
デビットカードおよびクレジットカードの1つの問題は、銀行および他のカード発行機関が、多くの場合、カードの使用に対して相当額の料金または手数料を取り立てることである。これらの手数料は、カード発行者の方針に応じて、カード保有者、商人、またはカード保有者と商人の両方に課金され得る。多くの場合、これらの手数料は、取引ごとに取り立てられ、商人とカード保有者の両方にとって商取引を行う費用が著しくかさむ。
デビットカードおよびクレジットカードの使用に伴う別の問題は、取引が、通常は、匿名で行われ得ないことである。すなわち、取引は、カード保有者と商人の両方の識別情報を知る第三者(銀行やカード発行者など)の介入なしには完了することができず、この情報は取引の一部として記録される。このことは、システムのセキュリティおよび完全性を保証する手段を提供するが、同時に、カード発行者がカード保有者の購買履歴の詳細な記録を集めることも可能にする。この記録は、カード保有者に知らせずに、またはカード保有者の(説明に基づく)同意なしに、様々なやり方で濫用されるおそれがある。したがって、多くの場合消費者は、匿名で決済を行える方を選ぼうとするはずである。
デビットカードおよびクレジットカードのさらに別の限界は、カード保有者認証プロセス(PINの入力)が、取引を要求するためのプロセスを遅らせることである。これは、デビットカードおよびクレジットカードが、最小限の遅延でごく少額の取引を行うことが求められる状況には適さないことを意味する。そのような取引の典型的な例には、バスや地下鉄運賃の支払が含まれる。
必要なのは、決済に使用されるときにあからさまな費用がかからず、ユーザが匿名で取引することを可能にするという点で、現金の使用により近似した電子決済システムである。現金の他と異なる特徴は、現金がいかなる第三者への照会もなしで機能し、送り手と受け手だけが個々の取引に関与することである。
デイビッド・チャウム(David Chaum)は、“Blind Signatures for Untraceable Payments,”D.Chaum,Advances in Cryptology Proceedings of Crypto 82,D.Chaum,R.L.Rivest,&AT.Sherman(Eds.),Plenum,pp.199−203において、これらの問題のうちのいくつかに対処した。チャウムの研究の背後にある考えは、電子紙幣の作成を可能にするブラインドディジタル署名の概念であった。銀行は、例えば、1ドル紙幣くらいの価値を表すことになるディジタル署名によって保護された電子メッセージを作成することができる。ディジタル署名は、銀行からドル紙幣を取得する消費者ではなく、紙幣の発行者としての銀行を識別する。商人に支払うために、消費者は商人に、財貨の累積価値を表すこれらの電子ドル紙幣の組み合わせを与えることが必要になる。また消費者には、例えば、米国通貨で1セントから1ドルまでの各硬貨の価値を表す電子メッセージも必要になることが明らかである。
適切な電子紙幣の組み合わせを管理する困難さは別として、明らかなのは、詐欺師が他の点では本物の電子ドル紙幣をコピーするのが容易になることである。元のディジタル署名されたメッセージとこのメッセージのコピーとの違いを見分けることは不可能なはずであり、そのためシステムは、発行銀行が、提示される紙幣の最初のものを受け入れるだけで、他のコピーは、おそらくは正規のバージョンでさえも拒絶されることになるように動作する。実際、これが意味するのは、チャウムの方式は、支払が行われることが再確認されるように商人を発行銀行に接続することができるオンライン状態で動作する必要があるということである。この方式は、ローカルな資産転送システムのように見えるが、実際には、詐欺行為の危険があるためにそのように使用することができない。
米国特許第5623547号明細書および米国特許第5778067号明細書には、ユーザに、資産価値を保管するのに使用することができる電子財布が提供されるシステムが記載されている。銀行(または他の発行機関)は、システム内で流通する資産価値の総額を管理するために、特殊なバルク財布を維持する。資産価値は、各メッセージがディジタル署名される4メッセージプロトコルを使用して、バルク財布と他の財布との間と、電子財布間で交換することができる。このプロトコルは、二重支払が回避されるように設計される。このシステムの1つの限界は、取引のどちらの当事者も電子財布と、電子価値転送プロトコルを実施するための手段とを所有していなければならないことである。別の限界は、4メッセージプロトコルが価値転送を行うのに要する時間を増大させ、この時間が、例えば、大量輸送システムにおける運賃支払といったいくつかの用途では容認できない可能性もあることである。
先行技術の限界のうちの少なくともいくつかを克服する電子メッセージコンテンツ記憶・転送システムが依然として強く望まれている。
米国特許第5623547号明細書 米国特許第5778067号明細書
"Blind Signatures for Untraceable Payments," D.Chaum,Advances in Cryptology Proceedings of Crypto 82,D.Chaum,R.L.Rivest,&AT.Sherman(Eds.),Plenum,pp.199−203
したがって、本発明は、物理的環境における現金の使用とより近い整合性を有する実用的な電子決済方式の実施を可能にし、しかも、関与者がリモートに位置し、何らかの電子ケーブルまたは無線インターフェースにより接続されるにすぎない場合に動作することもできるメッセージコンテンツ記憶・転送システムを提供しようとするものである。このような電子決済方式の他と異なる特徴は、この方式が、実質的な取引手数料をかけずに少額決済に使用され得ることである。このような少額決済は、消費者が音楽録音やコンテンツ価値を有する情報といった電子コンテンツに数セントを支払う可能性のあるインターネットおよび携帯電話の使用に特に関連性を有する。
よって、本発明の一態様は、各記憶媒体が、個々の一意の識別子と、現在のコンテンツおよび転送メッセージのログを記憶するためのメモリと、記憶媒体との間でのコンテンツの転送を制御するためのコントローラとを含む複数の記憶媒体を備えるメッセージコンテンツ記憶・転送システムを提供する。コントローラは、記憶媒体から転送されるべき少なくとも1つの選択されたメッセージコンテンツ、送り手としての記憶媒体の個々の一意の識別子、および受け手の個々の一意の識別子を含む暗号化されたコンテンツメッセージを生成し、送り、現在のコンテンツを選択されたメッセージコンテンツの分だけ減らし、コンテンツメッセージの情報をログに記録することにより、記憶媒体からコンテンツを転送する。コントローラは、記憶媒体へ転送されるべき少なくとも1つの選択されたメッセージコンテンツ、送り手の個々の一意の識別子、および受け手としての記憶媒体の個々の一意の識別子を含む暗号化されたコンテンツメッセージを受け取り、受け取ったコンテンツメッセージを解読し、現在のコンテンツを選択されたメッセージコンテンツの分だけ増やし、コンテンツメッセージの情報をログに記録することにより、記憶媒体へコンテンツを転送または記憶する。
電子商取引の状況では、記憶媒体は電子財布(eパース)と呼ぶこともでき、メモリに記憶された現在のコンテンツは累積される資産価値または金額とすることができ、コンテンツメッセージのメッセージコンテンツは転送されるべき資産価値または金額とすることができる。
本発明によれば、システム内で保持される所有者のコンテンツを記憶する複数の記憶媒体を必要とするメッセージ転送システムが設けられる。システム内の個々の関与者または当事者は、1つまたは複数の記憶媒体を有し得る。これらの記憶媒体は、詐欺師が記憶媒体内に保持されるコンテンツを操作しても金銭的に採算が合わないようにセキュアな環境において構築される。
コンテンツ転送システムの一特徴は、システムを欺くのに使用されるおそれのある複製メッセージの再現を防止するやり方である。ある記憶媒体から別の記憶媒体へのコンテンツ転送を実施するのに使用されるディジタル署名されたメッセージは、そのメッセージが一意であるという特有の性質を有し、また、送り手記憶媒体と受け手記憶媒体の両方を識別する情報を含む。また、送り手記憶媒体は、メッセージが一意であることを保証するために、ナンス(nonce)情報または追加情報も付加する。各記憶媒体は、当該記憶媒体により作成され、または受け取られるあらゆるコンテンツ転送メッセージを表すログを、現在有効なセキュリティドメインに含む。記憶媒体内のセキュリティドメインは、その時々に、方式の運用者が決定するように変化し得る。転送メッセージの取引ログは、記憶に必要なメモリの量、および複製メッセージの有無を検査する際に費やされる時間を低減するために、衝突のないハッシュ関数を使用して削減され得る。動作に際して、受け手記憶媒体に接続された処理装置は、受信コンテンツメッセージがまだ働きかけられていないことをチェックしてから、記憶媒体のメモリに記憶されたコンテンツを増分する。
多くの実際の決済シナリオにおいて、例えば商人などとすることのできる受け手は、記憶媒体をローカルで保持していない場合もある。しかしローカルの記憶媒体がないことは、このシステムの問題にはならない。というのは、商人は、コンテンツメッセージのディジタル署名をチェックするために送り手の公開鍵を知っておりさえすればよいはずであり、また商人は、ディジタル署名されたコンテンツメッセージの一意性を保証するために、送り手の記憶媒体およびプロセッサに、ナンス情報または他の情報を提供することもできるはずだからである。これらのコンテンツメッセージは、商人の端末が秘密暗号鍵を扱わずに完全なオフラインモードで動作することができるように、後のある時点に商人のリモート記憶媒体へ送信することができる。
特に、電子低価格決済取引の匿名性は、実際に実現するのが難しい。このシステムの一特徴は、送り手記憶媒体はシステム内で識別されるが、当該記憶媒体の所有者が同様に識別される必要がないことである。さらに、コンテンツは、関与する記憶媒体の所有者の識別情報を知るいかなる第三者の介入も関与も伴わずに、送り手記憶媒体と受け手記憶媒体との間のポイントツーポイント転送において交換することができる。この特徴は、記憶媒体の所有者が、匿名性を維持しながら、コンテンツをセキュアに記憶し、交換することを可能にする。
本発明のコンテンツメッセージは、記憶媒体およびその記憶媒体のプロセッサがディジタル署名されたコンテンツメッセージを作成した後で、当該記憶媒体のメモリに記憶されたコンテンツは、転送メッセージにおいて定義されたコンテンツの分だけ減分されるという点で、取消不能であるとみなされる。コンテンツ交換トランザクションは取り消すことができず、記憶媒体のメモリに記憶されたコンテンツと異なる、またはそのコンテンツより大きいコンテンツについての転送メッセージを作成することもできない。万一係争が生じた場合、送り手は、何であれ両当事者にとって適切とみなされる手段による受け手からのコンテンツの返還を求めることにしてもよいが、コンテンツの最初の転送を送り手が一方的に取り消すことはできない。
本発明のさらに別の特徴および利点は、以下の詳細な説明を、添付の図面と併せて読めば明らかになるであろう。
本発明の一実施形態によるコンテンツ交換システムを概略的に示すブロック図である。 本発明の一実施形態による記憶媒体の主要素を概略的に示すブロック図である。 本発明の一実施形態による「転入」プロセスおよび「転出」プロセスを示す流れ図である。 本発明の一実施形態による「転入」プロセスおよび「転出」プロセスを示す流れ図である。 本発明の実施形態によるコンテンツ交換システムを概略的に示すブロック図である。 第1のシナリオにおいて所望のコンテンツ量を転送するためのプロセスを概略的に示すメッセージフロー図である。 第2のシナリオにおいて所望のコンテンツ量を転送するためのプロセスを概略的に示すメッセージフロー図である。 第3のシナリオにおいて所望のコンテンツ量を転送するためのプロセスを概略的に示すメッセージフロー図である。 第4のシナリオにおいて所望のコンテンツ量を転送するためのプロセスを概略的に示すメッセージフロー図である。
図面から分かるように、添付の図面全体を通して類似の特徴は類似の参照番号で識別されている。
本発明は、電子メッセージコンテンツの記憶および転送のための方法および装置を提供する。本発明の実施形態を、以下で、例として挙げるにすぎないが図1〜7を参照して説明する。
以下の説明では、本発明を、セキュアな記憶・転送機構が資産価値または金額の形のメッセージコンテンツのセキュアな記憶および交換による電子商取引を可能にするために使用される実施形態によって説明する。しかし、本発明は電子商取引だけに限定されるものではなく、逆に同じ技法は、少なくとも、セキュリティ、取消不能、否認不可および複製検出の価値が求められる任意の通信システムを実施するのにも使用され得ることが理解されるであろう。
図1aを参照すると、ごく一般的には、本発明による資産交換システム2は、通信媒体6を介してメッセージを交換するように構成された少なくとも2つの記憶媒体4を備える。電子商取引の状況では、記憶媒体4は電子財布(eパース)と呼ぶこともでき、以下の説明ではこの用語を使用する。各eパース4は、eパース4が通信媒体6を介してメッセージを送受信することを可能にするように構成されたインターフェース8と、受信メッセージに応答して、eパース4へのコンテンツの転送を記録し、eパース4からコンテンツを転送するコントローラ10と、現在のコンテンツ(Cur.Val)14、eパースの個々の一意の識別子16、およびeパース4eとの間でのコンテンツ転送のログ18を記憶するメモリ12とを備える。電子商取引の状況では、記憶媒体4は電子財布(eパース)と呼ぶこともでき、メッセージのコンテンツは資産または金銭的価値の量を表し、メモリ12に記憶された現在のコンテンツ(Cur.Val)14は、累積された資産または金銭的価値の量である。理解を容易にするために、以下の説明ではこの用語を使用する。
メッセージ送信機能/受信機能20に加えて、インターフェース8は、好ましくは、暗号化機能22および解読機能24も実施し、そのため、eパースにより送信されるメッセージは、送信される前にディジタル署名(暗号化)され、eパースにより受信されるメッセージには妥当性検査(解読)を行うことができる。このように使用するのに適する暗号化機能および解読機能は当分野では周知である。
当分野で公知のように、従来の公開鍵インフラストラクチャ(PKI:Public Key Infrastructure)セキュリティシステムは、「秘密」鍵および「公開」鍵と一般に呼ばれる1対の鍵を生成し、各当事者に割り当てることにより動作する。秘密鍵は当事者により秘密裏に維持され、ファイルが別の当事者に送信される前にファイルを暗号化するのに使用される。公開鍵は受け手に送信され、受け手がファイルを解読することを可能にする。あるシステムでは、秘密鍵はファイル自体を暗号化するのには使用されず、ファイルにディジタル署名を適用するのに使用される。この場合、公開鍵は、ファイルが到着する前に変更されて(または破損して)いないことを受け手が検証することを可能にすると共に、受信側当事者に、当該ファイルが送信側当事者とされる者から実際に送信されたと信ずべき理由を提供する。
ある実施形態では、インターフェース8により実施される暗号化機能および解読機能は、eパース4により送受信される資産価値転送メッセージにディジタル署名し、それらのメッセージを検証するのに秘密鍵/公開鍵システムを使用する。この場合、各eパース4は一意の秘密鍵/公開鍵対を備えていてよく、そのうちの少なくとも公開鍵は、信頼できる認証機関により当分野で公知のやり方で認証される。公知の手段を使用して、eパースを内部解析し、またはハッキングして鍵を発見することが不可能であるようにそれらの鍵を格納することができる。動作に際して、インターフェースの暗号化機能は、「秘密」鍵を使用して、eパースにより送信される資産価値転送メッセージにディジタル署名し、解読機能は、「公開」鍵を使用して、eパースにより受信される資産価値転送メッセージを検証する。また、eパースにより送信される資産価値転送メッセージは、eパースの公開鍵証明書を伴って、すなわち含んでいてもよい。この方法により、資産価値転送メッセージを受信するeパースは、まず公開鍵の信憑性をチェックしてから、公開鍵を入手して署名をチェックすることができる。
ある実施形態では、eパースは、実体的物品として実施される。eパースが物品として実施される場合、メモリ12は、不揮発性ランダム・アクセス・メモリ(RAM:random access memory)として設けられ、コントローラ10は、適切なファームウェアに従って動作する集積回路として実施することができ、インターフェース8は、電気的接続または無線接続を介した通信を可能にするように設計され得る。必要ならば、eパース4のメモリ12、コントローラ10、および少なくとも暗号化機能22/解読機能24は、単一の特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)内で実施することができる。必要ならば、eパース4は、公知の加入者識別モジュール(SIM:Subscriber Identity Module)技術を使用して構築することができる。任意の適切なフォームファクタを使用して実体的eパースを設計することができる。例えば、コンピュータおよびディジタルカメラの(それだけに限らないが、メモリスティック(商標)や、いわゆる「サムドライブ」デバイスを含む)取り外し可能メモリデバイスに一般に使用されるフォームファクタが使用されてもよい。必要に応じて、例えば、スマートカードやキーフォブを含む他の適切なフォームファクタが使用されてもよい。あるいは、通常のSIMカードの形の、電気的インターフェースを有するeパース4が、(例えば、携帯電話、携帯情報端末(PDA)などといった)無線通信機器内にそのために設けられたソケットにインストールするために構築されてもよい。このような構成は、eパース4が通信機器内に半永久的にインストールされることを可能にし、それによってユーザの利便性が増すという点で有益である。
図1bを参照すると、ある実施形態では、実体的eパースは、例えば、メモリ12に記憶された現在の資産価値量といった情報を表示するための、コントローラ10に動作可能に接続されたディスプレイ26を含んでいてよい。ある実施形態では、ディスプレイ26は、いわゆる「タッチスクリーン」として実施されてよく、タッチスクリーンはユーザがコントローラ10へコマンドを入力することを可能にする。あるいは、コマンドを入力するために実体的eパースにボタンまたはスイッチが設けられていてもよい。これらの場合、コントローラ10は、ユーザがコントローラ10と対話して、それだけに限らないが、メモリ12に記憶された資産転送のログ18の全部または一部を表示すること、メモリ12に記憶された現在の資産価値量を表示すること、およびeパース4の状況を表示することを含む様々な機能を実行することを可能にするグラフィカル・ユーザ・インターフェース(GUI:graphical user interface)を実施するソフトウェアを実行し得る。
電気コネクタ型インターフェース8を有する実体的eパースの場合には、電気コネクタの構成が、少なくとも一部は、全体としてのeパースのフォームファクタに基づいて選択されることが予見される。例えば、場合によっては、ユニバーサル・シリアル・バス(USB:Universal Serial Bus)規格に準拠したソケットコネクタが使用され得る。必要に応じて、他の電気コネクタ構成が使用されてもよい。無線接続インターフェースを有する実体的eパースの場合には、所要電力が低減され、セキュリティが高められるように、無線接続が非常に限られた距離(おおよそ10cm以下など)にわたって動作することが好ましい。様々な公知の無線周波数電磁または磁気結合技術が、この距離で無線接続を実施するのに使用され得る。
必要ならば、実体的eパースの様々な構成要素に必要とされる電力の少なくとも一部を提供するために、電池が、当分野で周知のやり方で使用されてもよい。また好ましくは、インターフェース8は、インターフェース8、コントローラ10およびメモリ12の動作を可能にするようにeパースに電力を供給するための経路も提供する。電気コネクタ型インターフェースを有するeパースの場合には、コネクタの一部として接地および+Vddの接点を設けるのは簡単なことである。無線コネクタ型インターフェースを有するeパースの場合には、インターフェースは、好ましくは、受け取られる無線エネルギーを当分野で公知のやり方で電力に変換するための整流器を含む。インターフェース8、コントローラ10およびメモリ12の適切な設計により、eパース4の所要電力を、受け取られる無線エネルギーをこのようなやり方で整流することによって、無線エネルギー単独で、または電池電力と組み合わせて、eパース4の高信頼動作に十分な電力を生み出すのに必要な程度まで低くすることができる。利用可能な電力はeパース4と無線端末との距離の2乗に反比例して変化するため、この構成は、eパース4への無線接続が行われ得る最大距離を制限する有効な手段として働くことができる。
ある実施形態では、eパース4は、セキュアなサーバによりホストされる仮想eパースとして実施される。仮想eパースとして実施される場合、メモリはデータベースレコードとして実施されてもよく、サーバは、適切なソフトウェアを使用してインターフェース8およびコントローラ10の機能を提供する。仮想eパースは、例えばブローカなどにより、複数のクライアントアカウントを管理する手段として使用され得る。
前述のように、コントローラ10は、受信メッセージに応答して、eパース4への資産価値の転送を記録し、eパース4から資産価値を転送する。図2aは、eパースから資産価値を転送するためにeパースにより実行され得る代表的な「転出(transfer-out)」プロセスを示す流れ図である。図2aを参照すると、転出プロセスではまず、転送されるべき資産価値量(Val.)を含む要求メッセージを受け取る(28)。第1のステップ(30)で、コントローラ10は、転送されるべき資産価値量(Val.)を、メモリ12に記憶された現在の資産価値(Cur.Val)14と比較する。現在の価値14が転送されるべき価値量(Val.)より少ない場合には、コントローラ10は、エラーメッセージを生成し、それを返す(32)。そうでない場合、コントローラ10は、メモリ12に記憶された現在の価値(Cur.Val)を転送されるべき量(Val.)だけ減らし、次いで、転送されるべき量(Val.)と、少なくともコントローラ10により生成され、送り出される価値転送メッセージの間で当該価値転送メッセージを一意に識別するナンスとを含む価値転送メッセージを生成する(36)。最後に、コントローラ10は、転送に関する情報をログに記録する(38)。ある実施形態では、ナンスをカウンタ値とすることができ、カウンタは、連続する価値転送メッセージごとに増分される。前述のように、インターフェース8の暗号化機能22は、価値転送メッセージにディジタル署名を適用し(40)、次いで、署名された価値転送メッセージを通信媒体6へ送信する。
図2bは、eパース4への資産価値の転送を記録するためにeパース4により実行され得る代表的な「転入(transfer-in)」プロセスを示す流れ図である。図2bを参照すると、転入プロセスではまず、転送されるべき資産価値量とナンスとを含む価値転送メッセージを受け取る(42)。第1のステップで、インターフェース8の解読機能24は、公開鍵を使用して、受信価値転送メッセージのディジタル署名を検証する(44)。検証に失敗した場合、価値転送メッセージは廃棄され(46)、エラーメッセージが生成され(48)、転入プロセスは打ち切られる。検証に成功した場合、コントローラ10は、ナンスを使用して受信価値転送メッセージをそのログ18と比較し、価値転送メッセージが以前に受信したメッセージの複製であるかどうか判定する(50)。メッセージが複製である場合、価値転送メッセージは廃棄され(46)、エラーメッセージが生成され(48)、転入プロセスは打ち切られる。そうでない場合、コントローラ10は、転送に関する情報をログに記録し(52)、メモリ12に記憶された現在の価値(Cur.Val)を転送されるべき量(Val.)だけ増やす(54)。
前述のように、ログ18は、eパース4の資産転送の出入りの記録を維持する。ある実施形態では、ログ18に記録される情報は、eパース4が送受信する各資産転送メッセージのコンテンツを含む。ある実施形態では、ログ18には、全コンテンツではなく、各資産転送メッセージの要約が記録され得る。場合によっては、要約は、資産転送メッセージの少なくとも一部分に対して算出されるハッシュの形をとり得る。受信価値転送メッセージのハッシュを記録すれば、例えば、ログ18を記憶するのに要するメモリの量を最小限に抑えながら複製メッセージを有効に検出することができる。ある実施形態では、送信資産転送メッセージおよび受信資産転送メッセージが、それぞれ別個のログに記録され得る。この構成は、それぞれの異なる情報セットが各ログ18に記録されるよう助長するという点で有益である。例えば、送信メッセージのログは、eパースによって送信されるあらゆる価値転送メッセージの全コンテンツを記録してよいが、受信メッセージのログは、単に、各受信メッセージのハッシュだけを記録する。
図2を参照した上記説明では、受け取られる資産価値を記録し、eパース4から資産価値を転送するためにコントローラ10により実行される代表的な機能を示している。この説明は、eパース自体により実行される特定の機能だけに関するものである。この機能は、以下でより詳細に説明するように、当事者間で資産価値転送を実施するために様々なやり方で使用することができる。
一般に、通信媒体6は、eパース4とメッセージを交換することのできるハードウェアとソフトウェアの任意の適切な組み合わせとすることができる。eパースがサーバによりホストされる仮想eパースである実施形態では、通信媒体は、インターネットといったデータネットワークとすることができる。eパースが実体的物品である実施形態では、通信媒体は、通常、インターフェースによりeパースに接続され、他の当事者との通信のためにデータネットワークに接続された通信機器になる。図3に、様々な代表的な種類の通信機器およびeパースフォームファクタを組み込んだ価値交換システムを概略的に示す。特に、図3には、(無線コネクタ型インターフェースまたは電気コネクタ型インターフェースを使用して)実体的eパース4と共に使用される、ラップトップ、携帯情報端末(PDA)、携帯電話といったユーザのパーソナル通信機器56、(無線コネクタ型インターフェースまたは電気コネクタ型インターフェースを使用して)顧客の実体的eパース4とインターフェースするための「読取装置」60を有するPOS(Point−of−Sale)端末58、無線インターフェースを有する実体的eパース4と共に使用される「タッチアンドゴー」端末62、および仮想eパースをインスタンス化し、維持するホストサーバ64が示されている。これらの各装置の動作を以下でより詳細に説明する。
通信媒体6がユーザのパーソナル通信機器56である場合には、ユーザの実体的eパースは、無線コネクタ型インターフェースまたは電気コネクタ型インターフェースを使用して通信機器56に接続し得る。電気コネクタ型インターフェースを有するeパースでは、インターフェースは、直接に、または適切なケーブルによって、通信機器56の適切なポートに差し込まれるように構成され得る。USBポートは比較的普及しており、このために容易に使用することができるが、他のどんな適切な型のコネクタも同様に使用され得る。
好ましくは、ユーザのパーソナル通信機器56上に、ユーザの管理下で、eパースとの間でのメッセージング、および関連付けられる資産価値の転送を円滑に行わせるためのソフトウェアアプリケーション(またはアプレット)がインストールされる。例えば、図4に、所望の資産価値量が、第1のユーザ(ユーザ「A」)により保持されるeパース4aから第2のユーザ(ユーザ「B」)により保持されるeパース4bへ転送されるシナリオを示す。このシナリオでは、ユーザ「A」が自分のパーソナル通信機器56a上でアプレットを起動することができ、アプレットは、ユーザ「A」がユーザ「B」に転送しようとする所望の価値量を指示する情報を入力することができるように、表示画面上にウィンドウを開く。入力情報に基づき、アプレットは、転送されるべき価値量を含む要求メッセージ66を生成し、その要求を、インターフェースを介してユーザAのeパースへ送ることができる。受信要求メッセージに応答して、eパースは、図2aを参照して説明した「転出」プロセスを実行する。前述のように、「転出」プロセスに続いて、eパースは、エラーメッセージ、または転送されるべき価値を含む価値転送メッセージ68を返す。次いでユーザAは、アプレットと対話して、データネットワークを介してユーザBへ価値転送メッセージを送信することができる(70)。例えば、価値転送メッセージは、電子メールメッセージへの添付ファイルとしてユーザBへ送信されてもよい。ユーザBが(例えばユーザBの電子メール受信箱に)価値転送メッセージを含む電子メールメッセージを受け取ると、次いでユーザBは、自分のパーソナル通信機器56b上の電子メールソフトウェアおよびアプレットと対話して、自分のeパース4bへ受信価値転送メッセージを送ることができ(72)、次いでeパース4bは、図2bを参照して説明した「転入」プロセスを実行して、eパース4bへの資産価値の転送を記録する。
理解されるように、前述の機能は、データネットワーク6を介してメッセージを交換することのできる個々の通信機器56によりホストされる任意の2つの実体的eパース4間で所望の資産価値量を転送するのに使用することができる。電子メールを使用したメッセージ転送の実施は、電子メールソフトウェアが容易に利用でき、信頼性が高くセキュアなメッセージ転送のためのロバストな手段を提供するという点で有用である。また、電子メールを使用したメッセージ転送の実施は、メッセージ転送が「リアルタイム」である必要がなく、2当事者が転送を実施するための専用の通信リンクを確立する必要がないという点でも有益である。しかし、電子メールを使用してメッセージ転送を実施することは不可欠な要件ではない。送信側eパースの現在の価値は、価値転送メッセージが生成される時点において転送される量だけ減分される。受信側当事者のeパースは、複製を捕捉(廃棄)し、価値転送メッセージが受信される時点においてその現在の価値を増分する。これらのイベントは、単一の通信セッションの状況内で発生し得るが、必ずしもそうとは限らない。また、この動作は、少なくとも、2当事者間での価値の交換を達成し、(銀行などの)いかなる第三者の介入も伴わず、必要ともしないという点で、現金法定通貨(紙幣または硬貨)の交換のパターンに厳密に従うものであることも理解されるであろう。
図4を参照して説明したシナリオは、価値の交換に関与する2当事者が、個々の当事者の(実体的)eパース4および個々の当事者のパーソナル通信機器56の人間のユーザであると想定している。しかし、これは不可欠な要件ではないことが理解されるであろう。例えば、ユーザAのeパース4aを、リモートサーバによりホストされる仮想eパースとすることもできるはずである。この場合、ユーザAは、サーバ上のクライアントアプリケーションと対話して、要求メッセージを送信し、ユーザAの(仮想)eパースから所望の価値転送メッセージを獲得してよい。同様に、ユーザBのeパースも、リモートサーバによりホストされる仮想eパースとすることができる。この場合、ユーザBは、サーバ上のクライアントアプリケーションと対話して、受信資産価値転送メッセージを、ユーザBの電子メールアプリケーションからユーザBの(仮想)eパースへ送ってもよい。
さらに、ユーザAまたはユーザBのどちらかまたは両方が人間である必要もない。例えば、ユーザAは、所定のスケジュールに従ってユーザBへ支払を送るように設計された自動化システムとすることもできるはずである。同様に、ユーザBも、オンライン取引の一部として価値転送メッセージを受信し、それをユーザBの(仮想)eパースへ送るeコマースアプリケーション、または、データネットワークを介して支払を受け取り、処理する他の任意の種類の自動化支払処理システムとすることができるはずである。
よって、図4を参照して説明したシナリオは、2人の人物間の資産転送、人と自動化支払処理システムとの間の資産転送、または2つの自動化システム間の資産転送の場合に同等に適用できることが理解されるであろう。
ある実施形態では、eパース上に記憶された資産価値が法定通貨として扱われ得る。そうした場合、ユーザの銀行は、ユーザの銀行口座を仮想eパースで表すための機能を提供し得る。その場合、ユーザの実体的eパースは、電子札入れまたは財布として使用することができる。この構成では、ユーザは、ユーザの銀行口座との間の現金の引き出しおよび預け入れを、例えば、ユーザの実体的eパースに接続するように構成された現金自動預け払い機などを使用して仮想eパースと実体的eパースとの間で資産価値量を転送することによって、銀行アクセスカードを使用した現金の引き出しおよび預け入れの従来の方法と全く同等のやり方で行うことができる。
ある実施形態では、法定通貨ではないが、eパース上に記憶された資産価値が、価値を蓄え、交換する手段として受け入れられ得る。例えば、eパースベースの資産価値は、選択された小売業者において商品または割引と引き換えることができるクーポンまたは商品券とみなされてもよい。別の例では、eパースベースの資産価値は、オンラインゲーム環境やソーシャルネットワーク環境内などでの、オンライン取引のための価値交換の手段として使用されてもよい。どちらの場合も、ユーザは、所与の資産価値量がすでにそのメモリ12に記憶されているeパースを購入し得る。あるいは、ユーザは、例えばブローカなどから所望の資産価値量を購入してもよく、この資産価値量は、(例えば図4を参照して説明した方法を使用するなどして)すでにユーザが所有するeパースへ転送される。またユーザは、ユーザのeパース上に記憶された資産価値量の一部または全部を法定通貨と引き換えにブローカに売却してもよいことが理解される。このようにして、ブローカは、ユーザが法定通貨をeパースベースの資産価値へ、またその逆へ変換するための手段としての役割を果たすことができる。
前述のように、通信媒体がユーザのパーソナル通信機器(ラップトップ、PDA、携帯電話など)である実施形態では、eパースとの対話を円滑化するためにパーソナル通信機器との対話時にアプレットを実行することができる。ある実施形態では、このアプレットは、パーソナル通信機器にインストールされ、ユーザにより必要に応じて起動されてもよい。ある実施形態では、アプレットは、例えば、eパースが機器の入出力ポートのうちの1つに接続されたことの(パーソナル通信機器による)検出に応答して、自動的に起動されてもよい。別の実施形態では、アプレットは、eパース自体に記憶され、eパースがパーソナル通信機器の入出力ポートへ接続されるときに、パーソナル通信機器上に自動的にアップロードされ、起動されてもよい。
eパースがリモートサーバ上でホストされる仮想eパースである実施形態では、アプレットは、ユーザがウェブブラウザソフトウェアを介してユーザの仮想eパースと対話することを可能にするブラウザアプリケーションまたは「プラグイン」の形をとり得る。
前述のように、「転出」プロセスは、転送されるべき所望の量がeパースに記憶された現在の価値を超える場合には、エラーメッセージを返す。同様に、「転入」プロセスも、受信価値転送メッセージが複製である場合には、エラーメッセージを返し得る。好ましくは、eパースと対話するのに使用されるアプレットは、これらのエラーメッセージに応答してユーザに適切な警告および/またはプロンプトを表示するように設計される。ある実施形態では、ユーザによるeパースの使用を円滑に行わせるために、アプレットとeパースとの間でさらに別のメッセージが交換され得る。
例えば、アプレットは、ユーザのパーソナル通信機器上で起動されるときに、eパースに状況要求メッセージを自動送信してもよい。これに応答して、eパースは、eパースに記憶された現在の資産価値を含む状況チェックメッセージを返してもよい。状況チェックメッセージを受信後すぐに、アプレットは、ユーザのパーソナル通信機器のディスプレイ上に現在の資産価値を表示し得る。応答が所定の時間内に受信されない場合、アプレットは、eパースが接続されておらず、または適正に機能していないと判定し、パーソナル通信機器のディスプレイ上に適切な警告を表示し得る。
また、必要ならば、アプレットは、ユーザがeパースにログ記録要求メッセージを送ることを可能にしてもよく、これに応答してeパースは、eパースのメモリ12に記憶されたログのコンテンツを含むログ記録メッセージを返す。ある実施形態では、アプレットは、さらに、ユーザが各ユーザの支出の個人的記録を維持し得るように、このログ記録メッセージ、またはログ記録メッセージ内のログコンテンツが会計アプリケーションにアップロードされることを可能にしてもよい。
図5および図6に、例えば購買取引の一部として、顧客と商人との間の資産価値転送を扱うための個々のメッセージフローを示す。
図5のメッセージフローは、顧客により保持されるeパースから商人により保持されるローカルeパース74へ所望の資産価値量を転送するのにPOS(Point−of Sale)端末58が使用されるシナリオに関するものである。
図5に示すように、POS端末58は、無線接続または電気的接続を使用して、POS端末58と顧客の実体的eパース4との間で接続を確立するように設計された読取装置60を含む。商人のローカルeパース74は、POS端末58の入出力ポートに接続された周辺装置として設けられ得る。必要ならば、商人のローカルeパース74は、例えば、単一のPOS端末58によって制御される資産価値転送をサポートするのに使用されてもよく、所与の小売店の場所にある2台以上のPOS端末のクラスタによって制御される資産価値転送をサポートするのに使用されてもよい。商人のローカルeパース74は、図5に示すようにPOS端末58に接続された物理装置とすることもでき、リモートサーバ上でホストされる仮想eパースであってもよい。仮想eパースの場合、POS端末58は、例えばブラウザアプリケーションを使用するなどして、リモートサーバへのセキュアなリンクを介してeパースと対話するように設計され得る。
POS端末58は、商人が従来のやり方で購入金額を入力し、顧客のeパースから転送されるべき合計資産価値を計算することを可能にするアプリケーションを実行する。次いでPOSアプリケーションは、転送されるべき価値量を含む要求メッセージを生成し(76)、読取装置60を介して顧客のeパース4へその要求を送信し得る。受信要求メッセージに応答して、顧客のeパース4は、図2aを参照して説明した「転出」プロセスを実行する。前述のように、「転出」プロセスに続いて、顧客のeパース4は、エラーメッセージまたは転送されるべき価値を含む価値転送メッセージを返す(78)。価値転送メッセージを受信後すぐに、POSアプリケーションは次いで、受信価値転送メッセージを商人のローカルeパース74へ送り(80)、次いで商人のローカルeパース74は、図2bを参照して説明した「転入」プロセスを実行して資産価値の転送を記録する。当然ながら、ある金額を顧客へ払い戻すことが求められる場合には、このプロセスを逆転させることができる。
理解されるように、この構成は、POS端末58が、現金法定通貨ではなく顧客のeパースに記憶された資産価値量を使用して、従来のPOS端末の通常の現金販売動作のすべてを行うことを可能にする。商人のローカルeパース74のメモリに記憶されたログは、電子資産価値取引の完全な記録を含み、この記録は、商人が取り出し、必要に応じて記帳および経理のために使用することができる。
商人は、その顧客に実体的eパース4を提供し、商品または店内割引と引き換えることができるクーポンまたは商品券の従来の使用と全く同様のやり方でeパースベースの資産価値取引を使用することを望むであろうと予見される。そうした場合、商人により提供される実体的eパース4は、当該商人のPOS端末58だけを認識し、このPOS端末58とだけ対話するように構成され得る。この選択的動作は、それだけに限らないが、専用のインターフェース8を備えるeパース4を設計すること、専用の暗号化アルゴリズムもしくは当該商人に一意の1対の鍵を備えるeパース4を設計すること、および、コントローラ10を、当該商人にだけ知られている所定の符号語を含む要求メッセージに応答するだけになるように構成すること、を含む様々な手段によって達成され得る。例えば、図2の転入プロセスおよび転出プロセスはそれぞれ、符号語の有無について受信メッセージをチェックするステップと、符号語が見つかった場合に、(例えば当該符号語を以前にメモリ12に記憶された値と比較することなどにより)当該符号語が妥当であるか否か判定するステップとを含むように変更されてもよい。符号語が妥当であると判明した場合には、転入プロセスおよび転出プロセスの残り部分が正常に続行される。符号語が妥当でないと判明した場合には、エラーメッセージが送信されてもよく、転入プロセスおよび転出プロセスは終了する。
eパースベースの資産価値が法定通貨として認識される実施形態では、商人が、商人のローカルeパースに記憶された資産価値量の一部または全部を商人の銀行口座へ転送することを望む場合もある。よって、図5に戻って、商人は、転送されるべき金額を入力するために商人のPOS端末と対話することができる。次いでPOS端末は、入力された金額を含む適切な要求メッセージを生成して商人のローカルeパース74へ送信し(82)、商人のローカルeパース74はそれに応答して、図2aを参照して説明したように、POS端末58へ価値転送メッセージを返す(84)。次いでこの価値転送メッセージを(自動的に、またはPOS端末へのユーザ入力に応答して)、以前に商人の銀行口座を表すようにセットアップされた商人の仮想eパースへ送信することができ、結果として商人の銀行口座に当該資産価値量が預け入れられることになる。
eパースベースの資産価値が法定通貨として認識されない実施形態では、商人は、法定通貨と引き換えに、商人のローカルeパース74に記憶された資産価値量の一部または全部をブローカに売却することを望む場合もある。前述の方法と実質的に同じ方法を使用してこの取引を行うことができるが、この場合には、商人のローカルeパース74によって返される価値転送メッセージ(84)は、電子メールの添付ファイルとしてブローカへ送信されてもよく、次いでブローカは、電子的資金転送の従来の方法を使用して、ある法定通貨の金額を、取引の一部として商人の銀行口座へ預け入れてもよい。
図5を参照して説明した実施形態では、顧客のeパース4から転送される資産価値量は、商人のローカルeパース74に記憶され、次いで、この記憶された資産価値の一部または全部が、商人の銀行口座(仮想eパース)または法定通貨への変換のためのブローカへ送られる。場合によっては、この構成は、商人のローカルeパース74による転入プロセスの正常な完了により、目的の資産価値量が購買取引を完了するために転送されたことが直ちに確認されるという点で、有用である。しかし、1つまたは複数のローカルeパース74をセットアップし、管理する必要は、商人にとっては望ましくなく不都合な場合もある。図6に、この難点を回避する一実施形態を示す。
図6の実施形態では、商人は、資産転送サービスを提供するブローカと連絡を取る。次いで商人のPOS端末58に、公開鍵と、POSアプリケーションが顧客のeパース4から返される資産転送メッセージを検証することを可能にするソフトウェアアプリケーションとが提供される。購買取引時に、商人は、すべて図5を参照して説明したのと同様に、従来のやり方で購買金額を入力し、顧客のeパース4から転送されるべき合計資産価値を計算する。次いでPOSアプリケーションは要求メッセージを生成し(88)、要求メッセージは、この場合は、転送されるべき価値量およびチャレンジワードを含む。チャレンジワードは、少なくともPOS端末58により送信される資産価値転送要求メッセージの間で一意である任意のアルファベット文字列とすることができる。要求メッセージが顧客のeパース4により受信されると、顧客のeパース4は、図2aを参照して説明した「転出」プロセスを実行し、正常に完了すると、少なくとも転送されるべき価値、チャレンジワード、および顧客のeパースの一意の識別子を含む価値転送メッセージを返す(90)。ある実施形態では、返される価値転送メッセージは、ブローカによる複製メッセージの検出を可能にするために顧客のeパース4により生成されるナンスも含み得る。別の実施形態では、チャレンジワードがこのために使用されてもよく、その場合、顧客のeパース4により生成されるナンスは、eパースのログ18において使用されるだけでよく、返される価値転送メッセージはナンスを含まないことになる。価値転送メッセージを受信後すぐに、POSアプリケーションは、ディジタル署名をチェックして価値転送メッセージを検証し(92)、チャレンジワードを検査することができる。検証に成功し、返されたチャレンジワードが、顧客のeパース4へ送信されたチャレンジワードと一致する場合には、商人は、顧客のeパース4が適正に動作しており、妥当な価値転送メッセージを発行したと判断することができる。次いで、(暗号化/署名された)価値転送メッセージを、例えば電子メールへの添付ファイルとして、POS端末からブローカへ送ることができる(94)。価値転送メッセージを受信後すぐに、ブローカアプリケーションは、価値転送メッセージを検証し(96)、eパース識別子およびナンスをチェックして価値転送メッセージの複製コピーを検出し(98)、次いで、価値転送メッセージ内の資産価値量を商人の口座の貸方に記入する(100)。この後の方の動作は、必要に応じて、資産価値量を、商人の銀行口座を表す仮想eパースに転送することによって行われてもよく、商人の銀行口座への法定通貨の従来の電子的資金転送によって行われてもよい。
図5および図6を参照して説明した実施形態では、購買取引が、例えば商人の小売店舗などにおいて、POS端末58により制御される。しかし、実質的に同一のプロセスを、例えばバスまたは地下鉄端末において運賃支払を処理するためなど、「タッチアンドゴー」端末62において取引を処理するために使用することもできることが理解されるであろう。しかしこの場合には、転送されるべき価値量が事前に分かっており、そのため、「タッチアンドゴー」端末62は、eパース4が端末62のインターフェースに正常に接続されたことを検出した後すぐに転送要求メッセージを送信することができる。eパース4による価値転送メッセージの生成、およびその後の価値転送メッセージの処理は、図5および図6を参照して説明したものと実質的に同一とすることができ、「タッチアンドゴー」端末は、手動操作されるPOS端末58の代わりに自動的に動作する。これらのシナリオのどちらでも、「タッチアンドゴー」端末は、eパース4により返される価値転送メッセージを検証する。必要ならば、この検証ステップは、ターンスタイルまたは他のアクセス制限システムを制御するのに使用されてもよく、それによって、eパースのユーザは、資産価値転送ができない場合に、進行を妨げられる。
この構成の一利点は、「タッチアンドゴー」端末が、転送要求メッセージを発行し、非常に短期間のうちに返される資産価値転送メッセージを受信し、検証することができることである。多くの場合、これにより、地下鉄駅で通勤者は、例えば、大きな遅延を被ることなく自分の運賃を支払うことができ、それによって通勤者にとっての利便性が最大化されると同時に、輸送機関によって課される取引コストも最小化される。
前述のように、ある実施形態では、商人が専用の符号語を使用して、例えば、商品または割引と引き換えることができる商品券またはクーポンとしてのeパースベースの資産価値の使用を円滑に行わせるなど、eパースの選択的動作を可能にし得る。この同じ原理を、対象となるコミュニティを定義し、所与のeパースが対象となる当該コミュニティ内の他のeパースとだけ資産価値量を交換することを可能にするために適用することもできる。例えば、資産価値量が(少なくとも名目上は)所与の国の通貨で表示される例を考える。資産価値量の交換を、その資産価値が当該の同じ通貨で表示されるeパース間に制限することは望ましいはずである。よって、ある対象となるコミュニティはイギリスポンドで表示される資産価値について定義され、別の対象となるコミュニティはカナダドルで表示される資産価値について定義され得る。どちらの対象となるコミュニティで使用されるeパースも同一とし得るが、価値の交換は、各コミュニティに(この例では通貨標識の形を取るはずである)個々に異なる符号語を発行することにより、対象となる各コミュニティだけに制限され得る。この構成では、「カナダドル」の対象となるコミュニティ内のeパースによって発行される資産価値転送メッセージを、例えば、「イギリスポンド」の対象となるコミュニティ内のeパースが正常に受信し、処理することはできないはずである。必要ならば、ユーザは、2つ以上の対象となるコミュニティについてのeパースを取得し、当該サービスを提供するブローカを使用して、それらのeパース間で資産価値量を転送し(それによって事実上通貨交換取引を完了する)こともできるはずである。理解されるように、所与の国の法定通貨での資産価値の額面金額は、eパースベースの資産価値が法定通貨であるとみなされるか否かとは無関係に、資産価値量を表す好都合な方法を提供する。よって、前述の例は、eパースベースの資産価値が法定通貨であるとみなされる場合だけに限定されない。さらに、対象となるコミュニティの使用は、その資産価値が異なる国の通貨で表示されるeパース間での転送を防止するだけに限られないことも理解されるであろう。むしろ、任意の所望の基準が、対象となるコミュニティを定義し、当該の対象となるコミュニティ内のeパースを当該の対象となるコミュニティ内の他のeパースとの資産価値転送だけに制限するために使用され得る。
図2〜6を参照して説明した実施形態では、eパースは、転送されるべき資産価値量を含む転送要求メッセージを受信し、エラーメッセージ、または転送されるべき資産価値量を含む資産価値転送メッセージを返す。場合によっては、この動作が望ましくないこともある。というのは、ユーザは、(図4に示すように)ユーザ自身の通信機器56を用いて転送要求メッセージを生成しなければならず、さもなければ、他方の当事者(商人のPOSシステム58やタッチアンドゴー端末62など)が正しい量の転送されるべき資産価値を有する要求メッセージを提供すると信じなければならないからである。実体的eパースがディスプレイ26と(タッチスクリーンといった)ユーザ入力装置とを含む実施形態では、図1bを参照して説明したように、この制限は、転送されるべき金額のユーザ入力を受け入れるようにコントローラ10を構成することによって克服することができる。eパースが後で(図5および図6に示すように、POS端末などから)転送要求メッセージを受信するときに、コントローラ10は、要求メッセージに含まれる価値量を、ユーザが入力する金額と比較することができる。2つの金額が一致する場合には、コントローラ10は、前述のように、転出プロセスを実行して要求された金額を転送する。そうでない場合には、コントローラ10は受信要求メッセージを無視することもでき、エラーメッセージを送信することもできる。
代替のシナリオでは、POS端末を、転送されるべき資産価値量について「ヌル」値を含む転送要求メッセージを生成するように構成することができる。このシナリオでは、コントローラ10は、大部分は前述したように転出プロセスを実行するが、転送要求メッセージに含まれる値を使用するのではなく、ユーザが入力する資産量を価値転送メッセージに挿入するはずである。この場合、POS端末58で実行されるPOSアプリケーションは、資産転送メッセージに含まれる資産価値量を、支払が必要とされる合計金額と比較することができる。これら2つの価値が一致する場合、POSアプリケーションは、顧客へ領収書を発行して販売取引を完了することができる。必要ならば、POS端末58は、読取装置60が顧客の実体的eパース4を検出後すぐに、「ヌル」転送要求メッセージを自動的に生成するように構成することもできる。この動作の結果として、従来の現金販売取引に厳密に従うやり方で進む交換が行われることになり、この交換では、POS端末が合計販売価格を計算し、次いで顧客が店員に現金を提示し、顧客が提示した金額がPOS端末により計算された合計販売価格と一致するときに販売取引が完了する。その結果、従来の現金販売取引の利点および親しみやすさが、紙幣および硬貨の法定通貨を扱わなければならないという手数をかけずに得られることになる。
図7に、所望の資産価値量が、第1のユーザ(ユーザ「A」)により保持される実体的eパース4aから、第2のユーザ(ユーザ「B」)により保持される実体的eパース4bへ直接転送されるシナリオを示す。このシナリオでは、少なくともユーザAのeパース4aは、ディスプレイ26と(タッチスクリーンといった)ユーザ入力装置とを含み、どちらのeパースも無線インターフェースを備える。図7を参照すると、ユーザ「A」は、転送されるべき金額を入力し(102)、次いで、自分のeパース4aをユーザBのeパース4bに近接して位置決めする。2つのeパースが無線リンクを確立するのに十分なほど近づくと、ユーザBのeパース4bは、転送されるべき金額についてヌル値を有する転送要求メッセージを送信する(104)。「ヌル」転送要求メッセージを受信後すぐに、ユーザAのeパース4aは、前述のように転出プロセスを実行して、前にユーザAによって入力された転送されるべき金額を含む資産転送メッセージを生成する(106)。ユーザBのeパース4bは、価値転送メッセージを受け取ると、前述の「転入」プロセスを自動的に実行して、eパースへの資産価値の転送を記録する。
このシナリオは、例えば、顧客がホテルでベルボーイにチップを渡そうとする場合など、2人の間での随意の資産転送に特に適する。前述のように、ユーザAは価値転送を開始し、転送されるべき金額を選択する。またユーザAは、自分のeパースを、選択された資産価値量が転送されるべき相手のeパースと近づけることによって受け手を制御する。この場合、転送のセキュリティが維持される。というのは、ユーザAのeパース4aは、転送されるべき金額が入力された後でヌル値を含む受信転送要求メッセージに応答するだけであり、次いで、受信転送要求メッセージに応答して単一の資産転送メッセージを送信するだけだからである。さらに、資産転送は、2つのeパースを近接させた後に初めて行われる。その結果、ユーザAのeパースからの望ましくない資産転送が生じる確率はきわめて低くなる。
図7のシナリオでは、ユーザBのeパース4bは、ユーザAのeパースの存在に応答して、転送要求メッセージを送信する。この機能は、ユーザBのeパースが、その無線インターフェースの範囲内でユーザAのeパース4aの存在を検出することができることを必要とする。この機能を実現するには様々な方法が使用され得る。例えば、ユーザAが転送されるべき金額を入力した後で、ユーザAのeパースは所定のハンドシェーク信号を送信し始めてもよい。次いで、ユーザBのeパースは、ハンドシェーク信号の検出に応答して、転送要求メッセージを生成し得る。他の技法も当業者には明らかであり、添付の特許請求の範囲の意図される範囲から逸脱することなく使用され得る。
以上の説明では、本発明の態様を、セキュアな記憶・転送機構が、資産価値または金額の形のメッセージコンテンツのセキュアな記憶および交換による電子商取引を可能にするのに使用される実施形態を参照して説明した。しかし、本発明は電子商取引だけに限定されず、同じ技法は、セキュリティ、取消不能、否認不可および複製検出という価値が求められるセキュアな通信システムを実施するのにも使用され得ることが理解されるであろう。
特に、メッセージコンテンツの性質にはいかなる固有の制限もない。前述のように、eコマースの状況では、メッセージコンテンツは資産価値または金額を表す。電子投票の状況では、メッセージコンテンツは、ユーザの投票を表し得る。電子権利の状況では、メッセージコンテンツは、例えば、チケット、商品券、特定のイベントに参加するための招待状などといった、ユーザが保有する権利または許可を表し得る。これらの状況のいずれにおいても、記憶媒体4の現在のコンテンツ(Cur.Val)を記憶し、減分する前述の機構は有用である。というのは、この機構が取消不能をサポートし、価値転送メッセージの不適切な生成を防止するからである。よって例えば、ユーザは、メモリ12に記憶された資産価値より大きい資産価値、または投票することが許される数より多くの票、または購入した枚数より多くの(イベントなどの)チケットを(総計で)含む価値転送メッセージを生成することを妨げられる。同様に、売り手(興行イベントのチケットの小売業者など)が、販売を許可された枚数より多くのチケットを販売することも防止することができる。
以上の説明では、本発明を、記憶媒体4がコンテンツを記憶し、転送するのに使用される例を引いて説明しており、コンテンツはすべて所与の種類のものである。よって例えば、eコマースの状況では、メッセージコンテンツは資産価値または金額を表し、記憶媒体4はeパースと呼ばれる。しかし、記憶媒体4のメモリ12は、複数の異なる種類のメッセージコンテンツを同時に記憶するのに使用されてもよいことが理解されるであろう。よって例えば、ユーザの記憶媒体4(eパース)は、ある資産価値(金)額、2枚の電子劇場チケット、および来るべき選挙での投票権の形の現在のコンテンツを含むこともできるはずである。このシナリオには、個々の異なる現在の価値(Cur.Val.)の「バケット」をメモリ12に格納し、前述の転入プロセスおよび転出プロセスを、任意の所与の取引に適切なバケットを利用するように変更することによって容易に対応できることが理解されるであろう。例えば、ある実施形態では、転出プロセスの実行をトリガするのに使用される要求メッセージは、取引に使用されるべき現在の価値バケットを指定するパラメータを含んでいてよく、結果として得られる価値転送メッセージも、転入プロセスが受け手の記憶媒体4内の適切な現在の価値バケットを増分するよう動作し得るようにこの同じパラメータ値を含み得る。
ある実施形態では、転出プロセス(図2a)の一部として複製チェック機能を実施することが求められ得る。よって例えば、コントローラ10が複製転送要求メッセージを検出(拒否)し、それによって、1つの転送要求に応答して2つ以上の価値転送メッセージが生成される問題を回避することができるようにすることが求められ得る。転送メッセージについて前述した機構を有効に反映する適切な複製チェック機構を実施することができることが理解されるであろう。例えば、図6を参照して説明した実施形態では、転出プロセスは、POS端末によって生成されたチャレンジワードを含む転送要求メッセージに応答して行われる。図6の実施形態では、このチャレンジワードは、POS端末によって、後で受信される価値転送メッセージを妥当性検査するのに使用される。しかし、記憶媒体4のコントローラ10が、このチャレンジを使用して複製転送要求を検出し、拒否してもよいことが理解されるであろう。このために、正常な転出プロセスが終わるたびに、コントローラ10は、例えば図2aのステップ38などで、チャレンジワードをログ18に記憶し得る。この情報は、コントローラ10が、新しく受信された要求メッセージのチャレンジワードをログ18にすでに記憶されたチャレンジワードと比較することにより、後続の複製要求メッセージを検出することを可能にする。一致が見つかる場合には、新しく受信された信要求メッセージを、複製の可能性が高いものとして拒否することができ、コントローラ10により適切なエラーメッセージを生成し、返すことができる。そうでない場合、転出プロセスは、図2aを参照して説明したように続行することができる。必要ならば、転送要求メッセージの他のデータフィールド(例えば、受け手ID、価値、通貨など)も、チャレンジに加えて、複製を識別するために使用されてよい。
上記の本発明の(1つまたは複数の)実施形態は、例示のためのものにすぎない。したがって、本発明の範囲は、もっぱら添付の特許請求の範囲によってのみ限定されるべきものである。

Claims (31)

  1. 通信媒体と、
    少なくとも2つの記憶媒体と、を備え、それぞれ記憶媒体が、
    前記通信媒体を介してメッセージを送受信するように構成されたインターフェースと、少なくとも1つの現在のコンテンツ、個々の一意の識別子、およびコンテンツ転送のログを記憶するメモリと、
    前記インターフェースおよび前記メモリに動作可能に結合されたコントローラと、
    を備える電子コンテンツ交換システムであって、
    前記コントローラが、命令コードの制御下で動作し、
    前記インターフェースを介して、少なくとも1つの転送されるべきメッセージコンテンツを含むコンテンツ転送メッセージを受け取り、転入プロセスを実行して対応するメッセージコンテンツの転送を前記記録媒体に記録し、
    前記転入プロセスは、前記受信コンテンツ転送メッセージが複製であるかどうか判定するステップと、前記受信コンテンツ転送メッセージが複製でない場合に、前記現在のコンテンツを、前記転送されるべきメッセージコンテンツの分だけ増やすステップと、前記コンテンツ転送の情報を前記ログに記録するステップと、を含み、
    前記インターフェースを介して、少なくとも1つの転送されるべきメッセージコンテンツを含むコンテンツ転送要求メッセージを受け取り、転出プロセスを実行して前記記憶媒体からの対応するコンテンツの転送を記録し、
    前記転出プロセスは、前記現在のコンテンツが前記転送されるべきメッセージコンテンツと同等もしくはそれより大きいかどうか判定するステップと、前記現在のコンテンツが前記転送されるべきメッセージコンテンツと同等もしくはそれより大きい場合に、前記転送されるべきメッセージコンテンツを含むコンテンツ転送メッセージを生成し、送るステップと、前記現在のコンテンツを前記転送されるべきメッセージコンテンツ量の分だけ減らすステップと、前記コンテンツ転送の情報を前記ログに記録するステップと、を含む、
    電子コンテンツ交換システム。
  2. 各記憶媒体が、
    実体的記憶媒体と、
    サーバによりインスタンス化され、維持される仮想記憶媒体と、
    のいずれか1つを備える、請求項1に記載の電子コンテンツ交換システム。
  3. 前記通信媒体が、
    ネットワークと、
    前記ネットワークに接続され、前記インターフェースを介して個々の記憶媒体に接続され、前記ネットワークを介した通信のために前記記憶媒体をホストする通信機器と、
    前記記憶媒体と端末または別の記憶媒体との間の直接リンクと、
    のいずれか1つまたは複数を備える、請求項1に記載の電子コンテンツ交換システム。
  4. 前記ネットワークがインターネットである、請求項3に記載の電子コンテンツ交換システム。
  5. 前記通信機器が、携帯情報端末(PDA)、携帯電話、ハンドヘルドコンピュータおよびラップトップコンピュータを含むリストの中から選択される、請求項3に記載の電子コンテンツ交換システム。
  6. 前記直接リンクが無線リンクである、請求項3に記載の電子コンテンツ交換システム。
  7. 前記端末が、商人のPOS(point−of−sale)装置、セルフサービスキオスクおよび「タッチアンドゴー」端末を含むリストの中から選択される、請求項3に記載の電子コンテンツ交換システム。
  8. 各転送メッセージが個々のディジタル署名を含み、前記ディジタル署名が、少なくとも、所与の記憶媒体により生成される資産転送メッセージの間で一意である、請求項1に記載の電子コンテンツ交換システム。
  9. 前記転出プロセスが、以前に受信した転送要求メッセージの複製である可能性の高い転送要求メッセージを検出するステップをさらに含む、請求項8に記載の電子コンテンツ交換システム。
  10. 各転送要求メッセージがチャレンジワードを含み、複製である可能性の高い転送要求メッセージを検出する前記ステップが、
    前記コントローラにより完了されるコンテンツ転送プロセスごとに、前記個々の転送要求メッセージに含まれる前記チャレンジワードを、前記ログに記憶される前記コンテンツ転送の前記情報の一部として記憶するステップと、
    新しい転送要求メッセージを受け取った後すぐに、前記新しい転送要求メッセージに含まれる前記個々のチャレンジワードを、すでに前記ログに記憶されたチャレンジワードと比較するステップと、
    を含む、請求項9に記載の電子コンテンツ交換システム。
  11. 前記転入プロセスが、各受信転送メッセージの前記個々のディジタル署名を処理して前記受信転送メッセージの妥当性を判定するステップをさらに含む、請求項8に記載の電子コンテンツ交換システム。
  12. 前記転入プロセスが、前記受信転送メッセージが妥当でないと判定される場合に、前記受信転送メッセージを廃棄するステップをさらに含む、請求項11に記載の電子コンテンツ交換システム。
  13. 前記転入プロセスが、前記受信転送メッセージを前記ログに記録された以前に受信した転送メッセージの情報と比較することにより前記受信転送メッセージが複製であるかどうか判定する、請求項1に記載の電子コンテンツ交換システム。
  14. 前記転入プロセスが、前記受信転送メッセージが複製であると判定される場合に、前記受信転送メッセージを廃棄するステップをさらに含む、請求項1に記載の電子コンテンツ交換システム。
  15. 前記ログに記録される前記情報が各転送メッセージの要約を含む、請求項1に記載の電子コンテンツ交換システム。
  16. 前記要約が前記個々の転送メッセージのハッシュを含む、請求項15に記載の電子コンテンツ交換システム。
  17. コンテンツを記憶し転送するための装置であって、
    通信媒体を介してメッセージを送受信するように構成されたインターフェースと、
    少なくとも1つの現在のコンテンツ、個々の一意の識別子、および転送のログを記憶するメモリと、
    前記インターフェースおよび前記メモリに動作可能に結合されたコントローラと、
    を備え、前記コントローラは、命令コードの制御下で動作し、
    前記インターフェースを介して、少なくとも1つの転送されるべきメッセージコンテンツを含むコンテンツ転送メッセージを受け取り、転入プロセスを実行して対応するメッセージコンテンツの転送を前記メモリに記録し、
    前記転入プロセスは、前記受信転送メッセージが複製であるかどうか判定するステップと、前記受信転送メッセージが複製でない場合に、前記現在のコンテンツを、前記転送されるべきメッセージコンテンツの分だけ増やすステップと、前記転送の情報を前記ログに記録するステップと、を含み、
    前記インターフェースを介して、少なくとも1つの転送されるべきメッセージコンテンツを含むコンテンツ転送要求メッセージを受け取り、転出プロセスを実行して前記メモリからの対応するメッセージコンテンツの転送を記録し、
    前記転出プロセスは、前記現在のコンテンツが前記転送されるべきメッセージコンテンツと同等もしくはそれより大きいかどうか判定するステップと、前記現在のコンテンツが前記転送されるべきメッセージコンテンツと同等もしくはそれより大きい場合に、前記転送されるべきメッセージコンテンツを含む転送メッセージを生成し、送るステップと、前記現在のコンテンツを前記転送されるべきメッセージコンテンツの分だけ減らすステップと、前記転送の情報を前記ログに記録するステップと、を含む
    前記コンテンツを記憶し転送するための装置。
  18. 前記転出プロセスが、以前に受信した転送要求メッセージの複製である可能性が高い転送要求メッセージを検出するステップをさらに含む、請求項17に記載の装置。
  19. 各転送要求メッセージがチャレンジワードを含み、複製である可能性の高い転送要求メッセージを検出する前記ステップが、
    前記コントローラにより完了されるコンテンツ転送プロセスごとに、前記個々の転送要求メッセージに含まれる前記チャレンジワードを、前記ログに記憶される前記コンテンツ転送の前記情報の一部として記憶するステップと、
    新しい転送要求メッセージを受け取った後すぐに、前記新しい転送要求メッセージに含まれる前記個々のチャレンジワードを、すでに前記ログに記憶されたチャレンジワードと比較するステップと、
    を含む、請求項18に記載の装置。
  20. 各転送メッセージが個々のディジタル署名を含み、前記ディジタル署名が、少なくとも、所与の装置により生成される資産転送メッセージの間で一意である、請求項17に記載の装置。
  21. 前記転入プロセスが、各受信転送メッセージの前記個々のディジタル署名を処理して前記受信転送メッセージの妥当性を判定するステップをさらに含む、請求項20に記載の装置。
  22. 前記転入プロセスが、前記受信転送メッセージが妥当でないと判定される場合に、前記受信転送メッセージを廃棄するステップをさらに含む、請求項21に記載の装置。
  23. 前記転入プロセスが、前記受信転送メッセージを前記ログに記録された以前に受信した転送メッセージの情報と比較することにより前記受信転送メッセージが複製であるかどうか判定する、請求項17に記載の装置。
  24. 前記転入プロセスが、前記受信転送メッセージが複製であると判定される場合に、前記受信転送メッセージを廃棄するステップをさらに含む、請求項17に記載の装置。
  25. 前記ログに記録される前記情報が各転送メッセージの要約を含む、請求項17に記載の装置。
  26. 前記要約が前記個々の転送メッセージのハッシュを含む、請求項25に記載の装置。
  27. 前記コントローラが前記現在のコンテンツを含む情報を表示することができるように前記コントローラに動作可能に接続されたディスプレイをさらに備える、請求項17に記載の装置。
  28. 前記ディスプレイがユーザ入力を受け取るためにタッチスクリーンである、請求項27に記載の装置。
  29. ユーザ入力を受け取るための少なくとも1つのボタンをさらに備える、請求項27に記載の装置。
  30. 前記転出プロセスが、前記転送されるべきメッセージコンテンツをユーザ入力コンテンツと比較するステップと、前記転送されるべきメッセージコンテンツが前記ユーザ入力コンテンツと一致する場合に限って前記転送メッセージを生成するステップとを含む、請求項27に記載の装置。
  31. 前記受信転送要求メッセージがヌル値を有する転送されるべきメッセージコンテンツを含み、前記転出プロセスが、ユーザ入力コンテンツを前記転送されるべきメッセージコンテンツとして使用して前記転送メッセージを生成するステップを含む、請求項27に記載の装置。
JP2013501574A 2010-03-30 2011-03-14 メッセージ記憶・転送システム Ceased JP2013524323A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
PCT/CA2010/000435 WO2011032257A1 (en) 2009-09-17 2010-03-30 Asset storage and transfer system for electronic purses
CAPCT/CA2010/000435 2010-03-30
CA2,714,784 2010-09-17
CA2714784A CA2714784A1 (en) 2009-09-17 2010-09-17 Message storage and transfer system
PCT/CA2011/050138 WO2011120158A1 (en) 2010-03-30 2011-03-14 Message storage and transfer system

Publications (2)

Publication Number Publication Date
JP2013524323A true JP2013524323A (ja) 2013-06-17
JP2013524323A5 JP2013524323A5 (ja) 2014-04-17

Family

ID=44720365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013501574A Ceased JP2013524323A (ja) 2010-03-30 2011-03-14 メッセージ記憶・転送システム

Country Status (7)

Country Link
US (1) US8886932B2 (ja)
EP (1) EP2553890A4 (ja)
JP (1) JP2013524323A (ja)
CN (1) CN103026656A (ja)
AU (1) AU2011235531B2 (ja)
CA (2) CA2714784A1 (ja)
WO (1) WO2011120158A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
JP5657672B2 (ja) * 2009-09-17 2015-01-21 ロイヤル カナディアン ミントRoyal Canadian Mint 高信頼性メッセージ記憶、転送プロトコルおよびシステム
TW201621695A (zh) 2014-12-02 2016-06-16 鴻海精密工業股份有限公司 雲端代理設備、雲盤及檔案轉移的方法
CN105721515B (zh) * 2014-12-02 2019-06-07 鸿富锦精密工业(深圳)有限公司 云端代理设备、云盘及档案转移的方法
US20170142478A1 (en) * 2015-11-13 2017-05-18 Le Holdings (Beijing) Co., Ltd. METHOD AND DEVICE FOR DETECTING SHIELDED WiHD DATA PROJECTION CHANNEL
KR20200028255A (ko) * 2018-09-06 2020-03-16 에스케이하이닉스 주식회사 컨트롤러 및 그 동작 방법
US11789842B2 (en) * 2021-10-11 2023-10-17 Dell Products L.P. System and method for advanced detection of potential system impairment
CN114500650A (zh) * 2022-01-25 2022-05-13 瀚云科技有限公司 一种交通数据处理方法、装置、服务器及系统
CN116112573B (zh) * 2022-11-18 2024-06-11 中国工商银行股份有限公司 终端界面转换方法、装置、设备、存储介质和程序产品

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04328677A (ja) * 1991-04-30 1992-11-17 N T T Data Tsushin Kk 伝票レスシステムの処理方式
JPH05504643A (ja) * 1991-04-10 1993-07-15 モンデックス インターナショナル リミテッド 金銭移転システム
JP2000184085A (ja) * 1998-12-18 2000-06-30 Fujitsu Ltd 携帯機器、携帯端末用アタッチメント及び携帯機器を用いたシステム
JP2001525087A (ja) * 1997-04-01 2001-12-04 カーディス・エンタープライズ・インターナショナル・ナムローゼ・フェンノートシャップ 計数可能な電子貨幣システムおよび方法
JP2002157532A (ja) * 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> 電子的価値移転装置
JP2002183633A (ja) * 2000-12-13 2002-06-28 Sony Corp 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム
JP2003044769A (ja) * 2001-08-03 2003-02-14 Hitachi Ltd 電子財布及び電子財布システム
JP2003263603A (ja) * 2002-03-07 2003-09-19 Mitsubishi Electric Corp 電子財布装置、決済処理装置及び電子決済処理方法
JP2004362554A (ja) * 2003-05-13 2004-12-24 Matsushita Electric Ind Co Ltd 価値情報保持システム、価値情報保持方法、プログラム、及び精算システム
JP2009110202A (ja) * 2007-10-29 2009-05-21 Sony Corp 電子財布装置、通信方法、およびプログラム
JP2013505487A (ja) * 2009-09-17 2013-02-14 ロイヤル カナディアン ミント 電子財布のための資産価値記憶、転送システム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2401459A1 (fr) * 1977-08-26 1979-03-23 Cii Honeywell Bull Support d'information portatif muni d'un microprocesseur et d'une memoire morte programmable
US5623547A (en) * 1990-04-12 1997-04-22 Jonhig Limited Value transfer system
GB9008362D0 (en) * 1990-04-12 1990-06-13 Hackremco No 574 Limited Banking computer system
SE506506C2 (sv) * 1995-04-11 1997-12-22 Au System Elektronisk transaktionsterminal, telekommunikationssystem innefattande en elektronisk transaktionsterminal, smart kort som elektronisk transaktionsterminal samt metod för överföring av elektroniska krediter
JP3710172B2 (ja) * 1995-09-01 2005-10-26 富士通株式会社 ソフトウェア代金返金用ユーザ端末およびセンタ
US6366663B1 (en) * 1997-07-21 2002-04-02 Mci Communications Corporation System for achieving local number portability
EP0950968A4 (en) * 1997-08-13 2004-05-19 Matsushita Electric Ind Co Ltd MOBILE ELECTRONIC TRADING SYSTEM
US6785815B1 (en) * 1999-06-08 2004-08-31 Intertrust Technologies Corp. Methods and systems for encoding and protecting data using digital signature and watermarking techniques
US8380630B2 (en) 2000-07-06 2013-02-19 David Paul Felsher Information record infrastructure, system and method
AU7182701A (en) 2000-07-06 2002-01-21 David Paul Felsher Information record infrastructure, system and method
US7006613B2 (en) * 2001-07-27 2006-02-28 Digeo, Inc. System and method for screening incoming video communications within an interactive television system
FR2840748B1 (fr) * 2002-06-05 2004-08-27 France Telecom Procede et systeme de verification de signatures electroniques et carte a microcircuit pour la mise en oeuvre du procede
US20040034601A1 (en) * 2002-08-16 2004-02-19 Erwin Kreuzer System and method for content distribution and reselling
EP1783616A4 (en) * 2004-07-21 2009-10-21 Sony Corp CONTENT PROCESSING DEVICE, CONDITIONAL PROCESSING METHOD AND COMPUTER PROGRAM
US7571319B2 (en) * 2004-10-14 2009-08-04 Microsoft Corporation Validating inbound messages
JP4892478B2 (ja) * 2005-06-10 2012-03-07 パナソニック株式会社 認証システム、認証装置、端末装置及び検証装置
WO2007097826A2 (en) * 2005-12-19 2007-08-30 Commvault Systems, Inc. System and method for providing a flexible licensing system for digital content
CN101632103B (zh) 2006-12-18 2011-06-01 梵达摩(私人)有限公司 便携式支付设备
US7950047B2 (en) * 2008-02-22 2011-05-24 Yahoo! Inc. Reporting on spoofed e-mail
WO2011032257A1 (en) * 2009-09-17 2011-03-24 Royal Canadian Mint/Monnaie Royale Canadienne Asset storage and transfer system for electronic purses
JP5657672B2 (ja) 2009-09-17 2015-01-21 ロイヤル カナディアン ミントRoyal Canadian Mint 高信頼性メッセージ記憶、転送プロトコルおよびシステム
KR101293686B1 (ko) * 2011-08-18 2013-08-06 경북대학교 산학협력단 확장형 소셜 네트워크 서비스 제공 방법 및 시스템

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05504643A (ja) * 1991-04-10 1993-07-15 モンデックス インターナショナル リミテッド 金銭移転システム
JPH04328677A (ja) * 1991-04-30 1992-11-17 N T T Data Tsushin Kk 伝票レスシステムの処理方式
JP2001525087A (ja) * 1997-04-01 2001-12-04 カーディス・エンタープライズ・インターナショナル・ナムローゼ・フェンノートシャップ 計数可能な電子貨幣システムおよび方法
JP2000184085A (ja) * 1998-12-18 2000-06-30 Fujitsu Ltd 携帯機器、携帯端末用アタッチメント及び携帯機器を用いたシステム
JP2002157532A (ja) * 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> 電子的価値移転装置
JP2002183633A (ja) * 2000-12-13 2002-06-28 Sony Corp 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム
JP2003044769A (ja) * 2001-08-03 2003-02-14 Hitachi Ltd 電子財布及び電子財布システム
JP2003263603A (ja) * 2002-03-07 2003-09-19 Mitsubishi Electric Corp 電子財布装置、決済処理装置及び電子決済処理方法
JP2004362554A (ja) * 2003-05-13 2004-12-24 Matsushita Electric Ind Co Ltd 価値情報保持システム、価値情報保持方法、プログラム、及び精算システム
JP2009110202A (ja) * 2007-10-29 2009-05-21 Sony Corp 電子財布装置、通信方法、およびプログラム
JP2013505487A (ja) * 2009-09-17 2013-02-14 ロイヤル カナディアン ミント 電子財布のための資産価値記憶、転送システム

Also Published As

Publication number Publication date
US20130246787A1 (en) 2013-09-19
CA2714784A1 (en) 2011-03-17
CN103026656A (zh) 2013-04-03
EP2553890A1 (en) 2013-02-06
AU2011235531A1 (en) 2012-10-11
US8886932B2 (en) 2014-11-11
EP2553890A4 (en) 2014-10-01
CA2793270A1 (en) 2011-10-06
WO2011120158A1 (en) 2011-10-06
AU2011235531B2 (en) 2016-05-26

Similar Documents

Publication Publication Date Title
AU2010295188B2 (en) Asset storage and transfer system for electronic purses
US11880815B2 (en) Device enrollment system and method
AU2011235531B2 (en) Message storage and transfer system
US10535065B2 (en) Secure payment transactions based on the public bankcard ledger
US8244643B2 (en) System and method for processing financial transaction data using an intermediary service
WO2016175914A2 (en) Transaction signing utilizing asymmetric cryptography
CN104838399A (zh) 使用移动设备认证远程交易
JP6942985B2 (ja) 送金元装置、送金先装置、送金方法、受金方法、プログラムおよび送金システム
US20110016048A1 (en) Electronic currency, method for handling such a currency and electronic currency handling system
JP2013505487A (ja) 電子財布のための資産価値記憶、転送システム
CN116802661A (zh) 基于令牌的链外交互授权
WO2010054259A1 (en) Intermediary service and method for processing financial transaction data with mobile device confirmation
KR101213685B1 (ko) Pos 단말기 및 현금ic카드를 이용한 전자금융서비스 제공 방법 및 전자금융서비스 제공 시스템
KR20130052552A (ko) 메시지 저장 및 전송 시스템
CN116802662A (zh) 交互信道平衡
JP2022080343A (ja) 取引管理方法、取引管理システム及びプログラム
Pircalab Security of Internet Payments

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150303

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150603

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20151216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160413

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20160413

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170510

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20170621

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20170714

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170726

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20180626