JP3693969B2 - 電子チケット使用支援システム - Google Patents

電子チケット使用支援システム Download PDF

Info

Publication number
JP3693969B2
JP3693969B2 JP2002059821A JP2002059821A JP3693969B2 JP 3693969 B2 JP3693969 B2 JP 3693969B2 JP 2002059821 A JP2002059821 A JP 2002059821A JP 2002059821 A JP2002059821 A JP 2002059821A JP 3693969 B2 JP3693969 B2 JP 3693969B2
Authority
JP
Japan
Prior art keywords
ticket
electronic ticket
electronic
information
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002059821A
Other languages
English (en)
Other versions
JP2002352163A (ja
Inventor
真一郎 松尾
貴宏 前川
善之 橋川
弘章 坂本
成美 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2002059821A priority Critical patent/JP3693969B2/ja
Publication of JP2002352163A publication Critical patent/JP2002352163A/ja
Application granted granted Critical
Publication of JP3693969B2 publication Critical patent/JP3693969B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、電子チケットの使用を支援するための技術に関し、具体的には、電子チケットを発行するチケット発行システム、発行された電子チケットを保持し出力することができるユーザ端末、ユーザ端末から電子チケットを受信するチケット受領マシン、及び、それらを含んだシステムに関する。
【0002】
本発明は、電子チケットそのものは勿論、電子マネーや電子的な証明書など、所定の行為を認める又は所定の権限の有無を確かめる等の所定の用途又は目的に応じた様々な種類の電子データ(これを本明細書において「電子チケット」と総称する)全般に適用できるものであるが、そのうち、ITS(Intelligent Transport System)における料金決済での使用が考えられる電子チケットを例にとり以下の説明を行う。
【0003】
【従来の技術】
従来、ITS(Intelligent Transport System)と称する、道路交通の利便性を高めるためのシステムが知られている。ITSは、道路を走行する自動車に搭載された無線通信可能な装置(以下、車載器)と、道路上又は道路近傍の所定場所に設けられた無線通信可能な装置(以下、路側機)との間で無線通信を行うことで、走行中の自動車に対し様々なサービスを提供しうるものである。そのサービスの一つに、高速道路等の料金所において、料金所を停止することなく通過しても料金決済を行えるというものがある。
【0004】
ITSにおける料金決済の方法として、クレジットカードを使用する決済方法がある。この決済方法には、与信残額(つまり利用可能な金額)をチェックする方法としない方法とがあるが、与信残額のチェックには数十秒かかってしまうため、後述するような、ITSにおける無線通信での実効的な通信時間長の観点からすると、ITSにおける料金決済でクレジットカードを使用する場合には、与信残額をチェックしない方法が好ましいと考えられる。しかし、この決済方法では、与信残額がないのにサービスの使用を許してしまう、クレジットカード或いはクレジットカード番号が盗難された場合には不正に料金決済が行われてしまうなど、種々の問題がある。
【0005】
以上の観点からすると、ITSでは、クレジットカードを使用した決済方法は不向きであると考えられる。そこで、別の決済方法として、電子チケットを使用する方法が考えられる。
【0006】
電子チケットを使用する決済方法としては、チケットの二重使用や偽造を防ぐというセキュリティの観点から、電子署名を用いるチャレンジ・レスポンス方式が一般的である。その方式では、図1に示すようなシーケンス(以下、チケット使用シーケンス)で決済が行われる。
【0007】
この方式では、図1に示すように、予め、ユーザ(チケット使用者)が、電子チケットの発行センタの電子署名(以下、発行センタ署名)5が付された電子チケット3と、公開鍵証明書の認証機関の電子署名(以下、認証機関署名)9が付された公開鍵証明書7とを有する。
【0008】
そして、電子チケット3を使用するときは、まず、商店(チケット受領者)が、チャレンジ(固有情報)1を生成し、そのチャレンジ1をチケット使用者に送付する。次に、ユーザが、それに応答して、チャレンジ1及び電子チケット3に対して自身の秘密鍵で電子署名(以下、ユーザ署名)11を作成し、そのユーザ署名11と共に、公開鍵証明書7及び電子チケット3をチケット受領者に送信する。そして、商店が、公開鍵証明書7の認証機関署名9、電子チケット3の発行センタ署名5、及び、ユーザ署名11の3つの電子署名について正当性の有無を検証し、3つ全ての電子署名について正当性が認められたら電子チケット3の使用を認める。
【0009】
すなわち、電子署名を用いるチャレンジ・レスポンス方式でのチケット使用シーケンスでは、2回の通信と3回の電子署名の検証が行われる。
【0010】
【発明が解決しようとする課題】
ところで、ITSにおける無線通信では、自動車の走行速度と路側機がカバーできる通信可能領域とを考えると、通信可能な最大時間長は数秒あるが、様々な通信状況を考慮すると、その実効的な通信時間長はごくわずかであると考えられる(例えば、自動車の走行速度が時速60kmであって、路側機の通信可能領域が半径30m程度であれば、通信可能な最大時間長は3.6秒であるが、実効的な通信時間は数百msecであると考えられる)。この実効的な通信時間長は、自動車の走行速度が特に大きい場合、例えば高速道路では一層短くなる。ITSにおける料金決済では、このわずかな通信時間長内に、少なくとも、電子チケットの送信と、その電子チケットの正当性の有無の検証が完了されなければならない。このため、ITSでは、チケットの送信からそのチケットの正当性の有無の検証までの時間長が短くて済むチケット使用シーケンスが要求される。
【0011】
しかし、上述したチャレンジ・レスポンス方式でのチケット使用シーケンスは、通信回数が2回であることと、電子署名の検証が3回であることからすると、上記要求を満たしているとは言えない。なぜなら、車載器と路側機との無線通信における通信速度(帯域幅)は限られており、また、電子署名の検証に必要な演算量は多いために、上述したわずかな時間長内にチケット使用シーケンスが完了するとは限らないからである。
【0012】
これらの問題点の解決が図れる方法が記載された論文として、赤鹿らによる論文と、Rivestらによる論文とがある。(赤鹿らによる論文は、1999年暗号と情報セキュリティシンポジウム予稿集のW4-3.5に記載されている。一方、Rivestらの論文は、URL「http://theory.lcs.mit.edu/~rivest/RivestShamir-mpay.ps」に記載されている)。
【0013】
赤鹿らによる論文には、ユーザと商店との間で予めチャレンジを共有することにより、チケット使用シーケンスにおける通信回数が1回で済む方法が記載されている。しかし、この論文に記載の方法は、1つの業者に複数の商店が所属しその業者が発行したチケットであればそれら複数の商店で使用できるようなシステム、例えば、ITSでの高速道路料金支払いのように、同一業者(道路公団)に所属するどの商店(料金所)でチケットが使用されるかがかわからない場合には不向きである。なぜなら、上記方法では、各々の商店がどのユーザにどのようなチャレンジが付与されたかを管理する必要があるため、同一業者に所属する全ての商店が同一のチャレンジを管理しなければならず、或る一商店でチケットと共にチャレンジが使用されたときは、その一商店は他の全ての商店にそのチャレンジが使用されたことを通知する必要があり面倒だからである。
【0014】
一方、Rivestらの論文には、ハッシュ関数を用いて(つまり電子署名を用いないで)電子マネーの正当性の有無を検証する方法が記載されている。しかし、この論文に記載の方法は、クレジットカードを使用することが前提となっているため、上述した観点からITSには全く不向きである。
【0015】
従って、本発明の目的は、チケット使用シーケンスにかかる時間長が短くて済み、且つ、同一のチケットを複数の商店で使用できるシステムに適した電子チケット使用支援システムを提供することにある。
【0016】
【課題を解決するための手段】
本発明は、電子チケットを発行するチケット発行システムと、前記チケット発行システムが発行した電子チケットを取得し前記取得した電子チケットを送出するユーザ端末と、前記ユーザ端末が送出した電子チケットを受信するチケット受領マシンと、を備えた電子チケット使用支援システムであって、前記ユーザ端末は、
前記電子チケットを送信するときに、前記ユーザ端末側の日時を示すデータ作成開始日時情報と前記電子チケットとに対して一方向性関数を適用してチケット使用証を生成するチケット使用証生成手段と、電子チケットと、前記チケット使用証生成手段が生成した前記チケット使用証とをチケット受領マシンへ送信する手段と、を備え、前記チケット受領マシンは、前記ユーザ端末から前記チケット使用証と前記電子チケットとを受信する手段と、前記チケット受領マシン側で受信した日時前の所定の時間範囲を予め定められた所定のサンプリング単位でサンプリングすることによって得られる複数の日時情報が代入される時間変数であるチケット受信日時情報及び受信した前記電子チケットを含む情報に対して前記一方向性関数を適用して演算を行う演算手段と、前記チケット受信日時情報に代入される前記いずれかの日時情報における前記演算手段の演算結果が、受信した前記チケット使用証に一致するか否かを判定する判定手段と、前記判定手段によって一致する場合に、前記電子チケットが正当であるとして検証を行う検証手段と、を備えたことを特徴とする電子チケット使用支援システムである。
【0017】
なお、「電子チケット」は、所定の行為を認める又は所定の権限の有無を確かめる等の所定の用途又は目的(例えば、入場する、商品又はサービスを購入又は利用する、特定のリソースへのアクセス制御、所定の認証など)に応じた電子データであって、例えば、電子チケットそれ自体は勿論、電子マネー、電子的な証明書等である。また、「ユーザ端末」は、例えば、携帯電話機、パーソナルコンピュータ、PDA、ICカードや磁気カード等の記録媒体、又は、後述する車載コンピュータ等である。ユーザ端末は、所有者がユーザ自身である端末は勿論、所有者がユーザ自身ではなく或る者から貸し出された端末であっても良い。つまり、本発明に従う電子チケット支援システムは、ITSには勿論、例えば、遊園地などのテーマパークにおいて、来場者にユーザ端末を貸し出し、来場者がその端末を用いて電子チケットを使用することで、テーマパークの種々のサービスを来場者に提供する等にも適用することができる。
【0019】
また、本発明は、上記に記載の発明において、前記チケット使用証生成手段は、前記チケット使用証を生成する際に、前記電子チケットと前記データ作成開始日時情報とに前記ユーザ端末の位置情報を加えて、前記一方向性関数を適用してチケット使用証を生成し、前記演算手段が、前記電子チケットと前記チケット受信日時情報とに前記チケット受領マシンの位置情報を加えて、前記一方向性関数を適用して演算を行うことを特徴とする。
【0021】
また、本発明は、上記に記載の発明において、前記電子チケットには、前記電子チケットを使用可能な位置情報あるいは時刻情報のいずれか一方、または位置情報と時刻情報の双方を有する有効位置時刻情報が関連付けられており、前記検証手段は、前記判定手段によって一致する場合に、さらに、前記電子チケットが使用された位置情報あるいは時刻情報のいずれか一方、または位置情報と時刻情報の双方を有する使用時位置情報と、受信した前記電子チケットに関連付けられている前記有効位置情報とに基づき前記電子チケットが正当であるとして検証を行うことを特徴とする。
【0022】
また、本発明は、電子チケットを発行するチケット発行システムと、ユーザ識別情報を記憶するユーザ端末と、ベンダ識別情報を記憶するチケット受領マシンとを備えた電子チケット使用支援システムであって、前記チケット発行システムは、前記ベンダ識別情報と前記ユーザ識別情報と第1の一方向性関数を適用して電子チケットを生成する手段を備え、前記ユーザ端末は、前記チケット発行システムから前記電子チケットを受信する受信手段と、前記電子チケットに第2の一方向性関数を適用し、ハッシュ化された電子チケットを生成する電子チケット生成手段と、前記電子チケットに第2の一方向性関数を適用するときに、前記ユーザ端末側の日時を示すデータ作成開始日時情報と前記電子チケットとを含む情報に対して第3の一方向性関数を適用してチケット使用証を生成するチケット使用証生成手段と、内部に記憶している前記ユーザ識別情報と、前記ハッシュ化された電子チケットと、前記チケット使用証とをチケット受領マシンへ送信する手段と、を備え、前記チケット受領マシンは、前記ユーザ端末から前記ユーザ識別情報と、前記ハッシュ化された電子チケットと、前記チケット使用証とを受信する手段と、受信したユーザ識別情報と、内部に記憶している前記ベンダ識別情報とを含む情報に対して前記第1の一方向性関数を適用して演算を行う第1の演算手段と、前記第1の演算手段によって算出された第1の演算結果に対して前記第2の一方向性関数を適用する第2の演算手段と、前記第2の演算手段によって算出された第2の演算結果と、前記ハッシュ化された電子チケットが一致するか否かを判定する第1の判定手段と、前記第1の判定手段によって一致すると判定された場合に、前記チケット受領マシン側で受信した日時前の所定の時間範囲を予め定められた所定のサンプリング単位でサンプリングすることによって得られる複数の日時情報が代入される時間変数であるチケット受信日時情報及び前記第1の演算結果を含む情報に対して前記第3の一方向性関数を適用して演算を行う第3の演算手段と、前記チケット受信日時情報に代入される前記いずれかの日時情報における前記第3の演算手段の演算結果が、受信した前記チケット使用証に一致するか否かを判定する第2の判定手段と、前記第2の判定手段によって一致すると判定された場合に、前記電子チケットが正当であるとして検証を行う検証手段と、を備えたことを特徴とする電子チケット使用支援システムである。
【0023】
この実施形態によれば、暗号化された電子チケットの正当性の有無に、ユーザ端末の位置を示す第1の位置情報と、チケット受領マシンの位置を示す第2の位置情報とが使用される。これにより、チケットがどの場所で使用されたかが分かるので、セキュリティが向上し、電子チケットの使用が一層支援される。また、この実施形態では、電子チケットが、一回使いきりのタイプであっても良いし、電車の定期券のように何回使えるタイプであっても良い。
【0024】
好適な実施形態では、チケット受領マシンが、暗号化された電子チケットに関する情報である暗号化チケット情報をチケット発行システムに送信し、チケット発行システムが、発行した電子チケットに関する情報である発行済みチケット情報を記憶し、チケット受領マシンから暗号化チケット情報を受信したときは、記憶している発行済みチケット情報の中に、受信した暗号化チケット情報に対応すると推定される発行済みチケット情報があるか否かをチェックし、そのチェックにおいて、推定される発行済みチケット情報があればそれを消去し、推定される発行済みチケット情報がなければ、不正が行われたと推定する。
【0035】
本発明に係るチケット発行マシン、ユーザ端末、及びチケット受領マシンの各々の機能はコンピュータにより実施することができるが、そのためのコンピュータプログラムは、ディスク型ストレージ、半導体メモリ及び通信ネットワークなどの各種媒体を通じてコンピュータにインストール又はロードすることができる。
【0036】
【発明の実施の形態】
以下、図面を参照して、本発明をITSに適用した一実施形態を説明する。
【0037】
図2は、本発明をITSに適用した一実施形態に係るシステムのブロック図である。
【0038】
本実施形態では、インターネット2上に、有料道路の使用料金を決済するための電子チケットを発行し管理する電子チケット管理サーバシステム(以下、単に「サーバ」という)21が備えられる。また、ユーザが乗車する自動車25には、サーバ21から発行された電子チケットを保持し無線通信して使用するためのコンピュータマシン(以下、車載コンピュータ)27が搭載される。また、有料道路29上又は有料道路29近傍の各々の所定場所(例えば、高速道路の各々の料金所付近)には、車載コンピュータ27が無線通信して発した電子チケットを受領するためのコンピュータマシン(以下、電子チケット受領マシン)31が備えられる。以下、サーバ21、車載コンピュータ27、及び受領マシン31について詳述する。
【0039】
サーバ21は、電子チケットを管理するためのデータベース(以下、チケット管理DB)41を有し、チケット管理DB41内に、発行可能な電子チケットに関する情報(以下、電子チケット情報)を格納するためのディレクトリ(以下、チケット管理ディレクトリ)43と、発行済みのチケットを管理するためのテーブル(以下、発行済みチケット管理テーブル)45とを有する。チケット管理ディレクトリ43に格納される電子チケット情報は、有料道路を管理するベンダ(業者)から受けたものであって1又は複数種類あり、各々の電子チケット情報には、電子チケットのチケット名、値段、その電子チケットによる料金決済を認めるベンダ(以下、使用承認ベンダ)の識別情報(以下、「IdV」と表記する)等が含まれている(1つの電子チケットに対して使用承認ベンダは複数存在しても良い)。発行済みチケット管理テーブル45には、発行済みの電子チケットのチケット名と、それの使用承認ベンダのIdVと、その電子チケットを受取ったユーザの車載コンピュータ27からサーバ21が受信したIdT及びIdC(IdT及びIdCについては後述する)とが登録される。
【0040】
サーバ21は、予め、有料道路を管理するベンダから電子チケット情報を受けて、それをチケット管理ディレクトリ43に格納する。サーバ21は、矢印200に示すように、車載コンピュータ27から電子チケットの発行を要求されたときは、矢印300に示すように、その要求に応じた電子チケットを暗号化したものを車載コンピュータ27に発行する(このときに、サーバ21は、発行した電子チケットの値段の決済を済ませる)。また、サーバ21は、矢印500に示すように、既に発行した電子チケットが受領マシン31を介して還流してきたときは(つまり、受領マシン31が車載コンピュータ27から受領した電子チケットを受領マシン31から受信したときは)、その電子チケットの正当性の有無を検証する。その検証において、正当性が認められたときは、サーバ21は、発行済みチケット管理テーブル45に記録されているデータのうち、正当性が認められた電子チケットに関するデータを削除する。一方、正当性が認められないときは、サーバ21は、不正対処のための処理を実行する(この処理の具体的な内容については後に例示する)。
【0041】
車載コンピュータ27は、少なくとも、インターネット2等の通信ネットワークを介してサーバ21と通信する機能と、ユーザ識別情報(以下、「IdC」と表記する)を保持する機能と、GPS信号を受信して位置情報を取得する機能と、時計(以下、これを「車載時計」と言う)とを有する。なお、ユーザ識別情報IdCは、例えば、車載コンピュータ27の製造シリアル番号、或いは、サーバ21にユーザ登録することによりサーバ21からユニークに付与された情報などである。
【0042】
また、車載コンピュータ27は、保持したデータ(電子チケットやIdC等)を外部に見せたり改ざんさせたり等を防ぐ、いわゆる耐タンパ性も有する。
【0043】
車載コンピュータ27は、ユーザから、所望の電子チケットのチケット名の入力とその電子チケットの発行要求とを受けたときは、矢印200に示すように、入力されたチケット名をサーバ21に通知すると共に、そのチケット名を持つ電子チケットの発行をサーバ21に要求する(所望のチケット名を入力する方法としては、予め車載コンピュータ27に複数のチケット名が登録されていてそれらの中から所望のチケット名を選択することで入力する、或いは、車載コンピュータ27を用いてサーバ21にアクセスしそのサーバ21のWebページ上に表示される複数のチケット名から所望のチケット名を選択することで入力するなど種々の方法があるが、どれを採用しても良い)。そして、車載コンピュータ27は、矢印300に示すように、その要求に応じて発行された、暗号化されている電子チケットを受信し、その電子チケットを復号して保持する。なお、本実施形態では、保持することができる電子チケットの数は1種類であるとする。
【0044】
車載コンピュータ27は、自動車25が有料道路29を走行することにより受領マシン31の通信領域に入ったときは、矢印400に示すように、保持している電子チケットを含む送信データを作成しその送信データを電子チケット受領マシン31に送信する。なお、そのとき、車載コンピュータ27は、送信データの作成し始めた時に車載時計が示した日時を表す情報(以下、これを「データ作成開始日時情報」と言う)と、電子チケットを送信する時の自車位置を示す自車位置情報と、電子チケットとを用いて、電子チケットを使用できることを証明するための情報(以下、これを「チケット使用証」と言う)を生成し、生成したチケット使用証も送信データに含めて送信する。
【0045】
電子チケット受領マシン(以下、「受領マシン」と略記する)31は、有料道路29を管理する或るベンダに属するものであり、無線通信可能な通信領域(例えば、自身を中心に半径30m程度の円領域)を有している。受領マシン31は、少なくとも、自身が属するベンダのIdVを保持する機能と、受領を認める(つまり自身が取扱う対象の)電子チケットのチケット名の情報(以下、これを「tic」と表記する)を保持する機能と、GPS信号を受信して位置情報を取得する機能と、時計(以下、「受領マシン時計」と言う)と、自身の通信領域を走行した自動車を写真撮影する機能と、撮影した写真画像と撮影した日時とを記憶する機能とを有する。なお、受領マシン時計が示す時刻と、車載時計が示す時刻は、少なくとも上記通信領域に車載コンピュータ27が存在する場合には、GPS衛星からの信号を受領マシン31及び車載コンピュータ27の双方が受信する、或いは、受領マシン31が車載時計が示す時刻を受領マシン時計が示す時刻に補正する等により、完全に同一である。
【0046】
受領マシン31は、自身の通信領域に自動車25の車載コンピュータ27が入ったときは、矢印400に示すように、車載コンピュータ27から、電子チケット及びチケット使用証を受信する。それらを受信したら、受領マシン31は、それらを受信したときに受領マシン時計が示した日時を表す情報(以下、これを「チケット受信日時情報」と言う)と、受領マシン31の位置情報等を用いて、受信した電子チケット及びチケット使用証の正当性の有無を検証する(受領マシン31の位置情報と、電子チケット及びチケット使用証を送信したときの自車位置情報とは、実質的に同一であるとする)。受領マシン31は、その検証において、電子チケット及びチケット使用証の双方について正当性が認められたときは、直ちに或いは所定のタイミングで、矢印500に示すように、電子チケット及びチケット使用証をサーバ21に還流(つまり送信)する。一方、受信した電子チケット及びチケット使用証情報のいずれか一方について不当性があったときは、受領マシン31は、後に説明するような不正対処のための処理を行う。
【0047】
以下、この実施形態に係るシステムにおける流れを説明する。なお、その説明をするにあたってのノーテーションを図3に示す。
【0048】
すなわち、図3に示すように、以下の説明において、「A‖B」という表記は、データAとデータBとを結合することを示す。また、「PkC」という表記は、ユーザの公開鍵を示し、「SkC」という表記は、公開鍵PkCを有するユーザの秘密鍵(つまり、公開鍵PkCとペアの秘密鍵)を示す。また、「f」、「g」、及び「h」は、ハッシュ関数(衝突困難な一方向性関数)を示す。また、「h(A)」という表記は、データAにハッシュ関数hを施した結果を示す。また、「Enc<PkC>A」という表記は、データAを公開鍵PkCで暗号化した結果を示し、「Dec<SkC>A」という表記は、データAを秘密鍵SkCで復号した結果を示す。
【0049】
図4〜図6を参照して、この実施形態に係るシステムにおける流れを説明する。
【0050】
図4は、車載コンピュータ27が電子チケットの発行をサーバ21に要求してからその電子チケットをサーバ21から受取るまでの流れを示す。
【0051】
車載コンピュータ27は、ユーザから、所望の電子チケットのチケット名の入力とその電子チケットの発行要求とを受けたときは(ステップS0)、そのときに車載時計が示した日時を示す発行要求日時情報(以下、これを「TS1」と表記する)を取得すると共に乱数Rを生成し、IdT=h(R)‖TSを計算して、IdTを算出する(S1)。そして、車載コンピュータ27は、算出したIdTと、予め保持しているユーザ識別情報IdCと、ユーザに入力されたチケット名を示す情報(この情報は、受領マシン31が取扱う対象の電子チケットのチケット名を示す情報と同一の「tic」であるとする)とをサーバ21に送信し(S2-1)、生成した乱数Rと算出したIdTとを組にして一定期間(例えば、その乱数Rを生成した日に発行された全ての電子チケットがサーバ21に戻されて正当性が検証され終えるまでの最大期間(一例として1ヶ月間))記憶する(S2-2)。
【0052】
サーバ21は、車載コンピュータ27からIdC、IdT及びticを受信したら、受信したticの使用承認ベンダのIdVをチケット管理DB41内のチケット管理ディレクトリ43から取得し、T=h(tic‖IdC‖IdV‖IdT)を計算して(つまり、tic、dC、dV、及びdTを結合してハッシュ化して)電子チケットTを生成する(S3)。その後、Enc<PkC>T=T’を計算して(つまり電子チケットTを、IdCを持つユーザの公開鍵PkCで暗号化して)暗号化した電子チケットT’を車載コンピュータ27に送信し(S4-1)、その電子チケットT’に関連するIdC、IdT、及びticの組を、チケット管理DB41の発行済みチケット管理テーブル45に登録する(S4-2)。
【0053】
車載コンピュータ27は、暗号化された電子チケットT’を受信したら、Dec<SkC>T’=Tを計算して(つまり暗号化された電子チケットT’を、公開鍵PkCを持つユーザの秘密鍵SkCで復号して)電子チケットTを取得し保持する(S5)。
【0054】
図5は、発行された電子チケットTを車載コンピュータ27が使用するときの流れ(チケット使用シーケンス)を示す。
【0055】
車載コンピュータ27は、自動車25が走行することにより受領マシン31の通信領域に入ったときは、保持している電子チケットTを受領マシン31に送信する(S6)。具体的には、車載コンピュータ27は、T”=f(T)を計算して(つまり保持している電子チケットTをハッシュ化して)ハッシュ化した電子チケット(以下、ハッシュ化チケット)T”を生成する。また、車載コンピュータ27は、T”=f(T)を計算し始めたときの自車位置情報(以下、これを「Loc」と表記する)と、T”=f(T)を計算し始めた時に車載時計が示した日時を表すデータ作成開始日時情報(以下、これを「TS2」と表記する)と、電子チケットTとを用いて、C=g(T‖TS2‖Loc)を計算し(つまり、T、TS2、Locを結合してハッシュ化し)チケット使用証Cを生成する。そして、車載コンピュータ31は、生成したハッシュ化チケットT”及びチケット使用証Cと、予め保持しているIdCと、図4のステップS2-2で記憶したIdTとを、受領マシン31に送信する(S6)。(なお、特に図示しないが、車載コンピュータ31は、送信したT”、C、IdC及びIdTと、それらを送信したときのTS2とを組み合わせ、その組合わせを、チケット使用履歴として一定期間(例えば、送信したT”に対応する電子チケットT及びチケット使用証Cの正当性がサーバ21において検証され終えるまでの期間)保存するようにしても良い)。
【0056】
受領マシン31は、車載コンピュータ27からT”、C、IdC及びIdTを受信したら、受信したIdC及びIdTと、取り扱い対象のチケット名として予め保持しているticと、予め保持しているIdVとを用いて、f(h(tic‖IdC‖IdV‖IdT))=Yを計算し(つまりT”を算出するための計算式と同一の計算式でYを計算し)、Y=T”になるか否かをチェックする(S7)。
【0057】
受領マシン31は、Y=T”にならなければ(S8でNo)、不正があったと判定して、不正対処のための処理を実行する(S11)(例えば、T”、C、IdC及びIdTを受信した時刻を示すTS2’、自身の位置情報Loc、及び、上記受信した時刻の前後所定時間域(例えば前後2秒間)、つまり、不正が行われた可能性のある時間帯に撮影された全ての写真画像をサーバ21に送信する。それにより、サーバ21を管理する機関が、不正が行われた可能性のある時間帯及び場所で撮影された各々の写真画像に写っている自動車のナンバーから各々のユーザを特定し、特定した各々のユーザから、車載コンピュータに記録されている所定の情報(例えば乱数R)を提出してもらうことができる)。
【0058】
一方、Y=T”になれば(S8でYes)、受領マシン31は、上述したIdC、IdT、tic、及びIdVと、受領マシン31の位置情報(この位置情報は、既に述べたように、電子チケット及びチケット使用証を送信したときの自車位置情報と実質的に同一ので、自車位置情報と同一の「Loc」と表記する)と、車載コンピュータ27からデータ受信したときに受領マシン時計が示した日時を示す情報(以下、これを「TS2’」と表記する)とを用いて、チケット使用証Cの正当性の有無を検証する(S9)。具体的には、車載コンピュータ27のデータ作成開始日時情報TSと受領マシン31のチケット受信日時情報TS2’とではタイムラグがあるため、チケット使用証Cを算出するための計算式C=g(h(tic‖IdC‖IdV‖IdT)‖TS2‖Loc)のTS2を時間変数tとし、g(h(tic‖IdC‖IdV‖IdT)‖t‖Loc)=Y2を、TS2’−t’≦t<TS2’の範囲(t’は、車載コンピュータ27が送信データを作成し始めてから受領マシン31がその送信データを受信するまでにかかると推定される最大時間長)について、C=Y2になるか否かをチェックする。つまり、受領マシン31は、車載コンピュータ27から送信データを受信した日時からさかのぼって、ハッシュ値CとY2との照合を行う(S9)。なお、受領マシン31は、この照合チェックを、上述したようにTS2’−t’≦t<TS2’の範囲において行うが、時間変数tには、所定のサンプリング単位(分解能)で値を代入する(例えば、t’が100msecであって、サンプリング単位が10msecである場合には、時間変数tには、10、20、30、…、90、100というように値を代入する(つまり、この場合は、ハッシュ値CとY2との照合チェックは最高10回行われる))。
【0059】
受領マシン31は、ステップS9の照合チェックにおいて、C=Y2にならなければ(S10でNo)、不正ありと判定して上述したステップS11を実行し、C=Y2になれば(S10でYes)、正当性ありと判定して、ステップS7で受信したデータについての検証を終える。なお、図示しないが、このとき、受領マシン31は、ステップS9の検証でC=Y2になったときのY2をC”とし、時間変数tをTS2”として記憶する(更にこのとき、ステップS7で受信したデータ及びそのデータの検証に関する全データを記憶するようにしても良い)。
【0060】
図6は、受領マシン31において正当性が認められた電子チケット及びチケット使用証がサーバ21に還流(つまり送信)されるときの流れを示す。
【0061】
まず、受領マシン31が、図6に示したステップS7で受信したIdC及びIdTと、予め保持するIdV及びticとを用いて、T=h(tic‖IdC‖IdV‖IdT)を計算し電子チケットTを生成する。そして、受領マシン31は、生成した電子チケットT、それの生成に用いたIdT、受領マシンの位置情報Loc、及び上記記憶したC”とTS2”を、サーバ21に送信する(S12)。
【0062】
サーバ21は、受領マシン21からT、C”、IdT、TS2”、及びLocを受信したときは、受信したIdTに対応するIdC、IdV、及びticをチケット管理DB41内の発行済みチケット管理テーブル45から取得して、電子チケットTを生成するための計算式h(tic‖IdC‖IdV‖IdT)を計算し、その計算によって算出される値(以下、これを「Y3」と表記する)が、受領マシン21からの電子チケットTと一致するか否かをチェックする(S13)。
【0063】
このチェックにおいて、Y3=Tにならなければ(S14でNo)、サーバ21は、不正ありと判定して、不正対処のための処理を実行し(S18)、一方、Y3=Tになれば(S14でYes)、正当性ありと判定してステップS15を実行する。
【0064】
ステップS15では、サーバ21は、チケット使用証Cを生成するための計算式g(T‖TS2‖Loc)のTS2の値に、受領マシン31からのTS2”を代入し、g(T‖TS2”‖Loc)を計算して、その計算により算出される値(以下、これを「Y4」と表記する)が、受領マシン31からのC”(つまり受領マシン31が正当であるとしたチケット使用証)と一致するか否かをチェックする(S15)。
【0065】
このチェックにおいて、Y=C”にならなければ(S16でNo)、サーバ21は、不正ありと判定して、不正対処のための処理を実行し(S18)、一方、Y=C”になれば(S16でYes)、正当性ありと判定し、発行済みチケット管理テーブル45に記録されているデータのうち、ステップS13及びS15のチェックで使用された電子チケットTに関するデータ(tic、IdT、IdC、及びIdV)を削除する(S17)。特に図示しないが、ここで、削除対象のデータがなければ、サーバ21は、電子チケットの二重還流が行われたと判定し、不正対処のための処理を実行する。
【0066】
以上、上述した実施形態によれば、チケット使用シーケンスにおける通信回数は1回で済み、電子チケット及びチケット使用証の正当性の有無の検証が、電子署名の検証の1/1000程度の処理時間で済むハッシュ計算により行われている。このため、チケット使用シーケンスにかかる時間長は非常に短くて済むので、高速走行中でも電子チケットの使用による料金決済が可能になる。
【0067】
また、上述した実施形態によれば、後述するように、電子チケットの送信及び受信における日時情報から、電子チケットの二重使用を防止できる。換言すれば、車載コンピュータ27(ユーザ)と受領マシン31(商店)との間で、予め同一のチャレンジを共有しなくても、チケット使用シーケンスにおける通信回数が1回で済み且つチケットの二重使用を防止できる。このため、本実施形態では、従来のように、各々の商店がどのユーザにどのようなチャレンジが付与されたかを管理する必要がなくなるので、ITSでの高速道路料金支払いのように、同一業者に所属するどの商店でチケットが使用されるかがかわからない場合に、電子チケットの使用による料金決済を好適に行うことが可能である。
【0068】
更に、上述した実施形態によれば、(1)ユーザによる電子チケットの二重使用の防止、(2)ユーザによる電子チケットの改ざん及び偽造防止、(3)盗聴者(悪意の第三者)による盗聴チケットの使用防止、(4)盗聴者によるチケット偽造防止、(5)オフラインでの電子チケット使用、(6)不正ユーザの追跡の6つの効果を得ることができる。以下、それら6つの効果について具体的に述べる。
【0069】
(1)ユーザによる電子チケットの二重使用の防止
電子チケットの二重使用を行った場合、つまり、電子をチケット使用する時に、過去に使用した電子チケットを含む送信データと同一の送信データを車載コンピュータ27から受領マシン31に送信した場合、その送信データ内のチケット使用証に含まれるTS2は、過去に使用したときのデータ作成開始日時を示すため、そのTS2に示される日時と、受領マシン31におけるチケット使用証Cの正当性の有無の検証の際に使用されるTS2’に示される日時とでは、タイムラグが大きすぎる。このため、図5に示したステップS9及びS10において、チケット使用証の正当性が認められることはあり得ず、不正と判定される。故に、本実施形態では、電子チケットの二重使用を防ぐことができる。
【0070】
(2)ユーザによる電子チケットの改ざん及び偽造防止
電子チケットに関する情報(T、IdCなど)は、耐タンパ性を持った車載コンピュータ27に格納されるため、その情報をユーザが取得することは実質的に不可能である。また、サーバ21と車載コンピュータ27との通信路上で電子チケットを取得して改ざん又は偽造を試みることが考えられるが、サーバ21からの電子チケットは、ユーザの公開鍵PkCで暗号化されているため、その通信路上で電子チケットを取得することは実質的に不可能である。故に、本実施形態では、ユーザによる電子チケットの改ざん及び偽造を防ぐことが可能である。
【0071】
(3)盗聴者(悪意の第三者)による盗聴チケットの使用防止
正当なユーザが電子チケットを使用する際に、盗聴者が、その正当なユーザから出力された電子チケットを盗み取って、それをチケットの有効期間内(例えば、TS2に示される日時とTS2’に示される日時との差が上記t’以内)にそのまま使用したとする(以下、正当なユーザが使用した電子チケットを「正当チケット」と言い、盗聴者が使用した電子チケットを「盗聴チケット」と言う)。この場合、盗聴チケットは正当チケットと同一なので、受領マシン31では盗聴チケットでも正当性ありと判定されてしまうが、その盗聴チケットはサーバ21に送られるので、サーバ21の図6に示したステップS17において、その盗聴チケットに対応する発行済みデータは先に送られてきた正当チケットによって既に削除されているので、不正が発見される。この場合、サーバ21は、受領マシン31から受信したTS2”及びLocを基に不正が行われたと推定される日時及び場所で撮影された全ての写真画像を受領マシン31に送信してもらい、各々の写真画像に写っている自動車のナンバーから各々のユーザを特定し、特定した各々のユーザから、正当なユーザのみが知り得る乱数Rを提出させる。このとき、盗聴者は、その乱数Rを提出することができない(盗み取ったデータには乱数Rが使用されたIdTが含まれているが、IdTはハッシュ値であるため、ハッシュ関数の特性上、そのハッシュ値からはIdTを作成するときに使用された乱数Rは取得できない)。故に、本実施形態では、盗聴者による盗聴チケットの使用を防ぐことができる。
【0072】
(4)盗聴者によるチケット偽造防止
正当なユーザが電子チケットを使用する際に、盗聴者が、その正当なユーザから出力された電子チケット及びチケット使用証を盗み取って、別の日時、別の場所で使用できる電子チケットとチケット使用証を偽造する攻撃を試みたとする。しかし、電子チケット及びチケット使用証は、ハッシュ値であるため、ハッシュ関数の特性上、電子チケット及びチケット使用証に使用されたデータを取得することは不可能である。このため、別の日時、別の場所で使用できるような電子チケット及びチケット使用証を偽造することはできないので、盗聴者による電子チケットの偽造を防ぐことができる。
【0073】
(5)オフラインでの電子チケット使用
本実施形態では、車載コンピュータ27に予め電子チケットを格納しその電子チケットを使用するので、電子チケットの使用の際は、車載コンピュータ27と受領マシン31はサーバ21と通信する必要なく、各々の保持している情報に基づいて電子チケットの使用及びそれの正当性の有無の検証を行うことができる。すなわち、本実施形態では、電子チケットの使用は、オフラインで行うことができる。
【0074】
(6)不正なチケット使用をしたユーザの特定
本実施形態では、チケットの二重使用、盗聴チケットの使用等の不正なチケット使用が見つけられたときは、所定の機関(例えばサーバ21を管理する機関)が、不正な使用がされたと考えられる日時及び場所(つまり、受領マシン31から受信したTS2’に示される日時の近傍の日時及び位置情報Loc)で撮影された全ての写真画像を受領マシン31からサーバ21に送信してもらえば、各々の写真画像に写っている自動車のナンバーから各々のユーザを特定することができる。そして、上記所定の機関は、特定できた各々のユーザから、所定の情報(例えば、乱数R)を提出してもらう。このとき、提出してもらった所定の情報から得られるはずの情報が得られない等の場合には、その情報を提出したユーザを不正なチケット使用をしたユーザであると特定することができる。
【0075】
ところで、本発明には、以下のような別の実施形態が考えられる。
【0076】
例えば、第1の別の実施形態として、有料道路の入口等の所定場所に、その有料道路で有効な電子チケットを無線通信により発行するための装置(以下、「チケット発行装置」と言う)を設置し、車載コンピュータ27がチケット発行装置の通信領域に入ったときに自働的に電子チケットを発行するようにしても良い。これにより、ユーザは、チケット名を入力してチケット発行を要求するという面倒な操作をしなくても、走行している有料道路の料金決済に必要な電子チケットを取得できるので、便利である。
【0077】
また、第2の別の実施形態として、受領マシン31の通信領域が広く、電子チケット及びチケット使用証を使用するときの車載コンピュータ27の位置が複数通り考えられる場合には、受領マシン31は、その複数通りの位置情報を保持していても良い。この場合、受領マシン31は、車載コンピュータ27から電子チケット及びチケット使用証を受信したときは、チケット使用証の正当性を、それら複数通りの位置情報を用いて検証する。
【0078】
また、第3の別の実施形態として、有料道路の出口付近であって自動車の走行路上に開閉可能なゲートを設け、受領マシン31において不正なチケット使用が発覚したときは、上記ゲートを閉めて、不正なチケット使用をしたと推定される自動車が有料道路を出られないようにしても良い。
【0079】
さらに、上述した実施形態の他に、以下のバリエーションが考えられる。
【0080】
(1)ターゲットの位置及び時刻の取得方法
(i)ターゲットの位置及び時刻(例えば、ユーザが電子チケットを使用した時の位置及び時刻)は、GPS端末、携帯電話機、又はPHS端末を用いて取得することができる。具体的に言うと、GPS端末を用いる場合、GPS衛星からのGPS信号に含まれている緯度・経度情報や時刻情報をターゲットの位置及び時刻として取得することができる。携帯電話機又はPHS端末を用いる場合、携帯電話機又はPHS端末が通信している基地局の位置情報及びその基地局における時刻情報がその基地局から出力されることによりターゲットの位置及び時刻を取得することができる(なお、ターゲットの時刻は、携帯電話機又はPHS端末に内蔵されているタイマーから取得することもできる)。
【0081】
(ii)ユーザが使用する装置(上述した実施形態を例に言えば車載コンピュータ27、以下、ユーザ端末)に、位置及び時刻情報を取得する機能、すなわち、測位手段及び時刻計測手段が内蔵されることにより、ユーザ端末が自分でターゲットの位置及び時刻を取得しても良い。
【0082】
(iii)ターゲットの位置及び時刻の一方又は双方の情報が予め保持されていても良い。具体例を言うと、ユーザ端末として、記録媒体(例えば、ICカード、磁気カード等)又はその記録媒体を用いてデータを送受できる装置を採用し、その記録媒体内に、予め、電子チケットの有効な位置及び時刻の一方又は双方の情報(つまり、電子チケットを使用することができる位置及び時刻の一方又は双方の情報、以下、有効位置時刻情報)が記録されていても良い。有効位置時刻情報は、例えば、記録媒体の発行時又は電子チケットの購入時に記録される。この場合、電子チケットそれ自体に、有効位置時刻情報が埋め込まれており、その電子チケットが実際に使用されたときに、実際に使用されたときの位置及び時刻の情報と、その電子チケットに埋め込まれている有効位置時刻情報とに基づいて、その電子チケットの正当性がチェックされる。
【0083】
(2)位置・時刻取得装置
(i)位置・時刻取得装置として、ユーザ端末を採用することができる。ユーザ端末は、例えば、パーソナルコンピュータ、GPS端末、携帯電話機、PHS端末、記録媒体(例えば、接触型又は非接触型のICカード、磁気カード等)、又は、その記録媒体内のデータを送信したりその記録媒体に受信したデータを格納したりすることができる装置など、通信機能を備えた装置であればどのようなものでも良い。
【0084】
(ii)位置・時刻取得装置として、受領マシンを採用することができる。受領マシンは、例えば、POS(Point Of Sales)端末、パーソナルコンピュータ、携帯電話機、又はPHS端末など、ユーザ端末と同様に通信機能を備えた装置であればどのようなものでも良い。
【0085】
(3)正当性チェック項目
ユーザ端末から送出された位置情報及び時刻情報の少なくとも一方と、受領マシン又は/及びサーバにおける位置情報及び時刻情報の少なくとも一方とが、電子チケットの正当性をチェックするための項目として使用される。つまり、位置情報のみ、時刻情報のみ、又は、位置情報と時刻情報の双方を用いて、電子チケットの正当性がチェックされる。
【0086】
(4)正当性チェック方式
(i)電子チケットに位置・時刻情報を付加し暗号化(ハッシュ化)する方式を採用することができる。具体的な内容は、図5を参照して既に説明した通りである。
【0087】
(ii)位置・時刻情報をパラメータとして鍵を生成し、その鍵を用いて暗号化及び復号化する方式も採用することができる。これについて、具体的な例を説明する。
【0088】
チケット管理サーバにおいて管理されている各電子チケットには、上述した有効位置時刻情報(すなわち、電子チケットを使用することが可能な位置及び時刻の一方又は双方の情報)が埋め込まれている。チケット管理サーバは、電子チケットが購入されたときは、その電子チケットの有効位置時刻情報を用いて、その電子チケットに専用の鍵情報を生成し、購入された電子チケットを、生成した鍵情報を用いて暗号化してユーザ端末に送信する。なお、上記専用の鍵情報は、予め生成し保持されていても良い。また、例えば、二以上の有効位置時刻情報があるときは、例えば、各有効位置時刻情報を用いて電子チケットを暗号化し、暗号化された二以上の電子チケットを一つの電子チケットとして管理し、その電子チケットが購入されたときは、二以上の暗号化された電子チケットをユーザ端末に送信する。
【0089】
購入された電子チケットが使用されたときは、その電子チケットが使用された時の位置及び時刻の一方又は双方の情報(以下、使用時位置時刻情報)と、上記専用の鍵情報で暗号化されている電子チケットとが、ユーザ端末から受領マシンに送信される。
【0090】
受領マシンは、ユーザ端末からの上記暗号化されている電子チケットを、IdVを使ってその場で生成できる専用の鍵情報を用いて復号化する。そして、受領マシンは、復号化された電子チケットに埋め込まれている有効位置時刻情報と、ユーザ端末から受信した使用時位置時刻情報とに基づいて、その電子チケットの正当性をチェックする(例えば、二以上の暗号化されている電子チケットがある場合には、二以上の電子チケットの各々に対して復号化を試みて、復号化に成功した電子チケットがあったときに正当だと判断される)。
【0091】
この流れによれば、電子チケットを暗号化及び復号化するための専用の鍵情報は、ユーザ端末には送信されない。このため、暗号化されている電子チケットをユーザ端末において復号化して改ざんする等の不正行為が行なわれることを未然に防ぐことができる。
【0092】
(5)電子チケットの正当性チェックの目的又は用途
(i)電子チケットが、例えば、商品又はサービスを利用(又は購入)するために必要なものである場合は、商品又はサービスを利用(又は購入)する権限の有無を判断するために、電子チケットの正当性がチェックされる。この場合は、例えば、受領マシンが電子チケットを受領した時に、電子チケットの正当性がチェックされる。
【0093】
(ii)電子チケットが、例えば、所定の認証(例を挙げると、個人認証、特定の権限を持っていること、又は、特定の会員であるかことの認証等)のために必要なものである場合は、正確な認証を行うために、電子チケットの正当性がチェックされる。この場合は、例えば、その認証を行う時に、電子チケットの正当性がチェックされる。
【0094】
(iii)電子チケットが、例えば、何らかのリソース(例を挙げると、ディレクトリ、Webページ等)へのアクセスを制御するために必要なものであれば、そのアクセスの制御のために、電子チケットの正当性がチェックされる。それの正当性のチェックの結果によって、或るリソースにはアクセス許可し、別のリソースにはアクセス許可しない等のアクセス制御が行われる。この場合、例えば、リソースへのアクセス要求を受けたときに、電子チケットの正当性がチェックされる。
【0095】
(6)正当性チェック場所
(i)受領マシン(例えば、POS端末等)において、電子チケットの正当性をチェックすることができる。具体的には、例えば、受領マシンが、ユーザ端末から電子チケットを受信した時に、使用時位置時刻情報と、有効位置時刻情報とに基づいて、電子チケットの正当性をチェックすることができる。ここで、「使用時位置時刻情報」は、受領マシンの機能により取得した情報であっても良いし、所定の装置(例えばユーザ端末)から受信した情報であっても良い。また、「有効位置時刻情報」は、ユーザ端末から受信した電子チケットに埋め込まれている情報であっても良いし、受領マシンの機能によって取得した情報であっても良い。
【0096】
(ii)チケット管理サーバにおいても、電子チケットの正当性をチェックすることができる。これにより、以下のような利点がある。
【0097】
すなわち、正当なユーザが電子チケットを使用する際に、盗聴者(すなわち悪意の第三者)が、その正当なユーザから出力された電子チケットを盗み取って、それをチケットの有効期間内(例えば、正当なユーザとほとんど同時)に使用したとする(以下、正当なユーザが使用した電子チケットを「正当チケット」と言い、盗聴者が使用した電子チケットを「盗聴チケット」と言う)。この場合、盗聴チケットは正当チケットと同一なので、受領マシン31では盗聴チケットでも正当性ありと判定されてしまう。この場合、盗聴チケットも正当チケットも、チケット管理サーバに送られ、チケット管理サーバでは、盗聴チケット及び正当チケットのうちの先に受信した一方のチケットによって、そのチケットに対応する発行済みデータは使用済みを示すデータに変更される。その後に、チケット管理サーバは、他方のチケットを受信する。
【0098】
しかし、他方のチケットを受信しても、そのチケットに対応する発行済みデータは、先に受信した一方のチケットによって使用済みデータに変更されているため存在しないので、チケット管理サーバは、その他方のチケットか又は先に受信した一方のチケットが不正なチケットであるかを判別することができる。なお、一方のチケットにも他方のチケットにも、上記実施形態で説明したように、ハッシュ化された乱数Rが含まれており、且つ、ハッシュ化された乱数Rは、チケット管理サーバにおいて管理されている。
【0099】
この場合、チケット管理サーバは、一方のチケットの送信元のユーザ端末と、他方のチケットの送信元のユーザ端末の両方から、乱数Rを提出してもらう(上記実施形態では、既に説明したように、不正が行われたと推定される日時及び場所で撮影された全ての写真画像を受領マシンに送信してもらい、各々の写真画像に写っている自動車のナンバーから各々のユーザを特定し、特定した各々のユーザから乱数Rを提出してもらう)。このとき、盗聴者であれば、正当な乱数Rを提出することができない。なぜなら、盗み取ったデータにはハッシュ化された乱数Rが含まれているが、ハッシュ関数の特性上、そのハッシュ化された乱数Rからはハッシュ化前の乱数Rを知ることはできないからである。
【0100】
従って、チケット管理サーバにおいて電子チケットの正当性をチェックするようにすれば、盗聴者によって盗聴チケットが使用されてもそれを検出し且つ盗聴者を特定することができるので、盗聴チケットの使用を抑制することができる。
【0101】
(iii)受領マシン、及びチケット管理サーバ以外の装置(例えば、所定の機関に設置されているコンピュータシステム)が、電子チケットの正当性をチェックするようにしても良い。
【0102】
以上、本発明の好適な幾つかの実施形態を説明したが、これらは本発明の説明のための例示であって、本発明の範囲をこれらの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。
【図面の簡単な説明】
【図1】チャレンジ・レスポンス方式を用いた従来のチケット使用シーケンスを示す図。
【図2】本発明をITSに適用した一実施形態に係るシステムのブロック図。
【図3】本実施形態に係るシステムにおける流れを説明するにあたってのノーテーションを示す図。
【図4】車載コンピュータが電子チケットの発行をサーバに要求してからその電子チケットをサーバから受取るまでの流れを示す図。
【図5】発行された電子チケットを車載コンピュータが使用するときの流れ(チケット使用シーケンス)を示す図。
【図6】受領マシンにおいて正当性が認められた電子チケット及びチケット使用証がサーバに還流されるときの流れを示す図。
【符号の説明】
2 インターネット
21 電子チケット管理サーバシステム
25 自動車
27 車載コンピュータ
29 有料道路
31 電子チケット受領マシン
41 チケット管理DB
43 チケット管理ディレクトリ
45 発行済みチケット管理テーブル

Claims (4)

  1. 電子チケットを発行するチケット発行システムと、前記チケット発行システムが発行した電子チケットを取得し前記取得した電子チケットを送出するユーザ端末と、前記ユーザ端末が送出した電子チケットを受信するチケット受領マシンと、を備えた電子チケット使用支援システムであって、
    前記ユーザ端末は、
    前記電子チケットを送信するときに、前記ユーザ端末側の日時を示すデータ作成開始日時情報と前記電子チケットとに対して一方向性関数を適用してチケット使用証を生成するチケット使用証生成手段と、
    電子チケットと、前記チケット使用証生成手段が生成した前記チケット使用証とをチケット受領マシンへ送信する手段と、を備え、
    前記チケット受領マシンは、
    前記ユーザ端末から前記チケット使用証と前記電子チケットとを受信する手段と、
    前記チケット受領マシン側で受信した日時前の所定の時間範囲を予め定められた所定のサンプリング単位でサンプリングすることによって得られる複数の日時情報が代入される時間変数であるチケット受信日時情報及び受信した前記電子チケットを含む情報に対して前記一方向性関数を適用して演算を行う演算手段と、
    前記チケット受信日時情報に代入される前記いずれかの日時情報における前記演算手段の演算結果が、受信した前記チケット使用証に一致するか否かを判定する判定手段と、
    前記判定手段によって一致する場合に、前記電子チケットが正当であるとして検証を行う検証手段と、
    を備えたことを特徴とする電子チケット使用支援システム。
  2. 前記チケット使用証生成手段は、前記チケット使用証を生成する際に、前記電子チケットと前記データ作成開始日時情報とに前記ユーザ端末の位置情報を加えて、前記一方向性関数を適用してチケット使用証を生成し、
    前記演算手段が、
    前記電子チケットと前記チケット受信日時情報とに前記チケット受領マシンの位置情報を加えて、前記一方向性関数を適用して演算を行うことを特徴とする請求項1に記載の電子チケット使用支援システム。
  3. 前記電子チケットには、前記電子チケットを使用可能な位置情報あるいは時刻情報のいずれか一方、または位置情報と時刻情報の双方を有する有効位置時刻情報が関連付けられており、
    前記検証手段は、
    前記判定手段によって一致する場合に、さらに、前記電子チケットが使用された位置情報あるいは時刻情報のいずれか一方、または位置情報と時刻情報の双方を有する使用時位置情報と、受信した前記電子チケットに関連付けられている前記有効位置情報とに基づき前記電子チケットが正当であるとして検証を行うことを特徴とする請求項1または2に記載の電子チケット使用支援システム。
  4. 電子チケットを発行するチケット発行システムと、ユーザ識別情報を記憶するユーザ端末と、ベンダ識別情報を記憶するチケット受領マシンとを備えた電子チケット使用支援システムであって、
    前記チケット発行システムは、
    前記ベンダ識別情報と前記ユーザ識別情報と第1の一方向性関数を適用して電子チケットを生成する手段を備え、
    前記ユーザ端末は、
    前記チケット発行システムから前記電子チケットを受信する受信手段と、
    前記電子チケットに第2の一方向性関数を適用し、ハッシュ化された電子チケットを生成する電子チケット生成手段と、
    前記電子チケットに第2の一方向性関数を適用するときに、前記ユーザ端末側の日時を示すデータ作成開始日時情報と前記電子チケットとを含む情報に対して第3の一方向性関数を適用してチケット使用証を生成するチケット使用証生成手段と、
    内部に記憶している前記ユーザ識別情報と、前記ハッシュ化された電子チケットと、前記チケット使用証とをチケット受領マシンへ送信する手段と、を備え、
    前記チケット受領マシンは、
    前記ユーザ端末から前記ユーザ識別情報と、前記ハッシュ化された電子チケットと、前記チケット使用証とを受信する手段と、
    受信したユーザ識別情報と、内部に記憶している前記ベンダ識別情報とを含む情報に対して前記第1の一方向性関数を適用して演算を行う第1の演算手段と、
    前記第1の演算手段によって算出された第1の演算結果に対して前記第2の一方向性関数を適用する第2の演算手段と、
    前記第2の演算手段によって算出された第2の演算結果と、前記ハッシュ化された電子チケットが一致するか否かを判定する第1の判定手段と、
    前記第1の判定手段によって一致すると判定された場合に、前記チケット受領マシン側で受信した日時前の所定の時間範囲を予め定められた所定のサンプリング単位でサンプリングすることによって得られる複数の日時情報が代入される時間変数であるチケット受信日時情報及び前記第1の演算結果を含む情報に対して前記第3の一方向性関数を適用して演算を行う第3の演算手段と、
    前記チケット受信日時情報に代入される前記いずれかの日時情報における前記第3の演算手段の演算結果が、受信した前記チケット使用証に一致するか否かを判定する第2の判定手段と、
    前記第2の判定手段によって一致すると判定された場合に、前記電子チケットが正当であるとして検証を行う検証手段と、
    を備えたことを特徴とする電子チケット使用支援システム。
JP2002059821A 2001-03-19 2002-03-06 電子チケット使用支援システム Expired - Lifetime JP3693969B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002059821A JP3693969B2 (ja) 2001-03-19 2002-03-06 電子チケット使用支援システム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-79480 2001-03-19
JP2001079480 2001-03-19
JP2002059821A JP3693969B2 (ja) 2001-03-19 2002-03-06 電子チケット使用支援システム

Publications (2)

Publication Number Publication Date
JP2002352163A JP2002352163A (ja) 2002-12-06
JP3693969B2 true JP3693969B2 (ja) 2005-09-14

Family

ID=26611599

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002059821A Expired - Lifetime JP3693969B2 (ja) 2001-03-19 2002-03-06 電子チケット使用支援システム

Country Status (1)

Country Link
JP (1) JP3693969B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006013816A1 (ja) * 2004-08-06 2006-02-09 Masaya Ota 認証システム、音出力端末、情報処理装置、サーバ装置および認証方法
KR20060034464A (ko) 2004-10-19 2006-04-24 삼성전자주식회사 사용자의 익명성을 보장하는 디지털 티켓을 이용한전자상거래 방법 및 장치
JP2006202192A (ja) * 2005-01-24 2006-08-03 Oki Electric Ind Co Ltd 自動取引システム
JP2006311251A (ja) * 2005-04-28 2006-11-09 Kts:Kk 有料番組視聴システム
JP2009135722A (ja) * 2007-11-30 2009-06-18 Kddi Corp コンテンツ管理システム、コンテンツ管理方法およびプログラム
US10713675B2 (en) 2012-09-28 2020-07-14 Intel Corporation Systems and methods for generation of incentive offers for on-road users
WO2023053276A1 (ja) * 2021-09-29 2023-04-06 日本電気株式会社 判定システム、判定方法、および、プログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3328126B2 (ja) * 1995-12-01 2002-09-24 株式会社日立製作所 通行料金自動徴収システムの不正防止方法
US6085320A (en) * 1996-05-15 2000-07-04 Rsa Security Inc. Client/server protocol for proving authenticity
JPH1056449A (ja) * 1996-08-09 1998-02-24 Oki Electric Ind Co Ltd セキュリティ強化システム
JP3828235B2 (ja) * 1997-03-31 2006-10-04 株式会社東芝 料金収受システム
JP3791131B2 (ja) * 1997-07-14 2006-06-28 富士ゼロックス株式会社 電子チケットシステム
JP2000048230A (ja) * 1998-07-27 2000-02-18 Toshiba Corp 無線料金収受システム
JP3015362B1 (ja) * 1998-12-25 2000-03-06 松下電器産業株式会社 Etc認証システム及び認証方法

Also Published As

Publication number Publication date
JP2002352163A (ja) 2002-12-06

Similar Documents

Publication Publication Date Title
AU2007345585B2 (en) Signature based negative list for off line payment device validation
EP3688961B1 (en) Federated closed-loop system
JP2006521724A (ja) セキュア・テレマティクス
JP2005509231A (ja) ストアドバリューデータオブジェクト安全管理のシステムおよび方法ならびにそのシステム用ユーザ装置
US20190108690A1 (en) Systems for counting passengers
US20140316992A1 (en) Method for charging an onboard-unit with an electronic ticket
JP3693969B2 (ja) 電子チケット使用支援システム
JPH09297789A (ja) 電子商取引決済管理システム及び方法
US20240048395A1 (en) Method and system for authentication credential
JP2004139380A (ja) 車載器のセットアップ方法、車載器のセットアップシステム及び車載器
JP2001216360A (ja) 予約証明証発行装置および方法
JP3659090B2 (ja) 電子情報流通システム及び電子情報流通プログラムを格納した記憶媒体及び電子情報流通方法
Anglès–Tafalla et al. Secure and privacy-preserving lightweight access control system for low emission zones
Borges et al. Parking tickets for privacy-preserving pay-by-phone parking
Jardí-Cedó et al. Privacy-preserving electronic toll system with dynamic pricing for low emission zones
Dzurenda et al. Privacy-preserving online parking based on smart contracts
Castella-Roca et al. Secure and anonymous vehicle access control system to traffic-restricted urban areas
JP2001331646A (ja) 指紋照合を利用した金融取引システムおよび金融取引方法
WO2012131029A1 (en) Vehicle usage verification system
Anglés-Tafalla et al. Security and privacy in a blockchain-powered access control system for low emission zones
CN116349198B (zh) 用于认证凭证的方法和系统
Matsuo et al. Electronic ticket scheme for its
Payeras-Capella et al. Implementation And Evaluation Of The mCityPASS Protocol For Secure And Private Access To Associated Touristic Services
JP6929065B2 (ja) 精算システム
JP3639769B2 (ja) 情報発行システム及び情報発行方法

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20040521

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20040526

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20041027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050622

R150 Certificate of patent or registration of utility model

Ref document number: 3693969

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080701

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090701

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090701

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100701

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110701

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110701

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120701

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120701

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130701

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term