JP3723429B2 - History storage device, verification device, and electronic rights distribution system - Google Patents
History storage device, verification device, and electronic rights distribution system Download PDFInfo
- Publication number
- JP3723429B2 JP3723429B2 JP2000241576A JP2000241576A JP3723429B2 JP 3723429 B2 JP3723429 B2 JP 3723429B2 JP 2000241576 A JP2000241576 A JP 2000241576A JP 2000241576 A JP2000241576 A JP 2000241576A JP 3723429 B2 JP3723429 B2 JP 3723429B2
- Authority
- JP
- Japan
- Prior art keywords
- history
- service
- date
- unit
- expiration date
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、利用者に提供するサービスで回数制限が設けられているもの、例えば優待券利用、バーゲン品購入、試供品引換、人気コンサートチケット購入、アンケート回答、人気投票等をICカード等の耐タンパ装置を用いて制限回数を超えて不正にサービスを受けることを防止するための方法とその装置に関するものである。
【0002】
【従来の技術】
近年、紙で流通しているチケットやクーポンを電子化して、ネットワーク上で流通させる電子権利流通システムが多数提案されている。例えば、特願2000−038875号のように、ICカード等の耐タンパ装置を使用して、偽造、改ざん、二重使用を防止し、安全に流通させるための方法や、特開2000−123095号のように、多様な種別のチケットやクーポンを共通の装置で流通させるための方法に関するもの等がある。
【0003】
しかし、これら従来の二重使用を防止する電子権利流通システムは、一旦発行された一枚の電子権利の二重使用を防止可能にするものであって、バーゲン品の購入あるいは試供品の受け取りを一人一つ限り等に制限することや、人気投票において同一人物が複数回投票券を取得して二重に投票することを防止する方法を提供するものではない。
【0004】
同じ利用者によって同じ種類の権利が制限回数以上行使されることを防止する第一の方法としては、電子権利の発行システムにおいて電子権利の発行履歴をデータベースに保存し、発行時にこのデータベースを参照して同一の利用者に対して制限回数を超えて電子権利を発行しないように制御するという方法がある。
【0005】
しかし、この方法でチェックが可能になるのは発行時だけであるため、譲渡が許されている電子権利の場合には効果がない。例えば、紙のチケットと同様に多くのアルバイトを雇って電子チケットの買い占めを行い、別の利用者に高く販売する、いわゆるダフ行為は防止できない。
【0006】
また、同様の方法として、電子権利の改札履歴をデータベースに保存し、発行時ではなく改札時にこのデータベースを参照して同一の利用者に対して制限回数を超えて電子権利を改札しないように制御するという方法もある。
【0007】
しかし、この方法でも、発行時のチェックと同様に譲渡が許されている電子権利の場合には効果がない。また、ネットワークに接続してデータベースにアクセスすることが必要となるため、高速な改札が要求される応用では、適用することが困難な場合があった。
【0008】
そこで、これらの問題を解決するための第二の方法としては、これらの各権利の行使あるいはサービスの提供の履歴を利用者自身が保有するICカード等の耐タンパ装置に記録し、サービスを提供する際に利用者にICカードの提示を求め、提示されたICカードの履歴を調べることにより既に制限回数を超えていないかを確認する方法が考えられる。
【0009】
この方法ではオフライン環境であっても高速に確認できるが、使用履歴が単調に増加していくため、ICカードのように記憶容量が小さい装置では、記憶領域がすぐに一杯になってしまうという問題があった。
【0010】
【発明が解決しようとする課題】
本発明は、以上の問題点を解決するためのものであり、例えば試供品引換、優待券利用、バーゲン品購入、人気コンサートチケット購入、アンケート回答、人気投票等のように、一利用者が一定期間内に受けられるサービスに回数制限が設けられる場合に、この制限を超えているかどうかをオフラインで確実にチェックする方法と装置を提供することを目的としており、特に、上記第二の方法によって利用者自身が保持するICカード等の耐タンパ装置にサービス提供の履歴を記録する方法において、不要な履歴を安全に削除する機能を提供することにより必要となる記憶容量を削減することにある。
【0011】
【課題を解決するための手段】
前記目的を達成するため、本発明の請求項1では、サービス有効期限とサービス識別子と累積サービス回数を含む履歴データのリストを蓄積する履歴蓄積部と、第1の日付データを格納するカウンタ部とを有し、サービス有効期限とサービス識別子を含む履歴記録要求を受信する手段と、前記サービス有効期限が前記第1の日付データより大きいか比較する手段と、大きい場合に前記サービス有効期限とサービス識別子を含む履歴データを前記履歴蓄積部に格納する手段と、前記履歴記録要求の処理結果を送信する手段と、第2の日付データを含む履歴消去要求を受信する手段と、第2の日付データが第1の日付データよりも大きいか比較する手段と、大きい場合に第2の日付データをカウンタ部に格納する手段と、第2の日付データより小さい有効期限を有する履歴データを履歴蓄積部から削除する手段と、前記履歴消去要求の処理結果を送信する手段とを備えたことを特徴とする履歴蓄積装置を提案する。
【0012】
前記構成によれば、サービス有効期限が第1の日付データより大きい場合のみ履歴データが記録または更新されて履歴記録要求の処理結果が返却され、サービス提供の可否の判断が可能になり、また、第2の日付データが第1の日付データよりも大きい場合のみ第2の日付データより小さい有効期限を有する履歴データが削除されるため、サービスの回数制限をオフラインで確実にチェックできるとともに不要な履歴データのみを安全に削除できる。
【0013】
また、本発明の請求項2では、請求項1に記載の履歴蓄積装置において、前記履歴記録要求はチャレンジを含み、履歴蓄積装置の鍵により前記サービス有効期限と前記サービス識別子とチャレンジを含むデータに対してディジタル署名を行う署名生成手段を備え、前記履歴記録要求の処理結果は、前記ディジタル署名を含むことを特徴とする履歴蓄積装置を提案する。
【0014】
前記構成によれば、前述した履歴蓄積装置がディジタル署名を付与された履歴記録要求の処理結果を生成でき、前記処理結果の不正な改ざん防止が可能になる。
【0015】
また、本発明の請求項3では、履歴蓄積装置と接続する接続手段と、サービスの有効期限を記録する有効期限記録部と、サービスの識別子を記録するサービスID記録部とを有し、該有効期限記録部及びサービスID記録部からサービス有効期限及びサービス識別子を取得し、履歴蓄積装置に前記サービス有効期限とサービス識別子を含む履歴記録要求を送信する手段と、前記履歴記録要求に対し、履歴蓄積装置において前記サービス有効期限と直前の履歴消去日付とどちらが大きいかを比較し、有効期限の方が大きい場合に前記サービス有効期限とサービス識別子と当該サービスを過去に何回受けたかを示す累積サービス回数を含む履歴データを記録する処理を行った結果を該履歴蓄積装置から受信する手段と、前記履歴記録要求の処理結果を表示部に表示する手段とを備えたことを特徴とする検証装置を提案する。
【0016】
前記構成によれば、前述した履歴蓄積装置の履歴データを取得でき、サービス提供の可否を確実にチェックできる。
【0017】
また、本発明の請求項4では、請求項3に記載の検証装置において、サービスの有効期限を記録する有効期限記録部と、サービスの識別子を記録するサービスID記録部と、チャレンジを生成する乱数生成部とを有し、該有効期限記録部及びサービスID記録部からサービス有効期限及びサービス識別子を取得し、履歴蓄積装置に前記サービス有効期限とサービス識別子と前記乱数生成部で生成されたチャレンジを含む履歴記録要求を送信する手段と、前記履歴記録要求に対し、履歴蓄積装置において前記サービス有効期限と直前の履歴消去日付とどちらが大きいかを比較し、有効期限の方が大きい場合に前記サービス有効期限とサービス識別子と当該サービスを過去に何回受けたかを示す累積サービス回数を含む履歴データを記録し、前記サービス有効期限とサービス識別子と当該サービスを過去に何回受けたかを示す累積サービス回数とチャレンジを含むデータに対して当該履歴蓄積装置の鍵によりディジタル署名する処理を行った結果を該履歴蓄積装置から受信する手段と、前記履歴記録要求の処理結果に含まれるディジタル署名を検証する署名検証手段とを備えたことを特徴とする検証装置を提案する。
【0018】
前記構成によれば、前述した履歴蓄積装置が生成した履歴記録要求の処理結果に付与されたディジタル署名を検証でき、前記処理結果の不正な改ざん防止が可能になる。
【0019】
また、本発明の請求項5では、前記請求項3又は4に記載の検証装置において、現在の日付データを生成するタイマ部を有し、該タイマ部から現在の日付データを取得し、該現在の日付データより一日乃至一週間程度前の新たな履歴消去日付を含む履歴消去要求を送信する手段と、前記履歴消去要求に対し、履歴蓄積装置において前記新たな履歴消去日付と直前の履歴消去日付とどちらが大きいかを比較し、新たな履歴消去日付の方が大きい場合に該新たな履歴消去日付より以前の履歴データを消去する処理を行った結果を該履歴蓄積装置から受信する手段と、前記履歴消去要求の処理結果を表示部に表示する手段とを備えたことを特徴とする検証装置を提案する。
【0020】
前記構成によれば、前述した履歴蓄積装置中の不要な履歴データのみを安全に削除できる。
【0021】
また、本発明の請求項6では、発行装置と電子財布装置と改札装置とから構成される電子権利流通システムにおいて、発行装置は請求項3乃至5いずれかに記載の検証装置を含み、電子財布装置は請求項1又は2に記載の履歴蓄積装置を含み、また、発行装置は履歴記録要求を電子財布装置に送信する手段を有し、また、電子財布装置は前記履歴記録要求に基づき履歴データをその履歴蓄積部に記録する処理を行った際の累積回数を含む処理結果を発行装置に送信する手段を有し、また、発行装置は前記処理結果を検証し、累積回数が指定された回数制限以下であるという制約条件を充足しているか検証する手段と、制約条件を充足している時にのみ電子権利を発行する手段とを有することを特徴とする電子権利流通システムを提案する。
【0022】
前記構成によれば、サービスの利用回数に制限があるような電子権利を安全に発行させることが可能になる。
【0023】
また、本発明の請求項7では、請求項6に記載の電子権利流通システムにおいて、電子財布装置はさらに請求項3乃至5いずれかに記載の検証装置を含み、また、電子財布装置は履歴記録要求を譲渡先の電子財布装置に送信する手段と、履歴記録要求に基づき履歴データをその履歴蓄積部に記録する処理を行った際の累積回数を含む処理結果を譲渡元の電子財布装置に送信する手段と、前記処理結果を検証し、累積回数が指定された回数制限以下であるという制約条件を充足しているか検証する手段と、制約条件を充足している時にのみ電子権利を譲渡先の電子財布装置に移動する手段とを有することを特徴とする電子権利流通システムを提案する。
【0024】
前記構成によれば、サービスの利用回数に制限があるような電子権利を安全に譲渡させることが可能になる。
【0025】
また、本発明の請求項8では、発行装置と電子財布装置と改札装置とから構成される電子権利流通システムにおいて、改札装置は請求項3乃至5いずれかに記載の検証装置を含み、電子財布装置は請求項1又は2に記載の履歴蓄積装置を含み、また、改札装置は履歴記録要求を電子財布装置に送信する手段を有し、また、電子財布装置は前記履歴記録要求に基づき履歴データをその履歴蓄積部に記録する処理を行った際の累積回数を含む処理結果を改札装置に送信する手段を有し、また、改札装置は前記処理結果を検証し、累積回数が指定された回数制限以下であるという制約条件を充足しているか検証する手段と、制約条件を充足している時にのみ電子権利を改札する手段とを有することを特徴とする電子権利流通システムを提案する。
【0026】
前記構成によれば、サービスの利用回数に制限があるような電子権利を安全に改札させることが可能になる。
【0027】
【発明の実施の形態】
[実施の形態1]
図1は、利用者が行った行為の履歴を格納する、本発明の履歴蓄積装置の実施の形態の一例を示す構成図である。
【0028】
本発明では、この履歴蓄積装置は行政機関やクレジットカード発行機関等によって各利用者に一個ずつ配布されるものとする。同一の利用者に対して複数個配布しないようにするためには、免許証、保険証、指紋等を提示させ、既に配布していないかをチェックする等の方法がある。
【0029】
図1に示すように、履歴蓄積装置10は、接続部11、履歴記録部12、署名生成部13、カウンタ部14、加算部15、履歴消去部16および履歴蓄積部17から構成される。
【0030】
接続部11は、後で述べる検証装置とデータの授受を行う部分である。履歴記録部12は、接続部11から受信した履歴記録要求に基づき履歴を記録する部分である。署名生成部13は、この履歴蓄積装置が保有する秘密鍵によりディジタル署名を生成する部分である。
【0031】
カウンタ部14は、履歴消去日付を格納する部分であり、後で詳しく述べるように履歴消去要求によって指定された日付データが格納される。加算部15は、カウンタ部14の値を増加させる部分である。履歴消去部16は、接続部11から受信した履歴消去要求に基づき履歴を消去する部分である。
【0032】
履歴蓄積部17は、履歴データを蓄積する部分であり、蓄積される履歴データの一例を図2に示す。図2に示すように、履歴蓄積部17には、<有効期限、サービスID、累積回数>の3つの組を含む履歴データの集合が格納される。
【0033】
サービスID(SID)は、サービス提供者が利用者に対して提供するサービスを識別するための識別子であり、例えば特定の試供品の引換、特定のバーゲン品の購入、特定の人気投票等を識別するための識別子であり、サービス提供者によって付与される。
【0034】
また、人気コンサートチケットの購入枚数の制限という例においても制限を与える範囲、対象によって様々なSIDの付与方法がある。例えば、ある特定のアーティストがある特定の年に開催するイベントに対して全てに同じSIDを付与しても良いし、ある特定のアーティストの特定の日時に開催されるイベントに対して同じSIDを付与しても良い。さらには、全てのイベントに対して異なるSIDを付与しても良い。
【0035】
このようにSIDは基本的にサービス提供者の意図によって自由に設定することができる。但し、異なる事業者間で同じSIDが使用されることを防止するため、本実施の形態では、サービス提供者の秘密鍵とサービス提供者が特定のサービスに対して付与した識別子との連結に対するハッシュ値を利用するものとする。
【0036】
なお、別の実施の形態としては、IETFで標準化されているURI(Internet Resource Identifier)の形式で付与し、各事業者が管理しているドメインネームをそのURIに含めることで、同じSIDが使用されるのを防いでも良い。
【0037】
有効期限はSIDによって指定されるサービスが有効な期限であり、本実施の形態ではSID毎に一意の有効期限が与えられるものとする。例えば、バーゲン品の購入の場合にはその購入期限、人気投票の場合には投票期限がそれに相当する。
【0038】
累積回数はSIDによって指定されるサービスを過去何回受けたかを記録する領域であり、サービスを受ける度に1増加する。
【0039】
履歴蓄積装置10は、基本的に履歴記録要求と履歴消去要求の2つの要求を受け付ける。これらの要求は、接続部11によって検証装置から受信し、それぞれ履歴記録部12および履歴消去部16で処理される。履歴記録要求を受け取った場合の履歴記録部12の処理フローを図3に示す。履歴消去要求を受け取った場合の履歴消去部16の処理フローを図4に示す。
【0040】
履歴記録部12は次のようなフローで履歴記録要求を処理する(図3)。
【0041】
(1)接続部11から有効期限D、サービスID(SID)、チャレンジCを含む履歴記録要求Record(D,SID,C)を受信する(s1)。なお、チャレンジCは検証装置によって生成される乱数等である。
【0042】
(2)Dと、カウンタ部14に格納されている履歴消去日付とどちらが大きい(どちらが新しい)か比較し(s2)、Dの方が小さい(古い)場合には、例外終了する。
【0043】
(3)履歴蓄積部17から同じD,SIDを有する履歴データを検索する(s3)。
【0044】
(4)上記(3)により既に履歴データ<D,SID,N>が存在した場合(s4)には、累積回数NをN+1に加算して履歴データを更新する(s5)。
【0045】
(5)上記(3)により履歴データが存在しなかった場合には、新しい履歴データとして<D,SID,1>を履歴蓄積部17に記録する(s6)。
【0046】
(6)上記(5)において履歴蓄積部17の容量不足のため、履歴が記録できなかった場合(s7)には、履歴域不足例外を発生し終了する。
【0047】
(7)DとSIDとNとCの連結を署名生成部13へ送り、履歴蓄積装置10が保有する秘密鍵Kにより、署名SK(D‖SID‖C‖N)を生成する(s8)(但し、履歴データが存在しなかった場合(上記(4))はN=0とする)。
【0048】
(8)接続部11により要求元に対してNとSK(D‖SID‖C‖N)を送信(返却)する(s9)。
【0049】
なお、過去のサービス提供回数を調べるだけで履歴を追加しない履歴参照要求を備えても良いが、本実施の形態では、履歴記録要求の処理結果で過去のサービス提供回数を返すことで、その機能を包含するようにした。しかし、上記履歴参照要求は上記(4),(5),(6)のステップを省略することで容易に実現できる。
【0050】
上記の履歴記録要求を受信し上記のように処理すると、履歴データが単調に増加し、ICカード等の記憶容量が小さい装置では、すぐに記憶領域が一杯になってしまうという問題がある。そこで本発明では、図4に示すフローで有効期限を過ぎた履歴を削除する機能を持たせ、電子媒体の永続的な取引を可能にする。
【0051】
履歴消去部16は、次のようなフローで履歴消去要求を処理する(図4)。
【0052】
(1)接続部11から履歴消去日付D1を含む履歴消去要求Clear(D1)を受信する(s11)。履歴消去日付は過去に履歴消去要求によって指定された履歴消去日付より後であり、かつ現在日付より以前である値を指定されるものとする。例えば、検証装置等により現在日付より一日乃至一週間程度前の日付を指定すれば良い。
【0053】
(2)カウンタ部14に記録されている以前に与えられた履歴消去日時D0を取得してD1と比較し、D1がD0以下の時は例外を発生させる(s12)。
【0054】
(3)X=D1−D0を計算し、加算部15でカウンタ部14にXを加算する(s13)。これによってカウンタ部14に記録される履歴消去日時はD1となる。カウンタ部14に対する演算はこのように加算しかなく、減算は存在しない一方向性のものとする。カウンタをこのように増加のみ設定可能とする方法としては、例えば、特許第1884135号等に記載された専用回路を使う方法やROMに書き込まれたソフトウェアによって実現する方法等がある。
【0055】
(4)履歴蓄積部17に格納された履歴データの中で、上記D1より以前の履歴データを検索し、消去する(s14)。
【0056】
(5)接続部11により要求元に対して正常終了を送信する(s15)。
【0057】
上記のステップにより、悪意のある利用者が上記(1)のステップで将来の日付を履歴消去日付として与えて履歴消去要求を行い取引履歴を消去すると、カウンタ部14に記録されている履歴消去日時が将来の日付となるため、再度、同じ履歴を格納しようとしても、図3に示した履歴記録要求のフローのステップ(2)により例外終了するため、不正があったことを検出することができる。また、カウンタ部14に記録されている履歴消去日時を過去の日付に戻そうとしても、前述したようにカウンタ部14の値は減算することができないので、このような不正を防止できる。
【0058】
図5は、サービス提供者がサービスを提供する前に利用者から提示された履歴蓄積装置を検証し、サービスを提供して良いか判断するための、本発明の検証装置の実施の形態の一例を示す構成図である。
【0059】
図5に示すように、検証装置20は、乱数生成部21、サービスID記録部22、有効期限記録部23、検証制御部24、署名検証部25、履歴消去制御部26、タイマ部27、接続部28および表示部29から構成される。
【0060】
乱数生成部21は、履歴蓄積装置10を認証するためのチャレンジを生成するための部分である。サービスID記録部22および有効期限記録部23は、それぞれ検証装置20が検証したいサービスに対するサービスIDおよび有効期限を記録する部分である。検証制御部24は、検証処理を制御する部分である。
【0061】
署名検証部25は、履歴蓄積装置10から送信された署名データを検証し履歴蓄積装置10を認証する部分である。履歴消去制御部26は、履歴消去要求を生成し送信する部分である。タイマ部27は、現在時刻を生成する部分である。接続部28は、履歴蓄積装置10と接続する部分である。表示部29は、検証者および利用者に対してサービスを提供できるかどうかを表示する部分である。
【0062】
図6に検証装置による検証処理フローを示す。検証制御部24は次のフローで履歴蓄積装置10に記録された履歴を調べ、サービスを提供して良いか検証する。
【0063】
(1)履歴蓄積装置10を検証装置20に接続する(s21)。履歴蓄積装置10が接触型ICカードで実現されている場合には、カードが挿入された契機、非接触型ICカードで実現されている場合には、カードが近づけられたことを感知した契機で接続される。
【0064】
(2)乱数生成部21により乱数Cを生成する(s22)。
【0065】
(3)サービスID記録部22および有効期限記録部23からSIDおよびDを取得し、履歴記録要求Record(D,SID,C)を接続部11により履歴蓄積装置10に送信する(s23)。別の実施の形態では表示装置を使って利用者に提供できるいくつかのサービスを表示し、利用者あるいは検証者によって選択されたサービスに対応するSID,Dを取得しても良い。
【0066】
(4)接続部11から前記要求の結果として、過去のサービス提供回数Nと履歴蓄積装置10による署名SK(D‖SID‖C‖N)を受信する(s24)。また、履歴域不足例外が通知された場合は、それを表示部29で表示する。
【0067】
(5)署名検証部25により、上記(4)によって取得した署名データが正しいかを検証する(s25)。検証するためには、履歴蓄積装置10の検証鍵、即ち公開鍵方式の場合には公開鍵、共通鍵方式の場合には共通鍵が必要であるが、本実施の形態では、これらは予め署名検証部25が保持しているものとする。
【0068】
(6)表示部29に過去のサービス提供回数Nを表示する(s26)。検証者は、制限回数以下であればサービス提供を許可する。例えば、試供品引換の場合には、過去に引き渡されていないこと(N=0)、バーゲン品購入の場合にはその購入制限数以下である時に、サービスを提供する。
【0069】
図7に、履歴域不足例外等のエラーにより履歴が記録できなかった場合に、履歴消去要求を行う履歴消去制御部26の処理フローを示す。
【0070】
(1)表示部29から履歴消去の指示が入力される(s31)。
【0071】
(2)タイマ部27から現在日付を取得する(s32)。
【0072】
(3)現在日付より一日乃至一週間程度前の日付を履歴消去日時D1として指定し、利用者に履歴を消去することを通知(表示)する(s33)。
【0073】
(4)利用者からOKの指示が出ると、接続部28により履歴蓄積装置10に対して履歴消去要求Clear(D1)を送信する(s34)。
【0074】
(5)接続部28から結果を受信し、表示部29に表示する(s35)。
【0075】
[実施の形態2]
上記実施の形態は、予め履歴蓄積装置を会員カード等の形態で配布しておくことにより、会員全員に一律等しいサービスを提供するような場合、例えば会員全員に対して記念品を1個配布する場合では、会員にメール等で周知するだけで、引換券等の権利を予め発行することなく、会員カード一枚に一個だけを安全に配布できるという従来にはない特徴がある。
【0076】
実施の形態2では、この機能と従来から存在する電子権利の流通システムとを組み合わせて、会員全員ではなく、特定の電子権利の発行あるいは行使に伴う制限回数を制御する例を示す。典型例としては人気コンサートチケットの購入を一人限定枚に限る場合等である。
【0077】
図8は、前述した履歴蓄積装置と検証装置を利用した、本発明の電子権利流通システムの実施の形態の一例を示す構成図である。
【0078】
図8に示すように、本システムは、発行装置100、電子権利格納装置200、改札装置300およびネットワーク装置400から構成される。
【0079】
発行装置100は電子権利を発行する機関、電子権利格納装置200は利用者、改札装置300は電子権利を改札する機関によって保有されるものとし、それぞれ発行者毎、利用者毎、改札者毎に複数個存在して良い。
【0080】
発行装置100は、電子権利生成部101、電子権利発行部102、通信部103および検証装置104から構成される。
【0081】
電子権利格納装置200は、通信部201、格納制御部202、行使制御部203、電子権利格納部204、履歴蓄積装置205および検証装置206から構成される。なお、本装置は電子財布とも称する。
【0082】
改札装置300は、電子権利改札部301、通信部302および検証装置303から構成される。
【0083】
なお、履歴蓄積装置205および検証装置104,206,303は、実施の形態1で述べたものと同じである。
【0084】
ネットワーク装置400は、インターネットや電話網等のパブリックネットワークあるいはLANや専用線等を利用したプライベートネットワークであり、発行装置100、電子権利格納装置200および改札装置300は、本装置を介して相互に通信可能とする。
【0085】
電子権利は、上記装置間で次に述べる発行、譲渡、消費、提示の4種類のトランザクションによって流通する。
【0086】
発行トランザクション:電子権利を生成し、その電子権利の所有権を利用者に与えるトランザクションである。本実施の形態では、発行装置100が電子権利を生成し、これを利用者が保有する電子権利格納装置200の電子権利格納部204に格納することによって実現するものとする。
【0087】
譲渡トランザクション:電子権利の所有権をある利用者から別の利用者に移転させるトランザクションである。本実施の形態では、譲渡側の利用者が保有する電子権利格納装置200の電子権利格納部204に格納されている電子権利を取り出し削除し、譲受側の利用者が保有する電子権利格納装置200の電子権利格納部204に格納することによって実現するものとする。
【0088】
消費トランザクション:電子権利の所有権を無効にするトランザクションである。本実施の形態では、利用者が保有する電子権利格納装置200の電子権利格納部204に格納されている電子権利を取り出し削除し、改札装置300に削除したことを通知することによって実現するものとする。
【0089】
なお、発行、譲渡、消費のトランザクションの過程で、不正に複製が作られ、電子権利が多重使用されることを防止する方法については本発明の対象とするところではなく、既に提案されている電子権利の多重使用防止方法を本発明と組み合わせて実施することが容易であるので、詳細は省略する。
【0090】
電子権利の多重使用防止方法については、例えば、特開平11−213068号、特開2000−123095号等に記載されているように、流通対象の電子権利に譲渡リストを添付し、二重使用が発覚した場合に不正者を特定できるようにすることで不正を抑止する方法、特願2000−038875号等に記載されているようなICカード等の耐タンパ装置に原本情報(トークン)を保管し、原本情報を安全に流通可能にさせるプロトコルを提供することにより不正な複製を防止する方法、特願平11−310090号等に記載されているようなネットワーク上に各電子権利に対する所有者認証情報を管理することで正当な所有者を認証する方法等、多数の方法が提案されている。
【0091】
図9は電子権利格納部204に格納される電子権利のデータ構造の一例を示す説明図である。本図に示すように、一つの電子権利は、サービス(権利)ID、有効期限、回数制限およびその他の電子権利の内容が定義された権利情報の4つのデータ域を含んでいる。電子権利の取引制限を与えるために、実施の形態1で示したサービスID、有効期限が電子権利に設定されている。
【0092】
回数制限は、上記有効期限内に取引が許される回数の上限値が指定される。本実施の形態では、発行あるいは譲渡トランザクションによって新たな電子権利が電子権利格納装置200に格納されることを取引とみなす。即ち、取引回数の上限値とは、電子権利格納装置200への格納回数の上限値となる。なお、実施の形態によっては、電子権利の発行、譲渡、消費の各トランザクション毎に、取引制限を別々に設ける等、多様な条件を指定することも可能である。
【0093】
権利情報は、電子権利毎の固有情報が定義される。例えば、発行機関の識別子、権利の内容、発行者の署名等が定義される。
【0094】
次に、これらの装置を用いて行う電子権利の取引(発行処理)について詳細に説明する。
【0095】
(1)発行装置100は、電子権利生成部101により、有効期限(D)、サービスID(SID)、回数制限、権利内容を含む電子権利を生成する。また、検証装置104は乱数Cを生成する。
【0096】
(2)発行装置100は、上記(1)によって生成されたD,SID,Cを含む電子権利格納要求を電子権利格納装置200に送信する。なお、電子権利格納要求の送信では、電子権利自体(所有権)はまだ移動していない。電子権利の移動については本発明では詳細に記載しないが、例えば特願2000−038875号等に記載されている権利情報固有の原本情報等の移動で実現される。
【0097】
(3)電子権利格納装置200は、格納制御部202により、履歴記録要求Record(D,SID,C)を生成し、履歴蓄積装置205に送る。
【0098】
(4)電子権利格納装置200は、履歴蓄積装置205により履歴データをその履歴蓄積部に記録し、結果を格納制御部202に送信する。
【0099】
(5)電子権利格納装置200は、格納制御部202により上記(4)の結果を発行装置100に送る。
【0100】
(6)発行装置100は、検証装置104により上記(4)の結果を検証する。詳細は実施の形態1と同じである。
【0101】
(7)発行装置100は、さらに累積回数Nがその電子権利に指定された回数制限以下であることを検証する。
【0102】
(8)発行装置100は、上記(6),(7)の検証に成功した場合には、その電子権利を電子権利格納装置200に移動する。
【0103】
(9)電子権利格納装置200は、格納制御部202により受理した電子権利を電子権利格納部204に格納する。
【0104】
電子権利格納装置に対する電子権利の格納は、発行だけではなく、別の電子権利格納装置からの譲渡によっても行われる。そこで、第一の電子権利格納装置(以下、符号200Aで表す。)から第二の電子権利格納装置(以下、符号200Bで表す。)に対して電子権利を譲渡する場合の流れについて以下に示す。
【0105】
(1)第一の電子権利格納装置200Aは、行使制御部203により、譲渡対象の電子権利の有効期限D、サービスID(SID)を電子権利格納部204から取得する。また、検証装置206は乱数Cを生成する。
【0106】
(2)第一の電子権利格納装置200Aは、D,SID,Cを含む電子権利格納要求を第二の電子権利格納装置200Bに送信する。
【0107】
(3)第二の電子権利格納装置200Bは、格納制御部202により履歴記録要求Record(D,SID,C)を生成し、履歴蓄積装置205に送る。
【0108】
(4)第二の電子権利格納装置200Bは、履歴蓄積装置205により履歴データをその履歴蓄積部に記録し、結果を格納制御部202に送信する。
【0109】
(5)第二の電子権利格納装置200Bは、格納制御部202により上記(4)の結果を第一の電子権利格納装置200Aに送る。
【0110】
(6)第一の電子権利格納装置200Aは、検証装置206により上記(4)の結果を検証する。詳細は実施の形態1と同じである。
【0111】
(7)第一の電子権利格納装置200Aは、さらに累積回数Nがその電子権利に指定された回数制限以下であることを検証する。
【0112】
(8)第一の電子権利格納装置200Aは、上記(6),(7)の検証に成功した場合には、その電子権利を第二の電子権利格納装置200Bに移動する。
【0113】
(9)第二の電子権利格納装置200Bは、格納制御部202により受理した電子権利を電子権利格納部204に格納する。
【0114】
以上のステップにより、電子権利格納装置に電子権利が格納される前に、過去の取引履歴、上記実施の形態では電子権利のSID毎の格納履歴がチェックされるため、同一SIDを持つ電子権利が制限回数以上格納されることを防止することができる。しかも、発行時だけではなく譲渡時もチェックすることが可能になる。
【0115】
なお、個別の電子権利毎に異なるSIDを付与した場合には、二重使用を防止する方法の一つとしても利用可能である。
【0116】
次に、本発明のその他のパリエーションについて述べる。
【0117】
(1)上記実施の形態では、履歴蓄積装置は、ICカード等の耐タンパ装置に実現されることを前提としているが、これをネットワーク装置上のサーバに記録することとし、累積取引回数が制限値を超えていないかのチェックをサーバに問い合わせることで、電子財布への格納を制御することもできる。このような方法は、従来の二重使用チェックサーバと類似しているが、本発明では、単純な二重使用チェックサーバと異なり、個別の電子権利単位の二重使用だけではなく、SIDによる異なる単位で取引回数を制限できる等、柔軟なチェック機能を提供できる点が従来の方法と異なる。
【0118】
(2)上記実施の形態では、一つの電子権利に対して一つのSIDを付与しているが、複数のSIDを付与して、いくつかの制約条件をANDやORで与えることも可能である。
【0119】
(3)上記実施の形態では、累積回数Nをサービス提供回数としているが、累積回数Nをサービス提供度数として管理し、一回のサービス提供に対して複数の度数を加算することによって、例えば一ヶ月当たりのローン限度額等の制御に適用することも可能である。
【0120】
(4)上記実施の形態では、履歴蓄積装置に履歴記録要求を送信した場合に累積回数Nが返されるが、Nを返す代わりに、回数制限値を超えたかどうかの真偽値を返すように実施しても良い。但し、この場合には、履歴蓄積装置内にSID毎の回数制限値を記録しておき、累積取引回数が回数制限値を超えたかどうかを判定できるようにする必要がある。
【0121】
(5)上記実施の形態では、履歴データが格納される履歴蓄積部をICカード等の耐タンパ装置内に記録することを前提としているが、これをハードディスク等の通常の記憶媒体に格納し、履歴データのハッシュ値のみを耐タンパ装置に入れることで、履歴データの改ざんを防止しても良い。この場合、履歴データを追加、消去する度にハッシュ値を再計算する必要があるが、耐タンパ装置の記憶容量をさらに削減することができる。
【0122】
【発明の効果】
以上述べたように、本発明によれば、利用者に提供するサービスで回数制限が設けられているものを、回数制限を超えて不正に利用したかどうかを、過去に受けたかどうかを含めて検証することができる。しかも、ICカード等の耐タンパ装置に履歴が蓄積されるので、オフラインであっても安全に検証することができる。また、オフラインで検証できることは、通信コストが削減できるだけではなく、使用履歴を管理するためのセンタデータベースの開発コストや運用コストも削減できるという効果もある。
【0123】
本発明の応用例としては、試供品の交換回数、レストランの試食回数、投票における投票回数、バーゲン品の購入回数、ゲームの出場回数、福利厚生施設の利用回数、コンサートチケットの購入回数、株主優待券の利用回数、免許証の違反回数、ローンの融資限度額等、多岐に渡る。従って、これらの制約条件は応用によって多種多様であるが、サービス提供者が勝手にSIDと有効期限をセットして履歴を格納しても差し支えないので、一枚のICカードを多数のサービス提供者で共用することができる。また、これにより一サービス提供者当たりのカードのコストを削減できるという効果がある。
【0124】
履歴消去日時の実現に増加しかできないカウンタを用いることで、有効期限が切れたサービスに関する履歴を安全に削除することが可能になり、記憶領域が小さなICカードで実現しても実用的である。また、タイマ自体は耐タンパ装置の外に置いても安全であるから低コストで実現できるという効果がある。
【0125】
従来、会員へのサービスの提供のため、紙のクーポン券を郵送あるいは電子チケットをインターネットで配布していたのは、サービスの提供回数を限定するという目的があった。しかし、本発明の履歴蓄積機能を備える会員カードを持つ全ての会員に対してサービスを提供する場合には、カード内にサービス提供の履歴を検査することにより、サービスの提供回数を限定できるので、クーポン券等の発行が不要になるという利点がある。これは、クーポン券等を発行するためのシステムの開発コストや運用コストを削減できるという効果がある。
【図面の簡単な説明】
【図1】本発明の履歴蓄積装置の実施の形態の一例を示す構成図
【図2】履歴蓄積部に記録される履歴データの一例を示す説明図
【図3】履歴蓄積装置が履歴記録要求を受信した際の処理フローチャート
【図4】履歴蓄積装置が履歴消去要求を受信した際の処理フローチャート
【図5】本発明の検証装置の実施の形態の一例を示す構成図
【図6】検証装置が履歴蓄積装置に対して検証を行う際の処理フローチャート
【図7】検証装置が履歴蓄積装置に対して履歴消去を行う際の処理フローチャート
【図8】本発明の履歴蓄積装置と検証装置を利用した電子権利流通システムの実施の形態の一例を示す構成図
【図9】電子権利のデータ構造の一例を示す説明図
【符号の説明】
10:履歴蓄積装置、11:接続部、12:履歴記録部、13:署名生成部、14:カウンタ部、15:加算部、16:履歴消去部、17:履歴蓄積部、
20:検証装置、21:乱数生成部、22:サービスID記録部、23:有効期限記録部、24:検証制御部、25:署名検証部、26:履歴消去制御部、27:タイマ部、28:接続部、29:表示部、100:発行装置、101:電子権利生成部、102:電子権利発行部、103:通信部、104:検証装置、200:電子権利格納装置、201:通信部、202:格納制御部、203:行使制御部、204:電子権利格納部、205:履歴蓄積装置、206:検証装置、300:改札装置、301:電子権利改札部、302:通信部、304:検証装置、400:ネットワーク装置。[0001]
BACKGROUND OF THE INVENTION
The present invention provides a service provided to users with a limited number of times, such as use of special coupons, bargain purchases, free sample exchanges, popular concert ticket purchases, questionnaire responses, popularity voting, etc. The present invention relates to a method and an apparatus for preventing unauthorized use of a service exceeding a limited number of times using a tamper device.
[0002]
[Prior art]
In recent years, many electronic rights distribution systems that digitize tickets and coupons distributed in paper and distribute them on a network have been proposed. For example, as disclosed in Japanese Patent Application No. 2000-038875, a tamper resistant device such as an IC card is used to prevent counterfeiting, tampering, and double use, and to distribute safely, Japanese Patent Application Laid-Open No. 2000-123095 As described above, there are methods related to a method for distributing various types of tickets and coupons using a common device.
[0003]
However, these conventional electronic rights distribution systems that prevent double use can prevent double use of a single electronic right that has been issued, and it is possible to purchase bargain products or receive free samples. It does not provide a method for restricting one person to each other, or preventing the same person from acquiring multiple voting tickets and voting twice in popularity voting.
[0004]
The first way to prevent the same user from exercising the same type of rights more than a limited number of times is to store the electronic rights issue history in a database in the electronic rights issue system and refer to this database at the time of issue. There is a method of controlling not to issue electronic rights to the same user beyond the limit number of times.
[0005]
However, since this method can be checked only at the time of issuance, it has no effect in the case of electronic rights that are permitted to be transferred. For example, as in the case of paper tickets, it is impossible to prevent so-called duffing, where many part-time workers are hired to buy up electronic tickets and sell them to other users.
[0006]
Also, as a similar method, the electronic ticket gate history is stored in a database, and this database is referenced at the ticket gate instead of at the time of issuance, and control is performed so that the same user is not ticketed more than the limit number of times. There is also a way to do it.
[0007]
However, this method is not effective in the case of electronic rights that are allowed to be transferred, as in the check at the time of issuance. In addition, since it is necessary to access a database by connecting to a network, it may be difficult to apply in an application that requires a high-speed ticket gate.
[0008]
Therefore, the second method for solving these problems is to provide a service by recording the history of exercising each of these rights or providing the service in a tamper-proof device such as an IC card held by the user himself / herself. There is a method of asking the user to present an IC card and checking the history of the presented IC card to confirm whether the limit has already been exceeded.
[0009]
This method can be confirmed at high speed even in an offline environment, but since the usage history increases monotonously, the storage area can quickly become full in a device with a small storage capacity such as an IC card. was there.
[0010]
[Problems to be solved by the invention]
The present invention is for solving the above-mentioned problems. For example, one user is fixed, such as free sample exchange, use of special coupons, purchase of bargain products, purchase of popular concert tickets, questionnaire responses, popularity voting, etc. The purpose is to provide a method and a device for reliably checking whether or not this limit is exceeded when there is a limit on the number of services that can be received within the period, especially using the second method described above. In a method of recording a service provision history in a tamper-proof device such as an IC card held by the user himself / herself, the object is to reduce the required storage capacity by providing a function for safely deleting unnecessary history.
[0011]
[Means for Solving the Problems]
In order to achieve the above object, according to
[0012]
According to the above configuration, history data is recorded or updated only when the service expiration date is greater than the first date data, and the processing result of the history recording request is returned, and it is possible to determine whether the service can be provided. Only when the second date data is larger than the first date data, history data having an expiration date smaller than the second date data is deleted, so that the service frequency limit can be reliably checked offline and unnecessary history is recorded. Only data can be safely deleted.
[0013]
According to
[0014]
According to the above configuration, the history storage device described above can generate the processing result of the history recording request to which the digital signature is given, and it is possible to prevent unauthorized processing of the processing result.
[0015]
Further, in
[0016]
According to the said structure, the historical data of the log | history storage apparatus mentioned above can be acquired, and the propriety of service provision can be checked reliably.
[0017]
Moreover, in
[0018]
According to the above configuration, it is possible to verify the digital signature attached to the processing result of the history recording request generated by the history storage device described above, and to prevent unauthorized alteration of the processing result.
[0019]
Moreover, in Claim 5 of this invention, in the verification apparatus of the said
[0020]
According to the above configuration, only unnecessary history data in the above-described history storage device can be safely deleted.
[0021]
According to a sixth aspect of the present invention, in the electronic right distribution system comprising the issuing device, the electronic wallet device, and the ticket gate device, the issuing device includes the verification device according to any one of the third to fifth aspects, The device includes the history storage device according to
[0022]
According to the said structure, it becomes possible to issue safely the electronic right which has the frequency | count of service utilization.
[0023]
According to claim 7 of the present invention, in the electronic rights distribution system according to claim 6, the electronic wallet device further includes the verification device according to any one of
[0024]
According to the above configuration, it is possible to safely transfer an electronic right that has a limit on the number of times the service is used.
[0025]
According to claim 8 of the present invention, in the electronic rights distribution system comprising an issuing device, an electronic wallet device, and a ticket gate device, the ticket gate device includes the verification device according to any one of
[0026]
According to the above-described configuration, it is possible to safely pass an electronic right that has a limit on the number of times the service is used.
[0027]
DETAILED DESCRIPTION OF THE INVENTION
[Embodiment 1]
FIG. 1 is a block diagram showing an example of an embodiment of a history storage device of the present invention for storing a history of actions performed by a user.
[0028]
In the present invention, it is assumed that one history storage device is distributed to each user by an administrative organization, a credit card issuing organization, or the like. In order to avoid distributing multiple copies to the same user, there is a method of presenting a driver's license, insurance card, fingerprint, etc., and checking whether it has already been distributed.
[0029]
As illustrated in FIG. 1, the
[0030]
The
[0031]
The
[0032]
The
[0033]
The service ID (SID) is an identifier for identifying a service provided by the service provider to the user, and identifies, for example, exchange of a specific free sample, purchase of a specific bargain, a specific popularity vote, etc. This identifier is assigned by the service provider.
[0034]
In addition, in the example of limiting the number of purchases of popular concert tickets, there are various methods for assigning SIDs depending on the range to be restricted and the target. For example, the same SID may be assigned to all events held in a specific year for a specific artist, or the same SID may be assigned to events held on a specific date and time of a specific artist. You may do it. Furthermore, different SIDs may be assigned to all events.
[0035]
In this way, the SID can basically be freely set according to the intention of the service provider. However, in order to prevent the same SID from being used between different providers, in this embodiment, a hash for concatenation of the service provider's private key and the identifier provided by the service provider for a specific service The value shall be used.
[0036]
As another embodiment, the same SID can be used by assigning in the URI (Internet Resource Identifier) format standardized by IETF and including the domain name managed by each operator in the URI. It may be prevented.
[0037]
The expiration date is the expiration date for which the service specified by the SID is valid. In this embodiment, a unique expiration date is given for each SID. For example, the purchase deadline corresponds to the purchase of a bargain item, and the vote deadline corresponds to the popularity vote.
[0038]
The cumulative number is an area for recording how many times the service specified by the SID has been received in the past, and increases by 1 each time the service is received.
[0039]
The
[0040]
The
[0041]
(1) A history record request Record (D, SID, C) including an expiration date D, a service ID (SID), and a challenge C is received from the connection unit 11 (s1). The challenge C is a random number or the like generated by the verification device.
[0042]
(2) Compare D and the history deletion date stored in the
[0043]
(3) Search history data having the same D and SID from the history storage unit 17 (s3).
[0044]
(4) Above ( 3 ), If the history data <D, SID, N> already exist (s4), the history data is updated by adding the cumulative number N to N + 1 (s5).
[0045]
(5) Above ( 3 If no history data exists, <D, SID, 1> is recorded in the
[0046]
(6) If the history cannot be recorded due to insufficient capacity of the
[0047]
(7) Sending the concatenation of D, SID, N, and C to the
[0048]
(8) N and S to the request source by the connection unit 11 K (D‖SID‖C‖N) is transmitted (returned) (s9).
[0049]
Note that it is possible to provide a history reference request that does not add a history only by checking the past service provision count, but in this embodiment, the function is provided by returning the past service provision count in the processing result of the history record request. Was included. However, the history reference request can be easily realized by omitting the steps (4), (5), and (6).
[0050]
When the above history recording request is received and processed as described above, the history data increases monotonously, and a device with a small storage capacity such as an IC card has a problem that the storage area becomes full immediately. Therefore, in the present invention, a function for deleting a history whose expiration date has passed in the flow shown in FIG. 4 is provided, and a permanent transaction of an electronic medium is enabled.
[0051]
The
[0052]
(1) The history erasure request Clear (D1) including the history erasure date D1 is received from the connection unit 11 (s11). The history erasure date is specified to be a value that is later than the history erasure date specified by the history erasure request in the past and earlier than the current date. For example, a date one day to one week before the current date may be specified by a verification device or the like.
[0053]
(2) The previously given history deletion date and time D0 recorded in the
[0054]
(3) X = D1−D0 is calculated, and the adding
[0055]
(4) The history data stored in the
[0056]
(5) The
[0057]
According to the above steps, when a malicious user erases a transaction history by giving a future date as a history erasure date and erasing the transaction history in the step (1), the history erasure date and time recorded in the
[0058]
FIG. 5 shows an example of an embodiment of a verification device according to the present invention for verifying a history storage device presented by a user before a service provider provides a service and determining whether the service can be provided. FIG.
[0059]
As shown in FIG. 5, the
[0060]
The random
[0061]
The
[0062]
FIG. 6 shows a verification processing flow by the verification apparatus. The
[0063]
(1) The
[0064]
(2) The
[0065]
(3) The SID and D are acquired from the service
[0066]
(4) As a result of the request from the
[0067]
(5) The
[0068]
(6) The past service provision count N is displayed on the display unit 29 (s26). The verifier permits the service provision if the number is less than the limit number. For example, in the case of free sample exchange, the service is provided when it has not been delivered in the past (N = 0), and in the case of bargain purchase, when the purchase limit is not exceeded.
[0069]
FIG. 7 shows a processing flow of the history
[0070]
(1) A history deletion instruction is input from the display unit 29 (s31).
[0071]
(2) The current date is acquired from the timer unit 27 (s32).
[0072]
(3) A date one to one week before the current date is designated as the history deletion date and time D1, and the user is notified (displayed) that the history will be deleted (s33).
[0073]
(4) When an OK instruction is issued from the user, the
[0074]
(5) The result is received from the
[0075]
[Embodiment 2]
The above embodiment distributes a history storage device in the form of a member card or the like in advance to provide a uniform service to all members. For example, one souvenir is distributed to all members. In some cases, there is an unprecedented feature that only one member card can be safely distributed without issuing a right such as a voucher in advance by simply notifying the member by e-mail or the like.
[0076]
In the second embodiment, an example is shown in which this function is combined with a conventional electronic rights distribution system to control the number of times that a specific electronic right is issued or exercised rather than all members. A typical example is when the purchase of popular concert tickets is limited to one person.
[0077]
FIG. 8 is a configuration diagram showing an example of an embodiment of the electronic rights distribution system of the present invention using the history storage device and the verification device described above.
[0078]
As shown in FIG. 8, this system includes an
[0079]
It is assumed that the
[0080]
The
[0081]
The electronic
[0082]
The
[0083]
The
[0084]
The
[0085]
Electronic rights are circulated among the above devices by the following four types of transactions: issuance, transfer, consumption, and presentation.
[0086]
Issued transaction: A transaction that generates an electronic right and gives the user ownership of the electronic right. In the present embodiment, the
[0087]
Transfer transaction: A transaction to transfer ownership of electronic rights from one user to another. In the present embodiment, the electronic rights stored in the electronic
[0088]
Consumption transaction: A transaction that invalidates ownership of electronic rights. In the present embodiment, it is realized by taking out and deleting the electronic rights stored in the electronic
[0089]
It should be noted that a method for preventing unauthorized duplication and the multiple use of electronic rights in the process of issuing, transferring, and consuming transactions is not the subject of the present invention, and has already been proposed. Since it is easy to implement the method for preventing the multiple use of rights in combination with the present invention, details are omitted.
[0090]
Regarding the multiple use prevention method of electronic rights, for example, as described in JP-A-11-213068, JP-A-2000-123095, etc., a transfer list is attached to electronic rights to be distributed, and double use is possible. The original information (token) is stored in a tamper-proof device such as an IC card as described in Japanese Patent Application No. 2000-038875, etc. , A method for preventing unauthorized duplication by providing a protocol for enabling safe distribution of original information, owner authentication information for each electronic right on a network as described in Japanese Patent Application No. 11-31090 A number of methods have been proposed, such as a method for authenticating the right owner by managing the password.
[0091]
FIG. 9 is an explanatory diagram showing an example of the data structure of electronic rights stored in the electronic
[0092]
The number limit specifies the upper limit value of the number of times transactions are allowed within the valid period. In the present embodiment, it is regarded as a transaction that a new electronic right is stored in the electronic
[0093]
In the right information, unique information for each electronic right is defined. For example, the identifier of the issuing organization, the contents of the rights, the signature of the issuer, etc. are defined.
[0094]
Next, electronic rights transactions (issuance processing) performed using these devices will be described in detail.
[0095]
(1) The
[0096]
(2) The
[0097]
(3) The electronic
[0098]
(4) The electronic
[0099]
(5) The electronic
[0100]
(6) The
[0101]
(7) The
[0102]
(8) When the
[0103]
(9) The electronic
[0104]
Electronic rights are stored in the electronic rights storage device not only by issuance but also by transfer from another electronic rights storage device. Therefore, the flow in the case where the electronic right is transferred from the first electronic right storage device (hereinafter denoted by reference numeral 200A) to the second electronic right storage device (hereinafter denoted by reference numeral 200B) is shown below. .
[0105]
(1) In the first electronic rights storage device 200A, the
[0106]
(2) The first electronic rights storage device 200A transmits an electronic rights storage request including D, SID, and C to the second electronic rights storage device 200B.
[0107]
(3) In the second electronic rights storage device 200B, the
[0108]
(4) The second electronic rights storage device 200B records the history data in the history storage unit by the
[0109]
(5) The second electronic rights storage device 200B sends the result of (4) above to the first electronic rights storage device 200A by the
[0110]
(6) The first electronic rights storage apparatus 200A verifies the result of the above (4) by the
[0111]
(7) The first electronic rights storage device 200A further verifies that the cumulative number N is less than or equal to the number limit specified for the electronic right.
[0112]
(8) When the verification of (6) and (7) is successful, the first electronic rights storage device 200A moves the electronic rights to the second electronic rights storage device 200B.
[0113]
(9) The second electronic rights storage device 200B stores the electronic rights received by the
[0114]
By the above steps, before the electronic rights are stored in the electronic rights storage device, the past transaction history, the storage history for each electronic rights SID in the above embodiment is checked. It is possible to prevent storing more than the limit number of times. Moreover, it is possible to check not only at the time of issue but also at the time of transfer.
[0115]
In addition, when a different SID is assigned to each individual electronic right, it can be used as one of methods for preventing double use.
[0116]
Next, other parities of the present invention will be described.
[0117]
(1) In the above embodiment, the history storage device is assumed to be realized in a tamper-proof device such as an IC card, but this is recorded in a server on the network device, and the cumulative number of transactions is limited. It is also possible to control storage in the electronic wallet by inquiring the server to check whether the value has been exceeded. Such a method is similar to a conventional double-use check server. However, in the present invention, unlike a simple double-use check server, not only a double use of individual electronic rights units but also a difference by SID. It is different from the conventional method in that a flexible check function can be provided, such as limiting the number of transactions per unit.
[0118]
(2) In the above embodiment, one SID is assigned to one electronic right. However, it is also possible to assign a plurality of SIDs and give some constraints by AND or OR. .
[0119]
(3) In the above embodiment, the cumulative number N is used as the service provision frequency. However, by managing the cumulative number N as the service provision frequency and adding a plurality of frequencies to one service provision, for example, one It is also possible to apply to control of the loan limit per month.
[0120]
(4) In the above embodiment, when a history record request is transmitted to the history storage device, the cumulative number N is returned. Instead of returning N, a truth value indicating whether the number limit value has been exceeded is returned. You may carry out. However, in this case, it is necessary to record the number limit value for each SID in the history storage device so that it can be determined whether or not the cumulative number of transactions exceeds the number limit value.
[0121]
(5) In the above embodiment, it is assumed that the history storage unit in which history data is stored is recorded in a tamper-proof device such as an IC card, but this is stored in a normal storage medium such as a hard disk, Only the hash value of the history data may be put in the tamper resistant device to prevent the history data from being falsified. In this case, it is necessary to recalculate the hash value every time history data is added or deleted, but the storage capacity of the tamper resistant device can be further reduced.
[0122]
【The invention's effect】
As described above, according to the present invention, whether the service provided to the user has been limited in number of times, whether it has been used illegally beyond the number of times limit, including whether it has been received in the past. Can be verified. In addition, since the history is accumulated in a tamper-proof device such as an IC card, it can be safely verified even offline. In addition, being able to verify offline has the effect of reducing not only the communication cost but also the development cost and operation cost of the center database for managing the usage history.
[0123]
Application examples of the present invention include the number of sample exchanges, restaurant tastings, voting votes, bargain purchases, game appearances, welfare facility usages, concert ticket purchases, shareholder benefits. The number of tickets used, the number of license violations, the loan limit, etc. vary widely. Accordingly, although these restrictions vary depending on the application, it is possible for the service provider to set the SID and expiration date on its own and store the history, so one IC card can be used for many service providers. Can be shared. This also has the effect of reducing the cost of cards per service provider.
[0124]
By using a counter that can only be increased to realize the history erasure date and time, it is possible to safely delete the history related to the expired service, and it is practical even if it is realized with an IC card having a small storage area. In addition, since the timer itself is safe even if it is placed outside the tamper resistant device, there is an effect that it can be realized at a low cost.
[0125]
Conventionally, in order to provide services to members, mailing paper coupons or distributing electronic tickets over the Internet has the purpose of limiting the number of services provided. However, when providing a service to all members having a membership card having the history storage function of the present invention, the service provision frequency can be limited by examining the service provision history in the card, There is an advantage that it is not necessary to issue a coupon. This has the effect of reducing the development cost and operating cost of a system for issuing coupons and the like.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing an example of an embodiment of a history storage device of the present invention.
FIG. 2 is an explanatory diagram showing an example of history data recorded in a history storage unit
FIG. 3 is a processing flowchart when the history storage device receives a history recording request.
FIG. 4 is a processing flowchart when the history storage device receives a history deletion request.
FIG. 5 is a block diagram showing an example of an embodiment of a verification apparatus according to the present invention.
FIG. 6 is a processing flowchart when the verification device verifies the history storage device.
FIG. 7 is a processing flowchart when the verification device deletes the history from the history storage device.
FIG. 8 is a configuration diagram showing an example of an embodiment of an electronic rights distribution system using a history storage device and a verification device according to the present invention.
FIG. 9 is an explanatory diagram showing an example of a data structure of electronic rights
[Explanation of symbols]
10: history storage device, 11: connection unit, 12: history recording unit, 13: signature generation unit, 14: counter unit, 15: addition unit, 16: history deletion unit, 17: history storage unit,
20: Verification device, 21: Random number generation unit, 22: Service ID recording unit, 23: Expiration date recording unit, 24: Verification control unit, 25: Signature verification unit, 26: History deletion control unit, 27: Timer unit, 28 : Connection unit, 29: display unit, 100: issuing device, 101: electronic right generation unit, 102: electronic right issuing unit, 103: communication unit, 104: verification device, 200: electronic right storage device, 201: communication unit, 202: Storage control unit, 203: Exercise control unit, 204: Electronic right storage unit, 205: History storage device, 206: Verification device, 300: Ticket gate device, 301: Electronic right ticket gate unit, 302: Communication unit, 304: Verification Device, 400: Network device.
Claims (8)
前記サービス有効期限が前記第1の日付データより大きいか比較する手段と、
大きい場合に前記サービス有効期限とサービス識別子を含む履歴データを前記履歴蓄積部に格納する手段と、
前記履歴記録要求の処理結果を送信する手段と、
第2の日付データを含む履歴消去要求を受信する手段と、
第2の日付データが第1の日付データよりも大きいか比較する手段と、
大きい場合に第2の日付データをカウンタ部に格納する手段と、
第2の日付データより小さい有効期限を有する履歴データを履歴蓄積部から削除する手段と、
前記履歴消去要求の処理結果を送信する手段とを備えた
ことを特徴とする履歴蓄積装置。A history record request that includes a history storage unit that stores a list of history data including a service expiration date, a service identifier, and a cumulative service count, and a counter unit that stores first date data, and includes the service expiration date and the service identifier Means for receiving
Means for comparing whether the service expiration date is greater than the first date data;
Means for storing, in the history storage unit, history data including the service expiration date and service identifier in the case of being large;
Means for transmitting the processing result of the history record request;
Means for receiving a history erasure request including second date data;
Means for comparing whether the second date data is greater than the first date data;
Means for storing the second date data in the counter section if it is larger;
Means for deleting history data having an expiration date smaller than the second date data from the history storage unit;
A history storage device comprising means for transmitting the processing result of the history erasure request.
前記履歴記録要求はチャレンジを含み、履歴蓄積装置の鍵により前記サービス有効期限と前記サービス識別子とチャレンジを含むデータに対してディジタル署名を行う署名生成手段を備え、
前記履歴記録要求の処理結果は、前記ディジタル署名を含む
ことを特徴とする履歴蓄積装置。The history storage device according to claim 1,
The history record request includes a challenge, and includes signature generation means for performing a digital signature on data including the service expiration date, the service identifier, and the challenge using a key of a history storage device,
A history storage apparatus, wherein the processing result of the history recording request includes the digital signature.
サービスの有効期限を記録する有効期限記録部と、サービスの識別子を記録するサービスID記録部とを有し、該有効期限記録部及びサービスID記録部からサービス有効期限及びサービス識別子を取得し、履歴蓄積装置に前記サービス有効期限とサービス識別子を含む履歴記録要求を送信する手段と、
前記履歴記録要求に対し、履歴蓄積装置において前記サービス有効期限と直前の履歴消去日付とどちらが大きいかを比較し、有効期限の方が大きい場合に前記サービス有効期限とサービス識別子と当該サービスを過去に何回受けたかを示す累積サービス回数を含む履歴データを記録する処理を行った結果を該履歴蓄積装置から受信する手段と、
前記履歴記録要求の処理結果を表示部に表示する手段とを備えた
ことを特徴とする検証装置。A connection means for connecting to the history storage device;
An expiration date recording unit for recording an expiration date of the service, and a service ID recording unit for recording an identifier of the service, acquiring the service expiration date and the service identifier from the expiration date recording unit and the service ID recording unit, and history means for transmitting a history recording request including the service expiration and service identifier in the storage unit,
In response to the history record request , the history storage device compares the service expiration date with the previous history deletion date, and if the expiration date is greater, the service expiration date, the service identifier, and the service are stored in the past. the results of the process of recording was history data including a cumulative service number which indicates how many times received means for receiving from the history storage unit,
A verification apparatus comprising: means for displaying a processing result of the history record request on a display unit .
サービスの有効期限を記録する有効期限記録部と、サービスの識別子を記録するサービスID記録部と、チャレンジを生成する乱数生成部とを有し、該有効期限記録部及びサービスID記録部からサービス有効期限及びサービス識別子を取得し、履歴蓄積装置に前記サービス有効期限とサービス識別子と前記乱数生成部で生成されたチャレンジを含む履歴記録要求を送信する手段と、
前記履歴記録要求に対し、履歴蓄積装置において前記サービス有効期限と直前の履歴消去日付とどちらが大きいかを比較し、有効期限の方が大きい場合に前記サービス有効期限とサービス識別子と当該サービスを過去に何回受けたかを示す累積サービス回数を含む履歴データを記録し、前記サービス有効期限とサービス識別子と当該サービスを過去に何回受けたかを示す累積サービス回数とチャレンジを含むデータに対して当該履歴蓄積装置の鍵によりディジタル署名する処理を行った結果を該履歴蓄積装置から受信する手段と、
前記履歴記録要求の処理結果に含まれるディジタル署名を検証する署名検証手段とを備えた
ことを特徴とする検証装置。The verification apparatus according to claim 3,
An expiration date recording unit that records an expiration date of the service, a service ID recording unit that records an identifier of the service, and a random number generation unit that generates a challenge, and the service validity from the expiration date recording unit and the service ID recording unit to obtain a time and a service identifier, means for transmitting a history recording request including the challenge generated by the history storage unit and the service expiration and service identifier the random number generator,
In response to the history record request, the history storage device compares the service expiration date with the previous history deletion date, and if the expiration date is greater, the service expiration date, the service identifier, and the service are stored in the past. Record history data including the accumulated service count indicating how many times the service has been received, and store the history for the data including the service expiration date, the service identifier, the accumulated service count indicating how many times the service has been received in the past, and the challenge. Means for receiving, from the history storage device, a result of performing a digital signature with the device key;
A verification apparatus, comprising: signature verification means for verifying a digital signature included in the processing result of the history record request.
現在の日付データを生成するタイマ部を有し、該タイマ部から現在の日付データを取得し、該現在の日付データより一日乃至一週間程度前の新たな履歴消去日付を含む履歴消去要求を送信する手段と、
前記履歴消去要求に対し、履歴蓄積装置において前記新たな履歴消去日付と直前の履歴消去日付とどちらが大きいかを比較し、新たな履歴消去日付の方が大きい場合に該新たな履歴消去日付より以前の履歴データを消去する処理を行った結果を該履歴蓄積装置から受信する手段と、
前記履歴消去要求の処理結果を表示部に表示する手段とを備えた
ことを特徴とする検証装置。In the verification apparatus according to claim 3 or 4,
A timer unit that generates current date data, obtains current date data from the timer unit, and issues a history deletion request including a new history deletion date about a day to a week before the current date data. Means for transmitting ;
In response to the history erasure request, the history storage device compares the new history erasure date with the previous history erasure date, and if the new history erasure date is larger, the new history erasure date is earlier than the new history erasure date. Means for receiving from the history storage device the result of the process of erasing the history data;
A verification apparatus comprising: means for displaying a processing result of the history erasure request on a display unit .
テムにおいて、
発行装置は請求項3乃至5いずれかに記載の検証装置を含み、
電子財布装置は請求項1又は2に記載の履歴蓄積装置を含み、
また、発行装置は履歴記録要求を電子財布装置に送信する手段を有し、
また、電子財布装置は前記履歴記録要求に基づき履歴データをその履歴蓄積部に記録する処理を行った際の累積回数を含む処理結果を発行装置に送信する手段を有し、
また、発行装置は前記処理結果を検証し、累積回数が指定された回数制限以下であるという制約条件を充足しているか検証する手段と、制約条件を充足している時にのみ電子権利を発行する手段とを有する
ことを特徴とする電子権利流通システム。In an electronic rights distribution system comprising an issuing device, an electronic wallet device and a ticket gate device,
The issuing device includes the verification device according to any one of claims 3 to 5;
The electronic wallet device includes the history storage device according to claim 1 or 2,
The issuing device has means for transmitting a history record request to the electronic wallet device,
Further, the electronic wallet device has means for transmitting the processing result including the cumulative number when the history data is recorded in the history storage unit based on the history recording request to the issuing device,
Further, the issuing device verifies the processing result, and verifies whether the constraint condition that the cumulative number is equal to or less than the specified number limit is satisfied, and issues an electronic right only when the constraint condition is satisfied. And an electronic rights distribution system.
電子財布装置はさらに請求項3乃至5いずれかに記載の検証装置を含み、
また、電子財布装置は履歴記録要求を譲渡先の電子財布装置に送信する手段と、履歴記録要求に基づき履歴データをその履歴蓄積部に記録する処理を行った際の累積回数を含む処理結果を譲渡元の電子財布装置に送信する手段と、前記処理結果を検証し、累積回数が指定された回数制限以下であるという制約条件を充足しているか検証する手段と、制約条件を充足している時にのみ電子権利を譲渡先の電子財布装置に移動する手段とを有する
ことを特徴とする電子権利流通システム。The electronic rights distribution system according to claim 6,
The electronic wallet device further includes a verification device according to any one of claims 3 to 5,
Also, the electronic wallet device transmits a history record request to the transferee electronic wallet device, and a processing result including a cumulative number of times when the history data is recorded in the history storage unit based on the history record request. The means for transmitting to the electronic wallet device of the transfer source, the means for verifying whether the processing result is verified and satisfying the constraint that the cumulative number is less than or equal to the specified number limit, and satisfying the constraint Means for transferring electronic rights only to the electronic wallet device of the transfer destination only at times.
改札装置は請求項3乃至5いずれかに記載の検証装置を含み、
電子財布装置は請求項1又は2に記載の履歴蓄積装置を含み、
また、改札装置は履歴記録要求を電子財布装置に送信する手段を有し、
また、電子財布装置は前記履歴記録要求に基づき履歴データをその履歴蓄積部に記録する処理を行った際の累積回数を含む処理結果を改札装置に送信する手段を有し、
また、改札装置は前記処理結果を検証し、累積回数が指定された回数制限以下であるという制約条件を充足しているか検証する手段と、制約条件を充足している時にのみ電子権利を改札する手段とを有する
ことを特徴とする電子権利流通システム。In an electronic rights distribution system comprising an issuing device, an electronic wallet device and a ticket gate device,
The ticket gate device includes the verification device according to any one of claims 3 to 5,
The electronic wallet device includes the history storage device according to claim 1 or 2,
The ticket gate device has means for transmitting a history record request to the electronic wallet device,
Further, the electronic wallet device has means for transmitting the processing result including the cumulative number when the history data is recorded in the history storage unit based on the history recording request to the ticket gate device,
In addition, the ticket gate apparatus verifies the processing result, verifies whether or not the constraint condition that the cumulative number is equal to or less than the specified number limit is satisfied, and ticket gates only when the constraint condition is satisfied. And an electronic rights distribution system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000241576A JP3723429B2 (en) | 2000-08-09 | 2000-08-09 | History storage device, verification device, and electronic rights distribution system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000241576A JP3723429B2 (en) | 2000-08-09 | 2000-08-09 | History storage device, verification device, and electronic rights distribution system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002056326A JP2002056326A (en) | 2002-02-20 |
| JP3723429B2 true JP3723429B2 (en) | 2005-12-07 |
Family
ID=18732745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000241576A Expired - Fee Related JP3723429B2 (en) | 2000-08-09 | 2000-08-09 | History storage device, verification device, and electronic rights distribution system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3723429B2 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003323549A (en) * | 2002-05-01 | 2003-11-14 | Alps Electric Co Ltd | System and method for transmitting/receiving security |
| JP2004145877A (en) * | 2002-10-04 | 2004-05-20 | Seiko Epson Corp | Information processing system, information processing method, information processing program and storage medium |
| JP2006350760A (en) * | 2005-06-17 | 2006-12-28 | Hitachi Ltd | Authentication system and terminal device |
| JP4978166B2 (en) * | 2006-11-21 | 2012-07-18 | ソニー株式会社 | Ticketing management system, providing server, and usage management server |
| JP6358992B2 (en) * | 2015-08-31 | 2018-07-18 | ヤフー株式会社 | Information management apparatus, information management system, information management method, and information management program |
| JP6743628B2 (en) * | 2016-09-29 | 2020-08-19 | 富士通株式会社 | Management system, management method, and management program |
| JP7158984B2 (en) * | 2018-10-05 | 2022-10-24 | シャープ株式会社 | Employee meal system |
-
2000
- 2000-08-09 JP JP2000241576A patent/JP3723429B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002056326A (en) | 2002-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6954738B2 (en) | Method and apparatus for distributing enforceable property rights | |
| US7149722B1 (en) | Retail transactions involving distributed and super-distributed digital content in a digital rights management (DRM) system | |
| US7039615B1 (en) | Retail transactions involving digital content in a digital rights management (DRM) system | |
| CN101313327B (en) | Method and apparatus for establishing usage rights for digital content to be created in the future | |
| US20030051144A1 (en) | Dynamic electronic chain-of-trust document with audit trail | |
| US20110247077A1 (en) | System and Method for Rights Offering and Granting Using Shared State Variables | |
| JP4639676B2 (en) | Rental server system | |
| US20080235805A1 (en) | Digital Rights Management | |
| CN114902195A (en) | Application program cooperation method, computer program, and application program cooperation system | |
| US20050137984A1 (en) | System and method for rights offering and granting using shared state variables | |
| JP2000113049A (en) | System and method for distributing electronic book using purchase certification of book | |
| JP2000123095A (en) | Electronic ticket recording medium and processing method and processor | |
| WO2004109450A2 (en) | System and method for supplying and managing usage rights associated with an item repository | |
| JP2000122973A (en) | Qualification managing method and device | |
| CN109992976A (en) | Access credentials verification method, device, computer equipment and storage medium | |
| JP3723429B2 (en) | History storage device, verification device, and electronic rights distribution system | |
| WO1998043188A1 (en) | System and method of tracking continuing education information using secure stored data devices | |
| JP3659090B2 (en) | Electronic information distribution system, storage medium storing electronic information distribution program, and electronic information distribution method | |
| JP2004220546A (en) | Management server of electronic utilization right, terminal device, management system and management method | |
| AU2003240981A1 (en) | System and method for supplying and managing rights expressions | |
| JP4619615B2 (en) | Benefit management computer and method and program | |
| JP2004078302A (en) | Contents browsing permission system, browsing permission device used for the system, medium, and browsing permission data registration method | |
| EA005838B1 (en) | System and method for distributing data | |
| CN101405760A (en) | Authority providing and awarding system and method for using shared status variable | |
| JP4942245B2 (en) | Payment processing method using a credit card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20020107 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050201 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050404 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050404 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050913 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050915 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080922 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090922 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090922 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100922 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100922 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110922 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120922 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130922 Year of fee payment: 8 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |