以下、本発明の実施の形態について説明する。
実施形態では、公開鍵暗号方式において公開される鍵を公開鍵、秘匿される鍵を秘密鍵、これらの両者を公開鍵ペアと呼ぶ。また、対称鍵方式(暗号化と復号が同じ鍵で行われる)に使われる鍵を共通鍵と呼ぶ。以下特に断らないが、本実施形態では電子署名やネットワーク間通信等の種々の段階において暗号技術が用いられ、デジタル署名アルゴリズムとしてはRSA暗号アルゴリズム、対称鍵暗号アルゴリズムとしてはDES暗号アルゴリズムが用いられる。なお、暗号方式や電子現金や電子マネー、電子決済については、例えば「シリーズ/情報科学の数学 現代暗号」岡本龍明、山本博資著、産業図書株式会社、「デジタルマネーのすべて 最新の技術開発動向と実用化への展望」p.102−148,日経デジタルマネー・システム編、日経BP社、に詳しい。
(発明の第1の実施の形態)
図1は本発明の第1の実施の形態に係る電子切手販売生成システム、電子切手生成装置及び電子切手確認装置が適用された電子切手システムの一例を示す構成図である。
この電子切手システムは、電子切手販売センター1,決済機関2,利用者情報データベース3,郵便局4及び利用者9のパーソナルコンピュータ(PC)5からなっている。
ここで、郵便局4は、スキャナ6を接続する。また、PC5は、プリンタ7を接続するとともに、着脱自在なICカードからなる電子切手カード8を装着するようになっている(図示しないICカード・リーダ/ライタを介して接続される)。なお、電子切手販売生成システムは、主として電子切手販売センター1、PC5及び電子切手カード8から構成されており、電子切手生成装置は主に電子切手カード8から構成される。また、電子切手確認装置は主に郵便局4のシステムから構成されている。
この電子切手システムにおいては、利用者9が電子切手販売センター1に情報登録を行って電子切手カード8を受け取り、その電子切手カード8をPCに装着する。また、利用者は、切手バリューを電子切手販売センター1に発行してもらってこれを電子切手カード8に格納するとともに、受領確認を送信することによりバリュー代金を即時決済する。利用者登録情報やバリュー発行情報等は利用者情報データベース3に格納される。PC5においては利用者9によりメール(郵送対象文章)が作成され、さらに、PC5からの要求に応じて、切手バリューから郵送代金に相当する電子切手が電子切手カード8によって生成される。この電子切手10が印刷された郵便物11はポスト12に投函され、郵便局4においては利用者情報データベース3の情報に基づいて電子切手10の検査照合が行われるようになっている。
電子切手システムの各部1〜8は、具体的には以下のように構成されている。
図2は電子切手販売センターの構成例を示すブロック図である。
同図に示すように、電子切手販売センター1はネットワークインターフェース21を備え、ネットワーク(図示せず)を介して決済機関2,利用者情報データベース3,PC5と接続されており、これらとの間で暗号通信を行うようになっている。また、電子切手販売センター1は、登録部22,バリュー要求検証部23,残高確認要求部24,切手バリュー生成部25及び受領確認検証・決済部26を備えている。
ここでまず、登録部22は、電子切手販売センター1を訪れた利用者9からの登録情報が入力装置により直接入力され、あるいはPC5からネットワークを介して通信により入力された利用者登録情報を受け付ける。また、当該受付情報をネットワークを介して利用者情報データベース3に登録し、さらに決済に必要な情報(銀行口座番号、電子切手カードのカードID等)を決済機関に通知した上で、登録情報のうちから必要な情報を格納した電子切手カード8を発行する。なお特に図示しないが、利用者の登録情報は電子切手販売センター1内に保持される。
ここで、ネットワークを介して利用者の登録情報が入力された場合には、電子切手カード8は書留などで郵送される。また、直接に販売センター1を訪問した場合には電子切手カード8は手渡される。なお、電子切手カード8の発行後は、ネットワークを介して切手バリューを購入できるが、訪問時に現金を支払い、その現金分の切手バリューをカード内に入力してもらうことも可能である(現金決済)。
バリュー要求検証部23は、PC5から切手バリュー購入要求を受けると、利用者情報データベース3に登録された情報を用いて署名検証を行い、その結果を残高確認要求部24に通知する。
残高確認要求部24は、決済機関2に対し、カード8の利用者9の口座残高の確認要求を発行する。
切手バリュー生成部25は、決済機関2からカード利用者の口座残高がバリュー発行要求金額を越えており、利用者口座から要求金額分を販売センター口座に振り替えた旨の通知を受け取ると、切手バリューを生成しPC5に送信する。なお、電子切手カード8に直接切手バリューを入力する場合には、登録部32からの要求に応じて切手バリューを発行し、要求元の登録部32に返す。この場合、登録部32は受け取った切手バリューを電子切手カード8に格納する。
受領確認検証・決済部26は、発行した切手バリューに対する受領確認をPC5から受け取ると、署名検証を行うとともに受領確認内容を調べる。受領確認検証・決済部26は、内容に間違いのないことを確認すると、決済機関2に決済要求を送出する。決済機関2においては販売センター口座に振り替えられた切手バリュー代金が郵便局口座へ引き落とされることで即時決済がなされる。さらに、そのバリュー発行情報を利用者情報データベース3に登録する。
次に、利用者情報データベース3は、ネットワークを介して切手販売センター1及び郵便局4に接続されており、これらと暗号通信を行うことにより各種データを登録し、また提供する。なお、切手販売センター1とは公衆回線等により接続され、郵便局4とはLAN等によって接続されている。すなわち、利用者情報データベース3は、郵便局というLANシステム内のデータベースとして存在するものである。
図3はある電子切手カードに対応して利用者情報データベースに格納される登録情報を示す図である。
同図において、項目31はデータの要素、項目32は各データ要素の説明、項目33は各データ要素が電子切手カード8内ではどのような状態で格納されているか、項目34は各データ要素がデータベース3ではどのような状態で格納されているかを示す。
すなわち同図に示すように、一つの電子切手カード8に対応し、利用者情報データベース3においては、カードID、カード所有者(利用者)氏名、所有者住所、所有者電話番号、カード公開鍵証明書、電子切手販売センター公開鍵、カード所有者パスワード、カード有効期限、累積購入額、累積総利用額、ログ等の情報が登録されるとともに、各切手バリューの発行に対応して切手バリュー通し番号、バリュー発行金額、バリュー未使用残高、累積利用額、使用済み切手IDが登録される。また、図示しないが、使用済み切手IDに対応し、料金不足と判断され配達されなかったときの電子切手の郵送料金の情報も格納され、また、配達済か否かを示すフラグが設けられる。
また、図3に示されるように、電子切手カード8には、利用者情報として、少なくとも、ICカードを特定するために付与されるユニークな番号であるカードID、カード所有者(利用者)氏名、所有者住所、所有者電話番号、カード公開鍵証明書(カード自体に付与される公開鍵と秘密鍵のペアも含む)、電子切手販売センター公開鍵、カード所有者パスワード、カード有効期限が登録されるとともに、切手バリュー情報として、切手バリュー通し番号、バリュー発行金額、バリュー未使用残高、累積利用額が登録されることになる。また、特に図示しないが、利用者の所属などの情報も登録される。
次に、PC5及び電子切手カード8の構成を図4を用いて説明する。
図4は利用者のパーソナルコンピュータ及びこれに接続される電子切手カードの構成例を示すブロック図である。
パーソナルコンピュータ5はネットワークインターフェース41を備えて電子切手販売センター1とネットワーク通信を行うようになっているとともに、カード・センタ用インターフェース42,郵便計りアプリケーション43,印刷アプリケーション44及びワードプロセッサ45等を備えている。なお、図4には図示しないが、PC5及び電子切手カード8には、電子切手使用ログやバリュー受領ログ等の各種のログ情報が格納され、これらのログ情報は、電子切手の印刷に失敗したような場合の料金返却要求用のデータとして用いられる。
ここで、カード・センタ用インターフェース42,郵便計りアプリケーション43及び印刷アプリケーション44は、電子切手販売センター1からインストールされるプログラムによって実現される機能手段であり、これらのソフトウエアは耐タンパー性を備えて不正行為が行えないようになっている。なお、耐タンパー性とは、利用者を含む第三者がハードウエア要素やソフトウエア要素の内部を不正に調べても、その要素内に流れるデータを取得できない仕組みをいう。ICカード等のハードウエア要素に耐タンパー性を持たせる例としては、例えばガス封入をしておき、カードを分解するとそのガスによって内部が壊れるようにする等がある。
カード・センタ用インターフェース42は、電子切手カード8〜電子切手販売センター1間の通信を中継し、また、郵便計りアプリケーション43〜電子切手カード8間の通信を中継する。つまり、図2で説明した電子切手販売センター1〜PC5間の通信は、実際には電子切手販売センター1〜電子切手カード8の通信をPC5が中継した結果である。
郵便計りアプリケーション43は、ワードプロセッサ45等で作成したメールの料金を計算するとともに、PC5におけるヒューマンインターフェース処理を行い、利用者9からの要求入力に従って電子切手カード8に各種入力や要求を行うものである。利用者入力に従い、例えば起動時のパスワード入力や、切手バリュー購入要求発行依頼、電子切手発行依頼等を電子切手カード8に行う。
印刷アプリケーション44は、カード・センタ用インターフェース42,郵便計りアプリケーション43を介して受け取った電子切手を封筒等に印刷する。
次に、電子切手カード8は、耐タンパー性を備えたICカードからなり、PC5と通信するためのインターフェース51と、切手バリュー購入要求生成部52,受領バリュー検証部53,受領確認生成部54,電子切手生成部55,利用者情報格納部56及び切手バリュー情報格納部57を備えている。
ここでまず、利用者情報格納部56は、カード発行時に上記した利用者情報を格納する。また、切手バリュー情報格納部57は、カード内の各部53,55の処理に対応して上記した切手バリュー情報を格納する。
また、切手バリュー購入要求生成部52は、PC5からの切手バリュー購入要求依頼を受けると、指定された金額の切手バリュー購入要求を利用者情報格納部56の利用者情報を用いて作成し、PC5を介して同購入要求を電子切手販売センター1に送信する。
受領バリュー検証部53は、電子切手販売センター1が発行した切手バリューをPC5を介して受領するとともに、その署名検証及び内容確認を利用者情報格納部56の利用者情報を用いて行い、受領バリューが正規かつ要求通りの切手バリューであればその旨を受領確認生成部54に通知するとともに、切手バリュー情報を切手バリュー情報格納部57に格納する。
受領確認生成部54は、受領バリュー検証部53からの検証結果を受けて、受領確認を利用者情報格納部56の利用者情報を用いて生成し、PC5を介して受領確認を電子切手販売センター1に送信する。
電子切手生成部55は、PC5からの切手生成要求を受けると、指定された金額の電子切手を利用者情報格納部56の利用者情報及び切手バリュー情報格納部57の切手バリュー情報を用いて生成し、電子切手をPC5に引き渡す。また、切手バリュー情報におけるバリュー未使用残高から発行した電子切手の代金を差し引くようになっている。また、このとき生成される電子切手には図4に示す各情報が格納される。
図5は電子切手に格納される情報例を示す図である。
同図において、項目58は電子切手内に格納される各情報におけるデータの要素である。また、項目59は、各データ要素の内容を示す。すなわち電子切手には、カードID、切手バリュー通し番号、累積利用額、バリュー未使用残高、カード公開鍵証明書、切手ID、郵送料金、郵送形態、郵送種別、宛先、切手バージョン、印刷日時、配達指定日、切手有効期限、印刷ソフトバージョン及び切手カード署名の各情報が格納される。
次に郵便局4の構成について説明する。なお、本実施形態でいう郵便局とは、電子切手を扱うための計算機システムとしての郵便局4をいう。さらに、この計算機システムはLANの1ノードをなし、LAN内の他のノードとしての利用者情報データベース3と接続されている。
図6は郵便局の構成例を示すブロック図である。
同図に示すように、郵便局4は、電子切手上の二次元コード(又は二次元バーコード)を読み取るためのスキャナ6を接続するとともに、LAN接続される利用者情報データベース3と暗号通信を行うようになっている。
郵便局4には、スキャナ6からの電子切手読み取り情報を入力し署名検証を行う署名検証部61と、利用者情報データベース3と暗号通信を行うためのネットワークインターフェース62と、切手番号確認部63と、バリュー残高確認部64と、郵便料金等確認部65と、有効期限確認部66と、バージョン対応処理部67とが設けられている。
切手番号確認部63は、その電子切手から読み取られた切手バリュー通し番号や切手ID番号と、利用者情報データベース3に格納される対応情報とに基づき、署名確認された電子切手を特定する。
バリュー残高確認部64は、切手番号確認部63にて特定された電子切手について、電子切手から読み取られた郵送料金,バリュー未使用残高及び累積利用額と、利用者情報データベース3に格納される対応情報とに基づき、本来の残高を超えて使用する不正な電子切手でないかを確認する。
郵便料金等確認部65は、バリュー残高確認部64にて不正でないと判断された電子切手について、さらに封書のサイズや重さ等から適正な料金の電子切手が付されているかを確認する。また、料金不足と判断したときには、その電子切手の切手ID番号及び切手の郵送料金を利用者情報データベース3に登録する。
有効期限確認部66は、郵便料金等確認部65にて料金確認された電子切手について、さらに電子切手が有効期限内のものであるかを利用者情報データベース3の情報から確認し、有効期限内である場合には配達教務に回すように指示出力を行う。なお、切手番号確認部63、バリュー残高確認部64、郵便料金等確認部65又は有効期限確認部66の何れかで適正でないと判断されたときには、これらの各部63〜66より返却すべき旨の指示が出力される。
バージョン対応処理部67は、電子切手に切手バージョンが付されているときには、以前のバージョンの電子切手(切手バージョンが付されていないもの、及び以前のバージョンのもの)の郵送料金を利用者情報データベース3から読み出し、今回の郵送料金と加算して合計郵送料金とし、バリュー残高確認部64に情報を引き渡す。なお、この場合、バリュー残高確認部64では今回の郵送料金に対する確認を行い、郵便料金等確認部65では合計郵送料金に対して確認処理を行う。
次に、以上のように構成された本実施形態における電子切手システムの動作について説明する。
まず、図1に沿って全体的な処理の流れを説明する。
利用者9は電子切手販売センター1へ、利用者9として登録するために登録情報を送る。この際、利用者9が本人であることを示すための身分証明が必要とする方が好ましい。登録情報としては、利用者氏名、住所、電話番号、所属、バリューを決剤するための口座番号、ICカードのパスワードなどがある。
電子切手販売センター1は、利用者9からの登録情報が正しいと判断された場合、電子切手カード8としてのICカードに利用者の情報など利用者情報格納部56を書き込み、利用者へ送る。
利用者9は電子切手カード8であるICカードを受け取るとこれをPC5に装着し、電子切手を利用するため切手バリューを前納購入する。利用者9は、電子切手販売センター1に、切手バリューの購入金額をネットワークを経由して通知する。電子切手販売センター1は、切手バリューを生成し、利用者9のPC5へネットワークを経由して送る。そして、郵便局4の利用者情報データベース3に、登録された利用者の情報や、発行した切手バリューなどの情報を登録しておく。利用者9(PC5)は受け取った切手バリューを電子切手カード8へ格納する。このとき、切手バリューの情報に不備がないか検証し、不備があればエラー通知を、不備が無ければ受領通知を電子切手販売センター1へ返す。なお、切手バリューを購入するため、電子切手販売センター1との通信には専用アプリケーションとしてカード・センタ用インターフェース42が利用されており、購入金額などの情報は暗号化されている。
利用者9(PC5)は、メールを作成した後、電子切手販売センター1から予め入手した郵便計りアプリケーション43を利用して郵送料金を確認する。そして、郵送料金、他の電子切手を生成するのに必要な情報をPC5を経由して電子切手カード8へ送る。電子切手カード8では、送られた情報と格納された情報を基に電子切手を生成する。生成の手順については後述する。
電子切手が生成されると、電子切手カード8は電子切手をPC5へ送り、PC5は受け取った電子印紙を印刷するための印刷アプリケーション44を利用してプリンタにて、例えば封筒に印刷する。利用者9は、印刷された封筒に作成したメールを封緘し、最寄りのポスト12へ投函する。
郵便局4では、投函された郵便物11に印刷された電子切手10に対し、スキャナ6などを用いて印刷された情報を読み取る。
印刷された電子切手10の情報について、郵便局4の利用者情報データベース3に記録されている利用者9に対する切手バリューや電子切手に関する情報を照合し、矛盾が無ければ配達する。もし矛盾があれば、差出人に差し戻す。
以下、上記処理の各段階について詳しく説明する。
[利用者が電子切手販売センターに利用者登録し、切手バリューを購入するまでの処理]
図7は利用者が電子切手販売センターに利用者登録し切手バリューを購入するまでのプロトコルを示す図である。
まず、利用者9は、PC5を用いて利用者登録情報を電子切手販売センター1に送る(s1)。登録に必要な情報は、例えば、利用者の名前、住所、電話番号、E−Mailアドレス、決済用の口座番号、ICカードを使用するためのパスワードである。これらの情報は、個人情報でも有るため、ネットワークを利用してやり取りする場合は、利用者PC5と電子切手販売センター1との間の通信は暗号化する。また、ここでの通信は、WWWを利用してもよいし、電子メールによって送信しても良い。また、ネットワーク越しではなく、利用者が例えば窓口にて登録を希望する場合は、本当に本人であるかを確認するため、本人を証明する運転免許証などの身分証明書を同時に提示してもらい確認する。
本実施形態ではネットワーク上でのやり取りを想定しており、本人確認は登録情報が送られた後、本当に希望するか登録希望者へ電子メールにて確認するか、郵便にて確認する方法(図示せず)をとるものとする。
電子切手販売センター1の登録部32にて利用者から送られた登録情報を受け付けるとともに、これらの情報が正しいか等が例えば上述の方法により確認される。また、口座番号が確認され、登録情報の確認が済んだ後に、利用者5が所持すべきICカードのカードID、カード公開鍵ペア、カード公開鍵証明書、管理ホスト公開鍵証明書といった利用者情報が生成される。そして、利用者5から送られた登録情報と、生成した利用者情報とが登録部32により、ICカードの利用者情報格納部56へ書き込まれることで電子切手カード8が作成される。同カード8は利用者へ郵送する(s2)。
利用者は、電子切手カード8が送られたら、切手販売センター1から郵便を計量するための郵便計りアプリケーション43、電子切手を印刷するための印刷アプリケーション44及びカード・センタ用インターフェース42をダウンロード等により入手する(s3)。これらのソフトウエアは上記したように耐タンパー性ソフトウエアであり、特に印刷アプリケーションは、電子切手データを直接取り扱うため、利用者が不正行為ができないような仕組みであることが重要である。利用者9は、手に入れた郵便計りアプリケーション43、印刷アプリケーション44及びカード・センタ用インターフェース42をPC5にインストールし環境を設定し利用可能な状態にする。これにより、PC5は図4に示すような状態となる。
次に、利用者9は切手バリューを購入する。なお、切手バリューの購入および電子切手の印刷等は、カード・センタ用インターフェース42や印刷アプリケーション44を利用して行われる。
まず、利用者9は、電子切手販売センター1より送られた電子切手カード8を利用者PC5のICカードスロットに挿入する。これによって郵便計りアプリケーション43のウインドウ画面が立ち上がり、ID及びパスワードを入力してカード使用可能状態とした後に、同画面から切手バリューの購入金額を入力する。
要求される購入金額は電子切手カード8に送られ、電子切手カード8の切手バリュー購入要求生成部52によって、カードID、購入金額、口座番号にディジタル署名されたデータである切手バリュー購入要求が生成される。生成した切手バリュー購入要求は利用者PC5へ返され、さらに利用者PC5から電子切手販売センター1へ送られる(s4)。なお、同図のステップs1ではScard(CID,value_fee,bank_num)と示されているが、これはカードID:CID、購入金額:value_fee、口座番号:bank_numが秘密鍵cardによってデジタル署名されたことを示している。以下、特に断らないが、デジタル署名情報については、署名対象の情報と上記のデジタル署名された情報とから構成されるものとし、上記の表現を取る。
電子切手販売センター1においては、切手バリュー購入要求を受け取ると、まず、バリュー要求検証部23によって切手バリュー購入要求の署名検証が行われる。そして、署名検証の結果が正しければ、その結果を受けた残高確認要求部24によって、切手バリューを決済する決済機関2(決済金融機関2ともいう)に対し、利用者9のカードID(CID)、購入金額(value_fee)、口座番号(bank_num)に電子切手販売センター1がディジタル署名(暗号化:Sissuer)した口座確認要求が送られる(s5)。
決済金融機関2では、送られた口座確認要求の署名検証が行われ、検証結果が正しければ、口座番号の預金残高が確認される。残金残高が購入金額以上であれば、利用者9の口座から購入金額分が差し引かれ、電子切手販売センター1の口座に振り替えられる。そして、口座振替が完了したことが通知される(s6)。逆に、預金残高が購入金額未満であれば、預金残高が不足している旨が電子切手販売センター1に通知され(s6)、電子切手販売センター1からは利用者(PC5)に切手バリューが販売できないことが通知される(図示せず)。
さて、口座振替が完了したことを通知された電子切手販売センター1では、切手バリュー生成部25により切手バリューが生成される。このとき切手バリュー毎に異なるユニークな切手バリュー通し番号が生成され、利用者9から送られたカードID、切手バリュー通し番号、購入金額に、電子切手販売センター1のディジタル署名が施され暗号化された切手バリューが利用者へ送信される(s7)。
利用者9のPC5にて受け取られた切手バリューは電子切手カード8に送られ、受領バリュー検証部53によって、利用者情報格納部5に格納された電子切手販売センター1の公開鍵証明書が用いられて切手バリューの署名検証が行われる。署名検証の結果が正しければ、受領確認生成部54によって受領応答が生成される。受領応答は、カードIDと切手バリュー通し番号にICカードのディジタル署名を施し暗号化されたものである。この受領応答は電子切手販売センター1へ利用者PC5を経由して送信される(s8)。
電子切手販売センター1では、受け取られた受領応答の署名が受領確認検証・決済部26にて検証され、検証結果が正しければ利用者9の切手バリュー購入情報が郵便局4の利用者情報データベース3へ送り登録される(s9)。この場合、さらに決済機関2に決済要求が送信され、電子切手販売センター1の口座に振り返られたバリュー代金が郵便局口座に引き落とすように決済される。一方、送られた切手バリューの署名検証を行った結果が正しくなけれれば、利用者はその旨を電子切手販売センターに通知し、再度切手バリューを送信してもらう。
なお、電子切手販売センター1から郵便局4へ送られる切手バリュー購入情報は、カードID、切手バリュー通し番号、購入金額である。これらの情報はデータベース3へ登録され、利用者9が電子切手を使用した場合の検証に利用される。
[切手バリューを購入した利用者が、電子切手を印刷するまでの処理]
図8は切手バリューを購入した利用者が電子切手を印刷するまでのプロトコルを示す図である。
まず、利用者9は、電子切手カード8をリーダ/ライタ(ICカードスロット)に挿入し、郵便計りアプリケーション43を立ち上げ、ICカードの持ち主であることを確認するための利用者確認を行う(t1)。利用者確認は、上記したように、本実施形態ではユーザIDとパスワードによるベーシック認証により行うものとする。より厳密に行うには、例えば利用者の指紋や音声といった生体情報を利用する方があり、利用者の確認は生体情報を利用する方が好ましい。また、利用者のユーザIDやパスワードは、印刷アプリケーションを用いて変更できるようにしても良い。この場合は、旧いパスワードを入力し、ICカードに登録されたパスワードと一致した場合にみ変更可能とする。
さて、入力されたユーザIDとパスワードはカード・センタ用インターフェース42を介して電子切手カード8に送られ(t1)、電子切手カード8において、このユーザIDとパスワードがICカードに登録されたユーザID、パスワードと一致するが確認される。一致することが確認された場合には、利用者PC5へ一致したことを示すACK信号が返される(t2)。
次に、利用者はICカード内の切手バリューの残高確認を行う(t3)。
残高の確認要求を受け取った電子切手カード8においては、ICカード内の切手バリューの残高情報が利用者PC5へ返される(t4)。ここで、ICカード内の切手バリューの残高がわかっている場合には、利用者は残高確認を行わなくてもよい。
残高が十分であることが判った場合には、利用者は電子切手を生成するために必要なデータを郵便計りアプリケーション43に入力する。これらのデータは、宛先、通常の郵送料金に加え、定型/定形外/第三種などの郵送形態、普通/速達などの郵送種別、配達希望日である。なお、通常の郵送料金はワードプロセッサ45から受け取ったメールの情報からその印刷枚数が求められ、枚数に応じた紙の重さから算出される。また、例えば作成したメールが80円であるならば、さらに郵送形態や郵送種別が選択された上で、合計の金額を算出し郵送料金を計算するようにしてもよい。また、配達希望日は無ければ省略してもよい。なお、、郵便計りアプリケーション43は、ワードプロセッサ45からの印刷対象文章から郵便料金を計算する場合のみならず、ワードプロセッサ45と無関係に利用者の入力によって指定された金額の電子切手を発行させ得るようになっている。
郵送料金が計算されたら、利用者PC5から、郵送料金、印刷アプリケーションのID番号、郵送形態、郵送種別、宛先の郵便番号、宛先の住所表示番号(丁、番地、号など)、利用者PCの時刻情報を利用した電子切手生成日、電子切手の有効期限、配達希望日、といった情報が電子切手カード8へ送信される(t5)。この送信データは特に暗号化されているわけではない。
ICカードにおいては、電子切手生成部55によって、先に利用者PCから送られた情報と、利用者情報及び切手バリュー情報に基づいて電子切手が生成される。
この生成処理においては、まず、電子切手番号が生成される。この電子切手番号は、購入した切手バリューから生成される電子切手の通し番号であり、同一切手バリューから生成される電子切手の中で、同じ電子切手番号は生成されない。次に、切手バリュー情報格納部57内の切手バリューの残高が減額される。さらに、これまでに生成した電子切手の金額を累積した累積利用金額が更新される。即ち、利用者PCから送られた郵送料金分だけ残高を減額し、累積利用額を増額するのである。この残高と累積利用額を足したものが、切手バリューの購入金額となるように管理される。なお、図8に示す切手バージョンについては後述する。
さらに、電子切手カード8の電子切手生成部55により、カードID、切手バリュー通し番号、ソフトウェアID、残高、累積利用額、電子切手番号、郵送料金、郵送形態、郵送種別、宛先郵便番号、宛先住所表示番号、切手バージョン、切手生成日、有効期限、配達希望日に対して、ICカードのディジタル署名が施されて暗号化され(図8:Scard(...))、それにICカードの公開鍵証明書(図8:card_cert)を付けて電子切手(図8:Scard(...)|card_cert)として利用者PC5へ送られる(t6)。
送られた電子切手を印刷アプリケーション44によってプリンタへ送られ、例えば封筒に印刷される。なお、印刷される電子切手として、面積当たりの情報量が多い二次元コード(または二次元バーコード)が印刷されるものとする。また、電子切手が印刷されるのと一緒に、利用者が入力した郵便番号や宛先、宛名が印刷される。
利用者は、印刷された封筒に作成したメールを封緘し、最寄りのポスト12に投函する。
[投函された郵便物に印刷された電子切手を読み取り検査する処理]
図9は投函された郵便物に印刷された電子切手を読み取り検査する手順を示した流れ図である。郵便局4では、投函された郵便物11に印刷された電子切手10を二次元バーコードのスキャナ6により読み取られる(u1)。ここで、読み取られる電子切手10は、利用者9が印刷したカードの署名情報とカードの公開鍵証明書である。これらの読み取られた情報は、郵便局4の署名検証部61に送られ、同検証部61によって電子切手10の署名検証が行われる(u2,u3)。
署名検証の結果が間違っていれば(u3)、不正が行われたか、印刷ミスが考えられる。この様な場合は、差出人に返却される。正しい場合には(u3)、読み取り情報が切手番号確認部63に送られる。なお、郵便局4の処理において、ある機能手段(切手番号確認部63等)から他の機能手段へ読み取り情報が送られ、また引き渡されるというのは、その情報自体が渡される場合の他、郵便局4内の記憶装置(図示せず)に記録された情報が他の機能手段にて利用されることとなる場合なども示す。
ここで、カードIDが登録されているかについて、利用者情報データベース3が検索される(u4)。カードIDが登録されていないものならば(u4)、差出人に返却される。一方、カードIDが登録されているものであるならば(u4)、さらに、このカードIDが購入した切手バリューの通し番号が一致するかが切手番号確認部63により確認される(u5)。このとき、カードIDに対する切手バリュー通し番号が不一致ならば(u6)、差出人に返却され、一致していればステップu7へ進む。
次に、切手番号確認部63によって、切手バリュー通し番号に対する電子切手番号が確認される。ある切手バリューから生成される電子切手番号は、必ず通し番号になっているため、既に流通した,即ち消印が押された電子切手が、再度流通することはない。そこで、電子切手番号が既に流通、消印が押されているものかが利用者情報データベース3の登録情報に基づいて確認される。ここで、まだ消印が押されていないと確認されれば、ステップu9に進み、次の検証が行われる。
さて、ステップu8で既に一度流通したもの、と判定された場合について述べる。
図8に示すように、電子切手が生成されるときには、切手バージョンが含められる場合がある。この切手バージョンは、ステップu9以降まで処理が進んだにもかかわらず、料金不足などのトラブルにより郵便が配達されず、同一の電子切手について再発行されるものに付される。すなわち、電子切手生成時にPC5から切手バージョンが入力され、再発行されたものであることを示す情報が切手バージョンであり、この電子切手においては、前のバージョンの電子切手と切手バリュー通し番号及び電子切手ID番号が同一である。
例えば、差出人が入力した郵送料金が不足であるために、郵便物が返却された場合を想定する。この場合、ステップu8の処理が終わった段階で、切手番号確認部63によって、その電子切手についての使用済み切手IDが利用者情報データベース3にに登録される。これより、返却の有無にかかわらず郵便物に印刷された電子切手は流通したものとして登録される。この段階では、使用済み切手IDには配達済のフラグは立てられない。このフラグオフ状態で配達中止となると、データベース9には使用済み切手IDに対応して郵送料金が記録される。
この場合、利用者9は再度不足分の電子切手を電子切手カード8に生成させるが、このときの電子切手番号は不足分だった電子切手番号と同じとなり、前の電子切手と区別するために切手バージョンが入力される。生成された新しい電子切手は例えば新しい封筒に印刷され、再度投函される。
郵便局4においては、切手バリュー通し番号及び電子切手番号から、この新しい電子切手が一度流通したものであることが認識されるが、切手バージョンが変更されているため、前回の電子切手の追加分であることがわかる。この場合、前回の電子切手は流通済扱いとされているが、郵便自体は返却されており使用済み切手IDに対するフラグが立っていないので、その郵送料金はまだ使用されていない。
そこで、以前流通した電子切手の郵送料金と、今回配送された電子切手の郵送料金とを足した金額を新しい郵送料金とする。こうすることにより、郵送料金不足等による払い戻しの手間を省略することが可能となる。以後の処理については、図10を用いて後述する。
さて、上記したステップu8において、電子切手番号が未流通である,と判定された場合は、読み取り電子切手情報はバリュー残高確認部64に引き渡される。ここでまず、利用者情報データベース3に記録されている切手バリューの残高が、電子切手に記録されている残高と郵送料金とを足した金額になっているかが確認される(u9)。もし、電子切手に記録されている残高と郵送料金とを足した金額が、データベース3に記録されている切手バリューの残高より多ければ、何らかの不正があったことがわかるので、この場合には郵便物を返却する(u10)。
データベース9に記録されている切手バリューの残高が、電子切手に記録されている残高と郵送料金とを足した金額以上になっている場合(u10)には、電子切手に記録されている累積利用額と残高との合計金額が、データベース9に記録されている切手バリューの発行金額を越えていないかがバリュー残高確認部64により確認される。もし、累積利用額と残高との合計金額が、切手バリューの発行金額を越えていれば、何らかの不正が発生したことがわかるので、この場合には郵便物を返却する(u12)。
次に、バリュー残高確認部64により不正行為が行われていないことが確認されると、情報は郵便料金等確認部65に引き渡され、この郵便料金等確認部65によって、郵送料金が郵送種別や郵送形態などから算出される料金を満たしているかが確認される(u13)。もし、満たしていなければ(u14)、料金不足として差出人に返却する。ここで、料金不足として返却される場合には、電子切手の郵送料金がデータベース3に記録される。
最後に有効期限確認部66にて電子切手の有効期限が確認される(u15)。例えば有効期限を1週間とすれば、電子切手が生成されてから1週間以内に電子切手を印刷、投函しなければならない。この有効期限は、電子切手番号の確認を容易にするために設けたものである。例えば電子切手番号が1番と2番の電子切手を生成、印刷したとする。電子切手番号が2番の郵便物を直ぐに投函し、電子切手番号が2番の郵便物を1年後に投函したとする。この様なことが同じ切手バリューから生成される電子切手で多発すると、記録しておくべき電子切手番号は、生成される電子切手分ということになり、切手バリューの発行金額が大きい場合、管理が面倒になる。このため、検査を容易に、また郵便局のDBの管理や記録しておくべきデータ量を削減するため、電子切手の有効期限を設けてある。なお、この有効期限確認は、特に行わないようにしてもよい。
有効期限切れの場合は、利用者情報データベース3の電子切手番号が更新され、この電子切手は消印が押されたもの、すなわち使用済み切手として処理される(u16)。有効期限内であれば、この電子切手は正しいものであると確認され(u16)、通常の配達業務が行われ宛先まで届けられる。配達業務が行われる旨の指示出力がされる場合には、利用者情報データベース3の使用済み切手IDに対応したフラグが配達済状態とされる。
以上が電子切手システムにおける郵便処理であるが、次に、電子切手番号が発行済みと判定され、かつ、電子切手の切手バージョンが新しいものである場合について、図9及び図10を用いて説明する。
まず、図9のステップu8において、発行済み電子切手であると判断されると、データベース3に配達済フラグが立っているか否かが確認され(u17)、配達済の場合には返却される。一方、未配竜の場合には、バージョン対応処理部67によって切手バージョンの有無が確認され(u18)、切手バージョンがない場合には返却されるが、切手バージョンがある場合には図10に示す郵送料金の確認業務へ進む(u19)。
図10は切手バージョンが付されている場合における郵送料金の確認業務の内容を示す図である。
まず、切手バージョンがあると判断されたときには(図9:u18,u19)、バージョン対応処理部67にてバージョンが確認される(図10:v1)。ここで、電子切手バージョンが新しいものであると確認されなかった場合、この電子切手は不正なものであるとして差出人に返却される。
電子切手バージョンが新しいものであると確認された場合には、バージョン対応処理部67によって、利用者情報データベース3に記録される以前のバージョンの電子切手の郵送料金が、新しい電子切手の郵送料金に加算される(v2)。ここで、以前のバージョンの電子切手とは、バージョンの付されていない電子切手及び元バージョンより古いバージョンの電子切手をいう。
バージョン対応処理が済んだ情報はバリュー残高確認部64に送られ、同確認部64にて図9のステップu9〜u11と同様な処理が実行される(v3〜v6)。すなわち新バージョンの電子切手が不正でないかが確認される。なお、このときの電子切手側の残高や切手代は、新しい電子切手に含まれた情報のみが用いられ、ステップv2にて算出された合計金額は用いられない。
新しい電子切手が不正でないことが確認された場合(v6)には、ステップv2で算出された合計の郵送料金が郵送種別や郵送形態などから算出される料金を満たしているかが郵便料金等確認部65にて確認される(v7)。もし、満たしていなければ料金不足として差出人に返却する。なお、この場合、上記場合と同様に新しい電子切手の郵送料金(追加分)が利用者情報データベース3に格納される。
最後に電子切手の有効期限が確認され(v9)、有効期限切れの場合は(v10)、DBの電子切手番号が更新され、この電子切手は消印が押されたもの、すなわち使用済み切手として処理される。有効期限内であれば(v10)、この電子切手は正しいものであると確認され、通常の配達業務が行われ、宛先まで届けられる。なお、配達業務に回される場合には、この電子切手の使用済み切手IDに対応した配達済フラグがONされる。
上述したように、本発明の実施の形態に係る電子切手販売システムは、電子切手販売センター1にて切手バリューを発行し、切手バリューの受領確認を受けると決済を行い、また、切手バリューを格納する電子切手カード8にて電子切手を生成するようにしたので、郵便物に貼付される切手を電子化するとともに、電子化される切手料金を切手生成前にまとめてオンライン処理による電子決済をすることができる。
したがって、これまでのように利用者が郵便局や切手の販売店に出向くことなく、オンライン上で切手を購入し、作成したメッセージを宛先に送付することができる。
また、暗号を用いたネットワーク通信により、切手バリューや受領確認等を流通させるようにしているので、通信の安全性を高め、ひいては電子切手に対する不正行為を防止することができる。
また、一旦切手バリューが発行された後は、電子切手販売センター1とやり取りすることなく、電子切手カード8と利用者PC5と間の要求生成処理によって電子切手を生成され、PC5にて印刷されるので、手続きを簡便なものとすることができ、一旦発行された切手バリューを、切手価値を有する一種のお金のように扱うことも可能となる。
さらに、各種情報が利用者情報データベース3に格納されるので、切手バリューの管理を容易かつ確実なものとすることができる。
次に、本発明の実施形態に係る電子切手生成装置は、電子切手を生成するときに、切手バリューの発行番号、生成する電子切手の切手番号、切手バリュー残高、及び切手代金の各情報を、生成した電子切手に含めるようにしたので、電子切手が正式に発行されたものであるかを確認でき、かつ、料金不正が行われているかを確認することができる情報が含まれる電子切手を生成することができる。
また、電子切手カード8は、耐タンパー性を有するように構成されており、電子切手生成手段は、生成する電子切手に電子署名を施すようになっているので、切手バリューや電子切手の秘匿性を確保することができ、取引の安全性を高めることができる。
また、電子切手カード8がPC5から着脱自在であることから、電子切手カード8を受け渡すことで、電子切手カード8の切手バリューをカード保持者以外の者でも使用することができ、本人同士の合意があれば、切手バリューや電子切手を現実の切手のように個人間で自在に融通すること可能となる。
また、電子切手には、郵送形態や郵送種別等の電子切手が付された郵便物の料金を算出するための情報が含まれているので、電子切手に含まれる情報だけで郵便物の料金計算まで行うことができ、切手確認側(郵便局4)の処理を軽減させることができる。
次に、本発明の実施形態に係る電子切手確認装置は、切手番号確認部63及びバリュー残高確認部64を設け、電子切手内の情報と利用者情報データベース内の情報を照合するようにしたので、電子切手発行確認並びに料金不正有無確認、すなわち電子切手が正式に発行されたものであるか、及びその電子切手について料金不正がなされていないかを確認することができる。
さらに、郵便料金等確認部65を設けて郵送形態や郵送種別等から郵送料金を計算し、電子切手内の郵送料金と照合するようにしたので、料金不足の有無を確認することができる。
[変形例]
実施形態では電子切手を印刷する際に各情報を二次元バーコードに埋め込むようにしている。したがって、印刷される電子切手は二次元バーコードと料金等の基本的な文字数字情報からなるが、これは電子切手印刷時に併せて、図形デザインや写真等を示す画像情報を印刷するのを禁止するものではない。
図11は画像情報を電子切手と同時に印刷するためのPCの変形例を示すブロック図である。
同図に示すように、PC5には印刷用の画像データを格納する画像データ格納部99を備えている。印刷アプリケーション44は、電子切手を印刷する際に郵便計りアプリケーション43のユーザインターフェースから画像印刷の有無さらには印刷画像の選択を利用者9に入力させる。さらに、その結果に基づいて画像データ格納部99から画像データを呼び出し、当該画像を電子切手とともに印刷する。こうして画像付き電子切手が得られることになる。
なお、この変形例では、画像データをプリンタ7から印刷させる場合を説明したが、印刷により画像付き電子切手を得るのみならず、写真やデザイン画のついてシールを封筒上の電子切手付近に張り付けることも考えられる。
(発明の第2の実施の形態)
上記実施形態の変形例によれば、画像付き電子切手を得ることができるが、この画像は電子切手との一体不可分な結合関係がないため、いわゆる記念切手とは言い難い。すなわち電子切手付近に単に画像印刷がついたものにすぎず、両者の必然的一体性がない。本実施形態では、記念切手としての電子切手を販売生成するシステムを説明する。また、譲渡可能な電子切手について説明する。
ここで、本実施形態では、公開鍵暗号方式において公開される鍵を公開鍵、秘匿される鍵を秘密鍵、両者を公開鍵ペアと呼ぶ。本実施形態では、RSA公開鍵方式を利用するものとする。また、対象鍵方式(暗号化と復号が同じ鍵で行われる)に使われる鍵を共通鍵と呼ぶ。本実施形態では、DES暗号方式を利用するものとする。また、耐タンパー性のデバイスやチップとしてICカードを用いるものとする。
本実施形態では、暗号化の処理を、
Ex (M)…X:暗号化するための鍵,M:暗号化対象のデータ、
と表す。また復号の処理を、
Dx (Ex (M))…X:復号するための鍵,M:暗号化対象のデータ、
と表す。すなわち、
Dx (Ex (M))=M、
となる。
また、ディジタル署名の処理を、
SSk(M)…Sk:秘密鍵,M:ディジタル署名対象のデータ、
と表す。ディジタル署名そのものは、ディジタル署名対象のデータそのものと、上記ディジタル署名されたデータとを連接したデータであり、
M|SSK(M)…Sk:秘密鍵,M:ディジタル署名対象のデータ,A|B:AとBとを連接、
となるが、本実施形態では表記を簡単にするため、SSK(M)と表記する。
図12は本発明の第2の実施の形態に係る電子切手販売生成システム、電子切手生成装置、電子切手確認装置、電子切手譲渡システム及びデータ処理装置が適用された電子切手システムの一例を示す構成図であり、図1〜図11と同一部分には同一符号を付してその説明を省略する。
すなわち本実施形態の電子切手システムは、第1の実施形態の電子切手システムと同様に構成される他、電子記念切手を販売、生成、譲渡可能とするために、電子切手販売センター1,利用者情報データベース3,郵便局4,PC5及び電子切手カード8に新たな構成を付加したものである。なお、各部のハードウエア的な構成は第1の実施形態と同様である。
なお、本実施形態では、利用者9は第1の実施形態で説明した利用者登録を済ませているものとして説明する。
図13は電子切手販売センター1,利用者情報データベース3,PC5及び電子切手カード8における新規な構成付加部分を示す図である。
同図には、部分的には第1の実施形態と共通する構成が示されており、また、本実施形態で各装置1,3,5,8に新たに付加される構成も示されている。
まず、電子切手販売センター1には、記念電子切手の購入要求に対応するための購入要求受付部101及び購入情報受付部102と、記念電子切手販売及び譲渡確認のための記念切手生成制御部103,記念切手データ生成部104及び電子透かし埋込部105とが設けられている。
ここで、残高確認要求部24に対する関係では、購入情報受付部102が図2のバリュー要求検証部23に相当する。また、受領確認検証決済部26に対する関係では、記念切手生成制御部103並びに記念切手生成部104が図2の切手バリュー生成部25に相当する。残高確認要求部24及び受領確認検証決済部26は、各部102,103,104から必要な情報や指令を受けて第1の実施形態と同様に動作するようになっている。
次に、利用者情報データベース3には、電子記念切手販売に対応して記念切手販売データベース106及び記念切手画像データベース107が設けられている。
記念切手販売データベース106は、図3に対応する情報を格納し、これら情報を郵便局4に供する。また、記念切手画像データベース107は、電子切手の一部として電子記念切手に不可分な画像部分のデータを格納する。
図14は記念切手販売データベースにおける利用者情報を示す図である。
本実施形態においては、電子切手のバリューが自由な申し込み金額でなく、申し込み枚数に対応した値分発行される。すなわち電子記念切手は枚数単位で管理され、取り扱われる。また、一種類の電子記念切手の発行枚数は予め定められた有限数とされ、電子記念切手の種類毎に記念切手IDが割り付けられる。これらの点を除けば、電子切手並びにバリューの管理は第1の実施形態と同様である。
図14において、記念切手のバリュー通し番号は、電子記念切手の発行の毎にその発行バリューに割り付けられる番号であり、販売シリアル番号(serial)ともいう。なお、上記のように電子記念切手は枚数管理されているため、バリュー発行金額やバリュー未使用残高等は1枚の切手代単位で変更される。また、発行した電子記念切手の枚数や、画像種類及び金額を示す記念切手IDなどの情報も利用者情報データベース3に登録される。
次に、図13に示すように、PC5には、電子記念切手の購入申し込みのための記念切手購入要求部111,記念切手選択部112及び記念切手購入情報送信部113と、電子切手カード8から電子記念切手を発行させ印刷するための郵便料金計算部43(郵便計りアプリケーション43),郵便切手データ変換部114,記念切手印刷部44(印刷アプリケーション44)が設けられている。これらの各部は第1の実施形態の場合と同様に耐タンパー性を有する。
また、郵便料金計算部43は、メッセージ作成部45(ワープロ等のアプリケーション45)からの印刷対象文章から郵便料金を計算するのみならず、メッセージ作成部45と無関係に利用者の入力によって指定された金額の電子切手を発行させ得るようになっている。なお、第1の実施形態のカード・センタ用インターフェース42は、ICカードI/F部42に含めて示している。
電子切手カード8には、図4に示す切手バリュー購入要求生成部52に記念切手購入するための記念切手購入情報生成部121と切手を譲渡するための切手譲渡情報生成部122が設けられている。また、発行された切手バリューを格納し管理・切手発行するための記念切手バリュー検証部123,記念切手バリュー格納部124,記念切手画像格納部125,記念切手画像データ格納部126,記念切手管理部127及び記念切手データ生成部128が設けられている。
次に、以上のように構成された本実施形態における電子切手システムの動作について説明する。
[記念切手購入要求〜要求受付までの処理]
まず、記念切手購入要求を出し、受け付けてもらうまでの処理を図1313及び図15を用いて説明する。
図15は記念切手購入要求を出し、受け付けてもらうまでの処理を示す図である。
記念切手を購入するためには、まず利用者9のPC5における記念切手購入要求部111から、記念切手の購入要求が電子切手販売センター21に送信される(w1)。この購入要求送信は、PC5から例えばネットワークを介して電子切手販売センター13のホームページにアクセスすることで実現される。ホームページにアクセスすると、記念切手を購入するためのカードID(UID)が入力される。
この購入要求が電子切手販売センター1の購入情報受付部102にて受け付けられると、すなわちカードIDが確認され、正規のユーザであると判定された場合には、購入情報受付部102から記念切手の購入画面が返送される(w2)。電子切手販売センター1が記念切手購入画面を利用者PC5に表示する方法としては、例えばWWW(World Wide Web)で利用されるCGI(Common Gateway Interface)が用いられる。
図16は記念切手購入画面の一例を示す図である。
利用者9が購入画面で購入する記念切手を選択し枚数を記入すると、合計金額が表示されるので、購入するのであれば“OK”を選択して購入する。この選択購入受付サービスは、記念切手選択部112によって実現される。
選択情報は記念切手選択部112から記念切手購入情報送信部113に引き渡されるとともに、電子切手販売センター1へ乱数の発行要求であるrand_reqが送信される(w3)。この乱数発生要求に対応して、購入情報受付部102において乱数randが生成され、PC5の記念切手購入情報送信部113に送信される(w4)。なお、乱数randは記念切手を要求するPC5の同一性を確認する手続きに用いられるものである。
記念切手購入情報送信部113は、先に記念切手選択部112から受け取った記念切手購入要求を生成するための情報と電子切手販売センター1から受け取った乱数とを電子切手カード8に送り(w5)、最終的な購入申し込みである記念切手購入要求を作成させる。なお、記念切手購入要求を生成するための情報は、利用者が電子切手販売センターのホストに接続したときに表示された記念切手カタログ画面(図16)で記念切手を購入選択した情報と、購入枚数を記入することで算出された購入金額(fee)とからなる。また、電子切手カードは、既に利用者のカードIDとパスワードの照合が終わり活性化されているものとする。
さて電子切手カード8の記念切手購入情報生成部121により、乱数(rand2)が生成される。さらに、生成された乱数(rand2)、購入金額fee、乱数rand、記念切手ID(SID)、及び電子切手カード内に格納されているカードID(UID)が、利用者9の秘密鍵によってディジタル署名され、
Scard(UID,fee.SID,rand,rand2)
が生成される。そして、上記署名データと署名検証用の電子切手カード8の公開鍵証明書(card_cert)とがPC5の記念切手購入情報送信部113を経由して(w6,w6′)、電子切手販売センターへ送られる(w7)。これが記念切手の正式な購入申し込みとなる。なお、電子切手カード内で生成される乱数rand2は、電子切手カード8が後ほど電子切手販売センター1の同一性を確認するのに用いられる。
この申し込みを受け付けた電子切手販売センター1の購入情報受付部102によって、送られた公開鍵証明書(card cert)の正当性が検証され、正当な公開鍵証明書であると判定された場合は公開鍵が取り出され、署名データScard(UID,fee,SID,rand,rand2)が検証される。署名データが正しいと判定された場合は、各情報を記念切手データ生成部104に引き継ぎ、購入依頼のあった記念切手バリューを作成させる。なお、先の乱数randはこの時点で利用者を検証するために用いられる。また、バリュー作成にあたっては、利用者が持っている電子切手カード内の切手バリュー残高や、累積利用額、といったデータも検証される。
以降、各種処理を経て生成された記念切手バリュー等がPC5に送信され、ひいては電子切手カード8に格納されることになる(w8)。
[記念切手バリューの生成及び利用者の電子切手カードへの格納までの処理]
次に、記念切手バリューの生成処理と、利用者の電子切手カードへの格納までの処理を図13を用いて説明する。
図13に示すように、まず、電子切手販売センター1においては、購入情報受付部102にて受け付けられ、記念切手データ生成部104を介して与えられた利用者9からの購入情報に基づき、記念切手生成制御部103によって購入対象の記念切手画像データが記念切手画像データベース107から取り出される。また、記念切手販売データベース106における販売枚数が更新されるとともに、記念切手バリューを作成するのに必要なデータが同データベース106から取り出され、記念切手バリュー生成部104に入力される。
記念切手バリュー生成部104においては、購入情報受付部102からの購入情報に含まれる利用者情報と、記念切手生成制御部103から送られる記念切手バリューの生成に必要なデータとに基づき、記念切手バリューが生成される。なお、ここで生成される記念切手バリューは、記念切手が枚数管理であるため枚数単位で金額が変更され、また、枚数情報並びに記念切手ID情報が含まれるようになっている他は、第1の実施形態と同様なものである。
一方、電子透かし埋め込み部105においては、利用者9が購入する記念切手画像に記念切手バリュー通し番号(以下、記念切手の販売シリアル番号(serial)ともいう)が電子透かしとして埋め込まれる。この電子透かしの埋め込みには、電子切手販売センター1の秘密鍵が必要となる。このため、第三者により画像に販売シリアル番号(serial)が不正に埋め込まれることが防止される。
生成された記念切手バリューと、販売シリアル番号(serial)が埋め込まれた記念切手画像とが、ネットワークを介して利用者PC5へ送信される。
この記念切手バリューと記念切手画像とは、さらに利用者PC5からICカードI/F部を通じて電子切手カードへ送信される。送られた記念切手バリューは、記念切手バリュー検証部123にて検証され、記念切手バリュー格納部124に格納される。なお、乱数rand2はこのときの検証に用いられる。また、記念切手画像は、記念切手画像格納部125に送られ、記念切手画像データ格納部126に格納される。そして、格納される記念切手バリュー及び記念切手画像に関する情報は、記念切手管理部127に送られ管理される。記念切手管理部では、利用者が購入した記念切手バリューの記念切手ID(SID)、販売シリアル番号(serial)、購入した記念切手IDの残高が管理される。
さて、記念切手バリューは、利用者からの購入情報に含まれるカードID(UID)、購入金額(fee)、記念切手ID(SID)、販売シリアル番号(serial)、電子切手カードが生成した乱数(rand2)、枚数(snum)、とからなり、それらに電子切手販売センター1のディジタル署名が付加されたものである。即ち、
Sissuer(UID,fee,SID,serial,rand2,snum)
が記念切手バリューとなる。この記念切手バリューは、誰(UID)が、いくら分(fee)、どんな切手(SID)を何枚(snum)買ったかを示しており、これ自体が電子切手価値の本体として使用されるものではない。また、販売シリアル番号(serial)は、発行バリューの管理のために用いられるとともに、同番号が電子透かしとして記念切手画像に埋め込まれているから、この画像との対応付けにも用いられる。
[記念切手の生成印刷処理]
次に、記念切手バリューを使用する場合について図13及び図17を用いて説明する。
図17は利用者が購入した記念切手バリューを用いて記念切手を印刷するまでの処理を示す図である。同図には、記念切手に関する部分についてのみ示されている。
まず、利用者は利用者PC5のメッセージ作成部45においてメッセージを作成する。このメッセージデータに基づき、郵便料金計算部43により郵便料金が算出され、さらに電子切手カード8に対し使用する記念切手情報等、すなわち、記念切手データ作成要求コマンド(req_stamp)、郵便料金(stamp_Fee)及び使用する記念切手ID(SID)が送信される(x1)。なお、メッセージは利用者PC内の文書作成アプリケーションにより作成し、郵便料金計算部43において計算してもよいし、手書きより作成したメッセージを別途計量し郵便料金を算出しても良い。その場合は、郵便料金計算部43には直接郵便料金が入力される。なお、記念切手の選択は、郵便料金計算部43のユーザインターフェースを用いてなされる。
電子切手カードでは、記念切手管理部127にてPC5からの情報が受け取られ、そのうち記念切手情報が記念切手データ生成部128に送られる。この記念切手情報に基づき、記念切手データ生成部128により記念切手バリュー格納部128から記念切手バリューが取り出され、取り出された記念切手バリューや利用者情報から記念切手データが生成される。記念切手データは、切手カード内に格納されている利用者ID(UID)、送られた郵便料金(stamp_fee)、使用する記念切手ID(SID)、及び販売シリアル番号(serial)、および使用する記念切手の使用した通し番号(snm)に、切手カードの署名を施したデータである。すなわち、Scard(UID,stamp fee,SID,serial,snm)である。なお、記念切手データは、誰(UID)が、どれだけ分(stamp_fee)、どんな切手(SID)を使ったかを示している。ここで、記念切手の使用した通し番号(snm)は、第1の実施形態の電子切手ID番号に相当し、以下、記念切手使用番号ともいう。
記念切手データが生成されると、これに対応して記念切手管理部127によって記念切手が使用できる残高が更新される。
上記作成された記念切手データ及び記念切手バリューは記念切手データ生成部128から利用者PC5の記念切手データ変換部114へ送信される(x2)。また、使用される記念切手画像が記念切手画像データ格納部126から取り出され、利用者PC5の記念切手印刷部44へ送信される(x2)。ここで使用可能な記念切手の枚数が0になった場合は、記念切手画像データ格納部126内の画像データが消去される。したがって、記念切手の生成印刷時に電子切手カード8からPC5に送信されるのは、記念切手データ、記念切手バリュー、記念切手画像データ(image)、及び公開鍵証明書(card_cert)である。
利用者PC5の記念切手データ変換部114においては、送られた記念切手データ、記念切手バリュー、及び公開鍵証明書(card_cert)が二次元バーコードに変換され、記念切手印刷部44に引き渡される。このバーコードに変換された記念切手データ等は、記念切手印刷部44により、電子切手カード8から受信した記念切手画像データ(image)とともにプリンタ7にて印刷される。
印刷された電子記念切手を張り付けた郵便物11は投函され、郵便局4に送られる。
[郵便局における検査処理]
次に、郵便局4における検査処理について図18を用いて説明する。
図18は投函された郵便物に印刷された電子切手を読み取り検査する手順を示す流れ図である。
同図は、第1の実施形態における図9に対応し、ステップy1,y5(図9のステップu1,u5に対応)の処理以外は、電子切手として電子記念切手が用いられる点を除けば図9と同様な処理が行われる。なお、特に図示しないが、複数枚の電子切手(電子記念切手を含む)が用いられる場合には、ステップy13(あるいはステップu13)において、各電子切手の合計料金を基準に適正料金となっているかが判断される。
図18に示すように、投函された郵便物は、郵便局4にてスキャナ6により記念切手画像とバーコードとの双方が読み取られる(y1)。
ここでまず、二次元バーコードが読み取られ、記念切手データと公開鍵証明書からディジタル署名が検証される(y2)。検証が正しいと判定された場合(y3)、カードIDが登録されているものか確認される(y4)。カードIDが登録されているものと確認された場合は(y4)、利用者情報データベース3のうち記念切手販売データベース106に格納されている記念切手バリュー通し番号(serial)と読み取り情報の照合が行われる(y5)。
ここでは、データベース106から読み出されたカードIDに対する記念切手バリュー通し番号と、記念切手データに含まれる記念切手バリュー通し番号と、スキャナで読み取られた記念切手画像に電子透かしとして埋め込まれた記念切手バリュー通し番号との3つが一致しているか否か確認される(y5)。この3者が一致していれば、この電子切手は正当に発行された記念切手バリューに基づくものであり、かつ、電子切手本体に一体化された画像が添付された電子記念切手として認識されることになる。
上記情報が一致した場合には(y6)、さらに、記念切手の使用した通し番号(記念切手使用番号;snm)が確認され、すでに同一の記念切手使用番号を持つ電子記念切手が発行されていないか確認される(y6)。ここで未発行の記念切手データであると確認された場合のみ、以下、通常の電子切手と同様の検査が行われ(y7〜y19)、全てのチェックが終了すると配達される。
[電子切手の譲渡処理]
次に、切手バリューを購入した利用者が別の利用者に生成した電子切手を譲渡する場合について説明する。
図19は電子切手を譲渡する様子を示す図である。
ここではユーザAからユーザBへ電子記念切手を譲渡する場合を説明する。
まず、ユーザAは、記念切手データを通常通り生成する。すなわち郵便料金計算部43からの指令で電子切手カード8に記念切手データ、記念切手バリュー及び公開鍵証明書を発行させ、これら各データを印刷する代わりに、ユーザBに引き渡す。この時、X枚分の電子記念切手をユーザBに譲渡する場合には、
stamp_fee:記念切手X枚分の値段
snm:譲渡する枚数分の記念切手通し番号
となる。従って、複数枚譲渡する場合は、snmは複数個となる。
電子切手譲渡に当たっては、まず、生成された記念切手データと、記念切手バリューと、さらにユーザAが所持する切手カードの公開鍵証明書とがユーザBへ送信される。
これらの記念切手データ及び記念切手バリューの情報は、ユーザBの電子切手カード8により、署名検証される。そして、送られた記念切手データが自分のものであることを電子切手販売センター1に登録してもらうため、ユーザAより送られた記念切手データそのものにユーザBのディジタル署名を施したデータ、ユーザAより送られた記念切手バリュー、ユーザAが所持する電子切手カードの公開鍵証明書(card_cert_A)、及び、ユーザBが所持する切手カードの公開鍵証明書(card_cert_B)がユーザBから電子切手販売センター1へ送信される(z2)。なお、ユーザAからの記念切手データにユーザBのディジタル署名を施すに当たっては記念切手データに乱数rand′を含める。これは、後にユーザBが電子切手販売センター1を確認するためである。ユーザBが電子切手販売センター1に送信するための情報は電子切手カード8の切手譲渡情報生成部122にて作成され、PC5の記念切手購入情報送信部113から送信される。
電子切手販売センター1では、購入情報受付部102にて送られたデータの署名検証が行われる。つまり、ユーザAより送られた記念切手データそのものにユーザBのディジタル署名を施したデータが、ユーザAの所持する電子切手カードの公開鍵証明書(card_cert_A)と、ユーザBの所持する電子切手カードの公開鍵証明書(card_cert_B)により署名検証される。また記念切手バリューの署名検証が行われる。
署名検証の結果が正しいと判定された場合、受信情報とともに譲渡処理指令が記念切手データ生成部104に引き渡される。さらに、記念切手生成制御部103により、記念切手販売データベース106内のユーザAの所持する記念切手に関するデータから、使用された通し番号が更新され、すなわちその記念切手使用番号が使用済みとされる。したがって、ユーザAが使用可能な枚数は、ユーザBに譲渡した分だけ減る。
一方、新たにユーザBが所持する記念切手のための記念切手バリュー通し番号(serial’)が生成され、電子透かし埋込部105によりその画像に新しい乱数を電子透かしとして埋め込まれる。
さらに、ユーザBがユーザAから譲渡された記念切手をユーザBが購入したと扱い、新たに利用者データベース3に必要情報が登録される。記念切手購入代金は、ユーザAから譲渡された分だけの記念切手代金(fee’)とし、購入枚数(snum’)は譲渡された枚数となる。
そして、上記情報を用い記念切手データ生成部104において、新たに記念切手バリューが生成される。新たに生成される記念切手バリューは、
Sissuer(UID B,stamp fee,SID,serial’,rand’,snum’),
となる。上記記念切手バリューと新しい記念切手販売シリアル番号(serial’)が埋め込まれた記念切手画像(image)とがユーザBへ送信される(z3)。送られたデータは、記念切手バリューを購入するのと同様の手順で、電子切手カード8に登録される。
上述したように、本発明の実施の形態に係る電子切手譲渡システムは、受け取った電子記念切手の記念切手データに署名を施して電子切手販売センター1に送信し、当該センター1において署名検証した上で利用者情報データベース3の内容を修正して譲渡者の残金を譲渡分ほど差し引き譲受人用に新たな切手バリューを発行するようにしたので、一旦発行された電子切手を第三者に譲渡することができ、譲渡された切手を使用して郵便料金を支払うことができる。
また、この新しいバリュー発生の際に、記念切手IDから該当する画像を取り出し、記念切手バリュー通し番号を同画像に埋め込んでバリューとともに譲受人に送信するようにしたので、いわゆる電子記念切手の場合にも画像を含めて有効な譲渡を行うことができる。また、この際、画像データ自体は譲り渡し人〜譲り受け人の間で引き渡す必要がないため、送受信させるデータを少ないものとすることができる。
また、本発明の実施の形態に係るデータ処理装置は、発行する記念切手バリューの発行番号(記念切手バリュー通し番号)を記念切手に付ける画像部分に電子透かしとして埋め込むようにしたので、切手情報等のコード情報と、そのコード情報とセットになる画像情報とを一体のものとして対応付けることができる。したがって、いわゆる画像データを用いた電子化された記念切手を正規なものとして発行することができる。したがって、電子記念切手についてオンライン処理の電子決済による郵便料金の納入が可能となる。
なお、請求項にいう文言を実施形態と対応についてその一例を述べると、譲受人装置は、例えば電子切手カード8,特に例えば切手譲渡情報生成部122が対応する。また、認証処理手段は、例えば購入情報受付部102が対応する。譲渡人情報処理手段は、例えば記念切手生成制御部103が対応する。譲受人情報処理手段は、例えば記念切手生成制御部103,記念切手データ生成部104及び電子透かし埋込部105が対応する。データ生成手段は、例えば記念切手データ生成部104が対応する。電子透かし埋込手段は、例えば電子透かし埋込部105が対応する。
[変形例1]
本実施形態(第2実施形態)において記念切手バリュー通し番号(serial)を用いて発行した切手バリュー並びに対応する記念切手画像を管理するようにしているが、この記念切手バリュー通し番号は、電子切手販売センター1が電子切手カード確認用に生成する乱数randをそのまま利用するようにしてもよい。ただし、この場合には、記念切手バリュー通し番号としての同一の乱数randが存在しないようにする必要がある。このように乱数randを記念切手バリュー通し番号(販売シリアル番号)としても利用するようにすれば、使用するパラメータを一つ減らすことができる。
[変形例2]
本実施形態では、枚数管理する場合の電子記念切手を説明したが、この枚数管理する電子切手は、画像を有する電子記念切手に限られる必要はない。すなわち記念切手画像を有しない通常の電子切手についても、本実施形態の方法で取り扱うこと(バリュー発行、切手生成、検査)ができる。
[変形例3]
また、電子切手の譲渡について、実施形態では電子記念切手について説明したが、この電子切手譲渡は記念切手に限られるものではない。変形例2で説明した枚数管理方式の電子切手の場合でも、第1の実施形態で説明した形式の電子切手であっても、上記した電子切手譲渡を実現させることができる。
すなわち、譲渡された電子切手の情報を譲受人が電子切手販売センター1へ一旦送信し、同センター1において譲り渡し人の譲渡電子切手を使用済みとし、その価格分を譲受人への新たなバリュー発行の形で同譲受人へ返信することで電子切手譲渡が可能となる。
なお、本発明は、上記各実施の形態に限定されるものでなく、その要旨を逸脱しない範囲で種々に変形することが可能である。
また、実施形態においては、RSA公開鍵方式を用いて暗号通信を行うとしたが、本発明に適用できる暗号通信方式はこれに限られるものでなく、種々の暗号方式が利用できる。
さらに、実勢形態では電子切手カード8として、ICカードを用いることとしたが、本発明はICカードに限られるものではない。すなわち、電子切手カード8に必要な演算機能を備え、また利用者情報及び切手バリュー情報を格納可能で他の情報処理装置に着脱可能であれば、ICカード以外の機器でもよい。この場合、携帯可能な機器であればより好適である。
また、実施形態では、利用者情報データベース3には、配達されない場合に電子切手の郵送料金が記録されるとしたが、郵送料金の記録は配達されない場合だけでなく、配達される場合も記録するようにしてもよい。
また、実施形態では、切手バリューの決済は、利用者の口座から直接引き落とすようにしたが、例えば電子マネーや電子小切手、さらにはクレジットによる決済等を用いてもよい。
なお、実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラム(ソフトウエア手段)として、例えば磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリ等の記憶媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含むものである。本装置を実現する計算機は、記憶媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。
1…電子切手販売センター、2…決済機関、3…利用者情報データベース、4…郵便局、5…パーソナルコンピュータ、6…スキャナ、7…プリンタ、8…電子切手カード、9…利用者、10…電子切手、11…郵便物、12…ポスト、21…ネットワークインターフェース、22…登録部、23…バリュー要求検証部、24…残高確認要求部、25…切手バリュー生成部、26…受領確認検証・決済部、41…ネットワークインターフェース、42…カード・センタ用インターフェース、43…郵便計りアプリケーション、44…印刷アプリケーション、45…ワードプロセッサ、51…インターフェース、52…切手バリュー購入要求生成部、53…受領バリュー検証部、54…受領確認生成部、55…電子切手生成部、56…利用者情報格納部、57…切手バリュー情報格納部、61…署名検証部、62…ネットワークインターフェース、63…切手番号確認部、64…バリュー残高確認部、65…郵便料金等確認部、66…有効期限確認部、67…バージョン対応処理部、101…購入要求受付部、102…購入情報受付部、103…記念切手生成制御部、104…記念切手データ生成部、105…電子透かし埋込部、111…記念切手購入要求部、112…記念切手選択部、113…記念切手購入情報送信部、114…郵便切手データ変換部、121…記念切手購入情報生成部、122…切手譲渡情報生成部、123…記念切手バリュー検証部、124…記念切手バリュー格納部、125…記念切手画像格納部、126…記念切手画像データ格納部、127…記念切手管理部、128…記念切手データ生成部。