JP4362005B2 - 電子的価値移転装置 - Google Patents

電子的価値移転装置 Download PDF

Info

Publication number
JP4362005B2
JP4362005B2 JP2000352428A JP2000352428A JP4362005B2 JP 4362005 B2 JP4362005 B2 JP 4362005B2 JP 2000352428 A JP2000352428 A JP 2000352428A JP 2000352428 A JP2000352428 A JP 2000352428A JP 4362005 B2 JP4362005 B2 JP 4362005B2
Authority
JP
Japan
Prior art keywords
electronic value
value transfer
information
identification information
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000352428A
Other languages
English (en)
Other versions
JP2002157532A (ja
Inventor
雅之 寺田
吉孝 中村
考 藤村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000352428A priority Critical patent/JP4362005B2/ja
Publication of JP2002157532A publication Critical patent/JP2002157532A/ja
Application granted granted Critical
Publication of JP4362005B2 publication Critical patent/JP4362005B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、電子的に権利・価値情報を表象する電子的価値の象徴(電子チケット)移転システムに関連し、特に譲渡者から受領者に対して一回の通信のみで電子的価値の移転が可能な電子的価値移転装置に関する。
【0002】
【従来の技術】
利用者間を転々と譲渡可能な電子的価値(電子チケット、電子マネーなど)はこれまでにいくつか存在している。
電子的価値のコピー防止方法を用いないものとしては、例えば特に電子署名などの認証手段を用いずに、最初に使用(電子的価値のデータとその表象する価値との交換)した者に価値を与える方法がある。しかし、この様な方式では、電子的価値のデータを入手した時点で、そのデータに価値があるのか(まだ使用されていないか)が判別不能であるため実用上困難がある。
【0003】
コピーや同一データの二重使用を防止しつつ、さらに次の移転も可能な形式で電子的価値を移転する方法では、これまで少なくとも2回の電文送受を必要としていた。これは、同じ移転用データを二重に使用することを防ぐため、受領者が譲渡者の意志に依らずに生成したデータであるチャレンジを譲渡者に送信し、譲渡者はそれを含む情報に対する電子署名を含む電子的価値移転情報を作成するというチャレンジ・レスポンスと言われる認証方式を用いているためである。この様にチャレンジ・レスポンスを用いて耐タンパ装置間で電子的価値を流通させる方法としては、例えば特願2000−38875号の「原本データ流通方法」などがある。
【0004】
チャレンジ・レスポンスを用いなくても、受領者側で既に受領した電子的価値移転情報の記録を保持し、記録された電子的価値移転情報を用いた再度の移転を拒絶する方法は容易に考案できる。しかしこの場合、この記録は取引毎に増大するため、ICカードなどに限られた記憶容量のデバイスを用いてシステムを構成するには不向きな方法であった。
【0005】
【発明が解決しようとする課題】
以上述べたように従来の電子的価値の移転方式においては、コピーを防止しつつ移転可能な電子的価値を1回の電文送受のみで電子的価値の移転を実現し、かつ、記憶容量の少ないデバイスで実現することは困難であった。
【0006】
【課題を解決するための手段】
上記課題を解決するために、請求項1に記載の発明の電子的価値移転装置は、譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転処理実施時に前記譲渡者装置に備わる時計から取得した時刻である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、自らの識別情報と、受領を許容する電子的価値移転識別情報の下限時刻として予め設定され、当該下限時刻の更新は時刻として遡らない場合にのみ可能である下限電子的価値移転識別情報と、1乃至複数の前記電子的価値移転情報にハッシュ値を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストとを保持する保持手段と、前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、前記電子的価値移転情報の中の前記電子的価値移転識別情報の時刻が、前記保持手段により保持された前記下限電子的価値移転識別情報の時刻より新しいことを検証する電子的価値移転識別情報検証手段と、前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、あらかじめ定めた基準に従い、前記保持手段により保持された前記下限電子的価値移転識別情報更新し、前記保持手段により保持された前記既受領リストから更新後の下限電子的価値移転識別情報の時刻より古い電子的価値移転識別情報の時刻を含むレコード情報の削除を行うレコード削除手段とを有することを特徴とする。
【0007】
請求項2に記載の発明の電子的価値移転装置は、譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転毎に増加する方向に更新されるセッション番号である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、自らの識別情報と、増加する方向にのみ更新可能な前記セッション番号からなり譲渡者装置毎に管理する下限電子的価値移転識別情報と、譲渡者装置毎に管理する1乃至複数の前記電子的価値移転情報に通番の前記セッション番号を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストとを保持する保持手段と、前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、前記電子的価値移転情報の中の前記電子的価値移転識別情報のセッション番号が、前記保持手続きにより保持された前記下限電子的価値移転識別情報のセッション番号以上であることを検証する電子的価値移転識別情報検証手段と、前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、あらかじめ定めた基準に従い、前記保持手段により保持された前記下限電子的価値移転識別情報更新し、前記保持手段により保持された前記既受領リストから更新後の下限電子的価値移転識別情報のセッション番号より小さい電子的価価値移転識別情報のセッション番号を含む前記レコード情報の削除を行うレコード削除手段とを有することを特徴とする
【0008】
請求項3に記載の発明の電子的価値移転装置は、譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転処理実施時に前記譲渡者装置に備わる時計から取得した時刻である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、自らの識別情報と、受領を許容する電子的価値移転識別情報の下限時刻として予め設定され、当該下限時刻の更新は時刻として遡らない場合にのみ可能である下限電子的価値移転識別情報と、1乃至複数の前記電子的価値移転情報にハッシュ値を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストと、該既受領リストを構成するレコード情報の個数の上限値とを保持する保持手段と、前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、前記電子的価値移転情報の中の前記電子的価値移転識別情報の時刻が、前記保持手段により保持された前記下限電子的価値移転識別情報の時刻より新しいことを検証する電子的価値移転識別情報検証手段と、前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、前記レコード情報を追加する際に、前記既受領リストを構成するレコード情報の個数が前記上限値を超える場合に、前記既受領リストから最も古い電子的価値移転識別情報の時刻を含むレコード情報を削除するリスト更新手段を有し、前記リスト更新手段により前記既受領リストからレコード情報を削除する際に、前記下限電子的価値移転識別情報の時刻を該レコード情報削除後の前記受領リストのうち最も古い時刻であるレコード情報の電子的価値移転識別情報の時刻に連動して更新する下限電子的価値移転識別情報更新手段とを有するレコード削除手段とを有することを特徴とする。
【0009】
請求項4に記載の発明の電子的価値移転装置は、譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転毎に増加する方向に更新されるセッション番号である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、自らの識別情報と、増加する方向にのみ更新可能な前記セッション番号からなり譲渡者装置毎に管理する下限電子的価値移転識別情報と、譲渡者装置毎に管理する1乃至複数の前記電子的価値移転情報に通番の前記セッション番号を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストと、該既受領リストを構成するレコード情報の個数の上限値を保持する保持手段と、前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、前記電子的価値移転情報の中の前記電子的価値移転識別情報のセッション番号が、前記保持手続きにより保持された前記下限電子的価値移転識別情報のセッション番号以上であることを検証する電子的価値移転識別情報検証手段と、前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、前記レコード情報を追加する際に、前記既受領リストを構成するレコード情報の個数が前記上限値を超える場合に、前記既受領リストから最も小さい電子的価値移転識別情報のセッション番号を含むレコード情報を削除するリスト更新手段を有し、前記リスト更新手段により前記既受領リストからレコード情報を削除する際に、前記下限電子的価値移転識別情報のセッション番号を該レコード情報削除後の前記既受領リストのうち最も小さいセッション番号であるレコード情報の電子的価値移転識別情報のセッション番号に連動して更新する下限電子的価値移転識別情報更新手段とを有するレコード削除手段とを有することを特徴とする。
【0010】
請求項に記載の発明の電子的価値移転装置は、請求項1又は3に記載の電子的価値移転装置において、現在時刻を示す時計と、前記下限電子的価値移転識別情報の時刻を、前記時計の前記現在時刻に連動して予め定めた規則に従って更新する下限時刻更新手段を有することを特徴とする。
【0011】
請求項に記載の発明の電子的価値移転装置は、請求項1又は3に記載の電子的価値移転装置において、前記下限電子的価値移転識別情報の時刻を、譲渡者装置から受信した最新の電子的価値移転情報の中の時刻に連動して更新する下限時刻更新手段を有することを特徴とする。
【0012】
請求項に記載の発明の電子的価値移転装置は、請求項又はに記載の電子的価値移転装置において、更新可能な上限時刻を保持する手段と、前記電子的価値移転情報に含まれる時刻が前記上限時刻より新しい時刻でないことを確認する手段を有することを特徴とする。
【0013】
請求項に記載の発明の電子的価値移転装置は、請求項5乃至7のいずれか1項に記載の電子的価値移転装置において、前記既受領リストに追加するレコード情報は前記電子的価値移転情報に含まれる前記時刻を含むことを特徴とする
【0014】
【発明の実施の形態】
図1に本発明の電子的価値移転装置の構成を示す。
電子的価値移転装置は、譲渡装置10と受領装置20と、各装置の手段を制御する制御部から構成される。
譲渡装置10は、送信手段11、電子的価値格納手段12、受領者識別情報取得手段13、電子的価値移転識別情報取得手段14、署名生成手段15、電子的価値移転情報生成手段16、電子的価値消去手段17から構成される。
【0015】
受領装置20は、受信手段21、レコード生成手段22、保持手段23、署名検証手段(TPG検証含む)24、電子的価値移転識別情報検証手段25、未受領検証手段26、トークン検証手段27、受領者識別情報検証手段28、受領手段29、レコード削除手段30から構成される。
本実施例では、電子的価値移転装置の一例である電子チケット移転装置は、耐タンパ性を持ち、内部で暗号処理などの演算が可能なプロセッサを内蔵したICカードと、ICカードと接続し、記憶装置と時計と通信装置を内蔵したコンピュータによって実現される。
【0016】
本実施例においては、電子的価値である電子チケットTicketはチケットが表象する権利内容mと、権利内容mのハッシュ値H(m)からなるトークンT=H(m)とから構成される。(なお、電子的価値である電子チケットをチケットが表象する権利内容mのみから構成することもできる。この場合には、トークンの検証は不要である。)
電子チケットの譲渡、行使はICカード内にトークンTを保持する場合にのみ可能である。トークンは耐タンパ装置であるICカードに保持され、電子的価値移転情報であるトークン交換形式TEFを作成するとICカードから削除される。トークン交換形式のデータ構造に関しては後述する。また、ICカードは、正しい受領処理を行った場合にのみトークンを格納するものとする。この様に電子チケットはICカードの耐タンパ性により、トークンとしてICカード内に保持されているか、あるいは受領者が指定されたトークン交換形式としてしかICカード外に存在しないため、電子チケットの原本性は保証されている。
〈実施例1〉
図2に実施例1の電子チケット移転システムの全体構成図を示す。
【0017】
以下に、譲渡者Aが、自らのICカードA1に保持されたトークンTと、自らのコンピュータA2に保持された権利内容mとで表象される電子チケットTicketを、受領者Bに譲渡し、受領者Bが自らのICカードB1にトークンTを格納し、自らのコンピュータB2に権利内容mを保持する例を説明する。
図3に本発明の実施例1の電子チケット移転方法のシーケンス図を示す。
図4に本発明の実施例1の電子チケット移転装置(受領装置)の処理フロー図を示す。
【0018】
譲渡者Aは、予め受領者Bの識別情報である電子チケット用公開鍵PkBを取得し、コンピュータA2に保持し、コンピュータA2をICカードA1と接続することにより、ICカードA1に電子チケット用公開鍵PkBを入力する。また、譲渡者AのICカードA1内には、ICカード発行者Cが該ICカードが耐タンパ装置であり、譲渡者Aの電子チケット用鍵ペアが該ICカード内で生成されたことを証明するための、譲渡者Aの電子チケット用公開鍵PkAに対するICカード発行者Cの秘密鍵SkCによる電子署名である耐タンパ証明書TPG=Sig〈SkC〉[PkA]が保持されている。
【0019】
受領者Bは、予め譲渡者Aの信用できるICカード発行者Cの公開鍵PkCを取得し、コンピュータB2に保持し、コンピュータをICカードB1と接続することにより、ICカードB1に公開鍵PkCを入力する。また、受領者BのICカードB1内には、以前に受領したトークン交換形式TEFのハッシュ値H(TEF)を保管した既受領リストLを保持する。上限レコード数を10とした既受領リストLのデータ構造例を図5に示す。
図3、4を参照して譲渡装置10と受領装置20を構成する各手段の機能を電子チケット移転処理と対応させて説明する。
[譲渡装置]
(1)(電子的価値格納手段)
譲渡者AはICカードA1を用いて、自ら保持するトークンTと、
(受領者識別情報取得手段)
コンピュータA2から取得した受領者Bの識別情報に用いる電子チケット用公開鍵PkBと、
(電子的価値移転識別情報取得手段)
コンピュータA2のマシンタイムである時刻t(電子的価値移転識別情報)と、
(署名生成手段)(電子的価値移転情報生成手段)(電子的価値消去手段)
自らの保持する譲渡者Aの電子チケット用秘密鍵SkAと、譲渡者Aの電子チケット用公開鍵PkAと、耐タンパ証明書TPGとを基に、トークン交換形式TEFを作成し、格納していたトークンTを削除する。
【0020】
トークン交換形式TEFは、
・トークンT
・受領者Bの公開鍵PkBのハッシュ値H(PkB)(これが受領者識別情報にあた る)
・時刻t(譲渡者AのコンピュータA2から取得したマシンタイム)
・上記3つの情報に対する譲渡者Aの秘密鍵SkAによる電子署名(以下、譲 渡署名Sと呼ぶ)
・譲渡者Aの電子チケット用公開鍵PkA
・耐タンパ証明書TPG
の6つの情報を含む。トークン交換形式TEFのデータ構造を図6に示す。
(送信手段)
(2)譲渡者Aは、ICカードA1から取り出したトークン交換形式TEFと、コンピュータA2に保持されている権利内容mとを、コンピュータA2から受領者BのコンピュータB2に送信する。
[受領装置]
(受信手段)(トークン検証手段)
(3)受領者Bは、コンピュータB2の受信手段で受信した権利内容mをコンピュータB2内に保持し、トークン交換形式TEFに含まれるトークンTが、電子チケットTicketに含まれる権利内容mのハッシュ値H(m)に一致することを確認し、一致していなければ受領不能と判断して処理を終了し、一致すればステップ(4)に移行する。
(電子的価値移転情報識別情報検証手段)
(4)コンピュータB2は、受信したトークン交換形式TEFに含まれる時刻tと、保持手段に保持している上限時刻tmaxとを比較し、時刻tが上限時刻tmaxより新しい場合、受領不能と判断して処理を終了し、時刻tが上限時刻tmaxより古い場合は受信したトークン交換形式TEFをICカードB1に入力する。
(ここで、上限時刻tmaxは、例えば、受領者BのコンピュータB2のマシンタイムより2時間先と言う様に指定しても良いし、受領者Bが独自に指定しても良いし、或いは受領した最新のトークン交換形式に含まれる時刻に連動させても良い。また、この上限時刻チェックは必ずしも耐タンパ装置であるICカード内で行う必要はなく、コンピュータB2などで行うことも可能である。)
(5)ICカードB1は、保持手段に保持している下限時刻tminと、受信したトークン交換形式TEFに含まれる時刻tとを比較して、時刻tが下限時刻tminより古ければ受領不能と判断して処理を終了し、時刻tが下限時刻tminより新しい場合はステップ(6)へ移行する。
(未受領検証手段)
(6)保持手段に保持している既受領リストLと、今回受信したトークン形式TEFのハッシュ値H(TEF)とを比較し、ハッシュ値が一致するレコードが存在すれば受領不能と判断して処理を終了し、一致するレコードが存在しない場合はステップ(7)に移行する。
(受領者識別情報検証手段)
(7)トークン交換形式TEFに含まれる受領者識別情報が、自らの電子チケット用公開鍵PkBのハッシュ値H(PkB)と一致することを確認し、一致しなければ受領不能と判断して処理を終了し、一致すれば自分宛のトークン交換形式TEFであると判断してステップ(8)へ移行する。
(譲渡署名検証手段(TPG検証を含む))
(8)耐タンパ証明書TPGを、予め保持するか取得していた譲渡者AのICカード発行者Cの公開鍵PkCを用いて署名検証し、トークン交換形式TEFに含まれる譲渡署名Sを譲渡者Aの電子チケット用公開鍵PkAを用いて署名検証し、いずれかの検証が正しくない場合は受領不能と判断して処理を終了し、全ての検証が正しければトークン交換形式TEFが譲渡者Aによって正しい耐タンパ装置で作成されたと判断してトークン交換形式TEFを受領してトークンTを格納し、ステップ(9)へ移行する。
(受領手段)(レコード追加手段)
(9)既受領リストLに今回受領したトークン交換形式TEFのハッシュ値H(TEF)を新しいレコードとして追加する。
(レコード削除手段)
(10)受領者Bは予め既受領リストの上限レコード数を指定しておき、今回の受領のレコードを追加することにより上限レコード数を超える場合には、最も古いレコードを既受領リストから削除し、下限時刻tminを該レコード削除後の最も古い時刻t0に更新する。
(ここで、下限時刻tminの更新方法は、この様にレコードの個数を制限することによって行うことも可能であるし、あるいは受領者Bのコンピュータのマシンタイムより10日前というように時間に連動させ、順次レコード削除を行うことも可能である。)
〈実施例2〉
図7に本発明の実施例2の電子チケット移転システムの全体構成図を示す。
【0021】
図8に本発明の実施例2である電子チケット移転方法のシーケンス図、図9に電子チケット移転装置(受領装置)の処理フロー図を示す。
受領者BのICカードB2内には、以前に受領したトークン交換形式TEFに含まれるセッション番号を譲渡者毎に保管した既受領リストLが保持されている。保持手段に保持されている既受領リストLのデータ構造例を図12に示す。
図8、9を参照して電子的価値移転装置の各手段の機能を電子チケット移転処理と対応させて説明する。
[譲渡装置]
(1)譲渡者Aは、ICカードA3を用いて、実施例1と同様にしてトークン交換形式TEFを作成する。ただし、実施例1における電子的価値移転識別情報である時刻tの代わりに、セッション番号SIDを用いる。トークン交換形式TEFのデータ構造を図11に示す。
【0022】
ここで、セッション番号SIDは譲渡者のICカード内に管理されている、取引毎に増加する連番である。図10にセッション番号の管理方法を示す。この様に、本実施例におけるセッション番号SIDは実際の物理量として時間を用いる必要は無く、通し番号の様なものでも可能である。
(2)譲渡者Aは、ICカードA3から取り出したトークン交換形式TEFと、コンピュータA4に保持されている権利内容mとを、コンピュータA4から受領者BのコンピュータB4に送信する。
[受領装置]
(受信手段)(トークン検証手段)
(3)受領者Bは、コンピュータB4で受信した権利内容mをコンピュータB4内に保持し、トークン交換形式TEFに含まれるトークンTが、電子チケットTicketに含まれる権利内容mのハッシュ値H(m)に一致することを確認し、一致していなければ受領不能と判断して処理を終了し、一致すれば受信したトークン交換形式TEFをICカードB3に入力する。
(電子的価値移転識別情報検証手段)
(4)ICカードB3は、既受領リストLに譲渡者Aのレコードが存在するか否か確認し、存在しないか、または存在して今回のセッション番号SIDと譲渡者毎に設定された下限セッション番号SIDminとを比較してSIDmin以上であればステップ(5)へ移行し、存在してもSIDがSIDmin未満であれば受領不能と判断して処理を終了する。
(未受領検証手段)
(5)今回受領したトークン交換形式TEFに含まれるセッション番号SIDと既受領リストLとを比較し、もし該セッション番号SIDが譲渡者Aに対応する既受領リストLに含まれるセッション番号の何れかと一致すれば今回受領したトークン交換形式TEFは以前に受領しており受領不能と判断して処理を終了し、もし何れとも一致しなければ未受領であると判断してステップ(6)へ移行する。
(受領者識別情報検証手段)
(6)トークン交換形式TEF内の受領者識別情報と、保持手段に保持されている自らの電子チケット用公開鍵PkBとを比較し、一致しなければ受領不能と判断して処理を終了し、一致すればステップ(9)に移行する。
(譲渡署名検証手段(TPG検証手段を含む))(受領手段)
(7)耐タンパ証明書TPGを、予め保持するか取得していた譲渡者AのICカード発行者Cの公開鍵PkCを用いて署名検証し、譲渡者Aの電子チケット用公開鍵PkAを用いて譲渡署名Sを検証し、いずれかの検証が正しくなければ受領不能と判断して処理を終了し、検証が正しければトークンTを受領して格納し、ステップ(8)へ移行する。
(レコード追加手段)
(8)既受領リストLに譲渡者Aに対応する最新のレコードとして、セッション番号SIDを追加する。
【0023】
ここで、下限セッション番号SIDminは、該譲渡者の既受領リストに載っているレコードに含まれるセッション番号のうち最小のものを用いても良いし、該譲渡者から受領した電子マネー移転情報に含まれるセッション番号のうち最大のものから、例えば10減算した値を用いても良いし、既受領のセッション番号SIDとは全く独立に受領者が譲渡者毎に個別に指定しても良い。
(レコード削除手段)
(9)受領者Bは、譲渡者毎に管理している下限セッション番号SIDminを順次更新し、既受領リストに記載されたレコードのセッション番号がこの最小セッション番号SIDminを下回る場合には、既受領リストからそのレコードを削除する。これにより、既受領リストは有限のデータ容量に抑えられる。
【0024】
本発明では、以前に受領した電子的価値移転情報を再度受領することを防ぐために、電子的価値移転情報そのもの、あるいはそのハッシュ値、該電子的価値移転情報に含まれる時刻などを識別子とするレコードを持つ既受領リストにより既受領・未受領を確認し、かつ進行方向にのみ更新可能な下限時刻を設けることで既受領リストのデータ容量が無制限に大きくなるのを防ぐことが本質である。
実施例1では、全ての譲渡者、受領者に共通の絶対時刻を利用している。ただし、各々の把握している時刻には多少の誤差があると考えられるため、下限時刻と上限時刻という時間的な窓(一定範囲の受領可能な時刻範囲)を設けることで、時刻合わせの精度があまり高くない場合でも適用可能になっている。
【0025】
また、実施例1ではICカード内に保管すべき情報は、権利内容と発行者の公開鍵のハッシュ値からなるトークンと、トークン交換形式のハッシュ値からなる既受領リストだけで良く、ICカードに必要な記憶容量は少なくて済む。
実施例2では、電子的価値移転情報に含める電子的価値移転識別情報として、各譲渡者が個々に保持しているセッション番号(通番)を利用するが、既受領リストを譲渡者毎に管理することで、通番によって電子的価値移転情報を識別することを可能にしている。このため、既受領リストは各譲渡者毎に、電子的価値移転情報やそのハッシュ値よりもデータ量の少ない通番だけを管理すれば既受領・未受領を識別できる様になる。ただし、譲渡者毎に1つ以上のレコードを持つことになるため、不特定多数の譲渡者から受領を受ける様なシステムには不向きである。
【0026】
本発明は上記の実施例に限定されることなく、各手段をプログラムとして構築し、電子的価値移転装置として利用されるコンピュータに接続されるディスク装置やフロッピーディスク、CD−ROMなどの可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、容易に本発明を実現できる。
また、それ以外にも特許請求の範囲内において、種々の変更・応用が可能である。
【0027】
【発明の効果】
請求項1乃至請求項4の発明によれば、1回の電文送受によって電子チケットや電子マネーなどの電子的価値を移転し、かつ下限電子的価値移転識別情報を更新し、下限電子的価値移転識別情報より古いレコードを削除することにより既受領リストの保持に要する記憶容量を抑制することが可能となる。
【0028】
請求項および請求項の発明によれば、受領を許可する電子的価値移転情報に有効期限を設けることが可能となる。また、既受領リストのデータ容量は一定値に保たれるため、必要な記憶容量を抑制することができる。
【0029】
請求項の発明によれば、譲渡者が時刻を改竄し、極端に未来の時刻を含み長期に亘ってレコードが削除されない電子的価値移転情報を大量に送り付け、受領者の既受領リストをパンクさせる攻撃を防ぐことが可能となる。
【0030】
請求項の発明によれば、同一時刻を含む電子的価値移転情報は同一のものとみなして受領しない運用を行う場合に、電子的価値移転情報そのものや、そのハッシュ値をレコードに含める場合に比べてデータ容量が小さくて済む場合があり、必要な記憶容量を抑制することが可能となる。
【図面の簡単な説明】
【図1】電子的価値移転装置の構成図。
【図2】実施例1の電子チケット移転システムの全体構成図。
【図3】実施例1の電子チケット移転方法のシーケンス図。
【図4】実施例1の電子チケット移転装置(受領装置)の処理フロー図。
【図5】実施例1の既受領リストLのデータ構造を示す図。
【図6】実施例1のトークン交換形式TEFのデータ構造を示す図。
【図7】実施例2の電子チケット移転システムの全体構成図。
【図8】実施例2の電子チケット移転方法のシーケンス図。
【図9】実施例2の電子チケット移転装置(受領装置)の処理フロー図。
【図10】実施例2のセッション番号の管理方法を説明する図。
【図11】実施例2のトークン交換形式TEFのデータ構造を示す図。
【図12】実施例2の既受領リストLのデータ構造を示す図。
【符号の説明】
10 譲渡装置
11 送信手段
12 電子的価値格納手段
13 受領者識別情報取得手段
14 電子的価値移転識別情報取得手段
15 署名生成手段
16 電子的価値移転情報生成手段
17 電子的価値消去手段
20 受領装置
21 受信手段
22 レコード生成手段
23 保持手段
24 署名検証(TPG検証含む)手段
25 電子的価値移転識別情報検証手段
26 未受領検証手段
27 トークン検証手段
28 受領者識別情報検証手段
29 受領手段
30 レコード削除手段

Claims (8)

  1. 譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転処理実施時に前記譲渡者装置に備わる時計から取得した時刻である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、
    自らの識別情報と、受領を許容する電子的価値移転識別情報の下限時刻として予め設定され、当該下限時刻の更新は時刻として遡らない場合にのみ可能である下限電子的価値移転識別情報と、1乃至複数の前記電子的価値移転情報にハッシュ値を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストとを保持する保持手段と、
    前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、
    前記電子的価値移転情報の中の前記電子的価値移転識別情報の時刻が、前記保持手段により保持された前記下限電子的価値移転識別情報の時刻より新しいことを検証する電子的価値移転識別情報検証手段と、
    前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、
    前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、
    前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、
    あらかじめ定めた基準に従い、前記保持手段により保持された前記下限電子的価値移転識別情報を更新し、前記保持手段により保持された前記既受領リストから更新後の下限電子的価値移転識別情報の時刻より古い電子的価値移転識別情報の時刻を含むレコード情報の削除を行うレコード削除手段と
    を有することを特徴とする電子的価値移転装置。
  2. 譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転毎に増加する方向に更新されるセッション番号である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、
    自らの識別情報と、増加する方向にのみ更新可能な前記セッション番号からなり譲渡者装置毎に管理する下限電子的価値移転識別情報と、譲渡者装置毎に管理する1乃至複数の前記電子的価値移転情報に通番の前記セッション番号を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストとを保持する保持手段と、
    前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、
    前記電子的価値移転情報の中の前記電子的価値移転識別情報のセッション番号が、前記保持手続きにより保持された前記下限電子的価値移転識別情報のセッション番号以上であることを検証する電子的価値移転識別情報検証手段と、
    前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、
    前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、
    前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、
    あらかじめ定めた基準に従い、前記保持手段により保持された前記下限電子的価値移転識別情報を更新し、前記保持手段により保持された前記既受領リストから更新後の下限電子的価値移転識別情報のセッション番号より小さい電子的価価値移転識別情報のセッション番号を含む前記レコード情報の削除を行うレコード削除手段と
    を有することを特徴とする電子的価値移転装置。
  3. 譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転処理実施時に前記譲渡者装置に備わる時計から取得した時刻である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、
    自らの識別情報と、受領を許容する電子的価値移転識別情報の下限時刻として予め設定され、当該下限時刻の更新は時刻として遡らない場合にのみ可能である下限電子的価値移転識別情報と、1乃至複数の前記電子的価値移転情報にハッシュ値を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストと、該既受領リストを構成するレコード情報の個数の上限値とを保持する保持手段と、
    前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、
    前記電子的価値移転情報の中の前記電子的価値移転識別情報の時刻が、前記保持手段により保持された前記下限電子的価値移転識別情報の時刻より新しいことを検証する電子的価値移転識別情報検証手段と、
    前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、
    前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、
    前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、
    前記レコード情報を追加する際に、前記既受領リストを構成するレコード情報の個数が前記上限値を超える場合に、前記既受領リストから最も古い電子的価値移転識別情報の時刻を含むレコード情報を削除するリスト更新手段を有し、前記リスト更新手段により前記既受領リストからレコード情報を削除する際に、前記下限電子的価値移転識別情報の時刻を該レコード情報削除後の前記受領リストのうち最も古い時刻であるレコード情報の電子的価値移転識別情報の時刻に連動して更新する下限電子的価値移転識別情報更新手段とを有するレコード削除手段と
    を有することを特徴とする電子的価値移転装置。
  4. 譲渡者装置から電子的価値と、受領者の識別情報と、電子的価値移転毎に増加する方向に更新されるセッション番号である電子的価値移転識別情報と、これらの情報に対する譲渡者の秘密鍵による電子署名と、前記譲渡者の秘密鍵に対応する公開鍵を含む電子的価値移転情報を受信する受信手段と、
    自らの識別情報と、増加する方向にのみ更新可能な前記セッション番号からなり譲渡者装置毎に管理する下限電子的価値移転識別情報と、譲渡者装置毎に管理する1乃至複数の前記電子的価値移転情報に通番の前記セッション番号を用いて一意に対応させる情報であるレコード情報から構成される更新可能な既受領リストと、該既受領リストを構成するレコード情報の個数の上限値を保持する保持手段と、
    前記電子的価値移転情報に含まれる前記電子署名が、前記秘密鍵による電子署名であることを、前記電子的価値移転情報に含まれる前記公開鍵を用いて署名検証し、成功することを検証する署名検証手段と、
    前記電子的価値移転情報の中の前記電子的価値移転識別情報のセッション番号が、前記保持手続きにより保持された前記下限電子的価値移転識別情報のセッション番号以上であることを検証する電子的価値移転識別情報検証手段と、
    前記レコード情報が、前記保持手段により保持された前記既受領リストに含まれていないことを検証する未受領検証手段と、
    前記電子的価値移転情報に含まれる前記受領者の識別情報と、前記保持手段により保持された前記自らの識別情報とが一致することを検証する識別情報検証手段と、
    前記受信手段により受信した電子的価値移転情報に対して、前記署名検証手段と、前記電子的価値移転識別情報検証手段と、前記未受領検証手段と、前記識別情報検証手段との全ての検証が成功した場合にのみ、前記レコード情報を前記既受領リストに追加すると共に該電子的価値移転情報を受領する受領手段と、
    前記レコード情報を追加する際に、前記既受領リストを構成するレコード情報の個数が前記上限値を超える場合に、前記既受領リストから最も小さい電子的価値移転識別情報のセッション番号を含むレコード情報を削除するリスト更新手段を有し、前記リスト更新手段により前記既受領リストからレコード情報を削除する際に、前記下限電子的価値移転識別情報のセッション番号を該レコード情報削除後の前記既受領リストのうち最も小さいセッション番号であるレコード情報の電子的価値移転識別情報のセッション番号に連動して更新する下限電子的価値移転識別情報更新手段とを有するレコード削除手段と
    を有することを特徴とする電子的価値移転装置。
  5. 請求項1又は3に記載の電子的価値移転装置において、
    現在時刻を示す時計と、
    前記下限電子的価値移転識別情報の時刻を、前記時計の前記現在時刻に連動して予め定めた規則に従って更新する下限時刻更新手段を有することを特徴とする電子的価値移転装置。
  6. 請求項1又は3に記載の電子的価値移転装置において、
    前記下限電子的価値移転識別情報の時刻を、譲渡者装置から受信した最新の電子的価値移転情報の中の時刻に連動して更新する下限時刻更新手段を有することを特徴とする電子的価値移転装置。
  7. 請求項5又は6に記載の電子的価値移転装置において、
    更新可能な上限時刻を保持する手段と、
    前記電子的価値移転情報に含まれる時刻が前記上限時刻より新しい時刻でないことを確認する手段を有することを特徴とする電子的価値移転装置。
  8. 請求項5乃至7のいずれか1項に記載の電子的価値移転装置において、
    前記既受領リストに追加するレコード情報は前記電子的価値移転情報に含まれる前記時刻を含むことを特徴とする電子的価値移転装置。
JP2000352428A 2000-11-20 2000-11-20 電子的価値移転装置 Expired - Fee Related JP4362005B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000352428A JP4362005B2 (ja) 2000-11-20 2000-11-20 電子的価値移転装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000352428A JP4362005B2 (ja) 2000-11-20 2000-11-20 電子的価値移転装置

Publications (2)

Publication Number Publication Date
JP2002157532A JP2002157532A (ja) 2002-05-31
JP4362005B2 true JP4362005B2 (ja) 2009-11-11

Family

ID=18825324

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000352428A Expired - Fee Related JP4362005B2 (ja) 2000-11-20 2000-11-20 電子的価値移転装置

Country Status (1)

Country Link
JP (1) JP4362005B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4529639B2 (ja) * 2004-10-28 2010-08-25 富士通株式会社 電子情報譲渡等機能付装置、電子情報譲渡等プログラム及び電子情報譲渡等方法
CA2714784A1 (en) * 2009-09-17 2011-03-17 Royal Canadian Mint/Monnaie Royale Canadienne Message storage and transfer system
WO2011032271A1 (en) 2009-09-17 2011-03-24 Royal Canadian Mint/Monnaie Royale Canadienne Trusted message storage and transfer protocol and system
JP2013505487A (ja) * 2009-09-17 2013-02-14 ロイヤル カナディアン ミント 電子財布のための資産価値記憶、転送システム

Also Published As

Publication number Publication date
JP2002157532A (ja) 2002-05-31

Similar Documents

Publication Publication Date Title
US7484246B2 (en) Content distribution system, content distribution method, information processing apparatus, and program providing medium
US7103778B2 (en) Information processing apparatus, information processing method, and program providing medium
US7100044B2 (en) Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium
US7310732B2 (en) Content distribution system authenticating a user based on an identification certificate identified in a secure container
US7243238B2 (en) Person authentication system, person authentication method, information processing apparatus, and program providing medium
US5956404A (en) Digital signature with auditing bits
US7059516B2 (en) Person authentication system, person authentication method, information processing apparatus, and program providing medium
US7574605B2 (en) Method of managing digital signature, apparatus for processing digital signature, and a computer readable medium for recording program of managing digital signature
US7096363B2 (en) Person identification certificate link system, information processing apparatus, information processing method, and program providing medium
US7287158B2 (en) Person authentication system, person authentication method, information processing apparatus, and program providing medium
JP4624099B2 (ja) 電子署名のチェック方法およびシステムと、該方法で使用する超小型回路付カード
US7225337B2 (en) Cryptographic security method and electronic devices suitable therefor
US20020026427A1 (en) Person authentication application data processing system, person authentication application data processing method, information processing apparatus, and program providing medium
US8369521B2 (en) Smart card based encryption key and password generation and management
US20020004800A1 (en) Electronic notary method and system
EP1048143A1 (en) Method and apparatus for secure cryptographic key storage, certification and use
US7185193B2 (en) Person authentication system, person authentication method, and program providing medium
JP2005209181A (ja) ファイル管理システム及び管理方法
JPH11265349A (ja) コンピュータシステムならびに同システムに適用される機密保護方法、送受信ログ管理方法、相互の確認方法および公開鍵世代管理方法
JP4362005B2 (ja) 電子的価値移転装置
JP4106875B2 (ja) 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム
JP3793042B2 (ja) 電子署名代行方法、その装置、そのプログラム及びその記録媒体
JP3940283B2 (ja) チケットを用いて相互に認証するサービス予約及び提供方法、そのプログラム並びに該プログラムを記録した記録媒体
JP4058035B2 (ja) 公開鍵基盤システム及び公開鍵基盤方法
JP2003187194A (ja) 端末装置、個人情報処理装置および失効情報ファイル作成装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041019

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041215

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050412

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050610

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050616

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20050805

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060731

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070119

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090604

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090703

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090709

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090814

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090909

A072 Dismissal of procedure

Free format text: JAPANESE INTERMEDIATE CODE: A072

Effective date: 20100119

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130821

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees