JPH09505169A - 効率的な電子マネー - Google Patents
効率的な電子マネーInfo
- Publication number
- JPH09505169A JPH09505169A JP7522392A JP52239295A JPH09505169A JP H09505169 A JPH09505169 A JP H09505169A JP 7522392 A JP7522392 A JP 7522392A JP 52239295 A JP52239295 A JP 52239295A JP H09505169 A JPH09505169 A JP H09505169A
- Authority
- JP
- Japan
- Prior art keywords
- user
- coin
- party
- bank
- guarantee
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
- G06Q20/06—Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3678—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/383—Anonymous user system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3257—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
(57)【要約】
合法的な取引において使用者のプライバシを保護する一方で、これと同時に同一電子コインの二重使用者の検出を可能にする独特な電子キャッシュ・システム(図1)が開示されている。この電子キャッシュ・システムはEl Gamal署名がもつ独特な特性を利用して上記結果を達成している。
Description
【発明の詳細な説明】
効率的な電子マネー関連出願
本出願は1994年2月23日に出願された米国特許出願第08/201,106号(発
明者:Y.Yacobi、承継人:本件出願の出願人)の一部継続出願である。発明の分野
本発明は電子マネー(electronic money)に関し、具体的には、電子的にキャッ
シュ(現金)と等価である電子マネーの一形体に関する。本発明は、特定の電子
コイン(硬貨)の二重支払を防止する形体の電子マネーを提供する一方で、それ
と同時に、現金取引において支払人(現金使用者(spenders))および被支払人(
現金受取人(recipients))のプライバシを保護することを目的としている。発明の背景
電子マネー(e-money:e−マネー)は通常のマネーと同じ形体で機能する。例
えば、小切手と電子的に等価であるもの(e-checks:e−チェック)と、現金と
電子的に等価であるもの(e-cash:e−キャッシュ)とがある。
電子チエツク(electronic checks)は、電子キャッシュ(electronic cash)より
も実現が容易である。ペーパの小切手では、最も重要な要素は使用者の署名(sig
nature)である。この署名は、一定の金額を署名者(「支払人(payer)」)から特
定の被支払人(payee)に譲渡する債務が正しいことを保証するものと想定されて
いる。さらに、小切手が作られている用紙のある種の特性は、ペーパの小切手の
内容が改変されると、その改変が気づきやすいようにデザインされている。これ
らの特性は、いずれもディジタル署名に本来備わっているものである(例えば、
W.Diffie、M.Hellman著「暗号化の新しい方向(New Directions in Cryptograp
hy)」IEEE Trans.IT.1976およびR.Rivest、A.Shamir、L.Adelman著「ディ
ジタル署名を得る方法と公開鍵暗号系(A Method for
Obtaining Digital Signatures and Public Key Cryptosystems)」CACM、Vol.2
1、1978、pp.120-126を参照)。従って、ディジタル・チェックを実現するのは
簡単である。同様に、ディジタル・クレジット・カードを実現するのも容易であ
る。この場合のディジタル署名は使用者が真正さ(authenticity)と、使用者が特
定の取引に同意していることを示している。
現金とディジタル的に等価であるものを作ることは、前記のものに比べて困難
である。(例えば、D.Chaum他著「追跡不能な電子キャッシュ(Untraceable Ele
ctronic Cash)」Proc.Crypto 1988、D.Chaum著「電子プライバシの達成(Achie
ving Electronic Privacy)」Scientific American、August 1992、pp 96-101、S
.Brand著「プライム・オーダ群における表現問題に基づく電子キャッシュ・シ
ステム(Electronic Cash Systems Based on the Representation Problem in Gr
oups of Prime Order)」Proceedings of Crypto'93 Santa Barbara 1993 pp 22-
26.15、およびS.Even他著「電子ウォレット(Electronic Wallet)」Proc.Crypt
o '83を参照)。主要な問題として、次のような問題がある。ディジタル・ビッ
トの集まりがコインを表しているとすると、どのようにすれば、支払人がディジ
タル・コインを二重使用(double spending)するのを防止できるか、という問題
である。
従来、この問題を解決するために2つのアプローチが採用されている。防止と
事後検出(after the fact detection)である。例えば、二重使用を防止するため
に、不正行為防止デバイス(tamper resistent device)を使用することができる
。この種のデバイスは電子ウォレット(e-wallets:e−ウォレット)またはマネ
ー・モジュール(money module)と呼ばれ、デバイスの所有者であっても、残額を
不法に改変できないような形で使用者の残額をストアしている。これらのマネー
・モジュールの一方の残額を変更できるのは、2つのデバイスが特定の取引を行
うことに「合意」し、一方のマネー・モジュール(支払人)が他方のマネー・モ
ジュール(被支払人)にXドルを支払うことに同意した場合である。この場合、
各マネー・モジュールの残額は、2つの残額の合計が不変のままになるように変
更される。銀行と使用者との間の取引は、金額を使用者の小切手口座から使用者
のマネー・モジュールに移し、そこで金額がe−キャッシュになると
いった、追加のステップが必要になる点を除けば上記と同じである。e−キャッ
シュの二重使用を防止するために不正行為防止デバイス、つまり、マネー・モジ
ュールの使用を銀行が好ましいとしているのは、銀行は二重使用が行われたあと
でその二重使用を検出することではなく、二重使用を防止することを望んでいる
ためである。
しかしながら、不正行為を100%防止するマネー・モジュール・タイプのデ
バイスを実現することは不可能である。これは、リバース・エンジニアリングや
記載などに奉仕される資源の問題にすぎない。もしマネー・モジュールの外装を
開くことによって1000万ドルを偽造できるとすれば、マネー・モジュールの
中に入り込むために100万ドルを投資することは、経済的には理解できること
である(モラル的には問題があるが)。価格と品質面で変化する不正行為防止テ
クノロジの範囲があるので、なんらかの経済的最適条件を達成する必要がある。
この最適条件は、第2の防御ラインを追加することが可能であればさらに安価
になる。このような第2の防御ラインとして考えられるのは、二重使用者の事後
摘発(after the fact exposure)を行うプロセスを使用することである。
e−キャッシュの使用に関連して起こる、もう1つの問題はプライバシである
。大きな取引(例えば、住宅の購入)の場合には、e−チェックのようなe−マ
ネーの追跡可能な形体の使用が可能である。通常、この種の取引は秘密取引とは
みなされず、当事者はこれらの取引に関する証拠を必要とするのが通常である。
電子キャッシュ(e−キャッシュ)は一般に小規模の日常の取引(例えば、食料
品の購入や新聞の購入など)に利用されている。使用者は、行政機関や大きな民
間機関(例えば、銀行)が使用者の所在と日常の購入の詳細を、種々の被支払人
へのe−キャッシュの支払に基づいて絶えず知ることができることを望んでいな
い。そのために、通常の合法的使用のあとでは、e−キャッシュ使用者(e-cashs
pender)のアイデンティティ(identity)を追跡可能にすることは望ましくない。
他方、e−キャッシュ・システムは同一e−コインの二重使用者のアイデンティ
ティを検出できることが望ましい。
本発明の目的は、ある種の非常に望ましい特性をもつe−キャッシュまたは
e−コインを提供することである。そのような特性としては、次のものがある。
1.銀行が二重使用(例えば、同一が2回預金されたこと)を検出したあと、
銀行は、二重使用者のアイデンティティを効率よく明らかにする十分な情報を所
有していることが望ましい。しかし、ある特定のe−コインの合法的な預金がさ
れたときは、その特定のe−コインを預金者に支払った人の識別を計算するため
の十分な情報を銀行に提供することは望ましくない。
2.e−キャッシュは、次のような取引で使用できることが望ましい。(a)支
払人のアイデンティティを明らかにすることなく支払人から被支払人への支払(p
ayment)、(b)支払人のアイデンティティを明らかにすることなく被支払人による
銀行へのマネーの預金(deposit)、(c)預金者のアイデンティティを明らかにする
ことなく、預金者が一定額の旧マネー(old money)を銀行に預金したことに対す
る交換として銀行から同一額の新マネー(fresh money)を受け取る交換取引(exch
ange transaction)、(d)銀行からの引出し(withdrawal)、などである。
3.システムは効率的であることが望ましい。特に、システムに要求されるリ
アル・タイム(実時間)のオペレーションは、個人の使用者が使用するマネー・
モジュールはその処理能力が限られているので、特にマネー・モジュールでの取
引においては、可能な限り少ないことが望ましい。リアル・タイムで行われる取
引に先立つオペレーションは可能な限り多いことが望ましく、かつオペレーショ
ンが取引から切り離されて行われることが望ましい。
本発明は上記の利点を具備しているe−キャッシュ・システムを提供する。
本発明のe−キャッシュ・システムはある種の従来手法を取り入れている。以
下では、これらの従来手法について説明する。
A.公開鍵暗号手法(public key cryptography)
代表的な公開鍵暗号化方式(public key cryptographic system)では、各当事
者iは公開鍵Piと秘密鍵Siをもっている。公開鍵Piはだれにも知られている
が、秘密鍵Siは当事者iだけが知っている。使用者iへ送られる平文メッセー
ジ(clear text message)mは、だれにも知られている公開鍵Piを利用する公開
オペレーションP、つまり、c=P(m,Pi)を使用して暗号化されて、暗号
テキスト・メッセージ(cipher text message)cが作られる。この暗号テキスト
・メッセージcは秘密鍵Siを利用する秘密オペレーションS、つまり、m=S
(c,Si)を使用して暗号解読される。秘密鍵Siをもつ当事者iだけが秘密オ
ペレーションを実行して暗号化メッセージを暗号解読することができる。
公開鍵暗号化手法(public key cryptographic techniques)は認証(authentica
tion)を行うためにも使用できる。P(S(m,Si),Pi)=mが真実であれ
ば、対応する鍵Pi、Siの所有者はs:S(m,Si)を生成することによりメ
ッセージmに署名することができる。ただし、sは署名を示している。検証者(v
erifier)は、mとsが与えられているときm=P(s,Pi)を検証する。署名
システムは検証のために次のように使用することができる。すなわち、iである
と主張する当事者が本人であるかをメッセージmと一緒に調べ、当事者に自分の
秘密鍵Siを使用してメッセージmに署名するように求めてから、Piを使用して
署名を検証する。
公開鍵暗号化手法の例としては、よく知られているRSA手法がある。この手
法によれば、当事者iは指数eとモジュラスNの形体になった公開鍵と、指数d
の形体になった秘密鍵をもっている。従って、当事者iへ送信するメッセージを
もつ当事者はc≡memod Nとなるようにメッセージmを暗号化する。当事
者iは、オペレーションm≡cdmod Nを実行することによりcを暗号解読
してmを得ることができる。
もう1つの公開鍵暗号化手法として、Rabinモジュラ平方根(modular square r
oot)手法がある。この手法によれば、秘密オペレーションではモジュラ平方根を
得ることが含まれ、公開オペレーションではモジュラ自乗演算(modular
squaring operation)が含まれる。
B.EL Gamal署名方式
PiとSiが使用者iの公開鍵と秘密鍵であるとし、Pi=αSi mod pで
あるとする。ただし、pは大きな素数(large prime)または大きな素数の積であ
り、αはZ* pにおける生成元(generator)である。使用者iによるメッセージm
のEl-Gamal署名は順序対(ordered pair)s=(u,v)であり、これを式で表す
と次のとおりである。
Pi u.uv=αmmod p (1)
以上のように、署名の受取人は容易に署名を検証することができる。署名を作成
するには、使用者iは乱数rを選択し、u=αrmod pを計算する。式(1)か
ら、次式が得られる。
Si.u+r.v≡m mod p−1 (2)
以上から、Siを知っている唯一の人であるiはvを計算することができる。た
だし、gcd(r,p−1)=1であるとする。El Gamal署名方式はT.El Gama
l著「公開鍵暗号化方式および離散対数に基づく署名方式(A Public Key Cryptos
ystem and a Signature Scheme Based on Discrete Logarithms)」、IEEE Trans
IT,Vol.IT-31,No.4,July,1985,pp.469-472に説明されている。
El-Gamal署名システムは、署名者iが同じrを2回使用して2つの異なるメッ
セージに署名しようとすると、これらの2つの署名が署名者の秘密鍵Siを暴露
するという興味のある特性をもっている。rを2回使用すると、Siがどのよう
にして暴露されるかを知るには、式(2)から次式を求めるとそのことが分かる。
Si.u+r.v1≡m1mod p−1;
Si.u+r.v2≡m2mod p−1 (3)
上記から、
r(v1−v2)≡(m1−m2)mod p−1 (4)
gcd(v1−v2,p−1)=1ならば、メッセージm1,m2およびそ
の署名(u,v1),(u,v2)を知っている人はだれでも、rを求めることが
でき、gcd(v,p−1)=1ならば、Siを計算することができる。El Gama
l署名方式のこの独特の特性は本発明によるe−キャッシュ・システムの基礎と
して使用され、特定のe−コインの二重使用者のアイデンティティを明らかにし
ている。NIST、DSS、Schnorrなどの他の署名方式も、2つの異なるメッセージが
同じランダム・エレメント(例えば、r)を使用して署名されると、そのメッセ
ージ、署名、および使用者の公開鍵といった公開情報をもつ人ならば、だれでも
が署名者の秘密鍵を計算できるという特性をもっている。この特性をもつ署名方
式は、署名方式のEl Gamal族(family)に属する。
C.ブラインド署名
ブラインド署名(blind signature)の考え方は、ある人が閉じられた封筒に署
名する状況を真似ることである。封筒にはある種のドキュメントとカーボン・ペ
ーパが入っているので、署名は(カーボン・ペーパを通して)ドキュメント上に
現れることになるが、署名者にはドキュメントの内容は分からない。受取人は署
名されたドキュメントを封筒から後で取り出すことができる。一見すると奇妙な
、この考え方は追跡不能性(nontraceability)を設定する上で非常に役立ってい
る。ブラインド署名はRSAを使用すると、次のように実現することができる。
署名者はN,e,d(それぞれ公開モジュラス(public modulus)、公開指数(pub
lic exponent)、秘密指数(secret exponent))と関連づけられる。署名される秘
密メッセージはmである。受取人はランダムなxεZ* Nを選択し、「封筒内メツ
セージ(message-in-envelope)」c≡xe.m mod Nを署名者に提示し、こ
れを受けて署名者はそれに署名する。つまり、その受取人からのcd≡x.mdm
od Nを計算し、受取人(xを知っている)だけが署名されたメッセージmd
≡cdx-1 mod Nを計算することができる。
上述した公開鍵暗号化手法技術は、本発明による独特のe−キャッシュ・シス
テムを提供するために使用される。発明の概要
本発明の図示の実施例によれば、e−キャッシュ・システムには4人の役者が
いる。すなわち、保証当局(certification authority)、銀行、使用者iとも呼
ばれる支払人、使用者jとも呼ばれる被支払人である。e−マネー・システムで
実行できる基本オペレーションには6つある。すなわち、初期証明(Initial Cer
tificate)、受領証明(Receipt Certificate)、引出し、支払、預金、交換である
。本発明のe−マネー・システムのエレメントとオペレーションについては、以
下で説明する。公開鍵と秘密鍵
使用者iは公開鍵をもち、例えばPi=αSi mod pとなっている。ただ
し、αとpは一般に知られている。Siは使用者iの秘密鍵である。秘密鍵Siは
使用者iのアイデンティティIiを含んでいる。図示の例では、Siは使用者の名
前Iiと使用者iだけが知っているランダム・ビットRiのストリングの連結(con
catenation)からなっている。すなわち、Si=(Ii,Ri)となっている。別の
方法として、秘密指数鍵(secret exponent key)SiはIiの複数のコピーを含む
ことも可能である。なお、PiとSiはそれぞれEl Gamal公開鍵および秘密鍵であ
る。以下で説明するように、この機能は、特定のe−コインの二重使用者のアイ
デンティティを検出する上で重要である。
別の例として、PiとSiはEl Gamal公開鍵と秘密鍵であるが、署名方式のEl G
amal族(family)における異なる署名方式の鍵にすることも可能である。しかしな
がら、望ましいことは、Siが使用者のアイデンティティIiを含んでいることで
ある。公開鍵の保証
使用者iは公開鍵Piの保証(certificate)を受けることもできる。公開鍵の保
証は使用者iのアイデンティティIiと使用者が主張する公開鍵Piとを結ぶリン
ケージである。本発明では、この保証とは、公開鍵Piが合法的であり、使用者
のアイデンティティが指数に埋め込まれているか、さもなければ公
開鍵に埋め込まれているとの証明(proof)となるものである。保証の例としては
、f(Pi,Oγ)に対する信用当局(trusted authority)の署名(例えば、RS
A署名)がある。ただし、Oγはγ個のゼロの連(run)である。Piの保証は図示
の例ではオフ−オフ・ライン(off-off line)で計算される。関数fの使用は完全
に任意である。従って、本発明のある実施例では、f(Pi,Oγ)=(Pi,Oγ
)になっている。本発明の他の実施例では、fは一般に知られた衝突のないha
s関数(publicly known collision free has function)になっている。特に、1
(p)=log<(p)γとする。
Σ={0,1}1(p)とし、f:Σ→Σを一般に知られた衝突のない一方向性has
関数(one way has function)であるとする。(fはΣ={0,1}1(p2)のとき
使用されることがあり、このことはコンテキストから明らかである。)
本明細書で用いられている「オフ−オフ・ライン」という用語は、まれにしか
実行されないオペレーションのことである。特に、「オフ−オフ・ライン」とい
う用語は、一度だけ実行され、その結果が多数のリアル・タイム・オペレーショ
ンで使用されるオペレーションのことを意味する。「オフ−オフ・ライン」オペ
レーションは、オン/オフ・ライン・ディジタル署名方式で使用される「オフ−
ライン」オペレーションと対比されるものである。オン/オフ・ライン・ディジ
タル署名方式では、各リアル・タイム・ディジタル署名が実行されるとき、計算
は可能な限り多くが先立って実行されて、リアル・タイム計算を減少するように
している。各リアル・タイム・ディジタル署名について先立って実行される計算
は「オフ−ライン」計算と呼ばれる。「オフ−ライン」計算の集合とリアル・タ
イム・デイジタル署名との間には、1対1対応(one-to-one correspondence)が
ある。これに対して、「オフ−オフ」ライン計算とリアル・タイム・オペレーシ
ョンとの間には1対1対応がない。むしろ、「オフ−オフ・ライン」計算の結果
は多くの後続のリアル・タイム・オペレーションで使用することができる。「オ
フ−オフ・ライン」オペレーションの使用は本発明の独特の特徴である。これが
本発明の大きな利点となっているのは、秘密鍵Piとその保証が「オフ−オフ・
ライン」で計算できることである。
保証は次のようにして得られる。候補となる保証f(P1,Oγ)は
Z≡xecf(pi,Oγ)mod Ncを計算することによってブラインド(blind
)される。ただし、xは乱数、ecは信用保証当局の公開RSA指数鍵、Ncは保
証当局の公開モジュラスである。量Zはそのあと使用者iから保証当局へ送信さ
れる。
次に、使用者iはPiが正しいフォーマットになっていること、つまり、Piの
指数の中の秘密鍵Siが使用者のアイデンティティIiを含んでいることを保証当
局に証明する。この証明は、保証当局に対してPiを明らかにすることなく行う
ことができるので、保証当局は使用者iのIiとPiとを相関づけることが不可能
になっている。保証当局がIiとPiとを相関づけることを可能にすると、保証当
局はe−キャッシュを使用して使用者iが行ったすべての取引を知ることが可能
になってしまう。本発明では、使用者のアイデンティティが明らかにされるのは
、コインが二重使用されたときだけである。このような相関づけを防止するため
に、候補となる保証はそれが保証当局に送られる前にブラインドされる。この証
明を行うために使用できる1つの手法として、ゼロ知識証明(zero-knowledge pr
oof)と呼ばれるものがある(Goldreich、Micali、Winderson著「その有効性以外
はなにももたらさない証明、またはNPにおけるすべての言語はゼロ知識証明シ
ステムをもっている(Proofs that yield nothing,but their validity,or All
languages in NP have zero-knowledge proof systems)、J.of the ACM,38:
691-729,1991およびGoldwasser,Micali、Rackoff著「会話型証明システムの知
識複雑性(The knowledge complexity of Interactive proof systems)」、SIAM
J.on Computing,181,1989,pp.186-208を参照。なお、これらの文献の内容は
引用により本明細書の一部分を構成する)。ゼロ知識証明がここで使用できるの
は、証明の中で使用される述部のすべてがNP(Non-deterministic polynomina
l time:非決定性多項式時間)であるためである。もう1つの証明手法は「カッ
ト−アンド−チューズ(cut-and-choose)手法である。この後者の手法については
、以下で詳しく説明する。
証明が保証当局に受容し得るものであれば、保証当局はZdcを計算する。ただ
し、dcは保証当局の秘密RSA指数鍵である。そのあと、Zdcは保証当局から
使用者iへ送信され、使用者iは保証
cert(i)=Zdc/x≡f(Pi,Oγ)dc mod Ncを計算する。
以上を要約すると、使用者iはIiとPiとの間のリンケージを設定している保
証を保証当局から受け取る。しかし、通常の保証とは対照的に、このリンケージ
は隠されている。使用者のアイデンティティIiは公開鍵Piの離散対数(discret
e Iog)の中に埋め込まれており、これが明らかにされるのはコインの二重使用が
あったときだけである。なお、保証cert(i)はオフ−オフ・ライン計算を使用し
て、定期的にリフレッシュすることが可能である。e−コインのフォーマット
一般的に、コインは使用者の公開とランダム・エレメントとの間の保証済みリ
ンケージを含んでいる。本発明の図示実施例によれば、使用者iのコインは(Pi
,u,C)で表されている。ただし、保証済みリンケージC≡f(Pi,u,Oγ
)d$ mod N$であり、u≡αrmod p、ここでrはランダム・エレメ
ントであり、これはiによって選択され、iだけが知っており、30<γ<50
、d$は特定の単位(denomination)のコインに対する銀行のRSA秘密指数であ
り、そしてN$は銀行のRSAモジュラスである。鍵Pi、値u、モジュラスN$
、および公開RSA指数e$(秘密RSA指数d$に対応する)は公衆に知られて
いる。使用者iの各コインはランダム・エレメントrの異なる値をもっているが
、多くのコインでは同じPiが使用される。
以下のオン−ライン(つまり、リアル・タイム取引)は本発明のe−キャッシ
ュを使用して実行することができる。
1.支払
支払人iはコイン(Pi,u,C)を被支払人jに送信する。ただし、保証済
みリンケージC≡f(Pi,u,Oγ)d$ mod N$である。被支払人jは、
Ce$≡(Pi,u,Oγ)mod N$を検証することによって銀行の署名を検証
する。銀行の署名が正しければ、被支払人jは、El Gamal署名またはEl Gamal
族(family)からの他の署名を使用してコインに埋め込まれている(Pi,u)を
使用してランダム・メッセージmに署名するように支払人iに要
求する。支払人iはEl Gamal署名s=(u,v)を計算し、署名を被支払人jに
送信する。これを受けて、被支払人jはEl Gamal署名を検証する。ここで被支払
人jはコインをストアする。
以上を要約すると、支払オペレーションでは、支払人はコイン(公開鍵とラン
ダム・エレメントとの間の保証済みリンケージ)を被支払人に送信する。被支払
人は、図示の例では銀行の署名である保証を検証する。そのあと、被支払人はコ
インに埋め込まれた公開鍵とランダム・エレメントを使用し、El Gamal族につい
ての署名方式を使用してメッセージmに署名するように支払人に要求する。その
あと被支払人は署名を検証する。
2.預金
ここでは、被支払人jがコインC(Pi,u,C)を銀行に預金する場合を想
定して説明する。被支払人jはコイン(Pi,u,C)と支払人iのEl Gamal署
名(u,v)を銀行へ送信する。支払人iが署名したメッセージmも銀行へ送信
される。銀行はそのCe$≡f(Pi,u,Oγ)mod N$を検証することによ
ってコインを検証する。
銀行は、預金されたコイン(Pi,u,Cγ)および対応するEl Gamal署名(
u,v)とメッセージmのリストを維持している。
次に、銀行は、現在預金されているコインをリスト内のコインと比較する。重
複コインがあるときは、上記の式(2)と(3)を使用すると、rとSiを求めること
ができる。Siから、二重使用者のアイデンティティIiが明らかにされる。重複
コインがなければ、コインがリストに追加され、被支払人jの残高が更新される
。コインのリストは満了日がコインに埋め塔まれていれば、無限に大きくなるこ
とはない。
以上を要約すると、預金オペレーションでは、被支払人は受け取ったコインと
支払人のEl Gamal族署名を銀行へ送信する。銀行はコインを検証したあとで、コ
インを以前に預金されたコインのリストと比較してそのコインが過去に預金され
ていたかどうかを確かめる。コインが過去に預金されていれば、銀行は二重使用
者のアイデンティティを決定することができる。特に、銀行は2つの異なるメッ
セージで、しかし同じランダム・エレメントを使用した2つのEl Gamal族署名を
受信したことになる。旧マネーと新マネーの交換
被支払人jは支払人iから受け取ったコインを単に預金するだけではなく、被
支払人jはコインCを銀行に預金し、その見返りとして同一総額の新しいコイン
を要求することができる。上述した預金ルーチンが実行され、二重使用のチェッ
クが行われるが、jの残高は未変更のままである。被支払人jはブラインドされ
ていない保証(Pj,Oγ)dc mod Ncを銀行に送信し、これを受けて、銀
行はPjを検証する。要求する各コインごとに、被支払人は被支払人が選択した
u=αr' mod Pも銀行に送信する。使用者jは、C′≡f(Pj,u,Oγ
)d$ mod N$を銀行から取り戻す。この交換取引は本発明の特徴であり
、これは従来のe−マネー・システムにはなかったものである。
以上を要約すると、交換オペレーションでは、被支払人は旧コインを銀行に預
金し、同一総額の新しいコインを銀行から受け取る。被支払人は自分のアイデン
ティティを銀行に対して明らかにするが、リンケージ(使用者、コイン)は銀行
には分からないようになっている。引出し
実行できるもう1つのオペレーションは引出し(withdrawal)オペレーションで
ある。このオペレーションによれば、使用者iは銀行との通信を確立し、本人で
あることを銀行に対して認証する。使用者iはブラインドされた候補コインw≡
xe$f(Pi,u,Oγ)mod N$を提示し、それに基づいて銀行のRSA署
名を得ることが望ましい。また、使用者iはPiが正しい構造になっていること
を銀行に対して証明する(例えば、ゼロ知識証明、またはカット−アンド−チュ
ーズ証明を使用して)。この証明は鍵Piを銀行に対して明らかにすることなく
行われるので、銀行は使用者iをPiと相関づけることができない。銀行はコイ
ンの値を使用者の残高から差し引く。そのあと、銀行はwd$とN$を返すので、
使用者はそれからコイン(Pi,u,C)を計算することができる。た
だし、保証済みリンケージC=f(Pi,u,Oγ)d$ mod N$である。交
換オペレーションは複雑化した引出しオペレーションよりも頻繁に使用されるこ
とが予想される。
以上を要約すると、引出しオペレーションでは、公開鍵(例えば、Pi)とラ
ンダム・エレメント(例えば、u)との間のブラインドされたリンケージが銀行
に送信される。ブラインドが使用されるのは、使用者のID(例えば、Ii)が
銀行に分かってしまうからである。銀行は、Piが正しい構造になっていること
(つまり、使用者のアイデンティティIiがそこに再埋込みされていること)を
検証する。そのあと、銀行はブラインドされたリンケージに署名し、署名したブ
ラインド・リンケージを使用者に返し、これを受けて使用者はコインを計算する
。
以上開示してきた本発明によるe−キャッシュ・システムには、いくつかの重
要な利点がある。システムは計算と通信の点で単純化されている。リアル・タイ
ム・オペレーションの数は限られており、最も複雑なオペレーションはオフ−オ
フ・ラインで実行される。本発明のe−キャッシュ方式は、使用者のプライバシ
を保護する一方で、二重使用者のアイデンティティを明らかにすることができる
。図面の簡単な説明
図1は、本発明のe−キャッシュ方式を利用することができるネットワークを
示す概略図である。
図2は、本発明によるe−キャッシュを使用する支払オペレーションを示す概
略図である。
図3は、本発明のe−キャッシュ・システムを使用する預金オペレーションを
示す概略図である。
図4は、本発明のe−キャッシュ・システムを使用する交換オペレーションを
示す概略図である。
図5は、本発明のe−キャッシュ・システムを使用する引出しオペレーション
を示す概略図である。
図6は、本発明により使用者の公開鍵の初期保証を生成するオペレーションを
示す概略図である。
図7は、本発明により公開鍵の保証をリフレッシュするオペレーションを示す
概略図である。
図8および図9は、Piが初期保証において正しい構造になっていることを証
明するために使用されるカット−アンド−チューズ(cut-and-choose)手法および
本発明のリフレッシュ保証オペレーションを示す図である。発明の詳細な説明 A.ネットワーク環境
図1は、本発明のe−キャッシュを利用してさまざまな取引が行われるネット
ワーク10を概略的に示す図である。ネットワーク10は、使用者に所属するマ
ネー・モジュールなどの複数の電子e−コイン処理ユニット、1つまたは複数の
銀行、および保証当局を含んでいる。
図示の例では、図1のネットワーク10は使用者iに所属する第1ポータブル
・マネー・モジュール12と使用者jに所属する第2ポータブル・マネー・モジ
ュール14を含んでいる。マネー・モジュール12はCPU(例えば、マイクロ
プロセッサ)16とメモリ18を搭載している。マネー・モジュール14はCP
U20とメモリ22を搭載している。マネー・モジュール12はライン(回線)
24を介して公衆交換電話網(public switched telephone network)26に一時
的に接続することが可能になっている。マネー・モジュール14もまた、ライン
28を介して公衆交換電話網26に一時的に接続することが可能になっている。
マネー・モジュール12,14は公知のモデム(図示せず)を通してライン24
,28に接続されている。別の方法として、マネー・モジュールは無線ラジオ・
チャネル(wireless radio channel)を介して公衆交換電話網に接続することも可
能である。図示の例では、公衆交換電話網26はISDN(Integrated Service
s Digital Network -統合サービス・ディジタル網)になっている。マネー・モ
ジュール12と14は公衆交換電話網26を通して相互に通信することができる
。
別の方法として、マネー・モジュール12と14の間を無線接続(wireless co
nnection)30で結ぶことも可能である。この無線接続30はセルラ網(cellular
network)で確立することも、大気を通る直接無線リンク(radio link)を利用し
て2つのマネー・モジュール間を結ぶことも可能である。また、無線赤外線リン
ク(wireless infrared link)で2つのマネー・モジュール間を結ぶことも可能で
ある。
理解されるように、マネー・モジュール12,14のCPU16,20は処理
能力が限られている。さらに、マネー・モジュール12,14のメモリ18,2
2も記憶容量が限られている。従って、本発明のe−キャッシュ取引では、マネ
ー・モジュールでリアル・タイム・オペレーションを一定数に制限することを要
求することが望ましい。
ネットワーク10は保証当局ステーション32も含んでいる。この保証当局ス
テーション32にはサーバ34とメモリ36が置かれている。サーバ34はリン
ク38によって電話網36に接続されている。
さらに、ネットワーク10は銀行ステーション40も含んでいる。銀行ステー
ションにはサーバ42とメモリ44を含む。サーバ42はリンク46によって電
話網26に接続されている。
図1のネットワーク10は単なる例示である。使用者iとjに所属する2つの
マネー・モジュールは12,14だけが示されているが、e−キャッシュを使用
するためのネットワークは多数のマネー・モジュールを含むことが可能である。
さらに、銀行も2つ以上存在することが可能である。B.マネー・フォーマット
上述したように、各使用者iは公開鍵Pi=αSi mod pをもっている。
ただし、αとpは一般に知られており、Siは秘密鍵である。秘密鍵Siは使用者
iのアイデンティティIiを含んでいる。図示の例では、Si=(Ii,Ri)であ
り、Riは使用者iだけが知っているランダムなビット・ストリングである。さ
らに、使用者iは保証cert(i)をもっており、これはPiが指数Siに含まれたア
イデンティティIiをもっていることを保証してい
る。このフォーマットは特定のe−コインの二重使用者を明らかにする上で重要
である。図示の例では、保証cert(i)は(Pi,Oγ)に対する保証当局の署名で
ある。ただし、Oγはγ個のゼロの連(run)であり、30<γ<50である。例
えば、cert(i)≡(Pi,Oγ)dc mod Ncであり、dcは保証当局の秘密R
SA指数、Ncは保証当局のモジュラスである。保証を得るための詳しいプロセ
スについては、図6を参照して以下に説明する。
使用者iのコインは(Pi,u,C)の形式になっている。ただし、保証済み
リンケージC=(f(Pi,u,Oγ)d$ modN$であり、u=αrmod
p、ここでrは各コインごとにiによって別々に選択され、iだけが知っている
ランダム・エレメントである。指数d$は特定のコイン単位に対する銀行の秘密
RSA指数であり、N$は銀行のモジュラスである。銀行は、すべてのmに対し
て公開RSA指数e$ももっており、(md$)e$ mod N$≡mのようになっ
ている。C.支払取引
本発明のe−キャッシュを使用して行うことができる取引の1つとして、支払
取引(payment transaction)がある。支払取引では、支払人iに所属するマネー
・モジュール12と被支払人jに所属するマネー・モジュール14との間の通信
を含む。これらの通信は電話網26または無線リンク30を通して行われる。支
払取引で必要とされる計算はマネー・モジュール12,14のCPU18,20
で実行される。
支払オペレーションは図2に示されており、次のようなステップからなってい
る。
1.支払人iはコイン(Pi,u,C)を被支払人jに送信する。ただし、保
証済みリンケージC≡(f(Pi,u,Oγ)d$ modN$ある。
2.被支払人jは銀行のRSA署名を検証することによって、つまり、Ce$≡
(Pi,u,Oγ)mod N$であることを検証することによってコインを検証
する。この検証が失敗したときは、支払オペレーションは打ち切られる。
3.この検証が成功したときは、被支払人jはランダム・メッセージmを選択
する。
4.ランダム・メッセージmは被支払人jから支払人iへ送信される。
5.支払人iはPi,Siおよびuを使用してメッセージmでEl Gamal署名s=
(u,v)を生成する。上述したように、PiとSiはEl Gamal公開鍵と秘密鍵の
形体になっている。(これに代わる方法として、El Gamal族からのNIST-DSSまた
はSchnorr署名または他の方式を使用することも可能である。)
6.El Gamal署名sは支払人から被支払人jへ送信される。
7.被支払人jはEl Gamal署名s=(u,v)を検証する。署名sが肯定的に
検証されなかったときは、支払オペレーションは打ち切られる。署名が肯定的に
検証されたときは、被支払人jはコイン(Pi,u,C)、署名s、およびメッ
セージmをメモリ22にストアする。
なお、ここで注意すべきことは、pが十分に大きいときは、公開鍵Piとアイ
デンティティIiとを相関づけることは容易でないので、被支払人jが支払人i
のアイデンティティIiを知得することはあり得ないことである。従って、支払
人iのプライバシは守られることになる。D.預金取引
図3は被支払人jが支払人iから受け取ったコイン(Pi,u,C)を銀行4
0に預金する取引を示している。預金オペレーションを行うには、被支払人jの
マネー・モジュール14と銀行40は公衆交換電話網26を通して通信する。預
金オペレーションは次のようなステップで行われる。
1.被支払人jは支払人iから受け取ったコインCとEl Gamal署名sをメッセ
ージmと一緒に銀行40へ送信する。
2.銀行はCe$ mod N$≡f(Pi,u,Oγ)であることを検証するこ
とによってコインを検証する。
3.銀行は預金されたコインのリストを維持している。各コインごとに、この
リストはメッセージと、コインの中のEl Gamal鍵とuの値を使用してそのメッセ
ージで受け取ったEl Gamal署名を含んでいる。このリストはメモリ44にストア
されている。(満了日をコインに付加して、このリストのサイズを制限すること
ができる。)
4.サーバ42を使用して、銀行40はコイン(Pi,u,C)を、メモリ4
4にストアされたすでに預金されたコインのリストと比較する。衝突が見つかっ
たときは、二重使用が行われたことが検出される。次に、支払人iのアイデンテ
ィティIiが決定される。このアイデンティティは、異なるメッセージ上の2つ
のEl Gamal署名が同じPiとuを使用していると、秘密鍵Siが明らかになること
から判断することができる。SiはIiを含んでいるので、Iiも明らかにされる
。このことは上記の式(2)と(3)から証明されている。コインCがリストに見つか
らなければ、支払人の署名が検証される。そのあと、コイン(Pi,u,C)お
よび関連El Gamal署名sとメッセージmが銀行で維持されているリストに追加さ
れる。
5.被支払人jは銀行によって更新される残高を有する。
なお、ここで注意すべきことは、預金オペレーションでは、支払人iが
二重使用者でなければ、支払人iのアイデンティティIiが明らかにされないこ
とである。E.交換取引
本発明のe−キャッシュを使用して実行できるもう1つの取引は、交換取引(e
xchange transaction)である。交換取引は、使用者が旧e−コインを銀行に預金
し、同一総額の新e−コインを引き出すことを含む。交換取引の目的は、支払人
iと被支払人jのプライバシを永続化することである。図示の例では、交換取引
は、使用者jのマネー・モジュール14と銀行40との間で公衆交換電話網26
を使用して通信し合うことによって行われている。図4に示すように、交換オペ
レーションで行われるステップは次のとおりである。
1)被支払人jは、支払人iから受け取った使用済みコイン(Pi,u,C)
、ここで保証済みリンケージC≡(f(Pi,u,Oγ)d$ N$と、メッセージ
mと一緒に支払人iから受け取ったEl Gamal署名sを銀行へ送信する。
2)銀行はCe$ mod N$=f(Pi,u,Oγ)を検証することによって
コインを検証する。
3)銀行はコイン(Pi,u,C)をメモリ44にストアされた預金済みコイ
ンのリストと比較する。衝突が見つかったときは、二重使用が行われたことが検
出される。そのあと、二重使用者のアイデンティティが上述した預金取引の場合
と同じように決定される。コインCがリストに見つからなければ、支払人の署名
が検証されコインCが銀行で維持されているリストに追加される。
4)保証cert(j)≡(f(Pj,Oγ)dc mod Ncおよびu′=αr' m
od pは被支払人jから銀行へ送信される。
5)銀行は保証を検証して、使用者jとの新しい保証されたリンケージC′を
作り、そのあと新しいコイン(Pj,u′,C′)をフォーマットする。
注意: このオペレーションでは、銀行は支払人iまたは被支払人jのアイデ
ンティティを知得することはあり得ない。また、銀行はコインC′が流通すると
きコイン(Pj,u′,C′)を特定の使用者と関連づけることもない。その理
由は、銀行はPiまたはPjをIiまたはIjと相関づけることができないからであ
る。
上述した3つの取引、つまり、支払、預金、交換はいずれもリアル・タイムで
行われるので、マネー・モジュールで要求されるオペレーション量は最小限にな
っている。F.引出し取引
本発明のe−マネーを使用して実行できるもう1つの取引は、銀行からの引出
し(withdrawal)である。図示の例では、使用者iはマネー・モジュール12を使
用して電話網26を介して銀行40と通信して引出しオペレーションを実行して
いる。引出しオペレーションのステップは図5に示されており、以下で説明する
。
1)使用者iはその識別(identification)Ii、口座番号および引き出そうす
る値を銀行へ送信する。
2)銀行は識別Iiを検証し、口座残高をチェックする。
3)使用者iはランダムのxを選択し、ブラインドされた候補リンケージW=
χe$(Pi,u,Oγ)mod N$を作って、ブラインドされた候補リンケージ
を銀行へ送信する。
4)使用者iはPi=αsi modpが正しくフォーマットされていること、Si
がIiを含んでいることを銀行に対して証明する。これは、例えば、ゼロ知識証
明またはカット−アンド−チューズ手法を使用して行われるので、銀行がPiを
知得することはない。したがって、銀行はPiとiのアイデンティティとを相関
づけることができない。故に使用者iのプライバシが守られるようになっている
。
5)銀行が証明を拒否したときは、オペレーションは停止される。そうでなけ
れば、銀行はWd$≡xf(Pi,u,Oγ)d$ mod N$を作り、こ
の数量を使用者へ送信する。
6)そのあと、使用者はリンケージ=Wd$/x≡f(Pi,u,Oγ)d$ m
od N$を使用してコインを作る。
ここで注意すべきことは、引出しオペレーションは交換オペレーションより複
雑になっていることであるが、これは、ブラインドされた候補リンケージに組み
込まれたPiが正しくフォーマットされていることを使用者iがPiを明らかにす
ることなく証明しなければならないからである。引出しオペレーションは、ほと
んどの場合避けられることが予想される。引出しオペレーションが避けられる理
由は、e−コインはe−チェックなどの追跡可能なe−マネーとトレード(trade
)可能であるので、交換オペレーションが利用できるからである。G.保証オペレーション
上述したように、本発明のe−マネー・システムは鍵Piの保証を使用してい
る。この保証は保証当局によってオフ−オフ・ラインで行われる。使用者iのマ
ネー・モジュールは電話網26を通して保証当局32と通信する。Piの保証プ
ロセスのステップは図6に示されており、次のとおりである。
1.使用者はランダムなxを選択し、ブラインドされた候補保証Z≡xecf(
Pi,Oγ)mod Ncを作る。そのあと、ブラインドされた候補保証ZはIi
を確認することと一緒に保証当局へ送信される。
2.次に、使用者は、Piが正しいフォーマットにされていることを、例えば
、ゼロ知識証明またはカット−アンド−チューズ手法を使用して保証当局に対し
て証明するので、保証当局がPiを知得することはなく、従って、PiとIiを相
関づけることができないようになっている。
3.この証明が拒否されたときは、保証オペレーションは停止される。そうで
なければ、保証当局はZdcを計算し、Zdcを使用者iへ送信する。
4.これを受けて、使用者iはcert(i)≡Zdc/x≡f(Pi,Oγ)dc mo
d Ncを計算する。
この保証プロセスを使用すると、保証当局がPiを知得することがないので
PiとIiを相関づけることが不可能になっている。これにより、保証当局は使用
者iによって行われるe−キャッシュ取引について知ることができなくなるので
、使用者iのプライバシが保護されることになる。H.リフレッシュ・オペレーション
PiとIiとの対応関係が外部に漏れる可能性があるので(例えば、暗号化の外
部の手段によって)、望ましいことは、Piとcert(i)を定期的にリフレッシュす
ることである。リフレッシュ・オペレーションは図7に示されており、そのステ
ップを説明すると、次のとおりである。
1)使用者はランダムなxを選択する。
2)使用者は新しい鍵Pi′≡αsi'mod p,Si′=(IiRi′)を選択
する。ただし、Ri′は使用者iが選択したフレッシュなランダム・ビットのス
トリングである。鍵Pi′を使用すると、新しい候補保証f(Pi′,Oγ)が選
択される。この新候補保証はY≡xec f(Pi,Oγ)を計算することにより
ブラインドされる。Yと旧保証cert(i)は保証当局に送信される。
3)使用者iは、PiとPi′が同じIiを含んでいることを、例えば、ゼロ知
識証明またはカット・アンド・チューズ手法を用いて保証当局に対して証明する
ので、保証当局はPiまたはPi′をIiと相関づけることが不可能である。
4)保証当局が証明を拒否したときは、オペレーションは停止される。そうで
なければ、保証当局は(Y)dcを計算し、この値を使用者iに送信する。
5)これを受けて、使用者iは新しい保証cert2(i)≡(Y)dc/x≡f(Pi
,Oγ)dc mod N$を計算する。
以上を要約すると、独特な電子キャッシュ・システムを開示してきた。本発明
の電子キャッシュ・システムは、合法的な取引において使用者のプライバシを保
護する一方で、これと同時に、特定の電子コインの二重使用者のアイデンティ
ティを明らかにすることを可能にしている。これらの非常に利点のある結果は、
El Gamal署名方式および他の公開鍵暗号化手法を使用して達成されている。
なお、本発明に関連して利用されるある種のオペレーションは、RSA公開鍵
暗号化手法を使用する場合を例にして説明してきたが、Rabinモジュラ平方根な
どの他の公開鍵暗号化手法をRSAの代わりに使用できることは勿論である。
最後に、本発明の上述した実施例は単なる例示であって、多くの別の実施例が
この分野の精通者により、請求の範囲の精神と範囲を逸脱することなく、考案さ
れることが可能である。
【手続補正書】特許法第184条の8
【提出日】1996年3月22日
【補正内容】
請求の範囲
1.電子キャッシュ取引を行う方法において、
当事者の公開鍵とランダム・エレメントとのリンケージを備える電子コインを
、第1電子コイン処理ユニットから第2電子コイン処理ユニットへ通信リンクを
経由して送信するステップを備え、前記リンケージは公開鍵暗号化方式の秘密オ
ペレーションを使用して署名され、前記公開鍵は、
Pi=αSi mod p
の形式になっており、
ただし、Piは当事者iの公開El Gamal鍵、Siは当事者iのアイデンティティ
Iiを含んでいる当事者iの秘密El Gamal鍵、pとαは一般に知られた数である
こと、前記ランダム・エレメントはu≡armod pの形式を有しており、た
だし、rは当事者iにより選択される乱数であることを特徴とする方法。
2.請求項1に記載の方法において、前記リンケージは銀行のRSA秘密指数を
使用して署名されることを特徴とする方法。
3.請求項1に記載の方法において、前記送信ステップは、前記電子コインを無
線リンクを経由して送信することを備えたことを特徴とする方法。
4.請求項1に記載の方法において、前記送信ステップは、前記電子コインを公
衆交換電話網を経由して送信することを備えたことを特徴とする方法。
5.請求項1に記載の方法において、前記第1電子コイン処理ユニットは第1当
事者iに所属する第1マネー・モジュールであることを特徴とする方法。
6.請求項5に記載の方法において、前記第1マネー・モジュールは中央処理ユ
ニットおよびメモリを備えたことを特徴とする方法。
7.請求項5に記載の方法において、前記第2電子コイン処理ユニットは第2当
事者jに所属する第2マネー・モジュールであることを特徴とする方法。
8.請求項7に記載の方法において、前記取引は前記第1当事者iの前記第1マ
ネー・モジュールから前記第2当事者jの前記第2マネー・モジュールへ前記コ
インを送信することを備えたことを特徴とする方法。
9.請求項8に記載の方法において、
a)当事者jから当事者iへメッセージmを送信するステップと、
b)El Gamal族からの署名で当事者i側でメッセージmに署名するステップと
、
c)署名を当事者jへ送信するステップと、
d)当事者j側で署名を検証するステップとをさらに備えたことを特徴とする
方法。
10.請求項7に記載の方法において、前記第2マネー・モジュールは中央処理
ユニットおよびメモリを備えたことを特徴とする方法。
11.請求項1に記載の方法において、前記第1電子コイン処理ユニットは当事
者jに所属するマネー・モジュールであり、前記第2電子コイン処理ユニットは
銀行であることを特徴とする方法。
12.請求項11に記載の方法において、前記送信ステップは前記電子コインを
前記当事者jから前記銀行へ送信することを備えたことを特徴とする方法。
13.請求項12に記載の方法において、前記当事者jから前記銀行へ送信され
た前記電子コインにおける前記公開鍵は、コインを当事者jへ転送した当事者i
の公開鍵であることを特徴とする方法。
14.請求項13に記載の方法において、当事者iのEl Gamal族署名をメッセー
ジmと前記メッセージmに乗せて、前記当事者jから前記銀行へ送信するステッ
プをさらに備えたことを特徴とする方法。
15.請求項14に記載の方法において、
a)コインおよび対応するEl Gamal族署名のリストを前記銀行側のメモリに保
持しておくステップと、
b)前記当事者jから前記銀行へ送信された前記コインを前記リスト内のコイ
ンと比較するステップと、
c)前記当事者jから送信された前記コインと前記リスト上のコインとの間に
衝突があれば、前記当事者jから送信されたEl Gamal族署名とリスト内のコイン
のEl Gamal族署名を使用して二重使用者であることを確認するステップとをさら
に備えたことを特徴とする方法。
16.請求項15に記載の方法において、
d)当事者jの公開鍵の保証を当事者jから前記銀行へ送信するステップと、
e)当事者jから銀行へ初めに送信されたコインと値が等しい新しいコインを
銀行から当事者jへ送信するステップとをさらに備えたことを特徴とする方法。
17.電子コイン・システムにおいて特定の電子コインの二重使用を検出する方
法であって、コインの各々は、使用者iのアイデンティティIiが埋め込まれて
いる使用者iの公開鍵Piの保証されたリンケージおよびランダム・エレメント
を備えているものにおいて、該方法は、
a)コイン、対応するメッセージmおよびコイン内の公開鍵とランダム・エレ
メントを使用して得られたメッセージm上のEl Gamal族署名sのリストをメモリ
にストアするステップと、
b)エレクトロニック・プロセッサを使用し、前記特定のコインをリスト上の
コインと比較するステップと、
c)該特定のコインと前記リスト上のコインとがマッチすれば、特定のメッセ
ージ上の前記特定のコインの特定のEl Gamal族署名ならびに前記リスト上の前記
コインのEl Gamal族署名およびメッセージを使用して、二重使用者であることを
確認するステップとを備えたことを特徴とする方法。
18.請求項17に記載の方法において、前記保証されたリンケージはC≡f(
Pi,u,Oγ)d$mod N$の形式になっており、ただし、
Piは前記使用者iの前記公開鍵、
uは前記ランダム・エレメント、
Oγはγ個のゼロのストリング、
d$は銀行の秘密RSA指数、
N$は銀行のモジュラス、
であることを特徴とする方法。
19.請求項18に記載の方法において、前記公開鍵Piは、
Pi≡αSi mod p
の形式になっており、ただし、
Siは使用者iの秘密キーで、使用者iのアイデンティティIiを含んでおり、
αとPは一般に知られた数であり、
前記ランダム・エレメントはu=αrmod pの形式になっており、rは使
用者iにより選択された乱数であることを特徴とする方法。
20.電子コインを銀行から電子的に引き出す方法において、
a)使用者のプロセッサを使用し、ブラインド・オペレーションを実行して候
補リンケージをブラインドし、ブラインドされた候補リンケージは使用者の公開
鍵およびランダム・エレメントを含んでいるステップと、
b)使用者のアイデンティティとブラインドされた候補リンケージを使用者か
ら銀行へ通信リンク経由で送信するステップと、
c)使用者の公開鍵がそこに埋め込まれた使用者のアイデンティティをもって
いるとの前記銀行への通知を、使用者の公開鍵を銀行に明らかにすることなく使
用者から銀行へ送信するステップと、
d)前記銀行側のプロセッサを利用し、前記銀行の秘密鍵を使用して前記ブラ
インドされた候補リンケージに署名し、署名されたブラインド候補リンケージを
前記使用者へ送信するステップと、
e)前記使用者側では、署名されたブラインド候補リンケージからコインを生
成し、前記公開鍵は
Pi≡αSimod p
形式になっており、ただし、Siは使用者iの秘密鍵で、使用者iのアイデンテ
ィティIiを含んでおり、αとpは一般に知られた数であり、前記ランダム・エ
レメントはu=αrmod pの形式になっており、ただし、rはランダムに選
択された数であるステップとを備えたことを特徴とする方法。
21.電子キャッシュ・システムの使用者の公開鍵を保証する方法であって、
a)使用者のエレクトロニック・プロセッサを利用し、候補保証に対してブラ
インド・オペレーションを実行してブラインドされた候補保証を生成し、前記ブ
ラインドされた候補保証はPi=αSimod p形式の使用者iの公開鍵を含ん
でおり、上記形式において、Siは使用者iのアイデンティティIiを含んでいる
使用者iの秘密鍵、αとpは一般に知られた数であるステップと、
b)前記ブラインドされた候補保証を通信リンク経由で保証当局へ送信するス
テップと、
c)PiがIiを含んでいるとの通知を、Piを保証当局に明らかにすることな
く前記通信リンク経由で前記保証当局へ送信するステップと、
d)前記保証当局側のプロセッサを利用し、前記保証当局の秘密鍵を使用して
前記ブラインドされた候補保証に署名し、署名されたブラインド候補保証を前記
使用者iへ送信するステップと、
e)前記使用者i側では、前記署名されたブラインド候補保証から保証を生成
するステップとを備えたことを特徴とする方法。
22.請求項21に記載の方法において、前記候補保証はf(Pi,Oγ)の形
式になっていることを特徴とする方法。
23.電子キャッシュ・システムにおける、使用者の公開鍵の保証をリフレッシ
ュする方法において、
(a)Pi=αSi mod p形式の旧公開鍵Piの旧保証を使用者iから保証
当局へ送信し、ただし、Siは使用者iのアイデンティティIiを含む旧秘密鍵、
αとpは公開された整数であるステップと、
(b)使用者i側では、エレクトロニック・プロセッサを使用し、新しい公開
鍵Pi′=αSi'mod p、ただし、Si′はアイデンティティIiを含む新しい
秘密鍵であるものを選択し、前記新しい鍵Pi′を含むブラインドされた候補リ
フレッシュ保証を形成するステップと、
(c)前記ブラインドされた候補リフレッシュ保証を前記使用者iから前記保
証当局へ送信するステップと、
(d)Pi′はPiと同じIiを含んでいるとの通知を、Piを前記保証当局に明
らかにすることなく前記保証当局へ送信するステップと、
(e)前記保証当局側でエレクトロニック・プロセッサを利用し、保証当局の
秘密鍵を使用して前記ブラインドされた候補リフレッシュ保証に署名し、署名さ
れたブラインド候補リフレッシュ保証を使用者iへ送信するステップと、
(f)前記使用者i側では、前記署名されたブラインド候補リフレッシュ保証
からリフレッシュ保証を生成するステップとを備えたことを特徴とする方法。
─────────────────────────────────────────────────────
フロントページの続き
(51)Int.Cl.6 識別記号 庁内整理番号 FI
H04L 9/32 9570−5J H04L 9/00 675B
9570−5J 663A
(81)指定国 EP(AT,BE,CH,DE,
DK,ES,FR,GB,GR,IE,IT,LU,M
C,NL,PT,SE),CA,JP
Claims (1)
- 【特許請求の範囲】 1.電子キャッシュを使用して取引を行う方法において、 当事者の公開鍵とランダム・エレメントとのリンケージを備える電子コインを 、第1電子コイン処理ユニットから第2電子コイン処理ユニットへ通信リンクを 経由して送信するステップを備え、前記リンケージは、公開鍵暗号化方式の秘密 オペレーションを使用して署名されることを特徴とする方法。 2.請求項1に記載の方法において、前記公開鍵は、 Pi=αSi mod p の形式になっており、 ただし、Piは当事者iの公開El Gamal鍵、Siは当事者iのアイデンティティ Iiを含んでいる当事者iの秘密El Gamal鍵、pとαは一般に知られた数である こと、前記ランダム・エレメントはu≡armod pの形式を有しており、た だし、rは当事者iにより選択される乱数であることを特徴とする方法。 3.請求項1に記載の方法において、前記リンケージは銀行のRSA秘密指数を 使用して署名されることを特徴とする方法。 4.請求項1に記載の方法において、前記送信ステップは、前記電子コインを無 線リンクを経由して送信することを備えたことを特徴とする方法。 5.請求項1に記載の方法において、前記送信ステップは、前記電子コインを公 衆交換電話網を経由して送信することを備えたことを特徴とする方法。 6.請求項1に記載の方法において、前記第1電子コイン処理ユニットは第1当 事者iに所属する第1マネー・モジュールであることを特徴とする方法。 7.請求項6に記載の方法において、前記第1マネー・モジュールは中央処理ユ ニットおよびメモリを備えたことを特徴とする方法。 8.請求項6に記載の方法において、前記第2電子コイン処理ユニットは第2当 事者jに所属する第2マネー・モジュールであることを特徴とする方法。 9.請求項8に記載の方法において、前記取引は前記第1当事者iの前記第1マ ネー・モジュールから前記第2当事者jの前記第2マネー・モジュールへ前記コ インを送信することを備えたことを特徴とする方法。 10.請求項9に記載の方法において、 a)当事者jから当事者iへメッセージmを送信するステップと、 b)El Gamal族からの署名で当事者i側でメッセージmに署名するステップと 、 c)署名を当事者jへ送信するステップと、 d)当事者j側で署名を検証するステップとをさらに備えたことを特徴とする 方法。 11.請求項8に記載の方法において、前記第2マネー・モジュールは中央処理 ユニットおよびメモリを備えたことを特徴とする方法。 12.請求項1に記載の方法において、前記第1電子コイン処理ユニットは当事 者jに所属するマネー・モジュールであり、前記第2電子コイン処理ユニットは 銀行であることを特徴とする方法。 13.請求項12に記載の方法において、前記送信ステップは前記電子コインを 前記当事者jから前記銀行へ送信することを備えたことを特徴とする方法。 14.請求項13に記載の方法において、前記当事者jから前記銀行へ送信され た前記電子コインにおける前記公開鍵は、コインを当事者jへ転送した当事者i の公開鍵であることを特徴とする方法。 15.請求項14に記載の方法において、当事者iのEl Gamal族署名をメッセー ジmと前記メッセージmに乗せて、前記当事者jから前記銀行へ送信するステッ プをさらに備えたことを特徴とする方法。 16.請求項15に記載の方法において、 a)コインおよび対応するEl Gamal族署名のリストを前記銀行側のメモリに保 持しておくステップと、 b)前記当事者jから前記銀行へ送信された前記コインを前記リスト内のコイ ンと比較するステップと、 c)前記当事者jから送信された前記コインと前記リスト上のコインとの間に 衝突があれば、前記当事者jから送信されたEl Gamal族署名およびリスト内のコ インのEl Gamal族署名を使用して二重使用者であることを確認するステップとを さらに備えたことを特徴とする方法。 17.請求項16に記載の方法において、 d)当事者jの公開鍵の保証を当事者jから前記銀行へ送信するステップと、 e)当事者jから銀行へ初めに送信されたコインと値が等しい新しいコインを 銀行から当事者jへ送信するステップとをさらに備えたことを特徴とする方法。 18.電子コイン・システムにおいて特定の電子コインの二重使用を検出する方 法であって、コインの各々は、使用者iのアイデンティティIiが埋め込まれて いる使用者iの公開鍵Piの保証されたリンケージを備えているものにおいて、 該方法は、 a)コイン、対応するメッセージmおよびコイン内の公開鍵とランダム・エレ メントを使用して得られたメッセージm上のEl Gamal族署名sのリストを メモリにストアするステップと、 b)エレクトロニック・プロセッサを使用し、前記特定のコインをリスト上の コインと比較するステップと、 c)前記特定のコインと前記リスト上のコインとの間に衝突があれば、特定の メッセージ上の前記特定のコインの特定のEl Gamal族署名ならびに前記リスト上 の前記コインのEl Gamal族署名およびメッセージを使用して、二重使用者である ことを確認するステップとを備えたことを特徴とする方法。 19.請求項18に記載の方法において、前記保証されたリンケージはC≡f( Pi,u,Oγ)d$ mod N$の形式になっており、ただし、 Piは前記使用者iの前記公開鍵、 uは前記ランダム・エレメント、 Oγはγ個のゼロのストリング、 d$は銀行の秘密RSA指数、 N$は銀行のモジュラス、 であることを特徴とする方法。 20.請求項18に記載の方法において、前記公開鍵Piは、 Pi≡δSi mod p の形式になっており、ただし、 Siは使用者iの秘密鍵で、使用者iのアイデンティティIiを含んでおり、 δとPは一般に知られた数であり、 前記ランダム・エレメントはu=δrmod pの形式になっており、rはラ ンダムに選択された数であることを特徴とする方法。 21.電子コインを銀行から電子的に引き出す方法において、 a)使用者iのマネー・モジュール内のプロセッサを使用し、ブラインド・オ ペレーションを実行して候補リンケージをブラインドし、ブラインドされ た候補リンケージはPi≡αSimod p形式の使用者iの公開鍵を含んでおり 、上記形式において、Siは使用者iの秘密鍵であって、使用者iのアイデンテ ィティIiを含んでおり、αとpは一般に知られた数であるステップと、 b)使用者iのアィデンティティおよびブラインドされた候補リンケージを使 用者iから銀行へ通信リンク経由で送信するステップと、 c)前記使用者iの前記マネー・モジュールは、Piが前記形式を有している との通知を、Piを前記銀行に明らかにすることなく前記銀行に対して提供する ステップと、 d)前記銀行側のプロセッサを利用し、前記銀行の秘密鍵を使用して前記ブラ インドされた候補コインに署名し、署名されたブラインド候補リンケージを前記 使用者iへ送信するステップと、 e)前記使用者i側では、署名されたブラインド候補リンケージからコインを 生成するステップとを備えたことを特徴とする方法。 22.請求項18に記載の方法において、前記保証リンケージはC≡f(Pi, u,Oγ)d$ mod N$の形式になっており、ただし、 Piは前記使用者iの前記公開鍵、 uは前記ランダム・エレメント、 Oγはγ個のゼロのストリング、 d$は銀行の秘密RSA指数、 N$は銀行のモジュラス、 であることを特徴とする方法。 23.請求項18に記載の方法において、前記公開鍵Piは、 Pi=δSi mod p の形式になっており、ただし、 Siは使用者iの秘密鍵で、使用者iのアイデンティティIiを含んでおり、 δとPは一般に知られた数であり、 前記ランダム・エレメントはu=δrmod pの形式になっており、rはラン ダムに選択された数であることを特徴とする方法。 24.電子キャッシュ・システムの使用者の公開鍵を保証する方法であって、 a)使用者のエレクトロニック・プロセッサを利用し、候補保証に対してブラ インド・オペレーションを実行してブラインドされた候補保証を生成し、前記ブ ラインドされた候補保証はPi≡αSimod p形式の使用者iの公開鍵を含ん でおり、上記形式において、Siは使用者iのアイデンティティIiを含んでいる 使用者iの秘密鍵、αとpは一般に知られた数であるステップと、 b)前記ブラインドされた候補保証を通信リンク経由で保証当局へ送信するス テップと、 c)PiがIiを含んでいるとの通知を、Piを保証当局に明らかにすることな く前記通信リンク経由で前記保証当局へ送信するステップと、 d)前記保証当局側のプロセッサを利用し、前記保証当局の秘密鍵を使用して 前記ブラインドされた候補保証に署名し、署名されたブラインド候補保証を前記 使用者iへ送信するステップと、 e)前記使用者i側では、前記署名されたブラインド候補保証から保証を生成 するステップとを備えたことを特徴とする方法。 25.請求項37に記載の方法において、前記候補保証はf(Pi,Oγ)の形 式になっていることを特徴とする方法。 26.電子キャッシュ・システムにおける、使用者の公開鍵の保証をリフレッシ ュする方法において、 (a)Pi≡αSi mod p形式の旧公開鍵Piの旧保証を使用者iから保証 当局へ送信し、ただし、Siは使用者iのアイデンティティIiを含む旧秘密鍵、 αとpは公開された整数であるステップと、 (b)使用者i側では、エレクトロニック・プロセッサを使用し、新しい公開 鍵Pi′≡αSi'mod p、ただし、Si′アイデンティティIiを含む新しい秘 密鍵であるものを選択し、前記新しい鍵Pi′を含むブラインドされた候補リフ レッシュ保証を形成するステップと、 (c)前記ブラインドされた候補リフレッシュ保証を前記使用者iから前記保 証当局へ送信するステップと、 (d)Pi′はPiと同じIiを含んでいるとの通知を、Piを前記保証当局に明 らかにすることなく前記保証当局へ送信するステップと、 (e)前記保証当局側でエレクトロニック・プロセッサを利用し、保証当局の 秘密鍵を使用して前記ブラインドされた候補リフレッシュ保証に署名し、署名さ れたブラインド候補リフレッシュ保証を使用者iへ送信するステップと、 (f)前記使用者i側では、前記署名されたブラインド候補リフレッシュ保証 からリフレッシュ保証を生成するステップとを備えたことを特徴とする方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US20110694A | 1994-02-23 | 1994-02-23 | |
US08/303,048 | 1994-09-08 | ||
US08/303,048 US5511121A (en) | 1994-02-23 | 1994-09-08 | Efficient electronic money |
US08/201,106 | 1994-09-08 | ||
PCT/US1995/002007 WO1995023465A1 (en) | 1994-02-23 | 1995-02-17 | Efficient electronic money |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH09505169A true JPH09505169A (ja) | 1997-05-20 |
Family
ID=26896402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP7522392A Pending JPH09505169A (ja) | 1994-02-23 | 1995-02-17 | 効率的な電子マネー |
Country Status (5)
Country | Link |
---|---|
US (1) | US5511121A (ja) |
EP (1) | EP0746923A4 (ja) |
JP (1) | JPH09505169A (ja) |
CA (1) | CA2182173C (ja) |
WO (1) | WO1995023465A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002530723A (ja) * | 1998-11-25 | 2002-09-17 | アナトリエヴィッチ ゾロタレフ,オレグ | 支払いを発効させる方法およびそのための装置 |
Families Citing this family (134)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7028187B1 (en) | 1991-11-15 | 2006-04-11 | Citibank, N.A. | Electronic transaction apparatus for electronic commerce |
US5557518A (en) | 1994-04-28 | 1996-09-17 | Citibank, N.A. | Trusted agents for open electronic commerce |
US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
US5983207A (en) * | 1993-02-10 | 1999-11-09 | Turk; James J. | Electronic cash eliminating payment risk |
US7036019B1 (en) * | 1994-04-01 | 2006-04-25 | Intarsia Software Llc | Method for controlling database copyrights |
US6744894B1 (en) | 1994-04-01 | 2004-06-01 | Mitsubishi Corporation | Data management system |
JPH07271865A (ja) * | 1994-04-01 | 1995-10-20 | Mitsubishi Corp | データベース著作権管理方法 |
US6088797A (en) * | 1994-04-28 | 2000-07-11 | Rosen; Sholom S. | Tamper-proof electronic processing device |
US6741991B2 (en) * | 1994-09-30 | 2004-05-25 | Mitsubishi Corporation | Data management system |
US6449717B1 (en) * | 1994-09-30 | 2002-09-10 | Mitsubishi Corporation | Data copyright management system |
US7302415B1 (en) * | 1994-09-30 | 2007-11-27 | Intarsia Llc | Data copyright management system |
EP0715241B1 (en) | 1994-10-27 | 2004-01-14 | Mitsubishi Corporation | Apparatus for data copyright management system |
EP1691315A1 (en) | 1994-10-27 | 2006-08-16 | Intarsia Software LLC | Data copyright management system |
US6424715B1 (en) | 1994-10-27 | 2002-07-23 | Mitsubishi Corporation | Digital content management system and apparatus |
US5832089A (en) * | 1995-06-07 | 1998-11-03 | Sandia Corporation | Off-line compatible electronic cash method and system |
US5790677A (en) * | 1995-06-29 | 1998-08-04 | Microsoft Corporation | System and method for secure electronic commerce transactions |
US5689565A (en) * | 1995-06-29 | 1997-11-18 | Microsoft Corporation | Cryptography system and method for providing cryptographic services for a computer application |
FR2737032B1 (fr) * | 1995-07-19 | 1997-09-26 | France Telecom | Systeme de paiement securise par transfert de monnaie electronique a travers un reseau interbancaire |
JPH0954808A (ja) * | 1995-08-18 | 1997-02-25 | Fujitsu Ltd | オンライン決済システム、電子小切手の発行システム及び検査システム |
US8595502B2 (en) * | 1995-09-29 | 2013-11-26 | Intarsia Software Llc | Data management system |
US7801817B2 (en) * | 1995-10-27 | 2010-09-21 | Makoto Saito | Digital content management system and apparatus |
US5901229A (en) * | 1995-11-06 | 1999-05-04 | Nippon Telegraph And Telephone Corp. | Electronic cash implementing method using a trustee |
US5671285A (en) * | 1995-12-13 | 1997-09-23 | Newman; Bruce D. | Secure communication system |
US6026163A (en) * | 1995-12-13 | 2000-02-15 | Micali; Silvio | Distributed split-key cryptosystem and applications |
US5615269A (en) * | 1996-02-22 | 1997-03-25 | Micali; Silvio | Ideal electronic negotiations |
US6055518A (en) * | 1996-02-01 | 2000-04-25 | At&T Corporation | Secure auction systems |
US5878138A (en) * | 1996-02-12 | 1999-03-02 | Microsoft Corporation | System and method for detecting fraudulent expenditure of electronic assets |
US6076078A (en) * | 1996-02-14 | 2000-06-13 | Carnegie Mellon University | Anonymous certified delivery |
EP0891663A1 (en) * | 1996-04-01 | 1999-01-20 | Hewlett-Packard Company | Transmitting messages over a network |
FR2748591B1 (fr) * | 1996-05-07 | 1998-06-05 | France Telecom | Procede de realisation d'une transaction electronique securisee a double signature |
US6945457B1 (en) | 1996-05-10 | 2005-09-20 | Transaction Holdings Ltd. L.L.C. | Automated transaction machine |
EP0807910B1 (en) * | 1996-05-16 | 2008-06-04 | Nippon Telegraph And Telephone Corporation | Electronic cash implementing method with a surveillance institution, and user apparatus and surveillance institution apparatus for implementing the same |
JP3329432B2 (ja) * | 1996-05-29 | 2002-09-30 | 日本電信電話株式会社 | 階層型電子現金実施方法およびこれに用いられる装置 |
US7096003B2 (en) * | 1996-08-08 | 2006-08-22 | Raymond Anthony Joao | Transaction security apparatus |
JPH1091866A (ja) * | 1996-09-18 | 1998-04-10 | Hitachi Ltd | 電子マネー取り引きシステム |
GB2317790B (en) * | 1996-09-26 | 1998-08-26 | Richard Billingsley | Improvements relating to electronic transactions |
US5839119A (en) * | 1996-09-27 | 1998-11-17 | Xerox Corporation | Method of electronic payments that prevents double-spending |
US5913203A (en) * | 1996-10-03 | 1999-06-15 | Jaesent Inc. | System and method for pseudo cash transactions |
US6058381A (en) * | 1996-10-30 | 2000-05-02 | Nelson; Theodor Holm | Many-to-many payments system for network content materials |
US7020638B1 (en) * | 1996-11-18 | 2006-03-28 | Microsoft Corporation | System and method for flexible micropayment of low value electronic assets |
US5872844A (en) * | 1996-11-18 | 1999-02-16 | Microsoft Corporation | System and method for detecting fraudulent expenditure of transferable electronic assets |
GB9624127D0 (en) * | 1996-11-20 | 1997-01-08 | British Telecomm | Transaction system |
US5952638A (en) * | 1996-11-25 | 1999-09-14 | Xerox Corporation | Space efficient method of electronic payments |
US5857023A (en) * | 1996-11-25 | 1999-01-05 | Xerox Corporation | Space efficient method of redeeming electronic payments |
US6021399A (en) * | 1996-11-25 | 2000-02-01 | Xerox Corporation | Space efficient method of verifying electronic payments |
SG64957A1 (en) * | 1996-12-04 | 1999-05-25 | Inst Of Systems Science Nation | Microprocessor card payment system |
US6353812B2 (en) | 1998-02-19 | 2002-03-05 | Certco, Inc. | Computer-based method and system for aiding transactions |
US5903882A (en) * | 1996-12-13 | 1999-05-11 | Certco, Llc | Reliance server for electronic transaction system |
US6154541A (en) * | 1997-01-14 | 2000-11-28 | Zhang; Jinglong F | Method and apparatus for a robust high-speed cryptosystem |
US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
US6575372B1 (en) | 1997-02-21 | 2003-06-10 | Mondex International Limited | Secure multi-application IC card system having selective loading and deleting capability |
US6467685B1 (en) | 1997-04-01 | 2002-10-22 | Cardis Enterprise International N.V. | Countable electronic monetary system and method |
IL120585A0 (en) * | 1997-04-01 | 1997-08-14 | Teicher Mordechai | Countable electronic monetary system and method |
US6220510B1 (en) | 1997-05-15 | 2001-04-24 | Mondex International Limited | Multi-application IC card with delegation feature |
US6164549A (en) | 1997-05-15 | 2000-12-26 | Mondex International Limited | IC card with shell feature |
US6328217B1 (en) | 1997-05-15 | 2001-12-11 | Mondex International Limited | Integrated circuit card with application history list |
US6385723B1 (en) | 1997-05-15 | 2002-05-07 | Mondex International Limited | Key transformation unit for an IC card |
US6488211B1 (en) * | 1997-05-15 | 2002-12-03 | Mondex International Limited | System and method for flexibly loading in IC card |
WO1999022486A1 (de) * | 1997-10-28 | 1999-05-06 | Brokat Infosystems Ag | Verfahren zum digitalen signieren einer nachricht |
WO1999026207A1 (en) * | 1997-11-19 | 1999-05-27 | Rsa Security Inc. | Digital coin tracing using trustee tokens |
US6736325B1 (en) | 1998-01-22 | 2004-05-18 | Mondex International Limited | Codelets |
US6357665B1 (en) | 1998-01-22 | 2002-03-19 | Mondex International Limited | Configuration of IC card |
JP3574559B2 (ja) * | 1998-01-27 | 2004-10-06 | 株式会社エヌ・ティ・ティ・データ | 電子チケットシステム、回収端末、サービス提供端末、利用者端末、電子チケット回収方法及び記録媒体 |
US6742120B1 (en) | 1998-02-03 | 2004-05-25 | Mondex International Limited | System and method for controlling access to computer code in an IC card |
US6108644A (en) * | 1998-02-19 | 2000-08-22 | At&T Corp. | System and method for electronic transactions |
US6978250B1 (en) * | 1998-05-22 | 2005-12-20 | Citicorp Development Center, Inc. | System and method for automated electronic scrip transactions |
US6947908B1 (en) | 1998-08-27 | 2005-09-20 | Citibank, N.A. | System and use for correspondent banking |
RU2153191C2 (ru) | 1998-09-29 | 2000-07-20 | Закрытое акционерное общество "Алкорсофт" | Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты) |
JP4763866B2 (ja) | 1998-10-15 | 2011-08-31 | インターシア ソフトウェア エルエルシー | 2重再暗号化によりデジタルデータを保護する方法及び装置 |
US7386727B1 (en) | 1998-10-24 | 2008-06-10 | Encorus Holdings Limited | Method for digital signing of a message |
EP1203332A4 (en) | 1999-02-12 | 2002-09-25 | Mack Hicks | SYSTEM AND METHOD FOR PROVIDING CERTIFICATION-RELATED AND OTHER SERVICES |
US6970852B1 (en) * | 1999-04-28 | 2005-11-29 | Imx Solutions, Inc. | Methods and apparatus for conducting secure, online monetary transactions |
US6687822B1 (en) * | 1999-06-11 | 2004-02-03 | Lucent Technologies Inc | Method and system for providing translation certificates |
EP1061484A3 (en) | 1999-06-11 | 2004-01-07 | Citicorp Development Center, Inc. | Method and system for controlling certificate based open payment transactions |
US6529884B1 (en) * | 1999-07-14 | 2003-03-04 | Lucent Technologies, Inc. | Minimalistic electronic commerce system |
WO2001009793A1 (en) * | 1999-07-29 | 2001-02-08 | Privacash.Com, Inc. | Method and system for transacting an anoymous purchase over the internet |
US20020029200A1 (en) | 1999-09-10 | 2002-03-07 | Charles Dulin | System and method for providing certificate validation and other services |
EP1242938A1 (en) * | 1999-09-10 | 2002-09-25 | Jackson Brandenburg | System and method for facilitating access by sellers to certificate-related and other services |
CA2384242A1 (en) * | 1999-09-24 | 2001-04-05 | Mary Mckenney | System and method for providing payment services in electronic commerce |
WO2001045052A2 (en) * | 1999-10-18 | 2001-06-21 | Sutton David B | Auction system requiring advance credit information from both buyer and seller |
AU4508001A (en) * | 1999-11-29 | 2001-06-18 | Microsoft Corporation | System and method for flexible micropayment of low value electronic assets |
US7222097B2 (en) * | 2000-01-18 | 2007-05-22 | Bellosguardo Philippe A | Anonymous credit card |
US7013293B1 (en) | 2000-01-25 | 2006-03-14 | Nds Limited | Portable transaction device |
FR2807248B1 (fr) * | 2000-03-28 | 2002-06-28 | Gemplus Card Int | Procede de signatures numeriques probabilistes |
JP2001344537A (ja) * | 2000-05-31 | 2001-12-14 | Ntt Docomo Inc | 電子バリューシステム、通信端末及びサーバ |
WO2001095068A2 (en) * | 2000-06-09 | 2001-12-13 | Certicom Corp. | A method for the application of implicit signature schemes |
GB0014759D0 (en) * | 2000-06-17 | 2000-08-09 | Hewlett Packard Co | Service delivery method and system |
US6976162B1 (en) * | 2000-06-28 | 2005-12-13 | Intel Corporation | Platform and method for establishing provable identities while maintaining privacy |
AU7182701A (en) * | 2000-07-06 | 2002-01-21 | David Paul Felsher | Information record infrastructure, system and method |
US6820064B1 (en) * | 2000-08-31 | 2004-11-16 | Hewlett-Packard Development Company, L.P. | E-commerce consumables |
US7000105B2 (en) * | 2000-09-08 | 2006-02-14 | Identrus, Llc | System and method for transparently providing certificate validation and other services within an electronic transaction |
EP1325599A1 (en) * | 2000-09-08 | 2003-07-09 | Guy S. Tallent | System and method for providing authorization and other services |
US6700076B2 (en) * | 2000-09-28 | 2004-03-02 | Eic Corporation | Multi-layer interconnect module and method of interconnection |
US20020128981A1 (en) * | 2000-12-28 | 2002-09-12 | Kawan Joseph C. | Method and system for facilitating secure customer financial transactions over an open network |
AU2002244582A1 (en) * | 2001-03-21 | 2002-10-03 | Sungold Entertainment Corp. | Anonymous payment system and method |
US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
US20020174064A1 (en) * | 2001-05-17 | 2002-11-21 | Hong Li | System and method for internet cash payment |
US20020179704A1 (en) * | 2001-06-05 | 2002-12-05 | Ncr Corporation | Enhanced digital wallet |
US7110525B1 (en) | 2001-06-25 | 2006-09-19 | Toby Heller | Agent training sensitive call routing system |
EP1282087A1 (de) * | 2001-08-02 | 2003-02-05 | Alcatel | Verfahren zur Durchführung von Transaktionen von elektronischen Geldbeträgen zwischen Teilnehmerendgeräten eines Kommunikationsnetzes, Transaktionsserver und Programmmodul hierfür |
US7372952B1 (en) | 2002-03-07 | 2008-05-13 | Wai Wu | Telephony control system with intelligent call routing |
CN1653751A (zh) * | 2002-03-13 | 2005-08-10 | 比姆托拉斯股份有限公司 | 处理电子支付支票的方法 |
US20030225695A1 (en) * | 2002-06-04 | 2003-12-04 | Bottomline Technologies (De) Inc. | System and method for producing and verifying secure negotiable instruments |
SG145524A1 (en) * | 2002-08-07 | 2008-09-29 | Mobilastic Technologies Pte Lt | Secure transfer of digital tokens |
US7729984B1 (en) | 2002-09-27 | 2010-06-01 | Abas Enterprises Llc | Effecting financial transactions |
US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
US7676034B1 (en) | 2003-03-07 | 2010-03-09 | Wai Wu | Method and system for matching entities in an auction |
US8037314B2 (en) * | 2003-12-22 | 2011-10-11 | Intel Corporation | Replacing blinded authentication authority |
US20050251472A1 (en) * | 2004-05-07 | 2005-11-10 | Sutton David B | Marketing of transaction cards |
US9235841B2 (en) | 2005-07-22 | 2016-01-12 | Gtj Ventures, Llc | Transaction security apparatus and method |
US9911124B2 (en) | 2005-07-22 | 2018-03-06 | Gtj Ventures, Llc | Transaction security apparatus and method |
US9245270B2 (en) | 2005-07-22 | 2016-01-26 | Gtj Ventures, Llc | Transaction security apparatus and method |
US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
US20070101145A1 (en) * | 2005-10-31 | 2007-05-03 | Axalto Inc. | Framework for obtaining cryptographically signed consent |
US20070125838A1 (en) * | 2005-12-06 | 2007-06-07 | Law Eric C W | Electronic wallet management |
US20070130463A1 (en) * | 2005-12-06 | 2007-06-07 | Eric Chun Wah Law | Single one-time password token with single PIN for access to multiple providers |
US8300798B1 (en) | 2006-04-03 | 2012-10-30 | Wai Wu | Intelligent communication routing system and method |
WO2008054512A2 (en) * | 2006-04-19 | 2008-05-08 | Stepnexus Holdings | Methods and systems for ic card application loading |
FR2905187B1 (fr) * | 2006-08-22 | 2012-11-16 | Ingenico Sa | Terminal de paiement electronique biometrique et procede de transaction |
GB0621189D0 (en) * | 2006-10-25 | 2006-12-06 | Payfont Ltd | Secure authentication and payment system |
US8566247B1 (en) | 2007-02-19 | 2013-10-22 | Robert H. Nagel | System and method for secure communications involving an intermediary |
US7958057B2 (en) * | 2007-03-28 | 2011-06-07 | King Fahd University Of Petroleum And Minerals | Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication |
JP5156254B2 (ja) * | 2007-04-17 | 2013-03-06 | 楽天株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
US8457307B2 (en) * | 2007-07-17 | 2013-06-04 | Certicom Corp. | Method and system for generating implicit certificates and applications to identity-based encryption (IBE) |
EP2026267A1 (en) * | 2007-07-31 | 2009-02-18 | Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO | Issuing electronic vouchers |
JP5513410B2 (ja) * | 2008-01-18 | 2014-06-04 | アイデントラスト, インコーポレイテッド | 複数の信頼ドメインへのデジタル証明書のバインディング |
WO2009095747A1 (fr) * | 2008-01-31 | 2009-08-06 | Henri Sack | Systeme informatique de modelisation et d'exploitation de documents publics |
US8275714B2 (en) * | 2008-10-05 | 2012-09-25 | Eugenio Rafael A | Method for performing a digital cash transaction |
US9621341B2 (en) * | 2008-11-26 | 2017-04-11 | Microsoft Technology Licensing, Llc | Anonymous verifiable public key certificates |
US9768965B2 (en) * | 2009-05-28 | 2017-09-19 | Adobe Systems Incorporated | Methods and apparatus for validating a digital signature |
WO2016073380A1 (en) | 2014-11-03 | 2016-05-12 | Genentech, Inc. | Method and biomarkers for predicting efficacy and evaluation of an ox40 agonist treatment |
US9705859B2 (en) * | 2015-12-11 | 2017-07-11 | Amazon Technologies, Inc. | Key exchange through partially trusted third party |
US10412098B2 (en) | 2015-12-11 | 2019-09-10 | Amazon Technologies, Inc. | Signed envelope encryption |
GB201611698D0 (en) | 2016-07-05 | 2016-08-17 | Eitc Holdings Ltd | Blockchain-implemented control method and system |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4759063A (en) * | 1983-08-22 | 1988-07-19 | Chaum David L | Blind signature systems |
US4969189A (en) * | 1988-06-25 | 1990-11-06 | Nippon Telegraph & Telephone Corporation | Authentication system and apparatus therefor |
US4977595A (en) * | 1989-04-03 | 1990-12-11 | Nippon Telegraph And Telephone Corporation | Method and apparatus for implementing electronic cash |
US5199070A (en) * | 1990-12-18 | 1993-03-30 | Matsushita Electric Industrial Co., Ltd. | Method for generating a public key |
US5224162A (en) * | 1991-06-14 | 1993-06-29 | Nippon Telegraph And Telephone Corporation | Electronic cash system |
US5222140A (en) * | 1991-11-08 | 1993-06-22 | Bell Communications Research, Inc. | Cryptographic method for key agreement and user authentication |
US5299263A (en) * | 1993-03-04 | 1994-03-29 | Bell Communications Research, Inc. | Two-way public key authentication and key agreement for low-cost terminals |
-
1994
- 1994-09-08 US US08/303,048 patent/US5511121A/en not_active Expired - Lifetime
-
1995
- 1995-02-17 WO PCT/US1995/002007 patent/WO1995023465A1/en not_active Application Discontinuation
- 1995-02-17 JP JP7522392A patent/JPH09505169A/ja active Pending
- 1995-02-17 CA CA002182173A patent/CA2182173C/en not_active Expired - Fee Related
- 1995-02-17 EP EP95911025A patent/EP0746923A4/en not_active Ceased
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002530723A (ja) * | 1998-11-25 | 2002-09-17 | アナトリエヴィッチ ゾロタレフ,オレグ | 支払いを発効させる方法およびそのための装置 |
Also Published As
Publication number | Publication date |
---|---|
EP0746923A1 (en) | 1996-12-11 |
EP0746923A4 (en) | 2000-11-29 |
US5511121A (en) | 1996-04-23 |
CA2182173A1 (en) | 1995-08-31 |
WO1995023465A1 (en) | 1995-08-31 |
CA2182173C (en) | 2001-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPH09505169A (ja) | 効率的な電子マネー | |
US7505944B2 (en) | Method and system of payment by electronic cheque | |
Law et al. | How to make a mint: the cryptography of anonymous electronic cash | |
CA2229206C (en) | Untraceable electronic cash | |
EP0824814B1 (en) | Methods and apparatus for authenticating an originator of a message | |
Chan et al. | Easy come—easy go divisible cash | |
US5131039A (en) | Optionally moderated transaction systems | |
US4977595A (en) | Method and apparatus for implementing electronic cash | |
US6859795B1 (en) | Method for carrying out transactions and device for realizing the same | |
WO1998014921A1 (en) | Payment and transactions in electronic commerce system | |
de Solages et al. | An efficient fair off-line electronic cash system with extensions to checks and wallets with observers | |
CN101295384A (zh) | 电子支付方法 | |
Fujisaki et al. | Practical escrow cash systems | |
Chida et al. | Digital money–a survey | |
Claessens et al. | Anonymity controlled electronic payment systems | |
US20070262135A1 (en) | Method and system for postdating of financial transactions | |
Wang et al. | A consumer scalable anonymity payment scheme with role based access control | |
Mazumdar et al. | On-line electronic payment system using signcryption | |
Wang et al. | Building a consumer scalable anonymity payment protocol for Internet purchases | |
Juang | A practical anonymous payment scheme for electronic commerce | |
Farsi | Digital Cash | |
Friis | Digicash implementation | |
Traoré | Making unfair a “Fair” blind signature scheme | |
Zhao et al. | Yet Another Simple Internet Electronic Payment System | |
Camenisch et al. | Security in electronic payment systems |