JPH1091697A - 発行機関分離型番号登録式電子現金方法および利用者装置 - Google Patents

発行機関分離型番号登録式電子現金方法および利用者装置

Info

Publication number
JPH1091697A
JPH1091697A JP8239263A JP23926396A JPH1091697A JP H1091697 A JPH1091697 A JP H1091697A JP 8239263 A JP8239263 A JP 8239263A JP 23926396 A JP23926396 A JP 23926396A JP H1091697 A JPH1091697 A JP H1091697A
Authority
JP
Japan
Prior art keywords
signature
information
mod
key information
bank
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP8239263A
Other languages
English (en)
Other versions
JP3599493B2 (ja
Inventor
Yasushi Nakayama
靖司 中山
Masayuki Abe
正幸 阿部
Atsushi Fujioka
淳 藤岡
Hidemi Morihata
秀実 森畠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP23926396A priority Critical patent/JP3599493B2/ja
Publication of JPH1091697A publication Critical patent/JPH1091697A/ja
Application granted granted Critical
Publication of JP3599493B2 publication Critical patent/JP3599493B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

(57)【要約】 【課題】 電子現金の発行、還収を一元的に管理する。 【解決手段】 利用者Uは、ランダムな引換番号Rcを
用いて署名対象Cを計算し、Cに対する銀行Aの署名S
Cをブラインド署名を用いて取得し、これを引換証と
し、利用者UはそのSC及びRcを発行機関Oへ送り、
機関OはRcが記憶にないことを確認し、Cを利用者と
同様に計算してSCがCの銀行署名であることを検証
し、コイン番号Rfを発行し、Rfに基づくコインFを
発行し、Rc,Rfを記憶してF,Rfを利用者へ送
る。F,Rfで支払を受けた受領者はこれを銀行Bへ送
り、これより機関Oへ転送し、Rfが記憶されているこ
とを確認した後、Rfを記憶から削除する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、電気通信システ
ムやICカードを利用してディジタル情報の授受により
電子的な現金を実現する電子現金方法に関する。
【0002】
【従来の技術】電子現金はICカードを電子現金の財布
(電子財布)とするような形で広く使われるようにな
る。その際には、電子現金はいかなる物理媒体にも依存
しないで、情報そのものが電子現金となるような形で電
子財布に格納される形態が望ましい。
【0003】電子現金の一つの実現策は、物理的な手段
によって安全性を保証する方法である。例えば、テレホ
ンカード等の磁気カードによるプリペイドカードは、カ
ード上の磁気状態を他のカードに物理的にコピーするこ
とが困難であるということを安全性の要として成り立っ
ている。しかしながら、この安全性の前提は世の中の製
造技術レベルの推移により大きく変化する。さらに、こ
の方式は、常に物理媒体(磁気カード等)と一体で実現
されるため、情報の形の電子現金のように通信回線で転
送するようなことはできない。
【0004】別の実現策は、クレジットカードのような
電子的IDカード(電子クレジットカードもしくは電子
小切手)を用いて、後日決済する方法である。電子クレ
ジットカードでは、手書きの署名の代わりにディジタル
署名を用いることにより、処理の完全電子化(情報化)
を実現でき、その決済用情報を通信回線で転送できる。
しかし、この方式の欠点は、利用者のプライバシを保証
できない点である(これは、現行のクレジットカードや
小切手においても同様である)。つまり、クレジットカ
ードを発行・決済する機関は、自由に利用者の購買履歴
を入手できるのはもとより、また、小売店までも利用者
のクレジットカード番号や署名を知ることができる。
【0005】一方、ブラインド署名(詳細は後述する)
と支払い時でのオンラインチェック(小売店が、利用者
の提示した情報が二重/不正使用されていないかを、管
理センタにオンラインで問い合わせること。)を組み合
わせることにより、上述した情報化、安全性、プライバ
シの問題を解決できる。しかし、各小売店が各利用者の
購買時に必ずセンタにアクセスすることは、処理時間
(利用者の待ち時間)、通信コスト、管理センタでのオ
ンライン処理コスト及びデータベース維持管理コスト等
を考えると、現実的な解とは言えない。従って、現金支
払い時の処理はオフラインで処理できることが望まし
い。
【0006】プライバシを重視し、オフライン処理可能
な電子現金方式としては、例えば、D.Chaum, A.Fiat an
d M.Naor, “Untraceable Electronic Cash,”Advances
inCryptology-Crypto'88, Lecture Notes in Computer
Science 403, pp.319-327,Springer-Verlag, Berlin(1
988)やT.Okamoto etal. “Disposable Zero-Knowledge
Authentications and Their Applications to Untracea
ble Electronic Cash,”Advances in Cryptology-Cryt
o'89, Lecture Notes in Computer Science 435, pp.48
1-496, Springer-Verlag, Berlin(1989)、特願平2−
88838号「電子現金実施方法及びその装置」などが
ある。
【0007】まず、利用者のプライバシを保証するため
の基本技術であるブラインド署名について説明する。ブ
ラインド署名では、署名者に文書の内容を秘密にしたま
まで署名を付けてもらう。RSA法に基づいた方式が文
献 D.Chaum, “Security without Identification:
Transaction Systems to Make Big Brother Obsolete,
”Comm. of the ACM, 28, 10, pp.1030-1044(1985)
で、ゼロ知識対話証明に基づいたブラインド署名が文献
T.Okamoto etal. “Divertible Zero-Knowledge Intera
ctive Proofs and Commutative Random Self-Reducibl
e, ”The Proc. of Eurocrypt'89(1989) で示されてい
る。
【0008】署名の要求者は、ブラインド署名前処理に
よって文書(m)を乱数(r)で攪乱してブラインドメ
ッセージ(x)を生成する。署名者は、秘密鍵を用いて
xに対応する仮の署名(y)を計算する。このとき、m
はrによって攪乱されているので、署名者は文書(m)
を知ることはできない。要求者は、ブラインド署名後処
理によってyから乱数(r)の影響を除去して、本来の
文書(m)に対する真の署名(y′)を求めて、mと
y′の組を検証者に送信する。検証者は、署名者の公開
鍵を用いてy′がmの署名であることを確認する。ここ
で、検証者はyとy′の対応関係を知ることはできな
い。ブラインド署名の手順 Aを署名者、Pを署名要求者、eA を署名者Aの公開情
報とする。Fをブラインド署名前処理アルゴリズム、D
を多重ブラインド署名アルゴリズム、Gをブラインド署
名後処理アルゴリズムとする。これらの関数の使用法
は、FeAとDeAから作成した仮の署名Ω(=DeA(FeA
(m1 ),…,FeA(mk ))) にGeAを施して、k個の
メッセージm1 ,…,mk に対するAの真の署名B=D
eA(m1 ,…,mk )を算出する。署名者Aと要求者P
は以下の手順に従って多重ブラインド署名を作成する。
【0009】ステップ1:Pはブラインド署名前処理に
より、k個のメッセージ{mi |i=1,2,…,k}
からk個のブラインドメッセージxi ={FeA(mi
|i=1,2,…,k}を生成して、Aに送信する。こ
こで、それぞれのxi =FeA(mi )は独立に計算され
ており、関数FeAは乱数を使用してmi を隠す。 ステップ2:Aは仮の署名Ω=DeA(FeA(m1 ),
…,FeA(mk ))をk個のブラインドメッセージFeA
(m1 ),…,FeA(mk )から生成して、Pに送信す
る。
【0010】ステップ3:Pは、GeAを用いたブライン
ド署名後処理により、m1 ,…,m k に対応したAの真
のディジタル署名B=DeA(m1 ,…,mk )を算出す
る。 (ブラインド署名の手順終わり)RSA法をブラインド
署名に使用する場合には、ブラインドメッセージ(ブラ
インド署名前処理)を、xi =FeA(mi )=ri eA×
i mod n、ここでriは攪乱するための乱数、仮の署
名を、
【0011】
【数1】
【0012】ブラインド署名後処理を、
【0013】
【数2】
【0014】とそれぞれおいて、署名は、
【0015】
【数3】
【0016】となる。このとき、検証式VeA(m1
…,mk ,B)は
【0017】
【数4】
【0018】のとき合格(OK)を出力する。ここで、
(eA ,n)はAの使用するRSA法の公開鍵であり、
次の式をみたす。 n=P×Q eA ×dA ≡1(mod L) ただしL=LCM{(P−1),(Q−1)} ここで、L=LCM{a,b}はaとbの最小公倍数
を、a≡b(mod n)は(a−b)がnの倍数であるこ
とを表す。以降ではdA を1/eA と表すこともある。
以下の Chaum・Fiat・Naor法ではk>1の場合を、後述
する実施例では、k=1の場合を想定する。
【0019】RSA暗号の構成例は、文献 Rivest, R.
L. etal. “A Method for ObtainingDigital Signature
s and Public-Key Cryptosystems”,Communications o
f the ACM, Vol. 21, No.2, pp.120-126,(1978)に示さ
れている。ブラインド署名の構成法は、例えば、Chaum,
D. “Blind Signature Systems”,US Patent No.:4,7
59,063 や Ohta, K. etal. “Authentication System a
nd Apparatus Therefor”,US patent No.:4,969,189
に示されている。
【0020】ところで、利用者のブライバシは、ブライ
ンド署名を用いることで、利用者だけの責任において保
証できる。すなわち、攪乱用の乱数rの付加と除去を利
用者が実行するので、rを秘密にする限りは、誰もがy
=Ωとy′=Bの対応関係を知ることはできないことに
注意しよう。ここで、代表的な電子現金方式である Cha
um・Fiat・Naor法での、銀行と利用者間での電子現金の
発行処理、利用者の小売店での電子現金の支払い、小売
店と銀行間の決裁処理について述べる。電子現金の発行処理 利用者Pが、銀行Aから電子現金Cを発行してもらう手
順を示す。ここで、IDは利用者Pの識別情報、e
A は、利用者が指定する電子現金の金額(例えば1万
円)に対応する銀行のディジタル署名用の公開鍵とす
る。利用者が銀行から電子現金を発行してもらう手順
は、以下の通りである。
【0021】ステップ1:利用者Pは、乱数ai (ただ
し、i=1,…,K)を生成して、公開された一方向関
数gを用いて、 xi =g(ai ) yi =g(ai (+)ID) を求める。(+)は排他的論理和を示す。
【0022】ステップ2:Pは、公開された一方向関数
fとブラインド署名前処理関数FeAを用いて、 Wi =FeA(f(xi ,yi )) を計算して、銀行に提示する。 ステップ3:銀行Aは、1からKの中からランダムにK
/2個の部分集合U={ij }、(ただし1K/
2に対して1 j K)を選び、それを開示要求とし
て利用者に送信する。(以下では、表記を簡単にするた
めに、U={K/2+1,K/2+2,…,K)}が開
示要求として指定されたと仮定して説明する。)K個の
中からランダムにK/2個の部分集合の開示を要求する
手順を「抜き打ち検査」とよぶ。
【0023】ステップ4:利用者Pは、銀行Aから開示
要求を受信すると、指定されたK/2個のai とWi
作成するために関数FeAの中で用いた乱数をAに開示す
る。 ステップ5:銀行Aは、開示されたK/2組のすべてに
ついて正当性の検証を行ない、いずれかの検査に不合格
のときには、以降の処理を中止する。すべての検査に合
格のときには、銀行Aは開示対象でないi(ここでは、
i=1,2,…,K/2)に対して、次の手順を行な
う。
【0024】ステップ6:銀行Aは、 Ω=DeA(W1 ,…,WK/2 ) を計算して、利用者Pに送信する。 ステップ7:利用者Pは、銀行からの受信データΩから
電子現金Cを以下のように計算する。
【0025】C=GeA(Ω)=DeA(f(x1 ,y
1 ),…,f(xK/2,K/2 ))電子現金による支払 つぎに、利用者Pが銀行Aより発行された電子現金Cを
用いて小売店Vで支払をする場合について説明する。そ
れぞれのi(ただしi=1,2,…,K/2)に対し
て、次の処理を実行する。
【0026】ステップ1:利用者Pは、電子現金(C)
を小売店Vへ送信する。 ステップ2:小売店Vは乱数ビットei を生成して、利
用者Pへ送信する。 ステップ3:利用者Pは、ei =1のときai とy
i を、ei =0のときxiとai (+)IDを小売店V
へ送信する。 ステップ4:小売店Vは、銀行Aの公開鍵eA を用い
て、Cがメッセージf(x1 ,y1 ),…,f(x
K/2 ,yK/2 )の正しい署名であることを検査する。 決済 最後に、小売店Vと銀行Aの間の決済方法について説明
する。小売店Vは、利用者との電子現金使用時の交信履
歴Hを銀行に提出する。銀行はHの正当性を検査し、検
査に合格すれば、Hを記憶しておくと共に小売店の口座
に該当する金額を払い込む(もしくは、何らかの手段で
該当する金額を小売店に支払う)。銀行は、電子現金の
不正使用を見つけると、Hとすでに記憶している交信履
歴からCに対応して記憶しているai とai (+)ID
を探し出して、不正者の識別情報IDを確定する。
【0027】以上が Chaum・Fiat・Naor法であるが利用
者が不正にCを2回使用すると、e i =1のときai
i =0のときai (+)IDが銀行に記憶されている
ので、1回目と2回目のei が異なる場合には、a
i (+)(ai (+)ID)=IDが成り立つので、銀
行はこれを計算してIDを検出できる。銀行は、K/2
ビットを問い合わせるので、Cの二重使用を検出できな
い確率は2-K/2となる(通常、K=20程度が推奨され
ている)。
【0028】
【発明が解決しようとする課題】前述の電子現金方法
は、複数の銀行が電子現金を発行した場合、利用者はそ
れぞれの銀行公開鍵を保有することが必要となるほか、
銀行も他行発行の電子現金を受け取った場合、不正使用
の有無を検査するために発行元の銀行に戻す仕組みが必
要となるなど、それぞれ管理負担が大きい。さらに、電
子現金を払い出す銀行は、必ず発行電子現金を負債とし
て会計処理する発行銀行となる必要があり、ある程度の
信用力をもち、電子現金の発行管理負担等を担う能力の
ある銀行でないと事実上電子現金を利用できないほか、
電子現金の発行機関を1つに限りこれを一元的に管理す
ることが不可能であった。
【0029】また、前述の電子現金方法は、不正にコピ
ーされた電子現金の使用者を特定する目的で、過去に使
用された全ての電子現金の使用履歴を銀行が保持しなけ
ればならず、かつ決済時にはこれら全ての使用履歴を検
索する必要があり、即時決済を行うには大容量かつ高速
なデータベースが必要になるという問題がある。銀行が
保持すべき電子コインの履歴を削減する一つの方法は、
銀行が利用者に対し預金引き下ろし時に引換証を発行
し、一定期間内に利用者はこの引換証と交換に電子コイ
ンを発行して貰い、この時銀行はコイン番号を記憶して
おき、決済終了後に使用済コインの番号情報を削除する
ことである。しかしながら、この方法では、利用者にと
って引き下ろしの手続きが2回に分割されて不便なほ
か、この引換証を受け取ってから電子現金を発行して貰
うまでの一定の期間に規則性がみられたり、引き出し回
数が多い等の目立った行動パターンがあると、銀行によ
って容易に身元が特定され、コイン番号と紐づけられる
可能性があり、匿名性が完全ではない。
【0030】この発明の目的は、銀行と電子現金の発行
機関を分離することによって、複数の銀行が同一の発行
機関を利用することができ、利用者はどの銀行から引き
出した電子現金かを意識することなく区別せずに扱うこ
とができ、発行機関は電子現金の発行・還収を一元的に
管理することが可能な電子現金方法およびその装置であ
って、利用者のプライバシーを保ちつつ、電子現金の発
行に伴い保持すべきデータを削減し、即時決済が容易な
電子現金方法およびその装置を提供することにある。
【0031】
【課題を解決するための手段】この発明の一例によれ
ば、まず、利用者装置は引換番号Rcからなる署名対象
Cを作成する。ブラインド署名を用いてこの署名対象C
に対する日付情報付の銀行署名SCを入手し、このSC
を引換証とし、その後、利用者装置はRcおよびSCを
発行機関装置へ送付し、発行機関装置はSCに付けられ
た日付情報付銀行署名SCから、発行されてから一定期
間内にあることを検証するとともに、引換番号Rcが引
換履歴HCに記憶されていないことを確認し、更に、利
用者装置と同じ手順でRcよりCを計算し、SCがCに
対する銀行署名であることを確認する。その後、コイン
番号Rfを発行し、Rfに基づいて電子コインFを発行
し、引換番号Rcを引換履歴HCに、コイン番号Rfに
関する情報を発行履歴HFへそれぞれ記憶する。前記確
認のいずれかを満たさなかった場合は電子コインの発行
を中止する。
【0032】支払に使用された電子コインFは決済時に
銀行Bへ送信され、銀行Bはこれをさらに発行機関装置
に送信し、発行機関装置はコイン番号Rfが記憶されて
いることを確認した後、Rfに関する情報を発行履歴H
Fから削除する。また、Rcの署名に含まれる日付から
一定期間の後、Rcに関する情報を引換履歴HCから削
除する。削除したRc、Rfに関する情報を外部記憶装
置へ保存することもできる。
【0033】
【発明の実施の形態】
実施例1 以下では、この発明の一実施例について説明する。図1
はこの発明の実施に必要とする要素を示し、引換証の発
行及び電子現金の決済を行う銀行A及びBの各装置(以
下、銀行装置と記す)100及び500と、電子現金を
発行してもらう利用者Uの装置(以下、利用者装置と記
す)200と、電子現金を発行する機関(以下、発行機
関Oと記す)の装置(以下、発行機関装置と記す)30
0と電子現金を受領する受領者Mの装置(以下、受領者
装置と記す)400とよりなり、これらは例えば通信回
線を介して接続されているが、情報を記録できるICカ
ード等を介しての接続であってもよい。準備 まず、銀行装置100は署名アルゴリズムD1および、
この署名法に対応する秘密情報S1および公開情報P1
を記憶装置101に保持し、S1を用いて本日の日付D
に対する署名SDを生成する。D,SDを発行機関装置
300に送信すると共に、記憶する。SD作成に使用す
る署名アルゴリズムD1がRSAの場合、秘密情報S1
は2つの大きな素数p1,q1および整数d1であり、
公開情報P1はe1およびN1であり、N1とp1,q
1はN1=p1×q1の関係にあり、d1とe1はd1
=1/e1 mod LCM(p1−1,q1−1)なる関
係を満たす。LCM(a,b)はaとbの最小公約数を
示す。また、署名SDはSD=Dd1 mod N1を実行す
る署名生成器によって生成し、検証式V1はDがSDe1
mod N1に等しいことを検証する署名検証器によって
検証する。
【0034】また、銀行装置100は電子コインの額面
wi(i=1,…,n)毎に異なる公開情報Pwiと秘
密情報Swiを保持し、金額対鍵対応表として記憶して
いるものとする。ここで、秘密情報Swiは2つの大き
な素数pwi,qwiおよび整数dwiであり、公開情
報PwiはewiおよびNwiであり、Nwiとpw
i,qwiはNwi=pwi×qwiの関係にあり、d
wiとewiはdwi=1/ewi modLCM(pwi
−1,qwi−1)なる関係を満たす。
【0035】発行機関装置300は署名アルゴリズムD
2および、この署名法に対応する秘密情報S2および公
開情報P2を保持する。例えば、署名アルゴリズムD2
がRSAの場合、秘密情報S2は2つの大きな素数p
2,q2および整数d2であり、公開情報P2はe2お
よびN2であり、N2とp2,q2はN2=p2×q2
の関係にあり、d2とe2はd2=1/e2 mod LC
M(p2−1,q2−1)なる関係を満たす。また、署
名アルゴリズムD2は署名対象Xに対してY=X d2 mod
N2を計算する署名生成器によって実行し、検証式V
2はXがYe2 modN2に等しいことを検証する署名検証
器によって検証する。また額面wiに対応する公開情報
Pwiの金額対鍵対応表を記憶している。
【0036】利用者装置200は、銀行が公開した公開
情報P1、額面wiに対応する公開情報Pwiの金額対
鍵対応表および発行機関が公開したP2を保持する。引換証発行処理 利用者Uが引換証を銀行Aから発行してもらう手順は以
下のとおりである(図2、図3、図8参照)。
【0037】ステップ1:利用者装置200は銀行装置
100よりDおよびSDを入手し(S1)、これと公開
情報P1を署名検証器202へ入力する。署名検証器2
02は入力Dが本日の日付であることを確認した後、署
名アルゴリズムD1に基づく検証式 D=SDe1 mod N1 …(V1) が成り立つことを検証する(S2)。
【0038】検証が正しければ、引換番号生成器203
を駆動して引換番号Rcを生成し、D、SD、および引
換番号Rcをハッシュ演算器204へ入力する。ハッシ
ュ演算器204は C=g(D,SD,Rc) を計算する。ただし、g( )を一方向性関数とする。
【0039】続いて、乱数生成器205を駆動して乱数
Rbを生成し、引き下ろし金額wiに対応する公開情報
Pwiを記憶装置201内の金額対鍵対応表より読み出
し、Pwi,CおよびRbをブラインド署名前処理器2
06へ入力する。ブラインド署名前処理器206は Z=C×Rbewi mod Nwi を計算し(S3)、この処理結果Zおよび引き下ろし金
額情報wiを銀行装置100に送付する(S4)。
【0040】ステップ2:銀行装置100は受信したw
iに対応する秘密情報Swiを記憶装置101内の金額
対鍵対応表より読み出し、SwiおよびZを署名生成器
102へ入力して Q=Zdwi mod Nwi を計算して、ブラインド署名し(S5)、この署名処理
結果Qを利用者装置200へ返信する(S6)とともに
会計処置装置121は適当な会計処理を講じる。例えば
利用者Uの口座を金額wiだけ減額し、これを銀行Aの
引換証発行見合いの特別な管理勘定へ移転する記帳を実
施。
【0041】ステップ3:利用者装置は受信した署名Q
を Z=Qewi mod Nwi の検証式で検証し(S7)、検証が正しければブライン
ド署名後処理器207へRb、公開鍵情報Pwiおよび
受信したQを入力し、 SC=Q/Rb mod Nwi を計算してブラインド署名後処理を行い、引換証SCを
得る(S8)。この引換証SCおよびwi,D,SD,
Rcを引換情報として、記憶装置201へ記憶する(S
9)。引換処理 つぎに、利用者Uが銀行Aより発行された引換情報と引
換に発行機関Oから電子コインを発行してもらう手順に
ついて説明する(図4、図5、図9参照)。なお、この
引換処理は、引換証発行処理に引き続き実施しても良い
ため、利用者Uは実際にはこれら2つの処理を意識せず
一連の処理とみなすことができる。また、発行機関Oお
よび銀行Aがそれぞれ保有する会計処理装置321、1
21は利用者Uの電子コイン引き出しに際し、適当な会
計処理を講じる。例えば銀行装置100の会計処理装置
は発行機関装置300からの連絡を受け、引換証発行見
合いの特別な管理勘定から金額wiだけ減額する記帳を
行い、同額を発行機関装置300へ送金し、発行機関装
置300の会計処理装置321は、これを電子コイン発
行見合い金の管理勘定に記帳して管理する。
【0042】ステップ1:利用者装置200は電子コイ
ンの引換のために、発行機関装置300へwi,D,S
D,RcおよびSCを送信する(S1)。 ステップ2:発行機関装置300は受信したD,SDお
よび、記憶装置301内のD,SDを比較器302へ入
力してD,SDが一致することを確認する(署名検証器
により検証式V1を確認しても構わない)(S2)。
D,SDが一致した場合は、Rcを検索器303へ入力
して引換履歴HCを検索しRcが過去に使用されていな
いことを確認する(S3)。Rcが過去に使用されてい
ない場合は、D,SD,Rc,SC,Pwiを署名検証
器304へ入力して g(D,SD,Rc)=SCewi mod Nwi を満たすことにより、SCが正しいことを確認する(S
4)。署名検証結果が正しければRcを引換履歴HCに
記憶し(S5)、コイン番号生成器305を駆動してコ
イン番号Rfを生成する。wi,Rfを発行履歴HFと
し記憶装置301へ記憶した後(S7)、wi、Rfお
よびS2を署名生成器306へ入力して、アルゴリズム
D2により、 F=g(wi,Rf)d2 mod N2 を計算して電子コインFを生成する(S7)。このコイ
ン生成処理結果FおよびRfを利用者装置200へ返送
する(S8)。
【0043】ステップ3:利用者装置は受信したF,R
fおよび、wi,P2を署名検証器208へ入力し、ア
ルゴリズムD2に基づく検証式 g(wi,Rf)=Fe2 mod N2 …(V2) が成り立つことを検証する(S9)。検証結果が正しけ
れば、wi,F,Rfを電子コイン情報として記憶装置
201へ格納する(S10)。決済処理 受領者Mと銀行Bの間の決済方法について説明する(図
10参照)。ただし、支払時に利用者Uは受領者Mへ
F,wi,Rfを送付し、支払いが終了した状態では、
受領者装置400の記憶装置401にF,wi,Rfが
格納されているものとする。
【0044】ステップ1:受領者装置400は決済時に
銀行装置500へF,wi,Rfを送付する。 ステップ2:銀行装置500はF,wi,Rfをさらに
発行機関装置300へ送付する。 ステップ3:発行機関装置300は記憶装置301から
発行履歴HFを読み出し、Rfと共に検索器307へ入
力してRfが記憶されていることを確認する。続いて署
名検証器308へF,Rf,wiおよびP2を入力し、
アルゴリズムD2に基づく検証式 g(wi,Rf)=Fe2 mod N2 …(V2) が成り立つことを検証する。検証が正しければ、発行履
歴HFからRf,wiに関する情報を削除、または外部
記憶装置309へ移動する。なお、発行機関装置300
および銀行装置500がそれぞれ保有する会計処理装置
321,521は受領者装置400からの電子コインの
預入に際し適当な会計処理を講じる。例えば、まず銀行
装置500の会計処理装置521は電子コインと引換
に、受領者Mの口座を金額wiだけ増額するとともに銀
行Bの保有電子コインの管理勘定を増額記帳し、次に、
発行機関装置300の会計処理装置321は銀行装置5
00から電子コインを受取るのと引換に、電子コイン発
行見合い金の管理勘定から金額wiを減額記帳し、同額
を銀行装置500へ送金。銀行装置500の会計処理装
置は送金された金額を自己勘定に繰入れるとともに保有
電子コインの管理勘定を同額だけ減額記帳する。引換履歴更新処理 公開情報Dは一定期間後に新たな公開情報D′に更新さ
れ、以前の日付情報Dに基づいて発行した引換証SCは
期限切れとなり、無効となる。この公開情報Dの更新処
理について説明する(図6、図7参照)。
【0045】ステップ1:銀行装置100はD,SDの
期限切れ検査を行い(S1)、一定期間経過していれば
記憶装置101内の公開情報DをD′へ更新するととも
に(S2)、D′に対する署名SD′を計算して、
D′,SD′を発行機関装置300に通知する(S
3)。 ステップ2:発行機関装置300は記憶装置301内の
D,SDを通知された日付情報D′,SD′に更新する
と共に(S4)、以前の日付情報Dに基づく引換履歴H
Cを削除、または外部記憶装置309へ移動する(S
5)。引換処理において、以前の日付情報Dが利用者装
置200から発行機関装置300に送付されてきた場
合、対応する日付情報を記憶装置301から読み出せな
いため、比較器303での比較結果が不良となり、引換
処理は中断される。
【0046】図8中の引換番号発生器203の具体例を
図12に示す。乱数発生器209より乱数を発生させ、
この乱数aとその利用者固有情報IDUとをハッシュ演
算器210に入れて、g( )を一方向性関数とする演
算g(a‖IDU)を行いその演算結果を引換番号Rc
とする。図9中のコイン番号生成器305の具体例を図
13に示す。コイン番号初期値が記憶装置310にまず
格納され、記憶装置310の記憶内容がコイン番号Rf
として取出されるごとに、そのコイン番号Rfは加算器
311で+1されて新たなコイン番号として記憶装置3
10に格納される。 実施例2 ここでは、特願平7−287457〔信託機関付き電子
現金方法〕にこの発明を適用した実施例を示す。
【0047】まず、発明の実施に必要とする要素は、図
14に示すように信託機関装置600、利用者装置70
0、銀行装置800、発行機関装置900、受領者装置
1000、および銀行装置1100よりなり、これらは
例えば通信回線を介して接続されているが、情報を記録
できるICカード等を介しての接続であってもよい。 準備 この実施例2の電子現金方法では、電子現金の利用者U
は、まず最初に、信託機関Jと呼ぶ機関により、利用許
可証を発行してもらう。銀行Aは利用者Uの要求に従
い、利用者Uにある金額の電子現金の引換証を発行す
る。発行機関Oは、利用者Uから提示された電子現金の
引換証と交換に電子現金(または、電子コインと呼ぶ)
を発行する。利用者Uは、その電子コインを額面金額に
なるまで何回でも各種小売店等の支払いに用いる。最後
に、各小売店等は、利用者の各支払い毎に銀行で決済を
行う。
【0048】この実施例2では、信託機関装置600、
利用者装置700、銀行装置800、発行機関装置90
0の署名アルゴリズムは全てRSA方式とする。信託機
関装置600、利用者装置700、発行機関装置90
0、それぞれの秘密鍵と公開鍵は、(dj,Nj)と
(ej,Nj)、(du,Nu)と(eu,Nu)、
(d2,N2)と(e2,N2)(利用者装置700の
公開鍵は匿名公開情報である)である。銀行Aが使用す
る署名用の鍵の法はN1(=LCM(p1−1,q1−
1))であり、e1,d1は日付と額面金額をもとに公
開鍵指数部生成関数f等によって、その都度生成され
る。公開鍵指数部生成関数は、一定のアルゴリズムをも
ち、以下の条件を満たすものであれば何でもよい。例え
ば、f(・m1) をm1番目の素数へのマッピング関数と
すること等が考えられる。
【0049】 f(・m1) ≠f(・m )・P(f(・k )) mod N1 ただし、m1≠m, P(f(・k ))はf(・k )(k=
1,2,…n)の多項式 GCD(f(・),LCM
(p1−1,q1−1))=1 なお、秘密鍵d1は1/f(・) mod LCM(p1−
1,q1−1)を計算することによって求められる。
【0050】信託機関装置600の署名、銀行装置80
0の署名、発行機関装置900の署名、利用者装置70
0の署名はそれぞれ、利用許可証の正当性の検査、引換
証の正当性の検査、電子コインの正当性の検査、支払・
譲渡行為確認の検査に使用する。利用者装置の署名で
は、公開鍵中のeuは共通としても良いが、Nuは利用
者ごとに定める。また、署名時に使用する一方向性関数
g,hもあわせて定め、公開しておく。利用許可証の発行処理 利用者Uは、利用許可証を信託機関Jから発行してもら
う(図14参照)。この手順は、それぞれの利用者が、
Nuの登録時に1度だけ行う。
【0051】ステップ1:利用者装置700はNuを信
託機関装置600に送信する。 ステップ2:信託機関装置600は、利用者装置700
の身元を何らかの方法で確認をしたのちに、有効期限等
の情報Iを生成し、NuおよびIに対する署名Bを演算
する。その後、この署名BとIを利用者装置700に送
信する。 ステップ3:利用者装置700は、信託機関装置600
からの受信データB,Iと匿名公開情報Nuとを利用許
可証(B,I,Nu)として、記憶装置701に記憶す
る。電子現金の引換証の発行処理 つぎに、利用者Uが銀行Aから電子現金の引換証を発行
してもらう手順を示す(図15参照)。ここで、N1は
取引を行う銀行に対応する公開鍵の法である。
【0052】ステップ1:利用者装置700は、日付情
報Dと引出額wi(金額情報:例えば1万円)を公開鍵
指数部生成器702に入力し、金額署名用の公開鍵e1
を計算する。続いて、乱数発生器703を用いて乱数R
cを生成して、記憶装置701に記憶し、一方、その乱
数Rcと記憶装置701から読みだしたBより、ハッシ
ュ演算器704を用いてg(B‖Rc)を計算する。続
いて、乱数生成器703を駆動して乱数rを生成し、引
出額wiと先に計算したe1および公開鍵の法N1とと
もにブラインド署名前処理器705へ入力し、次式の処
理を行う。
【0053】 Z=g(B‖Rc)re1 mod N1 (3) この処理結果Zを電子コインの金額情報wi、日付情報
Dと共に銀行装置800に送信する。 ステップ2:銀行装置800は、秘密鍵作成用情報p
1,q1、およびD,wiを秘密鍵指数部生成器802
に入力し、金額署名用の秘密鍵d1を計算する。このd
1と公開鍵の法N1を署名生成器803へ入力し、受信
情報Zに対して次の仮署名処理を行う。
【0054】 Q=Zd1 mod N1 (4) この仮署名Qを利用者装置700に送信する。同時に利
用者Uの口座から該当する金額を引き落とす等の適当な
会計処理を講じる。 ステップ3:利用者装置は、乱数r、公開鍵の法N1と
受信情報Qとをブラインド署名後処理器706へ入力
し、次式の処理を行って指定した金額の引換証SCを得
る。
【0055】 SC=Q/r mod N1 (5) ここで、SC=g(B‖Rc)d1 mod N1となること
になる。引換証と電子現金の交換処理引き続き、利用者
装置700は引換証を発行機関装置900に送り、電子
コインに引換える。以下では、この引換処理の手順を示
す(図16参照)。
【0056】ステップ1:利用者装置700は、発行機
関装置900へ引換証SCおよびwi,B,D,Rcを
送信する。 ステップ2:発行機関装置900は受信したDおよび、
記憶装置901に記憶されている引換証の有効日付JD
を比較器902へ入力してDが有効であることを確認す
る。Dが有効な場合は、Rcを検索器903へ入力して
Rcが引換履歴HCに記録されていないことを確認す
る。Rcが過去に使用されていない場合は、Dおよびw
iを公開鍵指数部生成器904に入力してe1を計算
し、これとB,Rc,SC,N1を署名検証器905へ
入力して、 g(B‖Rc)=SCe1 mod N1 を満たすことを確認する。
【0057】署名検証結果が正しければ、Rcを引換履
歴HCへ記憶する。更に、乱数発生器906を用いてR
fを生成し、wi,Rf,Bを発行履歴HFへ記憶す
る。その後、B,Rf,wiおよび(d2,N2)を署
名生成器907へ入力して、 F=g(B‖wi‖Rf)d2 mod N2 を計算し、F,Rfを利用者装置700へ返送する。こ
の時、発行機関装置900と銀行装置800との間で適
当な会計処理を講じる。
【0058】ステップ3:利用者装置700は受信した
Fおよび、wi,Rfを電子コイン情報として記憶装置
701へ格納する。電子コインによる支払 つぎに、利用者Uが発行機関Oにより発行された電子コ
インFを用いて、受領者Mに支払いを行う場合について
説明する(図17参照)。
【0059】ステップ1:利用者装置700は、I,N
u,B,Rf,F,wiを受領者装置1000に送る。 ステップ2:受領者装置1000は、受信したI,Nu
および、記憶装置1001から読み出したej,Njを
署名検証器1002へ入力し、I,Nuに対する署名B
の正当性を、次式を検証することにより確認する。
【0060】 g(Nu‖I)≡Bej mod Nj (6) 続いて、B,Rfに対する署名Fの正当性、つまり電子
コインFの正当性を検証するため、受信したB,wi,
Rf,Fおよび、記憶装置1001から読み出したe
2,N2を署名検証器1003へ入力し、次式を満たす
ことを確認する。 g(B‖wi‖Rf)≡Fe2 mod N2 (7) この検査の何れかが不合格のときは以降の処理を中止す
る。
【0061】ステップ3:この両検査に合格する場合、
受領者装置1000は乱数生成器1004を用いて乱数
E′を生成し、それを受領者装置1000の識別子ID
v及びタイマー1005が出力する時刻印Tと共に利用
者装置700に送る。 ステップ4:利用者装置700は、電子コインFのうち
金額xを使用することを決め、署名生成器707へx,
du,Nuと受信情報T,E′,IDvを入力し、次式
により署名を行う。
【0062】 S=g(x‖h(IDv‖T‖E′))du mod Nu (8) この署名S、公開鍵eu、およびxを受領者装置100
0に送る。ステップ5:受領者装置1000は、署名検
証器1006へS,eu,Nu,x,T,E′,IDv
を入力し、次式が成り立つことを検証する。 g(x‖h(IDv‖T‖E′))≡Seu mod Nu (9) この検証に合格すれば、受領者装置1000は、利用者
装置700のxに該当する金額の支払いを正当なものと
みなして受領し、記憶装置1001に格納する。決済 受領者装置1000と銀行装置1100の間の決済方法
について説明する(図18参照)。簡単のため、支払額
xと引き下ろし額wiは同じ値である。すなわち、一つ
の電子コインが一度に使い切られる場合について説明す
る。
【0063】ステップ1:受領者装置1000は、利用
者装置700との電子コイン使用時の交信履歴HF、す
なわちX,S,T,E′,IDv,eu,I,Nu,
B,Rf,F,wiを銀行装置1100に提出する。 ステップ2:銀行装置1100は検証器1102を用い
て、電子コインによる支払時の検査と同様に、つまり、
式(6)、(7)、(9)の各検証を行うことによって
HFの正当性を検査する。検証結果が異常ならばFを不
正コインとみなし、処理を中断する。正常ならば、さら
に交信履歴Hを発行機関装置900に送信する。
【0064】ステップ3:発行機関装置900は、銀行
装置1100と同様にHFの正当性を検証する。検証結
果が異常ならば、Fを不正コインとみなし、処理を中断
する。正常ならばさらに、Rfを元に発行履歴HFを検
索し、Rfが存在すれば二重使用の不正行為はないと判
断し、Rfに関する情報を発行履歴から削除し、これを
必要に応じて外部記憶装置に保持する。
【0065】なお、発行機関装置および銀行装置がそれ
ぞれ保有する会計処理装置は、受領者装置からの電子コ
インの預入に際し適当な会計処理を講じる。引換履歴更新処理 公開情報Dの更新は実施例1と同様に行う。上述におい
て各装置内に示すブロック構成は機能を示し、必ずしも
1つの機器として存在するものではない。
【0066】以上の説明から理解されるように、この発
明による利用者装置は、図9中の記憶装置201、匿名
検証器202、208、引換番号発生器203、ハッシ
ュ演算器204、乱数生成器205、ブラインド署名前
処理器206、ブラインド署名後処理器207、を備
え、この装置は当然電子現金の受領を可能とされるから
図10中の記憶装置401を備えかつ、銀行装置、発行
機関装置、受領者装置に対し、それぞれ送信する手段を
有している。
【0067】
【発明の効果】以上述べたこの発明の効果は以下のとお
り。 1.銀行と電子現金発行機関の分離 銀行は電子現金の発行機関にならずとも、利用者に対し
て電子現金サービスを提供することが可能。発行機関が
全ての電子現金の発行・還収を一元的に管理するため、
各銀行がそれぞれ個別に電子現金の発行管理業務、不正
使用のチェックなどを行う必要はない。 2.複数の銀行による円滑な電子現金サービスの提供 複数の銀行が同一の電子現金発行機関を利用することに
より、利用者はどの銀行から引き出した電子現金かを意
識することなく扱うことができる。すなわち、利用者は
各銀行の公開鍵を保有する必要はなく、自分が現金を引
き出す取引銀行の公開鍵以外は、発行機関の公開鍵を持
てばすむことになる。 3.プライバシーと二重使用チェック用データベースの
容量について 銀行と発行機関を分離したため、利用者はいかなる時も
発行機関とは匿名で接することが可能となった。そのた
め、二重使用チェック用データベースの容量を逓減する
番号登録式電子現金方式(発行時に電子コインの情報を
登録し、還流時にこれを削除する方式)を、利用者のプ
ライバシーを完全に保ちつつ実現することが可能。
【図面の簡単な説明】
【図1】この発明方法が適用されるシステムの原理構成
を示すブロック図。
【図2】実施例1の引換証発行処理における利用者装置
の動作手順を示す流れ図。
【図3】実施例1の引換証発行処理における銀行装置の
動作手順を示す流れ図。
【図4】実施例1の電子現金引換処理における利用者装
置の動作手順を示す流れ図。
【図5】実施例1の電子現金引換処理における発行機関
装置の動作手順を示す流れ図。
【図6】実施例1の引換履歴削除における銀行装置の処
理を示す流れ図。
【図7】実施例1の引換履歴削除における発行機関装置
の処理を示す流れ図。
【図8】実施例1の利用者装置と銀行装置の引換証発行
処理における機能構成例を示すブロック図。
【図9】実施例1の利用者装置と銀行装置の引換処理に
おける機能構成例を示すブロック図。
【図10】実施例1の受領者装置と銀行装置および発行
機関装置の決済処理における機能構成例を示すブロック
図。
【図11】実施例1の銀行装置における履歴情報更新処
理の機能構成例を示すブロック図。
【図12】引換番号生成器の構成例を示すブロック図。
【図13】コイン番号生成器の構成例を示すブロック
図。
【図14】実施例2が適用されるシステム構成例を示す
ブロック図。
【図15】実施例2の引換証の発行処理における機能構
成例を示すブロック図。
【図16】実施例2の引換処理における機能構成例を示
すブロック図。
【図17】実施例2の電子コインによる支払における機
能構成例を示すブロック図。
【図18】実施例2の決済における機能構成例を示すブ
ロック図。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 藤岡 淳 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 (72)発明者 森畠 秀実 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】 銀行の装置(以下、銀行装置と記す)
    と、電子コインを発行してもらう者(以下、利用者と記
    す)の装置(以下、利用者装置と記す)と、電子コイン
    を発行する機関(以下、発行機関と記す)の装置(以
    下、発行機関装置と記す)とによる電子現金を実施する
    電子現金方法において、 銀行装置は利用者装置に対し引換証SCを発行し、 その後、利用者装置は引換証SCを発行機関装置に送
    り、 発行機関装置は引換証SCが有効であることを確認した
    後、コイン番号Rfに基づく電子コインFを発行し、コ
    イン番号Rfを発行履歴HFに記憶し、 決済時に、前記銀行装置又は他の銀行装置は入金された
    電子コインFを発行機関装置に送り、 発行機関装置はこれが有効であることを確認した後、コ
    イン番号Rfに関する記憶を発行履歴HFから削除する
    ことを特徴とする発行機関分離型番号登録式電子現金方
    法。
  2. 【請求項2】 請求項1記載の番号登録式電子現金方法
    において、 利用者装置はランダムな引換番号Rcを用いて署名対象
    Cを計算し、署名対象Cを秘密情報Rbにより攪乱して
    Zを得、そのZおよび引き下ろし額wiを銀行装置へ送
    付し、 銀行装置はZに対して引き下ろし額wi相当の署名Qを
    付けて利用者装置へ返送し、利用者装置は秘密情報Rb
    を用いて署名Qから署名対象Cに対する署名SCを計算
    して前記引換証SCを得、wi,Rc,SCを引換情報
    として記憶し、銀行装置の前記引換証SCの発行を行
    い、かつ引換証SCと共にwi,Rcを発行機関装置へ
    送り、発行機関装置は署名対象Cを計算し、署名SCを
    検証し、引換番号Rcが引換履歴HCに既に記憶されて
    いないことを確認した後、引換番号Rcを記憶し、コイ
    ン番号Rfを生成して記憶し、Rfに基づいて前記電子
    コインFの発行を行うことを特徴とする発行機関分離型
    番号登録式電子現金方法。
  3. 【請求項3】 請求項2記載の番号登録式電子現金方法
    において、 公開情報Dを前記引換情報に加え、公開情報Dは適当な
    時期に更新することを特徴とする電子現金方法。
  4. 【請求項4】 電子現金を受領するもの(以下、受領者
    と記す)の装置(以下、受領者装置と記す)を備え、 銀行装置は秘密鍵情報S1、公開鍵情報P1,P2、お
    よび公開情報Dを保持し、発行機関装置は秘密鍵情報S
    2、公開鍵情報P1,P2、および有効判定情報JDを
    保持し、 利用者装置は公開鍵情報P1,P2、および公開情報D
    を保持し、 利用者装置はRcを生成し、これをハッシュ演算と前記
    署名対象Cを得、 公開情報Dおよび引き下ろし金額wiにより公開鍵指数
    部e1を計算し、秘密情報Rbとして乱数Rbを用い、
    C,RbおよびP1,e1を用いてCをブラインド署名
    前処理して前記Cに対する攪乱Zを得、 銀行装置はwiおよび秘密鍵情報S1、公開情報Dを用
    いて秘密鍵指数部d1を計算し、S1,d1,Zを用い
    てZに対するwi相当の署名演算を行って前記署名Qを
    得、 利用者装置はQ,Rb、および公開鍵情報P1を用いて
    Qに対しブラインド署名後処理を行って前記引換証SC
    を得、 発行機関装置は受信したDと有効判定情報JDとを比較
    してDが有効であることを確認し、これも電子コインF
    の発行条件とし、Dおよび引き下ろし金額wiを用いて
    公開鍵指数部e1を計算し、SC,Rc,P1,e1を
    用いてSCの署名検証器の検証を行い、これも電子コイ
    ンFの発行条件とし、利用者装置はF,Rf,wiを受
    領者装置へ送って支払を行い、 受領者装置はF,Rfおよびwiを決済のために銀行装
    置へ送信し、 これらを受領した銀行装置は発行機関装置にこれらを送
    信し、 発行機関装置はRfが発行履歴HFに記憶されているこ
    とを確認し、F,Rf,wi,P2によりFが正当であ
    るかを検証して前記有効であることの確認を行うことを
    特徴とする請求項3記載の番号登録式電子現金方法およ
    びその装置。
  5. 【請求項5】 銀行装置の秘密鍵情報S1は2つの大き
    な素数p1,q1であり、公開鍵情報P1はN1であ
    り、N1とp1,q1はN1=p1×q1の関係にあ
    り、発行機関装置の秘密鍵情報S2はp2,q2および
    整数d2であり、公開鍵情報P2はe2およびN2であ
    り、N2とp2,q2はN2=p2×q2の関係にあ
    り、d2とe2はd2=1/e2 mod LCM(p2−
    1,q2−1)なる関係にあり(LCM(a,b)はa
    とbの最小公約数を表わす)、前記公開鍵指数部e1の
    生成をf(D,wi)の計算で行い、前記ハッシュ演算
    はg() を一方向性関数としてg(Rc)を計算し、 前記ブラインド署名前処理を C×Rbe1 mod N1 の計算により行い、 前記秘密鍵指数部d1の生成を、 1/f(D,wi) mod LCM(p1−1,q1−
    1) の計算で行い、前記署名Qを得る演算を、 Zd1 mod N1 の計算により行い、 前記ブラインド署名後処理を、 Q/Rb mod N1 の計算により行い、 発行機関装置での前記SCに対する署名検証を、 g(Rc)=SCe1 mod N1 が成立することで確認し、前記wi,Rfに対する署名
    Fの生成を、 g(wi,Rf)d2 mod N2 の計算により行って前記電子コインFを得、 発行機関装置での前記Fの正当性の検証を、 g(wi,Rf)=Fe2 mod N2 が成立することにより確認することを特徴とする請求項
    4記載の番号登録式電子現金方法。
  6. 【請求項6】 請求項4記載の番号登録式電子現金方法
    において、銀行装置の秘密鍵情報S1は2つの大きな素
    数p1,q1であり、公開鍵情報P1はN1であり、N
    1とp1、q1はN1=p1×q1の関係にあり、 発行機関装置の秘密鍵情報S2はp2,q2および整数
    d2であり、公開鍵情報P2はe2およびN2であり、
    N2とp2,q2はN2=p2×q2の関係にあり、d
    2とe2はd2=1/e2 mod LCM(p2−1,q
    2−1)なる関係にあり、 利用者装置での前記公開鍵指数部e1の生成を、f( )
    を公開鍵指数部生成関数として、f(D,wi)の計算
    により行い、前記ハッシュ演算を、g( ) を一方向性関
    数としてg(Rc)の計算により行い、 前記ブラインド署名前処理を、 C×Rbe1 mod N1 の計算により行い、銀行装置での前記秘密鍵指数部d1
    の生成を、 1/f(D,wi) mod LCM(p1−1,q1−
    1) の計算により行い、前記署名Qを得る演算を、 Zd1 mod N1 の計算により行い、前記ブラインド署名後処理を、 Q/Rb mod N1 の計算により行い、発行機関装置での前記SCに対する
    署名検証を、 g(Rc)=SCe1 mod N1 が成立することで確認し、前記コイン番号RfにRcを
    用い、 前記wi,Rfに対する署名Fの生成を、 SCd2 mod N2 の計算により行い、 発行機関装置での前記Fの正当性の検証を g(D,SD,Rf)=(Fewi mod Nwi)e2 mo
    d N2 が成立することにより行うことを特徴とする電子現金方
    法。
  7. 【請求項7】 請求項2に記載の番号登録式電子現金方
    法において、 銀行装置は預金引き下ろし時に、公開情報DおよびDに
    対するその銀行の署名SDを利用者装置に送信し、利用
    者装置は署名対象Cの計算に際し、ランダムな引換番号
    Rcに加え、DおよびSDを用いることを特徴とする電
    子現金方法。
  8. 【請求項8】 請求項7記載の電子現金方法において、 銀行装置は秘密鍵情報S1、公開鍵情報P1,P2、公
    開情報D,SDおよび、額面wi(i=1…n)に対応
    する公開鍵情報Pwiと秘密鍵情報Swiの金額対鍵対
    応表を保持し、 SDは秘密鍵情報S1による公開鍵情報Dに対するディ
    ジタル署名であり、発行機関装置は秘密鍵情報S2、公
    開鍵情報P1,P2、公開情報D、有効判定情報JDお
    よび、額面wi(i=1…n)に対応する公開鍵情報P
    wiと金額対鍵対応表を保持し、 利用者装置は公開鍵情報P1,P2および、額面wi
    (i=1…n)に対応する公開鍵情報Pwiとの金額対
    鍵対応表を保持し、 電子現金を受領するものの装置(以下受領者装置と記
    す)を備え、 利用者装置は受領したSD,Dを公開鍵情報P1により
    署名検証を行い、正しければ、引換番号Rcを生成し、
    署名対象CをD,SDおよびRcのハッシュ演算により
    求め、 秘密情報Rbを乱数の生成により求め、 CおよびRbをブラインド署名前処理して前記Cに対す
    るRbの攪乱を行い、 銀行装置はwiに対応する秘密鍵情報SwiによりZに
    対する署名を行って前記署名Qを求め、 利用者装置はQ,Rb,Pwiを用いてブラインド署名
    後処理を行って前記引換証SCを得る計算を行い、w
    i,D,SD,Rc,SCを引換情報として保持し、利
    用者装置は発行機関装置へSC,wi,Rcの他にD,
    SDも送信し、 発行機関装置は受信したD,SDの公開鍵情報P1を用
    いてSDの署名検証を行ってSDの正当性を確認し、D
    と有効判定情報JDを比較して、Dが有効であることを
    確認し、その後、前記署名対象Cの計算およびSCの検
    証を、D,DS,Rcを用いて署名対象Cを計算し、そ
    のCと、Pwiとを用いてSCの署名検証を行ってSC
    の正当性を検証して行い、前記電子コインFの発行を、
    wi,Rfに対するS2による署名により求め、 利用者装置は支払のためにF,Rf,wiを受領者装置
    へ送り、 受領者装置は受信したF,Rfおよびwiを銀行装置へ
    送信し、 これらを受信した銀行装置はそのF,Rf,wiを発行
    機関装置に送信し、 発行機関装置は発行履歴HFを検索してこれに存在して
    いることによりRfが有効であることを確認し、wi,
    P2を用いてF,Rfに対する署名検証を行ってFが正
    当であることを確認することを特徴とする電子現金方
    法。
  9. 【請求項9】 請求項8記載の番号登録式電子現金方法
    において、 銀行装置の秘密鍵情報S1は2つの大きな素数p1,q
    1および整数d1であり、公開鍵情報P1はe1および
    N1であり、N1とp1,q1はN1=p1×q1の関
    係にあり、d1とe1はd1=1/e1 mod LCM
    (p1−1,q1−1)なる関係にあり、 発行機関装置の秘密鍵情報S2はp2,q2および整数
    d2であり、公開鍵情報P2はe2およびN2であり、
    N2とp2、q2はN2=p2×q2の関係にあり、d
    2とe2はd2=1/e2 mod LCM(p2−1,q
    2−1)なる関係にあり、 銀行装置の秘密鍵情報Swiはpwi,qwiおよび整
    数dwiであり、公開鍵情報pwiはewiおよびNw
    iであり、Nwiとpwi、qwiはNwi=pwi×
    qwiの関係にあり、dwiとewiはdwi=1/e
    wi mod LCM(pwi−1,qwi−1)なる関係
    にあり、 公開情報Dは日付であり、SDはSD=Dd1 mod N1
    の関係を満たすDに対する署名であり、 利用者装置でのSDに対する検証は D=SDe1 mod N1 が成立することの確認により行い、 D,SD、および引換番号Rcのハッシュ演算は、g
    ( ) を一方向性関数として g(D,SD,Rc) の計算により行い、ブラインド署名前処理を C×Rbewi mod Nwi の計算により行い、銀行装置でのZに対する署名生成
    を、 Zdwi mod Nwi の計算により行い、 利用者装置でのブラインド署名後処理を、 Q/Rb mod Nwi の計算により行い、発行機関装置でのSDの検証を、 D=SDe1 mod N1 が成り立つことの確認により行い、Dと有効判定情報J
    Dの比較からDが有効期限内にあることを確認し、SC
    の署名検証を、 g(D,SD,Rc)=SCewi mod Nwi が成立つことの確認により行い、wi,Rfに対する署
    名を、 g(wi,Rf)d2 mod N2 の計算により行い、 発行機関装置ではFの検証を、 g(wi,Rf)=Fe2 mod N2 が成立つことの確認により行うことを特徴とする電子現
    金方法。
  10. 【請求項10】 請求項8記載の番号登録式電子現金方
    法において、 銀行装置の秘密鍵情報S1は2つの大きな素数p1,q
    1および整数d1であり、公開鍵情報P1はe1および
    N1であり、N1とp1,q1はN1=p1×q1の関
    係にあり、d1とe1はd1=1/e1 mod LCM
    (p1−1,q1−1)なる関係にあり、発行機関装置
    の秘密鍵情報S2はp2,q2および整数d2であり、
    公開情報P2はe2およびN2であり、N2とp2,q
    2はN2=p2×q2であり、d2とe2はd2=1/
    e2 mod LCM(p2−1,q2−1)なる関係にあ
    り、 銀行装置の秘密鍵情報Swiはpwi,qwiおよび整
    数dwiであり、公開鍵情報PwiはewiおよびNw
    iであり、Nwiとpwi,qwiはNwi=pwi×
    qwiの関係にあり、dwiとewiはdwi=1/e
    wi mod LCM(pwi−1,qwi−1)なる関係
    にあり、公開情報Dは日付であり、SDはSD=Dd1
    mod N1の関係を満たすDに対する署名であり、 利用者装置ではSDに対する署名検証を、 D=SDe1 mod N1 が成り立つことの確認により行い、D,SD、および引
    換番号Rcのハッシュ演算は、g( ) を一方向性関数と
    して g(D,SD,Rc) の計算により行い、ブラインド署名前処理は、 C×Rbewi mod Nwi の計算により行い、 銀行装置でのZに対する署名生成は Zdwi mod Nwi の計算により行い、利用者装置でのブラインド署名後処
    理は Q/Rb mod Nwi を計算により行い、 発行機関装置でのSDの署名検証を、 D=SDe1 mod N1 が成り立つことの確認により行い、Dと有効判定情報J
    Dの比較からDが有効期限内にあることを確認し、SC
    の署名検証を、 g(D,SD,Rc)=SCewi mod Nwi が成立することの確認により行い、 コイン番号RfをRcとし、wi,Rfに対する署名生
    成を、 SCd2 mod N2 の計算により行い、発行機関装置でのFの検証は g(D,SD,Rf)=(Fewi mod Nwi)e2 mo
    d N2 が成立することの確認により行うことを特徴とする電子
    現金方法。
  11. 【請求項11】 請求項7記載の番号登録式電子現金方
    法において、 銀行装置は秘密鍵情報S1、公開鍵情報P1,P2、公
    開情報D,SD、額面wi(i=1,…n)に対応する
    公開鍵情報Pwiと秘密鍵情報Swiの対応表を保持
    し、SDはS1によるDに対するディジタル署名であ
    り、発行機関装置は秘密鍵情報S2、公開鍵情報P1,
    P2、公開情報D、有効判定情報JD、額面wiに対応
    する公開鍵情報Pwiとの対応表を保持し、 利用者装置は公開鍵情報P1,P2、額wiに対応する
    公開鍵情報との対応表を保持し、 電子現金を受領するものの装置(以下、受領者装置と記
    す)を備え、 銀行装置は公開情報D、その署名SDを発行機関装置へ
    送信し、発行機関装置は受信した各銀行装置のD,SD
    を保持し、 利用者装置は受信したSD,DをP1により署名検証を
    行い、正しければ引換番号Rcを生成し、 前記署名対象CをD,SD,Rcのハッシュ演算により
    求め、 秘密情報Rbを乱数の生成により求め、CおよびRbを
    ブラインド署名前処理して前記Cに対するRbの攪乱を
    行い、 銀行装置はwiに対応する秘密鍵情報によりZに対する
    署名を行って前記署名Qを求め、 利用者装置はQ,Rb,Pwiを用いてブラインド署名
    後処理を行って前記引換証SCを得る計算を行い、 wi,D,SD,Rc,SCを引換情報として保持し、
    発行機関装置へSC,wi,Rcの他にD,SDを送信
    し、 発行機関装置は受信したD,SDを保持していたD,S
    Dと一致するかの比較により正当性を確認し、 Dと有効判定情報JDを比較してDが有効であることを
    確認し、 その後前記署名対象Cの計算およびSCの検証を、受信
    したD,DS,Rcを用いて署名対象Cを計算し、その
    CとPwiとを用いてSCの署名検証を行ってSCの正
    当性を検証することにより行い、 前記電子コインFの発行を、wi,Rfに対するS2に
    よる署名により求め、 利用者装置は支払のために、F,Rf,wiを受領者装
    置へ送り、 受信者装置は受領したF,Rf,wiを銀行装置へ送信
    し、 これらを受信した銀行装置はその受信したF,Rf,w
    iを発行機関装置へ送信し、 発行機関装置は発行履歴HFを検索して、これに存在し
    ていることによりRfが有効であることを確認し、 wi,P2を用いてF,Rfに対する署名検証を行って
    Fが正当であることを確認することを特徴とする電子現
    金方法。
  12. 【請求項12】 請求項5、6、9、10、11の何れ
    かに記載の番号登録式電子現金方法において、 発行機関装置は外部記憶装置を備え、決済時にRfに関
    する記憶を発行履歴から削除したものを外部記憶装置へ
    移動することを特徴とする電子現金方法。
  13. 【請求項13】 請求項5、6の番号登録式電子現金方
    法において、 発行機関装置は一定期間後に保持している有効判定情報
    JDをJD′へ更新し、その結果、無効となった以前の
    Dに関連して登録されたRcに関する情報を引換履歴H
    Cから削除することを特徴とする電子現金方法。
  14. 【請求項14】 銀行装置の公開鍵情報P1、額面wi
    (i=1,…,n)と対応する公開鍵情報Pwiとの対
    応表を記憶する記憶装置と、 銀行装置から受信した日付情報とその署名SDと、上記
    P1とを入力してDが所定の日付であり、かつSDが正
    しい署名であることを検証する第1署名検証手段と、 ランダムな引換番号Rcを生成する引換番号生成手段
    と、 検証済みの上記D,SDと上記Rcが入力され、署名対
    象Cを演算するハッシュ演算手段と、 乱数Rbを生成する乱数生成手段と、 額面wiと対応する公開鍵情報Pwiと、RbとCが入
    力されてブラインド署名前処理を演算した結果Zを出力
    するブラインド署名前処理手段と、 銀行装置より受信した署名Qと、上記RbとPwiが入
    力され、ブラインド署名後処理を演算して引換証SCを
    出力するブラインド署名後処理手段と、 発行機関装置より受信した電子コインF、コイン番号R
    fとwiが入力され、F,Rfの署名検証を行う第2署
    名検証手段と、 上記ハッシュ演算手段に入力したRc,D,SD、これ
    らと対応するブラインド署名前処理に用いたPwiのw
    i、また対応するSCを引換情報として、第2署名検証
    手段で正当と認められたF,Rf及びその検証に用いた
    wiをコイン情報として、支払により受領したコイン情
    報wi,F,Rfを記憶する手段と、 上記ブラインド署名前処理結果Zと対応するwi、上記
    支払として受領したコイン情報wi,F,Rfとをそれ
    ぞれ銀行装置へ送信する手段と、 上記引換情報を発行機関装置へ送信する手段と、 上記コイン情報を支払のために受領者装置へ送信する手
    段と、 を具備する利用者装置。
JP23926396A 1996-09-10 1996-09-10 発行機関分離型番号登録式電子現金方法および利用者装置 Expired - Lifetime JP3599493B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP23926396A JP3599493B2 (ja) 1996-09-10 1996-09-10 発行機関分離型番号登録式電子現金方法および利用者装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP23926396A JP3599493B2 (ja) 1996-09-10 1996-09-10 発行機関分離型番号登録式電子現金方法および利用者装置

Publications (2)

Publication Number Publication Date
JPH1091697A true JPH1091697A (ja) 1998-04-10
JP3599493B2 JP3599493B2 (ja) 2004-12-08

Family

ID=17042170

Family Applications (1)

Application Number Title Priority Date Filing Date
JP23926396A Expired - Lifetime JP3599493B2 (ja) 1996-09-10 1996-09-10 発行機関分離型番号登録式電子現金方法および利用者装置

Country Status (1)

Country Link
JP (1) JP3599493B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002530723A (ja) * 1998-11-25 2002-09-17 アナトリエヴィッチ ゾロタレフ,オレグ 支払いを発効させる方法およびそのための装置
JP2003536181A (ja) * 2000-06-22 2003-12-02 マスターカード インターナシヨナル インコーポレーテツド 擬似或いは代理口座番号なしでコンピュータネットワークを越えて安全な支払いを処理するための改善された方法およびシステム
JP2004503018A (ja) * 2000-07-07 2004-01-29 トムソン ライセンシング ソシエテ アノニム 少額決済処理を管理するためのシステム及び方法、並びに対応するクライアント端末及び小売商装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002530723A (ja) * 1998-11-25 2002-09-17 アナトリエヴィッチ ゾロタレフ,オレグ 支払いを発効させる方法およびそのための装置
JP2003536181A (ja) * 2000-06-22 2003-12-02 マスターカード インターナシヨナル インコーポレーテツド 擬似或いは代理口座番号なしでコンピュータネットワークを越えて安全な支払いを処理するための改善された方法およびシステム
JP2004503018A (ja) * 2000-07-07 2004-01-29 トムソン ライセンシング ソシエテ アノニム 少額決済処理を管理するためのシステム及び方法、並びに対応するクライアント端末及び小売商装置

Also Published As

Publication number Publication date
JP3599493B2 (ja) 2004-12-08

Similar Documents

Publication Publication Date Title
EP0755136B1 (en) Method and apparatus for implementing traceable electronic cash
US6299062B1 (en) Electronic cash system based on a blind certificate
CA2182173C (en) Efficient electronic money
AU698271B2 (en) Restricted blind signatures
US6438691B1 (en) Transmitting messages over a network
Traoré Group signatures and their relevance to privacy-protecting offline electronic cash systems
US20220215355A1 (en) Method for directly transmitting electronic coin data records between terminals and payment system
US20020128983A1 (en) Method and device for returning of change in an electronic payment system
de Solages et al. An efficient fair off-line electronic cash system with extensions to checks and wallets with observers
US9165297B2 (en) Virtual account and token-based digital cash protocols
US8468100B2 (en) Issuing electronic vouchers
Batten et al. Off-line digital cash schemes providing untraceability, anonymity and change
Wang et al. A consumer scalable anonymity payment scheme with role based access control
JP3599493B2 (ja) 発行機関分離型番号登録式電子現金方法および利用者装置
JP3171227B2 (ja) 信託機関付き電子紙幣実施方法
Wang et al. Building a consumer scalable anonymity payment protocol for Internet purchases
Kane On the use of continued fractions for electronic cash
JP3435682B2 (ja) 電子現金預け入れ方法、その装置およびプログラム記録媒体
Mao Lightweight micro-cash for the Internet
JP3388485B2 (ja) 匿名電子現金預け入れ方法、その装置およびプログラム記録媒体
JP3599492B2 (ja) 番号登録式電子現金方法および利用者装置
JPH10124597A (ja) 利用許可証付き電子小切手方法および装置
JP3171228B2 (ja) 複数信託機関を利用した電子紙幣実施方法
JP3435677B2 (ja) 追跡可能な電子現金実施方法及びその装置
Mu et al. A new scheme of credit based payment for electronic commerce

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040601

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040730

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040824

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040914

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080924

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080924

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090924

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090924

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100924

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110924

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120924

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130924

Year of fee payment: 9

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term