JP3403456B2 - 電子小口決済システムにおける取引方法 - Google Patents
電子小口決済システムにおける取引方法Info
- Publication number
- JP3403456B2 JP3403456B2 JP17586893A JP17586893A JP3403456B2 JP 3403456 B2 JP3403456 B2 JP 3403456B2 JP 17586893 A JP17586893 A JP 17586893A JP 17586893 A JP17586893 A JP 17586893A JP 3403456 B2 JP3403456 B2 JP 3403456B2
- Authority
- JP
- Japan
- Prior art keywords
- card
- data
- transaction
- balance
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 49
- 230000006870 function Effects 0.000 claims description 78
- 238000007689 inspection Methods 0.000 claims description 42
- 238000000926 separation method Methods 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 24
- 238000012790 confirmation Methods 0.000 claims description 20
- 230000006854 communication Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 13
- 238000012546 transfer Methods 0.000 claims description 9
- 241000255925 Diptera Species 0.000 claims 2
- 210000001061 forehead Anatomy 0.000 claims 1
- 238000012360 testing method Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Description
における取引方法に関し、特に演算処理機能を有するカ
ードを用いた電子小口決済システムにおける取引方法に
関するものである。
様式の変化に伴い、現金による決済方法における問題
点、すなわち保管、処理、運搬コストの増大、さらには
エレクトロニクスシステムとの整合性等の問題点がクロ
ーズアップされている。このような現金決済の問題点を
解消する方法として、小口決済の電子化が検討されてお
り、既にプリペイドカード、銀行POS等の現金決済の
イメージに近いシステムが実用化されている。
システムでは、カードの偽造、変造、不正水増し請求等
のセキュリティ面における問題が生じており、現金と同
等の安全性をもたらすまでにはなっていない。また、銀
行POSシステムは、通信回線により銀行と接続された
販売者の占有・管理する端末を使用して、購買者の預金
口座から売上代金に見合った金額を販売者の預金口座に
振り替える口座間決済システムであるが、現金決済と比
較して譲渡性(転々流通性)、匿名性がなく、通信時の
セキュリティ対策についても不十分であり、現在のシス
テムでは現金と同等の利便性、安全性を備えていない。
て、小型ポケット計算機に類する「電子さいふ」を用い
るとともに「電子さいふ」内のデータそのものをお金と
みなし、他の「電子さいふ」との間でこの金額データを
直接取引することにより決済を行うものが提案されてい
る(例えば、特開昭61−94177号公報)。
して、取引時の重要な情報を秘密鍵によって署名し、こ
の秘密鍵と一対となった秘密鍵とは異なる公開鍵によっ
て署名検査する「公開鍵ディジタル署名方式」を用いた
取引プロトコルを採用している。
引額、取引時間および自己IDからなる取引内容に対し
て、各「電子さいふ」がディジタル署名して支払証また
は領収証を生成して互いに発行し、相手「電子さいふ」
からの支払証あるいは領収証を確認した後、このの内容
に基づき自己の残高データを更新記録するとともに、こ
れらの支払証または領収証を取引情報として記憶保存し
ておき、必要時に銀行等の所定の認定機関においてこの
記憶情報を読み出して認定手続を行うようにしたもので
ある。
理的改造に対して内部記憶情報を破壊する不正防止手段
を備える他に、特に「電子さいふ」に記録された取引情
報に基づき、銀行等の認定機関による認定手続により不
正取引が検査されするものとし、これにより発見された
他の不当な「電子さいふ」のリストが「電子さいふ」内
に更新記録され、決済時に取引相手の「電子さいふ」を
自動的に判別するようにしたものである。
引方法は、不正に対して完全ではない通信方式や物理的
安全性技術に大きく依存するものであり、またこれを支
援する不正「電子さいふ」リストによる判別方法につい
ても、「電子さいふ」間において直接取引できるように
全てのリストを「電子さいふ」に記録するための大容量
のメモリが必要となるという欠点がある。
および取引相手IDからなる取引情報に基づき行われる
ものであるが、過去の取引を厳密に検証するために必要
な、取引時の残高や自己ID等の情報が含まれておら
ず、他の「電子さいふ」から不正に複写されたものであ
っても判別できないという問題点があった。
ものであり、現金に代わる電子的小口決済手段として、
取引者相互間で直接決済できるとともに、十分な安全性
を備えた電子小口決済システムにおける取引方法を提供
することを目的としている。
るために、本発明による電子小口決済システムにおける
取引方法は、所定の資金情報、およびこの資金情報の暗
号化および検査に用いる制御データを格納する情報記憶
手段と、制御データを用いた当該資金情報に対する演算
処理を行うカード処理部とを有するカードと、カードの
資金情報の暗号化および検査に用いる制御データを格納
する管理情報格納手段と、制御データを用いた当該資金
情報に対する演算処理を行う制御部とを有し、接続され
た複数のカード内の資金情報の移動および更新を行うこ
とにより、当該カード間における取引決済を仲介する仲
介器とを有する電子小口決済システムにおける取引方法
であって、カードおよび仲介器の制御データは、当該カ
ードおよび仲介器に固有のIDと、資金情報を暗号化す
る際の署名に用いる当該カードおよび仲介器に固有の署
名関数と、署名関数による正当な署名かどうかを検査す
る際に用いる当該カードおよび仲介器に固有の検査関数
とを含み、仲介器に接続された複数のカード間における
取引決済を行う際、それぞれのカードに格納されている
IDおよび検査関数と、当該仲介器の管理情報格納手段
に格納されているIDおよび検査関数とを、当該カード
間およびそれぞれのカードと当該仲介器との間で相互に
交換し、各カードの情報記憶手段から資金情報に含まれ
る、資金価値の残高を示す残高データを読み出し、その
残高データを当該カードの検査関数に基づきその正当性
を検査し、検査合格に応じて各カードの情報記憶手段に
格納されている各残高データを無効化し、各カードの残
高データの無効化に関する各カードごとの情報に対し
て、各カードのカード処理部および当該仲介器の制御部
でそれぞれ自己の署名関数に基づき署名したものを、各
カードの記録データとして対応するカードの情報記憶手
段に格納し、当該取引決済の取引額に基づき算出した各
カードの新残高に関する各カードごとの情報に対して、
各カードのカード処理部および当該仲介器の制御部でそ
れぞれ自己の署名関数に基づき署名したものを、各カー
ドの新たな残高データとして対応するカードの情報記憶
手段に格納するようにしたものである。
あり自装置のカード処理部からはアクセス不可能な分離
メモリを有し、仲介器の制御部で、この分離メモリにア
クセスして、残高データおよび記録データを格納するよ
うにしたものである。
2値データを初期値から末期値への1方向にのみ更新可
能な複数のビットにより残高データおよび記録データを
記憶するセルを有し、仲介器の制御部で、所定のビット
のみを末期値に更新することにより残高データおよび記
録データを格納し、すべてのビットを末期値を更新する
ことにより残高データを無効化するようにしたものであ
る。
線を介して接続される管理センタから当該取引決済の取
引日時に対応した接続確認データを受信し、記録データ
を、当該カードの今回取引における支払または受取を示
す取引種別および取引額と、各カードのID、このデー
タを格納するセル番号および取引前の残高額と、取引日
時と、仲介器のIDおよび仲介器が持つ接続確認データ
とから構成し、残高データを、当該カードの今回取引に
おける支払または受取を示す取引種別および取引額と、
各カードのID、このデータを格納するセル番号および
取引後の残高額と、取引日時と、仲介器のIDおよび仲
介器が持つ接続確認データとから構成するようにしたも
のである。
各カードの残高データが無効化されるとともに、この残
高データの無効化に関する情報に対して、各取引者によ
りディジタル署名されて生成された記録データと、今回
取引および取引後の新残高に関する情報に対して、各取
引者によりディジタル署名されて生成された残高データ
とが、各カードに格納される。
介器により直接、カードの分離メモリに格納される。さ
らに、残高データおよび記録データは、すべてのビット
が初期値であるセルの所定ビットが末期値に更新される
ことにより格納され、セルのすべてのビットが末期値に
更新されることにより無効化される。
取引を厳密に検証するのに必要な情報として、今回取引
において対応するカードの支払または受取を示す取引種
別および取引額と、自己および相手カードのID、この
データを格納するセル番号および取引前または後の残高
額と、取引日時と、仲介器のIDおよび仲介器が持つ、
通信回線を介して接続される管理センタから受信した接
続確認データとから構成される。
る。図1は、本発明の一実施例であるオフライン型の電
子小口決済システムのシステム構成図である。なお本発
明において、オフライン型とは、取引決済時においてシ
ステム供給者への問い合わせ等を必要とせず取引者間で
完結するものを示している。図1において、10は電子
小口決済システムを管理運営するシステム供給者、40
は資金価値を持つ残高情報および各種管理情報を格納す
る電子現金カード(以下、カードという)、30は所定
の取引プロトコルに基づき複数のカード40間における
決済すなわち資金データの更新を実施する仲介器であ
り、カード40および仲介器30は、システム供給者1
0により発行され、管理されている。
テムの管理運営にあたって、すべての仲介器30および
カード40を管理する管理センタ11、その管理情報お
よび過去の取引に関する情報を格納し、必要に応じてこ
れを検索できるデータベース12、不当な仲介器30ま
たはカード40をリストアップしたブラックリスト13
を有している。
0は、通信回線20を介して接続されており、取引完了
後に仲介器30から、その取引に関する情報を管理セン
タ11に報告し、適時、管理センタ11から各仲介器3
0に対して、ブラックリスト13や、仲介器30との接
続状況を確認するための接続確認データの更新が行われ
る。
40Bを示すブロック図である。仲介器30は、この電
子小口決済システムにおいて、カード40A,40B間
の決済取引を仲介する装置であり、非リアルタイム通信
により管理センタ11に管理されている。
は取引の際に各カード40A,40Bを接続し、各種デ
ータの送受信および電源供給を行うカードI/F部、3
3A,33Bは利用者が取引額や取引合意認証を入力す
るキー部、36は取引額をはじめ各種情報やメッセージ
を表示する表示部、31は各カード40A,40B間に
おける所定の取引プロトコルに基づく決済処理をはじめ
として仲介器30全体を制御する制御部である。
された管理センタ11と各種情報とを、非リアルタイム
通信により送受信する回線I/F部、35は取引プロト
コルに必要な管理情報や管理センタ11から送信される
接続確認データ,ブラックリスト等の情報を格納する管
理情報格納部、37は日時情報を出力する時計部であ
る。
小口決済システムにおいてカードベースの電子現金とし
て使用されるものであり、各種情報を記憶し演算する機
能を有しており、一般的にICカードと称されるものと
同種のものである。
は同じ構造をしており、カード40A,40Bにおい
て、44は、残高等の情報や各種メッセージを表示する
表示部、41は、各種情報を格納するための内部メモリ
42を有し所定の暗号方式に基づくデータ通信処理およ
び日時計数処理をはじめカード全体を制御するカード制
御部、45は、内部メモリ42に格納されている各種情
報を記憶保持するための電池である。
できカード制御部41からアクセスできない構造の分離
メモリであり、取引プロトコルに必要な制御データとし
て、個々のカードを識別するための固有識別情報(以
下、IDという)、および所定の暗号方式に必要な後述
の検査関数と、資金データとして、取引時には仲介器3
0により、取引した相手カードのID、取引した仲介器
30のID、取引日時や取引金額等の取引内容を示す残
高データや過去の取引内容を示す記録データとが格納さ
れる。
て、これら各種重要情報に対して行われる暗号化処理、
すなわちディジタル署名について説明する。本システム
では、資金価値を持つ資金データの偽造等による不正を
防止するため、従来の「公開鍵ディジタル署名方式」と
同様の暗号方式、すなわち対象データを暗号化するため
の署名関数と、これとは異なる署名を検査するための検
査関数を一対とし、秘密の署名関数により暗号化された
データと検査関数のみを通信相手に送信する方式を採用
している。
されたデータに基づき署名関数を再生することを至難化
することにより、対象データ偽造等の不正を防止するこ
とができる。
の署名鍵をパラメータとして、対象データに対して所定
の署名関数に基づく演算すなわち暗号化処理を施すこと
であり、この署名関数は署名後のデータが正当なもので
あるか否かを検査処理するための検査関数と一対とし
て、システム供給者10により生成され管理されてい
る。
ぞれS,Vとし、資金データをX1,X2 とすると、資
金データX1 ,X2 に対して署名関数Sに基づきディジ
タル署名することにより生成される暗号文Yは、 Y=S(X1 ‖X2 ) と表され、また暗号文Yを検査関数Vにより検査するこ
とにより生成される資金データX1 ,X2 は、 X1 ‖X2 =V(Y)=V(S(X1 ‖X2 )) と表される。
ステム供給者10により発行される際に、IDとともに
固有の署名関数および検査関数が割り当てられる。特
に、割り当てられたIDおよび検査関数は、これが正当
なものであることを保証するシステム供給者10のディ
ジタル署名が施されて格納され、割り当てられた署名関
数は、システム供給者10のディジタル署名を検査する
ための検査関数とともに格納される。これにより、シス
テム共通とされるシステム供給者10の検査関数を持た
ないカードあるいは仲介器との不正あるいは誤った取引
が防止される。
署名関数、システム供給者10の検査関数、システム供
給者10によりディジタル署名されたIDおよび検査関
数は、それぞれ管理情報格納部35に格納される。ま
た、カード40の場合、割り当てられた署名関数は、前
述のシステム供給者10の検査関数とともに、内部メモ
リ42に格納されるとともに、システム供給者10によ
りディジタル署名されたIDおよび検査関数は、分離メ
モリ43に格納される。
B)の分離メモリ43について説明する。分離メモリ4
3は、そのカードに固有のIDおよび検査関数が格納さ
れるとともに、資金データとして現在の残高を示す残高
データおよび過去の取引を示す記録データがそれぞれ格
納される。
ド制御部41から回路的に分離することによりアクセス
不可能とし、外部すなわち仲介器30からのみアクセス
可能とする構造となっている。これは、カード制御部4
1が万が一改造された場合、格納されているID、検査
関数あるいは残高データや記録データを読み出し偽造・
改変することにより不正取引を行うことを防止するもの
である。
ある。分離メモリ43には、論理的に分割した多数の格
納エリア(以下、エリアという)が設けられており、さ
らに、このエリアは2つのセルに分割されている。この
エリアには、資金データとして残高データおよび記録デ
ータが、取引毎に順を追って格納される。従って、現在
の残高データが格納されているエリアを示す取引エリア
番号は、取引に応じて順に加算される。
「0」を初期値、「1」を末期値とする2値データを記
憶するものであり、初期値「0」から末期値「1」への
1方向へのみ更新可能な構成となっている。すなわち、
各セルは、初期の状態としてすべてのビットが「0」と
なっており、データを格納する場合に、データ値に対応
する所定のビットが「1」に更新され、一度更新された
ビットは初期値「0」へ再度更新することはできない。
向誤り検出符号(AUED符号)等に基づき変換して格
納することにより、クリアしたり所望のデータに変更し
たりする不正が困難となる。また、使用済みの重要なデ
ータを読み取り不可能とするために消去すなわち無効化
する場合には、そのセルのすべてのビットを末期値
「1」に更新することにより行われる。
納エリア(以下、エリアという)であり、このエリア5
0はさらに2つのセル51,52に分割されている。こ
のセル51には、カードにおける現在の残高がいかなる
取引により生成されたかを証拠付きで記録した残高デー
タが格納される。
よる不正や暗号解読を極力防止するため、直前取引によ
り生成されたもののみが保存され、それ以前の残高デー
タは無効化される。従って、セル52にはそのエリアに
格納されていた残高データ(セル51)がいかなる取引
により消滅した(無効化された)かを証拠付きで記録し
た記録データが格納される。
+2方向へ順に、1回の取引に応じて1エリアづつ使用
される。ただし、記録データは、新たな取引により無効
化された残高データと同じエリアのもう一方のセルに格
納されるとともに、新たな取引により更新された残高デ
ータは次のエリアに格納されるため、1回の取引に応じ
て生成された記録データおよび残高データは、異なるエ
リアに格納されるものとなる。
43が、エリアkまで使用されている場合を示してお
り、現在の残高を示す残高データはB(k) としてエリア
kのセル53に格納され、このエリア以前のエリアk−
1までの残高データは、セル51のように全て無効化さ
れている。なお、同図においてエリアkにおける残高デ
ータをB(k) 、記録データをL(k ) とし、空白セルは未
使用のセル、斜線セルは無効化されたセルをそれぞれ示
している。
セルをUとすると、分離メモリ43のエリアk−2から
k+2までの内容SMEM(k−2,…,k+2)は、
数1で表すことができる。なお、残高データが格納され
るセルは上段に、また記録データが格納されるセルは下
段にそれぞれ記載されている。
−1以前のセルには、残高データが無効化された記録と
して、エリアk−1には記録データL(k-1) (セル5
2)が、またエリアk−2にはL(k-2) がそれぞれ格納
されている。なお、エリアkは現在の取引エリアであ
り、残高データが無効化されていないので、これに対応
する記録データはなく、これが格納されるべきセル54
は空白すなわち未使用状態となっている。
憶状態となっているカード40Aが取引に使用された場
合、セル53の残高データB(k) から残高が抽出されて
取引額が減算され、新残高データB(k+1) としてエリア
k+1のセル55に格納される。
(k) (セル53)は無効化されるとともに、これを無効
化した際の取引の記録としてエリアkのセル54に記録
データL(k) が生成され格納される。なお、記録データ
は無効化されず、そのカードの過去の取引を記録した履
歴データとして全て保存され、分離メモリ43の記憶状
態は図3下段の取引後の状態となる。
MEM(k−2,…,k+2)は、数2のように変遷す
る。
む残高データ、および過去の取引を記録した記録データ
等の資金データは、取引を特定するために取引の性質、
自カードの状況、相手カードの状況および取引環境を詳
細に示す要素から構成されている。
取引額およびデータ更新/無効化が記録され、自己・相
手カードの状況としてカードID、エリア番号、残高/
支払可能額が記録され、さらに取引環境として使用され
た仲介器30のID、取引日時、取引時にシステム供給
者10から発行され仲介器30に格納されている接続確
認データが記録される。
供給者10から発行され、仲介器30の管理情報格納部
35に格納されているものであり、取引日時に対応した
ものが管理センタ11で管理されている。従って、仲介
器30が管理センタ11に正常に接続されていなかった
場合、正規の接続確認データを入手できなくなるため、
これを管理センタ11で検査することにより、不正取引
による残高データや記録データを検出することが可能と
なる。
オフライン型電子小口決済システムにおける電子現金カ
ード間の取引処理として、カード40A,40Bと仲介
器30間の取引プロトコルを説明する。図4は、仲介器
30を介してカード40Aおよび40B間の取引プロト
コルを示す説明図であり、特にカード40Aが支払側、
カード40Bが受取側である場合の取引プロトコルを示
している。
Aが物品を購入し、この支払をこれらのカードで行う場
合、従来のように利用者Aが利用者Bに現金を支払う代
わりに、この商店に設置された仲介器30を介して、利
用者Aの所有するカード40Aから利用者Bの所有する
カード40Bへ資金価値を移動させる。
給者10からカード40A,40Bを入手しているもの
とし、システム供給者10あるいは所定の金融機関にお
いて、預金あるいは現金等と引換に等価の資金データを
カード40Aに引き出しているものとする。なお、カー
ド40A,40Bに格納された資金データは、システム
供給者10あるいは所定の金融機関窓口で現金あるいは
預金に換金することができる。
れのカードを接続する。これに応じて、仲介器30と接
続されたカード40A,40B、および利用者A,Bに
おいて、以下のような同定・認証処理が開始される。
性確認処理として、まずカード40A,40Bの分離メ
モリ43から、システム供給者10のディジタル署名付
きで格納されているIDおよび検査関数SSP(i‖V
i ),SSP(j‖Vj )をそれぞれ読み出して、管理情
報格納部35に予め格納されているシステム供給者10
の署名に対する検査関数VSPにより、これらを検査す
る。なお、i,jはカード40A,40BのID、V
i ,Vj はカード40A,40Bの署名に対する検査関
数、SSPはシステム供給者10の署名関数を示してい
る。
読み出したSSP(i‖Vi ),SSP(j‖Vj )と、自
己のIDおよび検査関数にシステム供給者10がディジ
タル署名したSSP(p‖Vp )とをそれぞれ出力する。
なお、p,Vp は、仲介器30のIDおよび検査関数で
ある。
び検査関数にシステム供給者10がディジタル署名した
ものを、相手カードとの間で交換するとともに、予め格
納されているシステム供給者10の検査関数VSPにより
これらを検査し、各カードおよび仲介器のIDおよび検
査関数を互いに認証する。
ード間における認証処理を仲介器30の不正から防御す
ることを目的として、所定の暗号方式のための関数を生
成する。従って、これ以降のカード間における通信は、
この関数を用いた暗号方式に基づき実施されることにな
る。
として、相手カードの外表面に印刷表示されているID
と、自己カードの表示部44に表示されている相手ID
とを、各利用者あるいは仲介器30の読み取り認識によ
り、一致しているかどうか確認するようすれば、異なる
IDを使用した不正行為をより厳密に排除することがで
きる。
各カードのIDが、不当カードのIDリストとして管理
センタ11から通知され管理情報格納部35に格納され
ているブラックリストに記載されていないかどうか確認
し、記載されている場合にはその旨を表示部36に表示
するとともに、取引を中止する。ブラックリストに記載
がない場合には、正常なカードとして同定および認証し
て、取引処理を続行する。
カードは、直前取引で生成され内部メモリ42に格納さ
れている現在の残高をそれぞれの表示部44に表示し、
利用者AおよびBに支払額および受取額の入力を促す。
ドに対応するキー部33A,33Bから、自己カードの
取引種別として、支払または受取を選択するとともに、
取引額すなわち支払の場合には支払額、また受取の場合
には受取額をそれぞれ入力する。この場合、利用者Aは
購入代金として支払額PVを入力し、利用者Bは売上金
としてPVに等しい受取額RVを入力する。
ら入力されたPV,RVを、時計部37から読み取った
現在日時Tp とともにそれぞれ対応するカード40A,
40Bへ出力する。各カードは、自カード制御部41の
内部時刻Ti またはTj とTp とが等しいことを確認す
るとともに、カード間でTi ,Tj を相互に交換してそ
の一致を確認した後、支払額または取引額とTp を表示
部44に表示して、各利用者に対して確認を促す。
間を確認した後、キー部33A,33Bより合意を入力
する。各カードは、この合意入力に応じた仲介器30か
らの通知に基づき、カード間でPV,RVを相互に交換
してその一致を確認した後、PV,RVを仲介器30に
出力する。
の一致確認に応じて、カード40A,40Bおよび仲介
器30の三者間において、取引額および取引時間の合意
が得られたものとして、取引処理を続行する。また、以
上の各種認証処理において認証が得られなかった場合に
は、仲介器30は取引のための以後の処理を中止して、
その旨を表示部36に表示する。
により新たに生成される資金データ、すなわち残高デー
タおよび記録データを、カード40A,40Bの分離メ
モリ43に格納するため、以下のような分離メモリ43
の検査処理を開始する。なお、各カードにおいて現在の
残高を含む残高データが格納されているエリアすなわち
取引エリアの番号は、カード40Aではk、またカード
40Bではlとする。
lを、カード制御部41内の内部メモリ42から読み込
み、仲介器30および相手カードに出力することによ
り、それぞれの取引エリア番号を交換する。
離メモリ43から、この番号に基づくエリアおよびその
次のエリアに格納されているデータ、すなわちSMEM
i [k,k+1]、SMEMj [l,l+1]をそれぞ
れ読み取り、所定セルに格納されている残高データを検
査することにより、そのカードの正確な残高金額、I
D、取引エリア番号等を得てこれを検査するとともに、
所定セルが未使用であるかどうか検査する。
いて取得した各カードに関する残高金額、ID、取引エ
リア番号等の情報は、カードの内部メモリ42に格納さ
れていた情報であり、取引の正常終了に応じて厳重に暗
号化され分離メモリ43に格納されていた情報すなわち
残高データとは、その安全性が異なるものである。従っ
て、分離メモリ43から読み出した残高データは、この
残高データ生成時に各カードの内部メモリ42に格納し
ておいた対応する検査関数により署名検査され、この検
査の正常終了、およびこれまでに取得した情報との一致
が検査される。
況として、数3のようになっているとすると、仲介器3
0は、現在の残高データが格納されているSMEMi
[k]およびSMEMj [l]の上側セルのみが使用さ
れており、他のセルは未使用となっていることを確認す
る。これは、前述のとおり、分離メモリ43として一度
書き込んだデータは無効にする以外、不正にクリアや変
更ができないメモリを使用しており、現在の取引エリア
付近のセルを検査し、その使用状況を確認することによ
り、エリア番号変更等による不正が検出される。
[k,k+1]またはSMEMj [l,l+1]の各セ
ルデータに対して、前述の仲介器30における検査と同
様の未使用セルの検査を実施した後、直前取引の際の取
引情報として内部メモリ42に格納しておいた、相手カ
ードの記録データ、IDおよび検査関数と、その取引に
関係した仲介器のIDおよび検査関数とを、それぞれ仲
介器30へ出力する。
録データとしてLf (s-1)と、相手カードのIDおよび検
査関数としてシステム供給者署名付きのSSP(f‖V
f )と、仲介器のIDおよび検査関数としてシステム供
給者署名付きのSSP(q‖Vq)とを、仲介器30へ出
力する。なお、f,Vf ,sは、カード40Aの直前取
引時の相手カードのID、検査関数および取引エリア番
号であり、q,Vq は、同じく仲介器のIDおよび検査
関数である。
データとしてLg (t-1)と、相手カードのIDおよび検査
関数としてシステム供給者署名付きのSSP(g‖Vg )
と、仲介器のIDおよび検査関数としてシステム供給者
署名付きのSSP(r‖Vr )とを、仲介器30へ出力す
る。なお、g,Vg ,tは、カード40Bの直前取引時
の相手カードのID、検査関数および取引エリア番号で
あり、r,Vr は、同じく仲介器のIDおよび検査関数
である。
それぞれの相手カードに格納された記録データであり、
仲介器30は、それぞれの記録データを、対応する検査
関数および各カードの検査関数に基づき署名検査するこ
とにより、これらのデータが正常であるか否かを検査す
る。また、これらの記録データは、取引終了後、仲介器
30からの取引報告情報として、管理センタ11へ送信
され、不正取引の検出に使用される。
メモリ43のエリアkにおける残高データBi (k)、およ
びカード40Bのエリアlにおける残高データBj (l)を
それぞれ無効化する。無効化は、各セルを構成するビッ
トをすべて末期値「1」とすることにより行われ、これ
により、このセルに格納されていた残高データが消去さ
れるとともに、セル自体、使用不可能となる。
データに対応する記録データの作成および格納処理を行
う。まず、仲介器30は、今無効化した残高データが、
いかなる取引により無効化されたかを示す情報として、
各カードに対応するLi0 (k) ,Lj0 (l) を、次の式に基
づき生成し、各カードへ出力するとともに、このデータ
に仲介器30の署名関数Sp によりディジタル署名して
生成したLi1 (k) ,Lj1 (l) も出力する。
p, T, C] Lj0 (l) =[log,receive,A; j,l,bj (l); i,k,
bi (k); p, T, C] Li1 (k) =Sp (Li0 (k) ) Lj1 (l) =Sp (Lj0 (l) ) により生成される。
ータ、pay は支払側、receive は受取側、Aは取引額こ
こでは受取額、i ,k ,bi (k)はカード40AのID,
取引エリア番号,取引前の残高、j ,l ,bj (l)はカー
ド40BのID,取引エリア番号,取引前の残高、pは
仲介器30のID、Tは取引時刻、Cは仲介器30が管
理センタ11から受け取った最新の接続確認データを示
している。
受信した4つのデータについて、署名されたものは相互
交換により入手した仲介器30の検査関数によりそれぞ
れ検査した後、仲介器30により既に署名された相手カ
ードに対応する記録データL j1 (l) ,Li1 (k) に対し
て、自カードの署名関数により署名して生成したLj2 (l
) ,Li2 (k) を、相手カードおよび仲介器30に出力す
る。
取ったこれらのデータに、仲介器30および相手カード
の署名を施したデータを各検査関数を用いて検査すると
ともに、さらにこのLi2 (k) ,Lj2 (l) に自分の署名を
施して実際に分離メモリ43に格納される記録データL
i (k),Lj (l)を生成し、相手カードおよび仲介器30に
出力する。
たLi (k),Lj (l)を、各検査関数を用いて検査するとと
もに、確認出力を相手カードおよび仲介器30に出力す
る。
応じて、各カードの分離メモリ43の取引エリアに、三
者のディジタル署名が施された記録データLi (k),Lj
(l)を書き込み、これを読み出して検査し、検査合格に
応じて各カードに対して記録データを記録終了した旨を
通知して、記録データの作成・記録処理を終了する。
より合意された取引額に基づく取引後の処理として、以
下のような新たな残高データの作成および記録処理が行
われる。なお、仲介器30およびカード40A,40B
で行われる署名および検査処理は、取り扱うデータが記
録データではなく新残高データであるという違いはある
ものの、その処理手順は前述の記録データ作成・記録処
理とほぼ同様である。
対して取引額を加減算して新残高を算出し、新たな残高
データとして、各カードに対応するBi0 (k+1) ,Bj0
(l+1)を次の式に基づき生成し、各カードへ出力すると
ともに、このデータに仲介器30の署名関数Sp により
ディジタル署名して生成したBi1 (k+1) ,Bj1 (l+1) も
出力する。
1,bj (l+1); p, T, C] Bj0 (l+1) =[balance,receive,A; j,l+1,bj (l+1);
i,k+1,bi (k+1); p, T, C] Bi1 (k+1) =Sp (Bi0 (k+1) ) Bj1 (l+1) =Sp (Bj0 (l+1) ) により生成される。
録データ、pay は支払側、receiveは受取側、Aは取引
額(受取額または支払額)、i ,k ,bi (k+1)(=bi
(k)−A)はカード40AのID,取引エリア番号,取
引後の残高、j ,l ,bj (l+1)(=bj (l)+A)はカー
ド40BのID,取引エリア番号,取引後の残高、pは
仲介器30のID、Tは取引時刻、Cは仲介器30が管
理センタ11から受け取った最新の接続確認データを示
している。
受信した4つのデータについて、署名されたものは相互
交換により入手した仲介器30の検査関数によりそれぞ
れ検査した後、仲介器30により既に署名された相手カ
ードに対応する残高データBj1 (l+1) ,Bi1 (k+1) に対
して、自カードの署名関数により署名して生成したBj2
(l+1) ,Bi2 (k+1) を、相手カードおよび仲介器30に
出力する。
取ったこれらのデータに、仲介器30および相手カード
の署名を施したデータを各検査関数を用いて検査すると
ともに、さらにこのBi2 (k+1) ,Bj2 (l+1) に自分の署
名を施して実際に分離メモリ43に格納される残高デー
タBi (k+1),Bj (l+1)を生成し、相手カードおよび仲介
器30に出力する。
たBi (k+1),Bj (l+1)を、各検査関数を用いて検査する
とともに、確認出力を相手カードおよび仲介器30に出
力する。
応じて、各カードの分離メモリ43の取引エリアに、三
者のディジタル署名が施された残高データBi (k+1),B
j (l+ 1)を書き込み、これを読み出して検査し、検査合格
に応じて各カードに対して残高データを記録終了した旨
を通知して、残高データの作成・記録処理を終了する。
従って、各カードの分離メモリ43の使用状況は、数4
のように示される。
び報告をするため、各カードは旧残高に対して取引額を
加減算した新残高を表示部44にそれぞれ表示し、利用
者A,Bは、この新残高を確認した後、仲介器30から
それぞれのカード40A,40Bの接続を解き、一連の
カード間の取引処理を終了する。
取引情報の報告処理として、以下のような通信処理を行
う。まず、回線I/F部34により通信回線20を介し
て管理センタ11に接続した後、各カードが直前に行っ
た取引の相手カード記録データLf (s-1),Lg (t-1)を報
告するとともに、本取引で生成された記録データ
Li (k),Lj (l)、および残高データBi (k+1),Bj (l+1)
を報告する。
として、仲介器30からの各記録データおよび残高デー
タをデータベース12へ格納するとともに、データベー
ス12を検索し、これらIDに対応するの過去の取引情
報を抽出して比較し、残高額、取引日時等のデータに矛
盾がないかどうか検査し、矛盾が発見された場合には、
そのIDをブラックリスト13に追記するとともに、管
理者へ不正検出の旨を通報する。
センタ11から全ての仲介器30に送信されて、仲介器
30内の管理情報格納部35のブラックリストリストを
更新し、不当カードによる以後の取引を中止させるため
の重要な情報となる。
各資金データの報告、管理センタ11による不正検出、
および不正リスト更新処理については、対応する取引処
理終了時に行われるものとしたが、取引中にリアルタイ
ムで報告し不正を検証できるようにすることにより、悪
質な不正行為に対して迅速な対応が可能となる。
間における取引合意に応じて、カードの残高データを無
効化するとともに、この残高データの無効化に関する情
報に対して各取引者によりディジタル署名して記録デー
タを生成し、今回取引および取引後の新残高に関する情
報に対して各取引者によりディジタル署名して残高デー
タを生成し、これら取引を特定する情報からなる記録デ
ータと残高データとを、各カードの分離メモリに格納す
るようにしたものである。従って、電子小口決済システ
ムにおいて、現金の持つ匿名性、転々流通性を損なうこ
となく、高い安全性を提供できるという格別な効果を奏
するものである。
のシステム構成図である。
ある。
を示す説明図である。
Claims (4)
- 【請求項1】 所定の資金情報、およびこの資金情報の
暗号化および検査に用いる制御データを格納する情報記
憶手段と、前記制御データを用いた当該資金情報に対す
る演算処理を行うカード処理部とを有するカードと、前記カードの資金情報の暗号化および検査に用いる制御
データを格納する管理情報格納手段と、前記制御データ
を用いた当該資金情報に対する演算処理を行う制御部と
を有し、接続された複数の前記カード内の資金情報の移
動および更新を行うことにより、当該カード間における
取引決済を仲介する 仲介器とを有する電子小口決済シス
テムにおける取引方法であって、前記カードおよび仲介器の前記制御データは、当該カー
ドおよび仲介器に固有のIDと、前記資金情報を暗号化
する際の署名に用いる当該カードおよび仲介器に固有の
署名関数と、前記署名関数による正当な署名かどうかを
検査する際に用いる当該カードおよび仲介器に固有の検
査関数とを含み、 前記仲介器に接続された複数の前記カード間における取
引決済を行う際、それぞれのカードに格納されている前
記IDおよび前記検査関数と、当該仲介器の管理情報格
納手段に格納されている前記IDおよび前記検査関数と
を、当該カード間およびそれぞれのカードと当該仲介器
との間で相互に交換し、 前記各カードの情報記憶手段から前記資金情報に含まれ
る、資金価値の残高を示す残高データを読み出し、その
残高データを当該カードの検査関数に基づきその正当性
を検査し、検査合格に応じて前記各カードの情報記憶手
段に格納されている前記各残高データを無効化し、 前記各カードの残高データの無効化に関する各カードご
との情報に対して、前記各カードのカード処理部および
当該仲介器の制御部でそれぞれ自己の署名関数に基づき
署名したものを、前記各カードの記録データとして対応
するカードの情報記憶手段に格納し、当該取引決済の 取引額に基づき算出した前記各カードの
新残高に関する各カードごとの情報に対して、前記各カ
ードのカード処理部および当該仲介器の制御部でそれぞ
れ自己の署名関数に基づき署名したものを、前記各カー
ドの新たな残高データとして対応するカードの情報記憶
手段に格納するようにしたことを特徴とする電子小口決
済システムにおける取引方法。 - 【請求項2】 請求項1に記載の電子小口決済システム
における取引方法において、 前記カードは、外部からアクセス可能であり自装置のカ
ード処理部からはアクセス不可能な分離メモリを有し、前記仲介器の制御部で 、この分離メモリにアクセスし
て、前記残高データおよび前記記録データを格納するよ
うにしたことを特徴とする電子小口決済システムにおけ
る取引方法。 - 【請求項3】 請求項2に記載の電子小口決済システム
における取引方法において、 前記カードの分離メモリは、記憶する2値データを初期
値から末期値への1方向にのみ更新可能な複数のビット
により前記残高データおよび記録データを記憶するセル
を有し、前記仲介器の制御部で、この分離メモリのセルのうち、
すべてのビットが初期値を示すセルについて、所定のビ
ットのみを末期値に更新することにより前記残高データ
および記録データを格納し、すべてのビットを末期値に
更新することにより前記残高データを無効化するように
したことを特徴とする電子小口決済システムにおける取
引方法。 - 【請求項4】 請求項1に記載の電子小口決済システム
における取引方法において、前記仲介器の制御部で、 前記仲介器と通信回線を介して接続される管理センタか
ら当該取引決済の取引日時に対応した接続確認データを
受信し、 前記記録データを、当該カードの今回取引における支払
または受取を示す取引種別および取引額と、前記各カー
ドのID、このデータを格納するセル番号および取引前
の残高額と、取引日時と、前記仲介器のIDおよび前記
仲介器が持つ接続確認データとから構成し、 前記残高データを、当該カードの今回取引における支払
または受取を示す取引種別および取引額と、前記各カー
ドのID、このデータを格納するセル番号および取引後
の残高額と、取引日時と、前記仲介器のIDおよび前記
仲介器が持つ接続確認データとから構成することを特徴
とする電子小口決済システムにおける取引方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP17586893A JP3403456B2 (ja) | 1993-06-24 | 1993-06-24 | 電子小口決済システムにおける取引方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP17586893A JP3403456B2 (ja) | 1993-06-24 | 1993-06-24 | 電子小口決済システムにおける取引方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH0785172A JPH0785172A (ja) | 1995-03-31 |
JP3403456B2 true JP3403456B2 (ja) | 2003-05-06 |
Family
ID=16003614
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP17586893A Expired - Lifetime JP3403456B2 (ja) | 1993-06-24 | 1993-06-24 | 電子小口決済システムにおける取引方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3403456B2 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0933731B1 (en) | 1996-09-13 | 2003-08-06 | Oki Electric Industry Company, Limited | Electronic transaction system |
JPH10143556A (ja) * | 1996-11-11 | 1998-05-29 | U Card:Kk | 電子決済システムにおける利用者限定方法 |
JP3425738B2 (ja) * | 1996-12-06 | 2003-07-14 | 株式会社エヌ・ティ・ティ・データ | 電子マネーシステム、取引情報生成方法及び記録媒体 |
JP3872194B2 (ja) * | 1996-12-16 | 2007-01-24 | 沖電気工業株式会社 | 電子取引システム |
JP4496440B2 (ja) * | 1998-01-12 | 2010-07-07 | ソニー株式会社 | 暗号化コンテンツ送信装置 |
KR100464576B1 (ko) | 1998-12-07 | 2005-01-03 | 가부시키가이샤 히타치세이사쿠쇼 | 전자 회로 칩을 장착한 시트의 위조 검출 방법 |
JP2007241724A (ja) * | 2006-03-09 | 2007-09-20 | Meiji Univ | 電子ペーパー券、券用電子ペーパー装置、券生成装置、電子署名検証システム及び電子ペーパーマネーシステム |
JP2009020848A (ja) * | 2007-07-11 | 2009-01-29 | Taiji Inui | 中央銀行ないしは同等の機能を有する機関が法定通貨として発行することを目的とした電子マネーおよび電子マネーシステム。 |
JP4496506B2 (ja) * | 2008-05-07 | 2010-07-07 | ソニー株式会社 | 暗号化コンテンツ送信装置 |
JP5721086B2 (ja) * | 2010-07-09 | 2015-05-20 | 武 水沼 | 電子マネーの管理方法 |
JP6534255B2 (ja) * | 2014-11-26 | 2019-06-26 | かっこ株式会社 | 不正取引検知システム |
-
1993
- 1993-06-24 JP JP17586893A patent/JP3403456B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JPH0785172A (ja) | 1995-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6581042B2 (en) | Tokenless biometric electronic check transactions | |
JP4472188B2 (ja) | トークンなしのバイオメトリック電子的な貸借取引 | |
US7536352B2 (en) | Tokenless biometric electronic financial transactions via a third party identicator | |
JP5512637B2 (ja) | 安全な支払いシステム | |
US6192142B1 (en) | Tokenless biometric electronic stored value transactions | |
AU2010295188B2 (en) | Asset storage and transfer system for electronic purses | |
KR20010025234A (ko) | 지문정보를 이용한 카드거래 인증방법 및 그 시스템 | |
JP2004516578A (ja) | ユーティリティ利用の対価請求の確認並びに和解及び紛争解決を含む機密化自己請求及び支払方法 | |
WO2007047901A2 (en) | Credit fraud prevention systems and methods | |
AU2011235531B2 (en) | Message storage and transfer system | |
JP3403456B2 (ja) | 電子小口決済システムにおける取引方法 | |
JP3434539B2 (ja) | 電子小口決済システム | |
JPH10255121A (ja) | 電子マネーシステム | |
JP3061710B2 (ja) | レジスタシステム | |
WO2010054259A1 (en) | Intermediary service and method for processing financial transaction data with mobile device confirmation | |
JPH10134126A (ja) | 電子マネーシステム | |
JPH10134121A (ja) | 電子マネーシステム | |
JPH08202774A (ja) | 電子領収書つづりカード及び同カードにアクセスするための装置 | |
JP2001351045A (ja) | 電子決済システム | |
JPH10143577A (ja) | 電子マネーの不正チェックシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080229 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090228 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100228 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110228 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120229 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130228 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140228 Year of fee payment: 11 |
|
EXPY | Cancellation because of completion of term |