[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP3812419B2 - Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program - Google Patents

Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program Download PDF

Info

Publication number
JP3812419B2
JP3812419B2 JP2001345080A JP2001345080A JP3812419B2 JP 3812419 B2 JP3812419 B2 JP 3812419B2 JP 2001345080 A JP2001345080 A JP 2001345080A JP 2001345080 A JP2001345080 A JP 2001345080A JP 3812419 B2 JP3812419 B2 JP 3812419B2
Authority
JP
Japan
Prior art keywords
authentication
medium
billing
bill
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001345080A
Other languages
Japanese (ja)
Other versions
JP2003150881A (en
Inventor
竜太 増田
浩正 川村
農 丁
吉範 折目
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001345080A priority Critical patent/JP3812419B2/en
Publication of JP2003150881A publication Critical patent/JP2003150881A/en
Application granted granted Critical
Publication of JP3812419B2 publication Critical patent/JP3812419B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、課金ユニット装置及び課金システム及び課金方法及び認証課金センタ装置及び購入制御端末装置及び課金プログラム及び課金プログラムを格納した記憶媒体に係り、特に、インターネット等のネットワーク上のディジタルコンテンツの配送時等における少額の即時課金を行なうための課金ユニット装置及び課金システム及び課金方法及び認証課金センタ装置及び購入制御端末装置及び課金プログラム及び課金プログラムを格納した記憶媒体に関する。
【0002】
詳しくは、該当端末等の公共性の高い場所でのコンテンツ購入時における安全性を確保した、簡易で比較的安価な媒体のカードを使用した少額課金を行なうための課金ユニット装置及び課金システム及び課金方法及び認証課金センタ装置及び購入制御端末装置及び課金プログラム及び課金プログラムを格納した記憶媒体に関する。
【0003】
【従来の技術】
従来、プリペイド(前払い)式のICカード等をセンタ装置システムから認証することにより、センタ装置側で保持している残額の使用を許可するシステムにおいて、端末に接続されたカードリーダ/ライタ等を使用して、端末を介して認証や課金情報の発行を制御しているシステムがある。
【0004】
【発明が解決しようとする課題】
しかしながら、上記従来のシステムでは、カードが無くても端末から認証課金センタ装置へ自由にアクセスできるため、特に簡易な認証を行なっているカードシステムの場合には、端末から認証課金センタ装置へアクセスすることにより、端末によりカードのなりすまし攻撃を行なうことが容易である。
【0005】
また、インターネットなどの任意の場所で任意の端末がつながるネットワーク上において、上記のリーダ/ライタを用いたシステムを運用すると、カードを偽造し、偽造したカードを使用した時に、例えシステム上で偽造を検出したとしても使用場所を特定するとができないため、自由に偽造したカードを試すことが可能であり、不正発覚時の対応ができない。
【0006】
また、上記のシステムにおいて、カード認証時にセンタ装置システムと端末との間で鍵を秘密裏に共有し、共有した鍵を使用して課金情報を生成するシステムでは、共有した鍵を端末でもつことになるため、カード抜き取り後も端末で自由に課金情報を生成・発行することが可能であり、また、端末の実装次第では、共有した鍵が外部に漏洩する危険性もあり、不正にプリペイド残額が使用される危険がある。
【0007】
なお、上記のシステムにおいて、CPU付ICカードなど高価なICカードを用いれば、センタ装置システムとカードとの間で秘密裏に鍵を共有することが可能であり、課金情報をカードの中で生成することで、課金情報を勝手に生成される危険性は少ないが、課金情報を生成するような機能を持った媒体は高価であり、媒体は多数であるために、システム全体のコストへの影響が大きい。
【0008】
上記のように、端末がカードリーダ/ライタを用いて直接カードにアクセスして認証の仲介や課金情報発行の制御を行なっているシステムにおいては、偽造カードを作成しなくても端末から認証課金センタ装置にアクセスしてカードのシミュレーションによる“なりすまし”を行なうことが容易であり、同一カード媒体の偽造が困難であっても、認証方式が簡易なシステムにおいては、“なりすまし”によってセンタ装置で管理しているプリペイド残額等を不正に使用されてしまう危険性があるという問題がある。
【0009】
また、カードを偽造し、偽造したカードを使用した時にも、例えシステム上で偽造を検出したとしても使用場所を特定することができないために、自由に偽造したカードを試すことが可能であり、不正発覚時の対応ができず、偽造カードの製造を防止することができないという問題がある。
【0010】
また、カード認証に基づき課金情報生成のための鍵を共有するシステムにおいては、カード抜き取り後にも端末で鍵を使用することで課金情報の生成が可能であり、カードの所有者が立ち去った後に第三者が端末に残された鍵を使用して課金情報を生成することによって、プリペイド残額を不正に使用することができてしまうという問題がある。
【0011】
また、端末が信頼できない場合には、鍵を第三者(他端末)に漏洩されることにより、他端末においても課金情報の生成によるプリペイド残額を不正に使用することができてしまうという問題がある。
【0012】
また、このような問題を解決する手段としてCPU付ICカードなど高価なICカードを用いたシステムがあるが、システム全体のコストが高くなるという問題がある。
【0013】
本発明は、上記の点に鑑みなされたもので、簡易な認証手順のみを実装したような安価なカードを使用し、端末から認証課金センタ装置への不正アクセスを防止し、端末での不正発見時における対処を可能とし、認証を行なった端末に対して限定して課金情報を生成可能とし、さらに、カード挿入時に限定して課金情報を生成可能とする課金ユニット装置及び課金システム及び課金方法及び認証課金センタ装置及び購入制御端末装置及び課金プログラム及び課金プログラムを格納した記憶媒体を提供することを目的とする。
【0014】
【課題を解決するための手段】
図2は、本発明の原理を説明するための図である。
本発明(請求項1)は、複数の認証媒体と、複数の購入制御端末と、該購入制御端末毎に接続される課金ユニットと、複数の販売サーバと、1つの認証課金センタ装置から構成されるシステムにおいて、ネットワーク上のコンテンツ配送時における少額の即時課金を行うための課金方法において、
個々の媒体を一意に特定できる識別子(以下、媒体ID)が割り当てられた認証媒体が課金ユニットに接続されると(ステップ1)、該課金ユニットは、購入制御端末に、媒体IDを含み、認証媒体が接続されたことを示す媒体接続通知を送信し(ステップ2)、
購入制御端末は、課金ユニットに対して、認証媒体に対する媒体認証要求を送信し(ステップ3)、
課金ユニットは、購入制御端末を介して、認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により認証媒体に対する認証を行い(ステップ4)、
認証課金センタ装置は、認証が成功すると、認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し(ステップ5)、該媒体IDが認証中であることを示す認証セッション情報として保存する(ステップ6)と共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、課金ユニットに送信し(ステップ7)、
課金ユニットでは、媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を購入制御端末に送信する(ステップ8)過程からなる認証過程と、
購入制御端末から課金ユニットに対して手形情報の要求を送信し(ステップ9)、
課金ユニットは、手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、媒体ID、手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し(ステップ10)、購入制御端末に送信し(ステップ11)、
購入制御端末は、販売サーバに対して商品購入のための手形情報を商品購入要求として送信し(ステップ12)、
販売サーバは、認証課金センタ装置に対して手形情報と商品の代金に相当する請求額と、精算時の支払先を特定する情報としての支払先IDを課金要求として送信し(ステップ13)、
認証課金センタ装置は、課金要求を受信すると、該課金要求に含まれる手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し(ステップ14)、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査し(ステップ15)、
認証課金センタ装置では、検査が成功すると、販売サーバから指定された請求額分を媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、支払先IDに対する請求額分の精算を行うための処理を行い(ステップ16)、
課金が成功すると課金成功通知を販売サーバに対して送信する(ステップ17)過程とからなる支払・購入過程と、
認証媒体と課金ユニット間の接続が解除されると、媒体接続解除通知を該課金ユニットから購入制御端末に送信し(ステップ18)、
課金ユニット内の手形署名鍵及び媒体IDに対応する手形情報生成のためのデータを削除し(ステップ19)、
課金ユニットから認証課金センタ装置に対して媒体IDを含む媒体を特定し、認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を送信し(ステップ20)、
認証課金センタ装置は、媒体認証終了要求から認証セッション情報を検索して、検索された該認証セッション情報を削除し(ステップ21)、認証状態が解除されたことを示す媒体認証終了結果を課金ユニットに通知する(ステップ22)認証破棄過程からなる
【0015】
本発明(請求項2)は、認証課金センタ装置を、電話交換網内に設け、課金ユニットを電話回線に接続し、
課金ユニットと認証課金センタ装置間で行われる認証媒体の認証及び相互認証を電話回線の制御信号を介して行う
【0016】
図1は、本発明の原理構成図である。
【0017】
本発明(請求項3)は、複数の認証媒体10と、複数の購入制御端末200と、該購入制御端末200毎に接続される課金ユニット100と、複数の販売サーバ400と、1つの認証課金センタ装置300から構成され、ネットワーク上のコンテンツ配送時における少額の即時課金を行うための課金システムであって、
認証媒体10は、
課金ユニット100に接続されることによって使用可能な個々の媒体を一意に特定可能な識別子(以下、媒体ID)が割り当てられたカードを含む媒体であり、認証課金センタから認証を受けることによって該媒体IDに対する正当な媒体であることを保証するための機能を有し、
課金ユニット100は、
媒体IDが割り当てられた認証媒体10が当該課金ユニット100に接続されると、購入制御端末に、媒体IDを含み、該認証媒体10が接続されたことを示す媒体接続通知を送信する媒体状態通知手段101と、
購入制御端末200を介して、認証課金センタ装置300に当該課金ユニット100を特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により認証媒体に対する認証を行う相互・媒体認証手段102と、
認証課金センタ装置300から認証媒体の媒体IDに対する手形署名鍵を含む手形情報に必要なデータを媒体認証結果として取得すると、該媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を購入制御端末200に送信する認証終了通知手段と、
購入制御端末200から手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、媒体ID、手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、購入制御端末200に送信する手形情報生成手段103と、
認証課金センタ装置300に対して媒体IDを含む媒体を特定し、認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を送信する媒体認証終了要求手段と、
認証課金センタ装置300から媒体認証終了結果を取得すると、手形署名鍵を破棄する手形署名鍵破棄手段と、を有し、
購入制御端末200は、
購入者の操作に従って、販売サーバに対してコンテンツを含む商品の購入要求を行う購入要求手段と、
課金ユニット100に対して、当該課金ユニット100に接続された認証媒体10に対する媒体認証要求と、手形情報の生成の要求を送信する手段と、
課金ユニット100で生成された支払のための手形情報を販売サーバ400に送信する手段と、を有し、
販売サーバ400は、
認証課金センタ装置300に対して手形情報と商品の代金に相当する請求額と、精算時の支払先を特定する情報としての支払先IDを課金要求として送信する課金要求手段401と、
認証課金センタ装置300から課金成功の通知を取得すると、コンテンツを含む商品の受け渡しを行うコンテンツ提供手段402と、を有し、
認証課金センタ装置300は、
課金ユニット100から取得した認証要求に含まれる該課金ユニットの識別子を用いて該課金ユニット100との間で相互認証を行う相互認証手段301と、
認証が成功すると、認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、課金ユニット100に送信する手段と、
販売サーバ400から課金要求を受信すると、該課金要求に含まれる手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する検査手段302 と、
検査が成功すると、販売サーバ400から指定された請求額分を媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、支払先IDに対する請求額分の精算を行うための処理を行う課金手段303と、
課金が成功すると課金成功通知を販売サーバ400に対して送信する手段と、
課金ユニット100から認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を取得し、媒体認証終了領域から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を課金ユニット100に通知する手段と、を有する。
【0018】
本発明(請求項4)は、電話交換網を更に有し、
認証課金センタ装置を、電話交換網内に設け、課金ユニットを電話回線に接続する構成とし、
課金ユニットと認証課金センタ装置との間で行われる認証媒体の認証及び相互認証、及び手形情報やコンテンツの送受信を電話回線の制御信号を介して行う手段を有する。
【0019】
本発明(請求項5)は、請求項3における課金システムを構成する認証課金センタ装置であって、
課金ユニットから取得した認証要求に含まれる該課金ユニットの識別子を用いて該課金ユニットとの間で相互認証を行う相互認証手段と、
認証が成功すると、認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、課金ユニットに送信する手段と、
販売サーバから課金要求を受信すると、該課金要求に含まれる手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する検査手段と、
検査手段において検査が成功すると、販売サーバから指定された請求額分を媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、支払先IDに対する請求額分の精算を行うための処理を行う課金手段と、
課金が成功すると課金成功通知を販売サーバに対して送信する手段と、
課金ユニットから認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を取得し、媒体認証終了領域から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を課金ユニットに通知する手段と、を有する。
【0020】
本発明(請求項6)は、請求項3における課金システムを構成する購入制御端末であって、
購入者の操作に従って、販売サーバに対してコンテンツを含む商品の購入要求を行う購入要求手段と、
課金ユニットに対して、当該課金ユニットに接続された認証媒体に対する媒体認証要求と、手形情報の生成の要求を送信する手段と、
課金ユニットで生成された支払のための手形情報を販売サーバに送信する手段と、を有する。
【0022】
本発明(請求項7)は、請求項3における課金システムを構成する課金ユニットであって、
媒体IDが割り当てられた認証媒体が当該課金ユニットに接続されると、購入制御端末に、該媒体IDを含み、該認証媒体が接続されたことを示す媒体接続通知を送信する媒体状態通知手段と、
購入制御端末を介して、認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により認証媒体に対する認証を行う相互・媒体認証手段と、
認証課金センタ装置から認証媒体の媒体IDに対する手形署名鍵を含む手形情報に必要なデータを媒体認証結果として取得すると、該媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を購入制御端末に送信する認証終了通知手段と、
購入制御端末から手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、媒体ID、手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、購入制御端末に送信する手形情報生成手段と、
認証課金センタ装置に対して媒体IDを含む媒体を特定し、認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を送信する媒体認証終了要求手段と、
認証課金センタ装置から媒体認証終了結果を取得すると、手形署名鍵を破棄する手形署名鍵破棄手段と、を有する。
【0023】
本発明(請求項8)は、媒体状態通知手段において、
認証媒体との接続解除を検知すると、認証課金センタ装置に該認証媒体の媒体IDに対応する手形署名鍵の破棄及び認証状態の破棄を要求するメッセージを送信する手段を含む
【0024】
本発明(請求項9)は、請求項3における課金システムを構成する課金ユニットが実行する課金プログラムであって、
課金ユニットとして動作するコンピュータに、
媒体IDが割り当てられた認証媒体が当該課金ユニットに接続されると、購入制御端末に、該媒体IDを含み、該認証媒体が接続されたことを示す媒体接続通知を送信する媒体状態通知ステップと、
購入制御端末を介して、認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により認証媒体に対する認証を行う相互・媒体認証ステップと、
認証課金センタ装置から認証媒体の媒体IDに対する手形署名鍵を含む手形情報に必要なデータを媒体認証結果として取得すると、該媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を購入制御端末に送信する認証終了通知ステップと、
購入制御端末から手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、媒体ID、手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、購入制御端末に送信する手形情報生成ステップと、
認証課金センタ装置に対して媒体IDを含む媒体を特定し、認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を送信する媒体認証終了要求ステップと、
認証課金センタ装置から媒体認証終了結果を取得すると、手形署名鍵を破棄する手形署名鍵破棄ステップと、を実行させる
【0025】
本発明(請求項10)は、請求項3における課金システムを構成する認証課金センタ装置が実行する課金プログラムであって、
認証課金センタ装置として動作するコンピュータに、
金ユニットから取得した認証要求に含まれる該課金ユニットの識別子を用いて該課金ユニットとの間で相互認証を行う相互認証ステップと、
認証が成功すると、認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、課金ユニットに送信するステップと、
販売サーバから課金要求を受信すると、該課金要求に含まれる手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する検査ステップと、
検査ステップにおいて検査が成功すると、販売サーバから指定された請求額分を媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、支払先IDに対する請求額分の精算を行うための処理を行う課金ステップと、
課金が成功すると課金成功通知を販売サーバに対して送信するステップと、
課金ユニットから認証状態の破棄及び手形署名鍵の破棄を要求する媒体認証終了要求を取得し、媒体認証終了領域から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を課金ユニットに通知するステップと、を実行させる。
【0026】
本発明(請求項11)は、請求項3における課金システムを構成する購入制御端末が実行する課金プログラムであって、
購入制御端末として動作するコンピュータに、
購入者の操作に従って、販売サーバに対してコンテンツを含む商品の購入要求を行う購入要求ステップと、
課金ユニットに対して、当該課金ユニットに接続された認証媒体に対する媒体認証要求と、手形情報の生成の要求を送信するステップと、
課金ユニットで生成された支払のための手形情報を販売サーバに送信するステップと、
を実行させる
【0027】
本発明(請求項12)は、請求項3における課金システムを構成する課金ユニットが実行する課金プログラムを格納した記憶媒体であって、
請求項9記載の課金プログラムを格納したことを特徴とする記憶媒体である。
【0028】
本発明(請求項13)は、請求項3における課金システムを構成する認証課金センタ装置が実行する課金プログラムを格納した記憶媒体であって、
請求項10記載の課金プログラムを格納したことを特徴とする記憶媒体である。
【0029】
本発明(請求項14)は、請求項3における課金システムを構成する購入制御端末が実行する課金プログラムを格納した記憶媒体であって、
請求項11記載の課金プログラムを格納したことを特徴とする記憶媒体である。
【0030】
上記のように、本発明では、購入者が事前に購入しておいた認証媒体を認証することにより得られた手形署名鍵によって生成される手形情報を販売サーバに払出し、販売サーバでは、手形情報と請求額と販売者を特定するIDを認証課金センタ装置に渡すことにより、認証媒体の残額(ポストペイドの場合には利用額)に対して課金要求をかけることが可能となり、成功した課金要求の情報を元に認証課金センタ装置から販売者に対して精算(支払)を行なうことで、結果的に認証媒体を持つ購入者から販売サーバを持つ販売者への支払が可能となるが、認証媒体の認証時には、課金ユニットからの課金ユニットIDを認証課金センタ装置へ通知し、課金ユニットIDに基づいた認証課金センタ装置と、課金ユニットとの相互認証を行い、認証が成功したときには、課金ユニット内に認証課金センタ装置から暗号化して送付される手形署名鍵を秘匿保持しておき、手形発行時に課金ユニット内で手形署名鍵を使用した手形情報の生成を行い、カード抜き取り時には課金ユニット内に秘匿保持されている手形署名鍵を破棄することで、以後手形情報の生成を不可能にすることができる。
【0031】
【発明の実施の形態】
以下に、本発明の一実施の形態について図面と共に説明する。
【0032】
図3は、本発明の一実施の形態におけるシステム構成を示す。
【0033】
同図に示すシステムは、複数の認証媒体10、複数の購入制御端末200、購入制御端末200毎に接続された課金ユニット100、複数販売サーバ400、1つの認証課金センタ300から構成される。
【0034】
このうち、認証媒体10は、課金ユニット100に接続されることによって使用可能な、個々の媒体を一意に特定できる識別子(媒体ID)が割り当てられたカードなどの媒体であり、認証課金センタ300から認証を受けることによって媒体IDに対する正当な媒体であることを保証するための機能を包含している。
また、購入制御端末200は、購入者の操作等に従い、販売サーバ400に対してコンテンツ等の商品の購入要求を行なう端末であり、購入要求を行なう際に、課金ユニット100に接続された認証媒体10の認証制御や手形情報の生成を課金ユニットに要求することで、生成された手形情報を販売サーバ400に送信するなど、媒体IDに関連付けられた残額(ポストペイドの場合には利用額)から販売サーバ400に対しての購入・支払制御を行なう端末である。
【0035】
また、販売サーバ400は、購入制御端末200からの要求に応じてコンテンツ等の商品の販売を行なうサーバであり、購入要求の際に受け取った手形情報を請求額と共に認証課金センタ300に渡して課金要求を行い、認証課金センタ300で課金成功時にコンテンツ等の商品の受渡しを行なうサーバである。
【0036】
なお、販売サーバを持つ販売者は、認証課金センタ300からの精算処理により請求額に対応した代金を受け取ることになる。
【0037】
また、認証課金センタ300は、認証媒体の媒体IDに関連づけられた残額(ポストペイドの場合には、利用額)を管理しているセンタであり、課金ユニット100からの要求により課金ユニットに接続された認証媒体の認証を行なうが、この際に課金ユニット100の識別子を受け取ると共に、識別子に対応して課金ユニット100との間で相互認証を行なう。また、認証課金センタ300は、販売サーバ400からの課金要求に応じて受け取った手形情報に対応する媒体IDに関連付けられた残額(ポストペイドの場合には利用額)に対して課金を行なう。また、認証課金センタ300では、精算により、販売サーバ400に対して課金額に対応した代金の支払を行なう。
【0038】
また、課金ユニット100は、認証媒体10接続(カード挿入)や認証媒体接続解除(カード抜き取り)等の認証媒体に関する情報を購入制御端末200に通知すると共に、購入制御端末200からの認証要求に従い、購入制御端末200を介して認証課金センタ300との間で接続された認証媒体10の認証を行なったり、購入制御端末200からの手形要求に従い、認証された認証媒体10に対する手形情報の生成を行なう装置である。
【0039】
なお、認証媒体10の認証時に課金ユニット100では、認証課金センタ300との間で相互認証を行なう。また、課金ユニット100と購入制御端末200は、同一場所に設置されることを前提としており、RS−232CやUSB(Universal Serial Bus)等の配線により接続される。
【0040】
次に、上記の構成における動作を説明する。
【0041】
図4は、本発明の一実施の形態におけるメッセージシーケンスチャートである。
【0042】
ステップ101) 認証媒体10が課金ユニット100に接続される。当該処理は、ステップ103以降の媒体認証処理を行なう前であればいつでもよい。
【0043】
ステップ102) 課金ユニット100では、認証媒体10が接続されると、購入制御端末200に認証媒体10が接続されたことを示すメッセージを送信する。なお、複数媒体の接続が可能な課金ユニットの場合には、媒体を特定するための情報も一緒に送信する。
【0044】
ステップ103) 次に、「媒体認証処理」で示した範囲で接続された媒体の認証を行なうが、当該処理のタイミングは、ステップ101とステップ109以降の「支払処理」の前であればいつでもよく、ステップ102の媒体接続通知を契機として行なったり、購入者から商品購入の指示が出てから行なったり、他のタイミングで行なってもよい。
【0045】
「媒体認証処理」として、まず、購入制御端末200から課金ユニット100に対して認証開始要求を送信することで接続された認証媒体10に対する媒体認証を要求する。なお、複数媒体の接続が可能な課金ユニットの場合には、ステップ102で受け取った媒体を特定するための情報も一緒に送信する。
【0046】
ステップ104) 課金ユニット100で認証開始要求を受け取ると、購入制御端末200を介して認証課金センタ300との間で相互認証を行なうと共に、認証媒体10に対する認証処理を行なう(購入制御端末200では、相互認証・媒体認証のためのメッセージの仲介を行なう)。認証媒体10に対する認証のためのデータは課金ユニット100で中継を行なうことで、認証課金センタ300と認証媒体10との間で送受信される。
【0047】
なお、認証媒体10に対する認証処理は、認証媒体10が包含する認証機能に応じた処理を行なうが、本認証処理により認証課金センタ300で認証媒体10の媒体IDと媒体が媒体IDに対する正当な媒体であることが確認できればよく、以下のような方法が考えられる。
【0048】
▲1▼ 媒体により、媒体IDと媒体IDに関連付けられた秘密データを保持し、認証課金センタ300でも媒体IDと、媒体IDに関連付けられた秘密データ(または、秘密データを確認できるデータ(復号化鍵等)を保持している。
【0049】
▲2▼ 認証時に媒体に保存されている媒体IDを認証課金センタ300へ送信し、媒体IDに関連付けられた秘密データの確認を行なう。秘密データの確認は、以下の幾つかの方法が考えられる。
【0050】
・秘密データも認証課金センタ300へ送信し、認証課金センタ300で秘密データを照合する(パスワード方式。秘密データ=パスワードと位置付けられる)。
【0051】
・認証課金センタ300から乱数データの送信を行い、媒体で秘密データを鍵として使用してメッセージ認証関数(ハッシュ関数など)やディジタル署名関数や暗号化関数など、作成したデータから秘密データが推測困難な方法により応答データの作成を行い、応答データを認証課金センタ300に返信することで、認証課金センタ300では、秘密データ(または、秘密データを確認できるデータ(復号化鍵など))を鍵とした応答データの確認を行なう(チャレンジ&レスポンス方式)。
【0052】
▲3▼ 必要性により、媒体IDの秘密データと、認証課金センタ300の秘密データ(または、秘密データを確認できるデータ(復号化鍵など))を更新する。
上記のような方法による媒体IDと媒体が媒体IDに対する正当な媒体であることの確認が考えられる。
【0053】
また、課金ユニット100と認証課金センタ300との相互認証は、課金ユニット100を特定することのできる識別子(ユニットID)を認証課金センタ300に送信すると共に、認証媒体10と同様の上記のチャレンジ&レスポンス方式などにより、課金ユニット100内部と認証課金センタ300内にユニットIDに対応した正しい秘密データが保持されているかを課金ユニット100と認証課金センタ300相互に確認する。
【0054】
ステップ105) 上記のステップ104で、課金ユニット100、認証課金センタ300、認証 媒体10の各認証が完了し、認証課金センタ300で媒体IDと媒体10が媒体IDに対応する正当な媒体であることが確認されると、媒体IDに対する手形署名鍵等の手形情報生成に必要なデータを生成し、媒体IDの媒体が認証中であることを示す認証セッション情報として保存すると共に、“媒体認証結果”として、“手形署名鍵”などの生成したデータを課金ユニット100に送信する。ここで、“手形署名鍵”と共に、“認証セッションID”を生成・保存・送信することで、以後、“媒体ID”の代わりに、“認証セッションID”を使用することが可能となり、媒体IDを購入制御端末200や販売サーバ400から秘匿することが可能となる。なお、手形署名鍵は、課金ユニット100以外に見られない形で暗号化して送付する必要がある。
【0055】
ステップ106) 認証課金センタ300は、手形署名鍵”などの受信したデータや媒体IDを、購入制御端末200を介して課金ユニット100に送信する。
【0056】
ステップ107) 課金ユニット100では、媒体認証結果として手形署名鍵などの受信したデータや媒体IDを、認証媒体10に対応する手形情報生成のためのデータとして保存する。なお、手形署名鍵は、暗号化されているため復号化して保存する。
【0057】
ステップ108) 課金ユニット100は、“認証終了通知”を購入制御端末200に送信することで認証が終了したことを通知する。
【0058】
次に、「支払処理」について説明する。
【0059】
支払処理では、手形情報の生成・払い出しによるコンテンツ等の商品購入に対する支払処理を行なうが、当該支払処理のタイミングは、ステップ108までの「媒体認証処理」の後で、「認証状態終了処理」の前であればいつでもよいが、通常は、購入者から商品購入の指示が出たときに行なう。
【0060】
また、「支払処理」で示した範囲の処理では、1回の「媒体認証処理」にたいして複数回行なうことが可能であり、つまり、1回の媒体認証で、複数の販売サーバ400への複数回の支払(複数の販売サーバから複数回の商品購入)が可能となっている。
【0061】
ステップ109) 「支払処理」では、まず、購入制御端末200から課金ユニット100に“手形要求”メッセージを送信することで、手形情報の要求を行なう。なお、複数媒体の接続が可能な課金ユニット100の場合には、ステップ102で受け取った媒体を特定するための情報も一緒に送信する。
【0062】
ステップ110) 課金ユニット100では、“手形要求”を受け取ると、1認証内での取引を特定する情報である手形発行IDの生成や、ステップ107で保存した媒体IDや、手形署名鍵等を使用した手形情報の生成を行なう。
【0063】
手形情報は、
・取引を特定する情報;
・署名情報;
からなり、ここで、“取引を特定する情報”は、媒体IDまたは、認証セッションID等の媒体を一意に特定できる情報と、媒体認証セッション内での取引を特定する情報である手形発行IDとからなる。また、“署名情報”は、認証を行なった課金ユニット100のみ知ることが可能な手形署名鍵を使って“取引を特定する情報”及び、支払額や支払先IDやコンテンツID等の取引を限定するパラメータに対して、暗号化や電子署名やメッセージ認証識別子生成等を行なうことによって生成されるメッセージ認証情報に対応する。
【0064】
ステップ111) ステップ110で手形情報が生成されると、生成された手形情報が課金ユニット100から購入制御端末200に渡される。
【0065】
ステップ112) 購入制御端末200は、販売サーバ400に対して支払のための情報である手形情報を送信することでコンテンツ等の商品の購入を要求する。
【0066】
ステップ113) 販売サーバ400では、手形情報を受け取ると、課金要求として、認証課金セン300に対して手形情報と商品の代金に相当する請求額と、精算時の支払先を特定する情報としての支払先IDを送信する。ここで、通常の場合、支払先IDは、販売サーバ00を持つ事業者を特定する情報である。
【0067】
ステップ114) 認証課金センタ300では、課金要求として、手形情報、請求額、支払先IDなどを受け取ると、まず、手形情報中の取引を特定する情報から媒体IDを特定し、特定された媒体IDに対応する認証セッション情報があるかを調べて媒体IDが認証中であるかを検査する。
【0068】
ステップ115) 認証中であれば、媒体IDに対応して生成・保存してある手形署名鍵を使用して手形情報内の署名情報が正しいか(言い換えると、取引を特定する情報が、及び手形情報内の取引を限定するパラメタが正しいか)を検査する。
【0069】
ステップ116) 手形情報検査で署名情報の検査が成功すると、販売サーバ400から指定された請求額分を、認証課金センタ300で媒体IDに対応して保持している残額(ポストペイドの場合には利用額)に対して課金を行なうと共に、精算情報を蓄えるなどの支払先IDに対する請求額分の精算を行なうための処理を行なう。ここで、認証課金センタ300で媒体IDに対するプリペイド残額を管理している場合には、残額(ポストペイドの場合には利用額)に対する課金は、プリペイド残額から減算することになり、認証課金センタ300がポストペイド方式の場合には、残額(ポストペイドの場合には利用額)に対する課金は、ポストペイドの精算額に加算されることになる。
【0070】
ステップ117) 課金が成功すると、課金要求の応答として、課金成功通知で認証課金センタ300から販売サーバ400に対して課金が成功したことを通知する。
【0071】
ステップ118) 販売サーバ400では、課金請求通知を受信すると、課金成功通知として購入制御端末200に課金が成功したことを知らせ、商品の受け取りの許可(商品購入許可)を与える。なお、課金成功通知と、商品購入許可は必ずしもなくてもよい。
【0072】
最後に、“認証状態終了処理”について説明する。当該処理は、認証媒体10に対する認証状態の破棄を行なう。当該認証状態終了処理が終わると、“支払処理”のステップ114の認証中検査が失敗するため、再度、“媒体認証処理”が行なわれるでは、認証媒体10に対する課金が不可能になる。
【0073】
ステップ119) 認証媒体10が課金ユニット100から接続解除された時等を契機として以下の処理を行なう。
【0074】
ステップ120) 認証媒体10が課金ユニット100から接続解除されたときには、課金ユニット100から購入制御端末200に対して認証媒体10の接続が解除されたことを通知する。
【0075】
ステップ121) 課金ユニット100内にあるステップ107で保存した認証媒体10に対応する手形情報生成のためのデータを削除する。
【0076】
ステップ122) 課金ユニット100は、媒体IDや認証セッションID等の媒体(または、認証セッション)を特定する情報を課金ユニット100から認証課金センタ300に送信する。
【0077】
ステップ123) 認証課金センタ300では、ステップ122で受信した媒体IDや認証セッションID等の媒体(または、認証セッション)を特定する情報により認証セションを検索して、検索された認証セッション情報を削除することで、媒体IDに対する認証状態の解除を行う。
【0078】
ステップ124) 認証課金センタ300は、認証状態が解除されたことを課金ユニット100に通知する。なお、当該処理は、必ずしも無くてもよい。
【0079】
また、図4に示した認証状態終了処理以外でも、以下のような方法により、認証状態を終了させてもよい。
【0080】
▲1▼ 認証課金センタ300において、事前に認証有効期間を設定する;
▲2▼ ステップ105の媒体IDの認証状態生成・保持から計測し、認証有効期間経過時の時刻に認証タイムアウトを設定する;
▲2▼ 認証タイムアウト時に、認証セション情報を削除することで、媒体IDに対する課金状態の解除を行なう。
【0081】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0082】
[第1の実施例]
本実施例のシステムは、認証媒体としてICカードを使用したプリペイド方式(プリペイドカード)のシステムを前提としており、購入者が商品購入前に事前にプリペイドカード(ICカード)を購入することで、プリペイドの残額分の金額をカード発行事業者に支払っていることを想定している。また、購入されたプリペイドの残額は、カード発行事業者で持つ(または、カード発行事業者から委託された)認証課金センタで管理していることを前提としている。つまり、購入者がプリペイドカードによる商品対価支払後に、課金認証センタの情報に基づき、カード発行事業者と販売者の間で精算を行なうことで、最終的に販売者への支払が行なわれるシステムを想定している。
【0083】
図5は、本発明の第1の実施例のシステム構成を示す。
【0084】
同図に示すシステムは、複数のICカード10、複数の購入制御端末200、購入制御端末200に接続される課金ユニット100、複数の販売サーバ400、及び1つの認証課金センタ300から構成される。
【0085】
このうち、ICカード10は、購入制御端末200と通信を行なう通信部11、認証課金センタ300からの認証メッセージに対する応答を生成することでカード認証を実行する認証応答部12と、個々のカードを一意に特定できる識別子であるカードIDやカード認証のための秘密データであるカード認証鍵などを保持するメモリであるカードデータ保持部13からなり、認証課金センタ300から認証を受けることによって、カードIDに対する正当なカードであることを保証するための機能を包含した、残額を持つプリペイドカードである。
【0086】
図6は、本発明の第1の実施例のICカードのカードデータ保存部内のデータの例である。カードデータ保存部13のデータは、個々のICカード10を一意に特定する識別子であるカードIDと、カード認証時に認証データの生成に使用するカード認証鍵からなる。カードIDの属性としては、外部からの読み出しは“可”であるが、書込みは“不可”であることが望ましい。また、カード認証鍵の属性としては、認証応答部12で認証データ生成時に利用できればよく、外部からの読み出し・書込み共に不可であることが望ましい。但し、認証成功時の特定の条件下で、認証課金センタ300からのカード認証鍵の更新が可能であることが望ましい。
【0087】
また、購入制御端末200は、購入制御部230から課金ユニット100への通信を仲介したり、認証課金センタ300への通信を通信部210を使用して仲介したり、メッセージにより課金ユニット100からの通信先を購入制御部230と認証課金センタ300とに振り分ける課金ユニットドライバ220と、インターネットなどのネットワーク500に接続され、認証課金センタ300や販売サーバ400との通信を行なう通信部210と、キーボタン装置やディスプレイ装置などの入出力手段を持ち、購入者からの操作等により課金ユニットドライバ220に対してICカード10の認証や手形情報生成の要求を行い、生成された手形情報を通信部210の仲介により販売サーバ400へ渡すことにより、商品の購入要求及び、支払処理を行なう購入制御部230とからなる。
【0088】
購入制御端末200は、課金ユニット100に挿入されたICカード10のプリペイド残額から販売サーバ400への支払制御を行なうことで、購入者に対してコンテンツ等の購入サービスを提供する端末である。
【0089】
なお、購入制御端末200は、複数設置されることを前提としており、例えば、該当に設置されるキオスク(Kiosk)端末のようなのであったり、家庭内に設置されるパソコンであったり、その他任意の場所に設置されるコンテンツや商品購入の申込み(及びダウンロード)端末である。
【0090】
また、販売サーバ400は、インターネットなどのネットワーク500に接続され、購入制御端末200や認証課金センタ300との通信を行なう通信部310と、購入制御端末200からの商品の購入要求を受け付け、購入要求受付時に受け取った手形情報を認証課金センタ300に送付することで課金要求を行い、課金要求の結果から購入制御端末200に対して、商品の受け取りのための許可情報の送信やコンテンツダウンロードを行なう等の、コンテンツ等の商品販売の課金制御を行なうサーバである。
【0091】
なお、販売サーバ400を持つ販売者は、認証課金センタ300からの精算処理により、販売額に対応した代金を受け取ることになるが、精算時の確認のための情報を蓄える精算ログDB430を持つこともある。
【0092】
また、販売サーバ400が、コンテンツを販売するサーバであれば、販売するコンテンツを蓄積しているコンテンツDB等440を持つこともある。
【0093】
なお、販売サーバ400は、複数設置されることを許容し、基本的には販売業者毎に設置されることを想定している。
【0094】
また、認証課金センタ300は、インターネットなどのネットワーク500に接続され、購入制御端末200を介した課金ユニット100や販売サーバ400との通信を行なう通信部310と、ICカード10のプリペイド残額やカード認証のための情報をカードID毎に管理しているカードバリュー管理DB340と、課金ユニット100の識別子であるユニットIDや相互認証のための情報や暗号化通信のための情報を課金ユニット毎に管理している課金ユニット管理DB350と、購入制御端末200からのカード認証要求に従い、ICカード10の認証や課金ユニット100との相互認証を行なったり、販売サーバ400からの課金要求に従い手形情報の確認を行なうことで、プリペイド残額に対して課金を行なう認証セッション管理部320、認証セッション管理部320での課金成功時に支払先への精算のための処理を行なう精算部440からなる。
【0095】
なお、精算部(精算ログDB)430での精算方式には、
・精算部(精算ログDB)430で精算ログを保持し、あるタイミング(月締め等)になったときに集計をして精算を行なう;
・リアルタイムにオンラインで銀行振込等により支払先(口座番号など)への支払を行なう;
等が考えられるが、本実施例では、精算部430で精算ログを保持しておき、精算ログに基づき支払先に対する支払を行なう精算方式を前提として説明を行なううが、支払先への具体的な支払方式は、本発明の範囲外であるので言及しない。
図7は、本発明の第1の実施例の認証課金センタ内のカードバリュー管理DBの例を示す。
【0096】
カードバリュー管理DB340のデータは、個々のICカード10を一意に特定する識別子であるカードIDと、カードIDに対する残額であるプリペイド残額と、カード認証時に認証データの生成に使用するカード認証鍵からなる。
【0097】
図8は、本発明の第1の実施例の認証課金センタ内の課金ユニット管理DBの例を示す。
【0098】
課金ユニット管理DB350のデータは、個々の課金ユニット100を一意に特定する識別子であるユニットIDと、認証課金センタ300から課金ユニット100を認証するための鍵である課金ユニット認証鍵と、課金ユニット100から認証課金センタ300が認証されるための鍵である認証課金センタ認証鍵と、課金ユニットと認証課金センタとの通信を暗号化・復号化するための暗号鍵からなる。
【0099】
図9は、本発明の第1の実施例の認証課金センタ内の精算ログDBの例を示す。
【0100】
精算ログDB430のデータは、支払先(通常は販売者)を一意に特定する識別子である支払先IDと、支払先IDに対する各取引による支払額の合計である精算額と、情報購入者のカードから販売者に対する支払記録であり、カードIDと手形情報と支払額とコンテンツID等の取引及び取引の内容と取引場所にあたるユニットIDを特定する取引リストとからなる。
【0101】
また、課金ユニット100は、購入制御端末200に接続され、購入制御端末200や認証課金センタ300との通信を行い、通信内容に従って、認証課金センタ300との相互認証や、ICカード認証を制御すると共に、認証結果に基づき、手形情報の生成を行なう認証・課金処理部140と、ICカード10の挿入・抜き取りを検知し、挿入されているカードとの通信を行なうことによって、カード内データの読み書きやカード認証を行なう機能を持つカードリーダ/ライタ110と、課金ユニット100の識別子であるユニットIDや相互認証のための情報(課金ユニット認証鍵、認証課金センタ認証鍵)や暗号化通信のための情報(暗号鍵)を外部から参照できない形で保持している秘匿保持部120と、認証課金センタ300の認証に使用する乱数を生成する乱数生成部130とからなる。
【0102】
このうち、乱数生成部130は、ソフトウェア的に構成してタイマなどを種にした疑似乱数生成関数であったり、熱雑音等をA/Dコンバータなどで取得することで乱数とするなどハードウェア的に構成する方法でもよい。また、秘匿保持部120で保持する情報は、認証課金センタ300の課金ユニット管理DB350と課金ユニット100の秘匿保持部120の両方に設定される。なお、ユニットIDは、課金ユニットを特定する識別子であるため、すべての課金ユニットに対して一意でなければならないが、他の課金ユニット認証鍵・認証課金センタ認証鍵・暗号鍵は、疑似乱数生成関数で生成される乱数等でよい。また、認証・課金処理部140との間の通信は外部から参照されない形で実装されるのが好ましく、乱数生成部130と秘匿保持部120と認証・課金処理部140をまとめて、外部からの読み出しや書込みが不可能なマスクロム等のメモリを備えたワンチップマイコンなどにより実現できる。外部からの読み出しや書込みが不可能なマスクロム等のメモリには、認証・課金処理部140の処理手順と秘匿保持部120の情報が書き込まれることになる。
【0103】
次に、上記の構成における動作を説明する。
【0104】
図10は、本発明の第1の実施例の認証処理のメッセージシーケンスチャートを示す。
【0105】
ステップ201) まず、課金ユニット100に対してICカード10が挿入される。
【0106】
ステップ202) 課金ユニット100は、購入制御端末200にカード装置通知のメッセージを送信する。
【0107】
ステップ203) ここでは、購入制御端末200はカード挿入通知を受け取ると、認証開始要求を課金ユニット100に送信することで、ステップ204以降の“ICカード認証・課金ユニット認証・認証課金センタ認証処理”で示した範囲の処理を開始するが、必ずしもカード挿入通知を受け取った時点で当該処理を行なう必要はなく、購入制御端末200でのユーザ操作などを契機として行なってもよい。
【0108】
『ICカード認証・課金ユニット認証・認証課金センタ認証処理』は、購入制御端末200から認証開始要求を課金ユニット100に送信することで開始される。
【0109】
ステップ204) 課金ユニット100は、認証開始要求を受け取ると、挿入されているICカード10に対してカードIDの読み出しコマンドを送信する。
ステップ205) ICカード10は、カードデータ保持部13に保持しているカードIDを読み出し、課金ユニット100に送信することで、挿入されたICカード10のカードIDの読み出しを行なう。
【0110】
ステップ206) 課金ユニット100では、カードIDの読み出しが終わると、認証課金センタ300を認証するためのデータ(認証課金センタチャレンジ)を乱数生成部130により生成される乱数として生成し、後述するステップ213の認証課金センタレスポンス検査の処理まで保持する。
【0111】
ステップ207) 課金ユニット100は、購入制御端末200の課金ユニットドライバ220と通信部210を介して認証課金センタ300に向けてICカード認証要求を送信することで、挿入されたICカード10に対するカード認証を要求するが、この際に、秘匿保持部120で保持されている暗号鍵で暗号化したカードIDと、秘匿保持部120で保持しているユニットIDと、生成した認証課金センタチャレンジを送信する。但し、カードIDは必ずしも暗号化する必要はなく、カードIDを購入制御端末200に知られたくない場合に暗号化すればよい。なお、ここでは、暗号化関数は、課金ユニットと認証課金センタで共通の暗号鍵を保持している共通鍵暗号化方式を前提として記述しているが、課金ユニット100と認証課金センタ300で対の鍵を持つことで公開鍵暗号化方式にすることも可能である。なお、暗号化方式は、鍵がわからない限り容易に原文や鍵を類推されない方式であれば何でもよい。
【0112】
ステップ208) 認証課金センタ300では、ICカード認証要求を受け取ると、認証ユニット管理DB350で保持している暗号鍵を使用してカードID・ユニットID・認証課金センタチャレンジを復号化する。
【0113】
ステップ209) 認証課金センタ300の課金ユニット管理DB350でユニットIDに対して保存されている認証課金センタ認証鍵を使用し、復号化された認証課金センタチャレンジに対する認証のための計算を認証セッション管理部320で行い、認証課金センタレスポンスの生成を行なう。
【0114】
ここで、認証セッション管理部320で行なう認証課金センタレスポンスの生成の例を示す。
【0115】
図11は、本発明の第1の実施例の認証課金センタレスポインス計算方法の例を示す。同図に示す例で、課金ユニット管理DB350でユニットIDに対して保存されている認証課金センタ認証鍵を暗号化鍵とし、課金ユニット100で生成した認証課金センタチャレンジを入力メッセージとしたMAC関数により、MAC(メッセージ認証子)としての認証課金センタレスポンスを得ている。MAC関数は、暗号化関数を使用したメッセージ識別子生成方式を前提としており、国際標準規格であるISO9797で定義されているようなMAC(message authentication code: メッセージ認証子) 生成関数等が使用できる。
【0116】
また、認証課金センタレスポンス生成処理で、認証課金センタ認証鍵を使用していることを証明できる情報として認証課金センタレスポンスが作成できれば、図11の例以外の方法であってもよく、例えば、認証課金センタ認証鍵と認証課金センタチャレンジを連結して一方向性ハッシュ関数に通した結果を認証課金センタレスポンスとしたり、認証課金センタ認証鍵を鍵とした非対称(公開鍵)暗号方式を使用したディジタル署名等を認証課金センタレスポンスとして使用しても構わない。但し、非対称暗号方式を使用する場合には、認証課金センタ300で保持する認証課金センタ認証鍵を認証鍵とし、課金ユニット100で保持する認証課金センタ認証鍵を検証鍵として、それぞれでペアとして関連付けられてはいるが、異なるデータの鍵を使用する必要がある。
【0117】
ステップ210) 次に、認証課金センタ300は、課金ユニット100を認証するためのデータ(課金ユニットチャレンジ)を疑似乱数生成関数などにより生成される乱数として生成し、ステップ213まで保持する。
【0118】
ステップ211) 認証課金セン300は、疑似乱数生成関数等を使用して乱数を生成する。
【0119】
ステップ212) 認証課金センタ300は、計算された認証課金センタレスポンスと、生成した課金ユニットチャレンジと、生成した乱数を計算要求として購入制御端末200の通信部210と課金ユニットドライバ220を介して課金ユニット100に送信する。
【0120】
ステップ213) 課金ユニット100では、認証課金センタ300から受け取った計算要求メッセージ中の認証課金センタレスポンスを取り出し、認証課金センタチャンレンジと秘匿保持部120で保持している認証課金センタ認証鍵を使用した認証課金センタ300でのステップ210の認証課金センタレスポンス生成処理と同じ計算を認証課金処理部140で行い、認証課金センタ300から受け取った認証課金センタレスポンスと計算の結果を比較して、双方が同じであれば、認証課金センタの認証が成功したものとし、以下の動作を続行するが、計算の結果が異なれば、認証課金センタの認証が失敗したものとして、認証処理を中止する。
【0121】
ステップ214) 課金ユニット100は、認証課金センタレスポンス検査が成功すると、計算要求に含まれる乱数をカード計算要求としてICカード10に転送する。
【0122】
ステップ215) ICカード10は、計算要求を受け取ると、応答計算として、受け取った乱数に対する計算を認証応答部12で行なう。
【0123】
以下に認証応答部12における応答計算について説明する。
【0124】
図12は、本発明の第1の実施例のICカード認証応答計算方法(その1)である。同図の例では、応答計算に使用するパラメータとして認証課金センタで生成した乱数と、カードデータ保持部13で保持するカード認証鍵を使用し、乱数を暗号化関数への入力文とし、カード認証鍵を暗号化鍵として使用することで、得られた暗号化結果を応答計算の計算結果としている。
【0125】
ここで、暗号化関数は、入力文である乱数から計算結果を推測したり、入力文である乱数と出力文である計算結果からカーポド認証鍵を推測したりする事が困難な方式であればなんでもよい。
【0126】
もう一つの認証応答部12で行なう計算の例を以下に示す。
【0127】
図13は、本発明の本発明の第1の実施例のICカード認証応答計算方法(その2)である。同図の例では、図12の例と同様に応答計算に使用するパラメータとして、認証課金センタ300で生成した乱数と、カードデータ保持部13で保持するカード認証鍵を使用し、カード認証鍵と乱数を結合して、一方向性ハッシュ関数の入力として使用することで、得られた出力結果を応答計算の計算結果としている。
【0128】
ここで、一方向性ハッシュ関数は、計算結果と入力文の一部である乱数から、入力文の他の一部であるカード認証鍵を推測することが困難な方式であればなんでもよく、MD5関数,SHA関数等を使用することが可能である(一方向性ハッシュ関数、MD5,SHAに関する参考文献:岡本英司著、「暗号理論入門:共立出版、1993)。
【0129】
また、認証応答部12で行なう計算は、図12や図13に示した以外の方法でもよく、カード毎に秘匿されて、設定されるカード認証鍵を使用することで、入力の乱数から計算結果の推測が困難な計算方式であればなんでもよい。特に、ICカード媒体を安価に製造するためには簡単な論理で計算できるものの方が望ましく、媒体の製造コストと安全性(計算結果の推測困難性)から方式を決定すればよい。
【0130】
ステップ216) ICカード10では、応答計算による計算結果が得られると、カーッド計算要求応答として、計算結果を課金ユニット100に送信する。
ステップ217) 課金ユニット100では、カード計算要求応答が得られると、秘匿保持部120で保持している課金ユニット認証鍵を使用し、ステップ211で取得した課金ユニットチャレンジに対する認証のための計算を認証・課金理部140で行い、課金ユニットレスポンスの生成を行なう。
【0131】
ここで、認証・課金処理部140で行なう課金ユニットレスポンス生成の例を説明する。
【0132】
図14は、本発明の第1の実施例の課金ユニットレスポンス計算方法の例を示す。同図の例では、認証・課金処理部140で保持する課金ユニット認証鍵を暗号化鍵とし、認証課金センタ300で生成した課金ユニットチャレンジを入力メッセージとしたMAC関数により、MAC(メッセージ識別子)としての課金ユニットレスポンスを得ている。MAC関数は、暗号化関数を使用したメッセージ識別子生成方式を前提としており、国際基準規格であるISO9797で定義されている様なMAC(message authentication code: メッセージ識別子) 生成関数等が使用できる。
【0133】
また、課金ユニットレスポンス生成処理においては、課金ユニット認証鍵を使用していることを証明できる情報としての課金ユニットレスポンスが作成できれば、図14以外の方法であってもよく、例えば、課金ユニット認証鍵と課金ユニットチャレンジを連結して一方向性ハッシュ関数に通した結果を課金ユニットレスポンスとしたり、課金ユニット認証鍵を鍵とした非対称(公開鍵)暗号方式を使用したディジタル署名等を課金ユニットレスポンスを使用しても構わない。但し、非対称暗号方式を使用する場合には、課金ユニットで保持する課金ユニット認証鍵を認証鍵とし、認証課金センタ300で保持する課金ユニット認証鍵を検証鍵として、それぞれペアとして関連付けられてはいるが、異なるデータの鍵を使用する必要がある(課金ユニットレスポンスの生成は、認証課金センタレスポンスの生成と同様である)。
【0134】
ステップ218) 課金ユニット100は、計算要求応答として、購入制御端末200の課金ユニットドライバ220と通信部210を介して課金ユニットレスポンスと計算結果を認証課金センタ300へ送信する。
【0135】
ステップ219) 認証課金センタ300では、計算要求応答から課金ユニットレスポンスが得られると、課金ユニットレスポンス検査処理として、課金ユニットチャレンジとICカード認証要求で受け取ったユニットIDに対して課金ユニット管理DB350で保持している課金ユニット認証鍵を使用した、課金ユニット100におけるステップ217での課金ユニットレスポンス生成処理と同じ計算を認証セッション管理部320で行い、課金ユニット100から受け取った課金ユニットレスポンスと計算結果を比較して、双方が同じであれば、課金ユニットの認証が成功したものとし、以下の動作を続行するが、計算の結果が異なれば、課金ユニットの認証が失敗したものとして認証処理を中止する。
【0136】
ステップ220) 次に、認証課金センタ300では、認証セッション管理部320により、ステップ211の乱数生成処理で生成した乱数とカードバリュー管理DB340に保存してあるカードIDに対応するカード認証鍵を使用した、ICカード10のステップ215の応答計算と同じ計算を行い、ICカード10から課金ユニット100を経由して受け取った計算結果と認証セッション管理部320で比較して、双方の計算結果が同じであれば、カード認証が成功したものとし、計算結果が異なれば、カード認証が失敗したものとする。
【0137】
ステップ221) カード認証が成功すると、認証課金センタ300では、カードIDに対する認証セッションIDや手形署名鍵等の手形情報生成に必要なデータをICカード認証結果として生成する。
【0138】
ステップ222) カードIDに対して生成した、認証セッションIDと、手形署名鍵とカードバリュー管理DB340でカードIDに対応して管理されているプリペイド残額と、認証課金センタ300で管理している認証有効期間とを、課金ユニット管理DB350にユニットIDに対応して保持している暗号鍵で暗号化して購入制御端末200を介して課金ユニットに送信する。
【0139】
ステップ223) 認証課金センタ300では、ICカード認証結果を課金ユニット100に送信すると共に、カードIDが認証済であることを示す認証セッション情報として、ICカード認証要求で受け取ったユニットIDと共に、認証セッション管理部320に保持する。なお、ここでは、認証セッションDI・手形署名鍵、プリペイド残額・認証有効期限を送信するときに暗号化して送信しているが、認証セッションIDとプリペイド残額と認証有効期限は必ずしも暗号化する必要はないが、手形署名鍵は課金ユニット100以外に知られないように暗号化する必要がある。なお、ここでは、暗号化関数は、課金ユニット100と認証課金センタ300で共通の暗号鍵を保持している共通鍵暗号化方式を前提として記述しているが、課金ユニットと認証課金センタで対の鍵を持つことで、公開鍵暗号化方式にすることも可能である。なお、暗号化方式は、鍵がわからない限り容易に原文や鍵を類推されてない方式であればなんでもよい。
【0140】
ここで、認証課金センタ300における認証セッション情報の例を示す。
【0141】
図14は、本発明の第1の実施例の認証課金センタにおける認証セッション情報の例を示す。同図の例では、認証課金センタの認証セッション情報は、カードIDと認証セッションIDと手形署名鍵と認証タイムアウト時間と使用済手形発行IDリストとユニットIDからなる。
【0142】
このうち認証セッションIDは、認証セッション管理部320で生成される認証を一意に特定する識別子であり、他の認証セッション情報と重ならないように生成されればよく、認証セッション管理部320で管理するシリアル番号により割り振るなどの方法で生成できる。
【0143】
また、手形署名鍵は認証セッションIDに対して生成される、認証セッション中に手形情報の確認に使用される鍵であり、課金ユニット100以外の第三者から推測されない形で生成されればよく、疑似乱数生成関数により生成される乱数を使用するなどの方法がとれる。
【0144】
また、認証タイムアウト時間は、認証セッション情報を生成した時刻(現在時刻)から、認証課金センタ300に任意に設定されている認証有効期間経過した時点の時刻であり、認証タイムアウト時間に到達した時点で、当該認証セッション情報を破棄することになる(または、認証セッション情報を無効とする)。
【0145】
ステップ224) 課金ユニット100では、ICカード認証結果を受信し、暗号化された認証セッションIDと手形署名鍵とプリペイド残額と認証有効期間を受信すると、受信したデータを復号化して、認証・課金処理部140に手形情報生成のためのデータである認証セッション情報として保存する。
【0146】
ステップ225) 課金ユニット100は、受信したプリペイド残額を購入制御端末200に送信することで、認証が終了したことを通知する。
【0147】
ステップ226) 購入制御端末200では、認証終了通知を受け取ると、受信したプリペイド残額を購入制御部230のディスプレイ装置などにより表示することでユーザに提示する。
【0148】
図16は、本発明の第1の実施例の課金ユニットにおける認証セッション情報の例を示す。同図に示す例では、課金ユニット100の認証セッション情報は、カードIDと手形発行可能額と認証セッションIDと手形署名鍵と認証タイムアウト時間と次回手形発行IDからなる。なお、例では、1つの認証セッション情報となっているが、複数のカードを同時に扱うことのできるカードリーダ/ライタを持つ課金ユニット(非セッション型カードなどの場合)では複数のカードIDに対する認証セッション情報を保持してもよい(ここで、複数んカードを同時に扱えるカードリーダ/ライタ110を使用し、複数の認証セッション情報を管理できる課金ユニットの場合には、引き抜かれたカードのカードIDに対応する認証セッション情報を特定したり、通信対称のカードを特定するために、カードリーダ/ライタ110では、カード挿入時及びカード引抜き時に、カードリーダ/ライタ110がカードを特定する情報を認証・課金処理部140に出力する必要があり、ICカード10との通信時には、カードリーダ/ライタ110がカードを特定する情報を指定して通信する必要がある。また、カード挿入通知や、カード引抜き通知は、認証開始要求等、購入制御端末200と課金ユニット100との通信においてもカードリーダ/ライタがカードを特定する情報をやりとりする必要がある。また、認証・課金処理部140でカードIDに関連して、カードリーダ/ライタ110がカードを特定する情報を管理しておくことで、カード引抜き時に引き抜かれたカードのカードID及び認証セッション情報を特定することが可能となる)。
【0149】
ここで、手形発行可能額は、ステップ222において認証課金センタ300から受信したICカード認証結果のプリペイド残額が初期値として設定され、手形情報の販売サーバ400への払出し毎に支払額分減算することで、プリペイド残額の把握を行なう。
【0150】
また、認証セッションIDと手形署名鍵は、ステップ222において認証課金センタ300から受信したデータである。
【0151】
また、認証タイムアウト時間は、認証セッション情報を生成した時刻(現在時刻)からステップ222で受信したICカード認証結果の認証有効期間経過した時点の時刻であり、認証タイムアウト時間を超えたときには、認証セッション情報が無効であると判断する。
【0152】
また、次回手形発行IDは、次回に生成する手形情報中の手形発行IDを示しており、手形情報(手形発行ID)を生成する毎に、1づつ加算していく。新たに認証セッション情報が保存されたときには、初期値として0などが設定される。
【0153】
なお、課金ユニットレスポン検査(課金ユニット認証)や計算結果照合(カード認証)が失敗した場合には、ステップ221、ステップ223は行なわずに、ステップ222で認証失敗を通知し、認証失敗を受け取った購入制御端末200でもステップ224の認証セッション情報の保存は行なわない(課金ユニット)。
【0154】
次に、上記の購入・支払処理について詳細に説明する。
【0155】
図17は、本発明の第1の実施例の支払処理・認証状態終了処理のメッセージシーケンスチャートである。
【0156】
同図において、購入・支払処理で示した範囲で、手形情報の生成・払い出しによるコンテンツ等の商品購入及び支払処理を行なうが、購入・支払処理のタイミングは、ICカード認証処理の後で、認証状態終了処理の前であればいつでもよいが、通常は、購入者から商品購入の指示が出たときに行なう。
【0157】
また、購入・支払処理で示した範囲の処理は、1回のICカード認証処理に対して複数回行なうことが可能であり、つまり、1回のカード認証で、複数の販売サーバ400への複数回の支払(複数の販売サーバから複数回の商品購入)が可能となっている。
【0158】
本実施例の購入・支払処理では、手形情報生成等の支払処理を行なう前に、購入対象の商品の情報(コンテンツID、価格、支払先ID等)を入手しておき、購入者からの購入指示があることを前提としており、購入する商品はダウンロードコンテンツであることを前提としている。
【0159】
ステップ301) まず、購入制御端末200では、販売サーバ400からコンテンツ名・コンテンツID・価格・支払先ID等からなるコンテンツ情報のメニューリストを入手する。
【0160】
ステップ302) 入手したメニューリストを購入制御部230のディスプレイ装置などに表示することで購入者の入力を促進する。
【0161】
ステップ303) 購入制御部230のキーボタン装置等により購入者から購入コンテンツの指定がされる。
【0162】
ステップ304) 購入制御端末200は、課金ユニットに対して手形要求として、コンテンツIDと支払先IDとコンテンツの価格である支払額とを送信し、支払処理に入る。
【0163】
ステップ305) 課金ユニット100で手形要求として、コンテンツIDと支払先IDと支払額を受け取ると、認証セッション情報の認証セッションIDと手形署名鍵と次回手形発行IDを読み出し、認証・課金処理部140で手形署名の作成を行なうことで、手形情報を生成すると共に、認証セッション情報の手形発行可能額から購入コンテンツの価格である支払額を減算し、次回手形発行IDに1加算する。但し、当該認証セッション情報の認証タイムアウト時間を超えているときには、手形情報を作成しても手形情報による課金ができないため、手形情報の生成は行なわずに、手形情報でエラーを返す。
【0164】
なお、複数のカードに対応した課金ユニット100の場合には、購入制御端末200でICカード10を指定して手形要求を行なうことになるが、認証・課金処理部140で保持する認証セッション情報が複数あるとき(複数のカードが認証済の時)の購入制御端末200におけるカードの選択は、
・早く挿入されたカードを選ぶ;
・残額の少ないカードを選ぶ;
・残額の多いカードを選ぶ;
等のルールや、他のルールによっても構わない。
【0165】
図18は、本発明の第1の実施例の手形情報の例を示す。同図に示す例では、手形情報は、認証セッションIDと手形発行IDと手形署名からなり、認証セッションIDには、認証セッション情報から読み出した認証セッションIDが入り、手形発行IDには、認証セッション情報から読み出した次回手形発行IDが入り、手形署名には認証・課金処理部140で作成する手形署名が入る。
【0166】
図19は、本発明の第1の実施例の認証・課金処理部における手形署名作成方法の例を示す。同図に示す例では、手形署名を作成するためのパラメータとして、手形署名鍵・認証セッションID・手形発行ID・支払先ID・支払額・コンテンツIDを使用し、各パラメータを結合したデータを一方向性ハッシュ関数に入力することで、入力文に対するメッセージ認証子としての手形署名を得ている。一方向性ハッシュ関数は、計算結果から入力文のカード認証鍵を推測することが困難であり、逆にカード認証鍵を知らなければ別の入力文と手形署名のペアの作成が困難な方式であればなんでもよく、MD5関数、SHA関数等を使用することが可能である。また、パラメータとしては、上記以外にもユニットIDや課金ユニット認証鍵等を追加して使用してもよい。
【0167】
ここで、手形署名鍵・認証セッションID・手形発行IDは、認証セッション情報から読み出したデータであり、支払元(課金先)のカードを証明する情報となっている。
【0168】
また、支払先ID・コンテンツIDは、販売サーバ400から受け取った購入コンテンツの情報であり、または、支払先にはコンテンツの購入コンテンツの価格を入れ、これら支払先ID・コンテンツID・支払額は取引の内容を限定する情報となっている。
【0169】
図20は、本発明の第1の実施例の手形署名生成方法の例(その2)を示す。同図の例では、図19の例と同様に、手形署名を作成するためのパラメータとし、手形署名鍵・認証セッションID・手形発行ID・支払先ID・支払額・コンテンツIDを使用し、手形署名鍵を暗号化鍵とし、他のパラメータを結合したデータを入力メッセージとしたMAC関数により、MAC(メッセージ認証子)としての手形署名を得ている。MAC関数は、暗号化関数を使用したメッセージ識別子生成方式を前提としており、国際標準規格であるISO9797で定義されているようなMAC(messeage authentication code:メッセージ認証子)生成関数等が使用できる。また、パラメータとしては上記以外にもユニットIDや課金ユニット認証鍵等を入力メッセージ等に追加して使用してもよい。
【0170】
また、手形署名作成方法は、認証セッションID・手形発行ID・支払先ID・支払額・コンテンツIDが改ざんされていないことを証明できる情報としての手形署名が作成できれば、図19及び図20の例以外の方法であってもよく、例えば、手形署名鍵を鍵とした非対象(公開鍵)暗号方式を使用したディジタル署名等を使用しても構わない。ただし、非対象暗号方式を使用する場合には、課金ユニットで保持する手形署名鍵を認証鍵とし、認証課金センタ300で保持する手形署名を検証鍵として、それぞれペアとして関連付けられてはいるが異なる鍵を使用する必要がある。
【0171】
ステップ306) ステップ305で手形情報が生成されると、生成された手形情報を課金ユニット100から購入制御端末200に送信する。
【0172】
ステップ307) 購入制御端末200では、販売サーバ400に対して、購入コンテンツを指定するコンテンツIDと、支払のための情報である手形情報とを送信することで、コンテンツ購入を要求する。
【0173】
ステップ308) 販売サーバ400では、コンテンツIDと手形情報を受け取ると、認証課金センタ300に対して手形情報と、精算時の支払先を特定する情報としての支払先IDと、コンテンツの価格に相当する請求額と、コンテンツIDを送信する。
【0174】
ここで、請求額は、ステップ301で購入制御端末200に送信したコンテンツの価格と同額でなければならず、支払先IDもステップ301で購入制御端末200に送信した支払先IDでなければならない(他の値を入れると課金に失敗する)。なお、通常の場合、支払先IDは、販売サーバ400を持つ事業者を特定する情報である。
【0175】
ステップ309) 認証課金センタ300では、課金要求として、手形情報、支払先ID、請求額、コンテンツIDを受け取ると、まず、手形情報中の認証セッションIDを認証セッション管理部320で保持している認証セッション情報から検索し、該当する認証セッション情報がある場合には、現在時刻が認証タイムアウト時間前であるかを調べる。
【0176】
該当する認証セッション情報があり、認証タイムアウト時間前であったときには、要求された手形情報に対する認証が有効であると判断し、次のステップに移行する。逆に、該当する認証セッション情報がなかったり、あったとしても認証タイムアウト時間を過ぎている場合には、販売サーバ400に対して課金失敗を通知し、処理を終了する。
【0177】
ステップ310) 手形情報中の手形発行IDが検索された該当する認証セッション情報の使用済手形発行IDリストに登録されていないかを検査し、もし登録されていれば、既に課金済の手形情報であると判断し、販売サーバ400に対して課金失敗を通知し、処理を終了する。
【0178】
手形発行IDが登録されていないときには、検索された該当する認証セッション情報の手形署名鍵と、販売サーバ400から受信した手形情報、支払先ID、請求額、コンテンツIDを使用して、手形情報中の手形署名の検査を行なう。
【0179】
手形署名の検査では、課金ユニットでの手形署名作成時と同じ手順で手形署名鍵、手形情報中の認証セッションID・手形情報中の手形発行ID・支払先ID・請求額(手形署名作成時の支払額)・コンテンツIDをパラメータとして手形署名を作成し、手形情報中の手形署名と作成された手形署名が同じであるかを比較する。
【0180】
ここで、手形情報中の手形署名と作成された手形署名が異なる場合には、手形情報または、販売サーバ400から指定された情報が不正であると判断し、販売サーバ400に対して課金失敗を通知し、処理を終了する。
【0181】
手形情報中の手形署名と作成された手形署名が同一の場合には、次のステップに移行する。
【0182】
ステップ311) 認証課金センタ300は、手形情報中の手形発行IDをステップ309で検索された認証セッション情報の使用済手形発行IDリストに登録すると共に、ステップ309で検索された認証セッション情報のカードIDに対応して、カードバリュー管理DB340で管理されているプリペイド残額から販売サーバ400から受け取った請求額分を減算する。ここで、プリペイド残額が請求額を下回る場合には、請求額分の課金が不可能であると判断し、販売サーバ400に対して課金失敗を通知し、処理を終了する。
【0183】
プリペイド残額の計算ができたら、認証セッション管理部320から精算部440に対して、当該カードIDと販売サーバ400から受信した手形情報・支払先ID・請求額・コンテンツIDを渡すことで、精算部440では精算部内で管理する精算ログDB430の当該支払先IDに対応して、取引リストとして手形情報・請求額・コンテンツID・認証セッション情報のユニットIDの情報を追加し、精算額に請求額分を加算する。
【0184】
ステップ312) 課金が成功すると、課金要求の応答として、認証課金センタ300から販売サーバ400に対して課金が成功したことを通知する。
【0185】
ステップ313) 販売サーバ400では、課金成功通知を受信すると、購入制御端末200に対して要求されたコンテンツの配信を開始する。
【0186】
最後に、認証状態終了処理について説明する。
【0187】
最後に図17に示す“認証状態処理”で示される範囲において、ICカード10に対する認証状態の破棄を行なう。当該認証状態終了処理が行なわれると、課金ユニット内の対象カードの認証セッション情報が削除されるため、対象カードに対する手形情報の生成を行なうことができなくなる。また、認証課金センタ300の対象カードの認証セッション情報も削除されるため、支払処理の認証中検査が失敗し、再度、ICカード認証処理が行なわれるまでは対象カードに対する課金が不可能となる。
【0188】
なお、本実施例の説明では、カード引抜きを契機として認証状態終了処理を記述しているが、カード引抜き以外でも、ユーザからサービス終了等の指示があり、課金ユニットに認証状態終了を示すメッセージが送られたとき、等を契機として認証状態終了処理を行なってもよい。
【0189】
ステップ314) ICカード認証処理により認証済のカードが引き抜かれるステップ315) 課金ユニット100内のカードリーダ/ライタ110によりカード引抜きが検知され、課金ユニット100では、購入制御端末200に対して、カード引抜き通知のメッセージを送信することで、カード引抜きを通知する。このとき、複数のカード対応の課金ユニットの場合には、引き抜かれたカードを特定する情報も一緒に送信する。
【0190】
ステップ316) 次に、課金ユニット100で、認証・課金処理部140で保持している引き抜かれたカードのカードIDに対応する認証セッション情報を削除する。
【0191】
ステップ317) 課金ユニットの認証・課金処理部140では、購入制御端末200を介して認証課金センタに対し、認証セッション情報に保持されていた認証セッションIDを送信することで、カードIDのカードの認証状態の破棄(認証セッション情報の削除)を要求する。
【0192】
ここで、ICカード認証終了要求として送信する情報は、認証セッションを特定できる情報であればよく、本実施例においても認証セッションIDではなくカードIDでもよい。
【0193】
ステップ318) 認証課金センタ300では、ICカード認証終了要求を受信すると、受信した認証セッションIDにより認証セッション管理部320で保持する認証セッション情報を検索して、検索された認証セッション情報を削除することで認証セッションIDに対する認証状態の破棄を行う。
【0194】
ステップ319) 認証課金センタ300では、認証状態が破棄されたことをICカード認証終了結果として購入制御端末200を介して課金ユニット100に通知する。
【0195】
次に、上記の構成の課金ユニット100に動作を説明する。
【0196】
図21は、本発明の第1の実施例の課金ユニットの動作のフローチャートである。
【0197】
まず、課金ユニット100では、カードリーダ/ライタ110にて、カード接続が検出されるのを待ち(ステップ401)、カードが検出されたら購入制御端末200に対してカード挿入通知を送信し(ステップ402)、購入制御端末200から認証開始要求メッセージが受信するのを待ち(ステップ403)、認証開始要求メッセージを受信したら次に移行する。
【0198】
認証開始要求メッセージを受信すると、接続されたICカード10内のカードデータ保持部13に保存されているカードIDの読み出しを行なう(ステップ404)。カードIDの読み出しが終わると、認証課金センタ300を認証するためのデータとして認証課金センタチャレンジを生成する(ステップ405)。なお、認証課金センタチャレンジには、乱数生成部130により生成される乱数を使用する。
【0199】
認証課金センタチャレンジが生成されると、認証課金センタ300に対してICカード認証要求を送信することで挿入されたICカード10に対するカード認証を要求するが、この際に、秘匿保持部120に保持されているユニットIDと、生成した認証課金センタチャレンジを送信する(ステップ406)。
【0200】
次に、認証課金センタ300からの計算要求メッセージを待ち(ステップ407)、メッセージを受信したら次に移行する。
【0201】
計算要求メッセージを受信すると、計算要求メッセージで受信した認証課金センタレスポンスの検査を行なう(ステップ408)。検査については、図10のステップ213の説明の通りである。
【0202】
認証課金センタレスポンス検査でエラー(即ち、認証課金センタ300の認証の失敗)となると(ステップ408,Yes)、エラー処理として、購入制御端末200にエラーメッセージ等を送信し、処理を終了する(ステップ425)。
認証課金センタレスポンス検査がとおると(ステップ408,No)、カードリーダ/ライタ110を使用して、カード計算要求としてICカード10に計算要求で受信した乱数を送信し(ステップ409)、ICカード10からの計算応答を待ち(ステップ410)、応答を受信したら次に移行する。
【0203】
カード計算応答を受信すると、計算結果で受信した課金ユニットチャレンジに対して課金ユニットレスポンスを生成する(ステップ411)。課金ユニットレスポンスの生成については、図10のステップ217の説明の通りである。
【0204】
課金ユニットレスポンスが生成されると、生成した課金ユニットレスポンスと、ICカード10からカード計算応答で受け取った計算結果を、計算要求応答として認証課金センタ300に送信し(ステップ412)、認証課金センタ300からのICカード認証結果メッセージを待ち(ステップ413)、メッセージを受信したら次の処理に移行する。
【0205】
ここで、ICカード認証結果メッセージの受信時に、認証エラーを示すデータを受信した場合には(ステップ414,Yes)、購入制御端末200へエラーメッセージを送信するなどの処理を行い、処理を終了する(ステップ425)。
認証エラーでないときは(ステップ414,No)、ICカード認証結果メッセージで暗号化されている認証セッションIDと手形署名鍵とプリペイド残額と認証有効期間を受信しているので、秘匿保持部120に保持している暗号鍵で復号化を行い、認証セッション情報保存で、受信したデータを認証・課金処理部140に手形情報生成のためのデータである認証セッション情報としてカードIDと共に保持する(ステップ415)と共に、購入制御端末200に対して認証終了通知として受信した復号化したプリペイド残額を送信する(ステップ416)。なお、認証有効期間は、認証セッション情報を生成した時刻(現在時刻)から認証有効期間経過した時点の時刻としての認証タイムアウト時間として保存する。
【0206】
また、次回手形発行IDは、“0”に初期化する。
【0207】
以上の処理までが認証処理に対応する。
【0208】
以下は、購入・支払処理及び認証状態終了処理に対応する。
【0209】
ここでは、カード挿入中のみ挿入されているカードの残額での手形生成ができるようにするため、カードリーダ/ライタ110によりカードの引抜きの検知を行い、カード引抜きを検知した場合には(ステップ417,Yes)、ICカード10に対する認証状態の破棄を行なう。認証状態の破棄は、まず、購入制御端末200にカードが引き抜かれたことを通知する(ステップ422)と共に、認証・課金処理部140で保持している引き抜かれたカードのカードIDに対応する認証セッション情報を削除する(ステップ423)。
【0210】
また、課金ユニット100の認証・課金処理140では、認証課金センタ300に対して認証セッションIDを指定してICカード認証終了要求メッセージを送信することで、認証課金センタ300内での認証セッションIDのカードの認証状態の破棄(認証セッション情報の削除)を要求する(ステップ424)と共に、認証課金センタ300からのICカード認証終了結果を待ち、ICカード認証終了結果メッセージを受信したら、処理を終了する。
【0211】
一方、カード引抜きの検知がされなかったときは(ステップ417,No)、購入制御端末200からの手形要求の受信をチェックし、手形要求がされていないときには(ステップ418,No),カード引抜きまたは、手形要求がされるまで繰り返しチェックを行なう。
【0212】
購入制御端末200から手形要求としてコンテンツIDと支払先IDと支払額を受信すると、認証セッション情報に保存されている認証セッションIDと手形署名鍵と手形発行ID(次回手形発行ID)と、購入制御端末200から手形要求で指定された支払先IDと支払額とコンテンツIDとをパラメータとして、認証・課金処理部140で手形署名の作成を行い、認証セッションIDと手形発行IDと手形署名を合わせて手形情報とする(手形情報及び手形署名の作成方法ついては、図18〜図20において説明する)(ステップ419)。
【0213】
但し、認証セッション情報の認証タイムアウト時間を超えているときには、手形情報を作成しても手形情報による課金ができないため、手形情報の生成は行なわずにエラーを購入制御端末200に送信することになる。
【0214】
また、手形情報の生成が終了すると、認証セッション情報の手形発行可能額から購入コンテンツの価格である支払額分を減算すると共に、次回手形発行IDに1加算する(ステップ420)。
【0215】
次に、購入制御端末200に対して、手形情報を送信し(ステップ421)、ステップ417のカード引抜きに戻り、カードが引き抜かれるまでステップ417からステップ421を繰り返す。
【0216】
次に、購入制御端末200の処理について説明する。
【0217】
図22は、本発明の第1の実施例の購入制御端末の購入制御部の動作のフローチャートである。
【0218】
まず、購入制御端末200では、課金ユニット100にカード10が挿入されてカード挿入通知がくるのを待ち(ステップ501)、カード挿入通知がきたら、挿入されたカードに対する認証開始要求メッセージを課金ユニット100に送信し(ステップ502)、課金ユニット100から認証開始要求メッセージに対する認証終了通知メッセージがくるのを待つ(ステップ503)。
【0219】
ここで、認証終了通知メッセージの受信時に、認証エラーを示すデータを受信した場合には(ステップ504,Yes)、エラーメッセージの表示や、カード引抜き・交換指示などを行い処理を終了する(ステップ513)。
【0220】
認証エラーでないときには(ステップ504,No)、認証終了通知メッセージでプリペイド残額を受信しているので、受信したプリペイド残額を購入制御部230のディスプレイ装置などにより表示することでユーザに提示する(ステップ505)。
【0221】
また、販売サーバ400から購入対象コンテンツのメニューリストを取得し、取得したメニューリストを購入制御部23のディスプレイ装置等に表示する(ステップ506)。
【0222】
なお、取得するメニューリストには、メニュー表示するためのコンテンツ名や説明情報の他に商品を購入するための手形情報作成に必要なコンテンツ情報(コンテンツID、価格、支払先ID等)が含まれている。
【0223】
ユーザの指示によるコンテンツ購入の処理に入る。ここで、カード挿入中のみ挿入されているカードの残額での手形取得ができるので、カード引抜きを契機にサービスを終了するように構成するため、課金ユニット100からカード引抜き通知を受信したかをチェックし、カード引抜き通知が来た場合には(ステップ507、Yes)処理を終了する。
【0224】
カード引抜き通知を受信できなかった場合には、購入者の操作により、購入制御部230で表示されたメニューから購入コンテンツの選択が行なわれるのをチェックし、選択がされていないときには(ステップ508,No)、カード引抜きまたは、メニュー選択がされるまで繰り返しチェックを行なう。
【0225】
なお、購入コンテンツ選択は、購入制御部230のキーボタン装置等により行なわれる。
【0226】
購入者によりメニュー選択が行なわれて購入するコンテンツが決定すると、指定されたコンテンツに対応するコンテンツ情報(メニューリストとして販売サーバ400から取得した情報)である支払先IDと支払額とコンテンツIDとを指定して、課金ユニットに対して手形要求メッセージを送信し(ステップ509)、課金ユニット100から手形情報が渡されるのを待つ(ステップ510)。
【0227】
課金ユニット100から手形情報が渡されると、購入制御端末200から販売サーバ400に対してコンテンツ購入要求メッセージで、購入コンテンツを指定するコンテンツIDと、課金ユニット100から取得した支払のための情報である手形情報とを送信することでコンテンツ購入を要求し(ステップ511)、販売サーバ400から要求したコンテンツが配信されるのを待ち、配信されたコンテンツを受信する(ステップ512)。なお、認証課金センタ300で手形情報の確認が失敗すると、販売サーバ400から課金失敗の通知を受け、コンテンツが配信されない。
【0228】
コンテンツの受信が完了すると、ステップ507に戻り、カード10が引き抜かれるまでステップ507からステップ512の処理を繰り返す。
【0229】
次に、認証課金センタ300における処理について説明する。
【0230】
図23は、本発明の第1の実施例の認証課金センタの全体の動作のフローチャーである。同図は、購入制御端末200を介した課金ユニットから受け取るメッセージ受信や、販売サーバ400から受け取るメッセージ受信や、認証セッション期限切れの監視を行い、それぞれが生起したときに対応した処理を行なうことを表している。
【0231】
具体的には、購入制御端末200を介した課金ユニット100からICカード認証要求メッセージを受信したかを監視し、受信したときには(ステップ601,Yes)、ICカード認証処理(ステップ610)を行なう。当該ICカード認証処理の詳細は、図24を用いて後述する。
【0232】
また、購入制御端末200を介した課金ユニット100からICカード認証終了要求メッセージを受信したかを監視し、受信したときには(ステップ602,Yes)、ICカード認証終了処理(ステップ630)を行なう。当該ICカード認証終了処理の詳細は、図25を用いて後述する。
【0233】
また、販売サーバ400から課金要求メッセージを受信したかを監視し、受信したときには、課金処理(ステップ640)を行なう。当該課金処理の詳細は、図26を用いて後述する。
【0234】
また、認証セッション管理部320で保存している認証セッション情報内の認証タイムアウト時間が現在時刻より古くなっているかを監視し、古くなっている場合認証セッションがあるときには、認証タイムアウト処理(ステップ660)を行なう。当該認証タイムアウト処理の詳細は、図27を用いて後述する。
【0235】
以下、ICカード認証処理について説明する。
【0236】
図24は、本発明の第1の実施例のICカード認証処理のフローチャートである。
【0237】
まず、課金ユニット100からのICカード認証要求メッセージで受け取ったユニットIDを、課金ユニット管理DB350から検索し、登録されていれば(ステップ610,Yes)、カードID復号化処理(ステップ611)に移行する。登録されていなければ(ステップ610,No)、課金ユニット100に対してエラーを示す情報を送信するなどを行い、処理を終了する(ステップ624)。
【0238】
ステップ610で検索された課金ユニット管理DB350のユニットIDに対して登録されている暗号鍵を使用して、ICカード認証要求により受信した暗号化されているカードIDの復号化を行なう(ステップ611)。
【0239】
次に、復号化されたカードIDを、カードバリュー管理DB340から検索し、登録されていれば(ステップ612,Yes)、認証課金センタレスポンス生成処理に移行する。
【0240】
登録されていなければ(ステップ612,No)、購入制御端末200に対してエラーを示す情報を送信するなどの処理を行い、処理を終了する(ステップ624)。
【0241】
認証課金センタレスポンス生成及び課金ユニットチャレンジ生成処理では、図10において説明した処理により、認証課金センタレスポンス及び課金ユニットチャレンジの生成を行なう(ステップ613、614)。
【0242】
次に、疑似乱数生成関数等を使用して乱数を生成し、生成した認証課金センタレスポンスと課金ユニットチャレンジと乱数とを計算要求メッセージで購入制御端末200を介して課金ユニット100に送信する(ステップ615)。
【0243】
次に、購入制御端末200からの計算要求応答メッセージを待ち(ステップ616)、当該メッセージを受信する。計算要求応答で受信した課金ユニットレスポンスの検査を行い(ステップ617)、検査が成功であれば(ステップ618,Yes)、応答計算の処理(ステップ619)の処理に移行する。
【0244】
検査が失敗(つまり、課金ユニットの認証失敗)であれば(ステップ618、No)、購入制御端末200に対してエラーを示す情報を送信するなどの処理を行い、処理を終了する(ステップ624)。
【0245】
課金ユニットレスポンスの検査方法は、図10に示す課金ユニットレスポンス検査で示した通りである。
【0246】
認証セッション管理部320により、送信した乱数と、受信したカードIDに対応してカードバリュー管理DB340に保存してあるカード認証鍵を使用して、ICカード10と同じ計算を行い、計算結果を得る(ステップ619)。計算方法については、図13、図14における説明の通りである。
【0247】
次に、計算要求応答メッセージで受け取った計算結果と、認証セッション管理部320での計算結果を比較し、双方の計算結果が合致しなければ(ステップ620,No)、購入制御端末200に対してICカード認証結果としてエラーを示す情報を送信するなどの処理を行い、処理を終了する(ステップ624)。
【0248】
双方の計算結果が合致すれば(ステップ620,Yes)、認証セッション管理部320で管理するシリアル番号を割り振るなどの方法により、認証セッション情報内の他の認証セッションIDと重ならない認証セッションIDを生成すると共に、疑似乱数生成関数等により手形署名鍵を生成する(ステップ621)。
また、生成した認証セッションIDと手形署名鍵とカードバリュー管理DB340で受信したカードIDに対応して管理されているプリペイド残額と、認証課金センタ300で管理している認証有効期間を購入制御端末200を介して課金ユニット100にICカード認証結果メッセージとして送信する。但し、認証セッションIDと手形署名鍵とプリペイド残額と認証有効期間は、課金ユニット管理DB350でユニットIDに対して保存されている暗号鍵を使用して暗号化して送信する(ステップ622)。
【0249】
また、受信したカードIDが認証済であることを示す認証セッション情報として、受信したカードIDと、生成した認証セッションIDと、生成した手形署名鍵と、現在時刻に認証有効期間を加えた時刻である認証タイムアウト時間と、ICカード認証要求で受け取ったユニットIDとを、認証セッション情報として、認証セッション管理部320で保持すると共に、使用済手形発行IDリストを空リストに初期化する(ステップ623)。なお、認証セッション情報については、図16において説明した通りである。
【0250】
なお、受信したカードIDが、認証セッション情報に既に保存されている場合には、カードID、認証セッションID、手形署名鍵、認証タイムアウト時間を上書きすると共に、使用済手形発行IDリストを空リストに初期化する。
【0251】
次に、ICカード認証終了処理(ステップ630)について説明する。
【0252】
図25は、本発明の第1の実施例の認証課金センタのICカード認証終了処理のフローチャートである。
【0253】
まず、購入制御端末200を介した課金ユニット100からのICカード認証終了要求メッセージで受信した認証セッションIDが、認証セッション管理部320で保持する認証セッション情報に登録されているかを検索する(ここで、ICカード認証終了要求で受信する情報は、認証セッションを特定できる情報であればよく、本実施例においても認証セッションIDではなく、カードIDでもよい)(ステップ630)。
【0254】
認証セッションIDが認証セッション情報に登録されていないときは(ステップ631,No)、課金ユニット100に対してエラーを送信するなどの処理を行い、処理を終了する(ステップ634)。登録されているときは(ステップ631,Yes)、認証セッションIDに対応して検索された認証セッション情報を削除し(ステップ632)、購入制御端末200にICカード認証終了結果メッセージとして認証状態が破棄されたことを通知する(ステップ633)。
【0255】
次に、課金処理について説明する。
【0256】
図26は、本発明の第1の実施例の認証課金センタの課金処理のフローチャートである。
【0257】
まず、販売サーバ400から課金要求メッセージで受信した手形情報内の認証セッションIDが、認証セッション管理部320で保持する認証セッション情報に登録されているか検索する(ステップ640)。
【0258】
認証セッションIDが登録されていないときには(ステップ641,No)、販売サーバ400に対するメッセージでエラーを送信するなどの処理を行い、処理を終了する(ステップ651)。
【0259】
認証セッションIDが登録されているときは(ステップ641,Yes)、検索された認証セッション情報の認証タイムアウト時間が、現在時刻より古ければ(ステップ642,Yes)、販売サーバ400に対するメッセージでエラーを送信するなどの処理を行い、処理を終了する(ステップ651)。
【0260】
検索された認証セッション情報のタイムアウト時間が、現在時刻より新しければ(ステップ642,No)、次の処理に移行する。
【0261】
なお、タイマ監視などによりリアルタイムに期限切れセッションの検出が行なわれて、後述する認証タイムアウト処理が行なわれていれば、認証有効期限切れのチェックの処理は必ずしも必要ではない。
【0262】
受信した手形情報内の手形発行IDが、検索された認証セッション情報の使用済手形発行IDリストに登録されていなければ(ステップ643,Yes)、販売サーバ400に対するメッセージでエラーを送信するなどを処理を行い、処理を終了する(ステップ651)。
【0263】
受信した手形情報内の手形発行IDが、検索された認証セッション情報の使用済手形発行IDリストに登録されていなければ(ステップ643,No)、手形署名生成を行なう。手形署名生成では、課金ユニット100での手形署名作成時と同じ手順で、認証セッション情報に保存されている手形署名鍵と、受信した手形情報中の認証セッションIDと、受信した手形情報中の手形発行IDと、受信した支払先ID・請求額(手形署名作成時の支払額)・コンテンツIDとをパラメータとして手形署名を作成する(ステップ644)(手形署名の作成方法については、図19、図20で説明した通りである)。
【0264】
次に、受信した手形情報中の手形署名と、ステップ644で作成した手形署名が同じであるかを比較する。手形情報中の手形署名と作成された手形署名が異なる場合には(ステップ645,No)、販売サーバ400に対するメッセージでエラーを送信するなどを処理を行い、処理を終了する(ステップ651)。
【0265】
手形情報中の手形署名と作成された手形署名が同一の場合には(ステップ645,Yes)、受信した請求額と、検索された認証セッション情報内のカードIDに対応してカードバリュー管理DB340で保持しているプリペイド残額とを比較する。
【0266】
プリペイド残額<請求額
の場合には(ステップ646,No)、販売サーバ400に対するメッセージでエラーを送信するなどを処理を行い、処理を終了する(ステップ651)。
【0267】
プリペイド残額≧請求額
の場合には(ステップ646,Yes)、受信した手形情報中の手形発行IDを、検索された認証セッション情報の使用済手形発行IDリストに追加する(ステップ647)。
【0268】
次に、検索された認証セッション情報のカードIDに対応してカードバリュー管理DB340で管理されているプリペイド残額から、販売サーバ400から受け取った請求額分を減算する(ステップ648)。
【0269】
また、認証セッション管理部320から精算部330に対して、カーIDと販売サーバ400から受信した手形情報、支払先ID、請求額、コンテンツIDと、認証セッション情報に保持されているユニットIDを渡すことで、精算部330で、精算部330内で管理する精算ログDBの支払先IDに対応して、取引リストとして手形情報・請求額・コンテンツID・ユニットIDの情報を追加し、精算額に請求額分を加算する(精算ログについては、図9において説明した通りである)(ステップ649)。
【0270】
最後に、課金要求の応答として、課金成功通知メッセージを販売サーバ400に対して課金が成功したことを通知し、処理を終了する(ステップ650)。
【0271】
次に、認証タイムアウト処理について説明する。
【0272】
図27は、本発明の第1の実施例の認証課金センタの認証タイムアウト処理のフローチャートである。
【0273】
ステップ604において期限切れのセッションの有無において検出された認証タイムアウト時間が現在時刻より古くなっている認証セッションを削除して処理を終了する(ステップ660)。
【0274】
なお、課金処理において、認証有効期限切れを判断する処理が行なわれていれば、期限切れセッションの有無の判断処理、及び、認証タイムアウト処理は必ずしも必要ではない。
【0275】
[第2の実施例]
図28は、本発明の第2の実施例のシステム構成を示す。
【0276】
本実施例のシステムは、前述の第1の実施例と同様に、認証媒体としてICカードを使用したプリペイド方式(プリペイドカード)のシステムを前提としており、購入者が商品購入前に、事前にプリペイドカード(ICカード)を購入することで、プリペイドカードの発行額の金額をカード発行事業者に支払っていることを想定している。また、第1の実施例と同様に、購入されたプリペイドカードの残額、カード発行事業者で持つ(または、カード発行事業者から委託された)認証課金センタ300で管理していることを前提としている。つまり、購入者がプリペイドカードによる商品対価支払後に、認証課金センタ300の情報に基づき、カード発行事業者と販売者との間で精算を行うことで、最終的に販売者への支払が行われるシステムを想定している。
【0277】
また、本実施例の購入制御端末200は、電話機にインターネット等と接続するための比較的高速な回線を加えた端末(特に、公衆電話機のような公衆利用型端末)を想定しており、例えば、電話回線としてISDNまたは、アナログ回線を使用し、インタネット等への接続回線として、DSL回線を使用するような形態を想定している。なお、このような形態の場合には、1本の接続ケーブルで帯域分割等により双方の回線を収容することが可能である。
【0278】
また、本実施例では、課金のための認証サービスを電話ネットワークサービスとして提供し、商品はインターネット上にある販売サーバ400から購入することを想定している。
【0279】
図28に示すように、本実施例のシステムは、第1の実施例と同様に、複数のIDカード10と、複数の購入制御端末200と、購入制御端末200毎に接続される課金ユニット100と、複数の販売サーバ400と、1つの認証課金センタ300から構成される。
【0280】
但し、認証課金センタ300が電話交換網600内で交換機610と交換網で接続されたNSP(ネットワーク・サービス・プロセッサ)として構成され、ISDN等の公衆電話回線網で交換機610と接続された購入制御端末200が交換機610を通して認証課金センタ300に接続されている。これに伴い、認証課金センタ300の通信部も、通信部A310と通信部B310とに分かれている。
【0281】
また、購入制御端末200の通信部210は、購入制御部230にのみ接続されており、課金ユニットドライバ220には接続されてはおらず、課金ユニット100内に通信部150を持ち、認証・課金処理部140と接続されている点が第1の実施例と異なる。
【0282】
課金ユニット100の通信部150は、ISDN等の公衆電話回線網用のインタフェースであり、交換機を通して、認証課金センタ300と通信を行い、課金ユニット100と認証課金センタ300との間のICカード10の認証や認証終了等の通信に用いられる。なお、回線がISDNの場合には、購入制御端末200−交換機610間では、ICカードの認証や認証終了は、Dchの制御信号等にメッセージを載せて送受信することになり、交換機610では、購入制御端末200から受け取った制御信号内のメッセージの中身を取り出して、認証課金センタ300に送信し、認証課金センタ300からのメッセージを制御信号に載せて購入制御端末200に送信するという中駅処理を行うことになる。
【0283】
また、購入制御端末200の通信部210は、販売サーバ400と通信を行うためのインタフェースであり、第1の実施例の通信部と同様にインタネットなどのネットワーク500に接続される。
【0284】
また、認証課金センタ300の通信部310Aは、交換機610等の電話交換網600内の機器と接続するための交換網のインタフェースであり、ここでは、交換機610との通信に使用される。
【0285】
また、認証課金センタ300の通信部310Bは、販売サーバ400との通信を行なうためのインタフェースであり、第1の実施例の通信部と同様にインターネットなどのネットワーク500に接続される。
【0286】
なお、メッセージシーケンスやシステムの動作は、課金ユニット100と認証課金エセンタ300との通信が購入制御端末200を仲介していない点を除いて、第1の実施例と同様である。
【0287】
なお、上記の実施例で示した各装置の動作をプログラムとして構築し、課金ユニット100、購入制御端末200、認証課金センタ300、及び販売サーバ400として利用される各コンピュータにインストールしたり、ネットワークを介して流通させることも可能である。
【0288】
また、構築されたプログラムを課金ユニット100、購入制御端末200、認証課金センタ300、及び販売サーバ400として利用されるコンピュータに接続されるハードディスク装置や、フロッピーディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、容易に本発明を実現できる。
【0289】
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0290】
【発明の効果】
上述のように、本発明によれば、購入者が事前に購入しておいた認証媒体を認証することにより得られた手形署名鍵によって生成される手形情報を販売サーバに払出し、販売サーバでは、手形情報と請求項と販売者を特定するIDを認証課金センタに渡すことにより、認証媒体の残額に対して課金要求をかけることが可能となり、成功した課金要求の情報を元に、認証課金センタから販売者に対して精算(支払)を行うことで、結果的に認証媒体を持つ購入から販売サーバを持つ販売者への支払が可能となるが、カード認証や手形情報生成を購入制御端末に接続された課金ユニットに閉じて行い、カード認証時には、課金ユニットと認証課金センタとの間で相互認証を行い、認証時のデータを課金ユニットと認証課金センタとの間で暗号化し、認証によって得られた手形情報生成のための情報である手形署名鍵などのデータを課金ユニット外にはわからないようにする保持する。これにより、端末から認証課金センタにアクセスしてカードのシミュレーションによるなりすましを行うことが不可能となり、認証方式が簡易なシステムにおいても、なりすましによってセンタで管理しているプリペイド残額等を不正に使用されてしまう危険性が少なくなる。
【0291】
また、カードを偽造し、偽造したカードを使用した時に、システム上で偽造を検出できれば、課金ユニットの識別子(ユニットID)を特定することができるため、特定の課金ユニットで不正が行なわれていることが発覚した時には、認証課金センタで保持する課金ユニット情報を削除するなどにより、課金ユニットに対するサービスを停止することも可能となる。
【0292】
また、カード抜き取り時には、手形情報を生成することのできる唯一の装置である課金ユニットで手形情報生成のための情報を削除するため、カードの所有者が立ち去った後には、確実に課金情報を生成することができなくなり、プリペイド残額を不正に使用することができなくなる。
【0293】
また、端末が信頼できない場合でも、手形生成のための情報は課金ユニット外に出ることがないため、第三者(他端末)に漏洩することはなく、他端末において課金情報の生成によるプリペイド残額を不正に使用することができなくなる。また、課金ユニットを使用することで、上述のようなセキュリティ問題が解決されるため、CPU付ICカードなど高価なICカードを用いる必要はなく、簡易な認証機能のみを持った安価なICカードでシステムが実現できるため、システム全体のコストが安くなる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】本発明の原理を説明するための図である。
【図3】本発明の一実施の形態におけるシステム構成図である。
【図4】本発明の一実施の形態におけるメッセージシーケンスチャートである。
【図5】本発明の第1の実施例のシステム構成図である。
【図6】本発明の第1の実施例のICカードデータ保存部内のデータの例である。
【図7】本発明の第1の実施例の認証課金センタ内のカードバリュー管理DBの例である。
【図8】本発明の第1の実施例の認証課金センタ内の課金ユニット管理DBの例である。
【図9】本発明の第1の実施例の認証課金センタ内の精算ログDBの例である。
【図10】本発明の第1の実施例の認証処理のメッセージシーケンスチャートである。
【図11】本発明の第1の実施例の認証課金センタレスポンス計算方法の例である。
【図12】本発明の第1の実施例のICカード認証応答計算方法(その1)である。
【図13】本発明の第1の実施例のICカード認証応答計算方法(その2)である。
【図14】本発明の第1の実施例の課金ユニットレスポンス計算方法の例である。
【図15】本発明の第1の実施例の認証課金センタにおける認証セッション情報の例である。
【図16】本発明の第1の実施例の課金ユニットにおける認証セッション情報の例である。
【図17】本発明の第1の実施例の支払処理・認証状態終了処理のメッセージシーケンスチャートである。
【図18】本発明の第1の実施例の手形情報の例である。
【図19】本発明の第1の実施例の認証課金処理における手形署名生成方法の例(その1)である。
【図20】本発明の第1の実施例の認証課金処理における手形署名生成方法の例(その2)である。
【図21】本発明の第1の実施例の課金ユニットの動作のフローチャートである。
【図22】本発明の第1の実施例の購入制御端末の購入制御部の動作のフローチャートである。
【図23】本発明の第1の実施例の認証課金センタの全体の動作のフローチャートである。
【図24】本発明の第1の実施例の認証課金センタのICカード認証処理のフローチャートである。
【図25】本発明の第1の実施例の認証課金センタのICカード認証終了処理のフローチャートである。
【図26】本発明の第1の実施例の認証課金センタの課金処理のフローチャートである。
【図27】本発明の第1の実施例の認証課金センタの認証タイムアウト処理のフローチャートである。
【図28】本発明の第2の実施例のシステム構成図である。
【符号の説明】
10 ICカード、認証媒体
11 通信部
12 認証応答部
13 カードデータ保存部
100 課金ユニット
101 媒体状態通知手段
102 相互・媒体認証手段
103 手形情報生成手段
110 カードリーダ/ライタ
120 秘匿保持部
130 乱数生成部
140 認証・課金処理部
200 購入制御端末
201 購入要求手段
202 購入・支払制御手段
210 通信部
220 課金ユニットドライバ
230 購入制御部
300 認証課金センタ
301 相互認証手段
302 課金手段
310 通信部
320 認証セッション管理部
330 精算部
340 カードバリュー管理DB
350 課金ユニット管理DB
400 販売サーバ
401 課金要求手段
402 コンテンツ提供手段
410 通信部
420 制御部
430 精算ログDB
440 コンテンツDB等
500 ネットワーク
600 電話交換網
610 交換機
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a billing unit device, billing system, billing method, authentication billing center device, purchase control terminal device, billing program, and storage medium storing the billing program, and in particular, when delivering digital content on a network such as the Internet. The present invention relates to a charging unit device, a charging system, a charging method, an authentication charging center device, a purchase control terminal device, a charging program, and a storage medium storing a charging program.
[0002]
Specifically, a charging unit device, a charging system, and a charging system for performing a small charge using a card of a simple and relatively inexpensive medium that ensures safety when purchasing content in a highly public place such as the corresponding terminal The present invention relates to a method, an authentication charging center apparatus, a purchase control terminal apparatus, a charging program, and a storage medium storing the charging program.
[0003]
[Prior art]
Conventionally, a card reader / writer connected to the terminal is used in a system that permits the use of the remaining amount held on the center device side by authenticating a prepaid IC card or the like from the center device system. There is a system that controls authentication and issuance of billing information via a terminal.
[0004]
[Problems to be solved by the invention]
However, in the above conventional system, since the terminal can freely access the authentication / billing center apparatus without a card, in the case of a card system performing simple authentication, the terminal accesses the authentication / billing center apparatus. Therefore, it is easy to perform a card spoofing attack by the terminal.
[0005]
In addition, if a system using the above reader / writer is operated on a network where any terminal is connected at an arbitrary place such as the Internet, the counterfeit card is forged when the counterfeit card is forged. Even if it is detected, the place where it is used cannot be specified, so it is possible to try a counterfeited card freely, and it is impossible to deal with an illegal detection.
[0006]
In the above system, in the system in which the key is secretly shared between the center apparatus system and the terminal at the time of card authentication, and the accounting information is generated using the shared key, the terminal has the shared key. Therefore, it is possible to generate and issue billing information freely even after the card is removed, and depending on the implementation of the terminal, there is a risk that the shared key may be leaked to the outside. There is a danger of being used.
[0007]
In the above system, if an expensive IC card such as an IC card with CPU is used, it is possible to secretly share a key between the center apparatus system and the card, and generate billing information in the card. However, there is little risk of generating billing information on its own, but media with a function that generates billing information is expensive and there are many media. Is big.
[0008]
As described above, in a system in which a terminal directly accesses a card using a card reader / writer and controls authentication mediation or billing information issuance, the terminal can authenticate to the authentication / billing center without creating a counterfeit card. It is easy to access the device and perform “spoofing” by card simulation. Even if it is difficult to forge the same card medium, the system is managed by the center device by “spoofing” in a system with a simple authentication method. There is a problem that there is a risk that the prepaid balance and the like that are used are illegally used.
[0009]
Also, even if you forge a card and use a forged card, even if it detects forgery on the system, you can not specify the place of use, so you can try a forged card freely, There is a problem that it is impossible to cope with fraud, and it is impossible to prevent the production of counterfeit cards.
[0010]
Also, in a system that shares a key for generating billing information based on card authentication, billing information can be generated by using the key at the terminal even after the card is removed, and after the card owner leaves There is a problem that the prepaid balance can be used illegally when the three parties generate billing information using the key left in the terminal.
[0011]
In addition, when the terminal is not reliable, the key is leaked to a third party (another terminal), so that the prepaid balance due to the generation of the billing information can be used illegally in the other terminal. is there.
[0012]
Further, as a means for solving such a problem, there is a system using an expensive IC card such as an IC card with CPU, but there is a problem that the cost of the entire system becomes high.
[0013]
The present invention has been made in view of the above points, uses an inexpensive card that implements only a simple authentication procedure, prevents unauthorized access from the terminal to the authentication / billing center device, and detects fraud at the terminal. A charging unit device, a charging system, a charging method, and a charging method capable of generating charging information only for a terminal that has been authenticated, and generating charging information only when a card is inserted, An object of the present invention is to provide an authentication charging center device, a purchase control terminal device, a charging program, and a storage medium storing the charging program.
[0014]
[Means for Solving the Problems]
  FIG. 2 is a diagram for explaining the principle of the present invention.FIG.
  The present invention (Claim 1)Content distribution on a network in a system comprising a plurality of authentication media, a plurality of purchase control terminals, a billing unit connected to each purchase control terminal, a plurality of sales servers, and one authentication / billing center device In the billing method to make a small amount of immediate billing at the time,
  When an authentication medium to which an identifier (hereinafter referred to as a medium ID) that can uniquely identify each medium is connected to the charging unit (step 1), the charging unit includes the medium ID in the purchase control terminal and authenticates. Send a medium connection notification indicating that the medium is connected (step 2),
  The purchase control terminal transmits a medium authentication request for the authentication medium to the charging unit (step 3),
  The charging unit transmits an identifier capable of specifying the charging unit to the authentication charging center apparatus via the purchase control terminal, performs mutual authentication, and authenticates the authentication medium by an arbitrary method (step 4). ,
  If the authentication is successful, the authentication / billing center device generates data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium (step 5), and the medium ID is being authenticated. (Step 6), and the data necessary for the bill information including the bill signature key is transmitted as a medium authentication result to the charging unit (step 7).
  The charging unit stores the medium authentication result and sends an authentication end notification notifying that the authentication has ended to the purchase control terminal (step 8),
  A bill request is sent from the purchase control terminal to the billing unit (step 9),
  When the billing unit receives the bill information request, bill information is generated using data necessary for bill information generation including bill issue ID generation, medium ID, and bill signature key, which is information for identifying a transaction within one authentication. Is generated (step 10) and transmitted to the purchase control terminal (step 11).
  The purchase control terminal transmits bill information for product purchase as a product purchase request to the sales server (step 12),
  The sales server transmits billing information corresponding to the bill information and the price of the product, and a payment destination ID as information for specifying a payment destination at the time of payment as a charging request to the authentication charging center device (step 13).
  Upon receipt of the charging request, the authentication charging center device identifies the medium ID from the bill information included in the charging request, checks whether the medium ID is being authenticated (step 14), Check whether the signature information in the bill information is correct using the bill signature key corresponding to the medium ID (step 15),
  In the authentication billing center device, if the inspection is successful, the billing amount designated by the sales server is billed for the remaining amount (utilization amount in the case of postpaid) corresponding to the medium ID, and billing for the payee ID is performed. Perform a process to settle the amount (step 16)
  A payment / purchase process consisting of a process of sending a charge success notification to the sales server when the charge is successful (step 17);
  When the connection between the authentication medium and the charging unit is released, a medium connection release notification is transmitted from the charging unit to the purchase control terminal (step 18),
  Delete the data for generating bill information corresponding to the bill signature key and medium ID in the billing unit (step 19);
  A medium including the medium ID is specified from the charging unit to the authentication charging center apparatus, and a medium authentication end request for requesting the cancellation of the authentication state and the cancellation of the bill signature key is transmitted (step 20).
  The authentication / billing center device searches the authentication session information from the medium authentication end request, deletes the searched authentication session information (step 21), and sends the medium authentication end result indicating that the authentication state has been released to the charging unit. (Step 22) consisting of authentication cancellation process.
[0015]
  According to the present invention (Claim 2), the authentication / billing center device is provided in the telephone exchange network, the charging unit is connected to the telephone line,
  Authentication medium authentication and mutual authentication performed between the charging unit and the authentication charging center device are performed via a telephone line control signal..
[0016]
  FIG. 1 is a principle configuration diagram of the present invention.
[0017]
  The present invention (Claim 3)A plurality of authentication media 10, a plurality of purchase control terminals 200, a charging unit 100 connected to each purchase control terminal 200, a plurality of sales servers 400, and a single authentication / charging center apparatus 300, A billing system for making a small amount of immediate billing when delivering content,
  The authentication medium 10 is
  It is a medium including a card to which an identifier (hereinafter referred to as a medium ID) that can uniquely identify an individual medium that can be used by being connected to the charging unit 100 is allocated, and the medium by receiving authentication from an authentication charging center It has a function to guarantee that it is a legitimate medium for ID,
  The charging unit 100
  When the authentication medium 10 to which the medium ID is assigned is connected to the charging unit 100, a medium status notification including a medium ID and indicating that the authentication medium 10 is connected is transmitted to the purchase control terminal. Means 101;
  A mutual / medium authentication unit that transmits an identifier for identifying the charging unit 100 to the authentication charging center apparatus 300 via the purchase control terminal 200, performs mutual authentication, and authenticates the authentication medium by an arbitrary method. 102,
  When the data required for the bill information including the bill signature key for the medium ID of the authentication medium is acquired as the medium authentication result from the authentication billing center apparatus 300, the medium authentication result is stored and the authentication end notification for notifying the end of the authentication Authentication end notification means for transmitting to the purchase control terminal 200;
  When a bill information request is received from the purchase control terminal 200, a bill is generated using data necessary for generating a bill issuance ID, which is information for identifying a transaction within one authentication, and generating bill information including a medium ID and a bill signature key. Bill information generating means 103 for generating information and transmitting it to the purchase control terminal 200;
  Medium authentication end request means for specifying a medium including the medium ID to the authentication billing center apparatus 300 and transmitting a medium authentication end request for requesting the destruction of the authentication state and the destruction of the bill signature key;
  A bill signature key discarding unit that discards the bill signature key when the medium authentication end result is acquired from the authentication billing center apparatus 300;
  The purchase control terminal 200
  Purchasing request means for requesting the purchase of the product including the content to the sales server according to the purchaser's operation,
  Means for transmitting to the charging unit 100 a medium authentication request for the authentication medium 10 connected to the charging unit 100 and a request for generating bill information;
  Means for transmitting bill information for payment generated by the charging unit 100 to the sales server 400, and
  The sales server 400
  Billing request means 401 for transmitting billing information as billing request to billing information and billing amount corresponding to the price of merchandise, and payment destination ID as information for specifying a payment destination at the time of settlement, to authentication billing center apparatus 300;
  Content acquisition means 402 for delivering a product including content when a notification of successful charging is obtained from the authentication charging center apparatus 300;
  The authentication charging center device 300
  Mutual authentication means 301 for performing mutual authentication with the charging unit 100 using the identifier of the charging unit included in the authentication request acquired from the charging unit 100;
  When the authentication is successful, data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium is generated and stored as authentication session information indicating that the medium ID is being authenticated. Means for transmitting data necessary for the bill information including the bill signature key to the charging unit 100 as a medium authentication result;
  When a billing request is received from the sales server 400, the medium ID is specified from the bill information included in the billing request, it is checked whether the medium ID is being authenticated, and if it is being authenticated, it corresponds to the medium ID. Inspection means 302 for inspecting whether the signature information in the bill information is correct using the bill signature key When,
  If the inspection is successful, the billing amount designated by the sales server 400 is charged for the remaining amount (use amount in the case of postpaid) corresponding to the medium ID, and the billing amount for the payee ID is settled. Billing means 303 for performing processing for performing,
  Means for transmitting a charging success notification to the sales server 400 when the charging is successful;
  Obtaining a medium authentication end request for requesting the destruction of the authentication status and the destruction of the bill signature key from the charging unit 100, searching the authentication session information from the medium authentication end area, deleting the searched authentication session information, and authenticating Means for notifying the charging unit 100 of the result of the medium authentication completion indicating that the state has been released.
[0018]
  The present invention (Claim 4) further comprises a telephone switching network,
  Authentication billingCenter deviceProvided in the telephone exchange network, the charging unit is connected to the telephone line,
  Billing unit and authentication billingCenter deviceAuthentication means for mutual authentication and mutual authentication, and bill information and content transmission / reception via a telephone line control signal.
[0019]
  The present invention (Claim 5)The accounting system according to claim 3 is configured.An authentication billing center device,
  Mutual authentication means for performing mutual authentication with the charging unit using the identifier of the charging unit included in the authentication request acquired from the charging unit;
  When the authentication is successful, data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium is generated and stored as authentication session information indicating that the medium ID is being authenticated. Means for transmitting data necessary for the bill information including the bill signature key as a medium authentication result to the charging unit;
  When the billing request is received from the sales server, the medium ID is specified from the bill information included in the billing request, it is checked whether the medium ID is being authenticated, and if it is being authenticated, the bill corresponding to the medium ID is An inspection means for inspecting whether the signature information in the bill information is correct by using a signature key;
  If the inspection is successful in the inspection means, the billing amount designated by the sales server is charged for the remaining amount (use amount in the case of postpaid) corresponding to the medium ID, and the billing amount for the payee ID is charged. Billing means for processing for settlement,
  Means for sending a successful billing notification to the sales server when billing is successful;
  Obtain a medium authentication end request for requesting the destruction of the authentication state and the destruction of the bill signature key from the charging unit, search the authentication session information from the medium authentication end area, delete the searched authentication session information, and Means for notifying the charging unit of the result of completion of the medium authentication indicating that theHave.
[0020]
  The present invention (Claim 6)The accounting system according to claim 3 is configured.A purchase control terminal,
  Purchasing request means for requesting the purchase of the product including the content to the sales server according to the purchaser's operation,
  Means for transmitting to the charging unit a medium authentication request for an authentication medium connected to the charging unit, and a bill information generation request;
  Means for transmitting bill information for payment generated by the billing unit to the sales server;Have
[0022]
  The present invention (Claim 7)A charging unit constituting the charging system according to claim 3,
  Medium status notifying means for transmitting a medium connection notification including the medium ID and indicating that the authentication medium is connected to the purchase control terminal when the authentication medium to which the medium ID is assigned is connected to the charging unit; ,
  A mutual / medium authentication means for transmitting an identifier capable of specifying the charging unit to the authentication charging center apparatus via the purchase control terminal, performing mutual authentication, and authenticating the authentication medium by an arbitrary method;
  When data required for the bill information including the bill signature key for the medium ID of the authentication medium is acquired as a medium authentication result from the authentication billing center apparatus, an authentication end notification is sent to save the medium authentication result and notify that the authentication is completed An authentication end notification means to be transmitted to the purchase control terminal;
  Upon receipt of a bill information request from the purchase control terminal, bill information is generated using data necessary for bill information generation including a bill issue ID that is information for identifying a transaction within one authentication, a medium ID, and a bill signature key. Bill information generating means for generating and transmitting to the purchase control terminal,
  Medium authentication end request means for identifying a medium including the medium ID to the authentication billing center apparatus, and transmitting a medium authentication end request for requesting the destruction of the authentication state and the destruction of the bill signature key;
  And a bill signature key discarding unit for discarding the bill signature key when the medium authentication end result is acquired from the authentication / billing center device.
[0023]
  The present invention (Claim 8)In the medium status notification means,
  When detecting disconnection from the authentication medium, the authentication charging center apparatus includes means for transmitting a message requesting the destruction of the bill signature key corresponding to the medium ID of the authentication medium and the destruction of the authentication state..
[0024]
  The present invention (Claim 9)The accounting system according to claim 3 is configured.A billing program executed by the billing unit,
  To a computer that acts as a billing unit,
  A medium status notification step of transmitting a medium connection notification including the medium ID and indicating that the authentication medium is connected to the purchase control terminal when the authentication medium to which the medium ID is assigned is connected to the charging unit; ,
  A mutual / medium authentication step of transmitting an identifier that can identify the charging unit to the authentication charging center device via the purchase control terminal, performing mutual authentication, and authenticating the authentication medium by an arbitrary method;
  When data required for the bill information including the bill signature key for the medium ID of the authentication medium is acquired as a medium authentication result from the authentication billing center apparatus, an authentication end notification is sent to save the medium authentication result and notify that the authentication is completed An authentication end notification step to be sent to the purchase control terminal;
  Upon receipt of a bill information request from the purchase control terminal, bill information is generated using data necessary for bill information generation including a bill issue ID that is information for identifying a transaction within one authentication, a medium ID, and a bill signature key. A bill information generating step for generating the bill and transmitting it to the purchase control terminal;
  A medium authentication end request step for identifying a medium including the medium ID to the authentication billing center apparatus and transmitting a medium authentication end request for requesting the discard of the authentication state and the destruction of the bill signature key;
  When the authentication result of the medium authentication is obtained from the authentication / billing center device, a bill signature key discarding step for discarding the bill signature key is executed..
[0025]
  The present invention (Claim 10)The accounting system according to claim 3 is configured.A billing program executed by the authentication billing center device,
  In a computer that operates as an authentication billing center device,
  SectionMutual authentication for mutual authentication with the charging unit using the identifier of the charging unit included in the authentication request acquired from the gold unitStepWhen,
  When the authentication is successful, data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium is generated and stored as authentication session information indicating that the medium ID is being authenticated. Transmitting data necessary for bill information including the bill signature key to the charging unit as a medium authentication result;
  When the billing request is received from the sales server, the medium ID is specified from the bill information included in the billing request, it is checked whether the medium ID is being authenticated, and if it is being authenticated, the bill corresponding to the medium ID is Check that the signature information in the bill information is correct using the signature keyInspectionStepWhen,
  InspectionStepInIf the inspection is successful, the billing amount specified by the sales server corresponds to the medium ID.Charge the remaining amount (use amount in case of postpaid)And a billing step for performing a process for performing settlement for the amount charged for the payee ID;
  Sending a billing success notification to the sales server when billing is successful;
  Obtain a medium authentication end request for requesting the destruction of the authentication state and the destruction of the bill signature key from the charging unit, search the authentication session information from the medium authentication end area, delete the searched authentication session information, and And a step of notifying the charging unit of the result of the end of the medium authentication indicating that is canceled.
[0026]
  The present invention (claim 11)The accounting system according to claim 3 is configured.A billing program executed by the purchase control terminal,
  To a computer that operates as a purchase control terminal,
  A purchase request step for requesting the purchase of a product including content to the sales server according to the purchaser's operation,
  Transmitting a medium authentication request for an authentication medium connected to the charging unit and a request for generating bill information to the charging unit;
  Sending bill information for payment generated by the billing unit to the sales server;
Execute.
[0027]
  The present invention (Claim 12)A charging unit constituting the charging system according to claim 3A storage medium storing a billing program executed by
  A storage medium storing the charging program according to claim 9.
[0028]
  The present invention (Claim 13)The accounting system according to claim 3 is configured.A storage medium storing a charging program executed by the authentication charging center device,
  A storage medium storing the billing program according to claim 10.
[0029]
  The present invention (Claim 14)The accounting system according to claim 3 is configured.A storage medium storing a billing program executed by the purchase control terminal,
  A storage medium storing the billing program according to claim 11.
[0030]
As described above, in the present invention, the bill information generated by the bill signature key obtained by authenticating the authentication medium purchased in advance by the purchaser is paid out to the sales server. By passing the billing amount and the ID for identifying the seller to the authentication billing center device, it becomes possible to make a billing request for the remaining amount of the authentication medium (the amount used in the case of postpaid), and a successful billing request Based on this information, payment (payment) is performed from the authentication / billing center device to the seller. As a result, the purchaser with the authentication medium can pay the seller with the sales server. When the medium is authenticated, the charging unit ID from the charging unit is notified to the authentication charging center device, and the authentication charging center device and the charging unit based on the charging unit ID are mutually authenticated, and the authentication is performed. Is successful, keeps the bill signature key encrypted and sent from the authentication billing center device in the billing unit, and generates bill information using the bill signature key in the billing unit when the bill is issued, By discarding the bill signature key that is kept secret in the billing unit when the card is removed, it is possible to make bill information generation impossible thereafter.
[0031]
DETAILED DESCRIPTION OF THE INVENTION
An embodiment of the present invention will be described below with reference to the drawings.
[0032]
FIG. 3 shows a system configuration according to an embodiment of the present invention.
[0033]
The system shown in FIG. 1 includes a plurality of authentication media 10, a plurality of purchase control terminals 200, a charging unit 100 connected to each purchase control terminal 200, a plurality of sales servers 400, and an authentication charging center 300.
[0034]
Among these, the authentication medium 10 is a medium such as a card to which an identifier (medium ID) that can uniquely identify each medium that can be used by being connected to the charging unit 100 is assigned. A function for guaranteeing that the medium is a valid medium for the medium ID by receiving authentication is included.
The purchase control terminal 200 is a terminal that makes a purchase request for a product such as content to the sales server 400 in accordance with the purchaser's operation, and the authentication medium connected to the charging unit 100 when making a purchase request. By requesting the charging unit to generate 10 authentication controls and bill information, the generated bill information is transmitted to the sales server 400, and the like, from the remaining amount associated with the medium ID (used amount in the case of postpaid) This is a terminal that performs purchase / payment control for the sales server 400.
[0035]
The sales server 400 is a server that sells products such as content in response to a request from the purchase control terminal 200. The bill information received at the time of the purchase request is transferred to the authentication / billing center 300 together with the billing amount. This is a server that makes a request and delivers a product such as content when the authentication / billing center 300 charges successfully.
[0036]
Note that a seller having a sales server receives a price corresponding to the amount charged by the settlement process from the authentication / billing center 300.
[0037]
The authentication billing center 300 is a center that manages the remaining amount (the amount used in the case of postpaid) associated with the medium ID of the authentication medium, and is connected to the billing unit by a request from the billing unit 100. The authentication medium is authenticated. At this time, the identifier of the charging unit 100 is received, and mutual authentication is performed with the charging unit 100 corresponding to the identifier. Further, the authentication billing center 300 charges the remaining amount (utilization amount in the case of postpaid) associated with the medium ID corresponding to the bill information received in response to the billing request from the sales server 400. Further, the authentication billing center 300 pays the sales server 400 a price corresponding to the billing amount by settlement.
[0038]
Further, the charging unit 100 notifies the purchase control terminal 200 of information related to the authentication medium such as authentication medium 10 connection (card insertion) and authentication medium connection release (card removal), and in accordance with an authentication request from the purchase control terminal 200, Authentication of the authentication medium 10 connected to the authentication / billing center 300 via the purchase control terminal 200 is performed, or bill information for the authenticated authentication medium 10 is generated in accordance with a bill request from the purchase control terminal 200. Device.
[0039]
When the authentication medium 10 is authenticated, the charging unit 100 performs mutual authentication with the authentication charging center 300. The charging unit 100 and the purchase control terminal 200 are assumed to be installed in the same place, and are connected by wiring such as RS-232C or USB (Universal Serial Bus).
[0040]
Next, the operation in the above configuration will be described.
[0041]
FIG. 4 is a message sequence chart according to the embodiment of the present invention.
[0042]
Step 101) The authentication medium 10 is connected to the charging unit 100. This process may be performed at any time before the medium authentication process after step 103 is performed.
[0043]
Step 102) When the authentication medium 10 is connected, the charging unit 100 transmits a message indicating that the authentication medium 10 is connected to the purchase control terminal 200. In the case of a charging unit capable of connecting a plurality of media, information for identifying the media is also transmitted together.
[0044]
Step 103) Next, the medium connected in the range indicated by “medium authentication process” is authenticated. However, the timing of the process may be any time before “payment process” after step 101 and step 109. Alternatively, the notification may be performed in response to the medium connection notification in step 102, may be performed after an instruction to purchase a product from the purchaser, or may be performed at another timing.
[0045]
As the “medium authentication process”, first, the purchase control terminal 200 transmits an authentication start request to the charging unit 100 to request medium authentication for the connected authentication medium 10. In the case of a charging unit capable of connecting a plurality of media, information for specifying the media received in step 102 is also transmitted together.
[0046]
Step 104) Upon receipt of the authentication start request by the charging unit 100, mutual authentication is performed with the authentication charging center 300 via the purchase control terminal 200, and authentication processing for the authentication medium 10 is performed (in the purchase control terminal 200, Mediates messages for mutual authentication and media authentication). Data for authenticating the authentication medium 10 is transmitted / received between the authentication / billing center 300 and the authentication medium 10 by being relayed by the charging unit 100.
[0047]
Note that the authentication process for the authentication medium 10 is performed according to the authentication function included in the authentication medium 10, but the authentication charging center 300 allows the medium ID of the authentication medium 10 and the medium to be a valid medium for the medium ID. As long as it can be confirmed, the following methods are conceivable.
[0048]
(1) The medium holds the medium ID and the secret data associated with the medium ID, and the authentication / billing center 300 also uses the medium ID and the secret data associated with the medium ID (or data that can confirm the secret data (decryption). Key, etc.).
[0049]
{Circle around (2)} The medium ID stored in the medium at the time of authentication is transmitted to the authentication / billing center 300, and the secret data associated with the medium ID is confirmed. The following several methods can be considered to confirm the secret data.
[0050]
The secret data is also transmitted to the authentication / billing center 300, and the secret data is verified by the authentication / billing center 300 (password method. The secret data is positioned as a password).
[0051]
・ Random data is transmitted from the authentication / billing center 300, and it is difficult to guess the secret data from the created data such as message authentication function (hash function, etc.), digital signature function, encryption function, etc. The response data is generated by a simple method, and the response data is returned to the authentication / billing center 300, so that the authentication / billing center 300 uses the secret data (or data (such as a decryption key) that can confirm the secret data) as a key. Confirmed response data (challenge and response method).
[0052]
(3) The secret data of the medium ID and the secret data of the authentication / billing center 300 (or data (such as a decryption key) that can confirm the secret data) are updated according to necessity.
It can be considered that the medium ID and the medium are legitimate media for the medium ID by the above method.
[0053]
The mutual authentication between the charging unit 100 and the authentication charging center 300 is performed by transmitting an identifier (unit ID) that can specify the charging unit 100 to the authentication charging center 300 and the above challenge & The charging unit 100 and the authentication charging center 300 confirm whether the correct secret data corresponding to the unit ID is held in the charging unit 100 and in the authentication charging center 300 by a response method or the like.
[0054]
Step 105) In step 104 above, each authentication of the charging unit 100, the authentication charging center 300, and the authentication medium 10 is completed, and in the authentication charging center 300, the medium ID and the medium 10 are valid media corresponding to the medium ID. Is confirmed, data necessary for generating bill information such as a bill signature key for the medium ID is generated, stored as authentication session information indicating that the medium of the medium ID is being authenticated, and “medium authentication result” Then, the generated data such as “Bill Signature Key” is transmitted to the charging unit 100. Here, by generating, storing and transmitting the “authentication session ID” together with the “bill signature key”, it becomes possible to use the “authentication session ID” instead of the “medium ID”. Can be concealed from the purchase control terminal 200 and the sales server 400. Note that the bill signature key must be encrypted and sent in a form not seen by anyone other than the billing unit 100.
[0055]
Step 106) The authentication charging center 300 transmits the received data such as the bill signature key and the medium ID to the charging unit 100 via the purchase control terminal 200.
[0056]
Step 107) The charging unit 100 stores the received data such as the bill signature key and the medium ID as the medium authentication result as data for generating the bill information corresponding to the authentication medium 10. Since the bill signature key is encrypted, it is decrypted and stored.
[0057]
Step 108) The charging unit 100 notifies the end of the authentication by transmitting an “authentication end notification” to the purchase control terminal 200.
[0058]
Next, the “payment process” will be described.
[0059]
In the payment processing, payment processing is performed for purchase of goods such as contents by generating / dispensing bill information. The timing of the payment processing is “authentication status end processing” after “medium authentication processing” up to step 108. This may be done at any time before, but is usually performed when an instruction to purchase a product is issued from the purchaser.
[0060]
Further, the processing within the range indicated by “payment processing” can be performed a plurality of times for one “medium authentication processing”, that is, a plurality of times to a plurality of sales servers 400 by one medium authentication. Payment (multiple product purchases from multiple sales servers) is possible.
[0061]
Step 109) In the “payment process”, first, a bill request is requested by transmitting a “bills request” message from the purchase control terminal 200 to the charging unit 100. In the case of charging unit 100 capable of connecting a plurality of media, information for specifying the media received in step 102 is also transmitted together.
[0062]
Step 110) Upon receiving the “Bill Request”, the billing unit 100 generates a bill issuance ID that is information for identifying a transaction within one authentication, uses the medium ID stored in step 107, a bill signature key, and the like. Bill information is generated.
[0063]
The bill information is
・ Information identifying the transaction;
・ Signature information;
Here, “information for identifying a transaction” includes information that can uniquely identify a medium such as a medium ID or an authentication session ID, and a bill issue ID that is information for identifying a transaction within the medium authentication session. Consists of. “Signature information” is limited to transactions such as “information for identifying a transaction” and a payment amount, a payee ID, a content ID, etc., using a bill signature key that can be known only by the charging unit 100 that has performed authentication. This corresponds to message authentication information generated by performing encryption, electronic signature, message authentication identifier generation, or the like on the parameter to be set.
[0064]
Step 111) When the bill information is generated in Step 110, the generated bill information is transferred from the charging unit 100 to the purchase control terminal 200.
[0065]
Step 112) The purchase control terminal 200 requests purchase of a product such as content by transmitting bill information, which is information for payment, to the sales server 400.
[0066]
  Step 113) Upon receiving the bill information, the sales server 400 receives the billing request as an authentication billing center.TThe bill information corresponding to the bill information and the price of the merchandise and the payee ID as information for specifying the payee at the time of payment are transmitted to 300. Here, usually, the payee ID is the sales server.4This is information for identifying a business operator having 00.
[0067]
Step 114) Upon receiving bill information, billing amount, payee ID, etc. as the billing request, the authentication billing center 300 first identifies the medium ID from the information identifying the transaction in the bill information, and the identified medium ID. It is checked whether there is authentication session information corresponding to, and whether the medium ID is being authenticated.
[0068]
Step 115) If authentication is in progress, whether or not the signature information in the bill information is correct using the bill signature key generated / saved corresponding to the medium ID (in other words, the information for identifying the transaction and the bill) Check that the parameters that limit transactions in the information are correct).
[0069]
Step 116) When the signature information check succeeds in the bill information check, the remaining amount (in the case of postpaid), which is stored in correspondence with the medium ID in the authentication billing center 300, is charged for the amount specified by the sales server 400. The usage amount is charged, and processing for performing the settlement of the billing amount for the payee ID, such as storing settlement information. Here, in the case where the prepaid balance for the medium ID is managed by the authentication billing center 300, the billing for the remaining amount (use amount in the case of postpaid) is subtracted from the prepaid balance. In the case of the postpaid system, the charge for the remaining amount (the amount used in the case of postpaid) is added to the postpaid settlement amount.
[0070]
Step 117) When the charging is successful, the authentication charging center 300 notifies the sales server 400 that the charging is successful as a response to the charging request by a successful charging notification.
[0071]
Step 118) Upon receiving the billing notice, the sales server 400 informs the purchase control terminal 200 that the billing has been successful as a billing success notice, and gives permission to receive the product (product purchase permission). Note that the billing success notification and the product purchase permission are not necessarily required.
[0072]
Finally, the “authentication state end process” will be described. In this process, the authentication state for the authentication medium 10 is discarded. When the authentication state end process is completed, the in-authentication inspection in step 114 of the “payment process” fails, so that the authentication medium 10 cannot be charged if the “medium authentication process” is performed again.
[0073]
Step 119) When the authentication medium 10 is disconnected from the charging unit 100, the following processing is performed.
[0074]
Step 120) When the connection of the authentication medium 10 is released from the charging unit 100, the charging unit 100 notifies the purchase control terminal 200 that the connection of the authentication medium 10 has been released.
[0075]
Step 121) The data for generating bill information corresponding to the authentication medium 10 stored in Step 107 in the charging unit 100 is deleted.
[0076]
Step 122) The charging unit 100 transmits information specifying the medium (or authentication session) such as the medium ID and the authentication session ID from the charging unit 100 to the authentication charging center 300.
[0077]
Step 123) The authentication / billing center 300 searches for an authentication session based on information specifying the medium (or authentication session) such as the medium ID and the authentication session ID received in Step 122, and deletes the searched authentication session information. Thus, the authentication state for the medium ID is canceled.
[0078]
Step 124) The authentication charging center 300 notifies the charging unit 100 that the authentication state has been released. Note that this processing is not necessarily required.
[0079]
In addition to the authentication state end process shown in FIG. 4, the authentication state may be ended by the following method.
[0080]
(1) In the authentication billing center 300, an authentication valid period is set in advance;
(2) Measure from the authentication status generation / holding of the medium ID in step 105, and set the authentication timeout at the time when the authentication valid period has passed;
(2) When the authentication time-out occurs, the charging state for the medium ID is canceled by deleting the authentication session information.
[0081]
【Example】
Embodiments of the present invention will be described below with reference to the drawings.
[0082]
[First embodiment]
The system according to the present embodiment is premised on a prepaid system using an IC card as an authentication medium, and the purchaser purchases a prepaid card (IC card) in advance before purchasing the product. It is assumed that the remaining amount is paid to the card issuer. Further, it is assumed that the remaining amount of the prepaid purchased is managed by an authentication / billing center owned by the card issuer (or entrusted by the card issuer). In other words, after the payment for the goods paid by the prepaid card, the purchaser performs payment between the card issuer and the seller on the basis of the information of the billing authentication center, so that the system is finally paid to the seller. Assumed.
[0083]
FIG. 5 shows the system configuration of the first embodiment of the present invention.
[0084]
The system shown in FIG. 1 includes a plurality of IC cards 10, a plurality of purchase control terminals 200, a charging unit 100 connected to the purchase control terminal 200, a plurality of sales servers 400, and a single authentication charging center 300.
[0085]
Among these, the IC card 10 includes a communication unit 11 that communicates with the purchase control terminal 200, an authentication response unit 12 that performs card authentication by generating a response to an authentication message from the authentication / billing center 300, and individual cards. A card data holding unit 13 that is a memory that holds a card ID that is a uniquely identifiable identifier and a card authentication key that is secret data for card authentication. This is a prepaid card having a remaining amount including a function for guaranteeing that the card is a legitimate card.
[0086]
FIG. 6 is an example of data in the card data storage unit of the IC card according to the first embodiment of the present invention. The data in the card data storage unit 13 includes a card ID that is an identifier for uniquely identifying each IC card 10 and a card authentication key used for generating authentication data at the time of card authentication. As an attribute of the card ID, it is desirable that reading from the outside is “permitted” but writing is “impossible”. Further, as an attribute of the card authentication key, it is only necessary that the authentication response unit 12 can use it when generating authentication data, and it is desirable that neither reading nor writing from the outside is possible. However, it is desirable that the card authentication key from the authentication / billing center 300 can be updated under specific conditions when authentication is successful.
[0087]
Further, the purchase control terminal 200 mediates communication from the purchase control unit 230 to the charging unit 100, mediates communication to the authentication charging center 300 using the communication unit 210, or receives a message from the charging unit 100 by a message. A charging unit driver 220 that distributes communication destinations to the purchase control unit 230 and the authentication charging center 300; a communication unit 210 that is connected to the network 500 such as the Internet and communicates with the authentication charging center 300 and the sales server 400; The device has an input / output unit such as a display device or a display device, requests the charging unit driver 220 to authenticate the IC card 10 or generates bill information by an operation from the purchaser, and transmits the generated bill information to the communication unit 210. Purchase request and payment of goods by passing to sales server 400 by intermediary Consisting purchase controller 230. performing management.
[0088]
The purchase control terminal 200 is a terminal that provides a purchase service such as content to the purchaser by performing payment control to the sales server 400 from the prepaid balance of the IC card 10 inserted into the charging unit 100.
[0089]
Note that it is assumed that a plurality of purchase control terminals 200 are installed. For example, the purchase control terminal 200 is a kiosk terminal installed in a corresponding manner, a personal computer installed in a home, or any other arbitrary This is an application (and download) terminal for content and product purchase installed at a place.
[0090]
Further, the sales server 400 is connected to a network 500 such as the Internet, receives a purchase request for a product from the communication unit 310 that communicates with the purchase control terminal 200 and the authentication / billing center 300, and the purchase control terminal 200, and receives a purchase request. The billing information received at the time of acceptance is sent to the authentication billing center 300 to make a billing request. From the billing request result, the purchase control terminal 200 transmits permission information for receiving goods, downloads contents, etc. This is a server that performs billing control for selling products such as contents.
[0091]
The seller having the sales server 400 receives the price corresponding to the sales amount by the payment processing from the authentication / billing center 300, but has the payment log DB 430 for storing information for confirmation at the time of payment. There is also.
[0092]
Further, if the sales server 400 is a server that sells content, it may have a content DB 440 that stores the content to be sold.
[0093]
It should be noted that a plurality of sales servers 400 are allowed to be installed, and are basically assumed to be installed for each seller.
[0094]
The authentication charging center 300 is connected to a network 500 such as the Internet, and communicates with the charging unit 100 and the sales server 400 via the purchase control terminal 200, the prepaid balance of the IC card 10 and the card authentication. Card value management DB 340 that manages information for each card ID, unit ID that is an identifier of the charging unit 100, information for mutual authentication, and information for encrypted communication is managed for each charging unit In accordance with the card authentication request from the charging unit management DB 350 and the purchase control terminal 200, authentication of the IC card 10 and mutual authentication with the charging unit 100 are performed, or bill information is confirmed according to the charging request from the sales server 400. Authentication session management that charges for the prepaid balance Part 320, consisting of settlement unit 440 for performing processing for settlement of the payee during charging success in authentication session management unit 320.
[0095]
In addition, in the settlement method in the settlement unit (settlement log DB) 430,
-The settlement log (settlement log DB) 430 holds the settlement log, and when it comes to a certain timing (monthly closing etc.), the settlement is performed.
・ Payment to payee (account number, etc.) by bank transfer etc. online in real time;
In this embodiment, the settlement unit 430 holds a settlement log, and the description will be made on the assumption that a settlement method for paying a payee based on the settlement log is given. A detailed payment method is outside the scope of the present invention and will not be described.
FIG. 7 shows an example of the card value management DB in the authentication / billing center according to the first embodiment of this invention.
[0096]
The data of the card value management DB 340 includes a card ID that is an identifier that uniquely identifies each IC card 10, a prepaid balance that is a balance with respect to the card ID, and a card authentication key that is used to generate authentication data during card authentication. .
[0097]
FIG. 8 shows an example of the charging unit management DB in the authentication charging center of the first embodiment of the present invention.
[0098]
The data of the charging unit management DB 350 includes a unit ID that is an identifier for uniquely identifying each charging unit 100, a charging unit authentication key that is a key for authenticating the charging unit 100 from the authentication charging center 300, and the charging unit 100. Authentication charging center authentication key, which is a key for authenticating authentication charging center 300, and an encryption key for encrypting / decrypting communication between the charging unit and the authentication charging center.
[0099]
FIG. 9 shows an example of the settlement log DB in the authentication / billing center according to the first embodiment of this invention.
[0100]
The data of the settlement log DB 430 includes a payment destination ID that is an identifier for uniquely identifying a payment destination (usually a seller), a payment amount that is the sum of payment amounts for each transaction for the payment destination ID, and an information purchaser's card. To the seller, and consists of transaction such as card ID, bill information, payment amount, content ID, etc., and a transaction list for specifying the transaction ID and unit ID corresponding to the transaction place.
[0101]
The charging unit 100 is connected to the purchase control terminal 200, communicates with the purchase control terminal 200 and the authentication charging center 300, and controls mutual authentication with the authentication charging center 300 and IC card authentication according to the communication content. At the same time, based on the authentication result, the authentication / billing processing unit 140 that generates bill information and the insertion / removal of the IC card 10 are detected, and communication with the inserted card is performed to read / write data in the card. And a card reader / writer 110 having a function for performing card authentication, a unit ID that is an identifier of the charging unit 100, information for mutual authentication (charging unit authentication key, authentication charging center authentication key), and encrypted communication The secret holding unit 120 that holds information (encryption key) in a form that cannot be referred to from the outside, and the authentication charging center 300 authentication Made from the random number generation unit 130 that generates a random number to be used for.
[0102]
Among them, the random number generation unit 130 is a hardware function such as a pseudo-random number generation function that is configured in software and uses a timer as a seed, or obtains random numbers by acquiring thermal noise or the like with an A / D converter or the like. It is also possible to use the method The information held in the confidentiality holding unit 120 is set in both the charging unit management DB 350 of the authentication charging center 300 and the confidentiality holding unit 120 of the charging unit 100. The unit ID is an identifier for identifying the charging unit, and therefore must be unique for all the charging units. Other charging unit authentication keys, authentication charging center authentication keys, and encryption keys are generated by pseudo-random numbers. It may be a random number generated by a function. The communication with the authentication / billing processing unit 140 is preferably implemented in a form that is not referred to from the outside, and the random number generation unit 130, the confidentiality holding unit 120, and the authentication / billing processing unit 140 are combined to provide external communication. It can be realized by a one-chip microcomputer equipped with a memory such as a mask that cannot be read or written. The processing procedure of the authentication / billing processing unit 140 and the information of the confidentiality holding unit 120 are written in a memory such as a mask that cannot be read or written from the outside.
[0103]
Next, the operation in the above configuration will be described.
[0104]
FIG. 10 shows a message sequence chart of authentication processing according to the first embodiment of this invention.
[0105]
Step 201) First, the IC card 10 is inserted into the charging unit 100.
[0106]
Step 202) The charging unit 100 transmits a card device notification message to the purchase control terminal 200.
[0107]
Step 203) Here, upon receipt of the card insertion notification, the purchase control terminal 200 transmits an authentication start request to the charging unit 100, thereby performing “IC card authentication / billing unit authentication / authentication charging center authentication processing” after step 204. However, the processing does not necessarily have to be performed when the card insertion notification is received, and may be triggered by a user operation on the purchase control terminal 200 or the like.
[0108]
The “IC card authentication / billing unit authentication / authentication / billing center authentication processing” is started by transmitting an authentication start request from the purchase control terminal 200 to the charging unit 100.
[0109]
Step 204) Upon receiving the authentication start request, the charging unit 100 transmits a card ID read command to the inserted IC card 10.
Step 205) The IC card 10 reads the card ID held in the card data holding unit 13 and transmits it to the charging unit 100, thereby reading the card ID of the inserted IC card 10.
[0110]
Step 206) When the charging unit 100 finishes reading the card ID, data for authenticating the authentication charging center 300 (authentication charging center challenge) is generated as a random number generated by the random number generation unit 130, and will be described later in Step 213. Up to the authentication / billing center response inspection process.
[0111]
  Step 207) The charging unit 100 transmits the IC card authentication request to the authentication charging center 300 via the charging unit driver 220 and the communication unit 210 of the purchase control terminal 200, whereby the card authentication for the inserted IC card 10 is performed. At this time, the card ID encrypted with the encryption key held in the secret holding unit 120, the unit ID held in the secret holding unit 120, and the generated authentication chargecenterSend a challenge. However, the card ID does not necessarily have to be encrypted, and may be encrypted when the card ID is not desired to be known to the purchase control terminal 200. Here, the encryption function is described on the premise of a common key encryption method in which a common encryption key is held in the charging unit and the authentication charging center. It is also possible to adopt a public key encryption method by having a key of. The encryption method may be anything as long as the original text and the key cannot be easily inferred unless the key is known.
[0112]
Step 208) Upon receiving the IC card authentication request, the authentication / billing center 300 decrypts the card ID / unit ID / authentication / billing center challenge using the encryption key held in the authentication unit management DB 350.
[0113]
Step 209) The authentication session manager uses the authentication billing center authentication key stored for the unit ID in the billing unit management DB 350 of the authentication billing center 300 to perform a calculation for authentication for the decrypted authentication billing center challenge. At 320, an authentication billing center response is generated.
[0114]
Here, an example of generation of an authentication billing center response performed by the authentication session management unit 320 is shown.
[0115]
FIG. 11 shows an example of the authentication / billing center response calculation method of the first embodiment of the present invention. In the example shown in the figure, by the MAC function using the authentication charging center authentication key stored for the unit ID in the charging unit management DB 350 as an encryption key and the authentication charging center challenge generated by the charging unit 100 as an input message. , An authentication billing center response as a MAC (message authenticator) is obtained. The MAC function presupposes a message identifier generation method using an encryption function, and a MAC (message authentication code) generation function defined in ISO 9797, which is an international standard, can be used.
[0116]
  In the authentication billing center response generation process,IsAs long as the authentication charging center response can be created as information that can prove that the authentication charging center authentication key is used, a method other than the example of FIG. 11 may be used. For example, the authentication charging center authentication key and the authentication charging center challenge The authentication billing center response is the result of passing through the one-way hash function and the digital signature using an asymmetric (public key) encryption method with the authentication billing center authentication key as a key.AsYou can use it. However, in the case of using an asymmetric encryption method, the authentication charging center authentication key held in the authentication charging center 300 is used as an authentication key, and the authentication charging center authentication key held in the charging unit 100 is used as a verification key and is associated as a pair. However, it is necessary to use different data keys.
[0117]
Step 210) Next, the authentication charging center 300 generates data (charging unit challenge) for authenticating the charging unit 100 as a random number generated by a pseudo-random number generation function or the like, and holds it until step 213.
[0118]
Step 211) The authentication / billing center 300 generates a random number using a pseudo-random number generation function or the like.
[0119]
Step 212) The authentication charging center 300 uses the calculated authentication charging center response, the generated charging unit challenge, and the generated random number as a calculation request via the communication unit 210 of the purchase control terminal 200 and the charging unit driver 220. To 100.
[0120]
Step 213) The charging unit 100 extracts the authentication charging center response in the calculation request message received from the authentication charging center 300, and uses the authentication charging center authentication key held in the authentication charging center challenge and the confidentiality holding unit 120. The authentication billing center 140 performs the same calculation as the authentication billing center response generation processing in step 210 in the authentication billing center 300, and compares the authentication billing center response received from the authentication billing center 300 with the calculation result. If so, it is assumed that the authentication / billing center has been successfully authenticated, and the following operation is continued. However, if the result of the calculation is different, the authentication / billing center is unsuccessful and the authentication processing is stopped.
[0121]
Step 214) When the authentication charging center response inspection is successful, the charging unit 100 transfers the random number included in the calculation request to the IC card 10 as a card calculation request.
[0122]
Step 215) Upon receiving the calculation request, the IC card 10 performs a calculation for the received random number in the authentication response unit 12 as a response calculation.
[0123]
The response calculation in the authentication response unit 12 will be described below.
[0124]
FIG. 12 shows an IC card authentication response calculation method (part 1) according to the first embodiment of the present invention. In the example shown in the figure, the random number generated by the authentication / billing center and the card authentication key held by the card data holding unit 13 are used as parameters used for the response calculation, and the random number is used as an input sentence to the encryption function. By using the key as the encryption key, the obtained encryption result is used as the calculation result of the response calculation.
[0125]
Here, if the encryption function is a method that makes it difficult to guess the calculation result from the random number that is the input sentence, or to guess the card authentication key from the random number that is the input sentence and the calculation result that is the output sentence Anything.
[0126]
An example of calculation performed by another authentication response unit 12 is shown below.
[0127]
FIG. 13 shows an IC card authentication response calculation method (No. 2) according to the first embodiment of the present invention. In the example of FIG. 12, the random number generated by the authentication / billing center 300 and the card authentication key held by the card data holding unit 13 are used as parameters used for the response calculation as in the example of FIG. By combining random numbers and using it as an input to a one-way hash function, the output result obtained is used as the calculation result of the response calculation.
[0128]
Here, the one-way hash function may be any method as long as it is difficult to infer a card authentication key that is another part of the input sentence from the calculation result and a random number that is a part of the input sentence. Functions, SHA functions, and the like can be used (one-way hash function, MD5, SHA reference: Eiji Okamoto, “Introduction to Cryptography: Kyoritsu Shuppan, 1993”).
[0129]
Further, the calculation performed by the authentication response unit 12 may be a method other than that shown in FIG. 12 or FIG. 13. The calculation result is obtained from the input random number by using a card authentication key that is concealed for each card and set. Any calculation method can be used as long as it is difficult to guess. In particular, in order to manufacture an IC card medium at a low cost, it is desirable that it can be calculated with simple logic, and the method may be determined based on the manufacturing cost and safety (difficulty in estimating the calculation result) of the medium.
[0130]
Step 216) When the calculation result by the response calculation is obtained, the IC card 10 transmits the calculation result to the charging unit 100 as a card calculation request response.
Step 217) When the card calculation request response is obtained, the charging unit 100 uses the charging unit authentication key held in the confidentiality holding unit 120 to authenticate the calculation for authentication for the charging unit challenge acquired in Step 211. The accounting unit 140 generates the accounting unit response.
[0131]
Here, an example of charging unit response generation performed by the authentication / billing processing unit 140 will be described.
[0132]
FIG. 14 shows an example of a charging unit response calculation method according to the first embodiment of this invention. In the example of the figure, as a MAC (message identifier) by a MAC function using the charging unit authentication key held in the authentication / billing processing unit 140 as an encryption key and the charging unit challenge generated in the authentication charging center 300 as an input message. The charging unit response is obtained. The MAC function presupposes a message identifier generation method using an encryption function, and a MAC (message authentication code) generation function or the like defined in ISO9797, which is an international standard, can be used.
[0133]
In the charging unit response generation process, any method other than that shown in FIG. 14 may be used as long as the charging unit response can be created as information that can prove that the charging unit authentication key is used. The billing unit challenge is a result of passing the billing unit challenge and passing through the one-way hash function, and the billing unit response is a digital signature using an asymmetric (public key) encryption method with the billing unit authentication key as a key. You can use it. However, in the case of using an asymmetric encryption method, the charging unit authentication key held in the charging unit is used as an authentication key, and the charging unit authentication key held in the authentication charging center 300 is used as a verification key. However, it is necessary to use different data keys (the generation of the charging unit response is the same as the generation of the authentication charging center response).
[0134]
Step 218) The charging unit 100 transmits the charging unit response and the calculation result to the authentication charging center 300 via the charging unit driver 220 of the purchase control terminal 200 and the communication unit 210 as a calculation request response.
[0135]
Step 219) When the charging unit response is obtained from the calculation request response, the authentication charging center 300 holds the charging unit response in the charging unit management DB 350 for the unit ID received by the charging unit challenge and the IC card authentication request as the charging unit response inspection process. The authentication unit managing unit 320 performs the same calculation as the charging unit response generation process in step 217 in the charging unit 100 using the charging unit authentication key being used, and compares the calculation result with the charging unit response received from the charging unit 100 If both are the same, it is assumed that the charging unit has been successfully authenticated, and the following operation is continued. However, if the result of the calculation is different, the authentication process is canceled because the charging unit has failed.
[0136]
Step 220) Next, in the authentication / billing center 300, the authentication session management unit 320 uses the random number generated in the random number generation process in Step 211 and the card authentication key corresponding to the card ID stored in the card value management DB 340. The same calculation as the response calculation in step 215 of the IC card 10 is performed, and the calculation result received from the IC card 10 via the charging unit 100 is compared with the authentication session management unit 320. For example, it is assumed that the card authentication has succeeded, and if the calculation results are different, the card authentication has failed.
[0137]
Step 221) When the card authentication is successful, the authentication / billing center 300 generates data necessary for generating bill information such as an authentication session ID and a bill signature key for the card ID as an IC card authentication result.
[0138]
Step 222) The authentication session ID generated for the card ID, the bill signature key, the prepaid balance managed corresponding to the card ID in the card value management DB 340, and the authentication valid managed by the authentication billing center 300 The period is encrypted with the encryption key held in the charging unit management DB 350 corresponding to the unit ID and transmitted to the charging unit via the purchase control terminal 200.
[0139]
Step 223) The authentication / billing center 300 transmits the IC card authentication result to the charging unit 100, and as the authentication session information indicating that the card ID has been authenticated, together with the unit ID received in the IC card authentication request, the authentication session Stored in the management unit 320. In this example, the authentication session DI, bill signature key, prepaid balance / authentication expiration date are encrypted and transmitted. However, the authentication session ID, the prepaid balance and the authentication expiration date are not necessarily encrypted. However, it is necessary to encrypt the bill signature key so that only the billing unit 100 can know it. Here, the encryption function is described on the premise of a common key encryption method in which a common encryption key is held by the charging unit 100 and the authentication charging center 300. It is also possible to adopt a public key encryption method by having the key. The encryption method may be anything as long as the original text and the key are not easily inferred unless the key is known.
[0140]
Here, an example of authentication session information in the authentication / billing center 300 is shown.
[0141]
FIG. 14 shows an example of authentication session information in the authentication / billing center of the first embodiment of the present invention. In the example shown in the figure, the authentication session information of the authentication / billing center includes a card ID, an authentication session ID, a bill signature key, an authentication timeout time, a used bill issue ID list, and a unit ID.
[0142]
Among these, the authentication session ID is an identifier for uniquely specifying the authentication generated by the authentication session management unit 320, and may be generated so as not to overlap with other authentication session information, and is managed by the authentication session management unit 320. It can be generated by a method such as allocation by serial number.
[0143]
The bill signature key is a key that is generated for the authentication session ID and used for confirmation of bill information during the authentication session, and may be generated in a form that is not inferred by a third party other than the charging unit 100. For example, a random number generated by a pseudo random number generation function can be used.
[0144]
The authentication timeout time is the time when the authentication valid period arbitrarily set in the authentication billing center 300 has elapsed from the time (current time) when the authentication session information is generated, and when the authentication timeout time is reached. The authentication session information is discarded (or the authentication session information is invalidated).
[0145]
Step 224) The charging unit 100 receives the IC card authentication result, receives the encrypted authentication session ID, bill signature key, prepaid balance and authentication validity period, decrypts the received data, and performs authentication / billing processing. The data is stored in the unit 140 as authentication session information that is data for generating bill information.
[0146]
Step 225) The charging unit 100 notifies the end of the authentication by transmitting the received prepaid balance to the purchase control terminal 200.
[0147]
Step 226) Upon receipt of the authentication end notification, the purchase control terminal 200 presents the received prepaid balance to the user by displaying it on the display device of the purchase control unit 230 or the like.
[0148]
FIG. 16 shows an example of authentication session information in the accounting unit of the first embodiment of the present invention. In the example shown in the figure, the authentication session information of the charging unit 100 includes a card ID, a bill issueable amount, an authentication session ID, a bill signature key, an authentication timeout time, and a next bill issue ID. In the example, one authentication session information is provided. However, in an accounting unit having a card reader / writer that can handle a plurality of cards simultaneously (in the case of a non-session type card or the like), an authentication session for a plurality of card IDs. Information may be held (Here, in the case of a charging unit that can manage multiple authentication session information using a card reader / writer 110 that can handle multiple cards at the same time, it corresponds to the card ID of the extracted card) In order to specify authentication session information to be performed or to specify a communication symmetric card, the card reader / writer 110 performs authentication / billing processing on information for identifying the card by the card reader / writer 110 when the card is inserted or withdrawn. Output to the unit 140, and when communicating with the IC card 10, the card reader / It is necessary for the writer 110 to specify information for identifying the card, and for the card insertion notification and the card withdrawal notification, a card reader is also used in communication between the purchase control terminal 200 and the charging unit 100 such as an authentication start request. It is necessary for the / writer to exchange information for identifying the card, and the card reader / writer 110 manages information for identifying the card in association with the card ID in the authentication / billing processing unit 140, It becomes possible to specify the card ID and authentication session information of the card that was pulled out when the card was pulled out).
[0149]
Here, the bill issuable amount is set as the initial value of the prepaid balance of the IC card authentication result received from the authentication billing center 300 in step 222, and is subtracted by the amount of payment each time the bill information is paid to the sales server 400. Then, grasp the prepaid balance.
[0150]
The authentication session ID and the bill signature key are data received from the authentication / billing center 300 in step 222.
[0151]
The authentication timeout time is the time when the authentication valid period of the IC card authentication result received in step 222 has passed since the time (current time) when the authentication session information was generated. Judge that the information is invalid.
[0152]
The next bill issue ID indicates a bill issue ID in the bill information to be generated next time, and is incremented by one each time bill information (billet issue ID) is generated. When authentication session information is newly saved, 0 or the like is set as an initial value.
[0153]
If the charging unit response check (charging unit authentication) or calculation result verification (card authentication) fails, the authentication failure is notified in step 222 without performing steps 221 and 223, and the authentication failure is received. The purchase control terminal 200 does not store the authentication session information in step 224 (billing unit).
[0154]
Next, the purchase / payment process will be described in detail.
[0155]
FIG. 17 is a message sequence chart of payment processing / authentication state termination processing according to the first embodiment of this invention.
[0156]
In the figure, within the range shown in the purchase / payment process, the purchase / payment process of the content etc. is performed by generating / dispensing the bill information. The timing of the purchase / payment process is the authentication after the IC card authentication process. This may be done at any time before the state termination process, but is usually performed when an instruction to purchase a product is issued from the purchaser.
[0157]
Further, the processing in the range shown in the purchase / payment processing can be performed a plurality of times for one IC card authentication processing, that is, a plurality of sales servers 400 can be processed by one card authentication. Payment (multiple purchases from multiple sales servers).
[0158]
In the purchase / payment processing of the present embodiment, information (content ID, price, payee ID, etc.) of the product to be purchased is obtained before the payment processing such as bill information generation and the purchase from the purchaser. It is assumed that there is an instruction, and it is assumed that the product to be purchased is download content.
[0159]
Step 301) First, the purchase control terminal 200 obtains a menu list of content information including a content name, content ID, price, payee ID, etc. from the sales server 400.
[0160]
Step 302) Displaying the obtained menu list on the display device of the purchase control unit 230 or the like facilitates the purchaser's input.
[0161]
Step 303) The purchase content is designated by the purchaser by the key button device of the purchase control unit 230 or the like.
[0162]
Step 304) The purchase control terminal 200 transmits the content ID, the payee ID, and the payment amount, which is the price of the content, as a bill request to the charging unit, and enters the payment process.
[0163]
Step 305) When the billing unit 100 receives the content ID, the payee ID, and the payment amount as a bill request, the authentication session ID, bill signature key, and next bill issue ID of the authentication session information are read out, and the authentication / billing processor 140 By creating a bill signature, bill information is generated, and the payment amount, which is the price of the purchased content, is subtracted from the bill issueable amount of the authentication session information, and 1 is added to the next bill issue ID. However, when the authentication timeout time of the authentication session information is exceeded, billing information cannot be charged even if the bill information is created. Therefore, the bill information is not generated and an error is returned with the bill information.
[0164]
In the case of the charging unit 100 corresponding to a plurality of cards, the purchase control terminal 200 designates the IC card 10 to make a bill request, but the authentication session information held in the authentication / billing processing unit 140 is When there are a plurality of cards (when a plurality of cards have been authenticated), the purchase control terminal 200 selects a card,
・ Choose a card inserted earlier;
・ Choose a card with a small balance;
・ Choose a card with a large balance;
Etc., or other rules.
[0165]
FIG. 18 shows an example of bill information according to the first embodiment of the present invention. In the example shown in the figure, the bill information includes an authentication session ID, a bill issue ID, and a bill signature. The authentication session ID includes the authentication session ID read from the authentication session information, and the bill issue ID includes an authentication session. The next bill issuance ID read from the information is entered, and the bill signature created by the authentication / billing processing unit 140 is entered in the bill signature.
[0166]
FIG. 19 shows an example of a bill signature creation method in the authentication / billing processing unit of the first embodiment of the present invention. In the example shown in the figure, a bill signature key, an authentication session ID, a bill issue ID, a payee ID, a payment amount, and a content ID are used as parameters for creating a bill signature. By entering the directional hash function, a bill signature as a message authenticator for the input sentence is obtained. The one-way hash function is difficult to guess the card authentication key of the input sentence from the calculation result, and conversely, it is difficult to create another input sentence and bill signature pair without knowing the card authentication key. Any MD5 function, SHA function, etc. can be used. In addition to the above, a unit ID, a charging unit authentication key, etc. may be added and used as parameters.
[0167]
Here, the bill signature key, the authentication session ID, and the bill issue ID are data read from the authentication session information, and are information that certifies the card of the payment source (billing destination).
[0168]
The payment destination ID / content ID is information on the purchased content received from the sales server 400. Alternatively, the price of the purchased content of the content is entered in the payment destination, and the payment destination ID / content ID / payment amount is the transaction. The information is limited.
[0169]
FIG. 20 shows an example (part 2) of the bill signature generation method of the first embodiment of the present invention. In the example of FIG. 19, as in the example of FIG. 19, a bill signature key, an authentication session ID, a bill issue ID, a payee ID, a payment amount, a content ID are used as parameters for creating a bill signature. A bill signature as a MAC (message authenticator) is obtained by a MAC function using a signature key as an encryption key and data obtained by combining other parameters as an input message. The MAC function is premised on a message identifier generation method using an encryption function, and a MAC (messeage authentication code) generation function defined in ISO 9797, which is an international standard, can be used. In addition to the above, a unit ID, a charging unit authentication key, etc. may be added to the input message as parameters.
[0170]
In addition, the bill signature creation method is an example of FIGS. 19 and 20 as long as a bill signature can be created as information that can prove that the authentication session ID, bill issue ID, payee ID, payment amount, and content ID have not been tampered with. For example, a digital signature using a non-object (public key) encryption method using a bill signature key as a key may be used. However, when using the non-target encryption method, the bill signature key held in the charging unit is used as an authentication key, and the bill signature held in the authentication billing center 300 is used as a verification key, but they are associated as a pair. You need to use a key.
[0171]
Step 306) When the bill information is generated in Step 305, the generated bill information is transmitted from the charging unit 100 to the purchase control terminal 200.
[0172]
Step 307) The purchase control terminal 200 requests the content purchase by transmitting the content ID designating the purchased content and the bill information which is information for payment to the sales server 400.
[0173]
Step 308) Upon receiving the content ID and bill information, the sales server 400 corresponds to the bill information, the payee ID as information for specifying the payee at the time of payment, and the price of the content. The billing amount and the content ID are transmitted.
[0174]
Here, the charged amount must be the same as the price of the content transmitted to the purchase control terminal 200 in step 301, and the payee ID must also be the payee ID transmitted to the purchase control terminal 200 in step 301 ( If you enter any other value, billing will fail.) Note that in a normal case, the payee ID is information that identifies the business operator having the sales server 400.
[0175]
Step 309) When the billing information, the payee ID, the billing amount, and the content ID are received as the billing request, the authentication billing center 300 firstly authenticates the authentication session ID in the bill information by the authentication session management unit 320. A search is performed from the session information, and if there is corresponding authentication session information, it is checked whether the current time is before the authentication timeout time.
[0176]
When the corresponding authentication session information exists and is before the authentication timeout period, it is determined that the authentication for the requested bill information is valid, and the process proceeds to the next step. On the contrary, if there is no corresponding authentication session information or if the authentication timeout period has passed, even if the authentication timeout information has passed, the sales server 400 is notified of the charging failure and the process is terminated.
[0177]
Step 310) It is checked whether the bill issue ID in the bill information is registered in the used bill issue ID list of the corresponding authentication session information searched, and if it is registered, it is already billed bill information. If it is determined that there is, the sales server 400 is notified of the charging failure, and the process is terminated.
[0178]
When the bill issuance ID is not registered, the bill information in the bill information is obtained by using the bill signature key of the searched authentication session information and the bill information, the payee ID, the billing amount, and the content ID received from the sales server 400. Check the bill signature.
[0179]
In the bill signature inspection, the billing key, authentication session ID in the bill information, bill issue ID in the bill information, payee ID, billing amount (in the bill signature creation procedure) A bill signature is created with the content ID as a parameter, and the bill signature in the bill information is compared with whether the created bill signature is the same.
[0180]
Here, if the bill signature in the bill information is different from the created bill signature, it is determined that the bill information or the information specified by the sales server 400 is invalid, and the billing failure is caused to the sales server 400. Notify and finish the process.
[0181]
If the bill signature in the bill information is the same as the created bill signature, the process proceeds to the next step.
[0182]
Step 311) The authentication billing center 300 registers the bill issue ID in the bill information in the used bill issue ID list of the authentication session information searched in Step 309 and the card ID of the authentication session information searched in Step 309. In response to this, the amount charged from the sales server 400 is subtracted from the prepaid balance managed by the card value management DB 340. Here, if the prepaid balance is less than the billed amount, it is determined that the billing amount cannot be charged, the billing failure is notified to the sales server 400, and the process is terminated.
[0183]
Once the prepaid balance has been calculated, the authentication session management unit 320 passes the card ID and the bill information / payee ID / charged amount / content ID received from the sales server 400 to the settlement unit 440, thereby adjusting the settlement unit. In 440, in correspondence with the payee ID in the settlement log DB 430 managed in the settlement section, the unit ID information of bill information, billing amount, content ID, and authentication session information is added as a transaction list, and the billing amount is added to the settlement amount. Is added.
[0184]
Step 312) When the charging is successful, the authentication charging center 300 notifies the sales server 400 that the charging is successful as a response to the charging request.
[0185]
Step 313) Upon receiving the billing success notification, the sales server 400 starts distributing the requested content to the purchase control terminal 200.
[0186]
Finally, the authentication state end process will be described.
[0187]
Finally, the authentication status for the IC card 10 is discarded within the range indicated by “authentication status processing” shown in FIG. When the authentication state termination process is performed, the authentication session information of the target card in the charging unit is deleted, so that bill information for the target card cannot be generated. Further, since the authentication session information of the target card in the authentication / billing center 300 is also deleted, the check during authentication of the payment process fails, and it becomes impossible to charge the target card until the IC card authentication process is performed again.
[0188]
In the description of the present embodiment, the authentication status end process is described with the card withdrawal as an opportunity. However, other than the card withdrawal, there is an instruction from the user to terminate the service, and a message indicating the authentication status end is displayed on the charging unit. When the message is sent, the authentication state end process may be performed with an opportunity.
[0189]
Step 314) The authenticated card is pulled out by the IC card authentication process. Step 315) Card withdrawal is detected by the card reader / writer 110 in the charging unit 100, and the charging unit 100 asks the purchase control terminal 200 to pull out the card. By sending a notification message, the card withdrawal is notified. At this time, in the case of a plurality of card-compatible charging units, information specifying the extracted card is also transmitted together.
[0190]
Step 316) Next, the charging unit 100 deletes the authentication session information corresponding to the card ID of the extracted card held by the authentication / billing processing unit 140.
[0191]
Step 317) The charging unit authentication / billing processing unit 140 transmits the authentication session ID held in the authentication session information to the authentication charging center via the purchase control terminal 200, thereby authenticating the card with the card ID. Request destruction of status (deletion of authentication session information).
[0192]
Here, the information transmitted as the IC card authentication end request may be information that can identify the authentication session, and may be a card ID instead of an authentication session ID in this embodiment.
[0193]
Step 318) Upon receiving the IC card authentication end request, the authentication billing center 300 searches the authentication session information held in the authentication session management unit 320 based on the received authentication session ID, and deletes the searched authentication session information. The authentication status for the authentication session ID is discarded.
[0194]
Step 319) The authentication / billing center 300 notifies the charging unit 100 via the purchase control terminal 200 that the authentication state has been discarded as the IC card authentication end result.
[0195]
Next, the operation of the charging unit 100 having the above configuration will be described.
[0196]
FIG. 21 is a flowchart of the operation of the charging unit according to the first embodiment of this invention.
[0197]
First, in the charging unit 100, the card reader / writer 110 waits for card connection to be detected (step 401), and transmits a card insertion notification to the purchase control terminal 200 when a card is detected (step 402). ), Waits for an authentication start request message to be received from the purchase control terminal 200 (step 403).
[0198]
When the authentication start request message is received, the card ID stored in the card data holding unit 13 in the connected IC card 10 is read (step 404). When the card ID has been read, an authentication / billing center challenge is generated as data for authenticating the authentication / billing center 300 (step 405). A random number generated by the random number generation unit 130 is used for the authentication / billing center challenge.
[0199]
When the authentication / billing center challenge is generated, the authentication / billing center 300 requests the card authentication for the inserted IC card 10 by transmitting the IC card authentication request to the authentication / billing center 300. The generated unit ID and the generated authentication / billing center challenge are transmitted (step 406).
[0200]
Next, it waits for a calculation request message from the authentication / billing center 300 (step 407).
[0201]
When the calculation request message is received, the authentication billing center response received by the calculation request message is checked (step 408). The inspection is as described in step 213 in FIG.
[0202]
If an error occurs in the authentication / billing center response check (that is, authentication of the authentication / billing center 300 fails) (step 408, Yes), an error message or the like is transmitted to the purchase control terminal 200 as error processing, and the processing is terminated (step). 425).
When the authentication billing center response inspection is completed (No in step 408), the card reader / writer 110 is used to transmit the random number received in the calculation request to the IC card 10 as a card calculation request (step 409). Waits for a calculation response from (step 410).
[0203]
When the card calculation response is received, a charging unit response is generated for the charging unit challenge received as a result of the calculation (step 411). The generation of the accounting unit response is as described in step 217 of FIG.
[0204]
When the charging unit response is generated, the generated charging unit response and the calculation result received by the card calculation response from the IC card 10 are transmitted to the authentication charging center 300 as a calculation request response (step 412). Waits for an IC card authentication result message (step 413). When the message is received, the process proceeds to the next process.
[0205]
Here, when data indicating an authentication error is received when the IC card authentication result message is received (step 414, Yes), processing such as sending an error message to the purchase control terminal 200 is performed, and the processing ends. (Step 425).
If it is not an authentication error (No in step 414), the authentication session ID, bill signature key, prepaid balance, and authentication validity period encrypted in the IC card authentication result message are received, and thus stored in the confidentiality holding unit 120. The received data is stored in the authentication / billing processing unit 140 together with the card ID as authentication session information that is data for generating bill information (step 415). At the same time, the decrypted prepaid balance received as the authentication end notification is transmitted to the purchase control terminal 200 (step 416). The authentication valid period is stored as an authentication timeout period as a time when the authentication valid period has elapsed from the time (current time) when the authentication session information is generated.
[0206]
The next bill issue ID is initialized to “0”.
[0207]
Up to the above processing corresponds to the authentication processing.
[0208]
The following corresponds to purchase / payment processing and authentication status termination processing.
[0209]
Here, in order to generate a bill with the remaining amount of the card inserted only during the card insertion, the card reader / writer 110 detects the card withdrawal, and when the card withdrawal is detected (step 417). , Yes), the authentication state for the IC card 10 is discarded. For discarding the authentication state, first, the purchase control terminal 200 is notified that the card has been pulled out (step 422), and at the same time, the authentication corresponding to the card ID of the card that has been held by the authentication / billing processing unit 140. The session information is deleted (step 423).
[0210]
In the authentication / billing process 140 of the charging unit 100, the authentication session ID in the authentication charging center 300 is transmitted by designating the authentication session ID to the authentication charging center 300 and transmitting an IC card authentication end request message. A request for discarding the authentication status of the card (deletion of authentication session information) is made (step 424), and an IC card authentication end result from the authentication / billing center 300 is waited. When an IC card authentication end result message is received, the processing ends. .
[0211]
On the other hand, when the card withdrawal is not detected (step 417, No), the receipt of the bill request from the purchase control terminal 200 is checked. When the bill request is not requested (step 418, No), the card withdrawal or The check is repeated until bills are requested.
[0212]
  When a content ID, a payee ID, and a payment amount are received as a bill request from the purchase control terminal 200, an authentication session ID, a bill signature key, a bill issuance ID (next bill issuance ID) stored in the authentication session information, and purchase control Using the payee ID, payment amount, and content ID specified by the bill request from the terminal 200 as parameters, the authentication / billing processing unit 140 creates a bill signature, and combines the authentication session ID, bill issue ID, and bill signature. Use bill information (How to create bill information and bill signature)InThis will be described with reference to FIGS. 18 to 20) (step 419).
[0213]
However, when the authentication timeout time of the authentication session information is exceeded, billing information cannot be charged even if bill information is created. Therefore, an error is transmitted to the purchase control terminal 200 without generating bill information. .
[0214]
When the bill information generation ends, the payment amount, which is the price of the purchased content, is subtracted from the bill issueable amount of the authentication session information, and 1 is added to the next bill issue ID (step 420).
[0215]
Next, bill information is transmitted to the purchase control terminal 200 (step 421), the process returns to the card withdrawal in step 417, and steps 417 to 421 are repeated until the card is removed.
[0216]
Next, processing of the purchase control terminal 200 will be described.
[0217]
FIG. 22 is a flowchart of the operation of the purchase control unit of the purchase control terminal according to the first embodiment of this invention.
[0218]
First, purchase control terminal 200 waits for card 10 to be inserted into charging unit 100 and receiving a card insertion notification (step 501). When card insertion notification is received, authentication start request message for the inserted card is sent to charging unit 100. (Step 502), and waits for an authentication end notification message for the authentication start request message from the charging unit 100 (Step 503).
[0219]
If data indicating an authentication error is received when the authentication end notification message is received (step 504, Yes), an error message is displayed, a card removal / exchange instruction is performed, and the process is terminated (step 513). ).
[0220]
If it is not an authentication error (No in step 504), the prepaid balance is received in the authentication end notification message, so the received prepaid balance is displayed on the display device of the purchase control unit 230 and presented to the user (step 505). ).
[0221]
In addition, the menu list of the content to be purchased is acquired from the sales server 400, and the acquired menu list is displayed on the display device or the like of the purchase control unit 23 (step 506).
[0222]
The menu list to be acquired includes content information (content ID, price, payee ID, etc.) necessary for creating bill information for purchasing products in addition to the content name and description information for displaying the menu. ing.
[0223]
The content purchase process starts according to the user's instruction. Here, since it is possible to obtain a bill with the remaining amount of the card inserted only during card insertion, it is configured to terminate the service with the card withdrawal as a trigger, so check whether a card withdrawal notification has been received from the charging unit 100 If the card withdrawal notification is received (step 507, Yes), the process is terminated.
[0224]
If the card withdrawal notification cannot be received, it is checked that the purchase content is selected from the menu displayed on the purchase control unit 230 by the purchaser's operation, and if the selection is not made (step 508, No), the card is repeatedly checked until the card is pulled out or the menu is selected.
[0225]
Note that purchase content selection is performed by the key button device of the purchase control unit 230 or the like.
[0226]
When the purchaser selects a menu and selects the content to be purchased, the payee ID, payment amount, and content ID, which are content information (information acquired from the sales server 400 as a menu list) corresponding to the designated content, are obtained. The bill request message is transmitted to the charging unit (step 509), and the bill information is passed from the charging unit 100 (step 510).
[0227]
When bill information is passed from the billing unit 100, the purchase control terminal 200 sends a content purchase request message to the sales server 400 in the content purchase request message, and information for payment acquired from the billing unit 100. By transmitting the bill information, the content purchase is requested (step 511), the distribution of the requested content from the sales server 400 is waited, and the distributed content is received (step 512). If the billing information confirmation fails in the authentication / billing center 300, the sales server 400 receives a billing failure notification and the content is not distributed.
[0228]
When the reception of the content is completed, the process returns to step 507, and the processing from step 507 to step 512 is repeated until the card 10 is pulled out.
[0229]
Next, processing in the authentication / billing center 300 will be described.
[0230]
FIG. 23 is a flowchart of the overall operation of the authentication / billing center according to the first embodiment of this invention. The figure shows that the message received from the charging unit via the purchase control terminal 200, the message received from the sales server 400, and the authentication session expiration are monitored, and the processing corresponding to each occurrence is performed. ing.
[0231]
Specifically, it is monitored whether the IC card authentication request message is received from the charging unit 100 via the purchase control terminal 200, and when it is received (step 601, Yes), the IC card authentication process (step 610) is performed. Details of the IC card authentication processing will be described later with reference to FIG.
[0232]
Further, it is monitored whether or not the IC card authentication end request message is received from the charging unit 100 via the purchase control terminal 200. When the IC card authentication end request message is received (step 602, Yes), IC card authentication end processing (step 630) is performed. Details of the IC card authentication end process will be described later with reference to FIG.
[0233]
Further, it is monitored whether or not a charging request message is received from the sales server 400, and when it is received, a charging process (step 640) is performed. Details of the accounting process will be described later with reference to FIG.
[0234]
Further, it is monitored whether the authentication timeout time in the authentication session information stored in the authentication session management unit 320 is older than the current time, and if it is older, if there is an authentication session, an authentication timeout process (step 660). To do. Details of the authentication timeout process will be described later with reference to FIG.
[0235]
Hereinafter, the IC card authentication process will be described.
[0236]
FIG. 24 is a flowchart of the IC card authentication process according to the first embodiment of this invention.
[0237]
First, the unit ID received by the IC card authentication request message from the charging unit 100 is retrieved from the charging unit management DB 350 and if registered (step 610, Yes), the process proceeds to the card ID decrypting process (step 611). To do. If not registered (No in Step 610), information indicating an error is transmitted to the charging unit 100, and the process is terminated (Step 624).
[0238]
Using the encryption key registered for the unit ID of the charging unit management DB 350 searched in step 610, the encrypted card ID received by the IC card authentication request is decrypted (step 611). .
[0239]
Next, the decrypted card ID is searched from the card value management DB 340, and if it is registered (Yes in step 612), the process proceeds to an authentication / billing center response generation process.
[0240]
If not registered (step 612, No), processing such as transmitting information indicating an error to the purchase control terminal 200 is performed, and the processing is terminated (step 624).
[0241]
In the authentication charging center response generation and charging unit challenge generation processing, the authentication charging center response and charging unit challenge are generated by the processing described in FIG. 10 (steps 613 and 614).
[0242]
Next, a random number is generated using a pseudo-random number generation function or the like, and the generated authentication charging center response, charging unit challenge, and random number are transmitted to the charging unit 100 via the purchase control terminal 200 as a calculation request message (step) 615).
[0243]
Next, it waits for a calculation request response message from the purchase control terminal 200 (step 616) and receives the message. The billing unit response received in the calculation request response is checked (step 617). If the check is successful (step 618, Yes), the process proceeds to the response calculation processing (step 619).
[0244]
If the inspection is unsuccessful (ie, charging unit authentication failure) (No in step 618), processing such as transmitting information indicating an error to the purchase control terminal 200 is performed, and the processing is terminated (step 624). .
[0245]
The charging unit response inspection method is as shown in the charging unit response inspection shown in FIG.
[0246]
The authentication session management unit 320 performs the same calculation as the IC card 10 using the transmitted random number and the card authentication key stored in the card value management DB 340 corresponding to the received card ID, and obtains the calculation result. (Step 619). The calculation method is as described in FIG. 13 and FIG.
[0247]
Next, the calculation result received in the calculation request response message is compared with the calculation result in the authentication session management unit 320. If the two calculation results do not match (No in step 620), the purchase control terminal 200 is checked. Processing such as transmitting information indicating an error as the IC card authentication result is performed, and the processing is terminated (step 624).
[0248]
If both the calculation results match (step 620, Yes), an authentication session ID that does not overlap with other authentication session IDs in the authentication session information is generated by a method such as assigning a serial number managed by the authentication session management unit 320. At the same time, a bill signature key is generated by a pseudo random number generation function or the like (step 621).
Further, the purchase control terminal 200 indicates the generated authentication session ID, bill signature key, the prepaid balance managed corresponding to the card ID received by the card value management DB 340, and the authentication valid period managed by the authentication billing center 300. To the charging unit 100 as an IC card authentication result message. However, the authentication session ID, bill signature key, prepaid balance and authentication validity period are encrypted and transmitted using the encryption key stored for the unit ID in the charging unit management DB 350 (step 622).
[0249]
Further, as authentication session information indicating that the received card ID has been authenticated, the received card ID, the generated authentication session ID, the generated bill signature key, and the time obtained by adding the authentication valid period to the current time The authentication session management unit 320 holds a certain authentication timeout period and the unit ID received in the IC card authentication request as authentication session information, and initializes the used bill issue ID list to an empty list (step 623). . The authentication session information is as described in FIG.
[0250]
If the received card ID is already stored in the authentication session information, the card ID, the authentication session ID, the bill signature key, and the authentication timeout time are overwritten, and the used bill issuance ID list is set to an empty list. initialize.
[0251]
Next, the IC card authentication end process (step 630) will be described.
[0252]
FIG. 25 is a flowchart of the IC card authentication end process of the authentication / billing center according to the first embodiment of this invention.
[0253]
First, it is searched whether the authentication session ID received by the IC card authentication end request message from the charging unit 100 via the purchase control terminal 200 is registered in the authentication session information held in the authentication session management unit 320 (here. The information received in the IC card authentication end request may be information that can identify the authentication session, and may be a card ID instead of an authentication session ID in this embodiment (step 630).
[0254]
When the authentication session ID is not registered in the authentication session information (step 631, No), processing such as sending an error to the charging unit 100 is performed, and the processing is terminated (step 634). If registered (step 631, Yes), the authentication session information retrieved corresponding to the authentication session ID is deleted (step 632), and the authentication state is discarded as an IC card authentication end result message in the purchase control terminal 200. This is notified (step 633).
[0255]
Next, the accounting process will be described.
[0256]
FIG. 26 is a flowchart of the charging process of the authentication charging center according to the first embodiment of this invention.
[0257]
First, it is searched whether or not the authentication session ID in the bill information received by the charging request message from the sales server 400 is registered in the authentication session information held in the authentication session management unit 320 (step 640).
[0258]
When the authentication session ID is not registered (step 641, No), processing such as sending an error with a message to the sales server 400 is performed, and the processing is terminated (step 651).
[0259]
If the authentication session ID is registered (step 641, Yes), and if the authentication timeout time of the searched authentication session information is older than the current time (step 642, Yes), an error message is sent to the sales server 400. Processing such as transmission is performed, and the processing ends (step 651).
[0260]
If the time-out time of the retrieved authentication session information is newer than the current time (step 642, No), the process proceeds to the next process.
[0261]
Note that if an expired session is detected in real time by timer monitoring or the like and an authentication timeout process described later is performed, the process for checking the authentication expiration date is not necessarily required.
[0262]
If the bill issuance ID in the received bill information is not registered in the used bill issuance ID list of the searched authentication session information (step 643, Yes), an error is transmitted by a message to the sales server 400, etc. To end the process (step 651).
[0263]
If the bill issuance ID in the received bill information is not registered in the used bill issuance ID list of the retrieved authentication session information (step 643, No), bill signature generation is performed. In the bill signature generation, the bill signature key stored in the authentication session information, the authentication session ID in the received bill information, and the bill in the received bill information are the same as the bill signature generation in the charging unit 100. A bill signature is created using the issued ID, the received payee ID, the billed amount (payment amount at the time of bill signature creation), and the content ID as parameters (step 644). 20).
[0264]
Next, it is compared whether the bill signature in the received bill information is the same as the bill signature created in step 644. If the bill signature in the bill information is different from the created bill signature (step 645, No), processing such as sending an error message to the sales server 400 is performed, and the processing is terminated (step 651).
[0265]
If the bill signature in the bill information is the same as the created bill signature (step 645, Yes), the card value management DB 340 corresponds to the received charge amount and the card ID in the retrieved authentication session information. Compare with the prepaid balance you have.
[0266]
Prepaid balance <billing amount
In the case of (No in step 646), processing such as sending an error with a message to the sales server 400 is performed, and the processing is terminated (step 651).
[0267]
Prepaid balance ≥ billing amount
In this case (step 646, Yes), the bill issue ID in the received bill information is added to the used bill issue ID list of the searched authentication session information (step 647).
[0268]
Next, the amount charged from the sales server 400 is subtracted from the prepaid balance managed by the card value management DB 340 corresponding to the card ID of the retrieved authentication session information (step 648).
[0269]
  Also, from the authentication session management unit 320 to the settlement unit330Against the carDoBy passing the ID, bill information received from the sales server 400, payee ID, billing amount, content ID, and unit ID held in the authentication session information, the settlement section330In the settlement section330Corresponding to the payee ID of the checkout log DB managed in the account, add bill information, charge amount, content ID, and unit ID information as a transaction list, and add the charge amount to the checkout amount ( , As described in FIG. 9) (step 649).
[0270]
Finally, as a response to the charging request, a charging success notification message is notified to the sales server 400 that the charging is successful, and the process is terminated (step 650).
[0271]
Next, the authentication timeout process will be described.
[0272]
FIG. 27 is a flowchart of the authentication timeout process of the authentication billing center according to the first embodiment of this invention.
[0273]
In step 604, the authentication session detected in the presence or absence of an expired session is deleted, and the processing is terminated (step 660).
[0274]
It should be noted that if the process for determining whether the authentication has expired is performed in the accounting process, the process for determining whether there is an expired session and the authentication timeout process are not necessarily required.
[0275]
[Second Embodiment]
FIG. 28 shows the system configuration of the second embodiment of the present invention.
[0276]
  The system of this embodiment is based on a prepaid system (prepaid card) using an IC card as an authentication medium in the same manner as the first embodiment described above. By purchasing a card (IC card), it is assumed that the amount of the issued amount of the prepaid card is paid to the card issuer. Also, as with the first embodiment, the remaining amount of the prepaid card purchasedIsIt is assumed that the authentication / billing center 300 of the card issuer (or entrusted by the card issuer) manages the card. That is, after the purchase price is paid by the purchaser using the prepaid card, payment is finally made to the seller by performing settlement between the card issuer and the seller based on the information of the authentication / billing center 300. Assume a system.
[0277]
Further, the purchase control terminal 200 of the present embodiment is assumed to be a terminal (particularly, a public use terminal such as a public telephone) in which a telephone is connected with a relatively high-speed line for connection to the Internet or the like. It is assumed that ISDN or an analog line is used as a telephone line and a DSL line is used as a connection line to the Internet or the like. In such a form, both lines can be accommodated by band division or the like with a single connection cable.
[0278]
In the present embodiment, it is assumed that an authentication service for billing is provided as a telephone network service, and a product is purchased from a sales server 400 on the Internet.
[0279]
As shown in FIG. 28, the system of the present embodiment is similar to the first embodiment in that a plurality of ID cards 10, a plurality of purchase control terminals 200, and a charging unit 100 connected to each purchase control terminal 200 are used. And a plurality of sales servers 400 and one authentication / billing center 300.
[0280]
However, the purchase control in which the authentication / billing center 300 is configured as an NSP (network service processor) connected to the exchange 610 in the telephone exchange network 600 and connected to the exchange 610 through a public telephone line network such as ISDN. The terminal 200 is connected to the authentication / billing center 300 through the exchange 610. Accordingly, the communication unit of the authentication / billing center 300 is also divided into a communication unit A310 and a communication unit B310.
[0281]
In addition, the communication unit 210 of the purchase control terminal 200 is connected only to the purchase control unit 230 and is not connected to the charging unit driver 220. The communication unit 150 is included in the charging unit 100, and authentication / billing processing is performed. The point connected with the part 140 is different from the first embodiment.
[0282]
  The communication unit 150 of the charging unit 100 is a public telephone line such as ISDN.For netThe communication unit communicates with the authentication / billing center 300 through the exchange, and the charging unit 100 and the authentication / billing center.300Used for communication such as authentication of the IC card 10 and end of authentication. When the line is ISDN, between the purchase control terminal 200 and the exchange 610, authentication of the IC card and the end of the authentication are carried by transmitting and receiving a message on a Dch control signal or the like. The middle station process of taking out the content of the message in the control signal received from the control terminal 200 and transmitting it to the authentication / billing center 300 and transmitting the message from the authentication / billing center 300 to the purchase control terminal 200 on the control signal. Will do.
[0283]
  The communication unit 210 of the purchase control terminal 200 is an interface for communicating with the sales server 400, and is the same as the communication unit of the first embodiment.-It is connected to a network 500 such as a net.
[0284]
The communication unit 310A of the authentication / billing center 300 is an interface of an exchange network for connecting to a device in the telephone exchange network 600 such as the exchange 610, and is used for communication with the exchange 610 here.
[0285]
The communication unit 310B of the authentication / billing center 300 is an interface for communicating with the sales server 400, and is connected to a network 500 such as the Internet in the same manner as the communication unit of the first embodiment.
[0286]
The message sequence and system operation are the same as those in the first embodiment, except that the communication between the charging unit 100 and the authentication charging center 300 does not mediate the purchase control terminal 200.
[0287]
The operation of each device shown in the above embodiment is constructed as a program and installed in each computer used as the charging unit 100, the purchase control terminal 200, the authentication charging center 300, and the sales server 400, or a network is installed. It is also possible to circulate through the network.
[0288]
In addition, a hard disk device connected to a computer used as the charging unit 100, the purchase control terminal 200, the authentication charging center 300, and the sales server 400, a portable storage medium such as a floppy disk or a CD-ROM. It is possible to easily realize the present invention by storing it in the server and installing it when implementing the present invention.
[0289]
The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
[0290]
【The invention's effect】
  As described above, according to the present invention, the bill information generated by the bill signature key obtained by authenticating the authentication medium purchased in advance by the purchaser is paid out to the sales server. By passing the bill information, the bill, and the ID for identifying the seller to the authentication billing center, it becomes possible to make a billing request for the remaining amount of the authentication medium. Based on the information of the successful billing request, the authentication billing center Purchases with authentication media as a result of payment (payment) to the seller fromPersonPayment to the seller with the sales server is possible, but card authentication and bill information generation are performed by closing the billing unit connected to the purchase control terminal. The data at the time of authentication is encrypted between the charging unit and the authentication charging center, and data such as a bill signature key, which is information for generating the bill information obtained by the authentication, is stored outside the charging unit. Hold to not know. As a result, it becomes impossible to access the authentication billing center from the terminal and perform impersonation by card simulation, and even in a system with a simple authentication method, it is managed by the center by impersonation.HaveThe risk of unauthorized use of prepaid balance is reduced.
[0291]
Further, if the counterfeit card is forged and the counterfeit card can be detected when the card is forged, the identifier (unit ID) of the charging unit can be specified. Therefore, the specific charging unit is fraudulent. When this happens, the service for the charging unit can be stopped by deleting the charging unit information held in the authentication charging center.
[0292]
In addition, when the card is removed, the billing unit, which is the only device that can generate bill information, deletes the information for bill information generation. And the prepaid balance cannot be used illegally.
[0293]
Even if the terminal is not reliable, the information for bill generation does not go out of the billing unit, so it will not be leaked to third parties (other terminals), and the prepaid balance by generating billing information at other terminals Cannot be used illegally. In addition, since the security problem as described above is solved by using the accounting unit, it is not necessary to use an expensive IC card such as an IC card with CPU, and an inexpensive IC card having only a simple authentication function. Since the system can be realized, the cost of the entire system is reduced.
[Brief description of the drawings]
FIG. 1 is a principle configuration diagram of the present invention.
FIG. 2 is a diagram for explaining the principle of the present invention.
FIG. 3 is a system configuration diagram according to an embodiment of the present invention.
FIG. 4 is a message sequence chart according to an embodiment of the present invention.
FIG. 5 is a system configuration diagram of the first embodiment of the present invention.
FIG. 6 is an example of data in the IC card data storage unit of the first embodiment of the present invention.
FIG. 7 is an example of a card value management DB in the authentication / billing center according to the first embodiment of this invention.
FIG. 8 is an example of a charging unit management DB in the authentication charging center according to the first embodiment of this invention.
FIG. 9 is an example of a settlement log DB in the authentication / billing center according to the first embodiment of this invention;
FIG. 10 is a message sequence chart of authentication processing according to the first embodiment of this invention.
FIG. 11 is an example of an authentication charging center response calculation method according to the first embodiment of this invention.
FIG. 12 shows an IC card authentication response calculation method (part 1) according to the first embodiment of the present invention;
FIG. 13 is an IC card authentication response calculation method (No. 2) according to the first embodiment of this invention;
FIG. 14 is an example of a charging unit response calculation method according to the first embodiment of this invention;
FIG. 15 is an example of authentication session information in the authentication / billing center according to the first embodiment of this invention;
FIG. 16 is an example of authentication session information in the accounting unit according to the first embodiment of this invention.
FIG. 17 is a message sequence chart of payment processing / authentication state termination processing according to the first embodiment of this invention;
FIG. 18 is an example of bill information according to the first embodiment of this invention.
FIG. 19 is an example (part 1) of a bill signature generation method in the authentication / billing process according to the first embodiment of this invention;
FIG. 20 is an example (part 2) of a bill signature generation method in the authentication / billing process according to the first embodiment of this invention;
FIG. 21 is a flowchart of the operation of the charging unit according to the first embodiment of this invention.
FIG. 22 is a flowchart of the operation of the purchase control unit of the purchase control terminal according to the first embodiment of this invention.
FIG. 23 is a flowchart of the overall operation of the authentication / billing center according to the first embodiment of this invention;
FIG. 24 is a flowchart of an IC card authentication process of the authentication / billing center according to the first embodiment of this invention.
FIG. 25 is a flowchart of an IC card authentication end process of the authentication / billing center according to the first embodiment of this invention.
FIG. 26 is a flowchart of the charging process of the authentication charging center according to the first embodiment of this invention.
FIG. 27 is a flowchart of an authentication time-out process of the authentication / billing center according to the first embodiment of this invention.
FIG. 28 is a system configuration diagram of a second embodiment of the present invention.
[Explanation of symbols]
10 IC card, authentication medium
11 Communication Department
12 Authentication response part
13 Card data storage
100 billing unit
101 Medium status notification means
102 Mutual / medium authentication means
103 Bill information generating means
110 Card reader / writer
120 Concealment holding unit
130 Random number generator
140 Authentication / Billing Processing Unit
200 Purchase control terminal
201 Purchase request means
202 Purchase / Payment Control Means
210 Communication Department
220 Billing unit driver
230 Purchase Control Unit
300 Authentication Billing Center
301 Mutual authentication means
302 Billing means
310 Communication unit
320 Authentication Session Manager
330 Settlement Department
340 Card Value Management DB
350 Billing unit management DB
400 sales server
401 Charge request means
402 Content providing means
410 Communication unit
420 Control unit
430 Checkout log DB
440 Content DB etc.
500 networks
600 telephone switching network
610 exchange

Claims (14)

複数の認証媒体と、複数の購入制御端末と、該購入制御端末毎に接続される課金ユニットと、複数の販売サーバと、1つの認証課金センタ装置から構成されるシステムにおいて、ネットワーク上のコンテンツ配送時における少額の即時課金を行うための課金方法において、
個々の媒体を一意に特定できる識別子(以下、媒体ID)が割り当てられた認証媒体が前記課金ユニットに接続されると、該課金ユニットは、前記購入制御端末に、前記媒体IDを含み、前記認証媒体が接続されたことを示す媒体接続通知を送信する過程と、
前記購入制御端末は、前記課金ユニットに対して、前記認証媒体に対する媒体認証要求を送信する過程と、
前記課金ユニットは、前記購入制御端末を介して、前記認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により前記認証媒体に対する認証を行う過程と、
前記認証課金センタ装置は、認証が成功すると、前記認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、前記課金ユニットに送信する過程と、
前記課金ユニットでは、前記媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を前記購入制御端末に送信する過程からなる認証過程と、
前記購入制御端末から前記課金ユニットに対して手形情報の要求を送信する過程と、
前記課金ユニットは、前記手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、前記媒体ID、前記手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、前記購入制御端末に送信する過程と、
前記購入制御端末は、前記販売サーバに対して商品購入のための前記手形情報を商品購入要求として送信する過程と、
前記販売サーバは、前記認証課金センタ装置に対して前記手形情報と商品の代金に相当する請求額と、精算時の支払先を特定する情報としての支払先IDを課金要求として送信する過程と、
前記認証課金センタ装置は、前記課金要求を受信すると、該課金要求に含まれる前記手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する過程と、
前記認証課金センタ装置では、前記検査が成功すると、前記販売サーバから指定された請求額分を前記媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、前記支払先IDに対する請求額分の精算を行うための処理を行う過程と、
課金が成功すると課金成功通知を前記販売サーバに対して送信する過程とからなる支払・購入過程と、
前記認証媒体と前記課金ユニット間の接続が解除されると、媒体接続解除通知を該課金ユニットから前記購入制御端末に送信する過程と、
前記課金ユニット内の手形署名鍵及び前記媒体IDに対応する手形情報生成のためのデータを削除する過程と、
前記課金ユニットは、前記認証課金センタ装置に対して前記媒体IDを含む媒体を特定し、認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を送信する過程と、
前記認証課金センタ装置は、前記媒体認証終了要求から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を前記課金ユニットに通知する過程と、からなる認証破棄過程からなることを特徴とする課金方法。
Content distribution on a network in a system comprising a plurality of authentication media, a plurality of purchase control terminals, a billing unit connected to each purchase control terminal, a plurality of sales servers, and one authentication / billing center device In the billing method to make a small amount of immediate billing at the time,
When an authentication medium to which an identifier (hereinafter referred to as a medium ID) that can uniquely identify each medium is connected to the charging unit, the charging unit includes the medium ID in the purchase control terminal, and the authentication unit Sending a media connection notification indicating that the media is connected;
The purchase control terminal transmits a medium authentication request for the authentication medium to the charging unit;
The charging unit transmits an identifier capable of specifying the charging unit to the authentication charging center apparatus via the purchase control terminal , performs mutual authentication, and authenticates the authentication medium by an arbitrary method. Process,
When the authentication is successful, the authentication / billing center device generates data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium, and indicates that the medium ID is being authenticated. Storing as authentication session information and transmitting data necessary for bill information including the bill signature key to the charging unit as a medium authentication result;
In the charging unit, an authentication process comprising a process of storing the medium authentication result and transmitting an authentication end notification notifying that the authentication has ended to the purchase control terminal;
A process of transmitting a bill information request from the purchase control terminal to the charging unit;
When the billing unit receives the bill information request, the billing unit generates data necessary to generate bill information including generation of a bill issuance ID which is information for identifying a transaction within one authentication, the medium ID, and the bill signature key. Using the method of generating bill information and transmitting it to the purchase control terminal;
The purchase control terminal transmits the bill information for product purchase to the sales server as a product purchase request;
The sales server transmits, as a billing request, a billing amount corresponding to the bill information and the price of the product, and a payment destination ID as information for specifying a payment destination at the time of settlement, to the authentication billing center device;
Upon receipt of the billing request, the authentication billing center device identifies a medium ID from the bill information included in the billing request, checks whether the medium ID is being authenticated, Using the bill signature key corresponding to the medium ID to check whether the signature information in the bill information is correct;
In the authentication billing center device, when the inspection is successful, the billing amount designated by the sales server is billed for the remaining amount (the amount used in the case of postpaid) corresponding to the medium ID, and A process of performing a process for the settlement of the invoice amount for the payee ID;
A payment / purchase process comprising a process of transmitting a charge success notification to the sales server when the charge is successful;
When the connection between the authentication medium and the charging unit is released, a process of transmitting a medium connection release notification from the charging unit to the purchase control terminal;
Deleting the bill signature key in the billing unit and the data for generating bill information corresponding to the medium ID;
The charging unit, and transmitting the identified media containing the medium ID to the authentication accounting center apparatus, medium authentication termination request for requesting discard and destruction of the bills signature key of the authentication state,
The authentication billing center apparatus searches for authentication session information from the medium authentication end request, deletes the searched authentication session information, and sends a medium authentication end result indicating that the authentication state has been released to the charging unit. A billing method comprising: a notifying process and an authentication discarding process.
前記認証課金センタ装置を、電話交換網内に設け、前記課金ユニットを電話回線に接続し、
前記課金ユニットと前記認証課金センタ装置間で行われる前記認証媒体の認証及び相互認証を前記電話回線の制御信号を介して行う請求項記載の課金方法。
The authentication charging center device is provided in a telephone exchange network, the charging unit is connected to a telephone line,
A charging method according to claim 1, wherein performing the authentication and mutual authentication of the authentication medium performed between the authentication accounting center device and the charging unit via the control signal of the telephone line.
複数の認証媒体と、複数の購入制御端末と、該購入制御端末毎に接続される課金ユニットと、複数の販売サーバと、1つの認証課金センタ装置から構成され、ネットワーク上のコンテンツ配送時における少額の即時課金を行うための課金システムであって、
前記認証媒体は、
前記課金ユニットに接続されることによって使用可能な個々の媒体を一意に特定可能な識別子(以下、媒体ID)が割り当てられたカードを含む媒体であり、前記認証課金センタから認証を受けることによって該媒体IDに対する正当な媒体であることを保証するための機能を有し、
前記課金ユニットは、
前記媒体IDが割り当てられた認証媒体が当該課金ユニットに接続されると、前記購入制御端末に、前記媒体IDを含み、該認証媒体が接続されたことを示す媒体接続通知を送信する媒体状態通知手段と、
前記購入制御端末を介して、前記認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により記認証媒体に対する認証を行う相互・媒体認証手段と、
前記認証課金センタ装置から前記認証媒体の媒体IDに対する手形署名鍵を含む手形情報に必要なデータを媒体認証結果として取得すると、該媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を前記購入制御端末に送信する認証終了通知手段と、
前記購入制御端末から前記手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、前記媒体ID、前記手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、前記購入制御端末に送信する手形情報生成手段と、
前記認証課金センタ装置に対して前記媒体IDを含む媒体を特定し、認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を送信する媒体認証終了要求手段と、
前記認証課金センタ装置から媒体認証終了結果を取得すると、前記手形署名鍵を破棄する手形署名鍵破棄手段と、を有し、
前記購入制御端末は、
購入者の操作に従って、前記販売サーバに対してコンテンツを含む商品の購入要求を行う購入要求手段と、
前記課金ユニットに対して、当該課金ユニットに接続された前記認証媒体に対する媒体認証要求と、手形情報の生成の要求を送信する手段と、
前記課金ユニットで生成された支払のための手形情報を前記販売サーバに送信する手段と、を有し、
前記販売サーバは、
前記認証課金センタ装置に対して前記手形情報と商品の代金に相当する請求額と、精算時の支払先を特定する情報としての支払先IDを課金要求として送信する手段と、
前記認証課金センタ装置から課金成功の通知を取得すると、コンテンツを含む商品の受け渡しを行うコンテンツ提供手段と、を有し、
前記認証課金センタ装置は、
前記課金ユニットから取得した認証要求に含まれる該課金ユニットの識別子を用いて該課金ユニットとの間で相互認証を行う相互認証手段と、
認証が成功すると、前記認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結 果として、前記課金ユニットに送信する手段と、
前記販売サーバから前記課金要求を受信すると、該課金要求に含まれる前記手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する手段と、
前記検査が成功すると、前記販売サーバから指定された請求額分を前記媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、前記支払先IDに対する請求額分の精算を行うための処理を行う課金手段と、
課金が成功すると課金成功通知を前記販売サーバに対して送信する手段と、
前記課金ユニットから前記認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を取得し、媒体認証終了領域から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を前記課金ユニットに通知する手段と、
を有することを特徴とする課金システム。
Consists of a plurality of authentication media, a plurality of purchase control terminals, a charging unit connected to each of the purchase control terminals, a plurality of sales servers, and a single authentication / billing center device, and a small amount at the time of content delivery on the network A billing system for instant billing of
The authentication medium is
A medium including a card to which an identifier (hereinafter referred to as a medium ID) that can uniquely identify an individual medium that can be used by being connected to the charging unit is assigned, and is authenticated by the authentication charging center. It has a function to guarantee that it is a valid medium for the medium ID,
The billing unit is
When the authentication medium to which the medium ID is assigned is connected to the accounting unit, a medium status notification that transmits a medium connection notification including the medium ID and indicating that the authentication medium is connected to the purchase control terminal. Means,
Through the purchase control terminal, the authentication accounting center device the accounting unit transmits an identifier can be specified to, performs mutual authentication, the mutual-medium authentication to authenticate to the previous SL authentication medium by any method Means,
When the data required for the bill information including the bill signature key for the medium ID of the authentication medium is acquired as a medium authentication result from the authentication billing center apparatus, the medium authentication result is stored, and the authentication is completed to notify the end of the authentication Authentication end notification means for transmitting a notification to the purchase control terminal;
Upon receipt of the bill information request from the purchase control terminal, data necessary for bill information generation including bill issue ID generation, medium ID, and bill signature key, which is information for identifying a transaction within one authentication, is obtained. Bill information generation means for generating bill information using and transmitting the bill information to the purchase control terminal;
Medium authentication end request means for specifying a medium including the medium ID to the authentication billing center apparatus and transmitting a medium authentication end request for requesting destruction of the authentication state and destruction of the bill signature key;
A bill signature key discarding means for discarding the bill signature key when a medium authentication end result is obtained from the authentication billing center device;
The purchase control terminal
Purchasing request means for requesting the sales server to purchase a product containing content in accordance with the purchaser's operation
Means for transmitting, to the charging unit, a medium authentication request for the authentication medium connected to the charging unit, and a bill information generation request;
Means for transmitting bill information for payment generated by the billing unit to the sales server,
The sales server is
Means for transmitting, as a billing request, a billing amount corresponding to the bill information and the price of the merchandise, and a payee ID as information for specifying a payee at the time of settlement to the authentication billing center device;
Content acquisition means for receiving a notification of successful charging from the authentication charging center device, and delivering a product including content;
The authentication / billing center device includes:
Mutual authentication means for performing mutual authentication with the charging unit using the identifier of the charging unit included in the authentication request acquired from the charging unit;
When the authentication is successful, data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium is generated and stored as authentication session information indicating that the medium ID is being authenticated. the data required for bill information including該手type signature key as an authentication result, and means for transmitting to the charging unit,
When the billing request is received from the sales server, a medium ID is specified from the bill information included in the billing request, and it is checked whether the medium ID is being authenticated. Means for checking whether the signature information in the bill information is correct using a corresponding bill signature key;
If the inspection is successful, the billing amount designated by the sales server is charged for the remaining amount (utilization amount in the case of postpaid) corresponding to the medium ID, and the billing amount for the payee ID A billing means for performing processing for the settlement of
Means for transmitting a billing success notification to the sales server when billing is successful;
Obtaining a medium authentication end request for requesting destruction of the authentication status and destruction of the bill signature key from the billing unit, searching authentication session information from the medium authentication end area, and deleting the searched authentication session information Means for notifying the billing unit of a medium authentication end result indicating that the authentication state has been released;
A billing system comprising:
電話交換網を更に有し、
前記認証課金センタ装置を、前記電話交換網内に設け、前記課金ユニットを電話回線に接続する構成とし、
前記課金ユニットと前記認証課金センタ装置との間で行われる認証媒体の認証及び相互認証、及び前記手形情報やコンテンツの送受信を前記電話回線の制御信号を介して行う手段を有する請求項記載の課金システム。
A telephone exchange network,
The authentication charging center device is provided in the telephone exchange network, and the charging unit is connected to a telephone line,
Claim 3 comprising means for performing via the control signal of the telephone line authentication and mutual authentication of the authentication medium, and the transmission and reception of the bill information or child content performed between said charging unit and the authentication accounting center device The billing system described.
請求項3における課金システムを構成する認証課金センタ装置であって、
金ユニットから取得した認証要求に含まれる該課金ユニットの識別子を用いて該課金ユニットとの間で相互認証を行う相互認証手段と、
認証が成功すると、前記認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、前記課金ユニットに送信する手段と、
前記販売サーバから前記課金要求を受信すると、該課金要求に含まれる前記手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する検査手段と、
前記検査手段において検査が成功すると、前記販売サーバから指定された請求額分を前記媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、前記支払先IDに対する請求額分の精算を行うための処理を行う課金手段と、
課金が成功すると課金成功通知を前記販売サーバに対して送信する手段と、
前記課金ユニットから前記認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を取得し、媒体認証終了領域から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を前記課金ユニットに通知する手段と、
を有することを特徴とする認証課金センタ装置。
An authentication billing center apparatus constituting the billing system according to claim 3 ,
And mutual authentication means for performing mutual authentication with the billing unit using the identifier of the billing unit included in the authentication request acquired from the billing unit,
When the authentication is successful, data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium is generated and stored as authentication session information indicating that the medium ID is being authenticated. Means for transmitting data necessary for bill information including the bill signature key as a medium authentication result to the billing unit;
When the billing request is received from the sales server, a medium ID is specified from the bill information included in the billing request, and it is checked whether the medium ID is being authenticated. An inspection means for inspecting whether the signature information in the bill information is correct by using a corresponding bill signature key ;
If the inspection is successful in the inspection means, the billing amount designated by the sales server is charged for the remaining amount corresponding to the medium ID ( the amount used in the case of postpaid), and for the payee ID Billing means for processing to settle the billed amount;
Means for transmitting a billing success notification to the sales server when billing is successful;
Obtaining a medium authentication end request for requesting destruction of the authentication status and destruction of the bill signature key from the billing unit, searching authentication session information from the medium authentication end area, and deleting the searched authentication session information Means for notifying the billing unit of a medium authentication end result indicating that the authentication state has been released;
An authentication / billing center apparatus characterized by comprising:
請求項3における課金システムを構成する購入制御端末であって、
購入者の操作に従って、販売サーバに対してコンテンツを含む商品の購入要求を行う購入要求手段と、
課金ユニットに対して、当該課金ユニットに接続された認証媒体に対する媒体認証要求と、手形情報の生成の要求を送信する手段と、
前記課金ユニットで生成された支払のための手形情報を前記販売サーバに送信する手段と、を有することを特徴とする購入制御端末。
A purchase control terminal constituting the charging system according to claim 3 ,
Purchasing request means for requesting the purchase of the product including the content to the sales server according to the purchaser's operation,
Means for transmitting to the charging unit a medium authentication request for an authentication medium connected to the charging unit, and a bill information generation request;
And a means for transmitting bill information for payment generated by the charging unit to the sales server .
請求項3における課金システムを構成する課金ユニットであって、
媒体IDが割り当てられた認証媒体が当該課金ユニットに接続されると、購入制御端末に、該媒体IDを含み、該認証媒体が接続されたことを示す媒体接続通知を送信する媒体状態通知手段と、
前記購入制御端末を介して、認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により前記認証媒体に対する認証を行う相互・媒体認証手段と、
前記認証課金センタ装置から前記認証媒体の媒体IDに対する手形署名鍵を含む手形情報に必要なデータを媒体認証結果として取得すると、該媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を前記購入制御端末に送信する認証終了通知手段と、
前記購入制御端末から手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、前記媒体ID、前記手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、前記購入制御端末に送信する手形情報生成手段と、
前記認証課金センタ装置に対して前記媒体IDを含む媒体を特定し、認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を送信する媒体認証終了要求手段と、
前記認証課金センタ装置から媒体認証終了結果を取得すると、前記手形署名鍵を破棄する手形署名鍵破棄手段と、
を有することを特徴とする課金ユニット。
A charging unit constituting the charging system according to claim 3 ,
Medium status notifying means for transmitting a medium connection notification including the medium ID and indicating that the authentication medium is connected to the purchase control terminal when the authentication medium to which the medium ID is assigned is connected to the charging unit; ,
A mutual / medium authentication means for transmitting an identifier for identifying the charging unit to the authentication charging center apparatus via the purchase control terminal, performing mutual authentication, and authenticating the authentication medium by an arbitrary method; ,
When the data required for the bill information including the bill signature key for the medium ID of the authentication medium is acquired as a medium authentication result from the authentication billing center apparatus, the medium authentication result is stored, and the authentication is completed to notify the end of the authentication Authentication end notification means for transmitting a notification to the purchase control terminal;
When a bill information request is received from the purchase control terminal, data necessary for bill information generation including the bill issue ID, which is information for identifying a transaction within one authentication, and the media ID and the bill signature key is used. Bill information generating means for generating bill information and transmitting it to the purchase control terminal;
Medium authentication end request means for specifying a medium including the medium ID to the authentication billing center apparatus and transmitting a medium authentication end request for requesting destruction of the authentication state and destruction of the bill signature key;
A bill signature key discarding means for discarding the bill signature key upon obtaining a medium authentication end result from the authentication billing center device;
A billing unit comprising:
記媒体状態通知手段は、
前記認証媒体との接続解除を検知すると、前記認証課金センタ装置に該認証媒体の媒体IDに対応する手形署名鍵の破棄及び認証状態の破棄を要求するメッセージを送信する手段を含む請求項記載の課金ユニット。
Before Symbol media state notification means,
8. The information processing apparatus according to claim 7 , further comprising means for transmitting a message requesting the authentication billing center apparatus to discard the bill signature key corresponding to the medium ID of the authentication medium and to discard the authentication state upon detecting the disconnection from the authentication medium. Billing unit.
請求項3の課金システムの課金ユニットが実行する課金プログラムであって、
前記課金ユニットとして動作するコンピュータに、
媒体IDが割り当てられた認証媒体が当該課金ユニットに接続されると、購入制御端末に、該媒体IDを含み、該認証媒体が接続されたことを示す媒体接続通知を送信する媒体状態通知ステップと、
前記購入制御端末を介して、認証課金センタ装置に当該課金ユニットを特定することができる識別子を送信し、相互認証を行うと共に、任意の方式により前記認証媒体に対する認証を行う相互・媒体認証ステップと、
前記認証課金センタ装置から前記認証媒体の媒体IDに対する手形署名鍵を含む手形情報に必要なデータを媒体認証結果として取得すると、該媒体認証結果を保存し、認証が終了したことを通知する認証終了通知を前記購入制御端末に送信する認証終了通知ステップと、
前記購入制御端末から手形情報の要求を受信すると、1認証内での取引を特定する情報である手形発行IDの生成、前記媒体ID、前記手形署名鍵を含む手形情報生成に必要なデータを用いて手形情報を生成し、前記購入制御端末に送信する手形情報生成ステップと、
前記認証課金センタ装置に対して前記媒体IDを含む媒体を特定し、認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を送信する媒体認証終了要求ステップと、
前記認証課金センタ装置から媒体認証終了結果を取得すると、前記手形署名鍵を破棄する手形署名鍵破棄ステップと、
を実行させることを特徴とする課金プログラム。
A billing program executed by a billing unit of the billing system according to claim 3 ,
A computer operating as the billing unit;
A medium status notification step of transmitting a medium connection notification including the medium ID and indicating that the authentication medium is connected to the purchase control terminal when the authentication medium to which the medium ID is assigned is connected to the charging unit; ,
A mutual / medium authentication step of transmitting an identifier for identifying the charging unit to the authentication charging center device via the purchase control terminal, performing mutual authentication, and authenticating the authentication medium by an arbitrary method; ,
When data required for bill information including a bill signature key for the medium ID of the authentication medium is acquired as a medium authentication result from the authentication / billing center device, the medium authentication result is stored, and authentication is completed to notify the end of authentication An authentication end notification step of transmitting a notification to the purchase control terminal;
When a bill information request is received from the purchase control terminal, data necessary for bill information generation including the bill issue ID, which is information for identifying a transaction within one authentication, and the media ID and the bill signature key is used. A bill information generating step for generating bill information and transmitting the bill information to the purchase control terminal;
A medium authentication end request step for identifying a medium including the medium ID to the authentication billing center apparatus, and transmitting a medium authentication end request for requesting destruction of an authentication state and destruction of the bill signature key;
Upon obtaining a medium authentication end result from the authentication billing center device, a bill signature key discarding step for discarding the bill signature key;
A billing program characterized by causing
請求項3における課金システムを構成する認証課金センタ装置が実行する課金プログラムであって、
前記認証課金センタ装置として動作するコンピュータに、
金ユニットから取得した認証要求に含まれる該課金ユニットの識別子を用いて該課金ユニットとの間で相互認証を行う相互認証ステップと、
認証が成功すると、前記認証媒体の媒体IDに対する手形署名鍵を含む支払のための手形情報生成に必要なデータを生成し、該媒体IDが認証中であることを示す認証セッション情報として保存すると共に、該手形署名鍵を含む手形情報に必要なデータを媒体認証結果として、前記課金ユニットに送信するステップと、
前記販売サーバから前記課金要求を受信すると、該課金要求に含まれる前記手形情報から媒体IDを特定し、該媒体IDが認証中であるかを検査し、認証中であれば、該媒体IDに対応する手形署名鍵を用いて該手形情報内の署名情報が正しいかを検査する検査ステップと、
前記検査ステップにおいて検査が成功すると、前記販売サーバから指定された請求額分を前記媒体IDに対応する残額(ポストペイドの場合には利用額)に対して課金を行うと共に、前記支払先IDに対する請求額分の精算を行うための処理を行う課金ステップと、
課金が成功すると課金成功通知を前記販売サーバに対して送信するステップと、
前記課金ユニットから前記認証状態の破棄及び前記手形署名鍵の破棄を要求する媒体認証終了要求を取得し、媒体認証終了領域から認証セッション情報を検索して、検索された該認証セッション情報を削除し、認証状態が解除されたことを示す媒体認証終了結果を前記課金ユニットに通知するステップと、
を実行させることを特徴とする課金プログラム。
A billing program executed by an authentication billing center device constituting the billing system according to claim 3 ,
In a computer that operates as the authentication / billing center device,
Mutual authentication step of performing mutual authentication with the billing unit using the identifier of the billing unit included in the acquired authentication request from billing unit,
If the authentication is successful, data necessary for generating bill information including a bill signature key for the medium ID of the authentication medium is generated and stored as authentication session information indicating that the medium ID is being authenticated. Transmitting data necessary for bill information including the bill signature key as a medium authentication result to the charging unit;
When the billing request is received from the sales server, a medium ID is specified from the bill information included in the billing request, and it is checked whether the medium ID is being authenticated. An inspection step of verifying that the signature information in the bill information is correct using a corresponding bill signature key ;
If the inspection succeeds in the inspection step , the billing amount designated by the sales server is charged for the remaining amount corresponding to the medium ID ( the amount used in the case of postpaid), and for the payee ID A billing step for processing to settle the billed amount;
Sending billing success notification to the sales server when billing is successful;
Obtaining a medium authentication end request for requesting destruction of the authentication status and destruction of the bill signature key from the billing unit, searching authentication session information from the medium authentication end area, and deleting the searched authentication session information Notifying the billing unit of a medium authentication end result indicating that the authentication state has been released;
A billing program characterized by causing
請求項3における課金システムを構成する購入制御端末が実行する課金プログラムであって、
前記購入制御端末として動作するコンピュータに、
購入者の操作に従って、販売サーバに対してコンテンツを含む商品の購入要求を行う購入要求ステップと、
課金ユニットに対して、当該課金ユニットに接続された認証媒体に対する媒体認証要求と、手形情報の生成の要求を送信するステップと、
前記課金ユニットで生成された支払のための手形情報を前記販売サーバに送信するステップと、
を実行させることを特徴とする課金プログラム。
A billing program executed by a purchase control terminal constituting the billing system according to claim 3 ,
In the computer that operates as the purchase control terminal,
A purchase request step for requesting the purchase of a product including content to the sales server according to the purchaser's operation,
Transmitting a medium authentication request for an authentication medium connected to the charging unit and a request for generating bill information to the charging unit;
Sending bill information for payment generated by the billing unit to the sales server;
A billing program characterized by causing
請求項3における課金システムを構成する課金ユニットが実行する課金プログラムを格納した記憶媒体であって、
請求項9記載の課金プログラムを格納したことを特徴とする記憶媒体
A storage medium storing a charging program executed by a charging unit constituting the charging system according to claim 3 ,
A storage medium storing the charging program according to claim 9 .
請求項3における課金システムを構成する認証課金センタ装置が実行する課金プログラムを格納した記憶媒体であって、
請求項10記載の課金プログラムを格納したことを特徴とする記憶媒体
A storage medium storing a charging program executed by an authentication charging center device constituting the charging system according to claim 3 ,
A storage medium storing the billing program according to claim 10 .
請求項3における課金システムを構成する購入制御端末が実行する課金プログラムを格納した記憶媒体であって、
請求項11記載の課金プログラムを格納したことを特徴とする記憶媒体。
A storage medium storing a charging program executed by a purchase control terminal constituting the charging system according to claim 3 ,
A storage medium storing the charging program according to claim 11 .
JP2001345080A 2001-11-09 2001-11-09 Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program Expired - Lifetime JP3812419B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001345080A JP3812419B2 (en) 2001-11-09 2001-11-09 Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001345080A JP3812419B2 (en) 2001-11-09 2001-11-09 Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program

Publications (2)

Publication Number Publication Date
JP2003150881A JP2003150881A (en) 2003-05-23
JP3812419B2 true JP3812419B2 (en) 2006-08-23

Family

ID=19158487

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001345080A Expired - Lifetime JP3812419B2 (en) 2001-11-09 2001-11-09 Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program

Country Status (1)

Country Link
JP (1) JP3812419B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1689117B1 (en) * 2005-02-04 2009-04-01 Sap Ag A method for transferring data, a computer program product, a data provision and a data receiving device and a communication system
JP4544176B2 (en) 2006-02-20 2010-09-15 ブラザー工業株式会社 Image processing apparatus and image processing program
JP2008176736A (en) * 2007-01-22 2008-07-31 Nippon Hoso Kyokai <Nhk> Service distribution system, prepaid ticket issuing method, prepaid ticket utilizing method, prepaid ticket collecting method, ic chip, mobile terminal, and program
JP4859882B2 (en) * 2008-06-30 2012-01-25 靖 佐藤 Content distribution system and content distribution method
JP5267037B2 (en) * 2008-10-17 2013-08-21 株式会社タツノ Gas station system
JP4883728B2 (en) * 2009-06-26 2012-02-22 株式会社バッファロー Storage device, storage device control method, and computer program
JP4791610B1 (en) * 2011-04-28 2011-10-12 ミハル通信株式会社 Digital television broadcast viewing control method and digital television broadcast viewing control system

Also Published As

Publication number Publication date
JP2003150881A (en) 2003-05-23

Similar Documents

Publication Publication Date Title
US6195432B1 (en) Software distribution system and software utilization scheme for improving security and user convenience
JP5472512B2 (en) Management system, management method, and program
JP5721086B2 (en) Management method of electronic money
US7865431B2 (en) Private electronic value bank system
US20020062440A1 (en) Home server including a proxy facility, for executing an authentication and an encryption process instead of a user terminal, in an electronic commercial transaction
WO1997009688A2 (en) Untraceable electronic cash
JPH11316729A (en) Internet charging method/system and medium for recording internet charging program
EP0848343A2 (en) Shopping system
CA2793270A1 (en) Message storage and transfer system
JPH09297789A (en) System and method for electronic transaction settlement management
CN112513904A (en) Digital asset transaction control method and device, terminal equipment and storage medium
JP3812419B2 (en) Billing unit device, billing system, authentication billing center device, purchase control terminal device, billing method, billing program, and storage medium storing billing program
JP3659090B2 (en) Electronic information distribution system, storage medium storing electronic information distribution program, and electronic information distribution method
JP2002334227A (en) Pay service provision method, pay service provision system, content server, program for pay service provision, and recording medium
WO2003050647A2 (en) Automated digital rights management and payment system with embedded content
JP5160003B2 (en) Settlement management device, program, storage medium, management method, client device, processing method, and data storage device
JP3899890B2 (en) Billing method and system, purchase control terminal, authentication billing server, sales server, billing program, and storage medium storing billing program
JPH09114904A (en) Method and system for vending information
JP3855723B2 (en) Billing method and system, purchase control terminal, authentication billing server, billing program, and storage medium storing billing program
JP4168656B2 (en) Rights transfer method and system, purchase control terminal and authentication charging server in digital content charging system
US12026714B2 (en) Payer-controlled payment processing
JP2003248783A (en) Content compensation method and system, purchase control terminal, authenticating/charging server, and selling server
US20230351387A1 (en) Information processing system, device, and method
JP2003223593A (en) Accounting suspension method in digital content sale, authentication accounting server, purchase control terminal, accounting suspension program and storage medium with accounting suspension program stored
JP2001236435A (en) System and method for electronic commerce and information processor

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060522

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3812419

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090609

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120609

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130609

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140609

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term