JP2007158562A - 情報処理システム、情報処理装置および方法、並びにプログラム - Google Patents
情報処理システム、情報処理装置および方法、並びにプログラム Download PDFInfo
- Publication number
- JP2007158562A JP2007158562A JP2005348764A JP2005348764A JP2007158562A JP 2007158562 A JP2007158562 A JP 2007158562A JP 2005348764 A JP2005348764 A JP 2005348764A JP 2005348764 A JP2005348764 A JP 2005348764A JP 2007158562 A JP2007158562 A JP 2007158562A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- card
- information processing
- information
- symmetric key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】利便性を低減させずに、容易に、情報漏洩に対してより安全なシステムを実現することができるようにする。
【解決手段】ICカード22が近接されると、受付端末31は、そのICカード22を検出し、カード情報51を取得し、それを電子マネーサーバ32に供給する。電子マネーサーバ32は、ICカード22の事前認証処理を行い、認証が成功した場合、そのICカード22に対応する専用対称鍵62を特定し、事前認証結果情報52を、セキュアな状態で決済端末33に供給する。決済端末33は、近接されたICカード22と、事前認証結果情報52に含まれる専用対称鍵62を用いて相互認証処理を行う。お互いに認証しあうと、ICカード22および決済端末33は、引き続き、支払処理を行い、決済を完了させる。本発明は、認証処理システムに適用することができる。
【選択図】図1
【解決手段】ICカード22が近接されると、受付端末31は、そのICカード22を検出し、カード情報51を取得し、それを電子マネーサーバ32に供給する。電子マネーサーバ32は、ICカード22の事前認証処理を行い、認証が成功した場合、そのICカード22に対応する専用対称鍵62を特定し、事前認証結果情報52を、セキュアな状態で決済端末33に供給する。決済端末33は、近接されたICカード22と、事前認証結果情報52に含まれる専用対称鍵62を用いて相互認証処理を行う。お互いに認証しあうと、ICカード22および決済端末33は、引き続き、支払処理を行い、決済を完了させる。本発明は、認証処理システムに適用することができる。
【選択図】図1
Description
本発明は、情報処理システム、情報処理装置および方法、並びにプログラムに関し、特に、認証処理を行うシステムに用いて好適な情報処理システム、情報処理装置および方法、並びにプログラムに関する。
従来、対称鍵暗号ベースとしたオフラインで使える電子マネーシステムでは、一般的に、システム全体で共通の鍵を規定し、これを店舗端末とICカード双方で記憶しておき、この鍵を用いて電子マネーの残高(バリュー)を書き換える。あるいは、システム全体で共通とせずICカード毎に個別の値としておき、ICカード番号からあらかじめ規定した演算で計算できるようにする方法でICカードと店舗端末で同じ鍵を共有し、バリューを書き換えることもできる。
しかしながら、この方法では、店舗端末が解析されて鍵などの秘密情報が洩れた場合、その情報を不正に利用して別のカードになりすましなど、その影響がシステム全体に及ぶ危険性がある。
そこで、利用者の共通鍵暗号方式による共通鍵を情報保持媒体に保持させ、情報処理装置から与えられる利用者の認証要求に応じて、当該利用者の情報保持媒体に保持された共通鍵に基づいて共通鍵暗号方式による当該利用者の認証を行い、利用者を認証できた場合にのみ、情報処理装置に当該利用者の認証を公開鍵暗号方式で行わせるための所定の処理を行うようにする方法が考えられている(例えば、特許文献1参照)。
この方法を利用することにより、店舗端末を常時オンラインとし、店舗端末経由でサーバとICカード間でバリュー書き換えを行うことができるようになるので、例えば、サーバにおいて各ICカード専用の暗号鍵を管理させることができる。つまり、この方法により、各ICカードに個別の暗号鍵を保持させ、その暗号鍵を用いて利用者の認証処理を行うようにすることができる。これにより、上述したような暗号鍵漏洩の危険性を低減させることができる。
しかしながら、この方法の場合、公開鍵暗号方式と共通鍵暗号方式の2つの暗号方式を利用することになり、システムや各装置の構成が複雑になり、コストや処理の負荷が増大する恐れがあった。また、利用者認証のために、ICカードが店舗端末を介してサーバと通信を行う(対称鍵を利用する)必要がある。その通信時間のために認証処理の処理時間が増大し、利便性が低減する恐れがあった。
本発明は、このような状況に鑑みてなされたものであり、利便性を低減させずに、容易に、情報漏洩に対してより安全なシステムを実現することができるようにするものである。
本発明の一側面は、第1の端末とサーバと第2の端末を有し、携帯型情報処理装置の認証を行う情報処理システムであって、前記第1の端末は、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得する第1の取得手段と、前記第1の取得手段により取得された前記識別情報を前記サーバに供給する第1の供給手段とを備え、前記サーバは、前記第1の供給手段により供給される前記識別情報を取得する第2の取得手段と、前記第2の取得手段により取得される前記識別情報に対応する前記携帯型情報処理装置に割り当てられた、前記携帯型情報処理装置専用の、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵を特定する専用対象鍵特定手段と、前記専用対称鍵特定手段により特定された前記専用対称鍵を、前記第2の端末に供給する第2の供給手段とを備え、前記第2の端末は、前記第2の供給手段により供給される前記専用対称鍵を取得する第3の取得手段と、前記取得手段により取得された前記専用対称鍵を保持する保持手段と、前記携帯型情報処理装置より、前記識別情報を取得する第4の取得手段と、前記保持手段に保持されている、前記第4の取得手段により取得される前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する認証手段とを備える。
前記携帯型情報処理装置は、近距離無線通信を行う非接触型ICカードであるようにすることができる。
前記サーバは、予め登録された前記携帯型情報処理装置に関する登録情報を記憶する記憶手段をさらに備え、前記専用対称鍵特定手段は、前記記憶手段に記憶されている前記登録情報を参照して、前記第2の取得手段により取得される前記識別情報に対応する前記専用対称鍵を特定するようにすることができる。
前記第2の端末は、前記認証手段により認証された前記携帯型情報処理装置に入金された残高情報を更新する支払処理を行う支払処理手段をさらに備えるようにすることができる。
前記第2の端末は、所定のタイミングで前記保持手段に保持されている前記専用対称鍵を消去する後処理手段をさらに備えるようにすることができる。
前記第2の端末は、前記所定のタイミングを設定する保持期間設定手段をさらに備えるようにすることができる。
前記保持期間設定手段は、前記サーバからの指示、前記第2の端末のユーザからの指示、または、前記携帯型情報処理装置からの指示に基づいて前記所定のタイミングを設定するようにすることができる。
本発明の他の側面は、携帯型情報処理装置の認証を行う情報処理装置であって、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得する第1の取得手段と、各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、前記第1の取得手段により取得された前記識別情報に基づいて特定された専用対称鍵を保持する保持手段と、前記携帯型情報処理装置より、前記識別情報を取得する第2の取得手段と、前記保持手段に保持されている、前記第2の取得手段により取得される前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する認証手段とを備える。
前記携帯型情報処理装置は、近距離無線通信を行う非接触型ICカードであり、前記第1の取得手段および前記第2の取得手段は、近接された前記非接触型ICカードと前記近距離無線通信を行い、前記識別情報を取得するようにすることができる。
前記認証手段により認証された前記携帯型情報処理装置に入金された残高情報を更新する支払処理を行う支払処理手段をさらに備えるようにすることができる。
所定のタイミングで前記保持手段に保持されている前記専用対称鍵を消去する後処理手段をさらに備えるようにすることができる。
前記所定のタイミングを設定する保持期間設定手段をさらに備えるようにすることができる。
前記保持期間設定手段は、前記情報処理装置に接続され前記専用対称鍵の特定を行うサーバからの指示、前記情報処理装置のユーザからの指示、または、前記携帯型情報処理装置からの指示に基づいて前記所定のタイミングを設定するようにすることができる。
本発明の他の側面は、携帯型情報処理装置の認証を行う情報処理装置の情報処理方法であって、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得し、各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、取得された前記識別情報に基づいて特定された専用対称鍵を保持部に保持させ、前記携帯型情報処理装置より、前記識別情報を再度取得し、前記保持部に保持されている、再度取得された前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証するステップを含む。
本発明の他の側面は、携帯型情報処理装置の認証処理をコンピュータに実行させるプログラムであって、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得し、各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、取得された前記識別情報に基づいて特定された専用対称鍵を保持部に保持させ、前記携帯型情報処理装置より、前記識別情報を再度取得し、前記保持部に保持されている、再度取得された前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証するステップを含む。
本発明の一側面においては、携帯型情報処理装置より、その携帯型情報処理装置の識別情報が取得され、各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、取得された識別情報に基づいて特定された専用対称鍵が保持部に保持され、携帯型情報処理装置より、識別情報が再度取得され、保持部に保持されている、再度取得された識別情報に対応する専用対称鍵を用いて、携帯型情報処理装置が認証される。
本発明の側面によれば、認証処理を行うことができる。特に、利便性を低減させずに、容易に、より安全なシステムを実現することができる。
以下に本発明の実施の形態を説明するが、本発明の構成要件と、発明の詳細な説明に記載の実施の形態との対応関係を例示すると、次のようになる。この記載は、本発明をサポートする実施の形態が、発明の詳細な説明に記載されていることを確認するためのものである。従って、発明の詳細な説明中には記載されているが、本発明の構成要件に対応する実施の形態として、ここには記載されていない実施の形態があったとしても、そのことは、その実施の形態が、その構成要件に対応するものではないことを意味するものではない。逆に、実施の形態が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その実施の形態が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。
さらに、この記載は、本明細書に記載されている発明の全てを意味するものではない。換言すれば、この記載は、本明細書に記載されている発明であって、この出願では請求されていない発明の存在、すなわち、将来、分割出願されたり、補正により追加されたりする発明の存在を否定するものではない。
本発明の一側面は、第1の端末(例えば、図1の受付端末)とサーバ(例えば、図1の電子マネーサーバ)と第2の端末(例えば、図1の決済端末)を有し、携帯型情報処理装置(例えば、図1のICカード)の認証を行う情報処理システム(例えば、図1の電子マネーシステム)であって、前記第1の端末は、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報(例えば、図1のカードID)を取得する第1の取得手段(例えば、図2のカード情報取得部)と、前記第1の取得手段により取得された前記識別情報を前記サーバに供給する第1の供給手段(例えば、図2のカード情報供給部)とを備え、前記サーバは、前記第1の供給手段により供給される前記識別情報を取得する第2の取得手段(例えば、図3のカード情報取得部)と、前記第2の取得手段により取得される前記識別情報に対応する前記携帯型情報処理装置に割り当てられた、前記携帯型情報処理装置専用の、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵(例えば、図1の専用対称鍵)を特定する専用対象鍵特定手段(例えば、図3の専用対称鍵特定部)と、前記専用対称鍵特定手段により特定された前記専用対称鍵を、前記第2の端末に供給する第2の供給手段(例えば、図3の結果供給部)とを備え、前記第2の端末は、前記第2の供給手段により供給される前記専用対称鍵を取得する第3の取得手段(例えば、図5の通信部)と、前記取得手段により取得された前記専用対称鍵を保持する保持手段(例えば、図5の記憶部)と、前記携帯型情報処理装置より、前記識別情報を取得する第4の取得手段(例えば、図5のカード情報取得部)と、前記保持手段に保持されている、前記第4の取得手段により取得される前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する認証手段(例えば、図5の相互認証部)とを備える。
前記携帯型情報処理装置は、近距離無線通信を行う非接触型ICカード(例えば、図1のICカード)であるようにすることができる。
前記サーバは、予め登録された前記携帯型情報処理装置に関する登録情報(例えば、図3の登録情報)を記憶する記憶手段(例えば、図3の記憶部)をさらに備え、前記専用対称鍵特定手段は、前記記憶手段に記憶されている前記登録情報を参照して、前記第2の取得手段により取得される前記識別情報に対応する前記専用対称鍵を特定するようにすることができる。
前記第2の端末は、前記認証手段により認証された前記携帯型情報処理装置に入金された残高情報(例えば、図1の残高情報)を更新する支払処理を行う支払処理手段を(例えば、図5の支払処理部)さらに備えるようにすることができる。
前記第2の端末は、所定のタイミングで前記保持手段に保持されている前記専用対称鍵を消去する後処理手段(例えば、図5の後処理部)をさらに備えるようにすることができる。
前記第2の端末は、前記所定のタイミングを設定する保持期間設定手段(例えば、図27の保持期間設定部)をさらに備えるようにすることができる。
前記保持期間設定手段は、前記サーバからの指示(例えば、図27の保持期間情報)、前記第2の端末のユーザからの指示(例えば、図27の保持期間情報)、または、前記携帯型情報処理装置からの指示(例えば、図27の保持期間情報)に基づいて前記所定のタイミングを設定するようにすることができる。
本発明の他の側面は、携帯型情報処理装置(例えば、図24のICカード)の認証を行う情報処理装置(例えば、図24の受付決済共通端末)であって、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報(例えば、図24のカードID)を取得する第1の取得手段(例えば、図26のステップS301の処理を実行する図25のカード情報取得部)と、各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵(例えば、図24の専用対称鍵)であって、前記第1の取得手段により取得された前記識別情報に基づいて特定された専用対称鍵を保持する保持手段(例えば、図25の記憶部)と、前記携帯型情報処理装置より、前記識別情報を取得する第2の取得手段(例えば、図26のステップS304の処理を実行する図25のカード情報取得部)と、前記保持手段に保持されている、前記第2の取得手段により取得される前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する認証手段(例えば、図25の相互認証部)とを備える。
前記携帯型情報処理装置は、近距離無線通信を行う非接触型ICカード(例えば、図24のICカード)であり、前記第1の取得手段および前記第2の取得手段は、近接された前記非接触型ICカードと前記近距離無線通信を行い、前記識別情報を取得するようにすることができる。
前記認証手段により認証された前記携帯型情報処理装置に入金された残高情報(例えば、図24の残高情報)を更新する支払処理を行う支払処理手段(例えば、図25の支払処理部)をさらに備えるようにすることができる。
所定のタイミングで前記保持手段に保持されている前記専用対称鍵を消去する後処理手段(例えば、図25の後処理部)をさらに備えるようにすることができる。
前記所定のタイミングを設定する保持期間設定手段(例えば、図27の保持期間設定部)をさらに備えるようにすることができる。
前記保持期間設定手段は、前記情報処理装置に接続され前記専用対称鍵の特定を行うサーバからの指示(例えば、図27の保持期間情報)、前記情報処理装置のユーザからの指示(例えば、図27の保持期間情報)、または、前記携帯型情報処理装置からの指示(例えば、図27の保持期間情報)に基づいて前記所定のタイミングを設定するようにすることができる。
本発明の他の側面は、携帯型情報処理装置(例えば、図24のICカード)の認証を行う情報処理装置(例えば、図24の受付決済共通端末)の情報処理方法またはプログラムであって、前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報(例えば、図24のカードID)を取得し(例えば、図26のステップS301)、各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、取得された前記識別情報に基づいて特定された専用対称鍵(例えば、図24の専用対称鍵)を保持部(例えば、図25の記憶部)に保持させ(例えば、図26のステップS303)、前記携帯型情報処理装置より、前記識別情報を再度取得し(例えば、図26のステップS304)、前記保持部に保持されている、再度取得された前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する(例えば、図26のステップS305)ステップを含む。
次に、本発明を適用した実施の形態について、図面を参照して説明する。
図1は、本発明を適用した電子マネーシステムの構成例を示すブロック図である。
図1において、電子マネーシステム1は、例えば販売店10等、店舗における客21の商品購入に関する決済を、客21が有するICカード22を利用し、電子マネーにより行うシステムである。
ICカード22は、所定の通信方式で近距離無線通信を行う通信部と、情報を記憶する記憶部を内蔵しており(いずれも図示せず)、近距離無線通信によって、記憶部に記憶されている情報を近接された装置に供給したり、近接された装置より情報を取得して記憶部に記憶させたりする。
その記憶部の記憶領域には、各ICカードの識別情報であるカードID41、各ICカードに割り当てられた互いに異なる鍵情報である専用対称鍵42、およびICカード22にチャージ(入金)されている現在の残高を示す残高情報43が記憶されている。専用対称鍵42は、暗号化と復号の両方の処理において同じ鍵情報が用いられる秘密鍵暗号化方式用の鍵情報(対称鍵)であり、ICカード毎に互いに異なるランダムな鍵(他の鍵より算出不可能な鍵)が割り当てられている。例えば、専用対称鍵42は、2つの鍵KAおよび鍵KBにより構成される。もちろん、専用対称鍵42は、全体として1組の鍵として利用されるものであれば、いくつの鍵により構成されるようにしてもよい。
電子マネーシステム1は、客21のICカード22よりカードID41や残高情報を取得し、ICカード22に対応する専用対称鍵62(すなわち、専用対称鍵42)を特定し、その専用対称鍵42および専用対称鍵62を用いて認証処理を行う。
電子マネーシステム1は、ネットワーク30に接続される受付端末31、電子マネーサーバ32、および決済端末33を有している。販売店10には、受付端末31と決済端末33が設置される。例えば、受付端末31は販売店10の入り口(図示せず)付近に設置され、決済端末33は、決済作業を行う電子レジスタ(金銭登録器)が設置された決済コーナー等に設置される。
受付端末31は、近接されたICカード22と所定の通信方式により近距離無線通信を行い、そのICカード22のカードID41や残高情報43を取得し、それらをカード情報51として、ネットワーク30を介して電子マネーサーバ32に供給する。
ネットワーク30は、例えば、インターネットやLAN等、任意のネットワークにより構成される。ネットワーク30は、有線または無線の、1つまたは複数のネットワークにより構成され、受付端末31、電子マネーサーバ32、および決済処理を互いに接続し、それらの間で情報を授受可能であれば、どのようなものであってもよい。
電子マネーサーバ32は、各ICカード22の残高情報43や専用対称鍵42を管理するサーバであり、例えば販売店10とは異なる場所(例えば中央情報管理センタ等)に設置される。電子マネーサーバ32は、受付端末31より供給されるカード情報51を用いて、そのICカード22の認証処理を決済処理の前に(事前に)行う。そして、ICカード22が認証されると、電子マネーサーバ32は、そのICカード22に割り当てられている専用対称鍵62を特定し、それを、認証の判定結果情報61とともに、事前認証結果情報52として、決済端末33に供給する。
なお、図1においては、図示を省略しているが、電子マネーサーバ32は、複数の販売店に設置された複数の受付端末31や決済端末32と接続され、各受付端末31より供給されるカード情報51に対して上述したように認証処理を行い、事前認証結果情報52をその受付端末31に対応する決済端末33に供給する。
決済端末33は、近接されたICカード22と所定の通信方式により近距離無線通信を行い、電子マネーサーバ32より供給される事前認証結果情報に基づいて、そのICカード22と、専用対称鍵42および専用対称鍵62を用いた相互認証処理を行い、互いを確認した後、商品購入に関する決済処理を行う。
具体的な処理や作業の流れについて説明すると、ICカード22を携帯する客21は、販売店10に入店すると、最初に、受付端末31にICカード22を近接させる。例えば、入店した客21がICカード22を受付端末31に近接させるように促すために、受付端末31を入り口付近の目立つ部分に配置したり、受付端末31またはその付近に案内を表示したりするようにしてもよい。
ICカード22が近接されると、受付端末31は、そのICカード22を検出し、そのICカード22よりカード情報51(カードID31や残高情報43)を取得し、それを安全な(セキュアな)状態で電子マネーサーバ32に供給する。このとき、例えば、受付端末31は、それらの処理が終了したことを、画像や音声により客21に通知するようにしてもよい。
カード情報51が供給されると、電子マネーサーバ32は、カードID41や残高情報43を用いてICカード22の事前認証処理を行い、認証が成功した場合、そのICカード22に対応する専用対称鍵62を特定し、事前認証結果情報52を、セキュアな状態で決済端末33に供給する。決済端末33は、その事前認証結果情報52を取得すると、それを記憶部(図示せず)に記憶する。
ところで、受け付け処理が終了すると(例えば、受付端末31より処理終了を通知されたり、所定の時間経過したりした後)、客21は、販売店10において販売されている商品を見て回り、購入する商品を探したり、決定したりする(購入商品決定作業)。そして、購入する商品を決定すると、客21は、ICカード22にチャージした電子マネーを用いてその商品の決済を行うために、ICカード22を決済端末33に近接させる。
決済端末33は、そのICカード22を検出すると、ICカード22と近距離無線通信を行い、事前認証結果情報52に含まれる専用対称鍵62を用いて、ICカード22を認証し、自分自身(決済端末33)をICカード22に認証させる相互認証処理を行う。これに対してICカード22は、専用対称鍵42を用いて、決済端末33を認証し、自分自身(ICカード22)を決済端末33に認証させる相互認証処理を行う。そして、お互いに認証しあうと、ICカード22および決済端末33は、引き続き、支払処理を行い、ICカード22の残高情報を更新し、決済を完了させる。このとき、決済端末33は、その残高に関する情報を電子マネーサーバ32に供給し、電子マネーサーバ32において管理されている残高情報も更新する。また、例えば、決済端末33は、決済処理が終了したことを、画像や音声により客21に通知するようにしてもよい。
決済処理を完了すると(例えば、決済端末33より処理終了を通知されたり、所定の時間経過したりした後)、客21は、販売店10より退出する。
以上のように、電子マネーシステム1は、客21の入店時にICカード22のカード情報51を取得し、決済処理の事前に、決済時の認証処理に用いる専用対称鍵62を特定する。従って、電子マネーシステム1は、客21が商品を決定する時間を利用して、上述した処理を行い、専用対称鍵62を準備する。このようにすることにより、電子マネーシステム1は、通信処理や事前認証処理の時間による決済処理(認証処理を含む)の処理時間の増大を抑制し、システムの利便性を損なわないようにしながら、専用対称鍵(個別の対称鍵)を用いて認証処理を行うことができる。つまり、電子マネーシステム1は、例えば、あるICカード22から対称鍵が漏洩した場合であっても、その影響が、他のICカード等、システム全体に及ばないようにすることができる。さらに、電子マネーシステム1は、以上のような処理を、複数の暗号化方式の鍵情報を用いる等の複雑な処理や構成を必要とせずに、容易に、実現することができる。
このように、電子マネーシステム1は、利便性を低減させずに、容易に、情報漏洩に対してより安全なシステムを実現することができるようにするものである。
なお、電子マネーシステム1の構成は図1に示される以外の構成を含むようにしてもよい。例えば、販売店10、ネットワーク30、受付端末31、電子マネーサーバ32、および決済端末33の数は、それぞれ、いくつであってもよい。また、1つの販売店10に設置される受付端末31および決済端末33の数は、それぞれ、いくつであってもよい。1つの電子マネーサーバ32に対応する受付端末31および決済端末33の数も任意であり、1つの受付端末31に複数の電子マネーサーバ32が対応するようにしてもよいし、1つの決済端末33に複数の電子マネーサーバ32が対応するようにしてもよい。さらに、1つの受付端末31に対して複数の決済端末33が対応するようにしてもよいし、複数の受付端末31に対して1つの決済端末33が対応するようにしてもよい。
また、電子マネーサーバ32に転送されるカード情報51に、上述した以外の他の情報が含まれるようにしてもよいし、電子マネーサーバ32より送信される事前認証結果情報52に、上述した以外の他の情報が含まれるようにしてもよい。
図2は、図1の受付端末31の内部の構成例を示すブロック図である。
図2において、受付端末31は、受付端末31の各部を制御する制御部71、近接されたICカード22より情報を読み出すリーダ72、および、ネットワーク30を介して電子マネーサーバ32と通信を行う通信部73を有している。
制御部71は、ポーリング処理部81、カード情報取得部82、およびカード情報供給部83を有している。ポーリング処理部81は、リーダ72を制御してポーリング処理を行わせ、近接されたICカード22の検出を行う。カード情報取得部82は、リーダ72を制御してICカード22よりカード情報51(例えば、カードID41や残高情報43)を取得させる。カード情報供給部83は、通信部73を制御し、取得したカード情報51を電子マネーサーバ32に供給する。
リーダ72は、制御部71に制御され、近接されたICカード22と、所定の方式で近距離無線通信を行う。例えば、リーダ72は、制御部71のポーリング処理部81に制御され、ポーリングを送信し、近接されたICカード22より送信される、ポーリングに対する応答であるACKを受信する。これにより制御部71は、近接されたICカード22を検出し、その存在を確認する。また、例えば、リーダ72は、制御部71のカード情報取得部82に制御され、存在が確認されたICカード22に対してカード情報要求を送信し、その応答として供給されるカード情報51を受信する。これにより制御部71は、ICカード22よりカード情報を取得する。なお、リーダ72の詳細な構成や、ICカード22との通信方法の詳細等については、後述する決済端末33のリーダライタ132の場合と基本的に同様であるので、ここでは省略する。
通信部73は、ネットワーク30を介して電子マネーサーバ32と通信を行い、制御部71のカード情報供給部83より供給されるカード情報51をその電子マネーサーバ32に供給する。このとき、通信部73は、第3者への情報の漏洩の可能性が低いセキュアな専用回線により構成されるネットワーク30を用いたり、セキュアな仮想専用ネットワーク(VPN(Virtual Private Network))を構築してそれを用いたり、授受する情報に対して暗号化や復号の処理を行うようにしたりして、カード情報51をセキュアな状態で(第3者への情報の漏洩を抑制する状態で)電子マネーサーバ32に供給する。
つまり、受付端末31は、電子マネーサーバ32に、決済処理の前に、事前認証処理を行わせ、専用対称鍵62を特定させるために、上述したように近接されたICカード22を検出し、そのICカード22よりカード情報51を取得し、それを電子マネーサーバ32に供給する。
図3は、図1の電子マネーサーバ32の内部の構成例を示すブロック図である。
図3において、電子マネーサーバ32は、電子マネーサーバ32の各部を制御する制御部91、ネットワーク30を介して受付端末31や決済端末32と通信を行う通信部92、および、予め用意された、ICカード22に関する情報である登録情報121を記憶する記憶部93を有している。
制御部91は、カード情報取得部101、事前認証部102、および結果供給部103を有している。カード情報取得部101は、通信部92を制御し、受付端末31より供給されるカード情報51を取得し、それを事前認証部102のID認証部111に供給する。
事前認証部102は、供給されたカード情報51のICカード22について、決済処理の前に(事前に)認証処理を行い、決済時の認証処理において利用される専用対称鍵62を特定する。事前認証部102は、ID認証部111、残高確認部112、専用対称鍵特定部113、判定結果情報作成部114、および事前認証結果情報作成部115を有している。
ID認証部111は、記憶部93に記憶されている登録情報121を参照して、カード情報取得部101により取得されたカード情報に含まれるカードID41の認証を行う。
登録情報121は、予め登録された各ICカード22に関する情報である。例えば、登録情報121は、図4に示されるように、ICカード22に関する複数種類の情報が、ICカード毎に関連付けられたテーブル情報として構成される。図4においては、各ICカード22について、カードID、残高情報、および専用対称鍵が互いに関連付けられて登録されている。上から2行目を例に説明すると、カードIDが「AAAAA」のICカード22の残高は「1000」円であり、そのICカード22に割り当てられた専用対称鍵は「KEY1」である。
つまり、図3のID認証部111は、このような予め登録された登録情報121を参照し、取得したカードIDが、この登録情報に含まれているか否かを判定することにより、カードIDの認証を行う。
なお、登録情報121は、図4に示した例以外の構成であってもよく、例えば、上述した以外の項目を含むようにしてもよい。
カードIDの認証を行ったID認証部111は、その認証結果を、その内容に応じて、カード情報51や登録情報121とともに、残高確認部112、専用対称鍵特定部113、または判定結果情報作成部114に供給する。
残高確認部112は、登録情報121を参照し、カード情報51に含まれる残高情報43の金額が登録情報121と一致するか否かを確認する。そして、残高確認部112は、その確認結果を、その内容に応じて、カード情報51や登録情報121とともに、判定結果情報作成部113または判定結果情報作成部114に供給する。
専用対称鍵特定部113は、供給された登録情報121を参照し、ID認証部111において認証されたカードIDに対応する専用対称鍵62を特定する。そして、専用対称鍵特定部113は、その専用対称鍵62を判定結果情報作成部114に供給する。
判定結果情報作成部114は、供給された認証結果や確認結果等に基づいて、ICカード22が正しいものであるか、または、不正なものであるか等、ICカード22に対する判定結果を示す判定結果情報61を作成し、それを、必要に応じて、専用対称鍵62等のその他の情報とともに、事前認証結果情報作成部115に供給する。
事前認証結果情報作成部115は、供給された情報を用いて、決済端末33に供給するための事前認証結果情報52を作成し、それを結果供給部103に供給する。
結果供給部103は、供給された事前認証結果情報52を、通信部92を介して決済端末33に供給する。
通信部92は、所定の通信インタフェースを有しており、ネットワーク30に接続され、そのネットワーク30を介して、受付端末31や決済端末33と通信を行い、各種情報を授受する。このとき、通信部92は、第3者への情報の漏洩の可能性が低いセキュアな専用回線により構成されるネットワーク30を用いたり、セキュアな仮想専用ネットワーク(VPN(Virtual Private Network))を構築してそれを用いたり、授受する情報に対して暗号化や復号の処理を行うようにしたりして、受付端末31より供給されるカード情報51をセキュアな状態で(第3者への情報の漏洩を抑制する状態で)取得したり、決済端末33に事前認証結果情報52をセキュアな状態で供給したりする。
記憶部93は、例えば、ハードディスクや半導体メモリ等の記憶媒体により構成され、上述した登録情報121を予め記憶している。
つまり、決済処理開始時において、決済端末33が、相互認証処理に必要な専用対称鍵62を取得済みであり、待機することなく相互認証処理等を行うことができるように(少なくとも、決済処理開始時に発生する専用対称鍵62取得のための待機時間を低減させるように)、電子マネーサーバ32は、上述したように、受付端末31より供給されるカード情報51に基づいて、決済処理の前に、事前認証処理を行い、専用対称鍵62を特定し、それをICカード22の判定結果情報61とともに事前認証処理結果情報52として決済端末33に供給する。
図5は、図1の決済端末33の内部の構成例を示すブロック図である。
図5において、決済端末33は、決済端末33の各部を制御する制御部131、近接されたICカード22と近距離無線通信を行い、ICカード22に対して情報の読み書きを行うリーダライタ132、ネットワーク30に接続され、電子マネーサーバ32と通信を行い、情報の授受を行う通信部133、電子マネーサーバ32より供給される事前認証結果情報52を保持する記憶部134、客21や販売店10の店員(ユーザ)に対するメッセージや画像等を表示する表示部135、および、店員(ユーザ)からの入力を受け付ける入力部136を有している。
制御部131は、販売店10における商品の決済に関する処理を制御する。制御部131は、ポーリング処理部141、カード情報取得部142、および決済処理部143を有している。
ポーリング処理部141は、リーダライタ132を制御してポーリング処理を行わせ、近接されたICカード22の検出を行う。カード情報取得部142は、リーダライタ132を制御してICカード22よりカード情報51(例えば、カードID41や残高情報43)を取得させる。
決済処理部143は、リーダライタ132、記憶部134、表示部135、および入力部136等を制御し、カード情報取得部142により取得されたカード情報51を用いて、近接されたICカード22に対して、客21が購入する商品に関する決済処理を行う。決済処理部143は、事前認証結果対応処理部151、相互認証部152、支払処理部153、および後処理部154を有している。
事前認証結果対応処理部151は、カード情報取得部142が取得したカード情報51を取得すると、そのカード情報51(近接されたICカード22)に対応する、記憶部134に記憶された事前認証結果情報52を参照し、例えば、その認証結果を示すメッセージを表示部135に表示させて店員(ユーザ)に通知する等、その事前認証結果に対応する処理を実行する。
相互認証部152は、記憶部134やリーダライタ132を制御し、ICカード22と互いに認証し合うための相互認証処理を実行する。相互認証処理の詳細については後述するが、例えば、相互認証部152は、リーダライタ132を制御し、ICカード22と授受する情報について、事前認証結果情報52に含まれる専用対称鍵62を用いた暗号化や復号を行い、互いに正しい(不正でない)通信相手であることを認証し合う。
相互認証部152の処理によりICカード22と決済端末33が互いに認証し合うと、支払処理部153は、入力部136より入力される商品購入に関する情報に基づいて、記憶部134およびリーダライタ132を制御し、ICカード22の残高情報43を補正する支払処理を行う。
後処理部154は、表示部135の表示を終了したり、記憶部134に記憶されている、不要になった事前認証結果情報を削除したりする。
リーダライタ132は、制御部131に制御され、近接されたICカード22と、所定の方式で近距離無線通信を行う。例えば、リーダライタ132は、制御部131のポーリング処理部141に制御され、ポーリングを送信し、近接されたICカード22より送信される、ポーリングに対する応答であるACKを受信する。これにより制御部131は、近接されたICカード22を検出し、その存在を確認する。また、例えば、リーダライタ132は、制御部131のカード情報取得部142に制御され、存在が確認されたICカード22に対してカード情報要求を送信し、その応答として供給されるカード情報51を受信する。これにより制御部131は、ICカード22よりカード情報を取得する。
さらに、例えば、リーダライタ132は、制御部131の相互認証部152に制御され、事前認証結果情報52に含まれる専用対称鍵62を用いて、暗号化や復号を行いながら、ICカード22と情報を授受し、ICカード22を認証するとともに、ICカード22に認証させる。また、リーダライタ132は、制御部131の支払処理部153に制御され、ICカード22の残高情報を更新する。なお、リーダ72の詳細な構成や、ICカード22との通信方法の詳細等については、後述する。
通信部133は、ネットワーク30を介して電子マネーサーバ32と通信を行い、電子マネーサーバ32より供給される事前認証結果情報52を取得し、それを記憶部134に記憶させる。このとき、通信部133は、第3者への情報の漏洩の可能性が低いセキュアな専用回線により構成されるネットワーク30を用いたり、セキュアな仮想専用ネットワーク(VPN(Virtual Private Network))を構築してそれを用いたり、授受する情報に対して暗号化や復号の処理を行うようにしたりして、電子マネーサーバ32より供給される事前認証結果情報52を、セキュアな状態で(第3者への情報の漏洩を抑制する状態で)取得する。
記憶部134は、ハードディスクや半導体メモリ等の記憶媒体により構成され、通信部133より供給される事前認証結果情報を記憶し、必要に応じてそれを決済処理部143に供給する。
表示部135は、例えば、CRT(Cathode Ray Tube)モニタやLCD(Liquid Crystal Display)等のモニタにより構成され、事前認証結果を示すメッセージや図柄等の画像情報を表示する。
つまり、決済端末33は、電子マネーサーバ32において、決済処理の前に(事前に)特定された専用対称鍵62保持し、それを用いて決済処理を行う。
図6は、図5のリーダライタ132の詳細な構成例を示すブロック図である。
図6において、リーダライタ132は、制御部161、インタフェース162、メモリ163、暗号部164、送信部165、アンテナ部166、受信部167、復号部168を有している。
制御部161は、内蔵するプログラムに応じて、各種処理を行う。例えば、制御部161は、ICカード22に送信するデータを、暗号部164に出力するとともに、復号部168より供給された、ICカード22からの応答データを処理する。また、制御部161は、メモリ163から、暗号化または復号に利用される鍵KAまたは鍵KB(専用対称鍵62)を読み出し、その鍵KAまたは鍵KBを、暗号部164または復号部168に出力する。さらに、制御部161は、インタフェース162を介して、制御部131の各部と通信を行い、必要な情報を取得したり、ICカード22より取得した情報を制御部131に供給したりする。例えば、制御部161は、インタフェース162を介して、制御部131より供給される専用対称鍵62(鍵KAおよび鍵KB)を取得し、それをメモリ163に供給して保持させる。
メモリ163は、制御部161における処理に使用されるデータなどを記憶している他、暗号化または復号化において利用される2つの鍵KA,KB(制御部131より供給された専用対称鍵62)を記憶している。
暗号部164は、制御部161より供給されたデータを、所定の鍵で暗号化し、暗号化したデータ(暗号)を送信部165に出力する。ただし、ポーリングやカード情報の要求コマンドは、暗号化せずに送信される。つまり、暗号部164は、供給された情報がポーリングやカード情報の要求コマンドである場合、それらを暗号化せずに送信部165に出力する。
送信部165は、暗号部164より供給されたデータ(暗号)を、所定の変調方式(例えば、PSK(Phase Shift Keying)変調方式)で変調し、生成された変調波を、アンテナ部166を介してICカード22に送信する。
受信部167は、アンテナ部166を介して、ICカード22により送信された変調波を受信し、その変調波に対応する復調方式で復調し、復調したデータ(暗号)を復号部168に出力する。
復号部168は、受信部167より供給されたデータ(暗号)を、所定の鍵で復号化し、復号化したデータを制御部161に出力する。
図7は、図6の暗号部164の詳細な構成例を示すブロック図である。
図7において、暗号部164は、鍵保存部171およびデータランダム化部172を有している。鍵保存部171は、制御部161より供給された鍵Kを保持する。データランダム化部172は、鍵保存部171から鍵Kを読み出し、その鍵Kで、制御部161より供給されたデータを暗号化し、生成された暗号を送信部165に出力する。なお、ここでは、暗号部164がデータを暗号化する場合の構成についてのみ示されている。暗号化せずに送信する場合、暗号部164は、入力されたデータをそのまま出力する。
図8は、図7のデータランダム化部172の詳細な構成例を示すブロック図である。
このデータランダム化部172は、複数のインボリューション処理を行うDES方式(例えば、「暗号と情報セキュリティ」辻井 重男、笠原 正雄 編著、1990年、昭晃堂に記載されている)で暗号を生成する。このデータランダム化部172においては、鍵データ生成回路181は、鍵保存部171から読み出した鍵Kから、16個の鍵データK1乃至K16を算出し、鍵データK1乃至K16を、演算回路182−1乃至182−16にそれぞれ出力する。
レジスタ183は、制御部161より供給された64ビット(8バイト)のデータを保持し、その64ビットのデータのうちの上位32ビットを加算器184−1に出力し、下位32ビットを演算回路182−1および加算器184−2に出力する。
演算回路182−i(i=1,・・・,16)は、レジスタ183の下位32ビット(演算回路62−1の場合)または加算器184−(i−1)(演算回路182−2乃至182−16の場合)より供給された32ビットのデータに対して、鍵データ生成回路61より供給された鍵データKiを利用して、所定の変換を行い、変換後の32ビットのデータを加算器184−iに出力する。
加算器184−i(i=1,・・・,16)は、レジスタ183の上位32ビット(加算器184−1の場合)、レジスタ183の下位32ビット(加算器184−2の場合)、および、加算器184−(i−2)(加算器184−3乃至184−16の場合)のいずれかより供給された32ビットのデータと、演算回路62−iより供給された32ビットのデータの排他的論理和(ビット毎の排他的論理和)を計算し、その排他的論理和(32ビット)を、加算器184−(i+2)(加算器184−1乃至184−14の場合)、レジスタ185の下位32ビット(加算器184−15の場合)、および、レジスタ185の上位32ビット(加算器184−16の場合)のいずれか、並びに、演算回路182−(i+1)(加算器184−1乃至184−15の場合)に出力する。
レジスタ185は、加算器184−15より供給された32ビットのデータを、下位32ビットで保持し、加算器184−16より供給された32ビットのデータを、上位32ビットで保持するとともに、これらの2つの32ビットのデータで構成される64ビットのデータを、暗号として送信部165に出力する。
図9は、図6の復号部168の詳細な構成例を示すブロック図である。
図9において、復号部168は、鍵保存部191と変換部192を有している。鍵保存部191は、制御部161より供給された鍵Kを保持するようになされている。変換部192は、図8のデータランダム化部172と同様の構成を有し、鍵保存部191から鍵Kを読み出し、受信部167より供給されたデータ(DES方式で暗号化された暗号)をレジスタ183に供給した後、図8のデータランダム化部172と同様の動作を行い、そのデータを復号化し、復号化したデータをレジスタ185から制御部161に出力する。なお、ここでは、データを復号する場合の構成についてのみ示されている。平文が送信されてきた場合(例えばポーリングやカード情報の要求等の所定に対しては)、復号部168は、受信部167より供給された情報を復号せずにそのまま制御部161に出力する。
また、受付端末31のリーダ72も、上述した決済端末33のリーダライタ132と同様の詳細な構成を有しており、受付端末31において制御部71に制御されて動作すること、暗号部164を必要としないこと、および、ICカード22に対してデータの書き込みを行わないこと以外は、基本的に同様に動作してICカード22と近距離無線通信を行う。
図10は、図1のICカード22の内部の構成例を示すブロック図である。
図10において、ICカード22は、制御部201、記憶部202、暗号部203、送信部204、アンテナ205、受信部206、および復号部207を有している。
制御部201は、受付端末31のリーダ72や、決済端末33のリーダライタ132より供給されるコマンドに応じて、各種処理を行う。制御部201は、リーダ72やリーダライタ132より供給されたコマンドを、復号部207から受け取り、そのコマンドに対応した処理を行い、その処理の結果に対応する応答データ(リーダ72またはリーダライタ132に送信するもの)を、暗号部203に出力する。また、制御部201は、記憶部202から、暗号化処理または復号処理に利用される専用対象鍵42(鍵KAまたは鍵KB)を読み出し、その鍵KAまたは鍵KBを、暗号部203または復号部207に出力し、セットする。
さらに、制御部201は、応答処理部211、カード情報供給部212、相互認証処理部213、および支払処理部214を有している。応答処理部211は、アンテナ部205、受信部206、および復号部207を介して取得した、リーダ72やリーダライタ132より供給されたポーリングに対して、暗号部203、送信部204、およびアンテナ部205を介して、応答信号であるACKを供給する処理を行う。カード情報供給部212は、アンテナ部205、受信部206、および復号部207を介して取得した、リーダ72やリーダライタ132からの要求に応じて、その要求されたカード情報51を記憶部202より取得し、それを暗号部203、送信部204、およびアンテナ部205を介して、要求元であるリーダ72またはリーダライタ132に供給する。
相互認証処理部213は、暗号部203乃至復号部207を介して、リーダライタ132と近距離無線通信を行い、専用対称鍵42を用いて、相互認証処理を行い、決済端末33を認証するとともに、決済端末33に自分自身(ICカード22)を認証させる。
支払処理部214は、暗号部203乃至復号部207を介して、リーダライタ132と近距離無線通信を行い、決済端末33からの要求に応じて、記憶部202に記憶されている残高情報の更新を行う。
記憶部202は、ハードディスクや半導体メモリ等の記憶媒体を有しており、その記憶媒体にカード情報51を記憶している。例えば、記憶部202は、RAM(Random Access Memory)(128キロバイト程度)およびROM(Read Only Memory)(512キロバイト程度)を有し、そのRAMに、例えば、残高情報43等のように、制御部201における処理に使用されるデータ等を一時的に記憶し、ROMに、カードID41や専用対象鍵42(鍵KAおよびKB)を、予め記憶している。
暗号部203および復号部207は、図7の暗号部164および図9の復号部168と同様の構成であるので、その説明を省略する。
送信部204は、暗号部203より供給されたデータ(暗号)を、所定の変調方式(例えば、PSK(Phase Shift Keying)変調方式)で変調し、生成された変調波を、アンテナ部205を介してリーダ72またはリーダライタ132に送信する。ただし、リーダ72やリーダライタ132より送信されるポーリングやカード情報の要求コマンドに対する応答は、暗号化されずに送信される。
受信部206は、アンテナ部205を介して、リーダ72またはリーダライタ132より送信された変調波を受信し、その変調波に対応する復調方式で復調し、復調したデータ(暗号)を復号部207に出力する。ただし、リーダ72やリーダライタ132より送信されるポーリングやカード情報の要求コマンドは、暗号化されずに送信される。
次に、以上のような電子マネーシステム1における具体的な処理の流れについて説明する。
最初に、図1に示される電子マネーシステム1全体における処理の流れの例を、図11のフローチャートを参照して説明する。
受付端末31のポーリング処理部81およびカード情報取得処理部82は、ステップS1において、リーダ72を制御して、カード情報取得処理を行い、近接されたICカード22(入店した客21のICカード)から、そのカード情報51を取得する。カード情報51を取得すると受付端末31のカード情報供給部83は、ステップS2において、通信部73を制御し、そのカード情報51を、ネットワーク30を介して電子マネーサーバ32に送信する。
電子マネーサーバ32のカード情報取得部101は、ステップS21において、そのカード情報51を取得する。カード情報51が取得されると、事前認証部102は、ステップS22において、そのカード情報51に対して事前認証処理を行い、専用対称鍵62を特定する。そして、結果供給部103は、その専用対称鍵62を含む事前認証結果情報52を、ネットワーク30を介して決済端末33に供給する。
決済端末33の通信部133は、ステップS11において、その事前認証結果情報52を取得すると、それを記憶部134に供給して保持させる。ステップS12において、制御部131のポーリング処理部141およびカード情報取得処理部142は、リーダライタ132を制御して、カード情報取得処理を行い、近接されたICカード22(商品を購入する客21のICカード)から、そのカード情報51を取得する。カード情報51を取得すると決済端末33の決済処理部143は、ステップS13において、事前認証結果情報52に含まれる専用対称鍵62を用いて決済処理を行う。
以上のように処理を行うことにより、電子マネーシステム1は、複数種類の暗号鍵を使い分けたり、専用対称鍵取得のために決済処理の処理時間を増大させたりせずに、専用対称鍵を用いた認証処理を行うことができる。すなわち、電子マネーシステム1は、利便性を低減させずに、容易に、情報漏洩に対してより安全なシステムを実現することができる。
次に、図11のステップS1において実行されるカード情報取得処理の詳細な流れの例を、図12のフローチャートを参照して説明する。
カード情報取得処理を開始すると、受付端末31のポーリング処理部81は、ステップS31において、ポーリング処理を行い、ポーリングを送信する。受付端末31に近接されたICカード22は、ステップS41において、そのポーリングを受信する。ポーリングを受信すると、ICカード22の応答処理部211は、ステップS42において、そのポーリングに対してACKを送信して応答する。受付端末31のポーリング処理部81は、ステップS32において、そのACKを受信する。
ACKが受信され、ICカード22の存在が確認されると、カード情報取得部82は、ステップS33において、そのICカード22に対して、カード情報51を要求する。ICカード22のカード情報供給部212は、ステップS43においてその要求を取得すると、ステップS44において、その要求に対応して、カードID41および残高情報43を含むカード情報51を記憶部202より取得し、それを受付端末31に供給する。受付端末31のカード情報取得部82は、ステップS34において、そのカード情報51(カードID41および残高情報43)を取得し、カード情報取得処理を終了する。
次に、図11のステップS22において実行される事前認証処理の詳細な流れの例を、図13のフローチャートを参照して説明する。
事前認証処理が開始されると、事前認証部102のID認証部111は、ステップS61において、記憶部93より登録情報121を読み出し、ステップS62において、その登録情報121に基づいて、カード情報取得部101により取得されたカード情報51に含まれるカードID41の認証を行う。ステップS63において、ID認証部111は、そのカードID41が登録情報121に存在するか否か(登録されているか否か)を判定し、存在すると判定された場合、処理をステップS64に進める。
また、ステップS64において、ID認証部111は、カード情報51に含まれる残高情報43についての残高確認も行うか否かを判定し、残高確認を行うと判定した場合、ID認証結果等の情報を残高確認部112に供給し、処理をステップS65に進める。ステップS65において、残高確認部112は、登録情報121に含まれる残高情報に基づいて、カード情報51に含まれる残高情報43の残高が正しいか否かを確認する。
ステップS66において、残高確認部112は、その確認により、登録情報121に登録されている残高(カードID41に対応する残高)と、カード情報51の残高情報43が示す残高(ICカード22に記憶されている残高)とが一致するか否かを判定し、一致すると判定した場合、ID認証結果等の情報を専用対称鍵特定部113に供給し、処理をステップS67に進める。
また、ステップS64において、残高確認を行わないと判定した場合、ID認証部111は、ID認証結果等の情報を専用対称鍵特定部113に供給し、処理をステップS67に進める。
ステップS67において、専用対称鍵特定部113は、登録情報121より、カードID41に対応する専用対称鍵62を特定し、情報を判定結果情報作成部114に供給する。判定結果情報作成部114は、ステップS68において、カードID認証成功を示す判定結果情報61を作成し、その判定結果情報61および専用対称鍵62を事前認証結果情報作成部115に供給し、処理をステップS71に進める。
また、ステップS66において、残高情報が一致しないと判定した場合、残高確認部112は、情報を判定結果情報作成部114に供給し、処理をステップS69に進める。ステップS69において、判定結果情報作成部114は、残高不一致を示す判定結果情報61を作成し、それを事前認証結果情報作成部115に供給し、処理をステップS71に進める。
さらに、ステップS63において、カードID41が登録情報121に存在しない(登録されていない)と判定した場合、ID認証部111は、情報を判定結果情報作成部114に供給し、処理をステップS70に進める。ステップS70において、判定結果情報作成部114は、ID認証失敗を示す判定結果情報61を作成し、それを事前認証結果情報作成部115に供給し、処理をステップS71に進める。
ステップS71において、事前認証結果情報作成部115は、判定結果情報61および専用対称鍵62(専用対称鍵62は、特定された場合のみ)を含む事前認証結果情報52を作成し、それを結果供給部103に供給し、事前認証処理を終了する。
次に、図11のステップS12において実行されるカード情報取得処理、および、ステップS13において実行される決済処理の流れの例を、図14のフローチャートを参照して説明する。
ステップS12において実行されるカード情報取得処理は、基本的にステップS1において実行されるカード情報取得処理と同様であり、図12のフローチャートを参照して説明したように各処理が実行される。つまり、決済端末33は、図14のステップS91乃至ステップS94の各処理を、受付端末31による図12のステップS31乃至ステップS34の各処理の場合と同様に実行し、それに対して、ICカード22は、図14のステップS101乃至ステップS104の各処理を、図12のステップS41乃至ステップS44の各処理の場合と同様に実行する。すなわち、決済端末33は、受付端末31と同様にポーリング処理を行い、近接されたICカード22を検出し、そのICカード22からカード情報51(少なくともカードID41を含む)を取得する。
カード情報51を取得すると、決済処理部143の事前認証結果対応処理部151は、ステップS95において、事前認証結果対応処理を行う。事前認証結果対応処理の詳細については後述する。事前認証結果対応処理が終了すると、相互認証部152は、ステップS96において、リーダライタ132を制御し、ICカード22と通信を行い、決済端末33側の相互認証処理を行う。ICカード22の相互認証処理部213は、これに対して、ステップS105において、アンテナ部205を介して決済端末33と通信を行い、ICカード22側の相互認証処理を行う。これらの相互認証処理の詳細については後述する。
ステップS96の相互認証処理が終了すると、決済端末33の支払処理部153は、ステップS97において、リーダライタ132を制御し、ICカード22と通信を行い、決済端末33側の支払処理を実行し、入力部136より入力された商品購入に関する情報に基づいてICカード22の残高情報の更新情報を作成し、それをICカード22に送信する。ICカード22の支払処理部214は、これに対して、ステップS106において、アンテナ部205を介して決済端末33と通信を行い、ICカード22側の支払処理を実行し、供給された更新情報に基づいて記憶部202に記憶されている残高情報43を更新する。これらの支払処理における更新情報の授受等は、後述する、決済端末33とICカード22との間の一般的な通信処理(相互認証された後に行われる通信処理)を利用して行われる。
ステップS97の支払処理が終了すると、決済端末33の後処理部154は、ステップS98において後処理を行う。
次に、図14のステップS95において実行される事前認証結果対応処理の詳細な流れの例を、図15のフローチャートを参照して説明する。
事前認証結果対応処理が開始されると、事前認証結果対応処理部151は、ステップS121において、カード情報取得部142が取得したカード情報51に対応する事前認証結果情報52を記憶部134より取得する処理を行い、例えば所定の時間経過後、ステップS122において、その取得が成功したか否かを判定する。事前認証結果情報52を取得したと判定した場合、事前認証結果対応処理部151は、処理をステップS123に進め、その事前認証結果情報52の判定結果情報61を参照し、事前認証が成功したか否かを判定する。認証が成功したと判定した場合、事前認証結果対応処理部151は、処理をステップS124に進め、表示部135を制御し、認証が成功したことをユーザに通知するための認証成功メッセージを表示させ、事前認証結果対応処理を終了する。
ステップS122において、例えば、電子マネーサーバ32より事前認証結果情報52が送信されなかったり、記憶している事前認証結果情報52が破壊されていたりして事前認証結果情報52を取得できなかった場合、事前認証結果対応処理部151は、処理をステップS125に進める。また、ステップS123において、判定結果情報61を参照した結果、事前認証が失敗していると判定した場合、事前認証結果対応処理部151は、処理をステップS125に進める。
ステップS125において、事前認証結果対応処理部151は、表示部135を制御し、認証が失敗したことをユーザに通知するための警告メッセージを表示させ、事前認証結果対応処理を終了する。
なお、表示部135には、メッセージ以外にも、認証結果を示す絵や図柄等を表示させるようにしてもよい。また、事前認証結果の通知は、メッセージや図柄等の画像以外にも、例えば音声や振動等により行われるようにしてもよい。
このように、決済端末33がユーザ(店員)に事前認証処理結果を通知することにより、ユーザ(店員)は、速やかに(相互認証処理の前に)事前認証処理結果を把握することができ、特にエラーが発生した場合(認証できなかった場合)に、客21に対してICカード22を確認する等の対応作業を速やかに行うことができる。
次に、図16および図17のフローチャート、並びに、図18を参照して、決済端末33とICカード22の、相互認証を行うときの動作について説明する。なお、図16のフローチャートが決済端末33による相互認証処理の詳細な流れの例を示しており、図17のフローチャートがICカード22による相互認証処理の詳細な流れの例を示しており、図18が、相互認証処理の例を説明する模式図である。
最初に図16のステップS141において、決済端末33の相互認証部152に制御されたリーダライタ132の制御部161は、64ビットの乱数RAを生成し、その乱数RAを暗号部164のデータランダム化部172に出力するとともに、メモリ163から、相互認証部152より供給されて保持される専用対称鍵62の鍵KBを読み出し、暗号部164の鍵保存部171に出力する。
図7の暗号部164のデータランダム化部172は、鍵保存部171から鍵KBを読み出す。そして、図8のデータランダム化部172の鍵データ生成回路181は、鍵KBから16個の鍵データK1乃至K16を生成し、演算回路182−1乃至182−16にそれぞれ出力する。
データランダム化部172のレジスタ183は、制御部161より供給された乱数RAの上位32ビットを加算器184−1に出力し、乱数RAの下位32ビットを演算回路182−1および加算器184−2に出力する。演算回路182−1は、その32ビットのデータを、鍵データK1を利用して変換し、変換後のデータを加算器184−1に出力する。加算器184−1は、レジスタ183より供給された32ビットのデータと、演算回路182−1より供給された32ビットのデータの排他的論理和(ビット毎の排他的論理和)を計算し、その排他的論理和(32ビット)を、演算回路182−2および加算器184−3に出力する。
次に、演算回路182−2は、その32ビットのデータを、鍵データK2を利用して変換し、変換後のデータ(32ビット)を加算器184−2に出力する。加算器184−2は、レジスタ183より供給された32ビットのデータと、演算回路182−2より供給された32ビットのデータの排他的論理和を計算し、その排他的論理和を、演算回路182−3および加算器184−4に出力する。
演算回路182−3乃至182−14および加算器184−3乃至184−14は、順次、演算回路182−2および加算器184−2と同様の動作を行う。即ち、演算回路182−j(j=3,・・・,14)は、加算器184−(j−1)より供給された32ビットのデータを、鍵データKjを利用して変換し、変換後のデータを加算器184−jに出力する。加算器184−j(j=3,・・・,14)は、加算器184−(j−2)より供給された32ビットのデータと、演算回路182−jより供給された32ビットのデータの排他的論理和を計算し、その排他的論理和を、演算回路182−(j+1)および加算器184−(j+2)に出力する。
さらに、演算回路182−15は、加算器184−14より供給された32ビットのデータを、鍵データK15を利用して変換し、変換後のデータを加算器184−15に出力する。加算器184−15は、加算器184−13より供給された32ビットのデータと、演算回路182−15より供給された32ビットのデータの排他的論理和を計算し、その排他的論理和を、演算回路182−16およびレジスタ185の下位32ビットに出力する。
そして、演算回路182−16は、その32ビットのデータを、鍵データK16を利用して変換し、変換後のデータを加算器184−16に出力する。加算器184−16は、加算器184−14より供給された32ビットのデータと、演算回路182−16より供給された32ビットのデータの排他的論理和を計算し、その排他的論理和を、レジスタ185の上位32ビットに出力する。
データランダム化部172は、以上のようにして、合計16段の演算を行って暗号を生成する。そして、データランダム化部172のレジスタ185は、生成した暗号C1(図18の[RA]B)を送信部165に出力する。
次に、ステップS142において、送信部165は、暗号部164より供給された暗号C1を変調し、生成された変調波を、アンテナ部166を介してICカード22に送信する。
このように、リーダライタ132が、ステップS141およびステップS142の処理を行い、変調波を送信するまでの間、ICカード22は、図17のステップS161において、待機している。
そして、リーダライタ132から変調波が送信されてくると、ICカード22の受信部206は、アンテナ部205を介して、リーダライタ132の送信部165により送信された変調波を受信し、その変調波を復調し、復調後のデータ(暗号C1)を復号部207に出力する。
次に、ステップS162において、ICカード22の復号部207の変換部192は、予め制御部201を介して記憶部202から鍵保存部191に供給されている鍵KB(専用対称鍵42)で、受信部206より供給された暗号C1を復号化し、復号化したデータ(平文M1)を制御部201に出力する。
ステップS163において、ICカード22の制御部201は、復号部207より供給された平文M1を、暗号部203のデータランダム化部172に出力する。暗号部203のデータランダム化部172は、予め制御部201を介して記憶部202から鍵保存部171に供給されて記憶されている鍵KA(専用対称鍵41)を読み出し、その鍵KAで、ステップS141におけるリーダライタ132の暗号部164のデータランダム化部172と同様に、平文M1を暗号化し、生成された暗号C2((図18の[RA]A)を送信部204に出力する。
また、制御部201の相互認証処理部213は、乱数RBを生成し、その乱数RBを暗号部203のデータランダム化部172に出力する。暗号部203のデータランダム化部172は、鍵保存部171から鍵KAを読み出し、その鍵KAで乱数RBを暗号化し、生成された暗号C3(図18の[RB]A)を送信部204に出力する。
そして、ステップS164において、ICカード22の送信部204は、暗号C2,C3を変調し、生成された変調波を、アンテナ部205を介してリーダライタ132に送信する。
このように、ICカード22がステップS161乃至S164の処理を行っている間、リーダライタ132は、図16のステップS143およびステップS144において、ICカード22から暗号C2と暗号C3が送信されてくるまで待機するとともに、暗号C1を送信してからの経過時間を、ステップS143において監視し、ICカード22からC2とC3が送信されてくるまでに所定の時間(ICカード22における処理に通常要する時間より長い時間)が経過した場合、ステップS142に戻り、暗号C1を再送する。
そして、ICカード22から暗号C2および暗号C3を含む変調波が送信されてくると、リーダライタ132の受信部167は、アンテナ部166を介して、ICカード22の送信部204により送信された変調波を受信し、その変調波を復調する。そして、受信部167は、復調されたデータ(暗号C2,C3)を、復号部13に出力する。
次に、ステップS145において、リーダライタ132の復号部168の変換部192は、鍵保存部191に予め供給されている鍵KAを読み出し、受信部167より供給されたデータ(暗号C2,C3)を復号化し、復号化したデータ(平文M2(暗号C2に対応する)と平文M3(暗号C3に対応する))を制御部161に出力する。
そして、ステップS146において、リーダライタ132の制御部161は、平文M2と乱数RAが同一であるか否かを判断し、平文M2と乱数RAが同一であると判断した場合、ステップS147において、ICカード22がリーダライタ132の鍵KA,KBと同一の鍵KA,KBを有していると判断し、ICカード22を認証する。
一方、ステップS146において、平文M2と乱数RAが同一ではないと判断した場合、リーダライタ132の制御部161は、ICカード22を認証しないので、認証処理を終了する。
ステップS147においてICカード22を認証した後、ステップS148において、リーダライタ132の制御部161は、ステップS145で生成した平文M3を暗号部164に出力する。そして、暗号部164は、ステップS141と同様に、平文M3を鍵KBで暗号化し、生成された暗号C4(図18の[RB]B)を送信部165に出力する。
ステップS149において、リーダライタ132の送信部165は、暗号部164より供給された暗号C4を変調し、生成された変調波を、アンテナ部166を介してICカード22に送信する。
このように、リーダライタ132が、ステップS144乃至S149において処理を行っている間、ICカード22は、図17のステップS165およびステップS166において、暗号C4が送信されてくるまで待機している。このとき、ICカード22の制御部201は、暗号C2,C3を送信してからの経過時間を監視しており、ステップS166において暗号C2,C3を送信してから所定の時間が経過したと判断した場合、リーダライタ132(決済端末33)を認証せずに認証処理を終了する。
一方、暗号C4を含む変調波が送信されてくると、ICカード22の受信部206は、リーダライタ132により送信された変調波を、アンテナ部205を介して受信し、その変調波を復調する。そして、受信部206は、復調したデータ(暗号C4)を復号部207に出力する。
次にステップS167において、ICカード22の復号部207の変換部192は、鍵保存部191から読み出した鍵KBで、受信部206より供給されたデータ(暗号C4)を復号化し、復号化したデータ(平文M4)を制御部201の相互認証処理部213に出力する。
そして、ステップS168において、ICカード22の制御部201の相互認証処理部213は、平文M4と乱数RBが同一であるか否かを判断し、平文M4と乱数RBが同一であると判断した場合、ステップS169において、リーダライタ132(決済端末33)がICカード22の鍵KA,KBと同一の鍵KA,KBを有していると判断し、リーダライタ132(決済端末33)を認証する。
一方、ステップS168において、平文M4と乱数RBが同一ではないと判断した場合、ICカード22は、リーダライタ132(決済端末33)を認証しないので、認証処理を終了する。
以上のようにして、リーダライタ132は、相互認証部152に制御され、図16に示されるように、ICカード22に対する認証処理を行い、ICカード22は、図17に示されるように、リーダライタ132(決済端末33)に対する認証処理を行うことにより、相互に、認証処理を行う。
なお、上述の暗号部164,203のデータランダム化部172は、DES方式で暗号化を行っているが、他の方式(例えば、FEAL(Fast Encryption ALgorithm)−8方式)で暗号化を行うようにしてもよい。その場合、復号部168,207の変換部192は、その暗号化方式に対応して復号処理を行うようにする。
また、例えば、FEAL−8方式を利用した場合、35ミリ秒程度(ICカード22における処理にかかる時間は28ミリ秒程度)で相互認証を行うことができる。
次に、図19および図20のフローチャートを参照して、上述の認証処理後(相互に認証した後)におけるリーダライタ132(決済端末33)とICカード22間の通信処理について説明する。なお、図19は、決済端末33による通信処理の流れの例を説明するフローチャートであり、図20は、ICカード22による通信処理の流れの例を説明するフローチャートである。
図19のステップS181において、制御部131(例えば支払処理部153)に制御されたリーダライタ132の制御部161は、最初に、上述の認証処理における乱数RAを認識番号IDとして保持するとともに、乱数RB(平文M3)(ICカード22を認証したので、リーダライタ132は、平文M3を乱数RBとする)を新たな鍵KIDとして、それを、暗号部164の鍵保存部171および復号部168の鍵保存部191に出力する。
そして、リーダライタ132の制御部161は、ICカード22に実行させる処理に対応するコマンド(送信コマンド)を、暗号部164のデータランダム化部172に出力する。暗号部164のデータランダム化部172は、鍵保存部171から鍵KIDを読み出し、その鍵KIDで送信コマンドを暗号化し、生成された暗号Ccomを送信部165に出力する。
また、リーダライタ132の制御部161は、認識番号IDを、暗号部164のデータランダム化部172に出力する。暗号部164のデータランダム化部172は、鍵KIDで認識番号IDを暗号化し、生成された暗号CIDを送信部165に出力する。
ステップS182において、リーダライタ132の送信部165は、暗号部164より供給された暗号Ccom,CIDを変調し、生成された変調波を、アンテナ部166を介してICカード22に送信する。
このように、リーダライタ132が、暗号Ccom,CIDを含む変調波を送信するまでの間、ICカード22は、図20のステップS211において待機している。
なお、ICカード22の制御部201は、上述の認証処理における乱数RBを鍵KIDとして、予め、暗号部203の鍵保存部171および復号部207の鍵保存部191に出力するとともに、乱数RA(平文M1)(リーダライタ132を認証済みなので、ICカード22は、平文M1を乱数RAとする)を認識番号IDとして保持している。
そして、リーダライタ132から暗号Ccom,CIDを含む変調波を送信されてくると、ICカード22の受信部206は、リーダライタ132の送信部165により送信された変調波を、アンテナ部205を介して受信し、その変調波を復調する。そして、受信部206は、復調したデータ(暗号Ccom,CID)を、復号部207に出力する。
ステップS212において、復号部207の変換部192は、鍵保存部191に予め記憶されている鍵KIDで、供給されたデータのうちの暗号CIDを復号し、復号されたデータ(平文MID)を制御部201に出力する。
そして、ステップS213において、ICカード22の制御部201は、平文MIDの値が認識番号ID以上であるか否かを判断し、平文MIDの値が認識番号IDより小さいと判断した場合、通信処理を終了する。一方、平文MIDの値が認識番号ID以上であると判断した場合、ステップS214において、制御部201は、送信されてきたコマンド(暗号Ccom)を承認し、復号部207に、暗号Ccomを復号させ、ステップS215において、復号したコマンドに対応する処理を行い、ステップS216において、その処理結果に対応する応答データ(リーダライタ132に送信するためのもの)を作成する。
次に、ステップS217において、ICカード22の制御部201は、認識番号IDの値を1だけ増加させた後、認識番号IDおよび応答データを、暗号部203に順次出力する。ステップS218において、暗号部203は、認識番号IDを、鍵KIDで暗号CIDに暗号化するとともに、応答データを、鍵KIDで暗号Creに暗号化した後、暗号CIDおよび暗号Creを、送信部204に出力する。
そして、ステップS219において、送信部204は、暗号CIDと暗号Creを変調し、生成した変調波を、アンテナ205を介してリーダライタ132に送信する。
このように、ICカード22がステップS211乃至S219において送信したコマンドに対応する処理を行っている間、リーダライタ132の制御部161は、ステップS183およびステップS184において待機するとともに、暗号CID,Ccomを送信した時からの経過時間をステップS183において監視する。
そして、予め設定されている所定の時間が経過すると、ステップS185に進み、制御部161は、ステップS181で暗号化したコマンドと同一のコマンドを選択し、ステップS186で、認識番号IDの値を1だけ増加させた後、ステップS181に戻り、送信コマンドと認識番号IDを暗号化し、ステップS182において、生成された暗号をICカード22に再送する。
一方、ステップS184において、ICカード22からの暗号CIDと暗号Creを含む変調波が送信されてくると、リーダライタ132の受信部167が、その変調波を、暗号CIDと暗号Creに復調し、その暗号CIDと暗号Creを復号部168に出力する。
ステップS187において、復号部167は、暗号CIDを鍵KIDで復号化し、生成された平文MIDを制御部161に出力する。
ステップS188において、制御部161は、平文MIDの値が、認識番号IDより大きいか否かを判断し、平文MIDの値が認識番号ID以下であると判断した場合、ステップS185に進み、ステップS181で送信したコマンドと同一のコマンドを選択し、ステップS186において、認識番号IDの値を1だけ増加させた後、ステップS181に戻り、送信コマンドと認識番号IDを暗号化し、ステップS182において、生成された暗号をICカード22に再送する。
一方、ステップS188において、平文MIDの値が、認識番号IDより大きいと判断した場合、制御部161は、ステップS189において、復号部168に、暗号Creを復号させ、ICカード22からの応答データを受け取る。
そして、ステップS190において、リーダライタ132の制御部161は、通信を終了するか否かを判断する。通信を継続する場合、ステップS191に進み、リーダライタ132の制御部161は、次の送信コマンドを選択する。
そして、ステップS186に進み、認識番号IDの値を1だけ増加させた後、ステップS181に戻り、ステップS181以降で、次の送信コマンドの送信を行う。
以上のようにして、相互認証時に送信した乱数RA,RBを、認識番号IDおよび新たな鍵KIDとして利用して、リーダライタ132は、ICカード22に所定のコマンドを送信し、ICカード22は、そのコマンドに対応する処理を行った後、その処理結果に対応する応答データをリーダライタ132に送信する。このようにすることにより、認識番号および新たな鍵を利用して、通信毎に、通信相手が正規の者であることを確認することができる。また、1回の通信毎に認識番号IDの値を1ずつ増加させているので、現在までの通信回数を知ることができ、処理の経過を把握することができる。
なお、ステップS213において、ICカード22の制御部201は、平文MIDが認識番号ID以上であるか否かを判断しているが、平文MIDの値が認識番号IDに対応する所定の範囲内(例えば、ID乃至ID+16の範囲)の値と同一であるか否かを判断するようにしてもよい。このようにすることにより、例えば、伝送路に障害が生じ、リーダライタ132が放射した電磁波(認識番号の値がID)がICカード22に到達しなかった場合において、ICカード22は、次に送信されてくるデータ(認識番号の値はID+1であるが、送信コマンドは、前回送信したコマンドと同一である)を受信することができる。
あるいは、ステップS213において、ICカード22の制御部201は、平文MID(64ビット)の例えば下位8ビットの値が、認識番号IDの下位8ビットの値以上であるか否かを判断するようにしてもよい。このように所定の桁数(ビット数)nだけにおいて比較を行うことにより、64ビットにおいて比較を行う場合より、ビット演算量が減少し、処理を速く行うことができる。なお、この場合、認識番号IDの値が2n−1(nは桁数)より大きくなると桁上がりが発生する(比較の結果にエラーが生じる)ので、リーダライタ132とICカード22の間の通信の回数を考慮して、認識番号IDの値が2n−1(nは桁数)より大きくならないように、桁数nを設定する。
また、同様に、ステップS188において、リーダライタ132の制御部161は、平文MIDの値が認識番号IDに対応する所定の範囲内の値と同一であるか否かを判断するようにしてもよい。また、ステップS188において、リーダライタ132の制御部161は、平文MIDの例えば下位8ビットの値が、認識番号IDの下位8ビットの値より大きいか否かを判断するようにしてもよい。
なお、上記実施例においては、乱数RBを新たな鍵KIDとしているが、図21に示されるように乱数RAと乱数RBから新たな鍵KIDを算出し、その鍵KIDを利用して通信を行うようにしてもよい。
また、リーダライタ132が送信した情報を、ICカード22に、単に記憶しておく場合、図22に示すように、ICカード22は、受信したデータ(鍵KAまたは鍵KBで暗号化されたデータ)を、復号せずに、そのままメモリ202に記憶させておき、リーダライタ132からのリードコマンドを受け取ったときに、そのデータをメモリ202から読み出し、そのまま送信するようにしてもよい。
決済端末131の支払処理部153およびICカード22の支払処理部214は、上述したような通信処理によって情報の授受を行いながら残高情報の更新を行う。
次に、図14のステップS98において実行される後処理の詳細な流れの例を、図23のフローチャートを参照して説明する。
後処理が開始されると、決済端末33の後処理部154は、ステップS231において、例えば、事前認証結果対応処理によりメッセージが表示部135に表示された時刻のように、予め定められた所定の基準時刻より、予め定められた所定の時間(決済処理が完了するのに十分な時間)が経過したか否かを判定する。まだ、基準時刻より所定の時間が経過していないと判定した場合、後処理部154は、処理をステップS232に進め、所定の時間待機し、処理をステップS231に戻す。また、ステップS231において、基準時刻より所定の時間が経過したと判定した場合、後処理部154は、ステップS233に処理を進める。
後処理部154は、ステップS233において、記憶部134を制御し、処理対象のICカード22に対応する事前認証結果情報を記憶部134より破棄し、ステップS234において、表示部135を制御し、処理対象のICカード22に対応するメッセージの表示を終了させる。ステップS234の処理を終了すると後処理部154は、後処理を終了する。
以上のように、後処理部154が、不要になった(処理済みの)事前認証結果情報52(専用対称鍵62)を、記憶部134より消去(破棄)したり、表示部135に表示された不要なメッセージを消去したりするので、決済端末33は、情報漏洩の危険性を低減させることができる。
なお、図14のフローチャートにおいては、支払処理(ステップS97)が行われてから、後処理が行われるように説明したが、この後処理は、決済端末33が事前認証結果情報52を取得していれば実行可能であり、相互認証処理や支払処理が行われない場合も後処理が実行されるようにしてもよい。例えば、客21が入店し、受付端末31にICカード22を近接させ、事前認証処理を実行させたとしても、商品を購入せずに(相互認証処理や支払処理を行わずに)退出する場合も考えられる。そのような場合も、後処理部154が後処理を実行するようにしてもよい。例えば、上述した基準時刻を、受付端末31がICカード22のカード情報を取得した時刻(図14のステップS94の処理を実行した時刻)とし、上述した所定時間を、通常、客21が販売店10に留まり商品の購入を行うと考えられる時間(例えば数時間や1日等)とする。そして、後処理部154が後処理を定期的または不定期に実行するようにすることにより、決済端末33は、相互認証処理や支払処理が行われなくても、基準時刻より所定時間が経過した場合、その後処理によって、事前認証結果情報等を削除することができる。
なお、後処理は、どのような条件で実行されるようにしてもよく、例えば、所定の時刻において実行されるようにしてもよいし、他の処理が実行されたり、何らかのフラグが立ったりすることにより実行されるようにしてもよいし、ユーザの指示により開始されるようにしてもよい。また、上述した基準時刻や所定時間は、上述した以外であってももちろんよい。
以上においては、販売店30に受付端末31と決済端末33の2種類の端末を設置するように説明したが、例えば、上述した受付端末31の機能と決済端末33の機能を1つの端末により実現するようにしてもよい。
図24は、本発明を適用した電子マネーシステムの他の構成例を示す図である。
図24において、電子マネーシステム301は、図1に示される電子マネーシステム1と基本的に等価のシステムであり、電子マネーシステム1と基本的に同様の構成を有し、同様の処理を行い、同様の決済処理(認証処理)サービスを提供するが、電子マネーシステム301の場合、電子マネーシステム1における受付端末31および決済端末33の代わりに、受付決済共通端末311が販売店10に設置される。
受付決済共通端末311は、その詳細については後述するが、基本的に、受付端末31および決済端末33の両方の機能を有し、受付端末31および決済端末33の両方が実行する処理を行う。
つまり、図1の場合と異なり、客21は、販売店10に入店後、ICカード22を受付決済共通端末311に近接させ、カード情報51を読み取らせる。受付決済共通端末311は、最初、図1の受付端末31として動作し、そのカード情報51を読み取ると、それを、ネットワーク30を介して電子マネーサーバ32に供給する。電子マネーサーバ32は、図1の場合と同様に、事前認証処理を行い、その結果を、事前認証結果情報52として、ネットワーク30を介して、受付決済共通端末311に供給する。受付決済共通端末311は、その事前認証結果情報52を取得すると保持し、決済端末33として動作する。
客21は、カード情報51を読み取らせた後、購入する商品の決定作業を行い、決定した商品の決済作業を開始する。その際、客21は、受付決済共通端末311に再度ICカード22を近接させる。近接されたICカード22を検出すると、受付決済共通端末311は、上述した決済端末と同様に、相互認証処理や支払処理を行う。決済作業が完了すると、客21は、販売店10より退出する。
このように、受付端末31および決済端末33を1つの受付決済共通端末311にまとめることにより、販売店10に受付端末31と決済端末33の2つの端末の設置場所を確保する必要がなくなり、端末の設置が容易になる。特に、販売店10が、例えば総合小売店の一部のスペースに設けられたテナントのように、店舗内スペースが非常に狭いとき、端末の設置場所の確保を容易にすることが、端末の普及(システムの普及)に大きく影響する重要な事項となる場合がある。また、このように端末を共通化することにより、製造コスト、設置コスト、および運用コスト等を低減させることもできる。
図25は、図24の受付決済共通端末311の構成例を示すブロック図である。
図25において、受付決済共通端末311は、基本的に、図1の受付端末31と決済端末33の両方の構成および機能を備えており、具体的には、決済端末32と同様の、リーダライタ132、記憶部134、および表示部135の構成の他に、制御部321および通信部323を有している。
制御部321は、図5の制御部131に対応するが、制御部131が有するポーリング処理部141およびカード情報取得部142の代わりに、ポーリング処理部331、カード情報取得部332、およびカード情報供給部83を有している。
ポーリング処理部331は、ポーリング処理部81(図2)とポーリング処理部141(図5)の両方の機能を有している。つまり、ポーリング処理部331は、1名の客21が販売店10に入店して商品を購入して退出するのに対して、図11のステップS1の処理タイミングとステップS12の処理タイミングの合計2回、リーダライタ132を制御してポーリング処理を行う。ポーリング処理部331は、いずれのポーリング処理においても、近接されたICカード22を検出すると、その旨をカード情報取得部332に供給する。
カード情報取得部332は、カード情報取得部82(図2)とカード情報取得部142(図5)の両方の機能を有している。つまり、カード情報取得部332も、ポーリング処理部331と同様に、1名の客21が販売店10に入店して商品を購入して退出するのに対して、合計2回、リーダライタ132を制御してICカード22よりカード情報51を取得する(図11のステップS1とステップS12)。カード情報取得部332は、1回目の取得の際は、そのカード情報51をカード情報供給部83に供給し、2回目の取得の際は、そのカード情報51を決済処理部143に供給する。
カード情報供給部83は、図2の場合と同様に、カード情報取得部332より供給されるカード情報51を、通信部323を介して電子マネーサーバ32に供給する。
通信部323は、通信部73(図2)と通信部133(図5)の両方の機能を有し、ネットワーク30を介して、カード情報51を電子マネーサーバ32に供給したり、電子マネーサーバ32より供給される事前認証結果情報を取得し、それを記憶部134に供給して記憶させたりする。
次に、図24の電子マネーシステム301全体の処理の流れの例を、図26のフローチャートを参照して説明する。基本的に図11に示される処理の流れと同様に各処理が実行されるが、電子マネーシステム301の場合、受付決済共通端末311が、受付端末31と決済端末33の両方の処理を実行する。
つまり、受付決済共通端末311は、図11のステップS1およびステップS2の場合と同様に、ステップS301において、ポーリング処理部331およびカード情報取得部332の処理によって、近接されたICカード22よりカード情報51を取得し、ステップS302において、カード情報供給部83の処理によって、その取得したカード情報51を電子マネーサーバ32に送信する。
電子マネーサーバ32は、図11のステップS21乃至ステップS23の場合と同様に処理を行い、ステップS311において、カード情報取得部101が、受付決済共通端末311から供給されたカード情報51を取得し、ステップS312において、事前認証部102が、事前認証処理を行い、ステップS313において、結果供給部103が、得られた事前認証結果情報52を受付決済共通端末311に供給する。
受付決済共通端末311の通信部323は、図11のステップS11の場合と同様に、ステップ303においてその事前認証結果情報52を取得し、記憶部134に保持させる。受付決済共通端末311のポーリング処理部331およびカード情報取得部332は、ステップS304において、図11のステップS12の場合と同様に、受付決済共通端末311から供給されたカード情報51を取得する。そして、決済処理部143は、ステップS305において、ステップS13の場合と同様に、決済処理を行う。
以上のように、受付決済共通端末311は、受付端末31と決済端末33の両方の処理を行う。
なお、以上においては、受付決済共通端末311が、受付端末31と決済端末33のそれぞれの構成の共通化可能な部分を共通化するように説明したが、これに限らず、例えば、敢えて、1つの筐体に受付端末31の構成と決済端末33の構成の両方を設けるようにしてもよい。つまり、例えば、受付決済共通端末311が、リーダ72とリーダライタ132の両方を有するようにしてもよい。このように構成することにより、その構成によって、客21が、受付決済共通端末311に対して2度ICカード22を近接させるように促すようにすることができる。なお、上述した一連の作業の手順を分かりやすく客に説明するメッセージ等を受付決済共通端末311の筐体、またはその周囲等に表示するようにしてももちろんよい。
また、以上においては、基準時刻から予め定められた所定の時間経過後に後処理部154によって、事前認証結果情報52の消去処理を行うように説明したが、この事前認証結果情報52の保持期間を設定可能(変更可能)とし、例えば、ユーザ(店員)により設定されたり、電子マネーサーバ32やICカード22から指示に基づいて設定されたりするようにしてもよい。
図27は、決済端末の内部の他の構成例を示すブロック図である。図27においては、決済端末333の説明に必要な構成のみを示している。
図27に示される決済端末333は、図5の決済端末33と基本的に同様の構成を有し、同様の処理を行うが、後処理部154において、事前認証結果情報52の保持期間を設定する保持期間設定部341を有する点で決済端末33と異なる。
保持期間設定部341は、例えば、電子マネーサーバ32より事前認証結果情報52として通信部133を介して供給され、記憶部134に記憶されている保持期間情報342A、ユーザ(店員)が入力部136を操作して入力した保持期間情報342B、または、ICカード22の記憶部202に保持され、リーダライタ132を介して供給される保持期間情報342Cのいずれかに基づいて、事前認証結果情報の保持期間を設定する。
この後処理部154により実行される後処理の流れの例を、図28のフローチャートを参照して説明する。
後処理が開始されると、最初に、後処理部154の保持期間設定部341は、ステップS331において、上述した保持期間情報342A乃至保持期間情報342Cのいずれかに基づいて、事前認証結果情報52の保持期間を設定する。これら保持期間情報342A乃至保持期間情報342Cのいずれを保持期間として採用するかは任意であるが、例えば、それぞれに優先順位を設定しておき、優先順位の高いものから採用するようにしてもよいし、保持期間情報342A乃至保持期間情報342Cの合計時間や平均時間等、各保持期間を用いて算出される値を保持期間とするようにしてもよい。
保持期間が設定されると、後処理部154は、ステップS332乃至ステップS335の各処理を、図23のステップS231乃至ステップS234の場合と同様に実行する。
このようにすることにより、電子マネーシステム301は、各種の事情に応じて事前認証結果情報52の保持期間の設定を変更することができ、より幅広い対応を行うことができる。
例えば、電子マネーサーバ32が保持期間情報342Aを事前認証結果情報52に含めて送信することにより、例えば、各端末における事前認証結果情報52の保持期間を、システムの用途やサーバの負荷等に応じて、一括して管理することができる。また、例えば、店員(ユーザ)が入力部136を操作して保持期間情報342Bを入力することにより、客数等に応じて、販売店毎に最適な保持期間を設定することができる。さらに、例えば、ICカード22より保持期間情報342Cを提供することにより、客21が自分自身の個人情報ともなり得るICカード22に関する事前認証結果情報の保持期間(つまり、情報漏洩の危険性の増減等)を自由に設定することができる。
もちろん、この場合の後処理も、相互認証処理や支払処理の実行に関係なく、後処理部154によって実行されるようにしてもよい。
また、以上においては、電子マネーサーバ32が、事前認証結果情報52として、専用対称鍵62を決済端末33に供給し、決済端末33がその専用対称鍵62を用いて、支払い(決済)を行うICカード22と相互認証処理を行うように説明したが、これに限らず、例えば、電子マネーサーバ32がカードID41の判定結果情報61のみを送信するようにしてもよい。
図29は、本発明を適用した電子マネーシステムの、さらに他の構成例を示すブロック図である。
図29に示される電子マネーシステム401の場合、図1に示される電子マネーシステム1の場合と異なり、電子マネーサーバ32は、供給されたカード情報51に基づいて、カードID41が登録情報121に登録されているか否かのみを判定し、専用対称鍵62を特定しない。
また、販売店10には、受付端末31の他に、決済端末33の代わりに結果対応処理端末411と、従来の決済端末412が設置される。結果対応処理端末411は、決済端末412の近傍に設置される。
結果対応処理端末411は、決済端末33と同様に、ネットワーク30に接続され、電子マネーサーバ32より供給される事前認証結果情報52を取得するが、その事前認証結果情報52に基づいて、例えば、判定結果情報61の内容をモニタに表示させる等の結果対応処理のみを行うだけであり、決済処理(相互認証処理や支払処理)は実行しない。結果対応処理端末411は、ICカード22が、事前に登録された正しいカードであるか否かを示す事前認証結果を、画像情報等によって、決済端末412の付近にいる店員に通知する。
決済端末412は、従来の決済端末であり、ICカード22と全カード共通の対称鍵であり共通対称鍵を用いて相互認証処理や支払処理等を行う。すなわち、全てのICカード22、および全ての決済端末412は、同一の、共通対称鍵413を有している。
つまり、図29に示される電子マネーシステム401は、ICカード22および決済端末412よりなる従来のシステムを利用したシステムであり、その従来のシステムにおいて行われる決済処理の前に(事前に)、カード情報51を取得し、不正なICカードでないかどうかを確認し、その確認結果を、決済端末412付近にいる店員に通知する。
図30は、図29の結果対応処理端末411の内部の構成例を示すブロック図である。
図30において結果対応処理端末411は、制御部421、通信部422、および表示部423を有している。電子マネーサーバ32より供給される事前認証結果情報52は、制御部421に制御された通信部422により受信される。制御部421は、その事前認証結果情報52を通信部422より取得すると、表示部423を制御し、事前認証結果に対応するメッセージをモニタ等に表示させる。
図29に示される電子マネーシステム401全体の処理の流れの例を、図31のフローチャートを参照して説明する。
この場合も、基本的に図11を参照して説明した電子マネーシステム1の場合と同様に処理が行われるが、決済端末33の代わりに結果対応処理端末411が処理を行う。従って、受付端末31は、ステップS1およびステップS2の場合と同様に、ステップS401およびステップS402の各処理を行い、電子マネーサーバ32は、ステップS21乃至ステップS23の場合と同様に、ステップS421乃至ステップS423の各処理を行う。ただし、この場合、電子マネーサーバ32は、ステップS422における事前認証処理において専用対称鍵62を特定せず、判定結果情報61のみを用いて事前認証結果情報52を作成する。
結果対応処理端末411は、ステップS411において電子マネーサーバ32より供給される事前認証結果情報52を取得すると、ステップS412において、事前認証結果対応処理を実行する。
この事前認証結果対応処理の詳細な流れの例を、図32のフローチャートを参照して説明する。
ステップS441において、結果対応処理端末411の制御部421は、ステップS441において、事前認証結果情報52を参照し、ステップS442において、認証が成功したか否かを判定する。認証が成功したと判定した場合、制御部421は、処理をステップS443に進め、表示部423を制御し、認証成功を店員に通知するための認証成功メッセージを表示させ、事前認証結果対応処理を終了する。
また、ステップS442において、認証が失敗したと判定した場合、制御部421は、処理をステップS444に進め、表示部423を制御し、認証失敗を店員に通知するための警告メッセージを表示させ、事前認証結果対応処理を終了する。
このようにすることにより、電子マネーシステムを従来のシステムと併用することができるようになる。つまり、例えば、従来のシステムが設置されている販売店10において、電子マネーシステム401のように、受付端末31と結果対応処理端末411を設置し、その後、結果対応処理端末411と決済端末412を、決済処理端末33に入れ替える等、電子マネーシステムを段階的に導入することができ、システムの普及が容易になる。なお、1枚のICカード22が電子マネーシステム1と電子マネーシステム401の両方に対応するように専用対称鍵42と共通対称鍵413の両方を記憶させるようにしてもよい。
また、図29に示される電子マネーシステム401において、装置間の通信データ量を削減するために、電子マネーサーバ32が、事前認証処理においてエラーが発生した(登録情報121に登録されていなかった)場合のみ、そのことを示す情報を判定結果情報61(事前認証結果情報52)として、結果対応処理端末411に供給するようにしてもよい。
さらに、結果対応処理端末が、事前認証結果対応処理後、上述した決済端末33と同様に後処理を実行し、事前認証結果情報等を削除するようにしてもよい。その場合、後処理は、決済端末412による認証処理や決済処理の有無に関わらず実行されるようにしてもよい。
以上においては、本発明を電子マネーシステムに適用する場合について説明したが、本発明は、これに限らず、認証処理を行うシステムであればどのようなシステムに適用するようにしてもよい。
図33は、本発明を適用したゲートシステムの構成例を示すブロック図である。
図33に示されるゲートシステム501は、例えばゲート534を用いて通路510のユーザ521の通行を許可するか否かを制御するシステムであり、電子マネーシステム1の電子マネーサーバ32の代わりにサーバ532、決済端末33の代わりにゲート端末533を有している。
ゲートシステム501において、受付端末31は、通路510のゲート534から所定の距離(両矢印541で示される距離)離れた位置付近(矢印542、矢印543、および矢印545で示されるユーザ521の通行方向に対して手前側)に設置される。ゲート534の開閉を制御するゲート端末533は、通路510のゲート534付近(矢印542、矢印543、および矢印545で示されるユーザ521の通行方向に対して手前側)に設置される。
受付端末31およびゲート端末533は、ネットワーク30に接続され、そのネットワーク30を介してサーバ532に接続される。
電子マネーシステム1の場合と同様に、通路510を通行するユーザ521は、ICカード22を携帯している。ICカード22には、電子マネーシステム1の場合と同様に、カードID41および専用対称鍵42が保持されている。なお、この場合、残高情報は必要ない。
矢印542に示されるように通路510を図中左から右に向かって進むユーザ521は、受付端末31の位置まで来ると、携帯しているICカード22を受付端末31に近接させる。受付端末31は、上述した電子マネーシステム1の場合と同様に、ICカード22よりカード情報51を取得し、それを、ネットワーク30を介して、サーバ532に供給する。
カード情報51を読み取らせるとユーザ521は、矢印543に示されるように通路510を、図中左から右に向かってさらに進み、ゲート534手前(ゲート端末533)の位置まで移動する。サーバ532は、その移動時間を利用して、供給されたカード情報51を用いて事前認証処理を行い、カードIDが登録済みの正しいIDであるか否かを判定し、さらに専用対称鍵62を特定し、その判定結果と鍵情報を事前認証結果情報52としてゲート端末533に供給する。
ゲート端末533の前までくると、ユーザ521は、携帯しているICカード22を、今度はゲート端末533に近接させる。ゲート端末533は、近距離無線通信を行い、カード情報51を取得し、そのカード情報51に対応する専用対称鍵62を用いて相互認証処理を行い、その認証結果に応じてゲート534の開閉を制御するゲート開閉制御を行う。以上のような処理により、例えば、ICカード22が正しいカードと判定されれば、ゲート534は、矢印544に示されるようにゲートを開き、ユーザ521は、矢印545に示されるように、図中左から右に向かって通路510を通過する。
このようにすることにより、ゲートシステム501は、各ICカード22のそれぞれに、個別の、専用対称鍵62を割り当てることができ、さらに、認証処理のための専用対称鍵62の準備を、ユーザ521の移動時間を利用して行うので、待ち時間や処理の負荷を増大させずに、ゲート開閉制御のための認証余処理を行うことができる。つまり、ゲートシステム501は、利便性を低減させずに、容易に、情報漏洩に対してより安全なシステムを実現することができる。
図34は、図33のサーバ532の内部の構成例を示すブロック図である。
図34において、サーバ532は、基本的に図3の電子マネーサーバ32と同様の構成を有するが、電子マネーシステム1の場合と異なり残高情報は取り扱わない。つまり、サーバ532は、図3の電子マネーサーバ32の構成から残高確認部112を削除したものと同等の構成を有する。従って、サーバ532の各部の詳細な説明は省略する。
なお、サーバ532の記憶部93に記憶される登録情報121の場合、図4に示されるように残高情報の項目が含まれている必要はない。
図35は、図33に示されるゲート端末533の内部の構成例を示すブロック図である。
図35において、ゲート端末533は、基本的に図5の決済端末33と同様の構成を有するが、決済端末33の決済処理部143の代わりにゲート制御処理部562を有している。
ゲート制御処理部562は、決済処理部143と同様に、事前認証結果対応処理部151、相互認証部152、および後処理部154を有し、支払処理部153の代わりに、ゲート開閉部563を有している。
ゲート開閉部563は、相互認証部152における相互認証処理の結果に基づいて、ゲート534の開閉動作を制御する。より具体的に説明すると、ゲート開閉部563は、相互認証が成功した場合ゲート534を開かせ、相互認証が失敗した場合ゲート534を閉じさせる。
なお、図35に示されるように、ゲート端末533の場合、商品の購入に関する情報を入力する必要が無いので、ゲート端末533は、入力部136を有していなくてもよい。
以上のようなゲートシステム501全体の処理の流れの例を、図36のフローチャートを参照して説明する。
この場合も、処理の流れは、図11のフローチャートを参照して説明した電子マネーシステム1の場合と基本的に同様である。つまり、受付端末31は、ステップS501およびステップS502の処理を、図11のステップS1およびステップS2の場合と同様に行い、カード情報51をICカード22より取得し、それをサーバ532に供給する。
サーバ532も、電子マネーサーバ32が実行する図11のステップS21乃至ステップS23の場合と同様に、ステップS521乃至ステップS523の各処理を実行し、カード情報51を受信し、事前認証処理を行い、事前認証処理結果情報52をゲート端末533に送信する。なお、この場合、残高に関する処理は行われない。
ゲート端末533は、図11のステップS11およびステップS12の場合と同様に、ステップS511において事前認証結果情報52を取得すると、ステップS512において、近接されたICカード22を検出し、そのICカード22よりカード情報51を取得する。
カー情報51を取得すると、ゲート端末533の相互認証部152は、図11のステップS13のような決済処理の代わりに、ステップS513において、専用対称鍵を用いた相互認証処理である専用対称鍵認証処理を行い、ゲート端末533のゲート開閉部563は、ステップS514において、その処理結果に基づいてゲート開閉制御処理を行う。
図36のステップS522においてサーバ532により実行される事前認証処理の詳細な流れの例を、図37のフローチャートを参照して説明する。
サーバ532は、図13のフローチャートを参照して説明した、電子マネーサーバ32が実行する事前認証処理と基本的に同様に、事前認証処理を実行する。ただし、上述したようにサーバ532は、残高に関する処理を行わない。つまり、サーバ532のID認証部111は、ステップS541乃至ステップS543の処理をステップS61乃至ステップS63と同様に実行し、ステップS543において、カードID41が登録情報121に存在すると判定した場合、処理をステップS544に処理を進める。
ステップS544において、専用対称鍵特定部113は、ステップS67の場合と同様に処理を行い、カードID41に対応する専用対称鍵を特定する。そして、判定結果情報作成部114は、ステップS545において、ステップS68の場合と同様に、カードID41の認証成功示す判定結果情報61を作成する。判定結果情報61を作成すると、判定結果情報作成部114は、処理をステップS547に進める。
また、ステップS543において、カードID41が登録情報に存在しないと判定した場合、ID認証部111は、処理をステップS546に進める。判定結果情報作成部114は、ステップS70の場合と同様にID認証失敗を示す判定結果情報を作成し、処理をステップS547に進める。
ステップS547において、事前認証結果情報作成部115は、ステップS71の場合と同様に、判定結果情報を含めるように事前認証結果情報52を作成し、事前認証処理を終了する。
以上のように処理することにより、ゲートシステム501は、利便性を低減させずに、容易に、情報漏洩に対してより安全なシステムを実現する。
なお、このゲートシステム501の場合も、ゲート端末533の後処理部154は、決済端末33の場合と同様に後処理を実行する。上述した決済端末33の場合と同様に、後処理部154が、相互認証処理やゲート開閉制御処理の有無に関わらず後処理を実行し、事前認証結果情報等を削除するようにしてもよい。
なお、図33のゲートシステム501において、さらに受付端末31においてもゲート開閉制御処理を行うようにしてもよい。
図38は、本発明を適用したゲートシステムの他の構成例を示すブロック図である。
図38のゲートシステム601は、ゲートシステム501の構成に、受付端末611に制御されるゲート612が追加されており、受付端末611付近の位置においても、ゲート開閉制御処理が行われる。すなわち、ユーザ521は、通路510を通過する際に、2回ゲートを通過しなければならず、不正な通過を抑制する、より安全な通過確認システムを実現することが出来る。
なお、図38において、ICカード22は、カードID41の他に、専用対称鍵42、および共通対称鍵621を記憶している。受付端末611は、共通対称鍵621の認証を行い、その結果を用いてゲート612を制御するとともに、カード情報51も取得し、それをサーバ532に供給する。サーバ532は、取得したカード情報51に基づいて事前認証処理を行い、その事前認証処理結果情報52をゲート端末533に供給する。
ゲート端末533は、事前認証結果情報52を取得すると、ICカード22よりカード情報41を新たに取得し、専用対称鍵62を用いた相互認証処理を行い、その処理結果に応じてゲートの開閉を制御する。
図39は、図38に示される受付端末の内部の構成例を示すブロック図である。
図39において、受付端末611は、図2に示される受付端末31の制御部71の代わりに制御部641を有している。制御部641は、制御部71が有するポーリング処理部81と同様のポーリング処理部651、制御部71が有するカード情報取得部82と同様のカード情報取得部652を有し、制御部71が有するカード情報供給部83と同様のカード情報供給部655を有している。さらに、制御部641は、相互認証部653およびゲート開閉部654を有している。
相互認証部653は、共通対称鍵621を内部に保持しており(図示せず)、リーダ72を介して、ICカード22と通信を行い、共通対称鍵621を用いた相互認証処理を行う。相互認証処理の方法は、上述した専用対称鍵42を用いて実行する場合と基本的に同様である。
ゲート開閉部654は、相互認証部653による認証結果に基づいて、ゲート612の開閉を制御する。より具体的に説明すると、ゲート開閉部654は、相互認証部653において、相互が認証された場合、ゲート612を開き、相互認証が失敗した場合、ゲート612を閉じる。
このようなゲートシステム601全体の処理の流れの例を、図40のフローチャートを参照して説明する。
この場合、受付端末611のポーリング処理部651およびカード情報取得部652は、ステップS601において、図36のステップS501の場合と同様に、カード情報を取得する。ステップS602において、相互認証部653は、共通対称鍵621を用いた相互認証処理である共通対称鍵認証処理を行い、ステップS603において、ゲート開閉部654は、その認証処理結果を用いてゲート開閉制御処理を行う。ゲート開閉制御処理が終了すると、カード情報供給部655は、ステップS604において、図36のステップS502の場合と同様に、カード情報51をサーバ532に送信する。
サーバ532は、図36のステップS521乃至ステップS523の場合と同様に、ステップS621乃至ステップS623の各処理を実行する。ゲート端末533は、図36のステップS511乃至ステップS514の場合と同様に、ステップS611乃至ステップS614の各処理を実行する。
つまり、受付端末611以外のサーバ532およびゲート端末533は、図33のゲートシステム501の場合と同様の処理を実行する。換言すると、受付端末を交換することにより、ゲートシステム501からゲートシステム601に移行可能である。
なお、上述したゲートシステムの構成は一例であり、電子マネーサーバの場合と同様に、各端末、サーバ、ネットワーク等の数や配置は任意である。もちろん、このゲートシステム601の場合も、ゲートシステム501の場合と同様に、ゲート端末533は、後処理を実行し、事前認証結果情報等を削除することができる。
以上のように、例えば、店舗での商品選定から実際の支払いまでには時間差があることを利用し、常時オンラインでない環境であっても、オンラインでサーバと認証をしているに近いセキュリティが実現でき、かつオフライン処理と同等の処理速度が得られる。
つまり、例えば、対称鍵暗号を使用する従来の電子マネーシステムでは、ICカード個別に鍵を設定することが出来ないか、または擬似的に個別化してリーダライタで鍵を演算する方法しか取り得なかったが、本発明の方式であれば、ICカード毎の完全な個別化を実現することができ、かつ支払い時の処理速度も低下しない。個別化により、あるICカードが解析され、その鍵が解読されて不正利用がなされても、そのICカードが電子マネーシステムで以後使えなくすることは容易であり、かつ、その解析情報を他のICカードに摘要することは容易ではないため、電子マネーシステム全体の安全を維持することができる。
そして、対称鍵暗号を使用する従来の電子マネーシステムが万一解析されてバリューの書き換えなどの不正利用が多数発生した場合、本発明の方式を適用することにより、システムへの影響を最小限にしてリカバーすることができる。
なお、以上においては非接触型のICカード22を用いる場合について説明したが、これに限らず、ICカード22は、接触型のICカードであってもよいし、例えば、上述したICカード22と同等の機能を有する携帯型電話機や携帯型情報処理装置等であってもよい。ただし、その場合、受付端末や決済端末等の各端末は、それらの通信機能に対応させる必要がある。
上述した一連の処理は、ハードウェアにより実行させることもできるし、ソフトウエアにより実行させることもできる。この場合、例えば、上述した各装置は、それぞれ、図41に示されるようなパーソナルコンピュータとして構成されるようにしてもよい。
図41において、パーソナルコンピュータ700のCPU(Central Processing Unit)701は、ROM(Read Only Memory)702に記憶されているプログラム、または記憶部713からRAM(Random Access Memory)703にロードされたプログラムに従って各種の処理を実行する。RAM703にはまた、CPU701が各種の処理を実行する上において必要なデータなども適宜記憶される。
CPU701、ROM702、およびRAM703は、バス704を介して相互に接続されている。このバス704にはまた、入出力インタフェース710も接続されている。
入出力インタフェース710には、キーボード、マウスなどよりなる入力部711、CRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)などよりなるディスプレイ、並びにスピーカなどよりなる出力部712、ハードディスクなどより構成される記憶部713、モデムなどより構成される通信部714が接続されている。通信部714は、インターネットを含むネットワークを介しての通信処理を行う。
入出力インタフェース710にはまた、必要に応じてドライブ715が接続され、磁気ディスク、光ディスク、光磁気ディスク、或いは半導体メモリなどのリムーバブルメディア721が適宜装着され、それらから読み出されたコンピュータプログラムが、必要に応じて記憶部713にインストールされる。
上述した一連の処理をソフトウエアにより実行させる場合には、そのソフトウエアを構成するプログラムが、ネットワークや記録媒体からインストールされる。
この記録媒体は、例えば、図41に示されるように、装置本体とは別に、ユーザにプログラムを配信するために配布される、プログラムが記録されている磁気ディスク(フレキシブルディスクを含む)、光ディスク(CD-ROM(Compact Disk-Read Only Memory),DVD(Digital Versatile Disk)を含む)、光磁気ディスク(MD(Mini-Disk)(登録商標)を含む)、もしくは半導体メモリなどよりなるリムーバブルメディア721により構成されるだけでなく、装置本体に予め組み込まれた状態でユーザに配信される、プログラムが記録されているROM702や、記憶部713に含まれるハードディスクなどで構成される。
なお、本明細書において、記録媒体に記録されるプログラムを記述するステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理をも含むものである。
また、本明細書において、システムとは、複数の装置により構成される装置全体を表すものである。
なお、以上において、一つの装置として説明した構成を分割し、複数の装置として構成するようにしてもよい。逆に、以上において複数の装置として説明した構成をまとめて一つの装置として構成されるようにしてもよい。また、各装置の構成に上述した以外の構成を付加するようにしてももちろんよい。さらに、システム全体としての構成や動作が実質的に同じであれば、ある装置の構成の一部を他の装置の構成に含めるようにしてもよい。つまり、本発明の実施の形態は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
本発明は、認証処理システムに適用することが可能である。
1 電子マネーシステム, 10 販売店, 22 ICカード, 30 ネットワーク, 31 受付端末, 32 電子マネーサーバ, 33 決済端末, 42 専用対称鍵, 62 専用対称鍵, 311 受付決済共通端末, 341 保持期間設定部, 411 結果対応処理端末, 501 ゲートシステム, 532 サーバ, 533 ゲート端末, 534 ゲート, 611 受付端末, 612 ゲート
Claims (15)
- 第1の端末とサーバと第2の端末を有し、携帯型情報処理装置の認証を行う情報処理システムにおいて、
前記第1の端末は、
前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得する第1の取得手段と、
前記第1の取得手段により取得された前記識別情報を前記サーバに供給する第1の供給手段と
を備え、
前記サーバは、
前記第1の供給手段により供給される前記識別情報を取得する第2の取得手段と、
前記第2の取得手段により取得される前記識別情報に対応する前記携帯型情報処理装置に割り当てられた、前記携帯型情報処理装置専用の、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵を特定する専用対象鍵特定手段と、
前記専用対称鍵特定手段により特定された前記専用対称鍵を、前記第2の端末に供給する第2の供給手段と
を備え、
前記第2の端末は、
前記第2の供給手段により供給される前記専用対称鍵を取得する第3の取得手段と、
前記取得手段により取得された前記専用対称鍵を保持する保持手段と、
前記携帯型情報処理装置より、前記識別情報を取得する第4の取得手段と、
前記保持手段に保持されている、前記第4の取得手段により取得される前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する認証手段と
を備える情報処理システム。 - 前記携帯型情報処理装置は、近距離無線通信を行う非接触型ICカードである
請求項1に記載の情報処理システム。 - 前記サーバは、予め登録された前記携帯型情報処理装置に関する登録情報を記憶する記憶手段をさらに備え、
前記専用対称鍵特定手段は、前記記憶手段に記憶されている前記登録情報を参照して、前記第2の取得手段により取得される前記識別情報に対応する前記専用対称鍵を特定する
請求項1に記載の情報処理システム。 - 前記第2の端末は、前記認証手段により認証された前記携帯型情報処理装置に入金された残高情報を更新する支払処理を行う支払処理手段をさらに備える
請求項1に記載の情報処理システム。 - 前記第2の端末は、所定のタイミングで前記保持手段に保持されている前記専用対称鍵を消去する後処理手段をさらに備える
請求項1に記載の情報処理システム。 - 前記第2の端末は、前記所定のタイミングを設定する保持期間設定手段をさらに備える
請求項5に記載の情報処理システム。 - 前記保持期間設定手段は、前記サーバからの指示、前記第2の端末のユーザからの指示、または、前記携帯型情報処理装置からの指示に基づいて前記所定のタイミングを設定する
請求項6に記載の情報処理システム。 - 携帯型情報処理装置の認証を行う情報処理装置であって、
前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得する第1の取得手段と、
各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、前記第1の取得手段により取得された前記識別情報に基づいて特定された専用対称鍵を保持する保持手段と、
前記携帯型情報処理装置より、前記識別情報を取得する第2の取得手段と、
前記保持手段に保持されている、前記第2の取得手段により取得される前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する認証手段と
を備える情報処理装置。 - 前記携帯型情報処理装置は、近距離無線通信を行う非接触型ICカードであり、
前記第1の取得手段および前記第2の取得手段は、近接された前記非接触型ICカードと前記近距離無線通信を行い、前記識別情報を取得する
請求項8に記載の情報処理装置。 - 前記認証手段により認証された前記携帯型情報処理装置に入金された残高情報を更新する支払処理を行う支払処理手段をさらに備える
請求項8に記載の情報処理装置。 - 所定のタイミングで前記保持手段に保持されている前記専用対称鍵を消去する後処理手段をさらに備える
請求項8に記載の情報処理装置。 - 前記所定のタイミングを設定する保持期間設定手段をさらに備える
請求項11に記載の情報処理装置。 - 前記保持期間設定手段は、前記情報処理装置に接続され前記専用対称鍵の特定を行うサーバからの指示、前記情報処理装置のユーザからの指示、または、前記携帯型情報処理装置からの指示に基づいて前記所定のタイミングを設定する
請求項12に記載の情報処理装置。 - 携帯型情報処理装置の認証を行う情報処理装置の情報処理方法であって、
前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得し、
各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、取得された前記識別情報に基づいて特定された専用対称鍵を保持部に保持させ、
前記携帯型情報処理装置より、前記識別情報を再度取得し、
前記保持部に保持されている、再度取得された前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する
ステップを含む情報処理方法。 - 携帯型情報処理装置の認証処理をコンピュータに実行させるプログラムであって、
前記携帯型情報処理装置より、前記携帯型情報処理装置の識別情報を取得し、
各携帯型情報処理装置に個別に割り当てられた、暗号化処理および復号処理に用いられる対称型鍵情報である専用対称鍵であって、取得された前記識別情報に基づいて特定された専用対称鍵を保持部に保持させ、
前記携帯型情報処理装置より、前記識別情報を再度取得し、
前記保持部に保持されている、再度取得された前記識別情報に対応する専用対称鍵を用いて、前記携帯型情報処理装置を認証する
ステップを含むプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005348764A JP2007158562A (ja) | 2005-12-02 | 2005-12-02 | 情報処理システム、情報処理装置および方法、並びにプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005348764A JP2007158562A (ja) | 2005-12-02 | 2005-12-02 | 情報処理システム、情報処理装置および方法、並びにプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007158562A true JP2007158562A (ja) | 2007-06-21 |
Family
ID=38242371
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005348764A Withdrawn JP2007158562A (ja) | 2005-12-02 | 2005-12-02 | 情報処理システム、情報処理装置および方法、並びにプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007158562A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009111462A (ja) * | 2007-10-26 | 2009-05-21 | Panasonic Electric Works Co Ltd | Uwb無線通信システムおよびそれを用いる非接触idシステム |
KR101136509B1 (ko) | 2010-05-11 | 2012-04-17 | 주식회사 모빌리언스 | 결제자의 사전 승인을 이용하는 무선 단말 결제 시스템 및 무선 단말 결제 방법 |
WO2012066653A1 (ja) * | 2010-11-17 | 2012-05-24 | Suginaka Junko | 電子取引システム、電子取引が可能な情報処理端末、電子取引用の管理サーバ、及び電子取引が可能なレジ端末 |
JP2013046381A (ja) * | 2011-08-26 | 2013-03-04 | Jr East Mechatronics Co Ltd | 読書装置、制御方法、及びプログラム |
WO2015001958A1 (ja) * | 2013-07-03 | 2015-01-08 | マイクロ・トーク・システムズ株式会社 | 情報処理システム |
KR20150030141A (ko) * | 2013-09-11 | 2015-03-19 | 김덕상 | 사전 인증을 통한 거래 서버 및 그 방법 |
-
2005
- 2005-12-02 JP JP2005348764A patent/JP2007158562A/ja not_active Withdrawn
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009111462A (ja) * | 2007-10-26 | 2009-05-21 | Panasonic Electric Works Co Ltd | Uwb無線通信システムおよびそれを用いる非接触idシステム |
KR101136509B1 (ko) | 2010-05-11 | 2012-04-17 | 주식회사 모빌리언스 | 결제자의 사전 승인을 이용하는 무선 단말 결제 시스템 및 무선 단말 결제 방법 |
WO2012066653A1 (ja) * | 2010-11-17 | 2012-05-24 | Suginaka Junko | 電子取引システム、電子取引が可能な情報処理端末、電子取引用の管理サーバ、及び電子取引が可能なレジ端末 |
JPWO2012066653A1 (ja) * | 2010-11-17 | 2014-05-12 | 順子 杉中 | 電子取引システム、電子取引が可能な情報処理端末、電子取引用の管理サーバ、及び電子取引が可能なレジ端末 |
JP2013046381A (ja) * | 2011-08-26 | 2013-03-04 | Jr East Mechatronics Co Ltd | 読書装置、制御方法、及びプログラム |
WO2015001958A1 (ja) * | 2013-07-03 | 2015-01-08 | マイクロ・トーク・システムズ株式会社 | 情報処理システム |
KR20150030141A (ko) * | 2013-09-11 | 2015-03-19 | 김덕상 | 사전 인증을 통한 거래 서버 및 그 방법 |
KR101644124B1 (ko) * | 2013-09-11 | 2016-07-29 | 김덕상 | 사전 인증을 통한 거래 서버 및 그 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10623392B2 (en) | Systems and methods for RFID security | |
CN112602300B (zh) | 用于非接触式卡的密码认证的***和方法 | |
CN105684346B (zh) | 确保移动应用和网关之间空中下载通信安全的方法 | |
US20100153273A1 (en) | Systems for performing transactions at a point-of-sale terminal using mutating identifiers | |
KR101702748B1 (ko) | 이중 암호화를 이용한 사용자 인증 방법과 시스템 및 기록매체 | |
CN112639855A (zh) | 用于非接触式卡的密码认证的***和方法 | |
JP2007158562A (ja) | 情報処理システム、情報処理装置および方法、並びにプログラム | |
EP3905083A1 (en) | Contactless card with multiple rotating security keys | |
JP4918133B2 (ja) | データ保管方法、クライアント装置、データ保管システム、及びプログラム | |
CN111709747A (zh) | 智能终端认证方法及*** | |
CN113169873A (zh) | 用于非接触卡的密码认证的***和方法 | |
US20240045934A1 (en) | Mobile device secret protection system and method | |
JP7275186B2 (ja) | タッチレスpin入力方法及びタッチレスpin入力システム | |
JP4683260B2 (ja) | 情報処理システム、情報処理装置、サーバ装置、および情報処理方法 | |
TWI841835B (zh) | 透過行動裝置控制區域支付終端之支付系統、方法及電腦可讀媒介 | |
EP4053720A1 (en) | Secure online authentication method using mobile id document | |
TW202242748A (zh) | 透過行動裝置控制區域支付終端之支付系統、方法及電腦可讀媒介 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090203 |