JP3403456B2 - Transaction method in electronic retail payment system - Google Patents

Transaction method in electronic retail payment system

Info

Publication number
JP3403456B2
JP3403456B2 JP17586893A JP17586893A JP3403456B2 JP 3403456 B2 JP3403456 B2 JP 3403456B2 JP 17586893 A JP17586893 A JP 17586893A JP 17586893 A JP17586893 A JP 17586893A JP 3403456 B2 JP3403456 B2 JP 3403456B2
Authority
JP
Japan
Prior art keywords
card
data
transaction
balance
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP17586893A
Other languages
Japanese (ja)
Other versions
JPH0785172A (en
Inventor
勉 松本
Original Assignee
日本銀行
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本銀行 filed Critical 日本銀行
Priority to JP17586893A priority Critical patent/JP3403456B2/en
Publication of JPH0785172A publication Critical patent/JPH0785172A/en
Application granted granted Critical
Publication of JP3403456B2 publication Critical patent/JP3403456B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【産業上の利用分野】本発明は、電子小口決済システム
における取引方法に関し、特に演算処理機能を有するカ
ードを用いた電子小口決済システムにおける取引方法に
関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a transaction method in an electronic retail payment system, and more particularly to a transaction method in an electronic retail payment system using a card having an arithmetic processing function.

【0002】[0002]

【従来の技術】近年の情報化社会の進展や消費者の生活
様式の変化に伴い、現金による決済方法における問題
点、すなわち保管、処理、運搬コストの増大、さらには
エレクトロニクスシステムとの整合性等の問題点がクロ
ーズアップされている。このような現金決済の問題点を
解消する方法として、小口決済の電子化が検討されてお
り、既にプリペイドカード、銀行POS等の現金決済の
イメージに近いシステムが実用化されている。2. Description of the Related Art With the recent progress of information society and changes in consumers' lifestyles, there are problems in cash payment methods, that is, increase in storage, processing and transportation costs, and compatibility with electronic systems. The problems of are highlighted. As a method of solving such problems of cash settlement, digitization of small-lot settlement is under study, and systems such as prepaid cards and bank POS have been put into practical use.

【0003】しかし、プリペイドカードを用いた現在の
システムでは、カードの偽造、変造、不正水増し請求等
のセキュリティ面における問題が生じており、現金と同
等の安全性をもたらすまでにはなっていない。また、銀
行POSシステムは、通信回線により銀行と接続された
販売者の占有・管理する端末を使用して、購買者の預金
口座から売上代金に見合った金額を販売者の預金口座に
振り替える口座間決済システムであるが、現金決済と比
較して譲渡性(転々流通性)、匿名性がなく、通信時の
セキュリティ対策についても不十分であり、現在のシス
テムでは現金と同等の利便性、安全性を備えていない。However, in the current system using the prepaid card, there are problems in security such as forgery, alteration, and fraudulent billing of the card, and it is not as safe as cash. In addition, the bank POS system uses a terminal, which is connected to the bank via a communication line and is occupied and managed by the seller, to transfer the amount corresponding to the sales price from the buyer's deposit account to the seller's deposit account. Although it is a payment system, it does not have transferability (changeability in circulation) and anonymity compared to cash payment, and security measures during communication are insufficient, and the current system has the same convenience and safety as cash. Not equipped.

【0004】このような問題点を解決するシステムとし
て、小型ポケット計算機に類する「電子さいふ」を用い
るとともに「電子さいふ」内のデータそのものをお金と
みなし、他の「電子さいふ」との間でこの金額データを
直接取引することにより決済を行うものが提案されてい
る(例えば、特開昭61−94177号公報)。As a system for solving such a problem, an "electronic screen" similar to a small pocket computer is used, and the data itself in the "electronic screen" is regarded as money, so that it can be exchanged with other "electronic screens". It has been proposed to make a settlement by directly trading money data (for example, Japanese Patent Laid-Open No. 61-94177).

【0005】これは、「電子さいふ」による決済方法と
して、取引時の重要な情報を秘密鍵によって署名し、こ
の秘密鍵と一対となった秘密鍵とは異なる公開鍵によっ
て署名検査する「公開鍵ディジタル署名方式」を用いた
取引プロトコルを採用している。This is a "electronic key" payment method, in which important information at the time of transaction is signed by a private key, and the signature is inspected by a public key different from the private key paired with this private key. A transaction protocol using the "digital signature method" is adopted.

【0006】すなわち、「電子さいふ」間で行われる取
引額、取引時間および自己IDからなる取引内容に対し
て、各「電子さいふ」がディジタル署名して支払証また
は領収証を生成して互いに発行し、相手「電子さいふ」
からの支払証あるいは領収証を確認した後、このの内容
に基づき自己の残高データを更新記録するとともに、こ
れらの支払証または領収証を取引情報として記憶保存し
ておき、必要時に銀行等の所定の認定機関においてこの
記憶情報を読み出して認定手続を行うようにしたもので
ある。That is, for each transaction content consisting of the transaction amount, transaction time and self ID conducted between the "electronic saifu", each "electronic saifu" digitally signs to generate a payment certificate or receipt and issue them to each other. , The other party "electronic screen"
After confirming the payment certificate or receipt from the company, update and record the own balance data based on the contents of this, and also store and save these payment certificate or receipt as transaction information, and when necessary, authorize by the bank, etc. The organization reads out the stored information and performs the certification procedure.

【0007】また、この「電子さいふ」は、自己への物
理的改造に対して内部記憶情報を破壊する不正防止手段
を備える他に、特に「電子さいふ」に記録された取引情
報に基づき、銀行等の認定機関による認定手続により不
正取引が検査されするものとし、これにより発見された
他の不当な「電子さいふ」のリストが「電子さいふ」内
に更新記録され、決済時に取引相手の「電子さいふ」を
自動的に判別するようにしたものである。[0007] In addition to the provision of fraud prevention means for destroying the internal memory information against physical alteration to the self, this "electronic saifu" is based on the transaction information recorded in the "electronic saifu", in particular Unauthorized transactions shall be inspected by the authorization procedure by an accreditation body, etc., and the list of other unlawful "electronic saifu" discovered by this shall be updated and recorded in "electronic saifu", and at the time of payment Saifu "is automatically discriminated.

【0008】[0008]

【発明が解決しようとする課題】従って、このような取
引方法は、不正に対して完全ではない通信方式や物理的
安全性技術に大きく依存するものであり、またこれを支
援する不正「電子さいふ」リストによる判別方法につい
ても、「電子さいふ」間において直接取引できるように
全てのリストを「電子さいふ」に記録するための大容量
のメモリが必要となるという欠点がある。Therefore, such a transaction method relies heavily on incomplete communication methods and physical security technologies against fraud, and the fraudulent "electronic screen" that supports this method. The "list-based determination method" also has a drawback in that a large-capacity memory is required to record all the lists in the "electronic ticket" so that transactions can be made directly between the "electronic tickets".

【0009】また、この認定手続は、取引額、取引時間
および取引相手IDからなる取引情報に基づき行われる
ものであるが、過去の取引を厳密に検証するために必要
な、取引時の残高や自己ID等の情報が含まれておら
ず、他の「電子さいふ」から不正に複写されたものであ
っても判別できないという問題点があった。[0009] Further, this authorization procedure is carried out based on transaction information consisting of transaction amount, transaction time and transaction partner ID. However, the balance at the time of transaction and the transaction balance necessary for strictly verifying past transactions, There is a problem that information such as self-ID is not included, and even if the information is illegally copied from another "electronic screen", it cannot be identified.

【0010】本発明はこのような課題を解決するための
ものであり、現金に代わる電子的小口決済手段として、
取引者相互間で直接決済できるとともに、十分な安全性
を備えた電子小口決済システムにおける取引方法を提供
することを目的としている。The present invention is to solve such a problem, and as an electronic small-scale payment means instead of cash,
It is an object of the present invention to provide a transaction method in an electronic small-lot payment system which is capable of making direct payment between traders and has sufficient security.

【0011】[0011]

【課題を解決するための手段】このような目的を達成す
るために、本発明による電子小口決済システムにおける
取引方法は、所定の資金情報、およびこの資金情報の暗
号化および検査に用いる制御データを格納する情報記憶
手段と、制御データを用いた当該資金情報に対する演算
処理を行うカード処理部とを有するカードと、カードの
資金情報の暗号化および検査に用いる制御データを格納
する管理情報格納手段と、制御データを用いた当該資金
情報に対する演算処理を行う制御部とを有し、接続され
た複数のカード内の資金情報の移動および更新を行うこ
とにより、当該カード間における取引決済を仲介する仲
介器とを有する電子小口決済システムにおける取引方法
であって、カードおよび仲介器の制御データは、当該カ
ードおよび仲介器に固有のIDと、資金情報を暗号化す
る際の署名に用いる当該カードおよび仲介器に固有の署
名関数と、署名関数による正当な署名かどうかを検査す
る際に用いる当該カードおよび仲介器に固有の検査関数
とを含み、仲介器に接続された複数のカード間における
取引決済を行う際、それぞれのカードに格納されている
IDおよび検査関数と、当該仲介器の管理情報格納手段
に格納されているIDおよび検査関数とを、当該カード
間およびそれぞれのカードと当該仲介器との間で相互に
交換し、各カードの情報記憶手段から資金情報に含まれ
る、資金価値の残高を示す残高データを読み出し、その
残高データを当該カードの検査関数に基づきその正当性
を検査し、検査合格に応じて各カードの情報記憶手段に
格納されている各残高データを無効化し、各カードの残
高データの無効化に関する各カードごとの情報に対し
て、各カードのカード処理部および当該仲介器の制御部
でそれぞれ自己の署名関数に基づき署名したものを、各
カードの記録データとして対応するカードの情報記憶手
段に格納し、当該取引決済の取引額に基づき算出した各
カードの新残高に関する各カードごとの情報に対して、
各カードのカード処理部および当該仲介器の制御部でそ
れぞれ自己の署名関数に基づき署名したものを、各カー
ドの新たな残高データとして対応するカードの情報記憶
手段に格納するようにしたものである。In order to achieve such an object, a transaction method in an electronic retail payment system according to the present invention is provided with predetermined fund information and secret information of this fund information.
Information storage for storing control data used for encoding and inspection
Means and calculation for the fund information using control data
A card having a card processing unit for performing processing,
Stores control data used for encryption and inspection of financial information
Management information storage means, and the fund using control data
It has a control unit that performs arithmetic processing on information and is connected
You can move and update fund information in multiple cards.
Is used to mediate transaction settlement between the relevant cards.
Transaction method in electronic retail payment system with intermediary
However, the control data of the card and the transfer device
Encrypt ID and fund information unique to the card and intermediary device
The signature unique to the card and intermediary used for signing
Check whether the signature is valid with the name function and the signature function
Check function unique to the card and intermediary used when
Between multiple cards connected to the intermediary, including
Stored on each card when making transaction payments
ID and inspection function, and management information storage means of the intermediary device
ID and inspection function stored in
And between each card and the intermediary
Exchanged and included in the fund information from the information storage means of each card
Read out the balance data showing the balance of fund value and
Validity of balance data based on the inspection function of the card
Are inspected and stored in the information storage means of each card according to the inspection pass
Invalidate each stored balance data and leave each card's balance
For each card information about high data invalidation
The card processing unit of each card and the control unit of the intermediary device.
Each of the signatures based on its own signature function in
Corresponding card information storage hand as the recorded data of the card
Stored in columns and calculated based on the transaction amount of the transaction settlement
For each card information about the new balance of the card,
The card processing unit of each card and the control unit of the transfer device
Each car is signed based on its own signature function.
Information storage of the corresponding card as new balance data
It is stored in the means .

【0012】また、カードは、外部からアクセス可能で
あり自装置のカード処理部からはアクセス不可能な分離
メモリを有し、仲介器の制御部で、この分離メモリに
クセスして、残高データおよび記録データを格納するよ
うにしたものである。In addition, the card can be separated from the outside and cannot be accessed from the card processing section of the device itself.
It has a memory , and the control unit of the intermediary device accesses the separated memory to store the balance data and the record data.

【0013】さらに、カードの分離メモリは、記憶する
2値データを初期値から末期値への1方向にのみ更新可
能な複数のビットにより残高データおよび記録データを
記憶するセルを有し、仲介器の制御部で、所定のビット
のみを末期値に更新することにより残高データおよび記
録データを格納し、すべてのビットを末期値を更新する
ことにより残高データを無効化するようにしたものであ
る。Furthermore, the card separation memory has a cell Le of the binary data to be stored to store the balance data and recording data by a plurality of bits that can be updated only in one direction from an initial value to the end value, intermediary in the control unit of the vessel, only Jo Tokoro bit balance data and serial by updating the end value
The recorded data is stored, and the balance data is invalidated by updating the terminal value of all bits.

【0014】また、仲介器の制御部で、仲介器と通信回
線を介して接続される管理センタから当該取引決済の取
引日時に対応した接続確認データを受信し、記録データ
を、当該カードの今回取引における支払または受取を示
す取引種別および取引額と、カードのID、このデー
タを格納するセル番号および取引前の残高額と、取引日
時と、仲介器のIDおよび仲介器が持つ接続確認データ
とから構成し、残高データを、当該カードの今回取引に
おける支払または受取を示す取引種別および取引額と、
カードのID、このデータを格納するセル番号および
取引後の残高額と、取引日時と、仲介器のIDおよび仲
介器が持つ接続確認データとから構成するようにしたも
のである。 Further , the controller of the intermediary device communicates with the intermediary device.
Payment of the relevant transaction from the management center connected via the line
Received the connection confirmation data corresponding to the date and time of the
And a transaction type and transaction amount this time showing the payment or receipt definitive transactions of the card, ID of each card, and the cell number and the transaction before the balance amount storing this data, and the transaction date and time, ID intermediary unit and It is composed of connection confirmation data held by the intermediary device, and the balance data is used for the current transaction of the card.
And the transaction type and transaction amount shown a definitive payment or receipt,
Each card ID, the cell number storing this data, the balance amount after the transaction, the transaction date and time, the ID of the intermediary device, and the connection confirmation data held by the intermediary device are also configured.
Of.

【0015】[0015]

【作用】従って、取引者間における取引合意に応じて、
各カードの残高データが無効化されるとともに、この残
高データの無効化に関する情報に対して、各取引者によ
りディジタル署名されて生成された記録データと、今回
取引および取引後の新残高に関する情報に対して、各取
引者によりディジタル署名されて生成された残高データ
とが、各カードに格納される。[Operation] Therefore, depending on the transaction agreement between the traders,
In addition to invalidating the balance data of each card, for the information on the invalidation of this balance data, the record data generated by digitally signing by each trader and the information on the new balance after this transaction and after the transaction are displayed. On the other hand, balance data generated by being digitally signed by each trader is stored in each card.

【0016】また、残高データおよび記録データは、仲
介器により直接、カードの分離メモリに格納される。さ
らに、残高データおよび記録データは、すべてのビット
が初期値であるセルの所定ビットが末期値に更新される
ことにより格納され、セルのすべてのビットが末期値に
更新されることにより無効化される。Further, the balance data and the record data are directly stored in the separation memory of the card by the intermediary device. Further, the balance data and the recorded data are stored by updating a predetermined bit of the cell whose initial value is all bits to the terminal value, and invalidated by updating all the bits of the cell to the terminal value. It

【0017】また、残高データおよび記録データには、
取引を厳密に検証するのに必要な情報として、今回取引
において対応するカードの支払または受取を示す取引種
別および取引額と、自己および相手カードのID、この
データを格納するセル番号および取引前または後の残高
額と、取引日時と、仲介器のIDおよび仲介器が持つ
通信回線を介して接続される管理センタから受信した
続確認データとから構成される。Further, the balance data and the recorded data include
As the information necessary for rigorously verifying the transaction, the transaction type and transaction amount indicating payment or receipt of the corresponding card in this transaction, IDs of own and partner cards, cell number storing this data and before transaction or The balance amount afterwards, the transaction date and time, the ID of the intermediary device, and the intermediary device ,
It is composed of connection confirmation data received from a management center connected via a communication line .

【0018】[0018]

【実施例】次に、本発明について図面を参照して説明す
る。図1は、本発明の一実施例であるオフライン型の電
子小口決済システムのシステム構成図である。なお本発
明において、オフライン型とは、取引決済時においてシ
ステム供給者への問い合わせ等を必要とせず取引者間で
完結するものを示している。図1において、10は電子
小口決済システムを管理運営するシステム供給者、40
は資金価値を持つ残高情報および各種管理情報を格納す
る電子現金カード(以下、カードという)、30は所定
の取引プロトコルに基づき複数のカード40間における
決済すなわち資金データの更新を実施する仲介器であ
り、カード40および仲介器30は、システム供給者1
0により発行され、管理されている。DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, the present invention will be described with reference to the drawings. FIG. 1 is a system configuration diagram of an off-line type electronic retail payment system according to an embodiment of the present invention. In the present invention, the offline type refers to a type that is completed between traders without requiring an inquiry to the system supplier at the time of transaction settlement. In FIG. 1, 10 is a system supplier who manages and operates an electronic retail payment system, 40
Is an electronic cash card (hereinafter, referred to as a card) that stores balance information having a fund value and various management information, and 30 is an intermediary device that performs settlement between a plurality of cards 40, that is, updates fund data based on a predetermined transaction protocol. Yes, the card 40 and the intermediary device 30 are the system supplier 1
Issued and managed by 0.

【0019】システム供給者10は、電子小口決済シス
テムの管理運営にあたって、すべての仲介器30および
カード40を管理する管理センタ11、その管理情報お
よび過去の取引に関する情報を格納し、必要に応じてこ
れを検索できるデータベース12、不当な仲介器30ま
たはカード40をリストアップしたブラックリスト13
を有している。The system supplier 10 stores the management center 11 that manages all the intermediaries 30 and the cards 40, its management information, and information about past transactions in the management and operation of the electronic retail payment system, and if necessary. A database 12 that can be searched for this, a blacklist 13 that lists unauthorized intermediaries 30 or cards 40
have.

【0020】また、管理センタ11とすべての仲介器3
0は、通信回線20を介して接続されており、取引完了
後に仲介器30から、その取引に関する情報を管理セン
タ11に報告し、適時、管理センタ11から各仲介器3
0に対して、ブラックリスト13や、仲介器30との接
続状況を確認するための接続確認データの更新が行われ
る。The management center 11 and all intermediaries 3
0 is connected via the communication line 20, and after the transaction is completed, the intermediary device 30 reports information about the transaction to the management center 11, and from the management center 11 to each intermediary device 3 in a timely manner.
For 0, the blacklist 13 and the connection confirmation data for confirming the connection status with the intermediary device 30 are updated.

【0021】図2は、仲介器30およびカード40A,
40Bを示すブロック図である。仲介器30は、この電
子小口決済システムにおいて、カード40A,40B間
の決済取引を仲介する装置であり、非リアルタイム通信
により管理センタ11に管理されている。FIG. 2 shows an intermediary device 30 and a card 40A,
It is a block diagram which shows 40B. The intermediary device 30 is a device that mediates a payment transaction between the cards 40A and 40B in this electronic small-lot payment system, and is managed by the management center 11 by non-real-time communication.

【0022】この仲介器30において、32A,32B
は取引の際に各カード40A,40Bを接続し、各種デ
ータの送受信および電源供給を行うカードI/F部、3
3A,33Bは利用者が取引額や取引合意認証を入力す
るキー部、36は取引額をはじめ各種情報やメッセージ
を表示する表示部、31は各カード40A,40B間に
おける所定の取引プロトコルに基づく決済処理をはじめ
として仲介器30全体を制御する制御部である。In this intermediary device 30, 32A, 32B
Is a card I / F unit that connects each card 40A and 40B during transaction and transmits / receives various data and supplies power.
3A and 33B are key parts for the user to input the transaction amount and transaction agreement authentication, 36 is a display part for displaying various information and messages including transaction amount, and 31 is based on a predetermined transaction protocol between the cards 40A and 40B. It is a control unit that controls the entire intermediary device 30 including the settlement process.

【0023】また、34は、通信回線20を介して接続
された管理センタ11と各種情報とを、非リアルタイム
通信により送受信する回線I/F部、35は取引プロト
コルに必要な管理情報や管理センタ11から送信される
接続確認データ,ブラックリスト等の情報を格納する管
理情報格納部、37は日時情報を出力する時計部であ
る。Reference numeral 34 is a line I / F section for transmitting and receiving various kinds of information to and from the management center 11 connected via the communication line 20 by non-real-time communication, and 35 is management information necessary for the transaction protocol and the management center. A management information storage unit for storing information such as connection confirmation data and a blacklist transmitted from 11, and a clock unit 37 for outputting date and time information.

【0024】一方、カード40A,40Bは、この電子
小口決済システムにおいてカードベースの電子現金とし
て使用されるものであり、各種情報を記憶し演算する機
能を有しており、一般的にICカードと称されるものと
同種のものである。On the other hand, the cards 40A and 40B are used as card-based electronic cash in this electronic small-lot settlement system, have a function of storing and calculating various information, and are generally used as IC cards. It is of the same kind as it is called.

【0025】このカード40A,40B(カード40)
は同じ構造をしており、カード40A,40Bにおい
て、44は、残高等の情報や各種メッセージを表示する
表示部、41は、各種情報を格納するための内部メモリ
42を有し所定の暗号方式に基づくデータ通信処理およ
び日時計数処理をはじめカード全体を制御するカード制
御部、45は、内部メモリ42に格納されている各種情
報を記憶保持するための電池である。These cards 40A, 40B (card 40)
Have the same structure. In the cards 40A and 40B, 44 is a display unit for displaying information such as balance and various messages, 41 is an internal memory 42 for storing various information, and has a predetermined encryption method. The card control unit 45 for controlling the entire card including the data communication process and the date and time counting process based on the above is a battery for storing and holding various information stored in the internal memory 42.

【0026】また、43は仲介器30からのみアクセス
できカード制御部41からアクセスできない構造の分離
メモリであり、取引プロトコルに必要な制御データとし
て、個々のカードを識別するための固有識別情報(以
下、IDという)、および所定の暗号方式に必要な後述
の検査関数と、資金データとして、取引時には仲介器3
0により、取引した相手カードのID、取引した仲介器
30のID、取引日時や取引金額等の取引内容を示す残
高データや過去の取引内容を示す記録データとが格納さ
れる。Reference numeral 43 denotes a separation memory having a structure that can be accessed only by the intermediary device 30 and cannot be accessed by the card control unit 41. As control data required for the transaction protocol, unique identification information (hereinafter referred to as unique identification information for identifying each card) , ID), and a check function described later necessary for a predetermined encryption method, and the fund data as an intermediary device 3 during a transaction.
0 stores the ID of the partner card that has made a transaction, the ID of the intermediary device 30 that has made a transaction, the balance data that indicates the transaction content such as the transaction date and time and the transaction amount, and the record data that indicates the past transaction content.

【0027】ここで、この電子小口決済システムにおい
て、これら各種重要情報に対して行われる暗号化処理、
すなわちディジタル署名について説明する。本システム
では、資金価値を持つ資金データの偽造等による不正を
防止するため、従来の「公開鍵ディジタル署名方式」と
同様の暗号方式、すなわち対象データを暗号化するため
の署名関数と、これとは異なる署名を検査するための検
査関数を一対とし、秘密の署名関数により暗号化された
データと検査関数のみを通信相手に送信する方式を採用
している。Here, in this electronic retail payment system, an encryption process performed on these various types of important information,
That is, the digital signature will be described. In this system, in order to prevent frauds due to forgery of fund data having a fund value, the same encryption method as the conventional "public key digital signature method", that is, a signature function for encrypting target data, and this Uses a pair of check functions for checking different signatures, and sends only the data encrypted by the secret signature function and the check function to the communication partner.

【0028】この方式によれば、検査関数および暗号化
されたデータに基づき署名関数を再生することを至難化
することにより、対象データ偽造等の不正を防止するこ
とができる。According to this method, it is possible to prevent reproduction of the signature function based on the check function and the encrypted data, thereby preventing fraud such as forgery of the target data.

【0029】すなわち、このディジタル署名とは、秘密
の署名鍵をパラメータとして、対象データに対して所定
の署名関数に基づく演算すなわち暗号化処理を施すこと
であり、この署名関数は署名後のデータが正当なもので
あるか否かを検査処理するための検査関数と一対とし
て、システム供給者10により生成され管理されてい
る。That is, the digital signature is to perform an operation, that is, an encryption process based on a predetermined signature function, on the target data using the secret signature key as a parameter. It is generated and managed by the system supplier 10 as a pair with a check function for checking whether or not it is valid.

【0030】今、一対の署名関数および検査関数をそれ
ぞれS,Vとし、資金データをX1,X2 とすると、資
金データX1 ,X2 に対して署名関数Sに基づきディジ
タル署名することにより生成される暗号文Yは、 Y=S(X1 ‖X2 ) と表され、また暗号文Yを検査関数Vにより検査するこ
とにより生成される資金データX1 ,X2 は、 X1 ‖X2 =V(Y)=V(S(X1 ‖X2 )) と表される。Now, assuming that the pair of signature function and check function are S and V, respectively, and the fund data are X 1 and X 2 , digitally sign the fund data X 1 and X 2 based on the signature function S. The generated ciphertext Y is represented as Y = S (X 1 ‖X 2 ), and the fund data X 1 , X 2 generated by inspecting the ciphertext Y by the check function V is X 1 ‖ It is expressed as X 2 = V (Y) = V (S (X 1 ‖X 2 )).

【0031】全てのカード40および仲介器30は、シ
ステム供給者10により発行される際に、IDとともに
固有の署名関数および検査関数が割り当てられる。特
に、割り当てられたIDおよび検査関数は、これが正当
なものであることを保証するシステム供給者10のディ
ジタル署名が施されて格納され、割り当てられた署名関
数は、システム供給者10のディジタル署名を検査する
ための検査関数とともに格納される。これにより、シス
テム共通とされるシステム供給者10の検査関数を持た
ないカードあるいは仲介器との不正あるいは誤った取引
が防止される。When issued by the system supplier 10, all cards 40 and intermediaries 30 are assigned unique signature and verification functions along with their IDs. In particular, the assigned ID and the check function are stored with the digital signature of the system supplier 10 which guarantees that they are valid, and the assigned signature function stores the digital signature of the system supplier 10. It is stored with the check function for checking. This prevents fraudulent or erroneous transactions with cards or intermediaries that do not have the inspection function of the system supplier 10, which is common to the system.

【0032】なお、仲介器30の場合、割り当てられた
署名関数、システム供給者10の検査関数、システム供
給者10によりディジタル署名されたIDおよび検査関
数は、それぞれ管理情報格納部35に格納される。ま
た、カード40の場合、割り当てられた署名関数は、前
述のシステム供給者10の検査関数とともに、内部メモ
リ42に格納されるとともに、システム供給者10によ
りディジタル署名されたIDおよび検査関数は、分離メ
モリ43に格納される。In the case of the intermediary device 30, the assigned signature function, the inspection function of the system supplier 10, the ID and the inspection function digitally signed by the system supplier 10 are stored in the management information storage unit 35, respectively. . Further, in the case of the card 40, the assigned signature function is stored in the internal memory 42 together with the above-mentioned inspection function of the system supplier 10, and the ID and the inspection function digitally signed by the system supplier 10 are separated. It is stored in the memory 43.

【0033】次に、カード40(カード40A,40
B)の分離メモリ43について説明する。分離メモリ4
3は、そのカードに固有のIDおよび検査関数が格納さ
れるとともに、資金データとして現在の残高を示す残高
データおよび過去の取引を示す記録データがそれぞれ格
納される。Next, the card 40 (cards 40A, 40
The separation memory 43 of B) will be described. Separate memory 4
3, the ID and the inspection function unique to the card are stored, and the balance data indicating the current balance and the record data indicating the past transaction are respectively stored as the fund data.

【0034】この分離メモリ43は、カード40のカー
ド制御部41から回路的に分離することによりアクセス
不可能とし、外部すなわち仲介器30からのみアクセス
可能とする構造となっている。これは、カード制御部4
1が万が一改造された場合、格納されているID、検査
関数あるいは残高データや記録データを読み出し偽造・
改変することにより不正取引を行うことを防止するもの
である。The separation memory 43 is made inaccessible by being separated from the card control unit 41 of the card 40 in a circuit manner, and is accessible only from the outside, that is, the intermediary device 30. This is the card controller 4
In the unlikely event that 1 is modified, the stored ID, inspection function, balance data, or recorded data is read and forged.
By modifying it, it is possible to prevent illegal transactions.

【0035】図3は、分離メモリ43のメモリ割当図で
ある。分離メモリ43には、論理的に分割した多数の格
納エリア(以下、エリアという)が設けられており、さ
らに、このエリアは2つのセルに分割されている。この
エリアには、資金データとして残高データおよび記録デ
ータが、取引毎に順を追って格納される。従って、現在
の残高データが格納されているエリアを示す取引エリア
番号は、取引に応じて順に加算される。FIG. 3 is a memory allocation diagram of the separation memory 43. The separation memory 43 is provided with a large number of logically divided storage areas (hereinafter referred to as areas), and this area is further divided into two cells. In this area, balance data and record data are stored as fund data in order for each transaction. Therefore, the transaction area number indicating the area in which the current balance data is stored is sequentially added according to the transaction.

【0036】また、分離メモリを構成する各ビットは、
「0」を初期値、「1」を末期値とする2値データを記
憶するものであり、初期値「0」から末期値「1」への
1方向へのみ更新可能な構成となっている。すなわち、
各セルは、初期の状態としてすべてのビットが「0」と
なっており、データを格納する場合に、データ値に対応
する所定のビットが「1」に更新され、一度更新された
ビットは初期値「0」へ再度更新することはできない。Further, each bit forming the separation memory is
It stores binary data in which "0" is an initial value and "1" is an end value, and can be updated only in one direction from the initial value "0" to the end value "1". . That is,
In each cell, all bits are “0” in the initial state, and when storing data, a predetermined bit corresponding to the data value is updated to “1”, and the bit once updated is initialized. It cannot be updated again to the value “0”.

【0037】従って、セルに格納するデータを、全1方
向誤り検出符号(AUED符号)等に基づき変換して格
納することにより、クリアしたり所望のデータに変更し
たりする不正が困難となる。また、使用済みの重要なデ
ータを読み取り不可能とするために消去すなわち無効化
する場合には、そのセルのすべてのビットを末期値
「1」に更新することにより行われる。Therefore, by converting the data to be stored in the cell based on the all-one-way error detection code (AUED code) and storing it, it becomes difficult to make an illegal operation such as clearing or changing to desired data. When erasing or invalidating used important data to make it unreadable, all bits of the cell are updated to the end value "1".

【0038】図3の分離メモリ43において、50は格
納エリア(以下、エリアという)であり、このエリア5
0はさらに2つのセル51,52に分割されている。こ
のセル51には、カードにおける現在の残高がいかなる
取引により生成されたかを証拠付きで記録した残高デー
タが格納される。In the separation memory 43 of FIG. 3, reference numeral 50 denotes a storage area (hereinafter referred to as an area).
0 is further divided into two cells 51 and 52. In this cell 51, the balance data in which the transaction by which the current balance in the card is generated is recorded with evidence is stored.

【0039】この資金価値を示す残高データは、複写に
よる不正や暗号解読を極力防止するため、直前取引によ
り生成されたもののみが保存され、それ以前の残高デー
タは無効化される。従って、セル52にはそのエリアに
格納されていた残高データ(セル51)がいかなる取引
により消滅した(無効化された)かを証拠付きで記録し
た記録データが格納される。As for the balance data indicating the fund value, only the data generated by the immediately preceding transaction is stored and the balance data before that is invalidated in order to prevent fraud by copying and decryption as much as possible. Therefore, the cell 52 stores the record data in which the balance data (cell 51) stored in the area is recorded with proof as to what transaction the balance data was erased (invalidated).

【0040】これらエリアは、エリア番号k−2からk
+2方向へ順に、1回の取引に応じて1エリアづつ使用
される。ただし、記録データは、新たな取引により無効
化された残高データと同じエリアのもう一方のセルに格
納されるとともに、新たな取引により更新された残高デ
ータは次のエリアに格納されるため、1回の取引に応じ
て生成された記録データおよび残高データは、異なるエ
リアに格納されるものとなる。These areas are area numbers k-2 to k.
One area is used for each transaction in the +2 direction. However, the recorded data is stored in the other cell in the same area as the balance data invalidated by the new transaction, and the balance data updated by the new transaction is stored in the next area. The record data and the balance data generated in response to each transaction are stored in different areas.

【0041】図3において、カード40Aの分離メモリ
43が、エリアkまで使用されている場合を示してお
り、現在の残高を示す残高データはB(k) としてエリア
kのセル53に格納され、このエリア以前のエリアk−
1までの残高データは、セル51のように全て無効化さ
れている。なお、同図においてエリアkにおける残高デ
ータをB(k) 、記録データをL(k ) とし、空白セルは未
使用のセル、斜線セルは無効化されたセルをそれぞれ示
している。FIG. 3 shows the case where the separation memory 43 of the card 40A is used up to the area k, and the balance data showing the current balance is stored in the cell 53 of the area k as B (k) , Area k- before this area
All the balance data up to 1 are invalidated like the cell 51. In the figure, the balance data in area k is B (k) , the recording data is L (k ) , blank cells are unused cells, and shaded cells are invalid cells.

【0042】ここで、未使用のセルをO、無効化された
セルをUとすると、分離メモリ43のエリアk−2から
k+2までの内容SMEM(k−2,…,k+2)は、
数1で表すことができる。なお、残高データが格納され
るセルは上段に、また記録データが格納されるセルは下
段にそれぞれ記載されている。Assuming that an unused cell is O and an invalidated cell is U, the contents SMEM (k-2, ..., K + 2) from the areas k-2 to k + 2 of the separation memory 43 are as follows.
It can be expressed by Equation 1. The cells storing the balance data are shown in the upper row, and the cells storing the recording data are shown in the lower row.

【0043】[0043]

【数1】 [Equation 1]

【0044】従って、これら過去に使用されたエリアk
−1以前のセルには、残高データが無効化された記録と
して、エリアk−1には記録データL(k-1) (セル5
2)が、またエリアk−2にはL(k-2) がそれぞれ格納
されている。なお、エリアkは現在の取引エリアであ
り、残高データが無効化されていないので、これに対応
する記録データはなく、これが格納されるべきセル54
は空白すなわち未使用状態となっている。Therefore, the area k used in the past is used.
In the cells before -1, it is recorded that the balance data is invalidated, and the recording data L (k-1) (cell 5
2), and L (k-2) is stored in area k-2. Since the area k is the current transaction area and the balance data has not been invalidated, there is no record data corresponding to this and the cell 54 in which this should be stored.
Is blank, that is, unused.

【0045】ここで、取引前として図3上段のような記
憶状態となっているカード40Aが取引に使用された場
合、セル53の残高データB(k) から残高が抽出されて
取引額が減算され、新残高データB(k+1) としてエリア
k+1のセル55に格納される。Here, when the card 40A which is in the storage state as shown in the upper part of FIG. 3 before the transaction is used for the transaction, the balance is extracted from the balance data B (k) of the cell 53 and the transaction amount is subtracted. Then, the new balance data B (k + 1) is stored in the cell 55 of the area k + 1.

【0046】これと同時に、旧残高データとなったB
(k) (セル53)は無効化されるとともに、これを無効
化した際の取引の記録としてエリアkのセル54に記録
データL(k) が生成され格納される。なお、記録データ
は無効化されず、そのカードの過去の取引を記録した履
歴データとして全て保存され、分離メモリ43の記憶状
態は図3下段の取引後の状態となる。At the same time, B which became the old balance data
(k) (cell 53) is invalidated, and the record data L (k) is generated and stored in the cell 54 of the area k as a record of the transaction when this is invalidated. Note that the recorded data is not invalidated and is all stored as history data in which past transactions of the card are recorded, and the storage state of the separation memory 43 is the state after transaction shown in the lower part of FIG.

【0047】従って、取引後の分離メモリ43の内容S
MEM(k−2,…,k+2)は、数2のように変遷す
る。Therefore, the contents S of the separation memory 43 after the transaction
The MEM (k−2, ..., K + 2) changes as shown in Equation 2.

【0048】[0048]

【数2】 [Equation 2]

【0049】なお、本発明において、カードの残高を含
む残高データ、および過去の取引を記録した記録データ
等の資金データは、取引を特定するために取引の性質、
自カードの状況、相手カードの状況および取引環境を詳
細に示す要素から構成されている。In the present invention, the balance data including the balance of the card and the fund data such as the record data in which the past transactions are recorded are the nature of the transaction for identifying the transaction,
It consists of elements that detail the status of the own card, the status of the other card, and the trading environment.

【0050】すなわち取引の性質として、支払/受取、
取引額およびデータ更新/無効化が記録され、自己・相
手カードの状況としてカードID、エリア番号、残高/
支払可能額が記録され、さらに取引環境として使用され
た仲介器30のID、取引日時、取引時にシステム供給
者10から発行され仲介器30に格納されている接続確
認データが記録される。That is, as the nature of the transaction, payment / receipt,
Transaction amount and data update / invalidation are recorded, and card ID, area number, balance /
The payable amount is recorded, and further, the ID of the intermediary device 30 used as the transaction environment, the transaction date and time, and the connection confirmation data issued by the system supplier 10 at the time of the transaction and stored in the intermediary device 30 are recorded.

【0051】なお、接続確認データは、適時、システム
供給者10から発行され、仲介器30の管理情報格納部
35に格納されているものであり、取引日時に対応した
ものが管理センタ11で管理されている。従って、仲介
器30が管理センタ11に正常に接続されていなかった
場合、正規の接続確認データを入手できなくなるため、
これを管理センタ11で検査することにより、不正取引
による残高データや記録データを検出することが可能と
なる。The connection confirmation data is issued from the system supplier 10 at a suitable time and stored in the management information storage unit 35 of the intermediary device 30, and the data corresponding to the transaction date is managed by the management center 11. Has been done. Therefore, if the intermediary device 30 is not normally connected to the management center 11, it becomes impossible to obtain the proper connection confirmation data.
By inspecting this at the management center 11, it becomes possible to detect balance data and recorded data due to illegal transactions.

【0052】次に図2および図4を参照して、本発明の
オフライン型電子小口決済システムにおける電子現金カ
ード間の取引処理として、カード40A,40Bと仲介
器30間の取引プロトコルを説明する。図4は、仲介器
30を介してカード40Aおよび40B間の取引プロト
コルを示す説明図であり、特にカード40Aが支払側、
カード40Bが受取側である場合の取引プロトコルを示
している。Next, with reference to FIGS. 2 and 4, a transaction protocol between the cards 40A, 40B and the intermediary device 30 will be described as transaction processing between the electronic cash cards in the offline type electronic small-lot settlement system of the present invention. FIG. 4 is an explanatory view showing a transaction protocol between the cards 40A and 40B via the intermediary device 30, in particular, the card 40A is a payment side,
The transaction protocol is shown when the card 40B is the recipient.

【0053】今、利用者Bが経営している商店で利用者
Aが物品を購入し、この支払をこれらのカードで行う場
合、従来のように利用者Aが利用者Bに現金を支払う代
わりに、この商店に設置された仲介器30を介して、利
用者Aの所有するカード40Aから利用者Bの所有する
カード40Bへ資金価値を移動させる。Now, when user A purchases an article at a store managed by user B and makes this payment with these cards, user A pays cash to user B as in the conventional case. Then, the fund value is transferred from the card 40A owned by the user A to the card 40B owned by the user B via the intermediary device 30 installed in this store.

【0054】前提として、利用者A,Bは、システム供
給者10からカード40A,40Bを入手しているもの
とし、システム供給者10あるいは所定の金融機関にお
いて、預金あるいは現金等と引換に等価の資金データを
カード40Aに引き出しているものとする。なお、カー
ド40A,40Bに格納された資金データは、システム
供給者10あるいは所定の金融機関窓口で現金あるいは
預金に換金することができる。As a premise, it is assumed that the users A and B have obtained the cards 40A and 40B from the system supplier 10, and the system supplier 10 or a predetermined financial institution is equivalent to exchanging with a deposit or cash. It is assumed that the fund data has been drawn to the card 40A. The fund data stored in the cards 40A and 40B can be converted into cash or deposits at the system supplier 10 or a predetermined financial institution window.

【0055】まず、利用者A,Bは仲介器30にそれぞ
れのカードを接続する。これに応じて、仲介器30と接
続されたカード40A,40B、および利用者A,Bに
おいて、以下のような同定・認証処理が開始される。First, the users A and B connect their respective cards to the intermediary device 30. In response to this, the following identification / authentication processing is started in the cards 40A and 40B connected to the intermediary device 30 and the users A and B.

【0056】仲介器30は、接続された各カードの正当
性確認処理として、まずカード40A,40Bの分離メ
モリ43から、システム供給者10のディジタル署名付
きで格納されているIDおよび検査関数SSP(i‖V
i ),SSP(j‖Vj )をそれぞれ読み出して、管理情
報格納部35に予め格納されているシステム供給者10
の署名に対する検査関数VSPにより、これらを検査す
る。なお、i,jはカード40A,40BのID、V
i ,Vj はカード40A,40Bの署名に対する検査関
数、SSPはシステム供給者10の署名関数を示してい
る。The intermediary device 30 first checks the validity of each connected card from the separation memory 43 of the cards 40A and 40B by storing the ID and the check function S SP with the digital signature of the system supplier 10. (I‖V
i ) and S SP ( j / V j ) are read out and stored in the management information storage unit 35 in advance.
These are checked by the check function V SP for the signature of Note that i and j are the IDs of the cards 40A and 40B, V
i and V j are the check functions for the signatures of the cards 40A and 40B, and S SP is the signature function of the system supplier 10.

【0057】この後、仲介器30は各カードに対して、
読み出したSSP(i‖Vi ),SSP(j‖Vj )と、自
己のIDおよび検査関数にシステム供給者10がディジ
タル署名したSSP(p‖Vp )とをそれぞれ出力する。
なお、p,Vp は、仲介器30のIDおよび検査関数で
ある。After this, the intermediary device 30
Read S SP (i‖V i), and S SP (j‖V j), the system supplier 10 outputs a digital signed S SP (p‖V p) to its own ID and inspection functions.
Note that p and V p are the ID of the intermediary device 30 and the check function.

【0058】各カードは、仲介器30からの各IDおよ
び検査関数にシステム供給者10がディジタル署名した
ものを、相手カードとの間で交換するとともに、予め格
納されているシステム供給者10の検査関数VSPにより
これらを検査し、各カードおよび仲介器のIDおよび検
査関数を互いに認証する。For each card, the ID and the inspection function from the intermediary device 30 are digitally signed by the system supplier 10 and exchanged with the counterpart card, and the stored system supplier 10's inspection is performed. These are checked by the function V SP , and the IDs and check functions of each card and intermediary are verified with each other.

【0059】このとき、各カード40A,40Bは、カ
ード間における認証処理を仲介器30の不正から防御す
ることを目的として、所定の暗号方式のための関数を生
成する。従って、これ以降のカード間における通信は、
この関数を用いた暗号方式に基づき実施されることにな
る。At this time, each of the cards 40A and 40B generates a function for a predetermined encryption method for the purpose of protecting the authentication process between the cards from the illegality of the intermediary device 30. Therefore, subsequent communication between the cards is
It will be implemented based on the encryption method using this function.

【0060】なお、各カード40A,40BのID確認
として、相手カードの外表面に印刷表示されているID
と、自己カードの表示部44に表示されている相手ID
とを、各利用者あるいは仲介器30の読み取り認識によ
り、一致しているかどうか確認するようすれば、異なる
IDを使用した不正行為をより厳密に排除することがで
きる。As an ID confirmation of each card 40A, 40B, the ID printed on the outer surface of the other card is displayed.
And the partner ID displayed on the display section 44 of the own card
By confirming whether or not they match with each other by reading and recognizing each user or the intermediary device 30, it is possible to more strictly exclude fraudulent acts using different IDs.

【0061】仲介器30は、このようにして認証された
各カードのIDが、不当カードのIDリストとして管理
センタ11から通知され管理情報格納部35に格納され
ているブラックリストに記載されていないかどうか確認
し、記載されている場合にはその旨を表示部36に表示
するとともに、取引を中止する。ブラックリストに記載
がない場合には、正常なカードとして同定および認証し
て、取引処理を続行する。In the intermediary device 30, the IDs of the cards thus authenticated are not listed in the black list stored in the management information storage unit 35 notified from the management center 11 as the ID list of the unauthorized card. It is confirmed whether or not it is described, and if so, the fact is displayed on the display unit 36 and the transaction is stopped. If not on the blacklist, identify and authenticate as a valid card and continue transaction processing.

【0062】次に、取引額の設定・合意処理として、各
カードは、直前取引で生成され内部メモリ42に格納さ
れている現在の残高をそれぞれの表示部44に表示し、
利用者AおよびBに支払額および受取額の入力を促す。Next, as a transaction amount setting / agreement process, each card displays the current balance stored in the internal memory 42 in the immediately preceding transaction on its respective display section 44,
Prompts users A and B to enter payment and receipt amounts.

【0063】利用者A,Bは、仲介器30の自己のカー
ドに対応するキー部33A,33Bから、自己カードの
取引種別として、支払または受取を選択するとともに、
取引額すなわち支払の場合には支払額、また受取の場合
には受取額をそれぞれ入力する。この場合、利用者Aは
購入代金として支払額PVを入力し、利用者Bは売上金
としてPVに等しい受取額RVを入力する。The users A and B select payment or receipt as the transaction type of their own card from the key parts 33A and 33B corresponding to their own cards of the intermediary device 30, and
Enter the transaction amount, that is, the payment amount in the case of payment, and the receipt amount in the case of receipt. In this case, the user A inputs the payment amount PV as the purchase price, and the user B inputs the receipt amount RV equal to PV as the sales amount.

【0064】仲介器30は、各キー部33A,33Bか
ら入力されたPV,RVを、時計部37から読み取った
現在日時Tp とともにそれぞれ対応するカード40A,
40Bへ出力する。各カードは、自カード制御部41の
内部時刻Ti またはTj とTp とが等しいことを確認す
るとともに、カード間でTi ,Tj を相互に交換してそ
の一致を確認した後、支払額または取引額とTp を表示
部44に表示して、各利用者に対して確認を促す。In the intermediary device 30, PV and RV input from the respective key parts 33A and 33B are read together with the current date and time T p read from the clock part 37 and the corresponding cards 40A and
Output to 40B. Each card confirms that the internal time T i or T j of its own card control unit 41 and T p are the same, and after exchanging T i and T j between the cards and confirming the agreement, The payment amount or transaction amount and T p are displayed on the display unit 44 to prompt each user to confirm.

【0065】各利用者は、これらの取引額および取引時
間を確認した後、キー部33A,33Bより合意を入力
する。各カードは、この合意入力に応じた仲介器30か
らの通知に基づき、カード間でPV,RVを相互に交換
してその一致を確認した後、PV,RVを仲介器30に
出力する。After confirming the transaction amount and transaction time, each user inputs the agreement from the key parts 33A and 33B. Based on the notification from the intermediary device 30 according to this agreement input, each card exchanges PV and RV between the cards and confirms the agreement, and then outputs PV and RV to the intermediary device 30.

【0066】仲介器30は、各カードからのPV,RV
の一致確認に応じて、カード40A,40Bおよび仲介
器30の三者間において、取引額および取引時間の合意
が得られたものとして、取引処理を続行する。また、以
上の各種認証処理において認証が得られなかった場合に
は、仲介器30は取引のための以後の処理を中止して、
その旨を表示部36に表示する。The intermediary device 30 is the PV, RV from each card.
In response to the confirmation of the agreement, the transaction processing is continued assuming that the transaction amount and the transaction time have been agreed between the three parties of the cards 40A, 40B and the intermediary device 30. Further, if the authentication is not obtained in the above various authentication processing, the intermediary device 30 stops the subsequent processing for the transaction,
The fact is displayed on the display unit 36.

【0067】次に、この認識により、仲介器30は取引
により新たに生成される資金データ、すなわち残高デー
タおよび記録データを、カード40A,40Bの分離メ
モリ43に格納するため、以下のような分離メモリ43
の検査処理を開始する。なお、各カードにおいて現在の
残高を含む残高データが格納されているエリアすなわち
取引エリアの番号は、カード40Aではk、またカード
40Bではlとする。Next, by this recognition, the intermediary device 30 stores the fund data newly generated by the transaction, that is, the balance data and the record data, in the separation memory 43 of the cards 40A and 40B. Memory 43
The inspection process of is started. The number of the area where the balance data including the current balance is stored in each card, that is, the transaction area, is k for the card 40A and 1 for the card 40B.

【0068】まず、各カードはこの取引エリア番号k,
lを、カード制御部41内の内部メモリ42から読み込
み、仲介器30および相手カードに出力することによ
り、それぞれの取引エリア番号を交換する。First, each card has this transaction area number k,
The transaction area numbers are exchanged by reading 1 from the internal memory 42 in the card control unit 41 and outputting it to the intermediary device 30 and the counterpart card.

【0069】仲介器30は、カード40A,40Bの分
離メモリ43から、この番号に基づくエリアおよびその
次のエリアに格納されているデータ、すなわちSMEM
i [k,k+1]、SMEMj [l,l+1]をそれぞ
れ読み取り、所定セルに格納されている残高データを検
査することにより、そのカードの正確な残高金額、I
D、取引エリア番号等を得てこれを検査するとともに、
所定セルが未使用であるかどうか検査する。The intermediary device 30 stores, from the separation memory 43 of the cards 40A and 40B, the data stored in the area based on this number and the next area, that is, SMEM.
i [k, k + 1] and SMEM j [l, l + 1] are read, and the balance data stored in a predetermined cell is inspected to obtain the accurate balance amount I
D, transaction area number, etc. are obtained and inspected,
Check if a given cell is unused.

【0070】すなわち、これまでの取引プロトコルにお
いて取得した各カードに関する残高金額、ID、取引エ
リア番号等の情報は、カードの内部メモリ42に格納さ
れていた情報であり、取引の正常終了に応じて厳重に暗
号化され分離メモリ43に格納されていた情報すなわち
残高データとは、その安全性が異なるものである。従っ
て、分離メモリ43から読み出した残高データは、この
残高データ生成時に各カードの内部メモリ42に格納し
ておいた対応する検査関数により署名検査され、この検
査の正常終了、およびこれまでに取得した情報との一致
が検査される。That is, the information such as the balance amount, the ID, the transaction area number, etc. regarding each card acquired in the transaction protocol so far is the information stored in the internal memory 42 of the card, and depending on the normal termination of the transaction. The security is different from the information that is strictly encrypted and stored in the separation memory 43, that is, the balance data. Therefore, the balance data read out from the separation memory 43 is signature-inspected by the corresponding inspection function stored in the internal memory 42 of each card at the time of generating the balance data, and the inspection is completed normally and is acquired so far. The information is checked for a match.

【0071】また、各カードの分離メモリ43の使用状
況として、数3のようになっているとすると、仲介器3
0は、現在の残高データが格納されているSMEMi
[k]およびSMEMj [l]の上側セルのみが使用さ
れており、他のセルは未使用となっていることを確認す
る。これは、前述のとおり、分離メモリ43として一度
書き込んだデータは無効にする以外、不正にクリアや変
更ができないメモリを使用しており、現在の取引エリア
付近のセルを検査し、その使用状況を確認することによ
り、エリア番号変更等による不正が検出される。If the usage status of the separation memory 43 of each card is as shown in Equation 3, the intermediary device 3
0 is the SMEM i in which the current balance data is stored
Make sure that only the upper cells of [k] and SMEM j [l] are used and the other cells are unused. As described above, this uses a memory that cannot be illegally cleared or changed except for invalidating the data once written as the separation memory 43. The cells near the current transaction area are inspected and the usage status is checked. By checking, fraud caused by changing the area number is detected.

【0072】[0072]

【数3】 [Equation 3]

【0073】各カードは、仲介器30からのSMEMi
[k,k+1]またはSMEMj [l,l+1]の各セ
ルデータに対して、前述の仲介器30における検査と同
様の未使用セルの検査を実施した後、直前取引の際の取
引情報として内部メモリ42に格納しておいた、相手カ
ードの記録データ、IDおよび検査関数と、その取引に
関係した仲介器のIDおよび検査関数とを、それぞれ仲
介器30へ出力する。Each card has an SMEM i from the intermediary device 30.
For each cell data of [k, k + 1] or SMEM j [l, l + 1], after the unused cell inspection similar to the inspection in the intermediary device 30 described above is performed, the internal information is used as the transaction information in the immediately preceding transaction. The recorded data, the ID and the inspection function of the counterpart card and the ID and the inspection function of the intermediary device related to the transaction, which are stored in the memory 42, are output to the intermediary device 30, respectively.

【0074】従って、カード40Aは、相手カードの記
録データとしてLf (s-1)と、相手カードのIDおよび検
査関数としてシステム供給者署名付きのSSP(f‖V
f )と、仲介器のIDおよび検査関数としてシステム供
給者署名付きのSSP(q‖Vq)とを、仲介器30へ出
力する。なお、f,Vf ,sは、カード40Aの直前取
引時の相手カードのID、検査関数および取引エリア番
号であり、q,Vq は、同じく仲介器のIDおよび検査
関数である。Therefore, the card 40A has L f (s-1) as the record data of the opponent card and S SP (f / V) with the system supplier signature as the opponent card ID and inspection function.
f ) and the ID of the intermediary device and S SP (q∥V q ) with the system supplier signature as a check function are output to the intermediary device 30. It should be noted that f, V f , and s are the ID, the check function, and the transaction area number of the counterpart card at the time of the last transaction of the card 40A, and q and V q are the ID and the check function of the intermediary device.

【0075】また、カード40Bは、相手カードの記録
データとしてLg (t-1)と、相手カードのIDおよび検査
関数としてシステム供給者署名付きのSSP(g‖Vg
と、仲介器のIDおよび検査関数としてシステム供給者
署名付きのSSP(r‖Vr )とを、仲介器30へ出力す
る。なお、g,Vg ,tは、カード40Bの直前取引時
の相手カードのID、検査関数および取引エリア番号で
あり、r,Vr は、同じく仲介器のIDおよび検査関数
である。Further, the card 40B has L g (t-1) as the record data of the opponent card, and S SP ( g ‖V g ) with the ID of the opponent card and the system supplier signature as a check function.
And the intermediary device ID and S SP ( r | Vr) with the system supplier signature as a check function are output to the intermediary device 30. Note that g, V g , and t are the ID, check function, and transaction area number of the counterpart card at the time of the last transaction of the card 40B, and r and V r are also the ID and check function of the intermediary device.

【0076】この場合の記録データは、直前取引の際に
それぞれの相手カードに格納された記録データであり、
仲介器30は、それぞれの記録データを、対応する検査
関数および各カードの検査関数に基づき署名検査するこ
とにより、これらのデータが正常であるか否かを検査す
る。また、これらの記録データは、取引終了後、仲介器
30からの取引報告情報として、管理センタ11へ送信
され、不正取引の検出に使用される。The record data in this case is the record data stored in each counterparty card at the time of the last transaction,
The intermediary device 30 inspects whether each of the recorded data is normal by performing signature inspection on each recorded data based on the corresponding inspection function and the inspection function of each card. Further, these recorded data are transmitted to the management center 11 as transaction report information from the intermediary device 30 after the transaction is completed, and are used for detecting illegal transaction.

【0077】次に、仲介器30は、カード40Aの分離
メモリ43のエリアkにおける残高データBi (k)、およ
びカード40Bのエリアlにおける残高データBj (l)
それぞれ無効化する。無効化は、各セルを構成するビッ
トをすべて末期値「1」とすることにより行われ、これ
により、このセルに格納されていた残高データが消去さ
れるとともに、セル自体、使用不可能となる。Next, the intermediary device 30 invalidates the balance data B i (k) in the area k of the separation memory 43 of the card 40A and the balance data B j (l) in the area 1 of the card 40B. The invalidation is performed by setting all the bits constituting each cell to the end value "1", whereby the balance data stored in this cell is erased and the cell itself becomes unusable. .

【0078】続いて、仲介器30は、無効化した各残高
データに対応する記録データの作成および格納処理を行
う。まず、仲介器30は、今無効化した残高データが、
いかなる取引により無効化されたかを示す情報として、
各カードに対応するLi0 (k) ,Lj0 (l) を、次の式に基
づき生成し、各カードへ出力するとともに、このデータ
に仲介器30の署名関数Sp によりディジタル署名して
生成したLi1 (k) ,Lj1 (l) も出力する。Subsequently, the intermediary device 30 performs a process of creating and storing record data corresponding to each of the invalidated balance data. First, the intermediary device 30 is
As information showing what transaction was invalidated,
L i0 (k) and L j0 (l) corresponding to each card are generated based on the following equations and output to each card, and this data is digitally signed by the signature function S p of the intermediary device 30 to be generated. The output L i1 (k) and L j1 (l) are also output.

【0079】すなわち、これら各データは、 Li0 (k) =[log,pay,A; i,k,bi (k); j,l,bj (l);
p, T, C] Lj0 (l) =[log,receive,A; j,l,bj (l); i,k,
i (k); p, T, C] Li1 (k) =Sp (Li0 (k) ) Lj1 (l) =Sp (Lj0 (l) ) により生成される。That is, each of these data is L i0 (k) = [log, pay, A; i, k, b i (k) ; j, l, b j (l) ;
p, T, C] L j0 (l) = [log, receive, A; j, l, b j (l) ; i, k,
b i (k) ; p, T, C] L i1 (k) = S p (L i0 (k) ) L j1 (l) = S p (L j0 (l) ).

【0080】なお、上記の各式において、log は記録デ
ータ、pay は支払側、receive は受取側、Aは取引額こ
こでは受取額、i ,k ,bi (k)はカード40AのID,
取引エリア番号,取引前の残高、j ,l ,bj (l)はカー
ド40BのID,取引エリア番号,取引前の残高、pは
仲介器30のID、Tは取引時刻、Cは仲介器30が管
理センタ11から受け取った最新の接続確認データを示
している。In the above equations, log is recorded data, pay is payer, receive is receiver, A is transaction amount, here the amount received, i, k, b i (k) is the ID of the card 40A,
Transaction area number, balance before transaction, j, l, b j (l) is ID of card 40B, transaction area number, balance before transaction, p is ID of intermediary 30, T is transaction time, C is intermediary 30 shows the latest connection confirmation data received from the management center 11.

【0081】これに応じて、カード40A,40Bは、
受信した4つのデータについて、署名されたものは相互
交換により入手した仲介器30の検査関数によりそれぞ
れ検査した後、仲介器30により既に署名された相手カ
ードに対応する記録データL j1 (l) ,Li1 (k) に対し
て、自カードの署名関数により署名して生成したLj2 (l
) ,Li2 (k) を、相手カードおよび仲介器30に出力す
る。In response to this, the cards 40A and 40B are
Of the four received data, the signed ones are mutually
Depending on the inspection function of the transfer device 30 obtained by the exchange,
After the inspection, the other party who has already signed by the intermediary device 30
Recording data L corresponding to the mode j1 (l) , Li1 (k) Against
Generated by signing with the signature function of your own cardj2 (l
) , Li2 (k) Is output to the partner card and the intermediary device 30.
It

【0082】すなわち、 Li2 (k) =Sj (Li1 (k) ) Lj2 (l) =Si (Lj1 (l) ) により、生成され出力される。That is, L i2 (k) = S j (L i1 (k) ) L j2 (l) = S i (L j1 (l) ) is generated and output.

【0083】続いて、各カードは、相手カードから受け
取ったこれらのデータに、仲介器30および相手カード
の署名を施したデータを各検査関数を用いて検査すると
ともに、さらにこのLi2 (k) ,Lj2 (l) に自分の署名を
施して実際に分離メモリ43に格納される記録データL
i (k),Lj (l)を生成し、相手カードおよび仲介器30に
出力する。Subsequently, each card checks the data received from the partner card with the signature of the intermediary device 30 and the partner card using each check function, and further, this L i2 (k) , L j2 (l) with its own signature and actually stored in the separation memory 43.
i (k) and L j (l) are generated and output to the partner card and the intermediary device 30.

【0084】すなわち、 Li (k)=Si (Li2 (k) ) Lj (l)=Sj (Lj2 (l) ) により、生成され出力される。That is, L i (k) = S i (L i2 (k) ) L j (l) = S j (L j2 (l) ) is generated and output.

【0085】続いて、各カードは再び相手から受け取っ
たLi (k),Lj (l)を、各検査関数を用いて検査するとと
もに、確認出力を相手カードおよび仲介器30に出力す
る。Subsequently, each card inspects L i (k) and L j (l) received from the other party again by using each inspection function, and outputs a confirmation output to the other party card and the intermediary device 30.

【0086】仲介器30は、両カードからの確認出力に
応じて、各カードの分離メモリ43の取引エリアに、三
者のディジタル署名が施された記録データLi (k),Lj
(l)を書き込み、これを読み出して検査し、検査合格に
応じて各カードに対して記録データを記録終了した旨を
通知して、記録データの作成・記録処理を終了する。In response to the confirmation output from both cards, the intermediary device 30 records data L i (k) , L j with digital signatures of the three parties in the transaction area of the separation memory 43 of each card.
(l) is written, read out and inspected, and when the inspection is passed, each card is notified that recording data has been recorded, and the recording data creation / recording process is terminated.

【0087】次に、各カードの旧残高および両利用者に
より合意された取引額に基づく取引後の処理として、以
下のような新たな残高データの作成および記録処理が行
われる。なお、仲介器30およびカード40A,40B
で行われる署名および検査処理は、取り扱うデータが記
録データではなく新残高データであるという違いはある
ものの、その処理手順は前述の記録データ作成・記録処
理とほぼ同様である。Next, as the post-transaction processing based on the old balance of each card and the transaction amount agreed by both users, the following new balance data creation and recording processing is performed. In addition, the intermediary device 30 and the cards 40A and 40B
The signature and inspection process performed in 1. is different in that the data to be handled is new balance data, not recorded data, but the processing procedure is almost the same as the above-described recorded data creation / recording process.

【0088】まず、仲介器30は、各カードの旧残高に
対して取引額を加減算して新残高を算出し、新たな残高
データとして、各カードに対応するBi0 (k+1) ,Bj0
(l+1)を次の式に基づき生成し、各カードへ出力すると
ともに、このデータに仲介器30の署名関数Sp により
ディジタル署名して生成したBi1 (k+1) ,Bj1 (l+1)
出力する。First, the intermediary device 30 calculates the new balance by adding / subtracting the transaction amount to / from the old balance of each card, and sets B i0 (k + 1) , B corresponding to each card as new balance data. j0
(l + 1) is generated based on the following formula, is output to each card, and this data is digitally signed by the signature function S p of the intermediary device 30 to generate B i1 (k + 1) , B j1 ( l + 1) is also output.

【0089】すなわち、これら各データは、 Bi0 (k+1) =[balance,pay,A; i,k+1,bi (k+1);j,l+
1,bj (l+1); p, T, C] Bj0 (l+1) =[balance,receive,A; j,l+1,bj (l+1);
i,k+1,bi (k+1); p, T, C] Bi1 (k+1) =Sp (Bi0 (k+1) ) Bj1 (l+1) =Sp (Bj0 (l+1) ) により生成される。That is, each of these data is expressed as B i0 (k + 1) = [balance, pay, A; i, k + 1, b i (k + 1) ; j, l +
1, b j (l + 1) ; p, T, C] B j0 (l + 1) = [balance, receive, A; j, l + 1, b j (l + 1) ;
i, k + 1, b i (k + 1) ; p, T, C] B i1 (k + 1) = S p (B i0 (k + 1) ) B j1 (l + 1) = S p ( B j0 (l + 1) ).

【0090】なお、上記の各式において、balance は記
録データ、pay は支払側、receiveは受取側、Aは取引
額(受取額または支払額)、i ,k ,bi (k+1)(=bi
(k)−A)はカード40AのID,取引エリア番号,取
引後の残高、j ,l ,bj (l+1)(=bj (l)+A)はカー
ド40BのID,取引エリア番号,取引後の残高、pは
仲介器30のID、Tは取引時刻、Cは仲介器30が管
理センタ11から受け取った最新の接続確認データを示
している。In the above equations, balance is recorded data, pay is payer, receive is receiver, A is transaction amount (received amount or paid amount), i, k, b i (k + 1) ( = B i
(k) -A) is the ID of the card 40A, transaction area number, balance after transaction, j, l, b j ( l + 1) (= b j (l) + A) is the ID of the card 40B, transaction area number , The balance after the transaction, p is the ID of the intermediary device 30, T is the transaction time, and C is the latest connection confirmation data received from the management center 11 by the intermediary device 30.

【0091】これに応じて、カード40A,40Bは、
受信した4つのデータについて、署名されたものは相互
交換により入手した仲介器30の検査関数によりそれぞ
れ検査した後、仲介器30により既に署名された相手カ
ードに対応する残高データBj1 (l+1) ,Bi1 (k+1) に対
して、自カードの署名関数により署名して生成したBj2
(l+1) ,Bi2 (k+1) を、相手カードおよび仲介器30に
出力する。In response to this, the cards 40A and 40B are
Of the four received data, the signed ones are respectively inspected by the inspection function of the intermediary device 30 obtained by mutual exchange, and then the balance data B j1 (l + 1) corresponding to the counterpart card already signed by the intermediary device 30. ) , B i1 (k + 1) is signed by the signature function of the own card and is generated B j2
(l + 1) and B i2 (k + 1) are output to the partner card and the intermediary device 30.

【0092】すなわち、 Bi2 (k+1) =Sj (Bi1 (k+1) ) Bj2 (l+1) =Si (Bj1 (l+1) ) により、生成され出力される。That is, B i2 (k + 1) = S j (B i1 (k + 1) ) B j2 (l + 1) = S i (B j1 (l + 1) ) is generated and output. .

【0093】続いて、各カードは、相手カードから受け
取ったこれらのデータに、仲介器30および相手カード
の署名を施したデータを各検査関数を用いて検査すると
ともに、さらにこのBi2 (k+1) ,Bj2 (l+1) に自分の署
名を施して実際に分離メモリ43に格納される残高デー
タBi (k+1),Bj (l+1)を生成し、相手カードおよび仲介
器30に出力する。Subsequently, each card checks the data received from the partner card with the signature of the intermediary device 30 and the partner card using each check function, and further checks this B i2 (k + 1) and B j2 (l + 1) are given their own signatures to generate balance data B i (k + 1) and B j (l + 1) which are actually stored in the separation memory 43. Output to the intermediary device 30.

【0094】すなわち、 Bi (k+1)=Si (Bi2 (k+1) ) Bj (l+1)=Sj (Bj2 (l+1) ) により、生成され出力される。That is, B i (k + 1) = S i (B i2 (k + 1) ) B j (l + 1) = S j (B j2 (l + 1) ) is generated and output. .

【0095】続いて、各カードは再び相手から受け取っ
たBi (k+1),Bj (l+1)を、各検査関数を用いて検査する
とともに、確認出力を相手カードおよび仲介器30に出
力する。Subsequently, each card inspects B i (k + 1) and B j (l + 1) received from the other party again by using each inspection function, and confirms the confirmation output with the other card and the intermediary device 30. Output to.

【0096】仲介器30は、両カードからの確認出力に
応じて、各カードの分離メモリ43の取引エリアに、三
者のディジタル署名が施された残高データBi (k+1),B
j (l+ 1)を書き込み、これを読み出して検査し、検査合格
に応じて各カードに対して残高データを記録終了した旨
を通知して、残高データの作成・記録処理を終了する。
従って、各カードの分離メモリ43の使用状況は、数4
のように示される。The intermediary device 30 responds to the confirmation output from both cards, and the balance data B i (k + 1) , B with digital signatures of the three parties is applied to the transaction area of the separation memory 43 of each card.
j (l + 1) is written, read and inspected, and when the inspection is passed, each card is notified that the balance data has been recorded, and the balance data creation / recording process ends.
Therefore, the usage status of the separation memory 43 of each card is
As shown.

【0097】[0097]

【数4】 [Equation 4]

【0098】次に、利用者A,Bに対して取引確認およ
び報告をするため、各カードは旧残高に対して取引額を
加減算した新残高を表示部44にそれぞれ表示し、利用
者A,Bは、この新残高を確認した後、仲介器30から
それぞれのカード40A,40Bの接続を解き、一連の
カード間の取引処理を終了する。Next, in order to confirm and report the transaction to the users A and B, each card displays the new balance obtained by adding and subtracting the transaction amount to the old balance on the display unit 44, respectively. After confirming the new balance, B disconnects the respective cards 40A and 40B from the intermediary device 30 and ends the series of transaction processing between the cards.

【0099】その後、仲介器30は管理センタ11への
取引情報の報告処理として、以下のような通信処理を行
う。まず、回線I/F部34により通信回線20を介し
て管理センタ11に接続した後、各カードが直前に行っ
た取引の相手カード記録データLf (s-1),Lg (t-1)を報
告するとともに、本取引で生成された記録データ
i (k),Lj (l)、および残高データBi (k+1),Bj (l+1)
を報告する。Thereafter, the intermediary device 30 performs the following communication process as a process of reporting transaction information to the management center 11. First, after connecting to the management center 11 via the communication line 20 by the line I / F unit 34, the partner card record data L f (s-1) , L g (t-1 ) of the last transaction performed by each card. ) , And record data L i (k) , L j (l) and balance data B i (k + 1) , B j (l + 1) generated in the main transaction.
To report.

【0100】また管理センタ11は、取引情報検証処理
として、仲介器30からの各記録データおよび残高デー
タをデータベース12へ格納するとともに、データベー
ス12を検索し、これらIDに対応するの過去の取引情
報を抽出して比較し、残高額、取引日時等のデータに矛
盾がないかどうか検査し、矛盾が発見された場合には、
そのIDをブラックリスト13に追記するとともに、管
理者へ不正検出の旨を通報する。Further, the management center 11 stores each record data and balance data from the intermediary device 30 in the database 12 as a transaction information verification process, and searches the database 12 to retrieve past transaction information corresponding to these IDs. Are extracted and compared, the data such as balance amount, transaction date and time are inspected for inconsistency, and if any inconsistency is found,
The ID is added to the blacklist 13 and the administrator is notified of the fraud detection.

【0101】なお、ブラックリスト13は、適時、管理
センタ11から全ての仲介器30に送信されて、仲介器
30内の管理情報格納部35のブラックリストリストを
更新し、不当カードによる以後の取引を中止させるため
の重要な情報となる。The blacklist 13 is transmitted from the management center 11 to all intermediaries 30 in a timely manner to update the blacklist list in the management information storage unit 35 in the intermediary 30 so that future transactions by the unauthorized card will be performed. It will be important information to stop the.

【0102】また、仲介器30から管理センタ11への
各資金データの報告、管理センタ11による不正検出、
および不正リスト更新処理については、対応する取引処
理終了時に行われるものとしたが、取引中にリアルタイ
ムで報告し不正を検証できるようにすることにより、悪
質な不正行為に対して迅速な対応が可能となる。Further, each fund data is reported from the intermediary device 30 to the management center 11, fraud detection by the management center 11,
And the fraud list update process was supposed to be performed at the end of the corresponding transaction process, but by enabling real-time reporting during transaction and verifying fraud, it is possible to quickly respond to malicious fraud. Becomes

【0103】[0103]

【発明の効果】以上説明したように、本発明は、取引者
間における取引合意に応じて、カードの残高データを無
効化するとともに、この残高データの無効化に関する情
報に対して各取引者によりディジタル署名して記録デー
タを生成し、今回取引および取引後の新残高に関する情
報に対して各取引者によりディジタル署名して残高デー
タを生成し、これら取引を特定する情報からなる記録デ
ータと残高データとを、各カードの分離メモリに格納す
るようにしたものである。従って、電子小口決済システ
ムにおいて、現金の持つ匿名性、転々流通性を損なうこ
となく、高い安全性を提供できるという格別な効果を奏
するものである。As described above, according to the present invention, the balance data of the card is invalidated in accordance with the transaction agreement between the traders, and the information regarding the invalidation of the balance data is set by each trader. Record data and balance data consisting of information that digitally signs and generates record data, digitally signs balance data by each trader for information on new transaction and new balance after transaction, and identifies these transactions. And are stored in a separate memory of each card. Therefore, in the electronic small-lot payment system, it is possible to provide a high level of security without impairing the anonymity and cash circulation of cash.

【図面の簡単な説明】[Brief description of drawings]

【図1】本発明の一実施例による電子小口決済システム
のシステム構成図である。FIG. 1 is a system configuration diagram of an electronic retail payment system according to an embodiment of the present invention.

【図2】仲介器およびカードのブロック図である。FIG. 2 is a block diagram of an intermediary device and a card.

【図3】カード内の分離メモリにおけるメモリ割当図で
ある。FIG. 3 is a memory allocation diagram in a separation memory in the card.

【図4】仲介器およびカード間における取引プロトコル
を示す説明図である。FIG. 4 is an explanatory diagram showing a transaction protocol between an intermediary device and a card.

【符号の説明】[Explanation of symbols]

10 システム供給者 11 管理センタ 12 データベース 13 ブラックリスト 20 通信回線 30 仲介器 31 制御部 32A,32B カードI/F部 33A,33B キー部 34 回線I/F部 35 管理情報格納部 36 表示部 37 時計部 40,40A,40B 電子現金カード(カード) 41 カード制御部 42 内部メモリ 43 分離メモリ 44 表示部 50 エリア 51〜55 セル 10 system supplier 11 Management Center 12 Database 13 Blacklist 20 communication lines 30 intermediary device 31 Control unit 32A, 32B card I / F section 33A, 33B key part 34 Line I / F section 35 Management Information Storage 36 Display 37 Clock Department 40, 40A, 40B Electronic cash card (card) 41 Card controller 42 internal memory 43 separate memory 44 Display 50 areas 51-55 cells

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI G07F 7/12 G07F 7/08 B (58)調査した分野(Int.Cl.7,DB名) G06F 17/60 G06K 19/00 G07D 9/00 G07F 7/08 ─────────────────────────────────────────────────── ─── Continuation of front page (51) Int.Cl. 7 identification code FI G07F 7/12 G07F 7/08 B (58) Fields surveyed (Int.Cl. 7 , DB name) G06F 17/60 G06K 19 / 00 G07D 9/00 G07F 7/08

Claims (4)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 所定の資金情報、およびこの資金情報の
暗号化および検査に用いる制御データを格納する情報記
憶手段と、前記制御データを用いた当該資金情報に対す
る演算処理を行うカード処理部とを有するカードと、前記カードの資金情報の暗号化および検査に用いる制御
データを格納する管理情報格納手段と、前記制御データ
を用いた当該資金情報に対する演算処理を行う制御部と
を有し、接続された複数の前記カード内の資金情報の移
動および更新を行うことにより、当該カード間における
取引決済を仲介する 仲介器とを有する電子小口決済シス
テムにおける取引方法であって前記カードおよび仲介器の前記制御データは、当該カー
ドおよび仲介器に固有のIDと、前記資金情報を暗号化
する際の署名に用いる当該カードおよび仲介器に固有の
署名関数と、前記署名関数による正当な署名かどうかを
検査する際に用いる当該カードおよび仲介器に固有の検
査関数とを含み、 前記仲介器に接続された複数の前記カード間における取
引決済を行う際、それぞれのカードに格納されている前
記IDおよび前記検査関数と、当該仲介器の管理情報格
納手段に格納されている前記IDおよび前記検査関数と
を、当該カード間およびそれぞれのカードと当該仲介器
との間で相互に交換し、 前記各カードの情報記憶手段から前記資金情報に含まれ
る、資金価値の残高を示す残高データを読み出し、その
残高データを当該カードの検査関数に基づきその正当性
検査し、検査合格に応じて前記各カードの情報記憶手
段に格納されている前記各残高データを無効化し、 前記各カードの残高データの無効化に関する各カードご
との情報に対して、前記各カードのカード処理部および
当該仲介器の制御部でそれぞれ自己の署名関数に基づき
署名したものを、前記各カードの記録データとして対応
するカードの情報記憶手段に格納し、当該取引決済の 取引額に基づき算出した前記各カードの
新残高に関する各カードごとの情報に対して、前記各カ
ードのカード処理部および当該仲介器の制御部でそれぞ
れ自己の署名関数に基づき署名したものを、前記各カー
ドの新たな残高データとして対応するカードの情報記憶
手段に格納するようにしたことを特徴とする電子小口決
済システムにおける取引方法。1. Predetermined fund information and this fund information
Information record that stores control data used for encryption and inspection
Storage means and the fund information using the control data
A card having a card processing unit for performing arithmetic processing, and a control used for encryption and inspection of the fund information of the card.
Management information storage means for storing data, and the control data
And a control unit that performs arithmetic processing on the fund information using
And transfer of funds information in multiple connected cards that have
By moving and updating
A transaction method in the electronic retail payment system and a mediation device for mediating transactions settled, the control data of the card and mediation instrument, the car
Encrypts the ID unique to the device and the intermediary device and the fund information
Unique to the card and intermediary used for signing when
The signature function and whether it is a valid signature by the signature function
The inspection unique to the card and intermediary device used for inspection
And a transfer function between the plurality of cards connected to the intermediary device.
When making a debit payment, before being stored on each card
The ID, the inspection function, and the management information case of the transfer device.
With the ID and the inspection function stored in the storage means
Between the cards and each card and the intermediary
Exchanged with each other and included in the financial information from the information storage means of each of the cards.
That, read the balance data indicating the balance of the fund value, the
Validity of balance data based on the inspection function of the card
Check the information storage hands of each card in accordance with the test pass
The stored in the stage to disable each balance data, each card you about the invalidation of the balance data of each card
The information of the card processing unit of each card and
Each card signed by the control unit of the intermediary device based on its own signature function is stored in the information storage means of the corresponding card as record data of each card, and each card calculated based on the transaction amount of the transaction settlement. with respect to the information for each card on the new balance of, each of the mosquito
The card processing unit of the card and the control unit of the transfer device
Each of the above-mentioned cars must be signed based on its own signature function.
Information storage of the corresponding card as new balance data
A transaction method in an electronic retail payment system, characterized in that the transaction is stored in a means . 【請求項2】 請求項1に記載の電子小口決済システム
における取引方法において、 前記カードは、外部からアクセス可能であり自装置の
ード処理部からはアクセス不可能な分離メモリを有し、前記仲介器の制御部で 、この分離メモリにアクセスし
て、前記残高データおよび前記記録データを格納するよ
うにしたことを特徴とする電子小口決済システムにおけ
る取引方法。2. A transaction method in the electronic retail payments system according to claim 1, wherein the card, mosquito accessible from outside the own device
A separate memory inaccessible from the card processing unit , and the control unit of the intermediary device accesses the separate memory to store the balance data and the recorded data. Transaction method in electronic retail payment system. 【請求項3】 請求項2に記載の電子小口決済システム
における取引方法において、 前記カードの分離メモリは、記憶する2値データを初期
値から末期値への1方向にのみ更新可能な複数のビット
により前記残高データおよび記録データを記憶するセ
有し、前記仲介器の制御部で、この分離メモリのセルのうち、
すべてのビットが初期値を示すセルについて、所定のビ
ットのみを末期値に更新することにより前記残高データ
および記録データを格納し、すべてのビットを末期値に
更新することにより前記残高データを無効化するように
したことを特徴とする電子小口決済システムにおける取
引方法。3. A transaction method in the electronic retail payments system according to claim 2, separate memory of the card, a plurality of bits can only be updated in one direction of the binary data to be stored from an initial value to the end value
Cell Le storing said balance data and recording data by
In the control unit of the transfer device, among the cells of the separation memory,
For all bit cell indicating the initial value, the balance data by updating only Jo Tokoro bit at the end value
And a transaction method in an electronic retail payment system, wherein the recorded data is stored and the balance data is invalidated by updating all the bits to the terminal value. 【請求項4】 請求項1に記載の電子小口決済システム
における取引方法において、前記仲介器の制御部で、 前記仲介器と通信回線を介して接続される管理センタか
ら当該取引決済の取引日時に対応した接続確認データを
受信し、 前記記録データを、当該カードの今回取引における支払
または受取を示す取引種別および取引額と、前記各カー
ドのID、このデータを格納するセル番号および取引前
の残高額と、取引日時と、前記仲介器のIDおよび前記
仲介器が持つ接続確認データとから構成し、 前記残高データを、当該カードの今回取引における支払
または受取を示す取引種別および取引額と、前記各カー
ドのID、このデータを格納するセル番号および取引後
の残高額と、取引日時と、前記仲介器のIDおよび前記
仲介器が持つ接続確認データとから構成することを特徴
とする電子小口決済システムにおける取引方法。4. The transaction method in the electronic retail payment system according to claim 1, wherein the control unit of the intermediary device is a management center connected to the intermediary device via a communication line.
Connection confirmation data corresponding to the transaction date and time of the transaction settlement
Receiving the print data, and the transaction type and transaction amount this time showing the payment or receipt definitive transactions of the card, the ID of each card <br/> de, cell number and transaction prior balance stores this data and forehead, and the transaction date and time, the consist of an intermediary device ID and connection confirmation data the mediation device has, the balance data, a transaction type and transaction amount this time showing the payment or receipt definitive transactions of the card, the ID of each card <br/> de, and the balance amount of the cell number and transaction after storing this data, and the transaction date and time, that composed of the connection confirmation data the mediation device ID and the mediation device has A transaction method in a characteristic electronic small-lot payment system.
JP17586893A 1993-06-24 1993-06-24 Transaction method in electronic retail payment system Expired - Lifetime JP3403456B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP17586893A JP3403456B2 (en) 1993-06-24 1993-06-24 Transaction method in electronic retail payment system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP17586893A JP3403456B2 (en) 1993-06-24 1993-06-24 Transaction method in electronic retail payment system

Publications (2)

Publication Number Publication Date
JPH0785172A JPH0785172A (en) 1995-03-31
JP3403456B2 true JP3403456B2 (en) 2003-05-06

Family

ID=16003614

Family Applications (1)

Application Number Title Priority Date Filing Date
JP17586893A Expired - Lifetime JP3403456B2 (en) 1993-06-24 1993-06-24 Transaction method in electronic retail payment system

Country Status (1)

Country Link
JP (1) JP3403456B2 (en)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69723994T2 (en) 1996-09-13 2004-07-22 Oki Electric Industry Co., Ltd. ELECTRONIC TRANSACTION SYSTEM
JPH10143556A (en) * 1996-11-11 1998-05-29 U Card:Kk User limiting method in electronic account settlement system
JP3425738B2 (en) * 1996-12-06 2003-07-14 株式会社エヌ・ティ・ティ・データ Electronic money system, transaction information generation method, and recording medium
JP3872194B2 (en) * 1996-12-16 2007-01-24 沖電気工業株式会社 Electronic trading system
JP4496440B2 (en) * 1998-01-12 2010-07-07 ソニー株式会社 Encrypted content transmission device
KR100464576B1 (en) 1998-12-07 2005-01-03 가부시키가이샤 히타치세이사쿠쇼 Method of checking authenticity of sheet with built-in electronic circuit chip
JP2007241724A (en) * 2006-03-09 2007-09-20 Meiji Univ Electronic paper ticket, electronic paper device for ticket, ticket generator, electronic signature verification system and electronic paper money system
JP2009020848A (en) * 2007-07-11 2009-01-29 Taiji Inui Electronic money issued by central bank or institute having equivalent function as legal tender
JP4496506B2 (en) * 2008-05-07 2010-07-07 ソニー株式会社 Encrypted content transmission device
WO2012004838A1 (en) * 2010-07-09 2012-01-12 Takeshi Mizunuma Service provision method
JP6534255B2 (en) * 2014-11-26 2019-06-26 かっこ株式会社 Fraudulent transaction detection system

Also Published As

Publication number Publication date
JPH0785172A (en) 1995-03-31

Similar Documents

Publication Publication Date Title
US6581042B2 (en) Tokenless biometric electronic check transactions
JP4472188B2 (en) Tokenless biometric electronic lending transaction
US7536352B2 (en) Tokenless biometric electronic financial transactions via a third party identicator
US6192142B1 (en) Tokenless biometric electronic stored value transactions
JP5512637B2 (en) Secure payment system
AU2010295188B2 (en) Asset storage and transfer system for electronic purses
KR20010025234A (en) A certification method of credit of a financing card based on fingerprint and a certification system thereof
JP2004516578A (en) Confirmation of billing for utility use and confidentiality self-billing and payment methods including settlement and dispute settlement
WO2007047901A2 (en) Credit fraud prevention systems and methods
AU2011235531B2 (en) Message storage and transfer system
JP3403456B2 (en) Transaction method in electronic retail payment system
JP3434539B2 (en) Electronic retail payment system
JPH10255121A (en) Electronic money system
JP3061710B2 (en) Register system
WO2010054259A1 (en) Intermediary service and method for processing financial transaction data with mobile device confirmation
JPH10134126A (en) Electronic money system
JPH10134121A (en) Electronic money system
JPH08202774A (en) Electronic receipt filing card and device for performing access to this card
JP2001351045A (en) Electronic payment system
JPH10143577A (en) Illegality checking system for electronic money

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080229

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090228

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100228

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140228

Year of fee payment: 11

EXPY Cancellation because of completion of term