JP5657672B2 - 高信頼性メッセージ記憶、転送プロトコルおよびシステム - Google Patents
高信頼性メッセージ記憶、転送プロトコルおよびシステム Download PDFInfo
- Publication number
- JP5657672B2 JP5657672B2 JP2012529075A JP2012529075A JP5657672B2 JP 5657672 B2 JP5657672 B2 JP 5657672B2 JP 2012529075 A JP2012529075 A JP 2012529075A JP 2012529075 A JP2012529075 A JP 2012529075A JP 5657672 B2 JP5657672 B2 JP 5657672B2
- Authority
- JP
- Japan
- Prior art keywords
- content
- storage medium
- message
- transfer
- virtual storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/12—Payment architectures specially adapted for electronic shopping systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Description
この発明は、高信頼性(trusted、トラステッド)メッセージ記憶、転送プロトコルおよびシステムに関する。
この出願は、2009年9月17日に米国特許庁になされた出願61/243,203、および2010年3月30日になされた国際特許出願PCT/CA2010/000435に基づくものであり、その利益を主張する。これらの出願の全内容がこの出願に含まれる。
近代の通信空間では、関係者間でメッセージコンテントを高セキュリティで記憶し交換することができることが望まれる多くの場合(シナリオ)がある。このようなタイプの機能性が望まれるシナリオには、メッセージコンテントが資産値または金額を含むことがある電子取引、メッセージコンテントが有権者の投票を含むことがある電子投票、メッセージコンテントがセンサーデータおよび・または制御コマンドを含むことがある遠隔計測などが例としてあげられるが、これらに限られるわけではない。
すべてのそのようなシナリオで、メッセージコンテントはある者が「所有する」記憶媒体に記憶されており、そのメッセージコンテントの一部または全てを他の者が「所有する」記憶媒体に転送または送付することが望まれる。それぞれのケースで記憶媒体は、例えば非揮発性メモリのような所望の形をとることができる。関係者は、実在の人または組織であってよく、特に遠隔計測システムのようなシステムのケースでは、同定された基地または装備であってよい。
この明細書では、メッセージコンテントの高セキュリティ記憶および交換は、メッセージコンテントを記憶し交換する機構が次の価値の少なくともいくつかを反映しまたは実施することを意味する。
メッセージ完全性: ある者(パーティ)から他の者にメッセージコンテントが転送されるとき、所望のメッセージコンテントを含むメッセージが生成される。そのメッセージを後に受け取る者が検出することができない態様でそのメッセージを修正することは、計算的(コンピュータ的)に不可能であるべきである。
セキュリティ: ある者が記憶媒体内のメッセージコンテントに権限なくしてアクセスすることは計算的(コンピュータ的)に不可能であるべきである。同様に、ある者が他の者に宛てられたメッセージコンテントを不適正に受け取るとき、受け取った者がそのメッセージコンテントを自身の記憶媒体に不適正に格納することは計算的に不可能であるべきである。
取り消し不能性: ある者から他の者にメッセージコンテントが転送されるべきとき、所望のメッセージコンテントを含むメッセージを生成することができる。このメッセージ生成機構は、メッセージが送信者によって後に取り消されることがない態様で動作すべきである。
否定不能性: 送信者から受信者に転送されるべきメッセージは、そのメッセージが誰か他の者によって生成され送信されたと送信者がもっともらしく主張することができない態様でタグ(標識)が付けられるべきでる。
匿名性: 記憶および転送機構は、実際の交換に係る者のアイデンティティについて知識のある第三者の介入なくしてメッセージコンテントを交換することができる態様で動作すべきである。
重複検出性: メッセージコンテント転送機構は、2重のメッセージを検出し適正に取り扱う態様で動作することが好ましい。
上述のすべての価値が存在することが必須であるわけではない。たとえば、遠隔計測のシナリオによっては、「匿名性」の価値は関係なく、むしろ望ましくない。メッセージを送った局または装置の同定が受信者にとって有用であるからである。一方、場合によっては、コンテント転送メッセージを不正に受信する無権限者がメッセージを分析して送信者のアイデンティティを判断することができないようにするために、匿名性は有用である。遠隔計測シナリオでは、たとえば、これは、ハッカーがインターセプトした計測データを、それを送信した特定の局または装備と関連付けるのを防ぐことができる。同様に、オンライン投票システムにおいては、匿名性は「秘密投票」の実施を可能にし、取り消し不能性、否定不能性、重複検出性という他の価値は、投票詐欺の検出および防止を可能にする。
上に述べた長所のすべてではないがいくつかを達成することができる技術が知られている。たとえば、公開キーインフラストラクチャ(PKI)暗号化のような既知の暗号技術は、メッセージのコンテントを暗号化し、および/またはメッセージにディジタル署名を加えるのに使用することができる。ディジタル署名の使用は、メッセージの完全性を提供し、ある程度の否定不能性を与える。
メッセージに特異な番号を付与することは重複検出の周知の方法である。
パスワード、個人識別番号(PIN)、加入者アイデンティティ・モジュール(SIM)カードが、単独または組み合わせて使用されて、パーソナルコンピュータ(PC)、携帯電話、パーソナル・ディジタル・アシスタント(PDA)、およびオンラインユーザ・アカウントなどのいくつかのタイプの記憶媒体へのアクセスに高セキュリティを提供する。しかし、これらの技術は、ある者が他の者に属するデバイスまたは記憶媒体に不正アクセスするのを防止するよう設計されている。それらは、不適正にメッセージを受信した者がそのメッセージを自己の記憶媒体に不適正に格納するのを防止することはできない。
通信にセキュリティを与える既知のシステムは、典型的には、メッセージ交換の当事者双方が、メッセージ交換に直接関わる第三者に知られているという事実に依存する。このような仕組みの一般的な例は、銀行のデビットカードおよびクレジットカードなどの使用であり、カード保有者と商取引者との間のメッセージコンテントの交換は、たとえば、必然的にカード発行者(たとえば銀行)の介入を含み、カード発行者は、カード保有者および商取引者双方のアイデンティティについて知識を持っている。場合によっては、このことは監査の進路を生成する機構を提供し、特に財務システムでは種々の規制当局が必要とするものである。しかしながら、オンライン投票システムでは、少なくとも送信者の匿名性が保証されることが秘密無記名投票方式の完全性を維持するうえで必須である。通信にセキュリティを与える既知のシステムは、メッセージの完全性および否定不能性などの他の望ましい価値を犠牲にすることなくそのような匿名性をもつことができない。
従来技術における制約の少なくともいくつかを解決する電子メッセージコンテントの記憶および転送システムが待望されている。
したがって、この発明は、一面において電子コンテントの記憶および交換システムを提供する。このシステムは、メッセージを送信、受信するよう構成されたインターフェイス、データベース、およびコントローラを備える。データベースは複数のレコードを含んでおり、それぞれのレコードは、それぞれの仮想記憶媒体を表し、仮想記憶媒体に割り当てられたそれぞれ固有の識別子、仮想記憶媒体に割り当てられたプライベート(秘密)キーおよび証明書、現在のコンテント値、コンテント転送のログ、を少なくとも含んでいる。コントローラは、命令コードの制御の下に動作して仮想記憶媒体のそれぞれに関し転送イン(transfer-in)および転送アウト(transfer-out)を実行する。転送イン処理は、インターフェイスを介して、受信者の仮想記憶媒体に割り当てられたそれぞれの識別子および転送すべきメッセージコンテントを少なくとも含むコンテント転送メッセージを受け取るステップ、それぞれの識別子に基づいて、受信者の仮想記憶媒体を表すレコードをアクセスするステップ、および受信者の仮想記憶媒体の現在のコンテントに、転送すべきメッセージコンテントを格納するステップを含む。転送アウト処理は、インターフェイスを介して、送信者の仮想記憶媒体に割り当てられたそれぞれの識別子および転送すべきメッセージコンテントを少なくとも含むコンテント転送リクエストメッセージを受け取るステップと、それぞれの識別子に基づいて送信者の仮想記憶媒体を表すレコードをアクセスするステップ、現在のコンテントから転送すべきメッセージコンテント量を取り除くステップ、転送すべきメッセージコンテントを含むコンテント転送メッセージを生成するステップ、およびコンテント転送メッセージを返すステップ、を含む。
この発明のさらなる特徴および利点は、次の詳細な説明および図面から明らかになる。図において、同様の事項は同様の参照番号で示してある。
この発明は、電子メッセージコンテント記憶および転送のための方法およびシステムを提供する。図1―5を参照して、例としてこの発明の実施例を説明する。
以下の説明では、この発明を実施例で説明し、実施例では、高セキュリティの記憶および転送機構が使用され、資産値または金額の形でのメッセージコンテントの高セキュリティ記憶および転送を介して電子商取引が実現される。しかし、この発明は電子商取引に限られるわけではなく、メッセージの完全性、セキュリティ、取り消し不能性、否定不能性、匿名性、および重複検出の価値が望まれるあらゆる通信システムの実施に使用することができる。
図1aを参照すると、この発明のメッセージ記憶および交換システム2は、一般的な表現で、通信媒体6を介してメッセージを交換するよう構成された少なくとも2つの記憶媒体4を備える。各記憶媒体4は、記憶媒体4が通信媒体6を介してメッセージを送信し受信することができるよう構成された入出力インターフェイス8、受信したメッセージに応答してコンテントの転送を記憶媒体4に記録し、記憶媒体4からコンテントを転送するコントローラ10、並びに記憶媒体4のそれぞれ特異な識別子14、記憶媒体4にそれぞれ特異に割り当てられた秘密キー16および証明書18、記憶媒体4へのおよび記憶媒体4からのコンテント転送のログ20、および記憶媒体の現在のコンテント(Cur. Val)22を記憶するメモリ12を備える。
秘密キー16および証明書18は、たとえば周知の公開キーインフラストラクチャ(PKI)技術を使って暗号化およびディジタル署名の機能性を助ける。この目的で、秘密キー16および証明書18は、典型的には、たとえばベリサイン(Verisign、商標)のような信頼性のある発行機関によって生成される。
記憶媒体4は、2つの変形で構築することができると予測される。第1の変形では、記憶媒体4は、個人による配送および使用に適する物理的デバイスとして構築される。第2の変形では、記憶媒体4は、所望の数の個々の個人用(personalized)記憶媒体をエミュレートするよう構成されたサーバとして構築される。両方の変形を以下に説明する。
個々の記憶媒体
ユーザによる個人使用用に設計された個々の記憶媒体の場合、図1bに示すようなデータネットワーク26を介して通信するためのユーザの通信デバイス24に接続するよう記憶媒体4を構成することができる。そのような個人用の記憶媒体4は、任意の適当なフォームファクタで製造することができ、これにはスマートカード、USBフラッシュデバイスまたはメモリカードにおいて一般に使用されるフォームファクタが含まれ、これに限られるわけではない。I/O(入出力)インターフェイス8は、たとえばユニバーサル・シリアル・データ(USB)またはミニUSB接続、ブルートゥース(商標)または赤外線ワイヤレス接続などの任意の適当な通信リンクとして提供することができる。所望によりその他の接続技術を使うことができる。I/Oインターフェイス8は、ユーザがその記憶媒体を通信デバイス24に容易かつ信頼性高く接続しまたは切り離すことができるよう設計することが好ましく、接続されたときは、記憶媒体4と通信デバイスとの間で高セキュリティで情報の転送が行われるよう設計することが好ましい。この理由により、ワイヤレスインターフェイス技術を使用する実施例では、電力要求を低減させセキュリティを高めるため、ワイヤレス接続がごく限られた距離(たとえば10cmのオーダまたはそれ以下)で機能するようにすることが好ましい。この距離でワイヤレス接続をするため、種々の既知の無線周波数の電磁的または磁気的結合技術を使用することができる。
ユーザによる個人使用用に設計された個々の記憶媒体の場合、図1bに示すようなデータネットワーク26を介して通信するためのユーザの通信デバイス24に接続するよう記憶媒体4を構成することができる。そのような個人用の記憶媒体4は、任意の適当なフォームファクタで製造することができ、これにはスマートカード、USBフラッシュデバイスまたはメモリカードにおいて一般に使用されるフォームファクタが含まれ、これに限られるわけではない。I/O(入出力)インターフェイス8は、たとえばユニバーサル・シリアル・データ(USB)またはミニUSB接続、ブルートゥース(商標)または赤外線ワイヤレス接続などの任意の適当な通信リンクとして提供することができる。所望によりその他の接続技術を使うことができる。I/Oインターフェイス8は、ユーザがその記憶媒体を通信デバイス24に容易かつ信頼性高く接続しまたは切り離すことができるよう設計することが好ましく、接続されたときは、記憶媒体4と通信デバイスとの間で高セキュリティで情報の転送が行われるよう設計することが好ましい。この理由により、ワイヤレスインターフェイス技術を使用する実施例では、電力要求を低減させセキュリティを高めるため、ワイヤレス接続がごく限られた距離(たとえば10cmのオーダまたはそれ以下)で機能するようにすることが好ましい。この距離でワイヤレス接続をするため、種々の既知の無線周波数の電磁的または磁気的結合技術を使用することができる。
通信デバイス24は、任意の形をとることができ、これには、パーソナルコンピュータ(PC)、ノートブックPC、パーソナルディジタルアシスタンツ(PDA)、携帯電話などが含まれ、これに限られるわけではない。
コントローラ10およびメモリ12は、たとえば既知の加入者識別モジュール(SIM)技術を使って構築することができる。しかし、これは必須ではない。記憶媒体4は、コントローラ10およびメモリ12を破壊することなくコントローラ10およびメモリ12を記憶媒体4から取り外すことができないように構成することが好ましい。コントローラ10およびメモリ12を構築するためにSIM技術を使用することは、ID 14、秘密キー16および証明書18が記憶媒体4に永久的に格納され、決して破壊されず(トークン全体の機能性を破壊することなく破壊されず、ユーザにとっては不便だが、高いセキュリティが維持される)、秘密キー16を見つけ、またはログ20、現在のコンテント(Cur. Val)22または記憶媒体4の動作のいずれかを改変するため記憶媒体4を「ハック」またはリバースエンジニアすることは非現実的である点で、優れている。その結果、システム2の各ユーザが、所与の記憶媒体4のID14、秘密キー16および証明書18の間の関連が特異であり、不正に複製されることがないことを信ずるに足る理由がある。
操作において、ユーザ(たとえば図1bのユーザ”A”)は、その記憶媒体4を通信デバイス24aに接続し、記憶媒体4とやり取りして通信デバイス24aのユーザインターフェイスを介してコンテントを生成し格納することができる。これに関する典型的な操作を、図2aおよび2bを参照して説明する。
図2aは、コンテントを記憶媒体4から転送するためコンテント・メッセージを生成する代表的なプロセスを示す。図2aに見られるように、転送アウト(送り出し)プロセスは、ユーザが通信デバイス24のユーザインターフェイスとやり取りし、それらの記憶媒体4に転送すべきコンテント(Val.)の標示を含むリクエストメッセージを送ることで始まる。リクエストメッセージを受け取ると(S2)、コントローラ10は、転送すべきコンテント(Val.)をメモリ12に記憶されている現在のコンテント(Cur.Val)22と比較する(S4)。Cur.Val 22が転送すべきコンテントコンテント(Val.)より小さければ、コントローラ10はエラーメッセージを作成して返す(S6)。そうでなければ、コントローラ10は、転送すべきコンテント(Val.)だけCur. Val 22を減らし(S8)、次いで、転送すべきコンテント(Val.)および少なくとも記憶媒体4によって生成され送られるコンテント転送メッセージの間でコンテント転送メッセージを特異に識別するナンス(nonce、ランダムな文字列)、ならびに記憶媒体4のID 14を含むコンテント転送メッセージを生成する(S10)。コントローラ10は、次いで転送についての情報をログに記録し(S12)、転送メッセージにディジタル署名(DS)および証明書18を加える(S14)。最後にコントローラ10は、ユーザの通信デバイス14にディジタル署名した転送メッセージを返す(S16)。ディジタル署名された転送メッセージを受け取ると、ユーザは、転送メッセージをたとえばeメールメッセージの添付としてなど、適当な通信手段を使って所望の受け取り者(たとえば図1bのユーザ”B”)に送る。
図2aの実施例では、コントローラ10によって生成されたコンテント転送メッセージ(S10)は記憶媒体4のIDを含む。しかし、このことは本質的でない。実施例によっては、望むなら記憶媒体4のIDは省略してもよい。実施例によっては、コンテント転送メッセージは、記憶媒体4のIDの代わりにまたはこれに追加して意図する受信者の記憶媒体のIDを含むことができる。
図2aの実施例では、コントローラ10によって生成されたコンテント転送メッセージ(S10)は、ナンスを含む。一般に、ナンスは、少なくとも記憶媒体4によって生成される複数のコンテント転送メッセージの間で、受信者がそのコンテント転送メッセージの特異性を検証することができる任意の英数字列であってよい。実施例によっては、ナンスは、コントローラ10によって転送アウトプロセスの一部分として生成されることができる。しかし、このことは本質的でない。実施例によっては、ナンスは、転送アウトプロセスの開始前に受信者が提供してもよく、リクエストメッセージ(図2a、S2)中で記憶媒体4に供給されてもよい。たとえば、図1bの実施例では、ユーザAおよびユーザBは、それぞれの通信デバイス24aおよび24bを使って従来の態様で通信することができ、その間、当事者はユーザAの記憶媒体4aからユーザBの記憶媒体42bにコンテントを転送することに同意している。転送を開始するため、ユーザBは、その通信デバイス24bとやり取りし、ナンスを生成しユーザAの通信デバイス24aに送ることができる。ナンスを受け取ると、ユーザAは、その通信デバイス24aとやり取りし、受信したナンスを含むリクエストメッセージをその記憶媒体4aに送り、転送アウトプロセスの実行をトリガーすることができる。転送リクエストメッセージを受け取ると、ユーザBの通信デバイスは、リクエストメッセージに含まれるナンスをユーザAに元々送ったナンスと比較することができる。この構成は、記憶媒体4が重複を検出し取り扱う能力を変えることなく、ユーザBが所与の受信した転送リクエストメッセージを特定のコンテント交換トランザクションに積極的に関連付けることを可能にする点で優れている。
図2bは、「転送イン」プロセスの流れ図であり、記憶媒体4によって実行され、受信したコンテントをメモリ12に格納する。図2bを参照すると、転送イン(受け入れ)プロセスは、受信したコンテント転送メッセージを記憶媒体4に入力するために、ユーザがその通信デバイス24のユーザインターフェイスとやり取りをすることによって開始する。転送メッセージを受信すると(S18)、コントローラ10は証明書18を使って受信したコンテント転送メッセージのディジタル署名を検証する(S20)。検証に失敗すると、そのコンテント転送メッセージは破棄され(S22)、転送プロセスが終了される前にエラーメッセージがユーザの通信デバイス24に返される(S24)。検証が成功すると、コントローラ10は、送信者の記憶媒体のナンスおよびID 14を使って受信したコンテント転送メッセージをそのログ20と比較し(S26)、コンテント転送メッセージが送信者の記憶媒体から前に受信したコンテント転送メッセージの重複であるか判定する。もし、それが重複であれば、そのコンテント転送メッセージは破棄され(S22)、エラーメッセージがユーザの通信デバイスに返され(S24)、転送インプロセスが終了する。そうでなければ、コントローラ10は、その転送についての情報をログに記録し(S28)、メモリ12に記憶されている現在のコンテント(Cur. Val)22を転送すべきコンテント(Val)だけ増加させる(S30)。最後に、記憶媒体4は、ユーザの通信デバイス24に検証メッセージを返し(S32)、コンテントが成功裏にメモリ12に格納されたことを示す。
上述のように、ログ20は、記憶媒体4に出入りするコンテントの記録を維持する。実施例によっては、ログ20に記録される情報は、記憶媒体4によって受け取られまたは送られた各転送メッセージのコンテントからなる。また、実施例によっては、メッセージ全体ではなく、各転送メッセージのダイジェストをログ20に記録してもよい。場合によっては、このダイジェストは、転送メッセージの少なくとも一部分について計算したハッシュの形をとることができる。受信した転送メッセージのハッシュを記録することは、たとえば、ログ20を格納するのに必要なメモリ量を最小にしながら、重複メッセージを効果的に検出することを可能にする。実施例によっては、送出したメッセージおよび受信した転送メッセージは、それぞれ別のログに記録することができる。この構成は、それぞれのログ20にそれぞれ異なる情報セットを記録することができるという利点がある。たとえば、送出メッセージのログは、記憶媒体4によって送出された転送メッセージ全体を記録し、受信メッセージのログは、それぞれ受信したメッセージのハッシュだけを記録することができる。
コンテント転送メッセージを生成し受信したコンテントを記憶媒体4に格納する前述のプロセスは、多くの利点をもたらす。たとえば、コンテント転送メッセージはユーザによって開始されたリクエストに応答してコントローラ10によって生成される。返されたコンテント転送メッセージはディジタル署名でタグされており記憶媒体4のID 14および証明書18を含んでいる。これらを一緒にすると、これらの要素は、転送メッセージのいかなる改変も受信者によって検出されることができ、それによりメッセージの完全性が提供され、メッセージを生成した記憶媒体4が確実に同定される。さらに、ユーザは、各記憶媒体に割り当てられたID 14、秘密キー16および証明書18が特異でありハッキングに対するセキュリティを提供することを信頼すべき合理的な理由を持っているので、ユーザは、転送メッセージが同定された記憶媒体4の保有者以外の誰かによって生成され送られたともっともらしく主張することができず、記憶媒体4が紛失したとか盗まれたという主張でもなければ、メッセージの否定不能性が提供される。
上述のように、コンテント転送メッセージが生成されるとき、現在のコンテント(Cur.Val)22が転送中のコンテントによって減算される(図2a、S8)。したがって、送信者は、コンテントを送信することなく削除することを望まない。なぜなら、削除すると、転送メッセージに含まれるコンテントが回復不能に失われるからである。この喪失を避ける唯一の方法は、図2bを参照して説明した転送インプロセスを実行して、コンテントを記憶媒体に記憶し戻すことである。これにより少なくとも簡単なレベルの取り消し不能性が提供される。より高いレベルの取り消し不能性が、図2bの転送インプロセスを修正して、コントローラ10がそれ自身によって生成された受信したコンテント転送メッセージを捨てる(図2b、S22およびS24)ようにするによって得られる。
上述のように、SIM技術の使用によって、ある者が記憶媒体4内に記憶されたメッセージコンテントに権限のないアクセスをすることが計算的に(コンピュータ的に)不可能だという点において、各記憶媒体4にセキュリティが提供される。転送メッセージのセキュリティは、図2aの転送アウトプロセスを修正して、リクエストメッセージが意図される受信者の記憶媒体の少なくともID 14を含まねばならないようにし、この情報が生成された転送メッセージに送信者の記憶媒体のIDと共に含まれるようにすることによって得ることができる。図2bの転送インプロセスを相補的に修正して、その自身のIDを意図される受信者として含まない転送メッセージを捨てる(図2b、S22およびS24)ようにすることができる。その結果、受信者が他の者に宛てられたメッセージコンテントを自身の記憶媒体に不適正に格納することは計算的に不可能である。
さらに、各コンテント転送メッセージは、その特定の転送メッセージを生成した少なくとも特定の記憶媒体4のID 14を含むことができ、場合によっては、意図される受信者の記憶媒体のID 14も含むことができる。しかし、それは、含まれる記憶媒体4を所有するそれぞれの当事者を同定はしない。場合によっては、配送機関が記憶媒体4が備えられている各当事者を同定する情報を記録することができ、その場合、配送機関は少なくとも所与のコンテント転送メッセージを送った当事者を同定することができるであろう。しかし、図2aおよび2bを参照して説明したプロセスに従うと、コンテント転送メッセージは送信者によって生成され所望の受信者に送られることができ、受信者が配送機関ほかいかなる第三者の関与もなく受信コンテントを自己の記憶媒体4に格納する。このように、コンテントの交換が、送信者および受信者のアイデンティティについて知識を有するいかなる第三者の関与もなく、送信者と受信者の間で行われるという点で、匿名性が達成される。
記憶媒体サーバ
シナリオによっては、個人用の記憶媒体を製造しそれぞれのユーザに配布することは望ましくない。そのような場合、図3に示す記憶媒体サーバ28を使用することができる。
シナリオによっては、個人用の記憶媒体を製造しそれぞれのユーザに配布することは望ましくない。そのような場合、図3に示す記憶媒体サーバ28を使用することができる。
図3bに見られるように、記憶媒体サーバ28は、I/Oインターフェイス30、コントローラ32およびデータベース34からなり、これらは、図1aの個人用の個別の記憶媒体4のI/Oインターフェイス8、コントローラ10、およびメモリ12と広い意味で類似の態様で動作する。しかし、個別の記憶媒体4と記憶媒体サーバ28との間の重要な相違は、I/Oインターフェイス30およびコントローラ32の能力にあり、これらはどちらも個別の記憶媒体4のものより十分大きく、データベース30は、複数の個々の記憶媒体4のデータを含む。実施例によっては、データベースはレコードにフォーマットされることができ、各レコードがそれぞれの個別の記憶媒体4を代表し個別の記憶媒体4それぞれのID 14、秘密キー16、証明書18、ログ20および現在のコンテント22含むことができる。これらのフィールドのそれぞれのフォーマットは、個別の記憶媒体4のメモリ12の対応するフィールドと同じであるのが好ましく、図2aおよび2bを参照して説明したのと実質的に同じ転送インプロセスおよび転送アウトプロセスを使用して、コンテント転送メッセージを個別の記憶媒体4とデータベース30のレコードとの間で交換することができる。このことは、記憶媒体サーバ28がそれぞれがユーザに同じ機能性を呈する複数の個別の記憶媒体4を効果的にエミュレートする点で、利点である。
記憶媒体サーバ28のセキュリティは、記憶媒体サーバ28の機能性を図2aおよび2bを参照して説明した転送メッセージの生成および受け取りに限定することによって得られる。この目的で、サービスプロバイダは、図3bに示すように、加入者とメッセージ交換するためデータネットワーク26に接続されているホストサーバ36に記憶媒体サーバ28を接続することができる。この構成は、ホストサーバ36がその後ろに記憶媒体サーバ28がある「ファイアウオール」を提供することができ、また、サービスプロバイダが「仮想」記憶媒体へのアクセスを含む種々のサービスを加入者に提案することを可能にする点で、優れている。
わかるように、記憶媒体サーバ28がコンテント転送メッセージを生成するためデータベース30の正しいレコード(仮想記憶媒体)にアクセスするためには、リクエストメッセージ(図2a、S2)が「送信」仮想記憶媒体(レコード)の少なくともID 14を含まねばならず、このレコードからコンテントが転送される。同様に受信した転送メッセージのコンテントを格納するために記憶媒体サーバ28が正しいデータベースレコードをアクセスするためには、転送メッセージ(図2b、S18)がコンテントを格納すべき受信者の仮想記憶媒体の少なくともID 14を含んでいなければならない。
例として図4および5は、この発明によるeコマース(電子商取引)を可能にするシステムの主要な要素を示す。電子商取引では、格納され転送されるコンテントは、典型的には資産値または金額を表し、この用語を使って以下に説明する。
図4を参照すると、サービスプロバイダは電子商取引アプリケーションを可能にするインターネットのようなデータネットワーク26に接続された記憶媒体サーバ28およびホストサーバ36を使用することができ、電子商取引アプリケーションはサービスプロバイダの個別の加入者が利用可能になっている。この目的で、サービスプロバイダは、加入者からの要求に応じて、必要なID 14、秘密キー16、および証明書18でデータベース34にレコードを入れることにより仮想記憶媒体をインスタンス化し、その仮想記憶媒体のID 14および証明書18を加入者に送る。加入者が個別のユーザ(図4の”A”のような)である場合、ユーザはID14aおよび証明書18aを通信デバイス24に保存することを選択することができる。加入者がオンライン電子商取引をオファーする商業者などの場合、加入者は、そのID14mおよび証明書18をデータネットワークに接続されたサーバ38に保存することができる。いずれの場合にも、加入者はそのID14および証明書18を連続的に使って、サービスプロバイダがホストとなるそれらの仮想記憶媒体を使う電子商取引を行うことができる。図5は、電子商取引中の個別の加入者(ユーザ”A”)、商業者のサーバ、およびサービスプロバイダの間でのそれぞれのやり取りを示すメッセージ流れ図である。
図5を参照すると、最初のステップ(S34)において、ユーザ”A”がその通信デバイス24を使って商業者のサーバ38にアクセスし、商業者の産物(offsprings)をブラウズし、購入する項目を選択する。これらはすべて従来の態様である。ユーザ”A”の購買選択の完了に続いて、商業者のサーバ38が支払いシーケンスを開始して、支払い額、およびサービスプロバイダによって維持される商業者の仮想記憶デバイスのID14を含むリクエストメッセージを送信する(S36)。リクエストメッセージを受信すると、ユーザの通信デバイス24は、リクエストをホストサーバ36に転送する(S38)。ユーザの通信デバイス24から転送されたリクエストメッセージを受け取ると、ホストサーバ36は、ユーザが取引を転送インすることの確認を得るため商業者プロセスを実行する(S40)。実施例によっては、この商業者プロセスは、ユーザの通信デバイス24とホストサーバ36との間にこの目的でセットされたセキュリティ接続(たとえば、セキュアソケットレイヤ(SSL)接続)内で取り扱うことができる。実施例によっては、ユーザの通信デバイス24上で実行されているブラウザアプリケーションのポップアップウィンドウを使って、ユーザが取引の同意または拒否を容易に示すことができるようにすることができる。ユーザが取引を転送インするならば、確認メッセージがホストサーバ36に送られ(S42)、これにはユーザの仮想記憶媒体のID14aおよび証明書18aが含まれる。実施例によっては、確認メッセージは、商業者プロセスの一部分としてホストサーバ36に送られる(S40)。
ユーザの確認メッセージを受け取ると、ホストサーバ36は、送信者としてのユーザの仮想記憶媒体のID14、意図する受信者としての商業者の仮想記憶媒体のID14m、および転送すべきコンテントとして商業者のサーバ38から受信した支払うべき金額、を含む転送リクエストメッセージを作成し、この転送リクエストメッセージを記憶媒体サーバ28に送る(S44)。転送リクエストメッセージを受け取ると、コントローラ32は、ユーザの仮想記憶媒体のID14aを使ってデータベース34の適切なレコードにアクセスし、次いで図2aに関連して説明した転送アウトプロセス(S46)を実行して送信者としてのユーザの仮想記憶媒体のID14a、受信者としての商業者の仮想記憶媒体のID14m、および転送中のコンテントとして支払うべき金額、を含むコンテント転送メッセージを生成して返す。
記憶媒体サーバ28からコンテント転送メッセージを受け取ると、ホストサーバ36は、コンテント転送メッセージを記憶媒体サーバ28に送り返し(S50)、図2bを参照して説明した転送インプロセスをトリガーし(S52)、支払うべき金額を商業者の仮想記憶媒体に格納する。上述のように、転送インプロセスが成功裏に完了すると、記憶媒体サーバ28は支払うべき金額が商業者の仮想記憶媒体に格納されたことを示す肯定応答メッセージを返す(S54)。この肯定応答メッセージを受け取ると、ホストサーバ38は、商業者のサーバ38およびユーザの通信デバイスの双方に確認メッセージを送り(S65)、両当事者が支払い転送が成功裏に完了したことを確認できるようにする。
上述のプロセスにおいて、ユーザの仮想記憶媒体から商業者の仮想記憶媒体への支払い金額の転送は、ホストサーバ36と記憶媒体サーバ28との間で2段階のメッセージの流れが必要であった。この構成は、記憶媒体サーバ28が簡単なリクエスト/応答 態様で(たとえば、図2aおよび2bを参照して説明した転送インおよび転送アウトプロセスに従う)動作することを可能にし、データベース34内でレコード(仮想記憶媒体)間での誤転送の可能性を低減するという利点がある。さらに、シナリオによっては、商業者は支払いを受け取るために個別の個人用記憶媒体4を使用しているかもしれず、または異なるサービスプロバイダの加入者であるかもしれない。これらの2つのシナリオのどちらにしても、ステップS48での記憶媒体サーバ28からの転送メッセージ出力は、商業者のサーバ38か商業者のサービスプロバイダのホストサーバに転送されねばならない。ホストサーバ36が送信者の仮想記憶媒体からの転送メッセージを常に受け取ることができるようにすることによって、この機能性が容易に得られる。
状況によっては、サービスプロバイダがそれぞれの加入者の実際のアイデンティティについて知識を持っているのが望ましい(または、規制上の理由で必須である)ことがある。そのような場合には、ホストサーバ36がトラッキング可能なので、取引に関係する当事者の匿名性は維持されない。しかし、これは重要ではない。たとえば、サービスプロバイダは、仮想記憶媒体について匿名性のリクエストを転送インすることができ、データベース34の適当なユーザレコードに記憶された所定量を自身のレコードに転送するため上述の2部のシーケンスを使用することによって、加入料(使用料)を徴収することさえできる。しかし、図5を参照して上に説明したオンライン購買取引全体は各加入者に発行されたID14および証明書18に全面的に基づいて進められることがわかる。この情報は、取引に関係する特定の仮想記憶媒体を同定し、否定不能性、取り消し不能性、メッセージ完全性、およびメッセージセキュリティの価値を提供するが、関係する加入者の実際のアイデンティティについての情報は提供しない。このように、サービスプロバイダは、その加入者のそれぞれを識別する情報を得るなんらかの他のプロセスを持たない限り、取引の当事者を同定する手段を持たず、匿名性が保持される。
図6および7は、電子投票アプリケーションを可能にするこの発明によるシステムの主要素および動作を示す。電子投票では、記憶され転送されるコンテントは、代表的には投票を表し、この用語を以下の説明で使用する。
図6を参照すると、投票機関は、データネットワーク26に接続されたホストサーバ36および記憶媒体サーバ28を使用することができ、データネットワーク26はたとえばインターネットであり、個別の投票者に利用可能とされる電子投票アプリケーションを可能にする。図の実施例では、記憶媒体サーバ28が立候補している各候補者のための仮想記憶媒体を提供し、候補者のそれぞれへの投票が集められ記録される。図の実施例では、投票者は、図1を参照して説明したタイプの個人用記憶媒体4を使っている。しかし、これは重要ではなく、所望の場合は、投票者は、投票機関とは独立のサービスプロバイダがホストとなる仮想記憶媒体を使用することを選択することができる。
図7aを参照すると、電子投票アプリケーションにアクセスするために、投票者は投票機関に登録し(ステップS58)、その際、投票機関が投票者が投票に参加する資格を持つことを検証することを可能にするため個人同定情報を提供する。登録が完了すると、投票機関は、「投票標示」、ディジタル署名および証明書を含むコンテント転送メッセージを生成し転送する(S60)。転送メッセージを受け取ると、投票者は、受け取った転送メッセージをその記憶媒体4にパスし(S62)、記憶媒体4は、図2aを参照して説明した転送インプロセスを実行し(S64)、投票標示をメモリ12に格納する。
原理的に、投票標示は、個別の投票者に特異でなければ、いかなる値であってもよい。実施例によっては、投票標示は、数値の「1」であってよく、これは各候補者への投票を、投票中に簡単な足し算で集めることができるという利点を持つ。他の実施例では、投票標示は、投票者がなんらかの態様で無記名投票を「害する」選択をしたかどうかを、投票機関が判定できる値とすることができる。たとえば、投票標示は、候補者リストのハッシュであってよい。その他の可能な投票標示は、当業者に明らかになるであろう。
投票に先立ち、投票機関は、各候補者に割り当てられた仮想記憶媒体を特異に同定する候補者識別子(cID)を含む候補者リストを公表する(S66)。
図7bを参照すると、投票するために、候補者リストを使って好ましい候補者の特異な識別子(cID)を選択し、選択した候補者識別子(cID)を含む転送リクエストメッセージを記憶媒体4に送ることができ、記憶媒体4は、図2bを参照して説明した転送アウトプロセスを実行し(S74)、投票標示、選択された候補者の受信者IDとしての特異な識別子(cID)、ナンス(nonce)、投票者の記憶媒体4のディジタル署名および証明書を含むコンテント転送メッセージを返す(S74)。コンテント転送メッセージを受け取ると、投票者はそのコンテント転送メッセージを投票機関のホストサーバ36に送ることができる。この転送は収受の手段によって達成することができる。実施例によっては、投票者は、その通信デバイス24を使って投票機関が提供するウェブページにアクセスすることができ、このウェブページは投票者がそのコンテント転送メッセージをホストサーバ36にアップロードすることができるように構成されている。この構造の利点の一つは、コンテント転送メッセージを転送するのに使われたIPパケットのソースアドレスが、投票者のインターネットサービスプロバイダによって通信デバイス24に割り当てられたダイナミック・ユニバーサルリソースロケータ(URL)アドレスに対応することであり、このダイナミックURLアドレスは、通常、特定の通信セッションの間だけ有効で、したがって投票者のアイデンティティを投票機関に曝さない。同様に、コンテント転送メッセージ自身がディジタル署名および証明書を含んでおり、投票機関は、コンテント転送メッセージが取り消し不能、否定不能、改変に対して安全であり重複が検出されることを確信することができる。しかし、ディジタル署名も証明書も投票者を同定する情報は提供しない。したがって、コンテント転送メッセージに含まれる投票標示の正当性を投票者のアイデンティティを曝すことなく検証することができる。こうして匿名性が保持され、したがって秘密投票を行うことが可能である。
投票機関が投票を確認する(有効化する)ことができるよう投票標示が構成されている実施例においては、投票者からコンテント転送メッセージを受け取ると、ホストサーバがこの確認を行う(S78)。たとえば、投票標示が候補者リストのハッシュである実施例では、ホストサーバは、投票標示を使って特定の候補者リストにアクセスし、転送メッセージに含まれるcIDがそのリストにあるか判定することができる。肯定であれば、投票は有効であると考えられる。この構成は、特定の地理的領域だけの候補者のリストまたは立候補している公の事務所の間で投票者(有権者)を投票用に登録することができるという点で利点がある。同時に、異なるリストの候補者の間では投票者は登録されることができない。したがって、投票者が登録されていない選挙に立候補している候補者に有権者が投票しようとするならば、その有権者の投票はだめであり、破棄されねばならない。
投票の確認(有効化)に成功すると(S78)、ホストサーバ36が転送メッセージを記憶媒体サーバ28にパスし、記憶媒体サーバ28は、図2bおよび5を参照して説明した転送インプロセス(S82)を実行して、投票標示をデータベース34の適当なレコードに記録する。投票標示が(”1”のような)簡単な数値である実施例では、適当なレコードの現在のコンテント22(図3a)をインクリメントする(S30、図2b)ことが、投票標示を現在の値に加算する簡単なプロセスである。投票標示が候補者リストのハッシュのようななんらかの他の値である実施例では、適当なレコードの現在のコンテント22(図3a)をインクリメントする(S30、図2b)ステップは、投票標示自体を加算するのではなく、現在の値を”1”だけインクリメントすることによって達成される。転送インプロセスが成功裏に完了すると、記憶媒体サーバ28が肯定応答メッセージをホストサーバ36に返し(S84)、このメッセージが投票者の通信デバイス24に送り戻され、投票者に投票が記録されたことの確認が与えられる。
上述の実施例の利点は、コンテント転送メッセージがディジタル署名および証明書を含み、これによって、コンテント転送メッセージが取り消し不能で、否定不能で、改変に対して安全であり、重複が検出されることを投票機関が確信することができる。さらに、投票標示を、選択された候補者識別子(cID)に対して検証することができるので、投票自身を検証することができる。しかし、ディジタル署名も証明書も投票者を同定する情報を提供せず、コンテント転送メッセージは、投票者のアイデンティティを曝すことなく投票機関のホストサーバ36にアップロードすることができる。したがって、投票者の匿名性を保持しながら、投票者の投票の正当性を検証することができる。こうして、この発明の方法およびシステムは、秘密投票を実施することができる電子投票システムの設置を可能にする。
上に説明したこの発明の実施例は、例示だけのものである。この発明の範囲は特許請求の範囲によってのみ規定されることを意図している。
Claims (18)
- 電子コンテント記憶および交換システムのための記憶媒体サーバであって、該記憶媒体サーバは、
複数の記憶媒体のそれぞれの間でコンテントを転送するため、転送されるコンテントがそれぞれの転送メッセージ中にだけ格納されているコンテント転送メッセージを送信および受信するよう構成されたインターフェイスと、
各レコードが、それぞれの仮想記憶媒体を表し、該仮想記憶媒体に割り当てられたそれぞれ特異な識別子と、該仮想記憶媒体に割り当てられたそれぞれの秘密キーおよび証明書と、前記仮想記憶媒体の現在のコンテント値と、前記仮想記憶媒体との間でのコンテント転送のログとを含む、複数のレコードからなるデータベースと、
命令コードの制御の下に、転送インプロセスおよび転送アウトプロセスを実行するコントローラであって、
前記転送インプロセスは、
転送すべき第1のコンテントおよび該第1のコンテントが転送される受信仮想記憶媒体の特異な識別子を含む第1のコンテント転送メッセージを、前記インターフェイスを介して受け取ること、
前記第1のコンテント転送メッセージ中の前記特異な識別子に基づいて前記受信仮想記憶媒体を表すレコードを前記データベースにおいてアクセスすること、および
前記第1のコンテントを前記受信仮想記憶媒体のそれぞれの現在のコンテント値中に格納すること、を含み、
前記転送アウトプロセスは、
第2のコンテントおよび該第2のコンテントを転送する送信もとの仮想記憶媒体のそれぞれ特異な識別子を含むコンテント転送リクエストメッセージを、前記インターフェイスを介して受け取ること、
前記コンテント転送リクエストメッセージ中の前記特異な識別子に基づいて前記送信もとの仮想記憶媒体を表すそれぞれのレコードをアクセスすること、
前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値から前記第2のコンテントを減らすこと、
前記第2のコンテントを含む第2のコンテント転送メッセージを生成すること、および
前記第2のコンテント転送メッセージを返すこと、
を含む、前記コントローラと、
を備える前記記憶媒体サーバ。 - 前記第1のコンテントを格納することは、前記第1のコンテントを受信仮想記憶媒体を表す現在のコンテント値に加えることからなる、請求項1に記載の記憶媒体サーバ。
- 前記第1のコンテントを格納することは、前記受信仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値を予め定めた値だけインクリメントすることからなる、請求項1に記載の記憶媒体サーバ。
- 前記第1のコンテント転送メッセージは、第2の記憶媒体に割り当てられた証明書および該第2の記憶媒体によって生成されたナンスを少なくとも含み、前記転送インプロセスは、
少なくとも前記証明書および前記ナンスに基づき、前記第1のコンテント転送メッセージが先に受信したコンテント転送メッセージと重複しているかどうか判定することと、
前記コンテント転送メッセージが重複であるならば、該コンテント転送メッセージを破棄することと、
を含む、請求項1に記載の記憶媒体サーバ。 - 前記第1のコンテント転送メッセージは、第2の記憶媒体によって生成されたディジタル署名および該第2の記憶媒体に与えられた証明書を少なくとも含み、前記転送インプロセスは、
前記ディジタル署名が有効かどうか判定することと、
前記指示たる署名が有効でないならば、前記コンテント転送メッセージを破棄することと、
を含む、請求項1に記載の記憶媒体サーバ。 - 前記第2のコンテントを減らすことは、前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値から前記第2のコンテントを引くことからなる、請求項1に記載の記憶媒体サーバ。
- 前記第2のコンテントを減らすことは、前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値を予め定めた値だけデクリメントすることからなる、請求項1に記載の記憶媒体サーバ。
- 前記転送アウトプロセスは、
前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値が前記第2のコンテントより小さいかどうか判定することと、
判定された現在のコンテント値が前記第2のコンテントより小さいならば前記コンテント転送リクエストを破棄することと、
からなる、請求項1に記載の記憶媒体サーバ。 - 前記第2のコンテント転送メッセージを生成することは、
前記送信もとの仮想記憶媒体の秘密キーに基づいて、前記第2のコンテント転送メッセージに関するディジタル署名を生成することと、
前記ディジタル署名および前記送信もとの仮想記憶媒体の証明書を前記第2のコンテント転送メッセージに適用することと、
を含む、請求項1に記載の記憶媒体サーバ。 - コンテントの記憶および交換方法であって、
複数の記憶媒体のそれぞれの間でコンテントを転送するため、転送されるコンテントがそれぞれの転送メッセージ中にだけ格納されているコンテント転送メッセージを送信および受信するよう構成されたインターフェイスと、
各レコードが、それぞれの仮想記憶媒体を表し、該仮想記憶媒体のそれぞれ特異な識別子と、該仮想記憶媒体に割り当てられたそれぞれの秘密キーおよび証明書と、それぞれの現在のコンテント値と、前記仮想記憶媒体に入るまたは該仮想記憶媒体から出るコンテント転送のログとを含む、複数のレコードからなるデータベースと、
コントローラと、
を備える記憶媒体サーバを用意し、
前記コントローラは、転送インプロセスおよび転送アウトプロセスを実行し、
前記転送インプロセスは、
転送すべき第1のコンテントおよび該第1のコンテントが転送される受信仮想記憶媒体のそれぞれ特異な識別子を含むコンテント転送メッセージを、前記インターフェイスを介して受け取ること、
前記第1のコンテント転送メッセージ中の特異な識別子に基づいて前記受信仮想記憶媒体を表すそれぞれのレコードを前記データベースにおいてアクセスすること、および
前記第1のコンテントを前記受信仮想記憶媒体のそれぞれの現在のコンテント値に格納すること、を含み、
前記転送アウトプロセスは、
第2のコンテントおよび該第2のコンテントを転送する送信もとの仮想記憶媒体のそれぞれ特異な識別子を含むコンテント転送リクエストメッセージを、前記インターフェイスを介して受け取ること、
前記コンテント転送リクエストメッセージ中の特異な識別子に基づいて前記送信もとの仮想記憶媒体を表すレコードを前記データベースにおいてアクセスすること、
前記第2のコンテントを前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値から減らすこと、
前記第2のコンテントを含む第2のコンテント転送メッセージを生成すること、および
前記第2のコンテント転送メッセージを返すこと、
を含む、コンテントの記憶および交換方法。 - 前記第1のコンテントを格納することは、前記第1のコンテントを前記受信仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値に加えることからなる、請求項10に記載のコンテントの記憶および交換方法。
- 前記第1のコンテントを格納することは、前記受信仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値を予め定めた値だけインクリメントすることからなる、請求項10に記載のコンテントの記憶および交換方法。
- 前記第1のコンテント転送メッセージは、第2の記憶媒体に割り当てられた証明書および該第2の記憶媒体によって生成されたナンスを少なくとも含み、前記転送インプロセスは、
少なくとも前記証明書および前記ナンスに基づき、前記第1のコンテント転送メッセージが先に受信したコンテント転送メッセージと重複しているかどうか判定することと、
前記コンテント転送メッセージが重複であるならば、該第1のコンテント転送メッセージを破棄することと、
を含む、請求項10に記載のコンテントの記憶および交換方法。 - 前記第1のコンテント転送メッセージは、第2の記憶媒体によって生成されたディジタル署名および該第2の記憶媒体に与えられた証明書を少なくとも含み、前記転送インプロセスは、
前記ディジタル署名が有効かどうか判定することと、
前記指示たる署名が有効でないならば、前記コンテント転送メッセージを破棄することと、
を含む、請求項10に記載のコンテントの記憶および交換方法。 - 転送すべき前記メッセージコンテントを前記現在のコンテント値から減らすことは、現在のコンテント値から前記メッセージコンテントを引くことからなる、請求項10に記載のコンテントの記憶および交換方法。
- 前記第2のコンテントを減らすことは、前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値を予め定めた値だけデクリメントすることからなる、
請求項10に記載のコンテントの記憶および交換方法。 - 前記転送アウトプロセスは、
前記送信もとの仮想記憶媒体を表すそれぞれのレコードの現在のコンテント値が前記第2のコンテントより小さいかどうか判定することと、
前記現在のコンテント値が前記第2のコンテントより小さいならば前記コンテント転送リクエストを破棄することと、
からなる、請求項10に記載のコンテントの記憶および交換方法。 - 前記第2のコンテント転送メッセージを生成することは、
前記送信もとの仮想記憶媒体の前記秘密キーに基づいて、前記第2のコンテント転送メッセージに関するディジタル署名を生成することと、
前記ディジタル署名および前記送信もとの仮想記憶媒体の証明書を前記第2のコンテント転送メッセージに適用することと、
を含む、請求項10に記載のコンテントの記憶および交換方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US24320309P | 2009-09-17 | 2009-09-17 | |
| US61/243,203 | 2009-09-17 | ||
| PCT/CA2010/000435 WO2011032257A1 (en) | 2009-09-17 | 2010-03-30 | Asset storage and transfer system for electronic purses |
| CAPCT/CA2010/000435 | 2010-03-30 | ||
| PCT/CA2010/001434 WO2011032271A1 (en) | 2009-09-17 | 2010-09-17 | Trusted message storage and transfer protocol and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013505601A JP2013505601A (ja) | 2013-02-14 |
| JP5657672B2 true JP5657672B2 (ja) | 2015-01-21 |
Family
ID=46889510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012529075A Expired - Fee Related JP5657672B2 (ja) | 2009-09-17 | 2010-09-17 | 高信頼性メッセージ記憶、転送プロトコルおよびシステム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9071444B2 (ja) |
| EP (1) | EP2478661A4 (ja) |
| JP (1) | JP5657672B2 (ja) |
| CN (1) | CN102630371B (ja) |
| AU (1) | AU2010295202B2 (ja) |
| CA (1) | CA2771816C (ja) |
| WO (1) | WO2011032271A1 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
| US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
| CA2714784A1 (en) * | 2009-09-17 | 2011-03-17 | Royal Canadian Mint/Monnaie Royale Canadienne | Message storage and transfer system |
| US9117213B2 (en) | 2011-01-28 | 2015-08-25 | Royal Canadian Mint | Electronic transaction risk management |
| EP2632097A1 (en) * | 2012-02-21 | 2013-08-28 | Lleidanetworks Serveis Telemàtics S.A. | Method for certifying delivery of SMS/MMS data messages to mobile terminals |
| US20140330578A1 (en) * | 2012-03-13 | 2014-11-06 | Theodore Pincus | Electronic medical history (emh) data management system for standard medical care, clinical medical research, and analysis of long-term outcomes |
| CA2865940A1 (en) * | 2012-03-19 | 2013-09-26 | Royal Canadian Mint/Monnaie Royale Canadienne | Automated forex function in an asset storage and transfer system |
| EP2828812A4 (en) * | 2012-03-19 | 2015-11-25 | Royal Canadian Mint Monnaie Royale Canadienne | USING BAR CODES IN A PLANT MEMORY AND TRANSMISSION SYSTEM |
| EP2828813A4 (en) * | 2012-03-19 | 2015-10-21 | Royal Canadian Mint Monnaie Royale Canadienne | EXTERNAL PROTOCOL STORAGE IN A PLANT STORAGE AND TRANSMISSION SYSTEM |
| CN102831894B (zh) * | 2012-08-09 | 2014-07-09 | 华为终端有限公司 | 指令处理方法、装置和*** |
| US10068228B1 (en) * | 2013-06-28 | 2018-09-04 | Winklevoss Ip, Llc | Systems and methods for storing digital math-based assets using a secure portal |
| US10354325B1 (en) | 2013-06-28 | 2019-07-16 | Winklevoss Ip, Llc | Computer-generated graphical user interface |
| US9898782B1 (en) | 2013-06-28 | 2018-02-20 | Winklevoss Ip, Llc | Systems, methods, and program products for operating exchange traded products holding digital math-based assets |
| WO2015025282A2 (en) * | 2013-08-21 | 2015-02-26 | Visa International Service Association | Methods and systems for transferring electronic money |
| US9397985B1 (en) | 2015-04-14 | 2016-07-19 | Manifold Technology, Inc. | System and method for providing a cryptographic platform for exchanging information |
| US10652319B2 (en) | 2015-12-16 | 2020-05-12 | Dell Products L.P. | Method and system for forming compute clusters using block chains |
| EP4138339A1 (en) | 2016-07-29 | 2023-02-22 | Magic Leap, Inc. | Secure exchange of cryptographically signed records |
| US11488433B2 (en) * | 2018-01-11 | 2022-11-01 | Mastercard International Incorporated | Method and system for public elections on a moderated blockchain |
| US10438290B1 (en) | 2018-03-05 | 2019-10-08 | Winklevoss Ip, Llc | System, method and program product for generating and utilizing stable value digital assets |
| US11909860B1 (en) | 2018-02-12 | 2024-02-20 | Gemini Ip, Llc | Systems, methods, and program products for loaning digital assets and for depositing, holding and/or distributing collateral as a token in the form of digital assets on an underlying blockchain |
| CN109409995A (zh) * | 2018-10-15 | 2019-03-01 | 郑州云海信息技术有限公司 | 一种硬盘定制化开发的方法、装置、设备及存储介质 |
| EP3822894A1 (en) * | 2019-11-13 | 2021-05-19 | Telefonica Digital España, S.L.U. | Secure electronic messaging guaranteeing integrity and non-repudation |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0397347A (ja) * | 1989-09-11 | 1991-04-23 | Hitachi Ltd | ファイル転送装置 |
| US5623547A (en) * | 1990-04-12 | 1997-04-22 | Jonhig Limited | Value transfer system |
| SE506506C2 (sv) | 1995-04-11 | 1997-12-22 | Au System | Elektronisk transaktionsterminal, telekommunikationssystem innefattande en elektronisk transaktionsterminal, smart kort som elektronisk transaktionsterminal samt metod för överföring av elektroniska krediter |
| IL120585A0 (en) | 1997-04-01 | 1997-08-14 | Teicher Mordechai | Countable electronic monetary system and method |
| US5974150A (en) * | 1997-09-30 | 1999-10-26 | Tracer Detection Technology Corp. | System and method for authentication of goods |
| US6327578B1 (en) * | 1998-12-29 | 2001-12-04 | International Business Machines Corporation | Four-party credit/debit payment protocol |
| US6496853B1 (en) * | 1999-07-12 | 2002-12-17 | Micron Technology, Inc. | Method and system for managing related electronic messages |
| US7908216B1 (en) | 1999-07-22 | 2011-03-15 | Visa International Service Association | Internet payment, authentication and loading system using virtual smart card |
| US7729986B1 (en) | 1999-07-30 | 2010-06-01 | Visa International Service Association | Smart card transactions using wireless telecommunications network |
| US7953671B2 (en) | 1999-08-31 | 2011-05-31 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
| US8380630B2 (en) | 2000-07-06 | 2013-02-19 | David Paul Felsher | Information record infrastructure, system and method |
| AU7182701A (en) | 2000-07-06 | 2002-01-21 | David Paul Felsher | Information record infrastructure, system and method |
| JP3755394B2 (ja) | 2000-09-29 | 2006-03-15 | 日本電気株式会社 | 電子商取引監査システム、電子商取引監査方法及び電子商取引監査プログラムを記録した記録媒体 |
| JP4362005B2 (ja) | 2000-11-20 | 2009-11-11 | 日本電信電話株式会社 | 電子的価値移転装置 |
| US7006613B2 (en) * | 2001-07-27 | 2006-02-28 | Digeo, Inc. | System and method for screening incoming video communications within an interactive television system |
| JP2003044769A (ja) * | 2001-08-03 | 2003-02-14 | Hitachi Ltd | 電子財布及び電子財布システム |
| US20030084106A1 (en) * | 2001-10-31 | 2003-05-01 | Comverse, Ltd. | Efficient transmission of multi-media contents as electronic mail |
| US20030220821A1 (en) * | 2002-04-30 | 2003-11-27 | Ervin Walter | System and method for managing and reconciling asynchronous patient data |
| FR2840748B1 (fr) * | 2002-06-05 | 2004-08-27 | France Telecom | Procede et systeme de verification de signatures electroniques et carte a microcircuit pour la mise en oeuvre du procede |
| CN1536807A (zh) | 2003-04-07 | 2004-10-13 | 西科姆株式会社 | 文件安全传送***及其方法 |
| CN1813266A (zh) * | 2003-05-09 | 2006-08-02 | 日本电气株式会社 | 数字信息的分布控制方法和分布控制*** |
| KR20060034464A (ko) | 2004-10-19 | 2006-04-24 | 삼성전자주식회사 | 사용자의 익명성을 보장하는 디지털 티켓을 이용한전자상거래 방법 및 장치 |
| US20070050294A1 (en) * | 2004-12-09 | 2007-03-01 | Encentrus Systems Inc. | System and method for preventing disk cloning in set-top boxes |
| US7234638B2 (en) | 2005-01-20 | 2007-06-26 | Hitachi America, Ltd. | Method and apparatus for performing benefit transactions using a portable integrated circuit device |
| US7962606B2 (en) * | 2005-01-24 | 2011-06-14 | Daintree Networks, Pty. Ltd. | Network analysis system and method |
| US7734732B2 (en) * | 2005-05-12 | 2010-06-08 | At&T Mobility Ii Llc | System, apparatus and methods for storing links to media files in network storage |
| KR20080038175A (ko) * | 2005-08-31 | 2008-05-02 | 소니 가부시끼 가이샤 | 그룹 등록 장치, 그룹 등록 해제 장치, 그룹 등록 방법,라이선스 취득 장치 및 라이선스 취득 방법, 및, 시각 설정장치 및 시각 설정 방법 |
| JP4848163B2 (ja) * | 2005-09-29 | 2011-12-28 | ヒタチグローバルストレージテクノロジーズネザーランドビーブイ | コンテンツデータ管理システム及び装置 |
| CN1832400B (zh) * | 2005-11-14 | 2011-08-17 | 四川长虹电器股份有限公司 | 内容保护***以及方法 |
| JP2007164334A (ja) * | 2005-12-12 | 2007-06-28 | Xanavi Informatics Corp | 複製制御装置、情報処理端末とそのプログラム、コンテンツ受信装置、および複製制御方法 |
| US7992792B2 (en) | 2006-12-18 | 2011-08-09 | Fundamo (Proprietary) Limited | Portable payment device |
| CN101232631B (zh) * | 2007-01-23 | 2011-08-31 | 阿里巴巴集团控股有限公司 | 通信终端通过短信息进行安全认证的方法及*** |
| JP5036406B2 (ja) * | 2007-05-30 | 2012-09-26 | エイチジーエスティーネザーランドビーブイ | コンテンツデータ管理システム及び方法 |
| US8285624B2 (en) * | 2007-06-05 | 2012-10-09 | D12 Ventures, Llc | System, method, and program product for managing a collective investment vehicle including a true-up operation |
| US8484089B1 (en) * | 2008-01-14 | 2013-07-09 | Pendragon Wireless Llc | Method and system for a hosted digital music library sharing service |
| US7950047B2 (en) * | 2008-02-22 | 2011-05-24 | Yahoo! Inc. | Reporting on spoofed e-mail |
| CA2714784A1 (en) * | 2009-09-17 | 2011-03-17 | Royal Canadian Mint/Monnaie Royale Canadienne | Message storage and transfer system |
| US9117213B2 (en) * | 2011-01-28 | 2015-08-25 | Royal Canadian Mint | Electronic transaction risk management |
| CA2865940A1 (en) * | 2012-03-19 | 2013-09-26 | Royal Canadian Mint/Monnaie Royale Canadienne | Automated forex function in an asset storage and transfer system |
| US9749408B2 (en) * | 2013-07-30 | 2017-08-29 | Dropbox, Inc. | Techniques for managing unsynchronized content items at unlinked devices |
-
2010
- 2010-09-17 EP EP10816517.6A patent/EP2478661A4/en not_active Withdrawn
- 2010-09-17 JP JP2012529075A patent/JP5657672B2/ja not_active Expired - Fee Related
- 2010-09-17 CN CN201080041428.0A patent/CN102630371B/zh not_active Expired - Fee Related
- 2010-09-17 WO PCT/CA2010/001434 patent/WO2011032271A1/en active Application Filing
- 2010-09-17 US US13/496,769 patent/US9071444B2/en not_active Expired - Fee Related
- 2010-09-17 AU AU2010295202A patent/AU2010295202B2/en not_active Ceased
- 2010-09-17 CA CA2771816A patent/CA2771816C/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CA2771816C (en) | 2016-09-06 |
| US9071444B2 (en) | 2015-06-30 |
| AU2010295202B2 (en) | 2016-01-07 |
| EP2478661A4 (en) | 2014-10-01 |
| WO2011032271A1 (en) | 2011-03-24 |
| US20120233470A1 (en) | 2012-09-13 |
| AU2010295202A1 (en) | 2012-03-29 |
| JP2013505601A (ja) | 2013-02-14 |
| CN102630371B (zh) | 2015-06-17 |
| CA2771816A1 (en) | 2011-03-24 |
| CN102630371A (zh) | 2012-08-08 |
| EP2478661A1 (en) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5657672B2 (ja) | 高信頼性メッセージ記憶、転送プロトコルおよびシステム | |
| US11595368B2 (en) | Secure communications using loop-based authentication flow | |
| KR20120107927A (ko) | 신뢰 메시지 기억 장치 및 전송 프로토콜 및 시스템 | |
| CN111034114B (zh) | 具有记录安全性的区块链架构 | |
| RU2292589C2 (ru) | Аутентифицированный платеж | |
| US7003497B2 (en) | System and method for confirming electronic transactions | |
| RU2427893C2 (ru) | Способ аутентификации служебного сервера (варианты) и способ оплаты услуг (варианты) в беспроводном интернете | |
| US6836765B1 (en) | System and method for secure and address verifiable electronic commerce transactions | |
| US11777728B2 (en) | Systems and methods for blockchain transactions with offer and acceptance | |
| US6742125B1 (en) | Distributed protocol for secure communication of commercial transactions and decentralized network employing the protocol | |
| US20200342459A1 (en) | Trusted customer identity systems and methods | |
| Malladi | Towards Formal Modeling and Analysis of UPI Protocols | |
| EP3959628B1 (en) | Trusted customer identity systems and methods | |
| US20230222509A1 (en) | Method, terminal, and coin register for transmitting electronic coin data sets | |
| JP4682268B1 (ja) | 識別情報の確認方法、識別情報を確認するためのサーバ装置および識別情報を確認するためのシステム | |
| Al-Meaither | Secure electronic payments for Islamic finance | |
| Piotrowski et al. | Moneta: An anonymity providing lightweight payment system for mobile devices | |
| Al-Dala'in et al. | Using a mobile device to enhance customer trust in the security of remote transactions | |
| KR100889277B1 (ko) | 무선단말 간 금융거래 방법 및 시스템과 이를 위한기록매체 | |
| Wafula Muliaro et al. | Enhancing Personal Identification Number (Pin) Mechanism To Provide Non-Repudiation Through Use Of Timestamps In Mobile Payment Systems. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120809 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130725 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140701 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140930 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141028 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141126 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5657672 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |