电子值的认证方法、认证系统与装置转让专利
申请号 : CN03155171.8
文献号 : CN100595748C
文献日 : 2010-03-24
发明人 : 高山久 , 古山纯子
申请人 : 松下电器产业株式会社
摘要 :
提供一种即使是无防篡改功能的便携终端、也能进行电子值的安全认证处理的认证系统。在用户的便携终端中存储电子值,电子值中包含加密状态的价值认证信息(F(VPW)),在认证用户的处理中,认证装置生成随机数R后,发送到便携终端,便携终端生成价值认证信息(F(VPW’)),并对与随机数R组合的数据进行散列运算,生成认证信息Hash(F(VPW’))||R),发送到认证装置,认证装置解密接收到的电子值的密码,从电子值中取出价值认证信息(F(VPW),生成认证信息Hash(F(VPW)||R),验证接收到的认证信息Hash(F(VPW’))||R)与认证信息Hash(F(VPW)||R)一致,认证用户。
权利要求 :
1、一种认证方式,其特征在于: 在下述认证处理中,即用户侧装置保持电子值,所述电子值包含了加密状态的第一价值认证信息,第一价值认证信息对电子值的指定认证信息实施了第一不可逆运算处理,对用户是所述电子值的正当持有者进行认证的处理中, 认证侧装置生成随机数后发送到用户侧装置,用户侧装置向对用户输入的电子值的输入认证信息实施第一不可逆运算处理,生成第二价值认证信息,并对所述第二价值认证信息与所述随机数组合的数据实施第二不可逆运算处理,生成第二认证信息,将所述电子值与所述第二认证信息发送到认证侧装置,所述认证侧装置解密接收到的电子值的密码,从电子值中取出第一价值认证信息,对所述第一价值认证信息与所述随机数组合的数据实施第二不可逆运算处理,生成第一认证信息,验证所述接收到的第二认证信息与所述生成的第一认证信息一致,来认证用户。
2、 根据权利要求1所述的认证方式,其特征在于: 在下述认证处理,即在所述电子值的加密部分的解密密钥是由对第一价值认证信息实施第三不可逆运算处理后的第一数据与主密钥 所生成的第一解密密钥,认证用户是所述电子值的正当持有者的处理 中,用户侧装置还对所述第二价值认证信息实施第三不可逆运算处 理,生成第二数据,与所述电子值和所述第二认证信息一起将所述第 二数据发送到认证侧装置,认证侧装置根据接收到的第二数据和主密 钥生成第二解密密钥,用所述第二解密密钥解密接收到的电子值的密 码。
3、 一种用户侧装置,对认证侧装置请求用户认证,其特征在于: 具备:电子值取得部,取得电子值,所述电子值中以加密状态包含了对 指定认证信息实施了第一不可逆运算处理的第一价值认证信息,价值认证信息生成部,对用户输入的所述电子值的输入认证信息 实施第一不可逆运算处理,生成第二价值认证信息,认证信息生成部,对所述第二价值认证信息与从认证侧装置接收 到的随机数组合的数据实施第二不可逆运算处理,生成第二认证信 必,发送部,将所述电子值与第二认证信息发送到认证侧装置。
4、 根据权利要求3所述的用户侧装置,其特征在于: 所述电子值的加密部分的解密密钥是由对第一价值认证信息实施第三不可逆运算处理后的第一数据与主密钥所生成的第一解密密 钥,所述用户侧装置还具备-第二数据生成部,对所述第二价值认证信息实施第三不可逆运算 处理,生成第二数据,所述发送部将第二数据与所述电子值、所述第二认证信息一同发 送到认证侧装置。
5、 一种认证侧装置,进行用户侧装置的用户的用户认证,其特征在于,具备:随机数发送部,生成随机数后发送到所述用户侧装置, 接收部,从所述用户侧装置接收电子值与第二认证信息,所述电 子值以加密的状态包含有对指定认证信息实施了第一不可逆运算处 理的第一价值认证信息,所述第二认证信息由对所述用户输入的输入认证信息施加第一不可逆运算处理生成的第二价值认证信息与所述 随机数相组合的数据实施第二不可逆运算处理生成,价值认证信息导出部,解密接收的所述电子值的加密部分的密 码,从电子值中取出第一价值认证信息,第一认证信息生成部,对所述第一价值认证信息与所述随机数组 合后的数据实施第二不可逆运算,生成第一认证信息,验证部,验证接收到的所述第二认证信息与生成的所述第一认证 信息一致,认证用户。
6、 根据权利要求5所述的认证侧装置,其特征在于: 还具备解密密钥生成部,所述电子值的加密部分的解密密钥是由对第一价值认证信息实施了第三不可逆运算处理后的第一数据与主 密钥所生成的第一解密密钥,所述接收部还从所述用户侧装置接收对 第二价值认证信息实施了第三不可逆运算处理生成的第二数据,由接 收到的所述第二数据与主密钥,生成第二解密密钥,所述价值认证信 息导出部用生成的所述第二解密密钥来解密接收到的电子值的密码。
7、 一种电子值发行装置,从用户侧装置接收请求发行电子值的 电子值发行请求消息并对所述用户侧装置发行电子值,其特征在于, 具备:接收部,接收包含对用户侧装置的用户指定的电子值的指定认证 信息的电子值发行请求消息,价值认证信息生成部,对接收的所述电子值的指定认证信息实施 第一不可逆运算处理,生成价值认证信息,加密密钥生成部,根据对生成的所述价值认证信息实施了第二不 可逆运算处理后的数据与主密钥生成加密密钥,电子值生成部,使用生成的加密密钥,生成包含所述价值认证信息的加密了的信息的电子值,发送部,将生成的电子值发送到所述用户侧装置。
8、 一种电子值发行装置,从用户侧装置接收请求发行电子值的 电子值发行请求消息并对所述用户侧装置发行电子值,其特征在于, 員备-接收部,接收包含对用户侧装置的用户指定的电子值的指定认证 信息施加第一不可逆运算处理的价值认证信息的电子值发行请求消 息,加密密钥生成部,根据对生成的所述价值认证信息实施了第二不 可逆运算处理后的数据与主密钥生成加密密钥,电子值生成部,使用生成的所述加密密钥,生成包含对所述价值 认证信息加密了的信息的电子值,发送部,将生成的电子值发送到所述用户侧装置。
9、 一种锁装置,从用户侧装置接收请求发行电子密钥信息的电 子密钥发行请求消息并对所述用户侧装置发行电子密钥信息,其特征在于:具有电子密钥发行请求接收部,接收包含对用户侧装置的用户指定的 电子密钥信息的指定认证信息实施第一不可逆运算处理后的第一价 值认证信息的电子密钥发行请求消息,加密密钥生成部,根据对接收的所述第一价值认证信息实施了第 三不可逆运算处理后的数据与主密钥生成加密密钥,电子密钥生成部,使用所述生成的电子密钥,生成包含将所述第 一价值认证信息加密了的信息的电子密钥信息,发送部,将生成的电子密钥信息发送到所述用户侧装置,随机数发送部,在电子密钥信息的认证时,生成随机数后发送到所述用户侧装置,接收部,从所述用户侧装置接收第二认证信息、对第二价值认证信息实施第三不可逆运算处理生成的第二数据、以及电子密钥,所述第二认证信息由对所述用户侧装置的用户所输入的输入认证信息实施第一不可逆运算处理所生成的第二价值认证信息和随机数相组合的数据实施第二不可逆运算处理生成,解密密钥生成部,根据第二数据和主密钥生成解密密钥, 价值认证信息导出部,使用所述生成的解密密钥,解密接收的所述电子密钥信息的加密部分的密码,从电子密钥信息中取出第一价值认证信息,第一认证信息生成部,对所述第一家值认证信息与所述随机数相 组合的数据实施第二不可逆运算处理,生成第一认证信息,验证部,验证接收到的所述第二认证信息与生成的所述第一认证 信息一致,认证电子密钥信息,锁机构部,在电子密钥信息由所述验证部认证了的情况下进行锁 的开闭。
说明书 :
电子值的认证方法、认证系统与装置
技术领域
本发明涉及一种电子值的认证方法、认证系统与装置,将信用卡
或支款卡(debit card)、会员证、ID卡、票据等电子信息化后的电 子值(value)存储在用户的便携终端,通过认证用户是它们的正当 所有者,向用户提供各自对应的物品或服务,在这种服务中,即使便 携终端是没有防篡改(tamper)功能的终端,也可进行安全的用户认证 处理。
或支款卡(debit card)、会员证、ID卡、票据等电子信息化后的电 子值(value)存储在用户的便携终端,通过认证用户是它们的正当 所有者,向用户提供各自对应的物品或服务,在这种服务中,即使便 携终端是没有防篡改(tamper)功能的终端,也可进行安全的用户认证 处理。
背景技术
在现有技术中,作为进行安全认证处理的方法,有使用基于公开 密钥加密方式的电子署名的方法、或通过对照事先登录的ID及口令 来认证本人的方法。例如,在将使用电子署名的方法适用于便携电话 的情况下,将具有防篡改功能的IC卡模块装载在便携电话中,并在 该IC卡模块中事先存储公开密钥加密方式的专用密钥与公开密钥的 密钥对,例如,在信用卡的情况下,将使用公开密钥的信用卡的证明 信存储在便携电话中,在利用信用卡时,IC卡模块使用专用密钥来 进行电子署名处理,认证侧使用信用卡的证明信来验证该电子署名, 由此进行用户认证。另一方面,在使用ID与口令的方法时,虽不必 在便携电话中装载具有防篡改功能的IC卡模块,但为了对照事先登 录的ID与口令,认证侧必需ID与口令的数据库。(例如参照特幵 2001-265735号公报)。
但是,在现有技术中使用电子署名的方法时,在便携电话或便携 终端必需装载具备防篡改功能的IC卡模块,存在终端成本上升的问 题。另外,在使用ID与口令的方法时,认证侧必需ID与口令的数据 库,例如,为了适用于信用卡结算等的本人认证,必需以下方法:在 设置于各加盟店的信用结算终端设置信用卡会员的ID与口令的数据 库,或在网络上形成具有ID与口令的数据库的中心,每次进行本人 认证时都访问中心。在前者的情况下,在各加盟店的信用结算终端设 置ID与口令的数据库存在安全上的问题,物理上也不现实。另外, 在后者的情况下,必需新构建本人认证用中心与各信用结算终端间的 网络,另外,每次进行本人认证时都需访问中心,所以存在不能期望 迅速处理的问题。
7发明内容
本发明可解决上述现有问题,其目的在于提供一种即使是没有防 篡改功能的便携终端也可安全进行高速的认证处理,可适用于信用卡 结算或会员的本人认证、检票等的认证方式,及应用该认证方式的各 种系统,另外,提供一种实现该系统的装置。
因此,为了实现上述目的,在本发明的认证方法中,在用户侧装 置保持电子值,所述电子值包含了加密状态的第一价值认证信息,第 一价值认证信息对电子值的指定认证信息实施了第一不可逆运算处 理,对用户是所述电子值的正当持有者进行认证的处理中,认证侧装 置生成随机数后发送到用户侧装置,用户侧装置向对用户输入的电子 值的输入认证信息实施第一不可逆运算处理,生成第二价值认证信 息,并对所述第二价值认证信息与所述随机数组合的数据实施第二不 可逆运算处理,生成第二认证信息,将所述电子值与所述第二认证信 息发送到认证侧装置,所述认证侧装置解密接收到的电子值的密码, 从电子值中取出第一价值认证信息,对所述第一价值认证信息与所述 随机数组合的数据实施第二不可逆运算处理,生成第一认证信息,验 证所述接收到的第二认证信息与所述生成的第一认证信息一致,来认 证用户。
另外,在本发明的认证方式中,在电子值的加密部分的解密密钥 是由对第一价值认证信息实施第三不可逆运算处理后的第一数据与 主密钥所生成的第一解密密钥,认证用户是所述电子值的正当持有者 的处理中,用户侧装置还对所述第二价值认证信息实施第三不可逆运 算处理,生成第二数据,与所述电子值和所述第二认证信息一起将所 述第二数据发送到认证侧装置,认证侧装置根据接收到的第二数据和 主密钥生成第二解密密钥,用所述第二解密密钥解密接收到的电子值 的密码。
另外,本发明提供一种用户侧装置,对认证侧装置请求用户认证, 其特征在于:具备:电子值取得部,取得电子值,所述电子值中以加 密状态包含了对指定认证信息实施了第一不可逆运算处理的第一价 值认证信息,价值认证信息生成部,对用户输入的所述电子值的输入 认证信息实施第一不可逆运算处理,生成第二价值认证信息,认证信 息生成部,对所述第二价值认证信息与从认证侧装置接收到的随机数 组合的数据实施第二不可逆运算处理,生成第二认证信息,发送部, 将所述电子值与第二认证信息发送到认证侧装置。另外,本发明提供的所述用户侧装置,其特征在于:所述电子值 的加密部分的解密密钥是由对第一价值认证信息实施第三不可逆运 算处理后的第一数据与主密钥所生成的第一解密密钥,所述用户侧装 置还具备:第二数据生成部,对所述第二价值认证信息实施第三不可 逆运算处理,生成第二数据,所述发送部将第二数据与所述电子值、 所述第二认证信息一同发送到认证侧装置。
另外,本发明提供的一种认证侧装置,进行用户侧装置的用户的 用户认证,其特征在于,具备:随机数发送部,生成随机数后发送到 所述用户侧装置,接收部,从所述用户侧装置接收电子值与第二认证 信息,所述电子值以加密的状态包含有对指定认证信息实施了第一不 可逆运算处理的第一价值认证信息,所述第二认证信息由对所述用户 输入的输入认证信息施加第一不可逆运算处理生成的第二价值认证 信息与所述随机数相组合的数据实施第二不可逆运算处理生成,价值 认证信息导出部,解密接收的所述电子值的加密部分的密码,从电子 值中取出第一价值认证信息,第一认证信息生成部,对所述第一价值 认证信息与所述随机数组合后的数据实施第二不可逆运算,生成第一 认证信息,验证部,验证接收到的所述第二认证信息与生成的所述第 一认证信息一致,认证用户。
另外,在本发明提供的所述认证侧装置,其特征在于:还具备解 密密钥生成部,所述电子值的加密部分的解密密钥是由对第一价值认 证信息实施了第三不可逆运算处理后的第一数据与主密钥所生成的 第一解密密钥,所述接收部还从所述用户侧装置接收对第二价值认证 信息实施了第三不可逆运算处理生成的第二数据,由接收到的所述第 二数据与主密钥,生成第二解密密钥,所述价值认证信息导出部用生 成的所述第二解密密钥来解密接收到的电子值的密码。
另外,本发明提供一种电子值发行装置,从用户侧装置接收请求 发行电子值的电子值发行请求消息并对所述用户侧装置发行电子值, 其特征在于,具备:接收部,接收包含对用户侧装置的用户指定的电 子值的指定认证信息的电子值发行请求消息,价值认证信息生成部, 对接收的所述电子值的指定认证信息实施第一不可逆运算处理,生成 价值认证信息,加密密钥生成部,根据对生成的所述价值认证信息实 施了第二不可逆运算处理后的数据与主密钥生成加密密钥,电子值生 成部,使用生成的加密密钥,生成包含所述价值认证信息的加密了的 信息的电子值,发送部,将生成的电子值发送到所述用户侧装置。另外,本发明还提供一种电子值发行装置,从用户侧装置接收请 求发行电子值的电子值发行请求消息并对所述用户侧装置发行电子 值,其特征在于,具备:接收部,接收包含对用户侧装置的用户指定 的电子值的指定认证信息施加第一不可逆运算处理的价值认证信息 的电子值发行请求消息,加密密钥生成部,根据对生成的所述价值认 证信息实施了第二不可逆运算处理后的数据与主密钥生成加密密钥, 电子值生成部,使用生成的所述加密密钥,生成包含对所述价值认证 信息加密了的信息的电子值,发送部,将生成的电子值发送到所述用 户侧装置。
另外,本发明提供一种锁装置,从用户侧装置接收请求电子密钥 信息的发行的电子密钥发行请求消息并对所述用户侧装置发行电子 密钥信息,其特征在于:具有:电子密钥发行请求接收部,接收包含 对用户侧装置的用户指定的电子密钥信息的指定认证信息实施第一 不可逆运算处理后的第一价值认证信息的电子密钥发行请求消息,加 密密钥生成部,根据对接收的所述第一价值认证信息实施了第三不可 逆运算处理后的数据与主密钥生成加密密钥,电子密钥生成部,使用 所述生成的电子密钥,生成包含将所述第一价值认证信息加密了的信 息的电子密钥信息,发送部,将生成的电子密钥信息发送到所述用户 侧装置,随机数发送部,在电子密钥信息的认证时,生成随机数后发 送到所述用户侧装置,接收部,从所述用户侧装置接收第二认证信息、 对第二价值认证信息实施第三不可逆运算处理生成的第二数据、以及 电子密钥,所述第二认证信息由对所述用户侧装置的用户所输入的输 入认证信息实施第一不可逆运算处理所生成的第二价值认证信息和 随机数相组合的数据实施第二不可逆运算处理生成,解密密钥生成 部,根据第二数据和主密钥生成解密密钥,价值认证信息导出部,使 用所述生成的解密密钥,解密接收的所述电子密钥信息的加密部分的 密码,从电子密钥信息中取出第一价值认证信息,第一认证信息生成 部,对所述第一家值认证信息与所述随机数相组合的数据实施第二不 可逆运算处理,生成第一认证信息,验证部,验证接收到的所述第二 认证信息与生成的所述第一认证信息一致,认证电子密钥信息,锁机 构部,在电子密钥信息由所述验证部认证了的情况下进行锁的开闭。
另外,在本发明的认证方式中,电子值的发行者对电子值实施电 子署名,在认证用户是所述电子值的正当持有者的处理中,认证侧验 证对解密密码的电子值实施的电子署名。根据本认证方式,可防止伪造电子值,并可提高认证处理的安全性。
根据本认证方式,因为加密电子值的加密密钥对每个电子值都不 同,所以即使假设解密了一个电子值的密码,但因为不影响其它电子 值,所以仍可提高安全性。
根据本认证方式,不必在用户侧存储加密密钥等秘密信息,也不 想要防篡改功能,但却能在认证侧安全认证用户。
根据本认证系统,不必在便携终端存储加密密钥等秘密信息,也 不必装载防篡改功能,但却能由认证装置安全认证用户。
根据本认证系统,因为加密电子值的加密密钥对每个电子值都不 同,所以即使假设解密了一个电子值的密码,但因为不影响其它电子 值,所以仍可提高安全性。
根据本认证系统,可防止伪造电子值,并可提高认证处理的安全性。
根据本认证系统,可对便携终端进行发行各种电子值的服务。
通过使用本发明的电子值认证方式、认证系统及构成认证系统的 装置,可利用无防篡改功能的便携终端,进行安全的认证处理。
另外,可将电子信用为了电子值下载到便携电话,用便携电话来 进行安全的信用结算,用户不必携带信用卡,可提高便利性。
另外,用户可将多种电子信用下载到便携电话,从中选择电子信 用并使用,另外,信用结算终端可对应于多种信用卡及多个受让人(7 夕7 < 7 ,),并且为便携型,所以例如小卖店或餐馆店等加盟店的
店员可携带信用结算终端,不使客人(用户)等待,可在柜台或场地等 接客现场进行结算。
另外,可将电子票据作为电子值下载到便携电话,使用便携电话 来进行电子票据的检票处理,用户不必为了获得票据而到特定场所, 或通过邮寄来获得,便利性提高。
另外,将电子密钥作为电子值下载到便携电话,可使用便携电话 来开或关锁装置,另外,因为不发生物理的密钥转让,所以用户不必 将密钥取到管理密钥的地方,另外,管理侧也不必设置进行密钥转让 的承担者,可实现业务的效率化。
另外,根据用户管理,可向多个便携电话发行锁装置的电子密钥, 另外,可进行电子密钥的无效化。在现有密钥中,在遗失密钥或未返 还副密钥的情况下,为了安全,必要交换锁装置,但根据本电子密钥 系统,即使遗失存储电子密钥的便携电话或未返还发行到朋友的便携电话的电子密钥,仍能在锁装置侧无效化电子密钥,可提高用户的便 利性。
但是,在现有技术中使用电子署名的方法时,在便携电话或便携 终端必需装载具备防篡改功能的IC卡模块,存在终端成本上升的问 题。另外,在使用ID与口令的方法时,认证侧必需ID与口令的数据 库,例如,为了适用于信用卡结算等的本人认证,必需以下方法:在 设置于各加盟店的信用结算终端设置信用卡会员的ID与口令的数据 库,或在网络上形成具有ID与口令的数据库的中心,每次进行本人 认证时都访问中心。在前者的情况下,在各加盟店的信用结算终端设 置ID与口令的数据库存在安全上的问题,物理上也不现实。另外, 在后者的情况下,必需新构建本人认证用中心与各信用结算终端间的 网络,另外,每次进行本人认证时都需访问中心,所以存在不能期望 迅速处理的问题。
7发明内容
本发明可解决上述现有问题,其目的在于提供一种即使是没有防 篡改功能的便携终端也可安全进行高速的认证处理,可适用于信用卡 结算或会员的本人认证、检票等的认证方式,及应用该认证方式的各 种系统,另外,提供一种实现该系统的装置。
因此,为了实现上述目的,在本发明的认证方法中,在用户侧装 置保持电子值,所述电子值包含了加密状态的第一价值认证信息,第 一价值认证信息对电子值的指定认证信息实施了第一不可逆运算处 理,对用户是所述电子值的正当持有者进行认证的处理中,认证侧装 置生成随机数后发送到用户侧装置,用户侧装置向对用户输入的电子 值的输入认证信息实施第一不可逆运算处理,生成第二价值认证信 息,并对所述第二价值认证信息与所述随机数组合的数据实施第二不 可逆运算处理,生成第二认证信息,将所述电子值与所述第二认证信 息发送到认证侧装置,所述认证侧装置解密接收到的电子值的密码, 从电子值中取出第一价值认证信息,对所述第一价值认证信息与所述 随机数组合的数据实施第二不可逆运算处理,生成第一认证信息,验 证所述接收到的第二认证信息与所述生成的第一认证信息一致,来认 证用户。
另外,在本发明的认证方式中,在电子值的加密部分的解密密钥 是由对第一价值认证信息实施第三不可逆运算处理后的第一数据与 主密钥所生成的第一解密密钥,认证用户是所述电子值的正当持有者 的处理中,用户侧装置还对所述第二价值认证信息实施第三不可逆运 算处理,生成第二数据,与所述电子值和所述第二认证信息一起将所 述第二数据发送到认证侧装置,认证侧装置根据接收到的第二数据和 主密钥生成第二解密密钥,用所述第二解密密钥解密接收到的电子值 的密码。
另外,本发明提供一种用户侧装置,对认证侧装置请求用户认证, 其特征在于:具备:电子值取得部,取得电子值,所述电子值中以加 密状态包含了对指定认证信息实施了第一不可逆运算处理的第一价 值认证信息,价值认证信息生成部,对用户输入的所述电子值的输入 认证信息实施第一不可逆运算处理,生成第二价值认证信息,认证信 息生成部,对所述第二价值认证信息与从认证侧装置接收到的随机数 组合的数据实施第二不可逆运算处理,生成第二认证信息,发送部, 将所述电子值与第二认证信息发送到认证侧装置。另外,本发明提供的所述用户侧装置,其特征在于:所述电子值 的加密部分的解密密钥是由对第一价值认证信息实施第三不可逆运 算处理后的第一数据与主密钥所生成的第一解密密钥,所述用户侧装 置还具备:第二数据生成部,对所述第二价值认证信息实施第三不可 逆运算处理,生成第二数据,所述发送部将第二数据与所述电子值、 所述第二认证信息一同发送到认证侧装置。
另外,本发明提供的一种认证侧装置,进行用户侧装置的用户的 用户认证,其特征在于,具备:随机数发送部,生成随机数后发送到 所述用户侧装置,接收部,从所述用户侧装置接收电子值与第二认证 信息,所述电子值以加密的状态包含有对指定认证信息实施了第一不 可逆运算处理的第一价值认证信息,所述第二认证信息由对所述用户 输入的输入认证信息施加第一不可逆运算处理生成的第二价值认证 信息与所述随机数相组合的数据实施第二不可逆运算处理生成,价值 认证信息导出部,解密接收的所述电子值的加密部分的密码,从电子 值中取出第一价值认证信息,第一认证信息生成部,对所述第一价值 认证信息与所述随机数组合后的数据实施第二不可逆运算,生成第一 认证信息,验证部,验证接收到的所述第二认证信息与生成的所述第 一认证信息一致,认证用户。
另外,在本发明提供的所述认证侧装置,其特征在于:还具备解 密密钥生成部,所述电子值的加密部分的解密密钥是由对第一价值认 证信息实施了第三不可逆运算处理后的第一数据与主密钥所生成的 第一解密密钥,所述接收部还从所述用户侧装置接收对第二价值认证 信息实施了第三不可逆运算处理生成的第二数据,由接收到的所述第 二数据与主密钥,生成第二解密密钥,所述价值认证信息导出部用生 成的所述第二解密密钥来解密接收到的电子值的密码。
另外,本发明提供一种电子值发行装置,从用户侧装置接收请求 发行电子值的电子值发行请求消息并对所述用户侧装置发行电子值, 其特征在于,具备:接收部,接收包含对用户侧装置的用户指定的电 子值的指定认证信息的电子值发行请求消息,价值认证信息生成部, 对接收的所述电子值的指定认证信息实施第一不可逆运算处理,生成 价值认证信息,加密密钥生成部,根据对生成的所述价值认证信息实 施了第二不可逆运算处理后的数据与主密钥生成加密密钥,电子值生 成部,使用生成的加密密钥,生成包含所述价值认证信息的加密了的 信息的电子值,发送部,将生成的电子值发送到所述用户侧装置。另外,本发明还提供一种电子值发行装置,从用户侧装置接收请 求发行电子值的电子值发行请求消息并对所述用户侧装置发行电子 值,其特征在于,具备:接收部,接收包含对用户侧装置的用户指定 的电子值的指定认证信息施加第一不可逆运算处理的价值认证信息 的电子值发行请求消息,加密密钥生成部,根据对生成的所述价值认 证信息实施了第二不可逆运算处理后的数据与主密钥生成加密密钥, 电子值生成部,使用生成的所述加密密钥,生成包含对所述价值认证 信息加密了的信息的电子值,发送部,将生成的电子值发送到所述用 户侧装置。
另外,本发明提供一种锁装置,从用户侧装置接收请求电子密钥 信息的发行的电子密钥发行请求消息并对所述用户侧装置发行电子 密钥信息,其特征在于:具有:电子密钥发行请求接收部,接收包含 对用户侧装置的用户指定的电子密钥信息的指定认证信息实施第一 不可逆运算处理后的第一价值认证信息的电子密钥发行请求消息,加 密密钥生成部,根据对接收的所述第一价值认证信息实施了第三不可 逆运算处理后的数据与主密钥生成加密密钥,电子密钥生成部,使用 所述生成的电子密钥,生成包含将所述第一价值认证信息加密了的信 息的电子密钥信息,发送部,将生成的电子密钥信息发送到所述用户 侧装置,随机数发送部,在电子密钥信息的认证时,生成随机数后发 送到所述用户侧装置,接收部,从所述用户侧装置接收第二认证信息、 对第二价值认证信息实施第三不可逆运算处理生成的第二数据、以及 电子密钥,所述第二认证信息由对所述用户侧装置的用户所输入的输 入认证信息实施第一不可逆运算处理所生成的第二价值认证信息和 随机数相组合的数据实施第二不可逆运算处理生成,解密密钥生成 部,根据第二数据和主密钥生成解密密钥,价值认证信息导出部,使 用所述生成的解密密钥,解密接收的所述电子密钥信息的加密部分的 密码,从电子密钥信息中取出第一价值认证信息,第一认证信息生成 部,对所述第一家值认证信息与所述随机数相组合的数据实施第二不 可逆运算处理,生成第一认证信息,验证部,验证接收到的所述第二 认证信息与生成的所述第一认证信息一致,认证电子密钥信息,锁机 构部,在电子密钥信息由所述验证部认证了的情况下进行锁的开闭。
另外,在本发明的认证方式中,电子值的发行者对电子值实施电 子署名,在认证用户是所述电子值的正当持有者的处理中,认证侧验 证对解密密码的电子值实施的电子署名。根据本认证方式,可防止伪造电子值,并可提高认证处理的安全性。
根据本认证方式,因为加密电子值的加密密钥对每个电子值都不 同,所以即使假设解密了一个电子值的密码,但因为不影响其它电子 值,所以仍可提高安全性。
根据本认证方式,不必在用户侧存储加密密钥等秘密信息,也不 想要防篡改功能,但却能在认证侧安全认证用户。
根据本认证系统,不必在便携终端存储加密密钥等秘密信息,也 不必装载防篡改功能,但却能由认证装置安全认证用户。
根据本认证系统,因为加密电子值的加密密钥对每个电子值都不 同,所以即使假设解密了一个电子值的密码,但因为不影响其它电子 值,所以仍可提高安全性。
根据本认证系统,可防止伪造电子值,并可提高认证处理的安全性。
根据本认证系统,可对便携终端进行发行各种电子值的服务。
通过使用本发明的电子值认证方式、认证系统及构成认证系统的 装置,可利用无防篡改功能的便携终端,进行安全的认证处理。
另外,可将电子信用为了电子值下载到便携电话,用便携电话来 进行安全的信用结算,用户不必携带信用卡,可提高便利性。
另外,用户可将多种电子信用下载到便携电话,从中选择电子信 用并使用,另外,信用结算终端可对应于多种信用卡及多个受让人(7 夕7 < 7 ,),并且为便携型,所以例如小卖店或餐馆店等加盟店的
店员可携带信用结算终端,不使客人(用户)等待,可在柜台或场地等 接客现场进行结算。
另外,可将电子票据作为电子值下载到便携电话,使用便携电话 来进行电子票据的检票处理,用户不必为了获得票据而到特定场所, 或通过邮寄来获得,便利性提高。
另外,将电子密钥作为电子值下载到便携电话,可使用便携电话 来开或关锁装置,另外,因为不发生物理的密钥转让,所以用户不必 将密钥取到管理密钥的地方,另外,管理侧也不必设置进行密钥转让 的承担者,可实现业务的效率化。
另外,根据用户管理,可向多个便携电话发行锁装置的电子密钥, 另外,可进行电子密钥的无效化。在现有密钥中,在遗失密钥或未返 还副密钥的情况下,为了安全,必要交换锁装置,但根据本电子密钥 系统,即使遗失存储电子密钥的便携电话或未返还发行到朋友的便携电话的电子密钥,仍能在锁装置侧无效化电子密钥,可提高用户的便 利性。
附图说明
图1是本发明实施形态5中的电子信用下载处理的流程图。 图2是本发明实施形态5中的电子信用结算处理的流程图。 图3是表示本发明实施形态5中的电子信用数据结构的模式图。 图4是本发明实施形态6中的电子信用结算系统的框图。 图5是本发明实施形态6中的信用结算终端的框图。 图6是表示本发明实施形态6中的证券卡的闪存部中存储的信息 的模式图。
图7是表示本发明实施形态6中便携电话的存储器(非易失性存 储器)中存储的钱夹应用程序管理的信息的模式图。
图8是表示本发明实施形态6中的电子信用的数据结构的模式图。
图9是本发明实施形态6中的电子信用下载处理的流程图。 图10是本发明实施形态6中的电子信用结算处理的流程图。 图11是本发明实施形态6中的电子票据结算处理的流程图。 图12是本发明实施形态7中的电子票据系统的框图。 图13是本发明实施形态7中的检票装置的框图。 图14是表示本发明实施形态7中的证券模块闪存部中存储的信 息的模式图。
图15是表示本发明实施形态7中的便携电话的存储器(非易失性 存储器)中存储的钱夹应用程序管理的信息的模式图。
图16是表示本发明实施形态7中的电子票据数据结构的模式图。 图17是本发明实施形态7中的电子票据下载处理的流程图。 图18是本发明实施形态7中的电子票据检票处理的流程图。 图19是本发明实施形态7中的电子票据检票处理的流程图。 图20是本发明实施形态8和实施形态9中的电子密钥系统的框图。
图21是本发明实施形态8及实施形态9中的锁装置的框图。 图22是表示本发明实施形态8及实施形态9中的便携电话的存
储器(非易失性存储器)中存储的钱夹应用程序管理的信息的模式图。 图23是表示本发明实施形态8及实施形态9中的电子密钥的数
据结构的模式图。图24是本发明实施形态8中的电子密钥的下载处理的流程图。
图25是本发明实施形态8中的电子密钥认证处理的流程图。图26是表示本发明实施形态9中的证券模块的EEPR0M中存储的信息的模式图。
图27是本发明实施形态9中的钱夹应用程序下载处理的流程图。图28是本发明实施形态9中的电子密钥发行处理的流程图。图29是本发明实施形态9中的电子密钥认证处理的流程图。图30是本发明实施形态5中的电子信用结算系统的框图。图31是表示本发明概要的图。图32是认证请求装置与认证装置的处理的顺序图。图33是加密的第一信息、第二信息、第一信息与第二信息是否存在规定关系的判断条件的一例图。
图34是本发明实施形态1的认证请求装置的功能框图。
图35是加密的第一信息的一例图。
图36是本发明实施形态1的认证装置的功能框图。
图37是本发明实施形态1的处理流程图。
图38是本发明实施形态2的认证请求装置的功能框图。
图39是本发明实施形态3的认证请求装置的功能框图。
图40是本发明实施形态3的处理流程图。
图41是本发明实施形态4的信息关联装置的功能框图。
图42是本发明实施形态4的信息关联装置的处理流程图。
图43是本发明的实施例的一例图。
图44是表示图43中各数据的关系的图。
图7是表示本发明实施形态6中便携电话的存储器(非易失性存 储器)中存储的钱夹应用程序管理的信息的模式图。
图8是表示本发明实施形态6中的电子信用的数据结构的模式图。
图9是本发明实施形态6中的电子信用下载处理的流程图。 图10是本发明实施形态6中的电子信用结算处理的流程图。 图11是本发明实施形态6中的电子票据结算处理的流程图。 图12是本发明实施形态7中的电子票据系统的框图。 图13是本发明实施形态7中的检票装置的框图。 图14是表示本发明实施形态7中的证券模块闪存部中存储的信 息的模式图。
图15是表示本发明实施形态7中的便携电话的存储器(非易失性 存储器)中存储的钱夹应用程序管理的信息的模式图。
图16是表示本发明实施形态7中的电子票据数据结构的模式图。 图17是本发明实施形态7中的电子票据下载处理的流程图。 图18是本发明实施形态7中的电子票据检票处理的流程图。 图19是本发明实施形态7中的电子票据检票处理的流程图。 图20是本发明实施形态8和实施形态9中的电子密钥系统的框图。
图21是本发明实施形态8及实施形态9中的锁装置的框图。 图22是表示本发明实施形态8及实施形态9中的便携电话的存
储器(非易失性存储器)中存储的钱夹应用程序管理的信息的模式图。 图23是表示本发明实施形态8及实施形态9中的电子密钥的数
据结构的模式图。图24是本发明实施形态8中的电子密钥的下载处理的流程图。
图25是本发明实施形态8中的电子密钥认证处理的流程图。图26是表示本发明实施形态9中的证券模块的EEPR0M中存储的信息的模式图。
图27是本发明实施形态9中的钱夹应用程序下载处理的流程图。图28是本发明实施形态9中的电子密钥发行处理的流程图。图29是本发明实施形态9中的电子密钥认证处理的流程图。图30是本发明实施形态5中的电子信用结算系统的框图。图31是表示本发明概要的图。图32是认证请求装置与认证装置的处理的顺序图。图33是加密的第一信息、第二信息、第一信息与第二信息是否存在规定关系的判断条件的一例图。
图34是本发明实施形态1的认证请求装置的功能框图。
图35是加密的第一信息的一例图。
图36是本发明实施形态1的认证装置的功能框图。
图37是本发明实施形态1的处理流程图。
图38是本发明实施形态2的认证请求装置的功能框图。
图39是本发明实施形态3的认证请求装置的功能框图。
图40是本发明实施形态3的处理流程图。
图41是本发明实施形态4的信息关联装置的功能框图。
图42是本发明实施形态4的信息关联装置的处理流程图。
图43是本发明的实施例的一例图。
图44是表示图43中各数据的关系的图。
具体实施方式
下面,参照附图来说明本发明的实施形态。本发明不限于这些实施例,在不脱离本发明的精神的范围内,可以进行各种方式的实施。
本发明的概要)
图31是表示本发明的概要图。在本发明中,认证请求装置3101通过认证装置进行认证。此时,从认证请求装置3101向认证装置3102发送认证用信息。
在本发明的认证方法中,原理上,在从认证请求装置3101向认
证装置3102发送其信息之前,不必从认证装置3102向认证请求装置3101发送信息。但是,为了在认证请求装置3101与认证装置3102之间取得同步,或避免冒充等,也可从认证装置3102向认证请求装置3101发送信息。
图32示例认证请求装置3101与认证装置3102的处理的顺序图。首先,在步骤S3201,认证请求装置向认证装置发送加密的第一信息与第二信息。接收到加密的第一信息与第二信息的认证装置在步骤S3202中判断加密的第一信息与第二信息的关系是否是规定关系。若是规定关系,则由认证装置对认证请求装置进行认证。结果,例如,对认证请求装置的用户进行结算处理,允许进入特定场所,或开锁密钥等。
这里,所谓[加密的第一信息]是以可由认证装置保持的解密密钥来解密的加密形式来加密的第一信息的信息、或包含这种信息的信息。第一信息可以是各种信息。例如,也可是随机数、信用卡号码、电话号码、IP地址、标记用户指纹或虹膜等的生态认证信息等。另外,所谓[第二信息]是用于判断与第一信息的关系是否是规定关系的信息。例如,第二信息可以是用于判断与第一信息是否相同的信息。另外,当用二进制表示第一信息与第二信息时,也可以是用于判断第一信息与第二信息之差是否为规定值的信息。
在本发明中,作为加密的第一信息、第二信息,可考虑为能够由数字信号表现的信息。因此,本发明的认证请求装置与认证装置可由数字计算机来实现。作为数字计算机,不仅假设台式机等难以移动的,例如还考虑便携电话、PDA(Personal Digital Assistance:个人数字助理)等可移动的计算机。
图33表示(l)加密的第一信息、(2)第二信息、(3)第一信息与第二信息是否存在规定关系的判断条件的三个组合的实例。
图33(A)中,加密的第一信息是以可由认证装置保持的解密密钥来解密的形式加密规定口令的信息(Encrypt(口令)),第二信息是该规
14定的口令,判断条件是,由认证装置保持的解密密钥解密加密的第一
信息所得信息(Decrypt(加密的第一信息))是否等于第二信息。
若加密的第一信息是Encrypt(口令),则因为Decrypt(加密的第一
信息)变为口令,所以若第二信息为口令,则输入第二信息的人为知
道加密的第一信息内容的人。因此,输入第二信息的人为加密的第一
信息的正当保持者,可进行认证。
图33(B)中,加密的第一信息是Encrypt(口令)。第二信息是对口
令施加规定处理所得到的信息(F(口令))。所谓[规定处理]是指在认
证请求装置与认证装置之间预定的处理。最好是,该规定处理如MD5(Message Digest 5)或SHAl(Sesure Hash Algorithm Versionl)等那样,不必过多计算量,且难以知道其反函数(这种处理有时被称为不可逆运算或散列运算)。通过使用这种处理,可难以从第二信息来知道口令。
在图33(B)中,规定条件是F(Decrypt(加密的第一信息))与第二信息是否相等。这是因为若加密的第一信息是Encrypt(口令),则F(Decrypt(加密的第一信息))变为F(口令)。
另外,图33(B)中,规定处理(F)也可随着认证的进行而变化。例如,在认证请求装置与认证装置之间取得时刻的同步,对应于当前时刻来选择F。或先从认证请求装置向认证装置发送加密的第一信息与第二信息,之后从认证装置向认证请求装置发送随机数,由该随机数来确定处理(例如,将随机数与输入的信息相连结(CONCATENATE),对其结果进行MD5或SHA1等附加逆运算。)。
(实施形态1)
图34示例本发明实施形态1的认证请求装置的功能框图。认证请求装置3400是向认证装置请求认证的装置,具有加密的第一信息取得部3401、第二信息取得部3402和发送部3403。
[加密的第一信息取得部]3401取得加密的第一信息3404。例如,从键盘等输入装置、软盘、光盘、硬盘、存储卡等记录媒体中取
得加密的第一信息3404。
如图35(A)所示,加密的第一信息3404可以是仅将第一信息加密 所得信息。或如图35(B)所示,为将向第一信息附加附加信息加密所 得信息后的信息。附加信息由认证目的来确定。例如,若加密的第一 信息表示电子票据,则附加信息表示日期和座位号码。
[第二信息取得部]3402取得第二信息3405。例如,从键盘等 输入装置、软盘、光盘、硬盘、存储卡等记录媒体中取得第二信息 3405。另外,第二信息3405也可是指纹或虹膜等的生态认证信息。 此时,第二信息取得部3402变为取得生态认证信息用的传感器或摄 像机等。
[发送部]3403将加密的第一信息3401取得的加密的第一信息 与第二信息取得部取得的第二信息相关联后,发送到所述认证装置。 [关联]并无特别含义,若非要举例,则为同时或时间上接近的意思, 加密的第一信息与第二信息可分离地发送。不用说,发送可以通过有 线也可通过无线来进行。
图36示例认证装置的功能框图。
认证装置3600具有接收部3601、解密密钥保持部3602、解密部 3603和判断部3604。
[接收部]3601接收从认证请求装置的发送部发送来的加密的 第一信息、和与该加密的第一信息关联发送的第二信息。在接收到加 密的第一信息与第二信息后,分离成加密的第一信息3605和第二信 息3607。
[解密密钥保持部]3602保持解密加密的第一信息用的解密密 钥。解密密钥保持部3602在第一信息由共同密钥加密的情况下,保 持该共同密钥。另外,在第一信息由公开密钥加密方式加密的情况下, 例如第一信息由公开密钥加密的情况下,解密密钥保持部3602保持对应于该公开密钥的秘密密钥。所谓[保持]是具有一定程度的时间 上的持续性,可读出地记录。因此,解密密钥保持部3602例如由易 失性存储器、非易失性存储器、硬盘等来实现。另外,也可由具有防 篡改性的IC卡等实现。
[解密部]3603利用解密密钥保持部3602中保持的解密密钥, 解密接收部3601接收到的加密的第一信息3605,并得到第一信息 3606。 g卩,从解密密钥保持部3602中读出解密密钥,并解密加密的 第一信息3605。若加密的第一信息3605是将第一信息与附加信息加 密所得到的信息,则从解密结果中得到第一信息。
[判断部]3604判断解密部3603解密的第一信息3606、和与作 为解密前第一信息的加密的第一信息关联接收到的第二信息3607是 否存在规定关系。例如判断图33所示[判断条件]是否成立。
图37(A)示例认证请求装置的处理流程图,图37(B)示例认证装 置的处理流程图。
认证请求装置在步骤S3701中,从加密的第一信息取得部3401 取得加密的第一信息。
在步骤S3702中,从第二信息取得部3402取得第二信息。
在步骤S3703中,通过发送部3403发送加密的第一信息与第二 信息。
另一方面,在步骤S3704中,认证装置通过接收部3601接收加 密的第一信息与第二信息。
在步骤S3705中,通过解密部3603取得解密密钥,并在步骤 S3706中,用解密密钥解密加密的第一信息,得到第一信息。
在步骤S3707中,由判断部3604来判断第一信息与第二信息是 否存在规定关系。
图37所示流程图为处理一例,例如,也可在步骤S3701和步骤 S3704之前,在认证请求装置与认证装置之间进行同步处理,或从认
17证装置向认证请求装置发送某种信息。
根据本实施形态,可提供一种认证用装置及方法,不必在认证请 求装置侧存储密钥等秘密信息,也不必进行加密的处理。
(实施形态2)
图38示例本发明实施形态2的认证请求装置的功能框图。
认证请求装置3800的结构构成为实施形态1的认证请求装置具 有加密的第一信息保持部3801。
[加密的第一信息保持部]3801保持加密的第一信息。例如, 由存储器、磁盘、光盘等来保持加密的第一信息。
在本实施形态中,加密的第一信息取得部3401取得加密的第一 信息保持部3801中保持的加密的第一信息。因此,认证请求装置3800 的动作为在图37(A)所示流程图中,在步骤S3701,从加密的第一信 息保持部3801取得加密的第一信息。
根据本实施形态,因为加密的第一信息由加密的第一信息保持部 3801保持,所以在由认证装置对认证请求装置3800进行认证的情况 下,可认证向认证请求装置3800输入第二信息的人。
(实施形态3)
图39示例本发明实施形态3的认证请求装置的功能框图。 认证请求装置3900的结构为实施形态1或2的认证请求装置具
有认证信息输入部3901和认证信息加工部3902。
[认证信息输入部]3901是输入作为以认证为目的的信息的认
证信息的部。例如,是输入预定的口令或加密号码用的部,例如键盘
或0-9数字键。或者,为取得指纹或虹膜等生态认证信息用的传感器
或摄像机。
[认证信息加工部]3902加工从认证信息输入部3901输入的认 证信息。所谓[加工]是实施某种运算。例如,进行与其它信息相连 接的运算,或进行基于MD5或SHA1等散列函数算法的运算。在本实施形态中,第二信息为认证信息加工部3902加工后的信
息。因此,第二信息取得部3402取得认证信息加工部3902加工后的 信息,作为第二信息。
认证信息加工部3902中的认证信息加工处理可使用任意处理。 另外,不必每次进行相同加工,对相同认证信息得到相同的第二信息, 可在加工认证信息的同时,得到不同的第二信息。这样,通过每次不 同的加工,即使窃听从发送部3403发送的第二信息,也可提高安全 性。
即使每次进行不同的加工,但为了进行认证,在进行认证的认证 装置侧,必需识别认证信息加工部3902进行了何种加工。因此,在 认证前,在认证装置与认证请求装置之间,必需执行进行了何种加工 的同步处理。例如,可事先准备几个加工的算法,从认证请求装置向 认证装置发送用第几个算法加工了认证信息。或者,从认证装置向认 证请求装置发送应用第几个算法来加工认证信息。或者,在认证装置 与认证请求装置之间,使时刻同步,对应于时刻来选择算法。
也可不改变加工算法来变更算法的参数。例如,在认证信息上连 接其它信息,对该结果进行实施散列函数的加工时,每次变化其它信 息来作为参数。为此,在认证请求装置与认证装置之间,共享该参数。 例如,从认证请求装置向认证装置发送参数,或从认证装置向认证请 求装置发送参数,或在认证请求装置与认证装置之间使时刻同步,根 据时刻来确定参数。
图40(A)示例本实施形态的认证请求装置的处理流程图。在步骤 S4001中,由加密的第一信息取得部3401取得加密的第一信息。例 如,从认证请求装置的外部取得,在有加密的第一信息保持部3801 的情况下,从其中取得。
在步骤S4002中,认证信息输入部3901输入认证信息。
在步骤S4003中,认证信息加工部3902加工认证信息,作为第~"fe息o
在歩骤S4004中,发送部3403发送加密的第一信息与第二信息。 图40(B)示例本实施形态的认证装置的处理流程图。在步骤S4005 中,接收加密的第一信息与第二信息。 在步骤S4006中,取得解密密钥。
在步骤S4007中,使用解密密钥解密加密的第一信息,并得到第
I FI 'S、 o
在步骤S4008中,加工第一信息。这里的加工使用与步骤S4003 中加工认证信息的相同算法来进行,另外,必要时使用与认证请求装 置加工认证信息中所用的相同算法来进行。
在步骤S4009中,判断加工后的第一信息与第二信息是否存在规 定关系。作为[规定关系] 一例,例如有相同的关系。
根据本实施形态,因为发送加密认证信息所得的第二信息,所以 例如通过使论证信息的加工算法秘密,则难以从第二信息来推测认证 信息。另夕卜,通过使用散列函数来加工,即使认证信息的加工算法不 秘密,也难以从第二信息来知道认证信息,所以可提高安全性。另外, 因为散列(hash)函数的处理所要求的计算量比一般的加密处理少, 所以可简化认证请求装置,降低成本,使处理高速化。
(实施形态4)
说明信息关联装置,作为本发明的实施形态4。所谓信息关联装 置是生成加密的第一信息用的装置。
图41示例信息关联装置的功能框图。信息关联装置具有认证信 息取得部4101、第一信息生成部4102、加密密钥保持部4103和加密 部4104。
[认证信息取得部]4101取得认证信息。例如,从键盘、0-9数 字键或存储卡媒体中取得。或也可由取得虹膜、指纹等生态认证信息 的摄像机或传感器等取得。或者,也可取得经网络从间隔的场所等发
20送的认证信息。此时,期望通过例如SSL(Secure Socket Layer:加密
套接字协议层)等加密经网络进行的通信。
[第一信息生成部]4102利用认证信息取得部取得的认证信息, 与所述认证信息具有一定关系地生成第一信息。例如,可将认证信息 原样作为第一信息,也可对认证信息进行规定运算处理来生成第一信 息。
[加密密钥保持部]4103保持加密密钥。例如,在存储器或硬 盘等中保持密钥。该加密密钥可以是用于共同密钥加工方式的密钥, 也可以是用于公开密钥加密方式的密钥(例如对应于秘密密钥的公开 密钥)。
[加密部]4104通过加密密钥保持部4103保持的加密密钥来加 密的第一信息生成部4104生成的第一信息。
图42示例信息关联装置的处理流程图。在步骤S4201中,通过 认证信息取得部4101取得认证信息。
在步骤S4202中,通过第一信息生成部4102生成第一信息。
在步骤S4203中,通过加密部4104取得加密密钥,在步骤S4204 中,用加密密钥来加密的第一信息。
之后,将加密后的第一信息作为加密的第一信息,记录在存储卡 等媒体中,或保持在认证请求装置中。
通过本实施形态,可生成加密的第一信息。尤其是因为可由与认 证装置不同的装置来生成加密的第一信息,所以认证装置与信息关联 装置不必通过网络等进行通信。从而,可简化、小型化认证装置等。
(实施例)
图43示例此前说明的实施形态的实施例。
图43中,图示认证请求装置4301和认证装置4302。认证请求 装置4301具备非易失性存储器4303。非易失性存储器4303可以是 能取出的,也可以是不能取出的。非易失性存储器4303保持加密V一Allth的信息。相当于第一信息,加密V一Allth的信息相当于加密
的第一信息。另外,非易失性存储器4303也可保持用户ID。用户ID 是加密V—Auth的时间、用户持有的信用卡号码等得到同一值的概率 不太大的值。使用用户ID的目的之一是防止生成V—Auth时口令与 生成其它V—Auth时相同而生成相同的V一Auth。另外,加密的第一 信息也可表示任何目的的信息。
根据图44第一行所示公式来生成V—Auth。这里,[口令]是规 定的认证信息,[||]表示连结运算,由[口令il用户ID]来表示将用 户ID与口令连结所得到的信息。Hashl是散列函数。
在认证请求装置4301对认证装置请求认证时,(l)输入认证信息。 认证请求装置的用户使用认证信息输入部来进行该输入。例如,通过 键盘或0-9数字键来进行输入,或输入用户的指纹或虹膜等生态认证 信息。
(2)至(4)是认证信息加工部的处理,(2滩据图44的(2)所示公式 来求出V—Auth,。接着,(3)从认证装置4302接收询问。所谓[询问] 是根据需要生成的值。期望认证装置每次发送时生成不同值,并且是 难以预测下面生成的值的值。若求出V—Auth'并接收询问,则(4)计算 U—Auth'。根据图44的(4)所示公式来求出U—Auth'。 Hash2是散列函 数,可以是与Hashl相同的函数,也可以不同的函数。
若求出U一Aiith',则(5)取得非易失性存储器中存储的加密 V—Auth的信息,进行连结,(6)发送到认证装置4302。
之后,变为认证装置4302的处理,取得认证装置的非易失性存 储器等中保持的解密密钥,(7)进行加密接收到的V—Auth的信息的解 密,得到V—Auth。接着,(8)根据图44的公式(8),由V—Auth与发送 到认证请求装置的询问来计算U一Auth。最后,(9)对照U—Auth与 U—Auth,。当输入认证请求装置的认证信息与生成V一Auth时的口令 相等时,U一Auth与U一Auth'相等,所以,由此可认证输入认证信息的用户是否是接受加密V_Auth的信息发行的人。
在认证请求装置中,因为认证信息加工中使用的运算是连结与散 列函数,所以要求的计算量不大,可实现认证请求装置的波形化、成 本降低等。另外,因为使用询问来加工认证信息,所以即使知道从认 证请求装置发送到认证装置的信息,也难以产生保密性问题。另外, 在认证装置侧,与现有认证方法不同,不必保持用户ID、 口令。因
此,不会限制加密V一Auth的信息的发行。 (实施形态5)
说明电子信用结算系统,作为本发明的实施形态5。图30表示 本实施形态5中的电子信用结算系统的框图。该电子信用结算系统由 用户所有的便携电话l、信用卡公司的中心2、和设置在小卖店中的 信用结算终端3构成,便携电话1与中心2由便携电话的无线通信网 络4连接,信用结算终端3与中心2通过信用结算网络5连接,便携 电话1与信用结算终端3使用本地无线通信功能(红外线通信、蓝牙、 无线LAN、非接触IC卡的无线通信等)6,进行特别通信。事先在便 携电话1中下载Java信用结应用程序。另外,为了验证对电子信用 实施的信用卡公司进行的电子署名,在信用结算终端3中存储信用卡 公司的证明信,在中心2与信用结算终端3中管理电子信用的加密密 钥的主密钥Km。
首先,从中心2向便携电话1下载对应于用户所有的信用卡的电 子信用(电子信息化后的信用卡、电子值之一)。图1表示电子信用下 载步骤。首先,若用户启动Java信用结算应用程序(lOO),则显示菜 单画面(101),若用户进行电子信用发行请求操作(102),则显示信用 卡的卡号码与PIN、及对应于下载的电子信用的口令(VPW)的画面 (103)。若用户输入卡号码与PIN及口令(104),则便携电话l将口令 (VPW)的散列运算结果Hash(vpw)作为口令的参照数据,存储在便携 电话1的存储器中(105),并根据卡号码(CN)与时刻(T),生成用户识别信息UID:Hash(CNIlt)(※ll表示数据的连结),并存储在存储器中 (106),并根据口令(VPW)与用户识别信息(UID),生成价值认证信息 F(VPW)=Hash(VPW||UID)(107),向中心2发送包含卡号码与PIN和 价值认证信息F(VPW)的电子信用发行请求(108)。中心2根据卡号码 与PIN,认证是否是信用卡所有者的用户(109),在认证的情况下,在 电子信用中埋入价值认证信息F(VPW),生成电子信用(ev)(110)。并 且,散列运算价值(value)认证信息F(VPW),与主密钥Km连结后, 进行散列运算,生成加密电子信用(ev)的共同密钥加密方式的加密密 钥Kc-Hash(KmPash(F(VPW))(lll)。使用生成的加密密钥Kc,加密 电子信用(ev),生成加密后的电子信用encrypt(ev)=Enc(Kc,ev)(112)。 加密后的电子信用encrypt(ev)被发送到便携电话1(113),将加密后的 电子信用encrypt(ev)存储在便携电话的存储器中(114),便携电话1显 示下载完成,电子信用的下载处理完成。
加密后的电子信用300的数据结构如图3所示,加密前的电子信 用由表示信用卡的卡号码、有效期限、用户名、发行者名等的电子信 用信息301、信用卡公司对部分电子信用信息301的电子署名302和 价值认证信息F(VPW)303构成。
若终止Java信用结算应用程序,则从存储器中删除用户输入的 口令。便携电话的存储器中保持的数据为散列运算口令后的数据,假 设便携电话被第三者偷盗,即使分析了内部的存储器,也不必担心知 道口令。
下面,用图2来说明使用下载的电子信用进行信用结算的步骤。 信用结算终端3生成随机数R,作为信用信息。若用户启动Java信 用结算应用程序(201),则显示菜单画面(202),若用户进行电子信用 结算操作(203),则显示输入对应于电子信用的口令(VPW)的画面 (204)。若用户输入口令(VPW')(205),则便携电话1计算口令(VPW,) 的散列数据Hash(VPW,),并与存储器中存储的参照数据的Hash(VPW)误(图 中未记载),在与参照数据一致的情况下,接收来自信用结算终端3
的电子信用请求(207)。电子信用请求中包含随机数R,便携电话1 使用用户输入的口令(VPW,),分别计算价值认证信息 F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的 连结的散列数据Hash(F(VPW')IIR)、价值认证信息的散列数据 Hash(F(VPW'))(208),与加密后的电子信用encrypt(ev) —起,将 Hash(F(VPW'川R)与Hash(F(VPW'))发送到信用结算终端3,作为电子 信用(209)。信用结算终端3根据接收到的价值认证信息的散列数据 Hash(F(VPW,))与主密钥Km,计算其连结Hash,生成加密后的电子 信用的共同密钥加密方式的解密密钥Kc'=Hash(Km|i Hash(F(VPW,))),解密电子信用的密码(210)。信用结算终端3从解密 后的电子信用(ev)中取出价值认证信息F(VPW)),计算与随机数R的 连结的Hash(F(VPW川R),与从便携电话1接收到的Hash(F(VPW'川R) 相对照,在一致的情况下,认证用户为电子信用的正当所有者(211)。 在不一致的情况下,向用户显示错误(未记载于图中)。并且,信用结 算终端3验证电子署名302(212),在检测到错误的情况下,向用户显 示错误。在电子署名302的验证(212)中,在未检测到错误的情况下, 信用结算终端3向便携电话1发送认证结果(213),并且,向中心2 发送信用结算的承认请求(215),中心2进行承认处理(216),从中心2 向信用结算终端3发送承认请求响应(217),信用结算终端3的信用结 算处理完成。另一方面,接收到认证结果的便携电话1显示完成(214), 完成电子信用的信用结算处理。此时,若终止Java信用结算应用程 序,则也从存储器中删除用户输入的口令。
在便携电话1与信用结算终端3之间交换的数据都是散列运算或 加密后的数据,所以即使假设第三者窃听便携电话1与信用结算终端 3之间的通信,也不能使用窃听到的数据来进行冒充。在以上说明中,设对应于电子信用的认证信息为口令,但也可作 为用户的指纹或虹膜等生态信息。此时,便携电话1具备指纹认证传 感器或虹膜认证摄像机等的功能。
另外,在本实施形态5中,描述了电子信用结算系统,但通过变 更电子信用的电子信用信息301的部分内容,也可将同样的认证机构
用于电子支款结算系统或电子票据系统、电子通票系统或会员证或ID
卡等其它电子值的认证处理中。例如,在电子支款结算系统的情况下,
可仅向电子信用信息301的部分中输入银行帐号、用户名、发行者名
等信息。
(实施形态6)
下面,说明使用对应于多种信用卡及多个受让人(7 , 7 < T ,)
的便携型信用结算终端的电子信息结算系统,作为本发明的实施形态
6。在本实施形态6中,便携电话管理多种作为电子信息化后的信用 卡的电子信用(ev:电子值的一种),并使用用户选择的电子信用(ev), 与便携型信用结算终端之间进行结算。因为信用结算终端为便携型, 所以例如小卖店或餐馆店等加盟店的店员可携带信用结算终端,不使 客户(用户)等待,在柜台或场地等接客现场进行结算。
图4表示本实施形态6中的电子信用结算系统的结构框图。该电 子信用结算系统由用户所有的便携电话401、信用卡公司的中心2、 加盟店的店员持有的信用结算终端403、向加盟店提供信用结算服务 的受让人404、连接便携电话401与中心402之间的网络405和连接 信用结算终端403与受让人404之间的网络406构成。
网络405由便携电话的无线通信网络与因特网构成,可基于便携 电话401与中心402的无线通信进行通信。在便携电话401与中心 402的通信中,通常确立SSL(Secure Socket Layer:加密套接字协议 层)或TLS(Transport Layer Security:传输层加密)等的保密通话期 (security session),加密通信数据后传输。网络406由无线通信网络与信用结算网络构成,可进行信用结算
终端403与受让人404的无线通信的通信。便携电话401与信用结算 终端403使用本地无线通信功能(红外线通信、蓝牙、无线LAN、非 接触IC卡的无线通信等),进行综合连接并通信。中心402与受让人 404使用专用线来进行通信。
信用结算终端403对应于多种电子信用的结算,并在受让人不同 的情况下也对应。因此,图4中,中心与受让人仅示出一个,但实际 上信用结算终端403经网络406与多个受让人连接,与多个信用卡公
司的中心之间进行信用结算处理。
事先将管理电子信用(ev)的钱夹(7k'7卜)应用程序下载到便 携电话401中。另外,为了对应于多种信用卡的结算,在信用结算终 端403中对每种卡存储卡信息,在中心402与信用结算终端403中管 理解密电子信用(ev)加密部分的加密密钥的主密钥(Km)。
图5是表示信用结算终端403的内部结构的框图。信用结算终端 403包括:CPU(Central Processing Unit:中央处理器)500,根据 ROM(Read Only Memory:只读存储器)502中存储的程序,进行 EEPROM(Electrically Erasable Programmable ROM:电可擦除只读存 储器)503中存储的数据处理与收发信数据的处理、及经总线513进行 其它结构要素的控制;LCD505、本地无线通信I/F510;保密卡槽501、 操作信用结算终端的开关508、检测开关操作的键控制部509、驱动 扬声器506的声音处理部507、控制经天线512进行的无线数据通信 的无线通信部511;和保密卡501。
本地无线通信I/F510是红外线通信或蓝牙、无线LAN、非接触 IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密卡501是安全管理主密钥(Km)、并安全进行电子信用认证 处理用的器件,由TRM部(Tamper Resistant Module:防篡改模块)514 和闪存部515构成。TRM部514由CPU516、 ROM517、 RAM518、EEPROM519和协同处理器520构成,具有防止从外部不正当访问的 防篡改功能。
闪存部515如图6所示,分别加密并存储电子信用信息列表601 与结算履历信息602。电子信用信息列表601是登录关于信用结算终 端对应种类的电子信用信息的列表,结算履历信息602是信用结算终 端进行的电子信用结算的履历信息。CPU516控制协同处理器520来 进行电子信用信息列表601与结算履历信息602的加密及解密。
图6表示在电子信用信息列表601中登录关于4种电子信用(ev) 的信息的情况。在电子信用信息列表601中,对一种电子信用(ev)分 别登录卡种类、主密钥(Km)、信用卡公司证明信、负列表、受让人信 息、风险管理信息。
卡种类是表示电子信用(ev)种类的识别信息,主密钥(Km)是解密 这种电子信用(ev)加密部分的加密密钥的主密钥,信用卡公司证明信 是发行这种电子信用(ev)的信用卡公司的证明信,负列表是就这种电 子信用(ev)而言无效的电子信用(ev)的卡号码(识别信息)的列表,受让 人信息是有关提供涉及这种电子信用(ev)的信用结算服务的受让人的 信息,风险管理信息是判断在对这种电子信用(ev)进行结算处理的情 况下是否进行场地限制等在线认证等时使用的信息。
此外,电子信用信息列表601中也可对每种电子信用(ev)登录电 子信用结算处理时使用的效果音等声音信息和图像信息等的多媒体 信息。例如,通过对该电子信用(ev)的种类或信用卡品种登录固有的 声音信息和图像信息,在结算完成时从扬声器输出该效果音,在LCD 上显示图像信息,可明确地表示使用了该种类(或信用卡品种)的电子 信用(ev)。
由保密卡501的CPU516来控制对闪存部515中存储的信息的访 问,信用结算终端403经保密卡501的TRM部514,对结算履历信 息602进行写入与读出,但电子信用信息列表601仅能读出,不能写入。另外,在电子信用信息列表601中,控制成主密钥(Km)既不能从 信用结算终端403读出也不能写入。
电子信用信息列表601中保密卡501与受让人经信用结算终端 403及网络406,确立加密的通信对话期,必要时进行更新。例如, 根据加盟店与受让人的合同,进行电子信用信息的追加或删除、风险 管理信息的更新,另外,为了提高安全性,更新主密钥(Km)或负列表。
便携电话401具备本地无线通信I/F,便携电话401的钱夹应用 程序经本地无线通信I/F与信用结算终端403综合连接,使用钱夹应 用程序管理的电子信用(ev)来进行电子信用结算。
在便携电话401的存储器(非易失性存储器)中,如图7所示,存 储钱夹显示信息701、钱夹声音信息702、电子信用列表703,作为 钱夹应用程序管理的信息。钱夹显示信息701是钱夹应用程序显示于 便携电话中的画面中使用的图像或映像信息等显示信息,钱夹声音信 息702是钱夹应用程序使用的效果音或旋律信息等声音信息,电子信 用列表703是钱夹应用程序管理的电子信用(ev)的列表。
图7表示电子信用列表703中登录3个电子信用(ev)的情况。电 子信用列表703中,对1个电子信用(ev)分别登录参照数据、用户识 别信息(UID)、电子信用(ev)、属性。后面详细说明参照数据与用户识 别信息(UID)。属性是对电子信用(ev)设定的属性信息,例如,设定钱 夹应用程序显示电子信用一览时的顺序、或电子信用结算时使用的效 果音、或LED或振动器等的动作。例如用户可选择地进行对应于利 用频度来设定显示电子信用的顺序,分别从钱夹声音信息702选择设 定在电子信用结算完成时、或结算失败时输出的声音,在电子信用结 算完成时使LED闪烁,或在结算失败时使振动器动作。
图8表示电子信用(ev)的数据结构。电子信用大体上由电子信用 公开信息801、保密信息800和显示用信息805构成。保密信息800 是电子信用认证处理中使用的信息,由根据主密钥(Km)生成的加密密钥来加密。另外,显示用信息805是钱夹应用程序在画面中显示电子 信用时使用的信用卡的标识符标记或用户的照片、布置信息等显示信
息,通过选项设定。因此,通过电子信用(ev),有持有与不持有显示 用信息805的信息。
电子信用公开信息801是记载电子信用的卡种类、卡号码、有效 期限、用户名、发行者名等涉及电子信用的、应向用户公开的信息的 部分,钱夹应用程序在将电子信用显示于画面时使用该电子信用公开 信息801。
保密信息800还由电子信用秘密信息802、价值认证信息803与 署名信息804构成。后面详细说明价值认证信息803。
电子信用秘密信息802是记载信用卡公司设定的风险管理信息 等涉及电子信用的、未必向用户公开的信息的部分,是在电子信用结 算时、判断是否信用结算终端403解密密码并进行在线认证等中使用 的信息。
署名信息804是信用卡公司对连结电子信用公开信息801与加密 前的电子信用秘密信息802及价值认证信息803的数据进行的电子署 名,用于在电子信用结算时,由信用结算终端403解密密码,通过验 证电子署名,验证电子信用(ev)的有效性。
期望署名信息804最好是基于公开密钥加密方式、使用在安全性 上密钥长度足够长的密钥生成的电子署名,但也可以是通过信用卡公 司的判断,对连结电子信用公开信息801与加密前的电子信用秘密信 息802及价值认证信息803的数据进行散列运算的结果。
下面,首先说明用户从中心402将电子信用(ev)下载到便携电话 401的步骤。图9表示电子信用(ev)的下载步骤。首先,若用户启动 钱夹应用程序(900),则显示菜单画面(901),若用户通过菜单选择进 行电子信用发行请求操作(902),则对应于电子信用的卡号码与 PIN(Personal Identification Number:个人身份号码)及下载的电子信用
30(ev),显示输入用户设定的价值口令(VPW :
alueword)的画面(903)。此时的卡号 码与PIN是用户已有的信用卡的卡号码与PIN,下载的电子信用赋予 其子卡的位置。另外,也可以不赋予子卡的位置,也可发行电子信用, 作为用户与信用卡公司的新合同。此时,从信用卡公司通过邮递等向 用户告知电子信用用的专用卡号码与PIN。
若用户输入卡号码与PIN及价值口令(904),则便携电话401将 价值口令(VPW)的散列运算结果Hash(VPW)作为价值口令的参照数 据,存储在便携电话401的存储器中(905),并根据卡号码(CN)与时 刻(T),生成用户识别信息UID=Hash(CN||T)(※l哮示数据的连结)并 存储在存储器中(906),并将包含卡号码(CN)、PIN、用户识别信息(UID) 与价值密码(VPW)的电子信用发行请求发送给中心402(907)。此时, 参照数据Hash(VPW)与用户识别信息UID:Hash(CNilT)在便携电话 401的存储器上的电子信用列表703中,作为涉及新下载的电子信用 的数据,分别存储在参照数据与用户识别信息的字段中。
接收电子信用发行请求的中心402根据卡号码(CN)与PIN,认证 用户是否是应成为发行电子信用所有者的用户(908),在认证的情况 下,中心402根据价值口令(VPW)与用户识别信息(UID),生成价值 认证信息F(VPW)= Hash(VPW||UID)(909),散列运算价值认证信息 F(VPW),与主密钥Km相连结,并进行散列运算,生成加密电子信 用(ev)的共同密钥加密方式的加密密钥 Kc=Hash(Km||Hash(F(VPW))(910)。中心402还生成电子信用(ev)的电 子信用公开信息,并根据用户的信用信息与价值口令(VPW)的风险评 价结果,生成电子信用秘密信息,并使用生成的价值认证信息F(VPW) 与加密密钥,生成具有图8所示数据结构的电子信用(ev)(911)。此时, 在根据卡号码(CN)与PIN未认证用户的情况下,从中心402向便携电 话401发送错误消息,终止电子信用(ev)的下载处理(图中未记载)。将生成的电子信用(ev)发送到便携电话401(912),电子信用(ev)被存储在便携电话的存储器中(913),便携电话401显示下载完成(914),完成电子信用的下载处理。此时,电子信用(ev)作为新的电子信用,存储于便携电话401的存储器上的电子信用列表703中。另外,对属性设定默认属性,在默认设定中,没有设定电子信用结算时使用的声音。
另外,在图9的步骤(904)中,用户判断操作性优先于电子信用结算的安全性,在未设定价值口令的情况下,便携电话401在步骤(905)中不进行价值口令(VPW)的散列运算,表示对电子信用列表703的参照数据字段设定空,且不设定价值口令(VPW),在步骤(907)中,对价值口令(VPW)的字段设定空,并发送电子信用结算请求,在步骤(909)中,散列运算用户识别信息(UID),生成价值认证信息F(VPW)-Hash(UID)。
另夕卜,若终止钱夹应用程序,则从便携电话401的存储器中删除用户输入的价值口令(VPW)。便携电话的存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道价值口令。
下面,说明使用下载的电子信用(ev)来进行电子信用结算的步骤。图10表示使用电子信用(ev)的电子信用结算的步骤。首先,若加盟店的店员进行开始电子信用结算的操作(输入结算金额等),则信用结算终端403生成随机数R,作为询问信息(IOOO)。随机数R从保密卡501取得,实际上是保密卡501的CPU516生成的。 一旦用户启动钱夹应用程序(IOOI),则显示菜单画面(1002),若用户通过菜单选择来选择使用的电子信用,并进行电子信用结算操作(1003),则显示输入对应于电子信用的价值口令的画面(1004)。
若用户输入价值口令(VPW')(1005),则便携电话401计算价值口令(VPW,)的散列数据Hash(VPW,),并与电子信用列表703上的对应
32电子信用的参照数据的Hash(VPW)相对照,认证用户(1006)。在与参照数据不一致的情况下,显示错误(图中未记载),在与参照数据一致的情况下,从信用结算终端403接收电子信用请求(1007)。在电子信用请求中包含随机数R与用户终端控制信息。用户终端控制信息是电子信用结算时控制便携电话401的动作用信息,设定信用卡公司进行设定及由加盟店进行电子信用结算的环境所对应的控制信息。具体而言,用户终端控制信息是控制用户可否使用设定为电子信用属性的效果音、其音量等级的控制、及控制LED和振动器的动作的信息。通过用户终端控制信息,例如在医院等安静的环境,因为大的噪音不受欢迎,将音量等级设定的低到用户能够识别的程度,或者,禁止效果音的输出,通过控制LED和振动器的动作,可以向用户明确表示认证处理是否成功。此外,在繁华街道等噪音大的环境中,可以将音量设定的很高来向用户明确表示认证处理是否成功。
便携电话401使用用户输入的价值口令(VPW'),分别计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的连结的散列数据Hash(F(VPW'川R)、价值认证信息的散列数据Hash(F(VPW,))(1008),将Hash(F(VPW,)HR)、 Hash(F(VPW,))和服务终端控制信息与电子信用(ev)—起发送,作为向信用结算终端403提示电子信用的消息(1009)。此时,不发送电子信用(ev)的显示用信息805的部分。服务终端控制信息是控制电子信用结算时信用结算终端403动作用的信息,设定基于用户设定的电子信用属性的控制信息。例如,具体而言,用户终端控制信息中允许使用用户设定的效果音,对电子信用的属性设定电子信用结算完成时输出的效果音的情况下,服务终端控制信息是限制信用结算终端403的电子信用结算完成时声音输出的信息。
信用结算终端403首先验证接收到的电子信用(ev)的电子信用公开信息801的内容的有效性(卡号码与有效期限的验证)后,将接收到的电子信用(ev)、 Hash(F(VPW,川R)和Hash(F(VPW,))发送到保密卡501,在保密卡501中进行电子信用(ev)与用户的离线认证。在电子信用公开信息801的内容有效性的验证中,在检测到错误的情况下,从信用结算终端403向便携电话401发送错误消息,终止电子信用结算的处理(图中未记载)。
保密卡501对照电子信用公开信息801中的卡种类与电子信用信息列表601的卡种类的字段,确定在以后的处理中使用涉及电子信用信息列表601中的哪种电子信用的信息(主密钥(Km)、信用卡公司证明信、负列表、受让人信息、风险管理信息),还对照电子信用(ev)的卡号码与负列表,验证电子信用(ev)未登录在负列表中(1010)。
此时,在电子信用信息列表601中未登录接收到的电子信用(ev)的卡种类所示种类的电子信用的情况下,或接收到的电子信用(ev)登录在负列表中的情况下,保密卡501向信用结算终端403返回错误,随后,从信用结算终端403向便携电话401发送错误消息,终止电子信用结算的处理(图中未记载)。
接着,保密卡501计算接收到的价值认证信息的散列数据Hash(F(VPW'))与主密钥Km的连结散列数据,生成解密电子信用的保密信息800的部分的共同密钥加密方式的解密密钥Kc'=Hash(Km||Hash(F(VPW'))),并使用协同处理器520来解密电子信用的保密信息800(1011)。
保密卡501从解密后的保密信息800中取出价值认证信息803F(VPW),并计算与随机数R的连结的散列数据Hash(F(VPW)ilR),与从便携电话401接收到的Hash(F(VPW,)IIR)相对照,在一致的情况下,认证用户为电子信用的正当所有者(1012)。并且,保密卡501使用信用卡公司证明信中的公开密钥来验证利用协同处理器520解密的保密信息800的署名信息804,验证电子信用(ev)未被篡改或伪造(1013)。在Hash(F(VPW)IIR)与Hash(F(VPW,)IIR)不一致的情况下,或在署名信息验证(1013)中检测到错误的情况下,保密卡501向信用结
算终端403返回错误,并从信用结算终端403向便携电话401发送错误消息,终止电子信用结算的处理(图中未记载)。
在署名信息验证(1013)中未捡测到错误的情况下,即验证了电子信用(ev)的有效性的情况下,保密卡501根据风险管理信息与电子信用(ev)的电子信用秘密信息802,判断是否进行在线认证、结算处理动作(1014)。
在图10的步骤(1014)中判断为进行在线认证的情况下,保密卡501向信用结算终端403显示离线认证完成,同时请求在线认证,信用结算终端403向便携电话401发送认证结果(1015),并根据受让人信息,向受让人404发送电子信用结算的承认请求(1017),受让人404向中心402发送电子信用结算的承认请求(1018),中心402进行承认处理(1019),从中心402向受让人404发送承认请求响应(1020),并且从受让人404向信用结算终端403发送承认请求响应(1021),完成信用结算终端403中的电子信用结算处理。另一方面,接收到认证结果的便携电话401显示完成(1016),结束电子信用结算处理。
在图10的步骤(1014)中判断为不必进行在线认证的情况下,保密卡501向信用结算终端403显示离线认证完成,信用结算终端403向便携电话401发送认证结果(1015),结束电子信用结算处理,接收到认证结果的便携电话401显示完成(1016),结束电子信用结算处理。
另外,若信用结算终端403结束电子信用结算处理,则将履历信息登录在保密卡501的结算履历信息602中,根据登录在电子信用信息列表601中的信息与接收到的服务终端控制信息,表示电子信用结算处理完成。例如,在电子信用信息列表601中登录声音信息的情况下,信用结算终端403输出该声音信息,作为效果音,另外,在对服务终端控制信息限制声音输出的情况下,信用结算终端403不输出效果音。若便携电话401结束电子信用结算处理,则根据使用的电子信用的属性与接收到的用户终端控制信息,显示电子信用结算处理完成。例如,对电子信用的属性设定电子信用结算完成时输出的声音信息,且允许用户终端控制信息使用对属性设定的效果音,在指定音量等级的情况下,便携电话401以指定的音量等级输出声音信息,作为效果音,另外,在禁止用户终端控制信息使用对属性设定的效果音的情况
下,便携电话401不输出效果音。另外,便携电话401在从信用结算终端403发送错误消息后终止电子信用结算的处理时,也同样根据使用的电子信用的属性与接收到的用户终端控制信息,显示电子信用结算处理失败。
另外,在电子信用结算操作(1003沖,在用户选择未设定价值口令的电子信用的情况下,不进行图10的步骤(1004)、步骤(1005)、步骤(1006)的处理,便携电话401从信用结算终端403接收电子信息请求(1007),在步骤(1008)的处理中,散列运算用户识别信息(UID),计算价值认证信息(F(VPW,)^Hash(UID)。
另外,在接收到的电子信用(ev)的署名信息804不是基于公开密钥加密方式的电子署名,而是种类为对连结电子信用公开信息801、与电子信用秘密信息802及价值认证信息803的数据的散列运算结果的电子信用(ev)的情况下,在署名信息的验证(1013)的处理中,计算对连结接收到的电子信用(ev)的电子信用公开信息801与解密密码后的电子信用秘密信息802及价值认证信息803的数据的散列数据,对照署名信息804,验证电子信用(ev)未被篡改或伪造。
另外,在该电子信用结算的情况下,若也终止钱夹应用程序,则从存储器中删除用户输入的价值口令与价值认证信息。在便携电话401与信用结算终端403之间交换的数据中,用于认证处理的数据全部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携电话401与信用结算终端403之间的通信,也无法使用窃听到的数据
36来冒充。
下面,说明使用下载的电子信用(ev)进行电子信用结算的又一步 骤。图11表示本实施形态中使用电子信用(ev)的电子信用结算的又一 步骤,在图IO的步骤中,最初用户自己启动钱夹应用程序,而在图 11所示步骤中,根据从信用结算终端403接收到的消息,启动钱夹 应用程序。
首先,若加盟店的店员操作开始电子信用结算(输入结算金额 等),则信用结算终端403生成随机数R,作为询问信息(IIOO)。该随 机数R从保密卡501取得,实际上是保密卡501的CPU516生成的。 一旦用户进行可从信用结算终端403接收消息的操作(1101),则便携 电话401从信用结算终端403接收电子信用请求(1102)。在电子信用 请求中包含结算金额、随机数R与用户终端控制信息。
接收到电子信用请求的便携电话401启动钱夹应用程序,显示査 询对接收到的结算金额使用哪个电子信用的对话框(1103),若用户通 过菜单选择来选择使用的电子信用,进行电子信用结算操作(1104)时, 显示输入对应于电子信用的价值口令的画面(l 105)。
用户一旦输入价值口令(VPW,)(1106),则便携电话401计算价值 口令(VPW,)的散列数据Hash(VPW,),并与电子信用列表703上的对 应电子信用的参照数据的Hash(VPW)相对照,认证用户(1107)。在与 参照数据不一致的情况下,显示错误(图中未记载),在与参照数据一 致的情况下,便携电话401使用用户输入的价值口令(VPW'),分别 计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及价值认证信息 F(VPW,)与随机数R的连结的散列数据Hash(F(VPW,川R)、价值认证 信息的散列数据Hash(F(VPW,))(1108),将Hash(F(VPW,川R)、 Hash(F(VPW,))和服务终端控制信息与电子信用(ev)—起发送,作为 向信用结算终端403提示电子信用的消息(1009)。此时,不发送电子 信用(ev)的显示用信息805的部分。信用结算终端403首先验证接收到的电子信用(ev)的电子信用公 开信息801的内容的有效性(卡号码与有效期限的验证)后,将接收到 的电子信用(ev)、 Hash(F(VPW'川R)和Hash(F(VPW,))发送到保密卡 501,在保密卡501中进行电子信用(ev)与用户的离线认证。在电子信 用公开信息801的内容有效性的验证中,在检测到错误的情况下,从 信用结算终端403向便携电话401发送错误消息,终止电子信用结算 的处理(图中未记载)。
保密卡501对照电子信用公开信息801中的卡种类与电子信用信 息列表601的卡种类的字段,确定在以后的处理中使用涉及电子信用 信息列表601中的哪种电子信用的信息(主密钥(Km)、信用卡公司证 明信、负列表、受让人信息、风险管理信息),还对照电子信用(ev) 的卡号码与负列表,验证电子信用(ev)未登录在负列表中(1110)。
此时,在电子信用信息列表601中未登录接收到的电子信用(ev) 的卡种类所示种类的电子信用的情况下,或接收到的电子信用(ev)登 录在负列表中的情况下,保密卡501向信用结算终端403返回错误, 随后,从信用结算终端403向便携电话401发送错误消息,终止电子 信用结算的处理(图中未记载)。
接着,保密卡501计算接收到的价值认证信息的散列数据 Hash(F(VPW'))与主密钥Km的连结散列数据,生成解密电子信用的 保密信息800的部分的共同密钥加密方式的解密密钥Kc,=Hash(Km|| Hash(F(VPW'))),并使用协同处理器520来解密电子信用的保密信息 800(1111)。
保密卡501从解密后的保密信息800中取出价值认证信息 803F(VPW),并计算与随机数R的连结的散列数据Hash(F(VPW)IIR), 与从便携电话401接收到的Hash(F(VPW,川R)相对照,在一致的情况 下,认证用户为电子信用的正当所有者(1112)。并且,保密卡501使 用信用卡公司证明信中的公开密钥来验证利用协同处理器520解密的保密信息800的署名信息804,验证电子信用(ev)未被篡改或伪造 (1113)。在Hash(F(VPW)HR)与Hash(F(VPW')IIR)不一致的情况下,或 在署名信息验证(1113)中检测到错误的情况下,保密卡501向信用结 算终端403返回错误,并从信用结算终端403向便携电话401发送错 误消息,终止电子信用结算的处理(图中未记载)。
在署名信息验证(11B)中未检测到错误的情况下,即验证了电子 信用(ev)的有效性的情况下,保密卡501根据风险管理信息与电子信 用(ev)的电子信用秘密信息802,判断是否进行在线认证、结算处理 动作(U14)。
在图11的步骤(1114)中判断为进行在线认证的情况下,保密卡 501向信用结算终端403显示离线认证完成,同时请求在线认证,信 用结算终端403向便携电话401发送认证结果(1115),并根据受让人 信息,向受让人404发送电子信用结算的承认请求(1117),受让人404 向中心402发送电子信用结算的承认请求(1118),中心402进行承认 处理(1119),从中心402向受让人404发送承认请求响应(1120),并 且从受让人404向信用结算终端403发送承认请求响应(1121),完成 信用结算终端403中的电子信用结算处理。另一方面,接收到认证结 果的便携电话401显示完成(1116),结束电子信用结算处理。
在图11的步骤(1114)中判断为不必进行在线认证的情况下,保密 卡501向信用结算终端403显示离线认证完成,信用结算终端403向 便携电话401发送认证结果(1115),结束电子信用结算处理,接收到 认证结果的便携电话401显示完成(1116),结束电子信用结算处理。
另外,若信用结算终端403结束电子信用结算处理,则将履历信 息登录在保密卡501的结算履历信息602中,根据登录在电子信用信 息列表601中的信息与接收到的服务终端控制信息,表示电子信用结 算处理完成。例如,在电子信用信息列表601中登录声音信息的情况 下,信用结算终端403输出该声音信息,作为效果音,另外,在对服务终端控制信息限制声音输出的情况下,信用结算终端403不输出效 果音。
若便携电话401结束电子信用结算处理,则根据使用的电子信用 的属性与接收到的用户终端控制信息,显示电子信用结算处理完成。 例如,对电子信用的属性设定电子信用结算完成时输出的声音信息, 且允许用户终端控制信息使用对属性设定的效果音,在指定音量等级
的情况下,便携电话401以指定的音量等级输出声音信息,作为效果
音,另外,在禁止用户终端控制信息使用对属性设定的效果音的情况
下,便携电话401不输出效果音。另外,便携电话401在从信用结算 终端403发送错误消息后终止电子信用结算的处理时,也同样根据使 用的电子信用的属性与接收到的用户终端控制信息,显示电子信用结 算处理失败。
另外,在电子信用结算操作(1104)中,在用户选择未设定价值口 令的电子信用的情况下,不进行图11的步骤(1105)、步骤(1106)、步 骤(1107)的处理,便携电话401前进到步骤(1108)的处理,散列运算 用户识别信息(UID),计算价值认证信息(F(VPW,)卜Hash(UID)。
另外,在接收到的电子信用(ev)的署名信息804不是基于公开密 钥加密方式的电子署名,而是种类为对连结电子信用公开信息801、 与电子信用秘密信息802及价值认证信息803的数据的散列运算结果 的电子信用(ev)的情况下,在署名信息的验证(1113)的处理中,计算 对连结接收到的电子信用(ev)的电子信用公开信息801与解密密码后 的电子信用秘密信息802及价值认证信息803的数据的散列数据,对 照署名信息804,验证电子信用(ev)未被篡改或伪造。
另外,在该电子信用结算的情况下,若也终止钱夹应用程序,则 从存储器中删除用户输入的价值口令与价值认证信息。在便携电话 401与信用结算终端403之间交换的数据中,用于认证处理的数据全 部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携
40电话401与信用结算终端403之间的通信,也无法使用窃听到的数据 来冒充。
在本实施形态6的以上说明中,虽描述了电子信用结算系统,但
通过变更电子信用的电子信用公开信息801与电子信用秘密信息802 的部分内容,也可将同样的认证机构用于电子支款结算系统或会员证 或ID卡等其它电子值的认证处理中。例如,在电子支款结算系统的 情况下,可仅向电子信用公开信息801的部分中输入银行帐号、用户 名、发行者名等信息。 (实施形态7)
下面,说明电子票据系统,作为本发明的实施形态7。在本实施 形态7中,便携电话管理多种作为电子信息化了的票据(ticket)的 电子票据(ev:电子值的一种),并使用用户选择的电子信用(ev),与 检票装置之间进行检票处理。
图12表示电子票据系统的结构框图。电子票据系统由用户所有 的便携电话1201、票据公司的中心1202、设置在车站的检票或事件 会场入口等的检票装置1203、连接便携电话1201与中心1202之间 及连接检票装置1203与中心1202之间的网络1204构成。
网络1204由便携电话的无线通信网络与因特网构成,可基于便 携电话1201与中心1202的无线通信进行通信,并可基于检票装置 1203与中心1202的因特网进行通信。在便携电话1201与中心1202 的通信及检票装置1203与中心1202的通信中,通常确立SSL(Secure Socket Layer:加密套接字协议层)或TLS(Transport Layer Security:传 输层加密)等的保密通话期(security session),加密通信数据后传输。 便携电话1201与检票装置1203使用本地无线通信功能(红外线通信、 蓝牙、无线LAN、非接触IC卡的无线通信等),进行综合连接并通信。
事先将管理电子信用(ev)的钱夹应用程序下载到便携电话1201 中。另外,为了对应于多种票据的检票处理,在检票装置1203中对每种票据存储票据信息,在中心1202与检票装置1203中管理用于生
成加密密钥的主密钥(Km),该加密密钥解密电子信用(ev)加密的部 分。
图13是表示检票装置1203的内部结构的框图。检票装置1203 包括:开关门的挡板(flap)的门机构部1311;检测用户进入门且启动 检票装置1203的启动传感器1312;本地无线通信I/F1313;LED1314; 扬声器1315和控制这些部件的控制部1310,在控制部1310中,除 直接控制其它部分的控制电路外,还组装保密模块1300。
本地无线通信I/F1313是红外线通信或蓝牙、无线LAN、非接触 IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密模块1300是安全管理主密钥(Km)、并安全进行电子信用认 证处理用的器件,由TRM部(Tamper Resistant Module:防篡改模 块)1306和闪存部1307构成。TRM部1306由CPU1301、 ROM1302、 RAM1303、 EEPROM1304和协同处理器1305构成,具有防止从外部 不正当访问的防篡改功能。
闪存部1307如图14所示,分别加密并存储电子票据信息列表 1401与检票履历信息1402。电子票据信息列表1401是登录关于检票 装置对应种类的电子票据信息的列表,检票履历信息1402是检票装 置进行的电子票据检票处理的履历信息。CPU1301控制协同处理器 1305来进行电子票据信息列表1401与检票履历信息1402的加密及 解密。图14表示在电子票据信息列表1401中登录关于4种电子票据 (ev)的信息的情况。在电子票据信息列表1401中,对一种电子票据(ev) 分别登录票据种类、主密钥(Km)、票据公司证明信、负列表。
票据种类是表示电子票据(ev)种类的识别信息,主密钥(Km)是用 于生成解密这种电子票据(ev)加密部分的加密密钥的主密钥,票据公 司证明信是发行这种电子票据(ev)的票据公司的证明信,负列表是就 这种电子票据(ev)而言无效的电子票据(ev)的票据号码(识别信息)的列表。
此外,电子票据信息列表1401中也可对每种电子票据(ev)登录电
子票据检票处理时使用的效果音等声音信息和图像信息等多媒体信
息。例如,对该电子票据(ev)的种类或票据公司登录固有的声音信息 和图像信息,在完成检票处理从扬声器输出效果音,在LCD上显示 图像信息,由此,可明确地表示使用了该种类(或票据公司)的电子票 据(ev)。
由保密模块1300的CPU13016来控制对闪存部1307中存储的信 息的访问,检票装置1203经保密模块1300的TRM部1306,对检票 履历信息1402进行写入与读出,但电子票据信息列表1401仅能读出, 不能写入。另外,在电子票据信息列表1401中,控制成主密钥(Km) 既不能从检票装置1203读出也不能写入。
电子票据信息列表1401中,保密模块1300与中心经检票装置 1203及网络1204,确立加密的通信对话期,必要时进行更新。例如, 根据管理检票装置1203的从业者与票据公司的合同,进行电子票据 信息的追加或删除,另外,为了提高安全性,更新主密钥(Km)或负列 表。
便携电话1201具备本地无线通信I/F,便携电话1201的钱夹应 用程序经本地无线通信I/F与检票装置1203综合连接,使用钱夹应用 程序管理的电子票据(ev)来进行电子票据检票处理。另外,本实施形 态中的钱夹应用程序也具备实施形态6中说明的管理电子信用并进 行电子信用结算的功能。
在便携电话1201的存储器(非易失性存储器)中,如图15所示, 存储钱夹显示信息1501、钱夹声音信息1502、电子信用列表1503、 电子票据列表1504,作为钱夹应用程序管理的信息。钱夹显示信息 1501是钱夹应用程序显示于便携电话中的画面中使用的图像或映像 信息等显示信息,钱夹声音信息1502是钱夹应用程序使用的效果音或旋律信息等声音信息,电子票据列表1504是钱夹应用程序管理的
电子票据(ev)的列表。电子信用列表1503与实施形态2中说明的电子 信用列表704—样,这里省略说明。
图15表示电子票据列表1504中登录3个电子票据(ev)的情况。 电子票据列表1504中,对1个电子票据(ev)分别登录参照数据、用户 识别信息(UID)、电子票据(ev)、属性。后面详细说明参照数据与用户 识别信息(UID)。
属性是对电子票据(ev)设定的属性信息,例如,设定钱夹应用程 序显示电子票据一览时的顺序、或电子票据检票处理时使用的效果 音、或LED或振动器等的动作。例如用户可选择地进行对应于利用 频度来设定显示电子票据的顺序,分别从钱夹声音信息1502选择设 定在电子票据检票处理完成时、或检票处理失败时输出的声音,在电 子票据检票处理完成时使LED闪烁,或在检票处理失败时使振动器 动作。
图16表示电子票据(ev)的数据结构。电子票据大体上由电子票据 公开信息1601和显示用信息1605构成。保密信息1600是电子票据 认证处理中使用的信息,由根据主密钥(Km)生成的加密密钥来加密。 另外,显示用信息1605是钱夹应用程序在画面中显示电子票据时使 用的图像或布置信息等显示信息,选项设定。因此,通过电子票据(ev), 有持有与不持有显示用信息1605的信息。
电子票据公开信息1601是记载票据属性信息、有效期限、发行 者名等涉及电子票据的、应向用户公开的信息的部分,钱夹应用程序 在将电子票据显示于画面时使用该电子票据公开信息1601。在票据 属性信息中,除表示电子票据种类的票据种类、作为各电子票据的识 别信息的票据号码、表示电子票据是否检票处理完的检票完成标志、 表示电子票据的可使用次数的可使用次数外,在例如事件票据的情况 下,还包含事件名称或日期、座席号码、会场信息等涉及该票据的属性信息。
保密信息1600还由电子票据秘密信息1602、价值认证信息1603 与署名信息1604构成。后面详细说明价值认证信息1603。
电子票据秘密信息1602是记载票据公司设定的顾客管理信息等 涉及电子票据的未必向用户公开的信息的部分,是在电子票据捡票处 理时、检票装置1203解密密码、管理检票装置1203的从业者或票据 公司必要时使用的信息。
署名信息1604是票据公司对连结电子票据公开信息1601与加密 前的电子票据秘密信息1602及价值认证信息1603的数据进行的电子 署名,用于在电子票据检票处理时,由检票装置1203解密密码,通 过验证电子署名,验证电子票据(ev)的有效性。
期望署名信息1604是基于公开密钥加密方式的、使用安全性上 密钥长度足够长的密钥生成的电子署名,但也可以是通过票据公司的 判断,对连结电子票据公开信息1601与加密前的电子票据秘密信息 1602及价值认证信息1603的数据进行散列运算的结果。
下面,首先说明用户从中心1202下载电子票据(ev)的步骤。图 17表示电子票据(ev)的下载步骤。首先,用户使用便携电话1201的 因特网访问功能,访问中心1202,选择希望的电子票据,另外,必 要时执行进行贷款的结算处理等获得电子票据的操作(1700),若在便 携电话1201与中心1202之间进行获得处理(1701),则从中心1202 向便携电话1201发送导航消息(1702)。导航消息(1702)是督促便携电 话1201下载电子票据(ev)的消息,包含识别下载的电子票据(ev)的交 易号码(TN)。
接收到导航消息(1702)的便携电话1201启动钱夹应用程序,显 示查询是否下载电子票据的对话框(1703),若用户进行电子票据发行 请求操作(1704),则显示输入用户对应于下载的电子票据(ev)来设定 的价值口令(VPW: 〈U〉v々U〉alue〈U〉p々U〉ass〈U〉w〈/UX)rd)的画面
45(1705)。
若用户输入价值口令(1706),则便携电话1201将价值口令(VPW) 的散列运算结果Hash(VPW)作为价值口令的参照数据,存储在便携 电话1201的存储器中(1707),并根据交易号码(TN)与时刻(T),生成
用户识别信息UE^Hash(TNIIT)(※l哮示数据连结)并存储在存储器中 (1708),还根据价值口令(VPW)与用户识别信息UID,生成价值认证 信息F(VPW)= Hash(VPW||UID)(1709),将包含交易号码(TN)与价值 认证信息F(VPW)的电子票据发行请求发送给中心1202(1710)。此时, 参照数据Hash(VPW)与用户识别信息UID-Hash(TNHT)在便携电话 1201的存储器上的电子票据列表1504中,作为涉及新下载的电子票 据的数据,分别存储在参照数据与用户识别信息的字段中。
接收到电子票据发行请求的中心1202根据交易号码(TN)特定 发行的电子票据(1711),散列运算价值认证信息F(VPW),与主密钥 Km连结后,再进行散列运算,生成加密电子票据(ev)的共同密钥加 密方式的加密密钥Kt-Hash(KmllHash(F(VPW)))(1712)。中心1202还 生成电子票据(ev)的电子票据公开信息及电子票据秘密信息,并使用 接收到的价值认证信息F(VPW)与加密密钥Kt,生成具有图16所示 数据结构的电子票据(ev)(1713)。
将生成的电子票据(ev拨送到便携电话1201(1714),电子票据(ev) 被存储在便携电话的存储器中(1715),便携电话1201显示下载完成 (1716),完成电子票据的下载处理。此时,电子票据(ev)作为新的电 子票据,存储于便携电话1201的存储器上的电子票据列表1504中。 另外,对属性设定默认属性,在默认设定中,设定电子票据检票处理 时使用的声音。
另夕卜,在图17的步骤(1706)中,用户判断操作性优先于电子票 据检票处理的安全性,在未设定价值口令的情况下,便携电话1201 在步骤(1707)中不进行价值口令(VPW)的散列运算,表示对电子信用列表1504的参照数据字段设定空,且不设定价值口令(VPW),在步
骤(1709)中,散列运算用户识别信息(UID),生成价值认证信息 F(VPW)=Hash(UID)0另外,若终止钱夹应用程序,则从便携电话1201的存储器中删 除用户输入的价值口令(VPW)与价值认证信息F(VPW)。便携电话的 存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第 三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道 价值口令。
下面,说明使用下载的电子票据(ev)来进行电子票据检票处理的 步骤。图18表示使用电子票据(ev)的电子票据检票处理的步骤。
首先,若用户拿着便携电话1201侵入检票装置1203的门,则启 动传感器1312进行检测,启动检票装置1203,检票装置1203生成 随机数R,作为询问信息(1800)。该随机数R1从保密模块1300取得, 实际上是保密模块1300的CPU1301生成的。 一旦用户启动钱夹应用 程序(ISOI),则显示菜单画面(1802),若用户通过菜单选择来选择使 用的电子票据,并进行电子票据使用操作(1803),则显示输入对应于 电子票据的价值口令的画面(1804)。
若用户输入价值口令(VPW,)(1805),则便携电话1201计算价值 口令(VPW,)的散列数据Hash(VPW,),并与电子票据列表1504上的 对应电子票据的参照数据的Hash(VPW)相对照,认证用户(1806)。在 与参照数据不一致的情况下,显示错误(图中未记载),在与参照数据 一致的情况下,从检票装置1203接收电子票据提示请求(1807)。在电 子票据提示请求中包含随机数R1与用户终端控制信息。用户终端控 制信息是电子票据检票处理时控制便携电话1201的动作用信息,设 定票据公司进行设定及由管理检票装置的从业者进行电子票据检票 处理的环境所对应的控制信息。具体而言,用户终端控制信息是控制 用户可否使用设定为电子票据属性的效果音、其音量等级的信息、及控制LED和振动器的动作的信息。通过用户终端控制信息,例如在 经典音乐会等安静的环境,因为大的噪音不受欢迎,将音量等级设定 的低到用户能够识别的程度,或者,禁止效果音的输出,通过控制
LED和振动器的动作,可以向用户明确表示认证处理是否失败。此
外,在繁华街道等噪音大的环境中,可以将音量设定的很高,来向用 户明确表示认证处理是否成功。
便携电话1201生成随机数R1(1908),并使用用户输入的价值口 令(VPW,),分别计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及 价值认证信息F(VPW,)与随机数Rl的连结的散列数据 Hash(F(VPW,)ilRl)、价值认证信息的散列数据Hash(F(VPW,))(1809), 将Hash(F(VPW,川Rl)、 Hash(F(VPW,))和服务终端控制信息与电子票 据(ev)—起发送,作为向检票装置1203提示电子票据的消息(1810)。 此时,不发送电子票据(ev)的显示用信息1605的部分。服务终端控制 信息是控制电子票据检票处理时检票装置1203动作用的信息,设定 基于用户设定的电子票据属性的控制信息。例如,具体而言,用户终 端控制信息中允许使用用户设定的效果音,对电子票据的属性设定电 子票据检票处理完成时输出的效果音的情况下,服务终端控制信息是 限制捡票装置1203的电子票据检票处理完成时声音输出的信息。
检票装置1203首先验证接收到的电子票据(ev)的电子票据公开 信息1601的内容的有效性(检票完成标志或有效期限、可使用次数的 验证)后,将接收到的电子票据(ev) 、 Hash(F(VPW,)ilRl)和 Hash(F(VPW,))发送到保密模块1300,在保密模块1300中迸行电子 票据(ev)与用户的离线认证。在电子票据公开信息1601的内容有效性 的验证中,在检测到错误的情况下,从检票装置1203向便携电话1201 发送错误消息,终止电子票据检票处理的处理(图中未记载)。
保密模块1300对照电子票据公开信息1601中的票据种类与电子 票据信息列表1401的票据种类的字段,特定在以后的处理中使用涉
48及电子票据信息列表1401中的哪种电子票据的信息(主密钥(Km)、票 据公司证明信),还对照电子票据(ev)的票据号码与负列表,验证电子 票据(ev)未登录在负列表中(lS 11)。
此时,在电子票据信息列表1401中未登录接收到的电子票据(ev) 的票据种类所示种类的电子票据的情况下,或接收到的电子票据(ev) 登录在负列表中的情况下,保密模块1300向检票装置1203返回错误, 随后,从检票装置1203向便携电话1201发送错误消息,终止电子票 据检票处理的处理(图中未记载)。
接着,保密模块1300计算接收到的价值认证信息的散列数据 Hash(F0/PW'))与主密钥Km的连结散列数据,生成解密电子票据的 保密信息1600的部分的共同密钥加密方式的解密密钥Kt'-Hash(Kmll Hash(F(VPW,))),并使用协同处理器1305来解密电子票据的保密信 息1600(1812)。
保密模块1300从解密后的保密信息1600中取出价值认证信息 1603F(VPW),并计算与随机数Rl的连结的散列数据 Hash(F(VPW川Rl),与从便携电话1201接收到的Hash(F(VPW,)||Rl) 相对照,在一致的情况下,认证用户为电子票据的正当所有者(1813)。 并且,保密模块BOO使用票据公司证明信中的公开密钥来验证利用 协同处理器1305解密的保密信息1600的署名信息1604所示的电子 署名,验证电子票据(ev)未被篡改或伪造(1814)。在Hash(F(VPW川Rl) 与Hash(F(VPW,)IIRl)不一致的情况下,或在署名信息验证(1814)中检 测到错误的情况下,保密模块1300返回错误,并从检票装置1203向 便携电话1201发送错误消息,终止电子票据检票处理的处理(图中未 记载)。
在署名信息验证(1814)中未检测到错误的情况下,即验证了电子 票据(ev)的有效性的情况下,保密模块1300将电子票据公开信息1601 与电子票据秘密信息1602的内容变更为检票处理后的状态,并生成检票处理后的电子票据(ev,)(1815)。例如此时,设立检票完成标志, 减少可使用次数。该检票处理后的电子票据(ev')是对连结电子票据公 开信息1601、与加密前的电子票据秘密信息1602及价值认证信息 1603的数据进行散列运算的结果。
接着,保密模块1300生成价值认证信息1603F(VPW)、随机数 Rl与随机数R2的连结的散列数据Hash(F(VPW川RlHR2)(1816),显 示电子票据的离线认证完成。此时,检票装置1203将 Hash(F(VPW)ilRlllR2)与电子票据(ev,)一起发送,作为请求便携电话 1201更新电子票据的消息(1817)。 Hash(F(VPW)liRlUR2)是在检票装 置1203的保密模块1300中登录电子票据(ev)的电子票据信息、若为 主密钥Km则不能生成的信息,变为便携电话1201用于认证检票装 置1203的信息。
便携电话1201计算价值认证信息F(VPW')、随机数Rl与随机 数R2的连结的散列数据Hash(F(VPW,)||Rl|iR2),并与接收到的 Hash(F(VPW,川RlilR2)相对照,在一致的情况下,认证检票装置1203 是在保密模块1300中登录电子票据(ev)的电子票据信息检票装置 (1818),将电子票据列表1504的电子票据(ev)更新为接收到的检票处 理后的电子票据(ev')(1819),向检票装置1203发送表示更新了电子票 据的更新通知(1820),对用户显示完成(1822),完成电子票据检票处 理。另一方面,接收到更新通知的检票装置1203的控制部1306控制 门机构部1307,打开门的挡板,允许用户通过,完成检票装置1203 的电子票据检票处理(1821)。
另外,若检票装置1203完成电子票据检票处理,则将履历信息 登录在保密模块1300的检票履历信息1402中,并根据电子票据信息 列表1401中登录的信息与接收到的服务终端控制信息,显示电子票 据检票处理完成。例如,在电子票据信息列表1401中登录声音信息 的情况下,检票装置1203输出该声音信息作为效果音,另外,在对服务终端控制信息限制声音输出的情况下,检票装置1203不输出效 果音。
若便携电话1201完成电子票据检票处理,则根据使用的电子票 据的属性与接收到的用户终端控制信息,显示电子票据检票处理完 成。例如,对电子票据的属性设定电子票据检票处理完成时输出的声 音信息,且允许用户终端控制信息使用对属性设定的效果音,在指定 音量等级的情况下,便携电话1201以指定的音量等级输出声音信息, 作为效果音,另外,在禁止用户终端控制信息使用对属性设定的效果 音的情况下,便携电话1201不输出效果音。另外,便携电话1201在 从检票装置1203发送错误消息后终止电子票据检票处理时,也同样 根据使用的电子票据的属性与接收到的用户终端控制信息,显示电子 票据检票处理失败。
另外,在电子票据使用操作(1803)中,在用户选择未设定价值口 令的电子票据的情况下,不进行图18的步骤(1804)、步骤(1805)、步 骤(1806)的处理,便携电话1201从检票装置1203接收电子票据提示 请求(1807),在步骤(1809)的处理中,散列运算用户识别信息(UID), 计算价值认证信息(F(VPW,))-Hash(UID)。
另外,在接收到的电子票据(ev)的署名信息1604不是基于公开密 钥加密方式的电子署名,而是种类为对连结电子票据公开信息1601、 与电子票据秘密信息1602及价值认证信息1603的数据的散列运算结 果的电子票据(ev)的情况下,在署名信息的验证(1814)的处理中,计 算对连结接收到的电子票据(ev)的电子票据公开信息1601与解密密 码后的电子票据秘密信息1602及价值认证信息1603的数据的散列数 据,对照署名信息1604,验证电子票据(ev)未被篡改或伪造。
另外,在该电子票据检票处理的情况下,若也终止钱夹应用程序, 则从存储器中删除用户输入的价值口令与价值认证信息。在便携电话 1201与检票装置1203之间交换的数据中,用于认证处理的数据全部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携电 话1201与检票装置1203之间的通信,也无法使用窃听到的数据来冒 充。
下面,说明使用下载的电子票据(ev)来进行电子票据检票处理的 又一步骤。图19表示本实施形态中使用电子票据(ev)的电子票据检票 处理的又一步骤,在图18所示步骤中,最初用户自己启动钱夹应用 程序,但在图19所示步骤中,根据从检票装置1203接收到的消息来 启动钱夹应用程序。
首先,若用户拿着便携电话1201侵入检票装置1203的门,则启 动传感器1312进行检测,启动检票装置1203,检票装置1203生成 随机数R,作为询问信息(1900)。该随机数R1从保密模块1300取得, 实际上是保密模块1300的CPU1301生成的。 一旦用户进行可从检票 装置1203接收消息的操作(1901),则便携电话1201从检票装置1203 接收电子票据提示请求(1902)。在电子票据提示请求中包含票据种类、 随机数R1与用户终端控制信息。票据种类是电子票据信息列表1401 中登录的电子票据的票据种类列表,是表示检票装置1203可检票处 理的电子票据种类的信息。
在接收电子票据提示请求的便携电话1201中,启动钱夹应用程 序,显示查询用户是否使用电子票据的对话框(1903)。此时,便携电 话1201对照接收到的票据种类与电子票据列表1504,提示用户由检 票装置1203检票处理的电子票据。对照结果,在电子票据列表1504 中存在多个对应电子票据的情况下,显示其一览,在没有对应的电子 票据的情况下,向用户显示没有对应的电子票据(图中未记载)。
若用户选择使用的电子票据来进行电子票据使用操作(1904),则 显示输入对应于电子票据的价值口令的画面(1905)。若用户输入价值 口令(VPW,)(1906),则便携电话1201计算价值口令(VPW')的散列数 据Hash(VPW,),并与电子票据列表1504上的对应电子票据的参照数据的Hash(VPW)相对照,认证用户(1907)。在与参照数据不一致的情 况下,显示错误(图中未记载),在与参照数据一致的情况下,便携电 话1201生成随机数R2(1908),并使用用户输入的价值口令(VPW,), 分别计算价值认证信息F(VPW')-Hash(VPW'piD)、及价值认证信息 F(VPW,)与随机数R1的连结的散列数据Hash(F(VPW,)llRl)、价值认 证信息的散列数据Hash(F(VPW,))(1909),将Hash(F(VPW,)||Rl)、 Hash(F(VPW,))和服务终端控制信息与电子票据(ev)—起发送,作为 向检票装置1203提示电子票据的消息(1910)。此时,不发送电子票据 (ev)的显示用信息1605的部分。
检票装置1203首先验证接收到的电子票据(ev)的电子票据公开 信息1601的内容的有效性(检票完成标志或有效期限、可使用次数的 验证)后,将接收到的电子票据(ev) 、 Hash(F(VPW,川Rl)和 Hash(F(VPW,))发送到保密模块1300,在保密模块1300中进行电子 票据(ev)与用户的离线认证。在电子票据公开信息1601的内容有效性 的验证中,在检测到错误的情况下,从检票装置1203向便携电话1201 发送错误消息,终止电子票据检票处理的处理(图中未记载)。
保密模块1300对照电子票据公开信息1601中的票据种类与电子 票据信息列表1401的票据种类的字段,特定在以后的处理中使用涉 及电子票据信息列表1401中的哪种电子票据的信息(主密钥(Km)、票 据公司证明信),还对照电子票据(ev)的票据号码与负列表,验证电子 票据(ev)未登录在负列表中(1911)。
此时,在电子票据信息列表1401中未登录接收到的电子票据(ev) 的票据种类所示种类的电子票据的情况下,或接收到的电子票据(ev) 登录在负列表中的情况下,保密模块1300向检票装置1203返回错误, 随后,从检票装置1203向便携电话1201发送错误消息,终止电子票 据检票处理的处理(图中未记载)。
接着,保密模块1300计算接收到的价值认证信息的散列数据Hash(F(VPW,))与主密钥Km的连结散列数据,生成解密电子票据的 保密信息1600的部分的共同密钥加密方式的解密密钥Kt^Hash(Kml1 Hash(F(VPW,))),并使用协同处理器1305来解密电子票据的保密信 息1600(1912)。
保密模块1300从解密后的保密信息1600中取出价值认证信息 1603F(VPW),并计算与随机数Rl的连结的散列数据 Hash(F(VPW)||Rl),与从便携电话1201接收到的Hash(F(VPW,)||Rl) 相对照,在一致的情况下,认证用户为电子票据的正当所有者(1913)。 并且,保密模块1300使用票据公司证明信中的公开密钥来验证利用 协同处理器1305解密的保密信息1600的署名信息1604所示的电子 署名,验证电子票据(ev)未被篡改或伪造(1914)。在Hash(F(VPW川Rl) 与Hash(F(VPW,川Rl)不一致的情况下,或在署名信息验证(1914)中检 测到错误的情况下,保密模块1300返回错误,并从检票装置1203向 便携电话1201发送错误消息,终止电子票据检票处理的处理(图中未 记载)。
在署名信息验证(1914)中未检测到错误的情况下,即验证了电子 票据(ev)的有效性的情况下,保密模块1300将电子票据公开信息1601 与电子票据秘密信息1602的内容变更为检票处理后的状态,并生成 检票处理后的电子票据(ev,)(1915)。例如此时,设立检票完成标志, 减少可使用次数。该检票处理后的电子票据(ev')是对连结电子票据公 开信息1601、与加密前的电子票据秘密信息1602及价值认证信息 1603的数据进行散列运算的结果。
接着,保密模块1300生成价值认证信息1603F(VPW)、随机数 Rl与随机数R2的连结的散列数据Hash(F(VPW)||Rl||R2X1916),显 示电子票据的离线认证完成。此时,检票装置1203将 Hash(F(VPW川RlilR2)与电子票据(ev,)一起发送,作为请求便携电话 1201更新电子票据的消息(1917)。 Hash(F(VPW)IIRlHR2)是在检票装
54置1203的保密模块1300中登录电子票据(ev)的电子票据信息、若为 主密钥Km则不能生成的信息,变为便携电话1201用于认证检票装 置1203的信息。
便携电话1201计算价值认证信息F(VPW')、随机数Rl与随机 数R2的连结的散列数据Hash(F(VPW,)||Rl|jR2),并与接收到的 Hash(F(VPW,)IIRlilR2)相对照,在一致的情况下,认证检票装置1203 是在保密模块1300中登录电子票据(ev)的电子票据信息检票装置 (1918),将电子票据列表1504的电子票据(ev)更新为接收到的检票处 理后的电子票据(ev,)(1919),向检票装置1203发送表示更新了电子票 据的更新通知(1920),对用户显示完成(1922),完成电子票据捡票处 理。另一方面,接收到更新通知的检票装置1203的控制部1306控制 门机构部1307,打开门的挡板,允许用户通过,完成检票装置1203 的电子票据检票处理(1921)。
另外,若检票装置1203完成电子票据检票处理,则将履历信息 登录在保密模块1300的检票履历信息1402中,并根据电子票据信息 列表1401中登录的信息与接收到的服务终端控制信息,显示电子票 据检票处理完成。例如,在电子票据信息列表1401中登录声音信息 的情况下,检票装置1203输出该声音信息作为效果音,另外,在对 服务终端控制信息限制声音输出的情况下,检票装置1203不输出效 果音。
若便携电话1201完成电子票据检票处理,则根据使用的电子票 据的属性与接收到的用户终端控制信息,显示电子票据检票处理完 成。例如,对电子票据的属性设定电子票据检票处理完成时输出的声 音信息,且允许用户终端控制信息使用对属性设定的效果音,在指定 音量等级的情况下,便携电话1201以指定的音量等级输出声音信息, 作为效果音,另外,在禁止用户终端控制信息使用对属性设定的效果 音的情况下,便携电话1201不输出效果音。另夕卜,便携电话1201在从检票装置1203发送错误消息后终止电子票据检票处理时,也同样 根据使用的电子票据的属性与接收到的用户终端控制信息,显示电子 票据检票处理失败。
另外,在电子票据使用操作(1903)中,在用户选择未设定价值口 令的电子票据的情况下,不进行图19的步骤(1905)、步骤(1卯6)、步 骤(1907)的处理,便携电话1201前进到步骤(1908)的处理,并且在步 骤(1909)的处理中,散列运算用户识别信息(UID),计算价值认证信息 (F(VPW,))=Hash(UID)。
另外,在接收到的电子票据(ev)的署名信息1604不是基于公开密 钥加密方式的电子署名,而是种类为对连结电子票据公开信息1601、 与电子票据秘密信息1602及价值认证信息1603的数据的散列运算结 果的电子票据(ev)的情况下,在署名信息的验证(1914)的处理中,计 算对连结接收到的电子票据(ev)的电子票据公开信息1601与解密密 码后的电子票据秘密信息1602及价值认证信息1603的数据的散列数 据,对照署名信息1604,验证电子票据(ev)未被篡改或伪造。
另外,在该电子票据检票处理的情况下,若也终止钱夹应用程序, 则从存储器中删除用户输入的价值口令与价值认证信息。在便携电话 1201与检票装置1203之间交换的数据中,用于认证处理的数据全部 是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携电 话1201与检票装置1203之间的通信,也无法使用窃听到的数据来冒 充。
在本实施形态7的以上说明中,虽描述了电子票据系统,但通过 变更电子票据的电子票据公开信息1601与电子票据秘密信息1602的 部分内容,也可将同样的认证机构用于电子通票系统或电子货币系统 等其它电子值的认证处理中。例如,在电子通票系统的情况下,可仅 向电子票据公开信息1601的部分中输入涉及折扣率等由通票提供的 服务的信息,另外,在电子货币系统的情况下,也可向电子票据公开信息1601的部分中输入表示电子货币余额的信息,代替可使用次数, 在检票处理时,检票装置减去利用金额。 (实施形态8)
下面,说明业务用途的电子密钥系统,作为本发明的实施形态8。 在本实施形态8中,便携电话管理多种作为电子信息化后的密钥的电 子密钥(ev:电子值的一种),并使用用户选择的电子密钥(ev),与锁 装置之间进行认证处理。
图20表示电子密钥系统的结构框图。电子密钥系统由用户所有 的便携电话2001、管理会议室或集会地等的设施或出租车等设备的 管理公司的中心2002、安装在会议室或汽车的门等上的锁装置2003、 和连接便携电话2001与中心2002的网络2004。根据本实施形态的 电子密钥系统,用户从中心2002将密钥作为电子密钥(ev)下载到便携 电话2001,可打开或关闭锁装置2003,因为不产生物理的密钥交接, 所以用户不必到管理密钥的地方去取密钥,另外,因为管理侧也不必 设置交接密钥的从业者,所以可实现业务效率化。
网络2004由便携电话的无线通信网络与因特网构成,可基于便 携电话2001与中心2002的无线通信进行通信。在便携电话2001与 中心2002的通信中,通常确立SSL(Secure Socket Layer:加密套接字 协议层)或TLS(Transport Layer Security:传输层加密)等的保密通话期 (security session),加密通信数据后传输。
便携电话2001与锁装置2003使用本地无线通信功能(红外线通 信、蓝牙、无线LAN、非接触IC卡的无线通信等),进行综合连接并 通信。事先将管理电子密钥(ev)的钱夹应用程序下载到便携电话2001 中。另外,在中心2002与锁装置2003中管理用于生成解密电子密钥 (ev)加密部分的加密密钥的主密钥(Km)。从安全上期望主密钥(Km) 对每个锁装置2003都不同,但也可在适当数量的锁装置2003的单位 中使用相同的主密钥(Km)。中心2002管理对每个锁装置2003使用哪个主密钥(Km)。
图21是表示锁装置2003的内部结构的框图。锁装置2003包括:物理开关锁的锁机构部2111;检测用户操作并启动锁装置2003的启动传感器2112;本地无线通信I/F2113;表示锁装置2003的状态的LED2114;控制开关2115和控制这些部件的控制部2110,在控制部2110中,除直接控制其它部分的控制电路外,还组装保密模块2100。本地无线通信I/F2113是红外线通信或蓝牙、无线LAN、非接触IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密模块2100是安全管理主密钥(Km)、并安全进行电子密钥认证处理用的器件,保密模块2100由CPU2101、ROM2102、RAM2103、EEPROM2104和协同处理器2105构成,具有防止从外部不正当访问的防篡改功能。
EEPROM2104中存储锁ID、主密钥(Km)、管理公司公开密钥。锁ID是锁装置2003的识别信息,主密钥(Km)是用于生成解密锁装置2003的电子密钥(ev)加密部分的加密密钥的主密钥,管理公司公开密钥是发行锁装置2003的电子密钥(ev)的管理公司的公开密钥。
CPU2101控制对保密模块2100的EEPROM2104中存储的信息的访问,可从控制部2110的其它控制电路读出锁ID与管理公司公开密钥,但不能改写。另外,既不能读出也不能写入地控制主密钥(Km)。
便携电话2001具备本地无线通信I/F,便携电话2001的钱夹应用程序经本地无线通信I/F与锁装置2003综合连接,使用钱夹应用程序管理的电子密钥(ev)来进行电子密钥的认证处理。另外,本实施形态8中的钱夹应用程序也具备管理实施形态2中说明的电子信用和实施形态3中说明的电子票据并进行电子信用结算或电子票据检票处理的功能。
在便携电话2001的存储器(非易失性存储器)中,如图22所示,存储钱夹显示信息2201、钱夹声音信息2202、电子信用列表2203、电子票据列表2204、电子密钥列表2205,作为钱夹应用程序管理的 信息。钱夹显示信息2201是钱夹应用程序显示于便携电话中的画面 中使用的图像或映像信息等显示信息,钱夹声音信息2202是钱夹应 用程序使用的效果音或旋律信息等声音信息,电子密钥列表2205是 钱夹应用程序管理的电子密钥(ev)的列表。电子信用列表2203与实施 形态2中说明的电子信用列表703 —样,另外,电子票据列表2204 与实施形态3中说明的电子票据列表1504—样,这里省略说明。
图22表示电子密钥列表2205中登录3个电子密钥(ev)的情况。 电子密钥列表2205中,对1个电子密钥(ev)分别登录参照数据、用户 识别信息(UID)、电子密钥(ev)、属性。后面详细说明参照数据与用户 识别信息(UID)。
属性是对电子密钥(ev)设定的属性信息,例如,设定钱夹应用程 序显示电子密钥一览时的顺序、或电子密钥认证处理时使用的效果 音、或LED或振动器等的动作。例如用户可选择地进行对应于利用 频度来设定显示电子密钥的顺序,分别从钱夹声音信息2202选择设 定在电子密钥认证处理完成时、或认证处理失败时输出的声音,在电 子密钥认证处理完成时使LED闪烁,或在认证处理失败时使振动器 动作。
图23表示电子密钥(ev)的数据结构。电子密钥大体上由电子密钥 公开信息2301、保密信息2300和显示用信息2305构成。保密信息 2300是电子密钥认证处理中使用的信息,由根据主密钥(Km)生成的 加密密钥来加密。另外,显示用信息2305是钱夹应用程序在画面中 显示电子密钥时使用的图像信息等显示信息,选项设定。因此,通过 电子密钥(ev),有持有与不持有显示用信息2305。例如,在会议室的 电子密钥的情况下,将表示会议室场所的地图或草图等信息设定为显 示用信息。
电子密钥公开信息2301是记载密钥名称、密钥ID、锁ID、有效期限、发行者名等涉及电子密钥的、应向用户公开的信息的部分,钱 夹应用程序在将电子密钥显示于画面时使用该电子密钥公开信息
2301。
保密信息2300还由电子密钥秘密信息2302、价值认证信息2303 与署名信息2304构成。后面详细说明价值认证信息2303。
电子密钥秘密信息2302是记载管理锁装置2003的管理公司设定 的顾客管理信息等涉及电子密钥的未必向用户公开的信息的部分,是 在电子密钥认证处理时、锁装置2003解密密码、管理公司必要时使 用的信息。
署名信息2304是管理公司对连结电子密钥公开信息2301与加密 前的电子密钥秘密信息2302及价值认证信息2303的数据进行的电子 署名,用于在电子密钥认证处理时,由锁装置2003解密密码,通过 验证电子署名,验证电子密钥(ev)的有效性。
期望署名信息2304是基于公开密钥加密方式的、使用安全性上 密钥长度足够长的密钥生成的电子署名,但也可以是通过管理公司的 判断,对连结电子密钥公开信息2301与加密前的电子密钥秘密信息 2302及价值认证信息2303的数据进行散列运算的结果。
下面,首先说明用户从中心2002将电子票据(ev)下载到便携电话 2001的步骤。图24表示电子票据(ev)的下载步骤。首先,用户使用 便携电话2001的因特网访问功能,访问中心2002,预约会议室等的 设施或出租车等,另外,必要时执行进行贷款的结算处理等获得电子 密钥的操作(2400),若在便携电话2001与中心2002之间进行获得处 理(24(U),则从中心2002向便携电话2001发送导航消息(2402)。导 航消息(2402)是督促便携电话2001下载电子密钥(ev)的消息,包含识 别下载的电子密钥(ev)的交易号码(TN)。
接收到导航消息(2402)的便携电话2001启动钱夹应用程序,显 示査询是否下载电子密钥的对话框(2403),若用户进行电子密钥发行
60请求操作(2404),则显示输入用户对应于下载的电子密钥(ev)来设定的价值口令(VPW: 〈U〉v々U〉alue〈U〉p〈/U〉ass〈U〉w々U〉ord)的画面(2405)。
若用户输入价值口令(2406),则便携电话2001将价值口令(VPW)的散列运算结果Hash(VPW)作为价值口令的参照数据,存储在便携电话2001的存储器中(2407),并根据交易号码(TN)与时刻(T),生成用户识别信息UID=HaSh(TN||T)(※ij表示数据连结)并存储在存储器中(2408),还根据价值口令(VPW)与用户识别信息(UID),生成价值认证信息F(VPW)= Hash(VPW||UID)(2409),将包含交易号码(TN)与价值认证信息F(VPW)的电子密钥发行请求发送给中心2002(2410)。此时,参照数据Hash(VPW)与用户识别信息UID-Hash(TNIIT)在便携电话2001的存储器上的电子密钥列表2204中,作为涉及新下载的电子密钥的数据,分别存储在参照数据与用户识别信息的字段中。
接收到电子密钥发行请求的中心2002根据交易号码(TN)特定发行的电子密钥(2411),散列运算价值认证信息F(VPW),与主密钥Km连结后,再进行散列运算,生成加密电子密钥(ev)的共同密钥加密方式的加密密钥Kk=Hash(Km||Hash(F(VPW)))(2412)。中心2002还生成电子密钥(ev)的电子密钥公开信息及电子密钥秘密信息,并使用接收到的价值认证信息F(VPW)与加密密钥Kt,生成具有图23所示数据结构的电子密钥(ev)(2413)。此时,对电子密钥(ev)的有效性设定基于步骤(2401)的输入处理中的预约内容的有效期限。例如,在会议室的电子密钥(ev)的情况下,对电子密钥(ev)的有效期限设定基于预约会议室的时间带的有效期限。
将生成的电子密钥(ev)发送到便携电话2001(2414),电子密钥(ev)被存储在便携电话的存储器中(2415),便携电话2001显示下载完成(2416),完成电子密钥的下载处理。此时,电子密钥(ev)作为新的电子密钥,存储于便携电话2001的存储器上的电子密钥列表2204中。另外,对属性设定默认属性,在默认设定中,设定电子密钥认证处理 时使用的声音。
另外,在图24的步骤(2406)中,用户判断操作性优先于电子密 钥认证处理的安全性,在未设定价值口令的情况下,便携电话2001 在步骤(2407)中不进行价值口令(VPW)的散列运算,表示对电子密钥 列表2204的参照数据字段设定空,且不设定价值口令(VPW),在步 骤(2409)中,散列运算用户识别信息(UID),生成价值认证信息 F(VPW)=Hash(UID)。
另外,若终止钱夹应用程序,则从便携电话2001的存储器中删 除用户输入的价值口令(VPW)与价值认证信息F(VPW)。便携电话的 存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第 三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道 价值口令。
下面,说明使用下载的电子密钥(ev),在与锁装置2003之间进行 认证处理,打开(或关闭)锁装置2003的步骤。图25表示本实施形态 中使用电子密钥(ev)的认证处理的步骤。
首先,若用户进行手扶安装了锁装置2003的门把手等启动锁装 置2003的操作(2500),则锁装置2003的启动传感器2112进行检测, 启动锁装置2003,锁装置2003生成随机数R,作为询问信息(2501)。 该随机数R从保密模块2100取得,实际上是保密模块2100的 CPU2101生成的。 一旦用户进行可从锁装置2003接收消息的操作
(2502) ,则便携电话2001从锁装置2003接收电子密钥提示请求
(2503) 。在电子密钥提示请求中包含锁ID与随机数R。 接收到电子密钥提示请求的便携电话2001启动钱夹应用程序,
显示查询用户是否使用电子密钥的对话框(2504)。此时,便携电话 2001对照接收到的锁ID与电子密钥列表2205,向用户提示锁装置 2003的电子密钥。在不是对应的电子密钥的情况下,向用户显示不是对应的电子密钥(图不未记载)。
若用户进行电子密钥使用操作(2505),则显示输入对应于电子密
钥的价值口令的画面(2506)。若用户输入价值口令(VPW')(2507),则便携电话2001计算价值口令(VPW')的散列数据Hash(VPW'),并与电子密钥列表2204上的对应电子密钥的参照数据的Hash(VPW)相对照,认证用户(2508)。在与参照数据不一致的情况下,显示错误(图中未记载),在与参照数据一致的情况下,便携电话2001使用用户输入的价值口令(VPW'),分别计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的连结的散列数据Hash(F(VPW')HR)、价值认证信息的散列数据Hash(F(VPW,))(2509),将Hash(F(VPW,川R)和Hash(F(VPW,》与电子密钥(ev)—起发送,作为向锁装置2003提示电子密钥的消息(2510)。此时,不发送电子密钥(ev)的显示用信息2305的部分。
锁装置2003首先验证接收到的电子密钥(ev)的电子密钥公开信息2301的内容的有效性(锁ID与有效期限的验证)后,将接收到的电子票据(ev)、 Hash(F(VPW,川R)和Hash(F(VPW,》发送到保密模块2100,在保密模块2100中进行电子密钥(ev)与用户的离线认证。在电子密钥公开信息2301的内容有效性的验证(锁ID与有效期限的验证)中,在检测到错误的情况下,从锁装置2003向便携电话2001发送错误消息,终止电子密钥的认证处理(图中未记载)。S卩,因为不能自动使用超过有效期限的电子密钥(ev),所以使用后不必返回电子密钥。
保密模块2100计算接收到的价值认证信息的散列数据Hash(F(VPW'))与主密钥Km的连结散列数据,生成解密电子密钥的保密信息2300的部分的共同密钥加密方式的解密密钥Kk,-Hash(Kmii Hash(F(VPW'))),并使用协同处理器2105来解密电子密钥的保密信息2300(2511)。
保密模块2100从解密后的保密信息2300中取出价值认证信息
632303F(VPW),并计算与随机数R的连结的散列数据 Hash(F(VPW)ilR),与从便携电话2001接收到的Hash(F(VPW')UR)相 对照,在一致的情况下,认证用户为电子密钥的正当所有者(2512)。 并且,保密模块2100使用管理公司公开密钥来验证利用协同处理器 2105解密的保密信息2300的署名信息2304所示的电子署名,验证 电子密钥(ev)未被篡改或伪造(2513)。在Hash(F(VPW川R)与 Hash(F(VPW,川R)不一致的情况下,或在署名信息验证(2513)中检测 到错误的情况下,保密模块2100向锁装置2003返回错误,并从锁装 置2003向便携电话2001发送错误消息,终止电子密钥认证处理(图 中未记载)。
在署名信息验证(2513)中未检测到错误的情况下,即验证了电子 密钥(ev)的有效性的情况下,保密模块2100向锁装置2003显示离线 认证完成,锁装置2003向便携电话2001发送认证结果(2514),完成 认证处理,接收到认证结果的便携电话2001显示完成(2516),完成电 子密钥的认证处理。
另外,锁装置2003的控制部2106控制锁机构部2107,打开(或 关闭)锁装置2103的锁定,并完成锁装置2103的电子密钥认证处理 (2515)。
若便携电话2001完成电子密钥认证处理,则根据使用的电子密 钥的属性,显示认证处理完成。另外,便携电话2001在从锁装置2003 发送错误消息后终止电子密钥认证处理时,也同样根据使用的电子密 钥的属性,显示电子密钥的认证处理失败。
另外,在电子密钥使用操作(2505)中,在用户选择未设定价值口 令的电子密钥的情况下,不进行图25的步骤(2506)、步骤(2507)、步 骤(2508)的处理,便携电话2001前进到步骤(2509)的处理,散列运算 用户识别信息(UID),计算价值认证信息(F(VPW,))-Hash(UID)。
另外,在接收到的电子票据(ev)的署名信息2304不是基于公开密钥加密方式的电子署名,而是种类为对连结电子密钥公开信息2301 、
与电子密钥秘密信息2302及价值认证信息2303的数据的散列运算结 果的电子密钥(ev)的情况下,在署名信息的验证(2513)的处理中,计 算对连结接收到的电子密钥(ev)的电子密钥公开信息2301与解密密 码后的电子密钥秘密信息2302及价值认证信息2303的数据的散列数 据,对照署名信息2304,验证电子密钥(ev)未被篡改或伪造。
另外,在该电子密钥的认证处理的情况下,若也终止钱夹应用程 序,则从存储器中删除用户输入的价值口令与价值认证信息。在便携 电话2001与锁装置2003之间交换的数据中,用于认证处理的数据全 部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携 电话2001与锁装置2003之间的通信,也无法使用窃听到的数据来冒 充。
(实施形态9)
下面,说明家族用途的电子密钥系统,作为本发明的实施形态9。 在本实施形态9中,锁装置向便携电话发行作为电子信息化后的密钥 的电子密钥(ev:电子值的一种),并使用该电子密钥(ev),通过在便 携电话与锁装置之间进行认证处理,开或关锁。
本电子密钥系统的功能块结构基本上与实施形态4的情况一样, 图20表示本电子密钥系统的结构框图。电子密钥系统由用户所有的 便携电话2001、中心2002、锁装置2003、和连接便携电话2001与 中心2002的网络2004。其中,因为锁装置2003为家族用,所以安 装在家门上,或用户购买后进行安装。另外,中心2002是制造或出 售锁装置2003的从业者、或提供下载到便携电话2001的钱夹应用程 序的从业者经营的中心装置。在本电子密钥系统中,中心2002用于 将管理电子密钥(ev)的钱夹应用程序下载到便携电话2001,在事先将 钱夹应用程序装载或下载到便携电话2001的情况下,不需要中心 2002。
65根据本实施形态9的电子密钥系统,可通过用户的管理来对多个
便携电话2001发行锁电话2003的电子密钥(ev),另外,可进行电子密钥(ev)的无效化。因此,多个用户可对一个锁装置2003具有合用密钥,或分别无效化该合用密钥。在以前的密钥中,在遗失密钥或未返回合用密钥的情况下,为了安全,必需交换锁装置,但根据本电子密钥系统,即使遗失存储电子密钥(ev)的便携电话2001或未返回向朋友的便携电话发行的电子密钥(ev),也可在锁装置2003侧无效并更改电子密钥(ev),之后向便携电话2001发行电子密钥(ev),可提高用户的方便性。
网络2004由便携电话的无线通信网络与因特网构成,可基于便携电话2001与中心2002的无线通信进行通信。在便携电话2001与中心2002的通信中,通常确立SSL(Secure Socket Layer:加密套接字协议层)或TLS(Transport Layer Security:传输层加密)等的保密通话期(security session),加密通信数据后传输。
便携电话2001与锁装置2003使用本地无线通信功能(红外线通信、蓝牙、无线LAN、非接触IC卡的无线通信等),进行综合连接并通信。
在便携电话2001上装载管理电子密钥(ev)的钱夹应用程序。作为钱夹应用程序,既可以是用户事先下载到便携电话2001的通用的钱夹应用程序,也可以是购买锁装置2003的用户从中心2002下载的专用钱夹应用程序。后面详细说明购买锁装置2003的用户从中心2002将钱夹应用程序下载到便携电话2001的步骤。
在中心2002中管理钱夹应用程序,另外,在锁装置2003中,管理解密电子密钥(ev)加密部分的加密密钥的主密钥(Km)、作为锁装置2003的识别信息的锁ID、和作为锁装置2003发行电子密钥(ev)时的认证号码的锁号码(LN)等。
本电子密钥系统的锁装置2003的内部结构基本上与实施形态8的情况相同,图21是表示锁装置2003的内部结构的框图。锁装置 2003包括:物理开关锁的锁机构部2111;检测用户操作并启动锁装
置2003的启动传感器2112;本地无线通信I/F2113;表示锁装置2003 的状态的LED2114;控制开关2115和控制这些部件的控制部2110, 在控制部2110中,除直接控制其它部分的控制电路外,还组装保密 模块2100。在锁装置2003为安装在门上的类型的情况下,为了防止 来自外部的恶作剧,期望控制开关2115位于门的内侧。
本地无线通信I/F2113是红外线通信或蓝牙、无线LAN、非接触 IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密模块2100是安全管理主密钥(Km)、并安全进行电子密钥认 证处理用的器件,保密模块2100由CPU2101、ROM2102、RAM2103、 EEPROM2104和协同处理器2105构成,具有防止从外部不正当访问 的防篡改功能。
如图26所示,EEPROM2104中存储锁ID2601、锁号码(LN)2602、 钱夹应用程序URL2603、主密钥(Km)2604、和密钥ID列表2605。 锁ID2601是锁装置2003的识别信息,锁号码(LN)2602是锁装置2003 发行电子密钥(ev)时认证用户用的认证号码,钱夹应用程序 URL2603、是锁装置2003的专用钱夹应用程序的URL(Uniform Resource Locator),主密钥(Km)2604是解密锁装置2003的电子密钥(ev) 加密部分的加密密钥的主密钥,密钥ID列表2605是锁装置2003发 行的当前有效的电子密钥(ev)的密钥ID(识别信息)的列表。
锁号码(LN)2602是制造锁装置2003时设定的号码,是仅拥有锁 装置2003的用户必需知道的号码。因此,在出售锁装置2003时,以 看不见锁号码(LN)的形式出售。例如,采取如下方法:用户购买锁装 置2003,通过刮去附带的刮卡,使用户最先知道锁号码(LN)。
另外,CPU2101控制对保密模块2100的EEPROM2104中存储 的信息的访问,可从控制部2110的其它控制电路读出锁ID2601与钱夹应用程序URL2603,但不能改写。另外,既不能读出也不能写入锁号码(LN)2602。主密钥(Km.2604虽不能读出或改写,但可在保密模块2100的内部重新生成密钥后更新为新的主密钥(Km)。另外,虽密钥ID列表2605不能读出与改写,但可控制成在每次删除密钥ID和发行电子密钥时,重新追加密钥ID。
用户边确认LED2115表示的锁装置2003的状态,边操作控制开关2115来进行主密钥(Km)的更新或密钥ID的删除。在更新主密钥(Km)的情况下,删除密钥ID列表2605。
便携电话2001的钱夹(wallet)应用程序除具备从锁装置2003获得电子密钥(ev)的功能外,与实施形态8中说明的便携电话2001一样,具备本地无线通信I/F,便携电话2001的钱夹应用程序经本地无线通信I/F与锁装置2003综合连接,使用钱夹应用程序管理的电子密钥(ev)来进行电子密钥的认证处理。因此,钱夹应用程序在便携电话2001的存储器(非易失性存储器)上管理的信息在这里省略说明。
另外,电子密钥(ev)的数据结构也基本上与实施形态8的情况一样,图23表示本电子密钥系统中的电子密钥(ev)的数据结构。其中,设署名信息2304为对连结电子密钥公开信息2301、加密前的电子密钥秘密信息2302及价值认证信息2303的数据进行散列运算的结果。署名信息2304用于在电子密钥认证处理时,在锁装置2003侧解密密码,通过与重新进行散列运算的结果相对照,验证未篡改或伪造电子密钥(ev)。
下面,说明用户操作锁装置2003的控制开关2115,将钱夹应用程序从中心2002下载到便携电话2001的步骤。图27表示钱夹应用程序的下载步骤。首先,用户操作锁装置2003的控制开关2115,进行下载钱夹应用程序的初始设定操作(2700),若用户对便携电话2001进行可从锁装置2003接收消息的操作(2701),则便携电话2001从锁装置2003接收导航消息(2702)。导航消息中包含钱夹应用程序URL与锁ID。
接收到导航消息的便携电话2001显示査询用户是否下载钱夹应
用程序的画面(2703),若用户进行下载钱夹应用程序的操作(2704), 则便携电话2001向钱夹应用程序URL所示的中心2002发送钱夹应 用程序下载请求(2705)。在钱夹应用程序下载请求中包含锁ID。
接收到钱夹应用程序下载请求的中心2002根据锁ID来特定锁装 置的种类(2706),向便携电话2001发行适合于锁装置2003的钱夹应 用程序(2707)。接收到钱夹应用程序的便携电话2001将钱夹应用程序 存储在存储器中(2708),显示下载完成(2709),完成钱夹应用程序的 下载。
下面,说明从锁装置2003向便携电话2001发行电子密钥(ev)的 步骤。图28表示从锁装置2003向便携电话2001发行电子密钥(ev) 的步骤。首先,若用户启动便携电话2001的钱夹应用程序(2800),则 显示菜单画面(2801),通过菜单选择来进行用户请求发行锁装置的电 子密钥的操作(2802),显示输入用户对应于锁号码、电子密钥(ev)来 设定的价值口令(VPW: Ov〈/U〉alueOp〈/U〉ass〈U〉w〈/U〉ord)的 画面(2803)
若用户输入锁装置2003的锁号码(LN,)与价值口令(VPW)(2804), 则便携电话2001将价值口令(VPW)的散列运算结果Hash(VPW)作为 价值口令的参照数据,存储在便携电话2001的存储器中(2805),并根 据锁号码(LN')与时刻(T),生成用户识别信息UID-Hash(LN,IIT)(※H 表示数据连结)并存储在存储器中(2806)。此时,参照数据Hash(VPW) 与用户识别信息UH^Hash(LN'IIT)在便携电话2001的存储器上的电 子密钥列表2204中,作为涉及新的电子密钥的数据,分别存储在参 照数据与用户识别信息的字段中。
若用户操作锁装置2003的控制开关2115,使锁装置2003变为 发行电子密钥的模式(2807),则锁装置2003生成随机数R0(2808),向便携电话2001发行电子密钥发行询问(2809)。电子密钥发行询问是 对便携电话2001的询问消息,其中包含随机数RO。该随机数RO从 保密模块2100取得,实际上是保密模块2100的CPU2101生成的。
接收到电子密钥发行的询问便携电话2001根据价值口令(VPW) 与用户识别信息(UID),生成价值认证信息F(VPW)=Hash(UID),并 连结锁号码(LN')与随机数RO,计算作为其散列数据的 Hash(LN,IIR0)(2810),将包含Hash(LN,liRO)与价值认证信息F(VPW) 的电子密钥发行请求发送到锁装置2003(2811)。
接收到电子密钥发行请求的锁装置2003将接收到的 Hash(LN,IIRO)与价值认证信息F(VPW)发送到保密模块2100,在保密 模块2100中进行电子密钥(ev)的生成处理。保密模块2100连结锁号 码(LN)与随机数RO,计算其Hash(LN||RO),并与接收到的 Hash(LN,IIRO)相对照,认证用户是知道锁号码(LN)的锁装置2003的 正当所有者(2812)。
在认证用户的情况下(Hash(LN,JIRO)与Hash(LNURO)—致),保密 模块2100散列运算价值认证信息F(VPW),并与主密钥Km连结, 还进行散列运算,生成解密电子密钥(ev)的共同密钥加密方式的解密 密钥Kt=Hash(Km|| Hash(F(VPW)))(2813)。保密模块2100还生成电子 密钥(ev)的电子密钥公开信息及电子密钥秘密信息,并使用接收到的 价值认证信息F(VPW)与加密密钥Kk,生成具有图23所示数据结构 的电子密钥(ev),将生成的电子密钥(ev)的密钥ID登录在密钥ID列 表2605中(2814)。在生成电子密钥(ev)时,保密模块2100向电子密 钥(ev)分配唯一的密钥ID。
在未认证用户的情况下(Hash(LN,URO)与Hash(LNURO)不一致), 保密模块2100向锁装置2003返回错误,并且从锁装置2003向便携 电话2001发送错误消息,终止电子密钥的发行处理(图中未记载)。
将生成的电子密钥(ev)发送到便携电话2001(2815),电子密钥(ev)被存储在便携电话的存储器中(2816),便携电话2001显示发行处理完
成(2817),完成电子密钥的发行处理。此时,电子密钥(ev)作为新的电子密钥,存储于便携电话2001的存储器上的电子密钥列表2204中。另外,对属性设定默认属性,在默认设定中,设定电子密钥认证处理时使用的声音。
另外,在图28的步骤(2804)中,用户判断操作性优先于电子密钥认证处理的安全性,在未设定价值口令的情况下,便携电话2001在步骤(2805)中不进行价值口令(VPW)的散列运算,表示对电子密钥列表2204的参照数据字段设定空,且不设定价值口令(VPW),在步骤(2810)中,散列运算用户识别信息(UID),生成价值认证信息F(VPW)=Hash(UID)。
若终止钱夹应用程序,则从便携电,2001的存储器中删除用户输入的锁号码、价值口令(VPW)与价值认证信息F(VPW)。便携电话的存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道价值口令。
下面,说明使用电子密钥(ev),在与锁装置2003之间进行认证处理,打开(或关闭)锁装置2003的步骤。图29表示本实施形态中使用电子密钥(ev)的认证处理的步骤。首先,若用户进行手扶安装了锁装置2003的门把手等启动锁装置2003的操作(2900),则锁装置2003的启动传感器2112进行检测,启动锁装置2003,锁装置2003生成随机数R,作为询问信息(2901)。该随机数R从保密模块2100取得,实际上是保密模块2100的CPU2101生成的。 一旦用户进行可从锁装置2003接收消息的操作(2902),则便携电话2001从锁装置2003接收电子密钥提示请求(2903)。在电子密钥提示请求中包含锁ID与随机数R。
接收到电子密钥提示请求的便携电话2001启动钱夹应用程序,
71显示査询用户是否使用电子密钥的对话框(2卯4)。此时,便携电话
2001对照接收到的锁ID与电子密钥列表2205,向用户提示锁装置 2003的电子密钥。在不是对应的电子密钥的情况下,向用户显示不 是对应的电子密钥(图不未记载)。
若用户进行电子密钥使用操作(2905),则显示输入对应于电子密 钥的价值口令的画面(2906)。若用户输入价值口令(VPW,)(2907),则 便携电话2001计算价值口令(VPW')的散列数据Hash(VPW'),并与 电子密钥列表2204上的对应电子密钥的参照数据的Hash(VPW)相对 照,认证用户(2908)。在与参照数据不一致的情况下,显示错误(图中 未记载),在与参照数据一致的情况下,便携电话2001使用用户输入 的价值口令(VPW,),分别计算价值认证信息 F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的 连结的散列数据Hash(F(VPW'川R)、价值认证信息的散列数据 Hash(F(VPW,))(2509),将Hash(F(VPW,)HR)和Hash(F(VPW,))与电子 密钥(ev)—起发送,作为向锁装置2003提示电子密钥的消息(2910)。 此时,不发送电子密钥(ev)的显示用信息2305的部分。
锁装置2003首先验证接收到的电子密钥(ev)的电子密钥公开信 息2301的内容的有效性(锁ID与有效期限的验证)后,将接收到的电 子票据(ev)、 Hash(F(VPW,川R)和Hash(F(VPW,))发送到保密模块 2100,在保密模块2100中进行电子密钥(ev)与用户的离线认证。在电 子密钥公开信息2301的内容有效性的验证(锁ID与有效期限的验证) 中,在检测到错误的情况下,从锁装置2003向便携电话2001发送错 误消息,终止电子密钥的认证处理(图中未记载)。
保密模块2100首先对照电子密钥(ev)的电子密钥公开信息2301 中的密钥ID与密钥ID列表2605,验证电子密钥(ev)是登录在密钥ID 列表2605中的有效电子密钥(2911)。在电子密钥(ev)登录在密钥ID 列表2605中的情况下,保密模块2100计算价值认证信息的散列数据
72Hash(F(VPW'X)与主密钥Km的连结散列数据,生成解密电子密钥的保密信息2300的部分的共同密钥加密方式的解密密钥Kk,=Hash(Km|| Hash(F(VPW,))),并使用协同处理器2105来解密电子密钥的保密信息2300(2912)。
保密模块2100从解密后的保密信息2300中取出价值认证信息
2303F(VPW),并计算与随机数R的连结的散列数据Hash(F(VPW)ilR),与从便携电话2001接收到的Hash(F(VPW,)HR)相对照,在一致的情况下,认证用户为电子密钥的正当所有者(2913)。并且,保密模块2100计算对连结电子密钥(ev)的电子密钥公开信息2301、与解密密码的电子密钥秘密信息2302及价值认证信息2303的数据的散列数据,并与署名信息2304相对照,验证电子密钥(ev)未被篡改或伪造(2914)。
在将电子密钥(ev)登录在密钥ID列表2605中的情况下,或在Hash(F(VPW)HR)与Hash(F(VPW,)HR)不一致的情况下,或在署名信息验证(2913)中检测到错误的情况下,保密模块2100向锁装置2003返回错误,并从锁装置2003向便携电话2001发送错误消息,终止电子密钥认证处理(图中未记载)。
在署名信息验证(2914)中未检测到错误的情况下,即验证了电子密钥(ev)的有效性的情况下,保密模块2100向锁装置2003显示离线认证完成,锁装置2003向便携电话2001发送认证结果(2915),完成认证处理,接收到认证结果的便携电话2001显示完成(2917),完成电子密钥的认证处理。
另外,锁装置2003的控制部2106控制锁机构部2107,打开(或关闭)锁装置2103的锁定,并完成锁装置2103的电子密钥认证处理(2916)。
若便携电话2001完成电子密钥认证处理,则根据使用的电子密钥的属性,显示认证处理完成。另外,便携电话2001在从锁装置2003发送错误消息后终止电子密钥认证处理时,也同样根据使用的电子密 钥的属性,显示电子密钥的认证处理失败。
另外,在电子密钥使用操作(2905)中,在用户选择使用未设定价
值口令的电子密钥的情况下,不进行图29的步骤(2906)、步骤(2907)、 步骤(2908)的处理,便携电话2001前进到步骤(2909)的处理,散列运 算用户识别信息(UID),计算价值认证信息(F(VPW,)hHash(UID)。
另外,在该电子密钥的认证处理的情况下,若也终止钱夹应用程 序,则从存储器中删除用户输入的价值口令与价值认证信息。在便携 电话2001与锁装置2003之间交换的数据中,用于认证处理的数据全 部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携 电话2001与锁装置2003之间的通信,也无法使用窃听到的数据来冒 充。
根据本发明的电子值认证方式与认证系统及装置具有可利用无 防篡改功能的便携终端来进行安全认证处理等的效果,并用于如下服 务等中,将电子信息化信用卡或支款卡、会员证、ID卡、票据等后 的电子值存储在用户的便携终端,通过认证用户是它们的正当所有 者,向用户提供分别对应的物或服务。
本发明的概要)
图31是表示本发明的概要图。在本发明中,认证请求装置3101通过认证装置进行认证。此时,从认证请求装置3101向认证装置3102发送认证用信息。
在本发明的认证方法中,原理上,在从认证请求装置3101向认
证装置3102发送其信息之前,不必从认证装置3102向认证请求装置3101发送信息。但是,为了在认证请求装置3101与认证装置3102之间取得同步,或避免冒充等,也可从认证装置3102向认证请求装置3101发送信息。
图32示例认证请求装置3101与认证装置3102的处理的顺序图。首先,在步骤S3201,认证请求装置向认证装置发送加密的第一信息与第二信息。接收到加密的第一信息与第二信息的认证装置在步骤S3202中判断加密的第一信息与第二信息的关系是否是规定关系。若是规定关系,则由认证装置对认证请求装置进行认证。结果,例如,对认证请求装置的用户进行结算处理,允许进入特定场所,或开锁密钥等。
这里,所谓[加密的第一信息]是以可由认证装置保持的解密密钥来解密的加密形式来加密的第一信息的信息、或包含这种信息的信息。第一信息可以是各种信息。例如,也可是随机数、信用卡号码、电话号码、IP地址、标记用户指纹或虹膜等的生态认证信息等。另外,所谓[第二信息]是用于判断与第一信息的关系是否是规定关系的信息。例如,第二信息可以是用于判断与第一信息是否相同的信息。另外,当用二进制表示第一信息与第二信息时,也可以是用于判断第一信息与第二信息之差是否为规定值的信息。
在本发明中,作为加密的第一信息、第二信息,可考虑为能够由数字信号表现的信息。因此,本发明的认证请求装置与认证装置可由数字计算机来实现。作为数字计算机,不仅假设台式机等难以移动的,例如还考虑便携电话、PDA(Personal Digital Assistance:个人数字助理)等可移动的计算机。
图33表示(l)加密的第一信息、(2)第二信息、(3)第一信息与第二信息是否存在规定关系的判断条件的三个组合的实例。
图33(A)中,加密的第一信息是以可由认证装置保持的解密密钥来解密的形式加密规定口令的信息(Encrypt(口令)),第二信息是该规
14定的口令,判断条件是,由认证装置保持的解密密钥解密加密的第一
信息所得信息(Decrypt(加密的第一信息))是否等于第二信息。
若加密的第一信息是Encrypt(口令),则因为Decrypt(加密的第一
信息)变为口令,所以若第二信息为口令,则输入第二信息的人为知
道加密的第一信息内容的人。因此,输入第二信息的人为加密的第一
信息的正当保持者,可进行认证。
图33(B)中,加密的第一信息是Encrypt(口令)。第二信息是对口
令施加规定处理所得到的信息(F(口令))。所谓[规定处理]是指在认
证请求装置与认证装置之间预定的处理。最好是,该规定处理如MD5(Message Digest 5)或SHAl(Sesure Hash Algorithm Versionl)等那样,不必过多计算量,且难以知道其反函数(这种处理有时被称为不可逆运算或散列运算)。通过使用这种处理,可难以从第二信息来知道口令。
在图33(B)中,规定条件是F(Decrypt(加密的第一信息))与第二信息是否相等。这是因为若加密的第一信息是Encrypt(口令),则F(Decrypt(加密的第一信息))变为F(口令)。
另外,图33(B)中,规定处理(F)也可随着认证的进行而变化。例如,在认证请求装置与认证装置之间取得时刻的同步,对应于当前时刻来选择F。或先从认证请求装置向认证装置发送加密的第一信息与第二信息,之后从认证装置向认证请求装置发送随机数,由该随机数来确定处理(例如,将随机数与输入的信息相连结(CONCATENATE),对其结果进行MD5或SHA1等附加逆运算。)。
(实施形态1)
图34示例本发明实施形态1的认证请求装置的功能框图。认证请求装置3400是向认证装置请求认证的装置,具有加密的第一信息取得部3401、第二信息取得部3402和发送部3403。
[加密的第一信息取得部]3401取得加密的第一信息3404。例如,从键盘等输入装置、软盘、光盘、硬盘、存储卡等记录媒体中取
得加密的第一信息3404。
如图35(A)所示,加密的第一信息3404可以是仅将第一信息加密 所得信息。或如图35(B)所示,为将向第一信息附加附加信息加密所 得信息后的信息。附加信息由认证目的来确定。例如,若加密的第一 信息表示电子票据,则附加信息表示日期和座位号码。
[第二信息取得部]3402取得第二信息3405。例如,从键盘等 输入装置、软盘、光盘、硬盘、存储卡等记录媒体中取得第二信息 3405。另外,第二信息3405也可是指纹或虹膜等的生态认证信息。 此时,第二信息取得部3402变为取得生态认证信息用的传感器或摄 像机等。
[发送部]3403将加密的第一信息3401取得的加密的第一信息 与第二信息取得部取得的第二信息相关联后,发送到所述认证装置。 [关联]并无特别含义,若非要举例,则为同时或时间上接近的意思, 加密的第一信息与第二信息可分离地发送。不用说,发送可以通过有 线也可通过无线来进行。
图36示例认证装置的功能框图。
认证装置3600具有接收部3601、解密密钥保持部3602、解密部 3603和判断部3604。
[接收部]3601接收从认证请求装置的发送部发送来的加密的 第一信息、和与该加密的第一信息关联发送的第二信息。在接收到加 密的第一信息与第二信息后,分离成加密的第一信息3605和第二信 息3607。
[解密密钥保持部]3602保持解密加密的第一信息用的解密密 钥。解密密钥保持部3602在第一信息由共同密钥加密的情况下,保 持该共同密钥。另外,在第一信息由公开密钥加密方式加密的情况下, 例如第一信息由公开密钥加密的情况下,解密密钥保持部3602保持对应于该公开密钥的秘密密钥。所谓[保持]是具有一定程度的时间 上的持续性,可读出地记录。因此,解密密钥保持部3602例如由易 失性存储器、非易失性存储器、硬盘等来实现。另外,也可由具有防 篡改性的IC卡等实现。
[解密部]3603利用解密密钥保持部3602中保持的解密密钥, 解密接收部3601接收到的加密的第一信息3605,并得到第一信息 3606。 g卩,从解密密钥保持部3602中读出解密密钥,并解密加密的 第一信息3605。若加密的第一信息3605是将第一信息与附加信息加 密所得到的信息,则从解密结果中得到第一信息。
[判断部]3604判断解密部3603解密的第一信息3606、和与作 为解密前第一信息的加密的第一信息关联接收到的第二信息3607是 否存在规定关系。例如判断图33所示[判断条件]是否成立。
图37(A)示例认证请求装置的处理流程图,图37(B)示例认证装 置的处理流程图。
认证请求装置在步骤S3701中,从加密的第一信息取得部3401 取得加密的第一信息。
在步骤S3702中,从第二信息取得部3402取得第二信息。
在步骤S3703中,通过发送部3403发送加密的第一信息与第二 信息。
另一方面,在步骤S3704中,认证装置通过接收部3601接收加 密的第一信息与第二信息。
在步骤S3705中,通过解密部3603取得解密密钥,并在步骤 S3706中,用解密密钥解密加密的第一信息,得到第一信息。
在步骤S3707中,由判断部3604来判断第一信息与第二信息是 否存在规定关系。
图37所示流程图为处理一例,例如,也可在步骤S3701和步骤 S3704之前,在认证请求装置与认证装置之间进行同步处理,或从认
17证装置向认证请求装置发送某种信息。
根据本实施形态,可提供一种认证用装置及方法,不必在认证请 求装置侧存储密钥等秘密信息,也不必进行加密的处理。
(实施形态2)
图38示例本发明实施形态2的认证请求装置的功能框图。
认证请求装置3800的结构构成为实施形态1的认证请求装置具 有加密的第一信息保持部3801。
[加密的第一信息保持部]3801保持加密的第一信息。例如, 由存储器、磁盘、光盘等来保持加密的第一信息。
在本实施形态中,加密的第一信息取得部3401取得加密的第一 信息保持部3801中保持的加密的第一信息。因此,认证请求装置3800 的动作为在图37(A)所示流程图中,在步骤S3701,从加密的第一信 息保持部3801取得加密的第一信息。
根据本实施形态,因为加密的第一信息由加密的第一信息保持部 3801保持,所以在由认证装置对认证请求装置3800进行认证的情况 下,可认证向认证请求装置3800输入第二信息的人。
(实施形态3)
图39示例本发明实施形态3的认证请求装置的功能框图。 认证请求装置3900的结构为实施形态1或2的认证请求装置具
有认证信息输入部3901和认证信息加工部3902。
[认证信息输入部]3901是输入作为以认证为目的的信息的认
证信息的部。例如,是输入预定的口令或加密号码用的部,例如键盘
或0-9数字键。或者,为取得指纹或虹膜等生态认证信息用的传感器
或摄像机。
[认证信息加工部]3902加工从认证信息输入部3901输入的认 证信息。所谓[加工]是实施某种运算。例如,进行与其它信息相连 接的运算,或进行基于MD5或SHA1等散列函数算法的运算。在本实施形态中,第二信息为认证信息加工部3902加工后的信
息。因此,第二信息取得部3402取得认证信息加工部3902加工后的 信息,作为第二信息。
认证信息加工部3902中的认证信息加工处理可使用任意处理。 另外,不必每次进行相同加工,对相同认证信息得到相同的第二信息, 可在加工认证信息的同时,得到不同的第二信息。这样,通过每次不 同的加工,即使窃听从发送部3403发送的第二信息,也可提高安全 性。
即使每次进行不同的加工,但为了进行认证,在进行认证的认证 装置侧,必需识别认证信息加工部3902进行了何种加工。因此,在 认证前,在认证装置与认证请求装置之间,必需执行进行了何种加工 的同步处理。例如,可事先准备几个加工的算法,从认证请求装置向 认证装置发送用第几个算法加工了认证信息。或者,从认证装置向认 证请求装置发送应用第几个算法来加工认证信息。或者,在认证装置 与认证请求装置之间,使时刻同步,对应于时刻来选择算法。
也可不改变加工算法来变更算法的参数。例如,在认证信息上连 接其它信息,对该结果进行实施散列函数的加工时,每次变化其它信 息来作为参数。为此,在认证请求装置与认证装置之间,共享该参数。 例如,从认证请求装置向认证装置发送参数,或从认证装置向认证请 求装置发送参数,或在认证请求装置与认证装置之间使时刻同步,根 据时刻来确定参数。
图40(A)示例本实施形态的认证请求装置的处理流程图。在步骤 S4001中,由加密的第一信息取得部3401取得加密的第一信息。例 如,从认证请求装置的外部取得,在有加密的第一信息保持部3801 的情况下,从其中取得。
在步骤S4002中,认证信息输入部3901输入认证信息。
在步骤S4003中,认证信息加工部3902加工认证信息,作为第~"fe息o
在歩骤S4004中,发送部3403发送加密的第一信息与第二信息。 图40(B)示例本实施形态的认证装置的处理流程图。在步骤S4005 中,接收加密的第一信息与第二信息。 在步骤S4006中,取得解密密钥。
在步骤S4007中,使用解密密钥解密加密的第一信息,并得到第
I FI 'S、 o
在步骤S4008中,加工第一信息。这里的加工使用与步骤S4003 中加工认证信息的相同算法来进行,另外,必要时使用与认证请求装 置加工认证信息中所用的相同算法来进行。
在步骤S4009中,判断加工后的第一信息与第二信息是否存在规 定关系。作为[规定关系] 一例,例如有相同的关系。
根据本实施形态,因为发送加密认证信息所得的第二信息,所以 例如通过使论证信息的加工算法秘密,则难以从第二信息来推测认证 信息。另夕卜,通过使用散列函数来加工,即使认证信息的加工算法不 秘密,也难以从第二信息来知道认证信息,所以可提高安全性。另外, 因为散列(hash)函数的处理所要求的计算量比一般的加密处理少, 所以可简化认证请求装置,降低成本,使处理高速化。
(实施形态4)
说明信息关联装置,作为本发明的实施形态4。所谓信息关联装 置是生成加密的第一信息用的装置。
图41示例信息关联装置的功能框图。信息关联装置具有认证信 息取得部4101、第一信息生成部4102、加密密钥保持部4103和加密 部4104。
[认证信息取得部]4101取得认证信息。例如,从键盘、0-9数 字键或存储卡媒体中取得。或也可由取得虹膜、指纹等生态认证信息 的摄像机或传感器等取得。或者,也可取得经网络从间隔的场所等发
20送的认证信息。此时,期望通过例如SSL(Secure Socket Layer:加密
套接字协议层)等加密经网络进行的通信。
[第一信息生成部]4102利用认证信息取得部取得的认证信息, 与所述认证信息具有一定关系地生成第一信息。例如,可将认证信息 原样作为第一信息,也可对认证信息进行规定运算处理来生成第一信 息。
[加密密钥保持部]4103保持加密密钥。例如,在存储器或硬 盘等中保持密钥。该加密密钥可以是用于共同密钥加工方式的密钥, 也可以是用于公开密钥加密方式的密钥(例如对应于秘密密钥的公开 密钥)。
[加密部]4104通过加密密钥保持部4103保持的加密密钥来加 密的第一信息生成部4104生成的第一信息。
图42示例信息关联装置的处理流程图。在步骤S4201中,通过 认证信息取得部4101取得认证信息。
在步骤S4202中,通过第一信息生成部4102生成第一信息。
在步骤S4203中,通过加密部4104取得加密密钥,在步骤S4204 中,用加密密钥来加密的第一信息。
之后,将加密后的第一信息作为加密的第一信息,记录在存储卡 等媒体中,或保持在认证请求装置中。
通过本实施形态,可生成加密的第一信息。尤其是因为可由与认 证装置不同的装置来生成加密的第一信息,所以认证装置与信息关联 装置不必通过网络等进行通信。从而,可简化、小型化认证装置等。
(实施例)
图43示例此前说明的实施形态的实施例。
图43中,图示认证请求装置4301和认证装置4302。认证请求 装置4301具备非易失性存储器4303。非易失性存储器4303可以是 能取出的,也可以是不能取出的。非易失性存储器4303保持加密V一Allth的信息。相当于第一信息,加密V一Allth的信息相当于加密
的第一信息。另外,非易失性存储器4303也可保持用户ID。用户ID 是加密V—Auth的时间、用户持有的信用卡号码等得到同一值的概率 不太大的值。使用用户ID的目的之一是防止生成V—Auth时口令与 生成其它V—Auth时相同而生成相同的V一Auth。另外,加密的第一 信息也可表示任何目的的信息。
根据图44第一行所示公式来生成V—Auth。这里,[口令]是规 定的认证信息,[||]表示连结运算,由[口令il用户ID]来表示将用 户ID与口令连结所得到的信息。Hashl是散列函数。
在认证请求装置4301对认证装置请求认证时,(l)输入认证信息。 认证请求装置的用户使用认证信息输入部来进行该输入。例如,通过 键盘或0-9数字键来进行输入,或输入用户的指纹或虹膜等生态认证 信息。
(2)至(4)是认证信息加工部的处理,(2滩据图44的(2)所示公式 来求出V—Auth,。接着,(3)从认证装置4302接收询问。所谓[询问] 是根据需要生成的值。期望认证装置每次发送时生成不同值,并且是 难以预测下面生成的值的值。若求出V—Auth'并接收询问,则(4)计算 U—Auth'。根据图44的(4)所示公式来求出U—Auth'。 Hash2是散列函 数,可以是与Hashl相同的函数,也可以不同的函数。
若求出U一Aiith',则(5)取得非易失性存储器中存储的加密 V—Auth的信息,进行连结,(6)发送到认证装置4302。
之后,变为认证装置4302的处理,取得认证装置的非易失性存 储器等中保持的解密密钥,(7)进行加密接收到的V—Auth的信息的解 密,得到V—Auth。接着,(8)根据图44的公式(8),由V—Auth与发送 到认证请求装置的询问来计算U一Auth。最后,(9)对照U—Auth与 U—Auth,。当输入认证请求装置的认证信息与生成V一Auth时的口令 相等时,U一Auth与U一Auth'相等,所以,由此可认证输入认证信息的用户是否是接受加密V_Auth的信息发行的人。
在认证请求装置中,因为认证信息加工中使用的运算是连结与散 列函数,所以要求的计算量不大,可实现认证请求装置的波形化、成 本降低等。另外,因为使用询问来加工认证信息,所以即使知道从认 证请求装置发送到认证装置的信息,也难以产生保密性问题。另外, 在认证装置侧,与现有认证方法不同,不必保持用户ID、 口令。因
此,不会限制加密V一Auth的信息的发行。 (实施形态5)
说明电子信用结算系统,作为本发明的实施形态5。图30表示 本实施形态5中的电子信用结算系统的框图。该电子信用结算系统由 用户所有的便携电话l、信用卡公司的中心2、和设置在小卖店中的 信用结算终端3构成,便携电话1与中心2由便携电话的无线通信网 络4连接,信用结算终端3与中心2通过信用结算网络5连接,便携 电话1与信用结算终端3使用本地无线通信功能(红外线通信、蓝牙、 无线LAN、非接触IC卡的无线通信等)6,进行特别通信。事先在便 携电话1中下载Java信用结应用程序。另外,为了验证对电子信用 实施的信用卡公司进行的电子署名,在信用结算终端3中存储信用卡 公司的证明信,在中心2与信用结算终端3中管理电子信用的加密密 钥的主密钥Km。
首先,从中心2向便携电话1下载对应于用户所有的信用卡的电 子信用(电子信息化后的信用卡、电子值之一)。图1表示电子信用下 载步骤。首先,若用户启动Java信用结算应用程序(lOO),则显示菜 单画面(101),若用户进行电子信用发行请求操作(102),则显示信用 卡的卡号码与PIN、及对应于下载的电子信用的口令(VPW)的画面 (103)。若用户输入卡号码与PIN及口令(104),则便携电话l将口令 (VPW)的散列运算结果Hash(vpw)作为口令的参照数据,存储在便携 电话1的存储器中(105),并根据卡号码(CN)与时刻(T),生成用户识别信息UID:Hash(CNIlt)(※ll表示数据的连结),并存储在存储器中 (106),并根据口令(VPW)与用户识别信息(UID),生成价值认证信息 F(VPW)=Hash(VPW||UID)(107),向中心2发送包含卡号码与PIN和 价值认证信息F(VPW)的电子信用发行请求(108)。中心2根据卡号码 与PIN,认证是否是信用卡所有者的用户(109),在认证的情况下,在 电子信用中埋入价值认证信息F(VPW),生成电子信用(ev)(110)。并 且,散列运算价值(value)认证信息F(VPW),与主密钥Km连结后, 进行散列运算,生成加密电子信用(ev)的共同密钥加密方式的加密密 钥Kc-Hash(KmPash(F(VPW))(lll)。使用生成的加密密钥Kc,加密 电子信用(ev),生成加密后的电子信用encrypt(ev)=Enc(Kc,ev)(112)。 加密后的电子信用encrypt(ev)被发送到便携电话1(113),将加密后的 电子信用encrypt(ev)存储在便携电话的存储器中(114),便携电话1显 示下载完成,电子信用的下载处理完成。
加密后的电子信用300的数据结构如图3所示,加密前的电子信 用由表示信用卡的卡号码、有效期限、用户名、发行者名等的电子信 用信息301、信用卡公司对部分电子信用信息301的电子署名302和 价值认证信息F(VPW)303构成。
若终止Java信用结算应用程序,则从存储器中删除用户输入的 口令。便携电话的存储器中保持的数据为散列运算口令后的数据,假 设便携电话被第三者偷盗,即使分析了内部的存储器,也不必担心知 道口令。
下面,用图2来说明使用下载的电子信用进行信用结算的步骤。 信用结算终端3生成随机数R,作为信用信息。若用户启动Java信 用结算应用程序(201),则显示菜单画面(202),若用户进行电子信用 结算操作(203),则显示输入对应于电子信用的口令(VPW)的画面 (204)。若用户输入口令(VPW')(205),则便携电话1计算口令(VPW,) 的散列数据Hash(VPW,),并与存储器中存储的参照数据的Hash(VPW)误(图 中未记载),在与参照数据一致的情况下,接收来自信用结算终端3
的电子信用请求(207)。电子信用请求中包含随机数R,便携电话1 使用用户输入的口令(VPW,),分别计算价值认证信息 F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的 连结的散列数据Hash(F(VPW')IIR)、价值认证信息的散列数据 Hash(F(VPW'))(208),与加密后的电子信用encrypt(ev) —起,将 Hash(F(VPW'川R)与Hash(F(VPW'))发送到信用结算终端3,作为电子 信用(209)。信用结算终端3根据接收到的价值认证信息的散列数据 Hash(F(VPW,))与主密钥Km,计算其连结Hash,生成加密后的电子 信用的共同密钥加密方式的解密密钥Kc'=Hash(Km|i Hash(F(VPW,))),解密电子信用的密码(210)。信用结算终端3从解密 后的电子信用(ev)中取出价值认证信息F(VPW)),计算与随机数R的 连结的Hash(F(VPW川R),与从便携电话1接收到的Hash(F(VPW'川R) 相对照,在一致的情况下,认证用户为电子信用的正当所有者(211)。 在不一致的情况下,向用户显示错误(未记载于图中)。并且,信用结 算终端3验证电子署名302(212),在检测到错误的情况下,向用户显 示错误。在电子署名302的验证(212)中,在未检测到错误的情况下, 信用结算终端3向便携电话1发送认证结果(213),并且,向中心2 发送信用结算的承认请求(215),中心2进行承认处理(216),从中心2 向信用结算终端3发送承认请求响应(217),信用结算终端3的信用结 算处理完成。另一方面,接收到认证结果的便携电话1显示完成(214), 完成电子信用的信用结算处理。此时,若终止Java信用结算应用程 序,则也从存储器中删除用户输入的口令。
在便携电话1与信用结算终端3之间交换的数据都是散列运算或 加密后的数据,所以即使假设第三者窃听便携电话1与信用结算终端 3之间的通信,也不能使用窃听到的数据来进行冒充。在以上说明中,设对应于电子信用的认证信息为口令,但也可作 为用户的指纹或虹膜等生态信息。此时,便携电话1具备指纹认证传 感器或虹膜认证摄像机等的功能。
另外,在本实施形态5中,描述了电子信用结算系统,但通过变 更电子信用的电子信用信息301的部分内容,也可将同样的认证机构
用于电子支款结算系统或电子票据系统、电子通票系统或会员证或ID
卡等其它电子值的认证处理中。例如,在电子支款结算系统的情况下,
可仅向电子信用信息301的部分中输入银行帐号、用户名、发行者名
等信息。
(实施形态6)
下面,说明使用对应于多种信用卡及多个受让人(7 , 7 < T ,)
的便携型信用结算终端的电子信息结算系统,作为本发明的实施形态
6。在本实施形态6中,便携电话管理多种作为电子信息化后的信用 卡的电子信用(ev:电子值的一种),并使用用户选择的电子信用(ev), 与便携型信用结算终端之间进行结算。因为信用结算终端为便携型, 所以例如小卖店或餐馆店等加盟店的店员可携带信用结算终端,不使 客户(用户)等待,在柜台或场地等接客现场进行结算。
图4表示本实施形态6中的电子信用结算系统的结构框图。该电 子信用结算系统由用户所有的便携电话401、信用卡公司的中心2、 加盟店的店员持有的信用结算终端403、向加盟店提供信用结算服务 的受让人404、连接便携电话401与中心402之间的网络405和连接 信用结算终端403与受让人404之间的网络406构成。
网络405由便携电话的无线通信网络与因特网构成,可基于便携 电话401与中心402的无线通信进行通信。在便携电话401与中心 402的通信中,通常确立SSL(Secure Socket Layer:加密套接字协议 层)或TLS(Transport Layer Security:传输层加密)等的保密通话期 (security session),加密通信数据后传输。网络406由无线通信网络与信用结算网络构成,可进行信用结算
终端403与受让人404的无线通信的通信。便携电话401与信用结算 终端403使用本地无线通信功能(红外线通信、蓝牙、无线LAN、非 接触IC卡的无线通信等),进行综合连接并通信。中心402与受让人 404使用专用线来进行通信。
信用结算终端403对应于多种电子信用的结算,并在受让人不同 的情况下也对应。因此,图4中,中心与受让人仅示出一个,但实际 上信用结算终端403经网络406与多个受让人连接,与多个信用卡公
司的中心之间进行信用结算处理。
事先将管理电子信用(ev)的钱夹(7k'7卜)应用程序下载到便 携电话401中。另外,为了对应于多种信用卡的结算,在信用结算终 端403中对每种卡存储卡信息,在中心402与信用结算终端403中管 理解密电子信用(ev)加密部分的加密密钥的主密钥(Km)。
图5是表示信用结算终端403的内部结构的框图。信用结算终端 403包括:CPU(Central Processing Unit:中央处理器)500,根据 ROM(Read Only Memory:只读存储器)502中存储的程序,进行 EEPROM(Electrically Erasable Programmable ROM:电可擦除只读存 储器)503中存储的数据处理与收发信数据的处理、及经总线513进行 其它结构要素的控制;LCD505、本地无线通信I/F510;保密卡槽501、 操作信用结算终端的开关508、检测开关操作的键控制部509、驱动 扬声器506的声音处理部507、控制经天线512进行的无线数据通信 的无线通信部511;和保密卡501。
本地无线通信I/F510是红外线通信或蓝牙、无线LAN、非接触 IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密卡501是安全管理主密钥(Km)、并安全进行电子信用认证 处理用的器件,由TRM部(Tamper Resistant Module:防篡改模块)514 和闪存部515构成。TRM部514由CPU516、 ROM517、 RAM518、EEPROM519和协同处理器520构成,具有防止从外部不正当访问的 防篡改功能。
闪存部515如图6所示,分别加密并存储电子信用信息列表601 与结算履历信息602。电子信用信息列表601是登录关于信用结算终 端对应种类的电子信用信息的列表,结算履历信息602是信用结算终 端进行的电子信用结算的履历信息。CPU516控制协同处理器520来 进行电子信用信息列表601与结算履历信息602的加密及解密。
图6表示在电子信用信息列表601中登录关于4种电子信用(ev) 的信息的情况。在电子信用信息列表601中,对一种电子信用(ev)分 别登录卡种类、主密钥(Km)、信用卡公司证明信、负列表、受让人信 息、风险管理信息。
卡种类是表示电子信用(ev)种类的识别信息,主密钥(Km)是解密 这种电子信用(ev)加密部分的加密密钥的主密钥,信用卡公司证明信 是发行这种电子信用(ev)的信用卡公司的证明信,负列表是就这种电 子信用(ev)而言无效的电子信用(ev)的卡号码(识别信息)的列表,受让 人信息是有关提供涉及这种电子信用(ev)的信用结算服务的受让人的 信息,风险管理信息是判断在对这种电子信用(ev)进行结算处理的情 况下是否进行场地限制等在线认证等时使用的信息。
此外,电子信用信息列表601中也可对每种电子信用(ev)登录电 子信用结算处理时使用的效果音等声音信息和图像信息等的多媒体 信息。例如,通过对该电子信用(ev)的种类或信用卡品种登录固有的 声音信息和图像信息,在结算完成时从扬声器输出该效果音,在LCD 上显示图像信息,可明确地表示使用了该种类(或信用卡品种)的电子 信用(ev)。
由保密卡501的CPU516来控制对闪存部515中存储的信息的访 问,信用结算终端403经保密卡501的TRM部514,对结算履历信 息602进行写入与读出,但电子信用信息列表601仅能读出,不能写入。另外,在电子信用信息列表601中,控制成主密钥(Km)既不能从 信用结算终端403读出也不能写入。
电子信用信息列表601中保密卡501与受让人经信用结算终端 403及网络406,确立加密的通信对话期,必要时进行更新。例如, 根据加盟店与受让人的合同,进行电子信用信息的追加或删除、风险 管理信息的更新,另外,为了提高安全性,更新主密钥(Km)或负列表。
便携电话401具备本地无线通信I/F,便携电话401的钱夹应用 程序经本地无线通信I/F与信用结算终端403综合连接,使用钱夹应 用程序管理的电子信用(ev)来进行电子信用结算。
在便携电话401的存储器(非易失性存储器)中,如图7所示,存 储钱夹显示信息701、钱夹声音信息702、电子信用列表703,作为 钱夹应用程序管理的信息。钱夹显示信息701是钱夹应用程序显示于 便携电话中的画面中使用的图像或映像信息等显示信息,钱夹声音信 息702是钱夹应用程序使用的效果音或旋律信息等声音信息,电子信 用列表703是钱夹应用程序管理的电子信用(ev)的列表。
图7表示电子信用列表703中登录3个电子信用(ev)的情况。电 子信用列表703中,对1个电子信用(ev)分别登录参照数据、用户识 别信息(UID)、电子信用(ev)、属性。后面详细说明参照数据与用户识 别信息(UID)。属性是对电子信用(ev)设定的属性信息,例如,设定钱 夹应用程序显示电子信用一览时的顺序、或电子信用结算时使用的效 果音、或LED或振动器等的动作。例如用户可选择地进行对应于利 用频度来设定显示电子信用的顺序,分别从钱夹声音信息702选择设 定在电子信用结算完成时、或结算失败时输出的声音,在电子信用结 算完成时使LED闪烁,或在结算失败时使振动器动作。
图8表示电子信用(ev)的数据结构。电子信用大体上由电子信用 公开信息801、保密信息800和显示用信息805构成。保密信息800 是电子信用认证处理中使用的信息,由根据主密钥(Km)生成的加密密钥来加密。另外,显示用信息805是钱夹应用程序在画面中显示电子 信用时使用的信用卡的标识符标记或用户的照片、布置信息等显示信
息,通过选项设定。因此,通过电子信用(ev),有持有与不持有显示 用信息805的信息。
电子信用公开信息801是记载电子信用的卡种类、卡号码、有效 期限、用户名、发行者名等涉及电子信用的、应向用户公开的信息的 部分,钱夹应用程序在将电子信用显示于画面时使用该电子信用公开 信息801。
保密信息800还由电子信用秘密信息802、价值认证信息803与 署名信息804构成。后面详细说明价值认证信息803。
电子信用秘密信息802是记载信用卡公司设定的风险管理信息 等涉及电子信用的、未必向用户公开的信息的部分,是在电子信用结 算时、判断是否信用结算终端403解密密码并进行在线认证等中使用 的信息。
署名信息804是信用卡公司对连结电子信用公开信息801与加密 前的电子信用秘密信息802及价值认证信息803的数据进行的电子署 名,用于在电子信用结算时,由信用结算终端403解密密码,通过验 证电子署名,验证电子信用(ev)的有效性。
期望署名信息804最好是基于公开密钥加密方式、使用在安全性 上密钥长度足够长的密钥生成的电子署名,但也可以是通过信用卡公 司的判断,对连结电子信用公开信息801与加密前的电子信用秘密信 息802及价值认证信息803的数据进行散列运算的结果。
下面,首先说明用户从中心402将电子信用(ev)下载到便携电话 401的步骤。图9表示电子信用(ev)的下载步骤。首先,若用户启动 钱夹应用程序(900),则显示菜单画面(901),若用户通过菜单选择进 行电子信用发行请求操作(902),则对应于电子信用的卡号码与 PIN(Personal Identification Number:个人身份号码)及下载的电子信用
30(ev),显示输入用户设定的价值口令(VPW :
若用户输入卡号码与PIN及价值口令(904),则便携电话401将 价值口令(VPW)的散列运算结果Hash(VPW)作为价值口令的参照数 据,存储在便携电话401的存储器中(905),并根据卡号码(CN)与时 刻(T),生成用户识别信息UID=Hash(CN||T)(※l哮示数据的连结)并 存储在存储器中(906),并将包含卡号码(CN)、PIN、用户识别信息(UID) 与价值密码(VPW)的电子信用发行请求发送给中心402(907)。此时, 参照数据Hash(VPW)与用户识别信息UID:Hash(CNilT)在便携电话 401的存储器上的电子信用列表703中,作为涉及新下载的电子信用 的数据,分别存储在参照数据与用户识别信息的字段中。
接收电子信用发行请求的中心402根据卡号码(CN)与PIN,认证 用户是否是应成为发行电子信用所有者的用户(908),在认证的情况 下,中心402根据价值口令(VPW)与用户识别信息(UID),生成价值 认证信息F(VPW)= Hash(VPW||UID)(909),散列运算价值认证信息 F(VPW),与主密钥Km相连结,并进行散列运算,生成加密电子信 用(ev)的共同密钥加密方式的加密密钥 Kc=Hash(Km||Hash(F(VPW))(910)。中心402还生成电子信用(ev)的电 子信用公开信息,并根据用户的信用信息与价值口令(VPW)的风险评 价结果,生成电子信用秘密信息,并使用生成的价值认证信息F(VPW) 与加密密钥,生成具有图8所示数据结构的电子信用(ev)(911)。此时, 在根据卡号码(CN)与PIN未认证用户的情况下,从中心402向便携电 话401发送错误消息,终止电子信用(ev)的下载处理(图中未记载)。将生成的电子信用(ev)发送到便携电话401(912),电子信用(ev)被存储在便携电话的存储器中(913),便携电话401显示下载完成(914),完成电子信用的下载处理。此时,电子信用(ev)作为新的电子信用,存储于便携电话401的存储器上的电子信用列表703中。另外,对属性设定默认属性,在默认设定中,没有设定电子信用结算时使用的声音。
另外,在图9的步骤(904)中,用户判断操作性优先于电子信用结算的安全性,在未设定价值口令的情况下,便携电话401在步骤(905)中不进行价值口令(VPW)的散列运算,表示对电子信用列表703的参照数据字段设定空,且不设定价值口令(VPW),在步骤(907)中,对价值口令(VPW)的字段设定空,并发送电子信用结算请求,在步骤(909)中,散列运算用户识别信息(UID),生成价值认证信息F(VPW)-Hash(UID)。
另夕卜,若终止钱夹应用程序,则从便携电话401的存储器中删除用户输入的价值口令(VPW)。便携电话的存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道价值口令。
下面,说明使用下载的电子信用(ev)来进行电子信用结算的步骤。图10表示使用电子信用(ev)的电子信用结算的步骤。首先,若加盟店的店员进行开始电子信用结算的操作(输入结算金额等),则信用结算终端403生成随机数R,作为询问信息(IOOO)。随机数R从保密卡501取得,实际上是保密卡501的CPU516生成的。 一旦用户启动钱夹应用程序(IOOI),则显示菜单画面(1002),若用户通过菜单选择来选择使用的电子信用,并进行电子信用结算操作(1003),则显示输入对应于电子信用的价值口令的画面(1004)。
若用户输入价值口令(VPW')(1005),则便携电话401计算价值口令(VPW,)的散列数据Hash(VPW,),并与电子信用列表703上的对应
32电子信用的参照数据的Hash(VPW)相对照,认证用户(1006)。在与参照数据不一致的情况下,显示错误(图中未记载),在与参照数据一致的情况下,从信用结算终端403接收电子信用请求(1007)。在电子信用请求中包含随机数R与用户终端控制信息。用户终端控制信息是电子信用结算时控制便携电话401的动作用信息,设定信用卡公司进行设定及由加盟店进行电子信用结算的环境所对应的控制信息。具体而言,用户终端控制信息是控制用户可否使用设定为电子信用属性的效果音、其音量等级的控制、及控制LED和振动器的动作的信息。通过用户终端控制信息,例如在医院等安静的环境,因为大的噪音不受欢迎,将音量等级设定的低到用户能够识别的程度,或者,禁止效果音的输出,通过控制LED和振动器的动作,可以向用户明确表示认证处理是否成功。此外,在繁华街道等噪音大的环境中,可以将音量设定的很高来向用户明确表示认证处理是否成功。
便携电话401使用用户输入的价值口令(VPW'),分别计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的连结的散列数据Hash(F(VPW'川R)、价值认证信息的散列数据Hash(F(VPW,))(1008),将Hash(F(VPW,)HR)、 Hash(F(VPW,))和服务终端控制信息与电子信用(ev)—起发送,作为向信用结算终端403提示电子信用的消息(1009)。此时,不发送电子信用(ev)的显示用信息805的部分。服务终端控制信息是控制电子信用结算时信用结算终端403动作用的信息,设定基于用户设定的电子信用属性的控制信息。例如,具体而言,用户终端控制信息中允许使用用户设定的效果音,对电子信用的属性设定电子信用结算完成时输出的效果音的情况下,服务终端控制信息是限制信用结算终端403的电子信用结算完成时声音输出的信息。
信用结算终端403首先验证接收到的电子信用(ev)的电子信用公开信息801的内容的有效性(卡号码与有效期限的验证)后,将接收到的电子信用(ev)、 Hash(F(VPW,川R)和Hash(F(VPW,))发送到保密卡501,在保密卡501中进行电子信用(ev)与用户的离线认证。在电子信用公开信息801的内容有效性的验证中,在检测到错误的情况下,从信用结算终端403向便携电话401发送错误消息,终止电子信用结算的处理(图中未记载)。
保密卡501对照电子信用公开信息801中的卡种类与电子信用信息列表601的卡种类的字段,确定在以后的处理中使用涉及电子信用信息列表601中的哪种电子信用的信息(主密钥(Km)、信用卡公司证明信、负列表、受让人信息、风险管理信息),还对照电子信用(ev)的卡号码与负列表,验证电子信用(ev)未登录在负列表中(1010)。
此时,在电子信用信息列表601中未登录接收到的电子信用(ev)的卡种类所示种类的电子信用的情况下,或接收到的电子信用(ev)登录在负列表中的情况下,保密卡501向信用结算终端403返回错误,随后,从信用结算终端403向便携电话401发送错误消息,终止电子信用结算的处理(图中未记载)。
接着,保密卡501计算接收到的价值认证信息的散列数据Hash(F(VPW'))与主密钥Km的连结散列数据,生成解密电子信用的保密信息800的部分的共同密钥加密方式的解密密钥Kc'=Hash(Km||Hash(F(VPW'))),并使用协同处理器520来解密电子信用的保密信息800(1011)。
保密卡501从解密后的保密信息800中取出价值认证信息803F(VPW),并计算与随机数R的连结的散列数据Hash(F(VPW)ilR),与从便携电话401接收到的Hash(F(VPW,)IIR)相对照,在一致的情况下,认证用户为电子信用的正当所有者(1012)。并且,保密卡501使用信用卡公司证明信中的公开密钥来验证利用协同处理器520解密的保密信息800的署名信息804,验证电子信用(ev)未被篡改或伪造(1013)。在Hash(F(VPW)IIR)与Hash(F(VPW,)IIR)不一致的情况下,或在署名信息验证(1013)中检测到错误的情况下,保密卡501向信用结
算终端403返回错误,并从信用结算终端403向便携电话401发送错误消息,终止电子信用结算的处理(图中未记载)。
在署名信息验证(1013)中未捡测到错误的情况下,即验证了电子信用(ev)的有效性的情况下,保密卡501根据风险管理信息与电子信用(ev)的电子信用秘密信息802,判断是否进行在线认证、结算处理动作(1014)。
在图10的步骤(1014)中判断为进行在线认证的情况下,保密卡501向信用结算终端403显示离线认证完成,同时请求在线认证,信用结算终端403向便携电话401发送认证结果(1015),并根据受让人信息,向受让人404发送电子信用结算的承认请求(1017),受让人404向中心402发送电子信用结算的承认请求(1018),中心402进行承认处理(1019),从中心402向受让人404发送承认请求响应(1020),并且从受让人404向信用结算终端403发送承认请求响应(1021),完成信用结算终端403中的电子信用结算处理。另一方面,接收到认证结果的便携电话401显示完成(1016),结束电子信用结算处理。
在图10的步骤(1014)中判断为不必进行在线认证的情况下,保密卡501向信用结算终端403显示离线认证完成,信用结算终端403向便携电话401发送认证结果(1015),结束电子信用结算处理,接收到认证结果的便携电话401显示完成(1016),结束电子信用结算处理。
另外,若信用结算终端403结束电子信用结算处理,则将履历信息登录在保密卡501的结算履历信息602中,根据登录在电子信用信息列表601中的信息与接收到的服务终端控制信息,表示电子信用结算处理完成。例如,在电子信用信息列表601中登录声音信息的情况下,信用结算终端403输出该声音信息,作为效果音,另外,在对服务终端控制信息限制声音输出的情况下,信用结算终端403不输出效果音。若便携电话401结束电子信用结算处理,则根据使用的电子信用的属性与接收到的用户终端控制信息,显示电子信用结算处理完成。例如,对电子信用的属性设定电子信用结算完成时输出的声音信息,且允许用户终端控制信息使用对属性设定的效果音,在指定音量等级的情况下,便携电话401以指定的音量等级输出声音信息,作为效果音,另外,在禁止用户终端控制信息使用对属性设定的效果音的情况
下,便携电话401不输出效果音。另外,便携电话401在从信用结算终端403发送错误消息后终止电子信用结算的处理时,也同样根据使用的电子信用的属性与接收到的用户终端控制信息,显示电子信用结算处理失败。
另外,在电子信用结算操作(1003沖,在用户选择未设定价值口令的电子信用的情况下,不进行图10的步骤(1004)、步骤(1005)、步骤(1006)的处理,便携电话401从信用结算终端403接收电子信息请求(1007),在步骤(1008)的处理中,散列运算用户识别信息(UID),计算价值认证信息(F(VPW,)^Hash(UID)。
另外,在接收到的电子信用(ev)的署名信息804不是基于公开密钥加密方式的电子署名,而是种类为对连结电子信用公开信息801、与电子信用秘密信息802及价值认证信息803的数据的散列运算结果的电子信用(ev)的情况下,在署名信息的验证(1013)的处理中,计算对连结接收到的电子信用(ev)的电子信用公开信息801与解密密码后的电子信用秘密信息802及价值认证信息803的数据的散列数据,对照署名信息804,验证电子信用(ev)未被篡改或伪造。
另外,在该电子信用结算的情况下,若也终止钱夹应用程序,则从存储器中删除用户输入的价值口令与价值认证信息。在便携电话401与信用结算终端403之间交换的数据中,用于认证处理的数据全部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携电话401与信用结算终端403之间的通信,也无法使用窃听到的数据
36来冒充。
下面,说明使用下载的电子信用(ev)进行电子信用结算的又一步 骤。图11表示本实施形态中使用电子信用(ev)的电子信用结算的又一 步骤,在图IO的步骤中,最初用户自己启动钱夹应用程序,而在图 11所示步骤中,根据从信用结算终端403接收到的消息,启动钱夹 应用程序。
首先,若加盟店的店员操作开始电子信用结算(输入结算金额 等),则信用结算终端403生成随机数R,作为询问信息(IIOO)。该随 机数R从保密卡501取得,实际上是保密卡501的CPU516生成的。 一旦用户进行可从信用结算终端403接收消息的操作(1101),则便携 电话401从信用结算终端403接收电子信用请求(1102)。在电子信用 请求中包含结算金额、随机数R与用户终端控制信息。
接收到电子信用请求的便携电话401启动钱夹应用程序,显示査 询对接收到的结算金额使用哪个电子信用的对话框(1103),若用户通 过菜单选择来选择使用的电子信用,进行电子信用结算操作(1104)时, 显示输入对应于电子信用的价值口令的画面(l 105)。
用户一旦输入价值口令(VPW,)(1106),则便携电话401计算价值 口令(VPW,)的散列数据Hash(VPW,),并与电子信用列表703上的对 应电子信用的参照数据的Hash(VPW)相对照,认证用户(1107)。在与 参照数据不一致的情况下,显示错误(图中未记载),在与参照数据一 致的情况下,便携电话401使用用户输入的价值口令(VPW'),分别 计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及价值认证信息 F(VPW,)与随机数R的连结的散列数据Hash(F(VPW,川R)、价值认证 信息的散列数据Hash(F(VPW,))(1108),将Hash(F(VPW,川R)、 Hash(F(VPW,))和服务终端控制信息与电子信用(ev)—起发送,作为 向信用结算终端403提示电子信用的消息(1009)。此时,不发送电子 信用(ev)的显示用信息805的部分。信用结算终端403首先验证接收到的电子信用(ev)的电子信用公 开信息801的内容的有效性(卡号码与有效期限的验证)后,将接收到 的电子信用(ev)、 Hash(F(VPW'川R)和Hash(F(VPW,))发送到保密卡 501,在保密卡501中进行电子信用(ev)与用户的离线认证。在电子信 用公开信息801的内容有效性的验证中,在检测到错误的情况下,从 信用结算终端403向便携电话401发送错误消息,终止电子信用结算 的处理(图中未记载)。
保密卡501对照电子信用公开信息801中的卡种类与电子信用信 息列表601的卡种类的字段,确定在以后的处理中使用涉及电子信用 信息列表601中的哪种电子信用的信息(主密钥(Km)、信用卡公司证 明信、负列表、受让人信息、风险管理信息),还对照电子信用(ev) 的卡号码与负列表,验证电子信用(ev)未登录在负列表中(1110)。
此时,在电子信用信息列表601中未登录接收到的电子信用(ev) 的卡种类所示种类的电子信用的情况下,或接收到的电子信用(ev)登 录在负列表中的情况下,保密卡501向信用结算终端403返回错误, 随后,从信用结算终端403向便携电话401发送错误消息,终止电子 信用结算的处理(图中未记载)。
接着,保密卡501计算接收到的价值认证信息的散列数据 Hash(F(VPW'))与主密钥Km的连结散列数据,生成解密电子信用的 保密信息800的部分的共同密钥加密方式的解密密钥Kc,=Hash(Km|| Hash(F(VPW'))),并使用协同处理器520来解密电子信用的保密信息 800(1111)。
保密卡501从解密后的保密信息800中取出价值认证信息 803F(VPW),并计算与随机数R的连结的散列数据Hash(F(VPW)IIR), 与从便携电话401接收到的Hash(F(VPW,川R)相对照,在一致的情况 下,认证用户为电子信用的正当所有者(1112)。并且,保密卡501使 用信用卡公司证明信中的公开密钥来验证利用协同处理器520解密的保密信息800的署名信息804,验证电子信用(ev)未被篡改或伪造 (1113)。在Hash(F(VPW)HR)与Hash(F(VPW')IIR)不一致的情况下,或 在署名信息验证(1113)中检测到错误的情况下,保密卡501向信用结 算终端403返回错误,并从信用结算终端403向便携电话401发送错 误消息,终止电子信用结算的处理(图中未记载)。
在署名信息验证(11B)中未检测到错误的情况下,即验证了电子 信用(ev)的有效性的情况下,保密卡501根据风险管理信息与电子信 用(ev)的电子信用秘密信息802,判断是否进行在线认证、结算处理 动作(U14)。
在图11的步骤(1114)中判断为进行在线认证的情况下,保密卡 501向信用结算终端403显示离线认证完成,同时请求在线认证,信 用结算终端403向便携电话401发送认证结果(1115),并根据受让人 信息,向受让人404发送电子信用结算的承认请求(1117),受让人404 向中心402发送电子信用结算的承认请求(1118),中心402进行承认 处理(1119),从中心402向受让人404发送承认请求响应(1120),并 且从受让人404向信用结算终端403发送承认请求响应(1121),完成 信用结算终端403中的电子信用结算处理。另一方面,接收到认证结 果的便携电话401显示完成(1116),结束电子信用结算处理。
在图11的步骤(1114)中判断为不必进行在线认证的情况下,保密 卡501向信用结算终端403显示离线认证完成,信用结算终端403向 便携电话401发送认证结果(1115),结束电子信用结算处理,接收到 认证结果的便携电话401显示完成(1116),结束电子信用结算处理。
另外,若信用结算终端403结束电子信用结算处理,则将履历信 息登录在保密卡501的结算履历信息602中,根据登录在电子信用信 息列表601中的信息与接收到的服务终端控制信息,表示电子信用结 算处理完成。例如,在电子信用信息列表601中登录声音信息的情况 下,信用结算终端403输出该声音信息,作为效果音,另外,在对服务终端控制信息限制声音输出的情况下,信用结算终端403不输出效 果音。
若便携电话401结束电子信用结算处理,则根据使用的电子信用 的属性与接收到的用户终端控制信息,显示电子信用结算处理完成。 例如,对电子信用的属性设定电子信用结算完成时输出的声音信息, 且允许用户终端控制信息使用对属性设定的效果音,在指定音量等级
的情况下,便携电话401以指定的音量等级输出声音信息,作为效果
音,另外,在禁止用户终端控制信息使用对属性设定的效果音的情况
下,便携电话401不输出效果音。另外,便携电话401在从信用结算 终端403发送错误消息后终止电子信用结算的处理时,也同样根据使 用的电子信用的属性与接收到的用户终端控制信息,显示电子信用结 算处理失败。
另外,在电子信用结算操作(1104)中,在用户选择未设定价值口 令的电子信用的情况下,不进行图11的步骤(1105)、步骤(1106)、步 骤(1107)的处理,便携电话401前进到步骤(1108)的处理,散列运算 用户识别信息(UID),计算价值认证信息(F(VPW,)卜Hash(UID)。
另外,在接收到的电子信用(ev)的署名信息804不是基于公开密 钥加密方式的电子署名,而是种类为对连结电子信用公开信息801、 与电子信用秘密信息802及价值认证信息803的数据的散列运算结果 的电子信用(ev)的情况下,在署名信息的验证(1113)的处理中,计算 对连结接收到的电子信用(ev)的电子信用公开信息801与解密密码后 的电子信用秘密信息802及价值认证信息803的数据的散列数据,对 照署名信息804,验证电子信用(ev)未被篡改或伪造。
另外,在该电子信用结算的情况下,若也终止钱夹应用程序,则 从存储器中删除用户输入的价值口令与价值认证信息。在便携电话 401与信用结算终端403之间交换的数据中,用于认证处理的数据全 部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携
40电话401与信用结算终端403之间的通信,也无法使用窃听到的数据 来冒充。
在本实施形态6的以上说明中,虽描述了电子信用结算系统,但
通过变更电子信用的电子信用公开信息801与电子信用秘密信息802 的部分内容,也可将同样的认证机构用于电子支款结算系统或会员证 或ID卡等其它电子值的认证处理中。例如,在电子支款结算系统的 情况下,可仅向电子信用公开信息801的部分中输入银行帐号、用户 名、发行者名等信息。 (实施形态7)
下面,说明电子票据系统,作为本发明的实施形态7。在本实施 形态7中,便携电话管理多种作为电子信息化了的票据(ticket)的 电子票据(ev:电子值的一种),并使用用户选择的电子信用(ev),与 检票装置之间进行检票处理。
图12表示电子票据系统的结构框图。电子票据系统由用户所有 的便携电话1201、票据公司的中心1202、设置在车站的检票或事件 会场入口等的检票装置1203、连接便携电话1201与中心1202之间 及连接检票装置1203与中心1202之间的网络1204构成。
网络1204由便携电话的无线通信网络与因特网构成,可基于便 携电话1201与中心1202的无线通信进行通信,并可基于检票装置 1203与中心1202的因特网进行通信。在便携电话1201与中心1202 的通信及检票装置1203与中心1202的通信中,通常确立SSL(Secure Socket Layer:加密套接字协议层)或TLS(Transport Layer Security:传 输层加密)等的保密通话期(security session),加密通信数据后传输。 便携电话1201与检票装置1203使用本地无线通信功能(红外线通信、 蓝牙、无线LAN、非接触IC卡的无线通信等),进行综合连接并通信。
事先将管理电子信用(ev)的钱夹应用程序下载到便携电话1201 中。另外,为了对应于多种票据的检票处理,在检票装置1203中对每种票据存储票据信息,在中心1202与检票装置1203中管理用于生
成加密密钥的主密钥(Km),该加密密钥解密电子信用(ev)加密的部 分。
图13是表示检票装置1203的内部结构的框图。检票装置1203 包括:开关门的挡板(flap)的门机构部1311;检测用户进入门且启动 检票装置1203的启动传感器1312;本地无线通信I/F1313;LED1314; 扬声器1315和控制这些部件的控制部1310,在控制部1310中,除 直接控制其它部分的控制电路外,还组装保密模块1300。
本地无线通信I/F1313是红外线通信或蓝牙、无线LAN、非接触 IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密模块1300是安全管理主密钥(Km)、并安全进行电子信用认 证处理用的器件,由TRM部(Tamper Resistant Module:防篡改模 块)1306和闪存部1307构成。TRM部1306由CPU1301、 ROM1302、 RAM1303、 EEPROM1304和协同处理器1305构成,具有防止从外部 不正当访问的防篡改功能。
闪存部1307如图14所示,分别加密并存储电子票据信息列表 1401与检票履历信息1402。电子票据信息列表1401是登录关于检票 装置对应种类的电子票据信息的列表,检票履历信息1402是检票装 置进行的电子票据检票处理的履历信息。CPU1301控制协同处理器 1305来进行电子票据信息列表1401与检票履历信息1402的加密及 解密。图14表示在电子票据信息列表1401中登录关于4种电子票据 (ev)的信息的情况。在电子票据信息列表1401中,对一种电子票据(ev) 分别登录票据种类、主密钥(Km)、票据公司证明信、负列表。
票据种类是表示电子票据(ev)种类的识别信息,主密钥(Km)是用 于生成解密这种电子票据(ev)加密部分的加密密钥的主密钥,票据公 司证明信是发行这种电子票据(ev)的票据公司的证明信,负列表是就 这种电子票据(ev)而言无效的电子票据(ev)的票据号码(识别信息)的列表。
此外,电子票据信息列表1401中也可对每种电子票据(ev)登录电
子票据检票处理时使用的效果音等声音信息和图像信息等多媒体信
息。例如,对该电子票据(ev)的种类或票据公司登录固有的声音信息 和图像信息,在完成检票处理从扬声器输出效果音,在LCD上显示 图像信息,由此,可明确地表示使用了该种类(或票据公司)的电子票 据(ev)。
由保密模块1300的CPU13016来控制对闪存部1307中存储的信 息的访问,检票装置1203经保密模块1300的TRM部1306,对检票 履历信息1402进行写入与读出,但电子票据信息列表1401仅能读出, 不能写入。另外,在电子票据信息列表1401中,控制成主密钥(Km) 既不能从检票装置1203读出也不能写入。
电子票据信息列表1401中,保密模块1300与中心经检票装置 1203及网络1204,确立加密的通信对话期,必要时进行更新。例如, 根据管理检票装置1203的从业者与票据公司的合同,进行电子票据 信息的追加或删除,另外,为了提高安全性,更新主密钥(Km)或负列 表。
便携电话1201具备本地无线通信I/F,便携电话1201的钱夹应 用程序经本地无线通信I/F与检票装置1203综合连接,使用钱夹应用 程序管理的电子票据(ev)来进行电子票据检票处理。另外,本实施形 态中的钱夹应用程序也具备实施形态6中说明的管理电子信用并进 行电子信用结算的功能。
在便携电话1201的存储器(非易失性存储器)中,如图15所示, 存储钱夹显示信息1501、钱夹声音信息1502、电子信用列表1503、 电子票据列表1504,作为钱夹应用程序管理的信息。钱夹显示信息 1501是钱夹应用程序显示于便携电话中的画面中使用的图像或映像 信息等显示信息,钱夹声音信息1502是钱夹应用程序使用的效果音或旋律信息等声音信息,电子票据列表1504是钱夹应用程序管理的
电子票据(ev)的列表。电子信用列表1503与实施形态2中说明的电子 信用列表704—样,这里省略说明。
图15表示电子票据列表1504中登录3个电子票据(ev)的情况。 电子票据列表1504中,对1个电子票据(ev)分别登录参照数据、用户 识别信息(UID)、电子票据(ev)、属性。后面详细说明参照数据与用户 识别信息(UID)。
属性是对电子票据(ev)设定的属性信息,例如,设定钱夹应用程 序显示电子票据一览时的顺序、或电子票据检票处理时使用的效果 音、或LED或振动器等的动作。例如用户可选择地进行对应于利用 频度来设定显示电子票据的顺序,分别从钱夹声音信息1502选择设 定在电子票据检票处理完成时、或检票处理失败时输出的声音,在电 子票据检票处理完成时使LED闪烁,或在检票处理失败时使振动器 动作。
图16表示电子票据(ev)的数据结构。电子票据大体上由电子票据 公开信息1601和显示用信息1605构成。保密信息1600是电子票据 认证处理中使用的信息,由根据主密钥(Km)生成的加密密钥来加密。 另外,显示用信息1605是钱夹应用程序在画面中显示电子票据时使 用的图像或布置信息等显示信息,选项设定。因此,通过电子票据(ev), 有持有与不持有显示用信息1605的信息。
电子票据公开信息1601是记载票据属性信息、有效期限、发行 者名等涉及电子票据的、应向用户公开的信息的部分,钱夹应用程序 在将电子票据显示于画面时使用该电子票据公开信息1601。在票据 属性信息中,除表示电子票据种类的票据种类、作为各电子票据的识 别信息的票据号码、表示电子票据是否检票处理完的检票完成标志、 表示电子票据的可使用次数的可使用次数外,在例如事件票据的情况 下,还包含事件名称或日期、座席号码、会场信息等涉及该票据的属性信息。
保密信息1600还由电子票据秘密信息1602、价值认证信息1603 与署名信息1604构成。后面详细说明价值认证信息1603。
电子票据秘密信息1602是记载票据公司设定的顾客管理信息等 涉及电子票据的未必向用户公开的信息的部分,是在电子票据捡票处 理时、检票装置1203解密密码、管理检票装置1203的从业者或票据 公司必要时使用的信息。
署名信息1604是票据公司对连结电子票据公开信息1601与加密 前的电子票据秘密信息1602及价值认证信息1603的数据进行的电子 署名,用于在电子票据检票处理时,由检票装置1203解密密码,通 过验证电子署名,验证电子票据(ev)的有效性。
期望署名信息1604是基于公开密钥加密方式的、使用安全性上 密钥长度足够长的密钥生成的电子署名,但也可以是通过票据公司的 判断,对连结电子票据公开信息1601与加密前的电子票据秘密信息 1602及价值认证信息1603的数据进行散列运算的结果。
下面,首先说明用户从中心1202下载电子票据(ev)的步骤。图 17表示电子票据(ev)的下载步骤。首先,用户使用便携电话1201的 因特网访问功能,访问中心1202,选择希望的电子票据,另外,必 要时执行进行贷款的结算处理等获得电子票据的操作(1700),若在便 携电话1201与中心1202之间进行获得处理(1701),则从中心1202 向便携电话1201发送导航消息(1702)。导航消息(1702)是督促便携电 话1201下载电子票据(ev)的消息,包含识别下载的电子票据(ev)的交 易号码(TN)。
接收到导航消息(1702)的便携电话1201启动钱夹应用程序,显 示查询是否下载电子票据的对话框(1703),若用户进行电子票据发行 请求操作(1704),则显示输入用户对应于下载的电子票据(ev)来设定 的价值口令(VPW: 〈U〉v々U〉alue〈U〉p々U〉ass〈U〉w〈/UX)rd)的画面
45(1705)。
若用户输入价值口令(1706),则便携电话1201将价值口令(VPW) 的散列运算结果Hash(VPW)作为价值口令的参照数据,存储在便携 电话1201的存储器中(1707),并根据交易号码(TN)与时刻(T),生成
用户识别信息UE^Hash(TNIIT)(※l哮示数据连结)并存储在存储器中 (1708),还根据价值口令(VPW)与用户识别信息UID,生成价值认证 信息F(VPW)= Hash(VPW||UID)(1709),将包含交易号码(TN)与价值 认证信息F(VPW)的电子票据发行请求发送给中心1202(1710)。此时, 参照数据Hash(VPW)与用户识别信息UID-Hash(TNHT)在便携电话 1201的存储器上的电子票据列表1504中,作为涉及新下载的电子票 据的数据,分别存储在参照数据与用户识别信息的字段中。
接收到电子票据发行请求的中心1202根据交易号码(TN)特定 发行的电子票据(1711),散列运算价值认证信息F(VPW),与主密钥 Km连结后,再进行散列运算,生成加密电子票据(ev)的共同密钥加 密方式的加密密钥Kt-Hash(KmllHash(F(VPW)))(1712)。中心1202还 生成电子票据(ev)的电子票据公开信息及电子票据秘密信息,并使用 接收到的价值认证信息F(VPW)与加密密钥Kt,生成具有图16所示 数据结构的电子票据(ev)(1713)。
将生成的电子票据(ev拨送到便携电话1201(1714),电子票据(ev) 被存储在便携电话的存储器中(1715),便携电话1201显示下载完成 (1716),完成电子票据的下载处理。此时,电子票据(ev)作为新的电 子票据,存储于便携电话1201的存储器上的电子票据列表1504中。 另外,对属性设定默认属性,在默认设定中,设定电子票据检票处理 时使用的声音。
另夕卜,在图17的步骤(1706)中,用户判断操作性优先于电子票 据检票处理的安全性,在未设定价值口令的情况下,便携电话1201 在步骤(1707)中不进行价值口令(VPW)的散列运算,表示对电子信用列表1504的参照数据字段设定空,且不设定价值口令(VPW),在步
骤(1709)中,散列运算用户识别信息(UID),生成价值认证信息 F(VPW)=Hash(UID)0另外,若终止钱夹应用程序,则从便携电话1201的存储器中删 除用户输入的价值口令(VPW)与价值认证信息F(VPW)。便携电话的 存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第 三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道 价值口令。
下面,说明使用下载的电子票据(ev)来进行电子票据检票处理的 步骤。图18表示使用电子票据(ev)的电子票据检票处理的步骤。
首先,若用户拿着便携电话1201侵入检票装置1203的门,则启 动传感器1312进行检测,启动检票装置1203,检票装置1203生成 随机数R,作为询问信息(1800)。该随机数R1从保密模块1300取得, 实际上是保密模块1300的CPU1301生成的。 一旦用户启动钱夹应用 程序(ISOI),则显示菜单画面(1802),若用户通过菜单选择来选择使 用的电子票据,并进行电子票据使用操作(1803),则显示输入对应于 电子票据的价值口令的画面(1804)。
若用户输入价值口令(VPW,)(1805),则便携电话1201计算价值 口令(VPW,)的散列数据Hash(VPW,),并与电子票据列表1504上的 对应电子票据的参照数据的Hash(VPW)相对照,认证用户(1806)。在 与参照数据不一致的情况下,显示错误(图中未记载),在与参照数据 一致的情况下,从检票装置1203接收电子票据提示请求(1807)。在电 子票据提示请求中包含随机数R1与用户终端控制信息。用户终端控 制信息是电子票据检票处理时控制便携电话1201的动作用信息,设 定票据公司进行设定及由管理检票装置的从业者进行电子票据检票 处理的环境所对应的控制信息。具体而言,用户终端控制信息是控制 用户可否使用设定为电子票据属性的效果音、其音量等级的信息、及控制LED和振动器的动作的信息。通过用户终端控制信息,例如在 经典音乐会等安静的环境,因为大的噪音不受欢迎,将音量等级设定 的低到用户能够识别的程度,或者,禁止效果音的输出,通过控制
LED和振动器的动作,可以向用户明确表示认证处理是否失败。此
外,在繁华街道等噪音大的环境中,可以将音量设定的很高,来向用 户明确表示认证处理是否成功。
便携电话1201生成随机数R1(1908),并使用用户输入的价值口 令(VPW,),分别计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及 价值认证信息F(VPW,)与随机数Rl的连结的散列数据 Hash(F(VPW,)ilRl)、价值认证信息的散列数据Hash(F(VPW,))(1809), 将Hash(F(VPW,川Rl)、 Hash(F(VPW,))和服务终端控制信息与电子票 据(ev)—起发送,作为向检票装置1203提示电子票据的消息(1810)。 此时,不发送电子票据(ev)的显示用信息1605的部分。服务终端控制 信息是控制电子票据检票处理时检票装置1203动作用的信息,设定 基于用户设定的电子票据属性的控制信息。例如,具体而言,用户终 端控制信息中允许使用用户设定的效果音,对电子票据的属性设定电 子票据检票处理完成时输出的效果音的情况下,服务终端控制信息是 限制捡票装置1203的电子票据检票处理完成时声音输出的信息。
检票装置1203首先验证接收到的电子票据(ev)的电子票据公开 信息1601的内容的有效性(检票完成标志或有效期限、可使用次数的 验证)后,将接收到的电子票据(ev) 、 Hash(F(VPW,)ilRl)和 Hash(F(VPW,))发送到保密模块1300,在保密模块1300中迸行电子 票据(ev)与用户的离线认证。在电子票据公开信息1601的内容有效性 的验证中,在检测到错误的情况下,从检票装置1203向便携电话1201 发送错误消息,终止电子票据检票处理的处理(图中未记载)。
保密模块1300对照电子票据公开信息1601中的票据种类与电子 票据信息列表1401的票据种类的字段,特定在以后的处理中使用涉
48及电子票据信息列表1401中的哪种电子票据的信息(主密钥(Km)、票 据公司证明信),还对照电子票据(ev)的票据号码与负列表,验证电子 票据(ev)未登录在负列表中(lS 11)。
此时,在电子票据信息列表1401中未登录接收到的电子票据(ev) 的票据种类所示种类的电子票据的情况下,或接收到的电子票据(ev) 登录在负列表中的情况下,保密模块1300向检票装置1203返回错误, 随后,从检票装置1203向便携电话1201发送错误消息,终止电子票 据检票处理的处理(图中未记载)。
接着,保密模块1300计算接收到的价值认证信息的散列数据 Hash(F0/PW'))与主密钥Km的连结散列数据,生成解密电子票据的 保密信息1600的部分的共同密钥加密方式的解密密钥Kt'-Hash(Kmll Hash(F(VPW,))),并使用协同处理器1305来解密电子票据的保密信 息1600(1812)。
保密模块1300从解密后的保密信息1600中取出价值认证信息 1603F(VPW),并计算与随机数Rl的连结的散列数据 Hash(F(VPW川Rl),与从便携电话1201接收到的Hash(F(VPW,)||Rl) 相对照,在一致的情况下,认证用户为电子票据的正当所有者(1813)。 并且,保密模块BOO使用票据公司证明信中的公开密钥来验证利用 协同处理器1305解密的保密信息1600的署名信息1604所示的电子 署名,验证电子票据(ev)未被篡改或伪造(1814)。在Hash(F(VPW川Rl) 与Hash(F(VPW,)IIRl)不一致的情况下,或在署名信息验证(1814)中检 测到错误的情况下,保密模块1300返回错误,并从检票装置1203向 便携电话1201发送错误消息,终止电子票据检票处理的处理(图中未 记载)。
在署名信息验证(1814)中未检测到错误的情况下,即验证了电子 票据(ev)的有效性的情况下,保密模块1300将电子票据公开信息1601 与电子票据秘密信息1602的内容变更为检票处理后的状态,并生成检票处理后的电子票据(ev,)(1815)。例如此时,设立检票完成标志, 减少可使用次数。该检票处理后的电子票据(ev')是对连结电子票据公 开信息1601、与加密前的电子票据秘密信息1602及价值认证信息 1603的数据进行散列运算的结果。
接着,保密模块1300生成价值认证信息1603F(VPW)、随机数 Rl与随机数R2的连结的散列数据Hash(F(VPW川RlHR2)(1816),显 示电子票据的离线认证完成。此时,检票装置1203将 Hash(F(VPW)ilRlllR2)与电子票据(ev,)一起发送,作为请求便携电话 1201更新电子票据的消息(1817)。 Hash(F(VPW)liRlUR2)是在检票装 置1203的保密模块1300中登录电子票据(ev)的电子票据信息、若为 主密钥Km则不能生成的信息,变为便携电话1201用于认证检票装 置1203的信息。
便携电话1201计算价值认证信息F(VPW')、随机数Rl与随机 数R2的连结的散列数据Hash(F(VPW,)||Rl|iR2),并与接收到的 Hash(F(VPW,川RlilR2)相对照,在一致的情况下,认证检票装置1203 是在保密模块1300中登录电子票据(ev)的电子票据信息检票装置 (1818),将电子票据列表1504的电子票据(ev)更新为接收到的检票处 理后的电子票据(ev')(1819),向检票装置1203发送表示更新了电子票 据的更新通知(1820),对用户显示完成(1822),完成电子票据检票处 理。另一方面,接收到更新通知的检票装置1203的控制部1306控制 门机构部1307,打开门的挡板,允许用户通过,完成检票装置1203 的电子票据检票处理(1821)。
另外,若检票装置1203完成电子票据检票处理,则将履历信息 登录在保密模块1300的检票履历信息1402中,并根据电子票据信息 列表1401中登录的信息与接收到的服务终端控制信息,显示电子票 据检票处理完成。例如,在电子票据信息列表1401中登录声音信息 的情况下,检票装置1203输出该声音信息作为效果音,另外,在对服务终端控制信息限制声音输出的情况下,检票装置1203不输出效 果音。
若便携电话1201完成电子票据检票处理,则根据使用的电子票 据的属性与接收到的用户终端控制信息,显示电子票据检票处理完 成。例如,对电子票据的属性设定电子票据检票处理完成时输出的声 音信息,且允许用户终端控制信息使用对属性设定的效果音,在指定 音量等级的情况下,便携电话1201以指定的音量等级输出声音信息, 作为效果音,另外,在禁止用户终端控制信息使用对属性设定的效果 音的情况下,便携电话1201不输出效果音。另外,便携电话1201在 从检票装置1203发送错误消息后终止电子票据检票处理时,也同样 根据使用的电子票据的属性与接收到的用户终端控制信息,显示电子 票据检票处理失败。
另外,在电子票据使用操作(1803)中,在用户选择未设定价值口 令的电子票据的情况下,不进行图18的步骤(1804)、步骤(1805)、步 骤(1806)的处理,便携电话1201从检票装置1203接收电子票据提示 请求(1807),在步骤(1809)的处理中,散列运算用户识别信息(UID), 计算价值认证信息(F(VPW,))-Hash(UID)。
另外,在接收到的电子票据(ev)的署名信息1604不是基于公开密 钥加密方式的电子署名,而是种类为对连结电子票据公开信息1601、 与电子票据秘密信息1602及价值认证信息1603的数据的散列运算结 果的电子票据(ev)的情况下,在署名信息的验证(1814)的处理中,计 算对连结接收到的电子票据(ev)的电子票据公开信息1601与解密密 码后的电子票据秘密信息1602及价值认证信息1603的数据的散列数 据,对照署名信息1604,验证电子票据(ev)未被篡改或伪造。
另外,在该电子票据检票处理的情况下,若也终止钱夹应用程序, 则从存储器中删除用户输入的价值口令与价值认证信息。在便携电话 1201与检票装置1203之间交换的数据中,用于认证处理的数据全部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携电 话1201与检票装置1203之间的通信,也无法使用窃听到的数据来冒 充。
下面,说明使用下载的电子票据(ev)来进行电子票据检票处理的 又一步骤。图19表示本实施形态中使用电子票据(ev)的电子票据检票 处理的又一步骤,在图18所示步骤中,最初用户自己启动钱夹应用 程序,但在图19所示步骤中,根据从检票装置1203接收到的消息来 启动钱夹应用程序。
首先,若用户拿着便携电话1201侵入检票装置1203的门,则启 动传感器1312进行检测,启动检票装置1203,检票装置1203生成 随机数R,作为询问信息(1900)。该随机数R1从保密模块1300取得, 实际上是保密模块1300的CPU1301生成的。 一旦用户进行可从检票 装置1203接收消息的操作(1901),则便携电话1201从检票装置1203 接收电子票据提示请求(1902)。在电子票据提示请求中包含票据种类、 随机数R1与用户终端控制信息。票据种类是电子票据信息列表1401 中登录的电子票据的票据种类列表,是表示检票装置1203可检票处 理的电子票据种类的信息。
在接收电子票据提示请求的便携电话1201中,启动钱夹应用程 序,显示查询用户是否使用电子票据的对话框(1903)。此时,便携电 话1201对照接收到的票据种类与电子票据列表1504,提示用户由检 票装置1203检票处理的电子票据。对照结果,在电子票据列表1504 中存在多个对应电子票据的情况下,显示其一览,在没有对应的电子 票据的情况下,向用户显示没有对应的电子票据(图中未记载)。
若用户选择使用的电子票据来进行电子票据使用操作(1904),则 显示输入对应于电子票据的价值口令的画面(1905)。若用户输入价值 口令(VPW,)(1906),则便携电话1201计算价值口令(VPW')的散列数 据Hash(VPW,),并与电子票据列表1504上的对应电子票据的参照数据的Hash(VPW)相对照,认证用户(1907)。在与参照数据不一致的情 况下,显示错误(图中未记载),在与参照数据一致的情况下,便携电 话1201生成随机数R2(1908),并使用用户输入的价值口令(VPW,), 分别计算价值认证信息F(VPW')-Hash(VPW'piD)、及价值认证信息 F(VPW,)与随机数R1的连结的散列数据Hash(F(VPW,)llRl)、价值认 证信息的散列数据Hash(F(VPW,))(1909),将Hash(F(VPW,)||Rl)、 Hash(F(VPW,))和服务终端控制信息与电子票据(ev)—起发送,作为 向检票装置1203提示电子票据的消息(1910)。此时,不发送电子票据 (ev)的显示用信息1605的部分。
检票装置1203首先验证接收到的电子票据(ev)的电子票据公开 信息1601的内容的有效性(检票完成标志或有效期限、可使用次数的 验证)后,将接收到的电子票据(ev) 、 Hash(F(VPW,川Rl)和 Hash(F(VPW,))发送到保密模块1300,在保密模块1300中进行电子 票据(ev)与用户的离线认证。在电子票据公开信息1601的内容有效性 的验证中,在检测到错误的情况下,从检票装置1203向便携电话1201 发送错误消息,终止电子票据检票处理的处理(图中未记载)。
保密模块1300对照电子票据公开信息1601中的票据种类与电子 票据信息列表1401的票据种类的字段,特定在以后的处理中使用涉 及电子票据信息列表1401中的哪种电子票据的信息(主密钥(Km)、票 据公司证明信),还对照电子票据(ev)的票据号码与负列表,验证电子 票据(ev)未登录在负列表中(1911)。
此时,在电子票据信息列表1401中未登录接收到的电子票据(ev) 的票据种类所示种类的电子票据的情况下,或接收到的电子票据(ev) 登录在负列表中的情况下,保密模块1300向检票装置1203返回错误, 随后,从检票装置1203向便携电话1201发送错误消息,终止电子票 据检票处理的处理(图中未记载)。
接着,保密模块1300计算接收到的价值认证信息的散列数据Hash(F(VPW,))与主密钥Km的连结散列数据,生成解密电子票据的 保密信息1600的部分的共同密钥加密方式的解密密钥Kt^Hash(Kml1 Hash(F(VPW,))),并使用协同处理器1305来解密电子票据的保密信 息1600(1912)。
保密模块1300从解密后的保密信息1600中取出价值认证信息 1603F(VPW),并计算与随机数Rl的连结的散列数据 Hash(F(VPW)||Rl),与从便携电话1201接收到的Hash(F(VPW,)||Rl) 相对照,在一致的情况下,认证用户为电子票据的正当所有者(1913)。 并且,保密模块1300使用票据公司证明信中的公开密钥来验证利用 协同处理器1305解密的保密信息1600的署名信息1604所示的电子 署名,验证电子票据(ev)未被篡改或伪造(1914)。在Hash(F(VPW川Rl) 与Hash(F(VPW,川Rl)不一致的情况下,或在署名信息验证(1914)中检 测到错误的情况下,保密模块1300返回错误,并从检票装置1203向 便携电话1201发送错误消息,终止电子票据检票处理的处理(图中未 记载)。
在署名信息验证(1914)中未检测到错误的情况下,即验证了电子 票据(ev)的有效性的情况下,保密模块1300将电子票据公开信息1601 与电子票据秘密信息1602的内容变更为检票处理后的状态,并生成 检票处理后的电子票据(ev,)(1915)。例如此时,设立检票完成标志, 减少可使用次数。该检票处理后的电子票据(ev')是对连结电子票据公 开信息1601、与加密前的电子票据秘密信息1602及价值认证信息 1603的数据进行散列运算的结果。
接着,保密模块1300生成价值认证信息1603F(VPW)、随机数 Rl与随机数R2的连结的散列数据Hash(F(VPW)||Rl||R2X1916),显 示电子票据的离线认证完成。此时,检票装置1203将 Hash(F(VPW川RlilR2)与电子票据(ev,)一起发送,作为请求便携电话 1201更新电子票据的消息(1917)。 Hash(F(VPW)IIRlHR2)是在检票装
54置1203的保密模块1300中登录电子票据(ev)的电子票据信息、若为 主密钥Km则不能生成的信息,变为便携电话1201用于认证检票装 置1203的信息。
便携电话1201计算价值认证信息F(VPW')、随机数Rl与随机 数R2的连结的散列数据Hash(F(VPW,)||Rl|jR2),并与接收到的 Hash(F(VPW,)IIRlilR2)相对照,在一致的情况下,认证检票装置1203 是在保密模块1300中登录电子票据(ev)的电子票据信息检票装置 (1918),将电子票据列表1504的电子票据(ev)更新为接收到的检票处 理后的电子票据(ev,)(1919),向检票装置1203发送表示更新了电子票 据的更新通知(1920),对用户显示完成(1922),完成电子票据捡票处 理。另一方面,接收到更新通知的检票装置1203的控制部1306控制 门机构部1307,打开门的挡板,允许用户通过,完成检票装置1203 的电子票据检票处理(1921)。
另外,若检票装置1203完成电子票据检票处理,则将履历信息 登录在保密模块1300的检票履历信息1402中,并根据电子票据信息 列表1401中登录的信息与接收到的服务终端控制信息,显示电子票 据检票处理完成。例如,在电子票据信息列表1401中登录声音信息 的情况下,检票装置1203输出该声音信息作为效果音,另外,在对 服务终端控制信息限制声音输出的情况下,检票装置1203不输出效 果音。
若便携电话1201完成电子票据检票处理,则根据使用的电子票 据的属性与接收到的用户终端控制信息,显示电子票据检票处理完 成。例如,对电子票据的属性设定电子票据检票处理完成时输出的声 音信息,且允许用户终端控制信息使用对属性设定的效果音,在指定 音量等级的情况下,便携电话1201以指定的音量等级输出声音信息, 作为效果音,另外,在禁止用户终端控制信息使用对属性设定的效果 音的情况下,便携电话1201不输出效果音。另夕卜,便携电话1201在从检票装置1203发送错误消息后终止电子票据检票处理时,也同样 根据使用的电子票据的属性与接收到的用户终端控制信息,显示电子 票据检票处理失败。
另外,在电子票据使用操作(1903)中,在用户选择未设定价值口 令的电子票据的情况下,不进行图19的步骤(1905)、步骤(1卯6)、步 骤(1907)的处理,便携电话1201前进到步骤(1908)的处理,并且在步 骤(1909)的处理中,散列运算用户识别信息(UID),计算价值认证信息 (F(VPW,))=Hash(UID)。
另外,在接收到的电子票据(ev)的署名信息1604不是基于公开密 钥加密方式的电子署名,而是种类为对连结电子票据公开信息1601、 与电子票据秘密信息1602及价值认证信息1603的数据的散列运算结 果的电子票据(ev)的情况下,在署名信息的验证(1914)的处理中,计 算对连结接收到的电子票据(ev)的电子票据公开信息1601与解密密 码后的电子票据秘密信息1602及价值认证信息1603的数据的散列数 据,对照署名信息1604,验证电子票据(ev)未被篡改或伪造。
另外,在该电子票据检票处理的情况下,若也终止钱夹应用程序, 则从存储器中删除用户输入的价值口令与价值认证信息。在便携电话 1201与检票装置1203之间交换的数据中,用于认证处理的数据全部 是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携电 话1201与检票装置1203之间的通信,也无法使用窃听到的数据来冒 充。
在本实施形态7的以上说明中,虽描述了电子票据系统,但通过 变更电子票据的电子票据公开信息1601与电子票据秘密信息1602的 部分内容,也可将同样的认证机构用于电子通票系统或电子货币系统 等其它电子值的认证处理中。例如,在电子通票系统的情况下,可仅 向电子票据公开信息1601的部分中输入涉及折扣率等由通票提供的 服务的信息,另外,在电子货币系统的情况下,也可向电子票据公开信息1601的部分中输入表示电子货币余额的信息,代替可使用次数, 在检票处理时,检票装置减去利用金额。 (实施形态8)
下面,说明业务用途的电子密钥系统,作为本发明的实施形态8。 在本实施形态8中,便携电话管理多种作为电子信息化后的密钥的电 子密钥(ev:电子值的一种),并使用用户选择的电子密钥(ev),与锁 装置之间进行认证处理。
图20表示电子密钥系统的结构框图。电子密钥系统由用户所有 的便携电话2001、管理会议室或集会地等的设施或出租车等设备的 管理公司的中心2002、安装在会议室或汽车的门等上的锁装置2003、 和连接便携电话2001与中心2002的网络2004。根据本实施形态的 电子密钥系统,用户从中心2002将密钥作为电子密钥(ev)下载到便携 电话2001,可打开或关闭锁装置2003,因为不产生物理的密钥交接, 所以用户不必到管理密钥的地方去取密钥,另外,因为管理侧也不必 设置交接密钥的从业者,所以可实现业务效率化。
网络2004由便携电话的无线通信网络与因特网构成,可基于便 携电话2001与中心2002的无线通信进行通信。在便携电话2001与 中心2002的通信中,通常确立SSL(Secure Socket Layer:加密套接字 协议层)或TLS(Transport Layer Security:传输层加密)等的保密通话期 (security session),加密通信数据后传输。
便携电话2001与锁装置2003使用本地无线通信功能(红外线通 信、蓝牙、无线LAN、非接触IC卡的无线通信等),进行综合连接并 通信。事先将管理电子密钥(ev)的钱夹应用程序下载到便携电话2001 中。另外,在中心2002与锁装置2003中管理用于生成解密电子密钥 (ev)加密部分的加密密钥的主密钥(Km)。从安全上期望主密钥(Km) 对每个锁装置2003都不同,但也可在适当数量的锁装置2003的单位 中使用相同的主密钥(Km)。中心2002管理对每个锁装置2003使用哪个主密钥(Km)。
图21是表示锁装置2003的内部结构的框图。锁装置2003包括:物理开关锁的锁机构部2111;检测用户操作并启动锁装置2003的启动传感器2112;本地无线通信I/F2113;表示锁装置2003的状态的LED2114;控制开关2115和控制这些部件的控制部2110,在控制部2110中,除直接控制其它部分的控制电路外,还组装保密模块2100。本地无线通信I/F2113是红外线通信或蓝牙、无线LAN、非接触IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密模块2100是安全管理主密钥(Km)、并安全进行电子密钥认证处理用的器件,保密模块2100由CPU2101、ROM2102、RAM2103、EEPROM2104和协同处理器2105构成,具有防止从外部不正当访问的防篡改功能。
EEPROM2104中存储锁ID、主密钥(Km)、管理公司公开密钥。锁ID是锁装置2003的识别信息,主密钥(Km)是用于生成解密锁装置2003的电子密钥(ev)加密部分的加密密钥的主密钥,管理公司公开密钥是发行锁装置2003的电子密钥(ev)的管理公司的公开密钥。
CPU2101控制对保密模块2100的EEPROM2104中存储的信息的访问,可从控制部2110的其它控制电路读出锁ID与管理公司公开密钥,但不能改写。另外,既不能读出也不能写入地控制主密钥(Km)。
便携电话2001具备本地无线通信I/F,便携电话2001的钱夹应用程序经本地无线通信I/F与锁装置2003综合连接,使用钱夹应用程序管理的电子密钥(ev)来进行电子密钥的认证处理。另外,本实施形态8中的钱夹应用程序也具备管理实施形态2中说明的电子信用和实施形态3中说明的电子票据并进行电子信用结算或电子票据检票处理的功能。
在便携电话2001的存储器(非易失性存储器)中,如图22所示,存储钱夹显示信息2201、钱夹声音信息2202、电子信用列表2203、电子票据列表2204、电子密钥列表2205,作为钱夹应用程序管理的 信息。钱夹显示信息2201是钱夹应用程序显示于便携电话中的画面 中使用的图像或映像信息等显示信息,钱夹声音信息2202是钱夹应 用程序使用的效果音或旋律信息等声音信息,电子密钥列表2205是 钱夹应用程序管理的电子密钥(ev)的列表。电子信用列表2203与实施 形态2中说明的电子信用列表703 —样,另外,电子票据列表2204 与实施形态3中说明的电子票据列表1504—样,这里省略说明。
图22表示电子密钥列表2205中登录3个电子密钥(ev)的情况。 电子密钥列表2205中,对1个电子密钥(ev)分别登录参照数据、用户 识别信息(UID)、电子密钥(ev)、属性。后面详细说明参照数据与用户 识别信息(UID)。
属性是对电子密钥(ev)设定的属性信息,例如,设定钱夹应用程 序显示电子密钥一览时的顺序、或电子密钥认证处理时使用的效果 音、或LED或振动器等的动作。例如用户可选择地进行对应于利用 频度来设定显示电子密钥的顺序,分别从钱夹声音信息2202选择设 定在电子密钥认证处理完成时、或认证处理失败时输出的声音,在电 子密钥认证处理完成时使LED闪烁,或在认证处理失败时使振动器 动作。
图23表示电子密钥(ev)的数据结构。电子密钥大体上由电子密钥 公开信息2301、保密信息2300和显示用信息2305构成。保密信息 2300是电子密钥认证处理中使用的信息,由根据主密钥(Km)生成的 加密密钥来加密。另外,显示用信息2305是钱夹应用程序在画面中 显示电子密钥时使用的图像信息等显示信息,选项设定。因此,通过 电子密钥(ev),有持有与不持有显示用信息2305。例如,在会议室的 电子密钥的情况下,将表示会议室场所的地图或草图等信息设定为显 示用信息。
电子密钥公开信息2301是记载密钥名称、密钥ID、锁ID、有效期限、发行者名等涉及电子密钥的、应向用户公开的信息的部分,钱 夹应用程序在将电子密钥显示于画面时使用该电子密钥公开信息
2301。
保密信息2300还由电子密钥秘密信息2302、价值认证信息2303 与署名信息2304构成。后面详细说明价值认证信息2303。
电子密钥秘密信息2302是记载管理锁装置2003的管理公司设定 的顾客管理信息等涉及电子密钥的未必向用户公开的信息的部分,是 在电子密钥认证处理时、锁装置2003解密密码、管理公司必要时使 用的信息。
署名信息2304是管理公司对连结电子密钥公开信息2301与加密 前的电子密钥秘密信息2302及价值认证信息2303的数据进行的电子 署名,用于在电子密钥认证处理时,由锁装置2003解密密码,通过 验证电子署名,验证电子密钥(ev)的有效性。
期望署名信息2304是基于公开密钥加密方式的、使用安全性上 密钥长度足够长的密钥生成的电子署名,但也可以是通过管理公司的 判断,对连结电子密钥公开信息2301与加密前的电子密钥秘密信息 2302及价值认证信息2303的数据进行散列运算的结果。
下面,首先说明用户从中心2002将电子票据(ev)下载到便携电话 2001的步骤。图24表示电子票据(ev)的下载步骤。首先,用户使用 便携电话2001的因特网访问功能,访问中心2002,预约会议室等的 设施或出租车等,另外,必要时执行进行贷款的结算处理等获得电子 密钥的操作(2400),若在便携电话2001与中心2002之间进行获得处 理(24(U),则从中心2002向便携电话2001发送导航消息(2402)。导 航消息(2402)是督促便携电话2001下载电子密钥(ev)的消息,包含识 别下载的电子密钥(ev)的交易号码(TN)。
接收到导航消息(2402)的便携电话2001启动钱夹应用程序,显 示査询是否下载电子密钥的对话框(2403),若用户进行电子密钥发行
60请求操作(2404),则显示输入用户对应于下载的电子密钥(ev)来设定的价值口令(VPW: 〈U〉v々U〉alue〈U〉p〈/U〉ass〈U〉w々U〉ord)的画面(2405)。
若用户输入价值口令(2406),则便携电话2001将价值口令(VPW)的散列运算结果Hash(VPW)作为价值口令的参照数据,存储在便携电话2001的存储器中(2407),并根据交易号码(TN)与时刻(T),生成用户识别信息UID=HaSh(TN||T)(※ij表示数据连结)并存储在存储器中(2408),还根据价值口令(VPW)与用户识别信息(UID),生成价值认证信息F(VPW)= Hash(VPW||UID)(2409),将包含交易号码(TN)与价值认证信息F(VPW)的电子密钥发行请求发送给中心2002(2410)。此时,参照数据Hash(VPW)与用户识别信息UID-Hash(TNIIT)在便携电话2001的存储器上的电子密钥列表2204中,作为涉及新下载的电子密钥的数据,分别存储在参照数据与用户识别信息的字段中。
接收到电子密钥发行请求的中心2002根据交易号码(TN)特定发行的电子密钥(2411),散列运算价值认证信息F(VPW),与主密钥Km连结后,再进行散列运算,生成加密电子密钥(ev)的共同密钥加密方式的加密密钥Kk=Hash(Km||Hash(F(VPW)))(2412)。中心2002还生成电子密钥(ev)的电子密钥公开信息及电子密钥秘密信息,并使用接收到的价值认证信息F(VPW)与加密密钥Kt,生成具有图23所示数据结构的电子密钥(ev)(2413)。此时,对电子密钥(ev)的有效性设定基于步骤(2401)的输入处理中的预约内容的有效期限。例如,在会议室的电子密钥(ev)的情况下,对电子密钥(ev)的有效期限设定基于预约会议室的时间带的有效期限。
将生成的电子密钥(ev)发送到便携电话2001(2414),电子密钥(ev)被存储在便携电话的存储器中(2415),便携电话2001显示下载完成(2416),完成电子密钥的下载处理。此时,电子密钥(ev)作为新的电子密钥,存储于便携电话2001的存储器上的电子密钥列表2204中。另外,对属性设定默认属性,在默认设定中,设定电子密钥认证处理 时使用的声音。
另外,在图24的步骤(2406)中,用户判断操作性优先于电子密 钥认证处理的安全性,在未设定价值口令的情况下,便携电话2001 在步骤(2407)中不进行价值口令(VPW)的散列运算,表示对电子密钥 列表2204的参照数据字段设定空,且不设定价值口令(VPW),在步 骤(2409)中,散列运算用户识别信息(UID),生成价值认证信息 F(VPW)=Hash(UID)。
另外,若终止钱夹应用程序,则从便携电话2001的存储器中删 除用户输入的价值口令(VPW)与价值认证信息F(VPW)。便携电话的 存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第 三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道 价值口令。
下面,说明使用下载的电子密钥(ev),在与锁装置2003之间进行 认证处理,打开(或关闭)锁装置2003的步骤。图25表示本实施形态 中使用电子密钥(ev)的认证处理的步骤。
首先,若用户进行手扶安装了锁装置2003的门把手等启动锁装 置2003的操作(2500),则锁装置2003的启动传感器2112进行检测, 启动锁装置2003,锁装置2003生成随机数R,作为询问信息(2501)。 该随机数R从保密模块2100取得,实际上是保密模块2100的 CPU2101生成的。 一旦用户进行可从锁装置2003接收消息的操作
(2502) ,则便携电话2001从锁装置2003接收电子密钥提示请求
(2503) 。在电子密钥提示请求中包含锁ID与随机数R。 接收到电子密钥提示请求的便携电话2001启动钱夹应用程序,
显示查询用户是否使用电子密钥的对话框(2504)。此时,便携电话 2001对照接收到的锁ID与电子密钥列表2205,向用户提示锁装置 2003的电子密钥。在不是对应的电子密钥的情况下,向用户显示不是对应的电子密钥(图不未记载)。
若用户进行电子密钥使用操作(2505),则显示输入对应于电子密
钥的价值口令的画面(2506)。若用户输入价值口令(VPW')(2507),则便携电话2001计算价值口令(VPW')的散列数据Hash(VPW'),并与电子密钥列表2204上的对应电子密钥的参照数据的Hash(VPW)相对照,认证用户(2508)。在与参照数据不一致的情况下,显示错误(图中未记载),在与参照数据一致的情况下,便携电话2001使用用户输入的价值口令(VPW'),分别计算价值认证信息F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的连结的散列数据Hash(F(VPW')HR)、价值认证信息的散列数据Hash(F(VPW,))(2509),将Hash(F(VPW,川R)和Hash(F(VPW,》与电子密钥(ev)—起发送,作为向锁装置2003提示电子密钥的消息(2510)。此时,不发送电子密钥(ev)的显示用信息2305的部分。
锁装置2003首先验证接收到的电子密钥(ev)的电子密钥公开信息2301的内容的有效性(锁ID与有效期限的验证)后,将接收到的电子票据(ev)、 Hash(F(VPW,川R)和Hash(F(VPW,》发送到保密模块2100,在保密模块2100中进行电子密钥(ev)与用户的离线认证。在电子密钥公开信息2301的内容有效性的验证(锁ID与有效期限的验证)中,在检测到错误的情况下,从锁装置2003向便携电话2001发送错误消息,终止电子密钥的认证处理(图中未记载)。S卩,因为不能自动使用超过有效期限的电子密钥(ev),所以使用后不必返回电子密钥。
保密模块2100计算接收到的价值认证信息的散列数据Hash(F(VPW'))与主密钥Km的连结散列数据,生成解密电子密钥的保密信息2300的部分的共同密钥加密方式的解密密钥Kk,-Hash(Kmii Hash(F(VPW'))),并使用协同处理器2105来解密电子密钥的保密信息2300(2511)。
保密模块2100从解密后的保密信息2300中取出价值认证信息
632303F(VPW),并计算与随机数R的连结的散列数据 Hash(F(VPW)ilR),与从便携电话2001接收到的Hash(F(VPW')UR)相 对照,在一致的情况下,认证用户为电子密钥的正当所有者(2512)。 并且,保密模块2100使用管理公司公开密钥来验证利用协同处理器 2105解密的保密信息2300的署名信息2304所示的电子署名,验证 电子密钥(ev)未被篡改或伪造(2513)。在Hash(F(VPW川R)与 Hash(F(VPW,川R)不一致的情况下,或在署名信息验证(2513)中检测 到错误的情况下,保密模块2100向锁装置2003返回错误,并从锁装 置2003向便携电话2001发送错误消息,终止电子密钥认证处理(图 中未记载)。
在署名信息验证(2513)中未检测到错误的情况下,即验证了电子 密钥(ev)的有效性的情况下,保密模块2100向锁装置2003显示离线 认证完成,锁装置2003向便携电话2001发送认证结果(2514),完成 认证处理,接收到认证结果的便携电话2001显示完成(2516),完成电 子密钥的认证处理。
另外,锁装置2003的控制部2106控制锁机构部2107,打开(或 关闭)锁装置2103的锁定,并完成锁装置2103的电子密钥认证处理 (2515)。
若便携电话2001完成电子密钥认证处理,则根据使用的电子密 钥的属性,显示认证处理完成。另外,便携电话2001在从锁装置2003 发送错误消息后终止电子密钥认证处理时,也同样根据使用的电子密 钥的属性,显示电子密钥的认证处理失败。
另外,在电子密钥使用操作(2505)中,在用户选择未设定价值口 令的电子密钥的情况下,不进行图25的步骤(2506)、步骤(2507)、步 骤(2508)的处理,便携电话2001前进到步骤(2509)的处理,散列运算 用户识别信息(UID),计算价值认证信息(F(VPW,))-Hash(UID)。
另外,在接收到的电子票据(ev)的署名信息2304不是基于公开密钥加密方式的电子署名,而是种类为对连结电子密钥公开信息2301 、
与电子密钥秘密信息2302及价值认证信息2303的数据的散列运算结 果的电子密钥(ev)的情况下,在署名信息的验证(2513)的处理中,计 算对连结接收到的电子密钥(ev)的电子密钥公开信息2301与解密密 码后的电子密钥秘密信息2302及价值认证信息2303的数据的散列数 据,对照署名信息2304,验证电子密钥(ev)未被篡改或伪造。
另外,在该电子密钥的认证处理的情况下,若也终止钱夹应用程 序,则从存储器中删除用户输入的价值口令与价值认证信息。在便携 电话2001与锁装置2003之间交换的数据中,用于认证处理的数据全 部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携 电话2001与锁装置2003之间的通信,也无法使用窃听到的数据来冒 充。
(实施形态9)
下面,说明家族用途的电子密钥系统,作为本发明的实施形态9。 在本实施形态9中,锁装置向便携电话发行作为电子信息化后的密钥 的电子密钥(ev:电子值的一种),并使用该电子密钥(ev),通过在便 携电话与锁装置之间进行认证处理,开或关锁。
本电子密钥系统的功能块结构基本上与实施形态4的情况一样, 图20表示本电子密钥系统的结构框图。电子密钥系统由用户所有的 便携电话2001、中心2002、锁装置2003、和连接便携电话2001与 中心2002的网络2004。其中,因为锁装置2003为家族用,所以安 装在家门上,或用户购买后进行安装。另外,中心2002是制造或出 售锁装置2003的从业者、或提供下载到便携电话2001的钱夹应用程 序的从业者经营的中心装置。在本电子密钥系统中,中心2002用于 将管理电子密钥(ev)的钱夹应用程序下载到便携电话2001,在事先将 钱夹应用程序装载或下载到便携电话2001的情况下,不需要中心 2002。
65根据本实施形态9的电子密钥系统,可通过用户的管理来对多个
便携电话2001发行锁电话2003的电子密钥(ev),另外,可进行电子密钥(ev)的无效化。因此,多个用户可对一个锁装置2003具有合用密钥,或分别无效化该合用密钥。在以前的密钥中,在遗失密钥或未返回合用密钥的情况下,为了安全,必需交换锁装置,但根据本电子密钥系统,即使遗失存储电子密钥(ev)的便携电话2001或未返回向朋友的便携电话发行的电子密钥(ev),也可在锁装置2003侧无效并更改电子密钥(ev),之后向便携电话2001发行电子密钥(ev),可提高用户的方便性。
网络2004由便携电话的无线通信网络与因特网构成,可基于便携电话2001与中心2002的无线通信进行通信。在便携电话2001与中心2002的通信中,通常确立SSL(Secure Socket Layer:加密套接字协议层)或TLS(Transport Layer Security:传输层加密)等的保密通话期(security session),加密通信数据后传输。
便携电话2001与锁装置2003使用本地无线通信功能(红外线通信、蓝牙、无线LAN、非接触IC卡的无线通信等),进行综合连接并通信。
在便携电话2001上装载管理电子密钥(ev)的钱夹应用程序。作为钱夹应用程序,既可以是用户事先下载到便携电话2001的通用的钱夹应用程序,也可以是购买锁装置2003的用户从中心2002下载的专用钱夹应用程序。后面详细说明购买锁装置2003的用户从中心2002将钱夹应用程序下载到便携电话2001的步骤。
在中心2002中管理钱夹应用程序,另外,在锁装置2003中,管理解密电子密钥(ev)加密部分的加密密钥的主密钥(Km)、作为锁装置2003的识别信息的锁ID、和作为锁装置2003发行电子密钥(ev)时的认证号码的锁号码(LN)等。
本电子密钥系统的锁装置2003的内部结构基本上与实施形态8的情况相同,图21是表示锁装置2003的内部结构的框图。锁装置 2003包括:物理开关锁的锁机构部2111;检测用户操作并启动锁装
置2003的启动传感器2112;本地无线通信I/F2113;表示锁装置2003 的状态的LED2114;控制开关2115和控制这些部件的控制部2110, 在控制部2110中,除直接控制其它部分的控制电路外,还组装保密 模块2100。在锁装置2003为安装在门上的类型的情况下,为了防止 来自外部的恶作剧,期望控制开关2115位于门的内侧。
本地无线通信I/F2113是红外线通信或蓝牙、无线LAN、非接触 IC卡的无线通信等的通信I/F,综合连接于便携电话来进行通信。
保密模块2100是安全管理主密钥(Km)、并安全进行电子密钥认 证处理用的器件,保密模块2100由CPU2101、ROM2102、RAM2103、 EEPROM2104和协同处理器2105构成,具有防止从外部不正当访问 的防篡改功能。
如图26所示,EEPROM2104中存储锁ID2601、锁号码(LN)2602、 钱夹应用程序URL2603、主密钥(Km)2604、和密钥ID列表2605。 锁ID2601是锁装置2003的识别信息,锁号码(LN)2602是锁装置2003 发行电子密钥(ev)时认证用户用的认证号码,钱夹应用程序 URL2603、是锁装置2003的专用钱夹应用程序的URL(Uniform Resource Locator),主密钥(Km)2604是解密锁装置2003的电子密钥(ev) 加密部分的加密密钥的主密钥,密钥ID列表2605是锁装置2003发 行的当前有效的电子密钥(ev)的密钥ID(识别信息)的列表。
锁号码(LN)2602是制造锁装置2003时设定的号码,是仅拥有锁 装置2003的用户必需知道的号码。因此,在出售锁装置2003时,以 看不见锁号码(LN)的形式出售。例如,采取如下方法:用户购买锁装 置2003,通过刮去附带的刮卡,使用户最先知道锁号码(LN)。
另外,CPU2101控制对保密模块2100的EEPROM2104中存储 的信息的访问,可从控制部2110的其它控制电路读出锁ID2601与钱夹应用程序URL2603,但不能改写。另外,既不能读出也不能写入锁号码(LN)2602。主密钥(Km.2604虽不能读出或改写,但可在保密模块2100的内部重新生成密钥后更新为新的主密钥(Km)。另外,虽密钥ID列表2605不能读出与改写,但可控制成在每次删除密钥ID和发行电子密钥时,重新追加密钥ID。
用户边确认LED2115表示的锁装置2003的状态,边操作控制开关2115来进行主密钥(Km)的更新或密钥ID的删除。在更新主密钥(Km)的情况下,删除密钥ID列表2605。
便携电话2001的钱夹(wallet)应用程序除具备从锁装置2003获得电子密钥(ev)的功能外,与实施形态8中说明的便携电话2001一样,具备本地无线通信I/F,便携电话2001的钱夹应用程序经本地无线通信I/F与锁装置2003综合连接,使用钱夹应用程序管理的电子密钥(ev)来进行电子密钥的认证处理。因此,钱夹应用程序在便携电话2001的存储器(非易失性存储器)上管理的信息在这里省略说明。
另外,电子密钥(ev)的数据结构也基本上与实施形态8的情况一样,图23表示本电子密钥系统中的电子密钥(ev)的数据结构。其中,设署名信息2304为对连结电子密钥公开信息2301、加密前的电子密钥秘密信息2302及价值认证信息2303的数据进行散列运算的结果。署名信息2304用于在电子密钥认证处理时,在锁装置2003侧解密密码,通过与重新进行散列运算的结果相对照,验证未篡改或伪造电子密钥(ev)。
下面,说明用户操作锁装置2003的控制开关2115,将钱夹应用程序从中心2002下载到便携电话2001的步骤。图27表示钱夹应用程序的下载步骤。首先,用户操作锁装置2003的控制开关2115,进行下载钱夹应用程序的初始设定操作(2700),若用户对便携电话2001进行可从锁装置2003接收消息的操作(2701),则便携电话2001从锁装置2003接收导航消息(2702)。导航消息中包含钱夹应用程序URL与锁ID。
接收到导航消息的便携电话2001显示査询用户是否下载钱夹应
用程序的画面(2703),若用户进行下载钱夹应用程序的操作(2704), 则便携电话2001向钱夹应用程序URL所示的中心2002发送钱夹应 用程序下载请求(2705)。在钱夹应用程序下载请求中包含锁ID。
接收到钱夹应用程序下载请求的中心2002根据锁ID来特定锁装 置的种类(2706),向便携电话2001发行适合于锁装置2003的钱夹应 用程序(2707)。接收到钱夹应用程序的便携电话2001将钱夹应用程序 存储在存储器中(2708),显示下载完成(2709),完成钱夹应用程序的 下载。
下面,说明从锁装置2003向便携电话2001发行电子密钥(ev)的 步骤。图28表示从锁装置2003向便携电话2001发行电子密钥(ev) 的步骤。首先,若用户启动便携电话2001的钱夹应用程序(2800),则 显示菜单画面(2801),通过菜单选择来进行用户请求发行锁装置的电 子密钥的操作(2802),显示输入用户对应于锁号码、电子密钥(ev)来 设定的价值口令(VPW: Ov〈/U〉alueOp〈/U〉ass〈U〉w〈/U〉ord)的 画面(2803)
若用户输入锁装置2003的锁号码(LN,)与价值口令(VPW)(2804), 则便携电话2001将价值口令(VPW)的散列运算结果Hash(VPW)作为 价值口令的参照数据,存储在便携电话2001的存储器中(2805),并根 据锁号码(LN')与时刻(T),生成用户识别信息UID-Hash(LN,IIT)(※H 表示数据连结)并存储在存储器中(2806)。此时,参照数据Hash(VPW) 与用户识别信息UH^Hash(LN'IIT)在便携电话2001的存储器上的电 子密钥列表2204中,作为涉及新的电子密钥的数据,分别存储在参 照数据与用户识别信息的字段中。
若用户操作锁装置2003的控制开关2115,使锁装置2003变为 发行电子密钥的模式(2807),则锁装置2003生成随机数R0(2808),向便携电话2001发行电子密钥发行询问(2809)。电子密钥发行询问是 对便携电话2001的询问消息,其中包含随机数RO。该随机数RO从 保密模块2100取得,实际上是保密模块2100的CPU2101生成的。
接收到电子密钥发行的询问便携电话2001根据价值口令(VPW) 与用户识别信息(UID),生成价值认证信息F(VPW)=Hash(UID),并 连结锁号码(LN')与随机数RO,计算作为其散列数据的 Hash(LN,IIR0)(2810),将包含Hash(LN,liRO)与价值认证信息F(VPW) 的电子密钥发行请求发送到锁装置2003(2811)。
接收到电子密钥发行请求的锁装置2003将接收到的 Hash(LN,IIRO)与价值认证信息F(VPW)发送到保密模块2100,在保密 模块2100中进行电子密钥(ev)的生成处理。保密模块2100连结锁号 码(LN)与随机数RO,计算其Hash(LN||RO),并与接收到的 Hash(LN,IIRO)相对照,认证用户是知道锁号码(LN)的锁装置2003的 正当所有者(2812)。
在认证用户的情况下(Hash(LN,JIRO)与Hash(LNURO)—致),保密 模块2100散列运算价值认证信息F(VPW),并与主密钥Km连结, 还进行散列运算,生成解密电子密钥(ev)的共同密钥加密方式的解密 密钥Kt=Hash(Km|| Hash(F(VPW)))(2813)。保密模块2100还生成电子 密钥(ev)的电子密钥公开信息及电子密钥秘密信息,并使用接收到的 价值认证信息F(VPW)与加密密钥Kk,生成具有图23所示数据结构 的电子密钥(ev),将生成的电子密钥(ev)的密钥ID登录在密钥ID列 表2605中(2814)。在生成电子密钥(ev)时,保密模块2100向电子密 钥(ev)分配唯一的密钥ID。
在未认证用户的情况下(Hash(LN,URO)与Hash(LNURO)不一致), 保密模块2100向锁装置2003返回错误,并且从锁装置2003向便携 电话2001发送错误消息,终止电子密钥的发行处理(图中未记载)。
将生成的电子密钥(ev)发送到便携电话2001(2815),电子密钥(ev)被存储在便携电话的存储器中(2816),便携电话2001显示发行处理完
成(2817),完成电子密钥的发行处理。此时,电子密钥(ev)作为新的电子密钥,存储于便携电话2001的存储器上的电子密钥列表2204中。另外,对属性设定默认属性,在默认设定中,设定电子密钥认证处理时使用的声音。
另外,在图28的步骤(2804)中,用户判断操作性优先于电子密钥认证处理的安全性,在未设定价值口令的情况下,便携电话2001在步骤(2805)中不进行价值口令(VPW)的散列运算,表示对电子密钥列表2204的参照数据字段设定空,且不设定价值口令(VPW),在步骤(2810)中,散列运算用户识别信息(UID),生成价值认证信息F(VPW)=Hash(UID)。
若终止钱夹应用程序,则从便携电,2001的存储器中删除用户输入的锁号码、价值口令(VPW)与价值认证信息F(VPW)。便携电话的存储器中保持的参照数据为散列运算价值口令后的数据,即使假设第三者盗窃便携电话,并分析出内部的存储器的内容,也不必担心知道价值口令。
下面,说明使用电子密钥(ev),在与锁装置2003之间进行认证处理,打开(或关闭)锁装置2003的步骤。图29表示本实施形态中使用电子密钥(ev)的认证处理的步骤。首先,若用户进行手扶安装了锁装置2003的门把手等启动锁装置2003的操作(2900),则锁装置2003的启动传感器2112进行检测,启动锁装置2003,锁装置2003生成随机数R,作为询问信息(2901)。该随机数R从保密模块2100取得,实际上是保密模块2100的CPU2101生成的。 一旦用户进行可从锁装置2003接收消息的操作(2902),则便携电话2001从锁装置2003接收电子密钥提示请求(2903)。在电子密钥提示请求中包含锁ID与随机数R。
接收到电子密钥提示请求的便携电话2001启动钱夹应用程序,
71显示査询用户是否使用电子密钥的对话框(2卯4)。此时,便携电话
2001对照接收到的锁ID与电子密钥列表2205,向用户提示锁装置 2003的电子密钥。在不是对应的电子密钥的情况下,向用户显示不 是对应的电子密钥(图不未记载)。
若用户进行电子密钥使用操作(2905),则显示输入对应于电子密 钥的价值口令的画面(2906)。若用户输入价值口令(VPW,)(2907),则 便携电话2001计算价值口令(VPW')的散列数据Hash(VPW'),并与 电子密钥列表2204上的对应电子密钥的参照数据的Hash(VPW)相对 照,认证用户(2908)。在与参照数据不一致的情况下,显示错误(图中 未记载),在与参照数据一致的情况下,便携电话2001使用用户输入 的价值口令(VPW,),分别计算价值认证信息 F(VPW,)=Hash(VPW,||UID)、及价值认证信息F(VPW,)与随机数R的 连结的散列数据Hash(F(VPW'川R)、价值认证信息的散列数据 Hash(F(VPW,))(2509),将Hash(F(VPW,)HR)和Hash(F(VPW,))与电子 密钥(ev)—起发送,作为向锁装置2003提示电子密钥的消息(2910)。 此时,不发送电子密钥(ev)的显示用信息2305的部分。
锁装置2003首先验证接收到的电子密钥(ev)的电子密钥公开信 息2301的内容的有效性(锁ID与有效期限的验证)后,将接收到的电 子票据(ev)、 Hash(F(VPW,川R)和Hash(F(VPW,))发送到保密模块 2100,在保密模块2100中进行电子密钥(ev)与用户的离线认证。在电 子密钥公开信息2301的内容有效性的验证(锁ID与有效期限的验证) 中,在检测到错误的情况下,从锁装置2003向便携电话2001发送错 误消息,终止电子密钥的认证处理(图中未记载)。
保密模块2100首先对照电子密钥(ev)的电子密钥公开信息2301 中的密钥ID与密钥ID列表2605,验证电子密钥(ev)是登录在密钥ID 列表2605中的有效电子密钥(2911)。在电子密钥(ev)登录在密钥ID 列表2605中的情况下,保密模块2100计算价值认证信息的散列数据
72Hash(F(VPW'X)与主密钥Km的连结散列数据,生成解密电子密钥的保密信息2300的部分的共同密钥加密方式的解密密钥Kk,=Hash(Km|| Hash(F(VPW,))),并使用协同处理器2105来解密电子密钥的保密信息2300(2912)。
保密模块2100从解密后的保密信息2300中取出价值认证信息
2303F(VPW),并计算与随机数R的连结的散列数据Hash(F(VPW)ilR),与从便携电话2001接收到的Hash(F(VPW,)HR)相对照,在一致的情况下,认证用户为电子密钥的正当所有者(2913)。并且,保密模块2100计算对连结电子密钥(ev)的电子密钥公开信息2301、与解密密码的电子密钥秘密信息2302及价值认证信息2303的数据的散列数据,并与署名信息2304相对照,验证电子密钥(ev)未被篡改或伪造(2914)。
在将电子密钥(ev)登录在密钥ID列表2605中的情况下,或在Hash(F(VPW)HR)与Hash(F(VPW,)HR)不一致的情况下,或在署名信息验证(2913)中检测到错误的情况下,保密模块2100向锁装置2003返回错误,并从锁装置2003向便携电话2001发送错误消息,终止电子密钥认证处理(图中未记载)。
在署名信息验证(2914)中未检测到错误的情况下,即验证了电子密钥(ev)的有效性的情况下,保密模块2100向锁装置2003显示离线认证完成,锁装置2003向便携电话2001发送认证结果(2915),完成认证处理,接收到认证结果的便携电话2001显示完成(2917),完成电子密钥的认证处理。
另外,锁装置2003的控制部2106控制锁机构部2107,打开(或关闭)锁装置2103的锁定,并完成锁装置2103的电子密钥认证处理(2916)。
若便携电话2001完成电子密钥认证处理,则根据使用的电子密钥的属性,显示认证处理完成。另外,便携电话2001在从锁装置2003发送错误消息后终止电子密钥认证处理时,也同样根据使用的电子密 钥的属性,显示电子密钥的认证处理失败。
另外,在电子密钥使用操作(2905)中,在用户选择使用未设定价
值口令的电子密钥的情况下,不进行图29的步骤(2906)、步骤(2907)、 步骤(2908)的处理,便携电话2001前进到步骤(2909)的处理,散列运 算用户识别信息(UID),计算价值认证信息(F(VPW,)hHash(UID)。
另外,在该电子密钥的认证处理的情况下,若也终止钱夹应用程 序,则从存储器中删除用户输入的价值口令与价值认证信息。在便携 电话2001与锁装置2003之间交换的数据中,用于认证处理的数据全 部是进行了散列运算或加密的数据,因此,即使假设第三者窃听便携 电话2001与锁装置2003之间的通信,也无法使用窃听到的数据来冒 充。
根据本发明的电子值认证方式与认证系统及装置具有可利用无 防篡改功能的便携终端来进行安全认证处理等的效果,并用于如下服 务等中,将电子信息化信用卡或支款卡、会员证、ID卡、票据等后 的电子值存储在用户的便携终端,通过认证用户是它们的正当所有 者,向用户提供分别对应的物或服务。