匿名注文システム、装置、及びプログラム
【課題】プリペイドカード及びグループ署名方式を利用せずに、商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護する。
【解決手段】管理者装置100は、管理者秘密鍵によりトークンを生成し、対になる一時暗号鍵を生成して会員装置に送信する。会員装置200は、一時暗号鍵により注文情報を暗号化して暗号化注文情報を生成し、注文情報とトークンとを販売者装置に送信する。販売者装置300は、トークンを管理者公開鍵で検証し、注文情報から販売対象情報を除いた決済基本情報に基づく販売者署名を生成し、販売者署名を決済基本情報と暗号化注文情報とトークンとともに管理者装置に送信する。管理者装置は、販売者署名を販売者公開鍵で検証し、暗号化注文情報を一時暗号鍵で復号して決済基本情報で検証し、トークンを一時暗号鍵で検証し、全て正当のとき、決済情報を決済機関装置400に送信する。
【解決手段】管理者装置100は、管理者秘密鍵によりトークンを生成し、対になる一時暗号鍵を生成して会員装置に送信する。会員装置200は、一時暗号鍵により注文情報を暗号化して暗号化注文情報を生成し、注文情報とトークンとを販売者装置に送信する。販売者装置300は、トークンを管理者公開鍵で検証し、注文情報から販売対象情報を除いた決済基本情報に基づく販売者署名を生成し、販売者署名を決済基本情報と暗号化注文情報とトークンとともに管理者装置に送信する。管理者装置は、販売者署名を販売者公開鍵で検証し、暗号化注文情報を一時暗号鍵で復号して決済基本情報で検証し、トークンを一時暗号鍵で検証し、全て正当のとき、決済情報を決済機関装置400に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、プリペイドカード及びグループ署名方式を利用せずに、商品又はサービスからなる販売対象(以下、商品等ともいう)を匿名で注文でき、且つ注文内容に関するプライバシを保護し得る匿名注文システム、装置及びプログラムに関する。
【背景技術】
【0002】
近年、ネットワークを利用してオンライン商取引が行なわれている。オンライン商取引においては、住所や氏名・電話番号・決済情報などの個人情報を端末装置を介して利用者に入力させることが多い。
【0003】
しかしながら、これらの個人情報の入力は、利用者にとって心理的負担が大きいと考えられている。例えば、あるアンケートにおいては、アンケート対象者の9割以上がオンライン商取引でクレジット番号などの個人情報を入力した経験がある、と答えており、8割以上の人が個人情報の入力に抵抗感がある、と答えている。このような抵抗感は、個人情報の漏洩やプライバシの侵害に対する不安に基づくものと考えられる。
【0004】
そこで、オンライン商取引における個人情報の漏洩やプライバシの侵害を回避する観点から、対面販売のように金銭などを匿名で支払うことができるシステムが望まれている。
【0005】
具体的には、プリペイドによる電子マネーを用いた匿名決済システムなどがあり、以下の手順により匿名決済を実現している。まず、利用者が、コンビニエンスストアなどでプリペイドカードを購入する。ここでは、5,000円分のバリューの電子マネーがプリペイドカードに化体しているとする。また、このカードにはURLと暗証番号とが記載されている。そして、このカード券面を利用者がスクラッチすると、暗証番号を知得できるようになっている。利用者は、このカードに記載されたURLに接続して、そのURLのサイト上で暗証番号を入力することにより、5,000円分の買い物ができるようになる。
【0006】
即ち、このような匿名決済システムによれば、ネットワーク上のサーバに、5,000円分の匿名の財布が置かれ、残高が0円になるまで使用することができる。この匿名決済システムでは、ネットワークを介した商品やサービスの提供者だけでなく、プリペイドカードを販売している販売店の店員ですら、利用者が購入したプリペイドカードの暗証番号を知ることができない。そのため、利用者を特定することは困難である。少なくとも、商品等の提供者や販売店の店員には、5,000円のプリペイドカードを購入した人、という情報しか伝わらない。このように、プリペイドカードを用いることにより、利用者を特定することを困難にするとともに、利用者毎に決済し得るシステムを構築できる。
【0007】
しかしながら、この匿名決済システムでは、電子マネーの残高が少なくなると、新たにコンビニエンスストアなどでプリペイドカードを購入する必要がある点や、残高が残った状態で放置されるおそれがある点などの問題点がある。また、未成年者でもプリペイドカードを購入し易いことから、未成年者による成年用商品の購入といった犯罪を助長するなどの問題点も指摘されている。
【0008】
このような状況の下、予め会員として登録した機関にのみ個人情報を預託する匿名注文システムが検討されている。
【0009】
例えば、特許文献1には、グループ署名方式を利用することにより、サービス提供者が個人情報を管理する必要が無く、利用者の匿名性を実現し且つ注文内容に関するプライバシを保護する匿名注文システムが記載されている。
【特許文献1】特開2006−119771号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、上述した特許文献1に記載の匿名注文システムにおいては、グループ署名方式を利用するため、グループ署名を生成する際には、ある数値をべき乗して算出した値に対して、さらにべき乗して数値を求める必要がある。そのため、グループ署名の生成に際し、膨大なべき乗演算を実行しなければならない。また、結果として、グループ署名が生成されるまでに多大な時間を要することになる。
【0011】
一方、RSA(Rivest - Shamir - Adleman)署名等の電子署名方式であれば、べき乗の計算で電子署名を生成することができ、署名の生成に要する時間も短くて済む。同等の安全強度で比較すると、グループ署名方式では、署名の生成に、3500ビットのべき乗演算と、4秒程度の時間を要する。これに対し、電子署名方式であれば、署名の生成に、1024ビットべき乗演算で数百マイクロ秒程度の時間を要する。但し、本発明者の検討によれば、電子署名方式における署名検証用の公開鍵証明書に匿名性が無い等の理由により、電子署名方式を匿名注文システムに適用することが困難である。
【0012】
従って、グループ署名方式を利用せず、かつプリペイドカードの問題点も無しに、匿名で商品等を注文でき、且つ注文内容に関するプライバシを保護可能な匿名注文システムの実現が望まれている。
【0013】
本発明は上記実情に鑑みてなされたものであり、プリペイドカード及びグループ署名方式を利用せずに、商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護し得る匿名注文システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
第1の発明は、予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置とを備えた匿名注文システムであって、前記管理者装置は、管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段と、前記会員を識別するための会員識別情報に関連付けて前記会員情報を記憶する会員情報記憶手段と、前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段と、前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段と、前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段と、前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段と、前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段と、前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段と、前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段と、前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段と、前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段と、前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段とを備え、前記会員装置は、前記管理者装置に前記トークン発行要求を送信する手段と、前記トークンと、該トークンに対応する一時暗号鍵とを前記管理者装置から受信する手段と、前記会員の操作により、前記販売者装置から送信された販売対象情報を表示する手段と、前記会員の操作により、前記表示中の販売対象情報のいずれかを選択する手段と、前記選択した販売対象情報に対応する前記注文情報を前記販売者装置から受信する手段と、前記一時暗号鍵により前記注文情報を暗号化して暗号化注文情報を生成する手段と、前記暗号化注文情報を、前記注文情報と前記トークンとともに前記販売者装置に送信する手段とを備え、前記販売者装置は、販売者公開鍵と販売者秘密鍵とを記憶する手段と、前記会員装置から、前記注文情報と前記暗号化注文情報と前記トークンとを受信する手段と、前記会員装置から受信したトークンを前記管理者公開鍵で検証する手段と、前記トークンが正当であると検証された場合、前記販売者秘密鍵により前記決済基本情報に基づく販売者署名を生成する手段と、前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段とを備えた匿名注文システムである。
【0015】
第2の発明は、予め登録された会員がトークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置と、の両装置と通信可能な管理者装置のプログラムであって、前記管理者装置のコンピュータを、管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段、前記会員を識別するための会員識別情報に関連付けて会員情報を記憶する会員情報記憶手段、前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段、前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段、前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段、前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段、前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により前記会員装置で暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段、前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段、前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段、前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段、前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段、前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段として機能させるためのプログラムである。
【0016】
第3の発明は、予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、の両装置と通信可能な販売者装置のプログラムであって、前記トークンは、前記会員を識別するための会員識別情報とトークン生成情報とを含むトークン発行要求を前記会員装置から前記管理者装置が受信した場合、前記トークン生成情報の電子署名を前記管理者装置の有する管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加して生成されるものであり、前記プログラム本体は、前記販売者装置のコンピュータを、販売者公開鍵と販売者秘密鍵とを記憶する手段、前記会員装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」と、前記トークンに対応して前記管理者装置により生成される一時暗号鍵により前記注文情報が前記会員装置により暗号化されてなる暗号化注文情報と、前記トークンとを受信する手段、前記会員装置から受信したトークンを前記管理者装置が有する管理者公開鍵で検証する手段、前記トークンが正当であると検証された場合、前記販売者秘密鍵により「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」に基づく販売者署名を生成する手段、前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段として機能させるためのプログラムである。
【0017】
<作用>
第1の発明によれば、管理者装置は、会員装置からトークン生成情報を受け取ると、トークン生成情報の電子署名を管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成する。さらに、該トークンに対応する一時暗号鍵を生成して、トークンとともに会員装置に送信する。会員装置は、トークンと、該トークンに対応する一時暗号鍵とを前記管理者装置から受信し、一時暗号鍵により注文情報を暗号化して暗号化注文情報を生成する。そして、暗号化注文情報を注文情報とトークンとともに販売者装置に送信する。販売者装置は、会員装置から注文情報(決済基本情報+販売対象情報)と暗号化注文情報とトークンとを受信する。そして、会員装置から受信したトークンを管理者公開鍵で検証し、トークンが正当であると検証された場合、販売者秘密鍵により決済基本情報に基づく販売者署名を生成し、販売者署名を、決済基本情報と暗号化注文情報とトークンとともに管理者装置に送信する。また、管理者装置は、販売者装置から暗号化注文情報・決済基本情報・販売者署名・トークンを受信し、販売者署名の検証と注文情報の検証とトークンの検証とのそれぞれの結果が正当である場合、会員情報と決済基本情報とに基づいて販売対象に対する決済情報を生成する。
【0018】
従って、管理者装置にのみ会員情報を預託し、販売者装置へは会員情報を伝えず、かつ管理者装置には会員の詳細な購入履歴を明かさないことにより、プリペイドカード及びグループ署名方式を利用せずに、利用者が商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護できる匿名注文システムを提供することができる。
【0019】
また、第2の発明は、前述した作用に加え、管理者装置としては、トークンの検証結果が正しい場合に、販売対象情報(商品ID)を含まない決済基本情報及び会員情報を用いて決済情報を生成することができる。これにより、会員装置または販売者装置から管理者装置に販売対象の具体的な内容を通知せずに決済することができる。
【0020】
また、第3の発明は、前述した作用に加え、販売者装置としては、トークンが正当であるか否かを検証することによって、管理者装置に登録された会員であるという情報を得ることができる。これにより、利用者である会員は、会員装置から販売者装置に対し、個別のIDや決済情報など個人情報を一切伝えずに販売対象の提供を受けることができる。
【発明の効果】
【0021】
本発明によれば、プリペイドカード及びグループ署名方式を利用せずに、商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護できる匿名注文システム、装置及びプログラムを提供できる。
【発明を実施するための最良の形態】
【0022】
以下、図面を参照して本発明の実施形態を説明する。
【0023】
<第1の実施形態>
(1−1.構成)
図1は本発明の第1の実施形態に係る匿名注文システムの構成を示す模式図である。
【0024】
本実施形態に係る匿名注文システムでは、管理会社(グループ管理者)・会員(署名者)・販売者(検証者)のそれぞれが管理者装置100・会員装置200・販売者装置300を用いる。この匿名注文システムにおいては、管理者装置100・会員装置200・販売者装置300・決済機関装置400が互いにネットワーク500を介して接続されている。
【0025】
また、本実施形態に係る匿名注文システムにおいては、公開鍵暗号方式として広く利用されているRSAによる電子署名アルゴリズムを前提に考える。また、電子署名を用いるために認証局が発行する公開鍵証明書も用いるものとする。本実施形態では簡単のため、公開鍵証明書を単に公開鍵として示す。例えば、管理者装置100の公開鍵証明書を管理者公開鍵PKGMとして表現する。
【0026】
管理者装置100は、管理者用記憶装置101と初期設定部102・会員登録部103・トークン生成部104・一時暗号鍵生成部105・注文情報検証部106・トークン検証部107・決済情報生成部108とを備えている。
【0027】
管理者装置100には、予め管理者公開鍵と管理者秘密鍵のペアである(PKGM,SKGM)が記憶され、管理者公開鍵PKGMには正当な第三者(必ずしも第三者である必要はない)の認証局が発行した公開鍵証明書が付与されているものとする。
【0028】
管理者用記憶装置101は、初期設定部102により設定される管理者装置100の管理者公開鍵PKGMや管理者秘密鍵SKGM、販売者装置300の販売者公開鍵PKSP等の鍵情報を記憶するメモリである。
【0029】
さらに詳しくは、管理者用記憶装置101は、図2に示すように、鍵情報の他に、会員情報、販売者情報、トークン発行情報、販売履歴情報及び決済情報などのデータを記憶する。ここで、会員情報としては、会員個別に割り当てられる会員ID(会員識別情報)・氏・名・郵便番号・住所・電話番号・勤務先名・勤務先住所・勤務先電話番号などの個人情報と、決済を行なうための会員口座情報・現トークン・一時暗号鍵等とが互いに関連付けられて記憶される。会員口座情報としては、例えばクレジット番号や銀行の口座番号などの情報が書き込まれる。現トークンや一時暗号鍵は、販売者装置300から商品等の提供を受ける際に、匿名で決済を行なうために必要な情報である。販売者情報としては、販売者個別に割り当てられる販売者ID・販売者名・郵便番号・住所・電話番号・決済を行なうための販売者口座情報・販売者公開鍵PKSPが互いに関連付けられて記憶される。トークン発行情報としては、会員の会員ID毎に、現トークン及び一時暗号鍵が互いに関連付けられて記憶される。販売履歴情報としては、販売者ID毎に、トークンと、注文情報および暗号化注文情報とが互いに関連付けられて記憶される。注文情報は、注文ID毎に、商品ID(販売対象情報)、単価、個数及び決済金額を含んでいる。決済情報は、決済機関装置400に決済を指示するための情報であり、注文ID毎に、会員口座情報、販売者口座情報及び決済金額が互いに関連付けて記憶される。
【0030】
初期設定部102は、管理者装置100の管理者公開鍵PKGMや管理者秘密鍵SKGM等の情報を設定するものである。また、管理者記憶装置101に販売者情報を書き込む機能を有している。
【0031】
会員登録部103は、会員装置200からの会員登録要求に基づいて、会員情報を管理者用記憶装置101に書き込むものである。会員登録が完了すると、会員IDが付与されて、パスワードが発行される。
【0032】
トークン生成部104は、会員装置200から送信されたトークン発行要求を受けると、トークンを発行するものである。具体的には、トークン生成部104は、トークン発行要求に含まれる乱数RUSER(トークン生成情報)とトークンの発行日時date_tokenとの電子署名SIGSKGM(RUSER,date_token)を管理者秘密鍵SKGMにより生成し、これら乱数RUSER、トークン発行日時date_token及び電子署名SIGSKGM(RUSER,date_token)からなる情報を「トークン」として生成する。なお、トークンとしては、トークン発行日時date_tokenを省略し、乱数RUSER及び電子署名SIGSKGM(RUSER)からなる情報としてもよい。いずれにしても、トークンは、会員装置200へ送られると同時に、管理者用記憶装置101の会員情報に書き込まれる。
【0033】
一時暗号鍵生成部105は、トークン生成部104によりトークンが生成されると、生成されたトークンに対応する一時暗号鍵Ktmpを生成する。なお、一時暗号鍵Ktmpは、共通鍵暗号方式の共通鍵であり、会員装置200へ送られると同時に、管理者用記憶装置101の会員情報に書き込まれる。
【0034】
注文情報検証部106は、販売者装置300から受けた販売者署名、決済基本情報及び暗号化注文情報を検証する検証機能を有する。なお、決済基本情報は、注文ID、単価、個数及び決済金額からなる。販売者署名は、販売者秘密鍵SKSPにより、決済基本情報から生成された電子署名である。
【0035】
ここで、注文情報検証部106の検証機能は、以下の(f106-1)〜(f106-2)の通りである。(f106-1)販売者署名が正当であるか否かを販売者公開鍵PKSP及び決済基本情報により検証する機能。(f106-2)暗号化注文情報に関し、暗号化注文情報を復号して得た復号注文情報(注文ID、商品ID及び決済金額)のうちの注文ID及び決済金額と、決済基本情報のうちの注文ID及び決済金額とが一致するか否かを検証する機能。これらの検証により、販売者装置300から送信された注文情報が、会員装置200が送信した注文情報であることを確認できる。また、注文情報検証部106は、注文情報と販売者署名とが正当であると検証した場合、その旨を示す注文情報正当データを決済情報生成部108に送出する。
【0036】
トークン検証部107は、販売者装置300から受信したトークンの電子署名を管理者公開鍵PKGMで検証するものである。また、トークン検証部107は、管理者用記憶装置101に記憶されているトークン発行情報や現在未使用のトークンの情報から、販売者装置300から受信したトークンが過去に使用されたトークンでないことを確認する機能を有する。なお、トークン検証部107は、トークンが正当であると検証した場合、その旨を示すトークン正当データを決済情報生成部108に送出する。
【0037】
決済情報生成部108は、注文情報検証部106から注文情報正当データと、トークン検証部107からトークン正当データとを受け取った場合、会員情報と販売者情報と決済基本情報とに基づいて商品等に対しての決済情報を生成し、この決済情報を管理者用記憶装置101に書き込むものである。詳しくは、決済情報生成部108は、販売者装置300から送信された決済基本情報に含まれる商品の決済金額の情報を読み出し、管理者用記憶装置101に記憶された口座情報に基づいて決済機関装置400に対して商品等の代金の決済を指示するための決済情報を生成する。
【0038】
会員装置200は、管理者装置100に対して予め会員登録をした会員が、トークンを用いて商品等を匿名で注文するための端末である。具体的には、会員装置200は、会員用記憶装置201とトークン要求部202・商品要求部203・暗号化注文情報生成部204とを備えている。
【0039】
なお、会員装置200は、管理者装置100から会員登録時に割り当てられた会員IDとパスワードとにより、ネットワーク500を介して管理者装置100に対して会員認証が可能となり、この会員認証の結果が正当のとき、匿名注文が可能となる。
【0040】
会員用記憶装置201は、管理者装置100から送信されるトークンや一時暗号鍵Ktmp、販売者装置300から受け取る注文情報等が購入履歴情報として記憶されるメモリである。具体的には購入履歴情報としては、図3に示すように、販売者装置300から受け取る注文情報と、トークンと暗号化注文情報と販売者ID及び日時情報とを互いに関連付けて記憶する。
【0041】
トークン要求部202は、会員の操作により、乱数RUSER、トークン発行日時date_token及び会員ID(会員識別情報)を含むトークン発行要求を管理者装置100に送信するものである。また、トークン要求部202は、トークン発行要求に応じて、管理者装置100からトークンと一時暗号鍵Ktmpとを受信した場合、それらのトークンと一時暗号鍵Ktmpとを会員用記憶装置201に書き込む機能を有している。ここで、トークンは、トークン発行要求の送信元が会員である場合に管理者装置100により発行される情報であり、具体的には、乱数RUSER、トークン発行日時date_token及び電子署名SIGSKGM(RUSER,date_token)からなる情報である。
【0042】
商品要求部203は、販売者装置300に対して商品等の提供を要求するものである。具体的には商品要求部203は、会員の操作により、販売者装置300に接続する機能と、販売者装置300から送信された商品等(オンラインコンテンツ等)を示す商品情報を受信する機能と、受信した商品情報を表示装置(図示せず)に表示する機能と、会員の操作により、表示中の商品情報から購入しようとする商品情報の商品IDを入力装置(図示せず)等で選択する機能と、選択した商品ID、当該商品IDに対応する注文ID及び決済金額を含む注文情報を販売者装置300から受信する機能とをもっている。なお、注文情報は、「商品ID」、「注文ID」及び「決済金額」に限らず、例えば、商品等の「単価」、及び注文した「個数」のように、販売対象を特定できない範囲(=少なくとも商品名を除き、好ましくは商品IDをも除く範囲)で、任意の関連情報を含んでもよい。
【0043】
暗号化注文情報生成部204は、商品要求部203が販売者装置300から注文情報を受信した場合、その注文情報を、一時暗号鍵Ktmpを用いて暗号化した「暗号化注文情報」を生成するものである。この暗号化注文情報生成部204は、不正防止の観点から、耐タンパー性を有するICカード又はUSBメモリ等のような耐タンパーデバイスで実現されることが好ましい。また、暗号化注文情報生成部204は、暗号化注文情報を生成すると、暗号化注文情報と注文情報とトークンとを含む商品要求を販売者装置300に送信する機能を有する。なお、この商品要求を販売者装置300が受諾すれば、販売者装置300から商品等が提供される。
【0044】
販売者装置300は、商品又はサービスからなる販売対象の注文情報をトークンとともに受け付けるものであり、販売者用記憶装置301と注文受付部302・商品提供部303・決済要求部304とを備えている。なお、本実施形態では、販売対象が商品の場合を例に挙げて述べる。
【0045】
ここで、販売者用記憶装置301は、図4に示すように、販売者公開鍵と販売者秘密鍵とのペアである(PKSP,SKSP)が鍵情報として記憶されており、販売者公開鍵PKSPについては正当な第三者(必ずしも第三者である必要はない)の認証局が発行した公開鍵証明書が付与されているものとする。この販売者公開鍵PKSPの公開鍵証明書は、管理者装置100が発行してもよい。また、鍵情報としては、他に管理者公開鍵PKGMが記憶されている。
【0046】
また、販売者用記憶装置301は、鍵情報の他に、販売履歴情報、販売者情報、商品情報及びコンテンツ情報が記憶されている。ここで、販売履歴情報としては、注文IDに対する販売日時・トークン・販売したコンテンツの商品ID・個数・単価・決済金額(販売額)・暗号化注文情報・決済の完了又は未完を示すステータス情報などが記憶される。販売者情報としては、管理者装置100で管理されている販売者ID・販売者名・郵便番号・住所などと共に決済機関における販売者口座情報なども記憶される。商品情報としては、商品ID、単価及び商品説明情報が互いに関連付けて記憶されている。商品説明情報は、商品を説明するための情報であり、例えば、商品名、商品分類、商品概要などが適宜使用可能となっている。コンテンツ情報は、商品ID及びコンテンツデータが互いに関連付けて記憶されている。なお、コンテンツデータは、商品がコンテンツの場合の提供データである。コンテンツ情報は、販売対象が注文毎に生成するデータ(例、翻訳データ、チケットデータ等)である場合(例えば、販売対象がサービスの場合)には省略される。
【0047】
注文受付部302は、会員装置200からトークンと注文情報と暗号化注文情報とを受信するものであり、受信した情報と現在の日時情報とを注文IDに関連付けて販売者用記憶装置301に書き込む機能を有する。また、注文受付部302は、会員装置200から送信されたトークンが正当であるか否かを管理者公開鍵PKGMにより検証する機能と、トークンが正当であると検証した場合、注文情報のうちの少なくとも注文IDを含むトークン正当データを商品提供部303に送出する機能とをもっている。
【0048】
商品提供部303は、注文受付部302からトークン正当データを受け付けた場合、商品等を提供するものである。例えば、注文IDに基づいて、会員装置200へのオンラインコンテンツ等のダウンロードを実行可能にして提供する。また、商品提供部303は、商品等を提供した場合、注文IDを含む提供完了データを決済要求部304に送出する。
【0049】
決済要求部304は、商品提供部303から提供完了データを受けた場合、提供した商品等の支払を求める決済要求を管理者装置100に対して行なうものである。具体的には、決済要求部304は、商品等の提供後、販売者用記憶装置301内の販売者秘密鍵SKSPにより、注文ID・単価・個数・決済金額を含む決済基本情報に基づく電子署名を「販売者署名」として生成する機能と、その決済基本情報・販売者署名と、会員装置200から送信されたトークン・暗号化注文情報とを管理者装置100へ送信する機能とをもっている。
【0050】
決済機関装置400は、例えば銀行等の金融機関に用いられ、会員や販売者の口座等を管理するものであり、管理者装置100から決済情報を受信した場合、会員の口座から販売者の口座に金銭を振り込む機能を有する。すなわち、決済機関装置400は、会員が匿名で販売者に商品等の代金を支払い可能とする観点から、会員装置200及び管理者装置100と、販売者装置300との間で代金を決済する機能を有する。なお、振込人の名前は、例えば注文ID又は管理者名のように、販売者からは会員を特定不可能な情報を用いる。
【0051】
(1−2.動作)
次に、本実施形態に係る匿名注文システムの動作を図5のシーケンス図を用いて説明する。
【0052】
前提として、会員装置200は、ユーザの操作により、当該ユーザを会員として登録してもらうための会員登録要求を管理者装置100に送信する(ステップST1)。管理者装置100は、会員登録要求を受信した後、会員として認める場合には、ユーザを会員として登録する(ステップST2)。会員登録に伴い、以下の説明では、前述した「ユーザ」を「会員」と呼ぶ。また、管理者装置100は、会員毎に会員IDとパスワードとを設定して、会員装置200へ送信する(ステップST3)。なお、本実施形態では、会員IDやパスワードは管理者装置100が生成・発行しているが、会員IDが他の会員の会員IDと重複しないように管理されているならば、会員装置200で会員IDとパスワードとを設定し、この会員IDとパスワードとを含む会員登録要求を送信してもよい。
【0053】
会員装置200は、会員IDとパスワードとを受け取り会員登録が完了すると、会員の操作により、販売者装置300が提供する商品等の注文を実行することが可能となる。
【0054】
具体的には、会員装置200は、会員の操作により、トークンと一時暗号鍵Ktmpとを管理者装置100から入手する。この際、会員装置200のトークン要求部202は、乱数を発生し、乱数RUSER、トークン発行日時date_token及び会員IDを含むトークン発行要求を管理者装置100に送信する(ステップST4,ST5)。
【0055】
管理者装置100は、トークン発行要求を受け取ると、トークンを生成する(ステップST6)。具体的には、トークン生成部104により、トークン発行要求に含まれる乱数RUSERと、トークンの発行日時date_tokenとの2つのデータに対して、管理者秘密鍵SKGMによる電子署名が付与されることにより、トークン(Token)が生成される。
【0056】
また、トークンの生成とともに、会員装置200と一時的に共有する一時暗号鍵Ktmpが一時暗号鍵生成部105により生成される。
【0057】
そして、生成されたトークンと一時暗号鍵Ktmpとが管理者装置100から会員装置200へ送信される(ステップST7)。
【0058】
会員装置200では、トークンと一時暗号鍵Ktmpとを受け取ると、トークンと一時暗号鍵Ktmpとを会員用記憶装置201に書き込む。
【0059】
続いて、会員装置200では、会員の操作により、販売者装置300に接続し、販売者装置300から送信された商品情報を表示装置(図示せず)に表示する。会員装置200は、会員の操作により、表示中の商品情報のいずれかが選択される(ステップST8)。なお、本実施形態に係る商品情報は、オンラインで提供可能な音楽や動画・静止画などのディジタルコンテンツを表しているものとする。
【0060】
販売者装置300は、会員装置200により商品情報が選択されると、選択された商品等を販売したことを証明するための注文情報を会員装置200へ送信する(ステップST9)。注文情報には、販売者装置300が注文毎に独自に割り当てるシーケンス番号である注文ID、決済金額及び商品IDが含まれる。なお、商品IDを、販売対象情報といい、それ以外の注文IDや決済金額等の情報を決済基本情報ともいう。
【0061】
会員装置200は、注文情報を受け取ると、暗号化注文情報生成部204により、一時暗号鍵Ktmpを用いて注文情報を暗号化し、暗号化注文情報を生成する(ステップST10)。暗号化に際して、例えばTriple DES (Data Encryption Standard)やAES (Advanced Encryption Standard)などの共通鍵暗号が用いられる。そして、会員装置200は、先に送られたトークンとともに注文情報及び暗号化注文情報を販売者装置300へ送信する(ステップST11)。
【0062】
販売者装置300は、トークンと注文情報(決済基本情報+販売対象情報)と暗号化注文情報とを受け取ると、注文受付部302により、管理者公開鍵PKGMを用いてトークンの正当性を検証する(ステップST12)。すなわち、注文受付部302は、トークンの電子署名を管理者公開鍵PKGMで復号して得た乱数RUSER及びトークンの発行日時date_tokenと、予めトークンに含まれる乱数RUSER及びトークンの発行日時date_tokenとを比較し、両者が一致するか否かを検証する。なお、両者が一致するときが「正当」である。
【0063】
検証結果が正当であれば、注文受付部302は、トークン正当データを商品提供部303に送出する。商品提供部303は、トークン正当データを受けると、会員装置200へコンテンツデータを提供する(ステップST13)。コンテンツ提供後、商品提供部303は、提供完了データを決済要求部304に送出する。
【0064】
決済要求部304は、注文IDを含む決済基本情報に対して販売者秘密鍵SKSPを用いて販売者署名SIGSKSP(注文ID,単価,個数,決済金額)を生成する(ステップST14)。
【0065】
そして、決済要求部304は、暗号化注文情報・トークン・販売者署名を決済基本情報とともに管理者装置100へ送信する(ステップST15)。
【0066】
管理者装置100は、注文情報検証部106により、受信した販売者署名を販売者公開鍵PKSP及び決済基本情報により検証する(ステップST16)。また、管理者装置100は、注文情報検証部106により、暗号化注文情報を一時暗号鍵Ktmpにより復号し(ステップST17)、得られた復号注文情報の内容と決済基本情報の内容とが一致しているか検証する。さらに、管理者装置100は、トークン検証部107により、トークンを自分の管理者公開鍵PKGMにより検証する(ステップST18)。
【0067】
これらの検証結果が全て正当であれば、管理者装置100は、決済基本情報と、商品等を購入した会員の会員口座情報と、商品等を提供した販売者の販売者口座情報とに基づいて注文ID、会員口座情報、販売者口座情報及び決済金額からなる決済情報を生成する。そして、その決済情報を、決済機関装置400に送信する(ステップST19)。
【0068】
これにより、決済機関装置400において、商品等を購入した会員の口座から決済が実施される(ステップST20)。
【0069】
(1−3.効果)
以上説明したように、本実施形態に係る匿名注文システムにおいて、管理者装置100は、会員装置200からトークン生成情報として乱数Ruserを受け取ると、乱数Ruserとトークンの発行日時date_tokenとの電子署名を管理者秘密鍵SKGMにより生成してトークンを生成する。さらに、トークンに対応する一時暗号鍵Ktmpを生成して、トークンとともに会員装置200に送信する。会員装置200は、トークンと、そのトークンに対応する一時暗号鍵Ktmpとを管理者装置100から受信し、一時暗号鍵Ktmpにより注文情報を暗号化して暗号化注文情報を生成する。そして、暗号化注文情報を注文情報とトークンとともに販売者装置300に送信する。販売者装置300は、会員装置200から注文情報(決済基本情報+販売対象情報)と暗号化注文情報とトークンとを受信する。そして、会員装置200から受信したトークンを管理者公開鍵PKGMで検証し、トークンが正当であると検証された場合、販売者秘密鍵SKSPにより決済基本情報に基づく販売者署名を生成し、販売者署名を、決済基本情報と暗号化注文情報とトークンとともに管理者装置100に送信する。また、管理者装置100は、販売者装置300から暗号化注文情報・決済基本情報・販売者署名・トークンを受信し、販売者署名の検証と注文情報の検証とトークンの検証とのそれぞれの結果が正当である場合、会員情報と決済基本情報とに基づいて商品等に対する決済情報を生成する。
【0070】
従って、管理者装置100にのみ会員情報を預託し、販売者装置300へは会員情報を伝えず、かつ管理者装置100には会員の詳細な購入履歴を明かさないことにより、プリペイドカード及びグループ署名方式を利用せずに、会員の匿名性とプライバシとを保護し得る匿名注文システムを提供することができる。詳しくは、利用者が商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護できる匿名注文システムを提供できる。
【0071】
また、管理者装置100では、トークンの検証結果が正しい場合に、商品IDを含まない決済基本情報及び会員情報を用いて決済情報を生成する。これにより、会員装置200または販売者装置300から管理者装置100に商品の具体的な内容を通知せずに決済することができる。なお、暗号化注文情報を復号した際に、商品IDを含む注文情報が管理者装置100に知られるが、商品IDからは商品名などの具体的な内容を知ることができない。
【0072】
また、販売者装置300では、トークンが正当であるか否かを検証することによって、管理者装置100に登録された会員であるという情報を得ることができる。そのため、販売者装置300は、会員装置200から個別の会員IDや決済情報などの個人情報を一切受け取らなくても、登録された会員であることを認識することができる。すなわち、販売者装置300は、会員装置200から個人情報を受け取らずに商品を提供することができる。また、利用者側から見れば、会員装置200から販売者装置300に対し、個別の会員IDや決済情報など個人情報を一切伝えずに商品の提供を受けることができる。
【0073】
なお、会員装置200において、トークン生成情報として乱数RUSERを発生させている。このような乱数RUSERによれば、トークンのユニーク性(一意性)を確保することができる。例えば、別々の会員が同時にトークン発行要求を送信してきた際にも、トークン発行要求に含まれる乱数が互いに異なることから、互いに異なるトークンを同時に発行することができる。また、会員装置200がトークン生成情報を発生するので、管理者装置100により不正にトークンが利用されるのを防ぐことができる。但し、トークン生成情報は、会員装置200が生成する場合に限らず、管理者装置100が信頼できる場合には管理者装置100が生成してもよい。
【0074】
また、本実施形態では、グループ署名を使用していないので、匿名注文システムを簡易に構築することができる。
【0075】
<その他>
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0076】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0077】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0078】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0079】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0080】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0081】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0082】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0083】
【図1】本発明の第1の実施形態に係る匿名注文システムの構成を示す模式図である。
【図2】同実施形態に係る管理者用記憶装置101に記憶される情報を示す図である。
【図3】同実施形態に係る会員用記憶装置201に記憶される情報を示す図である。
【図4】同実施形態に係る販売者用記憶装置301に記憶される情報を示す図である。
【図5】同実施形態に係る匿名注文システムの動作を説明するためのシーケンス図である。
【符号の説明】
【0084】
100・・・管理者装置、101・・・管理者用記憶装置、102・・・初期設定部、
103・・・会員登録部、104・・・トークン生成部、105・・・一時暗号鍵生成部、
106・・・注文情報検証部、107・・・トークン検証部、108・・・決済情報生成部、
200・・・会員装置、201・・・会員用記憶装置、202・・・トークン要求部、
203・・・商品要求部、204・・・暗号化注文情報生成部、300・・・販売者装置、
301・・・販売者用記憶装置、302・・・注文受付部、303・・・商品提供部、
304・・・決済要求部、400・・・決済機関装置、500・・・ネットワーク。
【技術分野】
【0001】
本発明は、プリペイドカード及びグループ署名方式を利用せずに、商品又はサービスからなる販売対象(以下、商品等ともいう)を匿名で注文でき、且つ注文内容に関するプライバシを保護し得る匿名注文システム、装置及びプログラムに関する。
【背景技術】
【0002】
近年、ネットワークを利用してオンライン商取引が行なわれている。オンライン商取引においては、住所や氏名・電話番号・決済情報などの個人情報を端末装置を介して利用者に入力させることが多い。
【0003】
しかしながら、これらの個人情報の入力は、利用者にとって心理的負担が大きいと考えられている。例えば、あるアンケートにおいては、アンケート対象者の9割以上がオンライン商取引でクレジット番号などの個人情報を入力した経験がある、と答えており、8割以上の人が個人情報の入力に抵抗感がある、と答えている。このような抵抗感は、個人情報の漏洩やプライバシの侵害に対する不安に基づくものと考えられる。
【0004】
そこで、オンライン商取引における個人情報の漏洩やプライバシの侵害を回避する観点から、対面販売のように金銭などを匿名で支払うことができるシステムが望まれている。
【0005】
具体的には、プリペイドによる電子マネーを用いた匿名決済システムなどがあり、以下の手順により匿名決済を実現している。まず、利用者が、コンビニエンスストアなどでプリペイドカードを購入する。ここでは、5,000円分のバリューの電子マネーがプリペイドカードに化体しているとする。また、このカードにはURLと暗証番号とが記載されている。そして、このカード券面を利用者がスクラッチすると、暗証番号を知得できるようになっている。利用者は、このカードに記載されたURLに接続して、そのURLのサイト上で暗証番号を入力することにより、5,000円分の買い物ができるようになる。
【0006】
即ち、このような匿名決済システムによれば、ネットワーク上のサーバに、5,000円分の匿名の財布が置かれ、残高が0円になるまで使用することができる。この匿名決済システムでは、ネットワークを介した商品やサービスの提供者だけでなく、プリペイドカードを販売している販売店の店員ですら、利用者が購入したプリペイドカードの暗証番号を知ることができない。そのため、利用者を特定することは困難である。少なくとも、商品等の提供者や販売店の店員には、5,000円のプリペイドカードを購入した人、という情報しか伝わらない。このように、プリペイドカードを用いることにより、利用者を特定することを困難にするとともに、利用者毎に決済し得るシステムを構築できる。
【0007】
しかしながら、この匿名決済システムでは、電子マネーの残高が少なくなると、新たにコンビニエンスストアなどでプリペイドカードを購入する必要がある点や、残高が残った状態で放置されるおそれがある点などの問題点がある。また、未成年者でもプリペイドカードを購入し易いことから、未成年者による成年用商品の購入といった犯罪を助長するなどの問題点も指摘されている。
【0008】
このような状況の下、予め会員として登録した機関にのみ個人情報を預託する匿名注文システムが検討されている。
【0009】
例えば、特許文献1には、グループ署名方式を利用することにより、サービス提供者が個人情報を管理する必要が無く、利用者の匿名性を実現し且つ注文内容に関するプライバシを保護する匿名注文システムが記載されている。
【特許文献1】特開2006−119771号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、上述した特許文献1に記載の匿名注文システムにおいては、グループ署名方式を利用するため、グループ署名を生成する際には、ある数値をべき乗して算出した値に対して、さらにべき乗して数値を求める必要がある。そのため、グループ署名の生成に際し、膨大なべき乗演算を実行しなければならない。また、結果として、グループ署名が生成されるまでに多大な時間を要することになる。
【0011】
一方、RSA(Rivest - Shamir - Adleman)署名等の電子署名方式であれば、べき乗の計算で電子署名を生成することができ、署名の生成に要する時間も短くて済む。同等の安全強度で比較すると、グループ署名方式では、署名の生成に、3500ビットのべき乗演算と、4秒程度の時間を要する。これに対し、電子署名方式であれば、署名の生成に、1024ビットべき乗演算で数百マイクロ秒程度の時間を要する。但し、本発明者の検討によれば、電子署名方式における署名検証用の公開鍵証明書に匿名性が無い等の理由により、電子署名方式を匿名注文システムに適用することが困難である。
【0012】
従って、グループ署名方式を利用せず、かつプリペイドカードの問題点も無しに、匿名で商品等を注文でき、且つ注文内容に関するプライバシを保護可能な匿名注文システムの実現が望まれている。
【0013】
本発明は上記実情に鑑みてなされたものであり、プリペイドカード及びグループ署名方式を利用せずに、商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護し得る匿名注文システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
第1の発明は、予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置とを備えた匿名注文システムであって、前記管理者装置は、管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段と、前記会員を識別するための会員識別情報に関連付けて前記会員情報を記憶する会員情報記憶手段と、前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段と、前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段と、前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段と、前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段と、前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段と、前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段と、前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段と、前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段と、前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段と、前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段とを備え、前記会員装置は、前記管理者装置に前記トークン発行要求を送信する手段と、前記トークンと、該トークンに対応する一時暗号鍵とを前記管理者装置から受信する手段と、前記会員の操作により、前記販売者装置から送信された販売対象情報を表示する手段と、前記会員の操作により、前記表示中の販売対象情報のいずれかを選択する手段と、前記選択した販売対象情報に対応する前記注文情報を前記販売者装置から受信する手段と、前記一時暗号鍵により前記注文情報を暗号化して暗号化注文情報を生成する手段と、前記暗号化注文情報を、前記注文情報と前記トークンとともに前記販売者装置に送信する手段とを備え、前記販売者装置は、販売者公開鍵と販売者秘密鍵とを記憶する手段と、前記会員装置から、前記注文情報と前記暗号化注文情報と前記トークンとを受信する手段と、前記会員装置から受信したトークンを前記管理者公開鍵で検証する手段と、前記トークンが正当であると検証された場合、前記販売者秘密鍵により前記決済基本情報に基づく販売者署名を生成する手段と、前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段とを備えた匿名注文システムである。
【0015】
第2の発明は、予め登録された会員がトークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置と、の両装置と通信可能な管理者装置のプログラムであって、前記管理者装置のコンピュータを、管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段、前記会員を識別するための会員識別情報に関連付けて会員情報を記憶する会員情報記憶手段、前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段、前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段、前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段、前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段、前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により前記会員装置で暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段、前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段、前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段、前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段、前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段、前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段として機能させるためのプログラムである。
【0016】
第3の発明は、予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、の両装置と通信可能な販売者装置のプログラムであって、前記トークンは、前記会員を識別するための会員識別情報とトークン生成情報とを含むトークン発行要求を前記会員装置から前記管理者装置が受信した場合、前記トークン生成情報の電子署名を前記管理者装置の有する管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加して生成されるものであり、前記プログラム本体は、前記販売者装置のコンピュータを、販売者公開鍵と販売者秘密鍵とを記憶する手段、前記会員装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」と、前記トークンに対応して前記管理者装置により生成される一時暗号鍵により前記注文情報が前記会員装置により暗号化されてなる暗号化注文情報と、前記トークンとを受信する手段、前記会員装置から受信したトークンを前記管理者装置が有する管理者公開鍵で検証する手段、前記トークンが正当であると検証された場合、前記販売者秘密鍵により「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」に基づく販売者署名を生成する手段、前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段として機能させるためのプログラムである。
【0017】
<作用>
第1の発明によれば、管理者装置は、会員装置からトークン生成情報を受け取ると、トークン生成情報の電子署名を管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成する。さらに、該トークンに対応する一時暗号鍵を生成して、トークンとともに会員装置に送信する。会員装置は、トークンと、該トークンに対応する一時暗号鍵とを前記管理者装置から受信し、一時暗号鍵により注文情報を暗号化して暗号化注文情報を生成する。そして、暗号化注文情報を注文情報とトークンとともに販売者装置に送信する。販売者装置は、会員装置から注文情報(決済基本情報+販売対象情報)と暗号化注文情報とトークンとを受信する。そして、会員装置から受信したトークンを管理者公開鍵で検証し、トークンが正当であると検証された場合、販売者秘密鍵により決済基本情報に基づく販売者署名を生成し、販売者署名を、決済基本情報と暗号化注文情報とトークンとともに管理者装置に送信する。また、管理者装置は、販売者装置から暗号化注文情報・決済基本情報・販売者署名・トークンを受信し、販売者署名の検証と注文情報の検証とトークンの検証とのそれぞれの結果が正当である場合、会員情報と決済基本情報とに基づいて販売対象に対する決済情報を生成する。
【0018】
従って、管理者装置にのみ会員情報を預託し、販売者装置へは会員情報を伝えず、かつ管理者装置には会員の詳細な購入履歴を明かさないことにより、プリペイドカード及びグループ署名方式を利用せずに、利用者が商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護できる匿名注文システムを提供することができる。
【0019】
また、第2の発明は、前述した作用に加え、管理者装置としては、トークンの検証結果が正しい場合に、販売対象情報(商品ID)を含まない決済基本情報及び会員情報を用いて決済情報を生成することができる。これにより、会員装置または販売者装置から管理者装置に販売対象の具体的な内容を通知せずに決済することができる。
【0020】
また、第3の発明は、前述した作用に加え、販売者装置としては、トークンが正当であるか否かを検証することによって、管理者装置に登録された会員であるという情報を得ることができる。これにより、利用者である会員は、会員装置から販売者装置に対し、個別のIDや決済情報など個人情報を一切伝えずに販売対象の提供を受けることができる。
【発明の効果】
【0021】
本発明によれば、プリペイドカード及びグループ署名方式を利用せずに、商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護できる匿名注文システム、装置及びプログラムを提供できる。
【発明を実施するための最良の形態】
【0022】
以下、図面を参照して本発明の実施形態を説明する。
【0023】
<第1の実施形態>
(1−1.構成)
図1は本発明の第1の実施形態に係る匿名注文システムの構成を示す模式図である。
【0024】
本実施形態に係る匿名注文システムでは、管理会社(グループ管理者)・会員(署名者)・販売者(検証者)のそれぞれが管理者装置100・会員装置200・販売者装置300を用いる。この匿名注文システムにおいては、管理者装置100・会員装置200・販売者装置300・決済機関装置400が互いにネットワーク500を介して接続されている。
【0025】
また、本実施形態に係る匿名注文システムにおいては、公開鍵暗号方式として広く利用されているRSAによる電子署名アルゴリズムを前提に考える。また、電子署名を用いるために認証局が発行する公開鍵証明書も用いるものとする。本実施形態では簡単のため、公開鍵証明書を単に公開鍵として示す。例えば、管理者装置100の公開鍵証明書を管理者公開鍵PKGMとして表現する。
【0026】
管理者装置100は、管理者用記憶装置101と初期設定部102・会員登録部103・トークン生成部104・一時暗号鍵生成部105・注文情報検証部106・トークン検証部107・決済情報生成部108とを備えている。
【0027】
管理者装置100には、予め管理者公開鍵と管理者秘密鍵のペアである(PKGM,SKGM)が記憶され、管理者公開鍵PKGMには正当な第三者(必ずしも第三者である必要はない)の認証局が発行した公開鍵証明書が付与されているものとする。
【0028】
管理者用記憶装置101は、初期設定部102により設定される管理者装置100の管理者公開鍵PKGMや管理者秘密鍵SKGM、販売者装置300の販売者公開鍵PKSP等の鍵情報を記憶するメモリである。
【0029】
さらに詳しくは、管理者用記憶装置101は、図2に示すように、鍵情報の他に、会員情報、販売者情報、トークン発行情報、販売履歴情報及び決済情報などのデータを記憶する。ここで、会員情報としては、会員個別に割り当てられる会員ID(会員識別情報)・氏・名・郵便番号・住所・電話番号・勤務先名・勤務先住所・勤務先電話番号などの個人情報と、決済を行なうための会員口座情報・現トークン・一時暗号鍵等とが互いに関連付けられて記憶される。会員口座情報としては、例えばクレジット番号や銀行の口座番号などの情報が書き込まれる。現トークンや一時暗号鍵は、販売者装置300から商品等の提供を受ける際に、匿名で決済を行なうために必要な情報である。販売者情報としては、販売者個別に割り当てられる販売者ID・販売者名・郵便番号・住所・電話番号・決済を行なうための販売者口座情報・販売者公開鍵PKSPが互いに関連付けられて記憶される。トークン発行情報としては、会員の会員ID毎に、現トークン及び一時暗号鍵が互いに関連付けられて記憶される。販売履歴情報としては、販売者ID毎に、トークンと、注文情報および暗号化注文情報とが互いに関連付けられて記憶される。注文情報は、注文ID毎に、商品ID(販売対象情報)、単価、個数及び決済金額を含んでいる。決済情報は、決済機関装置400に決済を指示するための情報であり、注文ID毎に、会員口座情報、販売者口座情報及び決済金額が互いに関連付けて記憶される。
【0030】
初期設定部102は、管理者装置100の管理者公開鍵PKGMや管理者秘密鍵SKGM等の情報を設定するものである。また、管理者記憶装置101に販売者情報を書き込む機能を有している。
【0031】
会員登録部103は、会員装置200からの会員登録要求に基づいて、会員情報を管理者用記憶装置101に書き込むものである。会員登録が完了すると、会員IDが付与されて、パスワードが発行される。
【0032】
トークン生成部104は、会員装置200から送信されたトークン発行要求を受けると、トークンを発行するものである。具体的には、トークン生成部104は、トークン発行要求に含まれる乱数RUSER(トークン生成情報)とトークンの発行日時date_tokenとの電子署名SIGSKGM(RUSER,date_token)を管理者秘密鍵SKGMにより生成し、これら乱数RUSER、トークン発行日時date_token及び電子署名SIGSKGM(RUSER,date_token)からなる情報を「トークン」として生成する。なお、トークンとしては、トークン発行日時date_tokenを省略し、乱数RUSER及び電子署名SIGSKGM(RUSER)からなる情報としてもよい。いずれにしても、トークンは、会員装置200へ送られると同時に、管理者用記憶装置101の会員情報に書き込まれる。
【0033】
一時暗号鍵生成部105は、トークン生成部104によりトークンが生成されると、生成されたトークンに対応する一時暗号鍵Ktmpを生成する。なお、一時暗号鍵Ktmpは、共通鍵暗号方式の共通鍵であり、会員装置200へ送られると同時に、管理者用記憶装置101の会員情報に書き込まれる。
【0034】
注文情報検証部106は、販売者装置300から受けた販売者署名、決済基本情報及び暗号化注文情報を検証する検証機能を有する。なお、決済基本情報は、注文ID、単価、個数及び決済金額からなる。販売者署名は、販売者秘密鍵SKSPにより、決済基本情報から生成された電子署名である。
【0035】
ここで、注文情報検証部106の検証機能は、以下の(f106-1)〜(f106-2)の通りである。(f106-1)販売者署名が正当であるか否かを販売者公開鍵PKSP及び決済基本情報により検証する機能。(f106-2)暗号化注文情報に関し、暗号化注文情報を復号して得た復号注文情報(注文ID、商品ID及び決済金額)のうちの注文ID及び決済金額と、決済基本情報のうちの注文ID及び決済金額とが一致するか否かを検証する機能。これらの検証により、販売者装置300から送信された注文情報が、会員装置200が送信した注文情報であることを確認できる。また、注文情報検証部106は、注文情報と販売者署名とが正当であると検証した場合、その旨を示す注文情報正当データを決済情報生成部108に送出する。
【0036】
トークン検証部107は、販売者装置300から受信したトークンの電子署名を管理者公開鍵PKGMで検証するものである。また、トークン検証部107は、管理者用記憶装置101に記憶されているトークン発行情報や現在未使用のトークンの情報から、販売者装置300から受信したトークンが過去に使用されたトークンでないことを確認する機能を有する。なお、トークン検証部107は、トークンが正当であると検証した場合、その旨を示すトークン正当データを決済情報生成部108に送出する。
【0037】
決済情報生成部108は、注文情報検証部106から注文情報正当データと、トークン検証部107からトークン正当データとを受け取った場合、会員情報と販売者情報と決済基本情報とに基づいて商品等に対しての決済情報を生成し、この決済情報を管理者用記憶装置101に書き込むものである。詳しくは、決済情報生成部108は、販売者装置300から送信された決済基本情報に含まれる商品の決済金額の情報を読み出し、管理者用記憶装置101に記憶された口座情報に基づいて決済機関装置400に対して商品等の代金の決済を指示するための決済情報を生成する。
【0038】
会員装置200は、管理者装置100に対して予め会員登録をした会員が、トークンを用いて商品等を匿名で注文するための端末である。具体的には、会員装置200は、会員用記憶装置201とトークン要求部202・商品要求部203・暗号化注文情報生成部204とを備えている。
【0039】
なお、会員装置200は、管理者装置100から会員登録時に割り当てられた会員IDとパスワードとにより、ネットワーク500を介して管理者装置100に対して会員認証が可能となり、この会員認証の結果が正当のとき、匿名注文が可能となる。
【0040】
会員用記憶装置201は、管理者装置100から送信されるトークンや一時暗号鍵Ktmp、販売者装置300から受け取る注文情報等が購入履歴情報として記憶されるメモリである。具体的には購入履歴情報としては、図3に示すように、販売者装置300から受け取る注文情報と、トークンと暗号化注文情報と販売者ID及び日時情報とを互いに関連付けて記憶する。
【0041】
トークン要求部202は、会員の操作により、乱数RUSER、トークン発行日時date_token及び会員ID(会員識別情報)を含むトークン発行要求を管理者装置100に送信するものである。また、トークン要求部202は、トークン発行要求に応じて、管理者装置100からトークンと一時暗号鍵Ktmpとを受信した場合、それらのトークンと一時暗号鍵Ktmpとを会員用記憶装置201に書き込む機能を有している。ここで、トークンは、トークン発行要求の送信元が会員である場合に管理者装置100により発行される情報であり、具体的には、乱数RUSER、トークン発行日時date_token及び電子署名SIGSKGM(RUSER,date_token)からなる情報である。
【0042】
商品要求部203は、販売者装置300に対して商品等の提供を要求するものである。具体的には商品要求部203は、会員の操作により、販売者装置300に接続する機能と、販売者装置300から送信された商品等(オンラインコンテンツ等)を示す商品情報を受信する機能と、受信した商品情報を表示装置(図示せず)に表示する機能と、会員の操作により、表示中の商品情報から購入しようとする商品情報の商品IDを入力装置(図示せず)等で選択する機能と、選択した商品ID、当該商品IDに対応する注文ID及び決済金額を含む注文情報を販売者装置300から受信する機能とをもっている。なお、注文情報は、「商品ID」、「注文ID」及び「決済金額」に限らず、例えば、商品等の「単価」、及び注文した「個数」のように、販売対象を特定できない範囲(=少なくとも商品名を除き、好ましくは商品IDをも除く範囲)で、任意の関連情報を含んでもよい。
【0043】
暗号化注文情報生成部204は、商品要求部203が販売者装置300から注文情報を受信した場合、その注文情報を、一時暗号鍵Ktmpを用いて暗号化した「暗号化注文情報」を生成するものである。この暗号化注文情報生成部204は、不正防止の観点から、耐タンパー性を有するICカード又はUSBメモリ等のような耐タンパーデバイスで実現されることが好ましい。また、暗号化注文情報生成部204は、暗号化注文情報を生成すると、暗号化注文情報と注文情報とトークンとを含む商品要求を販売者装置300に送信する機能を有する。なお、この商品要求を販売者装置300が受諾すれば、販売者装置300から商品等が提供される。
【0044】
販売者装置300は、商品又はサービスからなる販売対象の注文情報をトークンとともに受け付けるものであり、販売者用記憶装置301と注文受付部302・商品提供部303・決済要求部304とを備えている。なお、本実施形態では、販売対象が商品の場合を例に挙げて述べる。
【0045】
ここで、販売者用記憶装置301は、図4に示すように、販売者公開鍵と販売者秘密鍵とのペアである(PKSP,SKSP)が鍵情報として記憶されており、販売者公開鍵PKSPについては正当な第三者(必ずしも第三者である必要はない)の認証局が発行した公開鍵証明書が付与されているものとする。この販売者公開鍵PKSPの公開鍵証明書は、管理者装置100が発行してもよい。また、鍵情報としては、他に管理者公開鍵PKGMが記憶されている。
【0046】
また、販売者用記憶装置301は、鍵情報の他に、販売履歴情報、販売者情報、商品情報及びコンテンツ情報が記憶されている。ここで、販売履歴情報としては、注文IDに対する販売日時・トークン・販売したコンテンツの商品ID・個数・単価・決済金額(販売額)・暗号化注文情報・決済の完了又は未完を示すステータス情報などが記憶される。販売者情報としては、管理者装置100で管理されている販売者ID・販売者名・郵便番号・住所などと共に決済機関における販売者口座情報なども記憶される。商品情報としては、商品ID、単価及び商品説明情報が互いに関連付けて記憶されている。商品説明情報は、商品を説明するための情報であり、例えば、商品名、商品分類、商品概要などが適宜使用可能となっている。コンテンツ情報は、商品ID及びコンテンツデータが互いに関連付けて記憶されている。なお、コンテンツデータは、商品がコンテンツの場合の提供データである。コンテンツ情報は、販売対象が注文毎に生成するデータ(例、翻訳データ、チケットデータ等)である場合(例えば、販売対象がサービスの場合)には省略される。
【0047】
注文受付部302は、会員装置200からトークンと注文情報と暗号化注文情報とを受信するものであり、受信した情報と現在の日時情報とを注文IDに関連付けて販売者用記憶装置301に書き込む機能を有する。また、注文受付部302は、会員装置200から送信されたトークンが正当であるか否かを管理者公開鍵PKGMにより検証する機能と、トークンが正当であると検証した場合、注文情報のうちの少なくとも注文IDを含むトークン正当データを商品提供部303に送出する機能とをもっている。
【0048】
商品提供部303は、注文受付部302からトークン正当データを受け付けた場合、商品等を提供するものである。例えば、注文IDに基づいて、会員装置200へのオンラインコンテンツ等のダウンロードを実行可能にして提供する。また、商品提供部303は、商品等を提供した場合、注文IDを含む提供完了データを決済要求部304に送出する。
【0049】
決済要求部304は、商品提供部303から提供完了データを受けた場合、提供した商品等の支払を求める決済要求を管理者装置100に対して行なうものである。具体的には、決済要求部304は、商品等の提供後、販売者用記憶装置301内の販売者秘密鍵SKSPにより、注文ID・単価・個数・決済金額を含む決済基本情報に基づく電子署名を「販売者署名」として生成する機能と、その決済基本情報・販売者署名と、会員装置200から送信されたトークン・暗号化注文情報とを管理者装置100へ送信する機能とをもっている。
【0050】
決済機関装置400は、例えば銀行等の金融機関に用いられ、会員や販売者の口座等を管理するものであり、管理者装置100から決済情報を受信した場合、会員の口座から販売者の口座に金銭を振り込む機能を有する。すなわち、決済機関装置400は、会員が匿名で販売者に商品等の代金を支払い可能とする観点から、会員装置200及び管理者装置100と、販売者装置300との間で代金を決済する機能を有する。なお、振込人の名前は、例えば注文ID又は管理者名のように、販売者からは会員を特定不可能な情報を用いる。
【0051】
(1−2.動作)
次に、本実施形態に係る匿名注文システムの動作を図5のシーケンス図を用いて説明する。
【0052】
前提として、会員装置200は、ユーザの操作により、当該ユーザを会員として登録してもらうための会員登録要求を管理者装置100に送信する(ステップST1)。管理者装置100は、会員登録要求を受信した後、会員として認める場合には、ユーザを会員として登録する(ステップST2)。会員登録に伴い、以下の説明では、前述した「ユーザ」を「会員」と呼ぶ。また、管理者装置100は、会員毎に会員IDとパスワードとを設定して、会員装置200へ送信する(ステップST3)。なお、本実施形態では、会員IDやパスワードは管理者装置100が生成・発行しているが、会員IDが他の会員の会員IDと重複しないように管理されているならば、会員装置200で会員IDとパスワードとを設定し、この会員IDとパスワードとを含む会員登録要求を送信してもよい。
【0053】
会員装置200は、会員IDとパスワードとを受け取り会員登録が完了すると、会員の操作により、販売者装置300が提供する商品等の注文を実行することが可能となる。
【0054】
具体的には、会員装置200は、会員の操作により、トークンと一時暗号鍵Ktmpとを管理者装置100から入手する。この際、会員装置200のトークン要求部202は、乱数を発生し、乱数RUSER、トークン発行日時date_token及び会員IDを含むトークン発行要求を管理者装置100に送信する(ステップST4,ST5)。
【0055】
管理者装置100は、トークン発行要求を受け取ると、トークンを生成する(ステップST6)。具体的には、トークン生成部104により、トークン発行要求に含まれる乱数RUSERと、トークンの発行日時date_tokenとの2つのデータに対して、管理者秘密鍵SKGMによる電子署名が付与されることにより、トークン(Token)が生成される。
【0056】
また、トークンの生成とともに、会員装置200と一時的に共有する一時暗号鍵Ktmpが一時暗号鍵生成部105により生成される。
【0057】
そして、生成されたトークンと一時暗号鍵Ktmpとが管理者装置100から会員装置200へ送信される(ステップST7)。
【0058】
会員装置200では、トークンと一時暗号鍵Ktmpとを受け取ると、トークンと一時暗号鍵Ktmpとを会員用記憶装置201に書き込む。
【0059】
続いて、会員装置200では、会員の操作により、販売者装置300に接続し、販売者装置300から送信された商品情報を表示装置(図示せず)に表示する。会員装置200は、会員の操作により、表示中の商品情報のいずれかが選択される(ステップST8)。なお、本実施形態に係る商品情報は、オンラインで提供可能な音楽や動画・静止画などのディジタルコンテンツを表しているものとする。
【0060】
販売者装置300は、会員装置200により商品情報が選択されると、選択された商品等を販売したことを証明するための注文情報を会員装置200へ送信する(ステップST9)。注文情報には、販売者装置300が注文毎に独自に割り当てるシーケンス番号である注文ID、決済金額及び商品IDが含まれる。なお、商品IDを、販売対象情報といい、それ以外の注文IDや決済金額等の情報を決済基本情報ともいう。
【0061】
会員装置200は、注文情報を受け取ると、暗号化注文情報生成部204により、一時暗号鍵Ktmpを用いて注文情報を暗号化し、暗号化注文情報を生成する(ステップST10)。暗号化に際して、例えばTriple DES (Data Encryption Standard)やAES (Advanced Encryption Standard)などの共通鍵暗号が用いられる。そして、会員装置200は、先に送られたトークンとともに注文情報及び暗号化注文情報を販売者装置300へ送信する(ステップST11)。
【0062】
販売者装置300は、トークンと注文情報(決済基本情報+販売対象情報)と暗号化注文情報とを受け取ると、注文受付部302により、管理者公開鍵PKGMを用いてトークンの正当性を検証する(ステップST12)。すなわち、注文受付部302は、トークンの電子署名を管理者公開鍵PKGMで復号して得た乱数RUSER及びトークンの発行日時date_tokenと、予めトークンに含まれる乱数RUSER及びトークンの発行日時date_tokenとを比較し、両者が一致するか否かを検証する。なお、両者が一致するときが「正当」である。
【0063】
検証結果が正当であれば、注文受付部302は、トークン正当データを商品提供部303に送出する。商品提供部303は、トークン正当データを受けると、会員装置200へコンテンツデータを提供する(ステップST13)。コンテンツ提供後、商品提供部303は、提供完了データを決済要求部304に送出する。
【0064】
決済要求部304は、注文IDを含む決済基本情報に対して販売者秘密鍵SKSPを用いて販売者署名SIGSKSP(注文ID,単価,個数,決済金額)を生成する(ステップST14)。
【0065】
そして、決済要求部304は、暗号化注文情報・トークン・販売者署名を決済基本情報とともに管理者装置100へ送信する(ステップST15)。
【0066】
管理者装置100は、注文情報検証部106により、受信した販売者署名を販売者公開鍵PKSP及び決済基本情報により検証する(ステップST16)。また、管理者装置100は、注文情報検証部106により、暗号化注文情報を一時暗号鍵Ktmpにより復号し(ステップST17)、得られた復号注文情報の内容と決済基本情報の内容とが一致しているか検証する。さらに、管理者装置100は、トークン検証部107により、トークンを自分の管理者公開鍵PKGMにより検証する(ステップST18)。
【0067】
これらの検証結果が全て正当であれば、管理者装置100は、決済基本情報と、商品等を購入した会員の会員口座情報と、商品等を提供した販売者の販売者口座情報とに基づいて注文ID、会員口座情報、販売者口座情報及び決済金額からなる決済情報を生成する。そして、その決済情報を、決済機関装置400に送信する(ステップST19)。
【0068】
これにより、決済機関装置400において、商品等を購入した会員の口座から決済が実施される(ステップST20)。
【0069】
(1−3.効果)
以上説明したように、本実施形態に係る匿名注文システムにおいて、管理者装置100は、会員装置200からトークン生成情報として乱数Ruserを受け取ると、乱数Ruserとトークンの発行日時date_tokenとの電子署名を管理者秘密鍵SKGMにより生成してトークンを生成する。さらに、トークンに対応する一時暗号鍵Ktmpを生成して、トークンとともに会員装置200に送信する。会員装置200は、トークンと、そのトークンに対応する一時暗号鍵Ktmpとを管理者装置100から受信し、一時暗号鍵Ktmpにより注文情報を暗号化して暗号化注文情報を生成する。そして、暗号化注文情報を注文情報とトークンとともに販売者装置300に送信する。販売者装置300は、会員装置200から注文情報(決済基本情報+販売対象情報)と暗号化注文情報とトークンとを受信する。そして、会員装置200から受信したトークンを管理者公開鍵PKGMで検証し、トークンが正当であると検証された場合、販売者秘密鍵SKSPにより決済基本情報に基づく販売者署名を生成し、販売者署名を、決済基本情報と暗号化注文情報とトークンとともに管理者装置100に送信する。また、管理者装置100は、販売者装置300から暗号化注文情報・決済基本情報・販売者署名・トークンを受信し、販売者署名の検証と注文情報の検証とトークンの検証とのそれぞれの結果が正当である場合、会員情報と決済基本情報とに基づいて商品等に対する決済情報を生成する。
【0070】
従って、管理者装置100にのみ会員情報を預託し、販売者装置300へは会員情報を伝えず、かつ管理者装置100には会員の詳細な購入履歴を明かさないことにより、プリペイドカード及びグループ署名方式を利用せずに、会員の匿名性とプライバシとを保護し得る匿名注文システムを提供することができる。詳しくは、利用者が商品等を匿名で注文でき、且つ注文内容に関するプライバシを保護できる匿名注文システムを提供できる。
【0071】
また、管理者装置100では、トークンの検証結果が正しい場合に、商品IDを含まない決済基本情報及び会員情報を用いて決済情報を生成する。これにより、会員装置200または販売者装置300から管理者装置100に商品の具体的な内容を通知せずに決済することができる。なお、暗号化注文情報を復号した際に、商品IDを含む注文情報が管理者装置100に知られるが、商品IDからは商品名などの具体的な内容を知ることができない。
【0072】
また、販売者装置300では、トークンが正当であるか否かを検証することによって、管理者装置100に登録された会員であるという情報を得ることができる。そのため、販売者装置300は、会員装置200から個別の会員IDや決済情報などの個人情報を一切受け取らなくても、登録された会員であることを認識することができる。すなわち、販売者装置300は、会員装置200から個人情報を受け取らずに商品を提供することができる。また、利用者側から見れば、会員装置200から販売者装置300に対し、個別の会員IDや決済情報など個人情報を一切伝えずに商品の提供を受けることができる。
【0073】
なお、会員装置200において、トークン生成情報として乱数RUSERを発生させている。このような乱数RUSERによれば、トークンのユニーク性(一意性)を確保することができる。例えば、別々の会員が同時にトークン発行要求を送信してきた際にも、トークン発行要求に含まれる乱数が互いに異なることから、互いに異なるトークンを同時に発行することができる。また、会員装置200がトークン生成情報を発生するので、管理者装置100により不正にトークンが利用されるのを防ぐことができる。但し、トークン生成情報は、会員装置200が生成する場合に限らず、管理者装置100が信頼できる場合には管理者装置100が生成してもよい。
【0074】
また、本実施形態では、グループ署名を使用していないので、匿名注文システムを簡易に構築することができる。
【0075】
<その他>
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0076】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0077】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0078】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0079】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0080】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0081】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0082】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0083】
【図1】本発明の第1の実施形態に係る匿名注文システムの構成を示す模式図である。
【図2】同実施形態に係る管理者用記憶装置101に記憶される情報を示す図である。
【図3】同実施形態に係る会員用記憶装置201に記憶される情報を示す図である。
【図4】同実施形態に係る販売者用記憶装置301に記憶される情報を示す図である。
【図5】同実施形態に係る匿名注文システムの動作を説明するためのシーケンス図である。
【符号の説明】
【0084】
100・・・管理者装置、101・・・管理者用記憶装置、102・・・初期設定部、
103・・・会員登録部、104・・・トークン生成部、105・・・一時暗号鍵生成部、
106・・・注文情報検証部、107・・・トークン検証部、108・・・決済情報生成部、
200・・・会員装置、201・・・会員用記憶装置、202・・・トークン要求部、
203・・・商品要求部、204・・・暗号化注文情報生成部、300・・・販売者装置、
301・・・販売者用記憶装置、302・・・注文受付部、303・・・商品提供部、
304・・・決済要求部、400・・・決済機関装置、500・・・ネットワーク。
【特許請求の範囲】
【請求項1】
予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置とを備えた匿名注文システムであって、
前記管理者装置は、
管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段と、
前記会員を識別するための会員識別情報に関連付けて前記会員情報を記憶する会員情報記憶手段と、
前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段と、
前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段と、
前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段と、
前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段と、
前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段と、
前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段と、
前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段と、
前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段と、
前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段と、
前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段とを備え、
前記会員装置は、
前記管理者装置に前記トークン発行要求を送信する手段と、
前記トークンと、該トークンに対応する一時暗号鍵とを前記管理者装置から受信する手段と、
前記会員の操作により、前記販売者装置から送信された販売対象情報を表示する手段と、
前記会員の操作により、前記表示中の販売対象情報のいずれかを選択する手段と、
前記選択した販売対象情報に対応する前記注文情報を前記販売者装置から受信する手段と、
前記一時暗号鍵により前記注文情報を暗号化して暗号化注文情報を生成する手段と、
前記暗号化注文情報を、前記注文情報と前記トークンとともに前記販売者装置に送信する手段とを備え、
前記販売者装置は、
販売者公開鍵と販売者秘密鍵とを記憶する手段と、
前記会員装置から、前記注文情報と前記暗号化注文情報と前記トークンとを受信する手段と、
前記会員装置から受信したトークンを前記管理者公開鍵で検証する手段と、
前記トークンが正当であると検証された場合、前記販売者秘密鍵により前記注文情報に基づく決済基本情報から販売者署名を生成する手段と、
前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段と
を備えたことを特徴とする匿名注文システム。
【請求項2】
予め登録された会員がトークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置と、の両装置と通信可能な管理者装置であって、
管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段と、
前記会員を識別するための会員識別情報に関連付けて会員情報を記憶する会員情報記憶手段と、
前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段と、
前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段と、
前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段と、
前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段と、
前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により前記会員装置で暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段と、
前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段と、
前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段と、
前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段と、
前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段と、
前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段と
を備えたことを特徴とする管理者装置。
【請求項3】
予め登録された会員がトークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置と、の両装置と通信可能な管理者装置のプログラムであって、
前記管理者装置のコンピュータを、
管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段、
前記会員を識別するための会員識別情報に関連付けて会員情報を記憶する会員情報記憶手段、
前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段、
前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段、
前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段、
前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段、
前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により前記会員装置で暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段、
前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段、
前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段、
前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段、
前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段、
前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段、
として機能させるためのプログラム。
【請求項4】
請求項3に記載のプログラムにおいて、
前記トークン生成情報は、前記会員装置毎に生成される乱数である
ことを特徴とするプログラム。
【請求項5】
予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、の両装置と通信可能な販売者装置のプログラムであって、
前記トークンは、
前記会員を識別するための会員識別情報とトークン生成情報とを含むトークン発行要求を前記会員装置から前記管理者装置が受信した場合、前記トークン生成情報の電子署名を前記管理者装置の有する管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加して生成されるものであり、
前記プログラム本体は、前記販売者装置のコンピュータを、
販売者公開鍵と販売者秘密鍵とを記憶する手段、
前記会員装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」と、前記トークンに対応して前記管理者装置により生成される一時暗号鍵により前記注文情報が前記会員装置により暗号化されてなる暗号化注文情報と、前記トークンとを受信する手段、
前記会員装置から受信したトークンを前記管理者装置が有する管理者公開鍵で検証する手段、
前記トークンが正当であると検証された場合、前記販売者秘密鍵により「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」に基づく販売者署名を生成する手段、
前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段
として機能させるためのプログラム。
【請求項1】
予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置とを備えた匿名注文システムであって、
前記管理者装置は、
管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段と、
前記会員を識別するための会員識別情報に関連付けて前記会員情報を記憶する会員情報記憶手段と、
前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段と、
前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段と、
前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段と、
前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段と、
前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段と、
前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段と、
前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段と、
前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段と、
前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段と、
前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段とを備え、
前記会員装置は、
前記管理者装置に前記トークン発行要求を送信する手段と、
前記トークンと、該トークンに対応する一時暗号鍵とを前記管理者装置から受信する手段と、
前記会員の操作により、前記販売者装置から送信された販売対象情報を表示する手段と、
前記会員の操作により、前記表示中の販売対象情報のいずれかを選択する手段と、
前記選択した販売対象情報に対応する前記注文情報を前記販売者装置から受信する手段と、
前記一時暗号鍵により前記注文情報を暗号化して暗号化注文情報を生成する手段と、
前記暗号化注文情報を、前記注文情報と前記トークンとともに前記販売者装置に送信する手段とを備え、
前記販売者装置は、
販売者公開鍵と販売者秘密鍵とを記憶する手段と、
前記会員装置から、前記注文情報と前記暗号化注文情報と前記トークンとを受信する手段と、
前記会員装置から受信したトークンを前記管理者公開鍵で検証する手段と、
前記トークンが正当であると検証された場合、前記販売者秘密鍵により前記注文情報に基づく決済基本情報から販売者署名を生成する手段と、
前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段と
を備えたことを特徴とする匿名注文システム。
【請求項2】
予め登録された会員がトークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置と、の両装置と通信可能な管理者装置であって、
管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段と、
前記会員を識別するための会員識別情報に関連付けて会員情報を記憶する会員情報記憶手段と、
前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段と、
前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段と、
前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段と、
前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段と、
前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により前記会員装置で暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段と、
前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段と、
前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段と、
前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段と、
前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段と、
前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段と
を備えたことを特徴とする管理者装置。
【請求項3】
予め登録された会員がトークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、前記注文に応じた販売対象の販売を実行するための販売者装置と、の両装置と通信可能な管理者装置のプログラムであって、
前記管理者装置のコンピュータを、
管理者公開鍵と管理者秘密鍵と、販売者公開鍵とを記憶する手段、
前記会員を識別するための会員識別情報に関連付けて会員情報を記憶する会員情報記憶手段、
前記会員装置から、前記トークンを生成するためのトークン生成情報と前記会員識別情報とを含むトークン発行要求を受信する手段、
前記トークン発行要求を受信した場合、前記トークン生成情報の電子署名を前記管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加してトークンを生成するトークン生成手段、
前記トークン生成手段によりトークンが生成された場合、該トークンに対応する一時暗号鍵を生成する手段、
前記トークンと前記一時暗号鍵とを前記会員装置に送信する手段、
前記販売者装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」が前記一時暗号鍵により前記会員装置で暗号化されてなる暗号化注文情報と、「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」と、前記販売者秘密鍵により前記決済基本情報から生成された販売者署名と、前記トークンとを受信する手段、
前記販売者公開鍵により前記販売者署名を検証する販売者署名検証手段、
前記暗号化注文情報を前記一時暗号鍵により復号して復号注文情報を生成する手段、
前記復号注文情報が正当であるか否かを前記決済基本情報に基づいて検証する注文情報検証手段、
前記販売者装置から受信したトークンを前記管理者公開鍵で検証するトークン検証手段、
前記販売者署名検証手段と前記注文情報検証手段と前記トークン検証手段とによる検証の結果がそれぞれ正当であると検証された場合、前記会員情報と前記決済基本情報とに基づいて前記販売対象に対する決済情報を生成する手段、
として機能させるためのプログラム。
【請求項4】
請求項3に記載のプログラムにおいて、
前記トークン生成情報は、前記会員装置毎に生成される乱数である
ことを特徴とするプログラム。
【請求項5】
予め登録された会員の会員情報を管理して該会員にトークンを発行する管理者装置と、前記会員が前記トークンを用いて匿名で商品又はサービスからなる販売対象を注文するための会員装置と、の両装置と通信可能な販売者装置のプログラムであって、
前記トークンは、
前記会員を識別するための会員識別情報とトークン生成情報とを含むトークン発行要求を前記会員装置から前記管理者装置が受信した場合、前記トークン生成情報の電子署名を前記管理者装置の有する管理者秘密鍵により生成し、該トークン生成情報に該電子署名を付加して生成されるものであり、
前記プログラム本体は、前記販売者装置のコンピュータを、
販売者公開鍵と販売者秘密鍵とを記憶する手段、
前記会員装置から、「前記販売対象を示す販売対象情報、当該販売対象情報に対応する注文ID及び決済金額を含む注文情報」と、前記トークンに対応して前記管理者装置により生成される一時暗号鍵により前記注文情報が前記会員装置により暗号化されてなる暗号化注文情報と、前記トークンとを受信する手段、
前記会員装置から受信したトークンを前記管理者装置が有する管理者公開鍵で検証する手段、
前記トークンが正当であると検証された場合、前記販売者秘密鍵により「前記販売対象情報を含まずに、当該販売対象情報に対応する注文ID及び決済金額を含む決済基本情報」に基づく販売者署名を生成する手段、
前記販売者署名を、前記決済基本情報と前記暗号化注文情報と前記トークンとともに前記管理者装置に送信する手段
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2008−99138(P2008−99138A)
【公開日】平成20年4月24日(2008.4.24)
【国際特許分類】
【出願番号】特願2006−280525(P2006−280525)
【出願日】平成18年10月13日(2006.10.13)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成20年4月24日(2008.4.24)
【国際特許分類】
【出願日】平成18年10月13日(2006.10.13)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]