認証装置、認証システム及びプログラム
【課題】セキュリティを高めるとともに、排除したい端末装置の動作を確実に排除することである。
【解決手段】センタサーバ10は、SAM40が接続された電子機器30と通信を行う第1の通信手段と、SAM40が有する鍵T1に相応する鍵T1を記憶する第1の記憶手段と、鍵T1で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を電子機器30から受信し、当該暗号化された第1の情報を前記記憶された鍵T1で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、SAM40のデータの使用を伴う動作を電子機器30に許可する動作可否情報を鍵T1で暗号化して電子機器30に送信する第1の制御手段と、を備える。
【解決手段】センタサーバ10は、SAM40が接続された電子機器30と通信を行う第1の通信手段と、SAM40が有する鍵T1に相応する鍵T1を記憶する第1の記憶手段と、鍵T1で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を電子機器30から受信し、当該暗号化された第1の情報を前記記憶された鍵T1で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、SAM40のデータの使用を伴う動作を電子機器30に許可する動作可否情報を鍵T1で暗号化して電子機器30に送信する第1の制御手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証装置、認証システム及びプログラムに関する。
【背景技術】
【0002】
従来、顧客との取引を行う端末が実施されている。端末としては、耐タンパモジュールを有する端末が考えられている(例えば、特許文献1参照)。耐タンパ性は、取引端末の筐体のこじ開けなどの不正アクセスから機密情報の漏洩を防止する能力である。耐タンパ性は、例えば、配線を樹脂で固めることで、配線からの信号盗聴を不可能にしたり、所定の検知手段により端末の筐体が開けられたことが検知されると、内部のフラッシュROM(Read Only Memory)やRAM(Random Access Memory)の内容を破壊する機能を付加することなどにより実現されている。
【0003】
このため、不正な第三者に耐タンパモジュールが開けられても、その中の記録媒体に記録されたデータを盗まれることがない。
【特許文献1】特開2003−16527号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、今日、電子機器(端末装置)を用いた取引等が広がりを見せており、従来の耐タンパ性を有する端末よりもセキュリティを高める要請がある。
【0005】
例えば、音楽や画像コンテンツの購入のための電子機器は、従来の店頭に設置されたクレジットカード端末とは台数も、その価格も異なる。このような端末は、利用者からは音楽/画像プレーヤに見えるが、コンテンツを購入/決済可能という意味では取引端末装置である。
【0006】
また、プリペイドやクレジットを応用した小額電子決済方式は、従来型の取引端末装置の応用範囲を広げ、その設置台数が増加するとともに電子機器自体の価格も引き下げられつつある。このような電子機器は、価格が低下し入手しやすくなるとともにリバースエンジニアリングの対象になりやすいという特性を持つ。従って、筐体をこじ開けてもその電子機器そのものは利用する必要がなく、その解析結果を用いて他の電子機器に細工を施すというような事態が想定できるようになってきている。
【0007】
このため、低価格な電子機器であっても、従来の構成を凌ぐ、強力な耐タンパー性とセキュリティ対策との要請がある。
【0008】
本発明の課題は、セキュリティを高めるとともに、排除したい端末の動作を確実に排除することである。
【課題を解決するための手段】
【0009】
上記課題を解決するために、請求項1に記載の発明の認証装置は、
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段と、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段と、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段と、
を備える。
【0010】
請求項2に記載の発明の認証システムは、請求項1に記載の認証装置において、
前記耐タンパモジュール及び前記端末装置と、を備え、
前記耐タンパモジュールは、
前記第1の鍵を含むデータを記憶する第2の記憶手段と、
情報の暗号化又は復号化を行う暗号演算手段と、
第1の情報を前記暗号演算手段に前記第1の鍵で暗号化させ、当該暗号化された第1の情報を前記端末装置に送出する第2の制御手段と、を備え
前記端末装置は、
前記認証装置と通信を行う第2の通信手段と、
前記暗号化された第1の情報を前記耐タンパモジュールから取得して第2の情報とともに前記第1の通信手段を介して前記認証装置に送信し、前記暗号化された動作可否情報を前記認証装置から受信し、当該暗号化された動作可否情報を前記耐タンパモジュールに送出する第3の制御手段と、を備え、
前記第2の制御手段は、前記暗号化された動作可否情報を前記端末装置から取得して前記暗号演算手段に前記第1の鍵で復号化させ、復号化された動作可否情報が動作許可であるか否かを判別し、動作許可である場合に、前記第2の記憶手段に記憶されたデータの使用を前記端末装置に許可設定する。
【0011】
請求項3に記載の発明は、請求項2に記載の認証システムにおいて、
前記第1の制御手段は、前記一致した第1の情報が、当該第1の情報の送信元の端末装置及び前記認証装置の関係に関する第3の情報に対応するか否かを判別し、当該第3の情報に対応する場合に、前記動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する。
【0012】
請求項4に記載の発明は、請求項2又は3に記載の認証システムにおいて、
前記第1の制御手段は、前記第2の情報に対応した第1の情報が、当該第1の情報の送信元の端末装置及び前記認証装置の関係に関する第3の情報に対応するか否かを判別し、当該第3の情報に対応する場合に、前記動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する。
【0013】
請求項5に記載の発明は、請求項4に記載の認証システムにおいて、
前記端末装置は、前記認証装置と接続されて前記第3の情報を有する外部機器に接続され、
前記第1の制御手段は、前記第3の情報を前記外部機器から取得する。
【0014】
請求項6に記載の発明は、請求項2から5のいずれか一項に記載の認証システムにおいて、
前記端末装置は、
第3の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可された場合に、処理に用いる第4の情報が前記第3の記憶手段に記憶されているか否かを判別し、当該第4の情報が記憶されていない場合に、前記第2の通信手段を介して、当該第4の情報の要求を前記認証装置に送信して当該第4の情報を受信し、
前記第1の制御手段は、前記第1の通信手段を介して、前記第4の情報の要求を前記端末装置から受信すると当該第4の情報を当該端末装置に送信する。
【0015】
請求項7に記載の発明は、請求項2から6のいずれか一項に記載の認証システムにおいて、
前記端末装置に接続される第4の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可された場合に、各種処理を行い、各種処理結果のデータを前記第4の記憶手段に記憶させる。
【0016】
請求項8に記載の発明は、請求項6又は7に記載の認証システムにおいて、
前記第1の記憶手段は、前記第4の情報を前記端末装置に提供することを許可するか否かを示す提供可否情報を記憶し、
前記第1の制御手段は、前記第1の記憶手段に記憶された提供可否情報に基づいて前記第4の情報が提供許可であるか否かを判別し、提供許可である場合に、動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する。
【0017】
請求項9に記載の発明のプログラムは、
コンピュータを、
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報が前記第2の情報に対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段、
として機能させる。
【発明の効果】
【0018】
本発明によれば、耐タンパモジュールによりセキュリティを高めることができるとともに、動作可否情報により排除したい端末装置の動作を確実に排除できる。
【発明を実施するための最良の形態】
【0019】
以下、添付図面を参照して本発明に係る好適な第1の実施の形態及び変形例並びに第2、第3の実施の形態を詳細に説明する。なお、本発明は、図示例に限定されるものではない。
【0020】
(第1の実施の形態)
図1〜図8を参照して、本発明に係る第1の実施の形態を説明する。先ず、図1〜図4を参照して、本実施の形態の装置構成を説明する。図1に、本実施の形態の認証システムとしての決済システム1の構成を示す。
【0021】
図1に示すように、決済システム1は、認証装置としてのセンタサーバ10と、端末装置としての電子機器30と、耐タンパモジュールとしてのSAM(Secure Application Module)40と、を備えて構成される。センタサーバ10は、通信ネットワークNを介して電子機器30と通信接続されている。電子機器30は、SAM40と通信接続されている。
【0022】
決済システム1では、例えば、店舗等に、電子機器30、SAM40が設置され、カード会社等のセンタサーバ10に管理される。カード情報を有するカード情報を有するクレジットカード等のIC(Integrated Circuit)カードにより顧客が商品購入の決済をする場合に、電子機器30でICカードの情報を読み取りセンタサーバ10に送信する。センタサーバ10は、ICカードの認証後に決済処理を行う。本実施の形態では、電子機器30、SAM40の認証を行い、正当な電子機器30、SAM40である場合に、ICカードの認証等を含む決済処理を行う。
【0023】
SAM40は、耐タンパ性を有するモジュールであり、中に記憶しているデータを第三者が読み取り又は変更しようとする異常状態を検出し、異常検出時に、その記憶しているデータを自動的に消去する。また、SAM40は、異常検出時に、SAM40自体の動作を停止させる構成等としてもよい。通信ネットワークNは、例えば、WAN(Wide Area Network)とするが、LAN(Local Area Network)等の通信ネットワークとしてもよく、電話回線、専用線、移動体通信網、通信衛星網、CATV(Cable Television)回線、インターネットプロバイダ等を含めてもよい。
【0024】
次いで、センタサーバ10の内部構成を説明する。図2に、センタサーバ10の内部構成を示す。
【0025】
図2に示すように、センタサーバ10は、第1の制御手段としてのCPU(Central Processing Unit)11と、入力部12と、RAM13と、表示部14と、第1の記憶手段としての記憶部15と、第1の通信手段としての通信部16と、を備えて構成され、各部がバス17を介して接続される。
【0026】
CPU11は、センタサーバ10の各部を中央制御する。CPU11は、記憶部15に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM13に展開し、RAM13に展開されたプログラムとの協働で、各種処理を実行する。
【0027】
CPU11は、第1の端末管理プログラムとの協働で、暗号化された第1の情報としての暗号化端末ID及び第2の情報としての端末IDを電子機器30から受信し、暗号化端末IDを鍵T1で復号化し、復号化した端末ID及び受信した端末IDが一致し且つ許可情報が許可であるか否かを判別し、端末IDが一致し許可情報が許可である場合に、動作OK情報を鍵T1で暗号化して電子機器30に送信する。
【0028】
入力部12は、カーソルキー、文字、数字入力キー及び各種機能キーなどを備えたキーボードを含む構成とし、操作者により各キーが押下された操作信号をCPU11に出力する。また、入力部12は、マウス等のポインティングデバイスを含み、位置入力信号を受け付けてCPU11に送信することとしてもよい。
【0029】
RAM13は、揮発性のメモリであり、実行される各種プログラムやこれら各種プログラムに係るデータ等を格納するワークエリアを有し、その情報を一時的に格納する。
【0030】
表示部14は、LCD(Liquid Crystal Display)、CRT(Cathode Ray Tube)等で構成され、CPU11からの表示信号に従って画面表示を行う。
【0031】
記憶部15は、磁気記録媒体を有するHDD(Hard Disk Drive)等により構成され、各種プログラム及び各種データを記録媒体から読み出し及び書き込み可能に記憶する。
【0032】
また、記憶部15は、第1の端末管理プログラムと、後述する認証テーブル151と、鍵T1と、を記憶する。
【0033】
通信部16は、モデム、TA(Terminal Adapter)、ルータ、ネットワークカード等により構成され、接続される通信ネットワークN上の電子機器30等の外部機器と情報を送受信する。
【0034】
次いで、電子機器30の構成を説明する。図3に、電子機器30の内部構成を示す。
【0035】
図3に示すように、電子機器30は、第3の制御手段としてのCPU31と、入力部32と、RAM33と、表示部34と、第3の記憶手段としてのフラッシュメモリ35と、第2の通信手段としての通信部36と、接続部37と、カードリーダ38と、接続部39と、を備えて構成され、各部がバス39aを介して接続される。
【0036】
CPU31、入力部32、RAM33については、センタサーバ10のCPU11、入力部12、RAM13の構成と同様であり、異なる部分を主として説明する。
【0037】
CPU31は、フラッシュメモリ35に記憶された第1の情報処理プログラムとの協働で、端末IDを取得し鍵T1で暗号化させ、暗号化端末ID及び端末IDをセンタサーバ10に送信し、センタサーバ10から暗号化情報を受信してSAM40に鍵T1で復号化させ、SAM使用許可が設定された場合に、SAM40のデータ(鍵D1,R)を用いて、プログラム、暗号化データd1等のデータを復号化して各種処理を行う。
【0038】
入力部32は、数字入力キー及び各種機能キーなどを備えたキーパッドを含む構成とし、操作者により各キーが押下された操作信号をCPU31に出力する。表示部34は、LCD等で構成され、CPU31からの表示信号に従って画面表示を行う。また、入力部32は、表示部34と一体的にタッチパネルを構成することとしてもよい。
【0039】
フラッシュメモリ35は、各種プログラム及び各種データを読み出し及び書き込み可能に記憶する。フラッシュメモリ35は、第1の情報処理プログラムと、鍵D1で暗号化された暗号化データd1と、を記憶する。
【0040】
通信部36は、通信制御部により構成され、通信ネットワークNを介してセンタサーバ10と情報を送受信する。
【0041】
接続部37は、ソケット等から構成され、SAM40が接続され、CPU31の指示により、接続されたSAM40と情報を送受信する。
【0042】
カードリーダ38は、図示しないCPU、RAM、ROM、フラッシュメモリ、接続部等を備える。カードリーダ38において、ROMから読み出されRAMに展開されたプログラムとCPUとの協働で各種処理を実行する。また、接続部は、接続されたICカード60の情報を読み取る。カードリーダ38において、フラッシュメモリには、後述する鍵Rが記憶されており、CPUは、ICカード60から読み出した情報を、鍵Rを使って暗号化し、暗号化した情報を電子機器30を介してSAM40に送信する。
【0043】
ICカード60は、各顧客が有する決済用の記録媒体としてのカードである。ICカード60は、接触式又は非接触式のカードであり、各ICカードでユニークなカード情報を記憶するICチップを備える。決済用の記録媒体としては、ICカード60に代えて、磁気カード、生体認証カード等、他の記録媒体としてもよい。
【0044】
接続部39は、ソケット等から構成され、メモリカード70が接続され、CPU31の指示により、接続されたメモリカード70に記録された各種情報の読み出しや、情報の書き込みを行う。
【0045】
次いで、SAM40の構成を説明する。図4に、SAM40の内部構成を示す。
【0046】
図4に示すように、SAM40は、第2の制御手段としてのCPU41と、暗号演算手段としての暗号演算部42と、RAM43と、異常検出部44と、ROM45と、通信部46と、第2の記憶手段としてのフラッシュメモリ47と、を備えて構成され、各部がバス48を介して接続される。
【0047】
CPU41、RAM43、フラッシュメモリ47については、電子機器30のCPU31、RAM33、フラッシュメモリ35の構成と同様であり、異なる部分を主として説明する。
【0048】
CPU41は、ROM45やフラッシュメモリ47に記憶されたプログラムとの協働で、各種処理を実行する。例えば、CPU41は、異常検出部44により異常が検出された場合に、RAM43及びフラッシュメモリ47に記憶された情報を破壊(消去)する。また、CPU41は、フラッシュメモリ47に記憶された鍵を用いて、暗号演算部42により情報を暗号化又は復号化させる。
【0049】
また、CPU41は、第1のSAM使用許可プログラムとの協働で、電子機器30から送信された暗号化情報を鍵T1で復号化し、暗号化情報が動作OK情報であるか否かを判別し、動作OK情報である場合に、電子機器30の動作(認証)(SAM40のデータ(鍵T1,D1,R)の使用)を許可設定する。
【0050】
暗号演算部42は、CPU41の指示により、フラッシュメモリ47に記憶された鍵を用いて、各種情報を暗号化し、また暗号化された各種情報を復号化する。
【0051】
異常検出部44は、例えば、電圧センサ、温度センサ、光センサ等の少なくとも一つを備え、善意又は悪意によらず第三者がSAM40のデータを読み取ろうと又は変更しようとする際の異常電圧、異常温度、異常光量等を検出し、その異常の旨を示す検出信号をCPU41に出力する。
【0052】
ROM45には、書き換えが不要であるデータが予め記憶されている。例えば、SAM40のシステムプログラムである。
【0053】
通信部46は、通信制御部により構成され、有線又は無線で電子機器30と通信接続して情報を送受信する。
【0054】
フラッシュメモリ47は、各種プログラム及び各種データを読み出し又は書き込み可能に記憶する。フラッシュメモリ47に代えてEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリを用いる構成としてもよい。
【0055】
フラッシュメモリ47は、第1のSAM使用許可プログラムと、鍵T1,D1,Rと、を記憶する。第1のSAM使用許可プログラムは、ROM45に記憶される構成としてもよい。
【0056】
次に、図5及び図6を参照して、決済システム1の各装置に記憶される情報を説明する。図5に、決済システム1の各装置に記憶される情報を示す。図6に、認証テーブル151の構成を示す。
【0057】
図5に示すように、決済システム1において、センタサーバ10の記憶部15には、鍵T1が記憶されている。鍵T1は、センタサーバ10が電子機器30を認証するための鍵であり、電子機器ごとにユニークな鍵である。
【0058】
電子機器30のカードリーダ38には、内部のフラッシュメモリに鍵Rが記憶されている。鍵Rは、カードリーダ38が電子機器30を認証するための鍵である。
【0059】
電子機器30のフラッシュメモリ35には、鍵D1で暗号化された暗号化データd1が記憶されている。鍵D1は、電子機器30にあるデータを暗号化または復号化するための鍵である。暗号化データd1は、例えば、決済処理に使用されるカード判別データである。カード判別データは、ICカード60の機能を判別したり、ICカードのカード情報のリストを含み、使えないICカードを判定するための情報である。SAM40には、フラッシュメモリ47に鍵T1と、鍵Rと、鍵D1と、端末ID201と、が記憶されている。端末IDとは、電子機器毎にユニークな識別情報である。
【0060】
各鍵の暗号化及び復号化には、互いに相応する鍵を用いて行われる。例えば、ある鍵を用いて情報を暗号化した場合に、その鍵に相応する鍵を用いると暗号化された情報の復号化が可能となる。本実施の形態では、暗号化する鍵と、復号化する鍵とが、同一である共通の共通鍵方式で暗号化及び復号化するものとして説明する。しかし、公開鍵方式や、セション鍵方式等の方式で暗号化及び復号化する構成としてもよい。公開鍵方式では、公開鍵と秘密鍵のペアが互いに相応する鍵となる。
【0061】
また、図6に示すように、センタサーバ10の記憶部15には、電子機器の管理情報としての認証テーブル151が記憶される。認証テーブル151は、ログインID152と、端末ID153と、鍵154と、許可情報155と、を有する。
【0062】
ログインID152は、電子機器毎にユニークなログインIDである。ログインID101は、電子機器30に付与された端末IDとする。端末ID153は、電子機器毎にユニークな端末IDである。端末ID201は、電子機器30Aに付与された端末IDとする。鍵154は、電子機器毎の認証用の鍵を特定する情報である。許可情報155は、電子機器の動作が許可されているか否かを示す情報である。
【0063】
例えば、電子機器が故障する等で、センタサーバ10側にユーザから連絡があった場合や、電子機器の契約者とセンタサーバ10側の会社との契約が完了してない又は切れている場合等に、センタサーバ10側で許可情報155が動作不許可に設定される。逆に、センタサーバ10側に動作すべきでない旨の連絡がない場合や、電子機器の契約者とセンタサーバ10側の会社との契約が完了しており切れていない場合に、許可情報155が動作許可に設定される。
【0064】
以下、電子機器30のログインID152、端末ID153、鍵154、許可情報155は、順に、ログインID101、端末ID201、鍵T1、動作許可、に設定されているものとする。
【0065】
次に、図7及び図8を参照して、決済システム1の動作を説明する。図7に、第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理の流れを示す。図8に、図7の第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理の続きの流れを示す。また、各処理の実行前に、ログインIDを用いた電子機器30からセンタサーバ10へのログイン処理が行われるものとするが、その説明を省略する。
【0066】
センタサーバ10で実行される第1の端末管理処理を説明する。センタサーバ10において、例えば、通信部16を介して、暗号化端末IDと、端末IDと、が電子機器30から受信開始されたことをトリガとして、記憶部15から読み出されて適宜RAM13に展開された第1の端末管理プログラムとCPU11との協働で、第1の端末管理処理が実行される。
【0067】
先ず、ステップS11において、通信部16を介して、暗号化端末IDと、端末IDと、が電子機器30から受信され、記憶部15から認証テーブル151が読み出される。そして、認証テーブル151が参照され、受信した端末ID153に対応する鍵154が特定され、特定された鍵(ここでは鍵T1)が記憶部15から読み出される。そして、読み出された鍵を用いて暗号化端末IDが復号化される(ステップS11)。
【0068】
そして、復号化した端末IDと、受信した端末IDとが比較され、同一であるか否かにより、ステップS11の復号がOKであるか否かが判別される(ステップS12)。復号OKである場合(ステップS12;YES)、認証テーブル151が参照され、対応する端末IDの許可情報155が許可であるか否かが判別される(ステップS13)。
【0069】
許可されている場合(ステップS13;YES)、電子機器動作OK(認証許可)の旨のOK信号が生成されて、動作OKの端末(電子機器30)に対応する鍵(ここでは鍵T1)を用いてOK信号が暗号化され、暗号化OK信号として通信部16を介して電子機器30に送信され(ステップS14)、第1の端末管理処理が終了する。OK情報は、電子機器30にSAM40のデータの使用を伴う動作を許可する旨の信号である。
【0070】
復号OKでない場合(ステップS12;NO)、又は許可されていない場合(ステップS13;NO)、電子機器動作拒否(認証拒否)の旨の拒否信号が生成されて、動作拒否の端末(電子機器30)に対応する鍵(ここでは鍵T1)を用いて拒否信号が暗号化され、暗号化拒否信号として通信部16を介して電子機器30に送信され(ステップS15)、第1の端末管理処理が終了する。拒否情報は、電子機器30にSAM40のデータの使用を伴う動作を拒否する旨の信号である。
【0071】
次いで、電子機器30で実行される第1の情報処理を説明する。電子機器30において、例えば、電源投入されたことをトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された第1の情報処理プログラムとCPU31との協働で、第1の情報処理が実行される。
【0072】
先ず、ステップS21において、接続部37を介して、SAM40に端末IDの要求が送信され、その端末IDがSAM40から受信される(ステップS21)。そして、接続部37を介して、受信された端末IDが暗号化のためにSAM40に送信され、暗号化端末IDをSAM40から受信する(ステップS22)。そして、ステップS11に対応して、通信部36を介して、端末IDと、暗号化端末IDとがセンタサーバ10へ送信される(ステップS23)。
【0073】
そして、ステップS14又はS15に対応して、通信部36を介して、暗号化OK信号又は暗号化拒否信号をセンタサーバ10から受信して、接続部37を介して、暗号化OK信号又は暗号化拒否信号がSAM40に送信される(ステップS24)。
【0074】
そして、フラッシュメモリ35、カードリーダ38に記憶され、SAM40に記憶される鍵で暗号化された所望のプログラム及びデータの少なくとも一つが読み出され、接続部37を介して、暗号化されたプログラム及びデータの少なくとも一つがSAM40に送信され、復号化されたプログラム及びデータがSAM40から受信される(ステップS25)。そして、復号化されたプログラム及びデータを用いて各種処理が実行される(ステップS26)。
【0075】
ステップS25,S26では、例えば、カードリーダ38によりICカード60から読み出されたカード情報が、鍵Rで暗号化されて電子機器30に送信される。そして、入力部32で暗証番号等の暗証情報が入力される。電子機器30において、鍵Rで暗号化されたカード情報がSAM40に送信される。SAM40でカード情報が鍵Rで復号化され、電子機器30に送信される。そして、ステップS26で、復号化されたカード情報と、暗証番号とがSAM40に送信されて鍵T1で暗号化され、購入した商品代金の情報等とともに決済情報としてセンタサーバ10に端末IDとともに送信される。そして、センタサーバ10で受信された決済情報のカード情報及び暗証番号が、端末IDに対応する鍵T1で復号化される。そのカード情報及び暗証番号を用いて、ICカードが正当であると認証された場合に、決済情報の代金情報を用いて決済処理が実行される。センタサーバ10の決済結果は、電子機器30に送信される。
【0076】
また、ステップS25,S26では、例えば、フラッシュメモリ35に記憶された使用していないカード情報の暗号化データd1がSAM40に送信される。SAM40で暗号化データd1が鍵D1で復号化され、その復号化データを用いて、上記鍵Rで復号化されたカード情報が使用していないものであるか判別され、使用していないものである場合に、そのICカード60の決済が禁止に設定される。
【0077】
ステップS26の実行後、セキュリティを守るため、復号化されたプログラム及びデータの少なくとも一つが消去され(ステップS27)、第1の情報処理が終了する。
【0078】
次いで、SAM40で実行される第1のSAM使用許可処理を説明する。SAM40において、例えば、ステップS21に対応して、通信部46を介して、端末ID要求を電子機器30から受信開始したことをトリガとして、フラッシュメモリ47から読み出されて適宜RAM43に展開された第1のSAM使用許可プログラムとCPU41との協働で、第1のSAM使用許可処理が実行される。
【0079】
先ず、通信部46を介して、端末ID要求が電子機器30から受信され、フラッシュメモリ47から端末IDが読み出されて電子機器30に送信される(ステップS31)。そして、ステップS22に対応して、通信部46を介して、端末IDが電子機器30から受信され、フラッシュメモリ47から電子機器30認証用の鍵(ここでは鍵T1)が読み出され、端末IDが読み出した鍵で暗号演算部42を介して暗号化され暗号化端末IDとして電子機器30に送信される(ステップS32)。
【0080】
そして、ステップS24に対応して、通信部46を介して、暗号化OK信号又は暗号化拒否信号が電子機器30から受信され、鍵(ここでは鍵T1)で暗号演算部42を介して復号化される(ステップS33)。そして、ステップS33で復号化された信号がOK信号であるか否かにより、電子機器30の動作がOKであるか否かが判別される(ステップS34)。電子機器30の動作がOKである場合(ステップS34;YES)、SAM40のデータが使用許可に設定される(ステップS35)。SAM40のデータの使用許可の旨の信号は、電子機器30に送信される構成としてもよい。
【0081】
そして、ステップS25に対応して、通信部46を介して、暗号化されたプログラム及びデータの少なくとも一つが電子機器30から受信され、フラッシュメモリ47から鍵R又は鍵D1が読み出される。そして、暗号化されたプログラム及びデータの少なくとも一つが暗号演算部42を介して鍵(ここでは鍵R又は鍵D1)で復号化されて電子機器30に送信され(ステップS36)、第1のSAM使用許可処理が終了する。
【0082】
ステップS33で復号化された信号が拒否信号である、又は復号に失敗し、電子機器30の動作がOKでない場合(ステップS34;NO)、SAM40のデータ使用禁止が設定され(ステップS37)、第1のSAM使用許可処理が終了する。SAM40のデータの使用不許可の旨の信号は、電子機器30に送信される構成としてもよい。
【0083】
センタサーバ10が許可を出していない場合に鍵D1,Rを使用できないため、電子機器30のCPU31は、鍵D1,Rを用いた動作を行うことができない。このため、悪意を持って電子機器30からクレジットカード等の番号を盗もうとしても、電子機器30は動作しないので悪意から防御することが可能である。
【0084】
以上、本実施の形態によれば、SAM40を中心にセキュリティを構築する。このため、従来のものより格段にセキュリティを高めることができる。従来型の、筐体の開封センサでは安いドリルでセンサをバイパスできるのに対し、SAM40の半導体のサブミクロンレベルで対策を施されたものを解析するには高価な専用機器と技術力が必要になるためである。
【0085】
加えて、強力なセキュリティ機能を備えたSAM40内の鍵T1に相対するセンタサーバ10の鍵T1を用いて電子機器30の動作の可否を制御する。このため、排除したい電子機器の動作を確実に排除できる。この構成により、電子機器の不正使用、不正流用、解析の試みを阻止できるとともに、契約が終了した電子機器や廃棄された電子機器を確実に動作禁止にすることができる。
【0086】
また、SAM40により電子機器30で使用する鍵を管理する。このため、悪意のあるSAM40内の鍵の解析の試みを確実に防御できる。加えて、センタサーバ10の許可がなければそれらの鍵の使用の試みすらできない。このため、SAM40が物理的な耐タンパー性を持っている上、電流・電力解析も防御できている。
【0087】
また、鍵D1,Rにより、SAM40と、SAM40外(例えば電子機器30内)とのデータの鍵の組み合わせが特定される。このため、第三者のデータを紛れ込ませることができなくなる。例えば、SAM40外のデータをねつ造して不正な利益を得ようとするような試みが阻止できる。万一、SAM40内の一つの鍵の解読に成功したとしても、その鍵はその電子機器でしか利用できない。このため、他の電子機器とその利用に影響を与えずに済む。
【0088】
また、上記構成により、パスワードなどによる本人確認に頼らなくてもセキュリティが確保でき、業務システム構築上わずらわしいパスワードの管理を不要にしている。
【0089】
なお、鍵T1は、1組である必要はなく、必要な確認・認証を実現するために1つの電子機器に数組使用されることもあり、以下、同様である。
【0090】
(変形例)
図9〜図11を参照して、上記第1の実施形態の変形例を説明する。先ず、図9を参照して、本実施の形態の装置構成を説明する。図9に、本変形例の決済システム2の構成を示す。
【0091】
図9に示すように、決済システム2は、センタサーバ10aと、電子機器30A〜30Cと、SAM40A〜40Cと、を備えて構成される。センタサーバ10aは、通信ネットワークNを介して電子機器30A〜30Cと通信接続される。電子機器30Aは、SAM40Aと通信接続される。電子機器30Bは、SAM40Bと通信接続される。電子機器30Cは、SAM40Cと通信接続される。
【0092】
本変形例では、電子機器及びSAMの組み合わせが3系統ある構成を説明するが、2系統又は4系統以上としてもよい。
【0093】
センタサーバ10a、電子機器30A〜30C、SAM40A〜40Cは、それぞれ、第1の実施の形態のセンタサーバ10、電子機器30、SAM40と同様であり、異なる部分を主として説明する。
【0094】
センタサーバ10aの記憶部15は、後述する認証テーブル151aと、鍵T1,T2と、を記憶する。電子機器30A〜30Cのフラッシュメモリ35内のデータ、SAM40A〜40Cのフラッシュメモリ47内のデータは、後述する。
【0095】
次に、図10及び図11を参照して、決済システム2の各装置に記憶される情報を説明する。図10に、決済システム2の各装置に記憶される情報を示す。図11に、認証テーブル151aの構成を示す。
【0096】
図10においては、鍵Rは省略されている。鍵Rは、SAM40A〜40Cにそれぞれ格納される。また、鍵Rは、電子機器(SAM)毎にユニークな鍵が好ましく、以下同様である。
【0097】
図10に示すように、決済システム2において、センタサーバ10aの記憶部15には、鍵T1,T2が記憶されている。鍵T1,T2は、センタサーバ10aが電子機器30A,30Bを認証するための鍵である。
【0098】
電子機器30Aのフラッシュメモリ35には、鍵D1で暗号化された暗号化データd1が記憶されている。鍵D1は、電子機器30Aにあるデータを暗号化または復号化するためのデータである。SAM40Aには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、が記憶されている。端末ID201は、電子機器30Aに付与された端末IDとする。
【0099】
電子機器30Bのフラッシュメモリ35には、鍵D2で暗号化された暗号化データd1が記憶されている。鍵D2は、電子機器30Bにあるデータを暗号化または復号化するためのデータである。SAM40Bには、フラッシュメモリ47に鍵T2と、鍵D2と、端末ID202と、が記憶されている。端末ID202は、電子機器30Aに付与された端末IDとする。
【0100】
電子機器30Cのフラッシュメモリ35には、鍵D2で暗号化された暗号化データd2が記憶されている。SAM40Cには、フラッシュメモリ47に鍵T1と、鍵D1と、端末ID201と、が記憶されている。つまり、悪意のある無しに関わらず、電子機器30C及びSAM40Cは、電子機器30BにSAM40Aを接続した構成と同等の構成の例である。
【0101】
また、図11に示すように、センタサーバ10aの記憶部15には、認証テーブル151aが記憶される。認証テーブル151aは、ログインID152と、端末ID153と、鍵154と、許可情報155と、を有する。ログインID,端末ID153、鍵154、許可情報155は、端末ID201,202に関し設定されているものとする。
【0102】
センタサーバ10aは、認証する電子機器に対応した図7及び図8に示される第1の端末管理処理を実行する。同様に、第1の情報処理及び第1のSAM使用許可処理は、電子機器30A及びSAM40Aと、電子機器30B及びSAM40Bと、電子機器30A及びSAM40Aとのいずれか一つの組み合わせにより実行される。このように、センタサーバ10aは、動作許可対象の電子機器及びSAMに対応した第1の端末管理処理を実行する。電子機器30A〜30Cは、第1の情報処理を実行する。SAM40A〜40Cは、第1のSAM使用許可処理を実行する。
【0103】
電子機器30A又は30Bで第1の情報処理が実行されると、センタサーバ10aで電子機器30A又は30Bが動作許可され、SAM40A又は40Bのデータ使用が許可され、暗号化データd1又はd2等を用いて、各種処理がなされる。しかし、電子機器30Cで第1の情報処理が実行されると、センタサーバ10aで電子機器30Cが動作許可され、SAM40Cのデータ使用が許可されるが、SAM40C内の鍵D1が電子機器30C内の鍵D2の暗号化データd3を復号化できない。このため、実質的に電子機器30Cは動作できない。このように、正しい設定のみでしか電子機器は動作しないのでICカード60の番号を盗みとろうとするような試みを防止することになる。
【0104】
以上、本変形例によれば、SAM40A〜40Cを中心にセキュリティを構築する。このため、従来のものより格段にセキュリティを高めることができる。加えて、強力なセキュリティ機能を備えたSAM40A〜40C内の鍵Tnに相対するセンタサーバ10aの鍵Tnを用いて電子機器の動作の利用可否を電子機器毎に制御する。このため、排除したい電子機器の動作を確実に排除できる。
【0105】
(第2の実施の形態)
図12〜図16を参照して、本発明に係る第2の実施の形態を説明する。図12に、本実施の形態の決済システム3の構成を示す。
【0106】
図12に示すように、決済システム3は、センタサーバ10bと、外部機器としてのECR(Electronic Cash Register)20A〜20Cと、電子機器30A〜30Cと、SAM40A〜40Cと、を備えて構成される。センタサーバ10bは、通信ネットワークNを介してECR20A〜20Cと通信接続される。電子機器30Aは、ECR20A及びSAM40Aと通信接続される。電子機器30Bは、ECR20B及びSAM40Bと通信接続される。電子機器30Cは、ECR20C及びSAM40Cと通信接続される。
【0107】
本実施の形態では、ECR、電子機器及びSAMの組み合わせが3系統ある構成を説明するが、3系統以外の系統数としてもよい。
【0108】
センタサーバ10b、電子機器30A〜30C、SAM40A〜40Cは、それぞれ、第1の実施の形態のセンタサーバ10、電子機器30、SAM40と同様であり、異なる部分を主として説明する。
【0109】
センタサーバ10bの記憶部15は、第2の端末管理プログラムと、後述する認証テーブル151bと、鍵T1,T2と、を記憶する。
【0110】
次いで、ECR20A〜20Cの構成を説明する。図13に、ECR20A〜20Cの内部構成を示す。
【0111】
図13に示すように、ECR20A〜20Cは、それぞれ、CPU21と、入力部22と、RAM23と、表示部24と、記憶部25と、通信部26と、プリント部27と、ドロア28と、接続部29と、を備えて構成され、各部がバス29aを介して接続される。
【0112】
CPU21、入力部22、RAM23、表示部24については、第1の実施の形態のセンタサーバ10のCPU11、入力部12、RAM13、表示部14の構成と同様であり、異なる部分を主として説明する。
【0113】
ECR20A〜20CのCPU21は、記憶部25に記憶されたログインプログラムとの協働で、センタサーバ10bにログインを行い、センタサーバ10bと電子機器30A〜30Cとの通信を中継する。
【0114】
入力部22は、カーソルキー、文字、数字入力キー及び各種機能キーなどを備えたレジ用のキーボードを含む構成とし、操作者により各キーが押下された操作信号をCPU21に出力する。表示部24は、LCD等で構成され、CPU21からの表示信号に従って画面表示を行う。また、入力部22は、表示部24と一体的にタッチパネルを構成することとしてもよい。
【0115】
記憶部25は、ROMやフラッシュメモリ等により構成される。記憶部25は、各種プログラム及び各種データを、ROMから読み出し可能に、又はフラッシュメモリから読み出し及び書き込み可能に記憶する。また、記憶部25は、HDD等により構成してもよい。また、記憶部25は、ログインプログラムを記憶する。
【0116】
通信部26は、ネットワークカード等の通信制御部により構成され、センタサーバ10bと通信ネットワークNを介して通信接続するとともに、有線又は無線で電子機器30A、30B又は30Cと通信接続し、センタサーバ10、電子機器30A、30B又は30Cと情報を送受信する。
【0117】
プリント部27は、例えば、サーマルプリンタであり、レシート用、ジャーナル用(商品登録内容の記録用)のロール紙を有し、CPU21から入力される指示に従って、各ロール紙に対して金額データ、店舗ロゴマーク等をプリントアウトする。
【0118】
ドロア28は、現金を収納する引出しであり、例えば、CPU21の指示により、引出しを開ける。
【0119】
接続部29は、ソケット等から構成され、メモリカード50A〜50Cが接続され、CPU21の指示により、接続されたメモリカード50A〜50Cに記録された各種情報の読み出しや、情報の書き込みを行う。ECR20A〜20Cの接続部29には、それぞれ、メモリカード50A〜50Cが接続されるものとする。
【0120】
メモリカード50A〜50Cは、例えば、半導体メモリを備え、各種情報を半導体メモリに読み出し及び書き込み可能に記憶するメモリカードである。
【0121】
電子機器30A〜30Cのフラッシュメモリ35は、第2の情報処理プログラムを記憶する。電子機器30A〜30Cの通信部36は、ECR20A〜20Cとの通信を介する構成とする。SAM40A〜40Cのフラッシュメモリ47は、第2のSAM使用許可プログラムを記憶する。フラッシュメモリ35及びフラッシュメモリ47の、プログラム以外の他の情報は、後述する。
【0122】
次に、図12及び図14を参照して、決済システム3の各装置に記憶される情報を説明する。図14に、認証テーブル151bの内部構成を示す。
【0123】
図12に示すように、決済システム3において、センタサーバ10bの記憶部15には、鍵T1,T2が記憶されている。
【0124】
ECR20Aには、接続部29を介してメモリカード50Aが接続される。メモリカード50Aには、ログインID101が記録されている。ログインIDは、ECR(電子機器)毎にユニークなIDである。ログインID101は、電子機器30Aに付与された端末IDとする。電子機器30Aのフラッシュメモリ35には、鍵D1で暗号化された暗号化データd1が記憶されている。また、SAM40Aには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、鍵R(図示略)と、が記憶されている。
【0125】
ECR20Bには、接続部29を介してメモリカード50Bが接続される。メモリカード50Bには、ログインID102が記録されている。ログインID102は、電子機器30Bに付与された端末IDとする。電子機器30Bのフラッシュメモリ35には、鍵D2で暗号化された暗号化データd2が記憶されている。また、SAM40Aには、フラッシュメモリ47に、鍵T2と、鍵D2と、端末ID202と、鍵R(図示略)と、が記憶されている。
【0126】
ECR20Cには、接続部29を介してメモリカード50Cが接続される。メモリカード50Cには、ログインID102が記録されている。電子機器30Cのフラッシュメモリ35には、鍵D1で暗号化された暗号化データd3が記憶されている。また、SAM40Cには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、鍵R(図示略)と、が記憶されている。つまり、悪意のある無しに関わらず、ECR20C、電子機器30C及びSAM40Cは、ECR20Bに電子機器30A及びSAM40Aを接続した構成と同等の構成の例である。
【0127】
また、図14に示すように、センタサーバ10bの記憶部15には、認証テーブル151bが記憶される。認証テーブル151bは、ログインID152と、端末ID153と、鍵154と、許可情報155と、を有する。電子機器のログインID152、端末ID153、鍵154、許可情報155は、端末ID201,202に関し設定されているものとする。
【0128】
ECR20A〜20Cは、非決済業務のためにセンタサーバ10bと通信路で接続されている。例えばECR20A〜20Cで商品コード及び商品名をセンタサーバ10bからダウンロードして利用する場合には、決済と比較して高度なセキュリティは不要であり、ECR20A〜20Cを識別するためのログインIDなどをメモリカード50A〜50Cに保持しておけば十分である。決済端末としての電子機器30A〜30Cは、別の通信路を使用する必要はなく、ECR20A〜20Cの通信路を利用して動作を行う。
【0129】
次に、図15及び図16を参照して、決済システム3の動作を説明する。図15に、第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理の流れを示す。図16に、図15の第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理の続きの流れを示す。ログイン処理、第2の情報処理、第2のSAM使用許可処理は、ECR20A、電子機器30A、SAM40Aの組み合わせ、ECR20B、電子機器30B、SAM40Bの組み合わせ、又はECR20C、電子機器30C、SAM40Cの組み合わせ、で実行される。
【0130】
センタサーバ10bで実行される第2の端末管理処理を説明する。センタサーバ10bにおいて、例えば、通信部16を介して、ログインIDがECRから受信開始されたことをトリガとして、記憶部15から読み出されて適宜RAM13に展開された第2の端末管理プログラムとCPU11との協働で、第2の端末管理処理が実行される。
【0131】
先ず、ステップS41において、通信部16を介して、ログインIDがECRから受信され、ログインIDに対応するECRが識別され、そのECRのログインが受け付けられる。そして、通信部16を介して、ログインOKの旨がログインID送信元のECRに送信され、通信が確立する(ステップS41)。ステップS42、S43は、第1の端末管理処理のS11,S12と同様である。
【0132】
復号化がOKである場合(S43;YES)、記憶部15から認証テーブル151bが読み出され、ステップS41で受信されたログインID152と、ステップS43で復号化された端末ID153とが整合(対応)しているか否かが判別される(ステップS44)。認証テーブル151bにおいて、ログインIDと端末IDとは一対一に対応するものとする。
【0133】
ログインIDと端末ID153とが整合している場合(ステップS44;YES)、ステップS45に移行される。ログインIDと端末ID153とが整合していない場合(ステップS44;NO)、ステップS47に移行される。ステップS45〜S47は、第1の端末管理処理のS13〜S15と同様である。ステップS47の実行後、第2の端末管理処理が終了する。
【0134】
次いで、ECR20A〜20Cで実行されるログイン処理を説明する。ECR20A〜20Cにおいて、例えば、入力部22を介してユーザ(店員等)からログイン処理の実行指示が入力されたことをトリガとして、記憶部25から読み出されて適宜RAM23に展開されたログインプログラムとCPU21との協働で、ログイン処理が実行される。
【0135】
先ず、ステップS51において、ステップS41に対応して、接続部29を介してメモリカード50A〜50Cに記録されたログインIDが読み出され、そのログインIDが通信部26を介してセンタサーバ10bに送信される。そして、ログインOKの旨が通信部26を介してセンタサーバ10bから受信され、通信が確立する(ステップS51)。
【0136】
そして、ステップS63,S42に対応して、通信部26を介して、電子機器から受信される端末ID及び暗号化端末IDがセンタサーバ10bに送信され、通信中継される(ステップS52)。そして、ステップS46又はS47及びS64に対応して、通信部26を介して、センタサーバ10bから受信された暗号化OK信号又は暗号化拒否信号が端末ID等の送信元の電子機器に送信され、通信中継され(ステップS53)、ログイン処理が終了する。
【0137】
次いで、電子機器30A〜30Cで実行される第2の情報処理を説明する。電子機器30A〜30Cにおいて、例えば、電源投入されたことをトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された第2の情報処理プログラムとCPU31との協働で、第2の情報処理処理が実行される。
【0138】
ステップS61〜S67は、第1の情報処理のステップS21〜S27と同様である。ステップS67の実行後、第2の情報処理が終了する。
【0139】
次いで、SAM40A〜SAM40Cで実行される第2のSAM使用許可処理を説明する。SAM40A〜SAM40Cにおいて、例えば、ステップS61に対応して、通信部46を介して、端末ID要求を電子機器30A〜30Cから受信開始したことをトリガとして、フラッシュメモリ47から読み出されて適宜RAM43に展開された第2のSAM使用許可プログラムとCPU41との協働で、第2のSAM使用許可処理が実行される。
【0140】
ステップS71〜S77は、第1のSAM使用許可処理のステップS31〜S37と同様である。ステップS77の実行後、第2のSAM使用許可処理が終了する。
【0141】
ステップS44により、ECRのログインIDと、SAMの端末IDとの組み合わせを確認することが可能である。例えば、ECR20A,電子機器30A及びSAM40Aの組み合わせ、ECR20B、電子機器30B及びSAM40Bの組み合わせ、では、ステップS44でログインIDと端末IDとの整合がとれ、電子機器が30A,30Bが動作許可され、SAM40A,40Bのデータ使用が許可される。
【0142】
しかし、ECR20C,電子機器30C及びSAM40Cの組み合わせでは、ステップS44でログインID102と端末ID201との整合がとれず、電子機器30Cが動作許可されず、SAM40Cのデータ使用が許可されない。つまり、正当なECR、電子機器及びSAMの組み合わせにおいて、悪意のある無しに関わらず別の、ログインIDが記憶された機器(ここではメモリカード)及び電子機器を、SAMに付け替えた場合のSAMのデータ使用を防ぐことができる。
【0143】
本実施の形態によれば、ECR20A〜20Cに電子機器30A〜30Cをそれぞれ接続して使用するようなケースでは、ECRと電子機器(SAM)との組み合わせをセンタサーバ10bでチェックできる。このため、契約外の使用や、不正な使用・流用を止めることができる。よって、不正に遺棄された(本来は返却されるべき)電子機器を流用しようとしても不可能であり、利用者の契約は守られることになる。また、本来認められない取引(フロアリミット超過等)を防いだりすることが可能である。また、センタサーバ10bがECRを介して電子機器(SAM)をチェックできる。
【0144】
また、第1の実施の形態よりも電子機器の動作条件を厳しくしている。このため、例えば廃棄された電子機器やSAMの利用の試みなどを確実に排除できる。本来、返却されなければならないこれらの電子機器やSAMの、想定外の状況への対策となっている。
【0145】
なお、本実施の形態では、第2の情報としてのログインIDがメモリカード50A〜50Cに記録されているものとしたが、特にメモリカードである必要も、ログインIDである必要もない。例えば、本実施の形態において、第3の情報として、ECR20A〜20Bの代わりにPC等の外部機器に登録された契約者情報等を使用しても良いし、接続のために使用したルータ等のネットワーク機器のMAC(Media Access Control)アドレス等を第3の情報として利用してその組み合わせを監視するようにしても、同様の効果が期待できる。
【0146】
(第3の実施の形態)
図17〜図20を参照して、本発明に係る第3の実施の形態を説明する。図17に、本実施の形態の決済システム4の構成を示す。
【0147】
図17に示すように、決済システム4は、センタサーバ10cと、電子機器30A〜30Cと、SAM40A〜40Cと、を備えて構成される。センタサーバ10cは、通信ネットワークNを介して電子機器30A〜30Cと通信接続される。電子機器30Aは、SAM40Aと通信接続される。電子機器30Bは、SAM40Bと通信接続される。電子機器30Cは、SAM40Cと通信接続される。
【0148】
本実施の形態では、電子機器及びSAMの組み合わせが3系統ある構成を説明するが、3系統以外の系統数としてもよい。
【0149】
センタサーバ10c、電子機器30A〜30C、SAM40A〜40Cは、それぞれ、第1の実施の形態のセンタサーバ10、電子機器30、SAM40と同様であり、異なる部分を主として説明する。
【0150】
電子機器30A〜30Cは、それぞれ第4の記憶手段としてのメモリカード70A〜70Cが接続される。センタサーバ10cの記憶部15は、第3の端末管理プログラムと、後述する認証テーブル151cと、鍵T1,T2,T3と、共有情報d10と、固有情報d11と、を記憶する。電子機器30A〜30Cのフラッシュメモリ35は、第3の情報処理プログラムを記憶する。SAM40A〜40Cのフラッシュメモリ47は、第3のSAM使用許可プログラムを記憶する。フラッシュメモリ35及びフラッシュメモリ47の、プログラム以外の情報と、メモリカード70A〜70Cに記憶される情報とは、後述する。
【0151】
次に、図17及び図18を参照して、決済システム4の各装置に記憶される情報を説明する。図18に、認証テーブル151cの内部構成を示す。
【0152】
図17に示すように、決済システム4において、センタサーバ10cの記憶部15には、鍵T1,T2,T3と、共有情報d10と、固有情報d11と、が記憶されている。
【0153】
鍵T3は、センタサーバ10cが電子機器30Cを認証するための鍵である。共有情報d10は、電子機器30A〜30Cで共有の情報である。共有情報d10は、例えば、ICカード60のカード情報のブラックリストである。固有情報d11は、電子機器30A〜30Cのそれぞれ固有に設定されている情報である。固有情報d11は、例えば、決済できるICカード60のカード種である。また、共有情報d10及び固有情報d11は、電子機器30A〜30Cに送信可能な情報であり、決済処理データ(例えば、カード判別情報)を構成する情報である。
【0154】
電子機器30Aのフラッシュメモリ35には、鍵D1で暗号化された決済処理データd4が記憶されている。また、電子機器30Aは、接続部39を介してメモリカード70Aが接続される。メモリカード70Aには、ログインID101と、売上データd7と、が記録されている。売上データd7は、電子機器30Aで生成され、鍵D1で暗号化されたデータである。また、SAM40Aには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、鍵R(図示略)と、が記憶されている。
【0155】
電子機器30Bのフラッシュメモリ35には、鍵D2で暗号化された決済処理データd5が記憶されている。また、電子機器30Bは、接続部39を介してメモリカード70Bが接続される。メモリカード70Bには、ログインID102と、売上データd8と、が記録されている。売上データd8は、決済に関する処理実行により電子機器30Aで生成され、鍵D1で暗号化された決済記録としてのデータである。また、SAM40Bには、フラッシュメモリ47に、鍵T2と、鍵D2と、端末ID202と、鍵R(図示略)と、が記憶されている。
【0156】
電子機器30Cのフラッシュメモリ35には、鍵D3で暗号化された決済処理データd6が記憶されている。また、電子機器30Cは、接続部39を介してメモリカード70Cが接続される。メモリカード70Cには、ログインID103と、売上データd9と、が記録されている。売上データd9は、電子機器30Aで生成され、鍵D1で暗号化されたデータである。また、SAM40Cには、フラッシュメモリ47に、鍵T3と、鍵D3と、端末ID203と、鍵R(図示略)と、が記憶されている。
【0157】
メモリカード70A〜70Cに記憶されるデータは、売上データd7〜d9の他に、買い物を返品されたときなどの取消処理で生成された取消記録でもよい。これらはメモリカード70A〜70Cに記録されているので、電子機器を別の代替機材に替えてもセンタサーバ10cに決済金を請求することが可能である。
【0158】
また、図18に示すように、センタサーバ10cの記憶部15には、認証テーブル151cが記憶される。認証テーブル151cは、ログインID152と、端末ID153と、鍵154と、第4の情報としての許可情報155と、電子機器30A〜30Cに対応する固有情報を特定するための固有情報156と、を有する。電子機器のログインID152、端末ID153、鍵154、許可情報155、固有情報156は、端末ID201,202,203に関し設定されているものとする。固有情報は、電子機器30A〜30Cにそれぞれ対応して、固有情報301〜303が設定されている。
【0159】
許可情報155は、本実施の形態では、電子機器が故障した場合に、その復旧処理を許可するか否かの情報、その代替機器を提供したか否かの情報などが含まれる。例えば、ある電子機器の復旧を許可し、代替機器を提供した場合に、許可情報155が動作許可に設定される。例えば、ある電子機器が故障しているとの連絡があり、代替機器を提供していない場合に、許可情報155が動作不許可に設定される。
【0160】
次に、図19及び図20を参照して、決済システム4の動作を説明する。図19に、第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理の流れを示す。図20に、図19の第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理の続きの流れを示す。第3の情報処理、第3のSAM使用許可処理は、電子機器30A、SAM40Aの組み合わせ、電子機器30B、SAM40Bの組み合わせ、又は電子機器30C、SAM40Cの組み合わせ、で実行される。また、電子機器30A〜30Cにおけるログイン処理の説明は省略する。
【0161】
センタサーバ10cで実行される第3の端末管理処理を説明する。センタサーバ10cにおいて、例えば、通信部16を介して、端末ID及び暗号化端末IDを受信開始したことをトリガとして、記憶部15から読み出されて適宜RAM13に展開された第3の端末管理プログラムとCPU11との協働で、第3の端末管理処理が実行される。
【0162】
ステップS81〜S85は、第1の端末管理処理のS11〜S15と同様である。そして、ステップS86において、通信部16を介して、決済処理データに対応するデータ要求が電子機器から受信されると、記憶部15から認証テーブル151cが読み出される。そして、決済処理データの構成に必要な共有情報d10と、データ要求送信元の端末ID153に対応する固有情報156に対応する固有情報d11と、が記憶部15から読み出され、読み出した共有情報及び固有情報がマージされる(ステップS86)。
【0163】
そして、通信部16を介して、ステップS86でマージされた共有情報及び固有情報が、データ要求送信元の電子機器に送信され(ステップS87)、第3の端末管理処理が終了する。
【0164】
次いで、電子機器30A〜30Cで実行される第3の情報処理を説明する。電子機器30A〜30Cにおいて、例えば、電源投入されたことをトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された第3の情報処理プログラムとCPU31との協働で、第3の情報処理処理が実行される。
【0165】
ステップS91〜S94は、第1の情報処理のステップS21〜S24と同様である。そして、フラッシュメモリ35に決済処理データが記憶されているか否かが判別される(ステップS95)。決済処理データが記憶されていない場合(ステップS95;NO)、ステップS86に対応して、通信部36を介して決済処理データに対応するデータのデータ要求がセンタサーバ10cに送信される(ステップS96)。
【0166】
そして、ステップS87に対応して、通信部36を介して、共有情報及び固有情報がセンタサーバ10bから受信され、共有情報及び固有情報に基づいて決済処理データが生成される(ステップS97)。生成された共有情報及び固有情報は、鍵Dn(n:1,2又は3)で暗号化されフラッシュメモリ35に記憶される。決済処理データが記憶されている場合(ステップS95;YES)、ステップS98に移行される。
【0167】
ステップS98〜S100は、第1の情報処理のステップS25〜S27と同様である。また、ステップS98、S99において、売上データd7〜d9は、鍵DnでSAM40A〜40Cにより復号化され、鍵Tnで暗号化されてセンタサーバ10cに送信される。センタサーバ10cは、暗号化された売り上げデータを電子機器30A〜30Cから受信して鍵Tnで復号化して記憶部15に記憶する。ステップS100の実行後、第3の情報処理が終了する。
【0168】
次いで、SAM40A〜SAM40Cで実行される第3のSAM使用許可処理を説明する。SAM40A〜SAM40Cにおいて、例えば、通信部46を介して、端末ID要求を電子機器30A〜30Cから受信開始したことをトリガとして、ROM45から読み出されて適宜RAM43に展開された第3のSAM使用許可プログラムとCPU41との協働で、第3のSAM使用許可処理が実行される。
【0169】
ステップS101〜S107は、第1のSAM使用許可処理のステップS31〜S37と同様である。ステップS107の実行後、第3のSAM使用許可処理が終了する。
【0170】
この結果、例えば、SAM40Cとメモリカード70Cとを除く部分の電子機器30Cが故障した場合、SAM40Cとメモリカード70Cとを代替の電子機器に差し替えることで復旧を行わせることが可能になる。代替の電子機器は、決済処理データd6をフラッシュメモリ35に記憶していないが、ステップS96,S97でセンタサーバ10cから共有情報及び固有情報をダウンロードして決済処理データd6を復元できる。SAM及びメモリカードの故障率は、他の部分に比べれば低いため、故障時の停止時間を大幅に少なくすることが可能である。
【0171】
本実施の形態によれば、電子機器が故障し、決済処理データを使用できなくても、電子機器の代替の電子機器が用意できれば、その電子機器の動作許可後に、決済処理データに対応する共有情報及び固有情報をセンタサーバ10cからダウンロードできる。このため、電子機器が故障しても、代替機材さえ用意できれば、決済システム4(電子機器)を即時に復旧でき、故障時の復旧を迅速化できる。
【0172】
また、許可情報155を参照して、代替機材を用意したことをセンタサーバ10cでチェックした上で復旧作業を許可する。このため、資格のある電子機器にのみ復旧データをダウンロード許可し、セキュリティ強度を高めることができる。
【0173】
また、電子機器で決済処理した処理結果の売上データd7〜d9は、メモリカード70A〜70Cに記憶する。このため、電子機器が故障しても処理結果のデータを保存でき、電子機器の復旧を容易にできる。
【0174】
なお、上記各実施の形態及び変形例における記述は、本発明に係る認証装置、認証システム及びプログラムの一例であり、これに限定されるものではない。
【0175】
上記実施の形態及び変形例では、SAMが電子機器から取り外せる構成としたが、取り外せなくてもセキュリティ強度上は同じである。
【0176】
また、例えば、上記実施の形態及び変形例で説明したこの電子機器を音楽プレーヤのようなものとすれば、この仕組みで契約者を特定するような用途にも使用できる。すなわち、センタサーバでオンライン販売の契約を確認できなければ楽曲のダウンロードを許可しない、というような形態も可能である。
【0177】
また、センタサーバは、電子機器に接続されたSAMの異常検出部44の動作情報、電池バックアップされているはずの情報の正当性チェック情報、電子機器を構成するコンポーネント類における認証可否情報、復号化したデータの正当性情報を、電子機器を介して入手し、管理上の判断材料とすることができる。
【0178】
また、上記各実施の形態及び変形例では、SAM内の鍵の暗号化及び復号化をSAM内で行う構成として説明したが、これに限定されるものではない。例えば、電子機器の動作許可後に、その電子機器内でSAMの鍵を用いて暗号化及び復号化可能な構成としてもよい。
【0179】
また、上記各実施の形態及び変形例では、電子機器(SAM)で第1の情報としての端末IDを鍵Tnで暗号化し、センタサーバに暗号化端末ID及び暗号化していない端末IDを送信する構成としたが、これに限定されるものではない。端末IDに代えて、他の情報を第1の情報とする構成としてもよい。
【0180】
さらに、鍵T1で暗号化した第1の情報と、当該第1の情報を識別するための第2の情報とを、電子機器からセンタサーバに送信し、センタサーバにおいて、受信した暗号化された第1の情報を鍵T1で復号化し、復号化した第1の情報と、受信した第2の情報とが対応するか否かを判別し、対応する場合に、暗号化OK信号を生成して電子機器に送信し、対応しない場合に、暗号化拒否信号を生成して電子機器に送信する構成としてもよい。この構成では、例えば、センタサーバが、第1の情報と第2の情報との対応関係を示すテーブル等のデータを記憶部15に記憶し、当該テーブルを参照して第1の情報と第2の情報とが対応するか否かを判別する構成としてもよい。第2の情報としては、例えば、電子機器、ECR等のログインID等の情報としてもよく、電子機器(SAM)側において他の鍵で暗号化した端末ID等の情報を第2の情報とする構成としてもよい。
【0181】
また、上記各実施の形態及び変形例のうちの少なくとも2つを適宜組み合わせる構成としてもよい。
【0182】
また、上記各実施の形態及び変形例における決済システム1〜4の各構成要素の細部構成及び細部動作に関しては、本発明の趣旨を逸脱することのない範囲で適宜変更可能であることは勿論である。
【図面の簡単な説明】
【0183】
【図1】本発明に係る第1の実施の形態の決済システム1の構成を示すブロック図である。
【図2】センタサーバ10の内部構成を示すブロック図である。
【図3】電子機器30の内部構成を示すブロック図である。
【図4】SAM40の内部構成を示すブロック図である。
【図5】決済システム1の各装置に記憶される情報を示す図である。
【図6】認証テーブル151の構成を示す図である。
【図7】第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理を示すフローチャートである。
【図8】図7の第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理の続きを示すフローチャートである。
【図9】第1の実施の形態の変形例の決済システム2の構成を示すブロック図である。
【図10】決済システム2の各装置に記憶される情報を示す図である。
【図11】認証テーブル151aの構成を示す図である。
【図12】本発明に係る第2の実施の形態の決済システム3の構成を示すブロック図である。
【図13】ECR20A〜20Cの内部構成を示すブロック図である。
【図14】認証テーブル151bの内部構成を示す図である。
【図15】第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理を示すフローチャートである。
【図16】図15の第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理の続きを示すフローチャートである。
【図17】本発明に係る第3の実施の形態の決済システム4の構成を示すブロック図である。
【図18】認証テーブル151cの内部構成を示す図である。
【図19】第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理のを示すフローチャートである。
【図20】図19の第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理の続きを示すフローチャートである。
【符号の説明】
【0184】
1,2,3,4 決済システム
10,10a,10b,10c センタサーバ
11 CPU
12 入力部
13 RAM
14 表示部
15 記憶部
16 通信部
17 バス
30,30A,30B,30C 電子機器
31 CPU
32 入力部
33 RAM
34 表示部
35 フラッシュメモリ
36 通信部
37 接続部
38 カードリーダ
39 接続部
39a バス
40,40A,40B,40C SAM
41 CPU
42 暗号演算部
43 RAM
44 異常検出部
45 ROM
46 通信部
47 フラッシュメモリ
48 バス
20A,20B,20C ECR
21 CPU
22 入力部
23 RAM
24 表示部
25 記憶部
26 通信部
27 プリント部
28 ドロア
29 接続部
29a バス
50A,50B,50C メモリカード
60 ICカード
70,70A,70B,70C メモリカード
【技術分野】
【0001】
本発明は、認証装置、認証システム及びプログラムに関する。
【背景技術】
【0002】
従来、顧客との取引を行う端末が実施されている。端末としては、耐タンパモジュールを有する端末が考えられている(例えば、特許文献1参照)。耐タンパ性は、取引端末の筐体のこじ開けなどの不正アクセスから機密情報の漏洩を防止する能力である。耐タンパ性は、例えば、配線を樹脂で固めることで、配線からの信号盗聴を不可能にしたり、所定の検知手段により端末の筐体が開けられたことが検知されると、内部のフラッシュROM(Read Only Memory)やRAM(Random Access Memory)の内容を破壊する機能を付加することなどにより実現されている。
【0003】
このため、不正な第三者に耐タンパモジュールが開けられても、その中の記録媒体に記録されたデータを盗まれることがない。
【特許文献1】特開2003−16527号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、今日、電子機器(端末装置)を用いた取引等が広がりを見せており、従来の耐タンパ性を有する端末よりもセキュリティを高める要請がある。
【0005】
例えば、音楽や画像コンテンツの購入のための電子機器は、従来の店頭に設置されたクレジットカード端末とは台数も、その価格も異なる。このような端末は、利用者からは音楽/画像プレーヤに見えるが、コンテンツを購入/決済可能という意味では取引端末装置である。
【0006】
また、プリペイドやクレジットを応用した小額電子決済方式は、従来型の取引端末装置の応用範囲を広げ、その設置台数が増加するとともに電子機器自体の価格も引き下げられつつある。このような電子機器は、価格が低下し入手しやすくなるとともにリバースエンジニアリングの対象になりやすいという特性を持つ。従って、筐体をこじ開けてもその電子機器そのものは利用する必要がなく、その解析結果を用いて他の電子機器に細工を施すというような事態が想定できるようになってきている。
【0007】
このため、低価格な電子機器であっても、従来の構成を凌ぐ、強力な耐タンパー性とセキュリティ対策との要請がある。
【0008】
本発明の課題は、セキュリティを高めるとともに、排除したい端末の動作を確実に排除することである。
【課題を解決するための手段】
【0009】
上記課題を解決するために、請求項1に記載の発明の認証装置は、
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段と、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段と、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段と、
を備える。
【0010】
請求項2に記載の発明の認証システムは、請求項1に記載の認証装置において、
前記耐タンパモジュール及び前記端末装置と、を備え、
前記耐タンパモジュールは、
前記第1の鍵を含むデータを記憶する第2の記憶手段と、
情報の暗号化又は復号化を行う暗号演算手段と、
第1の情報を前記暗号演算手段に前記第1の鍵で暗号化させ、当該暗号化された第1の情報を前記端末装置に送出する第2の制御手段と、を備え
前記端末装置は、
前記認証装置と通信を行う第2の通信手段と、
前記暗号化された第1の情報を前記耐タンパモジュールから取得して第2の情報とともに前記第1の通信手段を介して前記認証装置に送信し、前記暗号化された動作可否情報を前記認証装置から受信し、当該暗号化された動作可否情報を前記耐タンパモジュールに送出する第3の制御手段と、を備え、
前記第2の制御手段は、前記暗号化された動作可否情報を前記端末装置から取得して前記暗号演算手段に前記第1の鍵で復号化させ、復号化された動作可否情報が動作許可であるか否かを判別し、動作許可である場合に、前記第2の記憶手段に記憶されたデータの使用を前記端末装置に許可設定する。
【0011】
請求項3に記載の発明は、請求項2に記載の認証システムにおいて、
前記第1の制御手段は、前記一致した第1の情報が、当該第1の情報の送信元の端末装置及び前記認証装置の関係に関する第3の情報に対応するか否かを判別し、当該第3の情報に対応する場合に、前記動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する。
【0012】
請求項4に記載の発明は、請求項2又は3に記載の認証システムにおいて、
前記第1の制御手段は、前記第2の情報に対応した第1の情報が、当該第1の情報の送信元の端末装置及び前記認証装置の関係に関する第3の情報に対応するか否かを判別し、当該第3の情報に対応する場合に、前記動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する。
【0013】
請求項5に記載の発明は、請求項4に記載の認証システムにおいて、
前記端末装置は、前記認証装置と接続されて前記第3の情報を有する外部機器に接続され、
前記第1の制御手段は、前記第3の情報を前記外部機器から取得する。
【0014】
請求項6に記載の発明は、請求項2から5のいずれか一項に記載の認証システムにおいて、
前記端末装置は、
第3の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可された場合に、処理に用いる第4の情報が前記第3の記憶手段に記憶されているか否かを判別し、当該第4の情報が記憶されていない場合に、前記第2の通信手段を介して、当該第4の情報の要求を前記認証装置に送信して当該第4の情報を受信し、
前記第1の制御手段は、前記第1の通信手段を介して、前記第4の情報の要求を前記端末装置から受信すると当該第4の情報を当該端末装置に送信する。
【0015】
請求項7に記載の発明は、請求項2から6のいずれか一項に記載の認証システムにおいて、
前記端末装置に接続される第4の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可された場合に、各種処理を行い、各種処理結果のデータを前記第4の記憶手段に記憶させる。
【0016】
請求項8に記載の発明は、請求項6又は7に記載の認証システムにおいて、
前記第1の記憶手段は、前記第4の情報を前記端末装置に提供することを許可するか否かを示す提供可否情報を記憶し、
前記第1の制御手段は、前記第1の記憶手段に記憶された提供可否情報に基づいて前記第4の情報が提供許可であるか否かを判別し、提供許可である場合に、動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する。
【0017】
請求項9に記載の発明のプログラムは、
コンピュータを、
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報が前記第2の情報に対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段、
として機能させる。
【発明の効果】
【0018】
本発明によれば、耐タンパモジュールによりセキュリティを高めることができるとともに、動作可否情報により排除したい端末装置の動作を確実に排除できる。
【発明を実施するための最良の形態】
【0019】
以下、添付図面を参照して本発明に係る好適な第1の実施の形態及び変形例並びに第2、第3の実施の形態を詳細に説明する。なお、本発明は、図示例に限定されるものではない。
【0020】
(第1の実施の形態)
図1〜図8を参照して、本発明に係る第1の実施の形態を説明する。先ず、図1〜図4を参照して、本実施の形態の装置構成を説明する。図1に、本実施の形態の認証システムとしての決済システム1の構成を示す。
【0021】
図1に示すように、決済システム1は、認証装置としてのセンタサーバ10と、端末装置としての電子機器30と、耐タンパモジュールとしてのSAM(Secure Application Module)40と、を備えて構成される。センタサーバ10は、通信ネットワークNを介して電子機器30と通信接続されている。電子機器30は、SAM40と通信接続されている。
【0022】
決済システム1では、例えば、店舗等に、電子機器30、SAM40が設置され、カード会社等のセンタサーバ10に管理される。カード情報を有するカード情報を有するクレジットカード等のIC(Integrated Circuit)カードにより顧客が商品購入の決済をする場合に、電子機器30でICカードの情報を読み取りセンタサーバ10に送信する。センタサーバ10は、ICカードの認証後に決済処理を行う。本実施の形態では、電子機器30、SAM40の認証を行い、正当な電子機器30、SAM40である場合に、ICカードの認証等を含む決済処理を行う。
【0023】
SAM40は、耐タンパ性を有するモジュールであり、中に記憶しているデータを第三者が読み取り又は変更しようとする異常状態を検出し、異常検出時に、その記憶しているデータを自動的に消去する。また、SAM40は、異常検出時に、SAM40自体の動作を停止させる構成等としてもよい。通信ネットワークNは、例えば、WAN(Wide Area Network)とするが、LAN(Local Area Network)等の通信ネットワークとしてもよく、電話回線、専用線、移動体通信網、通信衛星網、CATV(Cable Television)回線、インターネットプロバイダ等を含めてもよい。
【0024】
次いで、センタサーバ10の内部構成を説明する。図2に、センタサーバ10の内部構成を示す。
【0025】
図2に示すように、センタサーバ10は、第1の制御手段としてのCPU(Central Processing Unit)11と、入力部12と、RAM13と、表示部14と、第1の記憶手段としての記憶部15と、第1の通信手段としての通信部16と、を備えて構成され、各部がバス17を介して接続される。
【0026】
CPU11は、センタサーバ10の各部を中央制御する。CPU11は、記憶部15に記憶されているシステムプログラム及び各種アプリケーションプログラムの中から指定されたプログラムをRAM13に展開し、RAM13に展開されたプログラムとの協働で、各種処理を実行する。
【0027】
CPU11は、第1の端末管理プログラムとの協働で、暗号化された第1の情報としての暗号化端末ID及び第2の情報としての端末IDを電子機器30から受信し、暗号化端末IDを鍵T1で復号化し、復号化した端末ID及び受信した端末IDが一致し且つ許可情報が許可であるか否かを判別し、端末IDが一致し許可情報が許可である場合に、動作OK情報を鍵T1で暗号化して電子機器30に送信する。
【0028】
入力部12は、カーソルキー、文字、数字入力キー及び各種機能キーなどを備えたキーボードを含む構成とし、操作者により各キーが押下された操作信号をCPU11に出力する。また、入力部12は、マウス等のポインティングデバイスを含み、位置入力信号を受け付けてCPU11に送信することとしてもよい。
【0029】
RAM13は、揮発性のメモリであり、実行される各種プログラムやこれら各種プログラムに係るデータ等を格納するワークエリアを有し、その情報を一時的に格納する。
【0030】
表示部14は、LCD(Liquid Crystal Display)、CRT(Cathode Ray Tube)等で構成され、CPU11からの表示信号に従って画面表示を行う。
【0031】
記憶部15は、磁気記録媒体を有するHDD(Hard Disk Drive)等により構成され、各種プログラム及び各種データを記録媒体から読み出し及び書き込み可能に記憶する。
【0032】
また、記憶部15は、第1の端末管理プログラムと、後述する認証テーブル151と、鍵T1と、を記憶する。
【0033】
通信部16は、モデム、TA(Terminal Adapter)、ルータ、ネットワークカード等により構成され、接続される通信ネットワークN上の電子機器30等の外部機器と情報を送受信する。
【0034】
次いで、電子機器30の構成を説明する。図3に、電子機器30の内部構成を示す。
【0035】
図3に示すように、電子機器30は、第3の制御手段としてのCPU31と、入力部32と、RAM33と、表示部34と、第3の記憶手段としてのフラッシュメモリ35と、第2の通信手段としての通信部36と、接続部37と、カードリーダ38と、接続部39と、を備えて構成され、各部がバス39aを介して接続される。
【0036】
CPU31、入力部32、RAM33については、センタサーバ10のCPU11、入力部12、RAM13の構成と同様であり、異なる部分を主として説明する。
【0037】
CPU31は、フラッシュメモリ35に記憶された第1の情報処理プログラムとの協働で、端末IDを取得し鍵T1で暗号化させ、暗号化端末ID及び端末IDをセンタサーバ10に送信し、センタサーバ10から暗号化情報を受信してSAM40に鍵T1で復号化させ、SAM使用許可が設定された場合に、SAM40のデータ(鍵D1,R)を用いて、プログラム、暗号化データd1等のデータを復号化して各種処理を行う。
【0038】
入力部32は、数字入力キー及び各種機能キーなどを備えたキーパッドを含む構成とし、操作者により各キーが押下された操作信号をCPU31に出力する。表示部34は、LCD等で構成され、CPU31からの表示信号に従って画面表示を行う。また、入力部32は、表示部34と一体的にタッチパネルを構成することとしてもよい。
【0039】
フラッシュメモリ35は、各種プログラム及び各種データを読み出し及び書き込み可能に記憶する。フラッシュメモリ35は、第1の情報処理プログラムと、鍵D1で暗号化された暗号化データd1と、を記憶する。
【0040】
通信部36は、通信制御部により構成され、通信ネットワークNを介してセンタサーバ10と情報を送受信する。
【0041】
接続部37は、ソケット等から構成され、SAM40が接続され、CPU31の指示により、接続されたSAM40と情報を送受信する。
【0042】
カードリーダ38は、図示しないCPU、RAM、ROM、フラッシュメモリ、接続部等を備える。カードリーダ38において、ROMから読み出されRAMに展開されたプログラムとCPUとの協働で各種処理を実行する。また、接続部は、接続されたICカード60の情報を読み取る。カードリーダ38において、フラッシュメモリには、後述する鍵Rが記憶されており、CPUは、ICカード60から読み出した情報を、鍵Rを使って暗号化し、暗号化した情報を電子機器30を介してSAM40に送信する。
【0043】
ICカード60は、各顧客が有する決済用の記録媒体としてのカードである。ICカード60は、接触式又は非接触式のカードであり、各ICカードでユニークなカード情報を記憶するICチップを備える。決済用の記録媒体としては、ICカード60に代えて、磁気カード、生体認証カード等、他の記録媒体としてもよい。
【0044】
接続部39は、ソケット等から構成され、メモリカード70が接続され、CPU31の指示により、接続されたメモリカード70に記録された各種情報の読み出しや、情報の書き込みを行う。
【0045】
次いで、SAM40の構成を説明する。図4に、SAM40の内部構成を示す。
【0046】
図4に示すように、SAM40は、第2の制御手段としてのCPU41と、暗号演算手段としての暗号演算部42と、RAM43と、異常検出部44と、ROM45と、通信部46と、第2の記憶手段としてのフラッシュメモリ47と、を備えて構成され、各部がバス48を介して接続される。
【0047】
CPU41、RAM43、フラッシュメモリ47については、電子機器30のCPU31、RAM33、フラッシュメモリ35の構成と同様であり、異なる部分を主として説明する。
【0048】
CPU41は、ROM45やフラッシュメモリ47に記憶されたプログラムとの協働で、各種処理を実行する。例えば、CPU41は、異常検出部44により異常が検出された場合に、RAM43及びフラッシュメモリ47に記憶された情報を破壊(消去)する。また、CPU41は、フラッシュメモリ47に記憶された鍵を用いて、暗号演算部42により情報を暗号化又は復号化させる。
【0049】
また、CPU41は、第1のSAM使用許可プログラムとの協働で、電子機器30から送信された暗号化情報を鍵T1で復号化し、暗号化情報が動作OK情報であるか否かを判別し、動作OK情報である場合に、電子機器30の動作(認証)(SAM40のデータ(鍵T1,D1,R)の使用)を許可設定する。
【0050】
暗号演算部42は、CPU41の指示により、フラッシュメモリ47に記憶された鍵を用いて、各種情報を暗号化し、また暗号化された各種情報を復号化する。
【0051】
異常検出部44は、例えば、電圧センサ、温度センサ、光センサ等の少なくとも一つを備え、善意又は悪意によらず第三者がSAM40のデータを読み取ろうと又は変更しようとする際の異常電圧、異常温度、異常光量等を検出し、その異常の旨を示す検出信号をCPU41に出力する。
【0052】
ROM45には、書き換えが不要であるデータが予め記憶されている。例えば、SAM40のシステムプログラムである。
【0053】
通信部46は、通信制御部により構成され、有線又は無線で電子機器30と通信接続して情報を送受信する。
【0054】
フラッシュメモリ47は、各種プログラム及び各種データを読み出し又は書き込み可能に記憶する。フラッシュメモリ47に代えてEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリを用いる構成としてもよい。
【0055】
フラッシュメモリ47は、第1のSAM使用許可プログラムと、鍵T1,D1,Rと、を記憶する。第1のSAM使用許可プログラムは、ROM45に記憶される構成としてもよい。
【0056】
次に、図5及び図6を参照して、決済システム1の各装置に記憶される情報を説明する。図5に、決済システム1の各装置に記憶される情報を示す。図6に、認証テーブル151の構成を示す。
【0057】
図5に示すように、決済システム1において、センタサーバ10の記憶部15には、鍵T1が記憶されている。鍵T1は、センタサーバ10が電子機器30を認証するための鍵であり、電子機器ごとにユニークな鍵である。
【0058】
電子機器30のカードリーダ38には、内部のフラッシュメモリに鍵Rが記憶されている。鍵Rは、カードリーダ38が電子機器30を認証するための鍵である。
【0059】
電子機器30のフラッシュメモリ35には、鍵D1で暗号化された暗号化データd1が記憶されている。鍵D1は、電子機器30にあるデータを暗号化または復号化するための鍵である。暗号化データd1は、例えば、決済処理に使用されるカード判別データである。カード判別データは、ICカード60の機能を判別したり、ICカードのカード情報のリストを含み、使えないICカードを判定するための情報である。SAM40には、フラッシュメモリ47に鍵T1と、鍵Rと、鍵D1と、端末ID201と、が記憶されている。端末IDとは、電子機器毎にユニークな識別情報である。
【0060】
各鍵の暗号化及び復号化には、互いに相応する鍵を用いて行われる。例えば、ある鍵を用いて情報を暗号化した場合に、その鍵に相応する鍵を用いると暗号化された情報の復号化が可能となる。本実施の形態では、暗号化する鍵と、復号化する鍵とが、同一である共通の共通鍵方式で暗号化及び復号化するものとして説明する。しかし、公開鍵方式や、セション鍵方式等の方式で暗号化及び復号化する構成としてもよい。公開鍵方式では、公開鍵と秘密鍵のペアが互いに相応する鍵となる。
【0061】
また、図6に示すように、センタサーバ10の記憶部15には、電子機器の管理情報としての認証テーブル151が記憶される。認証テーブル151は、ログインID152と、端末ID153と、鍵154と、許可情報155と、を有する。
【0062】
ログインID152は、電子機器毎にユニークなログインIDである。ログインID101は、電子機器30に付与された端末IDとする。端末ID153は、電子機器毎にユニークな端末IDである。端末ID201は、電子機器30Aに付与された端末IDとする。鍵154は、電子機器毎の認証用の鍵を特定する情報である。許可情報155は、電子機器の動作が許可されているか否かを示す情報である。
【0063】
例えば、電子機器が故障する等で、センタサーバ10側にユーザから連絡があった場合や、電子機器の契約者とセンタサーバ10側の会社との契約が完了してない又は切れている場合等に、センタサーバ10側で許可情報155が動作不許可に設定される。逆に、センタサーバ10側に動作すべきでない旨の連絡がない場合や、電子機器の契約者とセンタサーバ10側の会社との契約が完了しており切れていない場合に、許可情報155が動作許可に設定される。
【0064】
以下、電子機器30のログインID152、端末ID153、鍵154、許可情報155は、順に、ログインID101、端末ID201、鍵T1、動作許可、に設定されているものとする。
【0065】
次に、図7及び図8を参照して、決済システム1の動作を説明する。図7に、第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理の流れを示す。図8に、図7の第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理の続きの流れを示す。また、各処理の実行前に、ログインIDを用いた電子機器30からセンタサーバ10へのログイン処理が行われるものとするが、その説明を省略する。
【0066】
センタサーバ10で実行される第1の端末管理処理を説明する。センタサーバ10において、例えば、通信部16を介して、暗号化端末IDと、端末IDと、が電子機器30から受信開始されたことをトリガとして、記憶部15から読み出されて適宜RAM13に展開された第1の端末管理プログラムとCPU11との協働で、第1の端末管理処理が実行される。
【0067】
先ず、ステップS11において、通信部16を介して、暗号化端末IDと、端末IDと、が電子機器30から受信され、記憶部15から認証テーブル151が読み出される。そして、認証テーブル151が参照され、受信した端末ID153に対応する鍵154が特定され、特定された鍵(ここでは鍵T1)が記憶部15から読み出される。そして、読み出された鍵を用いて暗号化端末IDが復号化される(ステップS11)。
【0068】
そして、復号化した端末IDと、受信した端末IDとが比較され、同一であるか否かにより、ステップS11の復号がOKであるか否かが判別される(ステップS12)。復号OKである場合(ステップS12;YES)、認証テーブル151が参照され、対応する端末IDの許可情報155が許可であるか否かが判別される(ステップS13)。
【0069】
許可されている場合(ステップS13;YES)、電子機器動作OK(認証許可)の旨のOK信号が生成されて、動作OKの端末(電子機器30)に対応する鍵(ここでは鍵T1)を用いてOK信号が暗号化され、暗号化OK信号として通信部16を介して電子機器30に送信され(ステップS14)、第1の端末管理処理が終了する。OK情報は、電子機器30にSAM40のデータの使用を伴う動作を許可する旨の信号である。
【0070】
復号OKでない場合(ステップS12;NO)、又は許可されていない場合(ステップS13;NO)、電子機器動作拒否(認証拒否)の旨の拒否信号が生成されて、動作拒否の端末(電子機器30)に対応する鍵(ここでは鍵T1)を用いて拒否信号が暗号化され、暗号化拒否信号として通信部16を介して電子機器30に送信され(ステップS15)、第1の端末管理処理が終了する。拒否情報は、電子機器30にSAM40のデータの使用を伴う動作を拒否する旨の信号である。
【0071】
次いで、電子機器30で実行される第1の情報処理を説明する。電子機器30において、例えば、電源投入されたことをトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された第1の情報処理プログラムとCPU31との協働で、第1の情報処理が実行される。
【0072】
先ず、ステップS21において、接続部37を介して、SAM40に端末IDの要求が送信され、その端末IDがSAM40から受信される(ステップS21)。そして、接続部37を介して、受信された端末IDが暗号化のためにSAM40に送信され、暗号化端末IDをSAM40から受信する(ステップS22)。そして、ステップS11に対応して、通信部36を介して、端末IDと、暗号化端末IDとがセンタサーバ10へ送信される(ステップS23)。
【0073】
そして、ステップS14又はS15に対応して、通信部36を介して、暗号化OK信号又は暗号化拒否信号をセンタサーバ10から受信して、接続部37を介して、暗号化OK信号又は暗号化拒否信号がSAM40に送信される(ステップS24)。
【0074】
そして、フラッシュメモリ35、カードリーダ38に記憶され、SAM40に記憶される鍵で暗号化された所望のプログラム及びデータの少なくとも一つが読み出され、接続部37を介して、暗号化されたプログラム及びデータの少なくとも一つがSAM40に送信され、復号化されたプログラム及びデータがSAM40から受信される(ステップS25)。そして、復号化されたプログラム及びデータを用いて各種処理が実行される(ステップS26)。
【0075】
ステップS25,S26では、例えば、カードリーダ38によりICカード60から読み出されたカード情報が、鍵Rで暗号化されて電子機器30に送信される。そして、入力部32で暗証番号等の暗証情報が入力される。電子機器30において、鍵Rで暗号化されたカード情報がSAM40に送信される。SAM40でカード情報が鍵Rで復号化され、電子機器30に送信される。そして、ステップS26で、復号化されたカード情報と、暗証番号とがSAM40に送信されて鍵T1で暗号化され、購入した商品代金の情報等とともに決済情報としてセンタサーバ10に端末IDとともに送信される。そして、センタサーバ10で受信された決済情報のカード情報及び暗証番号が、端末IDに対応する鍵T1で復号化される。そのカード情報及び暗証番号を用いて、ICカードが正当であると認証された場合に、決済情報の代金情報を用いて決済処理が実行される。センタサーバ10の決済結果は、電子機器30に送信される。
【0076】
また、ステップS25,S26では、例えば、フラッシュメモリ35に記憶された使用していないカード情報の暗号化データd1がSAM40に送信される。SAM40で暗号化データd1が鍵D1で復号化され、その復号化データを用いて、上記鍵Rで復号化されたカード情報が使用していないものであるか判別され、使用していないものである場合に、そのICカード60の決済が禁止に設定される。
【0077】
ステップS26の実行後、セキュリティを守るため、復号化されたプログラム及びデータの少なくとも一つが消去され(ステップS27)、第1の情報処理が終了する。
【0078】
次いで、SAM40で実行される第1のSAM使用許可処理を説明する。SAM40において、例えば、ステップS21に対応して、通信部46を介して、端末ID要求を電子機器30から受信開始したことをトリガとして、フラッシュメモリ47から読み出されて適宜RAM43に展開された第1のSAM使用許可プログラムとCPU41との協働で、第1のSAM使用許可処理が実行される。
【0079】
先ず、通信部46を介して、端末ID要求が電子機器30から受信され、フラッシュメモリ47から端末IDが読み出されて電子機器30に送信される(ステップS31)。そして、ステップS22に対応して、通信部46を介して、端末IDが電子機器30から受信され、フラッシュメモリ47から電子機器30認証用の鍵(ここでは鍵T1)が読み出され、端末IDが読み出した鍵で暗号演算部42を介して暗号化され暗号化端末IDとして電子機器30に送信される(ステップS32)。
【0080】
そして、ステップS24に対応して、通信部46を介して、暗号化OK信号又は暗号化拒否信号が電子機器30から受信され、鍵(ここでは鍵T1)で暗号演算部42を介して復号化される(ステップS33)。そして、ステップS33で復号化された信号がOK信号であるか否かにより、電子機器30の動作がOKであるか否かが判別される(ステップS34)。電子機器30の動作がOKである場合(ステップS34;YES)、SAM40のデータが使用許可に設定される(ステップS35)。SAM40のデータの使用許可の旨の信号は、電子機器30に送信される構成としてもよい。
【0081】
そして、ステップS25に対応して、通信部46を介して、暗号化されたプログラム及びデータの少なくとも一つが電子機器30から受信され、フラッシュメモリ47から鍵R又は鍵D1が読み出される。そして、暗号化されたプログラム及びデータの少なくとも一つが暗号演算部42を介して鍵(ここでは鍵R又は鍵D1)で復号化されて電子機器30に送信され(ステップS36)、第1のSAM使用許可処理が終了する。
【0082】
ステップS33で復号化された信号が拒否信号である、又は復号に失敗し、電子機器30の動作がOKでない場合(ステップS34;NO)、SAM40のデータ使用禁止が設定され(ステップS37)、第1のSAM使用許可処理が終了する。SAM40のデータの使用不許可の旨の信号は、電子機器30に送信される構成としてもよい。
【0083】
センタサーバ10が許可を出していない場合に鍵D1,Rを使用できないため、電子機器30のCPU31は、鍵D1,Rを用いた動作を行うことができない。このため、悪意を持って電子機器30からクレジットカード等の番号を盗もうとしても、電子機器30は動作しないので悪意から防御することが可能である。
【0084】
以上、本実施の形態によれば、SAM40を中心にセキュリティを構築する。このため、従来のものより格段にセキュリティを高めることができる。従来型の、筐体の開封センサでは安いドリルでセンサをバイパスできるのに対し、SAM40の半導体のサブミクロンレベルで対策を施されたものを解析するには高価な専用機器と技術力が必要になるためである。
【0085】
加えて、強力なセキュリティ機能を備えたSAM40内の鍵T1に相対するセンタサーバ10の鍵T1を用いて電子機器30の動作の可否を制御する。このため、排除したい電子機器の動作を確実に排除できる。この構成により、電子機器の不正使用、不正流用、解析の試みを阻止できるとともに、契約が終了した電子機器や廃棄された電子機器を確実に動作禁止にすることができる。
【0086】
また、SAM40により電子機器30で使用する鍵を管理する。このため、悪意のあるSAM40内の鍵の解析の試みを確実に防御できる。加えて、センタサーバ10の許可がなければそれらの鍵の使用の試みすらできない。このため、SAM40が物理的な耐タンパー性を持っている上、電流・電力解析も防御できている。
【0087】
また、鍵D1,Rにより、SAM40と、SAM40外(例えば電子機器30内)とのデータの鍵の組み合わせが特定される。このため、第三者のデータを紛れ込ませることができなくなる。例えば、SAM40外のデータをねつ造して不正な利益を得ようとするような試みが阻止できる。万一、SAM40内の一つの鍵の解読に成功したとしても、その鍵はその電子機器でしか利用できない。このため、他の電子機器とその利用に影響を与えずに済む。
【0088】
また、上記構成により、パスワードなどによる本人確認に頼らなくてもセキュリティが確保でき、業務システム構築上わずらわしいパスワードの管理を不要にしている。
【0089】
なお、鍵T1は、1組である必要はなく、必要な確認・認証を実現するために1つの電子機器に数組使用されることもあり、以下、同様である。
【0090】
(変形例)
図9〜図11を参照して、上記第1の実施形態の変形例を説明する。先ず、図9を参照して、本実施の形態の装置構成を説明する。図9に、本変形例の決済システム2の構成を示す。
【0091】
図9に示すように、決済システム2は、センタサーバ10aと、電子機器30A〜30Cと、SAM40A〜40Cと、を備えて構成される。センタサーバ10aは、通信ネットワークNを介して電子機器30A〜30Cと通信接続される。電子機器30Aは、SAM40Aと通信接続される。電子機器30Bは、SAM40Bと通信接続される。電子機器30Cは、SAM40Cと通信接続される。
【0092】
本変形例では、電子機器及びSAMの組み合わせが3系統ある構成を説明するが、2系統又は4系統以上としてもよい。
【0093】
センタサーバ10a、電子機器30A〜30C、SAM40A〜40Cは、それぞれ、第1の実施の形態のセンタサーバ10、電子機器30、SAM40と同様であり、異なる部分を主として説明する。
【0094】
センタサーバ10aの記憶部15は、後述する認証テーブル151aと、鍵T1,T2と、を記憶する。電子機器30A〜30Cのフラッシュメモリ35内のデータ、SAM40A〜40Cのフラッシュメモリ47内のデータは、後述する。
【0095】
次に、図10及び図11を参照して、決済システム2の各装置に記憶される情報を説明する。図10に、決済システム2の各装置に記憶される情報を示す。図11に、認証テーブル151aの構成を示す。
【0096】
図10においては、鍵Rは省略されている。鍵Rは、SAM40A〜40Cにそれぞれ格納される。また、鍵Rは、電子機器(SAM)毎にユニークな鍵が好ましく、以下同様である。
【0097】
図10に示すように、決済システム2において、センタサーバ10aの記憶部15には、鍵T1,T2が記憶されている。鍵T1,T2は、センタサーバ10aが電子機器30A,30Bを認証するための鍵である。
【0098】
電子機器30Aのフラッシュメモリ35には、鍵D1で暗号化された暗号化データd1が記憶されている。鍵D1は、電子機器30Aにあるデータを暗号化または復号化するためのデータである。SAM40Aには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、が記憶されている。端末ID201は、電子機器30Aに付与された端末IDとする。
【0099】
電子機器30Bのフラッシュメモリ35には、鍵D2で暗号化された暗号化データd1が記憶されている。鍵D2は、電子機器30Bにあるデータを暗号化または復号化するためのデータである。SAM40Bには、フラッシュメモリ47に鍵T2と、鍵D2と、端末ID202と、が記憶されている。端末ID202は、電子機器30Aに付与された端末IDとする。
【0100】
電子機器30Cのフラッシュメモリ35には、鍵D2で暗号化された暗号化データd2が記憶されている。SAM40Cには、フラッシュメモリ47に鍵T1と、鍵D1と、端末ID201と、が記憶されている。つまり、悪意のある無しに関わらず、電子機器30C及びSAM40Cは、電子機器30BにSAM40Aを接続した構成と同等の構成の例である。
【0101】
また、図11に示すように、センタサーバ10aの記憶部15には、認証テーブル151aが記憶される。認証テーブル151aは、ログインID152と、端末ID153と、鍵154と、許可情報155と、を有する。ログインID,端末ID153、鍵154、許可情報155は、端末ID201,202に関し設定されているものとする。
【0102】
センタサーバ10aは、認証する電子機器に対応した図7及び図8に示される第1の端末管理処理を実行する。同様に、第1の情報処理及び第1のSAM使用許可処理は、電子機器30A及びSAM40Aと、電子機器30B及びSAM40Bと、電子機器30A及びSAM40Aとのいずれか一つの組み合わせにより実行される。このように、センタサーバ10aは、動作許可対象の電子機器及びSAMに対応した第1の端末管理処理を実行する。電子機器30A〜30Cは、第1の情報処理を実行する。SAM40A〜40Cは、第1のSAM使用許可処理を実行する。
【0103】
電子機器30A又は30Bで第1の情報処理が実行されると、センタサーバ10aで電子機器30A又は30Bが動作許可され、SAM40A又は40Bのデータ使用が許可され、暗号化データd1又はd2等を用いて、各種処理がなされる。しかし、電子機器30Cで第1の情報処理が実行されると、センタサーバ10aで電子機器30Cが動作許可され、SAM40Cのデータ使用が許可されるが、SAM40C内の鍵D1が電子機器30C内の鍵D2の暗号化データd3を復号化できない。このため、実質的に電子機器30Cは動作できない。このように、正しい設定のみでしか電子機器は動作しないのでICカード60の番号を盗みとろうとするような試みを防止することになる。
【0104】
以上、本変形例によれば、SAM40A〜40Cを中心にセキュリティを構築する。このため、従来のものより格段にセキュリティを高めることができる。加えて、強力なセキュリティ機能を備えたSAM40A〜40C内の鍵Tnに相対するセンタサーバ10aの鍵Tnを用いて電子機器の動作の利用可否を電子機器毎に制御する。このため、排除したい電子機器の動作を確実に排除できる。
【0105】
(第2の実施の形態)
図12〜図16を参照して、本発明に係る第2の実施の形態を説明する。図12に、本実施の形態の決済システム3の構成を示す。
【0106】
図12に示すように、決済システム3は、センタサーバ10bと、外部機器としてのECR(Electronic Cash Register)20A〜20Cと、電子機器30A〜30Cと、SAM40A〜40Cと、を備えて構成される。センタサーバ10bは、通信ネットワークNを介してECR20A〜20Cと通信接続される。電子機器30Aは、ECR20A及びSAM40Aと通信接続される。電子機器30Bは、ECR20B及びSAM40Bと通信接続される。電子機器30Cは、ECR20C及びSAM40Cと通信接続される。
【0107】
本実施の形態では、ECR、電子機器及びSAMの組み合わせが3系統ある構成を説明するが、3系統以外の系統数としてもよい。
【0108】
センタサーバ10b、電子機器30A〜30C、SAM40A〜40Cは、それぞれ、第1の実施の形態のセンタサーバ10、電子機器30、SAM40と同様であり、異なる部分を主として説明する。
【0109】
センタサーバ10bの記憶部15は、第2の端末管理プログラムと、後述する認証テーブル151bと、鍵T1,T2と、を記憶する。
【0110】
次いで、ECR20A〜20Cの構成を説明する。図13に、ECR20A〜20Cの内部構成を示す。
【0111】
図13に示すように、ECR20A〜20Cは、それぞれ、CPU21と、入力部22と、RAM23と、表示部24と、記憶部25と、通信部26と、プリント部27と、ドロア28と、接続部29と、を備えて構成され、各部がバス29aを介して接続される。
【0112】
CPU21、入力部22、RAM23、表示部24については、第1の実施の形態のセンタサーバ10のCPU11、入力部12、RAM13、表示部14の構成と同様であり、異なる部分を主として説明する。
【0113】
ECR20A〜20CのCPU21は、記憶部25に記憶されたログインプログラムとの協働で、センタサーバ10bにログインを行い、センタサーバ10bと電子機器30A〜30Cとの通信を中継する。
【0114】
入力部22は、カーソルキー、文字、数字入力キー及び各種機能キーなどを備えたレジ用のキーボードを含む構成とし、操作者により各キーが押下された操作信号をCPU21に出力する。表示部24は、LCD等で構成され、CPU21からの表示信号に従って画面表示を行う。また、入力部22は、表示部24と一体的にタッチパネルを構成することとしてもよい。
【0115】
記憶部25は、ROMやフラッシュメモリ等により構成される。記憶部25は、各種プログラム及び各種データを、ROMから読み出し可能に、又はフラッシュメモリから読み出し及び書き込み可能に記憶する。また、記憶部25は、HDD等により構成してもよい。また、記憶部25は、ログインプログラムを記憶する。
【0116】
通信部26は、ネットワークカード等の通信制御部により構成され、センタサーバ10bと通信ネットワークNを介して通信接続するとともに、有線又は無線で電子機器30A、30B又は30Cと通信接続し、センタサーバ10、電子機器30A、30B又は30Cと情報を送受信する。
【0117】
プリント部27は、例えば、サーマルプリンタであり、レシート用、ジャーナル用(商品登録内容の記録用)のロール紙を有し、CPU21から入力される指示に従って、各ロール紙に対して金額データ、店舗ロゴマーク等をプリントアウトする。
【0118】
ドロア28は、現金を収納する引出しであり、例えば、CPU21の指示により、引出しを開ける。
【0119】
接続部29は、ソケット等から構成され、メモリカード50A〜50Cが接続され、CPU21の指示により、接続されたメモリカード50A〜50Cに記録された各種情報の読み出しや、情報の書き込みを行う。ECR20A〜20Cの接続部29には、それぞれ、メモリカード50A〜50Cが接続されるものとする。
【0120】
メモリカード50A〜50Cは、例えば、半導体メモリを備え、各種情報を半導体メモリに読み出し及び書き込み可能に記憶するメモリカードである。
【0121】
電子機器30A〜30Cのフラッシュメモリ35は、第2の情報処理プログラムを記憶する。電子機器30A〜30Cの通信部36は、ECR20A〜20Cとの通信を介する構成とする。SAM40A〜40Cのフラッシュメモリ47は、第2のSAM使用許可プログラムを記憶する。フラッシュメモリ35及びフラッシュメモリ47の、プログラム以外の他の情報は、後述する。
【0122】
次に、図12及び図14を参照して、決済システム3の各装置に記憶される情報を説明する。図14に、認証テーブル151bの内部構成を示す。
【0123】
図12に示すように、決済システム3において、センタサーバ10bの記憶部15には、鍵T1,T2が記憶されている。
【0124】
ECR20Aには、接続部29を介してメモリカード50Aが接続される。メモリカード50Aには、ログインID101が記録されている。ログインIDは、ECR(電子機器)毎にユニークなIDである。ログインID101は、電子機器30Aに付与された端末IDとする。電子機器30Aのフラッシュメモリ35には、鍵D1で暗号化された暗号化データd1が記憶されている。また、SAM40Aには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、鍵R(図示略)と、が記憶されている。
【0125】
ECR20Bには、接続部29を介してメモリカード50Bが接続される。メモリカード50Bには、ログインID102が記録されている。ログインID102は、電子機器30Bに付与された端末IDとする。電子機器30Bのフラッシュメモリ35には、鍵D2で暗号化された暗号化データd2が記憶されている。また、SAM40Aには、フラッシュメモリ47に、鍵T2と、鍵D2と、端末ID202と、鍵R(図示略)と、が記憶されている。
【0126】
ECR20Cには、接続部29を介してメモリカード50Cが接続される。メモリカード50Cには、ログインID102が記録されている。電子機器30Cのフラッシュメモリ35には、鍵D1で暗号化された暗号化データd3が記憶されている。また、SAM40Cには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、鍵R(図示略)と、が記憶されている。つまり、悪意のある無しに関わらず、ECR20C、電子機器30C及びSAM40Cは、ECR20Bに電子機器30A及びSAM40Aを接続した構成と同等の構成の例である。
【0127】
また、図14に示すように、センタサーバ10bの記憶部15には、認証テーブル151bが記憶される。認証テーブル151bは、ログインID152と、端末ID153と、鍵154と、許可情報155と、を有する。電子機器のログインID152、端末ID153、鍵154、許可情報155は、端末ID201,202に関し設定されているものとする。
【0128】
ECR20A〜20Cは、非決済業務のためにセンタサーバ10bと通信路で接続されている。例えばECR20A〜20Cで商品コード及び商品名をセンタサーバ10bからダウンロードして利用する場合には、決済と比較して高度なセキュリティは不要であり、ECR20A〜20Cを識別するためのログインIDなどをメモリカード50A〜50Cに保持しておけば十分である。決済端末としての電子機器30A〜30Cは、別の通信路を使用する必要はなく、ECR20A〜20Cの通信路を利用して動作を行う。
【0129】
次に、図15及び図16を参照して、決済システム3の動作を説明する。図15に、第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理の流れを示す。図16に、図15の第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理の続きの流れを示す。ログイン処理、第2の情報処理、第2のSAM使用許可処理は、ECR20A、電子機器30A、SAM40Aの組み合わせ、ECR20B、電子機器30B、SAM40Bの組み合わせ、又はECR20C、電子機器30C、SAM40Cの組み合わせ、で実行される。
【0130】
センタサーバ10bで実行される第2の端末管理処理を説明する。センタサーバ10bにおいて、例えば、通信部16を介して、ログインIDがECRから受信開始されたことをトリガとして、記憶部15から読み出されて適宜RAM13に展開された第2の端末管理プログラムとCPU11との協働で、第2の端末管理処理が実行される。
【0131】
先ず、ステップS41において、通信部16を介して、ログインIDがECRから受信され、ログインIDに対応するECRが識別され、そのECRのログインが受け付けられる。そして、通信部16を介して、ログインOKの旨がログインID送信元のECRに送信され、通信が確立する(ステップS41)。ステップS42、S43は、第1の端末管理処理のS11,S12と同様である。
【0132】
復号化がOKである場合(S43;YES)、記憶部15から認証テーブル151bが読み出され、ステップS41で受信されたログインID152と、ステップS43で復号化された端末ID153とが整合(対応)しているか否かが判別される(ステップS44)。認証テーブル151bにおいて、ログインIDと端末IDとは一対一に対応するものとする。
【0133】
ログインIDと端末ID153とが整合している場合(ステップS44;YES)、ステップS45に移行される。ログインIDと端末ID153とが整合していない場合(ステップS44;NO)、ステップS47に移行される。ステップS45〜S47は、第1の端末管理処理のS13〜S15と同様である。ステップS47の実行後、第2の端末管理処理が終了する。
【0134】
次いで、ECR20A〜20Cで実行されるログイン処理を説明する。ECR20A〜20Cにおいて、例えば、入力部22を介してユーザ(店員等)からログイン処理の実行指示が入力されたことをトリガとして、記憶部25から読み出されて適宜RAM23に展開されたログインプログラムとCPU21との協働で、ログイン処理が実行される。
【0135】
先ず、ステップS51において、ステップS41に対応して、接続部29を介してメモリカード50A〜50Cに記録されたログインIDが読み出され、そのログインIDが通信部26を介してセンタサーバ10bに送信される。そして、ログインOKの旨が通信部26を介してセンタサーバ10bから受信され、通信が確立する(ステップS51)。
【0136】
そして、ステップS63,S42に対応して、通信部26を介して、電子機器から受信される端末ID及び暗号化端末IDがセンタサーバ10bに送信され、通信中継される(ステップS52)。そして、ステップS46又はS47及びS64に対応して、通信部26を介して、センタサーバ10bから受信された暗号化OK信号又は暗号化拒否信号が端末ID等の送信元の電子機器に送信され、通信中継され(ステップS53)、ログイン処理が終了する。
【0137】
次いで、電子機器30A〜30Cで実行される第2の情報処理を説明する。電子機器30A〜30Cにおいて、例えば、電源投入されたことをトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された第2の情報処理プログラムとCPU31との協働で、第2の情報処理処理が実行される。
【0138】
ステップS61〜S67は、第1の情報処理のステップS21〜S27と同様である。ステップS67の実行後、第2の情報処理が終了する。
【0139】
次いで、SAM40A〜SAM40Cで実行される第2のSAM使用許可処理を説明する。SAM40A〜SAM40Cにおいて、例えば、ステップS61に対応して、通信部46を介して、端末ID要求を電子機器30A〜30Cから受信開始したことをトリガとして、フラッシュメモリ47から読み出されて適宜RAM43に展開された第2のSAM使用許可プログラムとCPU41との協働で、第2のSAM使用許可処理が実行される。
【0140】
ステップS71〜S77は、第1のSAM使用許可処理のステップS31〜S37と同様である。ステップS77の実行後、第2のSAM使用許可処理が終了する。
【0141】
ステップS44により、ECRのログインIDと、SAMの端末IDとの組み合わせを確認することが可能である。例えば、ECR20A,電子機器30A及びSAM40Aの組み合わせ、ECR20B、電子機器30B及びSAM40Bの組み合わせ、では、ステップS44でログインIDと端末IDとの整合がとれ、電子機器が30A,30Bが動作許可され、SAM40A,40Bのデータ使用が許可される。
【0142】
しかし、ECR20C,電子機器30C及びSAM40Cの組み合わせでは、ステップS44でログインID102と端末ID201との整合がとれず、電子機器30Cが動作許可されず、SAM40Cのデータ使用が許可されない。つまり、正当なECR、電子機器及びSAMの組み合わせにおいて、悪意のある無しに関わらず別の、ログインIDが記憶された機器(ここではメモリカード)及び電子機器を、SAMに付け替えた場合のSAMのデータ使用を防ぐことができる。
【0143】
本実施の形態によれば、ECR20A〜20Cに電子機器30A〜30Cをそれぞれ接続して使用するようなケースでは、ECRと電子機器(SAM)との組み合わせをセンタサーバ10bでチェックできる。このため、契約外の使用や、不正な使用・流用を止めることができる。よって、不正に遺棄された(本来は返却されるべき)電子機器を流用しようとしても不可能であり、利用者の契約は守られることになる。また、本来認められない取引(フロアリミット超過等)を防いだりすることが可能である。また、センタサーバ10bがECRを介して電子機器(SAM)をチェックできる。
【0144】
また、第1の実施の形態よりも電子機器の動作条件を厳しくしている。このため、例えば廃棄された電子機器やSAMの利用の試みなどを確実に排除できる。本来、返却されなければならないこれらの電子機器やSAMの、想定外の状況への対策となっている。
【0145】
なお、本実施の形態では、第2の情報としてのログインIDがメモリカード50A〜50Cに記録されているものとしたが、特にメモリカードである必要も、ログインIDである必要もない。例えば、本実施の形態において、第3の情報として、ECR20A〜20Bの代わりにPC等の外部機器に登録された契約者情報等を使用しても良いし、接続のために使用したルータ等のネットワーク機器のMAC(Media Access Control)アドレス等を第3の情報として利用してその組み合わせを監視するようにしても、同様の効果が期待できる。
【0146】
(第3の実施の形態)
図17〜図20を参照して、本発明に係る第3の実施の形態を説明する。図17に、本実施の形態の決済システム4の構成を示す。
【0147】
図17に示すように、決済システム4は、センタサーバ10cと、電子機器30A〜30Cと、SAM40A〜40Cと、を備えて構成される。センタサーバ10cは、通信ネットワークNを介して電子機器30A〜30Cと通信接続される。電子機器30Aは、SAM40Aと通信接続される。電子機器30Bは、SAM40Bと通信接続される。電子機器30Cは、SAM40Cと通信接続される。
【0148】
本実施の形態では、電子機器及びSAMの組み合わせが3系統ある構成を説明するが、3系統以外の系統数としてもよい。
【0149】
センタサーバ10c、電子機器30A〜30C、SAM40A〜40Cは、それぞれ、第1の実施の形態のセンタサーバ10、電子機器30、SAM40と同様であり、異なる部分を主として説明する。
【0150】
電子機器30A〜30Cは、それぞれ第4の記憶手段としてのメモリカード70A〜70Cが接続される。センタサーバ10cの記憶部15は、第3の端末管理プログラムと、後述する認証テーブル151cと、鍵T1,T2,T3と、共有情報d10と、固有情報d11と、を記憶する。電子機器30A〜30Cのフラッシュメモリ35は、第3の情報処理プログラムを記憶する。SAM40A〜40Cのフラッシュメモリ47は、第3のSAM使用許可プログラムを記憶する。フラッシュメモリ35及びフラッシュメモリ47の、プログラム以外の情報と、メモリカード70A〜70Cに記憶される情報とは、後述する。
【0151】
次に、図17及び図18を参照して、決済システム4の各装置に記憶される情報を説明する。図18に、認証テーブル151cの内部構成を示す。
【0152】
図17に示すように、決済システム4において、センタサーバ10cの記憶部15には、鍵T1,T2,T3と、共有情報d10と、固有情報d11と、が記憶されている。
【0153】
鍵T3は、センタサーバ10cが電子機器30Cを認証するための鍵である。共有情報d10は、電子機器30A〜30Cで共有の情報である。共有情報d10は、例えば、ICカード60のカード情報のブラックリストである。固有情報d11は、電子機器30A〜30Cのそれぞれ固有に設定されている情報である。固有情報d11は、例えば、決済できるICカード60のカード種である。また、共有情報d10及び固有情報d11は、電子機器30A〜30Cに送信可能な情報であり、決済処理データ(例えば、カード判別情報)を構成する情報である。
【0154】
電子機器30Aのフラッシュメモリ35には、鍵D1で暗号化された決済処理データd4が記憶されている。また、電子機器30Aは、接続部39を介してメモリカード70Aが接続される。メモリカード70Aには、ログインID101と、売上データd7と、が記録されている。売上データd7は、電子機器30Aで生成され、鍵D1で暗号化されたデータである。また、SAM40Aには、フラッシュメモリ47に、鍵T1と、鍵D1と、端末ID201と、鍵R(図示略)と、が記憶されている。
【0155】
電子機器30Bのフラッシュメモリ35には、鍵D2で暗号化された決済処理データd5が記憶されている。また、電子機器30Bは、接続部39を介してメモリカード70Bが接続される。メモリカード70Bには、ログインID102と、売上データd8と、が記録されている。売上データd8は、決済に関する処理実行により電子機器30Aで生成され、鍵D1で暗号化された決済記録としてのデータである。また、SAM40Bには、フラッシュメモリ47に、鍵T2と、鍵D2と、端末ID202と、鍵R(図示略)と、が記憶されている。
【0156】
電子機器30Cのフラッシュメモリ35には、鍵D3で暗号化された決済処理データd6が記憶されている。また、電子機器30Cは、接続部39を介してメモリカード70Cが接続される。メモリカード70Cには、ログインID103と、売上データd9と、が記録されている。売上データd9は、電子機器30Aで生成され、鍵D1で暗号化されたデータである。また、SAM40Cには、フラッシュメモリ47に、鍵T3と、鍵D3と、端末ID203と、鍵R(図示略)と、が記憶されている。
【0157】
メモリカード70A〜70Cに記憶されるデータは、売上データd7〜d9の他に、買い物を返品されたときなどの取消処理で生成された取消記録でもよい。これらはメモリカード70A〜70Cに記録されているので、電子機器を別の代替機材に替えてもセンタサーバ10cに決済金を請求することが可能である。
【0158】
また、図18に示すように、センタサーバ10cの記憶部15には、認証テーブル151cが記憶される。認証テーブル151cは、ログインID152と、端末ID153と、鍵154と、第4の情報としての許可情報155と、電子機器30A〜30Cに対応する固有情報を特定するための固有情報156と、を有する。電子機器のログインID152、端末ID153、鍵154、許可情報155、固有情報156は、端末ID201,202,203に関し設定されているものとする。固有情報は、電子機器30A〜30Cにそれぞれ対応して、固有情報301〜303が設定されている。
【0159】
許可情報155は、本実施の形態では、電子機器が故障した場合に、その復旧処理を許可するか否かの情報、その代替機器を提供したか否かの情報などが含まれる。例えば、ある電子機器の復旧を許可し、代替機器を提供した場合に、許可情報155が動作許可に設定される。例えば、ある電子機器が故障しているとの連絡があり、代替機器を提供していない場合に、許可情報155が動作不許可に設定される。
【0160】
次に、図19及び図20を参照して、決済システム4の動作を説明する。図19に、第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理の流れを示す。図20に、図19の第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理の続きの流れを示す。第3の情報処理、第3のSAM使用許可処理は、電子機器30A、SAM40Aの組み合わせ、電子機器30B、SAM40Bの組み合わせ、又は電子機器30C、SAM40Cの組み合わせ、で実行される。また、電子機器30A〜30Cにおけるログイン処理の説明は省略する。
【0161】
センタサーバ10cで実行される第3の端末管理処理を説明する。センタサーバ10cにおいて、例えば、通信部16を介して、端末ID及び暗号化端末IDを受信開始したことをトリガとして、記憶部15から読み出されて適宜RAM13に展開された第3の端末管理プログラムとCPU11との協働で、第3の端末管理処理が実行される。
【0162】
ステップS81〜S85は、第1の端末管理処理のS11〜S15と同様である。そして、ステップS86において、通信部16を介して、決済処理データに対応するデータ要求が電子機器から受信されると、記憶部15から認証テーブル151cが読み出される。そして、決済処理データの構成に必要な共有情報d10と、データ要求送信元の端末ID153に対応する固有情報156に対応する固有情報d11と、が記憶部15から読み出され、読み出した共有情報及び固有情報がマージされる(ステップS86)。
【0163】
そして、通信部16を介して、ステップS86でマージされた共有情報及び固有情報が、データ要求送信元の電子機器に送信され(ステップS87)、第3の端末管理処理が終了する。
【0164】
次いで、電子機器30A〜30Cで実行される第3の情報処理を説明する。電子機器30A〜30Cにおいて、例えば、電源投入されたことをトリガとして、フラッシュメモリ35から読み出されて適宜RAM33に展開された第3の情報処理プログラムとCPU31との協働で、第3の情報処理処理が実行される。
【0165】
ステップS91〜S94は、第1の情報処理のステップS21〜S24と同様である。そして、フラッシュメモリ35に決済処理データが記憶されているか否かが判別される(ステップS95)。決済処理データが記憶されていない場合(ステップS95;NO)、ステップS86に対応して、通信部36を介して決済処理データに対応するデータのデータ要求がセンタサーバ10cに送信される(ステップS96)。
【0166】
そして、ステップS87に対応して、通信部36を介して、共有情報及び固有情報がセンタサーバ10bから受信され、共有情報及び固有情報に基づいて決済処理データが生成される(ステップS97)。生成された共有情報及び固有情報は、鍵Dn(n:1,2又は3)で暗号化されフラッシュメモリ35に記憶される。決済処理データが記憶されている場合(ステップS95;YES)、ステップS98に移行される。
【0167】
ステップS98〜S100は、第1の情報処理のステップS25〜S27と同様である。また、ステップS98、S99において、売上データd7〜d9は、鍵DnでSAM40A〜40Cにより復号化され、鍵Tnで暗号化されてセンタサーバ10cに送信される。センタサーバ10cは、暗号化された売り上げデータを電子機器30A〜30Cから受信して鍵Tnで復号化して記憶部15に記憶する。ステップS100の実行後、第3の情報処理が終了する。
【0168】
次いで、SAM40A〜SAM40Cで実行される第3のSAM使用許可処理を説明する。SAM40A〜SAM40Cにおいて、例えば、通信部46を介して、端末ID要求を電子機器30A〜30Cから受信開始したことをトリガとして、ROM45から読み出されて適宜RAM43に展開された第3のSAM使用許可プログラムとCPU41との協働で、第3のSAM使用許可処理が実行される。
【0169】
ステップS101〜S107は、第1のSAM使用許可処理のステップS31〜S37と同様である。ステップS107の実行後、第3のSAM使用許可処理が終了する。
【0170】
この結果、例えば、SAM40Cとメモリカード70Cとを除く部分の電子機器30Cが故障した場合、SAM40Cとメモリカード70Cとを代替の電子機器に差し替えることで復旧を行わせることが可能になる。代替の電子機器は、決済処理データd6をフラッシュメモリ35に記憶していないが、ステップS96,S97でセンタサーバ10cから共有情報及び固有情報をダウンロードして決済処理データd6を復元できる。SAM及びメモリカードの故障率は、他の部分に比べれば低いため、故障時の停止時間を大幅に少なくすることが可能である。
【0171】
本実施の形態によれば、電子機器が故障し、決済処理データを使用できなくても、電子機器の代替の電子機器が用意できれば、その電子機器の動作許可後に、決済処理データに対応する共有情報及び固有情報をセンタサーバ10cからダウンロードできる。このため、電子機器が故障しても、代替機材さえ用意できれば、決済システム4(電子機器)を即時に復旧でき、故障時の復旧を迅速化できる。
【0172】
また、許可情報155を参照して、代替機材を用意したことをセンタサーバ10cでチェックした上で復旧作業を許可する。このため、資格のある電子機器にのみ復旧データをダウンロード許可し、セキュリティ強度を高めることができる。
【0173】
また、電子機器で決済処理した処理結果の売上データd7〜d9は、メモリカード70A〜70Cに記憶する。このため、電子機器が故障しても処理結果のデータを保存でき、電子機器の復旧を容易にできる。
【0174】
なお、上記各実施の形態及び変形例における記述は、本発明に係る認証装置、認証システム及びプログラムの一例であり、これに限定されるものではない。
【0175】
上記実施の形態及び変形例では、SAMが電子機器から取り外せる構成としたが、取り外せなくてもセキュリティ強度上は同じである。
【0176】
また、例えば、上記実施の形態及び変形例で説明したこの電子機器を音楽プレーヤのようなものとすれば、この仕組みで契約者を特定するような用途にも使用できる。すなわち、センタサーバでオンライン販売の契約を確認できなければ楽曲のダウンロードを許可しない、というような形態も可能である。
【0177】
また、センタサーバは、電子機器に接続されたSAMの異常検出部44の動作情報、電池バックアップされているはずの情報の正当性チェック情報、電子機器を構成するコンポーネント類における認証可否情報、復号化したデータの正当性情報を、電子機器を介して入手し、管理上の判断材料とすることができる。
【0178】
また、上記各実施の形態及び変形例では、SAM内の鍵の暗号化及び復号化をSAM内で行う構成として説明したが、これに限定されるものではない。例えば、電子機器の動作許可後に、その電子機器内でSAMの鍵を用いて暗号化及び復号化可能な構成としてもよい。
【0179】
また、上記各実施の形態及び変形例では、電子機器(SAM)で第1の情報としての端末IDを鍵Tnで暗号化し、センタサーバに暗号化端末ID及び暗号化していない端末IDを送信する構成としたが、これに限定されるものではない。端末IDに代えて、他の情報を第1の情報とする構成としてもよい。
【0180】
さらに、鍵T1で暗号化した第1の情報と、当該第1の情報を識別するための第2の情報とを、電子機器からセンタサーバに送信し、センタサーバにおいて、受信した暗号化された第1の情報を鍵T1で復号化し、復号化した第1の情報と、受信した第2の情報とが対応するか否かを判別し、対応する場合に、暗号化OK信号を生成して電子機器に送信し、対応しない場合に、暗号化拒否信号を生成して電子機器に送信する構成としてもよい。この構成では、例えば、センタサーバが、第1の情報と第2の情報との対応関係を示すテーブル等のデータを記憶部15に記憶し、当該テーブルを参照して第1の情報と第2の情報とが対応するか否かを判別する構成としてもよい。第2の情報としては、例えば、電子機器、ECR等のログインID等の情報としてもよく、電子機器(SAM)側において他の鍵で暗号化した端末ID等の情報を第2の情報とする構成としてもよい。
【0181】
また、上記各実施の形態及び変形例のうちの少なくとも2つを適宜組み合わせる構成としてもよい。
【0182】
また、上記各実施の形態及び変形例における決済システム1〜4の各構成要素の細部構成及び細部動作に関しては、本発明の趣旨を逸脱することのない範囲で適宜変更可能であることは勿論である。
【図面の簡単な説明】
【0183】
【図1】本発明に係る第1の実施の形態の決済システム1の構成を示すブロック図である。
【図2】センタサーバ10の内部構成を示すブロック図である。
【図3】電子機器30の内部構成を示すブロック図である。
【図4】SAM40の内部構成を示すブロック図である。
【図5】決済システム1の各装置に記憶される情報を示す図である。
【図6】認証テーブル151の構成を示す図である。
【図7】第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理を示すフローチャートである。
【図8】図7の第1の端末管理処理、第1の情報処理、第1のSAM使用許可処理の続きを示すフローチャートである。
【図9】第1の実施の形態の変形例の決済システム2の構成を示すブロック図である。
【図10】決済システム2の各装置に記憶される情報を示す図である。
【図11】認証テーブル151aの構成を示す図である。
【図12】本発明に係る第2の実施の形態の決済システム3の構成を示すブロック図である。
【図13】ECR20A〜20Cの内部構成を示すブロック図である。
【図14】認証テーブル151bの内部構成を示す図である。
【図15】第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理を示すフローチャートである。
【図16】図15の第2の端末管理処理、ログイン処理、第2の情報処理、第2のSAM使用許可処理の続きを示すフローチャートである。
【図17】本発明に係る第3の実施の形態の決済システム4の構成を示すブロック図である。
【図18】認証テーブル151cの内部構成を示す図である。
【図19】第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理のを示すフローチャートである。
【図20】図19の第3の端末管理処理、第3の情報処理、第3のSAM使用許可処理の続きを示すフローチャートである。
【符号の説明】
【0184】
1,2,3,4 決済システム
10,10a,10b,10c センタサーバ
11 CPU
12 入力部
13 RAM
14 表示部
15 記憶部
16 通信部
17 バス
30,30A,30B,30C 電子機器
31 CPU
32 入力部
33 RAM
34 表示部
35 フラッシュメモリ
36 通信部
37 接続部
38 カードリーダ
39 接続部
39a バス
40,40A,40B,40C SAM
41 CPU
42 暗号演算部
43 RAM
44 異常検出部
45 ROM
46 通信部
47 フラッシュメモリ
48 バス
20A,20B,20C ECR
21 CPU
22 入力部
23 RAM
24 表示部
25 記憶部
26 通信部
27 プリント部
28 ドロア
29 接続部
29a バス
50A,50B,50C メモリカード
60 ICカード
70,70A,70B,70C メモリカード
【特許請求の範囲】
【請求項1】
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段と、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段と、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段と、
を備える認証装置。
【請求項2】
請求項1に記載の認証装置と、
前記耐タンパモジュール及び前記端末装置と、を備え、
前記耐タンパモジュールは、
前記第1の鍵を含むデータを記憶する第2の記憶手段と、
情報の暗号化又は復号化を行う暗号演算手段と、
第1の情報を前記暗号演算手段に前記第1の鍵で暗号化させ、当該暗号化された第1の情報を前記端末装置に送出する第2の制御手段と、を備え
前記端末装置は、
前記認証装置と通信を行う第2の通信手段と、
前記暗号化された第1の情報を前記耐タンパモジュールから取得して第2の情報とともに前記第1の通信手段を介して前記認証装置に送信し、前記暗号化された動作可否情報を前記認証装置から受信し、当該暗号化された動作可否情報を前記耐タンパモジュールに送出する第3の制御手段と、を備え、
前記第2の制御手段は、前記暗号化された動作可否情報を前記端末装置から取得して前記暗号演算手段に前記第1の鍵で復号化させ、復号化された動作可否情報が動作許可であるか否かを判別し、動作許可である場合に、前記第2の記憶手段に記憶されたデータの使用を前記端末装置に許可設定する認証システム。
【請求項3】
前記端末装置及び耐タンパモジュールの組み合わせを複数備え、
前記第1の記憶手段は、前記複数の組み合わせのそれぞれに対応する第2の鍵を記憶し、
前記第1の制御手段は、前記暗号化された第1の情報を、送信元の端末装置に対応する前記第2の鍵で復号化し、前記動作許可の動作可否情報を当該第2の鍵で暗号化する請求項2に記載の認証システム。
【請求項4】
前記第1の制御手段は、前記第2の情報に対応した第1の情報が、当該第1の情報の送信元の端末装置及び前記認証装置の関係に関する第3の情報に対応するか否かを判別し、当該第3の情報に対応する場合に、前記動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する請求項2又は3に記載の認証システム。
【請求項5】
前記端末装置は、前記認証装置と接続されて前記第3の情報を有する外部機器に接続され、
前記第1の制御手段は、前記第3の情報を前記外部機器から取得する請求項4に記載の認証システム。
【請求項6】
前記端末装置は、
第3の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可設定された場合に、処理に用いる第4の情報が前記第3の記憶手段に記憶されているか否かを判別し、当該第4の情報が記憶されていない場合に、前記第2の通信手段を介して、当該第4の情報の要求を前記認証装置に送信して当該第4の情報を受信し、
前記第1の制御手段は、前記第1の通信手段を介して、前記第4の情報の要求を前記端末装置から受信すると当該第4の情報を当該端末装置に送信する請求項2から5のいずれか一項に記載の認証システム。
【請求項7】
前記端末装置に接続される第4の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可設定された場合に、各種処理を行い、各種処理結果のデータを前記第4の記憶手段に記憶させる請求項2から6のいずれか一項に記載の認証システム。
【請求項8】
前記第1の記憶手段は、前記第4の情報を前記端末装置に提供することを許可するか否かを示す提供可否情報を記憶し、
前記第1の制御手段は、前記第1の記憶手段に記憶された提供可否情報に基づいて前記第4の情報が提供許可であるか否かを判別し、提供許可である場合に、動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する請求項6又は7に記載の認証システム。
【請求項9】
コンピュータを、
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段、
として機能させるためのプログラム。
【請求項1】
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段と、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段と、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段と、
を備える認証装置。
【請求項2】
請求項1に記載の認証装置と、
前記耐タンパモジュール及び前記端末装置と、を備え、
前記耐タンパモジュールは、
前記第1の鍵を含むデータを記憶する第2の記憶手段と、
情報の暗号化又は復号化を行う暗号演算手段と、
第1の情報を前記暗号演算手段に前記第1の鍵で暗号化させ、当該暗号化された第1の情報を前記端末装置に送出する第2の制御手段と、を備え
前記端末装置は、
前記認証装置と通信を行う第2の通信手段と、
前記暗号化された第1の情報を前記耐タンパモジュールから取得して第2の情報とともに前記第1の通信手段を介して前記認証装置に送信し、前記暗号化された動作可否情報を前記認証装置から受信し、当該暗号化された動作可否情報を前記耐タンパモジュールに送出する第3の制御手段と、を備え、
前記第2の制御手段は、前記暗号化された動作可否情報を前記端末装置から取得して前記暗号演算手段に前記第1の鍵で復号化させ、復号化された動作可否情報が動作許可であるか否かを判別し、動作許可である場合に、前記第2の記憶手段に記憶されたデータの使用を前記端末装置に許可設定する認証システム。
【請求項3】
前記端末装置及び耐タンパモジュールの組み合わせを複数備え、
前記第1の記憶手段は、前記複数の組み合わせのそれぞれに対応する第2の鍵を記憶し、
前記第1の制御手段は、前記暗号化された第1の情報を、送信元の端末装置に対応する前記第2の鍵で復号化し、前記動作許可の動作可否情報を当該第2の鍵で暗号化する請求項2に記載の認証システム。
【請求項4】
前記第1の制御手段は、前記第2の情報に対応した第1の情報が、当該第1の情報の送信元の端末装置及び前記認証装置の関係に関する第3の情報に対応するか否かを判別し、当該第3の情報に対応する場合に、前記動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する請求項2又は3に記載の認証システム。
【請求項5】
前記端末装置は、前記認証装置と接続されて前記第3の情報を有する外部機器に接続され、
前記第1の制御手段は、前記第3の情報を前記外部機器から取得する請求項4に記載の認証システム。
【請求項6】
前記端末装置は、
第3の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可設定された場合に、処理に用いる第4の情報が前記第3の記憶手段に記憶されているか否かを判別し、当該第4の情報が記憶されていない場合に、前記第2の通信手段を介して、当該第4の情報の要求を前記認証装置に送信して当該第4の情報を受信し、
前記第1の制御手段は、前記第1の通信手段を介して、前記第4の情報の要求を前記端末装置から受信すると当該第4の情報を当該端末装置に送信する請求項2から5のいずれか一項に記載の認証システム。
【請求項7】
前記端末装置に接続される第4の記憶手段を備え、
前記第3の制御手段は、前記第2の制御手段により前記第2の記憶手段に記憶されたデータが使用許可設定された場合に、各種処理を行い、各種処理結果のデータを前記第4の記憶手段に記憶させる請求項2から6のいずれか一項に記載の認証システム。
【請求項8】
前記第1の記憶手段は、前記第4の情報を前記端末装置に提供することを許可するか否かを示す提供可否情報を記憶し、
前記第1の制御手段は、前記第1の記憶手段に記憶された提供可否情報に基づいて前記第4の情報が提供許可であるか否かを判別し、提供許可である場合に、動作許可の動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する請求項6又は7に記載の認証システム。
【請求項9】
コンピュータを、
耐タンパモジュールが接続された端末装置と通信を行う第1の通信手段、
前記耐タンパモジュールが有する第1の鍵に相応する第2の鍵を記憶する第1の記憶手段、
前記第1の鍵で暗号化された第1の情報及び当該第1の情報を識別するための第2の情報を前記第1の通信手段を介して当該端末装置から受信し、当該暗号化された第1の情報を前記記憶された第2の鍵で復号化し、当該復号化した第1の情報と前記第2の情報とが対応するか否かを判別し、対応する場合に、前記耐タンパモジュールのデータの使用を伴う動作を当該端末装置に許可する動作可否情報を前記第2の鍵で暗号化して前記第1の通信手段を介して前記端末装置に送信する第1の制御手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2008−242922(P2008−242922A)
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願番号】特願2007−84019(P2007−84019)
【出願日】平成19年3月28日(2007.3.28)
【出願人】(000001443)カシオ計算機株式会社 (8,748)
【Fターム(参考)】
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願日】平成19年3月28日(2007.3.28)
【出願人】(000001443)カシオ計算機株式会社 (8,748)
【Fターム(参考)】
[ Back to top ]