JP3802074B2 - 携帯可能な身分証明要素でのトランザクション方法 - Google Patents
携帯可能な身分証明要素でのトランザクション方法 Download PDFInfo
- Publication number
- JP3802074B2 JP3802074B2 JP53612398A JP53612398A JP3802074B2 JP 3802074 B2 JP3802074 B2 JP 3802074B2 JP 53612398 A JP53612398 A JP 53612398A JP 53612398 A JP53612398 A JP 53612398A JP 3802074 B2 JP3802074 B2 JP 3802074B2
- Authority
- JP
- Japan
- Prior art keywords
- transaction
- customer
- identification element
- identification
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/325—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
- G06Q20/3255—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks using mobile network messaging services for payment, e.g. SMS
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/105—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems involving programming of a portable memory device, e.g. IC cards, "electronic purses"
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3229—Use of the SIM of a M-device as secure element
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/327—Short range or proximity payments by means of M-devices
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
- Cash Registers Or Receiving Machines (AREA)
- Credit Cards Or The Like (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Chair Legs, Seat Parts, And Backrests (AREA)
Description
本発明は電気通信網における注文を伝送するための方法と装置に関する。本発明は、特に顧客と、電気通信網を介してサーバに接続している、固定されたPOT機器との間でのトランザクション方法、およびそのトランザクション方法に適した装置に関する。
これまでの技術の水準に従って、1人の顧客(またはクライアント、C)と端末とのトランザクション、ここでは、ポイント・オブ・トランザクション(POT)と呼ばれるが、たとえば、ポイント・オブ・セール(POS)との間では、たとえば、電子的な支払いカードで実行されることが多い。デビットカード、クレジットカードは、たとえば、商店、ガソリンスタンドのレジなどで使われる。ほとんどのカードには記憶装置媒体、たとえば、磁気テープおよび、またはチップが含まれており、この中には特に顧客の識別文字が入っている。POTの所有者または事業者とのトランザクションを行うために、たとえば、商店で、ある商品の支払いをするためには、顧客は自分のカードをPOT機器の適当なカード読み取り器に差し込まなければならない。POTは、カードの中の顧客識別文字を読み取り、算定し、支払い金額を示し、場合によっては顧客の支払能力を審査し、顧客に、POT機器の承認キーでトランザクションを承認するように要求する。顧客に支払能力があり、承認が入力されたなら、顧客識別文字、支払い額、場合によってはPOT識別文字も、電気通信網によってPOTと結びついており、金融機関によって管理される金融サーバーに伝送される。それに応じてただちに、または後に、金融機関にある顧客の口座から金額が引き落される。
この方法の欠点は、顧客のカードを見知らぬ機器に差し込まなければならないことである。顧客は、通常は、カードを手には持っておらず、たとえば、財布にしまっているので、スピーディなトランザクションは不可能である。カードを取り出してPOTの読み取り器に入れるのに手間のかかる場合もある。特にPOTが駐車場の駐車券自動販売機、または自動支払機の場合、運転者は車から降りないでサービスを受けられるようにすべきである。
そのほかに詐欺的な行為、またはカードの記憶装置部分での不正読み取りがPOTにおいて行われることもある。
現在、若干のチップカードにはマイクロプロセッサが入っているならば、こうしたデビットカード、クレジットカードは本質的には能動的な要素であり、それらはデータを保存し、それは本質的にはPOTの電子技術によって保存され、使用される。それに対して、顧客は、普通は、カードを発行する金融機関の窓口、または自動預払機に行かなければ、直接、データにアクセスすることはできない。顧客が、カードで行われたトランザクションをコントロールしたり、それを記帳することは困難である。
このカードには顧客識別文字が入っており、これは発行金融機関に顧客の身分証明をすることだけを可能にする。つまり、通常、カードは、顧客とPOT使用者が同じ金融機関に関係する場合に限り金融トランザクションのために使うことができる。それに対してその他のトランザクション、たとえば、顧客・カード使用者の識別文字が必要な非金融的なトランザクションのためにカードを使用することは想定されていない。顧客が、たとえば、さまざまな金融トランザクション、非金融トランザクションのために、たとえば、さまざまな金融機関または商店が管理する多くのデビットカード、クレジットカード、または特定のゾーンへの入場カードまたは予約カードをいくつも持つことは面倒である。こうしたカードのほとんどは、さまざまなピン・コードで保護されており、それを顧客は苦労して覚えなければならない。
カードの盗難、または詐欺的取引の場合、カード使用は阻止されなければならない。しかし、カードが対応する機器に差し込まれてはじめて阻止・遮断が可能になる。通常のクレジットカードは手で動かす機器で使用できる。それゆえカード使用を確実に阻止することは不可能である。
デビットカード、クレジットカードのほかに、さまざまなPOT設置場所で、支払い媒体として受け入れられるお金を電子的に保存できるいわゆるe−cashカードが使われる。このカードに金額を加算するためには、顧客は金融機関の窓口で要請するか、または自動預払い機で行わなければならないが、これは常に可能とはかぎらない。
特許申請書EP708547A2には1つの方法と1つの装置が記述されており、これによれば、携帯電話で商品とサービスを購入する場合、1人の顧客にクレジットが認められる。EP708547A2に記述されている方法に従って、顧客と売り手はトランザクションパスワードを取り決め、それが顧客の携帯電話によって、携帯電話の機器番号と共に、およびこの携帯電話に割り当てられた番号ともに、売り手側の装置の受信部分に伝送される。売り手の装置には、顧客から受け取ったデータに売り手識別文字およびトランザクションドキュメントが追加され、すべての情報がクレジットセンターへ伝送され、そこで、顧客のクレジット能力が判定され、その結果が売り手に伝送される。
特許申請書WO94/1 1849には1つの方法が記述されており、これによれば、携帯電話に接続しているSIMカード(加入者識別モジュール)を使って金融トランザクションが可能となる。WO94/1 1849に記述されている方法では、顧客が個人的なコードをこのSIMカードの正当な使用のために入力し、提供された通信網で顧客が選んだ金融機関への接続を行うと、顧客は自分のSIMカードに基づくモバイル無線網のサービスによって認証され、その金融機関でさまざまな金融トランザクションを実行できる。SIMカードを使うための通信機器は、たとえば、商店に設置し、顧客が利用できるようにし、金額が入力され、その金額が金融機関に照会され、受け入れられると顧客に貸し方記入され、商店の通信機器を経て、貸し方記入のための支払い番号で確認される。
本発明の課題は上記問題を回避できる方法またはシステムを提案することである。
本発明のもう1つの課題は、金融トランザクションだけではなく、非金融的なトランザクションにも適しており、通常のトランザクション方法に比べ簡単で信頼性のあるトランザクション方法を提案することである。
本発明に従って、この目的は、独立した請求項に記されている要素によって達成される。その他の有利な実施例は、従属する請求項および説明から明らかになる。
特にこの目的は、顧客と、電気通信網に接続しているPOT機器(たとえば、POS)との間のトランザクション方法によって達成され、その機器はこの電気通信網によってサーバと接続しており、その際、その方法には、少なくともPOT機器識別文字付きの顧客識別文字をPOT機器にまとめ、その機器識別文字はPOT機器において読まれるか、または把握され、トランザクション特有のデータと共に1つのトランザクションドキュメントにまとめること、およびこのトランザクションドキュメントを電気通信網を介してサーバに伝送することが含まれており、顧客識別文字は顧客の携帯できる身分証明要素の記憶装置に保存されており、それは1つ以上のプロセッサを持ち、接点なしのインタフェースでPOT機器と通信でき、その際、顧客識別文字は身分証明要素において読み取られ、接点なしのインタフェースでPOT機器へ伝送され、その際、POT機器からトランザクションドキュメントをサーバに伝送する前に、少なくともトランザクション特有のデータと顧客識別文字を含む、引き落し要求が、直接、接点なしのインタフェースを経て顧客の身分証明要素へ検証のために伝送される。
他の形態の実施例では、サーバは1つのエアインタフェースを経て、たとえば、モバイル無線網を介してモバイルシステム(たとえば、身分証明カード付きのモバイル機器)と通信できる。金融トランザクションならば、それによってモバイル機器に保存された金額がサーバから、エアインタフェースで伝送される電子メッセージで再ロードされる。金額は、好適には、標準通貨で定義される。
モバイルシステムとPOT機器との間の接点なしの伝送は、たとえば、識別文字カードまたはモバイル機器に統合されている電磁的なインタフェースによって、たとえば、誘導コイルのインタフェース、または赤外線送受信システムによって可能である。
トランザクションドキュメントは、好適には、対称のアルゴリズムで暗号化されて、サーバに送られ、その際、対称のアルゴリズムは非対称のアルゴリズムで暗号化されたセッション鍵を使う。トランザクションドキュメントは、好適には、さらに証明書が付けられてから、金融サーバに送られる。好適には、モバイルシステムと金融サーバの間の伝送区間では、end−to−end保証がなされる。
本発明について、実施例の説明および添付の図面によってさらに詳しく説明する。
図1は、本発明のシステムの第1の実行例の情報の流れを示すブロック図であり、顧客は携帯電話を持っており、好適には、特別の簡略メッセージを送受信できるGSMモバイル機器を備えている。
図2は、本発明のシステムの第2の実行例の情報の流れを示すブロック図であり、その際、顧客は携帯電話を持っており、好適には、特別の簡略メッセージを送受信できるGSMモバイル機器を備えており、POT機器はインターネット、またはイントラネットに適した機器である。
図3は、本発明のシステムの第3の実行例の情報の流れを示すブロック図であり、顧客はトランスポンダを持っており、それは、少なくとも特別の簡略メッセージを処理でき、その際、POT機器は特別の簡略メッセージ、たとえば、SMS簡略メッセージ、またはUSSD簡略メッセージを受信、およびまたは送信できる。
図4は、本発明のシステムの第4の実行例の情報の流れを示すブロック図であり、顧客はトランスポンダを持っており、それは、少なくともSICAPサブルーチンの一部を実行でき、その際、POT機器はインターネット、またはイントラネットに適した機器であり、それは特別の簡略メッセージ、たとえば、SMS、簡略メッセージ、またはUSSD簡略メッセージを受信、およびまたは送信できる。
図5は、本発明に従った支払いトランザクション方法の流れ図である。
図6は、SIMカードでの、考えられる再ロードトランザクション方法の流れを示す。
図7は、本発明のシステムの第5の実施例における情報流れを示すブロック図である。
図8は、本発明のシステムの第6の実施例における情報流れを示すブロック図である。
図9は、本発明のシステムの第7の実施例における情報流れを示すブロック図である。
図10は、メッセージの署名を説明するブロック図である。
図11は、署名の検証を説明するブロック図である。
図12は、署名および署名の検証を説明するブロック図である。
図13は、メッセージの暗号化を説明するブロック図である。
図5、図6に示す方法は図1から図4に示す任意のシステムで実行できる。第1と第2のバリエーションは1つのモバイル機器、または赤外線または誘導的なインタフェースが追加されている1つのSIMカードを必要とする。これについては後に詳しく説明する。
図1は、本発明の第1の実施例における情報流れを示す。顧客は1つのモバイルシステムを有しており、この場合は、GSMモバイル機器1を持っている。モバイル機器1には1つの識別カード10、たとえば、SIMカードが含まれており、これによってネットワーク6、好適には、GSM網の顧客が識別される。SIMカードは通常のマイクロコントローラ100であり、これはカードの合成物質ケースに入っており、たとえば、T.GrigorovaおよびI.Leungが論文「SIM カード」で記述しているように、カードのGSM機能を担う。この論文は「オーストラリア電気通信ジャーナル」1993年、2号、43巻、33−38ページに載っている。さらに、マイクロコントローラは、後からSIMカードにロードされる新しい機能を担う。SIMカードはそのほかに、図には示されていない接触媒体になり、これを介して、カードが差し込まれたモバイル機器1とカードの通信が行われる。
SIMカードはそのほかに第2のプロセッサ101(CCI,Contactfree Chipcard Interface)になり、これはPOT機器2との接点なしの接続を担う。第2のプロセッサは、特に、下記に説明するTTP(Trusted Third Party,第3者信託)機能を実行するので、符号化され、署名されたメッセージが受信され、送信される。論理インタフェース102は2つのプロセッサ101、102を結合する。
POT機器2との接点なしインタフェースは、たとえば、SIMカードに統合され、第2のプロセッサ101と結びついている1つ以上のコイル(図示せず)を持っており、これによってデータを両方向に無線区間を経て誘導的に伝送できる。誘導コイルは変形させるとモバイル機器のケースに統合できる。第3のバリエーションにすると、接点なしインタフェースにはモバイル機器のケースへの赤外線送受信機が含まれる。2つの機器の間の接点なし通信は、好適には、たとえば、DEA、DES、TDES、RSA、またはECC安全アルゴリズムで暗号化される。
POTからチップカードへ誘導的に信号を伝送する場合、好適には、位相変調方式が使われ、一方では逆方向で、好適には、信号の振幅が変調される。
SIMカードには、好適には、特別フィールドIDUI(国際デビットユーザ識別文字)が含まれ、これによって顧客はPOT事業者および、または金融機関によって識別される。識別文字IDUIは、好適には、2つのプロセッサ101、102のいずれかの保護された記憶装置領域に保存される。IDUIには少なくともネットワーク事業者、同一ネットワーク事業者の場合にその他の顧客を識別するユーザ番号、サービスを利用できるかどうかを決めるユーザ等級ステートメント、および任意で国識別文字が含まれる。そのほかにIDUIには、安全データ、特にトランザクションカウンタTz、国トークン、LTc、および有効期限を指示するTime Out Feld TOが含まれる。これらのさまざまなデータの関数については後に説明する。
符号で表わされているPOT機器2にも同様に接点なしの送受信機20が取り付けてあり、これは、たとえば、誘導コイルであったり、赤外線送受信機であることもある。こうしたインタフェースのおかげで、モバイルシステム1、10は接点なしで機器2と両方向に通信できる。
端末またはPOT機器2は、たとえば、商店の無線インタフェース20を持つ特別のPoint of Sale(POS)にすることができる。POT機器2は非金融的用途にも使用できる。たとえば、特定の場所、たとえば、ホテルの部屋、営業所、劇場、映画館、または遊園地への出入りを許可する入場制御装置(電子の守衛)のための鍵にすることもできる。POT機器は特別フィールドPOSID(Point of Sale identification)で識別される。POSIDは用途に依存する。商店のレジの場合、POSIDには、ネットワーク事業者の識別文字、エリア識別文字(ある国の地域区分)、別のPOSをネットワーク事業者が識別するためのPOS番号、使用するか、または提供することが許されるサービスの種類を定めるPOS等級ステートメント、日付、時間、使用する通貨(SDR、ユーロ、またはドル)および任意で国識別文字が入っている。
POT機器2には、好適には、データ入力媒体(図示せず)、たとえば、キーボード、およびデータ表示媒体(図示せず)、たとえば、ディスプレイがついている。
IDUI識別文字は、POTに接点なしのインタフェース10/101を経て伝えられ、POT機器でPOSIDに、およびトランザクション特有のデータ、たとえば、把握されたデビット額Aに結合されて、電子的なトランザクションドキュメントが作られ、それは、TTP(Trusted Third Party)処理、またはPTP(Point to Point)処理で暗号化され、署名される。TTP方法についての詳しい説明は付録にて行う。
トランザクションドキュメントは、モデム(図示せず)を介して、および通信網5、たとえば、公共の固定網5、またはモバイル無線網によってそれらのネットワークと接続しているクリアリングユニット3に伝えられる。これは、国またはトラヒック領域に関係なく、および顧客の国、または金融機関に関係なく、さまざまなPOT機器2の電子ドキュメントを受信する。クリアリングユニット3ではこれらのトランザクションドキュメントが金融機関別に、場合によってはオペレータ別に整理され、対応する金融機関に送られる。クリアリングユニットそれ自体はGSM技術においては既知であり、たとえば、接続コストの徴収と分配のために使われる。クリアリングユニットは、たとえば、データバンクを含んでおり、これは、あらかじめIDUIで識別された顧客がどの金融機関に関係するかを知らせる。
クリアリングユニット3によって処理された電子的なトランザクションドキュメントは、対応する金融機関の金融サーバ4、4’または4”に送られる。金融サーバでは、届いたトランザクションドキュメントがまず復号され、中間記憶装置43に保存される。整合管理モジュール42が、顧客が署名した金額を、POT事業者の対応する銀行口座420、420’および、または420”の貸方に記入する。これらの口座は同じ金融機関または別の金融機関によって管理できる。整合管理モジュールはそのほかに顧客の口座の制御記帳を行う。それに応じて金融機関の顧客の口座41から金額が引き落されるか、またはトランザクションデータが事後の制御のために保存される。金融サーバには、そのほかにTTP(Trusted Third Party)アルゴリズムでドキュメントとメッセージを符号化し、署名するためのTTPサーバ40が含まれる。そのほかに個々の金融サーバ4はSIMサーバ70、たとえば、SICAPサーバと接続している。SICAP方法は、特に特許EP689368に記述されており、この方法では、データファイル、プログラムおよび金額を、SICAPサーバ70とモバイル機器1のSIMカード10の間の公共のGSMネットワーク6を介して交換する(矢印60)ことが可能になる。その他の伝送プロトコルはSIMサーバとSIMカードの間でのデータ伝送のためにも使える。それによって、後で詳しく説明するように、たとえば、SIMカード10にお金を再ロードできる。SIMサーバ70は、そのほかに顧客と、金融機関のTTPサーバ40との間での制御された通信を可能にする。
図2は、発明の第2の実施例における情報流れを示す。顧客はこの実施例ではモバイルシステム、たとえば、SIMカード、好適には、SICAP向きのSIMカード付きのGSM携帯電話1を持っている。誘導インタフェースまたは赤外線インタフェースもモバイルシステム1に含まれており、それによってPOT機器2との接点なし接続が可能になる。データおよび、またはプログラムを、この方法により両方向で、POT機器2とモバイルシステムのSIMカード10との間で交換できる。
しかし、POT機器2はこの場合計算機であり、これは、好適には、1つのネットワーク、たとえば、インターネットまたはイントラネットに接続されている。さまざまな情報、または提供品、たとえば、商品を計算機2のディスプレイに適当なメニューでオファーできる。顧客はこの計算機を自分のモバイル機器で制御できる。顧客は、たとえば、販売される商品または情報のメニューのカーソル位置を自分の携帯電話のキーボード11のカーソル移動キーを動かすことによって制御できる。カーソル移動命令は接点なしインタフェース101、20を介して計算機2’に送られる。ユーザは、選んだメニューオプションを承認するために、たとえば、ある商品を注文するために、承認キー、たとえば、キーボードの#を押す。
モバイル1、10に保存されている顧客識別文字は、POT機器識別文字および選んだメニューオプションに対応するトランザクション特有のデータと共に、電子トランザクションドキュメントにまとめられ、TTP暗号化、またはPTP暗号化され、署名される。トランザクションドキュメントには、好適には、SIMカード10から得られる顧客識別文字IDUI、選んだメニューオプションに対応する供給者識別文字および選んだメニューオプションに対応する製品識別文字が、特許申請書PCT/CH96/00464に提案されているように、好適には、Flexmat形式で入っている。このドキュメントはFlexmatモジュール21によって確定される。Flexmatモジュールは、好適には、計算機2’で実行されるソフトウェアの応用である。
第1の実施例と類似して、電子トランザクションドキュメントが対応する金融サーバ4、4’または4”に、クリアリングユニット3によって伝送され、そこで処理される。
図3は、本発明の第3の実施例の情報流れを示す。この例では、顧客は完全なモバイル機器ではなく、トランスポンダ10’を持っており、それは、たとえば、チップカードまたは時計、キーリング、またはフィンガーリングなどの機器に統合できる。トランスポンダは遠隔操作機、たとえば、赤外線遠隔操作機にも統合でき、この遠隔操作機によってPOT機器2と通信できるだろう。トランスポンダ10’には第1プロセッサ100’が含まれ、これは特別の簡略メッセージ、たとえば、SMS簡略メッセージまたはUSSD簡略メッセージを送信、受信、および暗号化できる。好適には、変更すれば第1プロセッサ100’はSICAPおよび、またはTTPモジュールを含み、それはデータファイルとプログラムを、サーバ7とSMS−またはUSSD簡略メッセージによって交換できる。しかし、第1プロセッサ100’にはモバイル無線機能は含まれず、トランスポンダはそれゆえモバイル機器のSIMカードとしては使用できない。
第2のチップ101(CCI,Contactfree Chipcard Interface)は、チップ100にインタフェース102を介して接続され、機器2との接点なし接続を担う。両方の部分機能を持つ1つのチップだけを、使うことももちろん可能である。接点なし接続はこの場合、好適には、トランスポンダ10’の1つ以上の誘導コイルで行われる。
POT機器2”にはこの場合1つの送受信機20が含まれ、その結果トランスポンダ10’との接点なしの通信が行われる。キーボード11とモバイル機器24のついたデータ処理媒体23は、好適には、簡略化されたGSM機器であり、これは特別の簡略メッセージ、たとえば、SMS、USSD簡略メッセージだけを受信、送信できる。キーボードは顧客のための入力媒体になる。
POT機器に統合され、簡略メッセージの伝送に簡略化されたGSM機器24は、トランスポンダ10’とSIMサーバ7の第1応用物との間でのモバイル無線網6によるメッセージ伝送を可能にし、それによって暗号化された再ロード・チェックアッププロセス(矢印60)と、顧客から、SIMサーバ7、たとえば、SICAPサーバにおけるSIMサーバ応用物71へのドキュメント転送(矢印61)が可能になる。バリエーションによっては暗号化された再ロード・チェックアッププロセスとドキュメント伝送をモデムまたはISDN端子22および固定網5を介して行うこともできる。
次に、メッセージとドキュメントが接点なしインタフェース101/20とモバイル無線区間60、61を経てモバイル無線網6を介して伝送される。
図4は、本発明の第4実施例での情報流れを示す。顧客は第3の例と同様に、完全なモバイル機器を持つのではなく、トランスポンダ10’を持つ。POT機器2”’は、第2の例のように、データ処理媒体2’と結びついており、これはFlexmatモジュール21を使用できる。顧客は、制限されたモバイル無線機器24、たとえば、機器2”’の、特別のSMS簡略メッセージまたはUSSD簡略メッセージの伝送に限定されたGSM機器24を介して、SIMサーバ7と通信する。その他の機能は第3の実施例と同じである。
Flexmatモジュール21によって、特許申請書PCT/CH96/00464に記述されているように、注文メッセージを標準化されたフォーマットにして商品または情報の供給者のために準備できる。
支払いトランザクション方法を図5を使って詳しく説明する。この方法は図1から図4に沿った本発明の任意の実施例に適用できる。この流れは、GSMプロセスに限定されるものではなく一般性を持つ。
図5の第1欄は主として顧客のモバイルシステム1に関係する方法ステップを説明する。第2の欄はPOT機器2によって実行される方法ステップ、第3の欄は金融サーバ4による演算、第4の欄は金融機関のさまざまな口座への作用に関係する。しかし、多くの方法ステップは、モバイルシステム1によって、たとえば、SIMカード10の中のプロセスとして、またはPOT機器2のプロセスとして実行できることに留意されたい。たとえば、データ入力は、GSMモバイル機器のように、POTまたは、モバイルシステム1にキーボードがついているならばそれによって行われる。
この方法は、ステップ200で顧客の身分証明カード10、ここでは価値カードに金額(e−cash)がロードされていることを前提にする。価値カードそれ自体は既知である。後で図6に関連して、どのようにして金額が再ロードできるか詳しく説明する。そのほかに特許申請書EP968105700には、SIMカードに金額を再ロードするための方法が記述されている。
モバイルシステム1ないし10は、ステップ201で機能準備完了となり、たとえば、モバイル機器のオンによって接続される。同様にステップ202ではPOT機器2がアクティブ化される。次いでPOT機器2は、ステップ203では放送方式でその次の不特定の顧客を呼び出す(カードページング)。
POT機器とモバイルシステム1、10との接続が作られているなら、ステップ204でモバイルシステムはPOT機器に、それ自身の識別文字IDUI(International Debit User Identification)と支払能力があることの確認を伝える。支払能力が十分あるかどうかはこの瞬間にはまだ確定されない。
POT機器2には、好適には、金融サーバ4によって定期的に活発化される阻止すべき顧客のブラックリストが入っている。顧客から伝えられるIDUIはブラックリストと照合される(ステップ205)。顧客が伝えたIDUIがブラックリストで見つかれば(ステップ206)、ステップ207でブロック(遮断)フラッグが付けられる。見つからなければPOT機器2のキーボード11でトランザクション特有のデータ、たとえば、支払うべきデビット金額Aを入力できる。別の形態にすれば、金額Aをモバイル機器1のキーボードで入力できる。POT機器2、または別の形態のSIMカード10は、このトランザクション特有のデータをPOT機器2の識別文字とIDUIに結合させ、引き落し要求を顧客に送る。そのほかに、好適には、1つの基準通貨、たとえば、SDR、ユーロ、またはドルでの表示が加えられる。
その通信は署名されるので、ステップ210で、引き落し要求がIDUIと相関するかどうかを検証できる。相関していなければ拒否理由がPOT機器2に表示される(ステップ223)。そうでなければ、ステップ211でブロックフラッグが検証される。ついているなら、金融サーバ(4)でチェックアップがなされる(ステップ248)。ついていなければ、エリアチェックアップがなされる(ステップ213)。それによってSIMカードは使用エリアで阻止される。エリアチェックアップがマイナスならば、金融サーバ4とのチェックアップがなされる(ステップ248)。そうでなければタイムアウトチェックアップがなされる(ステップ215)。トランザクションがチェックアップなしでできる間に、有効期限が切れるかどうかが検証される。有効期限が過ぎているならば(216)、金融サーバとのチェックアップがなされる(ステップ248)。そうでなければ、顧客はステップ217でユーザパスワードをモバイル機器1で手動で入力するように要求される。入力されたパスワードが正しければ(ステップ218)、金額Aは場合によっては単位通貨(たとえば、SDR)に換算される(ステップ219)。それによって、このコンセプトの国際的な利用が可能になる。そうでなければステップ223でPOT機器2に拒否とその理由が表示される。
モバイルシステム1/10は次にステップ220で、引き落される金額Aがカードにロードされている金額でカバーされるかどうかを審査する(支払能力審査)。カバーされないならば、POT機器のディスプレイに拒否理由が示される(ステップ223)。
すべての審査が終わると、ステップ222でトランザクションが、増分されるトランザクションカウンタTzで計算される。このカウンタはカード10で行われたトランザクション回数に対応する。ステップ224では次いでデビット金額A、POT機器識別文字POSID、およびユーザ識別文字IDUIがトランザクションドキュメントにまとめられ、これがさらに証明され、任意に暗号化され、場合によってはさらに圧縮される。ECC方式(Elliptic 曲線クリプトシステム)を、証明などのために利用できる。適切な証明方法、暗号化方法については後で例をあげて説明する。
引き落される金額Aは、ステップ225でカード口座に記帳され、トランザクションドキュメントはステップ226で身分証明要素10のスタックに入れられる。顧客の、このカードスタックは、必要ならば金融サーバからの詳細のコントロールのために呼び出すことができる。好適には、顧客自身が、スタックに保存されたトランザクションドキュメントを自分のモバイル機器に表示できる。
ステップ224のあとで、トランザクションドキュメントはPOT機器2に計算のために渡され、署名がPOTによって検証される(ステップ227)。任意でステップ228において、POTのペーパドキュメントが顧客のために印刷される。
ステップ229では、POT機器2で引き落しドキュメントが場合によっては追加のPOSデータと結び付けられ、トランザクションドキュメントがPOT機器によって電子署名され、任意で圧縮され、符号化される。この方法で準備された電子トランザクションドキュメントは、次に任意でステップ230で、POT機器2のスタックに置かれる。スタックにはさまざまな顧客のトランザクションドキュメントが入っている。トランザクションドキュメントは個別にまたはグループ別に、ステップ231の間にクリアリングユニット3に伝送される。伝送はトランザクションのすぐ後に行われるか、または定期的に(たとえば、1時間ごと、または1日ごと)複数のトランザクションドキュメントをスタックから伝送できる。すべてのトランザクションドキュメントを、たとえば、夜間に伝送するために、バッチプロセスを利用することもできる。
クリアリングユニット3は、個別またはグループ毎のトランザクションドキュメントを、同じ地理的ゾーンにある複数のPOT機器2から受信する(ステップ234)。地理的に区分された複数のクリアリングユニットを想定することもできる。ステップ235で、クリアリングユニット3は、さまざまなPOT機器が受信したドキュメントを対応する金融機関またはサービス提供者に分配し、そのトランザクションドキュメントをそれに応じてさらに伝送する。
トランザクションドキュメントが暗号化されているなら、金融サーバ4、4’、4”に送るために、クリアリングユニットによってまず復号し、つぎに再びクリアリングユニットによって暗号化しなければならない。しかし、好適には、バリエーションにすると、フィールドIDUIのデータ要素と、場合によっては、クリアリングに必要なトランザクションドキュメントのPOSIDもPOT機器2では暗号化されない。それによってトランザクションドキュメントの安全でend to end暗号化された伝送がPOT機器と金融サーバ4、4’、4”の間で行われる。
管轄の金融サーバはステップ236でトランザクションドキュメントを受信し、TTPサーバ40はそれを解凍し、(必要なら)復号し、POT機器と顧客による署名の信憑性を検証する。ステップ237ではPOSIDおよび、またはIDUIが取り消しリストにあるかどうかが検証される。POT機器識別文字も顧客識別文字IDUIも取り消しリストに載っていないと、審査がマイナスになり(238)、ステップ239ではロードトークンLTの審査がなされる。ロードトークンLTはカード10の再ロードの回数を表わす。このロードトークンが金融サーバ(LTs)とカード(LTc)で、個々のロードプロセスのあとに現実化される。これについては後に説明する。ロードトークンLTcのコピーはトランザクションドキュメントのフィールドIDUIで伝送される。モバイルシステム1、10が指示するロードトークンLTcは、金融サーバ4に保存されたロードトークンLTsと同じでなければならない。再ロードドキュメントが金融サーバ4とモバイルシステム1、10の間の過程に存在するなら、LTcは一時的にLTsより小さいこともある。金融サーバ4は、LTc≦LTsかどうかを検証する。
ステップ240でこの条件の正当性が立証されないなら、不当な再ロードプロセスが実行され、ステップ241に進む。ここでPOTまたは顧客が偽造したかどうかが判定される。顧客に責任があるなら、顧客はステップ242でブラックリストに登録される。好適には、顧客遮断ドキュメントが作成され、モバイルシステム1、10に送られるので、すべてのPOT機器に、または少なくともあらかじめ決められた地理的範囲にあるすべてのPOT機器にブロックフラッグが付けられ、このシステムが阻止され、この顧客がこのPOTのブラックリストに登録される。それに対して、その問題の原因がPOT機器にある場合は、そのことがステップ243でPOTブラックリストに登録される。
ステップ240でロードトークン審査に合格したなら、ステップ244でトランザクションドキュメントの金額Aを金融機関の顧客口座41から引き落すことが可能になる。その他の支払い方法、たとえば、クレジットカードまたは請求書作成による支払いも、もちろん本発明の枠内で可能である。ステップ245で金額Aは金融機関のPOT事業者の口座420、420’、420”の貸方に記入される。処理手数料は金融機関および、またはPOT事業者によって、または網オペレータによってPOT口座420、および、または顧客口座41に負担させることができる。
ステップ246では、金融サーバ4がこのトランザクションをトランザクションカウンタに登録する。ステップ247では、ロードトークンLT、およびトランザクションカウンタTzの数値をモバイルシステムで現実化するための1つのプロセスが行われる。
モバイルシステム1、10のプロセスに戻って説明する。すでに説明したように、安全性の問題がステップ212、214または216で確認されているならば、システムはステップ248に進むことになる。この場合、金融機関との完全なチェックアップが、好適には、モバイル無線システム6を介して行われる。チェックアップには、たとえば、認証証明書の審査と更新およびすべての実行されたパラメータ、たとえば、ロードトークンLT、トランザクションカウンタTz、ブラックリストなどの検証が含まれる。チェックアップの結果がマイナスならばブロックフラッグが付けられるので、モバイルシステム1、または少なくともSIMカード10の応用物は阻止される(ステップ253)。反対にこの審査で偽造がされていない確率が高いとされた場合は、ステップ250で有効期限が更新される。あらかじめ定めた時間、たとえば、1年間、使われなかった場合、有効期限によって、モバイルシステムなどを阻止できる。それゆえ、このステートメントは個々の使用状況に応じて新たに調整しなければならない。ブロックフラッグは次にステップ251で消去され、新しいエリアがステップ252でセットされる。
さまざまな通貨での引き落しプロセスは、たとえば、電気通信領域で一般的なSDR(特別引き出し権)を基礎にして、またはその他の基準通貨(たとえば、ユーロ、ドル)で行われる。カードの最大金額は顧客等級に応じて決められる。最少金額はSDRでデフォルト値にできる。個々の機器2は、記帳プロセスでサーバが通知し、それ自体にとって重要なSDR値(通貨特有の値)を保存する。為替相場変動に沿ってPOT機器には金融サーバによって自動的に実際の交換率が与えられる。
モバイルシステム1、10に金額を再ロードする方法を、図6を用いて詳しく説明する。この方法は図1から図4に沿った本発明の任意の実施例に使用できる。
再ロードプロセスは、顧客のモバイルシステム1、10とPOT機器2と共に行われる。金融サーバ4によって直接、再ロードプロセスを行うこともできる。顧客等級に応じて、または必要ならば、金融サーバは顧客のドキュメント、カードスタックを詳細なコントロールのために、呼び出すことができる。再ロードプロセスの後、スタックは金融サーバが消去できる。
図6の第1欄は主にモバイルシステム1、10に関係する方法ステップを示す。第2欄はPOT機器2が実行する方法ステップを説明する。第3欄は金融サーバ4の演算に関係し、第4欄は金融機関のさまざまな口座への作用を説明する。多くの方法ステップはモバイルシステム1、10、たとえば、SIMカード10の中で、またはPOT機器2によって実行できることに留意されたい。たとえば、データ入力に関係する方法ステップは、GSMモバイル機器のように、モバイル機器にキーボードがあれば、POT機器またはモバイル機器1で実行できる。モバイル機器1とPOT機器2がケーブルで結ばれていないならば、これら2つの部分の通信は、たとえば、DEA、DES、TDES、RSA、またはECCの安全アルゴリズムで暗号化される。
ステップ300では、まずモバイルシステム1、10、たとえば、身分証明カード10を再ロードプロセスのために演算的にフリーにする。POT機器2はステップ301でもアクティブになる。POT機器2はステップ302で放送方式で次の、不特定のモバイルシステム1、10を呼び出す(カードページング)。
POT機器2とモバイルシステム1、10との間に接続が作られているなら、ステップ303で、顧客はPOTに自分の識別文字IDUI(国際デビットカードユーザID)とスタートすべきプロセスの種類、ここでは、再ロードを知らせる。
POT機器2は、好適には、金融サーバ4から、阻止すべきモバイルシステムに関する、定期的に現実化されるブラックリスト(取り消しリスト)を受け取る。顧客が伝えたIDUIはブラックリストと照合される(ステップ304)。顧客が知らせたIDUIがブラックリストに入っていれば(ステップ305)、ステップ306でブロックフラッグが付けられる。その後、または、入っていない場合はステップ307で、その要求がIDUIと相関するかどうかが検証される。相関しない場合は拒否理由がPOT機器2に表示される(ステップ315)。そうでなければステップ308でブロックフラッグが検証される。ついているならモバイルシステム1または少なくとも識別カード10の応用物が阻止される(ステップ331)。ついていなければ顧客はステップ310で自分のパスワードをモバイル機器1に手動で入力するように要請される。入力したパスワードが正しくなければ(ステップ311)、ブロックフラッグが付けられ、拒否理由がPOT機器2に表示される(ステップ315)。そうでなければそのプロセスは再ロードのためにフリーになり、顧客はステップ312で、トランザクション特有のデータ、ここでは再ロード金額Aを入力するように要請される。提示されているバリエーションの場合、再ロード金額はPOT機器で入力できる。この金額はステップ313でPOSIDとIDUIと結び付けられ、署名され、カード10に伝えられる。金額Aはモバイル機器1で把握することもできる。この場合POTには関係しないので、POSIDは必要ではない。
ステップ314では、POT機器2が受信したデータのIDUIとそれ自体のIDUIが一致するかどうかが検証される。一致しなければ、拒否理由がPOT機器2に表示される(ステップ315)。そうでなければ、POT機器に入力された希望する再ロード金額がモバイル機器のディスプレイに表示される。ステップ316では次にPOSID、IDUI、支払いトランザクション回数Tz、カードに保存されている実施された再ロードプロセスの回数(LTc、ロードトークンクライアント)、およびカード残り金額DRA(デビット残り金額)がまとめられ、署名され、暗号化され、その次に任意で圧縮される。それによって再ロードドキュメントができる。任意でカードのドキュメントスタックを伝送することもできる。たとえば、顧客等級に応じて、カード発行時に、または必要ならば取り消し問題のある場合、使用中に、伝送できる。POSIDは、顧客がPOT入力部品のついていないモバイル機器を使っているなら、再ロードドキュメントにのみ統合され、それによって顧客は金融サーバからアドレス指定されることも可能になる。再ロードドキュメントは金融サーバ4、4’ないし4”に伝えられ、そこではTTPサーバ40がこの金額をステップ317で受信し、場合によっては復号および解凍し、顧客の署名、場合によってはPOTの署名を検証する。
ステップ319では、顧客と金融サーバの間のプロセスの回数とトークンを保存する表318を使って、以下が検証される。
金額検証:カードにロードされた、スタート金額を含む総額ΣAは、すべての制御引き落し額ΣKBとカードの残り金額DRAの総額と同じかまたは小さくなければならない。モバイルシステム1、10、クリアリングユニット3と金融サーバ4、4’、4”の間にあるドキュメントを、この瞬間にはまだ把握できないために、総額が小さくなることもある。
ロードトークン検証:ロードトランザクション、再ロードトランザクションはモバイルシステムでは、たとえば、SIMカードではトークンLTcで、金融サーバ4ではその他のトークンLTsで計数される。これら2つのトークンは同じでなければならない。
トランザクションカウンタ検証:個々の支払いトランザクションについて、トランザクションカウンタTzがモバイルシステム1、10で解凍される。個々の再ロードドキュメントではTzも伝送される。顧客が転送したドキュメントによって増分され、金融サーバに保存されるトランザクションカウンタTzsは、モバイルシステム1、10のトランザクションカウンタTzと同じか、それより小さくなければならない。
これらの3つの条件の1つでも満たされなければ(ステップ320)ブロックフラッグがステップ321で付けられ、再ロードプロセスがステップ325で拒否される。そうでなければステップ322で顧客の口座状態41が検証される。再ロードのために十分でないならばステップ325でも拒否が準備される。
金融機関4にある顧客の口座(または口座リミット)が再ロード金額に関して十分ならば(ステップ322、323)、その金額が手数料込みで顧客口座41から引き落される(324)。再ロードドキュメントが、ステップ326でPOSID、IDUI、金額A、新しいロードトークンLTn、およびあらかじめ決められたタイムアウト・インクレメントTOiで作成される。この再ロードドキュメントは、ステップ327で署名され、任意で暗号化され、圧縮され、顧客のモバイルシステム1、10に伝えられる。このドキュメントは、ステップ328の間にドキュメントの署名が金融サーバによるものかどうかを検証し、ステップ330の間にブロックフラッグがついているかどうかを検証する。ついているなら(ステップ330)、モバイルシステム1または少なくとも関連する応用物がステップ331で阻止される。そうでなければ、金融サーバが拒否を要求したかどうか4さらに検証され(ステップ332)、結果によってはプロセス中断され、拒否理由が表示されることにもなる(334)。
すべての検証が合格であれば、ステップ335でカード口座に要求された再ロード金額が記帳される。古いロードトークンLTcは、金融サーバが伝えた新しいロードトークンLTnに置きかえられ(ステップ336)、カードのトランザクションカウンタTzは次のステップ337で元に戻され、タイムアウトTOiはステップ338で新しくセットされる。ステップ339で、再ロードドキュメントにPOSIDが含まれていることが確かめられ、そのほかにステップ340で新しいエリアがセットされる。
再ロード金額はモバイル機器のディスプレイ、またはPOT機器に確認として表示される(ステップ341)。最後に、カードにおける口座状態も表示される(ステップ342)。
暗号による安全なデータ伝送は、2つの異なるセグメントで別々に行われる。顧客とPOTの間ではエアインタフェースによる通信が、たとえば、DES、TDES、RSA、またはECCのようなアルゴリズムによって安全が計られる。それに対して顧客と金融サーバの間では、TTP(Trusted Third Party)方式、または任意でPTP(Point to Point)方式が使われる。必要な素子は、身分証明要素10およびTTPサーバ40に統合されている。TTPコンセプトの説明は付録で行う。
図7を使って、本発明に従ったトランザクション方法の第5のバリエーションにおける情報流れについて説明する。顧客はモバイル機器1を持っており、それにはSIMカード10が入っており、それはGSM網5における顧客の身分を証明する。売り手は電気通信網6、たとえば、固定網に接続するモデム端子22付きのPOT機器2を必要とする。両者は金融サーバ4’の運営者、たとえば、金融機関と契約を結ぶ。
顧客と売り手の間でトランザクションが行われるためには、売り手はまず支払われるべき金額AをPOT2に打ち込まなければならない。POT機器はこの金額AをPOTに保存されたPOSIDに結び付け、これは店舗またはこの店舗のレジを識別する。この結び付けられたデータは、好適には、安全化されたデータ網6を介して金融サーバ4'に伝送される。
顧客は自分の機器1で特別の簡略メッセージ、好適には、SMS簡略メッセージ、またはUSSDデータファイルを準備し、これには支払うべき金額Aと売り手が口頭で伝えたPOSIDが入っており、この簡略メッセージがGSM網5と図には示していない簡略メッセージ運営センター(SMSC)を経て金融サーバ4’に送られる。この簡略メッセージには、自動的にSIMカード保存されている顧客識別文字が入る。好適には、そのほかに要求される安全PINコードが入る。簡略メッセージは伝送される前に暗号化される。
好適には、買い手のプライベートを守るために買ったサービス、商品、または情報についてのステートメントは伝送されない。
金融サーバ4’はPOT機器2と顧客のモバイルシステム1からデータを受け取り、必要ならばそれを補完する。サーバはPOTから識別文字POSIDと金額Aを認識する。それゆえ貸方に記入すべきPOT口座420、420’、420”を特定できる、サーバは顧客識別文字によって顧客を認識し、場合によってはPINと金額を知ることができる。それゆえサーバは引き落しされる顧客口座41を特定できる。金融サーバ4’はPOT機器2とモバイルシステムから伝えられたPOSIDおよび金額を比較する。一致しているならばPOT口座と顧客の間でトランザクションが行われる。金融サーバ4’はトランザクションが行われているとのメッセージをPOT機器2および、またはモバイル機器1に送り、このメッセージが表示される。一致しない場合はこの過程が中断される。
続いて図8で、本発明に従ったトランザクション方法の第6のバリエーションにおける情報流れについて説明する。顧客はモバイル機器1を持ち、これにもSIMカード10が入っており、これはモバイル無線網5におけるその顧客を身分証明する。売り手は通信網6、たとえば、固定網に接続するモデム・端子22付きのPOT機器2を必要とする。両者は金融サーバ4’の運営者、たとえば、金融機関と契約を結ぶ。
顧客と売り手と間のトランザクションを行うためにはPOT事業者、たとえば、売り手が、支払われるべき金額Aと顧客の携帯電話番号をPOT機器2において把握しなければならない。POT機器はこうしたデータをPOTに保存されたPOSIDに結び付け、これは店舗とこの店舗にいる顧客を識別する。この結び付けられたデータは、好適には、安全なデータ網6を介して金融サーバ4’に伝送される。好適には、買った商品についての情報は伝送されないので、買い手の匿名性が保証される。
金融サーバ4’はPOTからデータを受け取り、必要ならば補完する、サーバはPOTの識別文字POSIDと金額Aを認識する。それゆえ貸方に記入されるべきPOT口座420、420'、420"を特定できる。同様にサーバは伝えられたモバイルコール番号から顧客を識別でき、それゆえサーバは引き落される顧客口座41を特定できる。
金融サーバ4’は顧客に特別の簡略メッセージ、たとえば、SMS簡略メッセージまたはUSSD簡略メッセージを送り、それには金額Aが含まれる。顧客は、GSM網での顧客の識別文字を含む確認簡略メッセージによってトランザクションを確認しなければならない。顧客の確認がないならば、または伝えられた識別文字が顧客のモバイルコール番号と一致しないならば、その過程は中断される。そうでなければトランザクションがなされる。
続いて図9で、本発明に従ったトランザクション方法の第7のバリエーションにおける情報流れについて説明する。顧客はモバイル機器1を持ち、これにもSIMカード10が入っており、これはモバイル無線網5におけるその顧客の身分を証明する。売り手は、電気通信網との接続を必要としない通常のPOT機器2を使う。両者は金融サーバ4’の運営者、たとえば、金融機関と契約を結ぶ。
顧客と売り手の間でトランザクションを行うためには顧客は、支払うべき金額Aと売り手から伝えられるPOSIDを含む特別の簡略メッセージ、たとえば、SMS、またはUSSDの簡略メッセージを準備し、この簡略メッセージをGSM網5とSIMセンターを介して金融サーバ4’に送らなければならない。この簡略メッセージには自動的にSIMカードに保存されている顧客識別文字が含まれる。好適には、そのほかに要求される安全PINコードが含まれる。好適には、買い手のプライベート部分を保護するために購入した商品についてのデータは伝送されない。
金融サーバ4’は顧客からデータを受け取り、必要ならば補完する。サーバはPOT機器の識別文字POSIDと金額Aを認識する。それゆえ貸方に記入されるべきPOT口座420を特定できる。同様にサーバは簡略メッセージの中の顧客識別文字で顧客を識別でき、それゆえサーバは引き落しされる顧客口座を認識する。
金融サーバ4’は次にトランザクションを行い、POT運営者に簡略メッセージでの確認通知をeメールまたは通常の郵便で送る。この通知には少なくともPOTの識別文字、日付、時間、金額、場合によっては顧客口座が含まれる。
好適には、モバイル機器、POT機器と金融サーバの間でのドキュメントはすべてSMS、USSDメッセージとして伝えられる。SMS簡略メッセージが使われるなら、好適には、通常のメッセージと区別するためにそれにはデータ電報の特別ヘッダーが付けられる。そのほかに、好適には、このメッセージの内容は、TTP方式で暗号化されるが、これについては付録と図10から図13で説明する。
専門家は、本発明はモバイルシステムと、電気通信網5と結びついたPOT機器2の間での金融トランザクションにだけ適しているのではないことを理解するだろう。POT機器2は、たとえば、暗号化装置によっても形成できる。この応用のためにはモバイルシステム10は、たとえば、電子の鍵を持つチップカードになる。鍵はサーバ4から再ロードされ、カード10に保存される。暗号化装置を開くためには接点なしの通信、たとえば、誘導的インタフェース、または赤外線インタフェースでの通信が、モバイルシステム10とPOT機器2の間でなされる。この通信の後にモバイルシステム10に保存された鍵が正しい鍵であり、その所有者に保護されたゾーンへの入場権利を与える鍵ならば、暗号化装置は開かれる。暗号装置とネットワーク5を介して結びついているサーバ4は入場許可を管理し、記録し、場合によっては顧客の口座41に入場許可に伴う金額を負担させる。
付録−クリプトグラフィーとTTPの基本
<安全要求>
モバイルシステム1、10と金融サーバ4との間でデータ交換する際、安全性に関する要求を区別する。
・信頼性:権限のない者が情報にアクセスできず、読めないことの保証
・認証:真正性が検証されるプロセス
・真正性:アイデンティティー(同一性)の証明。顧客、POT機器2またはサーバ4が実際に存在する本物であることの確証。
・情報の真正性:情報の送り手、作り手(モバイルシステム1、10、POT機器または金融サーバ)が本物であることの確証。
・ソースの是認・出所証明:情報の送り手は情報が自分から出ていることを否認できない。
・首尾一貫性:情報の持続性の確保、つまり情報の変更、追加、消去から保護されること。
以後、「情報」という概念の代わりに「メッセージ」という概念を使う。1つのメッセージは1つの情報であり(ここではビット列)、それは送り手から受け手へ伝送される。このアプリケーションでは、1つのメッセージは、たとえば、支払いドキュメントまたは再ロードドキュメントになりうる。「送り手」、「受け手」という概念はメッセージの方向に応じて、モバイルシステム1、10、POT機器2または金融サーバ4のいずれかを意味する。
送り手の真正性、情報の首尾一貫性および情報の出所の是認は、いわゆるデジタル署名によって達成される。デジタル署名は暗号コード(つまりビットシーケンス)であり、これは一定の情報に対して唯一のものであり、これを作るためには、作成者だけが持つ暗号鍵(同様にビットシーケンス)が必要である。デジタル署名は非公開鍵の所有者によってのみ作ることができる。これに通常はオリジナルメッセージが添付される。
情報伝送の信頼性は暗号化によって得られる。メッセージが暗号アルゴリズムと暗号鍵(ビットシーケンス)によって、読めない状態に変換される。この方式で変換されたメッセージからオリジナル情報を取り戻すことは、復号のために必要な鍵を知らない限り不可能である。
どのように機能するかについて以下に詳しく説明する。
<対称暗号化と非対称暗号化>
暗号化アルゴリズムの2つの方法を区別する。
・対称:情報の符号化と復号(符号化=暗号化)のために同じ鍵を使う。故に送り手と受け手は同じ鍵を持っていなければならない。この鍵がなければオリジナル情報に戻すことができない。現在もっともよく使われる対称アルゴリズムはDES(デジタル復号標準)である。その他のアルゴリズムは、たとえば、IDEA、RC2、およびRC4である。対称のアルゴリズムが、好適には、モバイルシステムとPOT機器との安全なデータ伝送のために使われる。鍵はPOT機器2とモバイルシステム10に保存されている。
・非対称:符号化と復号のために2つの異なる相補性の鍵(ペアの鍵)を使う。つまり、メッセージは第1の鍵で符号化され、第2の鍵で復号される。逆の処理も可能である。つまり第2の鍵を符号化、第1の鍵を復号のために使うことができる。第1の鍵を基にして第2の鍵を再び作ること(または逆)は不可能である。同様に符号化された情報を基にして鍵を計算することも不可能である(これはオリジナル情報が既知である場合に有効である)。現在最も良く使われる非対称アルゴリズムはRSAである(発明者Rivest、ShamirおよびAdlemanにちなんで名づけられた)。その変種がDSS(Digital Signature Standard)である。
非対称の符号化によっていわゆるデジタル署名が作られる。以下に詳しく説明する。
<非公開鍵と公開鍵>
非対称の暗号技術によって公開鍵と非公開鍵のシステムが実現される。その際相補性ペア鍵の1つが非公開鍵として表わされる。それは送り手、たとえば、顧客が所有しており、その者だけが知っている。それゆえ秘密の鍵とも呼ばれる(その際、この概念は通常は対称鍵のために使われる)。その他の鍵は公開鍵である。一般に入手できる。上述のように、公開鍵を基にして非公開鍵を計算することはできない。個々のモバイルシステム、POT機器および個々の金融サーバは信頼できる管轄部局から非公開鍵と公開鍵で作られる1つのペア鍵を受け取る。
非公開鍵が実際にも秘密にされること、つまりデジタル署名の安全性が確保されているために、誰にも知られないことが肝要である。それゆえ非公開鍵は暗号化された形でのみ身分証明カード10に保存され、カードでは、そのほかに符号化アルゴリズムが直接、インプレメント(実施)されている。このようにして非公開鍵は常にチップに残されており、決してチップから出ることはない。暗号化されるデータはチップに転送され、そこにおいて暗号化され、続いて再びもとに戻される。チップのアーキテクチャは、非公開鍵が電子的、視覚的、機械的、科学的または電磁気的な媒体で読めるように定義される。
非公開鍵とは逆に、公開鍵は一般に既知であり、すべてのユーザに配布される。簡単な鍵であるために、公開鍵は基本的には個々のメッセージと一緒に送られる。下記に説明するように、その際、信頼できる管轄部局(証明機関)が必要となり、この機関が公開鍵の正しさを保証する。なぜなら犯罪者が自分のペア鍵を作成し、その者が別のだれかになりうるからである。この真正性保証はいわゆる証明書で行われ、これについて以下に詳しく説明する。
<ハッシュ関数>
ハッシュ関数は非相関アルゴリズムであり、これは任意の長さの一定の情報に基づいて決まった長さのハッシュ値(簡略草稿、コンプリマト)を生成する。これは1つの整数のsum of degits(桁の数字の和)と比較できる。その場合、メッセージの長さは類型的にはそれから計算されたハッシュ値よりも幾分長い。メッセージは、たとえば、数メガバイトを含むことができ、一方ハッシュ値は128ビット長さに過ぎない。ハッシュ値を基にしてオリジナル情報に戻すことはできないこと(非相関性)、情報を同じハッシュ値を出すように修正することは非常に難しいことに留意されたい。そうした関数の目的は、それぞれのドキュメントにとって唯一の短いコードを作ることである。それはデジタル署名を作るために使われる。たとえば、ハッシュアルゴリズムによってMD4(メッセージサービス4)、MD5、RIPE−MDおよびSHA(Secure Hash Algorithm)である。
<デジタル(電子)署名>
この方法は図10によって説明する。個々のユーザは非公開鍵と公開鍵を受け取る。メッセージ90にデジタルで署名するために、メッセージは送り手の非公開鍵で符号化される(ブロック94)。その結果がデジタル署名92である。しかし、できた署名はオリジナルメッセージと同じ大きさになるかもしれないので、まずメッセージ90のハッシュ値93が計算される。上述のように、ハッシュ値は決まった長さを持ち、一定のメッセージにとって唯一のものである。デジタル署名を作るために、オリジナルメッセージの代わりにハッシュ値93が符号化される。そうしてできたデジタル署名92はオリジナルドキュメント90に添付される。全体が受け手に送られる(図10)。
ドキュメントの送り手だけが非公開鍵91を持つので、その者だけがデジタル署名できる。ここでは手書き署名の類似性が生じる。しかしデジタル署名には手書き署名の場合には見られないような特性がある。それゆえ、たとえば、手書き署名契約の際には、情報が気づかれずに添付されたり、または消去されることがないわけではない。これはデジタル署名の場合は起こり得ない。デジタル署名は伝統的な手書き署名よりも安全性は高い。
<デジタル署名の検証>
公開鍵97はすべてのユーザに配布され、それによって一般に知られるようになり、個々の受け手はデジタル署名92を検証できる。そのために受け手はデジタル署名92を送り手の公開鍵97(図11でのブロック96)で復号する。その結果はオリジナルメッセージ90のハッシュ値である。これと平行して受け手は、同様に(署名92と共に)伝えられたオリジナルドキュメント90のハッシュ値95を計算する。この第2のハッシュ値95を受け手は、署名から復号したハッシュ値96と比べる。2つのハッシュ値が一致するならデジタル署名は本物である。
オリジナルメッセージ90が伝送中に変わると(1ビットで十分)、そのハッシュ値95も変化する。それによって、受け手は、オリジナルメッセージに基づいて計算されたハッシュ値95が、署名から復号されたハッシュ値96とは一致しないことを確認するだろう。そのことは署名が正しくないことを意味する。受け手はデジタル署名の検証がうまくいくとメッセージ90は変わっていないという保証を得る(持続性)。
署名の作成者のみが自分の非公開鍵91を持つので、その者だけがデジタル署名92を作成できる。これは、デジタル署名92を持つ受け手に、送り手だけが署名を作成できたということを証明する(情報源の是認)。
<公開鍵の証明>
デジタル署名92によって、メッセージ90の出所の是認と持続性保証が可能になる。しかし、まだ安全性の問題が残る。つまり送り手の公開鍵97の本物保証である。これまでは受け手には、公開鍵97が実際に送り手の鍵であるという保証がなかった。署名は確かに有効ではあるが、しかし、それに結びついた公開鍵97は理論的には詐欺師によって作られるかもしれない。
メッセージ90の受け手は、送り手の公開鍵97が実際に正しい送り手に属するという確信を必要とする。受け手はこの確信をさまざまな方法で要求できる。送り手が受け手に公開鍵97を一旦、個人的に与えてしまうことが考えられる。または受け手が送り手をコールし、たとえば、公開鍵の最初の10桁を比較する。しかし、この方法は面倒であり、ユーザ同士がすでに知りあいであるか、または以前に出会ったことがあることが条件になる。
公開鍵の帰属性をある個人に保証する管轄機関を設けるとよいだろう。この機関は認証機関(Certification Authority/CA)と呼ばれ、特定の公開鍵97が特定の個人に帰属することを保証する。それは公開鍵97のいわゆる証明書98を作成する(図12)。それは実際には公開鍵と所有者の名前から構成される。すべてが認証機関によって署名される(署名98)。証明することによってCAは公開鍵97を特定の送り手(顧客、POTまたはサーバ)に結び付ける。すべてのユーザのために、CAによって公開鍵の1つの証明書が出される。この証明書はすべてのユーザが利用できる。
送り手の証明書のデジタル署名99、およびメッセージの署名92を検証することによって、受け手は、メッセージ90は、受け手が認証した対象者によって署名されたとの証明を得る(認証)。
鍵証明書98は必ずしも特別に保護されなくても良いことに留意されたい。なぜなら改ざんできないからである。証明書内容が変えられると受け手はそれに気づく。なぜなら署名99がもはや正しくないからである。CA以外の誰もCAの非公開鍵を持たないので、CAの署名を改ざんすることは誰にもできないからである。
鍵証明書98、99を頒布する方法はいろいろある。証明書98、99を個々のメッセージと共に送ることも1つの方法である。
上述の技術によって、相互に未知の顧客、POTおよびサーバが相互に情報を確実な方法で交換できるようになる。
<認証機関の公開鍵の分配>
まだ最後の問題が残っている。これまで述べたように、メッセージの受け手は送り手の証明書を検証する。そのために受け手は認証機関の公開鍵を必要とする。CAはそれ自身の公開鍵を証明できるが、これはあまり意味がない。なぜなら誰でも自分でペア鍵を生成し、自分で(CAに対応する名前を持つ)CA証明書を生成することができるからである。つまりCAの公開鍵については独自の証明書はない。この事実は、理論的には犯罪者に認証機関であると自称させ、間違ったペア鍵と証明書を生成させ、それを分配することを許す。それゆえ認証機関の公開鍵はユーザに、確実な方法で届けなければならない。ユーザはCAの正しい鍵を持つことを確信しなければならない。
直ちに提案できる解決策は、認証機関の公開鍵をユーザのSIMカードに保存することである。だれもが(ユーザの非公開鍵とは異なり)読めるが、上書きしたり消去できない。これはチップ101の特別のアーキテクチャによって可能となる。
<符号化なしのデジタル署名メッセージの伝送:>
概要
・送り手はメッセージ90を、カード10に保存された非公開鍵91で署名し、その結果その出所が確認される。
・オリジナルメッセージ90は、署名92および、送り手の署名された証明書98、99と共に受け手に送られる(矢印80)。
・受け手はドキュメント90のデジタル署名92を、送り手の証明書98と一緒に送られてきた送り手の公開鍵97によって検証する。
・そのほかに、受け手は送り手の公開鍵97が本物であることを保証され、受け手は証明書98のデジタル署名99を検証する。そのために認証機関の公開鍵81を使う。
<メッセージの符号化>
伝送の信頼性、つまり非権利者がのぞくのを防止するために、メッセージは暗号化(符号化)される。そのためには理論的に2つの方法が考えられる。メッセージを受け手の公開鍵で暗号化できる。それに関係する非公開鍵を持っている受け手だけがそのメッセージを復号できる。非対称の符号化アルゴリズムは対称のに比べると非常にゆっくりである。
それゆえ、好適には、対称アルゴリズムがメッセージの符号化のために使われる(図13)。メッセージ90の送り手は対称の鍵83を生成し、それを使ってメッセージ90を復号する。この対称の暗号化には時間の小部分が必要であり、それは非対称アルゴリズムを使う際に必要となるだろう。受け手は同じ対称の鍵を知っていなければならない。その鍵は受け手に伝送されなければならないが、通常は暗号化されている。なぜなら詐欺師が鍵83を伝送時にのぞき、受け取られたメッセージ86を復号できるからである。それゆえ対称の鍵83、いわゆるセッション・キーが受け手の公開鍵84で暗号化される。そのようにして作られたセッション・キーもトークン85と呼ばれる。トークン85にはメッセージ90の符号化のために使われる対称鍵83が含まれ、受け手の公開(非対称)鍵84で暗号化する。トークン85は暗号化されたメッセージ86、署名92および証明書98、99と共に伝送される。
受け手はトークン85を自分の非公開鍵で復号する。受け手はメッセージの復号に必要な対称鍵83を受け取る。受け手だけが非公開鍵を持っているので、受けてだけがメッセージを復号できる。
<符号化付きデジタル署名メッセージの伝送:>
概要
送り手:
・送り手はメッセージ90を自分の非公開鍵91で署名する。
・次にメッセージ90を自分が作成した対称鍵83で暗号化する。
・この対称鍵を暗号化し、受け手の公開鍵84で暗号化する。そこからトークン85が生じる。
・オリジナルメッセージ90は署名92、トークン85、および署名された証明書98、99と共に受け手に送られる。
受け手:
・受け手はまずトークン85を自分の非公開鍵で復号する。
・それによって得られた対称鍵83で受け手はメッセージ90を復号する。
・受け手は、メッセージ90のデジタル署名92を、送り手の証明書98に入っている公開鍵97を使って検証する。
・そのほかに、受け手は送り手の公開鍵97の本物であることを確かめ、受け手は証明書98のデジタル署名99を認証機関を介して検証する。そのために受け手は認証機関の公開鍵81を使う。
<取り消しリスト・証明書の無効性説明>
非公開鍵91を含むSIMカードが顧客から盗まれたと仮定する。侵入者はこの非公開鍵を利用し、受け手に気づかれないで、持ち主のふりをする。それゆえすべてのユーザに、盗まれた非公開鍵91に帰属する証明書はもはや有効でないことを通知するために1つのメカニズムが必要である。これはいわゆる無効証明書リストによって行われる。上述の証明書取り消しリスト(CRL)によって行われる。それはCAによってデジタル署名され、公開される。つまりすべてのPOTとサーバが利用できようになる。顧客からのメッセージの受け手は、それぞれが送り手の署名と証明書の検証のほかに、証明書に取り消しリストが入っていないか、つまり無効になっていないかどうかを制御しなければならない。
取り消しリストが大きすぎないようにするには、証明書全体の代わりに証明書が無効とされた日付と通し番号がはめ込まれる。つまり、リストは通し番号と無効宣告日付で構成され、その最後にCAがデジタルで署名する。CAの名前とリストの公開日付も含まれる。
<信託センターと第3者信託サービス(Trusted Third Party Dienst)>
すでに説明したように、オープンで。多くのユーザによって分配されるシステムにおいて、共通の信頼関係をもたない2人のユーザが、相互に通信を望む場合、これらのユーザにある程度の安全サービスを提供する第3者が必要となる。なぜならユーザが自分で必要な鍵を交換し、管理するコストは非常に高くつくからである。こうした機関が信託センターまたは第3者信託サービスと呼ばれ、これをTTPサービスという。CAはこうしたサービス機関である。TTPはユーザのために暗号化管理を行い、彼らの信頼を得る。TTPサービスは多様なアプリケーションとプロトコルの安全保護にとって有用である。
第3者信託サービスは以下で構成される。
・登録機関(RA):これはユーザを識別し、そのデータを受け入れ、それを認証機関に送る。ユーザの識別文字は必要である。CAが特定の人間に特定の公開鍵が帰属することを保証するからである。そのためにはまずその人間が識別されなければならない。
・認証機関(CA):これは鍵証明書と取り消しリストを作成する。これらは公開のために目録に載せられるか、直接ユーザに送られる。
・鍵作成サービス:これはユーザのために鍵を作る。非公開鍵はユーザの確実なチャネルで届けられ、公開鍵はCAへ証明のために送られる。
・鍵個人化サービス:これは非公開鍵をモジュール(たとえば、チップカード)に入れ、権限のない者の利用を防止する。
・鍵供託サービス(キーエスクロー):これは使われる鍵のコピーを保存する(紛失したときの再発行のため、または国家安全のため、または犯罪捜査のための警察による”聴取”のため)。
・記録保管サービス:鍵証明書を保管する(デジタル署名の検証可能性を長期的に保証するため)。
・目録サービス:ユーザが鍵証明書と取り消しリストを利用できるようにする。
・緊急時サービス:
1.送信・受信証明
2.時間スタンプ
3.内容の正しさの証明(既存の緊急時サービスに類似)
これまでの説明では、「受け手は署名を検証する」または「送り手はメッセージを暗号化する」と書かれていることが多い。もちろんユーザはこれらすべての機能を通常は自分で明白に実行する必要はない。モバイルシステム1、10ないし金融サーバ4がユーザのために自動的に行う。
これまでの技術の水準に従って、1人の顧客(またはクライアント、C)と端末とのトランザクション、ここでは、ポイント・オブ・トランザクション(POT)と呼ばれるが、たとえば、ポイント・オブ・セール(POS)との間では、たとえば、電子的な支払いカードで実行されることが多い。デビットカード、クレジットカードは、たとえば、商店、ガソリンスタンドのレジなどで使われる。ほとんどのカードには記憶装置媒体、たとえば、磁気テープおよび、またはチップが含まれており、この中には特に顧客の識別文字が入っている。POTの所有者または事業者とのトランザクションを行うために、たとえば、商店で、ある商品の支払いをするためには、顧客は自分のカードをPOT機器の適当なカード読み取り器に差し込まなければならない。POTは、カードの中の顧客識別文字を読み取り、算定し、支払い金額を示し、場合によっては顧客の支払能力を審査し、顧客に、POT機器の承認キーでトランザクションを承認するように要求する。顧客に支払能力があり、承認が入力されたなら、顧客識別文字、支払い額、場合によってはPOT識別文字も、電気通信網によってPOTと結びついており、金融機関によって管理される金融サーバーに伝送される。それに応じてただちに、または後に、金融機関にある顧客の口座から金額が引き落される。
この方法の欠点は、顧客のカードを見知らぬ機器に差し込まなければならないことである。顧客は、通常は、カードを手には持っておらず、たとえば、財布にしまっているので、スピーディなトランザクションは不可能である。カードを取り出してPOTの読み取り器に入れるのに手間のかかる場合もある。特にPOTが駐車場の駐車券自動販売機、または自動支払機の場合、運転者は車から降りないでサービスを受けられるようにすべきである。
そのほかに詐欺的な行為、またはカードの記憶装置部分での不正読み取りがPOTにおいて行われることもある。
現在、若干のチップカードにはマイクロプロセッサが入っているならば、こうしたデビットカード、クレジットカードは本質的には能動的な要素であり、それらはデータを保存し、それは本質的にはPOTの電子技術によって保存され、使用される。それに対して、顧客は、普通は、カードを発行する金融機関の窓口、または自動預払機に行かなければ、直接、データにアクセスすることはできない。顧客が、カードで行われたトランザクションをコントロールしたり、それを記帳することは困難である。
このカードには顧客識別文字が入っており、これは発行金融機関に顧客の身分証明をすることだけを可能にする。つまり、通常、カードは、顧客とPOT使用者が同じ金融機関に関係する場合に限り金融トランザクションのために使うことができる。それに対してその他のトランザクション、たとえば、顧客・カード使用者の識別文字が必要な非金融的なトランザクションのためにカードを使用することは想定されていない。顧客が、たとえば、さまざまな金融トランザクション、非金融トランザクションのために、たとえば、さまざまな金融機関または商店が管理する多くのデビットカード、クレジットカード、または特定のゾーンへの入場カードまたは予約カードをいくつも持つことは面倒である。こうしたカードのほとんどは、さまざまなピン・コードで保護されており、それを顧客は苦労して覚えなければならない。
カードの盗難、または詐欺的取引の場合、カード使用は阻止されなければならない。しかし、カードが対応する機器に差し込まれてはじめて阻止・遮断が可能になる。通常のクレジットカードは手で動かす機器で使用できる。それゆえカード使用を確実に阻止することは不可能である。
デビットカード、クレジットカードのほかに、さまざまなPOT設置場所で、支払い媒体として受け入れられるお金を電子的に保存できるいわゆるe−cashカードが使われる。このカードに金額を加算するためには、顧客は金融機関の窓口で要請するか、または自動預払い機で行わなければならないが、これは常に可能とはかぎらない。
特許申請書EP708547A2には1つの方法と1つの装置が記述されており、これによれば、携帯電話で商品とサービスを購入する場合、1人の顧客にクレジットが認められる。EP708547A2に記述されている方法に従って、顧客と売り手はトランザクションパスワードを取り決め、それが顧客の携帯電話によって、携帯電話の機器番号と共に、およびこの携帯電話に割り当てられた番号ともに、売り手側の装置の受信部分に伝送される。売り手の装置には、顧客から受け取ったデータに売り手識別文字およびトランザクションドキュメントが追加され、すべての情報がクレジットセンターへ伝送され、そこで、顧客のクレジット能力が判定され、その結果が売り手に伝送される。
特許申請書WO94/1 1849には1つの方法が記述されており、これによれば、携帯電話に接続しているSIMカード(加入者識別モジュール)を使って金融トランザクションが可能となる。WO94/1 1849に記述されている方法では、顧客が個人的なコードをこのSIMカードの正当な使用のために入力し、提供された通信網で顧客が選んだ金融機関への接続を行うと、顧客は自分のSIMカードに基づくモバイル無線網のサービスによって認証され、その金融機関でさまざまな金融トランザクションを実行できる。SIMカードを使うための通信機器は、たとえば、商店に設置し、顧客が利用できるようにし、金額が入力され、その金額が金融機関に照会され、受け入れられると顧客に貸し方記入され、商店の通信機器を経て、貸し方記入のための支払い番号で確認される。
本発明の課題は上記問題を回避できる方法またはシステムを提案することである。
本発明のもう1つの課題は、金融トランザクションだけではなく、非金融的なトランザクションにも適しており、通常のトランザクション方法に比べ簡単で信頼性のあるトランザクション方法を提案することである。
本発明に従って、この目的は、独立した請求項に記されている要素によって達成される。その他の有利な実施例は、従属する請求項および説明から明らかになる。
特にこの目的は、顧客と、電気通信網に接続しているPOT機器(たとえば、POS)との間のトランザクション方法によって達成され、その機器はこの電気通信網によってサーバと接続しており、その際、その方法には、少なくともPOT機器識別文字付きの顧客識別文字をPOT機器にまとめ、その機器識別文字はPOT機器において読まれるか、または把握され、トランザクション特有のデータと共に1つのトランザクションドキュメントにまとめること、およびこのトランザクションドキュメントを電気通信網を介してサーバに伝送することが含まれており、顧客識別文字は顧客の携帯できる身分証明要素の記憶装置に保存されており、それは1つ以上のプロセッサを持ち、接点なしのインタフェースでPOT機器と通信でき、その際、顧客識別文字は身分証明要素において読み取られ、接点なしのインタフェースでPOT機器へ伝送され、その際、POT機器からトランザクションドキュメントをサーバに伝送する前に、少なくともトランザクション特有のデータと顧客識別文字を含む、引き落し要求が、直接、接点なしのインタフェースを経て顧客の身分証明要素へ検証のために伝送される。
他の形態の実施例では、サーバは1つのエアインタフェースを経て、たとえば、モバイル無線網を介してモバイルシステム(たとえば、身分証明カード付きのモバイル機器)と通信できる。金融トランザクションならば、それによってモバイル機器に保存された金額がサーバから、エアインタフェースで伝送される電子メッセージで再ロードされる。金額は、好適には、標準通貨で定義される。
モバイルシステムとPOT機器との間の接点なしの伝送は、たとえば、識別文字カードまたはモバイル機器に統合されている電磁的なインタフェースによって、たとえば、誘導コイルのインタフェース、または赤外線送受信システムによって可能である。
トランザクションドキュメントは、好適には、対称のアルゴリズムで暗号化されて、サーバに送られ、その際、対称のアルゴリズムは非対称のアルゴリズムで暗号化されたセッション鍵を使う。トランザクションドキュメントは、好適には、さらに証明書が付けられてから、金融サーバに送られる。好適には、モバイルシステムと金融サーバの間の伝送区間では、end−to−end保証がなされる。
本発明について、実施例の説明および添付の図面によってさらに詳しく説明する。
図1は、本発明のシステムの第1の実行例の情報の流れを示すブロック図であり、顧客は携帯電話を持っており、好適には、特別の簡略メッセージを送受信できるGSMモバイル機器を備えている。
図2は、本発明のシステムの第2の実行例の情報の流れを示すブロック図であり、その際、顧客は携帯電話を持っており、好適には、特別の簡略メッセージを送受信できるGSMモバイル機器を備えており、POT機器はインターネット、またはイントラネットに適した機器である。
図3は、本発明のシステムの第3の実行例の情報の流れを示すブロック図であり、顧客はトランスポンダを持っており、それは、少なくとも特別の簡略メッセージを処理でき、その際、POT機器は特別の簡略メッセージ、たとえば、SMS簡略メッセージ、またはUSSD簡略メッセージを受信、およびまたは送信できる。
図4は、本発明のシステムの第4の実行例の情報の流れを示すブロック図であり、顧客はトランスポンダを持っており、それは、少なくともSICAPサブルーチンの一部を実行でき、その際、POT機器はインターネット、またはイントラネットに適した機器であり、それは特別の簡略メッセージ、たとえば、SMS、簡略メッセージ、またはUSSD簡略メッセージを受信、およびまたは送信できる。
図5は、本発明に従った支払いトランザクション方法の流れ図である。
図6は、SIMカードでの、考えられる再ロードトランザクション方法の流れを示す。
図7は、本発明のシステムの第5の実施例における情報流れを示すブロック図である。
図8は、本発明のシステムの第6の実施例における情報流れを示すブロック図である。
図9は、本発明のシステムの第7の実施例における情報流れを示すブロック図である。
図10は、メッセージの署名を説明するブロック図である。
図11は、署名の検証を説明するブロック図である。
図12は、署名および署名の検証を説明するブロック図である。
図13は、メッセージの暗号化を説明するブロック図である。
図5、図6に示す方法は図1から図4に示す任意のシステムで実行できる。第1と第2のバリエーションは1つのモバイル機器、または赤外線または誘導的なインタフェースが追加されている1つのSIMカードを必要とする。これについては後に詳しく説明する。
図1は、本発明の第1の実施例における情報流れを示す。顧客は1つのモバイルシステムを有しており、この場合は、GSMモバイル機器1を持っている。モバイル機器1には1つの識別カード10、たとえば、SIMカードが含まれており、これによってネットワーク6、好適には、GSM網の顧客が識別される。SIMカードは通常のマイクロコントローラ100であり、これはカードの合成物質ケースに入っており、たとえば、T.GrigorovaおよびI.Leungが論文「SIM カード」で記述しているように、カードのGSM機能を担う。この論文は「オーストラリア電気通信ジャーナル」1993年、2号、43巻、33−38ページに載っている。さらに、マイクロコントローラは、後からSIMカードにロードされる新しい機能を担う。SIMカードはそのほかに、図には示されていない接触媒体になり、これを介して、カードが差し込まれたモバイル機器1とカードの通信が行われる。
SIMカードはそのほかに第2のプロセッサ101(CCI,Contactfree Chipcard Interface)になり、これはPOT機器2との接点なしの接続を担う。第2のプロセッサは、特に、下記に説明するTTP(Trusted Third Party,第3者信託)機能を実行するので、符号化され、署名されたメッセージが受信され、送信される。論理インタフェース102は2つのプロセッサ101、102を結合する。
POT機器2との接点なしインタフェースは、たとえば、SIMカードに統合され、第2のプロセッサ101と結びついている1つ以上のコイル(図示せず)を持っており、これによってデータを両方向に無線区間を経て誘導的に伝送できる。誘導コイルは変形させるとモバイル機器のケースに統合できる。第3のバリエーションにすると、接点なしインタフェースにはモバイル機器のケースへの赤外線送受信機が含まれる。2つの機器の間の接点なし通信は、好適には、たとえば、DEA、DES、TDES、RSA、またはECC安全アルゴリズムで暗号化される。
POTからチップカードへ誘導的に信号を伝送する場合、好適には、位相変調方式が使われ、一方では逆方向で、好適には、信号の振幅が変調される。
SIMカードには、好適には、特別フィールドIDUI(国際デビットユーザ識別文字)が含まれ、これによって顧客はPOT事業者および、または金融機関によって識別される。識別文字IDUIは、好適には、2つのプロセッサ101、102のいずれかの保護された記憶装置領域に保存される。IDUIには少なくともネットワーク事業者、同一ネットワーク事業者の場合にその他の顧客を識別するユーザ番号、サービスを利用できるかどうかを決めるユーザ等級ステートメント、および任意で国識別文字が含まれる。そのほかにIDUIには、安全データ、特にトランザクションカウンタTz、国トークン、LTc、および有効期限を指示するTime Out Feld TOが含まれる。これらのさまざまなデータの関数については後に説明する。
符号で表わされているPOT機器2にも同様に接点なしの送受信機20が取り付けてあり、これは、たとえば、誘導コイルであったり、赤外線送受信機であることもある。こうしたインタフェースのおかげで、モバイルシステム1、10は接点なしで機器2と両方向に通信できる。
端末またはPOT機器2は、たとえば、商店の無線インタフェース20を持つ特別のPoint of Sale(POS)にすることができる。POT機器2は非金融的用途にも使用できる。たとえば、特定の場所、たとえば、ホテルの部屋、営業所、劇場、映画館、または遊園地への出入りを許可する入場制御装置(電子の守衛)のための鍵にすることもできる。POT機器は特別フィールドPOSID(Point of Sale identification)で識別される。POSIDは用途に依存する。商店のレジの場合、POSIDには、ネットワーク事業者の識別文字、エリア識別文字(ある国の地域区分)、別のPOSをネットワーク事業者が識別するためのPOS番号、使用するか、または提供することが許されるサービスの種類を定めるPOS等級ステートメント、日付、時間、使用する通貨(SDR、ユーロ、またはドル)および任意で国識別文字が入っている。
POT機器2には、好適には、データ入力媒体(図示せず)、たとえば、キーボード、およびデータ表示媒体(図示せず)、たとえば、ディスプレイがついている。
IDUI識別文字は、POTに接点なしのインタフェース10/101を経て伝えられ、POT機器でPOSIDに、およびトランザクション特有のデータ、たとえば、把握されたデビット額Aに結合されて、電子的なトランザクションドキュメントが作られ、それは、TTP(Trusted Third Party)処理、またはPTP(Point to Point)処理で暗号化され、署名される。TTP方法についての詳しい説明は付録にて行う。
トランザクションドキュメントは、モデム(図示せず)を介して、および通信網5、たとえば、公共の固定網5、またはモバイル無線網によってそれらのネットワークと接続しているクリアリングユニット3に伝えられる。これは、国またはトラヒック領域に関係なく、および顧客の国、または金融機関に関係なく、さまざまなPOT機器2の電子ドキュメントを受信する。クリアリングユニット3ではこれらのトランザクションドキュメントが金融機関別に、場合によってはオペレータ別に整理され、対応する金融機関に送られる。クリアリングユニットそれ自体はGSM技術においては既知であり、たとえば、接続コストの徴収と分配のために使われる。クリアリングユニットは、たとえば、データバンクを含んでおり、これは、あらかじめIDUIで識別された顧客がどの金融機関に関係するかを知らせる。
クリアリングユニット3によって処理された電子的なトランザクションドキュメントは、対応する金融機関の金融サーバ4、4’または4”に送られる。金融サーバでは、届いたトランザクションドキュメントがまず復号され、中間記憶装置43に保存される。整合管理モジュール42が、顧客が署名した金額を、POT事業者の対応する銀行口座420、420’および、または420”の貸方に記入する。これらの口座は同じ金融機関または別の金融機関によって管理できる。整合管理モジュールはそのほかに顧客の口座の制御記帳を行う。それに応じて金融機関の顧客の口座41から金額が引き落されるか、またはトランザクションデータが事後の制御のために保存される。金融サーバには、そのほかにTTP(Trusted Third Party)アルゴリズムでドキュメントとメッセージを符号化し、署名するためのTTPサーバ40が含まれる。そのほかに個々の金融サーバ4はSIMサーバ70、たとえば、SICAPサーバと接続している。SICAP方法は、特に特許EP689368に記述されており、この方法では、データファイル、プログラムおよび金額を、SICAPサーバ70とモバイル機器1のSIMカード10の間の公共のGSMネットワーク6を介して交換する(矢印60)ことが可能になる。その他の伝送プロトコルはSIMサーバとSIMカードの間でのデータ伝送のためにも使える。それによって、後で詳しく説明するように、たとえば、SIMカード10にお金を再ロードできる。SIMサーバ70は、そのほかに顧客と、金融機関のTTPサーバ40との間での制御された通信を可能にする。
図2は、発明の第2の実施例における情報流れを示す。顧客はこの実施例ではモバイルシステム、たとえば、SIMカード、好適には、SICAP向きのSIMカード付きのGSM携帯電話1を持っている。誘導インタフェースまたは赤外線インタフェースもモバイルシステム1に含まれており、それによってPOT機器2との接点なし接続が可能になる。データおよび、またはプログラムを、この方法により両方向で、POT機器2とモバイルシステムのSIMカード10との間で交換できる。
しかし、POT機器2はこの場合計算機であり、これは、好適には、1つのネットワーク、たとえば、インターネットまたはイントラネットに接続されている。さまざまな情報、または提供品、たとえば、商品を計算機2のディスプレイに適当なメニューでオファーできる。顧客はこの計算機を自分のモバイル機器で制御できる。顧客は、たとえば、販売される商品または情報のメニューのカーソル位置を自分の携帯電話のキーボード11のカーソル移動キーを動かすことによって制御できる。カーソル移動命令は接点なしインタフェース101、20を介して計算機2’に送られる。ユーザは、選んだメニューオプションを承認するために、たとえば、ある商品を注文するために、承認キー、たとえば、キーボードの#を押す。
モバイル1、10に保存されている顧客識別文字は、POT機器識別文字および選んだメニューオプションに対応するトランザクション特有のデータと共に、電子トランザクションドキュメントにまとめられ、TTP暗号化、またはPTP暗号化され、署名される。トランザクションドキュメントには、好適には、SIMカード10から得られる顧客識別文字IDUI、選んだメニューオプションに対応する供給者識別文字および選んだメニューオプションに対応する製品識別文字が、特許申請書PCT/CH96/00464に提案されているように、好適には、Flexmat形式で入っている。このドキュメントはFlexmatモジュール21によって確定される。Flexmatモジュールは、好適には、計算機2’で実行されるソフトウェアの応用である。
第1の実施例と類似して、電子トランザクションドキュメントが対応する金融サーバ4、4’または4”に、クリアリングユニット3によって伝送され、そこで処理される。
図3は、本発明の第3の実施例の情報流れを示す。この例では、顧客は完全なモバイル機器ではなく、トランスポンダ10’を持っており、それは、たとえば、チップカードまたは時計、キーリング、またはフィンガーリングなどの機器に統合できる。トランスポンダは遠隔操作機、たとえば、赤外線遠隔操作機にも統合でき、この遠隔操作機によってPOT機器2と通信できるだろう。トランスポンダ10’には第1プロセッサ100’が含まれ、これは特別の簡略メッセージ、たとえば、SMS簡略メッセージまたはUSSD簡略メッセージを送信、受信、および暗号化できる。好適には、変更すれば第1プロセッサ100’はSICAPおよび、またはTTPモジュールを含み、それはデータファイルとプログラムを、サーバ7とSMS−またはUSSD簡略メッセージによって交換できる。しかし、第1プロセッサ100’にはモバイル無線機能は含まれず、トランスポンダはそれゆえモバイル機器のSIMカードとしては使用できない。
第2のチップ101(CCI,Contactfree Chipcard Interface)は、チップ100にインタフェース102を介して接続され、機器2との接点なし接続を担う。両方の部分機能を持つ1つのチップだけを、使うことももちろん可能である。接点なし接続はこの場合、好適には、トランスポンダ10’の1つ以上の誘導コイルで行われる。
POT機器2”にはこの場合1つの送受信機20が含まれ、その結果トランスポンダ10’との接点なしの通信が行われる。キーボード11とモバイル機器24のついたデータ処理媒体23は、好適には、簡略化されたGSM機器であり、これは特別の簡略メッセージ、たとえば、SMS、USSD簡略メッセージだけを受信、送信できる。キーボードは顧客のための入力媒体になる。
POT機器に統合され、簡略メッセージの伝送に簡略化されたGSM機器24は、トランスポンダ10’とSIMサーバ7の第1応用物との間でのモバイル無線網6によるメッセージ伝送を可能にし、それによって暗号化された再ロード・チェックアッププロセス(矢印60)と、顧客から、SIMサーバ7、たとえば、SICAPサーバにおけるSIMサーバ応用物71へのドキュメント転送(矢印61)が可能になる。バリエーションによっては暗号化された再ロード・チェックアッププロセスとドキュメント伝送をモデムまたはISDN端子22および固定網5を介して行うこともできる。
次に、メッセージとドキュメントが接点なしインタフェース101/20とモバイル無線区間60、61を経てモバイル無線網6を介して伝送される。
図4は、本発明の第4実施例での情報流れを示す。顧客は第3の例と同様に、完全なモバイル機器を持つのではなく、トランスポンダ10’を持つ。POT機器2”’は、第2の例のように、データ処理媒体2’と結びついており、これはFlexmatモジュール21を使用できる。顧客は、制限されたモバイル無線機器24、たとえば、機器2”’の、特別のSMS簡略メッセージまたはUSSD簡略メッセージの伝送に限定されたGSM機器24を介して、SIMサーバ7と通信する。その他の機能は第3の実施例と同じである。
Flexmatモジュール21によって、特許申請書PCT/CH96/00464に記述されているように、注文メッセージを標準化されたフォーマットにして商品または情報の供給者のために準備できる。
支払いトランザクション方法を図5を使って詳しく説明する。この方法は図1から図4に沿った本発明の任意の実施例に適用できる。この流れは、GSMプロセスに限定されるものではなく一般性を持つ。
図5の第1欄は主として顧客のモバイルシステム1に関係する方法ステップを説明する。第2の欄はPOT機器2によって実行される方法ステップ、第3の欄は金融サーバ4による演算、第4の欄は金融機関のさまざまな口座への作用に関係する。しかし、多くの方法ステップは、モバイルシステム1によって、たとえば、SIMカード10の中のプロセスとして、またはPOT機器2のプロセスとして実行できることに留意されたい。たとえば、データ入力は、GSMモバイル機器のように、POTまたは、モバイルシステム1にキーボードがついているならばそれによって行われる。
この方法は、ステップ200で顧客の身分証明カード10、ここでは価値カードに金額(e−cash)がロードされていることを前提にする。価値カードそれ自体は既知である。後で図6に関連して、どのようにして金額が再ロードできるか詳しく説明する。そのほかに特許申請書EP968105700には、SIMカードに金額を再ロードするための方法が記述されている。
モバイルシステム1ないし10は、ステップ201で機能準備完了となり、たとえば、モバイル機器のオンによって接続される。同様にステップ202ではPOT機器2がアクティブ化される。次いでPOT機器2は、ステップ203では放送方式でその次の不特定の顧客を呼び出す(カードページング)。
POT機器とモバイルシステム1、10との接続が作られているなら、ステップ204でモバイルシステムはPOT機器に、それ自身の識別文字IDUI(International Debit User Identification)と支払能力があることの確認を伝える。支払能力が十分あるかどうかはこの瞬間にはまだ確定されない。
POT機器2には、好適には、金融サーバ4によって定期的に活発化される阻止すべき顧客のブラックリストが入っている。顧客から伝えられるIDUIはブラックリストと照合される(ステップ205)。顧客が伝えたIDUIがブラックリストで見つかれば(ステップ206)、ステップ207でブロック(遮断)フラッグが付けられる。見つからなければPOT機器2のキーボード11でトランザクション特有のデータ、たとえば、支払うべきデビット金額Aを入力できる。別の形態にすれば、金額Aをモバイル機器1のキーボードで入力できる。POT機器2、または別の形態のSIMカード10は、このトランザクション特有のデータをPOT機器2の識別文字とIDUIに結合させ、引き落し要求を顧客に送る。そのほかに、好適には、1つの基準通貨、たとえば、SDR、ユーロ、またはドルでの表示が加えられる。
その通信は署名されるので、ステップ210で、引き落し要求がIDUIと相関するかどうかを検証できる。相関していなければ拒否理由がPOT機器2に表示される(ステップ223)。そうでなければ、ステップ211でブロックフラッグが検証される。ついているなら、金融サーバ(4)でチェックアップがなされる(ステップ248)。ついていなければ、エリアチェックアップがなされる(ステップ213)。それによってSIMカードは使用エリアで阻止される。エリアチェックアップがマイナスならば、金融サーバ4とのチェックアップがなされる(ステップ248)。そうでなければタイムアウトチェックアップがなされる(ステップ215)。トランザクションがチェックアップなしでできる間に、有効期限が切れるかどうかが検証される。有効期限が過ぎているならば(216)、金融サーバとのチェックアップがなされる(ステップ248)。そうでなければ、顧客はステップ217でユーザパスワードをモバイル機器1で手動で入力するように要求される。入力されたパスワードが正しければ(ステップ218)、金額Aは場合によっては単位通貨(たとえば、SDR)に換算される(ステップ219)。それによって、このコンセプトの国際的な利用が可能になる。そうでなければステップ223でPOT機器2に拒否とその理由が表示される。
モバイルシステム1/10は次にステップ220で、引き落される金額Aがカードにロードされている金額でカバーされるかどうかを審査する(支払能力審査)。カバーされないならば、POT機器のディスプレイに拒否理由が示される(ステップ223)。
すべての審査が終わると、ステップ222でトランザクションが、増分されるトランザクションカウンタTzで計算される。このカウンタはカード10で行われたトランザクション回数に対応する。ステップ224では次いでデビット金額A、POT機器識別文字POSID、およびユーザ識別文字IDUIがトランザクションドキュメントにまとめられ、これがさらに証明され、任意に暗号化され、場合によってはさらに圧縮される。ECC方式(Elliptic 曲線クリプトシステム)を、証明などのために利用できる。適切な証明方法、暗号化方法については後で例をあげて説明する。
引き落される金額Aは、ステップ225でカード口座に記帳され、トランザクションドキュメントはステップ226で身分証明要素10のスタックに入れられる。顧客の、このカードスタックは、必要ならば金融サーバからの詳細のコントロールのために呼び出すことができる。好適には、顧客自身が、スタックに保存されたトランザクションドキュメントを自分のモバイル機器に表示できる。
ステップ224のあとで、トランザクションドキュメントはPOT機器2に計算のために渡され、署名がPOTによって検証される(ステップ227)。任意でステップ228において、POTのペーパドキュメントが顧客のために印刷される。
ステップ229では、POT機器2で引き落しドキュメントが場合によっては追加のPOSデータと結び付けられ、トランザクションドキュメントがPOT機器によって電子署名され、任意で圧縮され、符号化される。この方法で準備された電子トランザクションドキュメントは、次に任意でステップ230で、POT機器2のスタックに置かれる。スタックにはさまざまな顧客のトランザクションドキュメントが入っている。トランザクションドキュメントは個別にまたはグループ別に、ステップ231の間にクリアリングユニット3に伝送される。伝送はトランザクションのすぐ後に行われるか、または定期的に(たとえば、1時間ごと、または1日ごと)複数のトランザクションドキュメントをスタックから伝送できる。すべてのトランザクションドキュメントを、たとえば、夜間に伝送するために、バッチプロセスを利用することもできる。
クリアリングユニット3は、個別またはグループ毎のトランザクションドキュメントを、同じ地理的ゾーンにある複数のPOT機器2から受信する(ステップ234)。地理的に区分された複数のクリアリングユニットを想定することもできる。ステップ235で、クリアリングユニット3は、さまざまなPOT機器が受信したドキュメントを対応する金融機関またはサービス提供者に分配し、そのトランザクションドキュメントをそれに応じてさらに伝送する。
トランザクションドキュメントが暗号化されているなら、金融サーバ4、4’、4”に送るために、クリアリングユニットによってまず復号し、つぎに再びクリアリングユニットによって暗号化しなければならない。しかし、好適には、バリエーションにすると、フィールドIDUIのデータ要素と、場合によっては、クリアリングに必要なトランザクションドキュメントのPOSIDもPOT機器2では暗号化されない。それによってトランザクションドキュメントの安全でend to end暗号化された伝送がPOT機器と金融サーバ4、4’、4”の間で行われる。
管轄の金融サーバはステップ236でトランザクションドキュメントを受信し、TTPサーバ40はそれを解凍し、(必要なら)復号し、POT機器と顧客による署名の信憑性を検証する。ステップ237ではPOSIDおよび、またはIDUIが取り消しリストにあるかどうかが検証される。POT機器識別文字も顧客識別文字IDUIも取り消しリストに載っていないと、審査がマイナスになり(238)、ステップ239ではロードトークンLTの審査がなされる。ロードトークンLTはカード10の再ロードの回数を表わす。このロードトークンが金融サーバ(LTs)とカード(LTc)で、個々のロードプロセスのあとに現実化される。これについては後に説明する。ロードトークンLTcのコピーはトランザクションドキュメントのフィールドIDUIで伝送される。モバイルシステム1、10が指示するロードトークンLTcは、金融サーバ4に保存されたロードトークンLTsと同じでなければならない。再ロードドキュメントが金融サーバ4とモバイルシステム1、10の間の過程に存在するなら、LTcは一時的にLTsより小さいこともある。金融サーバ4は、LTc≦LTsかどうかを検証する。
ステップ240でこの条件の正当性が立証されないなら、不当な再ロードプロセスが実行され、ステップ241に進む。ここでPOTまたは顧客が偽造したかどうかが判定される。顧客に責任があるなら、顧客はステップ242でブラックリストに登録される。好適には、顧客遮断ドキュメントが作成され、モバイルシステム1、10に送られるので、すべてのPOT機器に、または少なくともあらかじめ決められた地理的範囲にあるすべてのPOT機器にブロックフラッグが付けられ、このシステムが阻止され、この顧客がこのPOTのブラックリストに登録される。それに対して、その問題の原因がPOT機器にある場合は、そのことがステップ243でPOTブラックリストに登録される。
ステップ240でロードトークン審査に合格したなら、ステップ244でトランザクションドキュメントの金額Aを金融機関の顧客口座41から引き落すことが可能になる。その他の支払い方法、たとえば、クレジットカードまたは請求書作成による支払いも、もちろん本発明の枠内で可能である。ステップ245で金額Aは金融機関のPOT事業者の口座420、420’、420”の貸方に記入される。処理手数料は金融機関および、またはPOT事業者によって、または網オペレータによってPOT口座420、および、または顧客口座41に負担させることができる。
ステップ246では、金融サーバ4がこのトランザクションをトランザクションカウンタに登録する。ステップ247では、ロードトークンLT、およびトランザクションカウンタTzの数値をモバイルシステムで現実化するための1つのプロセスが行われる。
モバイルシステム1、10のプロセスに戻って説明する。すでに説明したように、安全性の問題がステップ212、214または216で確認されているならば、システムはステップ248に進むことになる。この場合、金融機関との完全なチェックアップが、好適には、モバイル無線システム6を介して行われる。チェックアップには、たとえば、認証証明書の審査と更新およびすべての実行されたパラメータ、たとえば、ロードトークンLT、トランザクションカウンタTz、ブラックリストなどの検証が含まれる。チェックアップの結果がマイナスならばブロックフラッグが付けられるので、モバイルシステム1、または少なくともSIMカード10の応用物は阻止される(ステップ253)。反対にこの審査で偽造がされていない確率が高いとされた場合は、ステップ250で有効期限が更新される。あらかじめ定めた時間、たとえば、1年間、使われなかった場合、有効期限によって、モバイルシステムなどを阻止できる。それゆえ、このステートメントは個々の使用状況に応じて新たに調整しなければならない。ブロックフラッグは次にステップ251で消去され、新しいエリアがステップ252でセットされる。
さまざまな通貨での引き落しプロセスは、たとえば、電気通信領域で一般的なSDR(特別引き出し権)を基礎にして、またはその他の基準通貨(たとえば、ユーロ、ドル)で行われる。カードの最大金額は顧客等級に応じて決められる。最少金額はSDRでデフォルト値にできる。個々の機器2は、記帳プロセスでサーバが通知し、それ自体にとって重要なSDR値(通貨特有の値)を保存する。為替相場変動に沿ってPOT機器には金融サーバによって自動的に実際の交換率が与えられる。
モバイルシステム1、10に金額を再ロードする方法を、図6を用いて詳しく説明する。この方法は図1から図4に沿った本発明の任意の実施例に使用できる。
再ロードプロセスは、顧客のモバイルシステム1、10とPOT機器2と共に行われる。金融サーバ4によって直接、再ロードプロセスを行うこともできる。顧客等級に応じて、または必要ならば、金融サーバは顧客のドキュメント、カードスタックを詳細なコントロールのために、呼び出すことができる。再ロードプロセスの後、スタックは金融サーバが消去できる。
図6の第1欄は主にモバイルシステム1、10に関係する方法ステップを示す。第2欄はPOT機器2が実行する方法ステップを説明する。第3欄は金融サーバ4の演算に関係し、第4欄は金融機関のさまざまな口座への作用を説明する。多くの方法ステップはモバイルシステム1、10、たとえば、SIMカード10の中で、またはPOT機器2によって実行できることに留意されたい。たとえば、データ入力に関係する方法ステップは、GSMモバイル機器のように、モバイル機器にキーボードがあれば、POT機器またはモバイル機器1で実行できる。モバイル機器1とPOT機器2がケーブルで結ばれていないならば、これら2つの部分の通信は、たとえば、DEA、DES、TDES、RSA、またはECCの安全アルゴリズムで暗号化される。
ステップ300では、まずモバイルシステム1、10、たとえば、身分証明カード10を再ロードプロセスのために演算的にフリーにする。POT機器2はステップ301でもアクティブになる。POT機器2はステップ302で放送方式で次の、不特定のモバイルシステム1、10を呼び出す(カードページング)。
POT機器2とモバイルシステム1、10との間に接続が作られているなら、ステップ303で、顧客はPOTに自分の識別文字IDUI(国際デビットカードユーザID)とスタートすべきプロセスの種類、ここでは、再ロードを知らせる。
POT機器2は、好適には、金融サーバ4から、阻止すべきモバイルシステムに関する、定期的に現実化されるブラックリスト(取り消しリスト)を受け取る。顧客が伝えたIDUIはブラックリストと照合される(ステップ304)。顧客が知らせたIDUIがブラックリストに入っていれば(ステップ305)、ステップ306でブロックフラッグが付けられる。その後、または、入っていない場合はステップ307で、その要求がIDUIと相関するかどうかが検証される。相関しない場合は拒否理由がPOT機器2に表示される(ステップ315)。そうでなければステップ308でブロックフラッグが検証される。ついているならモバイルシステム1または少なくとも識別カード10の応用物が阻止される(ステップ331)。ついていなければ顧客はステップ310で自分のパスワードをモバイル機器1に手動で入力するように要請される。入力したパスワードが正しくなければ(ステップ311)、ブロックフラッグが付けられ、拒否理由がPOT機器2に表示される(ステップ315)。そうでなければそのプロセスは再ロードのためにフリーになり、顧客はステップ312で、トランザクション特有のデータ、ここでは再ロード金額Aを入力するように要請される。提示されているバリエーションの場合、再ロード金額はPOT機器で入力できる。この金額はステップ313でPOSIDとIDUIと結び付けられ、署名され、カード10に伝えられる。金額Aはモバイル機器1で把握することもできる。この場合POTには関係しないので、POSIDは必要ではない。
ステップ314では、POT機器2が受信したデータのIDUIとそれ自体のIDUIが一致するかどうかが検証される。一致しなければ、拒否理由がPOT機器2に表示される(ステップ315)。そうでなければ、POT機器に入力された希望する再ロード金額がモバイル機器のディスプレイに表示される。ステップ316では次にPOSID、IDUI、支払いトランザクション回数Tz、カードに保存されている実施された再ロードプロセスの回数(LTc、ロードトークンクライアント)、およびカード残り金額DRA(デビット残り金額)がまとめられ、署名され、暗号化され、その次に任意で圧縮される。それによって再ロードドキュメントができる。任意でカードのドキュメントスタックを伝送することもできる。たとえば、顧客等級に応じて、カード発行時に、または必要ならば取り消し問題のある場合、使用中に、伝送できる。POSIDは、顧客がPOT入力部品のついていないモバイル機器を使っているなら、再ロードドキュメントにのみ統合され、それによって顧客は金融サーバからアドレス指定されることも可能になる。再ロードドキュメントは金融サーバ4、4’ないし4”に伝えられ、そこではTTPサーバ40がこの金額をステップ317で受信し、場合によっては復号および解凍し、顧客の署名、場合によってはPOTの署名を検証する。
ステップ319では、顧客と金融サーバの間のプロセスの回数とトークンを保存する表318を使って、以下が検証される。
金額検証:カードにロードされた、スタート金額を含む総額ΣAは、すべての制御引き落し額ΣKBとカードの残り金額DRAの総額と同じかまたは小さくなければならない。モバイルシステム1、10、クリアリングユニット3と金融サーバ4、4’、4”の間にあるドキュメントを、この瞬間にはまだ把握できないために、総額が小さくなることもある。
ロードトークン検証:ロードトランザクション、再ロードトランザクションはモバイルシステムでは、たとえば、SIMカードではトークンLTcで、金融サーバ4ではその他のトークンLTsで計数される。これら2つのトークンは同じでなければならない。
トランザクションカウンタ検証:個々の支払いトランザクションについて、トランザクションカウンタTzがモバイルシステム1、10で解凍される。個々の再ロードドキュメントではTzも伝送される。顧客が転送したドキュメントによって増分され、金融サーバに保存されるトランザクションカウンタTzsは、モバイルシステム1、10のトランザクションカウンタTzと同じか、それより小さくなければならない。
これらの3つの条件の1つでも満たされなければ(ステップ320)ブロックフラッグがステップ321で付けられ、再ロードプロセスがステップ325で拒否される。そうでなければステップ322で顧客の口座状態41が検証される。再ロードのために十分でないならばステップ325でも拒否が準備される。
金融機関4にある顧客の口座(または口座リミット)が再ロード金額に関して十分ならば(ステップ322、323)、その金額が手数料込みで顧客口座41から引き落される(324)。再ロードドキュメントが、ステップ326でPOSID、IDUI、金額A、新しいロードトークンLTn、およびあらかじめ決められたタイムアウト・インクレメントTOiで作成される。この再ロードドキュメントは、ステップ327で署名され、任意で暗号化され、圧縮され、顧客のモバイルシステム1、10に伝えられる。このドキュメントは、ステップ328の間にドキュメントの署名が金融サーバによるものかどうかを検証し、ステップ330の間にブロックフラッグがついているかどうかを検証する。ついているなら(ステップ330)、モバイルシステム1または少なくとも関連する応用物がステップ331で阻止される。そうでなければ、金融サーバが拒否を要求したかどうか4さらに検証され(ステップ332)、結果によってはプロセス中断され、拒否理由が表示されることにもなる(334)。
すべての検証が合格であれば、ステップ335でカード口座に要求された再ロード金額が記帳される。古いロードトークンLTcは、金融サーバが伝えた新しいロードトークンLTnに置きかえられ(ステップ336)、カードのトランザクションカウンタTzは次のステップ337で元に戻され、タイムアウトTOiはステップ338で新しくセットされる。ステップ339で、再ロードドキュメントにPOSIDが含まれていることが確かめられ、そのほかにステップ340で新しいエリアがセットされる。
再ロード金額はモバイル機器のディスプレイ、またはPOT機器に確認として表示される(ステップ341)。最後に、カードにおける口座状態も表示される(ステップ342)。
暗号による安全なデータ伝送は、2つの異なるセグメントで別々に行われる。顧客とPOTの間ではエアインタフェースによる通信が、たとえば、DES、TDES、RSA、またはECCのようなアルゴリズムによって安全が計られる。それに対して顧客と金融サーバの間では、TTP(Trusted Third Party)方式、または任意でPTP(Point to Point)方式が使われる。必要な素子は、身分証明要素10およびTTPサーバ40に統合されている。TTPコンセプトの説明は付録で行う。
図7を使って、本発明に従ったトランザクション方法の第5のバリエーションにおける情報流れについて説明する。顧客はモバイル機器1を持っており、それにはSIMカード10が入っており、それはGSM網5における顧客の身分を証明する。売り手は電気通信網6、たとえば、固定網に接続するモデム端子22付きのPOT機器2を必要とする。両者は金融サーバ4’の運営者、たとえば、金融機関と契約を結ぶ。
顧客と売り手の間でトランザクションが行われるためには、売り手はまず支払われるべき金額AをPOT2に打ち込まなければならない。POT機器はこの金額AをPOTに保存されたPOSIDに結び付け、これは店舗またはこの店舗のレジを識別する。この結び付けられたデータは、好適には、安全化されたデータ網6を介して金融サーバ4'に伝送される。
顧客は自分の機器1で特別の簡略メッセージ、好適には、SMS簡略メッセージ、またはUSSDデータファイルを準備し、これには支払うべき金額Aと売り手が口頭で伝えたPOSIDが入っており、この簡略メッセージがGSM網5と図には示していない簡略メッセージ運営センター(SMSC)を経て金融サーバ4’に送られる。この簡略メッセージには、自動的にSIMカード保存されている顧客識別文字が入る。好適には、そのほかに要求される安全PINコードが入る。簡略メッセージは伝送される前に暗号化される。
好適には、買い手のプライベートを守るために買ったサービス、商品、または情報についてのステートメントは伝送されない。
金融サーバ4’はPOT機器2と顧客のモバイルシステム1からデータを受け取り、必要ならばそれを補完する。サーバはPOTから識別文字POSIDと金額Aを認識する。それゆえ貸方に記入すべきPOT口座420、420’、420”を特定できる、サーバは顧客識別文字によって顧客を認識し、場合によってはPINと金額を知ることができる。それゆえサーバは引き落しされる顧客口座41を特定できる。金融サーバ4’はPOT機器2とモバイルシステムから伝えられたPOSIDおよび金額を比較する。一致しているならばPOT口座と顧客の間でトランザクションが行われる。金融サーバ4’はトランザクションが行われているとのメッセージをPOT機器2および、またはモバイル機器1に送り、このメッセージが表示される。一致しない場合はこの過程が中断される。
続いて図8で、本発明に従ったトランザクション方法の第6のバリエーションにおける情報流れについて説明する。顧客はモバイル機器1を持ち、これにもSIMカード10が入っており、これはモバイル無線網5におけるその顧客を身分証明する。売り手は通信網6、たとえば、固定網に接続するモデム・端子22付きのPOT機器2を必要とする。両者は金融サーバ4’の運営者、たとえば、金融機関と契約を結ぶ。
顧客と売り手と間のトランザクションを行うためにはPOT事業者、たとえば、売り手が、支払われるべき金額Aと顧客の携帯電話番号をPOT機器2において把握しなければならない。POT機器はこうしたデータをPOTに保存されたPOSIDに結び付け、これは店舗とこの店舗にいる顧客を識別する。この結び付けられたデータは、好適には、安全なデータ網6を介して金融サーバ4’に伝送される。好適には、買った商品についての情報は伝送されないので、買い手の匿名性が保証される。
金融サーバ4’はPOTからデータを受け取り、必要ならば補完する、サーバはPOTの識別文字POSIDと金額Aを認識する。それゆえ貸方に記入されるべきPOT口座420、420'、420"を特定できる。同様にサーバは伝えられたモバイルコール番号から顧客を識別でき、それゆえサーバは引き落される顧客口座41を特定できる。
金融サーバ4’は顧客に特別の簡略メッセージ、たとえば、SMS簡略メッセージまたはUSSD簡略メッセージを送り、それには金額Aが含まれる。顧客は、GSM網での顧客の識別文字を含む確認簡略メッセージによってトランザクションを確認しなければならない。顧客の確認がないならば、または伝えられた識別文字が顧客のモバイルコール番号と一致しないならば、その過程は中断される。そうでなければトランザクションがなされる。
続いて図9で、本発明に従ったトランザクション方法の第7のバリエーションにおける情報流れについて説明する。顧客はモバイル機器1を持ち、これにもSIMカード10が入っており、これはモバイル無線網5におけるその顧客の身分を証明する。売り手は、電気通信網との接続を必要としない通常のPOT機器2を使う。両者は金融サーバ4’の運営者、たとえば、金融機関と契約を結ぶ。
顧客と売り手の間でトランザクションを行うためには顧客は、支払うべき金額Aと売り手から伝えられるPOSIDを含む特別の簡略メッセージ、たとえば、SMS、またはUSSDの簡略メッセージを準備し、この簡略メッセージをGSM網5とSIMセンターを介して金融サーバ4’に送らなければならない。この簡略メッセージには自動的にSIMカードに保存されている顧客識別文字が含まれる。好適には、そのほかに要求される安全PINコードが含まれる。好適には、買い手のプライベート部分を保護するために購入した商品についてのデータは伝送されない。
金融サーバ4’は顧客からデータを受け取り、必要ならば補完する。サーバはPOT機器の識別文字POSIDと金額Aを認識する。それゆえ貸方に記入されるべきPOT口座420を特定できる。同様にサーバは簡略メッセージの中の顧客識別文字で顧客を識別でき、それゆえサーバは引き落しされる顧客口座を認識する。
金融サーバ4’は次にトランザクションを行い、POT運営者に簡略メッセージでの確認通知をeメールまたは通常の郵便で送る。この通知には少なくともPOTの識別文字、日付、時間、金額、場合によっては顧客口座が含まれる。
好適には、モバイル機器、POT機器と金融サーバの間でのドキュメントはすべてSMS、USSDメッセージとして伝えられる。SMS簡略メッセージが使われるなら、好適には、通常のメッセージと区別するためにそれにはデータ電報の特別ヘッダーが付けられる。そのほかに、好適には、このメッセージの内容は、TTP方式で暗号化されるが、これについては付録と図10から図13で説明する。
専門家は、本発明はモバイルシステムと、電気通信網5と結びついたPOT機器2の間での金融トランザクションにだけ適しているのではないことを理解するだろう。POT機器2は、たとえば、暗号化装置によっても形成できる。この応用のためにはモバイルシステム10は、たとえば、電子の鍵を持つチップカードになる。鍵はサーバ4から再ロードされ、カード10に保存される。暗号化装置を開くためには接点なしの通信、たとえば、誘導的インタフェース、または赤外線インタフェースでの通信が、モバイルシステム10とPOT機器2の間でなされる。この通信の後にモバイルシステム10に保存された鍵が正しい鍵であり、その所有者に保護されたゾーンへの入場権利を与える鍵ならば、暗号化装置は開かれる。暗号装置とネットワーク5を介して結びついているサーバ4は入場許可を管理し、記録し、場合によっては顧客の口座41に入場許可に伴う金額を負担させる。
付録−クリプトグラフィーとTTPの基本
<安全要求>
モバイルシステム1、10と金融サーバ4との間でデータ交換する際、安全性に関する要求を区別する。
・信頼性:権限のない者が情報にアクセスできず、読めないことの保証
・認証:真正性が検証されるプロセス
・真正性:アイデンティティー(同一性)の証明。顧客、POT機器2またはサーバ4が実際に存在する本物であることの確証。
・情報の真正性:情報の送り手、作り手(モバイルシステム1、10、POT機器または金融サーバ)が本物であることの確証。
・ソースの是認・出所証明:情報の送り手は情報が自分から出ていることを否認できない。
・首尾一貫性:情報の持続性の確保、つまり情報の変更、追加、消去から保護されること。
以後、「情報」という概念の代わりに「メッセージ」という概念を使う。1つのメッセージは1つの情報であり(ここではビット列)、それは送り手から受け手へ伝送される。このアプリケーションでは、1つのメッセージは、たとえば、支払いドキュメントまたは再ロードドキュメントになりうる。「送り手」、「受け手」という概念はメッセージの方向に応じて、モバイルシステム1、10、POT機器2または金融サーバ4のいずれかを意味する。
送り手の真正性、情報の首尾一貫性および情報の出所の是認は、いわゆるデジタル署名によって達成される。デジタル署名は暗号コード(つまりビットシーケンス)であり、これは一定の情報に対して唯一のものであり、これを作るためには、作成者だけが持つ暗号鍵(同様にビットシーケンス)が必要である。デジタル署名は非公開鍵の所有者によってのみ作ることができる。これに通常はオリジナルメッセージが添付される。
情報伝送の信頼性は暗号化によって得られる。メッセージが暗号アルゴリズムと暗号鍵(ビットシーケンス)によって、読めない状態に変換される。この方式で変換されたメッセージからオリジナル情報を取り戻すことは、復号のために必要な鍵を知らない限り不可能である。
どのように機能するかについて以下に詳しく説明する。
<対称暗号化と非対称暗号化>
暗号化アルゴリズムの2つの方法を区別する。
・対称:情報の符号化と復号(符号化=暗号化)のために同じ鍵を使う。故に送り手と受け手は同じ鍵を持っていなければならない。この鍵がなければオリジナル情報に戻すことができない。現在もっともよく使われる対称アルゴリズムはDES(デジタル復号標準)である。その他のアルゴリズムは、たとえば、IDEA、RC2、およびRC4である。対称のアルゴリズムが、好適には、モバイルシステムとPOT機器との安全なデータ伝送のために使われる。鍵はPOT機器2とモバイルシステム10に保存されている。
・非対称:符号化と復号のために2つの異なる相補性の鍵(ペアの鍵)を使う。つまり、メッセージは第1の鍵で符号化され、第2の鍵で復号される。逆の処理も可能である。つまり第2の鍵を符号化、第1の鍵を復号のために使うことができる。第1の鍵を基にして第2の鍵を再び作ること(または逆)は不可能である。同様に符号化された情報を基にして鍵を計算することも不可能である(これはオリジナル情報が既知である場合に有効である)。現在最も良く使われる非対称アルゴリズムはRSAである(発明者Rivest、ShamirおよびAdlemanにちなんで名づけられた)。その変種がDSS(Digital Signature Standard)である。
非対称の符号化によっていわゆるデジタル署名が作られる。以下に詳しく説明する。
<非公開鍵と公開鍵>
非対称の暗号技術によって公開鍵と非公開鍵のシステムが実現される。その際相補性ペア鍵の1つが非公開鍵として表わされる。それは送り手、たとえば、顧客が所有しており、その者だけが知っている。それゆえ秘密の鍵とも呼ばれる(その際、この概念は通常は対称鍵のために使われる)。その他の鍵は公開鍵である。一般に入手できる。上述のように、公開鍵を基にして非公開鍵を計算することはできない。個々のモバイルシステム、POT機器および個々の金融サーバは信頼できる管轄部局から非公開鍵と公開鍵で作られる1つのペア鍵を受け取る。
非公開鍵が実際にも秘密にされること、つまりデジタル署名の安全性が確保されているために、誰にも知られないことが肝要である。それゆえ非公開鍵は暗号化された形でのみ身分証明カード10に保存され、カードでは、そのほかに符号化アルゴリズムが直接、インプレメント(実施)されている。このようにして非公開鍵は常にチップに残されており、決してチップから出ることはない。暗号化されるデータはチップに転送され、そこにおいて暗号化され、続いて再びもとに戻される。チップのアーキテクチャは、非公開鍵が電子的、視覚的、機械的、科学的または電磁気的な媒体で読めるように定義される。
非公開鍵とは逆に、公開鍵は一般に既知であり、すべてのユーザに配布される。簡単な鍵であるために、公開鍵は基本的には個々のメッセージと一緒に送られる。下記に説明するように、その際、信頼できる管轄部局(証明機関)が必要となり、この機関が公開鍵の正しさを保証する。なぜなら犯罪者が自分のペア鍵を作成し、その者が別のだれかになりうるからである。この真正性保証はいわゆる証明書で行われ、これについて以下に詳しく説明する。
<ハッシュ関数>
ハッシュ関数は非相関アルゴリズムであり、これは任意の長さの一定の情報に基づいて決まった長さのハッシュ値(簡略草稿、コンプリマト)を生成する。これは1つの整数のsum of degits(桁の数字の和)と比較できる。その場合、メッセージの長さは類型的にはそれから計算されたハッシュ値よりも幾分長い。メッセージは、たとえば、数メガバイトを含むことができ、一方ハッシュ値は128ビット長さに過ぎない。ハッシュ値を基にしてオリジナル情報に戻すことはできないこと(非相関性)、情報を同じハッシュ値を出すように修正することは非常に難しいことに留意されたい。そうした関数の目的は、それぞれのドキュメントにとって唯一の短いコードを作ることである。それはデジタル署名を作るために使われる。たとえば、ハッシュアルゴリズムによってMD4(メッセージサービス4)、MD5、RIPE−MDおよびSHA(Secure Hash Algorithm)である。
<デジタル(電子)署名>
この方法は図10によって説明する。個々のユーザは非公開鍵と公開鍵を受け取る。メッセージ90にデジタルで署名するために、メッセージは送り手の非公開鍵で符号化される(ブロック94)。その結果がデジタル署名92である。しかし、できた署名はオリジナルメッセージと同じ大きさになるかもしれないので、まずメッセージ90のハッシュ値93が計算される。上述のように、ハッシュ値は決まった長さを持ち、一定のメッセージにとって唯一のものである。デジタル署名を作るために、オリジナルメッセージの代わりにハッシュ値93が符号化される。そうしてできたデジタル署名92はオリジナルドキュメント90に添付される。全体が受け手に送られる(図10)。
ドキュメントの送り手だけが非公開鍵91を持つので、その者だけがデジタル署名できる。ここでは手書き署名の類似性が生じる。しかしデジタル署名には手書き署名の場合には見られないような特性がある。それゆえ、たとえば、手書き署名契約の際には、情報が気づかれずに添付されたり、または消去されることがないわけではない。これはデジタル署名の場合は起こり得ない。デジタル署名は伝統的な手書き署名よりも安全性は高い。
<デジタル署名の検証>
公開鍵97はすべてのユーザに配布され、それによって一般に知られるようになり、個々の受け手はデジタル署名92を検証できる。そのために受け手はデジタル署名92を送り手の公開鍵97(図11でのブロック96)で復号する。その結果はオリジナルメッセージ90のハッシュ値である。これと平行して受け手は、同様に(署名92と共に)伝えられたオリジナルドキュメント90のハッシュ値95を計算する。この第2のハッシュ値95を受け手は、署名から復号したハッシュ値96と比べる。2つのハッシュ値が一致するならデジタル署名は本物である。
オリジナルメッセージ90が伝送中に変わると(1ビットで十分)、そのハッシュ値95も変化する。それによって、受け手は、オリジナルメッセージに基づいて計算されたハッシュ値95が、署名から復号されたハッシュ値96とは一致しないことを確認するだろう。そのことは署名が正しくないことを意味する。受け手はデジタル署名の検証がうまくいくとメッセージ90は変わっていないという保証を得る(持続性)。
署名の作成者のみが自分の非公開鍵91を持つので、その者だけがデジタル署名92を作成できる。これは、デジタル署名92を持つ受け手に、送り手だけが署名を作成できたということを証明する(情報源の是認)。
<公開鍵の証明>
デジタル署名92によって、メッセージ90の出所の是認と持続性保証が可能になる。しかし、まだ安全性の問題が残る。つまり送り手の公開鍵97の本物保証である。これまでは受け手には、公開鍵97が実際に送り手の鍵であるという保証がなかった。署名は確かに有効ではあるが、しかし、それに結びついた公開鍵97は理論的には詐欺師によって作られるかもしれない。
メッセージ90の受け手は、送り手の公開鍵97が実際に正しい送り手に属するという確信を必要とする。受け手はこの確信をさまざまな方法で要求できる。送り手が受け手に公開鍵97を一旦、個人的に与えてしまうことが考えられる。または受け手が送り手をコールし、たとえば、公開鍵の最初の10桁を比較する。しかし、この方法は面倒であり、ユーザ同士がすでに知りあいであるか、または以前に出会ったことがあることが条件になる。
公開鍵の帰属性をある個人に保証する管轄機関を設けるとよいだろう。この機関は認証機関(Certification Authority/CA)と呼ばれ、特定の公開鍵97が特定の個人に帰属することを保証する。それは公開鍵97のいわゆる証明書98を作成する(図12)。それは実際には公開鍵と所有者の名前から構成される。すべてが認証機関によって署名される(署名98)。証明することによってCAは公開鍵97を特定の送り手(顧客、POTまたはサーバ)に結び付ける。すべてのユーザのために、CAによって公開鍵の1つの証明書が出される。この証明書はすべてのユーザが利用できる。
送り手の証明書のデジタル署名99、およびメッセージの署名92を検証することによって、受け手は、メッセージ90は、受け手が認証した対象者によって署名されたとの証明を得る(認証)。
鍵証明書98は必ずしも特別に保護されなくても良いことに留意されたい。なぜなら改ざんできないからである。証明書内容が変えられると受け手はそれに気づく。なぜなら署名99がもはや正しくないからである。CA以外の誰もCAの非公開鍵を持たないので、CAの署名を改ざんすることは誰にもできないからである。
鍵証明書98、99を頒布する方法はいろいろある。証明書98、99を個々のメッセージと共に送ることも1つの方法である。
上述の技術によって、相互に未知の顧客、POTおよびサーバが相互に情報を確実な方法で交換できるようになる。
<認証機関の公開鍵の分配>
まだ最後の問題が残っている。これまで述べたように、メッセージの受け手は送り手の証明書を検証する。そのために受け手は認証機関の公開鍵を必要とする。CAはそれ自身の公開鍵を証明できるが、これはあまり意味がない。なぜなら誰でも自分でペア鍵を生成し、自分で(CAに対応する名前を持つ)CA証明書を生成することができるからである。つまりCAの公開鍵については独自の証明書はない。この事実は、理論的には犯罪者に認証機関であると自称させ、間違ったペア鍵と証明書を生成させ、それを分配することを許す。それゆえ認証機関の公開鍵はユーザに、確実な方法で届けなければならない。ユーザはCAの正しい鍵を持つことを確信しなければならない。
直ちに提案できる解決策は、認証機関の公開鍵をユーザのSIMカードに保存することである。だれもが(ユーザの非公開鍵とは異なり)読めるが、上書きしたり消去できない。これはチップ101の特別のアーキテクチャによって可能となる。
<符号化なしのデジタル署名メッセージの伝送:>
概要
・送り手はメッセージ90を、カード10に保存された非公開鍵91で署名し、その結果その出所が確認される。
・オリジナルメッセージ90は、署名92および、送り手の署名された証明書98、99と共に受け手に送られる(矢印80)。
・受け手はドキュメント90のデジタル署名92を、送り手の証明書98と一緒に送られてきた送り手の公開鍵97によって検証する。
・そのほかに、受け手は送り手の公開鍵97が本物であることを保証され、受け手は証明書98のデジタル署名99を検証する。そのために認証機関の公開鍵81を使う。
<メッセージの符号化>
伝送の信頼性、つまり非権利者がのぞくのを防止するために、メッセージは暗号化(符号化)される。そのためには理論的に2つの方法が考えられる。メッセージを受け手の公開鍵で暗号化できる。それに関係する非公開鍵を持っている受け手だけがそのメッセージを復号できる。非対称の符号化アルゴリズムは対称のに比べると非常にゆっくりである。
それゆえ、好適には、対称アルゴリズムがメッセージの符号化のために使われる(図13)。メッセージ90の送り手は対称の鍵83を生成し、それを使ってメッセージ90を復号する。この対称の暗号化には時間の小部分が必要であり、それは非対称アルゴリズムを使う際に必要となるだろう。受け手は同じ対称の鍵を知っていなければならない。その鍵は受け手に伝送されなければならないが、通常は暗号化されている。なぜなら詐欺師が鍵83を伝送時にのぞき、受け取られたメッセージ86を復号できるからである。それゆえ対称の鍵83、いわゆるセッション・キーが受け手の公開鍵84で暗号化される。そのようにして作られたセッション・キーもトークン85と呼ばれる。トークン85にはメッセージ90の符号化のために使われる対称鍵83が含まれ、受け手の公開(非対称)鍵84で暗号化する。トークン85は暗号化されたメッセージ86、署名92および証明書98、99と共に伝送される。
受け手はトークン85を自分の非公開鍵で復号する。受け手はメッセージの復号に必要な対称鍵83を受け取る。受け手だけが非公開鍵を持っているので、受けてだけがメッセージを復号できる。
<符号化付きデジタル署名メッセージの伝送:>
概要
送り手:
・送り手はメッセージ90を自分の非公開鍵91で署名する。
・次にメッセージ90を自分が作成した対称鍵83で暗号化する。
・この対称鍵を暗号化し、受け手の公開鍵84で暗号化する。そこからトークン85が生じる。
・オリジナルメッセージ90は署名92、トークン85、および署名された証明書98、99と共に受け手に送られる。
受け手:
・受け手はまずトークン85を自分の非公開鍵で復号する。
・それによって得られた対称鍵83で受け手はメッセージ90を復号する。
・受け手は、メッセージ90のデジタル署名92を、送り手の証明書98に入っている公開鍵97を使って検証する。
・そのほかに、受け手は送り手の公開鍵97の本物であることを確かめ、受け手は証明書98のデジタル署名99を認証機関を介して検証する。そのために受け手は認証機関の公開鍵81を使う。
<取り消しリスト・証明書の無効性説明>
非公開鍵91を含むSIMカードが顧客から盗まれたと仮定する。侵入者はこの非公開鍵を利用し、受け手に気づかれないで、持ち主のふりをする。それゆえすべてのユーザに、盗まれた非公開鍵91に帰属する証明書はもはや有効でないことを通知するために1つのメカニズムが必要である。これはいわゆる無効証明書リストによって行われる。上述の証明書取り消しリスト(CRL)によって行われる。それはCAによってデジタル署名され、公開される。つまりすべてのPOTとサーバが利用できようになる。顧客からのメッセージの受け手は、それぞれが送り手の署名と証明書の検証のほかに、証明書に取り消しリストが入っていないか、つまり無効になっていないかどうかを制御しなければならない。
取り消しリストが大きすぎないようにするには、証明書全体の代わりに証明書が無効とされた日付と通し番号がはめ込まれる。つまり、リストは通し番号と無効宣告日付で構成され、その最後にCAがデジタルで署名する。CAの名前とリストの公開日付も含まれる。
<信託センターと第3者信託サービス(Trusted Third Party Dienst)>
すでに説明したように、オープンで。多くのユーザによって分配されるシステムにおいて、共通の信頼関係をもたない2人のユーザが、相互に通信を望む場合、これらのユーザにある程度の安全サービスを提供する第3者が必要となる。なぜならユーザが自分で必要な鍵を交換し、管理するコストは非常に高くつくからである。こうした機関が信託センターまたは第3者信託サービスと呼ばれ、これをTTPサービスという。CAはこうしたサービス機関である。TTPはユーザのために暗号化管理を行い、彼らの信頼を得る。TTPサービスは多様なアプリケーションとプロトコルの安全保護にとって有用である。
第3者信託サービスは以下で構成される。
・登録機関(RA):これはユーザを識別し、そのデータを受け入れ、それを認証機関に送る。ユーザの識別文字は必要である。CAが特定の人間に特定の公開鍵が帰属することを保証するからである。そのためにはまずその人間が識別されなければならない。
・認証機関(CA):これは鍵証明書と取り消しリストを作成する。これらは公開のために目録に載せられるか、直接ユーザに送られる。
・鍵作成サービス:これはユーザのために鍵を作る。非公開鍵はユーザの確実なチャネルで届けられ、公開鍵はCAへ証明のために送られる。
・鍵個人化サービス:これは非公開鍵をモジュール(たとえば、チップカード)に入れ、権限のない者の利用を防止する。
・鍵供託サービス(キーエスクロー):これは使われる鍵のコピーを保存する(紛失したときの再発行のため、または国家安全のため、または犯罪捜査のための警察による”聴取”のため)。
・記録保管サービス:鍵証明書を保管する(デジタル署名の検証可能性を長期的に保証するため)。
・目録サービス:ユーザが鍵証明書と取り消しリストを利用できるようにする。
・緊急時サービス:
1.送信・受信証明
2.時間スタンプ
3.内容の正しさの証明(既存の緊急時サービスに類似)
これまでの説明では、「受け手は署名を検証する」または「送り手はメッセージを暗号化する」と書かれていることが多い。もちろんユーザはこれらすべての機能を通常は自分で明白に実行する必要はない。モバイルシステム1、10ないし金融サーバ4がユーザのために自動的に行う。
Claims (38)
- 顧客と、電気通信網(5、6)を介してサーバ(4)へ接続される固定点トランザクション機器(POT機器)(2、2'、2''、2''')との間のトランザクション方法であって、
該方法が、
POT機器(2、2'、2''、2''')内において顧客データを、前記POT機器(2、2'、2''、2''')内で読まれ又は捕捉されるPOT機器識別(POSID)とリンクさせ、又トランザクションドキュメント内のトランザクション特有データ(A)とリンクさせるステップとを含み、
前記顧客データは、
前記顧客の携帯可能な識別要素(10、10')のメモリ内で読まれる少なくとも1つの顧客識別(IDUI)を含み、前記識別要素(10、10')は少なくとも1つのプロセッサ(100、100'、101)を含み、前記識別要素(10、10')は接点なしインターフェース(101−20)を介して直接に前記POT機器(2、2'、2''、2''')にデータを送信することができるようにセットアップされ、さらに該方法が、
前記トランザクションドキュメントを前記電気通信網(5、6)を介して前記サーバ(4)に送信するステップを含み、
前記POT機器(2、2'、2''、2''')から前記サーバ(4)に前記トランザクションドキュメントを送信するのに先立って、デビット請求が前記顧客識別(IDUI)と相関するか否かを認証するために、少なくとも前記トランザクション特有データ(A)、前記前記POT機器識別(POSID)及び前記顧客識別(IDUI)を含む前記デビット請求が前記接点なしインターフェースを介して前記顧客の前記識別要素(10、10')に直接送信されることを特徴とする、
トランザクション方法。 - 前記トランザクション特有データ(A)が少なくとも1つの支払われるべき金銭の合計を含み、前記金銭の合計(A)が、支払い能力調査のために前記携帯可能な識別要素(10、10')に保存された金銭の合計と比較されることを特徴とする、
請求項1に従ったトランザクション方法。 - 前記識別要素(10、10')がSIMカードであることを特徴とする、
請求項1乃至2のいずれか1つに従ったトランザクション方法。 - 前記識別要素がトランスポンダ(10')であることを特徴とする、
請求項1または2のいずれか1つに従ったトランザクション方法。 - 前記トランスポンダ(10')が赤外線インターフェースを介して前記POT機器(2、2'、2''、2''')と通信することを特徴とする、
請求項4に従ったトランザクション方法。 - 前記識別要素(10、10')が統合コイルを介して前記POT機器(2、2'、2''、2''')と通信することを特徴とする、
請求項1乃至4のいずれか1つに従ったトランザクション方法。 - 前記識別要素(10、10')が、モバイル無線網(6)を介してモバイル機器(1、24)の手段によりショートメッセージを送信および/または受信するために前記モバイル機器(1、24)と機能的に協同することができるようにセットアップされることを特徴とする、
請求項1乃至6のいずれか1つに従ったトランザクション方法。 - 前記モバイル機器(24)が、前記POT機器(2)内に含まれていることを特徴とする、
請求項7に従ったトランザクション方法。 - 前記トランザクションドキュメントが前記モバイル無線網(6)を介して前記サーバ(4)に送信されることを特徴とする、
請求項7または8のいずれか1つに従ったトランザクション方法。 - 前記POT機器(2、2'、2''、2''')と前記識別要素(10、10')間を前記接点なしインターフェース(101−20)を介して送信される前記少なくとも特定のデータは暗号化されることを特徴とする、
請求項1乃至9のいずれかに従ったトランザクション方法。 - 前記電気通信網(5、6)により送信される前記トランザクションドキュメントが暗号化されることを特徴とする、
請求項1乃至10のいずれかに従ったトランザクション方法。 - 前記電気通信網(5、6)により送信される前記トランザクションドキュメントが、送信中に復号化されないことを特徴とする、
請求項11に従ったトランザクション方法。 - 前記トランザクションドキュメント(90)が対称アルゴリズムの手段により暗号化され、前記対称性アルゴリズムが、非対称性アルゴリズムの手段により暗号化されるセッション鍵(83)を用いることを特徴とする、
請求項12に従ったトランザクション方法。 - 前記電気通信網(5)により送信される前記トランザクションドキュメントが認証されることを特徴とする、請求項1乃至13のいずれか1つに従ったトランザクション方法。
- 前記電気通信網(5、6)により送信される前記トランザクションドキュメントが、サーバにより認証可能な前記識別要素(10、10')の電子署名を含むことを特徴とする、請求項1乃至14のいずれか1つに従ったトランザクション方法。
- 前記電気通信網(5、6)により送信される前記トランザクションドキュメントが、前記サーバにより認証可能な前記POT機器(2、2'、2''、2''')の電子署名を含むことを特徴とする、請求項1乃至15のいずれか1つに従ったトランザクション方法。
- 請求項11乃至16のいずれか1つに従ったトランザクション方法であり、
前記トランザクションドキュメント(90)からハッシュ値(93)を生成するステップと、
前記識別要素(10、10')に保存された秘密鍵(91)の手段によりこのハッシュ値(93)を暗号化するステップと、
前記暗号化されたハッシュ値(92)により前記トランザクションドキュメント(90)に署名するステップとにより特徴付けられる、
トランザクション方法。 - クリアリングユニット(3)を介して、前記トランザクションドキュメントが前記サーバ(4)に送信されることを特徴とする、請求項1乃至17のいずれか1つに従ったトランザクション方法。
- 前記クリアリングユニットが前記トランザクションドキュメントを復号化する必要がないように、前記クリアリングユニット(3)における清算のために必要な前記データ要素(IDUI)が暗号化されないことを特徴とする、請求項18に従ったトランザクション方法。
- 前記トランザクション特有データ(A)が前記POT機器(2、2'、2''、2''')において読まれ、または入力されることを特徴とする請求項1乃至19のいずれか1つに従ったトランザクション方法。
- 前記トランザクション特有データ(A)が前記モバイル機器(1)において読まれ、または入力されることを特徴とする請求項7乃至20のいずれか1つに従ったトランザクション方法。
- 前記サーバ(4)が顧客ブラックリストを保存し、受信される前記顧客識別(IDUI)が前記顧客ブラックリストに含まれている場合に処理が中断されることを特徴とする、
請求項1乃至21のいずれか1つに従ったトランザクション方法。 - 前記サーバ(4)がPOTブラックリストを保存し、受信される前記POT機器識別(POSID)が前記顧客ブラックリストに含まれている場合に処理が中断されることを特徴とする、
請求項1乃至22のいずれか1つに従ったトランザクション方法。 - 前記POT機器(2、2'、2''、2''')が、前記サーバ(4)により更新される顧客ブラックリストを保存し、前記顧客識別(IDUI)が前記顧客ブラックリストに含まれている場合に処理が中断されることを特徴とする請求項1乃至23のいずれか1つに従ったトランザクション方法。
- 顧客識別が、前記POT機器および/または前記サーバ(4)内の前記顧客ブラックリストに含まれる場合、前記識別要素が少なくとも部分的に遮断されることを特徴とする請求項22乃至24のいずれか1つに従ったトランザクション方法。
- 前記識別要素(10、10')がすでに実行されたトランザクションに関するデータの束を含むことを特徴とする請求項1乃至25のいずれか1つに従ったトランザクション方法。
- 前記トランザクション特有データは金額(A)を含み、前記サーバ(4)は金融機関により管理され、前記識別要素(10、10')に保存された金銭の合計はトランザクションの間に引き落とされることを特徴とする請求項1乃至26のいずれか1つに従ったトランザクション方法。
- 前記識別要素(10、10')に保存された金銭の合計は、ドキュメントリチャージ手段により、前記モバイル無線網(6)を介して、前記サーバ(4)からリチャージされることを特徴とする請求項27に従ったトランザクション方法。
- 前記金額(A)は標準通貨により示されることを特徴とする、請求項27に従ったトランザクション方法。
- 前記POT機器(2、2'、2''、2''')からの前記トランザクション特有データが、前記識別要素(10、10')からのトランザクション特有データとは異なる接点なしインターフェースを介して前記サーバ(4)に送信されることを特徴とする、
請求項1乃至29のいずれか1つに従ったトランザクション方法。 - 前記サーバ(4)からの少なくとも特定のデータは、モバイル無線網(6)によって前記POT機器(2")のモバイル機器部(24)へと送信され、前記POT機器(2'')のモバイル機器部からトランスポンダ(10")へと中継されることを特徴とする、請求項8乃至30のいずれか1つに従ったトランザクション方法。
- 請求項1乃至31のいずれか1つに従った前記トランザクション方法のために用いられる識別要素(10、10')であり、
該識別要素(10、10')が、
顧客識別(IDUI)が保存されるメモリエリアを有する少なくとも1つのプロセッサ(100、100';101)と、
電子書名による少なくとも前記顧客識別(IDUI)を含むトランザクションドキュメントを提供するための電子署名手段と、
署名されたトランザクションドキュメントを前記POT機器(2、2'、2''、2''')に直接中継するための接点なしインターフェース(101−20)と、前記POT機器(2、2'、2''、2''')から、デビット請求が前記顧客識別(IDUI)と相関するか否かを認証するために、少なくとも前記顧客識別(IDUI)、前記POT機器識別(POSID)及び前記トランザクション特有データ(A)を含む前記デビット請求を前記接点なしインターフェース(101−20)を直接に介して受信する手段とを含む、
識別要素(10、10')。 - 請求項32に従った識別要素(10、10')がさらに、
前記トランザクション特有データ(A)に含まれる支払われるべき金銭の合計を、支払い能力調査のために識別要素(10、10')に保存された金銭の合計と比較する手段を含む、
識別要素(10、10')。 - 前記署名手段が、
前記メモリに保存される秘密鍵(91)と、
暗号化されていないトランザクションドキュメント(90)からハッシュ値(93)を生成するための手段と、
前記秘密鍵(91)の手段により前記ハッシュ値(93)を暗号化するための手段と、前記暗号化されたハッシュ値(92)により前記トランザクションドキュメントを署名するための手段とを含むことを特徴とする、
請求項33に従った識別要素(10、10')。 - 前記識別要素が、前記接点なしインターフェース(101−20)を介して通信するための統合コイルを備えることを特徴とする、
請求項32乃至34のいずれか1つに従った識別要素(10、10')。 - 前記識別要素(10')が、前記接点なしインターフェース(101−20)を介して通信するための赤外線トランシーバを備えるトランスポンダであることを特徴とする、
請求項32乃至34に従った識別要素。 - 前記識別要素(10)がSIMカード(10)であることを特徴とする、請求項32乃至35のいずれか1つに従った識別要素(10)。
- 前記SIMカード(10、10')がバリューカードであることを特徴とする、請求項37に従った識別要素(10、10')。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH1564/97 | 1997-06-27 | ||
| CH156497 | 1997-06-27 | ||
| PCT/CH1998/000086 WO1998037524A1 (de) | 1997-06-27 | 1998-03-05 | Transaktionsverfahren mit einem mobilgerät |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002512711A JP2002512711A (ja) | 2002-04-23 |
| JP3802074B2 true JP3802074B2 (ja) | 2006-07-26 |
Family
ID=4213382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP53612398A Expired - Lifetime JP3802074B2 (ja) | 1997-06-27 | 1998-03-05 | 携帯可能な身分証明要素でのトランザクション方法 |
Country Status (15)
| Country | Link |
|---|---|
| US (1) | US8165965B2 (ja) |
| EP (1) | EP0992025B1 (ja) |
| JP (1) | JP3802074B2 (ja) |
| CN (1) | CN1155919C (ja) |
| AT (2) | ATE220814T1 (ja) |
| AU (1) | AU6086898A (ja) |
| CZ (1) | CZ295686B6 (ja) |
| DE (1) | DE59804818D1 (ja) |
| DK (1) | DK0992025T3 (ja) |
| ES (1) | ES2180142T3 (ja) |
| HU (1) | HUP0003100A3 (ja) |
| NO (1) | NO316246B1 (ja) |
| PT (1) | PT992025E (ja) |
| TW (1) | TW351799B (ja) |
| WO (1) | WO1998037524A1 (ja) |
Families Citing this family (178)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6175922B1 (en) * | 1996-12-04 | 2001-01-16 | Esign, Inc. | Electronic transaction systems and methods therefor |
| US6850916B1 (en) * | 1998-04-27 | 2005-02-01 | Esignx Corporation | Portable electronic charge and authorization devices and methods therefor |
| FR2782815B1 (fr) * | 1998-09-01 | 2000-12-01 | France Telecom | Systeme mobile de telepaiement par carte a puce rechargeable a distance par radiomessagerie |
| DE19841018A1 (de) * | 1998-09-08 | 2000-03-09 | Alcatel Sa | Verfahren und System zur Erhöhung des Fahrzeugdurchsatzes von Straßen |
| US7231372B1 (en) | 1998-09-22 | 2007-06-12 | Siemens Aktiengesellschaft | Method and system for paying for goods or services |
| AU1222499A (en) * | 1998-12-02 | 2000-06-19 | Swisscom Ag | Method and system for charging or recharging an account with a value corresponding to a sum of money |
| DE19903363C2 (de) * | 1999-01-28 | 2002-05-29 | Mueller Judex Donald | Verfahren und System zur Durchführung von bargeldlosen Finanztransaktionen |
| DE19903822C2 (de) * | 1999-02-02 | 2001-09-20 | Mathias Entenmann | Verfahren zur Durchführung bargeldloser Zahlungen und System zur Durchführung des Verfahrens |
| FR2790162B1 (fr) * | 1999-02-19 | 2001-04-13 | France Telecom | Procede de telepaiement et systeme pour la mise en oeuvre de ce procede |
| DE59906976D1 (de) | 1999-04-07 | 2003-10-16 | Swisscom Mobile Ag | Verfahren und system zum bestellen, laden und verwenden von zutritts-tickets |
| FR2792442B1 (fr) * | 1999-04-13 | 2001-06-29 | Cahors App Elec | Terminal, procede et systeme de gestion de transactions monetaires et de fourniture de service |
| EP1047028A1 (de) * | 1999-04-19 | 2000-10-25 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Kommunikationssytem und Verfahren zur effizienten Durchführung von elektronischen Transaktionen in mobilen Kommunikationsnetzen |
| US6227447B1 (en) | 1999-05-10 | 2001-05-08 | First Usa Bank, Na | Cardless payment system |
| US8117125B1 (en) * | 1999-06-11 | 2012-02-14 | Citicorp Developement Center, Inc. | Method and system for controlling certificate based open payment transactions |
| JP4393739B2 (ja) | 1999-08-02 | 2010-01-06 | ソフトバンクBb株式会社 | 電子決済システム、決済装置及び端末 |
| US7376583B1 (en) | 1999-08-10 | 2008-05-20 | Gofigure, L.L.C. | Device for making a transaction via a communications link |
| US8706630B2 (en) | 1999-08-19 | 2014-04-22 | E2Interactive, Inc. | System and method for securely authorizing and distributing stored-value card data |
| JP4083430B2 (ja) | 1999-09-22 | 2008-04-30 | ソフトバンクBb株式会社 | 電子決済システム、決済装置及び端末 |
| DE19946529B4 (de) * | 1999-09-28 | 2006-12-07 | T-Mobile Deutschland Gmbh | Verfahren zur Ansteuerung eines Warenausgabeautomaten und zur Abrechnung einer ausgegebenen Ware |
| DE59913616D1 (de) * | 1999-10-01 | 2006-08-03 | Swisscom Mobile Ag | Verfahren, um die authentizität von durch eine zertifizierungsinstanz herausgegebenen elektronischen zertifikaten in einem mobilgerät zu verifizieren und entsprechendes identifizierungsmodul |
| EP1093097A3 (en) * | 1999-10-14 | 2004-01-07 | International Business Machines Corporation | System and method for providing secure financial transactions |
| DE59904253D1 (de) | 1999-10-25 | 2003-03-13 | Swisscom Mobile Ag | Zahlungstransaktionsverfahren und zahlungstransaktionssystem |
| JP2001160108A (ja) | 1999-12-03 | 2001-06-12 | Nec Corp | 電子決済システム、電子決済方法、決済端末、支払端末および決済センタ |
| FR2801995B1 (fr) * | 1999-12-07 | 2005-09-09 | Bruno Duval | Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication |
| US10108939B1 (en) | 1999-12-23 | 2018-10-23 | Swisscom Ag | Payment transaction method and payment transaction system |
| WO2001069555A1 (de) * | 1999-12-23 | 2001-09-20 | Swisscom Mobile Ag | Zahlungstransaktionsverfahren und zahlungstransaktionssystem |
| JP3840021B2 (ja) * | 1999-12-27 | 2006-11-01 | 株式会社東芝 | 移動無線端末 |
| DE10000948A1 (de) * | 2000-01-12 | 2001-08-02 | Siemens Ag | Anordnung zur Bereitstellung und flexiblen Vergebührung einer Ware oder Dienstleistung sowie Ausgabeautomat zum Einsatz in einer solchen und Verfahren zum Betrieb einer solchen |
| AT3699U3 (de) * | 2000-01-19 | 2001-10-25 | Alfons Stranner Nachrichtentec | System für mobile zahlungen |
| US20060178986A1 (en) * | 2000-02-17 | 2006-08-10 | Giordano Joseph A | System and method for processing financial transactions using multi-payment preferences |
| US6453301B1 (en) | 2000-02-23 | 2002-09-17 | Sony Corporation | Method of using personal device with internal biometric in conducting transactions over a network |
| EP1260077B1 (de) * | 2000-02-29 | 2005-04-13 | Swisscom Mobile AG | Verfahren zur transaktionsbestaetigung, authentifizierungsserver und wap-server |
| WO2001065500A1 (de) * | 2000-03-01 | 2001-09-07 | Siemens Aktiengesellschaft | Anordnung und verfahren zur bestätigung eines kreditkarten-zahlungsvorgangs über ein mobilfunknetz |
| NL1014655C2 (nl) * | 2000-03-15 | 2001-09-25 | Ericsson Telefon Ab L M | Werkwijze en stelsel voor het langs elektronische weg registreren van en het verschaffen van informatie over het gebruik van een vervoersvoorziening. |
| DE10015732A1 (de) * | 2000-03-29 | 2001-10-11 | Skidata Ag | Zugangsberechtigungs-Buchungsverfahren |
| WO2001073684A1 (de) * | 2000-03-29 | 2001-10-04 | Skidata Ag | Berührungsloser datenträger |
| JP2001291040A (ja) * | 2000-04-05 | 2001-10-19 | Nec Corp | 料金代行サービス方法及びシステム |
| AU2001214291A1 (en) * | 2000-05-12 | 2001-11-20 | Creditel (S) Pte Ltd | Electronic transaction system and methods thereof |
| AU4779300A (en) * | 2000-05-19 | 2001-11-26 | E-Mark Systems Inc. | Electronic settlement system, settlement device and terminal |
| WO2002011019A1 (en) | 2000-08-01 | 2002-02-07 | First Usa Bank, N.A. | System and method for transponder-enabled account transactions |
| US7523067B1 (en) | 2000-08-02 | 2009-04-21 | Softbankbb Corporation | Electronic settlement system, settlement apparatus, and terminal |
| FR2812745B1 (fr) * | 2000-08-04 | 2003-01-31 | Dassault Automatismes | Terminal de paiement electronique comprenant une liaison sans fil avec un telephone portable utilise comme modem |
| GB2366881B (en) * | 2000-09-18 | 2005-05-25 | Personal Data Prot System Ltd | Personal data device and protection system and method for storing and protecting personal data |
| FI114348B (fi) * | 2000-09-04 | 2004-09-30 | Nokia Corp | Menetelmä rahan lataamiseksi, elektroniikkalaite ja järjestelmä |
| KR100469689B1 (ko) * | 2000-11-08 | 2005-01-31 | 엘지전자 주식회사 | 카드 인식이 가능한 무선 단말기 및 단말기의 작동 방법 |
| DE10056521A1 (de) * | 2000-11-15 | 2002-05-23 | Skidata Ag | Verfahren und Vorrichtung zum Codieren und/oder Lesen von Informationen und/oder Berechtigungsdaten auf einem Datenträger |
| US6950939B2 (en) | 2000-12-08 | 2005-09-27 | Sony Corporation | Personal transaction device with secure storage on a removable memory device |
| US7729925B2 (en) | 2000-12-08 | 2010-06-01 | Sony Corporation | System and method for facilitating real time transactions between a user and multiple entities |
| US7188110B1 (en) | 2000-12-11 | 2007-03-06 | Sony Corporation | Secure and convenient method and apparatus for storing and transmitting telephony-based data |
| US7251633B2 (en) | 2000-12-11 | 2007-07-31 | Sony Corporation | Method or system for executing deferred transactions |
| JP2002183641A (ja) * | 2000-12-19 | 2002-06-28 | Sumitomo Corp | 携帯端末を利用した本人確認方法及びシステム |
| FR2820853B1 (fr) * | 2001-02-12 | 2003-04-11 | France Telecom | Procede et systeme de telepaiement |
| US20020124190A1 (en) | 2001-03-01 | 2002-09-05 | Brian Siegel | Method and system for restricted biometric access to content of packaged media |
| US7653552B2 (en) * | 2001-03-21 | 2010-01-26 | Qurio Holdings, Inc. | Digital file marketplace |
| US20020138576A1 (en) * | 2001-03-21 | 2002-09-26 | Schleicher Jorg Gregor | Method and system for generating revenue in a peer-to-peer file delivery network |
| US9100457B2 (en) | 2001-03-28 | 2015-08-04 | Qualcomm Incorporated | Method and apparatus for transmission framing in a wireless communication system |
| US8077679B2 (en) | 2001-03-28 | 2011-12-13 | Qualcomm Incorporated | Method and apparatus for providing protocol options in a wireless communication system |
| US8121296B2 (en) | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
| US7055036B2 (en) * | 2001-04-06 | 2006-05-30 | Mcafee, Inc. | System and method to verify trusted status of peer in a peer-to-peer network environment |
| US7062555B1 (en) | 2001-04-06 | 2006-06-13 | Networks Associates Technology, Inc. | System and method for automatic selection of service provider for efficient use of bandwidth and resources in a peer-to-peer network environment |
| US7181506B1 (en) * | 2001-04-06 | 2007-02-20 | Mcafee, Inc. | System and method to securely confirm performance of task by a peer in a peer-to-peer network environment |
| KR100641824B1 (ko) * | 2001-04-25 | 2006-11-06 | 주식회사 하렉스인포텍 | 대칭키 보안 알고리즘을 이용한 금융정보 입력방법 및 그이동통신용 상거래 시스템 |
| WO2002095572A1 (en) | 2001-05-24 | 2002-11-28 | Sony Corporation | Service providing method and integrated circuit |
| US7478068B2 (en) | 2001-06-14 | 2009-01-13 | Sony Corporation | System and method of selecting consumer profile and account information via biometric identifiers |
| SG124290A1 (en) * | 2001-07-23 | 2006-08-30 | Ntt Docomo Inc | Electronic payment method, system, and devices |
| JP2003075164A (ja) * | 2001-09-06 | 2003-03-12 | Sony Corp | 測位情報送信装置及び測位情報送受信システム |
| EP1293923A3 (en) * | 2001-09-17 | 2005-04-13 | Koninklijke KPN N.V. | Arrangement and method for tele-commerce with client profiles |
| EP1293944A1 (en) | 2001-09-17 | 2003-03-19 | Koninklijke KPN N.V. | Arrangement and method for tele-commerce with client profiles |
| US7103576B2 (en) | 2001-09-21 | 2006-09-05 | First Usa Bank, Na | System for providing cardless payment |
| US8041803B2 (en) * | 2001-09-26 | 2011-10-18 | Qurio Holdings, Inc. | Method and system for delivering files in digital file marketplace |
| US7352868B2 (en) | 2001-10-09 | 2008-04-01 | Philip Hawkes | Method and apparatus for security in a data processing system |
| US7649829B2 (en) * | 2001-10-12 | 2010-01-19 | Qualcomm Incorporated | Method and system for reduction of decoding complexity in a communication system |
| DE10156177A1 (de) * | 2001-11-15 | 2003-06-05 | Siemens Ag | Verfahren und Anordnung zur Durchführung einer bargeldlosen Zahlungstransaktion |
| AU2002360219A1 (en) * | 2001-12-19 | 2003-06-30 | Harexinfotech Inc. | System and method for issuing card and processing blacklist using wireless communications |
| GB0201503D0 (en) * | 2002-01-23 | 2002-03-13 | Nokia Corp | Electronic payments |
| US6816083B2 (en) * | 2002-02-04 | 2004-11-09 | Nokia Corporation | Electronic device with cover including a radio frequency indentification module |
| JP2003233874A (ja) * | 2002-02-06 | 2003-08-22 | Fujitsu Ltd | 決済システム |
| HU224788B1 (hu) * | 2002-02-07 | 2006-02-28 | Enigma Software Rt | Architektúra kiterjedt ügyfélkörben végrehajtható bankkártyás fizetési tranzakciók egyszerûsített hardverigényû lebonyolításához, tranzakciós terminálegység, bõvített funkciós SIM kártya, valamint eljárások megszemélyesítésre és tranzakciók lebonyolítására |
| AU2003225744A1 (en) | 2002-03-08 | 2003-09-22 | Jp Morgan Chase Bank | Financial system for isolated economic environment |
| DE10211674B4 (de) | 2002-03-15 | 2005-07-07 | T-Mobile Deutschland Gmbh | Verfahren zur Bereitstellung und Abrechnung von WIM-Funktionalitäten bei mobilen Kommunikationsendeinrichtungen |
| US7899753B1 (en) | 2002-03-25 | 2011-03-01 | Jpmorgan Chase Bank, N.A | Systems and methods for time variable financial authentication |
| DE10262183B4 (de) * | 2002-04-03 | 2011-06-09 | Sagem Orga Gmbh | Mobiles Telekommunikationsgerät und Chipkartensystem |
| EP1493099A4 (en) * | 2002-04-08 | 2010-06-02 | Exxonmobil Res & Eng Co | SYSTEM AND METHOD FOR PROCESSING FINANCIAL TRANSACTIONS BASED ON THE USE OF PREFERENCES OF MULTIPLE PAYMENTS |
| BG65608B1 (bg) * | 2002-04-29 | 2009-02-27 | ПОПОВ Красимир | Метод за разплащане чрез комуникационен оператор |
| WO2003100736A1 (en) * | 2002-05-10 | 2003-12-04 | Dejan Dragojlovic | Transmission unit and its application in additional crediting of sim cards for mobile telephones |
| US7606560B2 (en) | 2002-08-08 | 2009-10-20 | Fujitsu Limited | Authentication services using mobile device |
| US7784684B2 (en) * | 2002-08-08 | 2010-08-31 | Fujitsu Limited | Wireless computer wallet for physical point of sale (POS) transactions |
| US7349871B2 (en) | 2002-08-08 | 2008-03-25 | Fujitsu Limited | Methods for purchasing of goods and services |
| US7353382B2 (en) | 2002-08-08 | 2008-04-01 | Fujitsu Limited | Security framework and protocol for universal pervasive transactions |
| EP1424861A1 (de) * | 2002-11-26 | 2004-06-02 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Identifizierung eines Benutzers mittels eines mobilen Endgerätes |
| US7599655B2 (en) | 2003-01-02 | 2009-10-06 | Qualcomm Incorporated | Method and apparatus for broadcast services in a communication system |
| ATE323921T1 (de) | 2003-02-21 | 2006-05-15 | Verfahren und system zur sperrung/entsperrung von einem an eine sim-karte gebundenen geldkonto | |
| DE10310527B4 (de) | 2003-03-11 | 2008-11-20 | Christian Hogl | Verfahren zum Initiieren und/oder Durchführen einer Zahlungstransaktion |
| FI20030948A0 (fi) * | 2003-06-26 | 2003-06-26 | Nokia Corp | Menetelmä ja laitejärjestely ennakkomaksuliittymän toteuttamiseksi ja menetelmää hyödyntävä ennakkomaksupääte ja solukkoverkon päätelaite |
| US8098818B2 (en) | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
| US8718279B2 (en) | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
| US7267266B2 (en) * | 2003-07-10 | 2007-09-11 | Rouille David W | Security system |
| KR20050011782A (ko) * | 2003-07-23 | 2005-01-31 | 엘지전자 주식회사 | 단문메시지를 이용한 휴대단말기 잠금장치 및 방법 |
| US8724803B2 (en) * | 2003-09-02 | 2014-05-13 | Qualcomm Incorporated | Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system |
| US8655309B2 (en) | 2003-11-14 | 2014-02-18 | E2Interactive, Inc. | Systems and methods for electronic device point-of-sale activation |
| DE10355860A1 (de) * | 2003-11-25 | 2005-06-30 | Deutsche Telekom Ag | Verfahren zur Orts-Zeit-Bestätigung |
| JP2005276184A (ja) | 2004-03-25 | 2005-10-06 | Internatl Business Mach Corp <Ibm> | 無線サービス購買システム |
| US7606918B2 (en) * | 2004-04-27 | 2009-10-20 | Microsoft Corporation | Account creation via a mobile device |
| US7014107B2 (en) * | 2004-07-20 | 2006-03-21 | Irek Singer | Wireless payment processing system |
| EP1640896B1 (de) * | 2004-09-28 | 2016-03-09 | Swisscom AG | Verfahren zur Wiederverwertung von Produkten |
| DE102004061479A1 (de) * | 2004-12-21 | 2006-06-29 | Giesecke & Devrient Gmbh | Verfahren zum Aufbuchen eines Guthabens |
| US7124937B2 (en) | 2005-01-21 | 2006-10-24 | Visa U.S.A. Inc. | Wireless payment methods and systems |
| KR100640810B1 (ko) * | 2005-01-27 | 2006-11-06 | 엘지전자 주식회사 | 전자결제 기능을 갖는 이동 통신 단말기 및 그 방법 |
| US20080272187A1 (en) * | 2005-03-03 | 2008-11-06 | Masao Fujimoto | Electronic Money System, Information Storage Medium, and Mobile Terminal Device |
| US7562219B2 (en) | 2005-04-04 | 2009-07-14 | Research In Motion Limited | Portable smart card reader having secure wireless communications capability |
| EP1710758A1 (en) * | 2005-04-04 | 2006-10-11 | Research In Motion Limited | Portable smart card reader having secure wireless communications capability |
| US20060287004A1 (en) * | 2005-06-17 | 2006-12-21 | Fuqua Walter B | SIM card cash transactions |
| US7878395B2 (en) | 2005-09-08 | 2011-02-01 | Research In Motion Limited | Alerting a smart card reader of probable wireless communication |
| CZ297449B6 (cs) * | 2005-09-22 | 2006-12-13 | Siedek@Hynek | Platební systém mobilních penezenek |
| JP4727378B2 (ja) * | 2005-10-14 | 2011-07-20 | 京セラ株式会社 | 外来者受付システム、屋外機および通信端末 |
| US8352323B2 (en) * | 2007-11-30 | 2013-01-08 | Blaze Mobile, Inc. | Conducting an online payment transaction using an NFC enabled mobile communication device |
| US20070155364A1 (en) * | 2006-01-03 | 2007-07-05 | Stefan Andersson | Method and system for content based obligation enforcement in an electronic equipment |
| US20070187482A1 (en) * | 2006-02-13 | 2007-08-16 | Castro Alberto J | Point of Sale Transaction Method and System |
| ITMI20060315A1 (it) * | 2006-02-21 | 2007-08-22 | Tomo Mali | Apparecchiatura atta ad attuare un metodo di transazione monetaria mobile |
| US8467766B2 (en) | 2006-07-06 | 2013-06-18 | Qualcomm Incorporated | Methods and systems for managing payment sources in a mobile environment |
| US8145568B2 (en) | 2006-07-06 | 2012-03-27 | Firethorn Mobile, Inc. | Methods and systems for indicating a payment in a mobile environment |
| US9911114B2 (en) | 2006-07-06 | 2018-03-06 | Qualcomm Incorporated | Methods and systems for making a payment via a stored value card in a mobile environment |
| US8160959B2 (en) | 2006-07-06 | 2012-04-17 | Firethorn Mobile, Inc. | Methods and systems for payment transactions in a mobile environment |
| US8121945B2 (en) | 2006-07-06 | 2012-02-21 | Firethorn Mobile, Inc. | Methods and systems for payment method selection by a payee in a mobile environment |
| US8510220B2 (en) | 2006-07-06 | 2013-08-13 | Qualcomm Incorporated | Methods and systems for viewing aggregated payment obligations in a mobile environment |
| US8489067B2 (en) | 2006-07-06 | 2013-07-16 | Qualcomm Incorporated | Methods and systems for distribution of a mobile wallet for a mobile device |
| US8079068B2 (en) * | 2006-07-17 | 2011-12-13 | Research In Motion Limited | Management of multiple connections to a security token access device |
| WO2008047330A2 (en) * | 2006-10-19 | 2008-04-24 | Firstrand Bank Limited | Financial transaction system and method |
| FR2912855A1 (fr) * | 2007-02-15 | 2008-08-22 | Ingenico Sa | Procede et systeme d'echange de donnees reservees a un utilisateur |
| WO2008122923A2 (en) | 2007-04-05 | 2008-10-16 | International Business Machines Corporation | System and method for distribution of credentials |
| EP2023281A1 (de) * | 2007-08-10 | 2009-02-11 | SkiData AG | Verfahren zur Bestellung und Bezahlung einer Zutrittsberechtigung, zur Überprüfung der Zutrittsberechtigung, zur Erteilung einer Zutrittsberechtigung und/oder zur Bereitstellung von zutrittsbezogenen Informationen |
| US8676672B2 (en) | 2007-08-23 | 2014-03-18 | E2Interactive, Inc. | Systems and methods for electronic delivery of stored value |
| DE102007055281A1 (de) * | 2007-11-20 | 2009-06-18 | Giesecke & Devrient Gmbh | Kommunikationssperre für Kontaktlos-Schnittstelle |
| US20090164366A1 (en) * | 2007-12-21 | 2009-06-25 | Mastercard International, Inc. | Payment voucher generation for financial transactions |
| USD582977S1 (en) | 2008-02-21 | 2008-12-16 | Jpmorgan Chase Bank, N.A. | Transaction device |
| USD582476S1 (en) | 2008-02-21 | 2008-12-09 | Jpmorgan Chase Bank, N.A. | Pivoting transaction device |
| USD576671S1 (en) | 2008-02-21 | 2008-09-09 | Jpmorganchase Bank, N.A. | Overlapping transaction device |
| US9305292B1 (en) | 2008-07-03 | 2016-04-05 | Jpmorgan Chase Bank, N.A. | Systems and methods for providing an adaptable transponder device |
| CN102301642B (zh) * | 2008-12-03 | 2015-12-02 | 因特塞克特国际有限公司 | 安全交易认证 |
| US8305741B2 (en) * | 2009-01-05 | 2012-11-06 | Hewlett-Packard Development Company, L.P. | Interior connector scheme for accessorizing a mobile computing device with a removeable housing segment |
| GB2467530A (en) * | 2009-02-03 | 2010-08-11 | Eservglobal Uk Ltd | Credit transfer between telecommunications networks |
| USD602986S1 (en) | 2009-03-06 | 2009-10-27 | Jpmorgan Chase Bank, N.A. | Metal transaction device |
| US9396465B2 (en) * | 2009-07-22 | 2016-07-19 | Visa International Service Association | Apparatus including data bearing medium for reducing fraud in payment transactions using a black list |
| JP4949447B2 (ja) * | 2009-09-02 | 2012-06-06 | 東芝テック株式会社 | 商品販売データ処理装置、及びその制御プログラム |
| US8447699B2 (en) * | 2009-10-13 | 2013-05-21 | Qualcomm Incorporated | Global secure service provider directory |
| US11928696B2 (en) | 2009-12-16 | 2024-03-12 | E2Interactive, Inc. | Systems and methods for generating a virtual value item for a promotional campaign |
| JP5265594B2 (ja) * | 2010-02-12 | 2013-08-14 | スイスコム (シュバイツ) アーゲー | 入場券の注文、ロード、および使用のための方法およびシステム |
| US20110270744A1 (en) * | 2010-04-30 | 2011-11-03 | Ginger Baker | Mobile tangible value banking system |
| US10068287B2 (en) | 2010-06-11 | 2018-09-04 | David A. Nelsen | Systems and methods to manage and control use of a virtual card |
| US9483786B2 (en) | 2011-10-13 | 2016-11-01 | Gift Card Impressions, LLC | Gift card ordering system and method |
| US9031869B2 (en) | 2010-10-13 | 2015-05-12 | Gift Card Impressions, LLC | Method and system for generating a teaser video associated with a personalized gift |
| EP2474931A1 (en) * | 2010-12-31 | 2012-07-11 | Gemalto SA | System providing an improved skimming resistance for an electronic identity document. |
| WO2012099885A1 (en) * | 2011-01-18 | 2012-07-26 | Ebay Inc. | Techniques to access a cloud-based wallet using a basic handset |
| US8923339B2 (en) * | 2011-03-06 | 2014-12-30 | PCN Technology, Inc. | Systems and methods of data transmission and management |
| US8925826B2 (en) | 2011-05-03 | 2015-01-06 | Microsoft Corporation | Magnetic stripe-based transactions using mobile communication devices |
| JP5868645B2 (ja) * | 2011-09-27 | 2016-02-24 | 三菱重工業株式会社 | 課金システム、課金装置、課金方法、及びプログラム |
| US10417677B2 (en) | 2012-01-30 | 2019-09-17 | Gift Card Impressions, LLC | Group video generating system |
| WO2014002282A1 (ja) * | 2012-06-29 | 2014-01-03 | 楽天Edy株式会社 | 決済端末、情報処理サーバ、決済端末の制御方法、及びプログラム |
| US10043161B2 (en) * | 2012-06-29 | 2018-08-07 | Rakuten, Inc. | Information processing device, information processing method, and information processing program product |
| CN103578207B (zh) * | 2012-07-20 | 2015-12-02 | 中国移动通信集团公司 | 一种数据处理方法、装置、系统及相关设备 |
| CN104769626A (zh) | 2012-09-04 | 2015-07-08 | Linq3科技公司 | 用于通过在智能电话和手持装置上使用条形码的一体化游戏娱乐的系统和方法 |
| US10229561B2 (en) | 2012-09-04 | 2019-03-12 | Linq3 Technologies Llc | Processing of a user device game-playing transaction based on location |
| US10943432B2 (en) | 2012-09-04 | 2021-03-09 | E2Interactive, Inc. | Processing of a game-playing transaction based on location |
| US9565911B2 (en) | 2013-02-15 | 2017-02-14 | Gift Card Impressions, LLC | Gift card presentation devices |
| US11219288B2 (en) | 2013-02-15 | 2022-01-11 | E2Interactive, Inc. | Gift card box with slanted tray and slit |
| US10115268B2 (en) | 2013-03-15 | 2018-10-30 | Linq3 Technologies Llc | Systems and methods for integrated game play at payment-enabled terminals |
| US10217107B2 (en) | 2013-05-02 | 2019-02-26 | Gift Card Impressions, LLC | Stored value card kiosk system and method |
| US20140337239A1 (en) * | 2013-05-13 | 2014-11-13 | Pitney Bowes Inc. | Method and system for obtaining offers from sellers using privacy-preserving verifiable statements |
| GB201407863D0 (en) * | 2013-10-30 | 2014-06-18 | Barclays Bank Plc | Transaction authentication |
| EP2884470A1 (en) * | 2013-12-11 | 2015-06-17 | Panasonic Intellectual Property Management Co., Ltd. | Mobile payment terminal device |
| RU2568057C2 (ru) * | 2014-03-28 | 2015-11-10 | Закрытое акционерное общество "Аладдин Р.Д." | Способ совершения электронных транзакций между удаленными сторонами при обмене информацией по каналам связи |
| US10262346B2 (en) | 2014-04-30 | 2019-04-16 | Gift Card Impressions, Inc. | System and method for a merchant onsite personalization gifting platform |
| EP3050011B1 (en) | 2014-05-02 | 2017-09-20 | Barclays Bank Plc. | Transaction authentication |
| EP3238151A4 (en) * | 2014-12-22 | 2018-06-06 | Capital One Services, LLC | A system, method and apparatus for reprogramming a transaction card |
| US10096007B2 (en) * | 2015-06-26 | 2018-10-09 | Worldpay, Llc | System and method for payment platform self-certification for processing financial transactions with payment networks |
| US11087304B2 (en) * | 2016-03-14 | 2021-08-10 | Jpmorgan Chase Bank, N.A. | Systems and methods for device authentication |
| US10954049B2 (en) | 2017-12-12 | 2021-03-23 | E2Interactive, Inc. | Viscous liquid vessel for gifting |
| US12020309B2 (en) | 2018-05-18 | 2024-06-25 | E2Interactive, Inc. | Augmented reality gifting on a mobile device |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4661658A (en) | 1985-02-12 | 1987-04-28 | International Business Machines Corporation | Offline PIN validation with DES |
| US4701601A (en) | 1985-04-26 | 1987-10-20 | Visa International Service Association | Transaction card with magnetic stripe emulator |
| JPH01157896A (ja) * | 1987-09-28 | 1989-06-21 | Mitsubishi Electric Corp | 非接触型icカード及び非接触型カードリーダライタ |
| US4965568A (en) | 1989-03-01 | 1990-10-23 | Atalla Martin M | Multilevel security apparatus and method with personal key |
| US5453601A (en) * | 1991-11-15 | 1995-09-26 | Citibank, N.A. | Electronic-monetary system |
| ES2107689T3 (es) * | 1992-11-11 | 1997-12-01 | Finland Telecom Oy | Metodo para llevar a cabo transacciones financieras por medio de un sistema telefonico movil. |
| US5694546A (en) * | 1994-05-31 | 1997-12-02 | Reisman; Richard R. | System for automatic unattended electronic information transport between a server and a client by a vendor provided transport software with a manifest list |
| US5577121A (en) * | 1994-06-09 | 1996-11-19 | Electronic Payment Services, Inc. | Transaction system for integrated circuit cards |
| US5590038A (en) * | 1994-06-20 | 1996-12-31 | Pitroda; Satyan G. | Universal electronic transaction card including receipt storage and system and methods of conducting electronic transactions |
| US5629981A (en) * | 1994-07-29 | 1997-05-13 | Texas Instruments Incorporated | Information management and security system |
| US5608778A (en) * | 1994-09-22 | 1997-03-04 | Lucent Technologies Inc. | Cellular telephone as an authenticated transaction controller |
| FI100137B (fi) * | 1994-10-28 | 1997-09-30 | Vazvan Simin | Reaaliaikainen langaton telemaksujärjestelmä |
| US5748737A (en) * | 1994-11-14 | 1998-05-05 | Daggar; Robert N. | Multimedia electronic wallet with generic card |
| RU2096826C1 (ru) * | 1994-12-14 | 1997-11-20 | Акционерное общество закрытого типа "БЛИЦ-ЦЕНТР" | Система для проведения безналичных финансовых операций и способ проведения безналичных финансовых операций |
| FI99071C (fi) * | 1995-02-15 | 1997-09-25 | Nokia Mobile Phones Ltd | Menetelmä sovellusten käyttämiseksi matkaviestimessä ja matkaviestin |
| US5677955A (en) * | 1995-04-07 | 1997-10-14 | Financial Services Technology Consortium | Electronic funds transfer instruments |
| US5602919A (en) | 1995-04-10 | 1997-02-11 | Texas Instruments Incorporated | Speedup for monetary transactions using a transponder in conjunction with a smartcard |
| FI952146A7 (fi) * | 1995-05-04 | 1996-11-05 | Nokia Telecommunications Oy | Tilaajalaitteen käyttoikeuden tarkistus |
| US5832090A (en) * | 1995-08-10 | 1998-11-03 | Hid Corporation | Radio frequency transponder stored value system employing a secure encryption protocol |
| US5960086A (en) * | 1995-11-02 | 1999-09-28 | Tri-Strata Security, Inc. | Unified end-to-end security methods and systems for operating on insecure networks |
| US5796832A (en) | 1995-11-13 | 1998-08-18 | Transaction Technology, Inc. | Wireless transaction and information system |
| CA2192017C (en) * | 1995-12-08 | 2000-04-25 | Masayuki Ohki | Ic card reader/writer and method of operation thereof |
| EP0780802A3 (en) * | 1995-12-19 | 1999-08-18 | AT&T Corp. | Wireless billing system |
| JPH09212565A (ja) | 1996-02-07 | 1997-08-15 | Nec Corp | 無線携帯端末システム |
| US5878138A (en) | 1996-02-12 | 1999-03-02 | Microsoft Corporation | System and method for detecting fraudulent expenditure of electronic assets |
| US6076078A (en) | 1996-02-14 | 2000-06-13 | Carnegie Mellon University | Anonymous certified delivery |
| US6010239A (en) * | 1996-03-07 | 2000-01-04 | Hardgrave; William David | Automatic item-driven system for deposit and pick-up |
| US6085320A (en) | 1996-05-15 | 2000-07-04 | Rsa Security Inc. | Client/server protocol for proving authenticity |
| US5943624A (en) * | 1996-07-15 | 1999-08-24 | Motorola, Inc. | Contactless smartcard for use in cellular telephone |
| US5878337A (en) | 1996-08-08 | 1999-03-02 | Joao; Raymond Anthony | Transaction security apparatus and method |
| DK0827119T3 (da) | 1996-08-29 | 2000-12-18 | Swisscom Ag | Fremgangsmåde ved lagring og genlagring af et databærende kort med en til et pengebeløb svarende værdi |
| US5991749A (en) | 1996-09-11 | 1999-11-23 | Morrill, Jr.; Paul H. | Wireless telephony for collecting tolls, conducting financial transactions, and authorizing other activities |
| JP2000514584A (ja) | 1996-10-25 | 2000-10-31 | シュルンベルジェ システーム | 高級プログラミング言語を用いたマイクロコントローラ |
| US5917913A (en) * | 1996-12-04 | 1999-06-29 | Wang; Ynjiun Paul | Portable electronic authorization devices and methods therefor |
| US6282522B1 (en) * | 1997-04-30 | 2001-08-28 | Visa International Service Association | Internet payment system using smart card |
| US6859650B1 (en) * | 1997-06-16 | 2005-02-22 | Swisscom Mobile Ag | Mobile device, chip card and method of communication |
| US6016476A (en) | 1997-08-11 | 2000-01-18 | International Business Machines Corporation | Portable information and transaction processing system and method utilizing biometric authorization and digital certificate security |
| US6105008A (en) * | 1997-10-16 | 2000-08-15 | Visa International Service Association | Internet loading system using smart card |
| US6092057A (en) | 1997-12-12 | 2000-07-18 | Commstar, Inc. | Unattended POS system for automatic control of bank system rejections |
| US6240301B1 (en) * | 1998-10-29 | 2001-05-29 | Ericcson Inc. | Diversity antenna in a SIM card package |
| AU7346800A (en) * | 1999-09-02 | 2001-03-26 | Automated Business Companies | Communication and proximity authorization systems |
| US7093767B2 (en) * | 1999-09-07 | 2006-08-22 | American Express Travel Related Services Company, Inc. | System and method for manufacturing a punch-out RFID transaction device |
-
1998
- 1998-03-05 CZ CZ19994273A patent/CZ295686B6/cs not_active IP Right Cessation
- 1998-03-05 WO PCT/CH1998/000086 patent/WO1998037524A1/de active IP Right Grant
- 1998-03-05 JP JP53612398A patent/JP3802074B2/ja not_active Expired - Lifetime
- 1998-03-05 HU HU0003100A patent/HUP0003100A3/hu unknown
- 1998-03-05 AU AU60868/98A patent/AU6086898A/en not_active Abandoned
- 1998-03-05 AT AT98905193T patent/ATE220814T1/de active
- 1998-03-05 PT PT98905193T patent/PT992025E/pt unknown
- 1998-03-05 EP EP98905193A patent/EP0992025B1/de not_active Expired - Lifetime
- 1998-03-05 ES ES98905193T patent/ES2180142T3/es not_active Expired - Lifetime
- 1998-03-05 CN CNB988086409A patent/CN1155919C/zh not_active Expired - Lifetime
- 1998-03-05 DK DK98905193T patent/DK0992025T3/da active
- 1998-03-05 DE DE59804818T patent/DE59804818D1/de not_active Expired - Lifetime
- 1998-05-18 TW TW87107650A patent/TW351799B/zh not_active IP Right Cessation
- 1998-06-29 AT AT98928045T patent/ATE262201T1/de active
-
1999
- 1999-12-10 NO NO19996147A patent/NO316246B1/no not_active IP Right Cessation
-
2004
- 2004-04-26 US US10/831,105 patent/US8165965B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1269041A (zh) | 2000-10-04 |
| NO996147L (no) | 2000-02-28 |
| US8165965B2 (en) | 2012-04-24 |
| CZ427399A3 (cs) | 2000-03-15 |
| ATE220814T1 (de) | 2002-08-15 |
| DE59804818D1 (de) | 2002-08-22 |
| EP0992025A1 (de) | 2000-04-12 |
| EP0992025B1 (de) | 2002-07-17 |
| JP2002512711A (ja) | 2002-04-23 |
| CZ295686B6 (cs) | 2005-09-14 |
| PT992025E (pt) | 2002-12-31 |
| WO1998037524A1 (de) | 1998-08-27 |
| TW351799B (en) | 1999-02-01 |
| HUP0003100A2 (hu) | 2001-01-29 |
| AU6086898A (en) | 1998-09-09 |
| ES2180142T3 (es) | 2003-02-01 |
| CN1155919C (zh) | 2004-06-30 |
| HUP0003100A3 (en) | 2003-01-28 |
| DK0992025T3 (da) | 2002-10-28 |
| NO996147D0 (no) | 1999-12-10 |
| ATE262201T1 (de) | 2004-04-15 |
| US20040199474A1 (en) | 2004-10-07 |
| NO316246B1 (no) | 2003-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3802074B2 (ja) | 携帯可能な身分証明要素でのトランザクション方法 | |
| KR100641824B1 (ko) | 대칭키 보안 알고리즘을 이용한 금융정보 입력방법 및 그이동통신용 상거래 시스템 | |
| US7379919B2 (en) | Method and system for conducting secure payments over a computer network | |
| US5590197A (en) | Electronic payment system and method | |
| EP0981804B1 (en) | Electronic transaction and smart card for a electronic transaction | |
| US7979353B2 (en) | Electronic transaction method using an electronic coupon | |
| AU2001257019B2 (en) | An improved method and system for conducting secure payments over a computer network | |
| WO2001093139A1 (fr) | Systeme pour des valeurs electroniques | |
| JP2002511172A (ja) | 移動装置によるトランザクション方法 | |
| WO2003044710A1 (en) | Apparatus, method and system for payment using a mobile device | |
| AU2001286415A1 (en) | Linking public key of device to information during manufacture | |
| AU2001257019A1 (en) | An improved method and system for conducting secure payments over a computer network | |
| EP1388990B1 (en) | Secure transfer of digital tokens | |
| JP3365599B2 (ja) | 電子小切手システム | |
| JP6132923B2 (ja) | 電子マネーを安全に保存および転送するシステムおよび方法 | |
| JP2003066836A (ja) | 電子署名方法 | |
| KR100643501B1 (ko) | Ic 카드 발급을 위한 키 전달 방법 및 시스템 | |
| AU2007216920B2 (en) | An improved method and system for conducting secure payments over a computer network | |
| HK1052245B (en) | An improved method and system for conducting secure payments over a computer network | |
| HK1052245A1 (en) | An improved method and system for conducting secure payments over a computer network | |
| HK1069914A (en) | Financial information input method using symmetrical key security algorithm and commercial transaction system for mobile communications | |
| HK1026286B (en) | Electronic transaction and smart card for a electronic transaction | |
| HK1109985A (en) | An interactive television system | |
| AU2012201255A1 (en) | An improved method and system for conducting secure payments over a computer network | |
| ZA200208248B (en) | An improved method and system for conducting secure payments over a computer network. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050705 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20051005 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20051121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060105 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060427 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090512 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100512 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110512 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120512 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130512 Year of fee payment: 7 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130512 Year of fee payment: 7 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130512 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |