(19)【発行国】日本国特許庁（ＪＰ）

(12)【公報種別】特許公報（Ｂ２）

(11)【特許番号】第２８５３３３１号

(24)【登録日】平成１０年（１９９８）１１月２０日

(45)【発行日】平成１１年（１９９９）２月３日

(54)【発明の名称】価値移転システム

(51)【国際特許分類第６版】

G06F 19/00

【ＦＩ】

G06F 15/30 360

【請求項の数】８

【全頁数】１３

(21)【出願番号】特願平５−５０７５４４

(86)(22)【出願日】平成４年（１９９２）１０月１６日

(65)【公表番号】特表平６−５０３９１３

(43)【公表日】平成６年（１９９４）４月２８日

(86)【国際出願番号】ＰＣＴ／ＧＢ９２／０１９０１

(87)【国際公開番号】ＷＯ９３／０８５４５

(87)【国際公開日】平成５年（１９９３）４月２９日

【審査請求日】平成６年（１９９４）１０月２４日

(31)【優先権主張番号】９１２１９９５．６

(32)【優先日】１９９１年１０月１６日

(33)【優先権主張国】イギリス（ＧＢ）

(73)【特許権者】

【識別番号】９９９９９９９９９

【氏名又は名称】モンデックス インターナショナル リミテッド

【住所又は居所】イギリス国， イーシー２ブイ ６エイディー， ロンドン， チープサイド ９番地

(72)【発明者】

【氏名】ジョーンズ ティモシィ ロイド

【住所又は居所】イギリス国，ビーエヌ３ ６エフエイチ イースト サセックス，ウィルベリイ クレセント ホーヴ ｘｘｘ

(72)【発明者】

【氏名】ヒギンズ グラハム ロバート レズリー

【住所又は居所】イギリス国，ビーエー２ ６エスジェー エイボン，バース，ベイザンプトン，ベイザンプトン レーン，アビーデイル ハウス，フラット ｘｘｘ

(74)【代理人】

【弁理士】

【氏名又は名称】山本 恵一

【審査官】 相田 義明

(56)【参考文献】

【文献】特開 昭６１−９４１７７（ＪＰ，Ａ）

【文献】欧州公開１７２６７０（ＥＰ，Ａ１）

【文献】Ｅｖｅｎ ｅｔ ａｌ．，”Ｅｌｅｃｔｒｏｎｉｃ Ｗａｌｌｅｔ”，Ａｄｖａｎｃｅｓ ｉｎ Ｃｒｙｐｔｏｌｏｇｙ：Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ＣＲＹＰＴＯ８３，ｐｐ．３８３−３８６（１９８３）

【文献】Ｅｖｅｎ Ｓ．，”Ｓｅｃｕｒｅ ｏｆｆ−Ｌｉｎｅ Ｅｌｅｃｔｒｏｎｉｃ Ｆｕｎｄｓ Ｔｒａｎｓｆｅｒ Ｂｅｔｗｅｅｎ Ｎｏｎｔｒｕｓｔｉｎｇ Ｐａｒｔｉｅｓ”，Ｐｒｏｃｅｅｃｌｉｎｇｓ ｏｆ ｔｈｅ ＩＦＩＰ ＷＧ１１．６ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｆｅｒｅｎｃｅ，”ＳＭＡＲＴ ＣＡＲＤ ２０００：ｔｈｅ Ｆｕｔｕｒｅ ｏｆ ＩＣ Ｃａｒｄｓ．”ｐｐ．５７−６６（１９８７）

【文献】松本勉ほか「秘密を漏らさずに計算力を借りる依頼計算法」電子情報通信学会技術研究報告（ＩＳＥＣ８８−９）ｐｐ．５３−５９（１９８８）

(57)【特許請求の範囲】

【請求項１】コンピュータ（1a,2a,3a）と、複数の電子財布（６）と、複数の該財布（６）が、前記コンピュータとはオフラインの取引で価値の転移を行うために、相互に通信を行えるようにするための交換装置（5,9）とを備えた価値移転システムであって、

各財布又は関連づけられた交換装置には、メモリ手段（SS,RS）とマイクロプロセッサとが備えられており、該マイクロプロセッサは、価値を送出する送出財布と価値を受け取る受取財布とを含む一対の財布（６）間で取引を行うようにプログラムされており、各取引は、マイクロプロセッサにより実行される次のプロセス、即ち、

（ａ）前記受取財布が、価値を受信する要求を表わす要求価値メッセージを前記送出財布に送信し、

（ｂ）前記送出財布が、前記受取財布から送られた要求価値メッセージに応答して価値メッセージを生成し、

（ｃ）前記送出財布が、前記受取財布から送られた要求価値メッセージによって要求された価値に対応する価値量が該受取財布のために保持されたことを示すコミットメントメッセージを生成し、

（ｄ）前記送出財布が、自己の前記メモリ手段（SS）に前記コミットメントメッセージを格納し、

（ｅ）前記送出財布が、前記受取財布に前記コミットメントメッセージを送信し、

（ｆ）前記受取財布が、自己の前記メモリ手段（RS）に前記コミットメントメッセージを格納し、

（ｇ）前記送出財布が、前記受取財布に前記価値メッセージを送信し、

（ｈ）前記受取財布が、前記価値メッセージを受信し、かつ処理するプロセスを少なくとも含むことを特徴とする価値移転システム。

【請求項２】各財布の前記メモリ手段は、取引ログの蓄積（STL,RTL）を含み、前記コミットメントメッセージは、生成されると送出財布のログ（STL）に記録され、受信されると受取財布のログ（RTL）に記録されることを特徴とする請求項１に記載の価値移転システム。

【請求項３】前記マイクロプロセッサは、各取引に対して前記送出財布に固有の識別子（Ｒ）を供給するようにプログラムされており、前記要求価値メッセージは、該取引識別子（Ｒ）を含み、前記価値メッセージは、転移されるべき価値（Ｖ）と該取引識別子（Ｒ）とを含む情報（VR）を含み、前記コミットメントメッセージは、情報（PR）を含み、該情報（PR）のＰは、価値（Ｖ）とメッセージがコミットメントメッセージであることを表示する表示子とを含むことを特徴とする請求項１又は２に記載の価値移転システム。

【請求項４】前記マイクロプロセッサは、異なる複数の公開キー及び秘密キーを有する非対称の暗号システムを用いるようにプログラムされており、各財布の前記メモリ手段は、前記システムの少なくとも１つの公開キー（PKG）を格納していることを特徴とする請求項１から３のいずれか１項に記載の価値移転システム。

【請求項５】各財布の前記メモリ手段（SS,RS）は、コンピュータによりグローバル秘密暗号化キー（SKG）を用いて前記暗号システムで署名されたデータを格納し、こうすることで該署名されたデータが電子的に認証され、かつ、前記マイクロプロセッサは、認証された財布データをグローバル公開キー（PKG）を用いて検査することにより各取引を行うようにプログラムされていることを特徴とする請求項４に記載の価値移転システム。

【請求項６】各財布の前記メモリ手段は、前記暗号システムにおける公開キー及び秘密キー（PKS,SKS;PKR,SKR）を含む固有のキー対を格納しており、前記マイクロプロセッサは、暗号化及び復号化されたデータとしての取引データの伝送を、該キー対を用いて行うようにプログラムされていることを特徴とする請求項４又は５に記載の価値移転システム。

【請求項７】取引において、前記受取財布と前記送出財布の一方の財布の第１のマイクロプロセッサは、前記受取財布と前記送出財布の他方の財布の第２のマイクロプロセッサに比べてより優れた計算能力を有しており、前記第１及び第２のマイクロプロセッサは、前記第１のマイクロプロセッサの財布に前記第２のマイクロプロセッサの財布のキー対のうちの秘密キーを送り、かつ前記第２のマイクロプロセッサのキー対のうちの公開キーを用いて該第２のマイクロプロセッサの財布においてデータを暗号化することによって、取引を行うようにプログラムされていることを特徴とする請求項６に記載の価値移転システム。

【請求項８】取引において、前記受取財布と前記送出財布の一方の財布の第１のマイクロプロセッサは、前記受取財布と前記送出財布の他方の財布の第２のマイクロプロセッサに比べてより優れた計算能力を有しており、前記第２のプロセッサの財布は、対称暗号システムの暗号化キーを含み、前記第１及び第２のマイクロプロセッサは、前記第１のマイクロプロセッサの財布に前記第２のマイクロプロセッサの財布の暗号化キーを送り、かつ前記暗号化キーを用いて前記第２のマイクロプロセッサの財布においてデータを暗号化することによって、取引を行うようにプログラムされていることを特徴とする請求項４又は５に記載の価値移転システム。

【発明の詳細な説明】

［発明の属する技術分野］

本発明は、価値移転システムに関する。

［従来の技術］

電子的な価値移転システムは、電子財布間で価値を移転するために提案されてきた。これらの財布は、多くの形式を取ることができるが、便利な形式は、マイクロプロセッサ及び少なくとも累積された価値用のメモリを含む集積回路（IC）カードである。このようなICカードは、物品又はサービスと交換を行う際に小売店の財布に価値が移転されるいわゆるキャシュレス取引に用いることができる。

従って、このようなシステムの主要な用途は、現金と等価な価値を移転することを提供することにある。現金は、利点と制約点との両方を持っている。現金の利点は、支払人勘定と受取人勘定との間で特別の決済なしに、個々の少額取引を行なうことができるということにある。これは、システムに対してデータ移転についての負荷をかなり軽減させるのみならず、取引に匿名性を与える。これは、社会的な利点であると考えられる。

［発明が解決しようとする課題］

従来より提案されている多くの電子シャッシュレス価値移転システムは、現金のこれら利点を認識しておらず、実用化するのに失敗している。

本発明の基礎となる価値移転システムが、公開特許公報第W091/16691号に記載されており、現金の上述の利点を保持できるように電子財布間の価値の移転についての概略構成を提供している。このシステムは、コンピュータと、複数の電子財布と、これら財布がコンピュータとオフラインの取引において価値を移転するために互いに通信することができるような交換装置と、コンピュータの制御の基にこれら財布に価値をロードする引き出し（draw down）手段と、コンピュータの制御の基にこれら財布から価値を支払う支払い（redemption）手段と、価値メータとを備えている。１つ又は複数の財布は、価値メータを介してロードされかつ支払いされた価値を持つことができるバルク財布であり、価値メータは、単数又は複数のバルク財布に出力されたネット価値を導き出せるように１つ以上の浮動価値記録を記録する。このネット価値は、単数又は複数のバルク財布へ引き出された価値の総額と単数又は複数のバルク財布から支払った価値の総額との差であり、浮動価値記録は個々の引き出し及び支払いに対して不特定である。

価値メータは、単数又は複数のバルク財布内で価値を発生又は消去するようにコマンドに基づいて浮動価値記録を調整することができるインタフェースを備えているかもしれない。

好ましくは、各財布に、累積された財布価値記録を格納する格納手段が備えれられており、各財布又は関連する交換装置に、マイクロプロセッサが備えられている。取引が財布対間で行なわれ、その一方である送出財布は価値を送出し、その他方である受取財布は価値を受取る。マイクロプロセッサは、各オフラインの取引において、選択した可変の取引価値によって送出財布の財布価値記録が減少せしめられ、同じ取引価値によって受取財布の財布価値記録が増加せしめられるようにプログラムされている。

特定的でない浮動価値記録を提供することにより、匿名性が保証されかつ以後の全ての財布同士の取引について、顧客勘定との決済が不要となる。

ある種の状況においては、いくつかの後続する事象によって投資又は他の価値の支払いが発生するかもしれないことの保証が必要である。例えば、このような価値が特定の目的に用いられるということのみに基づいて、価値を移転することが望ましいかもしれない。このような理由となるものに外国為替管理がある。例えば、政府は、指定された物品に対してのみその投資が適用できるということに基づいて輸入者に投資したいかもしれない。

また、一括処理モードによる価値移転システムを用いることが望ましいことがある。

本発明は、予期しない支払い及び一括支払いが可能なように改良した価値移転システムを提供することを目的とする。

［課題を解決するための手段］

本発明によれば、コンピュータと、複数の電子財布と、複数の財布が、コンピュータとはオフラインの取引で価値の転移を行うために、相互に通信を行えるようにするための交換装置とを備えた価値移転システムであって、各財布又は関連づけられた交換装置には、メモリ手段とマイクロプロセッサとが備えられており、マイクロプロセッサは、価値を送出する送出財布と価値を受け取る受取財布とを含む一対の財布間で取引を行うようにプログラムされており、各取引は、マイクロプロセッサにより実行される次のプロセス、即ち、

（ａ）受取財布が、価値を受信する要求を表わす要求価値メッセージを送出財布に送信し、

（ｂ）送出財布が、受取財布から送られた要求価値メッセージに応答して価値メッセージを生成し、

（ｃ）送出財布が、受取財布から送られた要求価値メッセージによって要求された価値に対応する価値量が受取財布のために保持されたことを示すコミットメントメッセージを生成し、

（ｄ）送出財布が、自己のメモリ手段にコミットメントメッセージを格納し、

（ｅ）送出財布が、受取財布にコミットメントメッセージを送信し、

（ｆ）受取財布が、自己のメモリ手段にコミットメントメッセージを格納し、

（ｇ）送出財布が、受取財布に価値メッセージを送信し、

（ｈ）受取財布が、価値メッセージを受信し、かつ処理するプロセスを少なくとも含む価値移転システムが提供される。

好ましくは、各財布のメモリ手段は、取引ログの蓄積を含み、コミットメントメッセージは、生成されると送出財布のログに記録され、受信されると受取財布のログに記録される。

コミットメントメッセージを発生する前に、送出財布は、価値メッセージを発生しかつ要求された価値をその累算値から減算する。事象のこのシーケンスは、コミットメントメッセージの発生後に取引が終了しても、要求された価値（預金）が通常の方法で受取財布においてかつこの受取財布のみにおいて得られることを保証することを意味する。同じ価値は、送出財布でもはや得られない。しかしながら、取引を完結させるために、条件付き発効証書用の預金（escrow）額が受取財布に移転されねばならない。必要ならば、予期しない条件を満足させる価値を保持しているとみなされる１つ又は複数の仲介者を介する一連の取引により、これは移転することができる。

好ましくは、財布は、一対の財布間の取引に固有の識別子を与える手段を有しており、マイクロプロセッサは、所与の取引を繰返さないようにするために識別子に応答するようにプログラムされている。従って、同一の「電子現金」が２度使用されているか否かを判断するために、コンピュータは、何も参照する必要がない。支払い額を請求する際は、コンピュータがアクセスされ、同一の請求が２度なされているか否かを直接に、又は請求が単に他の取引であり得るので取引識別子により判断することができる。取引識別子は、好ましくは、送出財布から受取財布へ送出されるものであって、受取財布を識別し、かつ予備的な「ハンドシェイキング」処理において受取財布から得られた受取財布の取引シーケンス番号又は電子的な日時スタンプを識別するデータから都合良く得られる。この方法により、受取財布は取引をモニタでき、同じ価値記録を２度移転するいかなる試みも抑止される。

システムの安全のために、不正を防止するための暗号技術の採用が要求される。最も効果的な暗号技術は、情報を暗号化しかつ復号化するために、異なるキーを必要とする非対称暗号技術である。ここでは、用語「暗号化」及び「復号化」が「暗号化装置」及び「復号化装置」を意味するものとして用いる。周知でありかつ適切な暗号技術の１つとして、Rivest、Shamir及びAdlemanによるRSAシステムとして知られている。通信している対の両方の財布は、アルゴリズム処理に互いに均衡した形で、RSAシステムを等しく採用している。しかしながら、RSA暗号化は簡単であるにもかかわらず、通常、短時間でRSA復号化を行なうために比較的に強力な計算能力が要求される。経済性と速度との兼ね合いにおいてこの問題を克服するために、本発明によれば、消費者の財布が必要とする処理能力が小売店の財布が必要とする処理能力より大幅に低い不平衡な（互いに 異なる）処理能力のシステムを用いることが提案される。

各非対称キー暗号化システムの各ユーザは、キー対、即ち公開キー及び秘密キーを有する。他方に対するメッセージは、多分、キー交換手順により入手可能な他方の（リモート）公開キーを用いて暗号化される。受信されたメッセージは、ローカル秘密キーを用いて復号化される。公開キーを使用することにより、計算能力に対する要求が、秘密キーを使用するときよりもはるかに低くなり、従って通常、暗号化に必要とする計算オーバヘッドは、復号化の時よりも低い。従って、この種の不平衡処理能力システムを実施する際には、消費者財布が通常のRSA復号化を実行するという必要性を除去することが好都合である。

消費者財布における暗号技術の負荷を軽減する第１の方法は、簡単かつ対称的な暗号システムを消費者財布に提供することである。このようなシステムは、暗号化及び復号化に同一のキーを用いる。その１つの例は、DES暗号システム（データ暗号化標準−US FIPS 46,1976）である。小売店財布は、RSAシステムの全ての能力を保持している。

第２の方法は、データの交換に、消費者財布自身の公開キー／秘密キーシステムを用いることである。キーの交換において、消費者財布は、その秘密キーを小売店財布へ送信する。小売店財布へデータを転送する際に、消費者財布はそれ自身の公開キーを用いて暗号化し、小売店財布は消費者財布の秘密キーを用いて復号化する。

取引処理において、電子的に認証されたデータ、例えばディジタル的に署名されたデータ、を用いることにより、安全性を高めることができる。各財布は、発行時に特有の番号が割り当てられ、グローバル非対称暗号システムの秘密キーにより署名された特有の番号を有するであろう。その結果として、特有の番号のグローバル署名が得られ、これが財布に格納される。全ての財布は、他のグローバルに署名された番号を受信した際にそれが有効であるという検証できるようにグローバル対の公開キーを有する。これら番号は、グローバルに認証されたとみなすことができる。取引が暗号化キーの交換を必要とするので、必要でなくとも、グローバルに認証された番号が交換されるべき暗号化キーとなるように構成することは好都合である。

［発明の実施の形態］

以下添付の図面を参照して本発明を更に説明する。

図１は、本発明による銀行コンピュータシステムの概略図である

同図を参照すると、それぞれのコンピュータ1a、2a及び3aを有する３つの清算銀行１、２及び３が示されている。これらコンピュータは、銀行の消費者及び小売店の顧客の勘定の詳細を含むファイルを有している。各コンピュータは、浮動価値記録を表わす価値メータ1b、2b、3bをも有している。不特定の浮動価値記録により表わされる実際の預金は、銀行１、２及び３のうちの１つ若しくはそれ以上の銀行に、又はその他に備わっているかもしれない。

各銀行は、それぞれの価値メータに接続されていると共に財布価値記録を具備したメモリを備えたバルク財布1c、2c、3cを有している。端末５は、電話によりコンピュータ1a、2a及び3aに選択的に接続されている。典型的には、端末５はホームコンピュータの端末、又は公衆の場所で得られる端末であるかもしれない。消費者は、ICカード６の形態の電子財布を有する。これらカードは、マイクロプロセッサ及びメモリを有する。各カードのメモリには、財布価値記録７が格納されている。これらカードは、接点８を有し、これによってカードはカードリーダ９を介して端末５と相互に作用することができる。端末のキーボードから適当な要求を入力することにより、消費者は銀行１、２又は３のコンピュータに接続され、その消費者財布への価値記録ロードを要求することができる。銀行が要求を許可すると、バルク財布は、要求した価値を財布価値記録７に ロードするように、価値の設定を介しするように命令される。これによりこのカードは使用可の状態になる。

電子財布は、異なるPOS位置にあるICカードリーダ９を備えた端末10及び11内にも含まれている。消費者は、カードを用いるために、小売店にそのカードを提示し、そのカードはカードリーダ９に挿入される。取引において必要とされる価値は、キー入力され、合意により、財布６の財布価値記録に保持されている価値の総額が取引価値だけ減少される。端末10又は11内に保持されている財布の財布価値記録は、同じ取引価値だけ増加される。消費者は、その物品を受け取り、さらに、他の小売店の装置においてその財布の財布価値記録に保持されている総額までカードを自由に使用することができる。

小売店は、消費者の識別に無関係にかつ総累積値の元になる個々の取引について如何なる明細をも提示することなく、その小売店の端末10又は11の財布に保持されている財布価値記録で表わされた価値を周期的に清算するかもしれない。これは、端末10又は11を小売店の銀行１、２又は３に適当に接続し、価値の支払いを要求することにより行なわれるであろう。これにより、銀行のコンピュータは、その端末財布からの価値を受け入れる清算取引を指示する。銀行のコンピュータは、預金を小売店勘定の貸し方に記入する。価値メータは、全ての財布において流通している価値の総額を制御可能にし、かつ、合意に基づいて、価値の総額を表わす預金を配分するための基礎を構成している。

バルク財布1c、2c、3cは、財布から財布への取引による場合と同様に、価値メータを介してロード及び支払いされる価値を持つことができる点で他の財布と異なっている。他の全ての観点において、これら財布は技術的に同様であり、特に、他の財布へのバルク財布の取引（オンライン）は、オフラインの取引と同一の暗号技術が使用されると理解される。

図２は、浮動価値記録を表示するインジケータ12を含む価値メータ1bを示す。この場合に、この浮動価値記録は、バルク財布1cに与えられたネット価値であり、価値メータを介して引き出した価値の総額と、価値メータを介して支払った価値の総額との差である。引き出された及び支払った個々のグロス価値をネット価値と同様に又はその代わりに表示してもよい。なお、ネット価値は、直接表示されなくともグロス価値から容易に導き出すことができる。価値メータ及びその各バルク財布間のリンク13は、安全である。財布は、価値メータに物理的に隣接しかつ物理的なロック等による機密保護が確保されていてもよい。または、バルク財布が価値メータから遠隔の位置にあってもよい。その場合、機密保護は暗号技術により達成される。価値メータが、常にバルク財布に与えられた価値を正確に表わし、かつ不正による変更がないようにすることは重要である。各価値メータは、銀行のコンピュータ機能又はキーボード装置に接続することができるイ ンタフェース14を有する。許可された人員が、流通されるべき価値の発生又は抹消を表わす浮動価値記録に加算するべき又はから減算するべき価値を入力するかもしれない。従って、流通されるべき価値は、個々の引き出し及び請求があり次第応じる代わりに、多分、日毎に大量に調整されるかもしれない。

このように浮動価値記録を用いることにより、清算を行うために多数の勘定又は詳細な勘定を維持する必要性なしに、消費者と小売店との間、小売店と消費者との間、及び消費者と消費者との間で、所与の適当な端末は、価値のオフラインによる相互交換をすることができる。

消費者は、人対人の交換により又は小売店からの返済等により、それら消費者の財布における財布価値記録を自ら調整することができる。財布価値記録は、小売店の請求の場合と同様の方法で、浮動価値記録からの請求手順により個々の勘定に移転してもよい。

財布は、これらに種々の通貨をロードすることにより国際的に使用されるかもしれない。各国又は国群は、適切な通貨で浮動価値記録を保持するであろう。消費者の財布に外国の通貨をロードするようにした場合、その消費者の国内の勘定において国内の通貨による適当額が借方に記入され、それぞれの外国通貨の浮動価値記録が増大せしめられる。

財布に保持された財布価値記録は、要求により異なる通貨に交換されてもよい。この交換は、適当な交換レートで行われ、一つの通貨の浮動価値記録から他の通貨の浮動価値記録への価値の移転と、これら通貨間での預金の対応する交換という結果となる。

図３は、本発明の第１の実施形態におけるオフライン取引の手順を示す。両方の財布は、完全なRSA非対称暗号化能力を有する。送出財布は、累積価値記録SVRと、送出側公開キーPKS、送出側秘密キーSKS及びグローバル公開キーPKG等のRSAキーとを保持したメモリSSを有する。さらに、認証されたデータメッセージ［PKS］＊SKGを有している。このメッセージは、マスタコンピュータによりそのグローバル秘密キーSKGを用いて署名された送出財布固有の公開キーである。従って、公開キーPKSは、システムにより正当であると電子的に認証される。

受取財布は、累積価値記録RVRと、小売店の財布自身のRSA公開キーPKRと、小売店の財布自身のRSA秘密キーSKRと、グローバル公開キーPKGと、認証された公開キーデータメッセージ［PKR］＊SKGとを保持するメモリRSを有する。

取引手順の第１のステップは、受取財布のために取引識別番号Ｒを発行することである。これは、受取財布の識別子とその財布用の取引シーケンス番号との組合わせから導き出される。財布間の２方向通信が、おそらくは、直接接続若しくは赤外線リンク等によりローカルに、又はモデム及び電話によりリモートに確立される。

以後のステップは次の通りである。

1.受取財布は、［PKR］＊SKG＋［Ｒ］＊SKRである要求メッセージを送信する。

2.送出財布は、グローバル公開キーPKGを使用して、キー証明書［PKR］＊SKGを照合することが可能である。これにより、［Ｒ］＊SKRを検証してＲを再生するための正当なPKRが、この送出財布に与えられる。

3.送出財布は、要求メッセージＲと移転したい価値Ｖとか取引価値メッセージVRを構築する。このメッセージVRは、送出側秘密キーにより署名され、送出財布に格納される次の取引価値メッセージを与える。

［PKS］＊SKG＋［VR］＊［SKS］

4.送出財布は、［PKS］＊SKG＋［PR］＊［SKS］というコミットメントメッセージを生成する。ただし、Ｐは移転されるべき価値Ｖと、メッセージがコミットメントメッセージであることを表示する表示子との組合わせである。

5.移転することが要求されている価値Ｖだけ、財布価値記録SVRを減少させる。

6.コミットメントメッセージの詳細を送出財布ログSTLに記録する。

7.コミットメントメッセージを、受取財布に送信する。

8.受取財布は、グローバル公開キーPKGを使用しこれによってメッセージ［PKS］＊SKGを照合して公開キーPKSを得る。

9.このようにして得た公開キーPKSを使用することにより、［PR］＊SKSを検証し、PRを再生する。

10.Rを照合して、受取財布の識別子及び適切な取引番号をこれが保持していることを確認する。ノーのときは、この取引を中止する。

11.受取財布は、コミットメントメッセージをその受取財布ログRTLに記録する。

12.送出財布は、取引価値メッセージを送信する。この送信は、取引における要求される任意長の期間の中断後であるかもしれない。

13.受取財布は、グローバル公開キーPKGを使用しこれによってメッセージ［PKS］＊SKGを照合して公開キーPKSを得る。

14.このようにして得た公開キーPKSを使用することにより、［VR］＊SKSを検証し、VRを再生する。

15.Rを照合して、受取財布の識別子及び適切な取引番号をこれが保持していることを確認する。ノーのときは、この取引を中止する。

16.全てがOKのときは、受取財布の財布価値記録RVRに価値Ｖを加える。即ち、財布価値記録RVRを価値Ｖだけ増大させる。

17.署名したアクノレッジを送出財布に送信する。

RSA暗号化及び復号化は、式xymod nの計算を必要とする。ただしｙは暗号化及び復号化で異なる。特に、暗号化用のインデックスｙ（公開キーに含まれる）は小さく、対応する復号化用のインデックスｙ（秘密キーに含まれる）は非常に大きい。従って、適度な計算能力により許容し得る短時間内で暗号化は処理できるが、同じことは復号化には成立しない。認証された（例えばディジタル的に署名された）メッセージの生成は、復号化と等価な処理オーバヘッドを有しており、このようなメッセージの照合は暗号化と等価な処理オーバヘッドを有している。

図４及び図５に示す実施態様は、一対の通信財布のうちの一方が低い計算能力のものでもよく、従って他方より価格が安いものでよい構成となっている。これらの構成において、システムのいくつかの財布（小売店財布）は、完全なRSA能力（暗号化及び復号化能力）を有し、一方、残り（消費者財布）には、取引価値記録メッセージを送信するための対称キー暗号システムが含まれている。適切な対称キー暗号システムは、DESシステムである。このDESシステムは、暗号化及び復号化に、RSAの暗号化に必要とする能力に類似する計算能力レベルのみを必要とする。

図４には、送出財布が消費者財布であり、受取財布が小売店財布である２つの財布間の取引手順が示されている。小売店財布は、完全なRSA能力を有し、一方、消費者財布はより低い能力の計算機能を有している。送出財布は、累積価値記録CVRとRSAグローバル公開キーPKGとを保持するメモリCSを有する。さらに、送出財布は、DESキーDEScと、認証されたデータメッセージ［DESc］＊SKGとを有している。このデータメッセージは、送出財布のグローバル秘密キーSKGを有するマスタコンピュータが署名した送出財布に固有のDESキーである。受取財布は、図３の実施形態のメモリRSと同一のメモリRSを有している。このメモリRSは、PKR、SKR、PKG及 び［PKR］＊SKGを保持している。

取引手順の第１のステップは、受取財布のために、図３の実施形態のように、取引識別子Ｒを発行することである。

以後のステップは次の通である。

1.受取財布は、その認証された公開キーメッセージ［PKR］＊SKGを送信する。

2.送出財布は、署名されたメッセージを照合し、PKRを導き出す。

3.送出財布は、その認証されているメッセージをPKRを用いて暗号化する。PKRのような公開キーはインデックスｙが小さいので、これによる暗号化は計算が容易である。受取財布に送信するメッセージは、EPKR［［DESc］＊SKG］である。

4.受取財布は、その秘密キーSKRにより、まず、送信されてきたメッセージを復号化して［DESc］＊SKGを導き出す。これは、認証されてDECsを導き出すためにPKGにより照合される。

5.受取財布は、DEC統合アルゴリズムにより処理された取引識別子Ｒであるメッセージ［Ｒ］＊DEScを送信する。

6.送出財布は、DESによるメッセージを復号化し、取引識別子Ｒを導き出し、図３の実施形態と同様にして価値メッセージVR及びコミットメントメッセージPRを構築する。

7.送出財布は、その財布価値記録を価値Ｖだけ減少させ、受取財布にメッセージ［PR］＊DEScを送信する。また、コミットメントメッセージをSTLに記録する。

8.受取財布は、［PR］＊DEScを復号化し、Ｒが正しいかを照合する。ノーのときは、取引を中止する。

9.全てがOKのときは、受取財布は、コミットメントメッセージをログRTLに格納する。

10.送出財布は、価値メッセージVRを構築し、価値メッセージ［VR］＊DEScを受取財布に送信する。

11.受取財布は、DES統合アルゴリズムにより［VR］＊DEScを処理し、かつＲは正しいか照合する。ノーのときは、取引を中止する。

12.受取財布の財布価値記録RVRに価値Ｖを加える。即ち、財布価値記録RVRを価値Ｖだけ増大させる。アクノレッジメッセージを、送出財布に送信する。

図５には、非対称暗号システムによるキーを用いつつも、財布が不平衡な（互いに異なる）計算能力を有することができる取引手順が示されている。図５において、受取財布のメモリRSは、図３の実施形態の場合と同一のキーを有する。送出財布の計算能力は、受取財布の計算能力よりも劣る。また、送出財布は、署名された公開キーの代わりに、非署名の公開キー（この場合は秘密が保持される）と署名された秘密キー［SKS］＊SKG（これはPKSに関連する）を保持する。

この取引手順は次のステップを有する。

1.受取財布は、署名されたメッセージ［PKR］＊SKGを送信する。

2.送出財布は、署名されたメッセージをPKGを用いて照合し、［PKR］＊SKGを認証してPKRを再生する。

3.送出財布は、その署名されたメッセージをPKRにより暗号化し、EPKR［［DESc］＊SKG］を送出する。

4.受取財布は、その秘密キーSKRにより、まず、送信されてきたメッセージを復号化して［SKS］＊SKGを得、次いでグローバル公開キーPKGを用いて［SKS］＊SKGを認証しSKSを再生する。

5.受取財布は、取引識別子ＲをSKSで署名し、［Ｒ］＊SKSを送信する。

6.送出財布は、PKSを使用することによりＲを導き出す。

7.送出財布は、価値メッセージEPKR［VR］及びコミットメントメッセージEPKR［PR］を構築する。コミットメントメッセージは、STLに記録されると共に受取財布に送信される。

8.受取財布は、SKSを使用することによりコミットメントメッセージを復号化してＰ及びＲを導き出す。さらに、このＲを照合し、正しくないときは、取引を中止する。

9.受取財布は、コミットメントメッセージをRTLに記録する。

10.送出財布は、価値メッセージEPKR［VR］を送出する。

11.受取財布は、SKSを使用することにより価値メッセージを復号化してＶ及びＲを導き出す。さらに、このＲを照合し、正しくないときは、取引を中止する。

12.全てがOKのときは、受取財布は、その財布価値記録をＶだけ増大させ、その受取財布内のSKSを廃棄し、アクノレッジメッセージを送出財布に送信する。

コミットメントメッセージは、会計学の用語では、送出財布の勘定から価値を転記した証拠となる意味で「転記した証拠」メッセージとみなすことができる。従って、「転記した証拠」は、送出財布内の価値累積器を要求価値だけ減少させた証拠となる。実際に、コミットメントメッセージは、受取財布に対して要求価値が変更不可にコミットされたことをこの受取財布に知らせる。コミットメントメッセージ、即ち「転記した証拠」メッセージは、証拠番号Ｐが価値Ｖに代わることを除いて、価値メッセージの形態と同じ形態を取る。しかし、ＰはＶの価値情報を含んでいる。従って、コミットメントメッセージは、［PKS］＊SKG＋［PR］＊SKSという形態を有する。同時に、その詳細が、送出財布ログSTLに記録される。コミットメントメッセージを受信した際に、受取財布は、ログRTLにその詳細を書き込む。

これらの記録によって、偶然的に又は故意に中断されたいかなる取引についても、会計上無傷に回復することが可能となる。何らかの理由により財布間で預金の配分等について議論が生じた場合、記録情報に基づいて財布を検査することができ、そのような議論は解決できる。価値メッセージ及びコミットメントメッセージが生成されかつ記録された後であれば、取引は、何時でも中止されてよい。

価値メッセージ及びコミットメントメッセージが記録されたときは、取引を中断することができる。これは、例えば図中に「中断」の破線で示されている。必要とされる預金がこれに対してコミットされているが、その時点ではこの預金を受け取っていないという確認を受取財布が受け取っているであろうから、この段階での中断は、偶発的な支払いに有効である。偶発的な条件を満足させることによって、前述のようにして価値メッセージを送信する送出財布により、取引を再開することができる。価値メッセージの実際の送信及び受信は、それぞれの財布によって記録され、取引が完了せしめられる。価値メッセージが送出財布から受取財布へ直接的に送信されねばならない必要性はなく、条件付き発効証書用の預金に保持できるとみなされる価値が中間財布に移転されるように、種々の中間的な取引を考えることができる。これらの財布は、条件付き発効証書用の預金メッセージで表わされた預金にアクセスすることはない。即ち、このメッセージは、受取財布用であり、受取財布によってのみ使用可能である。

取引処理が中断されることにより、中断状態において、取引をバッチ処理できるという効果が得られる。これは、さらに、システムをバッチ処理手順に適用可能にする。

本発明は、図を参照して説明した以上の実施形態の詳細には限定されない。例えば、記載した暗号キーを送信及び受信する方法は、予備的な「キーの交換」プロトコルステップで置き替えることができる。

図面の簡単な説明

図１は本発明による銀行コンピュータシステムの概略図である。

図２は価値メッセージを示す図である。

図３は完全RSA暗号システムを用いた価値移転手順の一例を示す図である。

図４は秘密キー転送技術を用いた価値移転手順の一例を示す図である。

図５は混成RSA/DES暗号システムを用いた価値移転手順の一例を示す図である。

１、２、３ 銀行

1a、2a、3a コンピュータ

1b、2b、3b 価値メータ

1c、2c、3c バルク財布

５、10、11 端末

６ ICカード

７ 財布価値記録

８ 接点

９ ICカードリーダ

12 インジケータ

13 リンク

14 インタフェース

フロントページの続き

(72)発明者 ヒギンズ グラハム ロバート レズリ

ー

イギリス国，ビーエー２ ６エスジェー

エイボン，バース，ベイザンプトン,

ベイザンプトン レーン，アビーデイル

ハウス，フラット ３

(56)参考文献 特開 昭61−94177（ＪＰ，Ａ)

欧州公開172670（ＥＰ，Ａ１)

Ｅｖｅｎ ｅｔ ａｌ．，”Ｅｌｅｃ

ｔｒｏｎｉｃ Ｗａｌｌｅｔ”，Ａｄｖ

ａｎｃｅｓ ｉｎ Ｃｒｙｐｔｏｌｏｇ

ｙ：Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ Ｃ

ＲＹＰＴＯ83，ｐｐ．383−386（1983)

Ｅｖｅｎ Ｓ．，”Ｓｅｃｕｒｅ ｏ

ｆｆ−Ｌｉｎｅ Ｅｌｅｃｔｒｏｎｉｃ

Ｆｕｎｄｓ Ｔｒａｎｓｆｅｒ Ｂｅ

ｔｗｅｅｎ Ｎｏｎｔｒｕｓｔｉｎｇ

Ｐａｒｔｉｅｓ”，Ｐｒｏｃｅｅｃｌｉ

ｎｇｓ ｏｆ ｔｈｅ ＩＦＩＰ ＷＧ

11．６ Ｉｎｔｅｒｎａｔｉｏｎａｌ

Ｃｏｆｅｒｅｎｃｅ，”ＳＭＡＲＴ Ｃ

ＡＲＤ 2000：ｔｈｅ Ｆｕｔｕｒｅ

ｏｆ ＩＣ Ｃａｒｄｓ．”ｐｐ．57−

66（1987)

松本勉ほか「秘密を漏らさずに計算力

を借りる依頼計算法」電子情報通信学会

技術研究報告（ＩＳＥＣ88−９）ｐｐ.

53−59（1988)