本公开涉及信息处理装置、信息处理系统和信息处理方法以及程序。更具体地,本公开涉及用于防止使用ic卡的欺诈结算和交易的信息处理装置、信息处理系统、信息处理方法以及程序。
背景技术:
近年来,具有诸如结算功能、收费功能和信用卡功能的电子货币功能的ic卡和便携式终端的使用已经扩大。
通过使用具有这种功能的ic卡或便携式终端,可以容易地进行购物、饮食等的结算,而不用携带现金。
在使用ic卡或便携式终端进行交易或结算的情况下,通常将ic卡或便携式终端靠近作为结算装置的读写器(r/w),并在ic卡或便携式终端与读写器(r/w)之间执行近场通信以进行认证处理,并在认证成立的情况下进行处理。
读写器(r/w)生成记录有交易的细节的日志,并将该日志发送给管理服务器。管理服务器将日志信息存储在存储单元(数据库)中,并且基于日志信息执行账户之间的实际汇款处理和管理。
注意,使用ic卡的交易处理在例如专利文献1(日本专利申请公开号2017-126386)等中描述。
但是,例如,在这种系统中读写器被恶意第三方接管的情况下,读写器有可能执行欺诈处理。
具体而言,例如,有可能发生生成没有实际交易的虚拟交易日志并将虚拟交易日志发送给管理服务器的欺诈,或者即使实际进行了交易也没有将交易日志发送给管理服务器的欺诈。
管理服务器经由设置在很多商店等中的读写器接收大量日志,并且存在难以从日志信息指定欺诈日志的问题。
作为解决该问题的一种技术,例如存在一种使读写器使用连接到读写器的安全元件来进行签名的技术。
具体地,例如,读写器对从读写器到ic卡的输出命令(余额更新命令等)进行签名,并将签名的命令与交易日志一起发送给管理服务器。
但是,存在需要将安全元件安装到读写器侧以便执行处理的问题。
此外,即使在应用上述签名提供配置的情况下,也存在不能防止读写器不向管理服务器发送关于实际执行的交易的日志的欺诈的问题。
引文列表
专利文献
专利文献1:日本专利申请公开号2017-126386
技术实现要素:
本发明要解决的问题
例如,本公开鉴于上述问题而提出,并且其目的在于提供一种防止利用ic卡的欺诈结算和交易的信息处理装置、信息处理系统、信息处理方法以及程序。
问题的解决方案
本公开的第一方面在于:
一种信息处理装置,其是被配置为执行与第二信息处理装置的通信的第一信息处理装置,所述信息处理装置包括:
控制单元,被配置为执行与所述第二信息处理装置的通信以生成交易日志,其中
所述控制单元
从第二信息处理装置接收生成交易日志所需的日志构成信息,
使用所接收的数据生成交易日志,以及
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并且将所生成的带有卡签名的交易日志发送给第二信息处理装置或管理服务器。
此外,本公开的第二方面在于:
一种信息处理系统,包括:第一信息处理装置和第二信息处理装置,其中
第一信息处理装置
从第二信息处理装置接收生成交易日志所需的日志构成信息,
使用所接收的数据生成交易日志,以及
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并将所生成的带有卡签名的交易日志发送给第二信息处理装置,以及
第二信息处理装置
对从第一信息处理装置接收到的带有卡签名的交易日志中所包括的交易日志数据执行签名处理,以生成带有卡签名和读写器签名的交易日志,并将带有卡签名和读写器签名的交易日志发送给管理服务器。
此外,本公开的第三方面在于:
一种信息处理装置,其是被配置为执行与第二信息处理装置的通信的第一信息处理装置,所述信息处理装置包括:
控制单元,被配置为执行与第二信息处理装置的通信以生成交易日志,其中
所述控制单元
从第二信息处理装置接收生成交易日志所需的日志构成信息,
使用所接收的数据生成交易日志,以及
对包括所生成的交易日志和与该交易日志的生成之前的过去前一交易对应的签名数据的数据执行新的签名处理,以生成带有链式签名的交易日志,并将所生成的带有链式签名的交易日志发送给第二信息处理装置或所述管理服务器。
此外,本公开的第四方面在于:
一种信息处理系统,包括:第一信息处理装置和第二信息处理装置,其中
第一信息处理装置
从第二信息处理装置接收生成交易日志所需的日志构成信息和第二信息处理装置侧的前一交易对应读写器签名,以及
对以下数据(a)至(c)执行新的卡签名处理:
(a)使用所接收的数据生成的交易日志,
(b)第一信息处理装置侧的前一交易对应卡签名,以及
(c)第二信息处理装置侧的前一交易对应读写器签名,
并将添加有所生成的签名数据的交易日志发送给第二信息处理装置,以及
第二信息处理装置
对包括在从第一信息处理装置接收的数据中的以下数据(a)至(c)执行新的读写器签名处理:
(a)交易日志,
(b)第一信息处理装置侧的前一交易对应卡签名,以及
(c)第二信息处理装置侧的前一交易对应读写器签名,
以生成带有链式签名的交易日志,以及
将生成的带有链式签名的交易日志发送给管理服务器。
此外,本公开的第五方面在于:
一种在执行与第二信息处理装置的通信的第一信息处理装置中执行的信息处理方法,
第一信息处理装置包括
控制单元,被配置为执行与所述第二信息处理装置的通信以生成交易日志,
所述信息处理方法包括:
通过所述控制单元,
从第二信息处理装置接收生成交易日志所需的日志构成信息;
使用所接收的数据生成所述交易日志;以及
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并将所生成的带有卡签名的交易日志发送给读写器或管理服务器。
此外,本公开的第六方面在于:
一种在执行与第二信息处理装置的通信的第一信息处理装置中执行的信息处理方法,
第一信息处理装置包括
控制单元,被配置为执行与第二信息处理装置的通信以生成交易日志,
所述信息处理方法包括:
通过所述控制单元,
从第二信息处理装置接收生成交易日志所需的日志构成信息;
使用所接收的数据生成所述交易日志;以及
对包括所生成的交易日志和与该交易日志的生成之前的过去前一交易对应的签名数据的数据执行新的签名处理,以生成带有链式签名的交易日志,并且将所生成的带有链式签名的交易日志发送给第二信息处理装置或管理服务器。
此外,本公开的第七方面在于:
一种用于使与第二信息处理装置执行通信的第一信息处理装置执行信息处理的程序,
第一信息处理装置包括
控制单元,被配置为执行与所述第二信息处理装置的通信以生成交易日志,
所述程序用于使所述控制单元执行:
从第二信息处理装置接收生成交易日志所需的日志构成信息的处理;
使用接收到的数据生成交易日志的处理;
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志的处理;以及
将所生成的带有卡签名的交易日志发送给第二信息处理装置或管理服务器的处理。
此外,本公开的第八方面在于:
一种用于使与第二信息处理装置执行通信的第一信息处理装置执行信息处理的程序,
第一信息处理装置包括
控制单元,被配置为执行与第二信息处理装置的通信以生成交易日志,
所述程序用于使所述控制单元执行:
从第二信息处理装置接收生成交易日志所需的日志构成信息的处理;
使用接收到的数据生成交易日志的处理;
对包括所生成的交易日志和与该交易日志的生成之前的过去前一交易对应的签名数据的数据执行新的签名处理以生成带有链式签名的交易日志的处理;以及
将所生成的带有链式签名的交易日志发送给第二信息处理装置或管理服务器的处理。
注意,根据本公开的程序是例如可以由以计算机可读格式提供的存储介质或通信介质向可以执行各种程序代码的信息处理设备或计算机系统提供的程序。通过以计算机可读格式提供这样的程序,在信息处理装置或计算机系统上实现根据该程序的处理。
从基于下面将描述的本公开的示例和附图的更详细的描述,本公开的其他目的、特征和优点将变得清楚。注意,本说明书中的系统是多个设备的逻辑集合配置,并且不限于在同一壳体内具有各自配置的设备。
发明的效果
根据本公开的示例的配置,实现了防止关于与ic卡和读写器之间的交易有关的交易日志的欺诈的配置。
具体而言,例如,ic卡从读写器接收生成交易日志所需的日志构成信息,使用所接收的数据生成交易日志,对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并将所生成的带有卡签名的交易日志发送给读写器。此外,ic卡生成通过使用ic卡侧的前一交易对应卡签名和读写器侧的前一交易对应读写器签名作为签名对象数据来执行新的签名而获得的带有链式签名的交易日志,并将带有链式签名的交易日志发送给管理服务器。
利用本配置,实现了防止关于与ic卡和读写器之间的交易有关的交易日志的欺诈的配置。
注意,本说明书中描述的效果仅仅是示例,而不是限制性的,并且可以呈现附加的效果。
附图说明
图1是用于描述信息处理系统的概要的图。
图2是示出在信息处理系统中执行的处理的序列示例的图。
图3是用于描述交易日志的数据配置示例的图。
图4是示出根据本公开的示例的用于描述处理序列的序列图的图。
图5是示出带有卡签名的交易日志的配置示例的图。
图6是示出根据公开密钥密码系统的签名生成处理和签名验证处理的序列的图。
图7是示出根据共用密钥密码系统的签名(mac)生成处理和签名验证处理的序列的图。
图8是示出存储在读写器(r/w)和ic卡中的日志信息的示例的图。
图9是示出根据本公开的示例的用于描述处理序列的序列图的图。
图10是示出带有卡签名的交易日志的历史数据的示例的图。
图11是用于描述带有卡签名和读写器(rw)签名的交易日志的数据配置示例的图。
图12是示出根据本公开的示例的用于描述处理序列的序列图的图。
图13是示出根据本公开的示例的用于描述处理序列的序列图的图。
图14是示出根据本公开的示例的用于描述处理序列的序列图的图。
图15是用于描述带有链式签名的交易日志的数据配置示例的图。
图16是用于描述带有链式签名的交易日志的图。
图17是用于描述带有链式签名的交易日志的图。
图18是用于描述带有链式签名的交易日志的图。
图19是用于描述带有链式签名的交易日志的图。
图20是用于描述带有链式签名的交易日志的图。
图21是用于描述带有链式签名的交易日志的图。
图22是用于描述带有链式签名的交易日志的图。
图23是用于描述带有链式签名的交易日志的图。
图24是示出根据本公开的示例的用于描述处理序列的序列图的图。
图25是示出根据本公开的示例的用于描述处理序列的序列图的图。
图26是用于描述发生问题的交易日志的示例和具有解决该问题的配置的交易日志的配置示例的图。
图27是示出根据本公开的示例的用于描述处理序列的序列图的图。
图28是示出根据本公开的示例的用于描述处理序列的序列图的图。
图29是用于描述信息处理装置的配置示例的图。
图30是用于描述信息处理装置的配置示例的图。
具体实施方式
在下文中,将参考附图详细描述本公开的信息处理装置、信息处理系统、信息处理方法以及程序。注意,将根据以下项目给出描述。
1.ic卡的使用以及交易日志发送和接收配置的概要
2.(示例1)ic卡生成交易日志并提供ic卡签名的示例
3.(示例2)将交易日志的历史数据发送给管理服务器的示例
4.(示例3)将ic卡签名和读写器(r/w)签名提供给生成的ic卡交易日志的示例
5.(示例4)使用带有链式签名的交易日志的示例
6.(示例5)应用了根据不同密码系统的签名的多个管理系统共存的情况下的处理示例
7.信息处理装置的硬件配置示例
8.本公开的配置的结论
[1.ic卡的使用以及交易日志发送和接收配置的概要]
首先,将参考图1和随后的附图描述ic卡的使用以及交易日志发送和接收配置的概要。
图1是示出能够执行本公开的处理的信息处理系统的配置示例的图。
图1示出了配置元件,包括:
使用者11所拥有的ic卡10,
设置在商店21中的读写器(r/w)20,以及
管理服务器30,其管理与使用ic卡10的交易有关的结算处理等。
注意,图1示出了作为ic卡10的卡型ic卡的配置示例。但是,也可以使用具有ic卡功能的便携式终端,诸如智能手机。在以下描述的示例中,将描述卡型ic卡作为代表性示例。但是,例如,本公开的处理不仅可应用于卡型ic卡,而且可应用于具有ic卡功能的便携式终端。
拥有图1所示的ic卡10的用户11在商店21中购买产品,并使ic卡10与商店21中设置的读写器(r/w)20接触或靠近。
由此,在ic卡10和读写器(r/w)20之间进行近场通信,ic卡10和读写器(r/w)20首先进行用于确认相互合法性的认证处理,并且在认证成立的情况下进行关于结算的处理。
具体地,在图1所示的步骤s01中,读写器(r/w)20执行更新ic卡10的余额的处理。也就是说,读写器(r/w)20执行用通过减去购买的产品的价格获得的值更新ic卡10的余额的处理、根据用户11请求的收费金额增加ic卡10的余额的处理等。
注意,读写器(r/w)20与执行诸如结算金额计算等的计费处理的计费处理装置集成在一起,或者与具有不同配置的计费处理装置连接,并且从计费处理装置获取ic卡10的余额更新金额,并且执行ic卡10的余额更新处理。
接下来,在步骤s02中,读写器(r/w)20将交易日志发送给管理服务器30。
交易日志包括例如数据,诸如已经执行交易的ic卡10的标识符(id)、作为交易商店的商店21或读写器(r/w)20的标识符、交易日期和时间以及交易金额。
当从读写器(r/w)20接收到交易日志时,在步骤s03中,管理服务器30将接收到的交易日志存储在数据库中,并将处理完成通知发送给读写器20。
注意,管理服务器30执行实际结算处理,例如,基于存储在数据库中的交易日志信息将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30向其他结算服务器通知日志信息,并且结算服务器执行结算处理。
已经参考图1描述了使用ic卡10的交易流程的概要。
图2是按时间顺序示出参照图1描述的处理的序列图。将再次参考图2所示的序列图来描述该系列处理的流程。
图2从左侧示出了ic卡10、读写器(r/w)20和管理服务器30,并且按时间顺序示出了设备之间的通信和由设备执行的处理。
将顺序描述图2中所示的步骤的处理。
(步骤s11)
首先,在步骤s11中,读写器(r/w)20根据交易金额执行更新ic卡10的余额的处理。
注意,在余额更新处理中,ic卡10和读写器(r/w)20执行用于确认相互合法性的认证处理。在认证成立的条件下执行余额更新处理。
(步骤s12)
接下来,在步骤s12中,读写器(r/w)20生成交易日志。
将参考图3描述由读写器(r/w)20生成的交易日志的示例。
如图3所示,交易日志包括例如以下数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
例如,读写器(r/w)20生成包括数据(a)至(f)的交易日志。
图3中所示的交易日志列表是基于由特定读写器(r/w)20执行的交易而生成的日志列表,并且该列表中的最上面的条目(1)是最新的日志。该列表是其中过去的日志从最新的日志开始以降序记录在列表中的日志列表。
读写器(r/w)20将这种日志列表存储在存储单元(存储器)中。
注意,"(d)已经执行交易的ic卡10的交易总数"是设置为由ic卡10使用各个读写器执行的一系列处理的总数。
"(f)读写器(r/w)20的交易总数"是设置为由读写器(r/w)20对各个ic卡10执行的一系列处理的总数。
由于图3中的日志列表是针对由一个读写器(r/w)20执行的交易而生成的日志列表,因此"(e)读写器(r/w)20的标识符"在所有条目中都相同,并且"(f)读写器(r/w)20的交易总数"按条目(3)、(2)和(1)的顺序加一(004809→004810→004811)。
注意,在读写器(r/w)20生成日志时,从ic卡10接收如下信息,并将其记录为日志的配置数据:
(c)已经执行交易的ic卡10的标识符(id),以及
(d)已执行交易的ic卡10的交易总数。
(步骤s13)
接下来,在步骤s13中,读写器(r/w)20将生成的交易日志发送给管理服务器30。
在执行与图3中的日志列表中的最新日志(1)相对应的交易的情况下,例如,将日志(1)的配置数据发送给管理服务器30。
(步骤s14)
在步骤s14中,当从读写器(r/w)20接收到交易日志时,管理服务器30将接收到的交易日志存储在数据库中。
(步骤s15)
在步骤s15中,当完成对从读写器(r/w)20接收到的交易日志的数据库存储处理时,管理服务器30向读写器20发送处理完成通知。
根据该序列,执行使用ic卡10的交易和从读写器(r/w)20到管理服务器30的交易日志的发送。
管理服务器30基于存储在数据库中的交易日志信息,执行实际结算处理,例如,将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
如果在ic卡10和读写器(r/w)20之间执行的所有交易信息都被正确地记录在管理服务器30的数据库中,则将毫无问题地执行正确的结算处理。
但是,如上所述,例如,在读写器被恶意第三方接管的情况下,读写器有可能执行欺诈处理。
具体而言,例如,有可能执行生成没有实际交易的虚拟交易日志并将虚拟交易日志发送给管理服务器的处理,或者尽管已经实际执行交易但不将交易日志发送给管理服务器的欺诈。
管理服务器经由设置在很多商店等中的读写器接收大量日志,并且存在难以从日志信息指定欺诈日志的问题。
以下,将描述解决该问题的本公开的配置。
[2.(示例1)生成交易日志并提供ic卡签名的ic卡的示例]
首先,将描述ic卡生成交易日志并提供ic卡的签名的示例,作为示例1。
图4示出了用于描述根据本示例的处理序列的序列图。
图4从左侧示出了图1中所示的三个配置元件,即ic卡10、读写器(r/w)20和管理服务器30,并且与上述图2类似地按时间顺序示出了设备之间的通信和由设备执行的处理。
注意,在设备之间发送/接收的数据有利地是加密数据。
将顺序描述图4中所示的步骤的处理。
(步骤s101)
首先,在步骤s101中,读写器(r/w)20根据交易金额执行更新ic卡10的余额的处理。
注意,在余额更新处理中,ic卡10和读写器(r/w)20执行用于确认相互合法性的认证处理。在认证成立的条件下执行余额更新处理。
(步骤s102)
接下来,在步骤s102中,读写器(r/w)20将交易日志生成数据发送给ic卡10。
如以上参考图3所述,交易日志包括例如以下数据,:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
在数据(a)至(f)中,例如,由ic卡本身保持如下数据:
(c)已经执行交易的ic卡10的标识符(id),以及
(d)已经执行交易的ic卡10的交易总数。
从读写器(r/w)20接收未被ic卡10保持的其他数据。
(步骤s103)
接下来,在步骤s103中,ic卡10生成交易日志。
与上面参考图3描述的数据配置类似,由ic卡10生成的交易日志包括以下数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
(步骤s104)
接下来,在步骤s104中,ic卡10向在步骤s103中生成的交易日志提供签名。
图5示出了带有卡签名的交易日志100的配置示例。
如图5所示,带有卡签名的交易日志100具有通过将使用以下配置数据(a)至(f)作为签名对象数据生成的卡签名101添加到日志而获得的配置:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数,其是交易日志构成数据。
注意,签名例如是根据公开密钥密码系统的签名或根据共用密钥密码系统的签名(消息认证码:mac)。
图6示出根据公开密钥密码系统的签名生成处理和签名验证处理的序列。
如图6(1a)所示,在根据公开密钥密码系统的签名生成处理中,通过对签名对象数据应用秘密密钥来执行公开密钥密码系统签名生成算法,以生成签名数据。
在这种情况下,签名对象数据是图5所示的数据(a)至(f)。例如,签名数据是通过将秘密密钥应用于配置数据(a)至(f)的哈希值(hashvalue)而生成的。
此外,如图6(1b)所示,在根据公开密钥密码系统的签名验证处理中,通过将公开密钥应用于签名数据来执行公开密钥密码系统签名验证算法,以生成解密数据(签名对象数据)。
当生成的解密数据(签名对象数据)与原始数据(即,图5所示的数据(a)至(f))或其哈希值)匹配时,签名验证成立,即,判定没有数据篡改。
图7示出了根据共用密钥密码系统的签名(mac)生成处理和签名验证处理的序列。
如图7(2a)所示,在根据共用密钥密码系统的签名生成处理中,通过对签名对象数据应用共用密钥来执行共用密钥密码系统签名生成算法,以生成签名数据(mac)。
在这种情况下,签名对象数据是图5所示的数据(a)至(f)。例如,签名数据是通过将共用密钥应用于配置数据(a)至(f)的哈希值而生成的。
此外,如图7(2b)所示,在根据共用密钥密码系统的签名验证处理中,通过将共用密钥应用于签名数据来执行共用密钥密码系统签名验证算法,以生成签名数据。
当所生成的签名数据与所接收到的签名数据匹配时,签名验证成立,即,判定没有数据篡改。
在图4所示的序列图中的步骤s104中,ic卡10执行上述根据公开密钥密码系统的签名生成处理或根据共用密钥密码系统的签名(mac)生成处理,以生成图5所示的带有卡签名的交易日志100并将其添加到日志数据。
注意,在本示例中,已经描述了卡型ic卡作为代表性示例。但是,本公开的处理不仅可应用于卡型ic卡,而且还可应用于例如具有ic卡功能的便携式终端,并且"卡签名"可以是由这种终端(信息处理装置)生成的签名。
(步骤s105)
接下来,在步骤s105中,ic卡10将在步骤s104中生成的带有卡签名的交易日志存储在ic卡10中的存储单元(存储器)中。
(步骤s106)
接下来,在步骤s106中,ic卡10将在步骤s104中生成的带有卡签名的交易日志发送给读写器(r/w)20。
(步骤s107)
接下来,在步骤s107中,读写器(r/w)20将从ic卡10接收到的带有卡签名的交易日志存储在读写器(r/w)20中的存储单元(存储器)中。
图8示出了如下的日志信息列表的示例:
(a)存储在读写器(r/w)20中的存储单元(存储器)中的日志信息,以及
(b)存储在ic卡10中的存储单元(存储器)中的日志信息。
两个日志信息列表都包括以下数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,
(f)读写器(r/w)20的交易总数,以及
(g)ic卡签名。
图8所示的"(a)存储在读写器(r/w)20中的存储单元(存储器)中的日志信息"中的条目(1)和"(b)存储在ic卡10中的存储单元(存储器)中的日志信息"中的条目(1)是与当前交易相对应的日志信息,并且是相同的数据。
注意,"(e)读写器(r/w)的标识符"在图8所示的(a)存储在读写器(r/w)20中的存储单元(存储器)中的日志信息中存储的日志信息的条目之中是相同的,并且"(f)读写器(r/w)的交易总数"对于每个条目具有不同的值。
同时,"(c)已经执行交易的ic卡的标识符(id)"在图8所示的(b)存储在ic卡10中的存储单元(存储器)中的日志信息中存储的日志信息的条目中是相同的,并且"(d)ic卡的交易总数"对于每个条目具有不同的值。
(步骤s108)
接下来,在步骤s108中,读写器(r/w)20将从ic卡10接收到的带有卡签名的交易日志发送给管理服务器30。
注意,在ic卡10具有能够经由诸如智能电话的网络进行通信的配置的情况下,例如,ic卡10本身可以直接将所生成的带有卡签名的交易日志发送给管理服务器30。
此外,可以将读写器(r/w)20和ic卡10中的每一个设置为向管理服务器30发送相同的日志。
管理服务器30判定与以下设置给接收日志的数据匹配的日志信息是重复的接收日志,并且仅选择日志信息中的一个,并将所选择的日志信息存储在数据库中:
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
(步骤s109)
在步骤s109中,当从读写器(r/w)20接收到带有签名的交易日志时,管理服务器30对带有签名的交易日志执行签名验证处理。
在签名是根据公开密钥密码系统的签名的情况下,签名验证处理被执行为以上参照图6(1b)描述的根据公开密钥密码系统的签名验证处理。
同时,在签名是根据共用密钥密码系统的签名的情况下,签名验证处理被执行为上述参照图7(2b)描述的根据共用密钥密码系统的签名验证处理。
在签名验证中判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s110。
另一方面,在签名验证中判定日志信息的数据篡改的情况下,停止处理而不进行到下一步骤s110。在这种情况下,例如,管理服务器30可以向读写器(r/w)20通知错误消息。
(步骤s110)
在步骤s109中的签名验证中判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s110。
在步骤s110中,管理服务器30将从读写器(r/w)20接收到的带有签名的交易日志存储在数据库中。
(步骤s111)
接下来,在步骤s111中,管理服务器30向读写器20发送处理完成通知。
根据该顺序,执行使用ic卡10的交易、交易日志的生成和数据库存储处理。
管理服务器30基于存储在数据库中的交易日志信息,执行实际结算处理,例如,将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
在本示例中,由ic卡10执行交易日志的生成。此外,ic卡10对生成的交易日志设置签名。
也就是说,管理服务器30接收ic卡的带有签名的交易日志并进行签名验证,并且可以判定交易日志是否是没有篡改的合法交易日志。
在上述图2所示的根据序列图的处理中,存在读写器(r/w)20篡改交易日志的可能性。通过执行图4所示的序列,能够降低读写器(r/w)20篡改交易日志的可能性。
[3.(示例2)将交易日志的历史数据发送给管理服务器的示例]
接下来,将描述将交易日志的历史数据发送给管理服务器的示例作为示例2。
图9示出了用于描述根据本示例的处理序列的序列图。
与上述图2类似,图9示出了图1中所示的三个配置元件,即ic卡10、读写器(r/w)20和管理服务器30,并且还示出了另一读写器(r/w)40,并且按时间顺序示出了设备之间的通信和由设备执行的处理。
注意,在设备之间发送/接收的数据有利地是加密数据。
假定ic卡10在与读写器(r/w)40执行交易之前,与读写器(r/w)20执行示例1中描述的根据图4中示出的序列图的处理。
也就是说,在根据图4所示的序列图的处理之后,执行根据图9所示的序列图的处理。
将顺序描述图9中所示的步骤的处理。
(步骤s201至s205)
步骤s201至s205中的处理与上面示例1中参照图4描述的步骤s101至s105中的处理类似。
也就是说,在步骤s201中,读写器(r/w)40根据交易金额执行更新ic卡10的余额的处理。
接下来,在步骤s202中,读写器(r/w)40将交易日志生成数据发送给ic卡10。
接下来,在步骤s203中,ic卡10生成交易日志。
接下来,在步骤s204中,ic卡10将签名添加到交易日志。
接下来,在步骤s205中,ic卡10将带有签名的交易日志存储在ic卡10的存储单元(存储器)中。
存储在ic卡10的存储单元(存储器)中的带有签名的交易日志是上面参考图5描述的带有卡签名的交易日志100,并且包括以下数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已执行交易的ic卡10的交易总数,
(e)读写器(r/w)40的标识符,
(f)读写器(r/w)40的交易总数,以及
(g)ic卡签名。
(步骤s206)
步骤s206中的处理与上述示例1中的步骤s106中的处理不同。
在步骤s206中,ic卡10将过去生成的带有卡签名的交易日志与在步骤s204中生成的带有卡签名的交易日志一起发送给读写器(r/w)40。
也就是说,ic卡10向读写器(r/w)40发送如下交易日志历史数据,该交易日志历史数据不仅包括与当前交易相对应的最新的带有卡签名的交易日志,而且至少包括在紧接的前一交易中生成的带有卡签名的交易日志。
注意,过去的带有卡签名的交易日志被存储在ic卡10的存储单元(存储器)中,并且ic卡10从存储单元(存储器)获取过去的日志,并将过去的日志与对应于当前交易的最新的带有卡签名的交易日志一起发送给读写器(r/w)40。
图10是示出存储在ic卡10的存储单元(存储器)中的带有卡签名的交易日志的历史数据的图。
类似于上面参考图8(b)描述的日志列表,图10所示的带有卡签名的交易日志的历史数据是其中从最新条目(1)开始按照时间顺序记录包括以下数据的日志信息的数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,
(f)读写器(r/w)20的交易总数,以及
(g)ic卡签名。
与当前交易相对应的带有卡签名的交易日志是条目(1)。与当前交易的先前交易相对应的带有卡签名的交易日志是条目(2)。
在步骤s206中,ic卡10将交易日志历史数据连同当前交易日志一起发送给读写器(r/w)40,该交易日志历史数据至少包括作为条目(1)的当前交易日志的先前交易日志的条目(2)的交易日志。
注意,要发送的数据不限于两个日志,并且可以使用进一步包括过去的交易日志(条目(3)、(4)等)的设置。
(步骤s207)
接下来,在步骤s207中,读写器(r/w)40从接收自ic卡10的带有卡签名的交易日志历史数据(即,包括与当前交易相对应的带有卡签名的交易日志和与过去交易相对应的带有卡签名的交易日志的带有卡签名的交易日志历史数据)中选择与当前交易相对应的带有卡签名的交易日志,并且将所选择的带有卡签名的交易日志存储在读写器(r/w)20中的存储单元(存储器)中。
(步骤s208)
接下来,在步骤s208中,读写器(r/w)40将从ic卡10接收到的带有卡签名的交易日志历史数据(即,包括与当前交易相对应的带有卡签名的交易日志和与过去交易相对应的带有卡签名的交易日志的带有卡签名的交易日志历史数据)发送给管理服务器30。
注意,在ic卡10具有能够经由诸如智能电话的网络进行通信的配置的情况下,例如,ic卡10本身可以直接将带有卡签名的交易日志历史数据发送给管理服务器30。
(步骤s209)
在步骤s209中,当从读写器(r/w)40接收到带有签名的交易日志历史数据时,管理服务器30对带有签名的交易日志历史数据中包括的多个带有签名的交易日志执行签名验证处理。
在签名是根据公开密钥密码系统的签名的情况下,签名验证处理被执行为以上参照图6(1b)描述的根据公开密钥密码系统的签名验证处理。
同时,在签名是根据共用密钥密码系统的签名的情况下,签名验证处理被执行为以上参照图7(2b)描述的根据共用密钥密码系统的签名验证处理。
在签名验证中判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s110。
另一方面,在签名验证中判定日志信息的数据篡改的情况下,停止处理而不进行到下一步骤s210。在这种情况下,例如,管理服务器30可以向读写器(r/w)40通知错误消息。
(步骤s210)
在步骤s209中的签名验证中判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s210。
在步骤s210中,管理服务器30从构成接收自读写器(r/w)40的带有签名的交易日志历史数据的多个带有签名的交易日志中仅选择未记录的带有签名的交易日志,并将所选择的未记录的带有签名的交易日志存储在数据库中。
构成从读写器(r/w)40接收的带有签名的交易日志历史数据的多个带有签名的交易日志包括与过去的交易相对应的带有签名的交易日志。
例如,包括在ic卡10和读写器(r/w)20之间执行的处理中生成的过去的交易日志。
如果读写器(r/w)20已经将该交易日志发送给管理服务器30,则该交易日志已经存储在管理服务器30的数据库中。
但是,在读写器(r/w)20没有将交易日志发送给管理服务器30的情况下,交易日志没有存储在管理服务器30的数据库中,并且第一次,管理服务器30可以从这次接收的交易日志历史数据中获取先前的交易日志。
如上所述,在本示例中,即使在由于读写器(r/w)的动作或动作失败而没有发送交易日志的情况下,在之后由同一ic卡执行的交易中,过去的交易日志也与最新的日志一起被发送给管理服务器。因此,可以发现并防止读写器(r/w)的"日志未发送"的欺诈。
注意,在读写器(r/w)正常执行日志发送的情况下,管理服务器30重复接收相同的日志。但是,管理服务器30可以判定与以下设置给接收日志的数据匹配的日志信息是重复的接收日志,并且能够可靠地判定日志是否已经被处理:
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
(步骤s211)
接下来,在步骤s211中,管理服务器30向读写器20发送处理完成通知。
根据该顺序,执行使用ic卡10的交易、交易日志的生成和数据库存储处理。
管理服务器30基于存储在数据库中的交易日志信息,执行实际结算处理,例如,将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
在本示例中,与示例1类似,由ic卡10执行交易日志的生成,此外,ic卡10对生成的交易日志设置签名。
此外,ic卡10经由读写器(r/w)40向管理服务器30发送带有卡签名的交易日志历史数据,即,包括与当前交易相对应的带有卡签名的交易日志和与过去交易相对应的带有卡签名的交易日志的带有卡签名的交易日志历史数据。
管理服务器30对ic卡的带有签名的交易日志历史数据中包含的多个带有签名的交易日志执行签名验证,并且可以仅在交易日志是未篡改的合法日志而不是处理后的日志的情况下,将该日志存储到数据库中,并基于该日志进行结算处理等。
通过本示例的处理,在读写器(r/w)没有发送日志的情况下,可以从随后要接收的交易日志历史数据中检测到未接收的日志,并且可以防止读写器(r/w)没有发送日志的欺诈。
[4.(示例3)对ic卡的生成交易日志提供ic卡签名和读写器(r/w)签名的示例]
接下来,将描述向所生成的ic卡的交易日志提供ic卡签名和读写器(r/w)签名的示例作为示例3。
在ic卡10侧生成交易日志并在交易日志中添加ic卡10的签名时,本示例与以上参照图4至图8描述的示例1类似。本示例3还将读写器(r/w)20的签名设置到带有ic卡签名的交易日志。
也就是说,ic卡签名和读写器(r/w)签名被提供给所生成的ic卡的交易日志,并且设置了两个签名的交易日志被发送给管理服务器30。
图11中示出了在本示例3中生成的带有卡签名和读写器(rw)签名的交易日志的数据配置示例。
如图11所示,带有卡签名和读写器(rw)签名的交易日志200具有通过将使用以下配置数据(a)至(f)作为签名对象数据生成的卡签名201和读写器(r/w)签名202添加到日志而获得的配置:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数,其是交易日志构成数据。
注意,卡签名和读写器(r/w)签名是例如根据公开密钥密码系统的签名或根据共用密钥密码系统的签名(消息认证码:mac)。
在本示例中,具有图11所示的数据配置的带有卡签名和读写器(rw)签名的交易日志200被发送给管理服务器30。
图12示出用于描述根据本示例的处理序列的序列图。
图12示出了上述图1中示出的三个配置元件,即ic卡10、读写器(r/w)20和管理服务器30,并且按时间顺序示出了设备之间的通信和由设备执行的处理。
注意,在设备之间发送/接收的数据有利地是加密数据。
将顺序描述图12中所示的步骤的处理。
(步骤s301至s304)
步骤s301至s304中的处理与上面示例1中参照图4描述的步骤s101至s104中的处理类似。
也就是说,在步骤s301中,读写器(r/w)20根据交易金额执行更新ic卡10的余额的处理。
接下来,在步骤s302中,读写器(r/w)20将交易日志生成数据发送给ic卡10。
接下来,在步骤s303中,ic卡10生成交易日志。
接下来,在步骤s304中,ic卡10将签名(卡签名)添加到交易日志中。
(步骤s305)
接下来,在步骤s305中,ic卡10将带有卡签名的交易日志发送给读写器(r/w)20。
(步骤s306)
接着,在步骤s306中,读写器(r/w)20向从ic卡10接收到的带有卡签名的交易日志提供签名(读写器(r/w)签名),签名对象数据是交易日志构成数据。
通过签名处理,生成以上参照图11描述的"带有卡签名和读写器(rw)签名的交易日志200"。
(步骤s307)
接下来,在步骤s307中,读写器(r/w)20将带有卡签名和读写器(rw)签名的交易日志发送给ic卡10。
(步骤s308和s309)
在步骤s308和s309中,ic卡10和读写器(r/w)20将带有卡签名和读写器(rw)签名的交易日志存储在各个存储单元(存储器)中。
(步骤s310)
接着,在步骤s310中,读写器(r/w)20将带有卡签名和读写器(rw)签名的交易日志发送给管理服务器30。
注意,在ic卡10具有能够经由诸如智能电话的网络进行通信的配置的情况下,例如,ic卡10本身可以直接将带有卡签名和读写器(rw)签名的交易日志发送给管理服务器30。
此外,可以将读写器(r/w)20和ic卡10中的每一个设置为向管理服务器30发送相同的日志。
(步骤s311)
在步骤s311中,当从读写器(r/w)20接收到带有卡签名和读写器(rw)签名的交易日志时,管理服务器30对带有卡签名和读写器(rw)签名的交易日志执行签名验证处理。
对设置到带有卡签名和读写器(rw)签名的交易日志的两个签名(即,卡签名和读写器(r/w)签名)执行签名验证处理。
在签名是根据公开密钥密码系统的签名的情况下,执行以上参照图6(1b)描述的根据公开密钥密码系统的签名验证处理。
另一方面,在签名是根据共用密钥密码系统的签名的情况下,执行参照图7(2b)描述的根据共用密钥密码系统的签名验证处理。
在两个签名验证成立(即,判定没有日志信息的数据篡改)的情况下,处理进行到下一步骤s312。
另一方面,在两个签名验证中的至少一个未成立的情况下,判定日志信息的数据篡改,并且停止处理而不进行到下一步骤s312。在这种情况下,例如,管理服务器30可以向读写器(r/w)20通知错误消息。
(步骤s312)
在步骤s310中执行的两个签名验证成立并且没有判定日志信息的数据篡改的情况下,处理进行到下一步骤s312。
在步骤s312中,管理服务器30将从读写器(r/w)20接收的带有卡签名和读写器(rw)签名的交易日志存储在数据库中。
(步骤s313)
接下来,在步骤s313中,管理服务器30向读写器20发送处理完成通知。
根据该顺序,执行使用ic卡10的交易、交易日志的生成和数据库存储处理。
管理服务器30基于存储在数据库中的交易日志信息,执行实际结算处理,例如,将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
在本示例中,由ic卡10执行交易日志的生成。此外,ic卡10和读写器(r/w)20都为交易日志设置签名。
也就是说,管理服务器30接收具有ic卡和读写器(r/w)的签名的两个签名的交易日志,并执行两个签名验证,并且可以判定交易日志是否是没有篡改的合法交易日志。
在该示例中,可以防止ic卡的欺诈。例如,可以防止在ic卡一侧生成欺诈日志的动作,或者在ic卡的签名密钥被泄漏的情况下可能发生的欺诈。
注意,在本示例中,作为代表性示例描述了卡型ic卡和读写器(rw)的组合。但是,本示例的处理不仅可应用于卡型ic卡,而且还可应用于例如具有ic卡功能的便携式终端,并且"卡签名"可以是由这种终端(第一信息处理装置)生成的签名。
类似地,读写器(rw)不限于安装在商店等中的读写器,并且可以是例如与便携式终端执行通信的第二信息处理装置,并且"读写器签名"可以是由这样的第二信息处理装置生成的签名。
这同样适用于以下示例。
可以与上述示例2(即"将交易日志的历史数据发送给管理服务器的示例")的处理结合地执行上述示例3中的处理。
将参考图13和14描述结合示例3和示例2执行的处理序列。
与图12类似,图13和14示出了图1中描述的三个配置元件,即ic卡10、读写器(r/w)20和管理服务器30,并且还示出了另一读写器(r/w)40,并且按时间顺序示出了设备之间的通信和设备执行的处理。
注意,在设备之间发送/接收的数据有利地是加密数据。
假定ic卡10在与读写器(r/w)40执行交易之前,与读写器(r/w)20执行根据图12所示的上述序列图的处理。
也就是说,在根据图12所示的序列图的处理之后执行根据图13所示的序列图的处理。
将顺序描述图13中所示的步骤的处理。
(步骤s351至s359)
步骤s351到s359中的处理是在ic卡10和读写器(r/w)40之间执行的与参考图12描述的步骤s301到s309中的处理类似的处理。
也就是说,在步骤s351中,读写器(r/w)40根据交易金额执行更新ic卡10的余额的处理。
接下来,在步骤s352中,读写器(r/w420将交易日志生成数据发送给ic卡10。
接下来,在步骤s353中,ic卡10生成交易日志。
接下来,在步骤s354中,ic卡10将签名(卡签名)添加到交易日志中。
接下来,在步骤s355中,ic卡10将带有卡签名的交易日志发送给读写器(r/w)40。
接着,在步骤s356中,读写器(r/w)40向从ic卡10接收到的带有卡签名的交易日志提供签名(读写器(r/w)签名)。签名对象数据是交易日志构成数据。
通过签名处理,生成以上参照图11描述的"带有卡签名和读写器(rw)签名的交易日志200"。
接下来,在步骤s357中,读写器(r/w)40将带有卡签名和读写器(rw)签名的交易日志发送给ic卡10。
在步骤s358和s359中,ic卡10和读写器(r/w)40将带有卡签名和读写器(rw)签名的交易日志存储在相应的存储单元(存储器)中。
(步骤s371)
接下来,在步骤s371中,ic卡10将过去生成的带有卡签名和读写器(rw)签名的交易日志与在步骤s358中存储在存储单元中的带有卡签名和读写器(rw)签名的交易日志一起发送给读写器(r/w)40。
也就是说,ic卡10向读写器(r/w)40发送交易日志历史数据,该交易日志历史数据不仅包括与当前交易相对应的最新的带有卡签名和读写器(rw)签名的交易日志,而且至少包括在紧接的前一交易中生成的带有卡签名和读写器(rw)签名的交易日志。
注意,过去的带有卡签名和读写器(rw)签名的交易日志被存储在ic卡10的存储单元(存储器)中,并且ic卡10从存储单元(存储器)获取过去的日志,并将过去的带有卡签名和读写器(rw)签名的交易日志与对应于当前交易的最新的带有卡签名和读写器(rw)签名的交易日志一起发送给读写器(r/w)40。
(步骤s372)
接下来,在步骤s372中,读写器(r/w)40将从ic卡10接收到的带有卡签名和读写器(rw)签名的交易日志历史数据(即,包括与当前交易相对应的带有卡签名和读写器(rw)签名的交易日志和与过去的交易相对应的带有卡签名和读写器(rw)签名的交易日志的带有卡签名和读写器(rw)签名的交易日志历史数据)发送给管理服务器30。
注意,在ic卡10具有能够经由诸如智能电话的网络进行通信的配置的情况下,例如,ic卡10本身可以将带有卡签名和读写器(rw)签名的交易日志历史数据直接发送给管理服务器30。
(步骤s373)
在步骤s373中,当从读写器(r/w)40接收到带有卡签名和读写器(rw)签名的交易日志历史数据时,管理服务器30对包括在带有卡签名和读写器(rw)签名的交易日志历史数据中的多个带有卡签名和读写器(rw)签名的交易日志执行签名验证处理。
在签名是根据公开密钥密码系统的签名的情况下,签名验证处理被执行为以上参照图6(1b)描述的根据公开密钥密码系统的签名验证处理。
同时,在签名是根据共用密钥密码系统的签名的情况下,签名验证处理被执行为以上参照图7(2b)描述的根据共用密钥密码系统的签名验证处理。
在签名验证中判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s374。
另一方面,在签名验证中判定日志信息的数据篡改的情况下,停止处理而不进行到下一步骤s374。在这种情况下,例如,管理服务器30可以向读写器(r/w)40通知错误消息。
(步骤s374)
在步骤s373中的签名验证中判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s374。
在步骤374,管理服务器30从构成接收自读写器(r/w)40的带有卡签名和读写器(rw)签名的交易日志历史数据的多个带有签名的交易日志中仅选择未记录的带有签名的交易日志,并将所选择的未记录的带有签名的交易日志存储在数据库中。
构成从读写器(r/w)40接收的带有卡签名和读写器(rw)签名的交易日志历史数据的多个带有签名的交易日志包括与过去的交易相对应的带有签名的交易日志。
例如,包括在ic卡10和读写器(r/w)20之间执行的处理中生成的过去的交易日志。
如果读写器(r/w)20已经将该交易日志发送到管理服务器30,则该交易日志已经存储在管理服务器30的数据库中。
但是,在读写器(r/w)20没有将交易日志发送到管理服务器30的情况下,交易日志没有存储在管理服务器30的数据库中,并且第一次,管理服务器30可以从这次接收的交易日志历史数据中获取先前的交易日志。
也就是说,即使在由于读写器(r/w)的动作或动作失败而没有发送交易日志的情况下,过去的交易日志在以后由同一ic卡执行的交易中也被一起发送到管理服务器,并且可以发现读写器(r/w)没有发送日志的欺诈。
(步骤s375)
接下来,在步骤s375中,管理服务器30向读写器20发送处理完成通知。
根据该顺序,执行使用ic卡10的交易、交易日志的生成和数据库存储处理。
管理服务器30基于存储在数据库中的交易日志信息,执行实际结算处理,例如,将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
如上所述,在组合了示例2和示例3的配置中,可以检测以下各种欺诈。
对由读写器(r/w)的欺诈日志的生成和发送的检测。
对由ic卡的欺诈日志的生成的检测。
对由读写器(r/w)的动作或动作失败导致的日志未发送的检测。
[5.(示例4)使用带有链式签名的交易日志的示例]
接下来,将描述使用带有链式签名的交易日志的示例作为示例4。
将参考图15描述带有链式签名的交易日志的数据配置示例。
如图15所示,带有链式签名的交易日志300包括以下数据:
(1)最新交易日志301,
(2)卡侧的前一交易对应卡签名302,
(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303,
(4)卡签名304,以及
(5)读写器(r/w)签名305。
"(1)最新交易日志301"是在ic卡和读写器(r/w)之间的最新交易中生成的最新的交易日志数据。
最新交易日志301包括以上参照图3等描述的日志信息。也就是说,这些数据包括:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡的标识符(id),
(d)已经执行交易的ic卡的交易总数,
(e)读写器(r/w)的标识符,以及
(f)读写器(r/w)的交易总数。
"(2)卡侧的前一交易对应卡签名302"是与在最新交易日志301中记录的最新交易之前由已经执行了最新交易日志301中记录的交易的ic卡执行的交易相对应的卡签名数据,即,与在"前一交易"中生成的前一交易相对应的卡签名数据。
"(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303"是与在最新交易日志301中记录的最新交易之前由已经执行了最新交易日志301中记录的交易的读写器(r/w)执行的交易相对应的读写器(r/w)签名数据,即,与在"前一交易"中生成的前一交易相对应的读写器(r/w)签名数据。
"(4)卡签名304"是由已经执行了记录在最新交易日志301中的交易的ic卡使用以下数据作为签名对象数据而生成的卡签名:
(1)最新交易日志301,
(2)卡侧的前一交易对应卡签名302,
(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303。
该"(4)卡签名304"是在执行最新交易时新生成的卡签名。
"(5)读写器(r/w)签名305"是由已经执行了在最新交易日志301中记录的交易的读写器(r/w)使用以下数据作为签名对象数据而生成的卡签名:
(1)最新交易日志301,
(2)卡侧的前一交易对应卡签名302,以及
(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303。
该"(5)读写器(r/w)签名305"是在执行最新交易时新生成的读写器(r/w)签名。
如上所述,带有链式签名的交易日志300包括以下数据:
(1)最新交易日志301,
(2)卡侧的前一交易对应卡签名302,
(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303,
(4)卡签名304,以及
(5)读写器(r/w)签名305。
从已经执行了与"(1)最新交易日志301"相对应的最新交易的ic卡中的存储单元(存储器)获取数据(1)至(5)中的以下数据:
(2)卡侧的前一交易对应卡签名302。
此外,从已经执行了与"(1)最新交易日志301"相对应的最新交易的读写器(r/w)中的存储单元(存储器)中获取以下数据:
(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303。
如图15所示,带有链式签名的交易日志300是通过在执行ic卡和读写器(r/w)之间的最新交易时对签名对象数据设置新的卡签名和新的读写器(r/w)签名而获得的日志数据,该签名对象数据是通过将与分别由ic卡和读写器(r/w)执行的前一交易相对应的签名数据添加到最新交易日志301而获得的数据。
注意,其中已经执行图15所示的带有链式签名的交易日志300中的如下的签名的交易不限于已经执行当前"最新交易"的ic卡和读写器(r/w)的组合:
(2)卡侧的前一交易对应卡签名302,以及
(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303。
例如,假设在"ic卡a"和"读写器(r/w)p"之间执行记录在图15所示的带有链式签名的交易日志300中的"(1)最新交易日志301"中的交易。
在这种情况下,
在"(2)卡侧的前一交易对应卡签名302"中记录的卡签名是ic卡a的签名,但已执行签名的前一交易不一定是ic卡a与读写器(r/w)p之间的交易。签名可以是ic卡a与除读写器(r/w)p以外的读写器(r/w)之间进行交易时的签名。
类似地,在"(3)读写器(r/w)侧的前一交易对应读写器(r/w)签名303"中记录的读写器(r/w)签名是读写器(r/w)p的签名,但是已执行签名的前一交易不一定是ic卡a与读写器(r/w)p之间的交易。签名可以是读写器(r/w)p与除ic卡a以外的ic卡之间进行交易时的签名。
将参考图16和随后的附图描述生成带有链式签名的交易日志300的处理的具体示例。
图16示出:
(1)ic卡组,以及
(2)读写器(r/w)组。
在(1)ic卡组中,示出了由各种用户411、412等拥有的ic卡a(ca)401、ic卡b(cb)402等。
在(2)读写器(r/w)组中,示出了安装在各种商店431、432等中的读写器p(rwp)421、读写器q(rwq)422等。
用户411、412等使用用户各自拥有的ic卡a(ca)401、ic卡b(cb)402等,在各商店431、432等中使用读写器p(rwp)421、读写器q(rwq)422等进行交易。
将参考图17描述在每个交易中生成的带有链式签名的交易日志的数据配置示例。
图17(1)是示出在ic卡a(ca)和读写器p(rwp)之间的交易(ca-rwp)中生成的带有链式签名的交易日志的数据配置的图。该日志数据包括以下数据:
(1)最新交易日志,
(2)卡ca侧的前一交易对应卡签名,
(3)读写器rwp侧的前一交易对应读写器rwp签名,
(4)卡ca签名,以及
(5)读写器rwp签名。
(1)最新交易日志是对应于ic卡a(ca)和读写器p(rwp)之间的交易(ca-rwp)的日志。
这些数据包括:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡的标识符(id),
(d)已经执行交易的ic卡的交易总数,
(e)读写器(r/w)的标识符,以及
(f)读写器(r/w)的交易总数。
(2)卡侧的前一交易对应卡签名是在ic卡a(ca)的前一交易时生成的带有链式签名的交易日志的ic卡a(ca)的签名数据,并且是从ic卡a(ca)的存储器获得的数据。
(3)读写器rwp侧的前一交易读写器rwp签名是在读写器p(rwp)的前一交易时生成的带有链式签名的交易日志的读写器p(rwp)的签名数据。
(4)卡ca签名是由ic卡a(ca)使用数据"(1)最新交易日志+(2)卡ca侧的前一交易对应卡ca签名+(3)读写器rwp侧的前一交易对应读写器rwp签名"作为签名对象数据新获得的ic卡a(ca)的签名。
(5)读写器rwp签名是由读写器p(rwp)使用"(1)最新交易日志+(2)卡ca侧的前一交易对应卡ca签名+(3)读写器rwp侧的前一交易对应读写器rwp签名"作为签名对象数据新生成的读写器p(rwp)的签名。
图17(2)是示出在ic卡b(cb)和读写器q(rwq)之间的交易(cb-rwq)中生成的带有链式签名的交易日志的数据配置的图。该日志数据包括以下数据:
(1)最新交易日志,
(2)卡cb侧的前一交易对应卡cb签名,
(3)读写器rwq侧的前一交易对应读写器rwq签名,
(4)卡cb签名,以及
(5)读写器rwq签名。
(1)最新交易日志是对应于ic卡b(cb)和读写器q(rwq)之间的交易(cb-rwq)的日志。
这些数据包括:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡的标识符(id),
(d)已经执行交易的ic卡的交易总数,
(e)读写器(r/w)的标识符,以及
(f)读写器(r/w)的交易总数。
(2)卡cb侧的前一交易对应卡cb签名是在ic卡b(cb)的前一交易时生成的带有链式签名的交易日志的ic卡b(cb)的签名数据,并且是从ic卡b(cb)的存储器获取的数据。
(3)读写器rwq侧的前一交易对应读写器rwq签名是在读写器q(rwq)的前一交易时生成的带有链式签名的交易日志的读写器q(rwq)的签名数据,并且是从读写器q(rwq)的存储器获取的数据。
(4)卡cb签名是由ic卡b(cb)使用"(1)最新交易日志+(2)卡cb侧的前一交易对应卡cb签名+(3)读写器rwq侧的前一交易对应读写器rwq签名"作为签名对象数据新生成的ic卡b(cb)的签名。
(5)读写器rwq签名是由读写器q(rwq)使用"(1)最新交易日志+(2)卡cb侧的前一交易对应卡cb签名+(3)读写器rwq侧的前一交易对应读写器rwq签名"作为签名对象数据新生成的读写器q(rwq)的签名。
图18示出了在由一个ic卡a(ca)使用各个rw执行的多个时序交易中顺序生成的带有链式签名的日志的示例。
ic卡a(ca)随着时间的流逝(t1至t4)顺序地执行图18中所示的(1)第一交易至(4)第四交易。
存在各个读写器(r/w)与ic卡a(ca)执行交易。
ic卡a(ca)在时间t1的第一交易中执行与读写器p(rwp)的交易,在时间t2的第二交易中执行与读写器q(rwq)的交易,在时间t3的第三交易中执行与读写器r(rwr)的交易,并且在时间t4的第四交易中执行与读写器s(rws)的交易。
连接图18中所示的日志的箭头是连接日志中包括的相同签名数据的线。
例如,在时间t2执行的"(2)第二交易(ca-rwq)"中记录为签名对象数据的"卡ca前一交易对应卡ca签名"是在第二交易之前执行的"(1)第一交易(ca-rwp)"中生成的日志中记录的"第一交易对应卡ca签名"。
该"第一交易对应卡ca签名"从ic卡a的存储器(ca)获取。
类似地,在时间t3执行的"(3)第三交易(ca-rwr)"中记录为签名对象数据的"卡ca前一交易对应卡ca签名"是在第三交易之前执行的"(2)第二交易(ca-rwq)"中生成的日志中记录的"第二交易对应卡ca签名"。
在时间t4执行的第四交易(ca-rws)"中记录为签名对象数据的"卡ca前一交易对应卡ca签名"是在第四交易之前执行的第三交易(ca-rwr)"中生成的日志中记录的"第三交易对应卡ca签名"。
这些签名从ic卡a(ca)的存储器中获取。
如上所述,在与一个ic卡执行的时序交易相对应地生成的多个时序日志的每一个中,包括在ic卡的前一交易中生成的签名作为后续日志的签名对象数据。
同时,图19示出了在由一个读写器p(rwp)使用各个ic卡执行的多个时序交易中顺序生成的带有链式签名的日志的示例。
读写器p(rwp)随着时间的流逝(t1至t4)顺序地执行图19所示的(1)第一交易至(4)第四交易。
存在各个ic卡与读写器p(rwp)执行交易。
读写器p(rwp)在时间t1的第一交易中执行与ic卡a(ca)的交易,在时间t2的第二交易中执行与ic卡b(cb)的交易,在时间t3的第三交易中执行与ic卡c(cc)的交易,并且在时间t4的第四交易中执行与ic卡d(cd)的交易。
连接图19中所示的日志的箭头是连接日志中包括的相同签名数据的线。
例如,在时间t2执行的"(2)第二交易(cb-rwp)"中记录为签名对象数据的"读写器rwp前一交易对应读写器rwp签名"是在第二交易之前执行的"(1)第一交易(ca-rwp)"中生成的日志中记录的"第一交易对应读写器rwp签名"。
从读写器p(rwp)的存储器获取"第一交易对应读写器rwp签名"。
类似地,在时间t3执行的"(3)第三交易(cc-rwp)"中记录为签名对象数据的"读写器rwp前一交易对应读写器rwp签名"是在第三交易之前执行的"(2)第二交易(cb-rwp)"中生成的日志中记录的"第二交易对应读写器rwp签名"。
在时间t4执行的"(4)第四交易(ca-rws)"中记录为签名对象数据的"读写器rwp前一交易对应读写器rwp签名"是在第四交易之前执行的"(3)第三交易(ca-rwr)"中生成的日志中记录的"第三交易对应读写器rwp签名"。
这些签名从读写器p(rwp)的存储器中获取。
如上所述,在与由一个读写器执行的时序交易相对应地生成的多个时序日志的每一个中,包括在读写器的前一交易中生成的签名作为后续日志的签名对象数据。
此外,将参考图20和21描述在各个不同ic卡和读写器(rw)之间执行的交易中生成的带有链式签名的交易日志的数据配置示例。
图20和21示出了在以下五个时序交易中生成的带有链式签名的交易日志的数据配置:
(1)在ic卡a(ca)和读写器p(rwp)之间的交易(ca(11)-rwp(21))中生成的带有链式签名的交易日志,
(2)在ic卡b(cb)和读写器q(rwq)之间的交易(cb(31)-rwq(41))中生成的带有链式签名的交易日志,
(3)在ic卡a(ca)和读写器q(rwq)之间的交易(ca(12)-rwq(42))中生成的带有链式签名的交易日志,
(4)在ic卡a(ca)和读写器s(rws)之间的交易(ca(13)-rws(51))中生成的带有链式签名的交易日志,以及
(5)在ic卡c(cc)和读写器q(rwq)之间的交易(cc(61)-rwq(43))中生成的带有链式签名的交易日志。
假设交易(1)是最早的交易,并且此后顺序地执行交易(2)、(3)、(4)和(5)。
注意,包括在ca(11)和rwp(21)中的数值(11)和(21)指示卡和读写器的单独交易总数。
ca(11)指示ic卡ca的第十一交易。
ic卡ca的下一个交易是ca(12),其是图20(3)所示的交易。
类似地,rwp(20)指示读写器p(rwp)的第二十交易。读写器p(rwp)的下一交易是rwp(21)。这个交易未在图20和21中示出。
连接交易日志的箭头是连接设置到先前日志的签名和记录在后续日志中的前一交易对应日志的箭头,并且指示这些日志具有相同的签名数据。
图20(1)所示的在第一交易(ca(11)-rwp(21))中生成的带有链式签名的交易日志的记录数据如下:
(a)第一交易日志(ca(11)-rwp(21)),
(b)卡ca前一交易(ca(10)-?)对应卡签名[casig(10)],
(c)读写器rwp前一交易(?-rwp(20))对应读写器(r/w)签名[rwpsig(20)],
(d)第一交易对应卡ca签名[casig(11)],以及
(e)读写器(r/w)签名[rwpsig(21)]。
(a)第一交易日志(ca(11)-rwp(21))记录诸如交易日期和时间以及金额的交易日志信息。注意,(ca(11)-rwp(21))指示ic卡(ca)的第十一交易和读写器(rwp)的第二十一交易的交易日志。
(b)卡ca前一交易(ca(10)-?)对应卡签名[casig(10)]记录设置给在ic卡(ca)的前一交易(即,ic卡(ca)的第十交易)时生成的带有链式签名的交易日志。
签名[casig(10)]指示在ic卡(ca)的第十交易时生成的签名。
注意,交易(ca(10)-?)指示ic卡(ca)的第十交易并且指示未指定读写器(rw)。实际上,签名是在与特定读写器(rwx)的交易中生成的签名。
(c)读写器rwp前一交易(?-rwp(20))对应读写器(r/w)签名[rwpsig(20)]指示在读写器p(rwp)的第二十交易时生成的签名。
注意,交易(?-rwp(20))是读写器p(rwp)的第二十交易,并且ic卡=?指示未图示的ic卡。实际上,签名是在与特定ic卡的交易中生成的签名。
(d)第一交易对应卡ca签名[casig(11)]是在生成该日志的第一交易(ca(11)-rwp(21))中新生成的ic卡a(ca)的签名。
(e)读写器(r/w)签名[rwipsis(21)]是在生成该日志的第一交易(ca(11)-rwp(21))中新生成的读写器p(rwp)的签名。
(d)第一交易对应卡ca签名[casig(11)],和
(e)读写器(r/w)签名[rwpsig(21)]
是通过使用以下数据(a)至(c)作为签名对象数据而设置的签名:
(a)第一交易日志(ca(11)-rwp(21)),
(b)卡ca前一交易(ca(10)-?)对应卡签名[casig(10)],和
(c)读写器rwp前一交易(?-rwp(20))对应读写器(r/w)签名[rwpsig(20)]。
在下文中,在(2)第二交易至(5)第五交易中生成类似的带有链式签名的交易日志。
注意,该带有链式签名的交易日志被存储在已经执行了其中生成有带有链式签名的交易日志的交易的ic卡和读写器两者的存储单元(存储器)中。
在图20所示的示例中,图20(3)所示的在第三交易(ca(12)-rwq(42))中生成的带有链式签名的交易日志中的以下签名数据,即,
(b)卡ca前一交易(第一交易)对应卡签名[casig(11)]
是与在(1)第一交易中生成的带有链式签名的交易日志中的第一交易对应卡ca签名[casig(11)]相匹配的数据。
类似地,图20(3)所示的第三交易(ca(12)-rwq(42))的具有链式签名的交易日志中的以下签名数据,即,
(c)读写器rwq前一交易(第二交易)对应读写器rwq[rwqsig(41)]
是与在(2)第二交易中生成的带有链式签名的交易日志中的第二交易对应读写器rwq签名[rwqsig(41)]相匹配的数据。
图21示出了与图20中示出的(3)第三交易的日志类似的日志以及第四和第五交易对应的带有链式签名的交易日志。
在图21所示的示例中,图21(4)所示的在第四交易(ca(13)-rws(51))中生成的带有链式签名的交易日志中的以下签名数据,即,
(b)卡ca前一交易(第三交易)对应卡签名[casig(12)]
是与在(3)第三交易中生成的带有链式签名的交易日志中的第三交易对应卡ca签名[casig(12)]相匹配的数据。
类似地,图21(5)所示的第五交易(cc(61)-rwq(43))的带有链式签名的交易日志中的以下签名数据,即,
(c)读写器rwq前一交易(第三交易)对应读写器(r/w)签名[rwqsig(42)]
是与在(3)第三交易中生成的带有链式签名的交易日志中的第三交易对应读写器rwq签名[rwsig(42)]相匹配的数据。
如上所述,对于与时序交易相对应地生成的带有链式签名的交易日志中的每一个,添加并记录由在紧接交易之前执行的交易时执行交易的ic卡和读写器生成的签名(ic卡侧的前一交易ic卡签名和rw侧的前一交易rw签名)。此外,使用包括两个前一交易对应签名数据和日志数据的数据作为签名对象数据,附加地设置新的ic卡签名和新的读写器(r/w)签名。
也就是说,如图22所示,在带有链式签名的交易日志中附加地记录与执行了与该带有链式签名的交易日志对应的交易的ic卡和读写器(r/w)的各前一交易对应的签名。
此外,将新生成的ic卡和读写器(r/w)的签名附加地记录在在新交易时生成的带有链式签名的交易日志中,并且将这些签名进一步记录在随后的日志中。
如上所述,带有链式签名的交易日志具有ic卡和读写器(r/w)的签名被设置为下一个日志中的签名对象数据,并且签名数据在日志之间连接的链式配置。
在对这种带有链式签名的交易日志的签名验证中,进行对在带有链式签名的交易日志中新生成的签名的验证,并且,还执行关于在带有链式签名的交易日志中作为签名对象数据记录的前一交易对应卡签名和读写器签名是否与在实际的前一交易时生成的带有链式签名的交易日志中记录的签名匹配的验证处理。
在签名不匹配的情况下,判定在要验证的带有链式签名的交易日志中的篡改的可能性,并且采取停止结算处理等的措施。
图23是用于描述在使用带有链式签名的交易日志的情况下数据篡改的难度的图。
图23示出了根据时间顺序的三个交易的交易x、y和z。
交易x是ic卡a(ca)和读写器q(rwq)之间的交易。
交易y是ic卡a(ca)和读写器p(rwp)之间的交易。
交易z是ic卡b(cb)和读写器q(rwq)之间的交易。
例如,在交易y中生成的带有链式签名的交易日志在ic卡a(ca)和读写器p(rwp)之间设置有新的签名数据。
此外,ic卡a(ca)的前一交易对应卡签名和读写器p(rwp)的前一交易对应读写器签名被作为签名对象数据记录。
ic卡a(ca)的前一交易对应卡签名是由ic卡a(ca)在所示交易x中生成的签名。
此外,在交易z中生成的带有链式签名的交易日志在ic卡b(cb)和读写器q(rwq)之间设置有新的签名数据。
此外,将ic卡b(cb)的前一交易对应卡签名和读写器q(rwq)的前一交易对应读写器签名记录为签名对象数据。
读写器q(rwq)的前一交易对应读写器签名是由读写器q(rwq)在所示交易x中生成的签名。
图23示出了,作为交易y中的签名对象数据,ic卡a(ca)侧的签名仅是由ic卡a(ca)在交易x中生成的签名。但是,交易y中的签名对象数据包括由读写器p(rwp)在交易x之前的交易中生成的签名。
类似地,交易z中的签名对象数据不仅包括由读写器q(rwq)在交易x中生成的签名,还包括由ic卡b(cb)在交易x之前的交易中生成的签名。
例如,当在交易z日志的ic卡bicb和读写器qrwq的签名验证处理中,判定验证成立时,
确认作为交易z日志的签名对象数据的日志数据以及ic卡b(icb)和读写器q(rwq)的前一签名的合法性(非篡改)。
此外,验证者检查在交易z日志中的签名对象数据中记录的ic卡b(icb)的前一交易对应签名是否与从提供有前一交易对应签名作为新的签名的前一交易的带有链式签名的交易日志获取的签名匹配。
在签名不匹配的情况下,判定
交易日志z的签名对象数据或签名被篡改,或者
在交易日志z中作为签名对象数据而存储的签名首次被记录的前一交易日志的签名或签名对象数据被篡改。
如上所述,如果带有链式签名的交易日志的部分数据被篡改,则在多个带有链式签名的交易日志的签名中出现不一致,并且在保持一致性的同时篡改数据是极其困难或不可能的。
也就是说,通过使用带有链式签名的交易日志,可以增强对篡改的抵抗力。
接下来,将参考图24和25描述生成、发送和验证带有链式签名的交易日志的处理序列。
与上述图1类似,图24和25示出了上述图1中示出的三个配置元件,即ic卡10、读写器(r/w)20和管理服务器30,并且按时间顺序示出了设备之间的通信和设备执行的处理。
注意,在设备之间发送/接收的数据有利地是加密数据。
将顺序描述图24和25中所示的步骤的处理。
(步骤s401)
首先,在步骤s401中,读写器(r/w)20根据交易金额执行更新ic卡10的余额的处理。
注意,在余额更新处理中,ic卡10和读写器(r/w)20执行用于确认相互合法性的认证处理。在认证成立的条件下执行余额更新处理。
(步骤s402)
接下来,在步骤s402中,读写器(r/w)20将交易日志生成数据发送到ic卡10。
如以上参考图3所述,交易日志包括例如以下数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
在数据(a)至(f)中,例如,这些数据:
(c)已经执行交易的ic卡10的标识符(id),以及
(d)已经执行交易的ic卡10的交易总数
由ic卡本身保持。从读写器(r/w)20接收未被ic卡10保持的其他数据。
此外,在本示例中,读写器(r/w)20将与该交易之前的前一交易相对应的读写器签名作为交易日志生成数据发送给ic卡10。
该数据是与记录在上述图15所示的带有链式签名的交易日志300中的"读写器(r/w)侧的前一交易对应读写器(r/w)签名303"相对应的数据。
与前一交易相对应的读写器签名被存储在读写器(r/w)20的存储单元中。
(步骤s403)
接下来,在步骤s403中,ic卡10生成交易日志。
由ic卡10生成的交易日志包括以下数据。
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
(步骤s404)
此外,在步骤s404中,ic卡10获取设置到在该ic卡10进行的交易之前的前一交易中生成的日志的卡签名。
该数据是与记录在上述图15所示的带有链式签名的交易日志300中的"卡侧的前一交易对应卡签名302"相对应的数据。
对应于前一交易的卡签名被存储在ic卡10的存储单元中。
(步骤s405)
接下来,在步骤s405中,ic卡10使用
在步骤s403中生成的"日志数据"、
从读写器20获取的"读写器(r/w)侧的前一交易对应读写器(r/w)签名"、以及
从ic卡10的存储单元获取的"卡侧的前一交易对应卡签名"
作为签名对象数据执行签名(ic卡签名)。
该签名数据是与记录在上述图15所示的带有链式签名的交易日志300中的"卡签名304"对应的数据。
(步骤s406)
接下来,在步骤s406中,ic卡10将带有ic卡签名的交易日志发送到读写器(r/w)20。
(步骤s407)
接着,在步骤s407中,读写器(r/w)20向从ic卡10接收到的带有卡签名的交易日志提供签名(读写器(r/w)签名)。签名对象数据为:
在步骤s403中由ic卡10生成的"日志数据"、
"读写器(r/w)侧的前一交易对应读写器(r/w)签名"、以及
ic卡10的"卡侧的前一交易对应卡签名"。
读写器(r/w)20使用上述数据作为签名对象数据来执行签名(读写器(r/w)签名)。
该签名数据是与记录在上述图15所示的带有链式签名的交易日志300中的"读写器签名305"相对应的数据。
通过签名处理,生成以上参照图15等描述的"带有链式签名的交易日志300"。
(步骤s408)
接下来,在步骤s408中,读写器(r/w)20将带有链式签名的交易日志发送到ic卡10。
(步骤s409和s410)
在步骤s409和s410中,ic卡10和读写器(r/w)20将带有链式签名的交易日志存储在各个存储单元(存储器)中。
(步骤s411)
接着,在步骤s411中,读写器(r/w)20将带有链式签名的交易日志发送到管理服务器30。
注意,在ic卡10具有能够经由诸如智能电话的网络进行通信的配置的情况下,例如,ic卡10本身可以直接将带有链式签名的交易日志发送到管理服务器30。
此外,可以将读写器(r/w)20和ic卡10中的每一个设置为向管理服务器30发送相同的日志。
(步骤s412)
在步骤s412中,当从读写器(r/w)20接收到带有链式签名的交易日志时,管理服务器30对带有链式签名的交易日志执行签名验证处理。
对设置到带有链式签名的交易日志的两个签名(即,卡签名和读写器(r/w)签名)执行签名验证处理。
在签名是根据公开密钥密码系统的签名的情况下,执行以上参照图6(1b)描述的根据公开密钥密码系统的签名验证处理。
同时,在签名是根据共用密钥密码系统的签名的情况下,执行以上参照图7(2b)描述的根据共用密钥密码系统的签名验证处理。
在两个签名验证成立的情况下,即判定没有日志信息的数据篡改的情况下,此外,执行
作为带有链式签名的交易日志的签名对象数据而记录的"卡侧的前一交易对应卡签名"是否与
"与提供有上述卡签名作为新签名的卡侧的前一交易相对应的带有链式签名的交易日志的卡签名"匹配的签名匹配处理。
此外,还进行
作为带有链式签名的交易日志的签名对象数据而记录的"读写器侧的前一交易对应读写器签名"是否与
"与提供有上述读写器签名作为新签名的读写器侧的前一交易相对应的带有链式签名的交易日志的读写器签名"匹配的签名匹配处理。
在对设置到带有链式签名的交易日志的两个签名的验证(即,卡签名和读写器(r/w)签名的验证)成立,并且在上述两个签名匹配处理中判定匹配成立的情况下,处理进行到下一步骤s414。
另一方面,在两个签名验证中的至少一个未成立的情况下,或者在上述两个签名匹配处理中的至少一个的验证未成立的情况下,判定日志信息的数据篡改,并且停止处理而不进行到下一步骤s414。在这种情况下,例如,管理服务器30可以向读写器(r/w)20通知错误消息。
(步骤s414)
在步骤s413中,在对设置到带有链式签名的交易日志的两个签名的验证(即卡签名和读写器(r/w)签名的验证)成立,并且在上述两个签名匹配处理中判定匹配成立的情况下,判定没有日志信息的数据篡改,并且处理进行到下一步骤s414。
在步骤s414中,管理服务器30将从读写器(r/w)20接收的带有链式签名的交易日志存储在数据库中。
(步骤s415)
接下来,在步骤s415中,管理服务器30向读写器20发送处理完成通知。
根据该顺序,执行使用ic卡10的交易、交易日志的生成和数据库存储处理。
管理服务器30基于存储在数据库中的交易日志信息,执行实际结算处理,例如,将交易金额从ic卡10的所有者用户11的账户移动到商店21的账户等的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
在本示例中,由ic卡10执行交易日志的生成。此外,使用通过将ic卡10的前一交易日志的签名和读写器(r/w)20的前一交易日志的签名数据作为签名对象数据包括在交易日志信息中而获得的数据,生成ic卡10和读写器(r/w)20都已设置签名的带有链式签名的交易日志。
管理服务器30接收带有链式签名的交易日志,并对ic卡10和读写器(r/w)20执行两次签名验证。
此外,执行关于"卡侧的前一交易对应卡签名"是否与"与提供有上述卡签名作为新签名的卡侧的前一交易对应的带有链式签名的交易日志的卡签名"匹配的签名匹配处理。
此外,执行关于作为带有链式签名的交易日志的签名对象数据记录的"读写器侧的前一交易对应读写器签名"是否与"与提供有上述读写器签名作为新签名的读写器侧的前一交易对应的带有链式签名的交易日志的读写器签名"匹配的签名匹配处理。
在所有签名验证处理和签名匹配处理成立的情况下,交易日志被判定为合法而未被篡改。
在该示例中,交易日志的篡改是极其困难的,并且可以更可靠地维持日志的合法性。
[6.(示例5)应用了根据不同密码系统的签名的多个管理系统共存的情况下的处理示例]
接下来,将描述应用了根据不同密码系统的签名的多个管理系统共存的情况下的处理示例作为示例5。
如示例1至4所述,将ic卡和读写器(r/w)的签名设置到交易日志中,并且管理服务器验证这些签名。
签名验证处理需要验证密钥。
在签名是根据公开密钥密码系统的签名的情况下,执行以上参照图6(1b)描述的根据公开密钥密码系统的签名验证处理。
同时,在签名是根据共用密钥密码系统的签名的情况下,签名验证处理被执行为上述图7(2b)描述的根据共用密钥密码系统的签名验证处理。
在根据公开密钥密码系统的签名验证处理中,可以使用作为基本上对公众开放的密钥的公开密钥。
但是,在根据共用密钥密码系统的签名验证处理中,需要执行应用不对公众开放的共用密钥(即仅由预先选择的签名生成部和签名验证部保持的共用密钥)的签名验证处理。
没有保持共用密钥的服务器不能使用共用密钥执行签名验证处理。
因此,在存在多个交易管理系统,并且分别存在在各个交易管理系统中进行签名验证处理的管理服务器的配置中,会产生以下问题。
在允许应用共用密钥的签名的管理系统a侧的ic卡或读写器执行应用共用密钥的签名的情况下,未保持共用密钥的管理系统b侧的管理服务器不能执行签名验证。
解决该问题的配置是下述的示例5。
将参考图26描述发生问题的交易日志的示例和具有解决该问题的配置的交易日志的配置示例。
图26示出以下两个数据配置示例:
(1)具有签名验证变得不可能的问题的交易日志的数据配置示例,以及
(2)解决签名验证变得不可能的问题的交易日志的数据配置示例。
图26(1)所示的具有签名验证变得不可能的问题的交易日志的数据配置示例包括以下数据:
(a)交易日志信息,
(b)运营商a对应卡签名(共用密钥密码系统签名(mac)),以及
(c)运营商b对应读写器签名(公开密钥密码系统签名)。
该交易日志数据是在保持与运营商a相对应的ic卡的用户在拥有与运营商b相对应的读写器的商店购物的情况下生成的交易日志数据。
运营商a采用在共用密钥密码系统中进行签名的系统,并且属于运营商a的组的ic卡、读写器(r/w)和管理服务器都保持要应用于签名生成和验证的共用密钥。
然而,运营商b采用在公开密钥密码系统中执行签名的系统,并且属于运营商b的组的ic卡、读写器(r/w)和管理服务器都没有保持由运营商a侧的设备保持的共用密钥。
因此,对于图26(1)所示的日志数据中所包括的"运营商a对应卡签名(共用密钥密码系统签名(mac))",运营商b侧的管理服务器不能执行签名验证处理。
解决该问题的配置是解决签名验证变得不可能的问题的交易日志的数据配置示例,如图26(2)所示。该日志数据包括以下数据:
(a)交易日志信息,
(b)运营商a对应卡签名(共用密钥密码系统签名(mac)),以及
(c)运营商b对应读写器签名(公开密钥密码系统签名),以及
(d)运营商a管理服务器签名(公开密钥密码系统签名)。
该交易日志数据具有
(d)运营商a管理服务器签名(公开密钥密码系统签名)
的签名数据被添加到图26(1)所示的数据中的配置。
首先,运营商a的管理服务器对图26(1)所示的日志数据执行签名验证。
也就是说,运营商a的管理服务器执行以下两个签名的验证处理:
(b)运营商a对应卡签名(共用密钥密码系统签名(mac)),以及
(c)运营商b对应读写器签名(公开密钥密码系统签名)。
运营商a的管理服务器保持共用密钥,并且公开密钥是对公众开放且任何人都可以获取的密钥。因此,管理服务器可以对两个签名进行验证。
在运营商a的管理服务器对以下两个签名执行验证处理
(b)运营商a对应卡签名(共用密钥密码系统签名(mac)),以及
(c)运营商b对应读写器签名(公开密钥密码系统签名),
并且两个签名验证成立,且判定日志数据没有被篡改的情况下,
(d)运营商a的管理服务器在公开密钥密码系统中执行签名。
注意,预先向运营商a的管理服务器提供在运营商b所应用的公开密钥密码系统中生成签名所需的秘密密钥。
通过生成具有图26(2)所示数据(即以下数据)的日志数据,
(a)交易日志信息,
(b)运营商a对应卡签名(共用密钥密码系统签名(mac)),
(c)运营商b对应读写器签名(公开密钥密码系统签名),以及
(d)运营商a管理服务器签名(公开密钥密码系统签名),
不具有共用密钥的运营商b侧的运营商b的管理服务器对以下两个签名进行签名验证:
(c)运营商b对应读写器签名(公开密钥密码系统签名),以及
(d)运营商a管理服务器签名(公开密钥密码系统签名),
从而判定日志数据的合法性(存在或不存在篡改)。
接下来,将参考图27和28中所示的序列图来描述本示例5中的交易日志生成和验证序列。
图27和28从左边起示出了以下四个设备。
示出了ic卡a10、读写器b(r/w)20、管理服务器b50和管理服务器a30。
ic卡a10和管理服务器a30属于通过应用共用密钥进行签名生成和验证的共用密钥应用组(共用密钥g)。
同时,读写器b(r/w)20和管理服务器b50属于通过应用公开密钥和秘密密钥来执行签名生成和验证的公开密钥应用组(公开密钥g)。
图27和28中所示的序列图示出了设备之间的通信以及由设备按时间顺序执行的处理。
注意,在设备之间发送/接收的数据有利地是加密数据。
将顺序描述图27和28中所示的步骤的处理。
注意,假定在步骤s501之前已经在ic卡a10和读写器b(r/w)20之间执行了交易。
(步骤s501)
在步骤s501中,ic卡a10生成其中设置了卡签名的交易日志。
由ic卡a10生成的交易日志包括上面参考图3描述的数据,即,以下数据:
(a)交易日期和时间,
(b)交易金额,
(c)已经执行交易的ic卡10的标识符(id),
(d)已经执行交易的ic卡10的交易总数,
(e)读写器(r/w)20的标识符,以及
(f)读写器(r/w)20的交易总数。
ic卡a10使用数据(a)至(f)作为签名对象数据,执行应用共用密钥的签名(mac)生成处理。
(步骤s502)
接下来,在步骤s502中,ic卡a10将带有卡签名的交易日志发送到读写器(r/w)b20。
(步骤s503)
接下来,在步骤s503中,读写器(r/w)b20向从ic卡a10接收的带有卡签名的交易日志提供签名(读写器(r/w)签名)。
签名是根据公开密钥密码系统的签名,并且是秘密密钥被应用到的签名。
签名对象数据是交易日志构成数据。
通过签名处理,生成以上参考图26(1)描述的交易日志数据。
(步骤s504)
接下来,在步骤s504中,读写器(r/w)b20向作为与读写器(r/w)b20相同的运营商组的组b的管理服务器b50发送带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)的交易日志。
(步骤s505)
当从读写器(r/w)b20接收到带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)的交易日志时,管理服务器b50检查在日志中包括了共用密钥密码系统中不能被验证的签名(卡签名(共用密钥系统)),并且基于该检查将日志数据传送到作为在共用密钥密码系统中执行签名验证的运营商组的组a的管理服务器a30。
(步骤s506)
在步骤s506中,管理服务器a30对从管理服务器b50接收到的带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)的交易日志执行签名验证处理。
管理服务器a30执行对卡签名(共用密钥系统)应用共用密钥的签名验证处理,并执行对读写器(rw)签名(公开密钥系统)应用公开密钥的签名验证处理。
在两个签名验证成立(即,判定没有日志信息的数据篡改)的情况下,处理进行到下一步骤s507。
另一方面,在两个签名验证中的至少一个不成立的情况下,判定日志信息的数据篡改,并且停止处理而不进行到下一步骤s507。在这种情况下,例如,管理服务器b或50可以向读写器(r/w)b或20通知错误消息。
(步骤s507)
在步骤s506中执行的两个签名验证成立并且判定没有日志信息的数据篡改的情况下,处理进行到下一步骤s507。
在步骤s507中,管理服务器a30对从读写器(r/w)b20接收的"带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)的交易日志"执行根据公开密钥密码系统的签名(管理服务器a签名)。
管理服务器a30预先获取用于执行根据公开密钥密码系统的签名的秘密密钥,并通过应用该秘密密钥来执行签名。
通过签名处理,生成图26(2)所示的日志数据。也就是说,生成"带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)和服务器签名(公开密钥系统)的交易日志"。
(步骤s508)
接下来,在步骤s508中,管理服务器a30将在步骤s507中生成的"带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)和服务器签名(公开密钥系统)的交易日志"发送到管理服务器b50。
(步骤s509)
接下来,在步骤s509中,管理服务器b50对在步骤s508中从管理服务器a30接收到的"带有卡签名(共用密钥系统)和读写器(rw)签名(公开密钥系统)和服务器签名(公开密钥系统)的交易日志"中所包括的根据公开密钥密码系统的读写器(rw)签名和服务器签名(公开密钥系统)执行签名验证处理。
在这两个签名验证成立的情况下,判定日志数据未被篡改。
管理服务器b50基于交易日志信息执行实际结算处理,例如,将交易金额从ic卡a10的所有者用户的账户移动到读写器b20的商店的账户的结算处理。或者,在一些情况下,管理服务器30基于日志信息向其他结算服务器通知交易信息,并且结算服务器执行结算处理。
如上所述,通过应用本示例的配置,未保持共用密钥的管理服务器可以验证日志数据的签名,并且可以可靠地确认日志数据的篡改的存在或不存在。
[7.信息处理装置的硬件配置示例]
接下来,将参考图29描述构成根据本公开的信息处理系统的每个信息处理装置的硬件配置示例。
图29是示出用户使用的ic卡10和读写器20的配置示例的框图。
ic卡10包括控制单元501、认证处理单元502、通信单元503和存储单元504。
控制单元501执行在ic卡10中执行的数据处理的控制,诸如由各个功能单元执行的各种类型的处理的整体控制以及数据发送/接收控制。控制单元501包括具有程序执行功能的cpu,并且根据存储在存储单元504中的程序等执行处理。
例如,控制单元501执行根据上述序列的处理等。
具体地,例如,控制单元501执行关于与读写器20的通信和结算处理的控制,并且执行日志生成、签名生成处理等。
认证处理单元502执行认证处理。具体地,认证处理单元502执行在与读写器20通信时执行的认证处理。
通信单元503是执行与读写器20的通信的通信单元,此外,通信单元503可以被设置为能够与服务器30通信的通信单元。
存储单元504包括ram、rom等。
存储单元504用作各种数据的存储区域。例如,存储单元504用作日志数据和签名密钥的存储区域。此外,存储单元504还用作由控制单元501执行的程序的存储区域、例如应用于由控制单元501执行的数据处理的参数的存储区域、以及工作区域。
接下来,将描述读写器20的配置。读写器20包括控制单元521、认证处理单元522、显示单元523、时钟单元524、输入单元(操作单元)525、输出单元526、存储单元527和通信单元528。
控制单元521执行对在读写器20中执行的数据处理的控制,诸如对由各个功能单元执行的各种类型的处理的整体控制以及数据发送/接收控制。控制单元521包括具有程序执行功能的cpu,并且根据存储在存储单元527中的程序等执行处理。
例如,执行根据上述顺序的处理等。
具体地,例如,控制单元521执行关于与ic卡10的通信和结算处理的控制,并且执行日志生成、签名生成处理等。
认证处理单元522执行认证处理。具体地,认证处理单元522执行在与ic卡10或管理服务器30通信时执行的认证处理。
显示单元523还用作各种类型的信息的显示处理或触摸面板输入单元。
例如,时钟单元524包括指示当前日期和时间信息的时钟功能、测量从某个设置时间起经过的时间的定时器功能等。
输入单元525是用户能够操作的输入单元,并且用于执行各种操作指令等。触摸面板显示单元也是输入单元的一部分。
输出单元526包括用于图像输出、声音输出和外部设备等的输出单元。显示单元523也是输出单元526的配置元件之一。
存储单元527包括ram、rom、其它记录介质等。
存储单元527用作各种数据的存储区域。例如,存储单元527用作日志数据和签名密钥的存储区域。此外,存储单元527还用作由控制单元521执行的程序的存储区域、例如应用于由控制单元521执行的数据处理的参数的存储区域、以及工作区域。
通信单元528是执行与ic卡10和诸如管理服务器30的外部服务器的外部设备的通信的通信单元。
接下来,将参考图30描述可用作构成根据本公开的信息处理系统的服务器的信息处理装置的硬件配置示例。
注意,在ic卡功能内置在诸如智能电话的用户设备中的配置的情况下,智能电话的硬件配置可以是与图30所示的配置类似的配置。
将描述图30中所示的配置。
中央处理单元(cpu)701用作控制单元和数据处理单元,其根据存储在只读存储器(rom)702或存储单元708中的程序执行各种类型的处理。例如,cpu701执行根据上述示例中描述的序列的处理。随机存取存储器(ram)703存储由cpu701执行的程序、数据等。这些cpu701、rom702和ram703通过总线704相互连接。
cpu701经由总线704连接到输入/输出接口705,并且包括各种开关、键盘、鼠标、麦克风等的输入单元706和包括显示器、扬声器等的输出单元707连接到输入/输出接口705。例如,cpu701执行与从输入单元706输入的命令相对应的各种类型的处理,并且将处理结果输出到输出单元707。
连接到输入/输出接口705的存储单元708包括例如闪存、硬盘等,并且存储由cpu701执行的程序和各种数据。通信单元709用作经由诸如因特网或局域网的网络的wi-fi通信、蓝牙(注册商标)(bt)通信或其他数据通信的发送/接收单元,并与外部设备进行通信。
连接到输入/输出接口705的驱动器710驱动诸如磁盘、光盘、磁光盘或诸如存储卡的半导体存储器的可移除介质711,并执行数据记录或读取。
[8.本公开的配置的结论]
已经参考具体示例详细描述了本公开的示例。然而,显而易见的是,本领域技术人员可以在不背离本公开的主旨的情况下对示例进行修改和替换。也就是说,本发明已经以示例的形式公开,并且不应该被限制性地解释。为了判断本公开的要旨,应当考虑权利要求的范围。
注意,本说明书中公开的技术可以具有以下配置。
(1)一种信息处理装置,其是被配置为执行与第二信息处理装置的通信的第一信息处理装置,所述信息处理装置包括:
控制单元,被配置为执行与所述第二信息处理装置的通信以生成交易日志,其中
所述控制单元
从第二信息处理装置接收生成交易日志所需的日志构成信息,
使用所接收的数据生成交易日志,以及
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并且将所生成的带有卡签名的交易日志发送给第二信息处理装置或管理服务器。
(2)根据(1)所述的信息处理装置,其中
所述控制单元
从第二信息处理装置接收第二信息处理装置标识符和第二信息处理装置对应交易总数作为所述日志构成信息。
(3)根据(1)或(2)所述的信息处理装置,其中
所述控制单元
对包括交易日期和时间、交易金额、第一信息处理装置标识号、第一信息处理装置对应交易总数、第二信息处理装置标识符和第二信息处理装置对应交易总数的交易日志执行签名处理,以生成带有卡签名的交易日志。
(4)根据(1)至(3)中任一项所述的信息处理装置,其中
第一信息处理装置是ic卡或具有ic卡功能的便携式终端,以及
第二信息处理装置是读写器。
(5)根据(1)至(4)中任一项所述的信息处理装置,其中
第一信息处理装置包括
存储单元,被配置为存储过去生成的带有卡签名的交易日志,以及
所述控制单元
将包括生成的新的带有卡签名的交易日志和从所述存储单元获取的过去的带有卡签名的交易日志的带有卡签名的交易日志历史数据发送给第二信息处理装置或管理服务器。
(6)一种信息处理系统,包括:第一信息处理装置和第二信息处理装置,其中
第一信息处理装置
从第二信息处理装置接收生成交易日志所需的日志构成信息,
使用所接收的数据生成交易日志,以及
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并将所生成的带有卡签名的交易日志发送给第二信息处理装置,以及
第二信息处理装置
对从第一信息处理装置接收到的带有卡签名的交易日志中所包括的交易日志数据执行签名处理,以生成带有卡签名和读写器签名的交易日志,并将带有卡签名和读写器签名的交易日志发送给管理服务器。
(7)根据(6)所述的信息处理系统,其中
所述管理服务器
对设置到从第二信息处理装置接收到的带有卡签名和读写器签名的交易日志的卡签名和读写器签名执行签名验证,并且在两个签名验证成立的条件下判定所生成的交易日志合法。
(8)根据(6)或(7)所述的信息处理系统,其中
所述带有卡签名和读写器签名的交易日志是
包括交易日期和时间、交易金额、第一信息处理装置标识号、第一信息处理装置对应交易总数、第二信息处理装置标识符和第二信息处理装置对应交易总数的交易日志数据,以及
包括对于所述交易日志的由第一信息处理装置的卡签名和由第二信息处理装置的读写器签名的数据。
(9)根据(6)至(8)中任一项所述的信息处理系统,其中
第二信息处理装置
将所述带有卡签名和读写器签名的交易日志发送给第一信息处理装置,以及
第一信息处理装置
将包括从第二信息处理装置接收的所述带有卡签名和读写器签名的交易日志以及从存储单元获取的过去的带有卡签名和读写器签名的交易日志的带有卡签名和读写器签名的交易日志历史数据发送给第二信息处理装置或所述管理服务器。
(10)一种信息处理装置,其是被配置为执行与第二信息处理装置的通信的第一信息处理装置,所述信息处理装置包括:
控制单元,被配置为执行与第二信息处理装置的通信以生成交易日志,其中
所述控制单元
从第二信息处理装置接收生成交易日志所需的日志构成信息,
使用所接收的数据生成交易日志,以及
对包括所生成的交易日志和与该交易日志的生成之前的过去前一交易对应的签名数据的数据执行新的签名处理,以生成带有链式签名的交易日志,并将所生成的带有链式签名的交易日志发送给第二信息处理装置或所述管理服务器。
(11)根据(10)所述的信息处理装置,其中
所述控制单元
从第二信息处理装置接收第二信息处理装置侧的前一交易对应读写器签名,以及
对包括所生成的交易日志、与交易日志的生成之前的过去前一交易对应的信息处理装置自身的签名数据、以及第二信息处理装置侧的前一交易对应读写器签名的数据执行新的签名处理,以生成带有链式签名的交易日志。
(12)一种信息处理系统,包括:第一信息处理装置和第二信息处理装置,其中
第一信息处理装置
从第二信息处理装置接收生成交易日志所需的日志构成信息和第二信息处理装置侧的前一交易对应读写器签名,以及
对以下数据(a)至(c)执行新的卡签名处理:
(a)使用所接收的数据生成的交易日志,
(b)第一信息处理装置侧的前一交易对应卡签名,以及
(c)第二信息处理装置侧的前一交易对应读写器签名,
并将添加有所生成的签名数据的交易日志发送给第二信息处理装置,以及
第二信息处理装置
对包括在从第一信息处理装置接收的数据中的以下数据(a)至(c)执行新的读写器签名处理:
(a)交易日志,
(b)第一信息处理装置侧的前一交易对应卡签名,以及
(c)第二信息处理装置侧的前一交易对应读写器签名,
以生成带有链式签名的交易日志,以及
将生成的带有链式签名的交易日志发送给管理服务器。
(13)根据(12)所述的信息处理系统,其中
第一信息处理装置和第二信息处理装置
将与过去的交易对应的带有链式签名的交易日志存储在存储单元中,以及
在生成新的带有链式签名的交易日志时,从存储在存储单元中的与前一交易对应的带有链式签名的交易日志中获取签名,并将获取的签名设置为新的带有链式签名的交易日志的签名对象数据。
(14)根据(12)或(13)所述的信息处理系统,其中
所述管理服务器
对包括在所接收的带有链式签名的交易日志中的卡签名和读写器签名执行签名验证,并且
执行包括在卡签名和读写器签名的签名对象数据中的:
(1)第一信息处理装置侧的前一交易对应卡签名,以及
(2)第二信息处理装置侧的前一交易对应读写器签名
与设置有上述签名(1)和(2)的过去的带有链式签名的交易日志的签名之间的匹配处理。
(15)一种在执行与第二信息处理装置的通信的第一信息处理装置中执行的信息处理方法,
第一信息处理装置包括
控制单元,被配置为执行与所述第二信息处理装置的通信以生成交易日志,
所述信息处理方法包括:
通过所述控制单元,
从第二信息处理装置接收生成交易日志所需的日志构成信息;
使用所接收的数据生成所述交易日志;以及
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并将所生成的带有卡签名的交易日志发送给读写器或管理服务器。
(16)一种在执行与第二信息处理装置的通信的第一信息处理装置中执行的信息处理方法,
第一信息处理装置包括
控制单元,被配置为执行与第二信息处理装置的通信以生成交易日志,
所述信息处理方法包括:
通过所述控制单元,
从第二信息处理装置接收生成交易日志所需的日志构成信息;
使用所接收的数据生成所述交易日志;以及
对包括所生成的交易日志和与该交易日志的生成之前的过去前一交易对应的签名数据的数据执行新的签名处理,以生成带有链式签名的交易日志,并且将所生成的带有链式签名的交易日志发送给第二信息处理装置或管理服务器。
(17)一种用于使与第二信息处理装置执行通信的第一信息处理装置执行信息处理的程序,
第一信息处理装置包括
控制单元,被配置为执行与所述第二信息处理装置的通信以生成交易日志,
所述程序用于使所述控制单元执行:
从第二信息处理装置接收生成交易日志所需的日志构成信息的处理;
使用接收到的数据生成交易日志的处理;
对所生成的交易日志执行签名处理以生成带有卡签名的交易日志的处理;以及
将所生成的带有卡签名的交易日志发送给第二信息处理装置或管理服务器的处理。
(18)一种用于使与第二信息处理装置执行通信的第一信息处理装置执行信息处理的程序,
第一信息处理装置包括
控制单元,被配置为执行与第二信息处理装置的通信以生成交易日志,
所述程序用于使所述控制单元执行:
从第二信息处理装置接收生成交易日志所需的日志构成信息的处理;
使用接收到的数据生成交易日志的处理;
对包括所生成的交易日志和与该交易日志的生成之前的过去前一交易对应的签名数据的数据执行新的签名处理以生成带有链式签名的交易日志的处理;以及
将所生成的带有链式签名的交易日志发送给第二信息处理装置或管理服务器的处理。
此外,说明书中描述的一系列处理可以通过硬件、软件或硬件和软件的组合配置来执行。在通过软件执行处理的情况下,可以将其中记录处理顺序的程序安装在内置于专用硬件中的计算机的存储器中,并由该计算机执行,或者将该程序安装在能够执行各种类型处理的通用计算机中并由其执行。例如,程序可以预先记录在记录介质中。除了从记录介质安装到计算机以外,还可以经由诸如局域网(lan)或因特网的网络接收程序并将其安装在诸如内置硬盘的记录介质中。
注意,说明书中所描述的各种类型的处理不仅可以按照所描述的时间顺序执行,而且还可以根据执行处理的设备的处理能力或根据需要并行地或单独地执行。此外,本说明书中的系统是多个设备的逻辑集合配置,并且不限于在同一壳体内具有各自配置的设备。
工业适用性
如上所述,根据本公开的一个示例的配置,实现了防止关于与ic卡和读写器之间的交易有关的交易日志的欺诈的配置。
具体地,例如,ic卡从读写器接收生成交易日志所需的日志构成信息,使用所接收的数据生成交易日志,对所生成的交易日志执行签名处理以生成带有卡签名的交易日志,并将生成的带有卡签名的交易日志发送到读写器。此外,ic卡生成通过使用ic卡侧的前一交易对应卡签名和读写器侧的前一交易对应读写器签名作为签名对象数据来执行新签名而获得的带有链式签名的交易日志,并将带有链式签名的交易日志发送到管理服务器。
利用本配置,实现了防止关于与ic卡和读写器之间的交易有关的交易日志的欺诈的配置。
附图标记列表
10ic卡
11用户
20、40读写器(r/w)
21商店
30、50管理服务器
100带有卡签名的交易日志
101卡签名
200带有卡签名和rw签名的交易日志
201卡签名
202读写器签名
300带有链式签名的交易日志
301最新交易日志
302卡侧的前一交易对应卡签名
303读写器侧的前一交易对应r/w签名
304卡签名
305读写器签名
401、402ic卡
411,412用户
421、422读写器
431、432商店
501控制单元
502、522认证处理单元
503、528通信单元
504、527存储单元
523显示单元
524时钟单元
525输入单元(操作单元)
526输出单元
701cpu
702rom
703ram
704总线
705输入/输出接口
706输入单元
707输出单元
708存储单元
709通信单元
710驱动器
711可移除介质