(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023117310
(43)【公開日】2023-08-23
(54)【発明の名称】サービス提供システム及びトークン認証システム
(51)【国際特許分類】
H04L 9/16 20060101AFI20230816BHJP
G06F 21/33 20130101ALI20230816BHJP
【FI】
H04L9/16
G06F21/33
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022019947
(22)【出願日】2022-02-10
(71)【出願人】
【識別番号】000004651
【氏名又は名称】日本信号株式会社
(74)【代理人】
【識別番号】100181146
【弁理士】
【氏名又は名称】山川 啓
(74)【代理人】
【識別番号】100109221
【弁理士】
【氏名又は名称】福田 充広
(72)【発明者】
【氏名】家吉 正明
(57)【要約】
【課題】トークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制できるサービス提供システム及びトークン認証システムを提供すること。
【解決手段】セキュアIDについてのトークンリストTLsを作成するとともに、トークンに付与するMACの鍵を更新するトークンサーバ10と、トークンサーバ10に問い合わせたセキュアIDに対応するMAC付トークンを受け取る端末20と、トークンサーバ10から配信されたトークンリストと鍵の更新履歴とに基づき、端末20からのMAC付トークンの認証をするサービス提供サーバ50とを備える。
【選択図】図1
【解決手段】セキュアIDについてのトークンリストTLsを作成するとともに、トークンに付与するMACの鍵を更新するトークンサーバ10と、トークンサーバ10に問い合わせたセキュアIDに対応するMAC付トークンを受け取る端末20と、トークンサーバ10から配信されたトークンリストと鍵の更新履歴とに基づき、端末20からのMAC付トークンの認証をするサービス提供サーバ50とを備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
セキュアIDについてのトークンリストを作成するとともに、トークンに付与するMACの鍵を更新するトークンサーバと、
前記トークンサーバに問い合わせたセキュアIDに対応するMAC付トークンを受け取る端末と、
前記トークンサーバから配信されたトークンリストと鍵の更新履歴とに基づき、前記端末からのMAC付トークンの認証をするサービス提供サーバと
を備えるサービス提供システム。
前記トークンサーバに問い合わせたセキュアIDに対応するMAC付トークンを受け取る端末と、
前記トークンサーバから配信されたトークンリストと鍵の更新履歴とに基づき、前記端末からのMAC付トークンの認証をするサービス提供サーバと
を備えるサービス提供システム。
【請求項2】
前記トークンサーバは、トークン発行済のセキュアIDについて前記端末から問い合わせを受けた場合、対応する既存のトークンに対して現状の鍵に基づくMACを付与して返信する、請求項1に記載のサービス提供システム。
【請求項3】
前記サービス提供サーバは、更新履歴に含まれる鍵として、少なくとも現状の鍵と、現状の1つ前の鍵と、現状の次の鍵とを有し、前記端末からのMAC付トークンの認証に際して、いずれかの鍵で認証された場合、有効なものとして取り扱う、請求項1及び2のいずれか一項に記載のサービス提供システム。
【請求項4】
前記トークンサーバは、一定時間ごとに鍵を更新し、更新に応じて、前記サービス提供サーバへの配信を行う、請求項1~3のいずれか一項に記載のサービス提供システム。
【請求項5】
前記トークンサーバは、トークンリストの内容変更に応じて、前記サービス提供サーバへの配信を行う、請求項1~4のいずれか一項に記載のサービス提供システム。
【請求項6】
前記サービス提供サーバは、複数の前記端末からのMAC付トークンを受け付け、複数の前記端末に共通のトークンリストに基づいて、サービス提供を行う、請求項1~5のいずれか一項に記載のサービス提供システム。
【請求項7】
前記トークンサーバは、複数の前記サービス提供サーバに対して、共通のトークンリストを配信する、請求項1~6のいずれか一項に記載のサービス提供システム。
【請求項8】
前記トークンサーバは、複数の前記サービス提供サーバに対して、前記サービス提供サーバごとに異なるトークンリストを配信する、請求項1~6のいずれか一項に記載のサービス提供システム。
【請求項9】
セキュアIDについてのトークンリストを作成するリスト作成部と、
トークンに付与するMACの鍵を更新する鍵更新部と、
前記鍵更新部により更新された鍵に対応するMACをトークンに付与する付与部と、
問い合わせたセキュアIDについて、前記付与部で対応するトークンにMACを付与されたMAC付トークンを受け取る受取部と、
前記リスト作成部から配信されたトークンリストと、前記鍵更新部から配信された鍵の更新履歴とに基づき、前記受取部で受け取ったMAC付トークンを認証する認証部と
を備えるトークン認証システム。
トークンに付与するMACの鍵を更新する鍵更新部と、
前記鍵更新部により更新された鍵に対応するMACをトークンに付与する付与部と、
問い合わせたセキュアIDについて、前記付与部で対応するトークンにMACを付与されたMAC付トークンを受け取る受取部と、
前記リスト作成部から配信されたトークンリストと、前記鍵更新部から配信された鍵の更新履歴とに基づき、前記受取部で受け取ったMAC付トークンを認証する認証部と
を備えるトークン認証システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クレジットカード等の決済用媒体を利用したサービス提供システム及びトークン認証システムに関する。
【背景技術】
【0002】
端末を利用して通信を行う際の送信制御に関する技術として、端末の認証に関連する情報の端末への送信可否を、端末の状況に応じて決定するもの(特許文献1参照)が知られている。
【0003】
しかしながら、認証に関するものとして、例えば、PIN番号等に代えてトークンを利用するようなサービス提供において、トークンを複数回あるいは長時間使用できるようにするための技術については、上記先行技術1には開示がない。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2018-74187号公報
【発明の概要】
【0005】
本発明は上記した点に鑑みてなされたものであり、トークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制できるサービス提供システム及びトークン認証システムを提供することを目的とする。
【0006】
上記目的を達成するためのサービス提供システムは、セキュアIDについてのトークンリストを作成するとともに、トークンに付与するMAC(メッセージ認証符号:message authentication code)の鍵を更新するトークンサーバと、トークンサーバに問い合わせたセキュアIDに対応するMAC付トークンを受け取る端末と、トークンサーバから配信されたトークンリストと鍵の更新履歴とに基づき、端末からのMAC付トークンの認証をするサービス提供サーバとを備える。
【0007】
上記サービス提供システムでは、トークンサーバにおいて作成したトークンリストをサービス提供サーバに配信することで、トークンの複数回の使用あるいは長時間の使用に対応できるようにしている。また、トークンサーバでは、トークンに付与するMACについて鍵を更新することで、MACによって改ざんのチェックを可能としつつ、さらに、鍵を更新させてトークンの漏洩の発生等をチェックして、セキュリティリスクの軽減を図っている。一方で、サービス提供サーバにおいては、トークンリストと鍵の更新履歴とに基づいて、セキュアIDに対応するMAC付トークンの認証をする態様とすることで、例えばトークンへのMAC付与のタイミングと、鍵の更新タイミングとにずれがあっても、更新履歴を利用して的確な認証が確保されるようにしている。以上により、複数回あるいは長時間のトークン使用を可能としてトークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制することが可能となっている。
【0008】
本発明の具体的な側面では、トークンサーバは、トークン発行済のセキュアIDについて端末から問い合わせを受けた場合、対応する既存のトークンに対して現状の鍵に基づくMACを付与して返信する。この場合、既存のトークンを利用することで、複数回あるいは長時間のトークン使用を可能としつつ、現状の鍵に基づくMACを付与することで、改ざん等のセキュリティリスクの回避又は抑制を可能にしている。
【0009】
本発明の別の側面では、サービス提供サーバは、更新履歴に含まれる鍵として、少なくとも現状の鍵と、現状の1つ前の鍵と、現状の次の鍵とを有し、端末からのMAC付トークンの認証に際して、いずれかの鍵で認証された場合、有効なものとして取り扱う。この場合、トークンへのMAC付与のタイミングと、鍵の更新タイミングとにずれがあっても、当該トークンを有効なものとして取り扱うことができる。
【0010】
本発明のさらに別の側面では、トークンサーバは、一定時間ごとに鍵を更新し、更新に応じて、サービス提供サーバへの配信を行う。この場合、トークンサーバにおいて鍵の更新を的確に行うことで、サービス提供サーバにおいてトークンの漏洩等に対するセキュリティリスクの回避又は抑制を維持できる。
【0011】
本発明のさらに別の側面では、トークンサーバは、トークンリストの内容変更に応じて、サービス提供サーバへの配信を行う。この場合、トークンサーバにおいてトークンリストの内容変更を的確に行うことで、サービス提供サーバにおいて適切なトークン利用の状態を維持できる。
【0012】
本発明のさらに別の側面では、サービス提供サーバは、複数の端末からのMAC付トークンを受け付け、複数の端末に共通のトークンリストに基づいて、サービス提供を行う。この場合、共通のトークンリストに基づいて、例えば種々の箇所に設置された端末を利用して一貫したサービス提供が可能となる。
【0013】
本発明のさらに別の側面では、トークンサーバは、複数のサービス提供サーバに対して、共通のトークンリストを配信する。この場合、複数のサービス提供サーバに対して一貫したサービス提供が可能となる。
【0014】
本発明のさらに別の側面では、トークンサーバは、複数のサービス提供サーバに対して、サービス提供サーバごとに異なるトークンリストを配信する。この場合、複数のサービス提供サーバごとに異なるサービス提供を行うに際して、複数回あるいは長時間のトークン使用が可能となる。
【0015】
上記目的を達成するためのトークン認証システムは、セキュアIDについてのトークンリストを作成するリスト作成部と、トークンに付与するMACの鍵を更新する鍵更新部と、鍵更新部により更新された鍵に対応するMACをトークンに付与する付与部と、問い合わせたセキュアIDについて、付与部で対応するトークンにMACを付与されたMAC付トークンを受け取る受取部と、リスト作成部から配信されたトークンリストと、鍵更新部から配信された鍵の更新履歴とに基づき、受取部で受け取ったMAC付トークンを認証する認証部とを備える。
【0016】
上記トークン認証システムでは、リスト作成部において作成したトークンリストと、トークンに付与したMACについての鍵の更新履歴とに基づいてMAC付トークンを認証することで、複数回あるいは長時間のトークン使用を可能としてトークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制するに際して、的確な認証を確保している。
【図面の簡単な説明】
【0017】
【図1】第1実施形態に係るサービス提供システム及びトークン認証システムの概要を説明するためのブロック図である。
【図2】サービス提供システムにおける動作について一例を説明するための概念図である。
【図3】(A)及び(B)は、駅のシステムにおいてサービス提供サーバを適用した一例を示すための概念的な図である。
【図4】システムにおいて取り扱われるデータについて一例を説明するための図である。
【図5】(A)~(C)は、駅のシステムにおける動作について説明するためのシーケンス図である。
【図6】サービス提供システムを適用した一変形例を示す概念的な図である。
【図7】サービス提供システムの概要についてまとめた概念図である。
【図8】第2実施形態に係るサービス提供システムにおける動作について一例を説明するための概念図である。
【図9】(A)及び(B)は、トークンリストの配信態様について一例を説明するための概念図である。
【発明を実施するための形態】
【0018】
〔第1実施形態〕
以下、図1等を参照して、第1実施形態に係るサービス提供システム及びトークン認証システムについて一例を説明する。図1や図2に示すように、本実施形態に係るサービス提供システム100は、トークンサーバ10と、端末(端末装置)20と、サービス提供サーバ50とを備え、セキュア媒体を特定するセキュアIDについての情報読取りを契機として、種々のサービス提供を行う。ここでは、一例として、セキュア媒体の一態様としてのクレジットカードCCが利用される場合について説明する。すなわち、クレジットカードCCのクレジットカード番号(PAN:Primary Account Number)を、対象となるセキュアIDとし、PANについてトークン化する(トークンの生成を行う)ととともに、トークンサーバ10を経由することにより、決済処理が可能となっている。さらに、ここでは、生成したトークンを利用したサービス提供が、サービス提供システム100によりなされるものとする。また、以上のような場合、サービス提供システム100あるいはその一部は、トークン認証を行うためのトークン認証システムASとしても、機能している。
以下、図1等を参照して、第1実施形態に係るサービス提供システム及びトークン認証システムについて一例を説明する。図1や図2に示すように、本実施形態に係るサービス提供システム100は、トークンサーバ10と、端末(端末装置)20と、サービス提供サーバ50とを備え、セキュア媒体を特定するセキュアIDについての情報読取りを契機として、種々のサービス提供を行う。ここでは、一例として、セキュア媒体の一態様としてのクレジットカードCCが利用される場合について説明する。すなわち、クレジットカードCCのクレジットカード番号(PAN:Primary Account Number)を、対象となるセキュアIDとし、PANについてトークン化する(トークンの生成を行う)ととともに、トークンサーバ10を経由することにより、決済処理が可能となっている。さらに、ここでは、生成したトークンを利用したサービス提供が、サービス提供システム100によりなされるものとする。また、以上のような場合、サービス提供システム100あるいはその一部は、トークン認証を行うためのトークン認証システムASとしても、機能している。
【0019】
図1に示すように、サービス提供システム100のうち、トークンサーバ10は、例えばCPU等で構成される主制御部11と、各種ストレージデバイス等で構成されて各種データを格納するデータベース12とを有し、トークン決済処理等を可能とすべく、トークンについての発行や管理等の各種処理を行う装置である。
【0020】
サービス提供サーバ50は、例えばCPU等で構成される主制御部51と、各種ストレージデバイス等で構成されて各種データを格納するデータベース52とを有し、サービス提供を行うためのデータ管理等を行う装置である。
【0021】
端末(端末機器)20は、トークンサーバ10において管理されるトークンに基づいてサービス提供サーバ50によるサービス提供を行うに際してのインターフェース部として機能すべく、各部と送信するための送信部20sと、受信部20rとを備える。端末20は、トークンサーバ10に対しては、セキュアIDに関する問い合わせを行う一方、サービス提供サーバ50に対しては、トークンサーバ10から受け取ったセキュアIDに対応するトークンに基づいて問い合わせを行う。すなわち、セキュアIDの取り扱いについては、トークンサーバ10と端末20との間で行われ、サービス提供サーバ50においては、サービスを受ける対象を識別するためのIDとして、専ら発行済のトークンを利用して、決済処理やサービス管理のための利用等が行われ、セキュアIDについては関知しないものとなっている。
【0022】
ここで、さらに、本実施形態では、上記態様に際して取り扱われるトークンに関して、サービス提供システム100においてMAC(メッセージ認証符号:message authentication code)を付与するとともに、MACに対応する鍵を逐次更新していく態様となっている。これにより、本実施形態では、例えばワンタイムパスワードのような利用態様の場合と異なり、発行したトークンの長期的な利用が可能となっている。つまり、セキュアIDに対するトークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制できる態様になっている。
【0023】
図示の一例では、トークンサーバ10のうち、主制御部11は、トークンリストを作成するリスト作成部LCと、トークンに対応した鍵の更新を行う鍵更新部KUと、トークンにMACを付与するMAC付与部(付与部)TGとを備える、あるいは、これらとして機能する。ここで、鍵更新部KUにおいて更新(生成)される鍵は、MAC付与部TGにおいてトークンに付与するMACに対応して作成されるものである。言い換えると、MAC付与部TGは、鍵更新部KUにより更新された鍵に対応するMACをトークンに付与するものとなっている。なお、MAC付与部TGは、トークンにMACを付与する際に、鍵として直近で更新されたものを採用している。
【0024】
また、データベース12は、リスト作成部LCで作成されたトークンリストTLsや、鍵更新部KUで生成された鍵データKD等を格納しており、これらのデータは、サービス提供サーバ50に対して送信可能となっている。このほか、データベース12には、セキュアIDとこれに対応して発行されるトークンとの間(セキュアID-トークン間)についてのセキュア管理データDB1を格納している。なお、セキュア管理データDB1として格納されているデータは、サービス提供サーバ50に対して送信されることはなく、トークンサーバ10内で管理される。
【0025】
端末20は、上記のような各種処理を行うトークンサーバ10に対応するインターフェース部として、受信部20rにおいて、クレジットカードCCからセキュアID(PAN)を受け付ける(読み取る)とともに、読み取ったセキュアIDに対するトークンについて、送信部20sを介して、トークンサーバ10に問い合わせる。上記態様の場合、セキュアIDの問合せに応じて、トークンサーバ10からは、当該セキュアIDに対応するトークンに対して、問合せ時におけるMACが付与される。この結果として得られるMAC付トークンがトークンサーバ10から返信され、端末20の受信部20rにおいて受け付けられることになる。つまり、受信部20rは、トークンサーバ10に問い合わせたセキュアIDについて、MAC付与部(付与部)TGで対応するトークンにMACを付与して構成されるMAC付トークンを受け取る受取部として機能している。
【0026】
さらに、端末20は、受け取った当該MAC付トークンを利用して、サービス提供サーバ50にアクセスする。これにより、サービス提供サーバ50によるサービスを受けようとする利用者(クレジットカードCCの保有者)が、各種サービスの提供を受けるものとなる。
【0027】
サービス提供サーバ50のうち、主制御部51は、既述のように、CPU等で構成され、サービス提供を行うための各種制御を行う。ここでは特に、主制御部51は、各種制御のうちの1つとして、上述した端末20からのMAC付トークンの認証をする。このため、主制御部51は、当該認証を行うための認証部CFを備えているものとする。また、データベース52は、サービス提供を行う際に管理対象となる各種データを格納している。ここでは特に、データベース52は、トークンサーバ10からのトークンリストTLsを、トークンリストTLrとして格納しており、鍵データKDを、鍵更新履歴KHに格納しているものとする。ここで、鍵更新履歴KHについては、例えば直近に送信されたデータのみならず、過去に送信されたデータについても記録として残しておく(蓄積している)等とすることで、鍵の更新履歴について格納されたデータとして記録されている。また、このほか、データベース52には、各種サービスの提供を行う際に必要となる各種データとして、サービス用データDB2を格納している。
【0028】
主制御部51において、認証部CFは、トークンサーバ10から配信されたデータとしてデータベース52に格納されているトークンリストTLrと鍵更新履歴KHとに基づき、端末20からのMAC付トークンの認証を行う。以上を言い換えると、認証部CFは、リスト作成部LCから配信されたトークンリストTLs(TLr)と、鍵更新部KUから配信された鍵の更新履歴(鍵更新履歴KH)とに基づき、受取部としての受信部20rで受け取ったMAC付トークンを認証するものとなっている。
【0029】
なお、図示の一例では、認証部CFでの認証結果が、受信部20rすなわち端末20側に返され、併せて認証結果に応じた各種サービスの提供が実行されるものとなっている。
【0030】
以上のような構成のサービス提供システム100について、典型的一例としては、クレジットカードCCとして、EMV(Europay, MasterCard, VISA protocol)対応であり、かつ、端末20の読取部(例えば受信部20r)において非接触での読取りが可能となっているものを採用することが想定される。また、高いセキュリティ確保をすべく、トークンサーバ10については、PCIDSS(Payment Card Industry Data Security Standard)認証取得済サーバ、あるいはこれに相当するトークン生成可能なサーバで構成することが考えられる。以上の場合、トークンサーバ10と、端末20のうちクレジットカードCCからPANを読み取ってトークンサーバ10と通信を行う箇所とについては、高いセキュリティが確保された構成とする一方、これら以外については、必ずしもこのような高いセキュリティを要求しないもので構成可能となっている。つまり、サービス提供サーバ50あるいはその一部等については、PCIDSS認証に非準拠なもので構成することができる。
【0031】
なお、上記態様の場合、端末20を介したクレジットカードCCの情報読取りを契機として、種々のサービス提供を行うものとなっているので、例えば、端末20については、駅の券売機や改札機、あるいはイベント会場や会員制設備において入出場を管理する装置等、種々のものへの適用が考えられる。例えば、サービス提供システム100が、駅等に適用されれば、物理的な物体としてのクレジットカードCCを、切符や、定期券や、一日乗車券等として利用することが可能になる。あるいは、クレジットカードCCを、イベントのチケットや会員制設備の会員証等として利用することも可能である。
【0032】
また、ここで、上記のような構成のサービス提供システム100、あるいはその一部について、トークン認証を行うための装置としてみると、トークン認証システムASである、と捉えることもできる。より具体的には、トークン認証システムASは、セキュアID(PAN)についてのトークンリストを作成するリスト作成部LCと、トークンに付与するMACの鍵を更新する鍵更新部KUと、鍵更新部KUにより更新された鍵に対応するMACをトークンに付与するMAC付与部(付与部)TGと、問い合わせたセキュアIDについて、MAC付与部TGで対応するトークンにMACを付与されたMAC付トークンを受け取る受取部である受信部20rと、リスト作成部LCから配信されたトークンリストTLrと、鍵更新部KUから配信された鍵の更新履歴である鍵更新履歴KHとに基づき、受信部20rで受け取ったMAC付トークンを認証する認証部CFとを備える。上記トークン認証システムASでは、リスト作成部LCにおいて作成したトークンリストTLs(これに対応するトークンリストTLr)と、トークンに付与したMACについての鍵の更新履歴(鍵更新履歴KH)とに基づいてMAC付トークンを認証することで、複数回あるいは長時間のトークン使用を可能としてトークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制するに際して、的確な認証を確保している。
【0033】
以下、図2を参照して、上記のような構成における各部の動作(流れ)についてより具体的な一態様を説明する。
【0034】
まず、前提として、上記のような態様においては、例えばサービスの提供を受けるべく、該当するサービスあるいは商品の購入時(カード決済処理)において、1つのセキュアIDに対して、これに対応する1つのトークンが発行され、これらを対応付けたデータが、セキュアID-トークン間についてのセキュア管理データDB1として、サービス提供サーバ50の所定領域に格納されていく。また、セキュア管理データDB1内のデータは、例えば一定時間経過等により、削除される場合もある。このようなデータ管理に応じて、トークンの追加(新規発行)や削除が行われると、トークンの追加や削除がなされるごとに、トークンリストTLsは、その内容が変更されることになる。このため、これのようなデータの変化をトリガー(契機)として、トークンリストTLsのサービス提供サーバ50への配信がなされる(ステップ1)。つまり、トークンリストTLsの内容変更に応じて、サービス提供サーバ50への配信が行われる。
【0035】
1つのセキュアIDに対する1つのトークンの発行については、典型的な一例としては、既述のように、利用者であるクレジットカードCCの保有者が、各種サービスの提供を受けるべく、当該サービスに関するクレジット決済を行う場合が想定される。サービスの具体的内容については、種々の態様が考えられるが、例えばサービス提供サーバ50の管理下にある施設の一日利用権(一日乗車券)のようなものがサービスあるいは商品として存在する場合であれば、最初にクレジットカードCCを使って一日利用権を購入する(決済処理を行う)際に、トークンサーバ10側では、クレジットカードCCのセキュアID(PAN)に応じたトークンが発行される一方、サービス提供サーバ50側では、当該トークンと、対象となるサービスあるいは商品(上記一例の場合、施設の一日利用権)とが紐づけられた状態で、サービス用データDB2として、格納される。つまり、この紐づけされた情報は、サービス用データDB2として、サービス提供サーバ50のデータベース52に格納され、主制御部51において、管理されることになる。つまり、トークン発行済の状態となっている。
【0036】
ここで、上記のように既にトークン発行済の状態になっていて、トークンサーバ10が端末20から当該発行済のトークンについて問い合わせを受けた場合、すなわち、トークン発行済のセキュアIDについて端末20から問い合わせを受けた場合、トークンサーバ10は、対応する既存のトークンに対して現状の鍵(問い合わせを受けた時点で利用される鍵)に基づくMACを付与して返信することになる。
【0037】
一方、トークンサーバ10では、鍵更新部KUにおいて、一定時間ごとに、MACに関する鍵の更新(生成)が行われ(ステップ2)、生成された鍵は、サービス提供サーバ50へ配信される(ステップ3)。ここで、上記鍵の更新については、ステップ1として上述したトークンサーバ10からサービス提供サーバ50へのトークンリストTLsの配信とは別個になされるものとなる。
【0038】
さらに、トークンにMACを付与してからMACを付与された当該トークン(MAC付トークン)が利用されるまでのタイミングも、一定時間ごとになされる鍵の更新のタイミングとは合致しない場合がある。この場合、MAC付与時に利用される鍵が、サービス提供サーバ50への問合せ時に使われる鍵と一致しない可能性がある。
【0039】
そこで、本実施形態では、まず、サービス提供サーバ50において、上記のように、鍵の更新履歴が残るような態様で保存をする(ステップ4)。この上で、認証に際しては、更新履歴に含まれる鍵のうちのいずれかの鍵で認証された場合、有効なものとして取り扱うことで、上記のような配信タイミングのずれが生じてもこれに対応可能なものとなっている。
【0040】
図示の一例では、配信元であるトークンサーバ10の鍵更新部KUにおいて、現状の鍵(配信時点においてMAC付与に利用される鍵)と、現状の1つ前の鍵(配信時点よりも1つ更新前の時点において利用されていた鍵)と、現状の次の鍵(次の更新時から利用する予定となっている鍵)との3世代分の鍵を準備しておき、これらの鍵データ(鍵リスト)を、トークンサーバ10からサービス提供サーバ50へ配信することで、サービス提供サーバ50に鍵の更新履歴が残るようにしている場合について例示している。つまり、上記態様の場合、サービス提供サーバ50は、データベース52において、トークンサーバ10からの鍵データKDをそのまま記録すれば、更新履歴に含まれる鍵として、少なくとも現状の鍵と、現状の1つ前の鍵と、現状の次の鍵とを有した状態にできる。
【0041】
以下、上記を前提としつつ、端末20(端末機器)を介したセキュア媒体としてのクレジットカードCCによるサービスの利用における動作に関して説明する。
【0042】
まず、端末20において、クレジットカードCCが翳されこれを読み取ることで、セキュアID(ここでは、セキュアID1とする)として、トークンサーバ10やサービス提供サーバ50既に登録されているものを受け付けると(ステップ5)、端末20は、セキュアID1についての問合せをトークンサーバ10に対して行う(ステップ6)。トークンサーバ10では、セキュア管理データDB1においてトークンについての照会を行って、セキュアID1に対応する対応するトークン(ここでは、トークン1とする)を抽出し、これに現時点(トークン抽出時)におけるMACを付与する(ステップ7)。すなわち、現状の鍵に基づくMAC付与が、トークン1に対してなされ、生成されたMAC付トークンが、セキュアID1についての問合せ結果として、端末20に返される(ステップ8)。
【0043】
次に、端末20は、受け取ったMAC付トークンにより、サービス提供サーバ50への問合せを行う(ステップ9)。つまり、サービス提供サーバ50は、主制御部51の認証部CFにおいて、端末20からのMAC付トークンについて、認証を行う。認証部CFは、上記認証に際して、データベース52に格納された3世代分の鍵のうち、上記いずれかの鍵で認証がなされた場合、当該MAC付トークンを有効なものとして取り扱うことで、これに対応する内容のサービス提供がなされるものとなる(ステップ10)。すなわち、トークン1に紐づけられたサービス内容の提供がなされる
【0044】
ここで、上記認証の処理について、より具体的に説明すると、例えばデータベース52に格納された鍵の情報についてのトークンサーバ10からの鍵の配信タイミングと、MAC付トークンにおけるMAC付与から端末20を介したサービス提供サーバ50への問合せまでのタイミングとに大きな差が無い場合には、データベース52に格納された現状の鍵(鍵v1)と、MAC付トークンにおけるMACとが対応して、認証がなされて有効なものとして取り扱われるものとなる、と想定される。一方、トークンサーバ10からの鍵の配信タイミングのほうが、端末20を介したサービス提供サーバ50への問合せまでのタイミングよりも遅い場合には、データベース52に予め格納されていた現状の次の鍵(鍵v2)と、MAC付トークンにおけるMACとが対応するものとなる、と想定される。逆に、トークンサーバ10からの鍵の配信タイミングのほうが、端末20を介したサービス提供サーバ50への問合せまでのタイミングよりも早い場合には、データベース52において格納されていた鍵のうち、現状の1つ前の鍵(鍵v0)と、MAC付トークンにおけるMACとが対応するものとなる、と想定される。なお、この際、併せて、トークンサーバ10からサービス提供サーバ50へのトークンリスト配信のタイミングの影響による処理タイミングのずれも生じ得る。
【0045】
一方、上記いずれにも合致しない場合には、当該MAC付トークンについて、改ざん等がなされた可能性が高いのものとして、有効なものとして取り扱わない。
【0046】
以上のように、本実施形態では、鍵の更新を行うことで、MACの漏洩に基づくセキュリティリスクを回避又は抑制しつつ、鍵の更新履歴に基づいて認証を行うことで、トークン配信側と鍵の更新情報の配信側との間にタイミングの差(タイムラグ)が発生してもこれに対応可能なものとしている。
【0047】
以下、図3等を参照して、上記のようなサービス提供システム100あるいはトークン認証システムASについてのより具体的な一適用例として、駅のシステムに導入した場合における一構成例について説明する。図3(A)及び図3(B)は、駅のシステムにおいてサービス提供サーバ50を適用した一例を示すための概念的な図である。図示の一例では、駅に設置される発券装置(券売機)TDや自動改札機AG、あるいはその一部が、端末20として機能する。また、サービス提供サーバ50は、例えば販売された定期券や切符に関するデータを、クレジットカードCCのPANに対応するトークンに基づき管理することで、クレジットカードCCを定期券等として利用できる態様となっている。つまり、ここでは、サービス提供サーバ50は、定期券等の内容についての各種データの管理を担うための駅のシステムとして組み込まれている。なお、図3(A)は、発券装置(券売機)TDを利用した定期券等の購入時の様子を示すものであり、図3(B)は、自動改札機AGを利用した購入したものの利用(権利の行使)時の様子を示すものである。
【0048】
まず、図3(A)等に示すように、端末20としての発券装置TDは、定期券や切符を購入するための各種操作部OUに加え、非接触型のクレジットカードCCを受け付けるために、奥行を有した受付部RP1が設けられており、図3(A)に示すように、受付部RP1の載置部PPにクレジットカードCCを置くことで、読取部RDによるPANの読取りが可能となっている。すなわち、端末20としての発券装置TDは、クレジットカードCCのセキュアID(PAN)を、トークンサーバ10(主制御部11)に問い合わせる。これに応じて、トークンサーバ10において、トークンが発行される。発行されたトークンの情報は、サービス提供サーバ50に送信され、サービス提供サーバ50において、当該トークンに基づく各種手続きがなされる。この際、トークンサーバ10では、セキュアID-トークンの紐づけがなされ、これについてのデータ管理がなされるとともに、トークンリストが更新され(新たなトークンの追加)、これに伴って、新たなトークンリストがサービス提供サーバ50に配信される。一方、サービス提供サーバ50では、トークン-提供サービス内容の紐づけがなされる。以上により、上記クレジットカードCCのセキュアID(PAN)については、トークン発行済の状態として取り扱われるものとなる。なお、以上に際して、トークンサーバ10とサービス提供サーバ50との間において適宜決済のための処理がなされている。
【0049】
次に、図3(B)に示すように、端末20としての自動改札機AGは、通過の出入口側に設けられた受付部RP2の付近にクレジットカードCCを翳すことで、読取部RDによる読取りが可能となっている。つまり、読取部RDは、クレジットカードCCが翳されたことを契機として、クレジットカードCCのセキュアID(PAN)を、トークンサーバ10(主制御部11)に問い合わせる。この場合、図3(A)を参照して説明したように、クレジットカードCCは、既にトークン発行済となっているため、トークンサーバ10からは、対応する発行済のトークンにMACが付与された状態で、端末20としての自動改札機AGに返される。自動改札機AGから、当該MAC付トークンがサービス提供サーバ50に対して送信されると、サービス提供サーバ50では、当該MAC付トークンについての認証がなされる。ここでの認証結果に応じて、自動改札機AGにおける通過の許否決定がなされることになる。すなわち、認証の結果、当該MAC付トークンが有効と判定されれば、自動改札機AGにおけるゲートGTが開放され、通過が可能となる。
【0050】
上記において、定期券等の内容についての管理を担うシステムとしてのサービス提供サーバ50においては、例えば図4に示すようなデータ表DTに示す各種データが取り扱われる。具体的には、各データ表DTには、例えばセキュアID(PAN)ごとに生成されたトークンを示す(識別する)トークンID(トークン番号)や、その発行日時、有効期限に関するデータDD1とともに、契約内容すなわち購入済みの権利内容に関するデータDD2、さらには、施設の利用履歴に関するデータDD3が格納されている。データDD2には、定期券や、一日券等といった購入内容の種別や、利用可能期間及び区間の情報が含まれており、データDD3には、いつ、どこの駅(改札)を通過したかといった情報が含まれている。ここで、データDD3については、図示の一例のように、通過時においてのMACとこれに合致した鍵の情報が併せて記録されるものとしてもよい。
【0051】
【0052】
【0053】
この場合、まず、端末20は、利用者からの購入のための各種操作を受け付け、この際に受け取ったセキュアID(PAN)をトークンサーバ10に問い合わせる。トークンサーバ10は、問合せに対応するトークンの発行を行い、発行したトークンを端末20に送信するとともに、当該トークンをトークンリストTLs(図1等参照)に追加し、これをサービス提供サーバ50に配信する。サービス提供サーバ50は、トークンサーバ10からの新たなトークンリストTLsを受け付ける。
【0054】
また一方で、権利購入のための決済処理としては、まず、端末20としての発券装置(券売機)TDにおいて、トークンサーバ10で発行されたトークンを受け付けると、発券装置TDは、当該トークンを、利用者の操作により受け付けた購入(契約)しようとする内容ととともに、サービス提供サーバ50に対して送信する。サービス提供サーバ50は、発券装置TD(端末20)からのトークンと購入内容とを紐づけを行いつつ、トークンサーバ10との間で、決済処理がなされる。決済処理については、図示や詳しい説明を省略するが、例えばトークンサーバ10や、さらにその先につながるクレジット会社等との間で必要な取引が行われるものとなっている。
【0055】
一方、図5(B)に示すように、トークンサーバ10とサービス提供サーバ50との間では、端末20としての発券装置TDや自動改札機AG等との通信の有無にかかわらず、鍵の更新に関する配信と受付の処理が一定時間ごとになされる。すなわち、トークンサーバ10において、一定時間ごとに鍵が更新されるすなわち新たな鍵が生成されると、その都度、サービス提供サーバ50に対して配信がなされる。サービス提供サーバ50では、新たな鍵の情報を受け付けるとともに、鍵の更新履歴が残る状態に維持しつつ、新たな鍵の情報を反映させたものにしている。
【0056】
図5(C)は、図3(B)を参照して説明した端末20としての自動改札機AGと、各部との関係について示している。つまり、権利購入後において、これを行使する際における発行済トークンの利用について一例を示している。
【0057】
この場合、まず、利用者が、端末20としての自動改札機AGの受付部RP2(図3参照)の付近にクレジットカードCCを翳すと、端末20としての自動改札機AGがこれを受け付け、この際に受け取ったセキュアID(PAN)をトークンサーバ10に問い合わせる。トークンサーバ10は、問合せに対応するトークンの照会を行い、対応する既存のトークンを抽出するとともに、抽出したトークンに対して、現状の鍵に基づくMACを付与して、これを、すなわちMAC付トークンを、端末20としての自動改札機AGに送信する。
【0058】
端末20としての自動改札機AGは、MAC付トークンを受け取ると、これをサービス提供サーバ50に送信し、これを受けたサービス提供サーバ50は、トークンサーバ10からのトークンリストTLsと、蓄積している鍵の更新履歴とに基づいて、トークンに関する認証(トークン認証)を行う。なお、この際、サービス提供サーバ50は、紐づけされているトークンと購入内容との整合について併せて処理を行う。例えば、データ表DT(図4参照)にあるような各種データを参照することで、自動改札機AGが、購入内容の区間内に存在するものであるか等の確認を行う。
【0059】
サービス提供サーバ50は、トークン認証についての認証結果や、購入内容との整合性に基づいて、通過許否の結果を端末20としての自動改札機AGに対して通知し、これに応じた許否動作(図4におけるゲートGTの開閉動作)が、自動改札機AGにおいてなされるものとなる。
【0060】
なお、図3等においては、例えば端末20としての自動改札機AGを、1つのみ示しているが、これに限らず、例えば図6として示す一変形例のように、サービス提供サーバ50が、複数の自動改札機AG(端末20)からのMAC付トークンを受け付ける態様となっていてもよい。なお、この際、各自動改札機AGについては、1つの駅に存在するものに限らず、異なる駅に設定されているものについて、1つのサービス提供サーバ50で一括して対応するものにできる。また、この際、サービス提供サーバ50が、複数の自動改札機AG(端末20)に対して、共通のトークンリストに基づいて、サービス提供を行うものとすることで、種々の箇所に設置された端末20について、一貫したサービス提供が可能となる。
【0061】
以下、図7を参照して、上述したサービス提供システム100について概要を説明する。図示のように、また、既述のように、本実施形態のサービス提供システム100は、セキュアID(例えばPAN)についてのトークンリストTLsを作成するとともに、トークンに付与するMACの鍵を更新するトークンサーバ10と、トークンサーバ10に問い合わせたセキュアIDに対応するMAC付トークンを受け取る端末20と、トークンサーバ10から配信されたトークンリスト(トークンリストTLr)と鍵の更新履歴(鍵更新履歴KH)とに基づき、端末20からのMAC付トークンの認証をするサービス提供サーバ50とを備える。上記サービス提供システム100では、トークンサーバ10において作成したトークンリストTLsをサービス提供サーバ50に配信することで、トークンの複数回の使用あるいは長時間の使用に対応できるようにしている。また、トークンサーバ10では、トークンに付与するMACについて、鍵更新部KUにおいて鍵を更新(生成)することで、MACによって改ざんのチェックを可能としつつ、さらに、鍵を更新させてトークンの漏洩の発生等をチェックして、セキュリティリスクの軽減を図っている。一方で、サービス提供サーバ50においては、トークンリストTLrと鍵の更新履歴である鍵更新履歴KHとに基づいて、セキュアIDに対応するMAC付トークンの認証をする態様としていることで、例えばトークンへのMAC付与のタイミングと、鍵の更新タイミングとにずれがあっても、更新履歴を利用して的確な認証が確保されるようにしている。以上により、複数回あるいは長時間のトークン使用を可能としてトークン発行の頻度を抑えつつ、漏洩や改ざん等のセキュリティリスクを回避又は抑制することが可能となっている。
【0062】
〔第2実施形態〕
以下、図8等を参照しつつ、第2実施形態に係るサービス提供システム100について一例を説明する。図8は、図2に対応する図であり、本実施形態では、1つのトークンサーバ10が、複数のサービス提供サーバ50(50A,50B,…)に対して、トークンリストを配信している点において、第1実施形態に例示した場合と異なっている。
以下、図8等を参照しつつ、第2実施形態に係るサービス提供システム100について一例を説明する。図8は、図2に対応する図であり、本実施形態では、1つのトークンサーバ10が、複数のサービス提供サーバ50(50A,50B,…)に対して、トークンリストを配信している点において、第1実施形態に例示した場合と異なっている。
【0063】
より具体的には、例えば、複数のサービス提供サーバ50のうち、サービス提供サーバ50Aが駅利用のためのシステムであるのに対して、サービス提供サーバ50B,50C,…は、それぞれ、バス利用のためのシステムであったり、有料駐車場のシステムであったり等の別個独立したものである場合が考えられる。このような場合に、セキュアID(例えばクレジットカードのPAN)とこれに対応するトークンとについては、1つのトークンサーバ10において一括管理しつつ、各サービス提供サーバ50における管理対象等に対応したデータ配信をすることが考えられる。
【0064】
図9(A)及び図9(B)は、1つのトークンサーバ10において一括管理されるトークンリストTLsの配信態様について一例を説明するための概念図であり、図9(A)は、トークンサーバ10が、複数のサービス提供サーバ50A,50B,…に対して、共通のトークンリストを配信する態様を示しており、図9(B)は、トークンサーバ10が、複数のサービス提供サーバ50A,50B,…に対して、サービス提供サーバ50A,50B,…ごとに異なるトークンリストを配信する態様を示している。
【0065】
より具体的に説明すると、まず、図9(A)に示す一例では、トークンサーバ10のトークンリストTLsと同一のものが、トークンリストTLrとして、各サービス提供サーバ50A,50B,…に配信されている。すなわち、トークンサーバ10側と各サービス提供サーバ50A,50B,…側とで、さらには、サービス提供サーバ50A,50B,…間において、トークンリストTLs(あるいはトークンリストTLr)の情報が共有されている。この場合、例えば鉄道とバスの共通一日乗車券としてクレジットカードを使用する、といった場合に、サービス内容についての紐づけ等を別途共有しておくといった他の必要な事項を適宜行っておくこと等により、当該クレジットカードに対応する1つのトークンを、鉄道管理側のサービス提供サーバ50と、バス管理側のサービス提供サーバ50とで共通化させることが可能になる。
【0066】
一方、図9(B)に示す一例では、トークンサーバ10のトークンリストTLsのうち、一部が配信され、トークンリストTLr1,TLr2,…として、各サービス提供サーバ50A,50B,…に格納されるものとなっている。この場合、サービス提供サーバ50A,50B,…ごとに、トークンリストTLr1,TLr2,…の内容は異なっている。なお、この場合、例えば複数のサービス提供サーバ50A,50B,…ごとに異なるサービス提供を行うことができる。
【0067】
〔その他〕
この発明は、上記の実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様で実施することが可能である。
この発明は、上記の実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様で実施することが可能である。
【0068】
まず、上記において、セキュアIDを保有するセキュア媒体として、非接触での読取りが可能となっているクレジットカードを一例として説明したが、セキュアIDについては、上記態様に限らず、種々の態様とすることができる。例えば、顔認証を利用する態様において適用することも考えられる。
【0069】
また、上記では、セキュアIDについて取り扱いを行う端末20として、自動改札機AG等を例示したが、これに限らず、種々のものが採用できる。例えばスマートフォンを、認証に際して利用する端末20とする態様等も考えられる。
【0070】
また、上記において、鍵の更新タイミングや、認証に際して使用する鍵の履歴範囲(上記では3世代分としていた)等については、種々の態様とすることが可能である。また、認証結果の状況に応じて、更新タイミングや、使用する履歴範囲を適宜調整するものとしてもよい。
【0071】
また、上記では、1つのセキュアIDに対して、1つのトークンを発行する場合について説明しているが、これに限らず、例えば、1つのセキュアIDに対して、複数のトークンを発行する態様とすることも考えられる。
【符号の説明】
【0072】
10…トークンサーバ、11…主制御部、12…データベース、20…端末(端末装置)、20r…受信部、20s…送信部、50,50A,50B,50C…サービス提供サーバ、51…主制御部、52…データベース、100…サービス提供システム、AG…自動改札機、AS…トークン認証システム、CC…クレジットカード、CF…認証部、DB1…セキュア管理データ、DB2…サービス用データ、DD1-DD3…データ、DT…データ表、GT…ゲート、KD…鍵データ、KH…鍵更新履歴、KU…鍵更新部、LC…リスト作成部、OU…種操作部、PP…載置部、RD…読取部、RP1,RP2…受付部、TD…発券装置(券売機)、TG…MAC付与部(付与部)、TLr,TLs…トークンリスト
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】