知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-09
(45)【発行日】2024-09-18
(54)【発明の名称】電子情報記憶媒体、及び決済処理方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20240910BHJP
G06F 21/44 20130101ALI20240910BHJP
G06Q 20/08 20120101ALI20240910BHJP
【FI】
H04L9/32 200A
G06F21/44 350
G06Q20/08 300
【請求項の数】
3
(21)【出願番号】P 2021011911
(22)【出願日】2021-01-28
(65)【公開番号】P2022115353
(43)【公開日】2022-08-09
【審査請求日】2023-11-28
(73)【特許権者】
【識別番号】000002897
【氏名又は名称】大日本印刷株式会社
(74)【代理人】
【識別番号】110000958
【氏名又は名称】弁理士法人インテクト国際特許事務所
(74)【代理人】
【識別番号】100120189
【弁理士】
【氏名又は名称】奥 和幸
(72)【発明者】
【氏名】福永 正剛
(72)【発明者】
【氏名】平野 晋健
(72)【発明者】
【氏名】嘉瀬 悠太
(72)【発明者】
【氏名】木下 靖夫
(72)【発明者】
【氏名】高田 憲一
(72)【発明者】
【氏名】若宮 遼
【審査官】平井 誠
(56)【参考文献】
【文献】再公表特許第2017/033766(JP,A1)
【文献】米国特許出願公開第2015/0143116(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/00-40
G09C 1/00- 5/00
G06F 21/00-88
G06Q 20/00-42
(57)【特許請求の範囲】
【請求項1】
ユーザが搭乗可能な移動体に搭載され当該移動体に固有の暗号鍵及び決済に用いられる決済用データを記憶するメモリを備える電子情報記憶媒体であって、前記移動体に搭載され近距離無線通信機能を有する制御装置に接続されるインターフェース部と、
前記制御装置が前記移動体の外部に設置された決済端末との近距離無線通信可能な範囲内に入った場合に、前記制御装置を介して、前記移動体に固有の暗号鍵及び前記決済端末に固有の暗号鍵を用いて前記決済端末との間でセキュアセッション確立のための相互認証処理を実行する認証処理手段と、
前記相互認証処理において生成されたセッション鍵であって前記決済端末との間で共通のセッション鍵により暗号化された決済用コマンドが前記制御装置を介して受信された場合に、当該決済用コマンドに応じて前記決済用データを前記メモリから読み出し、当該読み出した決済用データを含むレスポンスを前記制御装置を介して前記決済端末へ送信する送信手段と、
前記決済用コマンドが前記制御装置を介して受信された場合に、前記制御装置へ決済を許可するか否かを前記制御装置を通じて前記ユーザに問い合わせる問合せ手段と、
を備え、
前記送信手段は、前記問い合わせに応じて前記ユーザにより前記決済を許可する指示があった場合に限り、前記決済用データを含むレスポンスを前記制御装置を介して前記決済端末へ送信することを特徴とする電子情報記憶媒体。
【請求項2】
ユーザが搭乗可能な移動体の外部に設置され近距離無線通信機能を有する決済端末と、前記移動体に搭載され近距離無線通信機能を有する制御装置と、前記移動体に搭載され当該移動体に固有の暗号鍵及び決済に用いられる決済用データを記憶するメモリを備える電子情報記憶媒体とにより実行される決済処理方法であって、
前記制御装置が前記決済端末との近距離無線通信可能な範囲内に入った場合に、前記決済端末と前記電子情報記憶媒体との間で前記制御装置を介して、前記移動体に固有の暗号鍵及び前記決済端末に固有の暗号鍵を用いてセキュアセッション確立のための相互認証処理を実行するステップと、
前記決済端末が前記相互認証処理において生成されたセッション鍵であって前記電子情報記憶媒体との間で共通のセッション鍵により暗号化した決済用コマンドを、前記制御装置を介して前記電子情報記憶媒体へ送信するステップと、
前記電子情報記憶媒体が前記決済用コマンドを受信すると、当該決済用コマンドに応じて前記決済用データを前記メモリから読み出し、当該読み出した前記決済用データを含むレスポンスを、前記制御装置を介して前記決済端末へ送信する送信ステップと、
を含み、
前記送信ステップにおいては、前記電子情報記憶媒体が前記制御装置へ決済を許可するか否かを問い合わせ、前記問い合わせに応じて前記制御装置から前記決済の許可を示す情報が受信された場合に限り、前記電子情報記憶媒体が前記決済用データを含むレスポンスを、前記制御装置を介して前記決済端末へ送信することを特徴とする決済処理方法。
【請求項3】
前記制御装置が前記電子情報記憶媒体からの前記問い合わせに応じて前記決済を許可するか否かの指示を前記ユーザに求めるステップと、前記制御装置が前記ユーザから前記決済を許可する指示を受け付けた場合に、前記決済用データを前記電子情報記憶媒体へ要求するステップと、
を更に含むことを特徴とする請求項2に記載の決済処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両の外部に設置された決済端末と、当該車両に搭載された制御装置と、当該車両に搭載されたセキュアエレメントとにより実行される決済処理方法等の技術分野に関する。
【背景技術】
【0002】
従来、決済取引を完了する決済手段として車両を使用する技術が知られている。例えば、特許文献1には、車両に備えられるVID(Vehicle Interface Device)が販売業者アクセス装置から決済口座情報の要求を受信すると、ユーザの移動通信装置が車両内にあるか否かを判定し、当該移動通信装置が車両内にあると判定した場合に、VIDに挿入された決済カード(例えば、クレジットカード)から読み取られた決済口座情報を販売業者アクセス装置に送信するシステムが開示されている。このシステムは、VID、当該VIDを備える車両、及び移動通信装置が存在すると、ユーザは3つの結合された装置を単に所有することの他に、三要素セキュリティを達成するために、取引ごとに決済口座情報等を再入力する必要はない。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2020-053066号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に開示されたシステムは、車両に備えられるVIDに挿入された決済カードが決済に用いられるようになっており、車両に対する決済をすることはできず、利便性に問題がある。また、特許文献1に開示されたシステムでは、暗号鍵を用いた認証処理が行われないため、セキュリティ的に脆弱であるという問題もある。
【0005】
そこで、本発明は、以上の点等に鑑みてなされたものであり、決済取引において車両等の移動体の利用者の利便性及びセキュリティを向上させることが可能な電子情報記憶媒体及び決済処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を解決するために、請求項1に記載の発明は、ユーザが搭乗可能な移動体に搭載され当該移動体に固有の暗号鍵及び決済に用いられる決済用データを記憶するメモリを備える電子情報記憶媒体であって、前記移動体に搭載され近距離無線通信機能を有する制御装置に接続されるインターフェース部と、前記制御装置が前記移動体の外部に設置された決済端末との近距離無線通信可能な範囲内に入った場合に、前記制御装置を介して、前記移動体に固有の暗号鍵及び前記決済端末に固有の暗号鍵を用いて前記決済端末との間でセキュアセッション確立のための相互認証処理を実行する認証処理手段と、前記相互認証処理において生成されたセッション鍵であって前記決済端末との間で共通のセッション鍵により暗号化された決済用コマンドが前記制御装置を介して受信された場合に、当該決済用コマンドに応じて前記決済用データを前記メモリから読み出し、当該読み出した決済用データを含むレスポンスを前記制御装置を介して前記決済端末へ送信する送信手段と、前記決済用コマンドが前記制御装置を介して受信された場合に、前記制御装置へ決済を許可するか否かを前記制御装置を通じて前記ユーザに問い合わせる問合せ手段と、を備え、前記送信手段は、前記問い合わせに応じて前記ユーザにより前記決済を許可する指示があった場合に限り、前記決済用データを含むレスポンスを前記制御装置を介して前記決済端末へ送信することを特徴とする。
【0008】
請求項2に記載の発明は、ユーザが搭乗可能な移動体の外部に設置され近距離無線通信機能を有する決済端末と、記移動体に搭載され近距離無線通信機能を有する制御装置と、前記移動体に搭載され当該移動体に固有の暗号鍵及び決済に用いられる決済用データを記憶するメモリを備える電子情報記憶媒体とにより実行される決済処理方法であって、前記制御装置が前記決済端末との近距離無線通信可能な範囲内に入った場合に、前記決済端末と前記電子情報記憶媒体との間で前記制御装置を介して、前記移動体に固有の暗号鍵及び前記決済端末に固有の暗号鍵を用いてセキュアセッション確立のための相互認証処理を実行するステップと、前記決済端末が前記相互認証処理において生成されたセッション鍵であって前記電子情報記憶媒体との間で共通のセッション鍵により暗号化した決済用コマンドを、前記制御装置を介して前記電子情報記憶媒体へ送信するステップと、前記電子情報記憶媒体が前記決済用コマンドを受信すると、当該決済用コマンドに応じて前記決済用データを前記メモリから読み出し、当該読み出した前記決済用データを含むレスポンスを、前記制御装置を介して前記決済端末へ送信する送信ステップと、を含み、前記送信ステップにおいては、前記電子情報記憶媒体が前記制御装置へ決済を許可するか否かを問い合わせ、前記問い合わせに応じて前記制御装置から前記決済の許可を示す情報が受信された場合に限り、前記電子情報記憶媒体が前記決済用データを含むレスポンスを、前記制御装置を介して前記決済端末へ送信することを特徴とする。
【0010】
請求項3に記載の発明は、請求項2に記載の決済処理方法において、前記制御装置が前記電子情報記憶媒体からの前記問い合わせに応じて前記決済を許可するか否かの指示を前記ユーザに求めるステップと、前記制御装置が前記ユーザから前記決済を許可する指示を受け付けた場合に、前記決済用データを前記電子情報記憶媒体へ要求するステップと、を更に含むことを特徴とする。
【発明の効果】
【0011】
本発明によれば、決済取引において車両等の移動体の利用者の利便性及びセキュリティを向上させることができる。
【図面の簡単な説明】
【0012】
【図1】本実施形態に係る決済処理システムSの概要構成例を示す図である。
【図2】決済端末1の概要構成例を示す図である。
【図3】ECU2の概要構成例を示す図である。
【図4】eSE3の概要構成例を示す図である。
【図5】決済処理システムSにおいてセキュアセッション開始前に実施されるトランザクションの一例を示すシーケンス図である。
【図6】時間払いの駐車場の地面に埋め込まれた無線通信部11と車両Cとの位置関係を示す概念図である。
【図7】決済処理システムSにおいてセキュアセッション開始後に実施されるトランザクションの一例を示すシーケンス図である。
【発明を実施するための形態】
【0013】
以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、eSE(embedded Secure Element)を利用して車両に対する決済を行うことが可能な決済処理システムに対して本発明を適用した場合の実施の形態である。eSEは、車両に取り外し不能に搭載される。車両に取り外し不能に搭載とは、車両から容易に取り外しができないように車両内に固定されることを意味する。eSEを車両内に固定する方法は、特に限定されるものではないが、例えば車両内の基盤等にはんだ付けされることが一例として挙げられる。車両は、ユーザが搭乗可能な移動体の一例であり、2輪自動車、4輪自動車、または自転車等である。
【0014】
[1.決済処理システムSの概要構成]
先ず、図1等を参照して、本実施形態に係る決済処理システムSの概要構成について説明する。図1は、本実施形態に係る決済処理システムSの概要構成例を示す図である。図1に示すように、決済処理システムSは、決済端末1と、ECU(Electronic Control Unit)2と、eSE3とを含んで構成される。決済端末1とECU(Electronic Control Unit)2とは、例えば、NFC(Near field communication)、Bluetooth(登録商標)、またはUWB(Ultra Wide Band)の技術を用いた近距離無線通信を行うことが可能になっている。なお、決済処理システムSには、システムを利用する会員として登録されたユーザ等の情報を管理する管理サーバが備えられてもよい。ここで、ユーザは、車両Cの利用者(例えば、車両Cの所有者)である。
先ず、図1等を参照して、本実施形態に係る決済処理システムSの概要構成について説明する。図1は、本実施形態に係る決済処理システムSの概要構成例を示す図である。図1に示すように、決済処理システムSは、決済端末1と、ECU(Electronic Control Unit)2と、eSE3とを含んで構成される。決済端末1とECU(Electronic Control Unit)2とは、例えば、NFC(Near field communication)、Bluetooth(登録商標)、またはUWB(Ultra Wide Band)の技術を用いた近距離無線通信を行うことが可能になっている。なお、決済処理システムSには、システムを利用する会員として登録されたユーザ等の情報を管理する管理サーバが備えられてもよい。ここで、ユーザは、車両Cの利用者(例えば、車両Cの所有者)である。
【0015】
決済端末1は、例えば、ドライブスルー設備を有する店舗、駐車場、ガソリンスタンド、自動車専用道路の料金所などの場所に設置され、ユーザが商品を購入する際またはサービスを受ける際の料金支払いのための決済処理を行う端末である。このような場所は、車両Cの外部にあり、車両Cが走行して訪れることが可能な車両訪問場所である。決済処理において用いられる決済方法としては、電子マネー決済やクレジットカード決済等が挙げられるが特に限定されるものではない。なお、決済方法がクレジットカード決済である場合、決済端末1は、ネットワーク(図示せず)を介してクレジットカード情報を管理する管理サーバにアクセスして与信照会を行う場合もある。
【0016】
図2は、決済端末1の概要構成例を示す図である。図2に示すように、決済端末1は、無線通信部11、記憶部12、及び制御部13等を備えて構成される。無線通信部11は、アンテナを備え、NFC、Bluetooth、またはUWBの技術を用いた非接触通信を行う無線通信機器(例えば、リーダライタ)であり、近距離無線通信可能な範囲内で通信相手(例えば、ECU2)との間で無線通信を行う。特に、UWBの技術が用いられる場合、無線通信部11は、予め設定された距離範囲に通信相手が存在するか否かを一定周期で確認(位置確認)し、当該距離範囲に存在することが確認された通信相手との間で無線通信を行う。なお、当該無線通信機器は、例えば決済端末1の記憶部12及び制御部13が搭載される筐体外において車両Cが通過する地面に埋め込まれてもよい。
【0017】
記憶部12には、オペレーティングシステム(OS)及びアプリケーションが記憶される。アプリケーションには、相互認証処理プログラム及び決済処理プログラムが含まれる。さらに、記憶部12には、決済端末1に固有の公開鍵と秘密鍵の鍵ペア(暗号鍵)が記憶される。ここで、鍵ペアに含まれる公開鍵、及び当該公開鍵を特定するための鍵IDは、eSE3との間で事前に共有される。かかる公開鍵及び鍵IDは、決済端末1の端末情報に紐付けられて、管理サーバにより管理されるとよい。これにより、決済端末1に固有の公開鍵及び鍵IDは、会員として登録された複数のユーザそれぞれの車両Cに搭載されたECU2を介してeSE3に提供される。
【0018】
制御部13は、CPU(Central Processing Unit)、RAM(Random Access Memory)、及びROM(Read Only Memory)等を備えて構成される。制御部13は、相互認証処理プログラムにしたがって、ECU2を介してeSE3との間でセキュアセッション確立のための相互認証処理を実行する。この相互認証処理では、決済端末1に固有の秘密鍵、及びeSE3に固有の公開鍵(換言すると、車両Cに固有の公開鍵)等が用いられ、ECDH(Elliptic curve Diffie-Hellman key exchange)による鍵交換、及びECDSA(Elliptic Curve Digital Signature Algorithm)による署名生成と署名検証によって相互認証が行われる。また、制御部13は、eSE3との間のセキュアセッション確立後、決済処理プログラムにしたがって、上記相互認証処理において生成されたセッション鍵であって決済端末1との間で共通のセッション鍵により暗号化した決済用コマンドを、ECU2を介してeSE3へ送信する。そして、制御部13は、eSE3からECU2を介して決済用コマンドに対するレスポンスが受信された場合に、料金支払いのための決済処理を実行する。
【0019】
ECU2は、車両Cに搭載され、車両Cを制御する制御装置である。ECU2は、例えばセンターコンソール内部などに搭載される。図3は、ECU2の概要構成例を示す図である。図3に示すように、ECU2は、無線通信部21、インターフェース(I/F)部22、記憶部23、及び制御部24等を備えて構成される。無線通信部21は、アンテナを備え、NFC、Bluetooth、またはUWBの技術を用いた非接触通信を行う無線通信機器であり、近距離無線通信可能な範囲内で通信相手(例えば、決済端末1)との間で無線通信を行う。インターフェース部22は、eSE3との間のインターフェースを担い、eSE3に電気的に接続される。インターフェースの例として、SPI(Serial Peripheral Interface)、I2C(Inter-Integrated Circuit)、及びISO7816のインターフェースなどが挙げられる。
【0020】
記憶部23には、オペレーティングシステム及びアプリケーションが記憶される。アプリケーションには、車両制御プログラム及びデータ中継プログラムが含まれる。制御部24は、CPU、RAM、及びROM等を備えて構成される。なお、車両Cのコンソールにディスプレイ等のマルチメディア端末が備えられる場合、マルチメディア端末は、図示しないインターフェース部を介して制御部24に電気的に接続される。制御部24は、車両制御プログラムにしたがって、車両Cのドアの解錠及びエンジンの始動等に関する電気系統を制御する。また、制御部24は、データ中継プログラムにしたがって、決済端末1とeSE3との間でやり取りされるデータを中継する。かかる中継の際にデータのプロトコル変換が行われてもよい。
【0021】
eSE3は、例えば、車両Cのセンターコンソール内部やドア内部にはんだ付け等で取り外し不能に搭載され、例えば高い耐タンパ性を有するeUICC(embedded Universal Integrated Circuit Card)などのセキュアエレメントである。なお、eSEは、本発明の電子情報記憶媒体の一例である。図4は、eSE3の概要構成例を示す図である。図4に示すように、eSE3は、インターフェース(I/F)部31、RAM32、NVM(Nonvolatile Memory)33、及びCPU34等を備えて構成される。インターフェース部31は、ECU2との間のインターフェースを担い、ECU2に電気的に接続される。NVM33には、オペレーティングシステム及びアプリケーションが記憶される。アプリケーションには、相互認証処理プログラム及び決済処理プログラムが含まれる。
【0022】
また、NVM33には、決済用データが記憶される。決済用データは、例えば、車両Cに固有の決済用ID(識別情報)である。決済用IDは、例えば、ユーザの決済用情報に紐付けられて、管理サーバにより管理されるとよい。決済用情報には、決済方法に応じた決済に必要な情報が含まれる。例えば、決済方法がクレジットカード決済である場合、決済用情報には、クレジットカード決済に必要なクレジットカード番号、名義人の氏名、及び有効期限等のデータが含まれる。また、決済方法が電子マネー決済である場合、決済用情報には、電子マネー決済に必要な電子マネー番号、及び電子バリュー等のデータが含まれる。なお、NVM33には、決済用データとして、決済用IDに代えて(或いは、決済用IDとともに)、決済用情報が含まれてもよい。
【0023】
さらに、NVM33には、車両Cに固有の公開鍵と秘密鍵の鍵ペア(暗号鍵)が決済用データに対応付けられて記憶される。ここで、鍵ペアに含まれる公開鍵、及び当該公開鍵を特定するための鍵IDは、決済端末1との間で事前に共有される。かかる公開鍵及び鍵IDは、会員として登録された複数のユーザそれぞれの決済用ID及び決済用情報に紐付けられて、管理サーバにより管理されるとよい。これにより、eSE3に固有の公開鍵及び鍵IDは、決済端末1に提供される。また、決済用IDをキーとして決済用情報が決済端末1に提供される。
【0024】
CPU34は、本発明における認証処理手段、送信手段、及び問合せ手段の一例である。CPU34は、相互認証処理プログラムにしたがって、インターフェース部31及びECU2を介して決済端末1との間でセキュアセッション(暗号通信路)確立のための相互認証処理を実行する。この相互認証処理では、eSE3に固有の秘密鍵(換言すると、車両Cに固有の秘密鍵)、及び決済端末1に固有の公開鍵等が用いられ、ECDHによる鍵交換、及びECDSAによる署名生成と署名検証によって相互認証が行われる。
【0025】
また、CPU34は、決済端末1との間のセキュアセッション確立後、決済端末1からECU2を介して決済用コマンドが受信された場合に、決済処理プログラムにしたがって、当該決済用コマンドに応じて決済用データをNVM33から読み出し、当該読み出した決済用データを含むレスポンスを、インターフェース部31及びECU2を介して決済端末1へ送信する。なお、決済端末1からECU2を介して決済用コマンドが受信された場合に、CPU34は、決済を許可するか否かを、ECU2を通じてユーザに問い合わせるとよい。この場合、CPU34は、当該問い合わせに応じてユーザにより決済を許可する指示があった場合に限り、決済用データを含むレスポンスを、インターフェース部31及びECU2を介して決済端末1へ送信するとよい。
【0026】
[2.決済処理システムSの動作]
次に、図5~図7を参照して、決済処理システムSの動作について説明する。図5は、決済処理システムSにおいてセキュアセッション開始前に実施されるトランザクションの一例を示すシーケンス図である。図6は、時間払いの駐車場の地面に埋め込まれた無線通信部11と車両Cとの位置関係を示す概念図である。図7は、決済処理システムSにおいてセキュアセッション開始後に実施されるトランザクションの一例を示すシーケンス図である。
次に、図5~図7を参照して、決済処理システムSの動作について説明する。図5は、決済処理システムSにおいてセキュアセッション開始前に実施されるトランザクションの一例を示すシーケンス図である。図6は、時間払いの駐車場の地面に埋め込まれた無線通信部11と車両Cとの位置関係を示す概念図である。図7は、決済処理システムSにおいてセキュアセッション開始後に実施されるトランザクションの一例を示すシーケンス図である。
【0027】
図5において、決済端末1の無線通信部11は、図6(A)に示すように、電波Dをアクティブに発信し、予め設定された距離範囲Hに通信相手が存在するか否かを一定周期で確認する。図6(A)の例では、ECU2を搭載する車両Cが距離範囲H内に入っていないので、ECU2が距離範囲Hに存在することが確認(検知)されない(待機状態)。一方、図6(B)の例では、ECU2を搭載する車両Cが距離範囲H内に入ることにより、ECU2が距離範囲Hに存在することが確認される(通信開始)。つまり、車両Cが距離範囲H内に入ったことをもって、利用者による決済の意思表示がされたと判断される。図6(B)の例では、車両Cが駐車する場合を例にとっているが、ETCのように車両Cが所定位置を通り過ぎる場合も、ECU2が距離範囲Hに存在することが確認され、その結果、通信開始されてもよい。なお、車両Cに搭載されたECU2の無線通信部21が電波をアクティブに発信し、予め設定された距離範囲に通信相手(つまり、決済端末1)が存在するか否かを一定周期で確認してもよい。
【0028】
決済端末1の制御部13は、図6(B)に示すように、ECU2が距離範囲Hに存在することを確認すると(ステップS1)、ECU2との間で無線通信を開始し(ステップS2)、決済処理を行うためのアプリケーション(決済処理プログラム)を選択するSELECTコマンドを、無線通信部11を介してECU2へ送信する(ステップS3)。次いで、ECU2の制御部24は、決済端末1からのSELECTコマンドを、無線通信部21を介して受信すると、プロトコル変換し、プロトコル変換されたSELECTコマンド(コマンドAPDU(Application Protocol Data Unit))を、インターフェース部22を介してeSE3へ送信する(ステップS4)。
【0029】
次いで、eSE3のCPU34は、ECU2からのSELECTコマンドを、インターフェース部31を介して受信すると、当該SELECTコマンドに応じてアプリケーション(決済処理プログラム)を選択し(ステップS5)、当該SELECTコマンドに対するレスポンス(レスポンスAPDU)を、インターフェース部31を介してECU2へ送信する(ステップS6)。かかるレスポンスには、例えば、SW(Status Word)“9000”及びTLV形式のFCI(File Control Information)が含まれている。次いで、ECU2の制御部24は、eSE3からのレスポンスを、インターフェース部22を介して受信すると、プロトコル変換し、プロトコル変換されたレスポンスを、無線通信部21を介して決済端末1へ送信する(ステップS7)。
【0030】
次いで、決済端末1の制御部13は、ECU2からのレスポンスを、無線通信部11を介して受信すると、一時的な公開鍵と秘密鍵の鍵ペアを生成する(ステップS8)。ここで、一時的な公開鍵を一時公開鍵といい、事前に共有されて管理されている公開鍵と区別される。同様に、一時的な秘密鍵を一時秘密鍵といい、事前に共有されて管理されている秘密鍵と区別される。一時公開鍵は、先に生成された一時秘密鍵(例えばランダムな数値)とECDHのプロトコルに従った楕円曲線上の点に基づくECDH演算により生成される。ECDH演算では、例えば、楕円曲線上の点pのk倍点kpを計算するスカラー倍算を行うことで一時秘密鍵から一時公開鍵が生成される。楕円曲線のパラメータは、決済端末1とeSE3との間で既知である。
【0031】
次いで、決済端末1の制御部13は、ステップS8で生成された一時公開鍵を含むAUTH0コマンドを、無線通信部11を介してECU2へ送信する(ステップS9)。AUTH0コマンドは、ECDH用の一時公開鍵を交換し、暗号通信用のセッション鍵を生成させるためのコマンドである。次いで、ECU2の制御部24は、決済端末1からのAUTH0コマンドを、無線通信部21を介して受信すると、プロトコル変換し、プロトコル変換されたAUTH0コマンドを、インターフェース部22を介してeSE3へ送信する(ステップS10)。
【0032】
次いで、eSE3のCPU34は、ECU2からのAUTH0コマンドを、インターフェース部31を介して受信すると、eSE3に固有の一時公開鍵と一時秘密鍵の鍵ペアを生成する(ステップS11)。次いで、eSE3のCPU34は、受信されたAUTH0コマンドに含まれる一時公開鍵(決済端末1に固有の一時公開鍵)と、ステップS11で生成された一時秘密鍵(eSE3に固有の一時秘密鍵)とに基づくECDH演算により共有鍵を生成する(ステップS12)。次いで、eSE3のCPU34は、ステップS12におけるECDH演算の過程で得られたデータに基づいて、決済端末1とeSE3と間のセキュアセッションに用いられるセッション鍵を生成する(ステップS13)。なお、セッション鍵は、ステップS12で生成された共有鍵を用いて生成されてもよい。
【0033】
次いで、eSE3のCPU34は、AUTH0コマンドに対するレスポンスを、インターフェース部31を介してECU2へ送信する(ステップS14)。かかるレスポンスには、ステップS11で生成された、eSE3に固有の一時公開鍵が含まれる。次いで、ECU2の制御部24は、eSE3からのレスポンスを、インターフェース部22を介して受信すると、プロトコル変換し、プロトコル変換されたレスポンスを、無線通信部21を介して決済端末1へ送信する(ステップS15)。
【0034】
次いで、決済端末1の制御部13は、ECU2からのレスポンスを、無線通信部11を介して受信すると、当該レスポンスに含まれる一時公開鍵(eSE3に固有の一時公開鍵)と、ステップS8で生成された一時秘密鍵(決済端末1に固有の一時秘密鍵)とに基づくECDH演算により共有鍵を生成する(ステップS16)。次いで、決済端末1の制御部13は、ECDSAに従って、決済端末1に固有の秘密鍵を用いて署名生成を行うことで端末証明書を生成する(ステップS17)。
【0035】
次いで、決済端末1の制御部13は、ステップS17で生成された端末証明書、及び決済端末1に固有の公開鍵を特定するための鍵IDを含むAUTH1コマンドを、無線通信部11を介してECU2へ送信する(ステップS18)。AUTH1コマンドは、ECDSA用のデジタル署名を交換し、相互認証を実施するためのコマンドである。次いで、ECU2の制御部24は、決済端末1からのAUTH1コマンドを、無線通信部21を介して受信すると、プロトコル変換し、プロトコル変換されたAUTH1コマンドを、インターフェース部22を介してeSE3へ送信する(ステップS19)。
【0036】
次いで、eSE3のCPU34は、ECU2からのAUTH1コマンドを、インターフェース部31を介して受信すると、AUTH1コマンドに含まれる鍵IDに基づいて決済端末1に固有の公開鍵を特定し、ECDSAに従って、当該特定された公開鍵を用いて、当該AUTH1コマンドに含まれる端末証明書の署名検証を行う(ステップS20)。当該署名検証が成功すると、eSE3のCPU34は、ECDSAに従って、eSE3に固有の秘密鍵を用いて署名生成を行うことでSE証明書を生成する(ステップS21)。
【0037】
次いで、eSE3のCPU34は、AUTH1コマンドに対するレスポンスを、インターフェース部31を介してECU2へ送信する(ステップS22)。かかるレスポンスには、ステップS21で生成されたSE証明書、及びeSE3に固有の公開鍵を特定するための鍵IDが含まれる。次いで、ECU2の制御部24は、eSE3からのレスポンスを、インターフェース部22を介して受信すると、プロトコル変換し、プロトコル変換されたレスポンスを、無線通信部21を介して決済端末1へ送信する(ステップS23)。
【0038】
次いで、決済端末1の制御部13は、ECU2からのレスポンスを、無線通信部11を介して受信すると、当該レスポンスに含まれる鍵IDに基づいてeSE3に固有の公開鍵を特定し、ECDSAに従って、当該特定された公開鍵を用いて、当該レスポンスに含まれるSE証明書の署名検証を行う(ステップS24)。当該署名検証が成功すると、決済端末1の制御部13は、ステップS16におけECDH演算の過程で得られたデータに基づいて、決済端末1とeSE3と間のセキュアセッションに用いられるセッション鍵を生成する(ステップS25)。なお、セッション鍵は、ステップS16で生成された共有鍵を用いて生成されてもよい。ここで生成されるセッション鍵は、ステップS13で生成されたセッション鍵と同じ生成方法で生成されるため、両者は一致する。
【0039】
図7において、決済端末1の制御部13は、ステップS25で生成されたセッション鍵を用いてeSE3との間でセキュアセッションを開始する(ステップS26)。かかるセキュアセッションでは上記生成されたセッション鍵により暗号化されたデータ(コマンドまたはレスポンス)が送受信される。すなわち、決済端末1の制御部13は、決済用データの取得要求を示す決済用コマンド(EXCHANGEコマンド)であってセッション鍵により暗号化された決済用コマンドを、無線通信部11を介してECU2へ送信する(ステップS27)。次いで、ECU2の制御部24は、決済端末1からの決済用コマンドを、無線通信部21を介して受信すると、プロトコル変換し、プロトコル変換された決済用コマンドを、インターフェース部22を介してeSE3へ送信する(ステップS28)。
【0040】
次いで、eSE3のCPU34は、ECU2からの決済用コマンドを、インターフェース部31を介して受信すると、決済を許可するか否かの問い合わせを示すデータを含むレスポンスを、インターフェース部31を介してECU2へ送信する(ステップS29)。次いで、ECU2の制御部24は、eSE3からのレスポンスを、インターフェース部22を介して受信すると、例えば決済許可を示すボタン(或いは、決済不許可を示すボタンでもよい)をマルチメディア端末に表示させる(ステップS30)。これにより、eSE3からの問い合わせに応じて決済を許可するか否かの指示がユーザに求められる。
【0041】
なお、車両Cのコンソールにマルチメディア端末がない場合、ECU2の制御部24は、ECU2との間でBluetooth(登録商標)等により予めペアリングされたユーザ端末(例えば、スマートフォン)に決済許可を示すボタン(決済不許可を示すボタンでもよい)を表示させることで、決済を許可するか否かの指示をユーザに求めるように構成してもよい。或いは、ECU2の制御部24は、決済を許可するか否かの指示を求める情報を管理サーバに送信することで、管理サーバがユーザ端末に決済許可を示すボタン(決済不許可を示すボタンでもよい)を表示させるように構成してもよい。
【0042】
そして、ECU2の制御部24は、ユーザにより決済許可を示すボタンが指定されることによりユーザから決済を許可する指示を受け付けた場合に(ステップS31)、決済用データの要求を示す要求コマンド(例えば、GETコマンド)を、インターフェース部22を介してeSE3へ送信する(ステップS32)。次いで、eSE3のCPU34は、ECU2からの要求コマンドを、インターフェース部31を介して受信すると、ステップS5で選択されたアプリケーション(決済処理プログラム)により決済用データをNVM33から読み出し(ステップS33)、当該読み出された決済用データを含むレスポンスを、インターフェース部31を介してECU2へ送信する(ステップS34)。
【0043】
次いで、ECU2の制御部24は、eSE3からのレスポンスを、インターフェース部22を介して受信すると、プロトコル変換し、プロトコル変換されたレスポンスを、無線通信部21を介して決済端末1へ送信する(ステップS35)。これにより、図5に示す例によれば、上記問い合わせに応じてユーザにより決済を許可する指示があった場合に限り、決済用データを含むレスポンスが決済端末1へ送信される。
【0044】
次いで、決済端末1の制御部13は、ECU2からのレスポンスを、無線通信部11を介して受信すると、当該レスポンスに含まれる決済用データに基づいて、料金支払いのための決済処理を実行する(ステップS36)。例えば、決済端末1の制御部13は、決済用データに基づいて決済用情報を取得し、決済用情報に示される決済方法により駐車場の料金をユーザに課す(例えば、引き落とす)処理を実行する。なお、決済用データが決済用IDである場合、決済端末1の制御部13は、当該決済用IDをキーとしてユーザの決済用情報を管理サーバから取得するとよい。
【0045】
以上説明したように、上記実施形態によれば、ECU2が決済端末1との近距離無線通信可能な範囲内に入った場合に、決済端末1とeSE3との間でECU2を介して、車両Cに固有の暗号鍵及び決済端末1に固有の暗号鍵を用いてセキュアセッション確立のための相互認証処理を実行し、決済端末1が相互認証処理において生成されたセッション鍵により暗号化した決済用コマンドをECU2を介してeSE3へ送信し、eSE3が決済用コマンドを受信すると、当該決済用コマンドに応じて決済用データをNVM33から読み出し、当該読み出した決済用データを含むレスポンスを、ECU2を介して決済端末1へ送信するように構成したので、決済取引において車両Cの利用者の利便性及びセキュリティを向上させることができる。例えば、従来、利用者が自身の名義で作成したETCカード等を用意し、これを車両の専用端末に差し込んで決済に用いていたが、本実施形態では、車両Cに取り外し不能に搭載されたeSE3を利用することで車両Cに対する決済を行うことを可能とし、しかも、eSE3に固有の暗号鍵(換言すると、車両Cに固有の暗号鍵)を利用することでセキュリティを向上させることが可能になった。
【符号の説明】
【0046】
1 決済端末
2 ECU
3 eSE
11 無線通信部
12 記憶部
13 制御部
21 無線通信部
22 インターフェース部
23 記憶部
24 制御部
31 インターフェース部
32 RAM
33 NVM
34 CPU
S 決済処理システム
2 ECU
3 eSE
11 無線通信部
12 記憶部
13 制御部
21 無線通信部
22 インターフェース部
23 記憶部
24 制御部
31 インターフェース部
32 RAM
33 NVM
34 CPU
S 決済処理システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】