[go: up one dir, main page]

JP2006221462A - Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service. - Google Patents

Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service. Download PDF

Info

Publication number
JP2006221462A
JP2006221462A JP2005034928A JP2005034928A JP2006221462A JP 2006221462 A JP2006221462 A JP 2006221462A JP 2005034928 A JP2005034928 A JP 2005034928A JP 2005034928 A JP2005034928 A JP 2005034928A JP 2006221462 A JP2006221462 A JP 2006221462A
Authority
JP
Japan
Prior art keywords
service
electronic money
service provider
data
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005034928A
Other languages
Japanese (ja)
Inventor
Reiko Hoshino
玲子 星野
Hiroshi Aono
博 青野
Setsuyuki Hongo
節之 本郷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2005034928A priority Critical patent/JP2006221462A/en
Publication of JP2006221462A publication Critical patent/JP2006221462A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】複数のネットワーク接続サービスを簡易に利用することができると共に、利用者に対する適正な課金を実現すること。
【解決手段】このサービス利用者装置2は、課金管理装置5に対して電子マネー要求情報を送信する電子マネー要求部201と、電子マネーデータの残高への充填処理を行う電子マネー充填部202と、接続先装置4との接続を要求する接続要求と自己の電子証明書とを、サービス提供者装置3に送信する接続要求部205と、サービス提供者装置3から返送された電子証明書及び料金表情報に基づいて、料金表情報を検証する料金表検証部211と、料金表情報に基づいて接続に関する料金を算出した後、電子マネーデータの残高及び料金に基づいて料金支払処理を行う支払処理部212と、料金支払処理の証拠に電子署名データを付加して、サービス提供者装置3に送信する支払証拠送信部214とを備える。
【選択図】図1
A plurality of network connection services can be easily used, and appropriate charging for a user is realized.
The service user device 2 includes an electronic money requesting unit 201 that transmits electronic money request information to the charge management device 5, and an electronic money filling unit 202 that performs a filling process on a balance of electronic money data. The connection request unit 205 that transmits a connection request for requesting connection to the connection destination device 4 and its own electronic certificate to the service provider device 3, and the electronic certificate and fee returned from the service provider device 3 A fee table verification unit 211 that verifies the fee table information based on the table information, and a payment process that calculates a connection fee based on the fee table information and then performs a fee payment process based on the balance and the fee of the electronic money data Unit 212 and a payment proof transmission unit 214 that adds the electronic signature data to the proof of fee payment processing and transmits it to the service provider apparatus 3.
[Selection] Figure 1

Description

本発明は、サービス利用者装置、サービス提供者装置、課金管理装置、ネットワーク接続サービスシステム、及びネットワーク接続サービスにおける課金方法に関するものである。   The present invention relates to a service user apparatus, a service provider apparatus, a charging management apparatus, a network connection service system, and a charging method in a network connection service.

従来から、さまざまな場所で随時にアドホックネットワークや無線LAN(Local Area Network)等のネットワーク接続サービスの提供者(プロバイダ)を選択することが可能な通信サービスが存在する。このような通信サービスの種類としては、アドホックネットワークにおける仮想通貨をパケットに付帯して転送し、その仮想通貨によりパケット転送の支払を行う“アドホックネットワーク対応(Terminode)型”が知られている(下記非特許文献1及び2参照)。この方式における仮想通貨は、ノード設備におけるカウンタで管理されている。   Conventionally, there is a communication service capable of selecting a provider (provider) of a network connection service such as an ad hoc network or a wireless local area network (LAN) at any time in various places. As a type of such a communication service, an “ad hoc network compatible (Terminode) type” is known in which virtual currency in an ad hoc network is attached to a packet and transferred, and the packet transfer is paid by the virtual currency (described below). Non-Patent Documents 1 and 2). The virtual currency in this method is managed by a counter in the node facility.

また、利用したサービスに応じて、端末に格納されている通信事業者専用のトークンを送出する“リアルタイムペイメント型”も知られている(下記非特許文献1及び2参照)。さらには、端末が送受信したデータ量、及びサービス利用時間に応じた課金が可能な“否認不可能なビリング型”も用いられている(下記非特許文献3参照)。
L. Blazevic, et al., “Self-Organization in Mobile Ad Hoc Networks: The Approach of Terminodes”, IEEE Communications Magazine, June 2001 L. Buttyan and J.-P. Hubaux, “Nuglets: A Virtual Currency to Stimulate Cooperation in Self-Organized Mobile Ad Hoc Networks”, Tech Report DSC/2001/001, Swiss Federal Institute of Technology, Lausanne, 2001 Jianying Zhou, "Non-repudiation in Electronic Commerce". ISBN 1-58053-247-0, Computer Security Series, Artech House, 2001 There is also known a “real-time payment type” in which a token dedicated to a communication carrier stored in a terminal is transmitted according to the service used (see Non-Patent Documents 1 and 2 below). Furthermore, a “non-repudiation billing type” that can be charged according to the amount of data transmitted / received by the terminal and the service usage time is also used (see Non-Patent Document 3 below).
L. Blazevic, et al., “Self-Organization in Mobile Ad Hoc Networks: The Approach of Terminodes”, IEEE Communications Magazine, June 2001 L. Buttyan and J.-P. Hubaux, “Nuglets: A Virtual Currency to Stimulate Cooperation in Self-Organized Mobile Ad Hoc Networks”, Tech Report DSC / 2001/001, Swiss Federal Institute of Technology, Lausanne, 2001 Jianying Zhou, "Non-repudiation in Electronic Commerce". ISBN 1-58053-247-0, Computer Security Series, Artech House, 2001

しかしながら、上記アドホックネットワーク対応型においては、ノード設備において悪意にカウンタを増やすのを防ぐためには、発信ノードを初め、転送ノード、着信ノード等のパケット転送に関わる全てのノード設備において耐タンパデバイスを備えなければならない。従って、同時に複数のプロバイダにおいてこの方式に対応することは困難である。さらには、パケットに仮想通貨を付帯する方式であるため、いったん送出されたパケットが仮想通貨の不足により破棄されることがある。   However, in the ad hoc network compatible type, in order to prevent maliciously increasing the counter in the node equipment, the tamper-resistant device is provided in all the node equipment related to packet forwarding such as the transmitting node, the forwarding node, and the receiving node. There must be. Therefore, it is difficult for a plurality of providers to cope with this method at the same time. In addition, since the virtual currency is attached to the packet, the packet once sent may be discarded due to a lack of virtual currency.

また、上記リアルタイムペイメント型においては、プロバイダのサービスを利用する際には、そのプロバイダ専用のトークンを購入する必要がある。また、上記否認不可能なビリング型においては、利用者が予め契約しているホームネットワーク以外のネットワークに接続する際には、ホームネットワークとの相互接続を行うローミング接続が用いられている。この場合、ホームネットワークと相互接続されていないネットワークとは接続することができない。従って、これらの方式では、新しいプロバイダに即座に接続することが困難である。   In the real-time payment type, when a provider service is used, it is necessary to purchase a token dedicated to the provider. In the non-repudiation billing type, when connecting to a network other than the home network that the user has previously contracted with, a roaming connection for mutual connection with the home network is used. In this case, it is impossible to connect to a network that is not interconnected with the home network. Therefore, with these methods, it is difficult to connect to a new provider immediately.

そこで、本発明は、かかる課題に鑑みて為されたものである、複数のネットワーク接続サービスを簡易に利用することができると共に、利用者に対する適正な課金を可能にするサービス利用者装置、サービス提供者装置、課金管理装置、ネットワーク接続サービスシステム、及びネットワーク接続サービスにおける課金方法を提供することを目的とする。   Therefore, the present invention has been made in view of such problems, and it is possible to easily use a plurality of network connection services and to provide a service user apparatus and a service that enable appropriate charging for the user It is an object of the present invention to provide a user apparatus, a charge management apparatus, a network connection service system, and a charge method in a network connection service.

上記課題を解決するため、本発明のサービス利用者装置は、電子マネーの発行元である課金管理装置に対して、所定額の電子マネーデータを要求する電子マネー要求情報を送信する電子マネー要求手段と、電子マネー要求情報に対して課金管理装置から送信された電子マネーデータに基づいて、予め保持する電子マネーデータの残高への充填処理を行う電子マネー充填手段と、通信ネットワークを介した接続先装置との接続を要求する接続要求と、自己の証明用データとを、特定のサービス提供者装置に送信する接続要求手段と、接続要求に対してサービス提供者装置から返送された証明用データ及び料金表情報に基づいて、料金表情報を検証する料金表検証手段と、料金表情報に基づいて接続に関する料金を算出した後、電子マネーデータの残高及び料金に基づいて料金支払処理を行う支払処理手段と、料金支払処理の証拠に電子署名データを付加して、サービス提供者装置に送信する支払証拠送信手段とを備える。   In order to solve the above-mentioned problem, the service user apparatus according to the present invention transmits an electronic money request information requesting a predetermined amount of electronic money data to a billing management apparatus that is an electronic money issuer. And an electronic money filling means for filling the balance of electronic money data held in advance based on the electronic money data transmitted from the billing management apparatus in response to the electronic money request information, and a connection destination via the communication network A connection request means for transmitting a connection request for requesting connection with a device and its own proof data to a specific service provider device, proof data returned from the service provider device in response to the connection request, and Charge table verification means for verifying the charge table information based on the charge table information, electronic money data after calculating the connection charge based on the charge table information It includes a payment processing means for performing payment process based on the balances and rates, by adding the electronic signature data to the evidence of payment processing, and a payment proof transmitting means for transmitting to the service provider device.

本発明のサービス提供者装置は、通信ネットワークを介した接続に関する料金表情報を格納する料金表格納手段と、接続に関するサービスを利用するサービス利用者装置から、通信ネットワークを介した接続先装置との接続を要求する接続要求と、サービス利用者装置の証明用データとを受信する接続要求受信手段と、接続要求の受信に応じて、自己の証明用データを返送する証明書返送手段と、接続要求の受信に応じて、料金表格納手段に格納されている料金表情報に電子署名データを付加して、サービス利用者装置に送信する料金表送信手段と、サービス利用者装置から送信された接続に関する料金支払処理の証拠を受信する支払証拠受信手段と、サービス利用者装置の証明用データ及び料金支払処理の証拠に基づいて、料金支払処理の証拠を検証する支払証拠検証手段と、料金支払処理の証拠の受信に応じて、サービス利用者装置と接続先装置との間の接続を制御する通信制御手段と、料金支払処理の証拠を格納する通信履歴格納手段と、通信履歴格納手段に格納されている料金支払処理の証拠を電子マネーの発行元である課金管理装置に送信する通信履歴送信手段とを備える。   A service provider device according to the present invention includes a fee table storage unit that stores fee table information related to a connection via a communication network, and a service user device that uses a service related to a connection to a connection destination device via a communication network. A connection request receiving means for receiving a connection request for requesting connection and proof data for the service user device; a certificate returning means for returning self-certification data in response to reception of the connection request; and a connection request. In response to the reception, the fee table transmitting means for adding the electronic signature data to the fee table information stored in the fee table storage means and transmitting the information to the service user device, and the connection transmitted from the service user device Based on payment proof receiving means for receiving proof of fee payment processing, proof data of service user equipment and proof of fee payment processing, Payment evidence verification means for verifying the basis, communication control means for controlling connection between the service user apparatus and the connection destination apparatus in response to receipt of the evidence of charge payment processing, and evidence of charge payment processing Communication history storage means, and communication history transmission means for transmitting evidence of fee payment processing stored in the communication history storage means to a billing management apparatus that is an issuer of electronic money.

本発明の課金管理装置は、通信ネットワークを介した接続に関するサービスを利用するサービス利用者装置から、所定額の電子マネーデータを要求する電子マネー要求情報を受信する電子マネー要求受信手段と、電子マネー要求情報に応じて、所定額に対応する電子マネーデータをサービス利用者装置に送信する電子マネー送信手段と、サービスを提供するサービス提供者装置から、サービスに関する料金支払処理の証拠を受信する通信履歴受信手段と、料金支払処理の証拠に基づいて、サービス提供者装置に対する決済処理を行う決済処理手段とを備える。   The billing management apparatus of the present invention comprises an electronic money request receiving means for receiving electronic money request information for requesting a predetermined amount of electronic money data from a service user device that uses a service related to connection via a communication network, and an electronic money According to request information, an electronic money transmission means for transmitting electronic money data corresponding to a predetermined amount to a service user device, and a communication history for receiving proof of fee payment processing related to the service from the service provider device providing the service Receiving means and payment processing means for performing payment processing for the service provider device based on the evidence of the fee payment processing.

本発明のネットワーク接続サービスシステムは、上述したサービス利用者装置と、上述したサービス提供者装置と、上述した課金管理装置とを備える。   The network connection service system of the present invention includes the above-described service user device, the above-described service provider device, and the above-described charging management device.

本発明のネットワーク接続サービスにおける課金方法は、通信ネットワークを介した接続に関するサービスを利用するサービス利用者装置が、電子マネーの発行元である課金管理装置に対して、所定額の電子マネーデータを要求する電子マネー要求情報を送信する電子マネー要求ステップと、課金管理装置が、サービス利用者装置から所定額の電子マネーデータを要求する電子マネー要求情報を受信する電子マネー要求受信ステップと、課金管理装置が、電子マネー要求情報に応じて、所定額に対応する電子マネーデータをサービス利用者装置に送信する電子マネー送信ステップと、サービス利用者装置が、課金管理装置から送信された電子マネーデータに基づいて、予め保持する電子マネーデータの残高への充填処理を行う電子マネー充填ステップと、サービス利用者装置が、通信ネットワークを介した接続先装置との接続を要求する接続要求と、自己の証明用データとを、特定のサービス提供者装置に送信する接続要求手段と、サービス提供者装置が、サービス利用者装置から、接続要求と、サービス利用者装置の証明用データとを受信する接続要求受信ステップと、サービス提供者装置が、接続要求の受信に応じて、自己の証明用データを返送する証明書返送ステップと、サービス提供者装置が、接続要求の受信に応じて、接続に関する料金表情報に電子署名データを付加して、サービス利用者装置に送信する料金表送信ステップと、サービス利用者装置が、サービス提供者装置から返送された証明用データ及び料金表情報に基づいて、料金表情報を検証する料金表検証ステップと、サービス利用者装置が、料金表情報に基づいて接続に関する料金を算出した後、電子マネーデータの残高及び料金に基づいて料金支払処理を行う支払処理ステップと、サービス利用者装置が、料金支払処理の証拠に電子署名データを付加して、サービス提供者装置に送信する支払証拠送信ステップと、サービス提供者装置が、料金支払処理の証拠を受信する支払証拠受信ステップと、サービス提供者装置が、サービス利用者装置の証明用データ及び料金支払処理の証拠に基づいて、料金支払処理の証拠を検証する支払証拠検証ステップと、サービス提供者装置が、料金支払処理の証拠の受信に応じて、サービス利用者装置と接続先装置との間の接続を制御する通信制御ステップと、サービス提供者装置が、料金支払処理の証拠を課金管理装置に送信する通信履歴送信ステップと、課金管理装置が、サービス提供者装置から、サービスに関する料金支払処理の証拠を受信する通信履歴受信ステップと、課金管理装置が、料金支払処理の証拠に基づいて、サービス提供者装置に対する決済処理を行う決済処理手段とを備える。   In the billing method in the network connection service of the present invention, a service user device that uses a service related to a connection through a communication network requests a predetermined amount of electronic money data from a billing management device that is an issuer of electronic money. An electronic money request step for transmitting electronic money request information, an electronic money request receiving step for receiving an electronic money request information for requesting a predetermined amount of electronic money data from a service user device, and an accounting management device The electronic money transmission step of transmitting electronic money data corresponding to a predetermined amount to the service user device according to the electronic money request information, and the service user device based on the electronic money data transmitted from the billing management device E-money filling that fills the balance of pre-held electronic money data A connection request means for transmitting a request for connection between the service user device and the connection destination device via the communication network to the specific service provider device, and a service. The provider device receives the connection request and the proof data of the service user device from the service user device, and the service provider device certifies itself when receiving the connection request. A certificate return step for returning data for use, and a charge table transmission step in which the service provider device adds electronic signature data to the charge table information related to the connection and transmits it to the service user device upon receipt of the connection request. And a fee table verification step in which the service user device verifies the fee table information based on the certification data and the fee table information returned from the service provider device. And a payment processing step in which the service user device calculates a connection fee based on the fee table information and then performs a fee payment process based on the balance and fee of the electronic money data, and the service user device A payment proof transmitting step of adding electronic signature data to the payment processing proof and transmitting it to the service provider device; a payment proof receiving step of receiving the proof of fee payment processing by the service provider device; and a service provider device A payment proof verification step for verifying the proof of fee payment processing based on the proof data of the service user device and the proof of fee payment processing, and the service provider device in response to receiving the proof of fee payment processing. A communication control step for controlling the connection between the service user apparatus and the connection destination apparatus, and the service provider apparatus A communication history transmission step for transmitting to the management device; a charging history management device for receiving a proof of fee payment processing for the service from the service provider device; and a charging management device based on the proof of the fee payment processing. And a payment processing means for performing a payment process for the service provider device.

このようなサービス利用者装置、サービス提供者装置、課金管理装置、ネットワーク接続サービスシステム、及びネットワーク接続サービスにおける課金方法によれば、サービス利用者装置において予め課金管理装置から電子マネーデータが充填され、その電子マネーデータの分配に関する決済は課金管理装置にて集中的に行われる。また、サービス利用者装置が接続先装置との接続サービスを利用する場合は、サービス提供者装置からサービス利用者装置に料金表情報と電子署名データとが送られ、サービス利用者装置においては、料金表情報を検証した後にその料金表情報に基づいて料金を計算して、計算結果に基づいて電子マネーを用いた料金支払処理を行う。さらに、サービス利用者装置からサービス提供者装置に対して、料金支払処理の証拠と電子署名データとが送られ、サービス提供者装置において料金支払処理の証拠を検証することにより、サービス利用者装置と接続先装置との接続を制御する。併せて、サービス提供者装置から課金管理装置に対して料金支払処理の証拠が送付され、課金管理装置においてサービス提供者に対する決済処理が実行される。これにより、複数のサービス提供者が存在する場合であっても、共通の電子マネーを充填しておくことでサービス利用者が選択した通信ネットワークに即座に接続することができる。また、サービス利用者装置とサービス提供者装置間は電子署名データが授受されるので、他人のなりすまし等を防止して利用者に対する適正な課金を実現することができる。   According to such a service user device, service provider device, billing management device, network connection service system, and billing method in the network connection service, electronic money data is filled in advance from the billing management device in the service user device, The settlement relating to the distribution of the electronic money data is concentrated in the billing management device. In addition, when the service user device uses a connection service with the connection destination device, the fee table information and the electronic signature data are sent from the service provider device to the service user device. After the table information is verified, a fee is calculated based on the fee table information, and a fee payment process using electronic money is performed based on the calculation result. Further, the service user apparatus sends a proof of fee payment processing and electronic signature data to the service provider device, and verifies the proof of fee payment processing in the service provider device. Controls the connection with the connection destination device. In addition, a proof of fee payment processing is sent from the service provider device to the billing management device, and settlement processing for the service provider is executed in the billing management device. Thereby, even when there are a plurality of service providers, it is possible to immediately connect to the communication network selected by the service user by filling the common electronic money. In addition, since electronic signature data is exchanged between the service user device and the service provider device, it is possible to prevent impersonation of another person and to realize appropriate charging for the user.

また、上述したサービス利用者装置は、共通鍵暗号方式で用いる秘密鍵を交換するための鍵交換用パラメータを生成するパラメータ生成手段と、鍵交換用パラメータをサービス提供者装置に送信するパラメータ送信手段と、サービス提供者装置から受信した鍵交換用パラメータから秘密鍵を導出する秘密鍵導出手段とを備え、サービス提供者装置に情報を送信する際には、秘密鍵を用いて暗号化することが好ましい。かかる構成とすれば、サービス利用者装置とサービス提供者装置間で秘密鍵を共有して、その秘密鍵を用いて情報を送受信するので、通信ネットワークにおける情報の漏洩の防止、及び利用者に対する適正な課金を両立することができる。   In addition, the service user device described above includes a parameter generation unit that generates a key exchange parameter for exchanging a secret key used in the common key cryptosystem, and a parameter transmission unit that transmits the key exchange parameter to the service provider device. And secret key derivation means for deriving a secret key from the key exchange parameter received from the service provider device, and when transmitting information to the service provider device, the secret key may be used for encryption. preferable. With such a configuration, a secret key is shared between the service user device and the service provider device, and information is transmitted and received using the secret key, so that information leakage in the communication network is prevented and appropriate for the user. It is possible to achieve both billing.

また、上述したサービス提供者装置は、共通鍵暗号方式で用いる秘密鍵を交換するための鍵交換用パラメータを生成するパラメータ生成手段と、鍵交換用パラメータをサービス利用者装置に送信するパラメータ送信手段と、サービス利用者装置から受信した鍵交換用パラメータから秘密鍵を導出する秘密鍵導出手段とを備え、サービス利用者装置に情報を送信する際には、秘密鍵を用いて暗号化することが好ましい。かかる構成とすれば、サービス利用者装置とサービス提供者装置間で秘密鍵を共有して、その秘密鍵を用いて情報を送受信するので、通信ネットワークにおける情報の漏洩の防止、及び利用者に対する適正な課金を両立することができる。   The service provider apparatus described above includes a parameter generating means for generating a key exchange parameter for exchanging a secret key used in the common key cryptosystem, and a parameter transmitting means for transmitting the key exchange parameter to the service user apparatus. And a secret key deriving unit for deriving a secret key from the parameter for key exchange received from the service user apparatus, and when the information is transmitted to the service user apparatus, the information can be encrypted using the secret key. preferable. With such a configuration, a secret key is shared between the service user device and the service provider device, and information is transmitted and received using the secret key, so that information leakage in the communication network is prevented and appropriate for the user. It is possible to achieve both billing.

本発明によれば、複数のネットワーク接続サービスを簡易に利用することができると共に、利用者に対する適正な課金を実現することができる。   ADVANTAGE OF THE INVENTION According to this invention, while being able to use a some network connection service easily, the appropriate charge with respect to a user is realizable.

以下、図面とともに本発明によるネットワーク接続サービスシステムの好適な実施形態について詳細に説明する。なお、図面の説明においては同一要素には同一符号を付し、重複する説明を省略する。   Hereinafter, preferred embodiments of a network connection service system according to the present invention will be described in detail with reference to the drawings. In the description of the drawings, the same elements are denoted by the same reference numerals, and redundant description is omitted.

[第1実施形態]
本発明の第1実施形態であるネットワーク接続サービスシステムは、アドホックネットワークや無線LAN等の通信ネットワークにおいて2者の装置間でのネットワーク接続サービスを提供する通信システムである。同図に示すように、ネットワーク接続サービスシステム1は、サービス利用者装置2と、サービス提供者装置3と、接続先装置4と、課金管理装置5とからなる。サービス利用者装置2、サービス提供者装置3、及び課金管理装置5は、インターネット網やLAN等の通信ネットワークN1を介して相互に情報の送受信が可能とされ、サービス利用者装置2、サービス提供者装置3、及び接続先装置4は、アドホックネットワークや無線LAN等の通信ネットワークN2を介して相互に情報の送受信が可能とされている。また、サービス利用者装置2、サービス提供者装置3、接続先装置4、及び課金管理装置5のそれぞれは、内部のプログラムやデータ等のデータ解析及び改竄を受けにくい耐タンパ性を有する装置である。 [First Embodiment]
The network connection service system according to the first embodiment of the present invention is a communication system that provides a network connection service between two devices in a communication network such as an ad hoc network or a wireless LAN. As shown in the figure, the network connection service system 1 includes a service user device 2, a service provider device 3, a connection destination device 4, and a charge management device 5. The service user device 2, the service provider device 3, and the charge management device 5 can transmit and receive information to and from each other via a communication network N1 such as the Internet network or a LAN. The device 3 and the connection destination device 4 can exchange information with each other via a communication network N2 such as an ad hoc network or a wireless LAN. In addition, each of the service user device 2, the service provider device 3, the connection destination device 4, and the charge management device 5 is a device having tamper resistance that is not easily subjected to data analysis and falsification of internal programs and data. .

サービス利用者装置2は、パーソナルコンピュータ、PDA(Personal Digital Assistance)、移動通信端末等により構成され、通信ネットワークN2を介したネットワーク接続サービスを利用するユーザ(U)の通信ノード装置である。図2に示すように、サービス利用者装置2は、電子マネー要求部(電子マネー要求手段)201と、電子マネー充填部(電子マネー充填手段)202と、電子マネー情報格納部203と、充填処理証拠送信部204と、接続要求部(接続要求手段)205と、パラメータ受信部206と、秘密鍵導出部(秘密鍵導出手段)207と、パラメータ生成部(パラメータ生成手段)208と、パラメータ送信部(パラメータ送信手段)209と、料金表受信部210と、料金表検証部(料金表検証手段)211と、支払処理部(支払処理手段)212と、支払証拠生成部213と、支払証拠送信部(支払証拠送信手段)214と、通信証拠受信部215と、通信証拠検証部216と、支払完了証拠生成部217と、支払完了証拠送信部218とを備えている。   The service user device 2 includes a personal computer, a PDA (Personal Digital Assistance), a mobile communication terminal, and the like, and is a communication node device of a user (U) who uses a network connection service via the communication network N2. As shown in FIG. 2, the service user apparatus 2 includes an electronic money requesting unit (electronic money requesting unit) 201, an electronic money filling unit (electronic money filling unit) 202, an electronic money information storage unit 203, and a filling process. Evidence transmission unit 204, connection request unit (connection request unit) 205, parameter reception unit 206, secret key derivation unit (secret key derivation unit) 207, parameter generation unit (parameter generation unit) 208, parameter transmission unit (Parameter transmission means) 209, fee table reception unit 210, fee table verification unit (charge table verification unit) 211, payment processing unit (payment processing unit) 212, payment evidence generation unit 213, payment evidence transmission unit (Payment Evidence Transmitting Means) 214, a communication evidence reception unit 215, a communication evidence verification unit 216, a payment completion evidence generation unit 217, and a payment completion evidence transmission unit 218 are provided. To have.

以下、サービス利用者装置2の各構成要素について詳細に説明する。   Hereinafter, each component of the service user apparatus 2 will be described in detail.

電子マネー要求部201は、ネットワーク接続サービスの利用前におけるサービス利用者からの指示を受けて、課金管理装置5に対して所定額の電子マネーデータを要求する電子マネー要求情報を送信する。このとき、電子マネー要求部201は、電子マネー要求情報には電子署名データを付加して送信する。ここで扱われる電子マネーデータは、プリペイド型であってもよいし、ポストペイ型であってもよい。電子マネー要求情報には、サービス利用者の料金決済の手段を表す決済手段情報と、要求する電子マネーデータの額を表す充填額情報とを含んでいる。例えば、決済手段情報としては、「クレジットカード番号」、「カード有効期限」、「カード利用者名」等の情報が該当する。また、電子マネー要求部201は、決済手段情報と充填額情報とを自己の秘密鍵SKUで暗号化することにより、電子署名データ“Sig{SKU,電子マネー要求情報}”を生成する。ここで、“Sig{SKU,}”は、秘密鍵SKUを用いたときの署名生成関数である。 In response to an instruction from a service user before using the network connection service, the electronic money request unit 201 transmits electronic money request information for requesting a predetermined amount of electronic money data to the charge management apparatus 5. At this time, the electronic money request unit 201 transmits the electronic money request information with the electronic signature data added thereto. The electronic money data handled here may be a prepaid type or a postpay type. The electronic money request information includes payment means information representing a means for paying a fee of the service user and filling amount information representing the amount of requested electronic money data. For example, the payment means information includes information such as “credit card number”, “card expiration date”, and “card user name”. Also, electronic money request unit 201, by encrypting the payment means information and filling amount information in its own secret key SK U, generates the electronic signature data "Sig {SK U, electronic money request information}". Here, “Sig {SK U ,}” is a signature generation function when the secret key SK U is used.

電子マネー充填部202は、電子マネー要求情報に応じて課金管理装置5から送信された電子マネーデータを受信した後に、電子マネーの充填処理を行う。すなわち、電子マネー充填部202は、受信した電子マネーデータから充填額を読み取った後、電子マネー情報格納部203に予め保持されている電子マネーデータの残高に対して読み取った充填額を加算する。電子マネー充填部202は、電子マネー情報格納部203の残高データの更新処理を有効化(コミット)する前に、充填処理証拠送信部204に対して、電子マネーデータを出力する。電子マネー充填部202は、充填処理証拠送信部204を介して課金管理装置5から電子マネー有効化指示を受け取った場合は、残高データの更新処理をコミットし、電子マネー有効化指示を所定時間内に受け取ることができない場合は、残高データの更新処理を無効化(ロールバック)する。   The electronic money filling unit 202 performs electronic money filling processing after receiving the electronic money data transmitted from the charge management device 5 in accordance with the electronic money request information. That is, the electronic money filling unit 202 reads the filling amount from the received electronic money data, and then adds the read filling amount to the balance of electronic money data held in advance in the electronic money information storage unit 203. The electronic money filling unit 202 outputs the electronic money data to the filling process evidence transmission unit 204 before validating (commiting) the balance data update process in the electronic money information storage unit 203. When the electronic money filling unit 202 receives the electronic money validation instruction from the charge management apparatus 5 via the filling process evidence sending unit 204, the electronic money filling unit 202 commits the balance data update process and sends the electronic money validation instruction within a predetermined time. If it cannot be received, the balance data update process is invalidated (rolled back).

充填処理証拠送信部204は、電子マネー充填部202から受け取った電子マネーデータの電子署名データ“Sig{SKU,電子マネーデータ}”を電子マネー充填証拠情報として、課金管理装置5に送信する。また、充填処理証拠送信部204は、課金管理装置5から電子マネー有効化指示を受信すると、電子マネー充填部202にその電子マネー有効化指示を出力する。 The filling process evidence transmission unit 204 transmits the electronic signature data “Sig {SK U , electronic money data}” of the electronic money data received from the electronic money filling unit 202 to the charge management apparatus 5 as electronic money filling evidence information. Further, when receiving the electronic money validation instruction from the charge management device 5, the filling process evidence transmitting unit 204 outputs the electronic money validation instruction to the electronic money filling unit 202.

接続要求部205は、サービス利用者からの指示を受けて、サービス提供者装置3に対して、通信ネットワークN2を介した接続先装置4との接続を要求する接続要求Service Requestと自己の電子証明書(証明用データ)CertUとを送信する。この電子証明書CertUは、サービス利用者の識別情報IDUと、サービス利用者の公開鍵PKUと、識別情報IDU及び公開鍵PKUの認証局(CA)による電子署名データ“Sig{SKCA,識別情報IDU+公開鍵PKU+・・・}”とを含んでいる。 In response to an instruction from the service user, the connection request unit 205 requests the service provider device 3 to connect to the connection destination device 4 via the communication network N2 and its own electronic certificate. Certificate (certification data) Cert U. The electronic certificate Cert U includes the identification information ID U of the service user, the public key PK U of the service user, and the electronic signature data “Sig {by the certificate authority (CA) of the identification information ID U and the public key PK U. SK CA , identification information ID U + public key PK U +.

パラメータ受信部206は、サービス提供者装置3から、サービス提供者装置3の電子証明書CertSPとサービス提供者装置3において生成された鍵交換パラメータaspとその電子署名データ“Sig{SKSP,asp }”とを含む接続要求応答Certificateを受信する。電子証明書CertSPは、サービス提供者の識別情報IDSPと、サービス提供者の公開鍵PKSPと、識別情報IDSP及び公開鍵PKSPの認証局(CA)による電子署名データ“Sig{SKCA,識別情報IDSP+公開鍵PKSP+・・・}”とを含んでいる。また、鍵交換パラメータaspとしては、例えば、DH(Diffie-Hellman)法において秘密鍵交換時に交換されるパラメータが用いられる。パラメータ受信部206は、接続要求応答Certificateから電子証明書CertSP、鍵交換パラメータasp、及び電子署名データ“Sig{SKSP,asp }”を読み取って、秘密鍵導出部207及びパラメータ生成部208に出力する。 The parameter receiving unit 206 receives from the service provider device 3 the electronic certificate Cert SP of the service provider device 3 and the key exchange parameter asp generated in the service provider device 3 and its electronic signature data “Sig {SK SP , a connection request response Certificate including “a sp }” is received. The electronic certificate Cert SP includes the identification information ID SP of the service provider, the public key PK SP of the service provider, and the electronic signature data “Sig {SK by the certificate authority (CA) of the identification information ID SP and the public key PK SP. CA , identification information ID SP + public key PK SP +. As the key exchange parameter asp , for example, a parameter exchanged at the time of secret key exchange in the DH (Diffie-Hellman) method is used. The parameter receiving unit 206 reads the electronic certificate Cert SP , the key exchange parameter asp , and the electronic signature data “Sig {SK SP , asp }” from the connection request response certificate, and generates a secret key derivation unit 207 and a parameter generation unit. It outputs to 208.

パラメータ生成部208は、サービス提供者装置3の電子証明書CertSPの検証、及びサービス提供者装置3に渡す鍵交換パラメータbUの生成を行う。具体的には、パラメータ生成部208は、認証局の公開鍵PKCAを用いて電子証明書CertSPの電子署名データを検証すると共に、電子証明書CertSPの内容から該当する電子証明書が信頼すべき認証局から発行されたものか、電子証明書が失効したものではないか等を確認することにより電子証明書CertSPの検証を行う。また、パラメータ生成部208は、電子証明書CertSPの検証が正常に終了した場合には、例えばDH法を用いることによりサービス提供者装置3に渡す鍵交換パラメータbUを生成する。パラメータ生成部208は、生成した鍵交換パラメータbUを、パラメータ送信部209に出力する。 The parameter generation unit 208 verifies the electronic certificate Cert SP of the service provider device 3 and generates a key exchange parameter b U to be passed to the service provider device 3. Specifically, the parameter generation unit 208 verifies the electronic signature data of the electronic certificate Cert SP using the public key PK CA of the certificate authority, and trusts the corresponding electronic certificate from the contents of the electronic certificate Cert SP. The digital certificate Cert SP is verified by confirming whether the certificate is issued by a certificate authority or whether the digital certificate has expired. In addition, when the verification of the electronic certificate Cert SP is normally completed, the parameter generation unit 208 generates a key exchange parameter b U to be passed to the service provider device 3 by using, for example, the DH method. The parameter generation unit 208 outputs the generated key exchange parameter b U to the parameter transmission unit 209.

秘密鍵導出部207は、サービス提供者装置3の公開鍵PKSPを用いて電子署名データ“Sig{SKSP,asp }”を検証すると共に、鍵交換パラメータaspから、サービス提供者装置3との間で共有するための秘密鍵K1を導出する。この導出方法は、例えばDH法による秘密鍵の導出方法が用いられる。 The secret key derivation unit 207 verifies the electronic signature data “Sig {SK SP , asp }” using the public key PK SP of the service provider device 3 and uses the service exchange device 3 from the key exchange parameter asp. A secret key K1 is derived for sharing with. As this derivation method, for example, a derivation method of a secret key by the DH method is used.

パラメータ送信部209は、パラメータ生成部208が生成した鍵交換パラメータbUと、その電子署名データ“Sig{SKU,bU}”と、接続先装置4の識別情報IDTの暗号化データ“E{PKSP,IDT}”とを含む料金表要求Tariff Requestをサービス提供者装置3に送信する。ここで、E{PKSP,}”は、サービス提供者の公開鍵PKSPを用いた公開鍵暗号の暗号化関数である。 The parameter transmission unit 209 includes the key exchange parameter b U generated by the parameter generation unit 208, the electronic signature data “Sig {SK U , b U }”, and the encrypted data “ID information ID T of the connection destination device 4”. The tariff request Tariff Request including “E {PK SP , ID T }” is transmitted to the service provider device 3. Here, E {PK SP ,} ”is a public key encryption function using the public key PK SP of the service provider.

料金表受信部210は、料金表要求Tariff Requestに対してサービス提供者装置3から返信された料金表情報Service Tariffを受信する。この料金表情報Service Tariffは、サービス提供者が提供するネットワーク接続サービスの料金表を表すタリフデータTariffSP、及びタリフデータTariffSPの電子署名“Sig{SKSP,TariffSP }”を共通鍵暗号化方式で暗号化したデータ“e{k1,TariffSP+Sig{SKSP,TariffSP }}”である。料金表受信部210は、受信した料金表情報Service Tariffを料金表検証部211に出力する。 The fee table receiver 210 receives the fee table information Service Tariff returned from the service provider device 3 in response to the tariff request Tariff Request. This tariff information Service Tariff is a common key encryption of tariff data Tariff SP that represents the tariff of network connection service provided by the service provider, and the digital signature “Sig {SK SP , Tariff SP }” of tariff data Tariff SP Data “e {k1, Tariff SP + Sig {SK SP , Tariff SP }}” encrypted by the method. The fee table reception unit 210 outputs the received fee table information Service Tariff to the fee table verification unit 211.

料金表検証部211は、料金表情報Service Tariffと電子証明書CertSPに含まれる公開鍵PKSPとを用いて、料金表情報Service Tariffを検証する。より詳細には、料金表検証部211は、まず、サービス提供者装置3との間で共有している秘密鍵K1を用いて料金表情報Service Tariffを復号化する。さらに、料金表検証部211は、復号化された料金表情報Service Tariffに含まれる電子署名データ“Sig{SKSP,TariffSP}”を公開鍵PKSPを用いて検証する。そして、料金表検証部211は、料金表情報Service Tariffの検証結果を支払処理部212に出力する。 The fee table verification unit 211 verifies the fee table information Service Tariff using the fee table information Service Tariff and the public key PK SP included in the digital certificate Cert SP . More specifically, the fee table verification unit 211 first decrypts the fee table information Service Tariff using the secret key K1 shared with the service provider device 3. Further, the fee table verification unit 211 verifies the digital signature data “Sig {SK SP , Tariff SP }” included in the decrypted fee table information Service Tariff using the public key PK SP . Then, the fee table verification unit 211 outputs the verification result of the fee table information Service Tariff to the payment processing unit 212.

支払処理部212は、料金表情報Service Tariffの検証が正常に終了した場合に、サービス利用者が接続しようとするネットワーク接続サービスに関する料金計算、及び電子マネーデータを用いたサービス提供者への料金支払処理を行う。すなわち、支払処理部212は、タリフデータTariffSPを参照してネットワーク接続サービスに関する料金を計算する。例えば、タリフデータTariffSPの表す課金ルールがユーザ属性「60才以上」に対して「3分毎XX円」、及びユーザ属性「60才未満」に対して「3分毎YY円」の場合は、サービス利用者のユーザ属性に対応する単位料金を決定する。また、支払処理部212は、電子マネー情報格納部203に格納されている電子マネーデータの残高から単位料金を差し引くことにより料金支払処理を行う。このとき、支払処理部212は、電子マネー情報格納部203における電子マネーデータの更新処理をコミットする前に、支払証拠生成部213にトリガーを出力する。また、支払処理部212は、通信証拠検証部216から受け取った通信の証拠に関する検証結果が“OK”である場合に、電子マネーデータの更新処理をコミットする。さらに、支払処理部212は、電子マネーデータの更新処理が終了した場合に、支払完了証拠生成部217に料金支払処理完了の証拠を出力する。この料金支払処理完了の証拠には、利用するネットワーク接続サービスを個々に識別するためのサービスID、サービス単位で料金支払処理完了の証拠を識別するシーケンス番号、サービス利用者の識別情報、サービス提供者の識別情報、接続先の識別情報、タリフデータTariffSPに関する情報、料金支払処理において計算された単位料金等を含んでいる。 The payment processing unit 212 calculates the fee related to the network connection service to which the service user intends to connect when the verification of the fee table information Service Tariff is normally completed, and pays the fee to the service provider using the electronic money data. Process. That is, the payment processing unit 212 refers to the tariff data Tariff SP and calculates a fee related to the network connection service. For example, when the charging rule represented by the tariff data Tariff SP is “XX yen every 3 minutes” for the user attribute “60 years or older” and “YY yen every 3 minutes” for the user attribute “under 60 years” The unit charge corresponding to the user attribute of the service user is determined. The payment processing unit 212 performs fee payment processing by subtracting a unit fee from the balance of electronic money data stored in the electronic money information storage unit 203. At this time, the payment processing unit 212 outputs a trigger to the payment evidence generation unit 213 before committing the electronic money data update processing in the electronic money information storage unit 203. The payment processing unit 212 commits the electronic money data update processing when the verification result regarding the communication evidence received from the communication evidence verification unit 216 is “OK”. Further, the payment processing unit 212 outputs evidence of completion of the fee payment processing to the payment completion proof generation unit 217 when the update processing of the electronic money data is completed. The evidence of the completion of the fee payment processing includes a service ID for individually identifying the network connection service to be used, a sequence number for identifying evidence of completion of the fee payment processing for each service, service user identification information, service provider Identification information, connection destination identification information, information about tariff data Tariff SP , unit charges calculated in the fee payment processing, and the like.

支払証拠生成部213は、電子マネーデータの更新処理前に、料金支払処理開始の証拠を生成する。料金支払処理開始の証拠としては、料金支払処理開始の時刻情報等が挙げられる。また、支払証拠生成部213は、電子署名データ“Sig{SKU,料金支払処理開始の証拠}”を生成して、料金支払処理開始の証拠と共に支払証拠送信部214に出力する。 The payment proof generation unit 213 generates proof of the start of fee payment processing before the electronic money data update processing. The proof of the start of the fee payment process includes time information of the fee payment process start. Further, the payment proof generation unit 213 generates electronic signature data “Sig {SK U , evidence of fee payment processing start}” and outputs it to the payment evidence transmission unit 214 together with the evidence of fee payment processing start.

支払証拠送信部214は、支払証拠生成部213から受け取った料金支払処理開始の証拠及びその電子署名データを共通鍵暗号化方式で暗号化する。また、支払証拠送信部214は、作成した暗号化データ“e{k1,料金支払処理開始の証拠+Sig{SKU,料金支払処理開始の証拠}}”をサービス提供者装置3に送信する。 The payment proof transmission unit 214 encrypts the fee payment processing start proof received from the payment proof generation unit 213 and its electronic signature data by a common key encryption method. Further, the payment proof transmitting unit 214 transmits the created encrypted data “e {k1, proof of start of fee payment processing + Sig {SK U , proof of start of fee payment processing}}” to the service provider device 3.

通信証拠受信部215は、サービス提供者装置3から送信された通信の証拠に関する検証結果を受信して、その検証結果を復号化する。具体的には、通信証拠受信部215は、検証結果の良否を表す検証結果情報“OK/NG”及びその電子署名データを暗号化したデータ“e{k1,‘OK/NG’+Sig{SKSP,‘OK/NG’}}”を受信した後、秘密鍵K1を用いて復号化することにより、検証結果“‘OK/NG’+Sig{SKSP,‘OK/NG’}”を読み取る。そして、通信証拠受信部215は、検証結果“‘OK/NG’+Sig{SKSP,‘OK/NG’}”を通信証拠検証部216に出力する。 The communication evidence receiving unit 215 receives the verification result regarding the communication evidence transmitted from the service provider device 3 and decrypts the verification result. Specifically, the communication evidence receiving unit 215 verifies the verification result information “OK / NG” indicating the quality of the verification result and the data “e {k1,“ OK / NG ”+ Sig {SK SP ” obtained by encrypting the electronic signature data. , 'OK / NG'}} "is received, and the verification result"'OK / NG' + Sig {SK SP , 'OK / NG'} "is read by decrypting using the secret key K1. Then, the communication evidence receiving unit 215 outputs the verification result ““ OK / NG ”+ Sig {SK SP ,“ OK / NG ”}” to the communication evidence verifying unit 216.

通信証拠検証部216は、検証結果“‘OK/NG’+Sig{SKSP,‘OK/NG’}”に含まれる電子署名データを公開鍵PKSPを用いて検証する。通信証拠検証部216は、検証結果の検証が正常に終了した場合に、支払処理部212に検証結果情報“OK/NG”を出力する。 The communication evidence verification unit 216 verifies the electronic signature data included in the verification result “'OK / NG' + Sig {SK SP , 'OK / NG'}” using the public key PK SP . The communication evidence verification unit 216 outputs verification result information “OK / NG” to the payment processing unit 212 when the verification of the verification result is normally completed.

支払完了証拠生成部217は、支払処理部212から受け取った料金支払処理完了の証拠に基づいて、電子署名データ“Sig{SKU,料金支払処理完了の証拠}”を生成する。支払完了証拠生成部217は、生成した電子署名データに料金支払処理完了の証拠を付加して支払完了証拠送信部218に出力する。 The payment completion proof generation unit 217 generates electronic signature data “Sig {SK U , proof of fee payment processing completion}” based on the proof of completion of the fee payment processing received from the payment processing unit 212. The payment completion proof generation unit 217 adds a proof of charge payment processing completion to the generated electronic signature data and outputs the result to the payment completion proof transmission unit 218.

支払完了証拠送信部218は、支払完了証拠生成部217から受け取った料金支払処理完了の証拠及びその電子署名データを共通鍵暗号化方式で暗号化する。また、支払完了証拠送信部218は、作成した暗号化データ“e{k1,料金支払処理完了の証拠+Sig{SKU,料金支払処理完了の証拠}}”をサービス提供者装置3に送信する。 The payment completion proof transmission unit 218 encrypts the fee payment processing completion proof received from the payment completion proof generation unit 217 and its electronic signature data using a common key encryption method. Further, the payment completion proof transmitting unit 218 transmits the created encrypted data “e {k1, proof of completion of fee payment processing + Sig {SK U , proof of completion of fee payment processing}}” to the service provider device 3.

次に、課金管理装置5の各構成要素について説明する。   Next, each component of the charge management apparatus 5 will be described.

課金管理装置5は、サーバ装置、パーソナルコンピュータ等によって構成されるコンピュータシステムである。課金管理装置5は、ネットワーク接続サービスシステム1において流通する電子マネーの発行処理、及び電子マネー交換に伴う料金決済処理、サービス利用者やサービス提供者のユーザ情報管理を集中的に行う。図3に示すように、課金管理装置5は、電子マネー要求受信部(電子マネー要求受信手段)501と、与信処理部502と、決済処理部503と、電子マネー送信部(電子マネー送信手段)504と、電子マネー有効化部505と、通信履歴受信部(通信履歴受信手段)506と、利用料集計部507と、決済処理部(決済処理手段)508と、分配証拠送信部509と、受領証拠受信部511と、ユーザ情報格納部512とを備えている。   The charge management device 5 is a computer system that includes a server device, a personal computer, and the like. The billing management device 5 centrally performs issuance processing of electronic money distributed in the network connection service system 1, fee settlement processing accompanying electronic money exchange, and user information management of service users and service providers. As shown in FIG. 3, the billing management apparatus 5 includes an electronic money request receiving unit (electronic money request receiving unit) 501, a credit processing unit 502, a settlement processing unit 503, and an electronic money transmitting unit (electronic money transmitting unit). 504, an electronic money enabling unit 505, a communication history receiving unit (communication history receiving unit) 506, a usage fee totaling unit 507, a settlement processing unit (settlement processing unit) 508, a distribution evidence transmitting unit 509, a receipt An evidence receiving unit 511 and a user information storage unit 512 are provided.

電子マネー要求受信部501は、サービス利用者装置2から、電子マネー要求情報及び電子署名データ“Sig{SKU,電子マネー要求情報}”を受信する。電子マネー要求受信部501は、SSL(Secure Socket Layer)プロトコルにより予めサービス利用者装置2との相互認証及び公開鍵PKUの取得を行った後、公開鍵PKUを用いて電子署名データ“Sig{SKU,電子マネー要求情報}”を検証する。また、電子マネー要求受信部501は、電子署名データの検証が正常に終了した場合には、電子マネー要求情報を与信処理部502及び決済処理部503に出力する。 The electronic money request receiving unit 501 receives electronic money request information and electronic signature data “Sig {SK U , electronic money request information}” from the service user apparatus 2. Electronic money request receiving unit 501, SSL (Secure Socket Layer) After the pre mutual authentication and obtains the public key PK U and the service user apparatus 2 by the protocol, the electronic signature data "Sig using the public key PK U {SK U , electronic money request information} ”is verified. The electronic money request receiving unit 501 outputs the electronic money request information to the credit processing unit 502 and the settlement processing unit 503 when the verification of the electronic signature data is normally completed.

与信処理部502は、ユーザ情報格納部512に格納されているサービス利用者の与信情報を読み出した後、充填額情報の示す額がサービス利用者の与信残高を超えていないか否かを判定することにより、サービス利用者に関する与信処理を実行する。与信処理部502は、与信処理の結果を決済処理部503に出力する。   The credit processing unit 502 reads the credit information of the service user stored in the user information storage unit 512, and then determines whether or not the amount indicated by the filling amount information exceeds the credit balance of the service user. As a result, the credit processing related to the service user is executed. The credit processing unit 502 outputs the result of the credit processing to the settlement processing unit 503.

決済処理部503は、与信処理部502による与信処理が正常に終了した場合に、電子マネー要求情報に含まれる決済手段情報を用いて、充填対象の電子マネーに相当する料金をサービス利用者から回収するための決済処理を行う。より具体的には、決済処理部503は、決済手段情報と充填額情報とを参照しながら、クレジットカード会社や金融機関等に送付する請求情報を生成する。決済処理部503は、決済処理が完了した後に、電子マネー送信部504にトリガーを出力する。   When the credit processing by the credit processing unit 502 ends normally, the settlement processing unit 503 collects a charge corresponding to the electronic money to be filled from the service user using the settlement means information included in the electronic money request information. Settlement process to do. More specifically, the settlement processing unit 503 generates billing information to be sent to a credit card company, a financial institution, or the like while referring to settlement means information and filling amount information. The payment processing unit 503 outputs a trigger to the electronic money transmission unit 504 after the payment processing is completed.

電子マネー送信部504は、決済処理部503からトリガーを受信すると、電子マネー要求情報に含まれる充填額情報に対応する電子マネーデータをサービス利用者装置2に送信する。   When the electronic money transmission unit 504 receives the trigger from the settlement processing unit 503, the electronic money transmission unit 504 transmits electronic money data corresponding to the filling amount information included in the electronic money request information to the service user apparatus 2.

電子マネー有効化部505は、サービス利用者装置2から電子マネー充填の証拠情報としての電子署名データ“Sig{SKU,電子マネーデータ}”を受信すると共に、その電子署名データの検証を行う。また、電子マネー有効化部505は、電子署名データの検証処理が正常に終了した場合に、サービス利用者装置2に対して電子マネー充填処理を有効化させるための電子マネー有効化指示を送信する。 The electronic money enabling unit 505 receives electronic signature data “Sig {SK U , electronic money data}” as evidence information for filling electronic money from the service user apparatus 2 and verifies the electronic signature data. Also, the electronic money validation unit 505 transmits an electronic money validation instruction for validating the electronic money filling process to the service user apparatus 2 when the verification process of the electronic signature data is normally completed. .

通信履歴受信部506は、サービス提供者装置3から、通信履歴情報及び電子署名データ“Sig{SKSP,通信履歴情報}”を受信する。通信履歴受信部506は、SSL(Secure Socket Layer)プロトコルにより予めサービス提供者装置3との相互認証及び公開鍵PKSPの取得を行った後、公開鍵PKSPを用いて電子署名データ“Sig{SKSP,通信履歴情報}”を検証する。また、通信履歴受信部506は、電子署名データの検証が正常に終了した場合には、通信履歴情報を利用料集計部507に出力する。 The communication history receiving unit 506 receives communication history information and electronic signature data “Sig {SK SP , communication history information}” from the service provider device 3. The communication history receiving unit 506 performs mutual authentication with the service provider device 3 and acquisition of the public key PK SP in advance using the SSL (Secure Socket Layer) protocol, and then uses the public key PK SP to create the electronic signature data “Sig { SK SP , communication history information} ”is verified. Further, the communication history receiving unit 506 outputs the communication history information to the usage fee totaling unit 507 when the verification of the electronic signature data is normally completed.

利用料集計部507は、通信履歴情報に基づいてサービス提供者毎にサービスに関する料金を集計する。利用料集計部507は、集計した料金とサービス提供者の識別情報IDSPとを決済処理部508に出力する。 The usage fee totaling unit 507 totals fees related to services for each service provider based on the communication history information. The usage fee totaling unit 507 outputs the totaled fee and the service provider identification information ID SP to the settlement processing unit 508.

決済処理部508は、利用料集計部507から受け取った集計料金とサービス提供者の識別情報IDSPとに基づいて、サービス提供者に対する決済処理を開始する。具体的には、決済処理部508は、識別情報IDSPに基づいてユーザ情報格納部512を参照することにより、サービス提供者に関する決済手段情報を読み出す。そして、決済処理部508は、決済手段情報に対応する決済処理を開始する。例えば、決済手段が銀行振込である場合には金融機関に送付するための振込依頼情報を生成する。また、決済手段が電子マネーである場合には、集計料金に対応する電子マネーデータを作成し、その電子マネーデータのサービス提供者装置13への送付処理を開始する。なお、決済処理部508は、決済処理の実行をコミットする前に、分配証拠送信部509に集計料金とサービス提供者の識別情報IDSPとを出力する。また、支払処理部212は、受領証拠受信部511から受け取った料金情報受領の証拠に関する検証結果が“OK”である場合に、決済処理の実行をコミットする。 The settlement processing unit 508 starts settlement processing for the service provider based on the total fee received from the usage fee totaling unit 507 and the service provider identification information ID SP . Specifically, the payment processing unit 508 reads the payment means information regarding the service provider by referring to the user information storage unit 512 based on the identification information ID SP . Then, the settlement processing unit 508 starts a settlement process corresponding to the settlement means information. For example, when the settlement means is bank transfer, transfer request information to be sent to a financial institution is generated. If the settlement means is electronic money, electronic money data corresponding to the total fee is created and a process for sending the electronic money data to the service provider device 13 is started. Note that the settlement processing unit 508 outputs the total fee and the service provider identification information ID SP to the distribution evidence transmission unit 509 before committing the execution of the settlement process. Further, the payment processing unit 212 commits the execution of the settlement process when the verification result regarding the evidence of fee information reception received from the receipt proof receiving unit 511 is “OK”.

分配証拠送信部509は、決済処理部508から受け取った集計料金を分配の証拠としてサービス提供者装置3に送信する。   The distribution evidence transmission unit 509 transmits the total fee received from the settlement processing unit 508 to the service provider device 3 as distribution evidence.

受領証拠受信部511は、サービス提供者装置3から料金情報受領の証拠とその電子署名データ“Sig{SKSP,料金情報受領の証拠}”を受信する。また、受領証拠受信部511は、受信した電子署名データ“Sig{SKSP,料金情報受領の証拠}”を検証して、その検証の結果“OK/NG”を決済処理部508に出力する。 The receipt proof receiving unit 511 receives from the service provider device 3 proof of fee information receipt and its electronic signature data “Sig {SK SP , proof of fee information receipt}”. Further, the receipt evidence receiving unit 511 verifies the received electronic signature data “Sig {SK SP , fee information receipt evidence}”, and outputs “OK / NG” as a result of the verification to the settlement processing unit 508.

次に、サービス提供者装置3の各構成要素について説明する。   Next, each component of the service provider device 3 will be described.

サービス提供者装置3は、サーバ装置、パーソナルコンピュータ、PDA(Personal Digital Assistance)、移動通信端末等により構成され、通信ネットワークN2を介したネットワーク接続サービスを提供するサービスプロバイダ(SP)の通信ノード装置である。図4に示すように、サービス提供者装置3は、接続要求受信部(接続要求受信手段)301と、パラメータ生成部(パラメータ生成手段)302と、パラメータ送信部(証明書返送手段、パラメータ送信手段)303と、パラメータ受信部304と、秘密鍵導出部(秘密鍵導出手段)305と、接続要求部306と、料金表送信部(料金表送信手段)307と、料金表格納部(料金表格納手段)321と、支払証拠受信部(支払証拠受信手段)308と、支払証拠検証部(支払証拠検証手段)309と、通信証拠要求部310と、通信証拠受信部311と、通信証拠検証部312と、通信証拠送信部313と、支払完了証拠受信部314と、支払完了証拠検証部315と、通信制御部(通信制御手段)316と、通信履歴格納部(通信履歴格納手段)322と、通信履歴送信部(通信履歴送信手段)317と、分配証拠受信部318と、受領証拠送信部320とを備えている。   The service provider device 3 includes a server device, a personal computer, a PDA (Personal Digital Assistance), a mobile communication terminal, and the like, and is a communication node device of a service provider (SP) that provides a network connection service via the communication network N2. is there. As shown in FIG. 4, the service provider apparatus 3 includes a connection request receiving unit (connection request receiving unit) 301, a parameter generating unit (parameter generating unit) 302, and a parameter transmitting unit (certificate returning unit, parameter transmitting unit). ) 303, parameter receiving unit 304, secret key deriving unit (secret key deriving unit) 305, connection request unit 306, fee table transmitting unit (fee table transmitting unit) 307, fee table storage unit (charge table storage) Means) 321, payment evidence receiving unit (payment evidence receiving unit) 308, payment evidence verifying unit (payment evidence verifying unit) 309, communication evidence requesting unit 310, communication evidence receiving unit 311, and communication evidence verifying unit 312. A communication evidence transmission unit 313, a payment completion evidence reception unit 314, a payment completion evidence verification unit 315, a communication control unit (communication control means) 316, and a communication history storage unit (communication history storage unit). And means) 322, communication history transmission unit (communication history transmitting means) 317, a distribution evidence receiving unit 318, and a margin received transmission unit 320.

接続要求受信部301は、サービス利用者装置2から接続要求Service Requestとサービス利用者の電子証明書CertUとを受信する。接続要求受信部301は、サービス利用者の電子証明書CertUをパラメータ生成部302に出力する。 The connection request receiving unit 301 receives a connection request Service Request and a service user's electronic certificate Cert U from the service user device 2. The connection request reception unit 301 outputs the electronic certificate Cert U of the service user to the parameter generation unit 302.

パラメータ生成部302は、サービス利用者装置2の電子証明書CertUの検証、及びサービス利用者装置2に渡す鍵交換パラメータaspの生成を行う。具体的には、パラメータ生成部302は、認証局の公開鍵PKCAを用いて電子証明書CertUの電子署名データを検証すると共に、電子証明書CertUの内容の検証を行う。また、パラメータ生成部302は、電子証明書CertUの検証が正常に終了した場合には、例えばDH法を用いてサービス利用者装置2に渡す鍵交換パラメータaspを生成する。パラメータ生成部302は、生成した鍵交換パラメータaspを、パラメータ送信部303に出力する。 The parameter generation unit 302 verifies the electronic certificate Cert U of the service user device 2 and generates a key exchange parameter asp to be passed to the service user device 2. Specifically, the parameter generation unit 302 verifies the electronic signature data of the electronic certificate Cert U using the public key PK CA of the certificate authority and verifies the contents of the electronic certificate Cert U. Further, when the verification of the electronic certificate Cert U is normally completed, the parameter generation unit 302 generates a key exchange parameter asp to be passed to the service user apparatus 2 by using, for example, the DH method. The parameter generation unit 302 outputs the generated key exchange parameter asp to the parameter transmission unit 303.

また、パラメータ生成部302は、接続先装置4の電子証明書CertTの検証、及び接続先装置4に渡す鍵交換パラメータbSPの生成を行う。具体的には、パラメータ生成部302は、認証局の公開鍵PKCAを用いて電子証明書CertTの電子署名データを検証すると共に、電子証明書CertTの内容の検証を行う。また、パラメータ生成部302は、電子証明書CertTの検証が正常に終了した場合には、例えばDH法を用いて接続先装置4に渡す鍵交換パラメータbSPを生成する。パラメータ生成部302は、生成した鍵交換パラメータbSPを、パラメータ送信部303に出力する。 The parameter generation unit 302 also verifies the electronic certificate Cert T of the connection destination device 4 and generates a key exchange parameter b SP to be passed to the connection destination device 4. Specifically, the parameter generation unit 302 verifies the electronic signature data of the electronic certificate Cert T using the public key PK CA of the certificate authority, and verifies the contents of the electronic certificate Cert T. Further, when the verification of the electronic certificate Cert T is normally completed, the parameter generation unit 302 generates a key exchange parameter b SP to be passed to the connection destination device 4 using, for example, the DH method. The parameter generation unit 302 outputs the generated key exchange parameter b SP to the parameter transmission unit 303.

パラメータ送信部303は、パラメータ生成部302が生成した鍵交換パラメータaspと、その電子署名データ“Sig{SKSP,asp }”と、サービス提供者装置3の電子証明書CertSPとを含む接続要求応答Certificateをサービス利用者装置2に送信する。 The parameter transmission unit 303 includes the key exchange parameter asp generated by the parameter generation unit 302, the electronic signature data “Sig {SK SP , asp }”, and the electronic certificate Cert SP of the service provider device 3. A connection request response certificate is transmitted to the service user apparatus 2.

また、パラメータ送信部303は、パラメータ生成部302が生成した鍵交換パラメータbSPと、その電子署名データ“Sig{SKSP,bSP }”とを接続先装置4に送信する。 In addition, the parameter transmission unit 303 transmits the key exchange parameter b SP generated by the parameter generation unit 302 and the electronic signature data “Sig {SK SP , b SP }” to the connection destination apparatus 4.

パラメータ受信部304は、接続先装置4から、接続先装置4の電子証明書CertTと接続先装置4において生成された鍵交換パラメータaTとその電子署名データ“Sig{SKT,aT }”とを含む接続要求応答Connection Responseを受信する。パラメータ受信部304は、接続要求応答Connection Responseから電子証明書CertT、鍵交換パラメータaT、及び電子署名データ“Sig{SKT,aT }”を読み取って、秘密鍵導出部305及びパラメータ生成部302に出力する。 The parameter receiving unit 304 receives the electronic certificate Cert T of the connection destination device 4 from the connection destination device 4, the key exchange parameter a T generated in the connection destination device 4, and the electronic signature data “Sig {SK T , a T }. Connection request response Connection Response including “is received. The parameter receiving unit 304 reads the electronic certificate Cert T , the key exchange parameter a T , and the electronic signature data “Sig {SK T , a T }” from the connection request response Connection Response, and generates the secret key derivation unit 305 and the parameter generation To the unit 302.

また、パラメータ受信部304は、サービス利用者装置2から、サービス利用者装置2が生成した鍵交換パラメータbUと、その電子署名データ“Sig{SKU,bU}”と、接続先装置4の識別情報IDTの暗号化データ“E{PKSP,IDT}”とを含む料金表要求Tariff Requestを受信する。パラメータ受信部304は、鍵交換パラメータbUとその電子署名データ“Sig{SKU,bU}”とを秘密鍵導出部305に出力すると共に、識別情報IDTの暗号化データ“E{PKSP,IDT}”を接続要求部306に出力する。 Further, the parameter receiving unit 304 receives from the service user device 2 the key exchange parameter b U generated by the service user device 2, its electronic signature data “Sig {SK U , b U }”, and the connection destination device 4. The tariff request including the encrypted data “E {PK SP , ID T }” of the identification information ID T is received. The parameter receiving unit 304 outputs the key exchange parameter b U and the electronic signature data “Sig {SK U , b U }” to the secret key derivation unit 305 and also encrypts the encrypted data “E {PK of the identification information ID T ”. SP , ID T } ”is output to the connection request unit 306.

秘密鍵導出部305は、サービス利用者装置2の公開鍵PKUを用いて電子署名データ“Sig{SKU,bU }”を検証すると共に、鍵交換パラメータbUから、サービス利用者装置2との間で共有するための秘密鍵K1を導出する。この導出方法は、例えばDH法による秘密鍵の導出方法が用いられる。 The secret key derivation unit 305 verifies the electronic signature data “Sig {SK U , b U }” using the public key PK U of the service user apparatus 2 and uses the service user apparatus 2 from the key exchange parameter b U. A secret key K1 is derived for sharing with. As this derivation method, for example, a derivation method of a secret key by the DH method is used.

また、秘密鍵導出部305は、接続先装置4の公開鍵PKTを用いて電子署名データ“Sig{SKT,aT }”を検証すると共に、鍵交換パラメータaTから、接続先装置4との間で共有するための秘密鍵K2を導出する。秘密鍵導出部305は、秘密鍵K2を導出した後、料金表送信部307にトリガーを出力する。 Also, the secret key derivation unit 305, the electronic signature data "Sig {SK T, a T }" using the public key PK T of the connected device 4 while verifying, from the key exchange parameters a T, connected device 4 A secret key K2 is derived for sharing with. After deriving the secret key K2, the secret key deriving unit 305 outputs a trigger to the fee table transmitting unit 307.

接続要求部306は、サービス利用者装置2から料金表要求Tariff Requestを受信したタイミングで、識別情報IDTの暗号化データ“E{PKSP,IDT}”を復号化すると共に、識別情報IDTの示す接続先装置4に対して接続要求Connection Requestを送信する。この接続要求には、サービス提供者装置3の電子証明書CertSPが含まれている。 The connection request unit 306 decrypts the encrypted data “E {PK SP , ID T }” of the identification information ID T and receives the identification information ID at the timing when the tariff request Tariff Request is received from the service user apparatus 2. A connection request Connection Request is transmitted to the connection destination device 4 indicated by T. This connection request includes the electronic certificate Cert SP of the service provider device 3.

料金表送信部307は、秘密鍵導出部305からトリガーを受け取ったタイミングで、サービス利用者装置2に料金表情報Service Tariffを送信する。具体的には、料金表送信部307は、サービス利用者が利用するネットワーク接続サービスの料金表を表すタリフデータTariffSP、及びタリフデータTariffSPの電子署名“Sig{SKSP,TariffSP }”を共通鍵暗号化方式で暗号化したデータ“e{k1,TariffSP+Sig{SKSP,TariffSP }}”を、料金表情報Service Tariffとして生成する。このとき、タリフデータTariffSPは、サービス提供者装置3が提供するネットワーク接続サービスに関する料金表情報を格納する料金表格納部321から読み出される。 The fee table transmission unit 307 transmits the fee table information Service Tariff to the service user apparatus 2 at the timing when the trigger is received from the secret key derivation unit 305. Specifically, the tariff table transmission unit 307 generates the tariff data Tariff SP representing the tariff table of the network connection service used by the service user and the digital signature “Sig {SK SP , Tariff SP }” of the tariff data Tariff SP. Data “e {k1, Tariff SP + Sig {SK SP , Tariff SP }}” encrypted by the common key encryption method is generated as the charge table information Service Tariff. At this time, the tariff data Tariff SP is read from the charge table storage unit 321 that stores the charge table information related to the network connection service provided by the service provider device 3.

支払証拠受信部308は、サービス利用者装置2から料金支払処理開始の証拠を含む暗号化データを受信する。支払証拠受信部308は、受信した暗号化データ“e{k1,料金支払処理開始の証拠+Sig{SKU,料金支払処理開始の証拠}}”を支払証拠検証部309に出力する。 The payment proof receiving unit 308 receives encrypted data including the proof of the start of fee payment processing from the service user apparatus 2. The payment proof receiving unit 308 outputs the received encrypted data “e {k1, proof of fee payment processing start + Sig {SK U , proof of fee payment processing start}}” to the payment proof verification unit 309.

支払証拠検証部309は、暗号化データ“e{k1,料金支払処理開始の証拠+Sig{SKU,料金支払処理開始の証拠}}”と電子証明書CertUに含まれる公開鍵PKUとを用いて、料金支払処理開始の証拠を検証する。より詳細には、支払証拠検証部309は、まず、サービス利用者装置2との間で共有している秘密鍵K1を用いて上記暗号化データを復号化する。さらに、支払証拠検証部309は、復号化された電子署名データ“Sig{SKU,料金支払処理開始の証拠}”を公開鍵PKUを用いて検証する。そして、支払証拠検証部309は、料金支払処理開始の証拠の検証結果を通信証拠要求部310に出力する。 Payment evidence verifying unit 309, the encrypted data "e {k1, payment processing start evidence + Sig {SK U, evidence of payment processing start}}" and a public key PK U contained in the electronic certificate Cert U To verify evidence of the start of payment processing. More specifically, the payment proof verification unit 309 first decrypts the encrypted data using the secret key K1 shared with the service user apparatus 2. Furthermore, the payment evidence verifying unit 309, the decoded digital signature data "Sig {SK U, evidence of payment processing start}" verified using the public key PK U. Then, the payment evidence verification unit 309 outputs the verification result of the evidence of the start of the fee payment process to the communication evidence request unit 310.

通信証拠要求部310は、支払証拠検証部309における検証結果が正常であった場合に、接続先装置4に対して、通信の証拠要求を送信する。より具体的には、通信証拠要求部310は、現在時刻を表す時刻情報を秘密鍵K2で暗号化したデータ“e{K2,時刻情報}”を通信の証拠要求として送信する。   The communication evidence request unit 310 transmits a communication evidence request to the connection destination device 4 when the verification result in the payment evidence verification unit 309 is normal. More specifically, the communication evidence request unit 310 transmits data “e {K2, time information}” obtained by encrypting time information indicating the current time with the secret key K2 as a communication evidence request.

通信証拠受信部311は、接続先装置4から送信された通信の証拠に関する暗号化データを受信して、その暗号化データを復号化する。具体的には、通信証拠受信部311は、暗号化データとして通信の証拠及びその電子署名データを暗号化したデータ“e{k2,通信の証拠+Sig{SKT,通信の証拠}}”を受信した後、秘密鍵K2を用いて復号化することにより、通信の証拠及びその電子署名データをを読み取る。そして、通信証拠受信部311は、読み取った通信の証拠及びその電子署名データを通信証拠検証部312に出力する。 The communication evidence receiving unit 311 receives the encrypted data related to the communication evidence transmitted from the connection destination device 4 and decrypts the encrypted data. Specifically, the communication evidence receiving unit 311 receives communication evidence and encrypted data “e {k2, communication evidence + Sig {SK T , communication evidence}}” as encrypted data. After that, the communication evidence and its electronic signature data are read by decrypting using the secret key K2. Then, the communication evidence receiving unit 311 outputs the read communication evidence and its electronic signature data to the communication evidence verification unit 312.

通信証拠検証部312は、電子署名データ“Sig{SKT,通信の証拠}”を公開鍵PKTを用いて検証する。通信証拠検証部312は、通信証拠送信部313に検証結果情報“OK/NG”を出力する。 The communication evidence verification unit 312 verifies the electronic signature data “Sig {SK T , communication evidence}” using the public key PK T. The communication evidence verification unit 312 outputs verification result information “OK / NG” to the communication evidence transmission unit 313.

通信証拠送信部313は、通信の証拠に関する検証結果情報“OK/NG”に基づいて電子署名データ“Sig{SKSP,‘OK/NG’}”を生成する。また、検証結果情報とその電子署名データとを共通鍵暗号化方式で暗号化する。さらに、通信証拠送信部313は、暗号化したデータ“e{k1,‘OK/NG’+Sig{SKSP,‘OK/NG’}}”を、サービス利用者装置2に送信する。 The communication evidence transmission unit 313 generates electronic signature data “Sig {SK SP ,“ OK / NG ”}” based on the verification result information “OK / NG” regarding communication evidence. Further, the verification result information and the electronic signature data are encrypted by a common key encryption method. Further, the communication evidence transmission unit 313 transmits the encrypted data “e {k1,“ OK / NG ”+ Sig {SK SP ,“ OK / NG ”}}” to the service user apparatus 2.

支払完了証拠受信部314は、サービス利用者装置2から送信された料金支払処理完了の証拠に関する暗号化データを受信して、その暗号化データを復号化する。具体的には、支払完了証拠受信部314は、暗号化データとして料金支払処理完了の証拠及びその電子署名データを暗号化したデータ“e{k1,料金支払処理完了の証拠+Sig{SKU,料金支払処理完了の証拠}}”を受信した後、秘密鍵K1を用いて復号化することにより、料金支払処理完了の証拠及びその電子署名データを読み取る。そして、支払完了証拠受信部314は、読み取った料金支払処理完了の証拠及びその電子署名データを支払完了証拠検証部315に出力する。 The payment completion proof receiving unit 314 receives the encrypted data related to the proof of completion of the fee payment processing transmitted from the service user apparatus 2 and decrypts the encrypted data. Specifically, the payment completion proof receiving unit 314 uses the encrypted data “e {k1, proof of completion of fee payment processing + Sig {SK U , After receiving the payment processing completion evidence}} ”, the private key K1 is used for decryption to read the fee payment processing completion evidence and its electronic signature data. Then, the payment completion evidence receiving unit 314 outputs the read fee payment processing completion evidence and the electronic signature data to the payment completion evidence verifying unit 315.

支払完了証拠検証部315は、“電子署名データSig{SKU,料金支払処理完了の証拠}”を対象に公開鍵PKUを用いて検証する。支払完了証拠検証部315は、通信制御部316に検証結果情報“OK/NG”を出力する。 Payment complete evidence verifying unit 315 verifies with the "electronic signature data Sig {SK U, evidence of payment process completion}" public key targeting PK U. The payment completion proof verification unit 315 outputs verification result information “OK / NG” to the communication control unit 316.

通信制御部316は、料金支払処理完了の証拠の検証結果が“OK”である場合に、サービス利用者装置2と接続先装置4との間の接続を制御する。より具体的には、通信制御部316は、サービス提供者装置3が中継ノードの役割を有する場合には、サービス利用者装置2と接続先装置4との間のパケットデータ等の通信データの中継を開始する。サービス提供者装置3が中継ノードの役割を持たない場合には、サービス利用者装置2と接続先装置4との間の通信データの中継を許可するように制御する。また、通信制御部316は、サービス利用者装置2から料金支払処理完了の証拠を受信したことを契機にして、料金支払処理完了の証拠を通信履歴格納部322に格納する。   The communication control unit 316 controls the connection between the service user apparatus 2 and the connection destination apparatus 4 when the verification result of the evidence of completion of the charge payment process is “OK”. More specifically, the communication control unit 316 relays communication data such as packet data between the service user apparatus 2 and the connection destination apparatus 4 when the service provider apparatus 3 has a role of a relay node. To start. When the service provider device 3 does not have the role of a relay node, control is performed so as to permit relaying of communication data between the service user device 2 and the connection destination device 4. In addition, the communication control unit 316 stores the evidence of the completion of the fee payment process in the communication history storage unit 322 when receiving the evidence of the completion of the fee payment process from the service user device 2.

図5には、通信履歴格納部322に格納された料金支払処理完了の証拠の構成を示す。同図に示すように、料金支払処理完了の証拠は、提供するネットワーク接続サービスを個々に識別するためのサービスID“SID”と、サービス単位で料金支払処理完了の証拠を識別するシーケンス番号“Seq1”と、サービス利用者の識別情報“IDU”と、サービス提供者の識別情報“IDSP”と、接続先の識別情報“IDT”と、料金表“TariffSP”と、単位料金“Charge”と、サービス利用者が今回支払った料金”Charge1”と、支払方法の種別を示す支払方法情報“プリペイド”とから構成されている。 FIG. 5 shows a configuration of evidence of completion of the fee payment process stored in the communication history storage unit 322. As shown in the figure, the evidence of completion of fee payment processing includes a service ID “SID” for individually identifying the network connection service to be provided, and a sequence number “Seq1” for identifying evidence of completion of fee payment processing for each service. ”, Service user identification information“ ID U ”, service provider identification information“ ID SP ”, connection destination identification information“ ID T ”, price list“ Tariff SP ”, unit charge“ Charge ” ”, The charge“ Charge1 ”paid by the service user this time, and the payment method information“ prepaid ”indicating the type of payment method.

通信履歴送信部317は、通信履歴格納部322にデータが格納されたタイミング、或いは定期的なタイミングで、通信履歴格納部322から料金支払処理完了の証拠を読み出して、通信履歴情報として課金管理装置5に送信する。このとき、通信履歴送信部317は、通信履歴情報の電子署名データを付加して送信する。具体的には、通信履歴送信部317は、通信履歴情報を自己の秘密鍵SKSPで暗号化することにより、電子署名データ“Sig{SKSP,通信履歴情報}”を生成する。 The communication history transmission unit 317 reads the proof of charge payment processing completion from the communication history storage unit 322 at a timing when data is stored in the communication history storage unit 322 or at a regular timing, and is used as communication history information. Send to 5. At this time, the communication history transmission unit 317 adds the electronic signature data of the communication history information and transmits it. Specifically, the communication history transmission unit 317 generates electronic signature data “Sig {SK SP , communication history information}” by encrypting the communication history information with its own secret key SK SP .

分配証拠受信部318は、課金管理装置5からサービス提供者に分配される集計金額を受信する。分配証拠受信部318は、受信した集計金額の妥当性を判断した後、料金情報受領の証拠を作成すると共に、料金情報受領の証拠の電子署名データ“Sig{SKSP,料金情報受領の証拠}”を生成する。 The distribution evidence receiving unit 318 receives the total amount distributed from the charge management apparatus 5 to the service provider. The distribution proof receiving unit 318 determines the validity of the received aggregate amount, and then creates proof of receipt of the charge information and the electronic signature data “Sig {SK SP , proof of receipt of the charge information} of the proof of receipt of the charge information} Is generated.

受領証拠送信部320は、分配証拠受信部318が作成した料金情報受領の証拠及びその電子署名データ“Sig{SKSP,料金情報受領の証拠}”を課金管理装置5に送信する。 The receipt proof transmitting unit 320 transmits the fee information receipt proof created by the distribution proof receiving unit 318 and the electronic signature data “Sig {SK SP , fee information receipt proof}” to the charge management apparatus 5.

次に、接続先装置4の各構成要素について説明する。   Next, each component of the connection destination device 4 will be described.

接続先装置4は、パーソナルコンピュータ、PDA(Personal Digital Assistance)、移動通信端末等により構成され、サービス利用者が接続しようとする接続先のユーザ(T)の通信ノード装置である。図6に示すように、接続先装置4は、接続要求受信部401と、パラメータ生成部402と、パラメータ送信部403と、パラメータ受信部404と、秘密鍵導出部405と、通信証拠要求受信部406と、通信証拠要求検証部407と、通信証拠生成部408と、通信証拠送信部409とを備えている。   The connection destination device 4 includes a personal computer, a PDA (Personal Digital Assistance), a mobile communication terminal, and the like, and is a communication node device of a connection destination user (T) to which a service user wants to connect. As illustrated in FIG. 6, the connection destination device 4 includes a connection request reception unit 401, a parameter generation unit 402, a parameter transmission unit 403, a parameter reception unit 404, a secret key derivation unit 405, and a communication evidence request reception unit. 406, a communication evidence request verification unit 407, a communication evidence generation unit 408, and a communication evidence transmission unit 409.

接続要求受信部401は、サービス提供者装置3から接続要求Connection Requestとサービス提供者の電子証明書CertSPとを受信する。接続要求受信部401は、サービス提供者の電子証明書CertSPをパラメータ生成部402に出力する。 The connection request receiving unit 401 receives a connection request Connection Request and a service provider's electronic certificate Cert SP from the service provider device 3. The connection request reception unit 401 outputs the electronic certificate Cert SP of the service provider to the parameter generation unit 402.

パラメータ生成部402は、サービス提供者装置3の電子証明書CertSPの検証、及びサービス提供者装置3に渡す鍵交換パラメータaTの生成を行う。具体的には、パラメータ生成部402は、認証局の公開鍵PKCAを用いて電子証明書CertSPの電子署名データを検証すると共に、電子証明書CertSPの内容の検証を行う。また、パラメータ生成部402は、電子証明書CertSPの検証が正常に終了した場合には、例えばDH法を用いてサービス提供者装置3に渡す鍵交換パラメータaTを生成する。パラメータ生成部402は、生成した鍵交換パラメータaTを、パラメータ送信部403に出力する。 The parameter generation unit 402 verifies the electronic certificate Cert SP of the service provider device 3 and generates a key exchange parameter a T to be passed to the service provider device 3. Specifically, the parameter generation unit 402 verifies the electronic signature data of the electronic certificate Cert SP using the public key PK CA of the certificate authority and verifies the contents of the electronic certificate Cert SP . In addition, when the verification of the electronic certificate Cert SP is normally completed, the parameter generation unit 402 generates a key exchange parameter a T to be passed to the service provider device 3 using, for example, the DH method. The parameter generation unit 402 outputs the generated key exchange parameter a T to the parameter transmission unit 403.

パラメータ送信部403は、パラメータ生成部402が生成した鍵交換パラメータaTと、その電子署名データ“Sig{SKT,aT }”と、接続先装置4の電子証明書CertTとを含む接続要求応答Connection Responseをサービス提供者装置3に送信する。 The parameter transmission unit 403 includes a connection including the key exchange parameter a T generated by the parameter generation unit 402, the electronic signature data “Sig {SK T , a T }”, and the electronic certificate Cert T of the connection destination device 4. A request response Connection Response is transmitted to the service provider device 3.

パラメータ受信部404は、サービス提供者装置3から、サービス提供者装置3が生成した鍵交換パラメータbSPと、その電子署名データ“Sig{SKSP,bSP }”とを受信する。パラメータ受信部404は、鍵交換パラメータbSPとその電子署名データ“Sig{SKSP,bSP }”とを秘密鍵導出部405に出力する。 The parameter receiving unit 404 receives the key exchange parameter b SP generated by the service provider device 3 and the electronic signature data “Sig {SK SP , b SP }” from the service provider device 3. The parameter receiving unit 404 outputs the key exchange parameter b SP and its electronic signature data “Sig {SK SP , b SP }” to the secret key deriving unit 405.

秘密鍵導出部405は、サービス提供者装置3の公開鍵PKSPを用いて電子署名データ“Sig{SKSP,bSP }”を検証すると共に、鍵交換パラメータbSPから、サービス提供者装置3との間で共有するための秘密鍵K2を導出する。 The secret key derivation unit 405 verifies the electronic signature data “Sig {SK SP , b SP }” using the public key PK SP of the service provider device 3 and uses the service exchange device 3 from the key exchange parameter b SP. A secret key K2 is derived for sharing with.

通信証拠要求受信部406は、サービス提供者装置3から、暗号化データ“e{K2,時刻情報}”を通信の証拠要求として受信する。通信証拠要求受信部406は、受信した暗号化データを通信証拠要求検証部407に出力する。   The communication evidence request receiving unit 406 receives the encrypted data “e {K2, time information}” from the service provider device 3 as a communication evidence request. The communication evidence request reception unit 406 outputs the received encrypted data to the communication evidence request verification unit 407.

通信証拠要求検証部407は、サービス提供者装置3から送信された暗号化データを復号化する。具体的には、通信証拠要求検証部407は、暗号化データ“e{K2,時刻情報}”を秘密鍵K2を用いて復号化することにより、通信の証拠要求を読み取る。そして、通信証拠要求検証部407は、読み取った通信の証拠要求が正当なデータであるか否かを検証し、その検証結果を通信証拠生成部408に出力する。   The communication evidence request verification unit 407 decrypts the encrypted data transmitted from the service provider device 3. Specifically, the communication evidence request verification unit 407 reads the communication evidence request by decrypting the encrypted data “e {K2, time information}” using the secret key K2. Then, the communication evidence request verification unit 407 verifies whether or not the read communication evidence request is valid data, and outputs the verification result to the communication evidence generation unit 408.

通信証拠生成部408は、通信の証拠要求に関する検証結果が正常である場合に、通信の証拠を作成する。また、通信証拠生成部408は、通信の証拠に対応する電子署名データ“Sig{SKT,通信の証拠}”を生成する。さらに、通信証拠生成部408は、通信の証拠とその電子署名データとを共通鍵暗号化方式で暗号化する。そして、通信証拠生成部408は、暗号化したデータ“e{K2,通信の証拠+Sig{SKT,通信の証拠}}”を、通信証拠送信部409に出力する。 The communication evidence generation unit 408 creates communication evidence when the verification result regarding the communication evidence request is normal. Further, the communication evidence generation unit 408 generates electronic signature data “Sig {SK T , communication evidence}” corresponding to the communication evidence. Further, the communication evidence generation unit 408 encrypts the communication evidence and the electronic signature data using a common key encryption method. Then, the communication evidence generation unit 408 outputs the encrypted data “e {K2, communication evidence + Sig {SK T , communication evidence}}” to the communication evidence transmission unit 409.

通信証拠送信部409は、通信証拠生成部408から出力された暗号化データ“e{K2,通信の証拠+Sig{SKT,通信の証拠}}”を、サービス提供者装置3に送信する。 The communication evidence transmission unit 409 transmits the encrypted data “e {K2, communication evidence + Sig {SK T , communication evidence}}” output from the communication evidence generation unit 408 to the service provider device 3.

以下、図7〜図12を参照しながら、ネットワーク接続サービスシステム1の動作について説明し、併せてネットワーク接続サービスシステムにおける課金方法について詳述する。   Hereinafter, the operation of the network connection service system 1 will be described with reference to FIG. 7 to FIG. 12, and a charging method in the network connection service system will be described in detail.

図7を参照して、ネットワーク接続サービスシステム1における電子マネーデータ充填時の動作について説明する。   With reference to FIG. 7, the operation | movement at the time of electronic money data filling in the network connection service system 1 is demonstrated.

まず、サービス利用者の指示によりサービス利用者装置2と課金管理装置5との間で相互認証処理及び鍵交換処理が行われる(ステップS1)。次に、サービス利用者装置から課金管理装置5に対して電子マネー要求情報とその電子署名データとが送信される(ステップS2)。その後、課金管理装置5において、電子署名データの検証が行われる(ステップS3)。さらに、課金管理装置5において、電子マネーの充填額に対応する料金決済処理が実行される(ステップS4)。そして、課金管理装置5において充填額に対応する電子マネーデータが作成される(ステップS5)。その後、課金管理装置5からサービス利用者装置2に対して、作成された電子マネーデータが送信される(ステップS6)。   First, mutual authentication processing and key exchange processing are performed between the service user apparatus 2 and the charge management apparatus 5 according to an instruction from the service user (step S1). Next, the electronic money request information and its electronic signature data are transmitted from the service user apparatus to the charge management apparatus 5 (step S2). Thereafter, the electronic signature data is verified in the charge management device 5 (step S3). Further, in the charge management device 5, a charge settlement process corresponding to the charged amount of electronic money is executed (step S4). Then, the electronic money data corresponding to the filling amount is created in the charge management device 5 (step S5). Thereafter, the created electronic money data is transmitted from the charge management device 5 to the service user device 2 (step S6).

これに対して、サービス利用者装置2では、送信された電子マネーデータに基づいて、サービス利用者装置2に格納されている電子マネーデータの残高への充填処理が開始される(ステップS7)。次に、電子マネーデータの残高の更新がコミットされる前に、サービス利用者装置2から課金管理装置5に対して、電子マネーデータの電子署名データが、電子マネー充填の証拠情報として送信される(ステップS8)。その後、課金管理装置5によって、電子マネーデータの電子署名データが検証される(ステップS9)。電子署名データの検証が正常に終了した場合には、課金管理装置5からサービス利用者装置2に、電子マネー有効化指示が送信される(ステップS10)。そして、サービス利用者装置2では、電子マネー有効化指示が受信されると、電子マネーデータの残高の更新がコミットされる(ステップS11)。   On the other hand, the service user device 2 starts a process of filling the balance of the electronic money data stored in the service user device 2 based on the transmitted electronic money data (step S7). Next, before the update of the balance of the electronic money data is committed, the electronic signature data of the electronic money data is transmitted from the service user device 2 to the charge management device 5 as evidence information for filling the electronic money. (Step S8). Thereafter, the electronic signature data of the electronic money data is verified by the billing management apparatus 5 (step S9). When the verification of the electronic signature data is normally completed, an electronic money validation instruction is transmitted from the charge management apparatus 5 to the service user apparatus 2 (step S10). When the service user device 2 receives the electronic money validation instruction, the update of the balance of the electronic money data is committed (step S11).

次に、図8を参照して、ネットワーク接続サービスシステム1における接続サービス提供時には、サービス利用者装置2とサービス提供者装置3との間の秘密鍵共有処理と、サービス提供者装置3と接続先装置4との間の秘密鍵共有処理と、サービス利用者装置2からサービス提供者装置3への料金支払処理と、サービス利用者装置2とサービス提供者装置3との間の接続処理とがこの順に実行される。ここで、上記料金支払処理と上記接続処理とは、ネットワーク接続サービスが提供されている間の所定の課金処理タイミングにおいて繰り返される。課金処理タイミングは、定期的なタイミングでもよいし、「接続開始」や「接続終了」等の所定のイベントが発生したタイミングでもよい。   Next, referring to FIG. 8, when providing a connection service in the network connection service system 1, a secret key sharing process between the service user apparatus 2 and the service provider apparatus 3, and the service provider apparatus 3 and the connection destination are performed. The secret key sharing process with the apparatus 4, the fee payment process from the service user apparatus 2 to the service provider apparatus 3, and the connection process between the service user apparatus 2 and the service provider apparatus 3 It is executed in order. Here, the fee payment process and the connection process are repeated at a predetermined charging process timing while the network connection service is provided. The charging process timing may be a regular timing or a timing when a predetermined event such as “connection start” or “connection end” occurs.

まず、図9を参照して、サービス利用者装置2とサービス提供者装置3との間の秘密鍵共有処理について説明する。   First, a secret key sharing process between the service user device 2 and the service provider device 3 will be described with reference to FIG.

最初に、サービス利用者装置2からサービス提供者装置3に対して、接続要求Service Requestと電子証明書CertUとが送信される(ステップS12)。次に、サービス提供者装置3は、接続要求Service Requestと電子証明書CertUとを受信した後、電子証明書CertUの検証及び鍵交換パラメータaspの生成を行う(ステップS13)。その後、サービス提供者装置3は、サービス利用者装置2に対して、鍵交換パラメータaspとその電子署名データと電子証明書Certspとを返送する(ステップS14)。 First, a connection request Service Request and an electronic certificate Cert U are transmitted from the service user device 2 to the service provider device 3 (step S12). Next, after receiving the connection request Service Request and the electronic certificate Cert U , the service provider device 3 verifies the electronic certificate Cert U and generates a key exchange parameter asp (step S13). Thereafter, the service provider device 3 returns the key exchange parameter asp , its electronic signature data, and the electronic certificate Cert sp to the service user device 2 (step S14).

これに対して、サービス利用者装置2において、受信した電子証明書Certspの検証、鍵交換パラメータbuの生成、及び鍵交換パラメータaspの電子署名データの検証が行われる(ステップS15)。そして、サービス利用者装置2からサービス提供者装置3に対して、鍵交換パラメータbuとその電子署名データと接続先装置4の識別情報IDTの公開鍵暗号による暗号化データとを含む料金表要求Tariff Requestが、送信される(ステップS16)。 In contrast, in the service user apparatus 2, verification of the received electronic certificate Cert sp, generation of key exchange parameters b u, and the verification of the electronic signature data key exchange parameters a sp performed (step S15). Then, the service user device 2 sends to the service provider device 3 a fee table including the key exchange parameter b u , its digital signature data, and the encrypted data by the public key encryption of the identification information ID T of the connection destination device 4. A request Tariff Request is transmitted (step S16).

その後、サービス利用者装置2及びサービス提供者装置3において、受け取った鍵交換パラメータの電子署名データの検証が行われると共に、鍵交換パラメータに基づいた秘密鍵K1の導出が行われる(ステップS17)。   Thereafter, the service user apparatus 2 and the service provider apparatus 3 verify the digital signature data of the received key exchange parameter and derive the secret key K1 based on the key exchange parameter (step S17).

次に、図10を参照して、サービス提供者装置3と接続先装置4との間の秘密鍵共有処理について説明する。   Next, a secret key sharing process between the service provider device 3 and the connection destination device 4 will be described with reference to FIG.

最初に、サービス提供者装置3が接続先装置4に対して、接続要求Connection Requestと電子証明書Certspとを送信する(ステップS18)。次に、接続先装置4により、接続要求Connection Requestと電子証明書Certspとが受信された後、電子証明書Certspの検証及び鍵交換パラメータaTの生成が行われる(ステップS19)。その後、接続先装置4において、サービス提供者装置3に鍵交換パラメータaTとその電子署名データと電子証明書CertTとを含む接続要求応答Connection Responseが返送される(ステップS20)。 First, the service provider device 3 transmits a connection request Connection Request and an electronic certificate Cert sp to the connection destination device 4 (step S18). Next, after the connection destination device 4 receives the connection request Connection Request and the electronic certificate Cert sp , the electronic certificate Cert sp is verified and the key exchange parameter a T is generated (step S19). Thereafter, the connection destination device 4 returns a connection request response Connection Response including the key exchange parameter a T , its electronic signature data, and the electronic certificate Cert T to the service provider device 3 (step S20).

これに対して、サービス提供者装置3は、受信した電子証明書CertTの検証、鍵交換パラメータbspの生成、及び鍵交換パラメータaTの電子署名データの検証を行う(ステップS21)。そして、サービス提供者装置3は、接続先装置4に対して、鍵交換パラメータbspとその電子署名データとを、送信する(ステップS22)。 In response to this, the service provider device 3 performs verification of the received electronic certificate Cert T , generation of the key exchange parameter b sp , and verification of the electronic signature data of the key exchange parameter a T (step S21). Then, the service provider device 3 transmits the key exchange parameter bsp and its electronic signature data to the connection destination device 4 (step S22).

その後、サービス提供者装置3及び接続先装置4において、受け取った鍵交換パラメータの電子署名データの検証が行われると共に、鍵交換パラメータに基づいた秘密鍵K2の導出が行われる(ステップS23,S24)。   Thereafter, the service provider device 3 and the connection destination device 4 verify the electronic signature data of the received key exchange parameter and derive the secret key K2 based on the key exchange parameter (steps S23 and S24). .

次に、図11を参照しながら、サービス利用者装置2からサービス提供者装置3への料金支払処理について説明する。   Next, fee payment processing from the service user apparatus 2 to the service provider apparatus 3 will be described with reference to FIG.

サービス提供者装置3は、秘密鍵K2を導出したタイミングで、サービス利用者装置2に対して料金表情報Service Tariffを送信する(ステップS25)。これに対して、サービス利用者装置2において、料金表情報Service Tariffが復号化されるとともに、復号化データに含まれる電子署名データが検証される(ステップS26)。次に、サービス利用者装置2により、接続しようとするネットワーク接続サービスの料金計算、及びサービス提供者への料金支払処理が行われるとともに、料金支払処理開始の証拠及びその電子署名データが作成される(ステップS27)。さらに、サービス利用者装置2からサービス提供者装置3に対して、料金支払処理開始の証拠及びその電子署名データの暗号化データが送信される(ステップS28)。   The service provider device 3 transmits the fee table information Service Tariff to the service user device 2 at the timing when the secret key K2 is derived (step S25). In response to this, the service user apparatus 2 decrypts the tariff information Service Tariff and verifies the electronic signature data included in the decrypted data (step S26). Next, the service user apparatus 2 calculates a fee for the network connection service to be connected and performs a fee payment process for the service provider, and also creates evidence of the start of the fee payment process and its electronic signature data. (Step S27). Further, the service user apparatus 2 transmits to the service provider apparatus 3 evidence of start of fee payment processing and encrypted data of the electronic signature data (step S28).

これに対して、サービス提供者装置3は、上記暗号化データを復号化すると共に、復号化データに含まれる電子署名を検証する(ステップS29)。そして、サービス提供者装置3は、電子署名の検証結果が正常であった場合に、通信の証拠要求の暗号化データを接続先装置4に送信する(ステップS30)。   In response to this, the service provider device 3 decrypts the encrypted data and verifies the electronic signature included in the decrypted data (step S29). Then, when the verification result of the electronic signature is normal, the service provider device 3 transmits encrypted data for requesting communication evidence to the connection destination device 4 (step S30).

その後、接続先装置4においては、通信の証拠要求の暗号化データが復号化された後、復号化データに含まれる通信の証拠要求が正当なデータであった場合に、通信の証拠及びその電子署名データが作成される(ステップS31)。作成された通信の証拠及び電子署名データは、暗号化されてサービス提供者装置3に送信される(ステップS32)。   Thereafter, in the connection destination device 4, after the encrypted data of the communication proof request is decrypted, and the communication proof request included in the decrypted data is valid data, the communication proof and its electronic Signature data is created (step S31). The created communication evidence and electronic signature data are encrypted and transmitted to the service provider device 3 (step S32).

これに対して、サービス提供者装置3は、受信した暗号化データの復号化、及び復号化データに含まれる電子署名データの検証を行う(ステップS33)。次に、サービス提供者装置3は、検証結果情報及びその電子署名データを作成した後、それらのデータを暗号化してサービス利用者装置2に送信する(ステップS34)。送信された暗号化データは、サービス利用者装置2において復号化された後、復号化データに含まれる電子署名データが検証される(ステップS35)。さらに、復号化データに含まれる検証結果情報が“OK”であった場合に、サービス利用者装置2において料金支払処理における電子マネーデータの更新がコミットされると共に、料金支払処理完了の証拠及びその電子署名データが作成される(ステップS36)。その後、サービス利用者装置2からサービス提供者装置3に対して、料金支払処理完了の証拠及びその電子署名データの暗号化データが送信される(ステップS37)。   In response to this, the service provider device 3 decrypts the received encrypted data and verifies the electronic signature data included in the decrypted data (step S33). Next, the service provider device 3 creates verification result information and its electronic signature data, encrypts the data, and transmits the encrypted data to the service user device 2 (step S34). The transmitted encrypted data is decrypted by the service user apparatus 2, and then the electronic signature data included in the decrypted data is verified (step S35). Furthermore, when the verification result information included in the decrypted data is “OK”, the service user apparatus 2 is committed to update the electronic money data in the fee payment process, and evidence of the completion of the fee payment process and its Electronic signature data is created (step S36). Thereafter, the service user apparatus 2 transmits to the service provider apparatus 3 evidence of completion of the fee payment process and encrypted data of the electronic signature data (step S37).

サービス提供者装置3は、受信した暗号化データを復号化した後、暗号化データに含まれる電子署名データを検証する(ステップS38)。そして、サービス提供者装置3は、電子署名データの検証結果が正常である場合に、サービス利用者装置2にサービス開始メッセージService Startを送信する(ステップS39)と共に、サービス利用者装置2と接続先装置4との間の通信データの中継を開始する(ステップS40)。   The service provider device 3 decrypts the received encrypted data, and then verifies the electronic signature data included in the encrypted data (step S38). Then, when the verification result of the electronic signature data is normal, the service provider device 3 transmits a service start message Service Start to the service user device 2 (step S39), and the service user device 2 and the connection destination Relaying of communication data with the device 4 is started (step S40).

次に、図12を参照して、ネットワーク接続サービスシステム1におけるサービス提供者装置3と課金管理装置5と間の料金決済時の動作について説明する。   Next, with reference to FIG. 12, the operation | movement at the time of the charge settlement between the service provider apparatus 3 and the charge management apparatus 5 in the network connection service system 1 is demonstrated.

まず、予め決められたタイミング又はサービス提供者の指示によりサービス提供者装置3と課金管理装置5との間で相互認証処理及び鍵交換処理が行われる(ステップS41)。次に、サービス提供者装置3は、課金管理装置5に対して、通信履歴格納部322に格納された通信履歴情報及びその電子署名データを送信する(ステップS42)。これに対して、課金管理装置5では、通信履歴情報及び電子署名データが受信された後、その電子署名データが検証される(ステップS43)。さらに、課金管理装置5では、電子署名データの検証結果が正常である場合には、通信履歴情報に基づいてサービス提供者毎の料金が集計されるとともに、その集計料金に基づいたサービス提供者への決済処理が開始される(ステップS44)。同時に、課金管理装置5からサービス提供者装置3に対して、決済処理対象の集計金額を示す料金情報が送信される(ステップS45)。   First, mutual authentication processing and key exchange processing are performed between the service provider device 3 and the charge management device 5 according to a predetermined timing or an instruction from the service provider (step S41). Next, the service provider device 3 transmits the communication history information stored in the communication history storage unit 322 and its electronic signature data to the charge management device 5 (step S42). On the other hand, after the communication history information and the electronic signature data are received, the billing management apparatus 5 verifies the electronic signature data (step S43). Furthermore, when the verification result of the electronic signature data is normal, the billing management apparatus 5 aggregates the charges for each service provider based on the communication history information, and to the service provider based on the aggregated charges. Is started (step S44). At the same time, the charge management device 5 transmits to the service provider device 3 fee information indicating the total amount to be processed (step S45).

サービス提供者装置3は、受信した集計金額の妥当性を通信履歴情報と照合することにより判断する(ステップS46)。その後、サービス提供者装置3は、集計金額が正当であると判断した場合に、料金情報の通信履歴格納部322へのデータ格納処理を開始する(ステップS47)。ここでの「データ格納処理」とは、通信履歴情報に対する消し込み処理等の入金処理を意味する。さらに、サービス提供者装置3は、料金情報受領の証拠及びその電子署名データを作成する(ステップS48)。そして、サービス提供者装置3は、料金情報受領の証拠及びその電子署名データを、課金管理装置5に送信する(ステップS49)。   The service provider device 3 determines the validity of the received total amount by comparing it with the communication history information (step S46). Thereafter, when the service provider device 3 determines that the total amount is valid, the service provider device 3 starts data storage processing of the charge information in the communication history storage unit 322 (step S47). The “data storage process” here refers to a deposit process such as an erase process for communication history information. Further, the service provider device 3 creates a proof of receipt of fee information and its electronic signature data (step S48). Then, the service provider device 3 transmits the fee information receipt proof and the electronic signature data to the charge management device 5 (step S49).

課金管理装置5では、料金情報受領の証拠の電子署名データが検証される(ステップS50)。その後、電子署名データの検証結果がOKの場合に、課金管理装置5からサービス提供者装置3に対して料金情報有効化指示が送信される(ステップS51)。これに対して、サービス提供者装置3は、料金情報有効化指示を受け取った場合に、料金情報の通信履歴格納部322におけるデータ格納処理をコミットする(ステップS52)。また、課金管理装置5では、サービス提供者への決済処理がコミットされる(ステップS53)。   The billing management apparatus 5 verifies the electronic signature data as evidence of receipt of fee information (step S50). Thereafter, if the verification result of the electronic signature data is OK, a charge information validation instruction is transmitted from the charge management apparatus 5 to the service provider apparatus 3 (step S51). On the other hand, when receiving the charge information validation instruction, the service provider device 3 commits the data storage processing in the charge information communication history storage unit 322 (step S52). Further, the billing management apparatus 5 commits the payment process to the service provider (step S53).

以下、ネットワーク接続サービスシステム1の作用効果について説明する。   Hereinafter, the operation and effect of the network connection service system 1 will be described.

ネットワーク接続サービスシステム1によれば、サービス利用者装置2において予め課金管理装置5から電子マネーデータが充填され、その電子マネーデータの分配に関する決済は課金管理装置5にて集中的に行われる。また、サービス利用者装置2が接続先装置4との接続サービスを利用する場合は、サービス提供者装置3からサービス利用者装置2に料金表情報と電子署名データとが送られ、サービス利用者装置2においては、料金表情報を検証した後にその料金表情報に基づいて料金を計算して、計算結果に基づいて電子マネーを用いた料金支払処理を行う。さらに、サービス利用者装置2からサービス提供者装置3に対して、料金支払処理の証拠と電子署名データとが送られ、サービス提供者装置3において料金支払処理の証拠を検証することにより、サービス利用者装置2と接続先装置4との接続を制御する。併せて、サービス提供者装置3から課金管理装置5に対して料金支払処理の証拠が送付され、課金管理装置5においてサービス提供者装置3に対する決済処理が実行される。これにより、複数のサービス提供者が存在する場合であっても、共通の電子マネーを充填しておくことでサービス利用者が選択した通信ネットワークに即座に接続することができる。また、サービス利用者装置2とサービス提供者装置3間は電子署名データが授受されるので、他人のなりすまし、データの改竄等を防止して利用者に対する適正な課金を実現することができる。   According to the network connection service system 1, the service user apparatus 2 is preliminarily filled with electronic money data from the charge management apparatus 5, and settlement relating to the distribution of the electronic money data is performed centrally in the charge management apparatus 5. When the service user device 2 uses a connection service with the connection destination device 4, the fee table information and the electronic signature data are sent from the service provider device 3 to the service user device 2, and the service user device. In 2, the fee table information is verified, the fee is calculated based on the fee table information, and the fee payment processing using electronic money is performed based on the calculation result. Further, the service user apparatus 2 sends the proof of fee payment processing and the electronic signature data to the service provider device 3, and the service provider device 3 verifies the proof of fee payment processing, thereby using the service. The connection between the user device 2 and the connection destination device 4 is controlled. At the same time, the proof of fee payment processing is sent from the service provider device 3 to the billing management device 5, and the billing management device 5 executes settlement processing for the service provider device 3. Thereby, even when there are a plurality of service providers, it is possible to immediately connect to the communication network selected by the service user by filling the common electronic money. In addition, since electronic signature data is exchanged between the service user device 2 and the service provider device 3, it is possible to prevent impersonation of other people, falsification of data, and the like, thereby realizing appropriate charging for the user.

また、サービス利用者装置2とサービス提供者装置間3との間、及びサービス提供者装置3と接続先装置との間で秘密鍵を共有して、その秘密鍵を用いて情報を送受信するので、通信ネットワークにおける情報の漏洩の防止、及び利用者に対する適正な課金を両立することができる。   In addition, since a secret key is shared between the service user device 2 and the service provider device 3 and between the service provider device 3 and the connection destination device, information is transmitted and received using the secret key. Thus, it is possible to achieve both prevention of information leakage in the communication network and appropriate charging for the user.

[第2実施形態]
次に、本発明の第2実施形態について説明する。図13に示す本実施形態にかかるネットワーク接続サービスシステム11は、サービス提供者装置13と接続先装置14との間で秘密鍵を共有しない点、サービス提供者装置13が接続サービスを開始する際には接続先装置14に対して通信の証拠を要求しない点、サービスを開始した後に、サービス利用者装置12と接続先装置14との間で秘密鍵を共有する点が第1実施形態のものと異なる。 [Second Embodiment]
Next, a second embodiment of the present invention will be described. The network connection service system 11 according to the present embodiment shown in FIG. 13 does not share a secret key between the service provider device 13 and the connection destination device 14, and when the service provider device 13 starts a connection service. Does not request communication evidence from the connection destination device 14, and shares the secret key between the service user device 12 and the connection destination device 14 after starting the service, as in the first embodiment. Different.

すなわち、図14を参照して、サービス利用者装置12のパラメータ受信部221は、サービス提供者装置13から、サービス提供者装置13の電子証明書CertSPとその暗号化データとを含む接続要求応答Certificateを受信する。この暗号化データは、サービス提供者装置13において生成された秘密鍵KUSPとサービス識別情報IndexUSPとの組合せと、その組合せの電子署名データ“Sig{SKSP,IndexUSP+KUSP }”とが暗号化されたデータ“E{PKU,IndexUSP+KUSP+Sig{SKSP,IndexUSP+KUSP }}”である。パラメータ受信部221は、接続要求応答Certificateから電子証明書CertSP及び暗号化データ“E{PKU,IndexUSP+KUSP+Sig{SKSP,IndexUSP+KUSP }}”を読み取って、秘密鍵検証部222に出力する。 That is, referring to FIG. 14, the parameter receiving unit 221 of the service user device 12 sends a connection request response including the electronic certificate Cert SP of the service provider device 13 and its encrypted data from the service provider device 13. Receive the certificate. The encrypted data includes a combination of the secret key K USP generated in the service provider device 13 and the service identification information Index USP, and the electronic signature data “Sig {SK SP , Index USP + K USP }” of the combination. Is encrypted data “E {PK U , Index USP + K USP + Sig {SK SP , Index USP + K USP }}”. The parameter receiving unit 221 reads the digital certificate Cert SP and the encrypted data “E {PK U , Index USP + K USP + Sig {SK SP , Index USP + K USP }}” from the connection request response Certificate and secretly reads them. The data is output to the key verification unit 222.

秘密鍵検証部222は、サービス提供者装置13の電子証明書CertSPの検証を行う。また、秘密鍵検証部222は、サービス利用者装置12の秘密鍵SKUを用いて暗号化データ“E{PKU,IndexUSP+KUSP+Sig{SKSP,IndexUSP+KUSP }}”を復号化すると共に、復号化データに含まれる電子署名データを、サービス提供者の公開鍵PKSPを用いて検証する。さらに、秘密鍵検証部222は、電子署名の検証結果をパラメータ送信部223に出力する。 The private key verification unit 222 verifies the electronic certificate Cert SP of the service provider device 13. Also, the secret key verifying unit 222, the encrypted data using the private key SK U of the service user apparatus 12 "E {PK U, Index USP + K USP + Sig {SK SP, Index USP + K USP}}" And the digital signature data included in the decrypted data is verified using the public key PK SP of the service provider. Further, the private key verification unit 222 outputs the verification result of the electronic signature to the parameter transmission unit 223.

パラメータ送信部223は、秘密鍵検証部222による検証結果が正常である場合に、接続先装置14の識別情報IDTの共通鍵暗号による暗号化データ“e{KUSP,IDT}”を含む料金表要求Tariff Requestをサービス提供者装置13に送信する。 The parameter transmission unit 223 includes encrypted data “e {K USP , ID T }” using the common key encryption of the identification information ID T of the connection destination device 14 when the verification result by the secret key verification unit 222 is normal. A tariff request Tariff Request is transmitted to the service provider device 13.

接続先確認部224は、サービス提供者装置13における支払処理開始の証拠の検証結果が正常であった場合に、サービス提供者装置13からサービス開始メッセージService Startを受信する。また、接続先確認部224は、サービス開始メッセージService Startを受信すると、接続先装置14に対して、自己の電子証明書CertUを含む接続先確認要求を送信する。 The connection destination confirmation unit 224 receives the service start message Service Start from the service provider device 13 when the verification result of the evidence of payment processing start in the service provider device 13 is normal. Further, when receiving the service start message Service Start, the connection destination confirmation unit 224 transmits a connection destination confirmation request including its own electronic certificate Cert U to the connection destination device 14.

また、接続先確認部224は、接続先確認要求に対して返送されてきた暗号化データ“E{PKU,KUT+Sig{SKT,KUT}}”と電子証明書CertTとを受信すると、それらのデータを接続先検証部225に出力する。 In addition, the connection destination confirmation unit 224 receives the encrypted data “E {PK U , K UT + Sig {SK T , K UT }}” and the electronic certificate Cert T returned in response to the connection destination confirmation request. When received, these data are output to the connection destination verification unit 225.

接続先検証部225は、暗号化データ“E{PKU,KUT+Sig{SKT,KUT}}”を復号化すると共に、接続先装置14の電子証明書CertTの検証を行う。また、接続先検証部225は、電子証明書CertTの検証結果が正常であった場合に、電子署名データ“Sig{SKT,KUT}”の検証を行う。さらに、接続先検証部225は、電子署名データ“Sig{SKT,KUT}”の検証結果“OK/NG”を支払処理部212に出力する。 The connection destination verification unit 225 decrypts the encrypted data “E {PK U , K UT + Sig {SK T , K UT }}” and verifies the electronic certificate Cert T of the connection destination device 14. The connection destination verification unit 225 verifies the electronic signature data “Sig {SK T , K UT }” when the verification result of the electronic certificate Cert T is normal. Further, the connection destination verification unit 225 outputs the verification result “OK / NG” of the electronic signature data “Sig {SK T , K UT }” to the payment processing unit 212.

図15を参照して、サービス提供者装置13のパラメータ生成部323は、サービス利用者装置12の電子証明書CertUの検証、及びサービス利用者装置12に渡す秘密鍵KUSP及びサービス識別情報IndexUSPの生成を行う。このとき、パラメータ生成部323は、電子証明書CertUの検証が正常に終了した場合に、サービス利用者装置12に渡す秘密鍵KUSP及びサービス識別情報IndexUSPを生成する。パラメータ生成部323は、生成した秘密鍵KUSP及びサービス識別情報IndexUSPを、パラメータ送信部324に出力する。 Referring to FIG. 15, the parameter generation unit 323 of the service provider device 13 verifies the electronic certificate Cert U of the service user device 12, and secret key K USP and service identification information Index passed to the service user device 12. Generate USP . At this time, the parameter generation unit 323 generates the secret key K USP and the service identification information Index USP to be passed to the service user device 12 when the verification of the electronic certificate Cert U is normally completed. The parameter generation unit 323 outputs the generated secret key K USP and service identification information Index USP to the parameter transmission unit 324.

また、パラメータ生成部323は、接続先装置14の電子証明書CertTの検証、及び接続先装置14に渡すための乱数Rの生成を行う。このとき、パラメータ生成部323は、電子証明書CertTの検証が正常に終了した場合に、接続先装置14に渡す乱数Rを生成する。パラメータ生成部323は、生成した乱数Rを、パラメータ送信部324に出力する。 The parameter generation unit 323 also verifies the electronic certificate Cert T of the connection destination device 14 and generates a random number R to be passed to the connection destination device 14. At this time, the parameter generation unit 323 generates a random number R to be passed to the connection destination apparatus 14 when the verification of the electronic certificate Cert T is normally completed. The parameter generation unit 323 outputs the generated random number R to the parameter transmission unit 324.

さらに、パラメータ生成部323は、接続先装置14から受け取った暗号化データ“e{R,R}”を復号化すると共に、その結果得られた乱数Rとパラメータ生成部323が生成した乱数Rとが一致するか否かを比較し、一致している場合には、料金表送信部307にトリガーを出力する。   Further, the parameter generation unit 323 decrypts the encrypted data “e {R, R}” received from the connection destination device 14, and the random number R obtained as a result and the random number R generated by the parameter generation unit 323. Are matched, and if they match, a trigger is output to the charge table transmission unit 307.

パラメータ送信部324は、パラメータ生成部323が生成した秘密鍵KUSP及びサービス識別情報IndexUSPと、その電子署名データ“Sig{SKSP,IndexUSP+KUSP}”との組合せを公開鍵暗号で暗号化する。また、パラメータ送信部324は、暗号化データ“E{PKU,IndexUSP+KUSP+Sig{SKSP,IndexUSP+KUSP }}”とサービス提供者の電子証明書CertSPとを含む接続要求応答Certificateをサービス利用者装置12に送信する。 The parameter transmission unit 324 uses the public key encryption to combine the combination of the private key K USP and the service identification information Index USP generated by the parameter generation unit 323 and the electronic signature data “Sig {SK SP , Index USP + K USP }”. Encrypt. The parameter transmission unit 324 includes a connection including encrypted data “E {PK U , Index USP + K USP + Sig {SK SP , Index USP + K USP }}” and the service provider's electronic certificate Cert SP. A request response certificate is transmitted to the service user apparatus 12.

また、パラメータ送信部324は、パラメータ生成部323が生成した乱数Rから電子署名データ“Sig{SKSP,R}”を生成すると共に、乱数R及びその電子署名データから公開鍵暗号による暗号化データ“E{PKT,R+Sig{SKSP,R}}”を生成する。そして、パラメータ送信部324は、生成した暗号化データ“E{PKT,R+Sig{SKSP,R}}”を接続先装置14に送信する。 Further, the parameter transmission unit 324 generates the electronic signature data “Sig {SK SP , R}” from the random number R generated by the parameter generation unit 323, and also encrypts the encrypted data by public key encryption from the random number R and the electronic signature data. “E {PK T , R + Sig {SK SP , R}}” is generated. Then, the parameter transmission unit 324 transmits the generated encrypted data “E {PK T , R + Sig {SK SP , R}}” to the connection destination device 14.

パラメータ受信部325は、サービス利用者装置12から、接続先装置14の識別情報IDTの暗号化データ“e{KUSP,IDT}”を含む料金表要求Tariff Requestを受信する。パラメータ受信部325は、識別情報IDTの暗号化データ“e{KUSP,IDT}”を接続要求部306に出力する。 The parameter receiving unit 325 receives the tariff request Tariff Request including the encrypted data “e {K USP , ID T }” of the identification information ID T of the connection destination device 14 from the service user device 12. The parameter receiving unit 325 outputs the encrypted data “e {K USP , ID T }” of the identification information ID T to the connection request unit 306.

また、パラメータ受信部325は、接続先装置14から、接続先装置14の電子証明書CertTを含む接続要求応答Connection Responseを受信する。パラメータ受信部325は、接続要求応答Connection Responseから電子証明書CertTを読み取って、パラメータ生成部323に出力する。 Further, the parameter receiving unit 325 receives a connection request response Connection Response including the electronic certificate Cert T of the connection destination device 14 from the connection destination device 14. The parameter receiving unit 325 reads the electronic certificate Cert T from the connection request response Connection Response and outputs it to the parameter generation unit 323.

さらに、パラメータ受信部325は、接続先装置14から乱数Rの暗号化データ“e{R,R}”を受信すると、その暗号化データをパラメータ生成部323に出力する。   Further, when the parameter receiving unit 325 receives the encrypted data “e {R, R}” of the random number R from the connection destination device 14, the parameter receiving unit 325 outputs the encrypted data to the parameter generating unit 323.

次に、図16を参照して、接続先装置14のパラメータ生成部421は、サービス提供者装置13の電子証明書CertSPの検証を行う。また、パラメータ生成部421は、電子証明書CertSPの検証が正常に終了した場合には、パラメータ送信部422にトリガーを出力する。また、パラメータ生成部421は、接続要求応答Connection Responseに対して接続先装置14から受信した暗号化データ“E{PKT,R+Sig{SKSP,R}}”を復号化すると共に、電子署名データ“Sig{SKSP,R}”の検証を行う。さらに、パラメータ生成部421は、電子署名データ“Sig{SKSP,R}”の検証結果が正常な場合に、乱数Rを鍵Rを用いて共通鍵暗号で暗号化し、得られた暗号化データ“e{R,R}”をパラメータ送信部422に出力する。 Next, with reference to FIG. 16, the parameter generation unit 421 of the connection destination device 14 verifies the electronic certificate Cert SP of the service provider device 13. In addition, the parameter generation unit 421 outputs a trigger to the parameter transmission unit 422 when the verification of the electronic certificate Cert SP is normally completed. In addition, the parameter generation unit 421 decrypts the encrypted data “E {PK T , R + Sig {SK SP , R}}” received from the connection destination device 14 in response to the connection request response Connection Response, and the electronic signature data Verify “Sig {SK SP , R}”. Further, when the verification result of the electronic signature data “Sig {SK SP , R}” is normal, the parameter generation unit 421 encrypts the random number R using the key R with the common key encryption, and the obtained encrypted data “E {R, R}” is output to the parameter transmission unit 422.

パラメータ送信部422は、電子証明書CertSPの検証が正常に終了した場合に、接続先装置14の電子証明書CertTを含む接続要求応答Connection Responseをサービス提供者装置13に送信する。また、パラメータ送信部422は、パラメータ生成部421から暗号化データ“e{R,R}”を受け取ると、サービス提供者装置13に送信する。 The parameter transmission unit 422 transmits a connection request response Connection Response including the electronic certificate Cert T of the connection destination device 14 to the service provider device 13 when the verification of the electronic certificate Cert SP is normally completed. Further, upon receiving the encrypted data “e {R, R}” from the parameter generation unit 421, the parameter transmission unit 422 transmits the encrypted data “e {R, R}” to the service provider device 13.

接続要求受信部423は、接続要求応答Connection Responseに対してサービス提供者装置13から送られてきた暗号化データ“E{PKT,R+Sig{SKSP,R}}”を受信した後、パラメータ生成部421に出力する。 The connection request receiving unit 423 receives the encrypted data “E {PK T , R + Sig {SK SP , R}}” sent from the service provider device 13 in response to the connection request response Connection Response, and then generates parameters. Output to the unit 421.

パラメータ受信部424は、サービス利用者装置12から、電子証明書CertUを含む接続先確認要求を受信する。パラメータ受信部424は、接続先確認要求を秘密鍵生成部425に出力する。 The parameter receiving unit 424 receives a connection destination confirmation request including the electronic certificate Cert U from the service user device 12. The parameter receiver 424 outputs a connection destination confirmation request to the secret key generator 425.

秘密鍵生成部425は、電子証明書CertUの検証及びサービス利用者装置12との間で共有するための秘密鍵KUTの生成を行う。また、秘密鍵生成部425は、秘密鍵KUTの電子署名データ“Sig{SKT,KUT}”を生成した後、秘密鍵KUT及びその電子署名データを公開鍵暗号で暗号化して暗号化データ“E{PKU,KUT+Sig{SKT,KUT}}”を生成する。 The secret key generation unit 425 verifies the electronic certificate Cert U and generates a secret key KUT for sharing with the service user apparatus 12. Also, the secret key generating unit 425, after generating the digital signature data of the secret key K UT "Sig {SK T, K UT}", by encrypting the secret key K UT and the electronic signature data using the public key cryptography encryption Generated data “E {PK U , K UT + Sig {SK T , K UT }}”.

秘密鍵送信部426は、秘密鍵生成部425が生成した暗号化データ“E{PKU,KUT+Sig{SKT,KUT}}”に自己の電子証明書CertTを付加してサービス利用者装置12に送信する。 The secret key transmission unit 426 adds the own electronic certificate Cert T to the encrypted data “E {PK U , K UT + Sig {SK T , K UT }}” generated by the secret key generation unit 425, and performs service. Transmit to user device 12.

次に、図17〜20を参照して、ネットワーク接続サービスシステム11の動作について説明する。図17に示すように、ネットワーク接続サービスシステム11における接続サービス提供時には、サービス利用者装置12とサービス提供者装置13との間の秘密鍵共有処理と、サービス提供者装置13から接続先装置14への存在確認処理と、サービス利用者装置12からサービス提供者装置13への料金支払処理と、サービス利用者装置12とサービス提供者装置13との間の接続処理とがこの順に実行される。   Next, the operation of the network connection service system 11 will be described with reference to FIGS. As shown in FIG. 17, when providing a connection service in the network connection service system 11, a secret key sharing process between the service user device 12 and the service provider device 13, and from the service provider device 13 to the connection destination device 14. Existence confirmation processing, fee payment processing from the service user device 12 to the service provider device 13, and connection processing between the service user device 12 and the service provider device 13 are executed in this order.

まず、図17を参照して、サービス利用者装置12とサービス提供者装置との間の秘密鍵共有処理について説明する。   First, a secret key sharing process between the service user device 12 and the service provider device will be described with reference to FIG.

最初に、サービス利用者装置12からサービス提供者装置13に対して、接続要求Service Requestと電子証明書CertUとが送信される(ステップS112)。次に、サービス提供者装置13は、接続要求Service Requestと電子証明書CertUとを受信した後、電子証明書CertUの検証を行うと共に、検証結果が正常な場合に、秘密鍵KUSP及びサービス識別情報IndexUSPと、それらの組合せの電子署名データ“Sig{SKSP,IndexUSP+KUSP}”とを生成する(ステップS113)。その後、サービス提供者装置13は、サービス利用者装置12に対して、電子証明書CertSPと暗号化データ“E{PKU,IndexUSP+KUSP+Sig{SKSP,IndexUSP+KUSP }}”とを返送する(ステップS114)。 First, a connection request Service Request and an electronic certificate Cert U are transmitted from the service user device 12 to the service provider device 13 (step S112). Next, the service provider device 13, after receiving a connection request Service Request and the electronic certificate Cert U, performs verification of the digital certificate Cert U, if the verification result is normal, the secret key K USP and Service identification information Index USP and electronic signature data “Sig {SK SP , Index USP + K USP }” of the combination are generated (step S113). Thereafter, the service provider device 13, to the service user apparatus 12, an electronic certificate Cert SP and the encrypted data "E {PK U, Index USP + K USP + Sig {SK SP, Index USP + K USP} } "Is returned (step S114).

これに対して、サービス利用者装置12において、暗号化データを復号化した後、電子証明書Certspの検証、及び復号化データに含まれる電子署名データの検証が行われる(ステップS115)。そして、検証結果が正常な場合に、サービス利用者装置12からサービス提供者装置13に対して、接続先装置14の識別情報IDTの共通鍵暗号による暗号化データを含む料金表要求Tariff Requestが、送信される(ステップS116)。 In contrast, in the service user apparatus 12, after decrypting the encrypted data, verification of the digital certificate Cert sp, and the verification of the electronic signature data included in the decoded data is performed (step S115). If the verification result is normal, the service user device 12 sends a tariff request Tariff Request including encrypted data using the common key encryption of the identification information ID T of the connection destination device 14 to the service provider device 13. Are transmitted (step S116).

その後、サービス提供者装置13において、受け取った暗号化データの復号化が、秘密鍵KUSPを用いて行われて、識別情報IDTが取得される(ステップS117)。 Thereafter, in the service provider device 13, the received encrypted data is decrypted using the secret key K USP , and the identification information ID T is obtained (step S117).

次に、図19を参照して、サービス提供者装置13から接続先装置14への存在確認処理について説明する。   Next, the presence confirmation process from the service provider device 13 to the connection destination device 14 will be described with reference to FIG.

まず、サービス提供者装置13が接続先装置14に対して、接続要求Connection Requestと電子証明書Certspとを送信する(ステップS118)。次に、接続先装置14により、接続要求Connection Requestと電子証明書Certspとが受信された後、電子証明書Certspの検証が行われる(ステップS119)。その後、接続先装置14において、サービス提供者装置13に電子証明書CertTを含む接続要求応答Connection Responseが返送される(ステップS120)。 First, the service provider device 13 transmits a connection request Connection Request and an electronic certificate Cert sp to the connection destination device 14 (step S118). Next, after the connection destination device 14 receives the connection request Connection Request and the electronic certificate Cert sp , the electronic certificate Cert sp is verified (step S119). Thereafter, the connection destination device 14 returns a connection request response Connection Response including the electronic certificate Cert T to the service provider device 13 (step S120).

これに対して、サービス提供者装置13は、受信した電子証明書CertTの検証を行った後、乱数R及び乱数Rの電子署名データの生成を行う(ステップS121)。そして、サービス提供者装置13は、接続先装置14に対して、乱数R及びその電子署名データの組合せの暗号化データを送信する(ステップS122)。 On the other hand, after verifying the received electronic certificate Cert T , the service provider device 13 generates a random number R and electronic signature data of the random number R (step S121). Then, the service provider device 13 transmits encrypted data of a combination of the random number R and the electronic signature data to the connection destination device 14 (step S122).

その後、接続先装置14により、受け取った暗号化データの復号化処理、及び電子署名データの検証が行われる(ステップS123)。そして、接続先装置14において、電子署名データの検証結果が正常な場合に、乱数Rの鍵Rを用いた暗号化が行われる(ステップS124)。次に、接続先装置14からサービス提供者装置13に対して乱数Rの暗号化データが送信される(ステップS125)。   Thereafter, the connection destination device 14 decrypts the received encrypted data and verifies the digital signature data (step S123). Then, in the connection destination device 14, when the verification result of the electronic signature data is normal, encryption using the key R of the random number R is performed (step S124). Next, the encrypted data of the random number R is transmitted from the connection destination device 14 to the service provider device 13 (step S125).

サービス提供者装置13は、受信した暗号化データを鍵Rを用いて復号化した後、復号化結果の乱数Rと生成時の値Rとを比較する(ステップS126)。サービス提供者装置13は、比較結果が“一致”であれば、処理を継続する。   The service provider device 13 decrypts the received encrypted data using the key R, and then compares the decrypted random number R with the generation value R (step S126). If the comparison result is “match”, the service provider device 13 continues the process.

次に、図20を参照して、サービス利用者装置12とサービス提供者装置13との間の接続処理について説明する。なお、図20におけるステップS127〜S131の各処理は、第2実施形態において詳述したステップS25〜S29の各処理(図11参照)と、それぞれ同一であるので、第1実施形態とは異なるステップS132〜S140の処理について説明する。   Next, with reference to FIG. 20, the connection process between the service user apparatus 12 and the service provider apparatus 13 is demonstrated. In addition, since each process of step S127-S131 in FIG. 20 is the same as each process (refer FIG. 11) of step S25-S29 explained in full detail in 2nd Embodiment, it differs from 1st Embodiment, respectively. The processing of S132 to S140 will be described.

サービス提供者装置13は、料金支払処理開始の証拠の検証結果が正常であった場合に、サービス開始メッセージService Startをサービス利用者装置12に送信することにより、料金支払処理における電子マネーデータの更新をコミットする(ステップS132)。これに対して、サービス利用者装置12から接続先装置14に対して、電子証明書CertUを含む接続先確認要求が送信される(ステップS133)。その後、接続先装置14において、受信した電子証明書CertUが検証される(ステップS134)。電子証明書CertUの検証結果が正常であれば、接続先装置14によってサービス利用者装置12との間で共有する秘密鍵KUT及びその秘密鍵の電子署名データが生成される(ステップS135)。そして、接続先装置14からサービス利用者装置12に対して、電子証明書CertTと秘密鍵KUT及び秘密鍵の電子署名データの暗号化データとを含む接続先確認応答が送信される(ステップS136)。 The service provider device 13 updates the electronic money data in the fee payment process by sending a service start message Service Start to the service user device 12 when the verification result of the evidence of the fee payment processing is normal. Is committed (step S132). In response to this, a connection destination confirmation request including the electronic certificate Cert U is transmitted from the service user device 12 to the connection destination device 14 (step S133). Thereafter, the received electronic certificate Cert U is verified in the connection destination device 14 (step S134). If the verification result of the electronic certificate Cert U is normal, the connection destination device 14 generates the secret key KUT shared with the service user device 12 and the electronic signature data of the secret key (step S135). . Then, a connection destination confirmation response including the electronic certificate Cert T , the private key K UT, and the encrypted data of the electronic signature data of the private key is transmitted from the connection destination device 14 to the service user device 12 (step). S136).

これに対して、サービス利用者装置12において、受信した暗号化データが復号化される(ステップS137)。次に、サービス利用者装置12において、受信した電子証明書CertTの検証が行われると共に、復号化されたデータに含まれる電子署名データが検証される(ステップS138)。その結果、電子署名データの検証結果が正常である場合に、サービス提供者装置13は、サービス利用者装置12と接続先装置14との間の通信データの中継を開始する(ステップS139)。 In response to this, the service user apparatus 12 decrypts the received encrypted data (step S137). Next, the service user apparatus 12 verifies the received electronic certificate Cert T and verifies the electronic signature data included in the decrypted data (step S138). As a result, when the verification result of the electronic signature data is normal, the service provider device 13 starts relaying communication data between the service user device 12 and the connection destination device 14 (step S139).

以上説明したネットワーク接続サービスシステム11によれば、ネットワーク接続サービスの提供前におけるサービス提供者装置13と接続先装置14との間での鍵交換パラメータの生成及び交換が行われないので、ネットワーク接続までの処理時間が短縮される。また、サービス提供者装置13と接続先装置14との間の鍵共有化のための処理も軽減され、ネットワーク接続までの処理時間がさらに短縮される。   According to the network connection service system 11 described above, key exchange parameters are not generated and exchanged between the service provider device 13 and the connection destination device 14 before the network connection service is provided. The processing time is shortened. In addition, processing for key sharing between the service provider device 13 and the connection destination device 14 is reduced, and the processing time until network connection is further shortened.

また、サービス利用者装置12と接続先装置14との間での鍵共有化処理も付加されているので、サービス利用者装置12と接続先装置14との間における通信の秘匿性を高めることができる。   In addition, since a key sharing process is added between the service user device 12 and the connection destination device 14, the confidentiality of communication between the service user device 12 and the connection destination device 14 can be improved. it can.

なお、本発明は、前述した実施形態に限定されるものではない。例えば、ネットワーク接続サービスシステム1,11においては、公開鍵暗号化方式による電子署名データを用いていたが、これは、MAC(Message Authentication Code)方式を利用した共通鍵を用いた電子署名データを用いてもよい。   In addition, this invention is not limited to embodiment mentioned above. For example, in the network connection service systems 1 and 11, electronic signature data using a public key encryption method is used, but this uses electronic signature data using a common key using a MAC (Message Authentication Code) method. May be.

本発明の第1実施形態にかかるネットワーク接続サービスシステムの構成を示す図である。It is a figure which shows the structure of the network connection service system concerning 1st Embodiment of this invention. 図1のサービス利用者装置の構成を示す図である。It is a figure which shows the structure of the service user apparatus of FIG. 図1の課金管理装置の構成を示す図である。It is a figure which shows the structure of the charge management apparatus of FIG. 図1のサービス提供者装置の構成を示す図である。It is a figure which shows the structure of the service provider apparatus of FIG. 図4の通信履歴格納部に格納されるデータの構成を示す図である。It is a figure which shows the structure of the data stored in the communication log | history storage part of FIG. 図1の接続先装置の構成を示す図である。It is a figure which shows the structure of the connecting point apparatus of FIG. 図1のネットワーク接続サービスシステムにおける電子マネーデータ充填時の動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement at the time of electronic money data filling in the network connection service system of FIG. 図1のネットワーク接続サービスシステムにおける接続サービス提供時の動作の概要を示すシーケンス図である。It is a sequence diagram which shows the outline | summary of the operation | movement at the time of the connection service provision in the network connection service system of FIG. 図8におけるサービス利用者装置とサービス提供者装置との間の秘密鍵共有処理を示すシーケンス図である。It is a sequence diagram which shows the secret key sharing process between the service user apparatus and service provider apparatus in FIG. 図8におけるサービス提供者装置と接続先装置との間の秘密鍵共有処理を示すシーケンス図である。FIG. 9 is a sequence diagram illustrating secret key sharing processing between the service provider device and the connection destination device in FIG. 8. 図8におけるサービス利用者装置からサービス提供者装置への料金支払処理を示すシーケンス図である。It is a sequence diagram which shows the fee payment process from the service user apparatus in FIG. 8 to a service provider apparatus. 図8におけるサービス提供者装置と課金管理装置と間の料金決済時の動作を示すシーケンス図である。FIG. 9 is a sequence diagram illustrating an operation at the time of fee settlement between the service provider device and the charge management device in FIG. 8. 本発明の第2実施形態にかかるネットワーク接続サービスシステムの構成を示す図である。It is a figure which shows the structure of the network connection service system concerning 2nd Embodiment of this invention. 図13のサービス利用者装置の構成を示す図である。It is a figure which shows the structure of the service user apparatus of FIG. 図13のサービス提供者装置の構成を示す図である。It is a figure which shows the structure of the service provider apparatus of FIG. 図13の接続先装置の構成を示す図である。It is a figure which shows the structure of the connecting point apparatus of FIG. 図13のネットワーク接続サービスシステムにおける接続サービス提供時の動作の概要を示すシーケンス図である。It is a sequence diagram which shows the outline | summary of the operation | movement at the time of the connection service provision in the network connection service system of FIG. 図17におけるサービス利用者装置とサービス提供者装置との間の秘密鍵共有処理を示すシーケンス図である。FIG. 18 is a sequence diagram showing secret key sharing processing between the service user device and the service provider device in FIG. 17. 図17におけるサービス提供者装置から接続先装置への存在確認処理を示すシーケンス図である。It is a sequence diagram which shows the presence confirmation process from the service provider apparatus in FIG. 17 to a connecting point apparatus. 図17におけるサービス利用者装置からサービス提供者装置への料金支払処理を示すシーケンス図である。It is a sequence diagram which shows the fee payment process from the service user apparatus in FIG. 17 to a service provider apparatus.

符号の説明Explanation of symbols

1,11…ネットワーク接続サービスシステム、2,12…サービス利用者装置、3,13…サービス提供者、4,14…接続先装置、5,15…課金管理装置、201…電子マネー要求部(電子マネー要求手段)、202…電子マネー充填部(電子マネー充填手段)、205…接続要求部(接続要求手段)、207…秘密鍵導出部(秘密鍵送出手段)、208…パラメータ生成部(パラメータ生成手段)、209,223…パラメータ送信部(パラメータ送信手段)、211…料金表検証部(料金表検証手段)、212…支払処理部(支払処理手段)、214…支払証拠送信部(支払証拠送信手段)、301…接続要求受信部(接続要求受信手段)、302,323…パラメータ生成部(パラメータ生成手段)、303,324…パラメータ送信部(証明書返送手段、パラメータ送信手段)、305…秘密鍵導出部(秘密鍵送出手段)、307…料金表送信部(料金表送信手段)、308…支払証拠受信部(支払証拠受信手段)、309…支払証拠検証部(支払証拠検証手段)、316…通信制御部(通信制御手段)、317…通信履歴送信部(通信履歴送信手段)、321…料金表格納部(料金表格納手段)、322…通信履歴格納部(通信履歴格納手段)、501…電子マネー要求受信部(電子マネー要求受信手段)、508…決済処理部(決済処理手段)、504…電子マネー送信部(電子マネー送信手段)、506…通信履歴受信部(通信履歴受信手段)。
DESCRIPTION OF SYMBOLS 1,11 ... Network connection service system, 2,12 ... Service user apparatus, 3,13 ... Service provider, 4,14 ... Connection destination apparatus, 5,15 ... Charge management apparatus, 201 ... Electronic money request part (electronic Money requesting unit), 202 ... Electronic money filling unit (electronic money filling unit), 205 ... Connection requesting unit (connection requesting unit), 207 ... Secret key deriving unit (secret key sending unit), 208 ... Parameter generation unit (parameter generation) Means), 209, 223... Parameter transmission unit (parameter transmission unit), 211... Charge table verification unit (charge table verification unit), 212... Payment processing unit (payment processing unit), 214. Means), 301... Connection request receiving unit (connection request receiving means), 302, 323... Parameter generating unit (parameter generating means), 303, 324. Transmission unit (certificate return unit, parameter transmission unit), 305... Secret key derivation unit (secret key transmission unit), 307... Charge table transmission unit (charge table transmission unit), 308. 309... Payment evidence verification unit (payment evidence verification means) 316 Communication control unit (communication control means) 317 Communication history transmission unit (communication history transmission unit) 321 Charge table storage unit (charge table storage unit) ) 322... Communication history storage (communication history storage means) 501... Electronic money request receiving section (electronic money request receiving means) 508... Payment processing section (payment processing means) 504. Transmission means), 506... Communication history receiving unit (communication history receiving means).

Claims (7)

電子マネーの発行元である課金管理装置に対して、所定額の電子マネーデータを要求する電子マネー要求情報を送信する電子マネー要求手段と、
前記電子マネー要求情報に対して前記課金管理装置から送信された電子マネーデータに基づいて、予め保持する電子マネーデータの残高への充填処理を行う電子マネー充填手段と、
通信ネットワークを介した接続先装置との接続を要求する接続要求と、自己の証明用データとを、特定のサービス提供者装置に送信する接続要求手段と、
前記接続要求に対して前記サービス提供者装置から返送された証明用データ及び料金表情報に基づいて、前記料金表情報を検証する料金表検証手段と、
前記料金表情報に基づいて前記接続に関する料金を算出した後、前記電子マネーデータの残高及び前記料金に基づいて料金支払処理を行う支払処理手段と、
前記料金支払処理の証拠に電子署名データを付加して、前記サービス提供者装置に送信する支払証拠送信手段と、
を備えることを特徴とするサービス利用者装置。 Electronic money requesting means for transmitting electronic money request information for requesting a predetermined amount of electronic money data to a billing management apparatus that is an issuer of electronic money;
Electronic money filling means for filling the balance of electronic money data held in advance based on the electronic money data transmitted from the billing management apparatus to the electronic money request information;
A connection request means for requesting a connection with a connection destination device via a communication network, and a self-certification data to be transmitted to a specific service provider device;
Rate table verification means for verifying the rate table information based on the certification data and rate table information returned from the service provider device in response to the connection request;
Payment processing means for calculating a charge related to the connection based on the charge table information, and performing a charge payment process based on the balance of the electronic money data and the charge;
Payment proof sending means for adding electronic signature data to the fee payment processing proof and sending it to the service provider device;
A service user device comprising: 共通鍵暗号方式で用いる秘密鍵を交換するための鍵交換用パラメータを生成するパラメータ生成手段と、
前記鍵交換用パラメータを前記サービス提供者装置に送信するパラメータ送信手段と、
前記サービス提供者装置から受信した鍵交換用パラメータから秘密鍵を導出する秘密鍵導出手段とを備え、
前記サービス提供者装置に情報を送信する際には、前記秘密鍵を用いて暗号化する、
ことを特徴とする請求項1記載のサービス利用者装置。 Parameter generating means for generating a key exchange parameter for exchanging a secret key used in the common key cryptosystem;
Parameter transmitting means for transmitting the key exchange parameter to the service provider device;
A secret key derivation means for deriving a secret key from the parameter for key exchange received from the service provider device,
When transmitting information to the service provider device, encrypt using the secret key,
The service user device according to claim 1. 通信ネットワークを介した接続に関する料金表情報を格納する料金表格納手段と、
前記接続に関するサービスを利用するサービス利用者装置から、前記通信ネットワークを介した接続先装置との接続を要求する接続要求と、前記サービス利用者装置の証明用データとを受信する接続要求受信手段と、
前記接続要求の受信に応じて、自己の証明用データを返送する証明書返送手段と、
前記接続要求の受信に応じて、前記料金表格納手段に格納されている料金表情報に電子署名データを付加して、前記サービス利用者装置に送信する料金表送信手段と、
前記サービス利用者装置から送信された前記接続に関する料金支払処理の証拠を受信する支払証拠受信手段と、
前記サービス利用者装置の証明用データ及び前記料金支払処理の証拠に基づいて、前記料金支払処理の証拠を検証する支払証拠検証手段と、
前記料金支払処理の証拠の受信に応じて、前記サービス利用者装置と前記接続先装置との間の接続を制御する通信制御手段と、
前記料金支払処理の証拠を格納する通信履歴格納手段と、
前記通信履歴格納手段に格納されている前記料金支払処理の証拠を電子マネーの発行元である課金管理装置に送信する通信履歴送信手段と、
を備えることを特徴とするサービス提供者装置。 Charge table storage means for storing charge table information relating to connection via a communication network;
A connection request receiving means for receiving a connection request for requesting connection with a connection destination device via the communication network and proof data of the service user device from a service user device that uses the service related to the connection; ,
In response to receiving the connection request, certificate return means for returning self-certification data;
In response to receiving the connection request, a fee table transmission unit that adds electronic signature data to the fee table information stored in the fee table storage unit and transmits the data to the service user device;
Payment proof receiving means for receiving proof of fee payment processing related to the connection transmitted from the service user device;
Payment evidence verification means for verifying the fee payment processing evidence based on the proof data of the service user device and the fee payment processing evidence;
Communication control means for controlling connection between the service user device and the connection destination device in response to reception of evidence of the fee payment processing;
Communication history storage means for storing evidence of the fee payment process;
Communication history transmission means for transmitting evidence of the fee payment processing stored in the communication history storage means to a charge management device that is an issuer of electronic money;
A service provider device comprising: 共通鍵暗号方式で用いる秘密鍵を交換するための鍵交換用パラメータを生成するパラメータ生成手段と、
前記鍵交換用パラメータを前記サービス利用者装置に送信するパラメータ送信手段と、
前記サービス利用者装置から受信した鍵交換用パラメータから秘密鍵を導出する秘密鍵導出手段とを備え、
前記サービス利用者装置に情報を送信する際には、前記秘密鍵を用いて暗号化する、
ことを特徴とする請求項3記載のサービス提供者装置。 Parameter generating means for generating a key exchange parameter for exchanging a secret key used in the common key cryptosystem;
Parameter transmitting means for transmitting the key exchange parameter to the service user device;
A secret key derivation means for deriving a secret key from the parameter for key exchange received from the service user device,
When transmitting information to the service user device, the information is encrypted using the secret key.
The service provider device according to claim 3. 通信ネットワークを介した接続に関するサービスを利用するサービス利用者装置から、所定額の電子マネーデータを要求する電子マネー要求情報を受信する電子マネー要求受信手段と、
前記電子マネー要求情報に応じて、前記所定額に対応する電子マネーデータを前記サービス利用者装置に送信する電子マネー送信手段と、
前記サービスを提供するサービス提供者装置から、前記サービスに関する料金支払処理の証拠を受信する通信履歴受信手段と、
前記料金支払処理の証拠に基づいて、前記サービス提供者装置に対する決済処理を行う決済処理手段と、
を備えることを特徴とする課金管理装置。 An electronic money request receiving means for receiving electronic money request information for requesting a predetermined amount of electronic money data from a service user device that uses a service related to connection via a communication network;
Electronic money transmission means for transmitting electronic money data corresponding to the predetermined amount to the service user device according to the electronic money request information;
Communication history receiving means for receiving evidence of fee payment processing related to the service from a service provider device that provides the service;
Payment processing means for performing payment processing for the service provider device based on the evidence of the fee payment processing;
An accounting management apparatus comprising: 請求項1又は2記載のサービス利用者装置と、
請求項3又は4記載のサービス提供者装置と、
請求項5記載の課金管理装置と、
を備えることを特徴とするネットワーク接続サービスシステム。 The service user device according to claim 1 or 2,
The service provider device according to claim 3 or 4,
The charge management device according to claim 5;
A network connection service system comprising: 通信ネットワークを介した接続に関するサービスを利用するサービス利用者装置が、電子マネーの発行元である課金管理装置に対して、所定額の電子マネーデータを要求する電子マネー要求情報を送信する電子マネー要求ステップと、
前記課金管理装置が、前記サービス利用者装置から所定額の電子マネーデータを要求する電子マネー要求情報を受信する電子マネー要求受信ステップと、
前記課金管理装置が、前記電子マネー要求情報に応じて、前記所定額に対応する電子マネーデータを前記サービス利用者装置に送信する電子マネー送信ステップと、
前記サービス利用者装置が、前記課金管理装置から送信された電子マネーデータに基づいて、予め保持する電子マネーデータの残高への充填処理を行う電子マネー充填ステップと、
前記サービス利用者装置が、前記通信ネットワークを介した接続先装置との接続を要求する接続要求と、自己の証明用データとを、特定のサービス提供者装置に送信する接続要求手段と、
前記サービス提供者装置が、前記サービス利用者装置から、前記接続要求と、前記サービス利用者装置の証明用データとを受信する接続要求受信ステップと、
前記サービス提供者装置が、前記接続要求の受信に応じて、自己の証明用データを返送する証明書返送ステップと、
前記サービス提供者装置が、前記接続要求の受信に応じて、前記接続に関する料金表情報に電子署名データを付加して、前記サービス利用者装置に送信する料金表送信ステップと、
前記サービス利用者装置が、前記サービス提供者装置から返送された証明用データ及び料金表情報に基づいて、前記料金表情報を検証する料金表検証ステップと、
前記サービス利用者装置が、前記料金表情報に基づいて前記接続に関する料金を算出した後、前記電子マネーデータの残高及び前記料金に基づいて料金支払処理を行う支払処理ステップと、
前記サービス利用者装置が、前記料金支払処理の証拠に電子署名データを付加して、前記サービス提供者装置に送信する支払証拠送信ステップと、
前記サービス提供者装置が、前記料金支払処理の証拠を受信する支払証拠受信ステップと、
前記サービス提供者装置が、前記サービス利用者装置の証明用データ及び前記料金支払処理の証拠に基づいて、前記料金支払処理の証拠を検証する支払証拠検証ステップと、
前記サービス提供者装置が、前記料金支払処理の証拠の受信に応じて、前記サービス利用者装置と前記接続先装置との間の接続を制御する通信制御ステップと、
前記サービス提供者装置が、前記料金支払処理の証拠を前記課金管理装置に送信する通信履歴送信ステップと、
前記課金管理装置が、前記サービス提供者装置から、前記サービスに関する料金支払処理の証拠を受信する通信履歴受信ステップと、
前記課金管理装置が、前記料金支払処理の証拠に基づいて、前記サービス提供者装置に対する決済処理を行う決済処理手段と、
を備えることを特徴とするネットワーク接続サービスにおける課金方法。
An electronic money request in which a service user device that uses a service related to a connection via a communication network transmits electronic money request information for requesting a predetermined amount of electronic money data to a billing management device that is an electronic money issuer Steps,
An electronic money request receiving step in which the charge management device receives electronic money request information for requesting a predetermined amount of electronic money data from the service user device;
The billing management device transmits electronic money data corresponding to the predetermined amount to the service user device according to the electronic money request information,
An electronic money filling step in which the service user device performs a filling process to a balance of electronic money data held in advance based on the electronic money data transmitted from the charge management device;
A connection request means for the service user device to send a connection request for requesting connection with a connection destination device via the communication network, and data for own certification to a specific service provider device;
A connection request receiving step in which the service provider device receives the connection request and proof data of the service user device from the service user device;
A certificate returning step in which the service provider device returns its certification data in response to receiving the connection request;
The service provider device, in response to receiving the connection request, adds electronic signature data to the fee table information related to the connection and transmits the fee table to the service user device; and
A charge table verification step in which the service user device verifies the charge table information based on certification data and charge table information returned from the service provider device;
A payment processing step in which the service user device calculates a charge related to the connection based on the charge table information and then performs a charge payment process based on the balance of the electronic money data and the charge;
A payment proof transmission step in which the service user device adds electronic signature data to the fee payment processing proof and transmits the digital signature data to the service provider device; and
A payment proof receiving step in which the service provider device receives proof of the fee payment processing;
A payment proof verification step in which the service provider device verifies the proof of the fee payment processing based on the proof data of the service user device and the proof of the fee payment processing;
A communication control step in which the service provider device controls connection between the service user device and the connection destination device in response to reception of evidence of the fee payment processing;
A communication history transmission step in which the service provider device transmits evidence of the fee payment processing to the charge management device;
A communication history receiving step in which the charge management device receives evidence of fee payment processing related to the service from the service provider device;
Payment processing means for performing a payment process for the service provider apparatus based on the evidence of the charge payment process;
A billing method for a network connection service, comprising:
JP2005034928A 2005-02-10 2005-02-10 Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service. Pending JP2006221462A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005034928A JP2006221462A (en) 2005-02-10 2005-02-10 Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005034928A JP2006221462A (en) 2005-02-10 2005-02-10 Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service.

Publications (1)

Publication Number Publication Date
JP2006221462A true JP2006221462A (en) 2006-08-24

Family

ID=36983754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005034928A Pending JP2006221462A (en) 2005-02-10 2005-02-10 Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service.

Country Status (1)

Country Link
JP (1) JP2006221462A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008005304A (en) * 2006-06-23 2008-01-10 Toshiba Corp Copyright protection system, copyright protection device and video processing device
JP2008140160A (en) * 2006-12-01 2008-06-19 Mizuho Bank Ltd Payment support processing system and payment support processing method
JP2009175980A (en) * 2008-01-23 2009-08-06 Ntt Docomo Inc Service provider device, service user terminal, service providing system, and billing method in service providing system
WO2013061792A1 (en) * 2011-10-25 2013-05-02 株式会社アイエスアイ Electronic money transfer payment method and system for same
WO2014033939A1 (en) * 2012-08-31 2014-03-06 楽天Edy株式会社 Mobile terminal, mobile terminal control method, program and recording medium
JP2014530433A (en) * 2011-09-27 2014-11-17 アマゾン テクノロジーズ インコーポレイテッド Safely refillable electronic wallet

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001256403A (en) * 2000-03-14 2001-09-21 Sony Corp Content usage fee management system, content usage fee management method, and program providing medium
JP2003296646A (en) * 2002-03-29 2003-10-17 Mitsubishi Electric Corp Wireless portable terminal, financial institution system, electronic money charging system and electronic money charging method
JP2003304257A (en) * 2002-04-10 2003-10-24 Nippon Telegr & Teleph Corp <Ntt> Wireless LAN Internet connection service providing method and system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001256403A (en) * 2000-03-14 2001-09-21 Sony Corp Content usage fee management system, content usage fee management method, and program providing medium
JP2003296646A (en) * 2002-03-29 2003-10-17 Mitsubishi Electric Corp Wireless portable terminal, financial institution system, electronic money charging system and electronic money charging method
JP2003304257A (en) * 2002-04-10 2003-10-24 Nippon Telegr & Teleph Corp <Ntt> Wireless LAN Internet connection service providing method and system

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008005304A (en) * 2006-06-23 2008-01-10 Toshiba Corp Copyright protection system, copyright protection device and video processing device
JP2008140160A (en) * 2006-12-01 2008-06-19 Mizuho Bank Ltd Payment support processing system and payment support processing method
JP2009175980A (en) * 2008-01-23 2009-08-06 Ntt Docomo Inc Service provider device, service user terminal, service providing system, and billing method in service providing system
JP2014530433A (en) * 2011-09-27 2014-11-17 アマゾン テクノロジーズ インコーポレイテッド Safely refillable electronic wallet
JPWO2013061792A1 (en) * 2011-10-25 2015-04-02 株式会社アイエスアイ Electronic money remittance method and system
WO2013061792A1 (en) * 2011-10-25 2013-05-02 株式会社アイエスアイ Electronic money transfer payment method and system for same
JP2019083051A (en) * 2011-10-25 2019-05-30 株式会社アイエスアイ Electronic money remittance method and system thereof
US11138573B2 (en) 2011-10-25 2021-10-05 Isi Corporation Electronic money transfer payment method and system for same
JP2022043247A (en) * 2011-10-25 2022-03-15 株式会社アイエスアイ Electronic money remittance method and its system
US11875317B2 (en) 2011-10-25 2024-01-16 Isi Corporation Electronic money transfer method and system for the same
JP2024164291A (en) * 2011-10-25 2024-11-26 株式会社アイエスアイ Electronic money transfer method and system
WO2014033939A1 (en) * 2012-08-31 2014-03-06 楽天Edy株式会社 Mobile terminal, mobile terminal control method, program and recording medium
JPWO2014033939A1 (en) * 2012-08-31 2016-08-08 楽天Edy株式会社 Portable terminal, portable terminal control method, program, and recording medium
US10977625B2 (en) 2012-08-31 2021-04-13 Rakuten, Inc. Mobile terminal, method for controlling mobile terminal, program product, and recording medium

Similar Documents

Publication Publication Date Title
US7962744B2 (en) Terminal communication system
EP1669955B1 (en) System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure
KR102158325B1 (en) Secure charging method for electric vehicles
CN111815322B (en) An Ethereum-based distributed payment method with optional privacy services
US20030120611A1 (en) Content distribution system and content distribution method
EP2369545A1 (en) System and method of secure authentication and billing for goods and services using a cellular telecommunication and an authorization infrastructure
CN101622635A (en) Communication Systems
MX2010014176A (en) Ordering scheme.
JP4695633B2 (en) Method and apparatus for selling digital resources
CN101794486A (en) Brand new electronic fund transferring method capable of realizing safe earmarking and unloading
CN109872142B (en) Digital asset transaction method based on trusted third party and storage medium thereof
JPH10260630A (en) Key management method and system for electronic signature
JP2006221462A (en) Service user apparatus, service provider apparatus, charging management apparatus, network connection service system, and charging method in network connection service.
WO2006112481A1 (en) Terminal device automatically receiving electronic gift, security device, information providing method for providing requested electronic information together with electronic gift, and information server
KR20030084294A (en) Method of multiple payment based on electronic cash using a mobile phone
US7127428B2 (en) Dynamic business relationship establishment in a public wireless LAN environment
CN113746645B (en) Public scene anonymous communication charging system and method based on chargeable digital certificate
US7219232B2 (en) Method of providing information via a communication network and information providing system
KR100854339B1 (en) Prepaid Card Operation Method and System
JP4921798B2 (en) Electronic ticket using terminal and portable terminal
JP4148465B2 (en) Electronic value distribution system and electronic value distribution method
Cheung et al. A secure electronic payment protocol for wireless mesh networks
Wang et al. A protocol for billing mobile network access devices operating in foreign networks
KR100693377B1 (en) Certificate verification and identity verification service system and method through application service provider
JP2008176736A (en) Service distribution system, prepaid ticket issuing method, prepaid ticket using method, prepaid ticket collection method, IC chip, portable terminal, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071003

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100223

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100706