知財求人 - 知財ポータルサイト「IP Force」
特許6072907複数のサービスプロバイダのトラステッドサービスマネジャーとセキュアエレメントとをインターフェース接続するためのシステム、方法、およびコンピュータプログラム製品
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6072907
(24)【登録日】2017年1月13日
(45)【発行日】2017年2月1日
(54)【発明の名称】複数のサービスプロバイダのトラステッドサービスマネジャーとセキュアエレメントとをインターフェース接続するためのシステム、方法、およびコンピュータプログラム製品
(51)【国際特許分類】
G06F 21/57 20130101AFI20170123BHJP
【FI】
G06F21/57
【請求項の数】24
【全頁数】48
(21)【出願番号】特願2015-520725(P2015-520725)
(86)(22)【出願日】2013年9月17日
(65)【公表番号】特表2015-528164(P2015-528164A)
(43)【公表日】2015年9月24日
(86)【国際出願番号】US2013060189
(87)【国際公開番号】WO2014047069
(87)【国際公開日】20140327
【審査請求日】2014年12月25日
(31)【優先権主張番号】61/702,653
(32)【優先日】2012年9月18日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】502208397
【氏名又は名称】グーグル インコーポレイテッド
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】ガルジューロ, マイケル, ジェー.
【審査官】
脇岡 剛
(56)【参考文献】
【文献】
特表2011−508466(JP,A)
【文献】
米国特許出願公開第2010/0291904(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
複数のサービスプロバイダ(SP)システムのうちの1つと、複数のセキュアエレメントのうちの1つとをインターフェース接続するためのシステムであって、前記システムが、
少なくとも1つのメモリと、
前記少なくとも1つのメモリに結合されるプロセッサと、を備え、前記プロセッサが、
通信ネットワークを介してSPシステムから、サービスを更新する第1の要求であって、前記サービスに関連付けられたサービス修飾子を含む該第1の要求を受信し、
前記サービス修飾子に対応するセキュアエレメントを判定し、
前記セキュアエレメントに、前記セキュアエレメントから前記サービス修飾子に関連付けられたデータを削除する第2の要求を送信し、
前記サービスに関連付けられたアプリケーションのインスタンスを前記セキュアエレメントにインストールする第3の要求を、前記セキュアエレメントへ送信し、
前記セキュアエレメントに、前記セキュアエレメント上で前記アプリケーションを有効化する第4の要求を送信するように動作可能である、システム。
少なくとも1つのメモリと、
前記少なくとも1つのメモリに結合されるプロセッサと、を備え、前記プロセッサが、
通信ネットワークを介してSPシステムから、サービスを更新する第1の要求であって、前記サービスに関連付けられたサービス修飾子を含む該第1の要求を受信し、
前記サービス修飾子に対応するセキュアエレメントを判定し、
前記セキュアエレメントに、前記セキュアエレメントから前記サービス修飾子に関連付けられたデータを削除する第2の要求を送信し、
前記サービスに関連付けられたアプリケーションのインスタンスを前記セキュアエレメントにインストールする第3の要求を、前記セキュアエレメントへ送信し、
前記セキュアエレメントに、前記セキュアエレメント上で前記アプリケーションを有効化する第4の要求を送信するように動作可能である、システム。
【請求項2】
前記プロセッサが、前記セキュアエレメントに、前記セキュアエレメント上の対応するSPセキュリティドメイン(SD)に前記アプリケーションを引き渡す第5の要求を送信するように更に動作可能である、請求項1に記載のシステム。
【請求項3】
前記プロセッサが、前記SPシステムに、前記第1の要求の処理が成功したかを示す情報を含む応答を送信するように更に動作可能である、請求項1に記載のシステム。
【請求項4】
前記プロセッサが、前記少なくとも1つのメモリ内のサービスの状態を更新するように更に動作可能である、請求項1に記載のシステム。
【請求項5】
前記第1の要求が、ESBを介して前記SPシステムから受信される、請求項1に記載のシステム。
【請求項6】
前記プロセッサが、前記第1の要求において、サービス識別子を受信するように更に動作可能であり、
前記セキュアエレメントにインストールされる前記アプリケーションが、前記サービス識別子に基づいて選択される、請求項1に記載のシステム。
前記セキュアエレメントにインストールされる前記アプリケーションが、前記サービス識別子に基づいて選択される、請求項1に記載のシステム。
【請求項7】
アプリケーションをインストールする前記第3の要求が、前記サービス識別子に基づいて選択される前記アプリケーションのインスタンスを作成する命令を含む、請求項6に記載のシステム。
【請求項8】
複数のサービスプロバイダ(SP)システムのうちの1つと複数のセキュアエレメントのうちの1つとをインターフェース接続するための方法であって、
通信ネットワークを介してSPシステムから、サービスを更新する第1の要求であって、前記サービスに関連付けられたサービス修飾子を含む該第1の要求を、中央トラステッドサービスマネージャ(TSM)が受信するステップと、
前記サービス修飾子に対応するセキュアエレメントを、前記中央TSMが判定するステップと、
前記セキュアエレメントに、前記セキュアエレメントからの前記サービス修飾子に関連付けられたデータを削除する第2の要求を、前記中央TSMが送信するステップと、
前記サービスに関連付けられたアプリケーションのインスタンスを前記セキュアエレメントにインストールする第3の要求を、前記中央TSMが送信するステップと、
前記セキュアエレメントに、前記セキュアエレメント上でアプリケーションを有効化する第4の要求を、前記中央TSMが前記セキュアエレメントへ送信するステップと、を含む、方法。
通信ネットワークを介してSPシステムから、サービスを更新する第1の要求であって、前記サービスに関連付けられたサービス修飾子を含む該第1の要求を、中央トラステッドサービスマネージャ(TSM)が受信するステップと、
前記サービス修飾子に対応するセキュアエレメントを、前記中央TSMが判定するステップと、
前記セキュアエレメントに、前記セキュアエレメントからの前記サービス修飾子に関連付けられたデータを削除する第2の要求を、前記中央TSMが送信するステップと、
前記サービスに関連付けられたアプリケーションのインスタンスを前記セキュアエレメントにインストールする第3の要求を、前記中央TSMが送信するステップと、
前記セキュアエレメントに、前記セキュアエレメント上でアプリケーションを有効化する第4の要求を、前記中央TSMが前記セキュアエレメントへ送信するステップと、を含む、方法。
【請求項9】
前記セキュアエレメントに、前記セキュアエレメント上の対応するSPセキュリティドメイン(SD)に前記アプリケーションを引き渡す第5の要求を、前記中央TSMが送信するステップを更に含む、請求項8に記載の方法。
【請求項10】
前記SPシステムに、前記第1の要求の処理が成功したかを示す情報を含む応答を、前記中央TSMが送信するステップを更に含む、請求項8に記載の方法。
【請求項11】
少なくとも1つのメモリ内で、前記複数のセキュアエレメントのうちの1つが前記サービスの状態を最新化するステップを更に含む、請求項8に記載の方法。
【請求項12】
前記第1の要求がESBを介して前記SPシステムから受信される、請求項8に記載の方法。
【請求項13】
前記第1の要求で、サービス識別子を、前記中央TSMがESBを介して受信するステップを更に含み、
前記セキュアエレメントにインストールされた前記アプリケーションが、前記サービス識別子に基づいて選択される、請求項8に記載の方法。
前記セキュアエレメントにインストールされた前記アプリケーションが、前記サービス識別子に基づいて選択される、請求項8に記載の方法。
【請求項14】
アプリケーションをインストールする前記第3の要求が、前記サービス識別子に基づいて選択された前記アプリケーションのインスタンスを作成する命令を含む、請求項13に記載の方法。
【請求項15】
コンピュータ可読媒体であって、1つ以上のプロセッサに、
通信ネットワークを介してSPシステムから、サービスを更新する第1の要求であって、前記サービスに関連付けられたサービス修飾子を含む該第1の要求を受信し、
前記サービス修飾子に対応するセキュアエレメントを判定し、
前記セキュアエレメントに、前記セキュアエレメントから前記サービス修飾子に関連付けられたデータを削除する第2の要求を送信し、
前記サービスに関連付けられたアプリケーションのインスタンスを前記セキュアエレメントにインストールする第3の要求を、前記セキュアエレメントへ送信し、
前記セキュアエレメントに、前記セキュアエレメント上で前記アプリケーションを有効化する第4の要求を送信するようにさせる命令のシーケンスをその中に記憶する、コンピュータ可読媒体。
通信ネットワークを介してSPシステムから、サービスを更新する第1の要求であって、前記サービスに関連付けられたサービス修飾子を含む該第1の要求を受信し、
前記サービス修飾子に対応するセキュアエレメントを判定し、
前記セキュアエレメントに、前記セキュアエレメントから前記サービス修飾子に関連付けられたデータを削除する第2の要求を送信し、
前記サービスに関連付けられたアプリケーションのインスタンスを前記セキュアエレメントにインストールする第3の要求を、前記セキュアエレメントへ送信し、
前記セキュアエレメントに、前記セキュアエレメント上で前記アプリケーションを有効化する第4の要求を送信するようにさせる命令のシーケンスをその中に記憶する、コンピュータ可読媒体。
【請求項16】
前記命令のシーケンスは更に、前記プロセッサに、
前記セキュアエレメントに、前記セキュアエレメントにおいて前記アプリケーションを対応するSPセキュリティドメイン(SD)に引き渡す第5の要求を送信させる、請求項15に記載のコンピュータ可読媒体。
前記セキュアエレメントに、前記セキュアエレメントにおいて前記アプリケーションを対応するSPセキュリティドメイン(SD)に引き渡す第5の要求を送信させる、請求項15に記載のコンピュータ可読媒体。
【請求項17】
前記命令のシーケンスは更に、前記プロセッサに、
前記第1の要求の処理が成功したかを示す情報を含めた応答を前記SPシステムに送信させる、請求項15に記載のコンピュータ可読媒体。
前記第1の要求の処理が成功したかを示す情報を含めた応答を前記SPシステムに送信させる、請求項15に記載のコンピュータ可読媒体。
【請求項18】
前記命令のシーケンスは更に、前記プロセッサに、
少なくとも1つのメモリ内でサービスの状態を最新化させる、請求項15に記載のコンピュータ可読媒体。
少なくとも1つのメモリ内でサービスの状態を最新化させる、請求項15に記載のコンピュータ可読媒体。
【請求項19】
第1の要求がESBを介して前記SPシステムから受信される、請求項15に記載のコンピュータ可読媒体。
【請求項20】
前記命令のシーケンスは更に、前記プロセッサに、
前記第1の要求においてサービス識別子を受信させ、
前記セキュアエレメントにインストールされた前記アプリケーションが、前記サービス識別子に基づいて選択される、請求項15に記載のコンピュータ可読媒体。
前記第1の要求においてサービス識別子を受信させ、
前記セキュアエレメントにインストールされた前記アプリケーションが、前記サービス識別子に基づいて選択される、請求項15に記載のコンピュータ可読媒体。
【請求項21】
アプリケーションをインストールする前記第3の要求が、前記サービス識別子に基づいて選択される前記アプリケーションのインスタンスを作成する命令を含む、請求項20に記載のコンピュータ可読媒体。
【請求項22】
前記アプリケーションが、前記複数のSPシステムによって使用されるものである、請求項1に記載のシステム。
【請求項23】
前記アプリケーションが、前記複数のSPシステムによって使用されるものである、請求項8に記載の方法。
【請求項24】
前記アプリケーションが、前記SPシステムによって使用されるものである、請求項15に記載のコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
発明の背景本発明は、サービスプロバイダとセキュアエレメントとをインターフェース接続することに関し、より具体的には、サービスプロバイダのトラステッドサービスマネジャーとセキュアエレメントとをインターフェース接続するためのシステム、方法、およびコンピュータプログラム製品に関する。
【背景技術】
【0002】
サービスプロバイダ(SP)は、顧客または消費者にサービスを提供する会社、組織、事業体、または同種のものである。サービスプロバイダの例としては、販売業者、カード協会、銀行、マーケティング会社、公共交通機関管理所などのアカウント発行事業体が挙げられる。サービスは、支払サービス、ギフト、オファーまたはロイヤルティサービス、交通パスサービスなどの、サービスプロバイダによって許可または提供される活動、性能、機能、業務、または使用であり得る。
【0003】
モバイルデバイスとサービスプロバイダとの間の非接触取引を伴うモバイル環境では、サービスプロバイダによって発行されるアカウントおよびアプリケーションに関連する情報が、それらが非接触取引を実施することを可能にするためにモバイルデバイスにダウンロードされなければならない。
【0004】
トラステッドサービスマネジャー(TSM)は、通常、モバイルデバイスにサービスプロバイダに関連付けられた非接触型アプリケーションなどのアプリケーションを提供することによって、モバイルネットワークオペレーター(MNO)およびアカウント発行サービスプロバイダにサービスを提供する独立した実体である。典型的なTSMは、近距離無線通信(NFC)可能なモバイルデバイス内でセキュアエレメント(SE)へのアクセス権を持っているので、典型的なTSMは、遠隔操作で非接触型アプリケーションを配布し、管理することができる。
【0005】
支払いおよびアカウントの資格情報を伴うものなど、セキュリティが不可欠なアプリケーションでは、安全なハードウェア記憶装置および安全な実施環境が必要とされる。モバイルデバイスでは、これは、通常セキュアエレメントによって処理される。
【0006】
セキュアエレメントは、アプリケーションがインストールされ、個人化され、かつ管理され得るプラットフォームである。それは、資格情報のための安全な記憶装置、ならびに支払い、認証、および他のサービスのためのアプリケーションの実行を可能にするハードウェア、ソフトウェア、インターフェース、およびプロトコルから成る。
【0007】
セキュアエレメントは、ユニバーサル集積回路カード(UICC)、埋め込まれたセキュアエレメント、またはモバイルデバイス上のスロットに挿入することができる別個のチップまたはセキュアデバイスといったNFCイネーブラなどの異なるフォームファクタにおいて実装され得る。典型的には、UICCは、MNOによって制御されている加入者識別モジュール(SIM)の形態である。埋め込まれたセキュアエレメントは、サービスプロバイダに電話自体にセキュアエレメントを埋め込むためのオプションを提供する。セキュアエレメントフォームファクタが実装されている1つの方法は、例えば、GlobalPlatformカード仕様バージョン2.1.1および2.2(以下、「グローバルプラットフォーム」)で定義されている。
【0008】
セキュアエレメントは、1つ以上のセキュリティドメイン(SD)を含み得、その各々は、共通実体を信用する(つまり、共通セキュリティキーまたはトークンを使用して認証されるまたは管理される)パッケージ、アプレット、アプリケーションなどのデータの集合を含む。
【0009】
セキュリティドメインは、サービスプロバイダに関連付けられ得、ロイヤルティ、クーポン、およびクレジットカード、または交通アプリケーションまたはアプレットなどのサービスプロバイダのアプレットまたはアプリケーションを含み得る。
【0010】
伝統的に、サービスプロバイダシステムは、セキュアエレメント上にセキュリティドメインを作成して、セキュアエレメント上にアプレットおよびアプリケーションをインストールし、提供し、かつ管理するために、モバイルデバイス上でセキュアエレメントと相互接続するためのTSMを含む。サービスプロバイダは、異なるモバイルデバイスを有し、異なるセキュアエレメントを備え、様々なMNOによるサービスを受ける多数の顧客にサービスを提供することができなければならない。上に説明したように、複数のセキュアエレメントは、多数のフォームファクタにおいて実装され得、様々なセキュリティドメイン、アプレット、およびアプリケーションを含み得、すべてが、極めて多数の方法で潜在的に構成される。結果として、サービスプロバイダは、大規模で成長および変化し続けることの多い、モバイルデバイス、MNO、ネットワーク、セキュアエレメント、およびセキュリティドメインの組み合わせに対して、適応性のあるサービスおよびソリューションを提供するという解決の難しい課題に直面している。
【0011】
例えば、サービスプロバイダが、モバイルデバイス上で顧客のセキュアエレメント上へ支払いアプレットを安全にインストールするために、サービスプロバイダはまず、セキュアエレメント上にその要求を送り、それを処理するために大量の情報を判定しなければならない。例えば、従来技術を使用するサービスプロバイダは、セキュアエレメント情報(例えば、識別子、タイプ、プロファイル識別子、認定レベル、および有効期限)、MNO情報(例えば、タイプ)、セキュリティドメイン情報(例えば、識別子、特権、マスターキーインデックス)などを取得しなければならない。この情報は、様々な異なるソース(例えば、セキュリティドメイン、セキュアエレメント、モバイルデバイス、MNO)内に存在し得、したがって、サービスプロバイダにとって、この情報のすべてを検索してパリティ検査することは、大規模な処理を必要とする骨の折れる作業である。
【0012】
セキュアエレメント上でのアプリケーションのインストール、管理、および提供における1つの技術的な課題は、典型的なTSMにおける制限によるもの、すなわち、それらが多種多様なサービスプロバイダ、MNO、モバイルデバイス、ネットワーク、セキュアエレメント、およびセキュリティドメイン間の通信を処理することができる中央媒介として機能しないことである。したがって、特に、(サービスプロバイダTSMを含む)サービスプロバイダとセキュアエレメントとのインターフェース接続に合わせて調整された中央TSMなどの改善されたシステムの必要性が存在する。
【0013】
サービスプロバイダの観点から重要なことは、それらが、顧客のモバイルデバイス、セキュアエレメント、MNO、またはモバイルネットワークに関わらず、意図された顧客のセキュアエレメントを用いて容易にかつ安全に通信(すなわち、要求の個人化、サービスの有効化、スクリプトの処理など)できるということである。
【0014】
顧客の観点から重要なことは、サービスプロバイダのサービスが、顧客のモバイルデバイス、セキュアエレメント、MNO、またはモバイルネットワークに関わらず、顧客のセキュアエレメント上で有効化され、それを用いて使用することができることである。
【発明の概要】
【0015】
本発明は、複数のサービスプロバイダのトラステッドサービスマネジャーのうちの1つと複数のセキュアエレメントのうちの1つとをインターフェース接続するためのシステム、方法、およびコンピュータプログラム製品を提供する。
【0016】
一実施形態において、複数のサービスプロバイダのトラステッドサービスマネジャーのうちの1つと複数のセキュアエレメントのうちの1つとをインターフェース接続するためのシステムは、少なくとも1つのメモリおよび少なくとも1つのメモリに通信可能に結合されるプロセッサを含む。プロセッサは、以下を実施するために操作可能である:通信ネットワークを介してサービスプロバイダ(SP)のトラステッドサービスマネジャー(TSM)からサービスを更新する第1の要求を受信する(この第1の要求は、サービスと関連付けられたサービス修飾子を含む)、サービス修飾子に対応するセキュアエレメントを判定する、セキュアエレメントに、このセキュアエレメントからサービス修飾子と関連付けられたデータを削除する第2の要求を送信する、セキュアエレメントに、セキュアエレメント上にアプリケーションをインストールする第3の要求を送信する、セキュアエレメントに、セキュアエレメント上でアプリケーションを有効化する第4の要求を送信する。
【0017】
別の実施形態において、複数のサービスプロバイダ(SP)のトラステッドサービスマネジャー(TSM)のうちの1つと複数のセキュアエレメント(SE)のうちの1つとをインターフェース接続するための方法は、以下のステップを含む:SPのTSMから通信ネットワークを介して、サービスを更新する第1の要求を受信する(この第1の要求は、サービスと関連付けられたサービス修飾子を含む)、サービス修飾子に対応するセキュアエレメントを判定する、セキュアエレメントに、セキュアエレメントからのサービス修飾子と関連付けられたデータを削除する第2の要求を送信する、セキュアエレメントに、セキュアエレメント上にアプリケーションをインストールする第3の要求を送信する、セキュアエレメントに、セキュアエレメント上でアプリケーションを有効化する第4の要求を送信する。
【0018】
別の実施形態において、非一時的なコンピュータ可読媒体は、1つ以上のプロセッサに以下のことをさせる命令のシーケンスを中に記憶する:SPのTSMから通信ネットワークを介して、サービスを更新する第1の要求を受信する(この第1の要求は、サービスと関連付けられたサービス修飾子を含む)、サービス修飾子に対応するセキュアエレメントを判定する、セキュアエレメントに、このセキュアエレメントからサービス修飾子と関連付けられたデータを削除する第2の要求を送信する、セキュアエレメントに、セキュアエレメント上にアプリケーションをインストールする第3の要求を送信する、セキュアエレメントに、セキュアエレメント上でアプリケーションを有効化する第4の要求を送信する。
【0019】
本発明の更なる特徴および利点は、以下の図面と併せて参照されるとき、以下に説明する詳細な説明からより明らかになるであろう。
【図面の簡単な説明】
【0020】
本発明の特徴および利点は、以下の図面と併せて参照されるとき、以下に説明する詳細な説明からより明らかになるであろう。【図1】例示的な実施形態に従うサービスプロバイダとセキュアエレメントとをインターフェース接続するためのシステムの図である。
【図2】例示的な実施形態に従うサービスプロバイダのトラステッドサービスマネジャーからセキュアエレメントに要求を送るためのシーケンスを示すシーケンス図である。
【図3】例示的な実施形態に従うサービスプロバイダのトラステッドサービスマネジャーからセキュアエレメントに複数の要求を送るためのシーケンスを示すシーケンス図である。
【図4】例示的な実施形態に従うサービスプロバイダのトラステッドサービスマネジャーからセキュアエレメントに事前個人化要求を送るためのシーケンスを示すシーケンス図である。
【図5】例示的な実施形態に従うセキュアエレメントの構成を示す図である。
【図6】例示的な実施形態に従うセキュアエレメントの構成を示す図である。
【図7】例示的な実施形態に従うセキュアエレメントの構成を示す図である。
【図8】例示的な実施形態に従うセキュアエレメントの構成を示す図である。
【図9】本発明を実施するために有用な例示的システムのブロック図である。
【図10】例示的な実施形態に従うサービスを更新するためのシーケンスを示すシーケンス図である。
【発明を実施するための形態】
【0021】
概要本明細書で提示される本発明の例示的な実施形態は、サービスプロバイダとセキュアエレメントとをインターフェース接続するためのシステム、方法、およびコンピュータプログラム製品を対象とする。これは便宜的なものに過ぎず、本発明の用途を限定することを意図していない。実際には、以下の説明を閲読した後、TSM、MNO、セキュアエレメント、モバイルデバイス、サービスプロバイダ、ネットワークを介して通信することができる他のあらゆるシステムを含む多種多様で膨大な数の実体間でのインターフェース接続などの代替的な実施形態において、以下の発明をどのように実装するかが関連技術分野の当業者には明らかであろう。
【0022】
一般的に、本明細書で説明される例示的な実施形態は、モバイル加入識別子(MSI)を有する1つ以上のサービスプロバイダシステムと1つ以上のセキュアエレメントとをインターフェース接続することを実施する。
【0023】
サービスプロバイダシステム(すなわち、サービスプロバイダ)は、セキュアエレメント上の対応するセキュリティドメインおよび/またはアプリケーションにアクセスするまたは制御するために中央TSMと通信し得る。具体的には、中央TSMと通信することにより、サービスプロバイダは、セキュアエレメントを事前に個人化する、セキュアエレメント内のセキュリティドメイン上でサービスを個人化する、またはセキュアエレメント上でサービスを有効化することができる。例えば、サービスプロバイダは、セキュアエレメントを事前に個人化するために中央TSMに要求を送信し得る。応答において、中央TSMは、必要な場合に対応する一時的なセキュリティキーを含む少なくとも1つのサービスプロバイダのセキュリティドメインを作成すること、および/または、セキュアエレメント上のアプリケーションをインスタンス化することを含め、セキュアエレメントを事前に個人化し得る。アプリケーションのインスタンス化は、インスタンス化されていないアプリケーションのインスタンスを作成することを含む。
【0024】
サービスプロバイダはまた、サービスを個人化する要求を中央TSMに送信し得る。この要求は、データおよびスクリプトを含み得る。このスクリプトは、セキュアエレメント内でサービスプロバイダに対応する、セキュリティドメイン上のアプリケーションによって実行されるコマンドを含み得る。例えば、スクリプトは、インスタンス化されたアプリケーションを個人化するコマンドを含み、対応するセキュリティドメイン内でキーを循環させ、および/またはサービスプロバイダのセキュリティドメインおよび/またはセキュアエレメント内のインスタンス化されたアプリケーションにおいてサービスプロバイダのコマンドを実行し得る。中央TSMは、要求を受信して、セキュアエレメントに要求内のスクリプトおよび/またはデータを安全に送信する。次に、セキュアエレメントは、スクリプトおよびデータを受信して、実行する。
【0025】
サービスプロバイダは、セキュアエレメント上でコマンドが実行されるように、中央TSMと通信する。そうするために、サービスプロバイダ(例えば、SPのTSM)は、(例えば、セキュアエレメントを事前に個人化するため)MSIに基づいてセキュアエレメントの情報を取得する要求を中央TSMに送る。中央TSMは、要求を受信して、そのメモリを照会し、MSIに基づいて要求されたセキュアエレメントの情報を取得する。一旦中央TSMが、MSIに対応するセキュアエレメントの情報を検索すると、中央TSMは、検索されたセキュアエレメント情報およびMSIをSPのTSMに送信する。
【0026】
一旦サービスプロバイダが、対象のセキュアエレメントおよびその情報を識別すると、サービスプロバイダ(例えば、SPのTSM)は、セキュアエレメントとの通信(すなわち、会話)を中央TSMが確立する要求を中央TSMに送る。通信を確立する要求は、検索されたセキュアエレメント情報および対応するMSI、ならびにサービスプロバイダからの後続の要求を処理するために使用されるであろうアプリケーションまたはアプレット、セキュリティドメイン、サービス、およびスクリプトに関する情報を含む。中央TSMは、要求を受信して、通信識別子および通信の他の属性を含む応答をSPのTSMに送信する。
【0027】
通信が確立された後、サービスプロバイダは、セキュアエレメント内で実行されるように意図された、通信識別子を含む要求(例えば、アプリケーションを個人化する)を送る。サービスプロバイダは、まず、要求を中央TSMに送る。中央TSMは、要求を受信して、要求内の情報に基づいてセキュアエレメントとの接続を確立し、処理するためのセキュアエレメントに要求(例えば、アプリケーションを個人化する)を送信する。中央TSMは、対応するモバイルネットワークを介して要求をセキュアエレメントに送信する。対応するモバイルネットワークは、サービスプロバイダによって生成された要求(例えば、アプリケーションを個人化すること)内の情報に基づく中央TSMのメモリから検索されたMNO情報に基づいて判定される。この要求は、要求内の情報および確立された通信に基づいて、サービスプロバイダからの要求に従ってセキュアエレメント内で処理される。
【0028】
本明細書で説明される例示的な実施形態の機能によって、サービスプロバイダは、最小の必要な処理および情報を用いてセキュアエレメント上で様々な要求が処理されるように、中央TSMと効率的かつ容易に通信することができる。例示的な実施形態はまた、セキュアエレメント上で要求(例えば、サービスを可能にする)が処理されるようにするためにサービスプロバイダに必要な時間およびコストの要件を大幅に低減する中央TSMの配置を提供する。
【0029】
加えて、サービスプロバイダは、単に、単一のソース(すなわち、中央TSM)と通信するためにMSIを使用することによって、要求をセキュアエレメントに中央TSMを介して送ることができる。すなわち、サービスプロバイダは、複数の媒介ソース(例えば、MNO、TSM)と通信する必要なしに、セキュアエレメントを用いてその要求を処理することが可能である。
【0030】
加えて、サービスプロバイダの要求は、単一のタイプの要求が、MNOのタイプ、モバイルデバイスのタイプ、セキュアエレメント、および/またはアプリケーションに関わらず中央TSMと通信するように標準化される。サービスプロバイダの要求を標準化することによって、複数のサービスプロバイダの要求を処理することと関連付けられたエラーおよび複雑さは、有利に低減される。更に、サービスプロバイダは、インストールのためのアプリケーションを送信するまたは提供する必要がないか、またはセキュアエレメント上で要求が処理されるようにするために、MNO、モバイルデバイス、またはセキュアエレメントのインターフェースを提供する。代わりに、サービスプロバイダは、1つ以上の標準化された要求を、コマンドを用いて中央TSMに送ることができる。結果として、要求を実行するために必要な処理時間および規模は、最小化される。システム
図1は、モバイルネットワークを介してサービスプロバイダとセキュアエレメントとをインターフェース接続するための例示的なシステム100の図である。図1に示されるように、システム100は、SPのTSM103−1、103−2、…、103−n(総称して「103」)を含む。SPのTSM103の各々は、サービスプロバイダ107−1、107−2、…、107−n(総称して「107」)に対応する。各SPのTSMは、サービスプロバイダ107と、セキュアエレメント、MNO、(「中央TSM」として本明細書で参照される)別のタイプのTSMを含む他の実体との間の媒介として機能する。
【0031】
SPのTSM103の各々は、通信ネットワーク105を介して中央TSM102と通信可能に結合される。通信ネットワーク105は、仮想プライベートネットワーク(VPN)、ハイパーテキスト転送プロトコル(HTTP)規格を用いたネットワーク、または同種のものであり得る。
【0032】
SPのTSM103および中央TSM102の各々はまた、セキュアソケットレイヤー(SSL)、トランスポートレイヤーセキュリティ(TLS)、または同種のものなどの、セキュリティプロトコルを用いてこれら通信をセキュリティ保護し得る。SPのTSM103の各々はまた、ウェブサービスAPIなどのアプリケーションプログラミングインターフェース(API)を用いて、中央TSM102と通信し得る。
【0033】
例示的な一実施形態において、中央TSM102は、SPのTSM103とセキュアエレメント106a−1、106a−2、…、106a−n(総称して「106a」)との間の媒介として機能するように実装されるハードウェアおよび/またはソフトウェアである。特に、中央TSM102は、SPのTSM103の各々が、例えば、セキュアエレメント(例えば、セキュアエレメント106)の事前個人化を要求する、新規のまたは一時的なセキュリティドメインのキーセットを生成して、インストールする、支払いサービスを個人化する、および/またはサービスを有効化することを許容する。すなわち、中央TSM102は、SPのTSM103とセキュアエレメント106aとの間の通信を管理する。
【0034】
したがって、中央TSM102は、複数のモバイルネットワーク104−1、104−2、…、104−n(総称して「104」)を介して、複数のサービスプロバイダ107およびSPのTSM103、ならびに複数のセキュアエレメント106aと通信することができる。
【0035】
例示的な一実施形態において、中央TSM102は、プロセッサ102aおよびメモリ102bを含む。
【0036】
中央TSM102は、エンタープライズサービスバス(ESB)を含み得る(示さず)。例示的な一実施形態において、ESBは、実体(例えば、セキュアエレメント106a、SPのTSM103、中央TSM102)間の対話および通信を実装するためのアーキテクチャモデルである。
【0037】
中央TSM102は、対応するMNOによって使用されるおよび/または管理される、対応するモバイルネットワーク104を介してセキュアエレメント106aに通信可能に結合される。一般に、モバイルネットワーク104は、無線通信サービスを提供するようにMNOによって使用される。モバイルネットワーク104は、モバイル電話セルラーネットワーク、ラジオネットワーク、または同種のものであり得る。中央TSM102は、モバイルネットワーク104を介して、グローバルプラットフォームのセキュリティ保護されたチャネルプロトコル、SSL、TLS、または同種のものなどのセキュリティプロトコルを用いて、セキュアエレメント106aと通信し得る。
【0038】
セキュアエレメント(例えば、セキュアエレメント106a)は、図5〜8を参照しながら以下に更に詳細に考察される。図1に示されるように、セキュアエレメント106aは、それぞれ、対応するモバイルデバイス106−1、106−2、および106−n(総称して「106」)と関連付けられる。セキュアエレメント106aは、1つ以上のプロセッサおよび1つ以上のメモリに通信可能に結合され得る。
【0039】
セキュアエレメント(例えば、セキュアエレメント106a−1)の製造中、セキュアエレメントには、例えば、MNOのSD、中央SD、ウォレットコンパニオンアプレット、モバイルウォレットコンパニオンアプレット(WCAp)、近接支払いシステム環境(PPSE)、および支払いパッケージを含むコンテンツが事前に読み込まれる。MNOのSDは、MNOによって管理されるセキュリティドメインであり、セキュリティキーおよびアプリケーションを含む。中央SDは、中央TSM102によって管理される。WCApは、取引を行うためにモバイルウォレットによって使用され得、PPSEは、非接触型支払い取引を生成する処理を支援するアプリケーションである。
【0040】
セキュアエレメント106aは、セキュリティドメイン、コード、アプレット、アプリケーション、およびパッケージを含み得る。パッケージは、インスタンス化されていないアプレットおよび/またはアプリケーションを含み得、セキュアエレメント、例えば、オーバーザエア(OTA)で読み込まれ得る。セキュアエレメント上のアプレットおよび/またはアプリケーションは、インスタンス化されていないまたはインスタンス化された形態であり得、インスタンス化されていないアプレットおよび/またはアプリケーションは、セキュアエレメントの製造中にセキュアエレメント上に事前に読み込まれ得る。代替的に、アプレットおよび/またはアプリケーションは、セキュアエレメントが製造された後(例えば、セキュアエレメントをユーザに配布する際)、例えば、OTAで読み込まれ得る。アプレットおよび/またはアプリケーションは、汎用または非汎用であり得る。非汎用アプレットおよび/またはアプリケーションは、クーポンおよびロイヤルティアプリケーション、および/または複数のサービスプロバイダに一般的ではない任意のアプリケーションを含み得る。つまり、非汎用アプリケーションは、単一のサービスプロバイダに対応し得る。非汎用アプリケーション(例えば、オファー、クーポン)と共に使用され得る、および/またはそれと関連付けられ得るデータは、セキュアエレメント内、またはセキュアエレメント(例えば、モバイルデバイスの不揮発性メモリ)の外側にあるメモリ内に記憶され得る。
【0041】
汎用アプレットおよび/またはアプリケーションは、インスタンス化されたとき、複数のサービスプロバイダによって使用することができるアプレットおよび/またはアプリケーションを含み得る。例えば、支払いネットワーク(例えば、MasterCard(登録商標))の汎用アプリケーションは、中央TSMによって複数のサービスプロバイダのためにインスタンス化され得、したがって、2つ以上のサービスプロバイダによって使用され得る。
【0042】
インスタンス化されていないアプレットおよび/またはアプリケーションを含むパッケージは、中央TSMおよび/または中央SDを制御する単一の実体によって所有または制御され得る。インスタンス化されていないアプレットおよび/またはアプリケーションは、中央SDの下で(すなわち、それに直接関連付けられて)、セキュアエレメント上で作成され得、セキュアエレメント上で中央TSMによって中央SDを用いて独占的に管理され得る。具体的には、中央SDは、WCAp、PPSE、パッケージ、およびSPのSDへの排他的アクセスを維持する。しかしながら、サービスプロバイダは、例えば、セキュリティキーを循環する(すなわち、交換する)ために要求を中央TSMに送信し得る。SPのSDのセキュリティキーが循環された後、対応するサービスプロバイダは、対応するSPのSD上でコマンドを実行するために要求を中央TSMに送り続けることができる。キーの循環後、中央TSMは、SPのSDに対する限定されたアクセスを有する。具体的には、中央TSMは、例えば、アプリケーションの実行を停止するか、またはSPのSD下でアプリケーションをインスタンス化することができるが、セキュリティキーまたはSPのSDの個人化されたコンテンツにアクセスすることができない。
【0043】
インスタンス化されていないアプレットまたはアプリケーションの排他的所有権、制御、および/または管理は、単一の実体が効率的かつ費用効果的にアプレットおよび/またはアプリケーションを監督することを許容する。更に、排他的所有権、制御、および/または管理は、セキュリティを増大させ、セキュアエレメント上で異なるアプレットおよび/またはアプリケーションを読み込み、制御する複数のサービスプロバイダによって引き起こされる複雑さを最小化する。例えば、サービスプロバイダは、セキュアエレメント上で独立したアプレットおよび/またはアプリケーションを認証してインストールする代わりに、インスタンス化されていないアプレットおよび/またはアプリケーションのインスタンスを利用し得る。
【0044】
加えて、インスタンス化されていないアプレットおよび/またはアプリケーションがインスタンス化され得、次いで、各インスタンスは対応するセキュリティドメインに引き渡され得る。インスタンス化は、インスタンスがその実体のために作成される実体に対応するデータを使用してアプレットおよび/またはアプリケーションを個人化することを含み得る。
【0045】
例えば、インスタンス化されていないアプレットまたはアプリケーションの複数のインスタンスは、異なる実体(例えば、サービスプロバイダ)のために作成され得、各インスタンスは、異なる実体による使用のために異なるセキュリティドメインに引き渡され得る。
【0046】
セキュアエレメント上のアプレットまたはアプリケーションは、グローバルプラットフォーム、Europay、MasterCard(登録商標)、Visa(登録商標)(EMVCo.)、MNO、および支払いネットワーク(例えば、MasterCard(登録商標)、Visa(登録商標)、Discover(登録商標)、American Express(登録商標))によって確立された要件に従って機能し得る。アプレットまたはアプリケーションは、例えば、expresspay(商標)、payWave(商標)、PayPass(商標)、Zip(商標)、および同種のものであり得る。
【0047】
例えば、SPのTSM103−1は、要求を中央TSM102に通信ネットワーク105を介して送り、中央TSM102は、SPのTSM103−1に通信ネットワーク105を介して応答を返送する。SPのTSM103−1は、セキュアエレメント106a−1を対象として、中央TSM102に通信ネットワーク105を介して要求を送る。次に、中央TSM102は、セキュアエレメント106a−1にそれぞれのモバイルネットワーク104−1を介して要求を送る。
【0048】
代替的な実施形態において、中央TSM102はESBを含み、それを利用して操作を実施する。
【0049】
代替的な実施形態において、複数のサービスプロバイダは、SPのTSM103のうちの1つを共有する。
【0050】
更なる代替的な実施形態において、メモリ102bはデータベースであり得る。
【0051】
代替的な実施形態において、複数のモバイルネットワークは、複数のSPのTSMと通信する。処理
A.サービスプロバイダTSMからセキュアエレメントに要求を通信する
図2は、例示的な実施形態に従うSPのTSM203(例えば、図1、SPのTSM103−1)からセキュアエレメント201(例えば、図1、SEの106a−1)に要求を送るためのシーケンス図面200を示す。要求は、例えば、スクリプトを処理する、通信を管理する、またはサービスを有効化する、セキュアエレメント201への要求であり得る。これらのタイプの要求は、図2および3を参照しながら以下に更に詳細に考察される。
【0052】
図2に示されるように、ステップ250において、SPのTSM203は、要求(要求x)を中央TSM202に通信ネットワーク(例えば、図1、通信ネットワーク105)を介して送信する。この要求は、要求に含まれるモバイル加入識別子(MSI)に基づいて、セキュアエレメント識別子を含むセキュアエレメントデータを検索する要求であり得る。
【0053】
セキュアエレメント識別子は、セキュアエレメント201に書き込まれる一意の番号または文字の集まりであり、セキュアエレメント201を識別するために使用され得る。セキュアエレメント識別子はまた、セキュアエレメントを識別する一意の番号であり、その個人化中にセキュアエレメントに書き込まれるカードイメージ番号(CIN)などのセキュアエレメントを識別するために使用される識別子のタイプを含み得る。
【0054】
セキュアエレメントデータは、セキュアエレメント201の属性である。セキュアエレメントデータは、セキュアエレメント201に関連する以下の情報を含み得る:セキュアエレメント識別子、セキュアエレメント201と関連付けられたMNOの名称、SPのTSM203と関連付けられたサービスプロバイダについてのサービスプロバイダのデータ、セキュアエレメント201内のサービスプロバイダのセキュリティドメイン用のキーを含むマスターキーインデックス、プロファイル識別子、セキュアエレメントのタイプ、スタンダードバージョン(例えば、グローバルプラットフォーム、ジャバカード(JavaCard))、認証レベル、および失効日。
【0055】
MSIは、MNOと関連付けられたモバイルデバイスのモバイル加入を識別するために使用される一意の番号である。MSIはまた、モバイル加入と関連付けられたMNOの名称と、一般に、特定のサービスラインと関連付けられた電話番号であるモバイルデバイス番号(MDN)などの、モバイルデバイスのモバイル加入を識別するために使用される識別子のタイプとを含む。
【0056】
中央TSM202は、ステップ252において、MSIを含む要求(要求x)を受信して、そのメモリを照会する(メモリを照会)。メモリは、1つ以上のMSI、1つ以上の対応するセキュアエレメント識別子、およびセキュアエレメントデータを含むデータベースであり得る。メモリはまた、セキュアエレメント識別子の各々に対応するMNOデータを含み得る。MNOデータは、セキュアエレメントが関連付けられたMNOを識別するために使用される情報であり得、セキュアエレメントと通信するために使用される適切なモバイルネットワークを選択するために使用され得る。照会は、メモリから、MSIに対応するセキュアエレメント識別子を含むセキュアエレメントデータを検索する要求である。
【0057】
MSIに対応するセキュアエレメントデータを検索する際に、中央TSM202は、ステップ254において、SPのTSM203に通信ネットワークを介して、セキュアエレメント識別子を含むそのデータベースを記憶する検索されたセキュアエレメントデータを送信する(応答)。中央TSMの202はまた、SPのTSM207に要求内に含まれる対応するMSIを送信する(応答)。このようにして、SPのTSM203は、それが要求を送るであろうセキュアエレメント201のアイデンティティを判定する。
【0058】
SPのTSM203は、中央TSM202から受信したセキュアエレメントデータを使用して、ステップ256において、要求(要求y)を中央TSM202に送信する。中央TSM202は、SPのTSM203が要求の宛先としたセキュアエレメント201のセキュアエレメント識別子を含むこの要求(要求y)を受信する。
【0059】
この要求(要求y)は、セキュアエレメント201が以下のことをする1つ以上の要求含み得る:通信を管理する、1つ以上のスクリプトを処理する、またはサービスを有効化する。例えば、要求を使用して、セキュアエレメントに、例えば、個人化、キー循環、および図3および4を参照しながら以下に考察される他の処理を実施するように命令し得る。
【0060】
中央TSM202は、モバイルネットワーク(例えば、図1、モバイルネットワーク104−1)を、要求(要求y)内のセキュアエレメントデータに対応するメモリ内のMNOデータに基づいて、複数のモバイルネットワークから判定する。モバイルネットワークの判定時に、中央TSM202は、ステップ258において、以前の要求(要求y)に基づいた要求(要求z)を、セキュアエレメント201にモバイルネットワークを介して送信する。このようにして、セキュアエレメント201は、ステップ260において、要求を処理し得る(要求を処理)。
【0061】
代替的な実施形態において、セキュアエレメント201は、SPのTSM203からの要求を完了したか、または処理した後、中央TSM202にモバイルネットワークを介して応答を送信し得る。この応答は、例えば、要求の処理が成功したか失敗したかを示す情報を含み得る。
【0062】
代替的な実施形態において、セキュアエレメントデータは、セキュアエレメント識別子を含み得ない。このような場合、SPのTSM203は、(MSIに基づく)セキュアエレメント識別子およびセキュアエレメントデータを別途要求し得、中央TSM202は、SPのTSM203への別個の応答内のセキュアエレメント識別子およびセキュアエレメントデータを提供し得る。
【0063】
代替的な実施形態において、SPのTSM203は、必要な場合(すなわち、もしSPのTSM203に対応する1つ以上のセキュリティドメインが作成されていない場合)、セキュアエレメント201上で1つ以上のセキュリティドメインを作成することを含めて、セキュアエレメント201を事前に提供するように中央TSM202に要求をまず送信し得る。一旦1つ以上のセキュリティドメインが作成されると、SPのTSM203は、例えば、インスタンス化されていないアプリケーションをインスタンス化する要求を含めて、中央TSM202に後続の要求を送信することができる。次に、中央TSM202は、インスタンス化されたアプリケーション(すなわち、インスタンス)を対応するセキュリティドメイン(例えば、中央SD、SPのSD)に引き渡す。
【0064】
代替的な実施形態において、中央TSM202はESBを含み、ESBを利用して要求を処理する(例えば、スクリプトを処理すること、通信を管理すること、またはサービスを有効化することを含む)。B.セキュアエレメントに対する複数のサービスプロバイダTSMの要求通信
図3は、例示的な実施形態に従うSPのTSM303(例えば、図1、SPのTSM103−1)からセキュアエレメント301(例えば、図1、SEの106a−1)に複数の要求を送るためのシーケンス図面300を示す。
【0065】
図3において、ステップ352において、SPのTSM303は、通信ネットワーク(例えば、図1、通信ネットワーク105)を介して中央TSM302に、セキュアエレメント識別子を取得する要求を含めて、要求(SE識別子を要求)を送信する。要求(SE識別子を要求)は、セキュアエレメント301と関連付けられたMSIを含み、該セキュアエレメントに対して、SPのTSM303が要求を送ることを望む。MSIを用いて、ステップ354において、中央TSM302は、照会(メモリを照会)を実施し、要求に含まれるMSIに対応するセキュアエレメント識別子を検索する。ステップ356において、中央TSM302は、検索されたセキュアエレメント識別子をSPのTSM303に通信ネットワークを介して送信する(SE識別子要求に応答)。
【0066】
一旦SPのTSM303が、セキュアエレメント識別子を受信すると、SPのTSM303は、ステップ358において、セキュアエレメント301と関連付けられた(図2を参照しながら上に更に詳細に考察される)セキュアエレメントデータを取得する要求を含む要求(SEデータを要求)を、通信ネットワークを介して中央TSM302に送信する。この要求(SEデータを要求)は、(中央TSM302から受信した)セキュアエレメント識別子および対応するMSIを含む。セキュアエレメント識別子および対応するMSIを用いて、ステップ360において、中央TSM302は、照会(メモリを照会)を実施し、セキュアエレメント識別子に対応するセキュアエレメントデータを検索する。ステップ362において、中央TSM302は、検索されたセキュアエレメントデータを通信ネットワーク上のSPのTSM303に送信する(SEデータ要求に応答する)。
【0067】
ステップ364において、SPのTSM303は、その後、要求(通信を管理する要求(開始))を、受信したセキュアエレメント識別子およびデータに基づいて、通信を管理するために中央TSM302に送信する。1.通信を管理する
一般に、通信を管理する要求は、通信を開始する要求または通信を終了する要求を含み得る。例示的な一実施形態において、通信は、第1のデバイス(例えば、SPのTSM303、中央TSM302)から第2のデバイス(例えば、セキュアエレメント301)への通知であり、これは、第1のデバイスが第2のデバイスと共にオーバーザエア(OTA)通信または操作を実施することを意図している。
【0068】
図3に示されるように、ステップ364において、SPのTSM303は、通信パラメータおよび識別子を確立することができるように、通信ネットワークを介して中央TSM302に、通信を確立する要求(通信を管理する要求(開始))を送信する。そうすることで、SPのTSM303がセキュアエレメント301上での操作の実行を要求するであろうことを中央TSM302に通知する。この操作は、例えば、SPのTSM303によって要求されるスクリプトの実行、またはセキュアエレメント301上でのサービスの有効化であり得る。
【0069】
ステップ364において、SPのTSM303によって、中央TSM302に送信される通信要求(通信を管理する要求(開始))は、以下の属性を含み得る:セキュアエレメント識別子、MSI、サービス識別子、サービス修飾子、対象のアプリケーション識別子、OTA通信中に実行されるべきスクリプトの形式およびサイズ、ならびに要求された操作(例えば、キー循環、個人化)。「要求された操作」属性は、中央TSM302によって使用され、その操作の進捗状況を追跡する。
【0070】
サービス識別子は、サービスの一般的な定義を識別するために使用されるサービス識別子番号およびバージョンを含み得る。サービス修飾子は、サービスプロバイダ名および支払いアカウント参照番号(PRN)を含む。
【0071】
このサービス修飾子は、通信中にコマンドを含めた要求を用いて動作を行う(例えば、インストールされる、ロックされる、ロック解除される、削除される)対象のサービス(すなわち、サービス識別子に対応するサービス)の特定のインスタンスを識別するために使用される。
【0072】
このPRNは、サービスと関連付けられた資格情報またはカード(例えば、支払いカード)を識別するための一意の番号である。
【0073】
図3に示されるように、要求(通信を管理する要求(開始))を受信した後、中央TSM302は、ステップ366において、応答(通信を管理する要求への応答(開始))をSPのTSM303に通信ネットワークを介して送信する。この応答は、以下の属性を含み得る:通信識別子、OTAベアラ(すなわち、要求の送信を担う実体)、操作において要求されるスクリプトの最大数およびサイズ、スクリプト形式、許可される通信の長さ。
【0074】
図3に更に示されるように、ステップ374および388において、1つ以上のスクリプトが処理された後(以下に更に詳細に考察される)、SPのTSM303は、通信(すなわち、通信識別子に対応する通信)を終了するために、要求(通信を管理する要求(終了))を中央TSM302に通信ネットワークを介して送信する。この要求は、SPのTSM303によって以前受信した通信識別子および操作の状態(例えば、失敗または成功)を含み得る。そうすることで、SPのTSM303は、通信識別子に対応する通信が使用されることはもはや意図されず、この通信がもはや使用され得ないことを示す。ステップ376および390において、中央TSM302は、操作の状態(例えば、失敗または成功)を含めて、応答(通信を管理する要求への応答(終了))をSPのTSM303に通信ネットワークを介して送信する。
【0075】
図3に示されるように、通信が開放されている(すなわち、通信が開始されて終了していない)間に、SPのTSM303は、1つ以上のスクリプトを処理するために要求を中央TSM302に送る。2.1つ以上のスクリプトを処理する
一般に、1つ以上のスクリプトを処理する要求は、SPのTSM303が、中央TSM302を使用してセキュアエレメント301を対象とする1組のコマンドアプリケーションプロトコルデータユニット(APDU)を送ることを要求し、セキュアエレメント301上で実行されることを可能にする。この要求は、例えば、グローバルプラットフォームメッセージング規格に基づいたものであり得、例えば、以下のことを要求するために使用され得る:アプリケーションの個人化、キーの循環、および/または事後の個人化。処理のためにセキュアエレメントに送信することができるコマンドの一覧は、図5〜8を参照しながら以下に詳細に考察される。
【0076】
各スクリプトまたはコマンドAPDUは、セキュアエレメント上で事前に記憶された(すなわち、製造中に読み込まれた)データに基づいてまたそれを使用した操作を実行するために使用され得る。このデータは、例えば、コード、アプレット、またはアプリケーションを含み得る。スクリプトおよび/またはAPDUコマンドを用いて、SPのTSM303は、中央TSM302が、例えば、セキュアエレメント301上のインスタンス化されていないアプリケーションをインスタンス化して、このインスタンスをセキュアエレメント301上の対応するセキュリティドメインに引き渡すことを要求し得る。
【0077】
例示的な一実施形態において、アプリケーションの個人化は、セキュアエレメント内のセキュリティドメイン上のアプリケーションへのデータの挿入またはアップロードである。つまり、サービスプロバイダは、アカウントおよび顧客データを含む機密データを顧客のモバイルデバイス内のセキュアエレメント上のアプリケーションへ挿入またはアップロードし得る。より具体的には、SPのTSMは、コマンドおよびデータを含むアプリケーションを個人化する要求を中央TSMに送信し得る。次いで、中央TSMは、SPのTSMから受信した要求に基づいて、顧客と関連付けられたセキュアエレメント上のアプリケーションを個人化するためにセキュアエレメントに要求を送り得る。
【0078】
例示的な一実施形態において、キー循環は、サービスプロバイダによってセキュアエレメント内のセキュリティドメインへ提供される、デジタルキーを設定するまたは挿入する概念(すなわち、暗号化アルゴリズムの作業を元に戻すアルゴリズム)である。
【0079】
例示的な一実施形態において、事後の個人化は、中央TSMを介してセキュアエレメントへのコマンドAPDUを含む要求を送る概念である。具体的には、事後の個人化要求は、個人化が実施された後、未解決のコマンドを実行するためにサービスプロバイダによって送信される。
【0080】
1つ以上のスクリプトを処理する要求は、セキュリティドメインを参照しながら、(上で説明されるように)通信識別子、およびセキュアエレメント301に送信されてセキュアエレメント301で実行されるコマンドAPDUの一覧を含み得る。つまり、SPのTSM303は、確立された通信(およびその中で定義される属性)を使用して、特定の対応するアプリケーションまたはインスタンス化されていないアプリケーションに関して実行されるようにセキュアエレメント301にコマンドの一覧を送る。
【0081】
コマンドAPDUの例としては、以下が挙げられる:「キー削除」、「データ取得」、「状態取得」、「キー入力」、「選択」、「状態設定」、「データ記憶」、および「インストール」。これらのコマンドAPDUを使用して、アプリケーションおよびアプリケーションデータを検索し、アプリケーションを選択し、アプリケーションをロックおよびロック解除し、アプリケーションを個人化し、インスタンス化されていないアプリケーションをインスタンス化し、インスタンス化されたアプリケーションを対応するSPのSDに引き渡し、セキュリティドメインキーを最新化および削除し得る。コマンドAPDUは、図5〜8を参照しながら以下に更に詳細に考察される。
【0082】
図3に示されるように、ステップ368において、SPのTSM303は、要求((キー循環のために)スクリプトを処理する要求)を、スクリプトを処理するために中央TSM302に通信ネットワークを介して送信する。具体的には、この要求は、要求を送信するために使用される確立された通信である通信識別子を含む。この要求はまた、セキュアエレメント301内のセキュリティドメイン上でキー循環を実施するためのコマンド(すなわち、コマンドAPDU)を含む。応答では、ステップ372において、中央TSM302は、応答APDUの一覧および実行に失敗したコマンドAPDUの一覧を含めて、応答((キー循環のために)スクリプトを処理する要求への応答)をSPのTSM303に送信する。
【0083】
図3に更に示されるように、ステップ370において、キー循環を実施する要求が処理された後、SPのTSM303は、要求(通信を管理する要求(終了))をステップ374において、中央TSM302に送信することによって以前に開始された通信を終了することを要求する。ステップ376において、中央TSMは、応答(通信を管理する要求への応答(終了))をSPのTSM303に送信する。次に、SPのTSM303は、ステップ378において要求(通信を管理する要求(開始))を送信することによって後続の通信の始動(すなわち、開始)を要求し、ステップ380において中央TSM302からの応答(通信を管理する要求への応答(開始))内の対応する通信識別子を取得する。ステップ380で取得される通信および通信識別子を使用して、SPのTSM303は、ステップ382において、スクリプトを処理するための追加の要求(スクリプトを処理する要求(アプリケーションを個人化))を、通信ネットワークを介して中央TSM302に送信する。具体的には、この要求は、要求を送信するために使用されるであろう開放された通信である通信識別子と、セキュアエレメント301内のセキュリティドメイン上でアプリケーションの個人化を実施するためのコマンド(すなわち、コマンドAPDU)の一覧を含む。ステップ384において、この要求が処理される(アプリケーションを個人化)。応答では、ステップ386において、中央TSM302は、応答APDUの一覧および実行に失敗したコマンドAPDUの一覧を含めて、応答(スクリプトを処理する要求への応答(アプリケーションを個人化))をSPのTSM303に送信する。ステップ388において、SPのTSM303は、通信を終了する要求(通信を管理する要求(終了))を中央TSM302に送信する。ステップ390において、中央TSM302は、応答(通信を管理する要求への応答(終了))を送信する。
【0084】
代替的な実施形態において、キー循環を実施する要求およびアプリケーションの個人化を実施する要求は、SPのTSM303から中央TSM302に単一の要求において送信される。
【0085】
別の代替的な実施形態において、複数の操作が単一の通信中に実施される。3.サービスを有効化する
図3に示されるように、ステップ392において、SPのTSM303は、通信ネットワークを介してサービス(例えば、支払いサービス)を有効化するために要求(サービスを有効化する要求)を中央TSM302に送信する。
【0086】
一般に、サービスを有効化する要求は、サービスプロバイダのサービスを有効化して、そのサービスと関連付けられるアプリケーションを特定のセキュアエレメント上で選択可能にするために使用される。この要求は、以下の属性を含み得る:セキュアエレメント識別子、MSI、サービス識別子、およびサービス修飾子。このサービス識別子およびサービス修飾子を使用して、セキュアエレメント301上で有効化されるべきサービスの一般的および特定のインスタンスを識別し得る。
【0087】
この中央TSM302は、サービスを有効化する要求を受信して、ステップ394において、要求内で提供される情報を用いて要求を処理する。この中央TSM302は、ステップ396において、要求の実行状態(すなわち、実行が失敗したか成功したか)を示す情報を含めて、SPのTSM303へ、要求への応答(サービスを有効化する要求への応答)を送信する。
【0088】
代替的な実施形態において、サービスを有効化する要求、およびキー循環、ならびに/またはアプリケーションの個人化を実施する要求は、単一の要求においてSPのTSM303から中央TSM302に送信される。
【0089】
代替的な実施形態において、中央TSM302はESBを含み、ESBを利用して要求を処理する(例えば、スクリプトを処理すること、通信を管理すること、またはサービスを有効化することを含む)。C.SPのTSMからセキュアエレメントに事前個人化要求を送信する
図4は、SPのTSM403(例えば、図1、SPのTSM103−1)からセキュアエレメント401(例えば、図1、SE106a−1)に事前個人化の要求を送る例示的なシーケンス図面400を示す。
【0090】
図4では、ステップ452において、SPのTSM403は、セキュアエレメント識別子を含めてセキュアエレメントデータを取得する要求(SEデータを要求)を通信ネットワーク(例えば、図1、通信ネットワーク105)を介して中央TSM402に送信する。この要求は、MSIを含む。
【0091】
要求を受信すると、中央TSM402は、ステップ454において、要求(SEデータを要求)内に含まれるMSIに基づいて、セキュアエレメント識別子を含めたセキュアエレメントデータについてメモリを照会する(メモリを照会)。一旦セキュアエレメントデータが検索されると、中央TSM402は、ステップ456において、セキュアエレメントデータを含む応答(SEデータ要求への応答)をSPのTSM403に送信する。
【0092】
図4に示されるように、ステップ458において、SPのTSM403は、事前個人化要求(事前個人化を要求)を中央TSM402に通信ネットワークを介して送信する。この要求は、事前個人化がそのために要求されるサービス(およびその対応するアプリケーション)を識別するための属性、ならびに事前個人化要求を実行するためのコマンドを含み得る。とりわけ、要求は、セキュアエレメント上でインスタンス化されるサービスのアプリケーションを含まない。
【0093】
例示的な一実施形態において、事前個人化は、セキュリティドメインを作成すること、1つ以上のインスタンス化されていないアプリケーションをインスタンス化すること、インスタンスをセキュリティドメインに引き渡すことを含む。事前個人化はまた、セキュリティドメインおよびアプリケーションが既にセキュアエレメント上に存在するかを判定する、技術的適格性の確認を実施する、アプリケーションを読み込んでインスタンス化することを含み得る。
【0094】
この中央TSM402は、事前個人化要求を受信して、この要求に基づいて、ステップ460において、要求(セキュリティドメイン作成を要求)をセキュアエレメント401に送信して、セキュリティドメインを作成する(図5〜8を参照しながら以下に更に詳細に考察される)。セキュリティドメインがセキュアエレメント401上に作成された後、中央TSM402は、ステップ462において、サービスプロバイダのサービスと関連付けられた1つ以上のアプリケーションをインスタンス化する要求(アプリケーションのインストールを要求)をセキュアエレメント401に送信する。
【0095】
中央TSM402は、要求をセキュアエレメント401に送信した後、ステップ464において、事前個人化応答(事前個人化要求への応答)をSPのTSM403に送信して、SPのTSM403によって要求された事前個人化が失敗したか成功したかを示す。
【0096】
セキュアエレメント401はまた、各要求が処理された後、各要求への応答を送信し得る。
【0097】
中央TSM402はまた、アプリケーションがインスタンス化されたかおよび/またはセキュリティドメインがセキュアエレメント上に作成されたかを判定し得る。
【0098】
中央TSM402へのSPのTSM403の要求は、エンタープライズサービスバス(ESB)を介して送信される。
【0099】
代替的な実施形態において、中央TSM402はESBを含み、ESBを利用して要求を処理する(例えば、スクリプトを処理すること、通信を管理すること、またはサービスを有効化することを含む)。D.埋め込まれたセキュアエレメントの構成
図5は、例示的な実施形態に従うセキュアエレメント構成500を示す。図5に示されるように、セキュアエレメント構成500は、セキュアエレメント501、中央TSM502、およびSPのTSM503を含む。セキュアエレメント501は、中央セキュリティドメイン(SD)504、SPのSD505、およびSPのSD506を含む。セキュアエレメント501は、埋め込まれたセキュアエレメントとして、または別個のチップまたはセキュアデバイスなどのNFCイネーブラとして実装される。
【0100】
中央SD504は、インスタンス化されたアプレット(例えば、アプレット505−1および506−1)を含めて、セキュアエレメント501上のコンテンツ管理操作を実施し得る。つまり、アプレット505−1および506−1は、アプリケーション(すなわち、インスタンス化されていないアプリケーション)のインスタンスである。具体的には、中央SD504は、アプリケーション(例えば、アプレット505−1および506−1)を安全に管理して、SPのSDを作成して、セキュアエレメント内のアプレットまたはアプリケーションで管理操作を実施する。
【0101】
SPのSD505および506の各々は、それぞれアプレットインスタンス505−1および506−1と関連付けられ、SPのSD505および506は、セキュアチャネルの確立においておよびアプレット個人化処理において、それらのそれぞれのアプレットを支援する。アプレットインスタンス505−1および506−1は、インスタンス化されていないアプレットまたはアプリケーションをインスタンス化することによって、作成され得る。アプレットインスタンス(例えば、アプレット505−1および506−1)は、中央SD504下で(すなわち、それと関連付けられて)作成され、適切な場合には、アプレットインスタンスは、それらのそれぞれのSPのSDに引き渡される(すなわち、配布される)(例えば、アプレット505−1は、そのそれぞれのSD、SPのSD505に引き渡される)。インスタンスが引き渡されない場合、それは、中央SD504下に残り得る。
【0102】
図5に示されるように、中央TSM502は、中央SD504を管理する。つまり、中央TSM502は、中央SD504のキー(およびその関連付けられたアプリケーション)を制御することによって、セキュアエレメントマネジャーとして動作し、したがって、その関連付けられた特権のいずれかを使用することができる(表−1を参照しながら以下に更に詳細に考察される)。中央SD504を介して、中央TSM502は、セキュアエレメント501上の任意のアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。加えて、中央TSM502は、SPのSDを作成および管理し得、セキュアエレメント501をロックし得る。
【0103】
図5に示されるように、SPのTSM503は、SPのSD506およびアプレット506−1と関連付けられ、それらを管理する。つまり、SPのTSM503は、SPのSD506およびアプレット506−1へのキーを保持し、SPのSD506と関連付けられた特権のいずれかを使用することができる(表−1を参照しながら以下に更に詳細に考察される)。
【0104】
SPのSD505および506は、中央TSM502によって管理され取り扱われるバイナリファイルの整合性を検証するために、データ認証パターン(DAP)検証特権を有する(表−1を参照しながら以下に更に詳細に考察される)。DAP検証を必要としないデータパッケージは、中央SD504下に(すなわち、それと関連付けられて)読み込まれ(例えば、支払いパッケージ508)、DAP検証が必要なデータパッケージは、それらのそれぞれのSPのSD下に読み込まれる。
【0105】
表−1は、セキュアエレメント構成500に従って、中央SD(例えば、中央SD504)に割り当てられる特権(例えば、グローバルプラットフォーム特権)、およびSPのSD(例えば、SPのSD505および506)を示す。
【0106】
【表1】
【0107】
表−2は、セキュアエレメント構成500に従って、中央SD(例えば、中央SD504)によってサポートされる特権(例えば、グローバルプラットフォーム特権)コマンドを示す。
【0108】
【表2】
【0109】
表−3は、セキュアエレメント構成500に従って、SPのSD(例えば、SPのSD505および506)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0110】
【表3】
【0111】
代替的な実施形態において、SPのSD505および506の一方または両方が、DAP検証特権を有さない。
【0112】
代替的な実施形態において、セキュアエレメント501が、複数の中央SDを含む。
【0113】
別の代替的な実施形態において、各SPのSDは、対応するSPのTSMと関連付けられる。E.UICCのセキュアエレメント構成
図6は、例示的な実施形態に従うセキュアエレメント構成600を示す。図6に示されるように、セキュアエレメント構成600は、セキュアエレメント601、中央TSM602、SPのTSM603、およびMNO607を含む。
【0114】
セキュアエレメント601は、UICCとして実装され、中央SD604、セキュアエレメント発行者SD(ISD)605、MNOのSD606、SPのSD608、およびSPのSD609を含む。MNOのSD606は、電気通信アプレット612と関連付けられる。中央SD604は、パッケージ610およびウォレットコンパニオンアプレット611と関連付けられる。中央SD604と関連付けられたSPのSD608および609は、それぞれアプレット608−1および609−1と関連付けられる。
【0115】
ISD605は、中央SD604およびMNOのSD606を作成するが、任意の他のコンテンツ管理機能を実施しない。
【0116】
MNOのSD606は、(表−2を参照しながら以下に更に詳細に考察される)認証された管理特権を有し、MNO607によって命令されるようにコンテンツを管理する。
【0117】
中央SD604は、(表−2を参照しながら以下に更に詳細に考察される)認証された管理特権を有し、中央TSM602によって命令されるようにコンテンツを管理する。具体的には、中央SD604は、アプリケーションを安全に管理し、SPのSDを作成し、セキュアエレメント内のアプレットまたはアプリケーション上で管理操作を実施し得る。
【0118】
SPのSD608および609は、セキュアチャネルの確立においておよびアプレット個人化処理において、それらのそれぞれのアプレットを支援する。アプレットインスタンス608−1および609−1は、インスタンス化されていないアプレットまたはアプリケーションをインスタンス化することによって作成され得る。アプレットインスタンス(例えば、アプレット608−1および609−1)は、中央SD604下で(すなわち、それと関連付けられて)作成される。インスタンス化の後、適切な場合には、アプレットインスタンスは、それらのそれぞれのSPのSDに引き渡される(すなわち、配布される)(例えば、アプレット608−1は、そのそれぞれのSD、SPのSD608に引き渡される)。代替的に、アプレットインスタンスが引き渡されない場合、それは、中央SD604下に残り得る。
【0119】
SPのSD608および609は、中央TSM602によって管理され取り扱われるバイナリファイルの整合性を検証するために、DAP検証特権を有する。DAP検証を必要としないデータパッケージは、中央SD604下に(すなわち、それと関連付けられて)読み込まれ(例えば、パッケージ610)、DAP検証が必要なデータパッケージは、それらのそれぞれのSPのSD下に読み込まれる。
【0120】
図6に示されるように、中央TSM602は、中央SD604を管理する。つまり、中央TSM602は、中央SD604のキー(およびその関連付けられたアプリケーション)を制御することによって、セキュアエレメントマネジャーとして動作し、したがって、その関連付けられた特権のいずれかを使用することができる(表−4を参照しながら以下に更に詳細に考察される)。中央SD604を介して、中央TSM602は、セキュアエレメント601上の任意のアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。加えて、中央TSM602は、SPのSDを作成および管理し得る。
【0121】
図6に更に示されるように、MNO607は、MNOのSD606および電気通信アプレット612と関連付けられ、それらを管理する。したがって、MNO607は、MNOのSD606の特権のいずれかを使用することができる。MNOのSD606を介して、MNO607は、セキュアエレメント601上の任意の関連付けられたアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。加えて、MNOパッケージおよびアプレットのインスタンスは、MNOのSD606下で(すなわち、それと関連付けられて)読み込まれるおよび/または作成される。
【0122】
表−4は、セキュアエレメント構成600に従って、ISD(例えば、ISD605)に割り当てられる特権(例えば、グローバルプラットフォーム特権)、中央SD(例えば、中央SD604)、MNOのSD(例えば、MNOのSD606)、およびSPのSD(例えば、SPのSD608および609)を示す。
【0123】
【表4】
【0124】
表−5は、セキュアエレメント構成600に従って、ISD(例えば、ISD605)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0125】
【表5】
【0126】
表−6は、セキュアエレメント構成600に従って、中央SD(例えば、中央SD604)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0127】
【表6】
【0128】
表−7は、セキュアエレメント構成600に従って、MNOのSD(例えば、MNOのSD606)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0129】
【表7】
【0130】
代替的な実施形態において、SPのSD608および609のうちの一方または両方が、DAP検証特権を有さない。F.第三者セキュリティドメインを有する埋め込まれたセキュアエレメント構成
図7は、例示的な実施形態に従うセキュアエレメント構成700を示す。図7に示すように、セキュアエレメント構成700は、セキュアエレメント701、中央TSM702、MNO707、(認証された管理を伴う)第三者TSM708、および(委任された管理を伴う)第三者TSM703を含む。
【0131】
セキュアエレメント701は、埋め込まれたセキュアエレメントとしてまたは別個のチップまたはセキュアデバイスなどのNFCイネーブラとして実装され、中央SD704、ISD705、第三者SD706、義務付けられたDAP特権ホルダーセキュリティドメイン(MDPHのSD)716、制御権限セキュリティドメイン(CAのSD)717、SPのSD709、(委任された管理を伴う)SPのSD710、およびSPのSD711を含む。
【0132】
MDPHのSD716は、セキュアエレメント701上に読み込まれたまたはインストールされたアプレットおよびアプリケーションの署名(すなわち、DAP)を検証する。(以下の)表−10は、MDPHのSDによってサポートされるコマンドを示す。
【0133】
CAのSD717は、機密の読み込みを保証するために、新しく作成されたセキュリティドメインのためのキーの生成を行う。(以下の)表−9は、CAのSDによってサポートされるコマンドを示す。
【0134】
第三者SD706は、認証された管理特権を有し、第三者TSM708によって命令されるようにコンテンツを管理する。第三者SD706は、パッケージ714と関連付けられる。SPのSD711は、第三者SD706下にあり(すなわち、それと関連付けられ)、アプリケーション711−1と関連付けられる。(上の)表−6は、第三者SD(例えば、第三者SD706)によってサポートされるコマンドを示す。
【0135】
ISD705は、中央SD704および第三者SD706を含むセキュリティドメインを作成するが、任意の他のコンテンツ管理機能を実施しない。(上の)表−5は、更に詳細にISD(例えば、ISD705)によってサポートされるコマンドを示す。
【0136】
中央SD704は、(表−8.1および8.2を参照しながら以下に更に詳細に考察される)認証された管理特権を有し、中央TSM702によって命令されるようにコンテンツを管理する。具体的には、中央SD704は、アプリケーションを安全に管理し、SPのSDを作成し、セキュアエレメント内のアプレットまたはアプリケーション上で管理操作を実施し得る。中央SD704は、パッケージ713、SPのSD709、およびSPのSD710と関連付けられる。SPのSD709および710は、アプレット709−1および710−1と関連付けられる。上の表−6は、中央SDによってサポートされているコマンドを示す。
【0137】
SPのSD709、710、および711は、セキュアチャネルの確立においておよびアプレット個人化処理において、それらのそれぞれのアプレットを支援する。アプレットインスタンス709−1および710−1は、インスタンス化されていないアプレットまたはアプリケーションをインスタンス化することによって作成され得る。アプレットインスタンス(例えば、アプレット709−1および710−1)は、中央SD704下で(すなわち、それと関連付けられて)作成される。インスタンス化の後、適切な場合には、アプレットインスタンスは、それらのそれぞれのSPのSDに引き渡される(すなわち、配布される)。(上の)表−3は、SPのSDによってサポートされるコマンドを示し、(以下の)表−11は、委任された管理特権を伴うSPのSD(例えば、SPのSD710)によってサポートされるコマンドを示す。
【0138】
SPのSD709および710は、中央TSM702によって管理され取り扱われるバイナリファイルの整合性を検証するために、DAP検証特権を有する。DAP検証を必要としないデータパッケージ(例えば、パッケージ713)は、中央SD704下に(すなわち、それと関連付けられて)読み込まれ、DAP検証が必要なデータパッケージは、それらのそれぞれのSPのSD下に読み込まれる。加えて、委任された管理特権を伴うSPのSD(例えば、710)は、認証されたコンテンツ管理操作を実施し得る。
【0139】
図7に示されるように、中央TSM702は、中央SD704を管理する。つまり、中央TSM702は、中央SD704のキー(およびその関連付けられたアプリケーション)を制御することによって、セキュアエレメントマネジャーとして動作し、したがって、その関連付けられた特権のいずれかを使用することができる(表−8.1および8.2を参照しながら以下に更に詳細に考察される)。中央SD704を介して、中央TSM702は、セキュアエレメント701上の任意の関連付けられたアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。加えて、中央TSMは、SPのSDを作成および管理し得、ISD705を介してセキュアエレメント701をロックおよびロック解除し得る。
【0140】
図7に更に示されるように、第三者TSM708は、第三者SD706のキー(およびその関連付けられたアプリケーション)を制御し、したがって、その関連付けられた特権のいずれかを使用することができる(表−8.1および8.2を参照しながら以下に更に詳細に考察される)。第三者SD706を介して、第三者TSM708は、任意のアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。第三者TSM708はまた、そのそれぞれの第三者SD(すなわち、第三者SD706)と関連付けられたSPのSDを作成および管理することができる。第三者TSM708は、その第三者SD706を介して、セキュアエレメント701上のその関連付けられた任意のアプレットまたはアプリケーションをロックまたは削除することができる。第三者TSM(例えば、パッケージ714)と関連付けられたパッケージは、第三者SD706下に(すなわち、それと関連付けられて)読み込まれる。第三者TSM708(例えば、アプリケーション711−1)と関連付けられたアプレットまたはアプリケーションは、インスタンス化され、インスタンスは、第三者SD706下に(すなわち、それと関連付けられて)作成される。インスタンス化の後、適切な場合には、アプレットまたはアプリケーションは、それらのそれぞれのSPのSDに引き渡される(すなわち、配布される)(例えば、アプリケーション711−1は、そのそれぞれのSD、SPのSD711に引き渡される)。
【0141】
表−8.1および8.2は、ISD(例えば、ISD705)に割り当てられる特権(例えば、グローバルプラットフォーム特権)、中央SD(例えば、中央SD704)、MDPHのSD(例えば、MDPHのSD716)、CAのSD(例えば、CAのSD717)、第三者SD(例えば、第三者SD706)、SPのSD(例えば、SPのSD709)、および委任された管理(例えば、SPのSD710)を伴うSPのSDを示す。
【0142】
【表8】
【0143】
【表9】
【0144】
表−9は、セキュアエレメント構成700に従って、CAのSD(例えば、CAのSD717)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0145】
【表10】
【0146】
表−10は、セキュアエレメント構成700に従って、MDPHのSD(例えば、MDPHのSD716)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0147】
【表11】
【0148】
表−11は、セキュアエレメント構成700に従って、委任された管理を伴うSPのSD(例えば、SPのSD710)によってサポートされるコマンド(例えば、グローバルプラットフォームコマンド)を示す。
【0149】
【表12】
【0150】
代替的な実施形態において、第三者TSM703は、委任された管理特権を有するが、コンテンツ管理操作は、最初に中央TSM702によって承認される。中央TSM702は、トークンを検証して、第三者TSM(例えば、SPのSD709)とも関連付けられない、関連付けられた各SPのSDのための領収書を生成する。第三者TSM703は、その関連付けられたSPのSD(例えば、SPのSD710)のキーを制御し、任意の関連付けられたアプリケーションまたはアプレット(例えば、アプレット710−1)をその関連付けられたSPのSDを介して読み込む、インストールする、引き渡す、または削除することができる。
【0151】
代替的な実施形態において、SPのSD709および710のうちの一方または両方が、DAP検証特権を有さない。
【0152】
代替的な実施形態において、MDPHのSD716およびCAのSD717のうちの一方または両方が、セキュアエレメント701に含まれない。
【0153】
別の代替的な実施形態において、セキュアエレメント701が、全く第三者SDを有さないか、または1つ以上の第三者SDを有する。G.第三者セキュリティドメインを伴うUICCセキュアエレメント構成
図8は、例示的な実施形態に従うセキュアエレメント構成800を示す。図8に示すように、セキュアエレメント構成800は、セキュアエレメント801、中央TSM802、およびMNO807、(認証された管理を伴う)第三者TSM808、および(委任された管理を伴う)第三者TSM803を含む。
【0154】
セキュアエレメント801は、UICCとして実装され、中央SD804、ISD805、第三者SD806、MNOのSD815、MDPHのSD817、およびCAのSD818を含む。セキュアエレメント801はまた、SPのSD809、および(委任された管理を伴う)SPのSD810、およびSPのSD811を含む。
【0155】
MNOのSD815は、認証された管理特権を有し、MNO807によって命令されるようにコンテンツを管理することができる。
【0156】
MDPHのSD817は、セキュアエレメント801上に読み込まれたまたはインストールされたアプレットおよびアプリケーションの署名(すなわち、DAP)を検証する。(上の)表−10は、MDPHのSDによってサポートされるコマンドを示す。
【0157】
CAのSD818は、機密の読み込みを保証するために、新しく作成されるセキュリティドメインのためのキーの生成を実施する。(上の)表−9は、CAのSDにサポートされるコマンドを示す。
【0158】
第三者SD806は、認証された管理特権を有し、第三者TSM808によって命令されるようにコンテンツを管理する。第三者SD806は、パッケージ814と関連付けられた。SPのSD811は、第三者SD806の下にあり(すなわち、それは、第三者SD806と関連付けられ)、アプリケーション811−1と関連付けられる。第三者SD806は、(上の)表−6に示される同じコマンドをサポートする。
【0159】
ISD805は、中央SD804および第三者SD806を含むセキュリティドメインを作成するが、任意の他のコンテンツ管理機能を実施しない。(上の)表−5は、ISDにサポートされるコマンドを示す。
【0160】
中央SD804は、(表−2を参照しながら上に更に詳細に考察される)認証された管理特権を有し、中央TSM802によって命令されるようにコンテンツを管理する。具体的には、中央SD804は、アプリケーションを安全に管理し、SPのSDを作成し、セキュアエレメント内のアプレットまたはアプリケーション上で管理操作を実施し得る。中央SD804は、パッケージ813、SPのSD809、およびSPのSD810と関連付けられている。SPのSD809および810は、アプレット809−1および810−1と関連付けられている。上の表−6は、中央SDによってサポートされているコマンドを示す。
【0161】
図8に示されるように、中央TSM802は、中央SD804を管理する。つまり、中央TSM802は、中央SD804のキー(およびその関連付けられたアプリケーション)を制御することによって、セキュアエレメントマネジャーとして動作し、したがって、その関連付けられた特権のいずれかを使用することができる(表−12.1および12.2を参照しながら以下に更に詳細に考察される)。中央SD804を介して、中央TSM802は、セキュアエレメント801上の任意の関連付けられたアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。加えて、中央TSM802は、SPのSDを作成および管理し得る。
【0162】
図8に更に示されるように、MNO807は、MNOのSD815および電気通信アプレット816と関連付けられ、それらを管理する。したがって、MNO807は、MNOのSD815の特権のいずれかを使用することができる。MNOのSD815を介して、MNO807は、セキュアエレメント801上の任意の関連付けられたアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。加えて、MNOパッケージおよびアプリケーションまたはアプレットのインスタンスは、MNOのSD815下で(すなわち、それと関連付けられて)読み込まれるおよび/または作成される。MNO807は、セキュアエレメント801上でMNOのSD815を介してMNOに関連付けられた任意のアプリケーションをロックまたは削除することができる。
【0163】
図8に更に示されるように、第三者TSM808は、第三者SD806(およびその関連付けられたアプリケーション)のキーを制御する、したがって、その関連付けられた特権のいずれかを使用することができる(表−12.1および12.2を参照しながら以下に更に詳細に考察される)。第三者SD806を介して、第三者TSM808は、任意の関連付けられたアプレットまたはアプリケーションを読み込む、インストールする、引き渡す、ロックする、または削除することができる。第三者TSM808はまた、そのそれぞれの第三者SDと関連付けられたSPのSDを作成するおよび管理することができる。第三者TSM(例えば、パッケージ814)と関連付けられたパッケージは、第三者SD806下に(すなわち、それと関連付けられて)読み込まれる。第三者TSM808(例えば、アプリケーション811−1)と関連付けられたアプレットまたはアプリケーションは、インスタンス化され、インスタンスは、第三者SD806下に(すなわち、それと関連付けられて)作成される。インスタンス化の後、適切な場合には、アプレットまたはアプリケーションは、それらのそれぞれのSPのSDに引き渡される(すなわち、配布される)(例えば、アプリケーション811−1は、SPのSD811に引き渡される)。
【0164】
表−12.1および12.2は、ISD(例えば、ISD805)、中央SD(例えば、中央SD804)、MDPHのSD(例えば、MDPHのSD817)、CAのSD(例えば、CAのSD818)、第三者SD(例えば、第三者SD806)、MNOのSD(例えば、MNOのSD815)、SPのSD(例えば、SPのSD809)、および委任された管理を伴うSPのSD(例えば、SPのSD810)に割り当てられた特権(例えば、グローバルプラットフォーム特権)を示す。
【0165】
【表13】
【0166】
【表14】
【0167】
代替的な実施形態において、SPのSD809および810うちの一方または両方が、DAP検証特権を有さない。
【0168】
別の代替的な実施形態において、MDPHのSD817およびCAのSD818のうちの一方または両方が、セキュアエレメント801に含まれない。H.コンピュータ可読媒体の実装
本発明(例えば、システム100、シーケンス200〜400、構成500〜800、またはその任意の部分(複数可)または機能(複数可))は、ハードウェア、ソフトウェア、またはそれらの組み合わせを使用して実装することができ、1つ以上のモバイルデバイスまたは他の処理システム内で実装することができる。本発明によって実施される操作が人間の操作に関して言及される範囲で、人間の操作者のこのような能力は、本発明の一部を形成する本明細書で説明される操作のいずれにおいても、ほとんどの場合、必要とされないまたは所望されない。むしろ、本明細書で説明される操作は、機械操作である。本発明の操作を実施するために有用な機械としては、携帯電話、スマートフォン、携帯情報端末(PDA)、または類似のデバイスを含む。
【0169】
一実施形態において、本発明は、本明細書で説明される機能性を実施することが可能な1つ以上のシステムを対象としている。システム900の実施例は、図9に示される。
【0170】
システム900は、プロセッサ901などの1つ以上のプロセッサを含む。プロセッサ901は、通信基盤902(例えば、通信バス、ネットワーク)に接続される。様々な実施形態が、この例示的なシステムに関して説明される。本説明を閲読した後、他のシステムおよび/またはアーキテクチャを使用して、本発明をどのように実装するかが関連技術分野の当業者には明らかとなろう。
【0171】
システム900はまた、データベースであり得るメインメモリ903または同種のものを含む。
【0172】
システム900はまた、メインメモリ903を照会するために照会モジュール904を含み得る。メモリ(例えば、メインメモリ903)の照会は、図2〜4を参照しながら上に更に詳細に考察される。
【0173】
システム900はまた、要求などのデータを他の実体からネットワークを介して受信するためのモジュール905を受信する。要求などのデータの受信は、図2〜4を参照しながら上に更に詳細に考察される。
【0174】
システム900はまた、要求および応答などのデータを他の実体にネットワークを介して送信するための送信モジュール906を含む。要求および応答などのデータを送信することは、図2〜4を参照しながら上に更に詳細に考察される。
【0175】
モジュール904〜906の各々は、ハードウェア、ソフトウェア、またはこの2者の組み合わせを使用して実装され得る。
【0176】
例えば、図1〜8に示したまたはこれらに関連して考察したシステムおよび手順などの上に説明した例示的な実施形態またはそれらの任意の部分もしくは機能は、ハードウェア、ソフトウェア、またはこれら2者の組み合わせを用いることによって実装され得る。それは、1つ以上のコンピュータまたは他の処理システム内で実装され得る。これらの例示的な実施形態によって実施される操作は、人間の操作者によって実施される知的操作と一般的に関連付けられた用語で呼ばれ得たが、本明細書で説明される操作のうちのいずれを実施するにも人間の操作者は必要とされない。言い換えれば、これらの操作は、機械操作で完全に実装され得る。本明細書に提示する例示的な実施形態の操作を実施するのに有用な機械は、汎用のデジタルコンピュータまたは類似のデバイスを含む。
【0177】
本発明の例示的な実施形態の部分は、コンピュータ技術分野の当業者には明らかなように、本開示の教示に従ってプログラムされた従来の汎用コンピュータ、特殊目的デジタルコンピュータ、および/またはマイクロプロセッサを用いることによって好都合に実装され得る。適切なソフトウェアコーディングは、本開示の教示に基づいて、熟練したプログラマによって容易に準備され得る。
【0178】
いくつかの実施形態はまた、特定用途向け集積回路、フィールドプログラム可能なゲートアレイを準備することによって、または、従来の構成要素回路の適切なネットワークを相互接続することによって実施され得る。
【0179】
いくつかの実施形態は、コンピュータプログラム製品を含む。コンピュータプログラム製品は、コンピュータを制御または、それに、本発明の例示的な実施形態の手順の任意のものを実施させるために用いることが可能な命令をその上にまたはその中に記憶する非一時的な記憶媒体または媒体であり得る。記憶媒体としては、フロッピディスク、ミニディスク、光ディスク、Blu−Ray Disc、DVD、CDまたはCD−ROM、マイクロドライブ、磁気光ディスク、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、フラッシュメモリ、フラッシュカード、磁気カード、光カード、ナノシステム、分子メモリ集積回路、RAID、遠隔データストレージ/アーカイブ/貯蔵所、および/または命令および/またはデータを記憶するために好適な任意のタイプのデバイスを挙げることができるが、これらに限定されない。
【0180】
非一時的なコンピュータ可読媒体または媒体のうちの任意の1つに記憶される一部の実装では、汎用および/もしくは特殊コンピュータのハードウェアまたはマイクロプロセッサの両方を制御するための、かつコンピュータまたはマイクロプロセッサが本発明の例示的な実施形態の結果を利用する人間のユーザまたは他の機構と対話することを可能にするためのソフトウェアを含む。このようなソフトウェアは、デバイスドライバ、オペレーティングシステム、およびユーザアプリケーションを含み得るが、これらに限定されない。究極には、このようなコンピュータ可読媒体は、上に説明したように、本発明の例示的な態様を実施するためのソフトウェアを更に含む。
【0181】
汎用および/もしくは特殊目的コンピュータまたはマイクロプロセッサのプログラミングおよび/またはソフトウェアに含まれるものには、上に説明した手順を実装するためのソフトウェアモジュールがある。
【0182】
本発明の様々な例示的な実施形態を上述したが、それらは例として提示されたものであり、制限するためのものではないことを理解すべきである。形態および詳細の様々な変更が可能であることが関連技術分野の当業者には明らかである。したがって、本発明は、上に説明した例示的な実施形態のいずれによっても制限されるべきではなく、以下の特許請求の範囲およびその均等物によってのみ定義されるべきである。
【0183】
加えて、図面は例示目的のみで提示されていることを理解すべきである。本明細書に提示される例示的な実施形態の構造は、それが添付図面で示されるもの以外の方法で利用されて誘導され得るように、十分に柔軟であって構成可能である。
【0184】
更に、要約の目的は、一般的には、米国特許商標庁および公衆、とりわけ、科学者、技術者、および特許用語もしくは法律用語または言い回しに精通していない当該技術分野の実践者が、本出願の技法的開示の性質および本質を一瞥して迅速に判断することを可能にすることである。要約は、いかなる方法でも本明細書に提示される例示的な実施形態の範囲について制限することを意図するものではない。特許請求の範囲において述べられた手順は、提示された順序で実施される必要がないこともまた理解すべきである。I.サービスを更新する
図10は、例示的な実施形態に従うサービスを更新するためのシーケンス1000を示す。
【0185】
図10に示されるように、ステップ1050において、SPシステム1001(例えば、図1、SPのTSM103−1)は、要求をESB1002に送信して、セキュアエレメント1004(例えば、図1、SE106a−1)上のサービスを更新する(要求:サービスを更新)。ESBを使用して、SPシステム、中央TSM、および/またはセキュアエレメントを含む実体間の対話を容易にする。
【0186】
例示的な一実施形態において、SPシステムは、1つまたは複数の構成要素を含む基盤であり得る。これらの構成要素の例としては、TSM(例えば、SPのTSM)およびミドルウェアが挙げられる。つまり、SPシステムへのおよびそれからの通信は、SPシステムによって構成された1つ以上の構成要素によって処理され得る。
【0187】
サービスを更新する要求(要求:サービスを更新)は、例えば、サービスが失効した(すなわち、サービスが、サービスと関連付けられた事前に決定された失効日を過ぎた)場合、SPシステムによって送られ得る。サービスを更新する要求(要求:サービスを更新)は、サービス修飾子を含む。任意に、サービスを更新する要求(要求:サービスを更新)は、サービス識別子を含み得る。
【0188】
ESB1002は、ステップ1050において送信された要求を受信し、次に、ステップ1052において要求(要求:サービスを更新)を中央TSM1003(例えば、図1、中央TSM102)に送信する。要求(要求:サービスを更新)は、ステップ1050において、SPシステム1001によって提供されるサービス修飾子を含む。任意に、サービスを更新する要求(要求:サービスを更新)は、サービス識別子を含み得る。
【0189】
次に、ステップ1054において、中央TSM1003は、ステップ1052において「更新する」ために受信したサービス修飾子に対応するサービス状態を最新化する(サービス状態を最新化:更新)。サービス状態の最新化は、一般に、サービスと関連付けられたサービス状態のパラメータの修正を含む。
【0190】
ステップ1056において、中央TSM1003は、ステップ1052において受信したサービス修飾子に対応するサービスを除去する(要求:サービスを除去)。サービスの除去は、除去されたサービスに対応するアプレットインスタンスならびにアプレットインスタンスと関連付けられたデータを、アプレットインスタンスがインストールされたセキュアエレメント1004から削除することを含み得る。セキュアエレメントからのサービスの削除および/または除去は、図5〜8を参照しながら上により詳細に考察されるように、中央TSMとセキュアエレメントとの間での1つ以上のコマンド(例えば、「削除する」)の交換を含む。
【0191】
図10に更に示されるように、一旦サービスがセキュアエレメント1004から除去されると、中央TSM1003は、ステップ1058において技術的適格性の確認を実施する。技術的適格性の確認は、サービスに対応するアプレットが、セキュアエレメント1004上でインストールされ(すなわち、インスタンス化され)得るかを判定することを含む。例えば、技術的適格性の確認を用いて、セキュアエレメント1004がアプレットをそれにインストールする十分なメモリスペースを有するかを判定し得る。
【0192】
技術的適格性の確認が失敗した場合、通知がESB1002および/またはSPシステム1001に送信され、エラーが発生したことを示す。通知はまた、ステップ1058において実施される技術的適格性の確認の失敗の理由を示し得る。
【0193】
代替的に、ステップ1058において実施される技術的適格性の確認が成功した場合、中央TSM1003が、ステップ1060においてセキュアエレメント1004に要求を送信し、(例えば、アプレットのインスタンスを作成することによって)インストールし、ステップ1052において受信されたサービス修飾子と関連付けられたサービスを有効化する(要求:インストールして、サービスを有効化)。サービスのインストールおよび有効化が、図5〜8を参照しながら上により詳細に考察されるように、中央TSMとセキュアエレメントの間での1つ以上のコマンド(例えば、インストールする、有効化する)の交換によって実施される。加えて、サービスをインストールおよび有効化することは、図3(ステップ394)および図4(ステップ462)を参照しながら上により詳細に考察される。
【0194】
次に、ステップ1062において、中央TSM1003は、アプレットのインスタンスをセキュアエレメント1004内の対応するSPのSDに引き渡す要求(要求:アプレットを引き渡す)を送信する。アプレットのインスタンスをSPのSDに引き渡すことは、図5を参照しながら上により詳細に考察される。(例えば、アプレット505−1が、そのそれぞれのSPのSD505に引き渡される)。アプレットを引き渡すために対応するSPのSDは、ステップ1052において受信されたサービス修飾子および/または、任意に、サービス識別子に基づいて判定される。
【0195】
次に、中央TSM1003は、ステップ1064において「インストールされる」ために、ステップ1052において受信したサービス修飾子に対応するサービスの状態を最新化する(サービスの状態を最新化:インストールされる)。ステップ1066において、中央TSM1003は、応答(サービスの更新への応答)をESB1002に送信する。ステップ1066において送信された応答(サービスの更新への応答)は、ステップ1052におけるESB1002による要求の送信が成功したか失敗したかを示す情報を含む。つまり、応答(サービスの更新への応答)は、サービスの更新が成功したかをESB1002に告げる。
【0196】
図10に更に示されるように、ESB1002は、ステップ1068において、応答(サービスを更新する応答)を、ステップ1050においてSPシステム1001によって送信された要求が成功したか失敗したかを示す情報を含むSPシステム1001に送信する。ESB1002によってSPシステム1001に送信されるこの応答は、ステップ1066においてESB1002によって中央TSM1003から受信された情報に基づく。
【0197】
次に、ステップ1070において、SPシステム1001は、要求(要求:アプレットを個人化)を中央TSM1003に送信して、インストールされた(すなわち、インスタンス化された)アプレットをセキュアエレメント1004上で個人化する。要求(要求:アプレットを個人化する)は、セキュアエレメント1004に送信するおよび/またはアップロードするコマンドおよびデータを含む。データは、アカウントおよび顧客情報を含む機密データを含む。ステップ1072において、中央TSM1003は、要求(要求:アプレットを個人化)を受信して、セキュアエレメント1004と通信して、アプレットを個人化する(アプレットを個人化)。アプレットの個人化は、図3のステップ382、384、および386を参照しながら上により詳細に考察される。
【0198】
代替的な実施形態において、サービスを更新する要求(例えば、要求:サービスを更新)は、SPシステム1001によって中央TSM1003にESB1002と通信せずに送信される。サービスを更新する要求への応答(例えば、サービス更新への応答)はまた、SPシステム1001に中央TSM1003によってESB1002と通信せずに送信され得る。