特表2022-551435複数の閉ループの安全性が保証された取引のシステム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-12-09
(54)【発明の名称】複数の閉ループの安全性が保証された取引のシステム及び方法
(51)【国際特許分類】
G06Q 20/02 20120101AFI20221202BHJP
【FI】
G06Q20/02
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022519407
(86)(22)【出願日】2020-09-25
(85)【翻訳文提出日】2022-05-25
(86)【国際出願番号】 IB2020058991
(87)【国際公開番号】W WO2021059222
(87)【国際公開日】2021-04-01
(31)【優先権主張番号】201921038665
(32)【優先日】2019-09-25
(33)【優先権主張国・地域又は機関】IN
(81)【指定国・地域】
(71)【出願人】
【識別番号】520433964
【氏名又は名称】ジオ プラットフォームズ リミティド
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100092624
【弁理士】
【氏名又は名称】鶴田 準一
(74)【代理人】
【識別番号】100114018
【弁理士】
【氏名又は名称】南山 知広
(74)【代理人】
【識別番号】100153729
【弁理士】
【氏名又は名称】森本 有一
(72)【発明者】
【氏名】プラディープ ガラニ
(72)【発明者】
【氏名】ニミッシュ ジャイン
【テーマコード(参考)】
5L055
【Fターム(参考)】
5L055AA01
(57)【要約】
本発明は、NFCを使用して閉ループの安全性が保証された取引を実行するためのシステム及び方法に関する。方法は、第1のユーザデバイス[202A]のセキュアエレメント[202A1]での機器選択を含む支払い選択を受信することを含む。機器選択は、閉ループカーネルを自動的に選択するために使用される。本発明は、迅速かつ手間のかからないピアツーピア(P2P)又はピアツーマーチャント(P2M)閉ループ取引のためにHSM[206]内でのみ復号化することができる支払い選択データに対称鍵暗号化を使用することも包含する。
【特許請求の範囲】
【請求項1】
閉ループ取引を実行するための方法であって、第1のユーザデバイス[202A]のセキュアエレメント[202A1]で少なくとも一つのサービスの支払い選択を受信し、前記支払い選択は、支払い情報、サービストークン、機器選択及び少なくとも一つのサービスに対するサービスの識別子のうちの少なくとも一つを更に含むことと、
ワイヤレスインターフェースを介して、第1のデータを第2のユーザデバイス[202B]に送信し、前記第1のデータは、少なくとも暗号化された支払い選択を含むことと、
第2のデータを生成するために、前記第2のユーザデバイス[202B]によって、前記第2のユーザデバイス[202B]の識別子、メッセージ認証コード及び前記支払い情報のうちの少なくとも一つに基づいて前記第1のデータを暗号化することと、
前記第2のユーザデバイス[202B]によって、前記第2のデータを支払いサーバ[204]に送信することと、
ハードウェアセキュリティモジュール[206]によって、前記メッセージ認証コードに基づいて前記第2のデータを復号化することと、
前記ハードウェアセキュリティモジュール[206]によって、復号化された前記第2のデータを少なくとも一つの閉ループサービスプロバイダ[208]に送信することと
前記少なくとも一つの閉ループサービスプロバイダ[208]によって、復号化された前記第2のデータに基づいて閉ループ取引を実行することと、
を備える方法。
【請求項2】
前記第1のユーザデバイス[202A]と前記第2のユーザデバイス[202B]のうちの少なくとも一つで、前記少なくとも一つの閉ループサービスプロバイダ[208]から前記閉ループ取引のステータスを受信することと、前記第1のユーザデバイス[202A]と前記第2のユーザデバイス[202B]のうちの少なくとも一つで、前記閉ループ取引のステータスを表示することと、
を更に備える、請求項1に記載の方法。
【請求項3】
前記ワイヤレスインターフェースは、近距離無線通信(NFC)インターフェースの少なくとも一つである、請求項1に記載の方法。
【請求項4】
前記第1のデータは、タップ及び第1のユーザデバイス[202A]と第2のユーザデバイス[202B]との間のしきい値距離の一方に基づいて、前記ワイヤレスインターフェースを介して前記第1のユーザデバイス[202A]から前記第2のユーザデバイス[202B]に送信される、請求項1に記載の方法。
【請求項5】
前記第1のデータを前記第2のユーザデバイス[202B]に送信することは、前記第1のユーザデバイス[202A]の前記セキュアエレメント[202A1]で受信した前記支払い選択のためのセッション鍵を生成することと、
生成された前記セッション鍵及び前記メッセージ認証コードに基づいて前記支払い選択を暗号化することと、
を更に備える、請求項1に記載の方法。
【請求項6】
前記第2のユーザデバイス[202B]により前記第1のデータを暗号化することは、前記第2のユーザデバイス[202B]のセキュアエレメント[202A1]で受信した前記第1のデータの対称セッション鍵を生成することと
前記第2のデータを生成するために、少なくとも生成された前記対称セッション鍵に基づいて前記第1のデータを暗号化することと、
を更に備える、請求項1に記載の方法。
【請求項7】
前記第2のユーザデバイス[202B]は、マーチャントユーザデバイスであり、前記第2のユーザデバイス[202B]は、前記第2のデータをマーチャント支払いサーバ[204]に送信する、請求項1に記載の方法。
【請求項8】
前記少なくとも一つの閉ループサービスプロバイダ[208]は、前記第1のユーザデバイス[202A]の前記セキュアエレメント[202A1]及び前記第2のユーザデバイス[202B]にオンボードされている、請求項1に記載の方法。
【請求項9】
閉ループ取引を実行するためのシステムであって、前記方法は、第1のユーザデバイス[202A]であって、
前記第1のユーザデバイス[202A]のセキュアエレメント[202A1]で少なくとも一つのサービスの支払い選択を受信し、前記支払い選択は、支払い情報、サービストークン、機器選択及び少なくとも一つのサービスに対するサービスの識別子のうちの少なくとも一つを更に含み、
ワイヤレスインターフェースを介して、第1のデータを第2のユーザデバイス[202B]に送信し、前記第1のデータは、少なくとも暗号化された支払い選択を含むように構成された、第1のユーザデバイス[202A]と、
前記第2のユーザデバイス[202B]であって、
第2のデータを生成するために、前記第2のユーザデバイス[202B]の識別子、メッセージ認証コード及び前記支払い情報のうちの少なくとも一つに基づいて前記第1のデータを暗号化し、
前記第2のデータを支払いサーバ[204]に送信するように構成された、前記第2のユーザデバイス[202B]と、
ハードウェアセキュリティモジュール[206]であって、
前記支払いサーバ[204]から前記第2のデータを受信し、
前記メッセージ認証コードに基づいて前記第2のデータを復号化し、
復号化された前記第2のデータを少なくとも一つの閉ループサービスプロバイダ[208]に送信するように構成された、ハードウェアセキュリティモジュール[206]と、
復号化された前記第2のデータに基づいて閉ループ取引を実行するように構成された、前記少なくとも一つの閉ループサービスプロバイダ[208]と、
を備えるシステム。
【請求項10】
前記第1のユーザデバイス[202A]及び前記第2のユーザデバイス[202B]は、前記少なくとも一つの閉ループサービスプロバイダ[208]から前記閉ループ取引のステータスを受信し、
前記閉ループ取引のステータスを表示するように更に構成された、請求項9に記載のシステム。
【請求項11】
前記ワイヤレスインターフェースは、近距離無線通信(NFC)インターフェースである、請求項9に記載のシステム。
【請求項12】
前記第1のデータは、タップ及び第1のユーザデバイス[202A]と第2のユーザデバイス[202B]との間のしきい値距離の一方に基づいて、前記ワイヤレスインターフェースを介して前記第1のユーザデバイス[202A]から前記第2のユーザデバイス[202B]に送信される、請求項9に記載のシステム。
【請求項13】
前記第1のユーザデバイス[202A]は、前記第1のユーザデバイス[202A]の前記セキュアエレメント[202A1]で受信した前記支払い選択のためのセッション鍵を生成し、
生成された前記セッション鍵及び前記メッセージ認証コードに基づいて前記支払い選択を暗号化するように更に構成された、請求項9に記載のシステム。
【請求項14】
前記第2のユーザデバイス[202B]は、前記第2のユーザデバイス[202B]のセキュアエレメント[202A1]で受信した前記第1のデータの対称セッション鍵を生成し、
前記第2のデータを生成するために、少なくとも生成された前記対称セッション鍵に基づいて前記第1のデータを暗号化するに更に構成された、請求項9に記載のシステム。
【請求項15】
前記第2のユーザデバイス[202B]は、マーチャントユーザデバイスであり、前記第2のユーザデバイス[202B]は、前記第2のデータをマーチャント支払いサーバ[204]に送信する、請求項9に記載のシステム。
【請求項16】
前記少なくとも一つの閉ループサービスプロバイダ[208]は、前記第1のユーザデバイス[202A]の前記セキュアエレメント[202A1]及び前記第2のユーザデバイス[202B]にオンボードされている、請求項9に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、一般的には、無線通信ネットワークに関し、更に具体的には、無線通信ネットワークにおける閉ループ取引の管理に関する。
【背景技術】
【0002】
以下の関連技術の説明は、本開示の分野に関する背景情報を提供することを意図している。このセクションは、本開示の様々な特徴に関連し得る当技術分野の特定の態様を含み得る。しかしながら、このセクションが本開示に関する読者の理解を高めるためにのみ使用されるとともに先行技術の承認としてのものでないことを理解されたい。
【0003】
様々な環境で現金に取って代わるとともに代替手段を提供する興味深い方法が進化している。そのような現金の代替物は、例えば、支払いカード等のような支払い装置を含むことができる。クレジットカード又はデビットカードを使用する従来のカード決済システムは広く普及しており、そのようなカードは、関連する口座番号が保存される磁気ストライプを含めるように何十年も使用されてきた。顧客は、様々な支払い方法:現金、小切手、デビットカード、クレジットカード又は携帯電話を介して取引の支払いを選択できた。現金での支払いでない場合、支払人は、小切手、デビットカード、クレジットカード又は携帯電話での支払いにリンクされた銀行口座を有する必要がある。
【0004】
支払い取引には、二人の当事者が存在し、第1の者は、顧客/買い物客とも称する資金の支払人であり、第二の者は、マーチャントとも称する資金の取得者である。支払い取引を完了できるようにするために、資金を、支払いネットワークを介して支払人(バイヤー)の銀行口座から取得者(マーチャント)の銀行口座に移動させる。その結果、支払い処理ネットワークは、技術的には、支払人から取得者への資金の流れをリアルタイムで認証、検証及び有効化することに関与する全てのシステムである。
【0005】
カードは、リーダーが磁気ストライプからアカウント番号を読み取るカードとの購入取引を完了するために販売時点情報管理(POS)端末の一部である磁気ストライプリーダーに通される。口座番号は、POS端末によって開始された取引認証要求をルーティングするために使用される。また、顧客がデビットカード、クレジットカード又はモバイル決済方法を使用して支払い取引を成功させることができるようにするために、顧客は、支払い方法にリンクされた銀行口座を有する必要があり、顧客の銀行口座は、支払い取引をカバーするのに十分な資金を有する必要がある。
【0006】
顧客は、支払い方法:デビットカード、クレジットカード又はモバイルデバイスを取得者の(小売店のような)物理的な場所又は(Webサイトのような)仮想的な場所に提示し、取得者は、支払いネットワークにリンクされた支払い取得システムを使用して顧客から資金を受け取り、顧客の銀行口座から取得者の銀行口座に資金を移動させる。
【0007】
物理的な場所で顧客から資金を取得するとき、取得するマーチャントは、顧客がPOS磁気カードリーダーデバイスにデビットカード若しくはクレジットカードを通すこと又は販売時点情報管理デバイスに携帯電話をかざすことを要求し、販売時点情報管理デバイスは、近距離無線通信(NFC)のワイヤレス技術、電話、電話のSIMカード若しくは埋め込み式のセキュアエレメントに埋め込まれた無線周波数(RF)タグ、クイックレスポンス(QR)コード技術のような2次元バーコード技術又はマーチャントが携帯電話を顧客のIDにリンクできるようにする他のワイヤレス技術を介して顧客の携帯電話番号又はトークンを識別することができる。
【0008】
支払いネットワークを使用して顧客から販売者への資金を取得すると、資金は、マーチャントの取得銀行口座に預け入れられる。デビットカード及びクレジットカードはいくつかの点で似ているが、大きな違いがある。カードは、発行銀行によって発行され、POSシステムで取引され、販売者の口座で資金が決済される。上記のように、主な違いは、関連する銀行口座に十分な資金がない場合にデビットカードが取引を行わないことである。
【0009】
支払い処理ネットワークは、支払人(バイヤー)の銀行口座から取得者(マーチャント)の銀行口座への金の移動を可能にする販売時点情報管理(POS)デバイス、コンピューターサーバシステム、銀行取引処理システム及びデータベースサーバシステムのような支払い収集デバイスの集合体である。支払いは、モバイルデバイスを介して行うこともできる。例えば、スマートモバイルデバイスは、クイックレスポンス(QR)コードを介して支払いを行うことができ、モバイルデバイスは、近距離無線通信(NFC)技術を介して支払いを行うことができ、又は、内部無線周波数識別(RFID)チップを有するキーチェーンは、POSに近接して配置されたときに支払いを行うことができる。
【0010】
デバイスの電子決済における更なる傾向は、従来のペイメントカードの代わりのいわゆる「スマート」モバイルデバイス又はPOS又は他のスマートデバイスの使用である。実際、電子デバイスのようなデバイス、特に、電子決済デバイス(例えば、いわゆる「スマートカード」)は、様々な支払い及び他の応用に役立つ可能性がある。場合によっては、スマートモバイル決済デバイスは、決済取引を実行するためのトランシーバが組み込まれていない。実際、モバイルデバイスは、支払いを容易にするために「アプリ」とも称するソフトウェアアプリケーションが組み込まれている。そのような「スマート」携帯電話又は他のデバイスは、例えば、電子財布アプリケーションを備えていてもよい。これらのアプリケーションは、モバイルオペレーティングシステムを有するスマートフォンで実行され、読み取り可能な文字及び数字の組合せ、1次元バーコード、又はQコードとも称する2次元バーコードテクノロジで表示される一意の支払いコードを表示する。電話に表示されるこれらのコードを使用して、マーチャントは、デバイスのソフトウェアアプリによって表示される一意のコードを読み取るための対応する技術を有し、それを読み取り、その後、図1に示すようにカード所有者の銀行口座からマーチャントの銀行口座に資金を移動する支払いプロセスを開始するために情報をサーバに安全に送信する。
【0011】
開ループ支払い
開ループは、クレジットカード、デビットカード又はモバイル支払い処理ネットワークを広く受け入れ、技術的には、典型的にはPayPal(登録商標)、Visa(登録商標)、MasterCard(登録商標)、American Express(登録商標)、Discover(登録商標)、DinersClub(登録商標)などの商標で販売されています。Rupay(登録商標)(インドで承認済み)、JCB(登録商標)(日本で承認済み)、UnionPay(登録商標)(中国で承認済み)のような登録商標の下で国際的に認められた金融カード又はモバイル決済サービスである。これらは、何億もの顧客又は携帯電話加入者が何百万もの、マーチャントの場所で商品及びサービスを購入できるようにする国際的な(普遍的な)ネットワークである。さらに、資金調達ルール、返品、不正補償及び消費者保護ガバナンスは、厳格であり、滅多に変更されない。金利及び追加料金は頻繁に変更される可能性があるが、マーチャントが銀行で資金を承認及び決済(入金)する方法は、非常に明確に定義されており、滅多に変更されない。
開ループは、クレジットカード、デビットカード又はモバイル支払い処理ネットワークを広く受け入れ、技術的には、典型的にはPayPal(登録商標)、Visa(登録商標)、MasterCard(登録商標)、American Express(登録商標)、Discover(登録商標)、DinersClub(登録商標)などの商標で販売されています。Rupay(登録商標)(インドで承認済み)、JCB(登録商標)(日本で承認済み)、UnionPay(登録商標)(中国で承認済み)のような登録商標の下で国際的に認められた金融カード又はモバイル決済サービスである。これらは、何億もの顧客又は携帯電話加入者が何百万もの、マーチャントの場所で商品及びサービスを購入できるようにする国際的な(普遍的な)ネットワークである。さらに、資金調達ルール、返品、不正補償及び消費者保護ガバナンスは、厳格であり、滅多に変更されない。金利及び追加料金は頻繁に変更される可能性があるが、マーチャントが銀行で資金を承認及び決済(入金)する方法は、非常に明確に定義されており、滅多に変更されない。
【0012】
閉ループ支払い
閉ループ支払いネットワークは、通常、単一の小売業者が所有する処理システムである。例えば、信頼できる小売業者のチャージカードを使用することによって、消費者は、信頼できる小売業者の店舗でのみ商品及びサービスを購入することができる。それを、レストラン、バー又は競合小売業者で使用することができない。一方、Visa(登録商標)カードを使用することによって、消費者は、カードに十分な資金又は利用可能なクレジットがある限り何百万ものマーチャントで商品及びサービスを購入できる。デビットカード、クレジットカード又は携帯電話の支払い方法による支払いを含む閉ループ支払いネットワークの別の良い例は、スターバックス(登録商標)閉ループ支払い及びロイヤルティシステムである。この場合、クライアントは、スターバックス(登録商標)コーヒーショップに歩いて行き、銀行口座、クレジットカード又はデビットカードにリンクされているスターバックス(登録商標)ポイントカード又は携帯電話で支払うことができる。スターバックス(登録商標)ポイントカード又は携帯電話で支払うと、スターバックス(登録商標)システムは、バイヤーのリンクされた銀行口座から自動的に資金を引き出し、カード若しくはモバイルアカウントをリロードする又は口座が使い果たされるまで待機してから補充する。ペイティーエム、Mobikwik、Google(登録商標) Pay等の同様のウォレットアプリケーションは、これらのウォレットアプリケーションからの支払いを受け入れるためにマーチャントと提携した閉ウォレットループ支払いとして機能する。
閉ループ支払いネットワークは、通常、単一の小売業者が所有する処理システムである。例えば、信頼できる小売業者のチャージカードを使用することによって、消費者は、信頼できる小売業者の店舗でのみ商品及びサービスを購入することができる。それを、レストラン、バー又は競合小売業者で使用することができない。一方、Visa(登録商標)カードを使用することによって、消費者は、カードに十分な資金又は利用可能なクレジットがある限り何百万ものマーチャントで商品及びサービスを購入できる。デビットカード、クレジットカード又は携帯電話の支払い方法による支払いを含む閉ループ支払いネットワークの別の良い例は、スターバックス(登録商標)閉ループ支払い及びロイヤルティシステムである。この場合、クライアントは、スターバックス(登録商標)コーヒーショップに歩いて行き、銀行口座、クレジットカード又はデビットカードにリンクされているスターバックス(登録商標)ポイントカード又は携帯電話で支払うことができる。スターバックス(登録商標)ポイントカード又は携帯電話で支払うと、スターバックス(登録商標)システムは、バイヤーのリンクされた銀行口座から自動的に資金を引き出し、カード若しくはモバイルアカウントをリロードする又は口座が使い果たされるまで待機してから補充する。ペイティーエム、Mobikwik、Google(登録商標) Pay等の同様のウォレットアプリケーションは、これらのウォレットアプリケーションからの支払いを受け入れるためにマーチャントと提携した閉ウォレットループ支払いとして機能する。
【0013】
閉ループ支払いネットワークは、通常、構築、管理及び変更が著しく簡単である。この理由は、主に、閉ループネットワークが単一のエンティティによって所有されるとともにクレジットの支払い、決済及びロイヤルティルールを変更するための完全な制御を行うエンティティの情報技術(IT)部門によって開発及びカスタマイズされているためである。マーチャント及びそのIT部門は、個人的に発行されたクレジットカード又はモバイル決済デバイスに関連する全ての規則を仕切っている。
【0014】
開ループ支払いネットワークと閉ループ支払いネットワークとの根本的な違いは、一方が独占的かつ自主的であるのに対してもう一方が普遍的で公に認められていることである。閉ループ支払いネットワークは、単一の加盟店ブランドでデビット、クレジット又はモバイル決済を受け入れるので、閉ループ支払いネットワークは、数百の国、文化、言語の数百万の加盟店ブランドが受け入れられる場合に比べて制限される。一方、開ループネットワークカードの支払い又は決済ルールを変更又は修正することができない。その理由は、そのようなルールを数千の銀行、数百万の加盟店及び数億の支払者に対して修正する必要があるためである。
【0015】
しかしながら、閉ループウォレットモバイル決済ネットワークモデルを使用する本発明のユニークな価値提案を実証するために、閉ループウォレット決済ネットワークがどのように機能するかについて考察する。サンプルの購入取引は、お金が支払人からマーチャントにどのように流れるかを理解するのに役立つ。例えば、買い物客がスパに行き、現金の代わりに携帯電話のウォレットアプリケーションで支払うと仮定する。
【0016】
上記のステップは、顧客が自分のカード又はモバイルデバイスを使用して購入するときに行われる主要な概念を捉えていると考えられる。上記の説明は、物理的な「実店舗」のマーチャントの場所で行われる閉ループ支払いネットワークに関するものであり、ウェブベースのオンライン取引中に閉ループ支払いネットワークで取引する際に必要なステップを説明するときにこれらのステップを繰り返すことができることに留意されたい。実際、オンライン又は物理的な実店舗の両方の取引は、本発明に関連して利用されるときに同一のステップを経る。上記は、ピアツーピア環境で機能することができる。
【0017】
近距離無線通信(NFC)
非接触型決済技術は、無線(OTA)で又は物理的な接続なしで商品及びサービスの支払いを認証及び有効化するために二つのスマートデバイス間の近接通信を組み込む。近距離無線通信(NFC)は、非接触型決済テクノロジーを有効にすることができるとともにテレコムサービスプロバイダ(TSP)又はモバイル決済ネットワークオペレーター(MPNO)によってサポートされる近接通信オプションの例である。RFIDは、NFC非接触型決済技術を実現するために適応できる近接通信方式の別の例である。NFC通信の範囲は、一般的には、約3~4インチの範囲である。そのような短い通信距離は、近接するフィールド近接対応デバイス間の安全な通信を制限するとともに可能にする。近接対応の非接触型決済を、NFCコントローラ又は再利用可能識別モジュール(R-UIM)タイプのカード内にセキュアエレメントが組み込まれたCDMA、GSM(登録商標)、LTE及び5Gデバイスに実装することもできる。
非接触型決済技術は、無線(OTA)で又は物理的な接続なしで商品及びサービスの支払いを認証及び有効化するために二つのスマートデバイス間の近接通信を組み込む。近距離無線通信(NFC)は、非接触型決済テクノロジーを有効にすることができるとともにテレコムサービスプロバイダ(TSP)又はモバイル決済ネットワークオペレーター(MPNO)によってサポートされる近接通信オプションの例である。RFIDは、NFC非接触型決済技術を実現するために適応できる近接通信方式の別の例である。NFC通信の範囲は、一般的には、約3~4インチの範囲である。そのような短い通信距離は、近接するフィールド近接対応デバイス間の安全な通信を制限するとともに可能にする。近接対応の非接触型決済を、NFCコントローラ又は再利用可能識別モジュール(R-UIM)タイプのカード内にセキュアエレメントが組み込まれたCDMA、GSM(登録商標)、LTE及び5Gデバイスに実装することもできる。
【0018】
スマートデバイスでは、アンテナを有する近接対応(例えば、NFC)コントローラは、スマートチップに配置された安全な非接触ソフトウェアアプリケーションと共にデバイスに組み込まれる。スマートチップを、上記の図1に示すように、標準のサブスクライブIDモジュール(SIM)カード、個別のモバイルセキュアデジタルカード(例えば、EEPROMのような不揮発性メモリを有するセキュアデジタル(SD)カード)又は支払いモジュール用の組み込みチップを含むいくつかの例示的なスマートデバイスコンポーネントのうちの一つにさらに組み込むことができる。NFC対応の非接触型決済スマートデバイスは、デバイスの所有者が利用できるいくつかのサービス間で、金融取引、発券、安全な認証及びクーポンを可能にする。
【0019】
NFC非接触型決済デバイスは、POS(ポイントオブセールス)で又はマーチャントのウェブサイトを介して購入できるようにするためにクレジットカード、デビットカード、ウォレット閉ループアプリ、開ループアプリ等として機能することができ、後者の場合、トラステッドサービスマネージャー(TSM)と称する認証サーバからの銀行情報を保護するために、スマートデバイスを使用することができる。銀行情報は、マーチャントウェブサイトでの支払いのフォームエントリで使用される。TSMは、信頼できるNFC対応の非接触型決済デバイスとの間で送受信される全ての情報をホスト及び制御する。
【0020】
スマートデバイスソフトウェアアプリケーションを、アプリケーション識別子(AID)によって識別することができ、通常、スマートデバイスのセキュアエレメント内に格納されている。AIDは、ISO7816仕様によって標準化され、5~16バイトが含まれる場合がある。AIDの最初の5バイトは、登録識別子(RID)と称され、それは、通常、カード会社、例えば、MasterCard(登録商標)、Discover(登録商標)又はVisa(登録商標)を識別する。後続のバイトは、アプリケーションの種類、バージョン、製造元及び他の情報のような情報を識別するために使用することができるPIXすなわち利用アプリケーション拡張識別子を有してもよい。
【0021】
セキュアエレメント
セキュアエレメントは、リムーバブルスマートチップ、SDカード内に存在することができる、又は、セキュアエレメントを、スマートデバイスの固定チップ内に埋め込むことができる。セキュアエレメントにより、ウォレットソフトウェアアプリケーションは、スマートデバイスに常駐するとともにセキュアエレメント内の特定の機能と安全にやり取りを行うためにスマートデバイスユーザによるアクセスが可能になり、同時に、セキュアエレメント内に格納されている情報の大部分を保護する。さらに、安全な通信チャネルは、セキュアエレメントと外部デバイス及びソフトウェアとの間の通信のために暗号化方式を使用する。スマートカードのセキュアエレメントは、暗号化アルゴリズムを計算するための暗号化プロセッサと、スマートカード内のリードオンリーメモリ(ROM)、レディアクセスメモリ(RAM)及びEEPROMフラッシュメモリを管理するためのメモリコントローラユニットと、を有する。
セキュアエレメントは、リムーバブルスマートチップ、SDカード内に存在することができる、又は、セキュアエレメントを、スマートデバイスの固定チップ内に埋め込むことができる。セキュアエレメントにより、ウォレットソフトウェアアプリケーションは、スマートデバイスに常駐するとともにセキュアエレメント内の特定の機能と安全にやり取りを行うためにスマートデバイスユーザによるアクセスが可能になり、同時に、セキュアエレメント内に格納されている情報の大部分を保護する。さらに、安全な通信チャネルは、セキュアエレメントと外部デバイス及びソフトウェアとの間の通信のために暗号化方式を使用する。スマートカードのセキュアエレメントは、暗号化アルゴリズムを計算するための暗号化プロセッサと、スマートカード内のリードオンリーメモリ(ROM)、レディアクセスメモリ(RAM)及びEEPROMフラッシュメモリを管理するためのメモリコントローラユニットと、を有する。
【発明の概要】
【発明が解決しようとする課題】
【0022】
既存の技術は、プロセスフローが標準のEMVCoオンライン取引及び開ループサービスプロバイダに流れるEMVCoに対する認証応答に基づく接触、非接触及び磁気ストライプに適用可能な閉輸送環境における開ループカードの使用に関連する解決を開示している。別の解決は、顧客がPOS端末に到達するとともにWi-Fi(登録商標)/ブルートゥース(登録商標)に関する情報を含むタグをタップする場所を説明する。POSと顧客のモバイル間の安全な通信は、ブルートゥース(登録商標)又はWi-Fi(登録商標)を介して確立され、取引情報は、ブルートゥース(登録商標)/はWi-Fi(登録商標)を介して送信され、ユーザは、自分のカードを選択するとともにPINを入力する場合、このデータは、取引が完了するとともに受信が消費者デバイスに送信される場所からPOS端末に返送される。
【0023】
更に別の既存の解決は、顧客の銀行のアプリケーション及び銀行のアプリケーションからの一つ以上のマーチャントからの顧客購入を自動的に補充できるギフトカードのような複数の安全なアプリケーションについて説明している。銀行内で顧客から別の口座への送金が行われ、中間の口座から保証された口座への決済はリアルタイムで行われない。更に別の既存の解決は、POSデバイスを介したオンライン支払いを容易にし、この場合、支払い承認が消費者のデバイスからマーチャントサーバに送信され、承認は、端末から消費者デバイスのウォレットアプリケーションに送信され、その後、発行者は、支払いの準備を行い、デバイスのウォレットから支払いを行うためにNFCを介してデバイス上のウォレットからカードを選択する。しかしながら、上記の全ての開示は、暗号化及びMACに基づく安全な取引を有する複数の閉ループウォレットアプリケーションのモバイル決済におけるNFCの使用についての解決を提供しない。
【0024】
したがって、暗号化及びMACに基づく安全な取引を有し、セキュアエレメント内の同一の閉ループアプリケーションでの複数の閉ループサービスプロバイダを可能にし、かつ、顧客が選択した機器に応じて閉ループカーネルの自動選択を行う閉ループウォレットアプリケーションのモバイル決済におけるNFCの使用のためのシステム及び方法が必要である。
【課題を解決するための手段】
【0025】
このセクションは、以下の詳細な説明で更に説明する簡略化された形で本発明の特定の目的及び態様を紹介するために提供される。この要約は、特許請求の範囲の主題の主要な特徴又は範囲を特定することを意図したものではない。
【0026】
上記のセクションで提供されるような既知の解決に関連する少なくともいくつかの問題を解決するために、本発明の目的は、閉ループ取引を実行するための方法及びシステムを提供することである。本開示の別の目的は、暗号化及びMACに基づく閉ループの安全性が保証された取引を実行するための近距離無線通信(NFC)の使用のシステム及び方法を提供することである。本開示の更に別の目的は、閉ループの安全性が保証された取引を実行するために、ユーザデバイスのセキュアエレメント内にある複数の閉ループサービスプロバイダを可能にするシステム及び方法を提供することである。本開示の更に別の目的は、顧客によって選択された機器に応じてユーザデバイスで閉ループカーネルを自動選択するためのシステム及び方法を提供することである。本開示の更に別の目的は、ハードウェアセキュリティモジュール(HSM)内でのみ復号化することができる対称鍵暗号化を使用して閉ループ取引を安全に行うためのシステム及び方法を提供することである。本開示の更に別の目的は、ピアツーピア(P2P)又はピアツーマーチャント(P2M)取引を行うためにユーザが複数(任意/全て)の閉ループ機器を登録するとともに使用することができる迅速かつ手間のかからないP2P又はP2M閉ループ取引をユーザによって可能にするシステム及び方法を提供することである。
【0027】
上記の目的を達成するために、本発明は、閉ループ取引を実行するための方法及びシステムを提供する。方法は、第1のユーザデバイスのセキュアエレメントで少なくとも一つのサービスの支払い選択を受信し、支払い選択は、支払い情報、サービストークン、機器選択及び少なくとも一つのサービスに対するサービスの識別子のうちの少なくとも一つを更に含むことを備える。次に、方法は、ワイヤレスインターフェースを介して、第1のデータを第2のユーザデバイスに送信し、第1のデータは、少なくとも暗号化された支払い選択を含むことを備える。続いて、方法は、第2のデータを生成するために、第2のユーザデバイスによって、第2のユーザデバイスの識別子、メッセージ認証コード及び支払い情報のうちの少なくとも一つに基づいて第1のデータを暗号化することを備える。さらに、方法は、第2のユーザデバイスによって、第2のデータを支払いサーバに送信することを備える。続いて、方法は、ハードウェアセキュリティモジュールによって、メッセージ認証コードに基づいて第2のデータを復号化することを備える。次に、方法は、ハードウェアセキュリティモジュールによって、復号化された第2のデータを少なくとも一つの閉ループサービスプロバイダに送信することを備える。最後に、方法は、少なくとも一つの閉ループサービスプロバイダによって、復号化された第2のデータに基づいて閉ループ取引を実行することを備える。
【0028】
本発明の別の態様は、閉ループ取引を実行するためのシステムに関する。システムは、第1のユーザデバイスであって、第1のユーザデバイスのセキュアエレメントで少なくとも一つのサービスの支払い選択を受信し、支払い選択は、支払い情報、サービストークン、機器選択及び少なくとも一つのサービスに対するサービスの識別子のうちの少なくとも一つを更に含むように構成された、第1のユーザデバイスを備える。第1のユーザデバイスは、ワイヤレスインターフェースを介して、第1のデータを第2のユーザデバイスに送信し、第1のデータは、少なくとも暗号化された支払い選択を含むように更に構成される。第2のユーザデバイスは、第2のデータを生成するために、第2のユーザデバイスの識別子、メッセージ認証コード及び支払い情報のうちの少なくとも一つに基づいて第1のデータを暗号化するように構成される。第2のユーザデバイスは、第2のデータを支払いサーバに送信するように更に構成される。ハードウェアセキュリティモジュールは、支払いサーバから第2のデータを受信するように構成される。ハードウェアセキュリティモジュールは、メッセージ認証コードに基づいて第2のデータを復号化し、復号化された第2のデータを少なくとも一つの閉ループサービスプロバイダに送信するように更に構成される。少なくとも一つの閉ループサービスプロバイダは、復号化された第2のデータに基づいて閉ループ取引を実行するように構成される。
【0029】
ここに組み込まれるとともに本発明の一部を構成する添付図面は、同様の参照番号が異なる図面全体に亘って同じ部分を指す開示された方法及びシステムの例示的な実施形態を示す。図面中の構成要素は必ずしも一定の縮尺である必要はなく、代わりに、本発明の原理を明確に示すことに重点が置かれている。一部の図面は、ブロック図を使用して構成要素を示している場合があり、各構成要素の内部回路を表していない場合がある。そのような図面の発明がそのような構成要素を実施するために一般的に使用される電気部品、電子部品又は回路の発明を含むことが当業者によって理解される。
【図面の簡単な説明】
【0030】
【図1】既存の支払いアーキテクチャの例示的な図を示す。
【図2】本発明の例示的な実施形態による閉ループ取引を実行するためのシステムの例示的な高レベルのブロック図を示す。
【図3】本発明の例示的な実施形態による閉ループ取引を実行するための方法を示す例示的な方法フロー図を示す。
【図4】本発明の例示的な実施形態による機器の登録プロセスを示す例示的な方法フロー図を示す。
【図5】本発明の例示的な実施形態によるユーザ機器のプロビジョニングプロセスを示す例示的な信号交換図を示す。
【図6】本発明の例示的な実施形態によるマーチャント機器の登録プロセスを示す例示的な信号交換を示す。
【図7】本発明の例示的な実施形態によるマーチャント機器のプロビジョニングプロセスを示す例示的な信号交換を示す。
【図8】本発明の例示的な実施形態によるユーザデバイスとマーチャントデバイスとの間の取引の流れを示す例示的な信号交換を示す。
【図9】本発明の例示的な実施形態による二つのユーザデバイスであるユーザとマーチャントとの間の取引フローを示す例示的な信号交換を示す。
【図10】本発明の例示的な実施形態による取引親鍵導出を示す例示的なフロー図を示す。
【発明を実施するための形態】
【0031】
上記は、本発明の以下の更に詳細な説明からより明らかになる。
【0032】
以下の説明では、説明の目的で、本開示の実施形態の完全な理解を提供するために様々な特定の詳細を示す。しかしながら、本開示の実施形態をこれらの特定の詳細なしで実施できることは明らかである。以下で説明するいくつかの機能を、それぞれ互いに独立して又は他の機能の任意の組合せで使用することができる。個々の機能が上記の問題の全てに対処しなくてもよい又は上記の問題の一部のみに対処してもよい。上記の問題のいくつかは、ここで説明する機能のいずれによっても完全に対処されなくてもよい。
【0033】
以下の説明は、例示的な実施形態のみを提供するものであり、本開示の範囲、適用可能性又は構成を限定することを意図するものではない。むしろ、例示的な実施形態の後の説明は、例示的な実施形態を実施するための有効な説明を当業者に提供する。記載された本発明の精神及び範囲から逸脱することなく要素の機能及び配置に様々な変更を加えることができることを理解されたい。
【0034】
実施形態の完全な理解を提供するために、特定の詳細を以下の説明に与える。しかしながら、これらの特定の詳細なしで実施形態を実施できることが当業者によって理解される。例えば、回路、システム、ネットワーク、プロセス及び他の構成要素を、実施形態を不必要に詳細に曖昧にしないためにブロック図の形で構成要素トとして示してもよい。他の例では、実施形態を曖昧にすることを回避するために、周知の回路、プロセス、アルゴリズム、構造及び技術を不必要な詳細なしで示すことができる。
【0035】
また、個々の実施形態をフローチャート、フロー図、データフロー図、構造図又はブロック図として示すプロセスとして説明できることに留意されたい。フローチャートが動作を順次プロセスとして説明する場合があるが、動作の多くを並行して又は同時に実行することができる。さらに、動作の順序を再配置してもよい。プロセスは、動作が完了すると終了するが、図に含まれていない追加のステップが含まれる場合がある。プロセスは、メソッド、関数、プロシージャ、サブルーチン、サブプログラム等に対応する場合がある。プロセスが関数に対応するとき、その終了は、呼び出す関数又はメイン関数への関数の戻りに対応することができる。
【0036】
「例示的」及び/又は「実証的」という用語を、ここでは、例、実例又は例示として機能することを意味するために使用する。誤解を避けるために、ここに開示される主題は、そのような例によって限定されない。さらに、ここで「例示的」及び/又は「実証的」として説明される任意の態様又は設計は、必ずしも他の態様又は設計よりも好ましい又は有利であると解釈されるべきではなく、当業者に知られている同等の例示的な構造及び技術を排除することを意味しない。さらに、「含む」、「有する」、「包含する」という用語及び他の同様の単語が詳細な説明又は特許請求の範囲のいずれかで使用される限り、そのような用語は、追加の要素又は他の要素を排除することなく、空白で区切られた転換語(open transition word)としての「備える」という用語と同様の手法で包括的であることを意図する。
【0037】
本明細書全体を通して「一実施形態」又は「実施形態」又は「例」又は「一例」への言及は、実施形態に関連して説明される特定の特徴、構造又は特性が本発明の少なくとも一つの実施形態に含まれることを意味する。したがって、本明細書全体の様々な場所での「一実施形態において」又は「実施形態において」という句の出現は、必ずしも全てが同一の実施形態を指すとは限らない。さらに、特定の特徴、構造又は特性を、一つ以上の実施形態において任意の適切な方法で組み合わせることができる。
【0038】
ここで使用される用語は、特定の実施形態を説明することのみを目的としており、本発明を限定することを意図するものではない。本明細書で使用される場合、単数形「a」、「an」及び「the」は、文脈が明らかに他のことを示さない限り複数形も含むことを意図している。さらに、「備え」及び/又は「備える」という用語は、本明細書で使用されるときには、記載された特徴、整数、ステップ、動作、要素及び/又は構成要素の存在を指定するが、一つ以上の他の特徴、整数、ステップ、動作、要素、構成要素及び/又はそのグループの存在又は追加を排除するものではないことが理解される。ここで使用される場合、「及び/又は」という用語は、関連するリストされたアイテムの一つ以上のありとあらゆる組み合わせを含む。
【0039】
ここで使用される場合、「推論する」又は「推論」という用語は、一般的には、イベント及び/又はデータを介してキャプチャされた一連の観測からシステム、環境、ユーザ及び/又は意図の状態について論じる又は推論するプロセスを指す。キャプチャされたデータ及びイベントは、ユーザデータ、デバイスデータ、環境データ、センサーからのデータ、センサーデータ、アプリケーションデータ、暗黙的なデータ、明示的なデータ等を含む。特定のコンテキスト又はアクションを識別するために推論を使用することができる、又は、推論は、例えば、データ及びイベントの考察に基づいて関心状態全体の確率分布を生成することができる。推論は、一連のイベント及び/又はデータから高レベルのイベントを構成するために使用される手法を指すこともある。そのような推論は、観察されたイベント及び/又は保存されたイベントデータのセットからの新しいイベント又はアクションの構築、イベントが時間的に近接して相関しているか否か並びにイベント及びデータが一つ以上のイベント及びデータソースからのものであるか否かをもたらす。様々な分類スキーム及び/又はシステム(例えば、サポートベクターマシン、ニューラルネットワーク、エキスパートシステム、ベイジアン信念ネットワーク、ファジー論理及びデータ融合エンジン)を、開示された主題に関連して自動的な及び/又は推論されたアクションを実行することに関連して使用することができる。
【0040】
ここで使用される場合、「プロセッサ」又は「処理ユニット」は、一つ以上のプロセッサを含み、プロセッサは、命令を処理するための任意の論理回路を指す。プロセッサは、汎用プロセッサ、専用プロセッサ、従来のプロセッサ、デジタル信号プロセッサ、複数のマイクロプロセッサ、DSPコアに関連する一つ以上のマイクロプロセッサ、コントローラ、マイクロコントローラ、低性能マイクロコントローラ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ回路、他のタイプの集積回路等であってもよい。プロセッサは、信号符号化データ処理、入出力処理及び/又は本開示によるシステムの動作を可能にする他の任意の機能を実行することができる。更に具体的には、プロセッサ又は処理ユニットは、ハードウェアプロセッサである。
【0041】
ここで使用される場合、「通信ユニット」又は「トランシーバユニット」は、一つ以上の宛先に少なくとも一つのデータ及び/又は信号を送信するように構成された「送信ユニット」と一つ以上の送信元から少なくとも一つのデータ及び/又は信号を受信するように構成された「受信ユニット」のうちの少なくとも一方を有してもよい。「通信ユニット」又は「トランシーバユニット」は、「通信ユニット」又は「トランシーバユニット」で受信又は送信を行った少なくとも一つのデータ及び/又は信号を処理するように構成されてもよい。また、「通信ユニット」又は「トランシーバユニット」は、本発明の特徴を実施するために必要とされる当業者に明らかな他の任意の同様のユニットを更に有してもよい。
【0042】
ここで使用される場合、「メモリユニット」、「ストレージユニット」及び/又は「メモリ」は、コンピュータ又は同様のマシンによって読取り可能な形式で情報を格納するための任意のメカニズムを含むマシン又はコンピュータ読取り可能な媒体を指す。例えば、コンピュータ可読媒体は、リードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光記憶媒体、フラッシュ記憶装置又は他のタイプの機械アクセス可能記憶媒体を含む。
【0043】
ここで使用される場合、「コントローラ」又は「制御ユニット」は、少なくとも一つのコントローラを含み、コントローラは、命令を処理するための任意の論理回路を指す。コントローラは、汎用コントローラ、専用コントローラ、従来型コントローラ、デジタル信号コントローラ、複数のマイクロコントローラ、DSPコアに関連する少なくとも一つのマイクロコントローラ、マイクロコントローラ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ回路、他のタイプの集積回路等であってもよい。コントローラは、信号符号化、データ処理、入出力処理及び/又は本開示によるシステムの動作を可能にする他の任意の機能を実行することができる。更に具体的には、コントローラ又は制御ユニットは、メモリ及びプロセッサを備えるハードウェアプロセッサである。メモリは、モジュールを格納するように構成され、プロセッサは、後に更に説明する一つ以上のプロセスを前記モジュールに実行させるように特別に構成される。
【0044】
以下、当業者が本開示を容易に実施できるように、本開示の例示的な実施形態を、添付図面を参照して詳しく説明する。
【0045】
本発明は、暗号化及びMACに基づいて安全な取引を伴う閉ループウォレットアプリケーションにおけるモバイル決済のためのNFCを使用するシステム及び方法を提供することができる新規の方法及びシステムを提供することができる新規の方法及びシステムを提供することによって、現在のシステムの上記の問題に対する解決を提供し、セキュアエレメント内の同一の閉ループアプリケーションで複数の閉ループサービスプロバイダを有効にするとともに顧客が選択した機器に応じて閉ループカーネルの自動選択を提供する。
【0046】
本発明の例示的な実施形態による閉ループ取引を実行するためのシステムの例示的な高レベルのブロック図を示す図2を参照する。図2に示すように、システム[200]は、第1のユーザデバイス[202A]と、第2のユーザデバイス[202B]と、(以下でウォレットサーバとも称する)支払いサーバ[204]と、ハードウェアセキュリティモジュール[206]と、少なくとも一つの閉ループサービスプロバイダ[208a、208b、208c,...208n、以下、まとめて208と称する]と、トラステッドサービスマネージャー-セキュアエレメント発行者(SEI-TSM)[212]と、端末管理システムサーバ[210]と、ポイントオブセールスサーバ[214]と、を備え、全ての構成要素は、相互に接続されるとともに本発明の目的を達成するために連携して機能する。
【0047】
第1のユーザデバイス[202A]は、ウォレットアプリケーション[216A]を備え、ウォレットアプリケーション[216A]は、セキュアエレメント[202A1]を更に備え、セキュアエレメント[202A1]は、カーネル[202A2]と、閉ループウォレットアプリケーション[218A]と、トランシーバ及びワイヤレスンターフェース(図示せず)と、を更に備える。第1のユーザデバイス[202A]は、第1のユーザデバイス[202A]にあるウォレットアプリケーションのセキュアエレメント[202A1]で少なくとも一つのサービスの支払い選択を受信するように構成され、支払い選択は、支払い情報、サービストークン、機器選択及び少なくとも一つのサービスに対するサービスの識別子のうちの少なくとも一つを更に含む。例えば、第1のユーザデバイス[202A]は、NFCを使用して支払いを行うことを希望するユーザ(又は顧客)によって使用される。したがって、第1のユーザデバイス[202A]は、支払いを転送及び/又は受信するように構成される。
【0048】
ここで使用される場合、「ウォレットアプリケーション」は、支払いのために閉ループ機器をデジタル化するためにユーザデバイスで実行される一連の命令である。セキュアエレメント[202A1]は、十分に識別された信頼できる機関によって設定された規則及びとセキュリティ要件に従ってアプリケーション及びその機密データ並びに暗号化データ(例えば、暗号鍵等)を安全にホストできる改ざん防止プラットフォーム(通常、1チップのセキュアマイクロコントローラ)である。セキュアエレメント[202A1]の様々なフォームファクタ、大まかには、組込及び統合SE、SIM/UICC、スマートマイクロSD及びスマートカードが存在する。ここで言及される閉ループカーネル[202A2]は、第1のユーザデバイス[202A]のセキュアエレメント[202A1]に存在する(第2のユーザデバイス[202B]にも存在する)命令のセットとして理解することができる。NFCタップが発生すると、両側の閉ループカーネルが相互にデータを保護しながら転送する。閉ループカーネルは、取引を送受信することができる。閉ループカーネルは、取引中に動的な鍵を使用してデータを暗号化及びMACする。
【0049】
第1のユーザデバイス[202A]は、ワイヤレスインターフェースを介してトランシーバによって第1のデータを第2のユーザデバイス[202B]に送信するように更に構成され、第1のデータは、少なくとも暗号化された支払い選択を含む。これに関連して、本発明は、第1のユーザデバイス[202Aが第1のユーザデバイス[202A]のセキュアエレメント[202A1]で受信した支払い選択のためのセッション鍵を生成するとともに生成されたセッションキーに基づいて支払い選択を暗号化するように生成されたセッション鍵及びメッセージ認証コードに基づいて支払い選択を暗号化するように構成されることを包含する。
【0050】
本発明は、ワイヤレスインターフェースが電波、光波、音波等を含むがそれに限定されない非接触インターフェースであることを包含する。一例では、ワイヤレスインターフェースは、近距離通信(NFC)インターフェースの少なくとも一つである。別の例では、本発明は、第1のユーザデバイス[202A]がセキュアエレメント[202A1]で受信した支払い選択に基づいてワイヤレスインターフェースをアクティブ化するように更に構成されることを包含する。更に別の例では、本発明は、第1のデータがタップ及び第1のユーザデバイス[202A]と第2のユーザデバイス[202B]との間のしきい値距離の一方に基づいて、ワイヤレスインターフェースを介して第1のユーザデバイス[202A]から第2のユーザデバイス[202B]に送信されることを包含する。
【0051】
本発明は、少なくとも一つの閉ループサービスプロバイダ[208]が第1のユーザデバイス[202A]のセキュアエレメント[202A1]及び第2のユーザデバイス[202B]にオンボードされていることを更に包含する。動作中、少なくとも一つの閉ループサービスプロバイダ[208]は、第1のユーザデバイス[202A]のセキュアエレメントで受信した機器選択に基づいて決定される。
【0052】
第2のユーザデバイス[202B]は、第1のユーザデバイス[202A]から第1のデータを受信するように構成される。第2のユーザデバイス[202B]は、第2のデータを生成するために、第2のユーザデバイス識別子、メッセージ認証コード及び支払い情報のうちの少なくとも一つに基づいて第1のデータを暗号化するように更に構成される。これに関連して、本発明は、第2のユーザデバイス[202B]が第2のユーザデバイス[202B]のセキュアエレメント[202A1]で受信した第1のデータの対称セッション鍵を生成するとともに第2のデータを生成するために少なくとも生成された対称セッション鍵に基づいて第1のデータを暗号化するに更に構成されることを包含する。第2のユーザデバイス[202B]は、第2のデータを支払いサーバ[204]に送信するように更に構成される。
【0053】
本発明は、一例において、第2のユーザデバイス[202B]がマーチャントユーザデバイスであることを包含する。これに関連して、第2のユーザデバイス[202B]は、第2のデータをマーチャント決済サーバ[204]に送信するように構成される。動作中、マーチャントユーザデバイス[202B]は、NFCタップを及び支払い受け入れるためのPOS端末として機能する。マーチャントユーザデバイス[202B]は、マーチャントが使用するマーチャントアプリケーションをホストする。マーチャントユーザデバイス[202B]は、物理的な端末デバイス又はスマートデバイス又は携帯電話ベースのPOSであってもよい。マーチャントユーザデバイス[202B]は、マーチャントによって自動又は手動で選択された開ループ又は閉ループカーネルのいずれかを選択することができる。
【0054】
支払いサーバ[204]は、閉ループ機器のウォレットアプリケーションへの登録を担当する。ウォレットサーバ[204]は、第2のユーザデバイス[202B1]から第2のデータを受信し、第2のデータをハードウェアセキュリティモジュール[206]に送信するように構成される。ウォレットサーバ[204]は、様々な閉ループシステムを統合するとともに閉ループシステムで提供される様々なサービスを管理するように更に構成され、例えば、サービスは、カード、銀行口座、輸送サービス、ポイントカード、アクセスサービス等の追加を含むがそれに限定されない。ウォレットサーバ[204]は、決済のための取引を閉ループサービスプロバイダ[208]に送信するように構成される。ウォレットサーバ[204]は、取引暗号の復号化及び検証を管理し、閉ループシステムを修正するために取引をルーティングするように更に構成される。
【0055】
ハードウェアセキュリティモジュール[206]は、支払いサーバ[204]から第2のデータを受信するように構成される。ハードウェアセキュリティモジュール[206]は、メッセージ認証コードに基づいて第2のデータを復号化し、復号された第2のデータを少なくとも一つの閉ループサービスプロバイダ[208]に送信するように更に構成される。本発明は、ハードウェアセキュリティモジュール[206]がデジタル鍵を使用する任意のアプリケーションで使用できることを包含する。ハードウェアセキュリティモジュール[206]は、親鍵とも称する少なくともトップレベルで最も機密性の高い鍵に対して、安全な暗号鍵の生成及び安全な暗号鍵のストレージをオンボードするように構成される。ハードウェアセキュリティモジュール[206]は、鍵管理も担当する。ハードウェアセキュリティモジュール[206]は、例えば、暗号化又はデジタル署名機能を実行する暗号化及び機密データ資料を使用するように更に構成される。ハードウェアセキュリティモジュール[206]は、完全な非対称及び対称暗号化のためにアプリケーションサーバをオフロードするように更に構成される。ハードウェアセキュリティモジュール[206]は、論理的な又は物理的な攻撃等から完全なソフトウェアスタックを保護するように更に構成される。
【0056】
少なくとも一つの閉ループサービスプロバイダ[208]は、復号化された第2のデータをハードウェアセキュリティモジュール[206]から受信するように構成される。少なくとも一つの閉ループサービスプロバイダ[208]は、復号化された第2のデータに基づいて閉ループ取引を実行するように更に構成される。ここで使用されているように、閉ループサービスプロバイダは、ユーザ(又は顧客)に閉ループサービスを提供するエンティティである。ユーザ(又は顧客)は、同一のエンティティ内の他のユーザ(又は顧客)又はマーチャントに支払いを行うことができる。各閉ループサービスプロバイダ[208]エンティティには、オンボード中に支払いサーバ[204]から一意の識別子が供給される。
【0057】
第2のユーザデバイス[202B]がマーチャントユーザデバイスである場合、本発明は、マーチャント支払いサーバ[204]がトランスポート層セキュリティ(TLS)プロトコルを使用して第2のデータを販売時点情報管理(POS)サーバ[214]に送信するように更に構成されるとともにPOS端末が更に第2のデータをハードウェアセキュリティモジュール[206]に送信することを包含する。ここで使用されているように、販売時点情報管理(POS)サーバ[214]は、マーチャント登録の処理及び販売時点情報管理(POS)サーバ[214]から取得者システムへの取引の転送を担当するウェブベースサーバである。取得した全てのマーチャントは、販売時点情報管理(POS)サーバ[214]に登録される。取引が実行されるとき、マーチャントユーザデバイス[202B]から生成された暗号は、販売時点情報管理(POS)サーバ[214]によって受信され、検証され、かつ、処理のために閉ループネットワークに転送される。
【0058】
端末管理システム(TMS)サーバ[210]は、mPOSデバイス(マーチャントデバイス[202B])のmPOSアプレットのライフサイクルの管理を担当する。mPOSサーバ[214]は、mPOSデバイスにmPOSアプレットをインストールすること、パーソナライズ化すること又はmPOSデバイスのmPOSアプレットをアンインストールすることをTMS[210]サーバに要求する。トラステッドサービスマネージャー-セキュアエレメント発行者(SEI-TSM)[212]は、モバイルネットワークオペレータ、電話製造業者又は携帯電話のようなスマートデバイスのセキュアエレメントを制御する他のエンティティとの商取引の合意及び技術的接続を確立する中立的なブローカーとして機能する。SEI-TSM[212]を使用することによって、サービスプロバイダは、NFC対応の受話器のセキュアエレメントにアクセスできるようにすることにより非接触型アプリケーションをリモートで配布及び管理することができる。例えば、SEI-TSM[212]は、「モバイルNFCサービスの管理のためのグローバルプラットフォームメッセージング仕様」に認定されている。
【0059】
本発明の例示的な実施形態による閉ループ取引を実行するための方法を示す例示的な方法フロー図を示す図3を参照する。方法は、ステップ[302]で開始する。方法は、ステップ[304]において、第1のユーザデバイス[202A]のセキュアエレメント[202A1]で少なくとも一つのサービスの支払い選択を継続的に受信し、支払い選択は、支払い情報、サービストークン、機器選択及び少なくとも一つのサービスに対するサービス識別子ののうちの少なくとも一つを更に含むことを備える。
【0060】
次に、ステップ[306]において、方法は、ワイヤレスインターフェースを介して、第1のデータを第2のユーザデバイス[202B]に送信し、第1のデータは、少なくとも暗号化された支払い選択を含むことを備える。これに関連して、本発明は、第1のユーザデバイス[202A]が第1のユーザデバイス[202A]のセキュアエレメント[202A1]で受信した支払い選択のためのセッション鍵を生成するとともに生成されたセッション鍵及びメッセージ認証コードに基づいて支払い選択を暗号化することを包含する。
【0061】
本発明は、ワイヤレスインターフェースを介して第1のデータを第2のユーザデバイス[202B]に送信することがセキュアエレメント[202A1]で受信した支払い選択に基づいてワイヤレスインターフェースをアクティブ化することを更に包含する。別の例において、本発明は、タップ及び第1のユーザデバイス[202A]と第2のユーザデバイス[202B]との間のしきい値距離の一方に基づいてワイヤレスインターフェースを介して第1のデータを第1のユーザデバイス[202A]から第2のユーザデバイス[202B]に送信することを包含する。
【0062】
ステップ[308]において、方法は、第2のユーザデバイス[202B]によって、第2のデータを生成するために第2のユーザデバイス[202B]の識別子、メッセージ認証コード及び支払い情報のうちの少なくとも一つに基づいて第1のデータを暗号化することを包含する。これに関連して、本発明は、第2のユーザデバイス[202B]によって第1のデータを暗号化することが第2のユーザデバイス[202B]のセキュアエレメント[202A1]で受信した第1のデータのための対称セッション鍵を生成するとともに第2のデータを生成するために少なくとも生成された対称セッション鍵に基づいて第1のデータを暗号化することを更に含むことを包含する。
【0063】
次に、ステップ[310]において、方法は、第2のユーザデバイス[202B]によって、第2のデータを支払いサーバ[204]に送信し、支払いサーバ[204]は、第2のデータをハードウェアセキュリティモジュールに更に送信することを備える。続いて、ステップ[312]において、方法は、ハードウェアセキュリティモジュール[206]によって、メッセージ認証コードに基づいて第2のデータを復号化することを備える。
【0064】
次に、ステップ[314]において、方法は、ハードウェアセキュリティモジュール[206]によって、復号化された第2のデータを少なくとも一つの閉ループサービスプロバイダ[208]に送信することを備える。最後に、ステップ[316]で、方法は、復号化された第2のデータに基づいて少なくとも一つの閉ループサービスプロバイダ[208]による閉ループ取引を実行することを備える。方法は、ステップ[314]で終了する。
【0065】
本発明は、方法が第1のユーザデバイス[202A]及び第2のユーザデバイス[202A]のうちの少なくとも一つで少なくとも一つの閉ループサービスプロバイダ[208]から閉ループ取引のステータスを受信すること並びに第1のユーザデバイス[202A]及び第2のユーザデバイス[202A]のうちの少なくとも一つで閉ループ取引のステータスを表示することを更に備えることを更に包含する。別の例では、本発明は、ワイヤレスインターフェースが非接触無線インターフェース、例えば、近距離無線通信(NFC)インターフェースであることを包含する。
【0066】
本発明の方法は、例えば、第2のユーザデバイス[202B]がマーチャントユーザデバイスであるとともに第2のユーザデバイス[202B]が第2のデータをマーチャント支払いサーバ[204]に送信することを更に包含する。方法は、マーチャント支払いサーバ[204]によって、トランスポート層セキュリティ(TLS)プロトコルを使用して販売時点情報管理(POS)サーバ[214]に第2のデータを送信し、POS端末が第2のデータをハードウェアセキュリティモジュール[206]に更に送信することを更に備える。
【0067】
本発明は、少なくとも一つの閉ループサービスプロバイダ[208]が第1のユーザデバイス[202A]及び第2のユーザデバイス[202B]のセキュアエレメント[202A1]にオンボードされていることを包含する。ハードウェアセキュリティモジュール[206]は、機器の選択に基づいて、復号化された第2のデータを少なくとも一つの閉ループサービスプロバイダ[208]に送信する。
【0068】
本発明は、少なくとも一つの閉ループサービスプロバイダ[208]をオンボードするためのプロセスを包含する。動作中、閉ループサービスプロバイダ(CLSP)[208]は、上記のように閉ループタップ及び支払いシステムにそれ自体をオンボーディングするためにウォレットサーバ[204]に接近する。例えば、CLSP[208]には、ロゴ、名前、TLS暗号化用のRSA/ECC証明書、送信中にユーザの機器を暗号化するためのRSA/ECC公開鍵等を含むがそれに限定されない最小限の詳細を有するデータをアップロードするためのウェブインターフェースが設けられている。以下の表1で説明するように、ウォレットサーバ[204]は、この情報をデータベースに保存し、各CLSP[208]に一意のIDを割り当てる。
【表1】
【0069】
各ユーザのトークンは、取引中にCLSP[208]を識別するためにCLSP[208]にマッピングされる。CLSP証明書は、HTTPSを介した全てのAPI呼び出しのTLS暗号化のためにウォレットサーバ[204]によって使用される。ウォレットサーバ[204]のRSA/ECC証明書は、CLSP[208]と共有する必要がある。ユーザのデバイス管理(追加/更新/削除)についてのCLSP[208]からの要求は、HTTPSを介した全てのAPI呼び出しのTLS暗号化にこの鍵を使用して暗号化する必要がある。
【0070】
ウォレットサーバ[204]は、CLSP[208]に提供されるインターフェースを使用することによってCLSP[208]を統合する。インターフェースは、消費者/ユーザが自分のアカウントをシステムに登録できるようにするとともに決済のために取引暗号をウォレットサーバから少なくとも一つの閉ループサービスプロバイダ[208]に転送するためのものである。
【0071】
本発明の例示的な実施形態による機器の登録プロセスを示す例示的な方法フロー図を示す図4を参照する。方法は、ステップ[402]で開始する。ステップ[404]において、ユーザは、ウォレットアプリケーションで利用可能なサービスのリストを閲覧する。ステップ[406]において、ユーザは、自分の機器を選択し、ステップ[408]において、ユーザが自分の情報(IDの詳細等)を入力する。ステップ[410]において、ウォレットサーバ[204]は、少なくとも一つの閉ループサービスプロバイダ[208]からの情報の検証を要求する。ステップ[412]において、ユーザは、閉ループサービスプロバイダ[208]のフローに従ってOTP/CVV/CSCを入力する。ステップ[414]において、ウォレットサーバ[204]は、閉ループサービスプロバイダ[208]にOTPの検証を要求する。ステップ[416]において、検証が成功した後、機器がウォレットアプリケーションに追加される。方法は、ステップ[418]で終了する。
【0072】
本発明は、登録プロセスに含まれる様々なステップがユーザ(又は消費者)から隠されていることを包含する。本発明は、各機器がそれ自身のプロセスに従ってもよいことも包含する。セキュリティ情報を含むこれらのプロセスは、ユーザ(又は消費者)から隠される。ユーザ(又は消費者)は、ウォレットアプリケーションの後続の画面で要求された情報を入力するだけでユーザ(又は消費者)のエクスペリエンスがスムーズになる。
【0073】
本発明は、ウォレットサーバ[204]がデジタル化サービスを受け入れるためにウォレットサーバ[204]と統合される閉ループサービスプロバイダ[208]のリストを提供するサービス発見機能を提供することを包含する。起動時に、ウォレットアプリケーションは、ウォレットサーバ[204]にサービス発見を要求し、新しく追加/削除されたサービスの場合は内部データベースを更新する。ウォレットサーバ[204]は、ウォレットアプリケーションがカード/ウォレットの追加メニューオプションにリストを表示できるように、それぞれの名前及びアイコンが付いたウォレットサービスプロバイダID(CLSP ID)のリストで応答する必要がある。
【0074】
例えば、ウォレットサーバ[204]からのサービス発見応答パケットは、表2に示すように以下のフィールドで構成される。
【表2】
【0075】
本発明の例示的な実施形態によるユーザ機器のプロビジョニングプロセスを示す例示的な信号交換図を示す図5を参照する。ステップ[502]において、ユーザは、ユーザデバイス[202]でウォレットアプリケーションを開く。ステップ[504]において、ウォレットアプリケーション[216A]は、ウォレットサーバ[204]から利用可能なサービスをフェッチする。サービスは、ウォレットサーバ[204]にオンボードされた少なくとも一つの閉ループサービスプロバイダ[208]によって提供される。各サービスは、閉ループデバイス/機器にマッピングされる。ステップ[506]において、ユーザは、自分のサービスを選択する。各サービスの登録プロセスは、ウォレットサーバ[204]によって事前定義される。この登録プロセスは、本質的に動的であり、ウォレットサーバ[204]は、登録プロセスのステップに応じて適切な画面を表示するようにウォレットアプリケーション[216A]に通知する。
【0076】
ステップ[510]において、ウォレットアプリケーションは、ユーザに関連する登録情報を要求する。例えば、閉ループの場合、情報は、アカウントがリンクされているユーザの携帯電話番号であってもよい。この携帯電話番号は、この情報がウォレットサーバ[204]に既に知られている場合にウォレットアプリケーション[216A]によって事前に入力することもできる。例えば、この情報は、閉ループの機器に対してウォレットサーバ[204]のRSA2048ビット公開鍵を使用して暗号化される。ステップ[512]において、ウォレットアプリケーション[216A]は、この暗号化された情報及びサービスISを、安全なTLSチャネルを介してウォレットサーバ[204]に送信する。
【0077】
ステップ[512]において、ウォレットサーバ[204]は、閉ループアプリケーションをセキュアエレメント[202A1]に展開することをSEI-TSM[212]に要求する。展開は、三つのフェーズ、すなわち、フェーズ1:セキュアエレメントで利用できない場合のアプリケーションがインストールされること、フェーズ2:アプレットの新しいインスタンスが作成されること及びフェーズ3:インスタンスがパーソナライズ化されることによって構成される。上記の全ての手順は、グローバルプラットフォームSCP02/03/80チャネルを使用して安全に実行される。
【0078】
ステップ[514]において、SEI-TSM[212]は、ウォレットアプリケーション[216A]内に埋め込まれたTSMエージェントを使用し、これは、TSMとセキュアエレメントとの間のプロキシとして機能する。TSMからセキュアエレメントに送信されるコマンドは、最初に、TSMエージェントによってダウンロードされる又はセキュアエレメントに送信されるTSMエージェントにプッシュされる。コマンドの結果は、TSMエージェントによってTSMサーバに送信される。アプレットの展開が成功すると、ステップ[516]において、SEI-TSM[212]からの非同期応答がウォレットサーバ[204]に返送される。
【0079】
ウォレットサーバ [204]は、どの閉ループサービスプロバイダ[208]がサービスIDに基づいて情報を転送する必要があるかを識別する。閉ループサービスプロバイダ[208]のRSA/ECCパブリックは、ウォレットサーバデータベースから抽出される。暗号化された機器情報及びサービスプロバイダ公開鍵は、ウォレットサーバ鍵の下で機器情報からサービスプロバイダキーに変換するために一緒にHSM[206]に送信される。したがって、情報は、ステップ[518]において、ウォレットから閉ループサービスプロバイダ[208]に安全に転送される。
【0080】
ステップ[520]において、少なくとも一つの閉ループサービスプロバイダ[208]は、ユーザを認証する追加のステップを実行する。例えば、認証は、通常、SMS又は電子メールでOTPを送信することによって実行される。このOTPは、ウォレットサーバ[204]によって少なくとも一つの閉ループサービスプロバイダ[208]にルーティングされるユーザによってウォレットアプリケーション[216A]に入力される必要がある。認証は、音声又はコールセンターでも行うこともできる。認証が成功すると、ステップ[522]において、少なくとも一つの閉ループサービスプロバイダ[208]は、プロビジョニングトークンリクエストをウォレットサーバ[204]に送信する。このトークンは、少なくとも一つの閉ループサービスプロバイダ[208]からウォレットサーバ[204]に安全に転送される。ステップ[524]において、ウォレットサーバ[204]は、トークンをウォレットアプリケーション[216A]に送信し、それをウォレットアプリケーション[216A]に保存する。最後に、ステップ[526]において、ウォレットアプリケーション[216A]は、ユーザに成功メッセージを表示する。
【0081】
本発明の例示的な実施形態によるマーチャント機器の登録プロセスを示す例示的な信号交換を示す図6を参照する。ステップ[602]において、マーチャントは、mPOSサーバ[214]にオンボーディングされる。オンボーディングプロセスでは、一般的であり、マーチャントがオンボーディングされる。ステップ[604]において、マーチャントは、マーチャントウォレットアプリケーション[216B]を初めて開き、ステップ[606]において、マーチャントウォレットアプリケーション[216B]は、セキュアエレメントの閉ループォレットアプリケーション[218B]のmPOSサーバへのプロビジョニングを要求する。ステップ[608]において、mPOSサーバ[214]は、プロビジョニング要求をTMS[210]に送信する。ステップ[610]において、TMS[210]は、プロビジョニング要求をSEI-TSM[210]に転送する。
【0082】
ステップ[612]において、SEI-TSMは、ウォレットアプリケーション[216B]内に埋め込まれたTSMエージェントを使用し、これは、TSM[210]とセキュアエレメント[202B1]との間のプロキシとして機能する。TSM[210]からセキュアエレメント[202B1]に送信されるあらゆるコマンドは、最初に、TSMエージェントによってダウンロードされる又はセキュアエレメント[202A1]に送信されるTSMエージェントにプッシュされる。コマンドの結果は、TSMエージェントによってTSMサーバに送信される。ステップ[614]において、閉ループアプリケーション[218B]の展開が成功すると、SEI-TSM[212]からの非同期応答がTMS[210]に返送される。ステップ[616]において、TMS[210]は、プロビジョニングが成功したという通知をmPOSサーバ[214]に送信する。ステップ[618]において、mPOSサーバ[214]は、成功したプロビジョニングの通知をマーチャントウォレットアプリケーション[216B]に送信する。ステップ[620]において、マーチャントウォレットアプリケーション[216B]は、マーチャントに成功メッセージを表示する。
【0083】
本発明の例示的な実施形態によるマーチャント機器のプロビジョニングプロセスを示す例示的な信号交換を示す図7を参照する。ステップ[702]において、マーチャントターミナルデバイス[202B]は、工場で取引鍵を使用してプロビジョニングされる。鍵を、リモート鍵インジェクションシステムを使用して無線でプロビジョニングすることもできる。ステップ[704]において、マーチャントは、mPOSサーバ[214]にオンボーディングされる。ステップ[706]において、マーチャントは、アプリケーション[216B]を初めて開く。ステップ[708]において、マーチャントウォレットアプリケーション[216B]は、ターミナルデバイス[202B]の閉ループォレットアプリケーション[216B]のmPOSサーバ[214]へのプロビジョニングを要求する。ステップ[710]において、mPOSサーバ[214]は、プロビジョニング要求をTMS[210]に送信する。ステップ[712]において、TMS[210]は、閉ループアプリケーション[218B]を使用してマーチャント端末デバイス[202B]をプロビジョニングし、ステップ[714]において、プロビジョニングの確認を受信する。ステップ[716]において、TMS[210]は、プロビジョニングが成功したという通知をmPOSサーバ[214]に送信する。ステップ[718]において、mPOSサーバ[214]は、成功したプロビジョニングの通知をマーチャントウォレットアプリケーション[216B]に送信する。ステップ[720]において、ウォレットアプリケーション[216B]は、マーチャントに成功メッセージを表示する。
【0084】
本発明の例示的な実施形態によるユーザデバイスとマーチャントデバイスとの間の取引フローを示す例示的な信号交換を示す図8を参照する。ステップ[802]において、ユーザは、自分のウォレットアプリケーション[216A]を開き、支払いに使用することを所望するサービスを選択する。ステップ[804]において、ユーザは、セキュアエレメント[202A1]にインストールされたCRSアプレットを使用してローカルCDCVM PIN検証を実行する。ステップ[806]において、ユーザウォレットアプリケーション[216A]は、サービストークン及びサービスIDを、ユーザのデバイス[202A]のセキュアエレメント[202A1]の閉ループアプリケーション[218A]に送信する。ユーザの閉ループアプリケーション[218A]は、ユーザのデバイス[202A]の非接触インターフェースでアクティブ化される。
【0085】
ステップ[808]において、並行して、マーチャントは、マーチャントウォレットアプリケーション[218A]を開き、金額を入力します。金額の入力を、ユーザがユーザのデバイス[202B]又は両方のデバイスで行うこともできる。ステップ[810]において、マーチャントウォレットアプリケーション[218A]は、金額及びマーチャント識別子をマーチャントの閉ループアプリケーションに送信する。マーチャント端末[202B]及びユーザデバイス[202A]は、NFC取引のためにタップされる。ステップ[812]において、マーチャント閉ループウォレットアプリケーション[218B]は、取引暗号化のための対称セッション鍵を生成する。ステップ[814]において、マーチャント閉ループォレットアプリケーション[218B]は、ユーザ閉ループウォレットアプリケーション[218A]に対する取引を開始する。ステップ[816]において、ユーザ閉ループアプリケーション[218A]は、取引のためのセッション鍵を生成する。
【0086】
ステップ[818]において、ユーザ閉ループアプリケーション[218A]は、セッション鍵を使用して金額、サービストークン及びサービスIDを暗号化する。ステップ[820]において、ユーザ閉ループアプリケーション[218A]は、データをMACする。ステップ[822]において、ユーザ閉ループアプリケーション[218A]は、暗号化されたデータを、NFCを介して送信する。ステップ[824]で、マーチャント閉ループアプリケーション[218B]は、NFC経由で受信したユーザのデータ及びそれ自体のマーチャント識別子及び金額をMACする。ステップ[826]において、マーチャント閉ループアプリケーション[218B]は、NFCを介して受信したMACユーザのデータ、それ自身のマーチャント識別子及び金額を暗号化する。ステップ[828]において、マーチャント閉ループアプリケーション[218B]は、取引データをマーチャントウォレットアプリケーション[216B]に送信する。ステップ[830]において、マーチャントウォレットアプリケーション[216B]は、暗号化された取引データを、TLSを介してmPOSサーバ[214]に送信する。ステップ[832]において、MPOSサーバ[214]は、暗号化された取引データを、処理のためにウォレットサーバ[204]に転送する。
【0087】
ステップ[834]において、ウォレットサーバ[204]は、暗号化されたデータを、復号化のためにHSM[206]に送信する。ステップ[836]において、HSM[206]は、取引を復号化し、MACを内部で検証し、かつ、復号化されたデータをウォレットサーバ[204]に返す。ステップ[838]において、ウォレットサーバ[204]は、取引で受信したユーザーサービスIDから閉ループサービスプロバイダ[208]を識別する。ステップ[840]において、ウォレットサーバ[204]は、決済のために取引を閉ループサービスプロバイダ[208]に送信する。ステップ[842]において、閉ループサービスプロバイダ[208]は、取引ステータスをウォレットサーバ[204]に送り返す。ステップ[844]において、ウォレットサーバ[204]は、取引ステータスをmPOSサーバ[214]に送信する。ステップ[846]において、mPOSサーバ[214]は、取引ステータスをマーチャントウォレットアプリケーション[216B]に送信する。ステップ[848]において、マーチャントウォレットアプリケーション[216B]は、取引ステータスをマーチャントに表示する。
【0088】
本発明の例示的な実施形態による二つのユーザデバイス、ユーザと商人との間の取引フローを示す例示的な信号交換を示す図9を参照する。ステップ[902]において、送信側は、自分のウォレットアプリケーション[216A]を開き、受信側(別のユーザ)への支払いに使用するサービスを選択する。ステップ[904]において、送信側は、セキュアエレメント[202A1]にインストールされたCRSアプレットを使用してローカルCDCVMPIN検証を実行する。ステップ[906]において、送信側のウォレットアプリケーション[216A]は、サービストークン及びサービスISを、送信側のユーザデバイス[202A]のセキュアエレメント[202A1]の閉ループアプリケーションに送信する。送信側の閉ループアプリケーション[218A]は、送信側のデバイスの非接触インターフェースでアクティブ化される。
【0089】
並行して、ステップ[908]において、受信側は、自分のウォレットアプリケーション[216B]を開き、金額を入力する。金額の入力を、送信側による送信側のデバイス[202A]又は両方のデバイスで行うこともできる。ステップ[910]において、受信側のウォレットアプリケーション[216B]は、金額及びレシーバー識別子(ID)を、受信側の閉ループアプリケーション[218B]に送信する。その後、受信側端末[202B]及びセンダーデバイス[202A]は、NFC取引のためにタップされる。ステップ[912]において、受信側の閉ループォレットアプリケーション[218B]は、取引暗号化用のセッション鍵を生成する。
【0090】
ステップ[914]において、受信側閉ループォレットアプリケーション[218B]は、送信側閉ループォレットアプリケーション[218A]に対する取引を開始する。ステップ[916]において、送信側閉ループアプリケーション[218A]は、取引のセッション鍵を生成する。ステップ[918]において、送信側閉ループアプリケーション[218A]は、セッション鍵を使用して金額、サービストークン及びサービスIDを暗号化する。ステップ[920]において、送信側閉ループアプリケーション[218A]は、データをMACする。ステップ[922]において、送信側閉ループアプリケーション[218A]は、暗号化されたデータを、NFCを介して送信する。ステップ[924]において、受信側閉ループアプリケーション[218B]は、NFCを介して受信した送信側データ、それ自体の受信側ID及び金額を暗号化する。ステップ[926]において、受信側閉ループアプリケーション[218B]は、NFCを介して受信した送信側のデータ、それ自体の送信側識別子及び金額をMACする。
【0091】
ステップ[928]において、受信側閉ループアプリケーション[218B]は、全データを受信側ウォレットアプリケーション[216B]に送信する。ステップ[930]において、受信側ウォレットアプリケーション[216B]は、暗号化された取引データを、TLSを介してウォレットサーバ[204]に送信する。ステップ[932]において、ウォレットサーバ[204]は、暗号化されたデータを、復号化のためにHSM[206]に送信する。ステップ[934]において、HSM[206]は、取引を復号化し、MACを内部で検証し、復号化されたデータをウォレットサーバ[204]に返す。ステップ[936]において、ウォレットサーバ[204]は、取引で受信した送信側サービスIDから閉ループサービスプロバイダ[208]を識別する。ステップ[938]において、ウォレットサーバ[204]は、決済のために取引を閉ループサービスプロバイダ[208]に送信する。ステップ[940]において、閉ループサービスプロバイダ[208]は、取引ステータスをウォレットサーバ[204]に送り返す。ステップ[942]において、ウォレットサーバ[204]は、取引ステータスを受信側ウォレットアプリケーション[216B]に送信する。ステップ[944]において、受信側ウォレットアプリケーション[216B]は、取引ステータスを受信側に表示する。
【0092】
本発明は、セキュアエレメント[202A1,202B1]における閉ループアプリケーションが取引親鍵と称するAES-128ビット対称鍵でパーソナライズ化されることを包含する。取引親鍵は、全てのセキュアエレメント[202A1,202B1]に固有である取引親鍵は、親鍵及びセキュアエレメント[202A1,202B1]を一意に識別する識別子から多様化されている。本発明の例示的な実施形態による取引親鍵の導出を示す図10を参照する。関連する鍵及び閉ループアプリケーションのその階層は次のとおりである。発行者親鍵(IMK)[1002]は、ウォレットサーバ[204]及びHSM[206]内に格納された最高レベルの鍵である。複数の発行者親鍵[1004A,1004B,...1004N、以下、まとめて以下でまとめて1004と称する]は、消費者/ユーザデバイス及びマーチャント端末用に生成される。取引親鍵(TMK)[1004]は、IMK[1002]から派生し、各デバイスに割り当てられる。これは、閉ループアプリケーションインスタンスごとに一意である。
【0093】
セッション鍵(SK-enc及びSK-MAC)[1006,1008,1010]は、全ての取引のTMK[1004]から取得される。それは、取引ごとに一意である。例えば、データ暗号化(SK-enc)及びペイロード署名(SK-MAC)の取引中にデバイスによって生成される二つのセッション鍵が存在する。セッション鍵[1006,1008,1010]を、閉ループアプリケーション[218A、218B]によって内部的に維持されるカウンター値を使用して生成してもよい。
【0094】
本発明は、ウォレットサーバ[204]及びHSM[206]がセキュアエレメントベンダー発行者に基づく、すなわち、セキュアエレメントベンダーごとに一意である複数のIMK[1002]を格納することを包含する。IMK[1002]の識別は、IMK識別子(IS)を介して行われる。閉ループアプリケーションは、パーソナライズ化中にこのIMK[1002]IDを保存し、ウォレットサーバ[204]及びHSM[206]が特定のセキュアエレメントの正しいIMK[1002]にインデックスを付けることができるようにするために取引ペイロード中にIMK[1002]IDを更に使用する。IMK[1002]からの取引親鍵[1004]の導出は、TMK[1004]のバージョンの追加情報を更に含む。閉ループアプリケーション[218A、218B]は、パーソナライズ化中にこのTMK[1004]のバージョンを保存し、ウォレットサーバ[204]及びHSM[206]が特定のセキュアエレメントに対して正しいTMK[1004]を生成できるようにするために取引ペイロード中にTMK[1004]のバージョンを更に使用する。
【0095】
したがって、本発明は、暗号化及びMACに基づく閉ループの安全な取引を実行する近距離無線通信(NFC)の使用のためのシステム及び方法としての新しい解決を提供する。この解決は、ユーザデバイスのセキュアエレメントの内側にある複数の閉ループサービスプロバイダが閉ループの安全な取引を実行できるようにするとともに顧客が選択した機器に応じてユーザデバイスの閉ループカーネルの自動選択を提供することによって、既存の技術の問題を解決する。したがって、本発明の解決は、ピアツーピア(P2P)又はピアツーマーチャント(P2M)取引を行うためにユーザが複数(任意/全て)の閉ループ機器を登録するとともに使用することができる迅速かつ手間のかからないP2P又はP2M閉ループ取引を提供する。
【0096】
ここでは好適な実施形態にかなりの重点が置かれているが、本発明の原理から逸脱することなく多くの実施形態が可能であるとともに好適な実施形態に多くの変更を加えることができることが理解される。本発明の好適な実施形態におけるこれらの変更及び他の変更は、ここでの開示から当業者には明らかであり、それにより、上記の説明事項が限定としてではなく単に本発明の例示として実施されることが明確に理解されるべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【国際調査報告】