セキュアエレメントと通信するための方法、サーバ、コンピュータプログラム、およびコンピュータプログラム製品
移動機器に接続されたセキュアエレメントにメッセージを送信する方法が提示される。この場合、セキュアエレメントは移動機器のユーザにつながっている。本方法は、アプリケーション管理サーバ内で実行される:アプリケーションサーバからアプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するステップと;アプリケーションメッセージからセキュアエレメントメッセージを生成するステップと;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するステップと;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するステップとを含む。対応するアプリケーション管理サーバ、コンピュータプログラム、およびコンピュータプログラム製品も提示される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は主に、1つ以上のセキュアエレメントとの通信に関する。
【背景技術】
【0002】
近距離無線通信(NFC)は、多くの異なる種類の有益なサービスを可能にする技術である。特に、支払い、発券、物理的アクセス、およびクーポンなどの、価値に基づくサービスが議論されてきた。このタイプのサービスには、安全な方法でアプリケーションを実行したいという当然の願望がある。
【0003】
NFCアプリケーションを安全に実行する解決法の1つは、アプリケーションをセキュアエレメントにインストールすることである。このようなセキュアエレメントの一例は、移動機器のUICC(汎用ICカード)であろうが、しかし移動機器に埋め込まれたセキュアエレメント、またはセキュアデジタルカードの形態のセキュアエレメントなど、別の選択も可能である。
【0004】
セキュアエレメントは、通常は、エンドユーザ自身によってではなく、エンドユーザが課金関係(オペレータ)またはその他の関係(端末製造元)を有するなんらかの実体によって、管理される。
【0005】
セキュアエレメントを利用するサービスプロバイダとセキュアエレメントを管理する実体との間には仲介実体の必要性があることが提案されてきた。この仲介実体は、トラステッドサービスマネージャ(TSM)と称される。
【0006】
今日では、アプリケーションは、製造時にSEに実装される(これはSIM(加入者識別モジュール)およびユーロカード−マスターカード−VISA(EMV)アプリケーションの一般的な管理方法である)。しかしながら、いくつかのSEは、グローバルプラットフォームカード管理システムを利用している。これらのSEは、マルチアプリケーションSEと称される。グローバルプラットフォーム(GP)カード管理システムは、いずれのSEに固有の接続プロトコルにも依存しないが、しかし大抵は製造時に使用される。しかしながら、携帯電話の出現とともに別の手段が現れ、最近では、SIMアプリケーションツールキットと併せてGPを使用する方法が記載されている。しかしながら、これは、TSMが、様々な異なるタイプの低レベル通信および異なるタイプのアプリケーションロジックを扱う非常に複雑な実体でなければならないような、システムをもたらす。
【0007】
結果的に生じるTSMは、TSMを仲介役に適応させるために必要とされる柔軟性の多くが欠落している。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、アプリケーションサーバとセキュアエレメントとの間の通信を簡素化することである。
【課題を解決するための手段】
【0009】
本発明の第一の態様によれば、移動機器に接続されたセキュアエレメントにメッセージを送信する方法が提示され、ここでセキュアエレメントは移動機器のユーザにつながっている。方法は、アプリケーション管理サーバ内で実行される:アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するステップと;アプリケーションメッセージからセキュアエレメントメッセージを生成するステップと;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するステップと;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するステップとを含む。
【0010】
これは、移動機器およびセキュアエレメントとの通信からアプリケーション管理サーバを分離して、新たな機会を提供する。このためアプリケーション管理サーバは、アプリケーションサーバの代理として機能して、送信先セキュアエレメントとの通信を可能にするのに適した適切な接続プロバイダを選択することができる。このため各接続プロバイダは、ひいてはセキュアエレメントとの通信を可能にするために必要な程度に特化され得る。すべての接続プロバイダは、随意的に、アプリケーション管理サーバと同じインターフェースを有することができる。
【0011】
方法は、選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信するステップと;アプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するステップと、をさらに含んでもよい。
【0012】
これは、アプリケーションサーバとセキュアエレメントとの間のリアルタイム通信の一態様であり、先行技術の著しい改善である。
【0013】
セキュアエレメントメッセージを生成するステップは、アプリケーションメッセージをセキュアエレメントメッセージとして使用することを含んでもよい。言い換えると、メッセージは、アプリケーションメッセージからセキュアエレメントメッセージになるときに、随意的に変換されない。
【0014】
方法は、セキュアチャネルをセキュアエレメントに設定するステップをさらに含んでもよく、ここで送信先セキュアエレメントに転送するためにセキュアエレメントメッセージを送信するステップは、セキュアチャネルを通じてセキュアエレメントメッセージを送信することを含む。このようなセキュアチャネルは、アプリケーションサーバがアプリケーション管理サーバを信頼している場合に、アプリケーション管理サーバとセキュアエレメントとの間の通信を可能にし、そのためアプリケーションサーバはセキュアエレメントとの安全な通信を管理する必要がない。
【0015】
方法は、セキュアエレメントメッセージを送信するステップに先立って:セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信するステップと;セキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するステップと、をさらに含んでもよく、ここでセキュアエレメントメッセージを接続プロバイダに送信することは、署名を送信することを含む。これは、セキュアエレメント管理サーバが、セキュアエレメントと通信しながらどのメッセージが署名されているかについて完全な制御を維持することを、可能にする。随意的に、暗号化も同様に機能することができる。
【0016】
署名は、署名されるメッセージに添付されてもよい。
【0017】
方法は、セキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップに先立って:複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するステップをさらに含んでもよく、ここでセキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップは、セキュアエレメントメッセージを選択されたセキュアエレメント管理サーバに送信することを含む。言い換えると、アプリケーション管理サーバは、送信先セキュアエレメントに対応するセキュアエレメント管理サーバを選択する。
【0018】
署名されるいくつかのセキュアエレメントメッセージはまとめて送信されてもよく、対応する署名はまとめて受信されてもよい。これは、アプリケーション管理サーバとセキュアエレメント管理サーバとの間のより効率的な通信を可能にする。
【0019】
本発明の第二の態様は、移動機器に接続されたセキュアエレメントにメッセージを送信するためのアプリケーション管理サーバであり、ここでセキュアエレメントは移動機器のユーザにつながっている。アプリケーション管理サーバは:アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するように構成されている受信器と;アプリケーションメッセージからセキュアエレメントメッセージを生成するように構成されているコントローラと;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するように構成されている接続セレクタと;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するように構成されている送信器とを含む。
【0020】
接続セレクタは、第二アプリケーション管理サーバを選択するように構成されてもよく、ここで第二アプリケーション管理サーバは、送信先セキュアエレメントと通信可能である。
【0021】
アプリケーション管理サーバはさらに、選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信するように;およびアプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するように、構成されることが可能である。
【0022】
アプリケーションメッセージは、セキュアエレメントメッセージとして使用されることが可能である。
【0023】
アプリケーション管理サーバはさらに、セキュアチャネルをセキュアエレメントに設定し、かつセキュアチャネルを通じてセキュアエレメントメッセージを送信するように、構成されることが可能である。
【0024】
アプリケーション管理サーバは、セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信し、かつセキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するように構成されたセキュアエレメント管理インターフェースを含んでもよい。そして送信器は、選択された接続プロバイダに署名を送信するように構成される。署名は、署名されるメッセージに添付されることが可能である。
【0025】
アプリケーション管理サーバは、複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するように構成されたセキュアエレメント管理サーバセレクタを含んでもよい。
【0026】
署名されるいくつかのセキュアエレメントメッセージはまとめて送信されることが可能であり、対応する署名はまとめて受信されることが可能である。
【0027】
本発明の第三の態様は、移動機器に接続されたセキュアエレメントにメッセージを送信するためのコンピュータプログラムであり、ここでセキュアエレメントは移動機器のユーザにつながっている。コンピュータプログラムは、アプリケーション管理サーバ上で実行されたときに、サーバに:アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信させ;アプリケーションメッセージからセキュアエレメントメッセージを生成させ;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択させ;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信させる、コンピュータプログラムコードを含む。
【0028】
コンピュータプログラムは、選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信し;アプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するための、コンピュータプログラムコードを、さらに含んでもよい。
【0029】
コンピュータプログラムコードは、アプリケーションメッセージをセキュアエレメントメッセージとして使用するためのコードを、さらに含んでもよい。
【0030】
コンピュータプログラムは、セキュアチャネルをセキュアエレメントに設定するためのコンピュータプログラムコードをさらに含んでもよく、ここで送信先セキュアエレメントに転送するためにセキュアエレメントを送信するためのコンピュータプログラムコードは、セキュアチャネルを通じてセキュアエレメントを送信するためのコンピュータプログラムコードを含む。
【0031】
コンピュータプログラムは、セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信し;セキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するための、コンピュータプログラムコードをさらに含んでもよく、ここでセキュアエレメントメッセージを接続プロバイダに送信するためのコンピュータプログラムコードは、署名を送信するためのコンピュータプログラムコードを含む。
【0032】
コンピュータプログラムは、複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するためのコンピュータプログラムコードをさらに含んでもよく、ここでセキュアエレメントメッセージをセキュアエレメント管理サーバに送信するためのコンピュータプログラムコードは、セキュアエレメントメッセージを選択されたセキュアエレメント管理サーバに送信するためのコンピュータプログラムコードを含む。
【0033】
署名されるいくつかのセキュアエレメントメッセージはまとめて送信されてもよく、対応する署名はまとめて受信されてもよい。
【0034】
本発明の第四の態様は、第三の態様によるコンピュータプログラム、およびコンピュータプログラムが格納されているコンピュータ読み取り可能手段を含む、コンピュータプログラム製品である。
【0035】
第一、第二、第三、および第四の態様のいずれの特徴も、適切であれば、いずれか別の態様に適用されてもよいことに注意されたい。
【0036】
「複数」という語が明細書および請求項において使用される場合はいつでも、「1つより多い」ことを意味すると理解される。
【0037】
一般的に、請求項において使用されるすべての用語は、本明細書において別途明確に定義されない限り、当該技術分野におけるその一般的な意味に従って解釈されるべきである。「1つの/その要素、装置、部品、手段、ステップなど」という表現はすべて、別途明確に提示されない限り、その要素、装置、部品、手段、ステップなどの少なくとも1つの例を示すものとして、非限定的に解釈される。本明細書に開示されるいずれの方法のステップも、明確に提示されない限り、開示された順序のとおりに実行される必要はない。
【0038】
本発明はここで、以下の添付図面を参照して、例示によって記載される。
【図面の簡単な説明】
【0039】
【図1】本発明の実施形態が適用され得る環境を示す模式図である。
【図2】セキュアエレメントへのアプリケーションのインストールのための、図1の実体の間の通信を示すシーケンス図である。
【図3】アプリケーションサーバとセキュアエレメントとの間のリアルタイム通信のための、図1の実体の間の通信を示すシーケンス図である。
【図4】図1のアプリケーションマネージャの内部モジュールを示す模式図である。
【図5】図1のセキュアエレメントマネージャ4の内部モジュールを示す模式図である。
【図6】別の視点からの、図1のアプリケーションマネージャの内部モジュールを示す模式図である。
【図7】図1のアプリケーションマネージャにおいて実行される方法を示すフローチャートである。
【図8】コンピュータ読み取り可能手段を含むコンピュータプログラム製品の一例を示す図である。
【図9】図1のセキュアエレメントとの通信を示す模式図である。
【発明を実施するための形態】
【0040】
本発明はここで、本発明の特定の実施形態が示される添付図を参照して、以下により詳細に記載される。しかしながら、本発明は、多くの異なる形態で実現されてもよく、本明細書内に提示される実施形態に限定されると解釈されるべきではない;むしろ、これらの実施形態は、本開示が徹底的かつ完璧になるように、および本発明の範囲を当業者に完全に伝えるように、一例として提供される。類似の番号は、明細書を通じて類似の要素を示す。
【0041】
トラステッドサービスマネージャを使用する既存の解決法は、TSMと、たとえばOTA(無線)サーバなど、セキュアエレメントと通信するために使用される実際の通信チャネルとの間に、緊密な結合を有する。これらは、TSMと、使用されるアプリケーションロジックとの間にも緊密な結合を有する。これは、TSMが、すべての異なるタイプの低レベル通信およびすべての異なるタイプのアプリケーションロジックを扱う非常に複雑な実体でなければならないような、システムにつながる。これはまた、サービスプロバイダと、セキュアエレメント上のサービスプロバイダのアプリケーションとの間にエンドツーエンドの信頼関係がある信頼モデルを妨害する。代わりに、サービスプロバイダは、安全性を提供するので、強制的にTSMを信頼させられる。
【0042】
また、セキュアエレメントによって要求された場合に、サービスプロバイダに代わって、TSMとセキュアエレメントとの間で送信されたコマンドに署名することが可能な、セキュアエレメントマネージャの包含もない。これはたとえば、アプリケーションマネージャが管理コマンド(たとえば新たなアプリケーションのインストールまたはセキュアエレメント上のアプリケーションのアンインストールなど)を実行したいが、しかし承認された管理権を有していない場合に、必要とされる。
【0043】
これらの能力の欠落は、TSMを仲介役に適応させるために必要とされる柔軟性の多くが欠落しているシステムをもたらす。
【0044】
ここで、図1に示されるシステムを参照して説明を続ける。本システムは、AからGの7つのインターフェース、および1、3〜5、7〜9の7つの機能ブロックからなる。以下に、機能ブロックの説明を続ける。
【0045】
アプリケーションサーバ3は、特定用途向けロジックおよびエンドユーザ管理を担っている。エンドユーザは、たとえば移動機器7のブラウザアプリケーション、外部コンピュータのブラウザから、またはアプリケーションサーバ3と接続する特定のソフトウェアを通じて、アプリケーションサーバと個別に接続することができる。アプリケーションサーバ3は、たとえば銀行、輸送業者、イベントチケット販売業者、クーポン発行サービスなどの、サービスプロバイダの責任の下にあってもよい。
【0046】
アプリケーション管理サーバ1は、セキュアエレメント8上のアプリケーションのインストールおよび管理に関与するサーバである。したがって、アプリケーション管理サーバ1は、(セキュアエレメントマネージャからの承認を必要とする操作のため)管理トークンを獲得するためにセキュアエレメントマネージャと、セキュアエレメントへのリンクを設定するためにセキュアエレメント接続プロバイダと、および実際のアプリケーション管理を実行するためにセキュアエレメント自体と、交流する。アプリケーション管理サーバ1はまた、いつおよびどこに特定のアプリケーションをインストールすべきか、またはアプリケーションサーバ3がどのアプリケーションまたはセキュリティドメインと通信しようとしているかを知るために、アプリケーションサーバ3とも交流する。アプリケーション管理サーバ1は、アプリケーションサーバ3との接続を簡素化し、それによってアプリケーションサーバ3はアプリケーション管理サーバ1の範囲内のいずれのセキュアエレメントとのいかなる通信(リアルタイムであってもなくても)のためにも、アプリケーション管理サーバ1に接続することが可能となる。
【0047】
セキュアエレメント接続プロバイダ5は、セキュアエレメントへのリンクの設定に関与するサーバである。セキュアエレメント接続プロバイダ5は、SIM OTA、OMA DMサーバ、またはセキュアエレメントと通信可能なその他いずれかの実体であってもよい。
【0048】
セキュアエレメントマネージャ4は、セキュアエレメント上に承認された管理権を備える安全領域を有するサーバである。アプリケーション管理サーバ1は、管理トークンを作成するために、セキュアエレメントマネージャ4と交流する。
【0049】
移動機器7。移動機器7は、アプリケーション管理サーバ1とセキュアエレメントとの間にリンクを設定するために、セキュアエレメント接続プロバイダ5と交流する。移動機器7は、たとえば携帯(セルラー)電話であってもよい。
【0050】
セキュアエレメント8は、アプリケーションサーバ3によって発行されたアプリケーションを収容し、アプリケーションを管理するためにアプリケーション管理サーバ1と交流する。
【0051】
図1に見られるインターフェースは7つあり、これらは以下に示される。
【0052】
インターフェースAは、以下のタスクを実行するために、アプリケーションサーバ3とアプリケーション管理サーバ1との交流を可能にする:
−セキュアエレメントに向けられたアプリケーションをアプリケーション管理サーバ1にアップロードする。
−グローバルプラットフォームに基づくセキュアチャネルプロトコルを使用して、特定の身元(特定用途向けエイリアスまたはMSISDNに拘束されている)に属するセキュアエレメント8上にアプリケーションをロード、アンインストール、またはカスタマイズする。
−セキュアエレメント8上のインストール済みアプリケーションまたはセキュリティドメインとのリアルタイム通信を有する。
−セキュリティドメインを作成/削除する。
−特定の要素または実体(上記のように定義される)が空間などによって特定用途を実行できるか否かに関する情報を要求する。
【0053】
インターフェースBは、セキュアエレメントマネージャ4の秘密鍵で署名されるAPDU(アプリケーションプロトコルデータ単位)を送信するために、アプリケーション管理サーバ1がセキュアエレメントマネージャ4と交流できるようにする。
【0054】
インターフェースCは、セキュアエレメントとリアルタイム通信を有するために、アプリケーション管理サーバ1がセキュアエレメント8へのWANリンクを設定できるようにする。
【0055】
インターフェースDは、セキュアエレメントへのリンクを設定するために、セキュアエレメント接続プロバイダ5によって使用される。このインターフェースは、SIM OTA、OMA DM、HTTPS、またはいずれかの形式でAPDUを送信することが可能なその他のプロトコルに基づくことが、可能である。
【0056】
インターフェースEは、セキュアエレメント8と交流するためにアプリケーション管理サーバ1によって使用され、グローバルプラットフォーム仕様に基づくことが可能である。
【0057】
インターフェースFは、セキュアエレメント8と交流するためにアプリケーションサーバ3によって使用され、たとえばAPDUを使用することが可能である。
【0058】
インターフェースGは、当該技術分野そのものにおいて周知のように、セキュアエレメント8と販売時点管理(PoS)端末9との間のインターフェースである。このインターフェースを通じての通信を可能にするために、APDUが利用され得る。
【0059】
アプリケーション管理サーバ1の恩恵の多くは、一般的に、完全なシステムは複数のセキュアエレメント接続プロバイダ5および複数のセキュアエレメントマネージャ4を含むという事実に起因する。この事実は、アプリケーション管理サーバ1によって、アプリケーションサーバ3から隠されている。
【0060】
図2は、図1および図2の要素を使用して、まずアプリケーションをアプリケーション管理サーバ1にどのようにアップロードするか、次にこのアプリケーションをセキュアエレメント8にどのようにインストールするかを示す、シーケンス図である。
【0061】
まず、アプリケーションサーバ3とアプリケーション管理サーバ1との間にのみ、交流がある。アプリケーションサーバ3は、アプリケーション管理サーバ1にアプリケーションを格納するように依頼10し、それによってアプリケーションマネージャは、アプリケーションがアプリケーション管理サーバ1に格納されたときに、確認メッセージをもって応答11する。このシーケンスは一度実行され、その後アプリケーション管理サーバ1はこのアプリケーションを、多くの異なるセキュアエレメント8に対して再利用することができる。アプリケーション管理サーバ1がこのアプリケーションを、アップロードされたもの以外のアプリケーションサーバ3に対して再利用するようにすることも可能である。
【0062】
続いて、アプリケーションサーバ3は、アプリケーション管理サーバ1にこのアプリケーションを特定のエンドユーザにインストールするように依頼12し、それによってアプリケーション管理サーバ1は確認応答をもって応答13する。するとアプリケーション管理サーバ1は、エンドユーザ装置内で利用可能な複数のセキュアエレメントの中から選択することができる。1つを選択した後、これはグローバルプラットフォーム仕様に応じて署名されたロードおよびインストールコマンドを取得するために、そのセキュアエレメント8のセキュアエレメントマネージャ4(たとえばセキュアエレメント8に対応するオペレータまたは端末製造元)に接触14する。署名されたこれらのコマンドを受信15した後、アプリケーション管理サーバ1は、セキュアエレメント接続プロバイダ5と通信16することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメント接続プロバイダ5はその後、ひいてはセキュアエレメント8とのチャネルを開放18する移動機器にこれを要求17することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメントは移動機器7への開放チャネルを確認19し、これがひいては接続プロバイダ5を確認20し、これが最終的にアプリケーションマネージャ1への開放チャネルを確認21する。このチャネルを通じて、グローバルプラットフォーム標準化セキュアチャネルが最初に設定され、次に実際のロードおよびインストールコマンドが送信される。コマンドは、アプリケーションマネージャ1から接続プロバイダ5に送信29され、これが、セキュアエレメントへのさらなる転送31のため、コマンドを移動機器7へ転送30する。コマンドは、セキュアエレメント8から移動機器7へ、そしてアプリケーションマネージャ1へ、通知32、33、34される。コマンドはいくつでも送信可能であり、必要に応じて通信29〜34を繰り返す。すべての準備が整ったら、確認応答はアプリケーションサーバ3へ送信35される。
【0063】
図3は、図1の要素を使用して、アプリケーションサーバ3がインストール済みアプリケーションとのリアルタイム通信をどのように実行するかを示す、シーケンス図である。
【0064】
アプリケーションサーバ3がそのインストール済みアプリケーション(またはセキュリティドメイン)とリアルタイムのデータをやりとりしたい場合、アプリケーションサーバ3はアプリケーション管理サーバ1に、特定のアプリケーション(またはセキュリティドメイン)へのチャネルを開放するように要求40する。アプリケーション管理サーバ1は、セキュアエレメント接続プロバイダ5と通信41することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメント接続プロバイダ5はその後、ひいてはセキュアエレメント8とのチャネルを開放43する移動機器7に、これを要求42することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメントは移動機器7への開放チャネルを確認44し、ひいてはこれが接続プロバイダ5を確認45し、これが最終的にアプリケーションマネージャ1への開放チャネルを確認46する。アプリケーション管理サーバ1がチャネルの開放に成功した場合、これはその後に、アプリケーション管理サーバ1およびセキュアエレメント接続プロバイダ5を経由して、アプリケーションまたはセキュリティドメインにAPDUを直接転送するために、アプリケーションサーバ3によって使用されることが可能である。これは、APDUがアプリケーションサーバ3からアプリケーション管理サーバ1へ、そして接続プロバイダ5を経由してセキュアエレメント8へ転送51、52、53することによって実行される。応答APDUは、セキュアエレメント8から接続プロバイダ5およびアプリケーション管理サーバ1を経由してアプリケーションサーバ3へ、逆の順序で送信54、55、56される。複数のAPDUは、アプリケーションサーバ3によって望まれるように転送されることが可能であり、それによって通信51〜56が繰り返される。
【0065】
アプリケーションサーバ3は、通信を終了すると、アプリケーション管理サーバ1にチャネルを閉鎖するように要求58することによってこれを示す。チャネルが開放されたときと類似の方法で、アプリケーション管理サーバ1は、接続プロバイダ5および移動機器7を経由する通信59〜61を使用して、チャネルを閉鎖する。閉鎖チャネルの確認応答は、セキュアエレメント8から接続プロバイダ5およびアプリケーション管理サーバ1を経由してアプリケーションサーバ3へ、逆の順序で送信される。
【0066】
この例のチャネルは、変更のないAPDU、またはいずれかのセキュアチャネルプロトコルを使用して暗号化および/または署名されたAPDUを搬送してもよい。この場合、セキュアエレメントマネージャ4を包含する必要があるかもしれない。これは図4には示されていないが、しかし図2に示されるのと同じ方法で実現可能である。言い換えると、暗号化される必要のあるいずれのコマンドも、署名または暗号化のために、アプリケーション管理サーバ1からセキュアエレメントマネージャ4に送信される。
【0067】
図4は、図1および図2のアプリケーション管理サーバ1の内部を示す。アプリケーション管理サーバ1は、異なる要素との関係を取り扱う一組のデータベース75〜80を含む。具体的には、アプリケーションサーバ3の動きを記録するための記憶装置75、アプリケーションの動きを記録するための記憶装置76、セキュアエレメント8の動きを記録するための記憶装置77、エンドユーザの動きを記録するための記憶装置78、セキュアエレメントマネージャ4の動きを記録するための記憶装置79、およびセキュアエレメント接続プロバイダ5の動きを記録するための記憶装置80がある。これに加えて、アプリケーション管理サーバ1は、異なるタスクを実行するために、多数のエンジンを含む。インターフェースAエンジン70、インターフェースBエンジン72、およびインターフェースCエンジン74など、異なるインターフェースを通じて通信を制御するためのエンジン70、72、74が存在する。さらに、これらの要素をまとめる中央エンジン73が存在する。グローバルプラットフォームプロトコルを実行し、APDUを作成するためのエンジン71も存在する。
【0068】
通常、フローは、アプリケーション管理サーバ1がセキュアエレメント8へのチャネルを開放し、次にこのチャネルを通るべきAPDUがセキュアエレメントマネージャ4によって署名されるべきか否かに応じて、署名のためにAPDUをセキュアエレメントマネージャ4に転送し、新たに開放されたチャネルを通じて署名されたAPDUを転送するか、あるいは単にチャネルを通じて署名されていないAPDUを転送するものである。
【0069】
図5は、図1および図2のセキュアエレメントマネージャ4ノードの構成要素を示す。セキュアエレメントマネージャ4は、会計目的のための記憶装置112(任意)およびトークンを作成するためのキー記憶装置113を含む。これはまた、それを通じてアプリケーション管理サーバ1および署名エンジン111と通信することが可能な、インターフェースBエンジン110も含む。
【0070】
セキュアエレメントマネージャノード4の主要な目的は、コマンドがカードに向かうセキュアチャネルに入力される前に、アプリケーション管理サーバ1からの管理コマンドに署名することである。これは、セキュアエレメントマネージャ4が、承認された管理権限およびトークン照合権限を有するカード上の安全領域を有することを前提とする。以下のコマンドにおいて、委任された管理権限を有するのみである場合、アプリケーション管理サーバ1にとってトークンが必要とされる:
・実装;
・インストールおよび選択可能とすること;
・引き渡し;
・グローバルプラットフォームレジストリへのアップデート;
・削除。
【0071】
トークン生成は、パッケージごとに実行される。
【0072】
図6は、図1のアプリケーション管理サーバ1の別の視点におけるモジュールを示す。モジュール93、94、96、98、88は、ソフトウェアおよび/またはハードウェアを使用して、実現されることが可能である。モジュールが、コントローラおよびメモリなどのいくつかのハードウェア構成要素を共有してもよいことも特筆されるべきである。アプリケーション管理サーバ1は、そこに送信される適切なメッセージに対して機能するように構成されたサーバである。
【0073】
アプリケーション管理サーバ1は、アプリケーションサーバ3から、アプリケーションメッセージおよび送信先セキュアエレメント8の識別子を、インターフェースAを通じて受信するように構成された、受信器93を含む。受信器93は、インターフェースAを使用し、図4のインターフェースAエンジンに対応している。受信器はまた、インターフェースAを通じて双方向通信を実現するために、送信器を含むことも可能である。
【0074】
コントローラ94は、アプリケーションメッセージからセキュアエレメントメッセージを生成するように構成されている。コントローラは、たとえばサーバの中央処理装置(CPU)であってもよい。
【0075】
接続セレクタ98は、複数の接続プロバイダから、送信先セキュアエレメント8と通信可能な接続プロバイダを選択するように構成されている。第二アプリケーション管理サーバ1が送信先セキュアエレメント8と通信可能である場合、接続セレクタ98は、この第二アプリケーション管理サーバ1を選択することができる。
【0076】
送信器99は、送信先セキュアエレメント8に転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するように構成されている。送信器99はインターフェースCを使用し、図4のインターフェースCエンジン74に対応している。送信器はまた、インターフェースCを通じて双方向通信を実現するために、インターフェースC受信器を含むことも可能である。
【0077】
セキュアエレメント管理インターフェース95(図4参照)は:セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信し;セキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するように、構成されている要素を含む。セキュアエレメント管理インターフェース95は、図4のインターフェースBエンジン72に対応する。
【0078】
セキュアエレメント管理サーバセレクタ92は、複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するように構成されている。選択されたセキュアエレメント管理サーバは、セキュアエレメント管理インターフェース72を使用する通信に使用される。
【0079】
ここではメモリ96の形態の、コンピュータプログラム製品が提供され、これはRAMなどの一時メモリであり、磁気記憶装置、固体記憶装置、光学記憶装置、またはこれらのいずれかの組合せなどの永続性記憶装置および/またはそれに対するアクセスを有する。メモリ96は、アプリケーション管理サーバ1上で実行されたときに、図7を参照して以下に記載される方法をアプリケーション管理サーバ1に実行させるソフトウェアコードを含むコンピュータプログラムを含むことができる。
【0080】
図7は、本発明による方法を示すフローチャートである。方法は、図1のその他の要素と併せて、図1のアプリケーション管理サーバ1において実行される。
【0081】
最初の受信アプリケーションメッセージステップ80において、アプリケーションメッセージがアプリケーションサーバ3から受信される。アプリケーションメッセージは、アプリケーションメッセージの一部として、または別途に、アプリケーションメッセージの内容をどこに送信すべきかの識別子を含む。この識別子はたとえば、MSISDN番号(すなわち電話番号)、および随意的にMSISDN番号に結びつけられた移動機器7のセキュアエレメント8に格納されたアプリケーションのアプリケーション識別子であってもよい。
【0082】
アプリケーションメッセージからセキュアエレメントメッセージを生成するステップ81において、セキュアエレメントメッセージが生成される。これは、単にアプリケーションメッセージを転送すること、またはアプリケーションメッセージのカプセル化と同じくらい単純であり得る。
【0083】
署名のためにセキュアエレメントメッセージを送信する随意的ステップ82において、セキュアエレメントメッセージは、署名のためにセキュアエレメント管理サーバ4に送信される。これはたとえば、セキュアエレメントマネージャ4の制御の下にあってもよく、それによってセキュアエレメント8に対する特定の操作の制御を維持することが可能な、アプリケーションインストール、アプリケーション削除などの、セキュアエレメント8における承認された操作を実行するために、必要となり得る。随意的に、一群のセキュアエレメントメッセージが、効率化のため署名のために送信される。随意的に、セキュアエレメントマネージャ4は、送信先セキュアエレメント8に応じて選択される。たとえば、送信先セキュアエレメント8がオペレータAに属している場合、オペレータAに属しているセキュアエレメントマネージャ4がこのステップにおいて選択される。通常、アプリケーション管理サーバ1は、各々がその制御の下にある一群のセキュアエレメント8を備える、たとえば複数のオペレータに属している、そこから選択すべき複数のセキュアエレメントマネージャ4を有している。
【0084】
ステップ82が実行された場合、セキュアエレメントメッセージのための署名を受信するために、ステップ83が実行される。署名はセキュアエレメントメッセージに添付されることが可能であるか、またはこれはそれ自体で送信されることが可能である。一群のセキュアエレメントメッセージがステップ82において送信される場合、一群の署名(元のセキュアエレメントメッセージに添付されるかまたはそれ自体で)がこのステップにおいて受信される。
【0085】
接続プロバイダを選択するステップ84において、送信先セキュアエレメント8と通信可能な接続プロバイダが選択される。たとえば、接続プロバイダは、移動機器7のホームネットワークの移動体通信事業者であってもよい。アプリケーション管理サーバ1は、適切な接続プロバイダを選択する際に、そこから選択すべき複数の接続プロバイダを有している。したがって、アプリケーションサーバ3から複雑さが遮蔽され、これは単純にアプリケーションメッセージをアプリケーション管理サーバ1に送信し、適切な接続プロバイダの選択およびこれとの通信をアプリケーション管理サーバ1に担当させることが可能である。
【0086】
セキュアチャネルを設定する随意的なステップ86において、セキュアエレメント8にセキュアチャネルが設定される。これは、アプリケーションサーバ3がセキュアエレメント8との安全な通信をアプリケーションサーバ3に委ねる場合に、使用されることが可能である。あるいは、アプリケーションサーバ3自体が安全な接続を行う場合には、アプリケーションサーバ3とセキュアエレメント8上のアプリケーションとの間のエンドツーエンドセキュリティはアプリケーションサーバ3の支援なしに維持されるので、通常このステップは省略される。このステップ86において、安全領域が選択され、セキュアエレメント8上の安全領域と、ひいてはその領域におけるいずれかのアプリケーションと、安全に通信するために暗号鍵などの必要なセキュリティ対策が使用される。
【0087】
セキュアエレメントメッセージを送信するステップ87において、送信先セキュアエレメント8に転送するために、セキュアエレメント8は、選択された接続プロバイダに送信される。当然ながら、署名が取得されれば、これらもまた選択された接続プロバイダを経由してセキュアエレメント8に送信される。セキュアチャネルが事前に設定されている場合には、このセキュアチャネルは、明白にまたは暗黙的に、送信において使用される。
【0088】
確認応答を扱う随意的なステップ88において、アプリケーション管理サーバ1は、選択された接続プロバイダから、送信先セキュアエレメント8がセキュアエレメントメッセージを受信したという確認応答を受信する。続いて、送信先セキュアエレメント8がセキュアエレメントメッセージを受信したという確認応答は、アプリケーションサーバ3に送信される。
【0089】
図8は、コンピュータ読み取り可能手段100を含むコンピュータプログラム製品の一例を示す。このコンピュータ読み取り可能手段100上に、コンピュータプログラムが格納可能であり、コンピュータプログラムはコンピュータに、本明細書に記載の実施形態による方法を実行させることが可能である。本例において、コンピュータプログラム製品は、CD(コンパクトディスク)またはDVD(デジタル多用途ディスク)などの、光ディスクである。コンピュータ読み取り可能手段はまた、フラッシュメモリなどの固体メモリ、またはインターネットなどのネットワークを通じて配布されるソフトウェアパッケージであってもよい。
【0090】
図9は、セキュアエレメント8の環境を示す。セキュアエレメント8は、本質的に、安全な実行の可能性を伴うかまたは伴わない、セキュアメモリである。セキュアメモリは、書き込みおよび/または読み取り操作が承認されている、記憶装置である。安全な実行環境は、これらが安全に分離されるようなやり方でアプリケーションを実行する方法である。対象とするアプリケーションのために割り当てられた、実装済みセキュアメモリの部分にアクセスするために、安全な実行環境からの統合された支援が存在する場合も多い。セキュアエレメント8の例は、グローバルプラットフォーム仕様に準拠しているセキュアエレメント、TCG仕様に準拠しているTPM/MTMモジュール、およびセキュアメモリを備えるかまたは備えないARM TrustZoneで起動されるCPUであるが、これらに限定されない。セキュアエレメントは、個別のメモリ、または別の目的にも使用される物理的メモリ内の論理メモリ空間であってもよい。
【0091】
通常、セキュアエレメント8との通信の必要もある。この通信は、セキュアエレメント8の安全な実行環境において動作するアプリケーションによって、および/またはセキュアメモリによって直接的に、行われることが可能である。このような通信プロトコル102の一例は、ISO7816で定義されるAPDUに基づくプロトコルであるが、これに限定されない。このような通信は一般的に、接続装置101を使用して実行される。
【0092】
本発明は、トラステッドサービスマネージャ、この場合にはアプリケーション管理サーバ1から、低レベルセキュアエレメント信号を分離することを可能にする。これはまた、転送されたデータがセキュアエレメントマネージャ4などの第三者によって照合/署名される可能性も提供する。これは、セキュアエレメント接続プロバイダ5とサービスプロバイダのアプリケーションサーバ3との間の仲介者の役割において、アプリケーション管理サーバ1に大いに貢献することが可能な、複数の新たな信頼モデルを可能にする。これはまた、サービスプロバイダのアプリケーションサーバ3が、セキュアエレメント8上のそのアプリケーションおよび/またはセキュリティドメインとの直接的な、リアルタイムの、非特定用途向けの、インターフェースを有することも可能にする。これはサービスプロバイダに、今日セキュアエレメント8がサービスプロバイダのシステムと物理的に接触しているときにすでに有しているのと同じタイプの、セキュアエレメント8に対するインターフェースを与える。これは、サービスプロバイダが、TSMを使用しているときに、セキュアエレメント8と通信するために既存のプロトコルを再利用できるようにする。
【0093】
本明細書においてサーバという用語が使用されるときはいつでも、記載されるようなタスクを実行可能な、いずれかの適切なコンピュータが使用され得る。たとえば、Linux、MS Windows、Apple Mac OS、UNIX系OSなどのオペレーティングシステムを実行するコンピュータが、使用され得る。いずれのサーバも、プロセッサ(たとえばCPUなど)、RAMなどの一時メモリを含み、磁気記憶装置、固体記憶装置、光学記憶装置、またはこれらのいずれかの組合せなどの永続性記憶装置へのアクセスを有する。
【0094】
本発明について、主に、幾つかの実施形態を参照して上記に説明した。しかしながら、当業者によって容易に理解されるように、先に開示された以外の実施形態も、本発明の範囲内において同様に可能である。
【技術分野】
【0001】
本発明は主に、1つ以上のセキュアエレメントとの通信に関する。
【背景技術】
【0002】
近距離無線通信(NFC)は、多くの異なる種類の有益なサービスを可能にする技術である。特に、支払い、発券、物理的アクセス、およびクーポンなどの、価値に基づくサービスが議論されてきた。このタイプのサービスには、安全な方法でアプリケーションを実行したいという当然の願望がある。
【0003】
NFCアプリケーションを安全に実行する解決法の1つは、アプリケーションをセキュアエレメントにインストールすることである。このようなセキュアエレメントの一例は、移動機器のUICC(汎用ICカード)であろうが、しかし移動機器に埋め込まれたセキュアエレメント、またはセキュアデジタルカードの形態のセキュアエレメントなど、別の選択も可能である。
【0004】
セキュアエレメントは、通常は、エンドユーザ自身によってではなく、エンドユーザが課金関係(オペレータ)またはその他の関係(端末製造元)を有するなんらかの実体によって、管理される。
【0005】
セキュアエレメントを利用するサービスプロバイダとセキュアエレメントを管理する実体との間には仲介実体の必要性があることが提案されてきた。この仲介実体は、トラステッドサービスマネージャ(TSM)と称される。
【0006】
今日では、アプリケーションは、製造時にSEに実装される(これはSIM(加入者識別モジュール)およびユーロカード−マスターカード−VISA(EMV)アプリケーションの一般的な管理方法である)。しかしながら、いくつかのSEは、グローバルプラットフォームカード管理システムを利用している。これらのSEは、マルチアプリケーションSEと称される。グローバルプラットフォーム(GP)カード管理システムは、いずれのSEに固有の接続プロトコルにも依存しないが、しかし大抵は製造時に使用される。しかしながら、携帯電話の出現とともに別の手段が現れ、最近では、SIMアプリケーションツールキットと併せてGPを使用する方法が記載されている。しかしながら、これは、TSMが、様々な異なるタイプの低レベル通信および異なるタイプのアプリケーションロジックを扱う非常に複雑な実体でなければならないような、システムをもたらす。
【0007】
結果的に生じるTSMは、TSMを仲介役に適応させるために必要とされる柔軟性の多くが欠落している。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、アプリケーションサーバとセキュアエレメントとの間の通信を簡素化することである。
【課題を解決するための手段】
【0009】
本発明の第一の態様によれば、移動機器に接続されたセキュアエレメントにメッセージを送信する方法が提示され、ここでセキュアエレメントは移動機器のユーザにつながっている。方法は、アプリケーション管理サーバ内で実行される:アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するステップと;アプリケーションメッセージからセキュアエレメントメッセージを生成するステップと;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するステップと;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するステップとを含む。
【0010】
これは、移動機器およびセキュアエレメントとの通信からアプリケーション管理サーバを分離して、新たな機会を提供する。このためアプリケーション管理サーバは、アプリケーションサーバの代理として機能して、送信先セキュアエレメントとの通信を可能にするのに適した適切な接続プロバイダを選択することができる。このため各接続プロバイダは、ひいてはセキュアエレメントとの通信を可能にするために必要な程度に特化され得る。すべての接続プロバイダは、随意的に、アプリケーション管理サーバと同じインターフェースを有することができる。
【0011】
方法は、選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信するステップと;アプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するステップと、をさらに含んでもよい。
【0012】
これは、アプリケーションサーバとセキュアエレメントとの間のリアルタイム通信の一態様であり、先行技術の著しい改善である。
【0013】
セキュアエレメントメッセージを生成するステップは、アプリケーションメッセージをセキュアエレメントメッセージとして使用することを含んでもよい。言い換えると、メッセージは、アプリケーションメッセージからセキュアエレメントメッセージになるときに、随意的に変換されない。
【0014】
方法は、セキュアチャネルをセキュアエレメントに設定するステップをさらに含んでもよく、ここで送信先セキュアエレメントに転送するためにセキュアエレメントメッセージを送信するステップは、セキュアチャネルを通じてセキュアエレメントメッセージを送信することを含む。このようなセキュアチャネルは、アプリケーションサーバがアプリケーション管理サーバを信頼している場合に、アプリケーション管理サーバとセキュアエレメントとの間の通信を可能にし、そのためアプリケーションサーバはセキュアエレメントとの安全な通信を管理する必要がない。
【0015】
方法は、セキュアエレメントメッセージを送信するステップに先立って:セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信するステップと;セキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するステップと、をさらに含んでもよく、ここでセキュアエレメントメッセージを接続プロバイダに送信することは、署名を送信することを含む。これは、セキュアエレメント管理サーバが、セキュアエレメントと通信しながらどのメッセージが署名されているかについて完全な制御を維持することを、可能にする。随意的に、暗号化も同様に機能することができる。
【0016】
署名は、署名されるメッセージに添付されてもよい。
【0017】
方法は、セキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップに先立って:複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するステップをさらに含んでもよく、ここでセキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップは、セキュアエレメントメッセージを選択されたセキュアエレメント管理サーバに送信することを含む。言い換えると、アプリケーション管理サーバは、送信先セキュアエレメントに対応するセキュアエレメント管理サーバを選択する。
【0018】
署名されるいくつかのセキュアエレメントメッセージはまとめて送信されてもよく、対応する署名はまとめて受信されてもよい。これは、アプリケーション管理サーバとセキュアエレメント管理サーバとの間のより効率的な通信を可能にする。
【0019】
本発明の第二の態様は、移動機器に接続されたセキュアエレメントにメッセージを送信するためのアプリケーション管理サーバであり、ここでセキュアエレメントは移動機器のユーザにつながっている。アプリケーション管理サーバは:アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するように構成されている受信器と;アプリケーションメッセージからセキュアエレメントメッセージを生成するように構成されているコントローラと;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するように構成されている接続セレクタと;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するように構成されている送信器とを含む。
【0020】
接続セレクタは、第二アプリケーション管理サーバを選択するように構成されてもよく、ここで第二アプリケーション管理サーバは、送信先セキュアエレメントと通信可能である。
【0021】
アプリケーション管理サーバはさらに、選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信するように;およびアプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するように、構成されることが可能である。
【0022】
アプリケーションメッセージは、セキュアエレメントメッセージとして使用されることが可能である。
【0023】
アプリケーション管理サーバはさらに、セキュアチャネルをセキュアエレメントに設定し、かつセキュアチャネルを通じてセキュアエレメントメッセージを送信するように、構成されることが可能である。
【0024】
アプリケーション管理サーバは、セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信し、かつセキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するように構成されたセキュアエレメント管理インターフェースを含んでもよい。そして送信器は、選択された接続プロバイダに署名を送信するように構成される。署名は、署名されるメッセージに添付されることが可能である。
【0025】
アプリケーション管理サーバは、複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するように構成されたセキュアエレメント管理サーバセレクタを含んでもよい。
【0026】
署名されるいくつかのセキュアエレメントメッセージはまとめて送信されることが可能であり、対応する署名はまとめて受信されることが可能である。
【0027】
本発明の第三の態様は、移動機器に接続されたセキュアエレメントにメッセージを送信するためのコンピュータプログラムであり、ここでセキュアエレメントは移動機器のユーザにつながっている。コンピュータプログラムは、アプリケーション管理サーバ上で実行されたときに、サーバに:アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信させ;アプリケーションメッセージからセキュアエレメントメッセージを生成させ;複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択させ;送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信させる、コンピュータプログラムコードを含む。
【0028】
コンピュータプログラムは、選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信し;アプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するための、コンピュータプログラムコードを、さらに含んでもよい。
【0029】
コンピュータプログラムコードは、アプリケーションメッセージをセキュアエレメントメッセージとして使用するためのコードを、さらに含んでもよい。
【0030】
コンピュータプログラムは、セキュアチャネルをセキュアエレメントに設定するためのコンピュータプログラムコードをさらに含んでもよく、ここで送信先セキュアエレメントに転送するためにセキュアエレメントを送信するためのコンピュータプログラムコードは、セキュアチャネルを通じてセキュアエレメントを送信するためのコンピュータプログラムコードを含む。
【0031】
コンピュータプログラムは、セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信し;セキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するための、コンピュータプログラムコードをさらに含んでもよく、ここでセキュアエレメントメッセージを接続プロバイダに送信するためのコンピュータプログラムコードは、署名を送信するためのコンピュータプログラムコードを含む。
【0032】
コンピュータプログラムは、複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するためのコンピュータプログラムコードをさらに含んでもよく、ここでセキュアエレメントメッセージをセキュアエレメント管理サーバに送信するためのコンピュータプログラムコードは、セキュアエレメントメッセージを選択されたセキュアエレメント管理サーバに送信するためのコンピュータプログラムコードを含む。
【0033】
署名されるいくつかのセキュアエレメントメッセージはまとめて送信されてもよく、対応する署名はまとめて受信されてもよい。
【0034】
本発明の第四の態様は、第三の態様によるコンピュータプログラム、およびコンピュータプログラムが格納されているコンピュータ読み取り可能手段を含む、コンピュータプログラム製品である。
【0035】
第一、第二、第三、および第四の態様のいずれの特徴も、適切であれば、いずれか別の態様に適用されてもよいことに注意されたい。
【0036】
「複数」という語が明細書および請求項において使用される場合はいつでも、「1つより多い」ことを意味すると理解される。
【0037】
一般的に、請求項において使用されるすべての用語は、本明細書において別途明確に定義されない限り、当該技術分野におけるその一般的な意味に従って解釈されるべきである。「1つの/その要素、装置、部品、手段、ステップなど」という表現はすべて、別途明確に提示されない限り、その要素、装置、部品、手段、ステップなどの少なくとも1つの例を示すものとして、非限定的に解釈される。本明細書に開示されるいずれの方法のステップも、明確に提示されない限り、開示された順序のとおりに実行される必要はない。
【0038】
本発明はここで、以下の添付図面を参照して、例示によって記載される。
【図面の簡単な説明】
【0039】
【図1】本発明の実施形態が適用され得る環境を示す模式図である。
【図2】セキュアエレメントへのアプリケーションのインストールのための、図1の実体の間の通信を示すシーケンス図である。
【図3】アプリケーションサーバとセキュアエレメントとの間のリアルタイム通信のための、図1の実体の間の通信を示すシーケンス図である。
【図4】図1のアプリケーションマネージャの内部モジュールを示す模式図である。
【図5】図1のセキュアエレメントマネージャ4の内部モジュールを示す模式図である。
【図6】別の視点からの、図1のアプリケーションマネージャの内部モジュールを示す模式図である。
【図7】図1のアプリケーションマネージャにおいて実行される方法を示すフローチャートである。
【図8】コンピュータ読み取り可能手段を含むコンピュータプログラム製品の一例を示す図である。
【図9】図1のセキュアエレメントとの通信を示す模式図である。
【発明を実施するための形態】
【0040】
本発明はここで、本発明の特定の実施形態が示される添付図を参照して、以下により詳細に記載される。しかしながら、本発明は、多くの異なる形態で実現されてもよく、本明細書内に提示される実施形態に限定されると解釈されるべきではない;むしろ、これらの実施形態は、本開示が徹底的かつ完璧になるように、および本発明の範囲を当業者に完全に伝えるように、一例として提供される。類似の番号は、明細書を通じて類似の要素を示す。
【0041】
トラステッドサービスマネージャを使用する既存の解決法は、TSMと、たとえばOTA(無線)サーバなど、セキュアエレメントと通信するために使用される実際の通信チャネルとの間に、緊密な結合を有する。これらは、TSMと、使用されるアプリケーションロジックとの間にも緊密な結合を有する。これは、TSMが、すべての異なるタイプの低レベル通信およびすべての異なるタイプのアプリケーションロジックを扱う非常に複雑な実体でなければならないような、システムにつながる。これはまた、サービスプロバイダと、セキュアエレメント上のサービスプロバイダのアプリケーションとの間にエンドツーエンドの信頼関係がある信頼モデルを妨害する。代わりに、サービスプロバイダは、安全性を提供するので、強制的にTSMを信頼させられる。
【0042】
また、セキュアエレメントによって要求された場合に、サービスプロバイダに代わって、TSMとセキュアエレメントとの間で送信されたコマンドに署名することが可能な、セキュアエレメントマネージャの包含もない。これはたとえば、アプリケーションマネージャが管理コマンド(たとえば新たなアプリケーションのインストールまたはセキュアエレメント上のアプリケーションのアンインストールなど)を実行したいが、しかし承認された管理権を有していない場合に、必要とされる。
【0043】
これらの能力の欠落は、TSMを仲介役に適応させるために必要とされる柔軟性の多くが欠落しているシステムをもたらす。
【0044】
ここで、図1に示されるシステムを参照して説明を続ける。本システムは、AからGの7つのインターフェース、および1、3〜5、7〜9の7つの機能ブロックからなる。以下に、機能ブロックの説明を続ける。
【0045】
アプリケーションサーバ3は、特定用途向けロジックおよびエンドユーザ管理を担っている。エンドユーザは、たとえば移動機器7のブラウザアプリケーション、外部コンピュータのブラウザから、またはアプリケーションサーバ3と接続する特定のソフトウェアを通じて、アプリケーションサーバと個別に接続することができる。アプリケーションサーバ3は、たとえば銀行、輸送業者、イベントチケット販売業者、クーポン発行サービスなどの、サービスプロバイダの責任の下にあってもよい。
【0046】
アプリケーション管理サーバ1は、セキュアエレメント8上のアプリケーションのインストールおよび管理に関与するサーバである。したがって、アプリケーション管理サーバ1は、(セキュアエレメントマネージャからの承認を必要とする操作のため)管理トークンを獲得するためにセキュアエレメントマネージャと、セキュアエレメントへのリンクを設定するためにセキュアエレメント接続プロバイダと、および実際のアプリケーション管理を実行するためにセキュアエレメント自体と、交流する。アプリケーション管理サーバ1はまた、いつおよびどこに特定のアプリケーションをインストールすべきか、またはアプリケーションサーバ3がどのアプリケーションまたはセキュリティドメインと通信しようとしているかを知るために、アプリケーションサーバ3とも交流する。アプリケーション管理サーバ1は、アプリケーションサーバ3との接続を簡素化し、それによってアプリケーションサーバ3はアプリケーション管理サーバ1の範囲内のいずれのセキュアエレメントとのいかなる通信(リアルタイムであってもなくても)のためにも、アプリケーション管理サーバ1に接続することが可能となる。
【0047】
セキュアエレメント接続プロバイダ5は、セキュアエレメントへのリンクの設定に関与するサーバである。セキュアエレメント接続プロバイダ5は、SIM OTA、OMA DMサーバ、またはセキュアエレメントと通信可能なその他いずれかの実体であってもよい。
【0048】
セキュアエレメントマネージャ4は、セキュアエレメント上に承認された管理権を備える安全領域を有するサーバである。アプリケーション管理サーバ1は、管理トークンを作成するために、セキュアエレメントマネージャ4と交流する。
【0049】
移動機器7。移動機器7は、アプリケーション管理サーバ1とセキュアエレメントとの間にリンクを設定するために、セキュアエレメント接続プロバイダ5と交流する。移動機器7は、たとえば携帯(セルラー)電話であってもよい。
【0050】
セキュアエレメント8は、アプリケーションサーバ3によって発行されたアプリケーションを収容し、アプリケーションを管理するためにアプリケーション管理サーバ1と交流する。
【0051】
図1に見られるインターフェースは7つあり、これらは以下に示される。
【0052】
インターフェースAは、以下のタスクを実行するために、アプリケーションサーバ3とアプリケーション管理サーバ1との交流を可能にする:
−セキュアエレメントに向けられたアプリケーションをアプリケーション管理サーバ1にアップロードする。
−グローバルプラットフォームに基づくセキュアチャネルプロトコルを使用して、特定の身元(特定用途向けエイリアスまたはMSISDNに拘束されている)に属するセキュアエレメント8上にアプリケーションをロード、アンインストール、またはカスタマイズする。
−セキュアエレメント8上のインストール済みアプリケーションまたはセキュリティドメインとのリアルタイム通信を有する。
−セキュリティドメインを作成/削除する。
−特定の要素または実体(上記のように定義される)が空間などによって特定用途を実行できるか否かに関する情報を要求する。
【0053】
インターフェースBは、セキュアエレメントマネージャ4の秘密鍵で署名されるAPDU(アプリケーションプロトコルデータ単位)を送信するために、アプリケーション管理サーバ1がセキュアエレメントマネージャ4と交流できるようにする。
【0054】
インターフェースCは、セキュアエレメントとリアルタイム通信を有するために、アプリケーション管理サーバ1がセキュアエレメント8へのWANリンクを設定できるようにする。
【0055】
インターフェースDは、セキュアエレメントへのリンクを設定するために、セキュアエレメント接続プロバイダ5によって使用される。このインターフェースは、SIM OTA、OMA DM、HTTPS、またはいずれかの形式でAPDUを送信することが可能なその他のプロトコルに基づくことが、可能である。
【0056】
インターフェースEは、セキュアエレメント8と交流するためにアプリケーション管理サーバ1によって使用され、グローバルプラットフォーム仕様に基づくことが可能である。
【0057】
インターフェースFは、セキュアエレメント8と交流するためにアプリケーションサーバ3によって使用され、たとえばAPDUを使用することが可能である。
【0058】
インターフェースGは、当該技術分野そのものにおいて周知のように、セキュアエレメント8と販売時点管理(PoS)端末9との間のインターフェースである。このインターフェースを通じての通信を可能にするために、APDUが利用され得る。
【0059】
アプリケーション管理サーバ1の恩恵の多くは、一般的に、完全なシステムは複数のセキュアエレメント接続プロバイダ5および複数のセキュアエレメントマネージャ4を含むという事実に起因する。この事実は、アプリケーション管理サーバ1によって、アプリケーションサーバ3から隠されている。
【0060】
図2は、図1および図2の要素を使用して、まずアプリケーションをアプリケーション管理サーバ1にどのようにアップロードするか、次にこのアプリケーションをセキュアエレメント8にどのようにインストールするかを示す、シーケンス図である。
【0061】
まず、アプリケーションサーバ3とアプリケーション管理サーバ1との間にのみ、交流がある。アプリケーションサーバ3は、アプリケーション管理サーバ1にアプリケーションを格納するように依頼10し、それによってアプリケーションマネージャは、アプリケーションがアプリケーション管理サーバ1に格納されたときに、確認メッセージをもって応答11する。このシーケンスは一度実行され、その後アプリケーション管理サーバ1はこのアプリケーションを、多くの異なるセキュアエレメント8に対して再利用することができる。アプリケーション管理サーバ1がこのアプリケーションを、アップロードされたもの以外のアプリケーションサーバ3に対して再利用するようにすることも可能である。
【0062】
続いて、アプリケーションサーバ3は、アプリケーション管理サーバ1にこのアプリケーションを特定のエンドユーザにインストールするように依頼12し、それによってアプリケーション管理サーバ1は確認応答をもって応答13する。するとアプリケーション管理サーバ1は、エンドユーザ装置内で利用可能な複数のセキュアエレメントの中から選択することができる。1つを選択した後、これはグローバルプラットフォーム仕様に応じて署名されたロードおよびインストールコマンドを取得するために、そのセキュアエレメント8のセキュアエレメントマネージャ4(たとえばセキュアエレメント8に対応するオペレータまたは端末製造元)に接触14する。署名されたこれらのコマンドを受信15した後、アプリケーション管理サーバ1は、セキュアエレメント接続プロバイダ5と通信16することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメント接続プロバイダ5はその後、ひいてはセキュアエレメント8とのチャネルを開放18する移動機器にこれを要求17することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメントは移動機器7への開放チャネルを確認19し、これがひいては接続プロバイダ5を確認20し、これが最終的にアプリケーションマネージャ1への開放チャネルを確認21する。このチャネルを通じて、グローバルプラットフォーム標準化セキュアチャネルが最初に設定され、次に実際のロードおよびインストールコマンドが送信される。コマンドは、アプリケーションマネージャ1から接続プロバイダ5に送信29され、これが、セキュアエレメントへのさらなる転送31のため、コマンドを移動機器7へ転送30する。コマンドは、セキュアエレメント8から移動機器7へ、そしてアプリケーションマネージャ1へ、通知32、33、34される。コマンドはいくつでも送信可能であり、必要に応じて通信29〜34を繰り返す。すべての準備が整ったら、確認応答はアプリケーションサーバ3へ送信35される。
【0063】
図3は、図1の要素を使用して、アプリケーションサーバ3がインストール済みアプリケーションとのリアルタイム通信をどのように実行するかを示す、シーケンス図である。
【0064】
アプリケーションサーバ3がそのインストール済みアプリケーション(またはセキュリティドメイン)とリアルタイムのデータをやりとりしたい場合、アプリケーションサーバ3はアプリケーション管理サーバ1に、特定のアプリケーション(またはセキュリティドメイン)へのチャネルを開放するように要求40する。アプリケーション管理サーバ1は、セキュアエレメント接続プロバイダ5と通信41することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメント接続プロバイダ5はその後、ひいてはセキュアエレメント8とのチャネルを開放43する移動機器7に、これを要求42することによって、セキュアエレメント8へのチャネルを開放する。セキュアエレメントは移動機器7への開放チャネルを確認44し、ひいてはこれが接続プロバイダ5を確認45し、これが最終的にアプリケーションマネージャ1への開放チャネルを確認46する。アプリケーション管理サーバ1がチャネルの開放に成功した場合、これはその後に、アプリケーション管理サーバ1およびセキュアエレメント接続プロバイダ5を経由して、アプリケーションまたはセキュリティドメインにAPDUを直接転送するために、アプリケーションサーバ3によって使用されることが可能である。これは、APDUがアプリケーションサーバ3からアプリケーション管理サーバ1へ、そして接続プロバイダ5を経由してセキュアエレメント8へ転送51、52、53することによって実行される。応答APDUは、セキュアエレメント8から接続プロバイダ5およびアプリケーション管理サーバ1を経由してアプリケーションサーバ3へ、逆の順序で送信54、55、56される。複数のAPDUは、アプリケーションサーバ3によって望まれるように転送されることが可能であり、それによって通信51〜56が繰り返される。
【0065】
アプリケーションサーバ3は、通信を終了すると、アプリケーション管理サーバ1にチャネルを閉鎖するように要求58することによってこれを示す。チャネルが開放されたときと類似の方法で、アプリケーション管理サーバ1は、接続プロバイダ5および移動機器7を経由する通信59〜61を使用して、チャネルを閉鎖する。閉鎖チャネルの確認応答は、セキュアエレメント8から接続プロバイダ5およびアプリケーション管理サーバ1を経由してアプリケーションサーバ3へ、逆の順序で送信される。
【0066】
この例のチャネルは、変更のないAPDU、またはいずれかのセキュアチャネルプロトコルを使用して暗号化および/または署名されたAPDUを搬送してもよい。この場合、セキュアエレメントマネージャ4を包含する必要があるかもしれない。これは図4には示されていないが、しかし図2に示されるのと同じ方法で実現可能である。言い換えると、暗号化される必要のあるいずれのコマンドも、署名または暗号化のために、アプリケーション管理サーバ1からセキュアエレメントマネージャ4に送信される。
【0067】
図4は、図1および図2のアプリケーション管理サーバ1の内部を示す。アプリケーション管理サーバ1は、異なる要素との関係を取り扱う一組のデータベース75〜80を含む。具体的には、アプリケーションサーバ3の動きを記録するための記憶装置75、アプリケーションの動きを記録するための記憶装置76、セキュアエレメント8の動きを記録するための記憶装置77、エンドユーザの動きを記録するための記憶装置78、セキュアエレメントマネージャ4の動きを記録するための記憶装置79、およびセキュアエレメント接続プロバイダ5の動きを記録するための記憶装置80がある。これに加えて、アプリケーション管理サーバ1は、異なるタスクを実行するために、多数のエンジンを含む。インターフェースAエンジン70、インターフェースBエンジン72、およびインターフェースCエンジン74など、異なるインターフェースを通じて通信を制御するためのエンジン70、72、74が存在する。さらに、これらの要素をまとめる中央エンジン73が存在する。グローバルプラットフォームプロトコルを実行し、APDUを作成するためのエンジン71も存在する。
【0068】
通常、フローは、アプリケーション管理サーバ1がセキュアエレメント8へのチャネルを開放し、次にこのチャネルを通るべきAPDUがセキュアエレメントマネージャ4によって署名されるべきか否かに応じて、署名のためにAPDUをセキュアエレメントマネージャ4に転送し、新たに開放されたチャネルを通じて署名されたAPDUを転送するか、あるいは単にチャネルを通じて署名されていないAPDUを転送するものである。
【0069】
図5は、図1および図2のセキュアエレメントマネージャ4ノードの構成要素を示す。セキュアエレメントマネージャ4は、会計目的のための記憶装置112(任意)およびトークンを作成するためのキー記憶装置113を含む。これはまた、それを通じてアプリケーション管理サーバ1および署名エンジン111と通信することが可能な、インターフェースBエンジン110も含む。
【0070】
セキュアエレメントマネージャノード4の主要な目的は、コマンドがカードに向かうセキュアチャネルに入力される前に、アプリケーション管理サーバ1からの管理コマンドに署名することである。これは、セキュアエレメントマネージャ4が、承認された管理権限およびトークン照合権限を有するカード上の安全領域を有することを前提とする。以下のコマンドにおいて、委任された管理権限を有するのみである場合、アプリケーション管理サーバ1にとってトークンが必要とされる:
・実装;
・インストールおよび選択可能とすること;
・引き渡し;
・グローバルプラットフォームレジストリへのアップデート;
・削除。
【0071】
トークン生成は、パッケージごとに実行される。
【0072】
図6は、図1のアプリケーション管理サーバ1の別の視点におけるモジュールを示す。モジュール93、94、96、98、88は、ソフトウェアおよび/またはハードウェアを使用して、実現されることが可能である。モジュールが、コントローラおよびメモリなどのいくつかのハードウェア構成要素を共有してもよいことも特筆されるべきである。アプリケーション管理サーバ1は、そこに送信される適切なメッセージに対して機能するように構成されたサーバである。
【0073】
アプリケーション管理サーバ1は、アプリケーションサーバ3から、アプリケーションメッセージおよび送信先セキュアエレメント8の識別子を、インターフェースAを通じて受信するように構成された、受信器93を含む。受信器93は、インターフェースAを使用し、図4のインターフェースAエンジンに対応している。受信器はまた、インターフェースAを通じて双方向通信を実現するために、送信器を含むことも可能である。
【0074】
コントローラ94は、アプリケーションメッセージからセキュアエレメントメッセージを生成するように構成されている。コントローラは、たとえばサーバの中央処理装置(CPU)であってもよい。
【0075】
接続セレクタ98は、複数の接続プロバイダから、送信先セキュアエレメント8と通信可能な接続プロバイダを選択するように構成されている。第二アプリケーション管理サーバ1が送信先セキュアエレメント8と通信可能である場合、接続セレクタ98は、この第二アプリケーション管理サーバ1を選択することができる。
【0076】
送信器99は、送信先セキュアエレメント8に転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するように構成されている。送信器99はインターフェースCを使用し、図4のインターフェースCエンジン74に対応している。送信器はまた、インターフェースCを通じて双方向通信を実現するために、インターフェースC受信器を含むことも可能である。
【0077】
セキュアエレメント管理インターフェース95(図4参照)は:セキュアエレメント管理サーバに、セキュアエレメントメッセージを送信し;セキュアエレメント管理サーバから、セキュアエレメントメッセージの署名を受信するように、構成されている要素を含む。セキュアエレメント管理インターフェース95は、図4のインターフェースBエンジン72に対応する。
【0078】
セキュアエレメント管理サーバセレクタ92は、複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するように構成されている。選択されたセキュアエレメント管理サーバは、セキュアエレメント管理インターフェース72を使用する通信に使用される。
【0079】
ここではメモリ96の形態の、コンピュータプログラム製品が提供され、これはRAMなどの一時メモリであり、磁気記憶装置、固体記憶装置、光学記憶装置、またはこれらのいずれかの組合せなどの永続性記憶装置および/またはそれに対するアクセスを有する。メモリ96は、アプリケーション管理サーバ1上で実行されたときに、図7を参照して以下に記載される方法をアプリケーション管理サーバ1に実行させるソフトウェアコードを含むコンピュータプログラムを含むことができる。
【0080】
図7は、本発明による方法を示すフローチャートである。方法は、図1のその他の要素と併せて、図1のアプリケーション管理サーバ1において実行される。
【0081】
最初の受信アプリケーションメッセージステップ80において、アプリケーションメッセージがアプリケーションサーバ3から受信される。アプリケーションメッセージは、アプリケーションメッセージの一部として、または別途に、アプリケーションメッセージの内容をどこに送信すべきかの識別子を含む。この識別子はたとえば、MSISDN番号(すなわち電話番号)、および随意的にMSISDN番号に結びつけられた移動機器7のセキュアエレメント8に格納されたアプリケーションのアプリケーション識別子であってもよい。
【0082】
アプリケーションメッセージからセキュアエレメントメッセージを生成するステップ81において、セキュアエレメントメッセージが生成される。これは、単にアプリケーションメッセージを転送すること、またはアプリケーションメッセージのカプセル化と同じくらい単純であり得る。
【0083】
署名のためにセキュアエレメントメッセージを送信する随意的ステップ82において、セキュアエレメントメッセージは、署名のためにセキュアエレメント管理サーバ4に送信される。これはたとえば、セキュアエレメントマネージャ4の制御の下にあってもよく、それによってセキュアエレメント8に対する特定の操作の制御を維持することが可能な、アプリケーションインストール、アプリケーション削除などの、セキュアエレメント8における承認された操作を実行するために、必要となり得る。随意的に、一群のセキュアエレメントメッセージが、効率化のため署名のために送信される。随意的に、セキュアエレメントマネージャ4は、送信先セキュアエレメント8に応じて選択される。たとえば、送信先セキュアエレメント8がオペレータAに属している場合、オペレータAに属しているセキュアエレメントマネージャ4がこのステップにおいて選択される。通常、アプリケーション管理サーバ1は、各々がその制御の下にある一群のセキュアエレメント8を備える、たとえば複数のオペレータに属している、そこから選択すべき複数のセキュアエレメントマネージャ4を有している。
【0084】
ステップ82が実行された場合、セキュアエレメントメッセージのための署名を受信するために、ステップ83が実行される。署名はセキュアエレメントメッセージに添付されることが可能であるか、またはこれはそれ自体で送信されることが可能である。一群のセキュアエレメントメッセージがステップ82において送信される場合、一群の署名(元のセキュアエレメントメッセージに添付されるかまたはそれ自体で)がこのステップにおいて受信される。
【0085】
接続プロバイダを選択するステップ84において、送信先セキュアエレメント8と通信可能な接続プロバイダが選択される。たとえば、接続プロバイダは、移動機器7のホームネットワークの移動体通信事業者であってもよい。アプリケーション管理サーバ1は、適切な接続プロバイダを選択する際に、そこから選択すべき複数の接続プロバイダを有している。したがって、アプリケーションサーバ3から複雑さが遮蔽され、これは単純にアプリケーションメッセージをアプリケーション管理サーバ1に送信し、適切な接続プロバイダの選択およびこれとの通信をアプリケーション管理サーバ1に担当させることが可能である。
【0086】
セキュアチャネルを設定する随意的なステップ86において、セキュアエレメント8にセキュアチャネルが設定される。これは、アプリケーションサーバ3がセキュアエレメント8との安全な通信をアプリケーションサーバ3に委ねる場合に、使用されることが可能である。あるいは、アプリケーションサーバ3自体が安全な接続を行う場合には、アプリケーションサーバ3とセキュアエレメント8上のアプリケーションとの間のエンドツーエンドセキュリティはアプリケーションサーバ3の支援なしに維持されるので、通常このステップは省略される。このステップ86において、安全領域が選択され、セキュアエレメント8上の安全領域と、ひいてはその領域におけるいずれかのアプリケーションと、安全に通信するために暗号鍵などの必要なセキュリティ対策が使用される。
【0087】
セキュアエレメントメッセージを送信するステップ87において、送信先セキュアエレメント8に転送するために、セキュアエレメント8は、選択された接続プロバイダに送信される。当然ながら、署名が取得されれば、これらもまた選択された接続プロバイダを経由してセキュアエレメント8に送信される。セキュアチャネルが事前に設定されている場合には、このセキュアチャネルは、明白にまたは暗黙的に、送信において使用される。
【0088】
確認応答を扱う随意的なステップ88において、アプリケーション管理サーバ1は、選択された接続プロバイダから、送信先セキュアエレメント8がセキュアエレメントメッセージを受信したという確認応答を受信する。続いて、送信先セキュアエレメント8がセキュアエレメントメッセージを受信したという確認応答は、アプリケーションサーバ3に送信される。
【0089】
図8は、コンピュータ読み取り可能手段100を含むコンピュータプログラム製品の一例を示す。このコンピュータ読み取り可能手段100上に、コンピュータプログラムが格納可能であり、コンピュータプログラムはコンピュータに、本明細書に記載の実施形態による方法を実行させることが可能である。本例において、コンピュータプログラム製品は、CD(コンパクトディスク)またはDVD(デジタル多用途ディスク)などの、光ディスクである。コンピュータ読み取り可能手段はまた、フラッシュメモリなどの固体メモリ、またはインターネットなどのネットワークを通じて配布されるソフトウェアパッケージであってもよい。
【0090】
図9は、セキュアエレメント8の環境を示す。セキュアエレメント8は、本質的に、安全な実行の可能性を伴うかまたは伴わない、セキュアメモリである。セキュアメモリは、書き込みおよび/または読み取り操作が承認されている、記憶装置である。安全な実行環境は、これらが安全に分離されるようなやり方でアプリケーションを実行する方法である。対象とするアプリケーションのために割り当てられた、実装済みセキュアメモリの部分にアクセスするために、安全な実行環境からの統合された支援が存在する場合も多い。セキュアエレメント8の例は、グローバルプラットフォーム仕様に準拠しているセキュアエレメント、TCG仕様に準拠しているTPM/MTMモジュール、およびセキュアメモリを備えるかまたは備えないARM TrustZoneで起動されるCPUであるが、これらに限定されない。セキュアエレメントは、個別のメモリ、または別の目的にも使用される物理的メモリ内の論理メモリ空間であってもよい。
【0091】
通常、セキュアエレメント8との通信の必要もある。この通信は、セキュアエレメント8の安全な実行環境において動作するアプリケーションによって、および/またはセキュアメモリによって直接的に、行われることが可能である。このような通信プロトコル102の一例は、ISO7816で定義されるAPDUに基づくプロトコルであるが、これに限定されない。このような通信は一般的に、接続装置101を使用して実行される。
【0092】
本発明は、トラステッドサービスマネージャ、この場合にはアプリケーション管理サーバ1から、低レベルセキュアエレメント信号を分離することを可能にする。これはまた、転送されたデータがセキュアエレメントマネージャ4などの第三者によって照合/署名される可能性も提供する。これは、セキュアエレメント接続プロバイダ5とサービスプロバイダのアプリケーションサーバ3との間の仲介者の役割において、アプリケーション管理サーバ1に大いに貢献することが可能な、複数の新たな信頼モデルを可能にする。これはまた、サービスプロバイダのアプリケーションサーバ3が、セキュアエレメント8上のそのアプリケーションおよび/またはセキュリティドメインとの直接的な、リアルタイムの、非特定用途向けの、インターフェースを有することも可能にする。これはサービスプロバイダに、今日セキュアエレメント8がサービスプロバイダのシステムと物理的に接触しているときにすでに有しているのと同じタイプの、セキュアエレメント8に対するインターフェースを与える。これは、サービスプロバイダが、TSMを使用しているときに、セキュアエレメント8と通信するために既存のプロトコルを再利用できるようにする。
【0093】
本明細書においてサーバという用語が使用されるときはいつでも、記載されるようなタスクを実行可能な、いずれかの適切なコンピュータが使用され得る。たとえば、Linux、MS Windows、Apple Mac OS、UNIX系OSなどのオペレーティングシステムを実行するコンピュータが、使用され得る。いずれのサーバも、プロセッサ(たとえばCPUなど)、RAMなどの一時メモリを含み、磁気記憶装置、固体記憶装置、光学記憶装置、またはこれらのいずれかの組合せなどの永続性記憶装置へのアクセスを有する。
【0094】
本発明について、主に、幾つかの実施形態を参照して上記に説明した。しかしながら、当業者によって容易に理解されるように、先に開示された以外の実施形態も、本発明の範囲内において同様に可能である。
【特許請求の範囲】
【請求項1】
移動機器に接続されたセキュアエレメントにメッセージを送信する方法であって、セキュアエレメントが移動機器のユーザにつながっているもので、アプリケーション管理サーバ内で実行される、
アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するステップと、
アプリケーションメッセージからセキュアエレメントメッセージを生成するステップと、
複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するステップと、
送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するステップと
を含む方法。
【請求項2】
選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信するステップと、
アプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するステップと
をさらに含む、請求項1に記載の方法。
【請求項3】
前記セキュアエレメントメッセージを生成するステップが、アプリケーションメッセージをセキュアエレメントメッセージとして使用することを含む、請求項1または2に記載の方法。
【請求項4】
セキュアチャネルをセキュアエレメントに設定するステップ
をさらに含み、
送信先セキュアエレメントに転送するためにセキュアエレメントメッセージを送信するステップが、セキュアチャネルを通じてセキュアエレメントメッセージを送信することを含む、請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
セキュアエレメントメッセージを送信するステップに先立って、
セキュアエレメント管理サーバにセキュアエレメントメッセージを送信するステップと、
セキュアエレメント管理サーバからセキュアエレメントメッセージの署名を受信するステップと
をさらに含み、
セキュアエレメントメッセージを接続プロバイダに送信することが、署名を送信することを含む、請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
署名が、署名されるメッセージに添付される、請求項5に記載の方法。
【請求項7】
セキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップに先立って、
複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するステップ
をさらに含み、
セキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップが、セキュアエレメントメッセージを選択されたセキュアエレメント管理サーバに送信することを含む、請求項5または6に記載の方法。
【請求項8】
署名される複数のセキュアエレメントメッセージがまとめて送信され、対応する署名がまとめて受信される、請求項5ないし7のいずれか1項に記載の方法。
【請求項9】
移動機器に接続されたセキュアエレメントにメッセージを送信するためのアプリケーション管理サーバであって、セキュアエレメントが移動機器のユーザにつながっているもので、
アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するように構成されている受信器と、
アプリケーションメッセージからセキュアエレメントメッセージを生成するように構成されているコントローラと、
複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するように構成されている接続セレクタと、
送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するように構成されている送信器と
を含むアプリケーション管理サーバ。
【請求項10】
接続セレクタが、請求項9による第二アプリケーション管理サーバを選択するように構成されており、第二アプリケーション管理サーバが送信先セキュアエレメントと通信可能である、請求項9に記載のアプリケーション管理サーバ。
【請求項11】
選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信し、かつアプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するように構成されている、請求項9または10に記載のアプリケーション管理サーバ。
【請求項12】
セキュアエレメント管理サーバにセキュアエレメントメッセージを送信し、かつセキュアエレメント管理サーバからセキュアエレメントメッセージの署名を受信するように構成されたセキュアエレメント管理インターフェースを含む、請求項9ないし11のいずれか1項に記載のアプリケーション管理サーバ。
【請求項13】
複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するように構成されたセキュアエレメント管理サーバセレクタを含む、請求項9ないし12のいずれか1項に記載のアプリケーション管理サーバ。
【請求項14】
移動機器に接続されたセキュアエレメントにメッセージを送信するためのコンピュータプログラムであって、セキュアエレメントは移動機器のユーザにつながっているもので、コンピュータプログラムは、アプリケーション管理サーバ上で実行されると、サーバに、
アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信させ、
アプリケーションメッセージからセキュアエレメントメッセージを生成させ、
複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択させ、かつ
送信先セキュアエレメントに転送するために、選択された接続プロバイダへセキュアエレメントメッセージを送信させる
コンピュータプログラムコードを含む、コンピュータプログラム。
【請求項15】
請求項14に記載のコンピュータプログラム、およびコンピュータプログラムが格納されているコンピュータ読み取り可能手段を含む、コンピュータプログラム製品。
【請求項1】
移動機器に接続されたセキュアエレメントにメッセージを送信する方法であって、セキュアエレメントが移動機器のユーザにつながっているもので、アプリケーション管理サーバ内で実行される、
アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するステップと、
アプリケーションメッセージからセキュアエレメントメッセージを生成するステップと、
複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するステップと、
送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するステップと
を含む方法。
【請求項2】
選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信するステップと、
アプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するステップと
をさらに含む、請求項1に記載の方法。
【請求項3】
前記セキュアエレメントメッセージを生成するステップが、アプリケーションメッセージをセキュアエレメントメッセージとして使用することを含む、請求項1または2に記載の方法。
【請求項4】
セキュアチャネルをセキュアエレメントに設定するステップ
をさらに含み、
送信先セキュアエレメントに転送するためにセキュアエレメントメッセージを送信するステップが、セキュアチャネルを通じてセキュアエレメントメッセージを送信することを含む、請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
セキュアエレメントメッセージを送信するステップに先立って、
セキュアエレメント管理サーバにセキュアエレメントメッセージを送信するステップと、
セキュアエレメント管理サーバからセキュアエレメントメッセージの署名を受信するステップと
をさらに含み、
セキュアエレメントメッセージを接続プロバイダに送信することが、署名を送信することを含む、請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
署名が、署名されるメッセージに添付される、請求項5に記載の方法。
【請求項7】
セキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップに先立って、
複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するステップ
をさらに含み、
セキュアエレメントメッセージをセキュアエレメント管理サーバに送信するステップが、セキュアエレメントメッセージを選択されたセキュアエレメント管理サーバに送信することを含む、請求項5または6に記載の方法。
【請求項8】
署名される複数のセキュアエレメントメッセージがまとめて送信され、対応する署名がまとめて受信される、請求項5ないし7のいずれか1項に記載の方法。
【請求項9】
移動機器に接続されたセキュアエレメントにメッセージを送信するためのアプリケーション管理サーバであって、セキュアエレメントが移動機器のユーザにつながっているもので、
アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信するように構成されている受信器と、
アプリケーションメッセージからセキュアエレメントメッセージを生成するように構成されているコントローラと、
複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択するように構成されている接続セレクタと、
送信先セキュアエレメントに転送するために、選択された接続プロバイダにセキュアエレメントメッセージを送信するように構成されている送信器と
を含むアプリケーション管理サーバ。
【請求項10】
接続セレクタが、請求項9による第二アプリケーション管理サーバを選択するように構成されており、第二アプリケーション管理サーバが送信先セキュアエレメントと通信可能である、請求項9に記載のアプリケーション管理サーバ。
【請求項11】
選択された接続プロバイダから、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を受信し、かつアプリケーションサーバに、送信先セキュアエレメントがセキュアエレメントメッセージを受信したという確認応答を送信するように構成されている、請求項9または10に記載のアプリケーション管理サーバ。
【請求項12】
セキュアエレメント管理サーバにセキュアエレメントメッセージを送信し、かつセキュアエレメント管理サーバからセキュアエレメントメッセージの署名を受信するように構成されたセキュアエレメント管理インターフェースを含む、請求項9ないし11のいずれか1項に記載のアプリケーション管理サーバ。
【請求項13】
複数のセキュアエレメント管理サーバから、送信先セキュアエレメントに結びつけられているセキュアエレメント管理サーバを選択するように構成されたセキュアエレメント管理サーバセレクタを含む、請求項9ないし12のいずれか1項に記載のアプリケーション管理サーバ。
【請求項14】
移動機器に接続されたセキュアエレメントにメッセージを送信するためのコンピュータプログラムであって、セキュアエレメントは移動機器のユーザにつながっているもので、コンピュータプログラムは、アプリケーション管理サーバ上で実行されると、サーバに、
アプリケーションサーバから、アプリケーションメッセージおよび送信先セキュアエレメントの識別子を受信させ、
アプリケーションメッセージからセキュアエレメントメッセージを生成させ、
複数の接続プロバイダから、送信先セキュアエレメントと通信可能な接続プロバイダを選択させ、かつ
送信先セキュアエレメントに転送するために、選択された接続プロバイダへセキュアエレメントメッセージを送信させる
コンピュータプログラムコードを含む、コンピュータプログラム。
【請求項15】
請求項14に記載のコンピュータプログラム、およびコンピュータプログラムが格納されているコンピュータ読み取り可能手段を含む、コンピュータプログラム製品。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2012−524326(P2012−524326A)
【公表日】平成24年10月11日(2012.10.11)
【国際特許分類】
【出願番号】特願2012−505852(P2012−505852)
【出願日】平成21年5月8日(2009.5.8)
【国際出願番号】PCT/SE2009/050511
【国際公開番号】WO2010/120222
【国際公開日】平成22年10月21日(2010.10.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
2.WINDOWS
3.UNIX
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成24年10月11日(2012.10.11)
【国際特許分類】
【出願日】平成21年5月8日(2009.5.8)
【国際出願番号】PCT/SE2009/050511
【国際公開番号】WO2010/120222
【国際公開日】平成22年10月21日(2010.10.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
2.WINDOWS
3.UNIX
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]