携帯電話などの移動通信装置、口座自動引き落とし決済取引の方法を使用する決済端末
携帯電話などの移動通信装置(4)を使用する決済端末は、着脱可能なメモリカード(1)たとえばmicroSD型カードに配置され、着脱可能なメモリカードは、別のハードウェアスロットたとえばメモリスロットに挿入できるように調整される。決済POS端末アプリケーションは、着脱可能なメモリカード(1)で動作し、着脱可能なメモリカードは、少なくとも1つの決済カードを含む。カードの決済アプリケーションを有する決済カード部(7)は、端末の構成データ部(6)とは別に、メモリ保護部に配置される。端末の選択した識別の構成データおよび決済カードデータは、安全素子の別個の部分または完全に独立した安全素子に配置されるか、あるいは、販売者の販売装置、および、たとえばICCカード(29)またはSAMカード(42)内にローカライズすることもできる。
【発明の詳細な説明】
【技術分野】
【0001】
本解決法は、携帯電話などの移動通信装置に配置された決済端末について言及する。決済処理を実現するため、端末はそれ自体の通信素子、主にNFC型のものを介しても通信することができる。本発明は、非接触型転送リンクを使用した口座自動引き落とし決済の方法を記載し、移動通信装置を使用することによって、とりわけ小規模の店舗を意図した簡単な構造を有する一時的な決済端末を生成できる構成を示す。本解決法は、たとえばmicroSD(商標)カードの形式で着脱可能なメモリカードを有する移動通信装置による支払いの安全性と快適性の強化について言及する。
【背景技術】
【0002】
恒久的に店舗内に配置される決済端末およびPOS(販売時点管理)端末は公知である。POS端末は、購入者の口座から店舗経営者の口座への送金が、承認したシステム内で保護されるように動作する。現在まで、POS端末による決済は、決済受領者がPOS端末を所有し、支払い顧客は決済装置として、対応するカードを使用する決済を特徴とする。第1の段階では、確認、クレジットカード保有者の照合が実行され、この処理は、安全性を高くする必要があり、販売者および支払い顧客の両方に、不当な労力を強いることなく実現する必要がある。次に、支払金額が店舗経営者の口座に自動的に信用貸しされる処理が実行される。もともとは、磁気ストライプのみを備えたカードが、決済端末アプリケーションの実行に使用された。しかし、技術的な制限に関しては、簡単な技術的装置を使用して磁気ストライプを複製または変更することが可能であったため、データがロードされる磁気ストライプは、安全性リスクがある。磁気ストライプから内部データを読み込むのは、ローテクである。
【0003】
そこで、90年代後半にカード発行会社のEuropay International(登録商標)、MasterCard(登録商標)、VISA(登録商標)の間では、決済カードに配置されたマイクロチップを使用するEMV標準の策定に合意した。EMV(Europay MasterCard Visa)標準は、世界的な相互運用性を保証する目的のために、決済カードチップとPOS端末との間の相互動作について示している。マイクロチップの使用は、外部からは暗証番号なしではマイクロチップにアクセスすることができないように、配置されたデータを保護することを可能にする。カード上のチップの使用は、処理本部へのオンライン接続がなくても、カード保有者本人照合を実現することを可能にする。磁気ストライプは受動的データ記憶媒体であったが、カード上のチップは、基本的にそれ自体が計算能力を有する小型コンピュータであり、メモリ保護部およびデータ暗号化部を有する。現在のPOS端末の記載した技術特性にも関わらず、POS端末の内部を不正に調節および操作した場合、あるいは、読取装置に中間リンクを挿入した場合、カードからのデータおよび暗証番号を漏洩できることが発見された。これは、POS端末に関して、担当員による管理が不十分な場合に、あるいは、他の不正な方法によって、店舗経営者の知らないうちに通常発生する。
【0004】
しかし、今のところ、支払い顧客が所有し、取引関係全体の個々の関係者(決済カード発行者、処理本部、銀行、販売者)に必要な安全性を有するそのような種類の決済端末に携帯端末を改造することが可能な技術的ツールは知られていない。
【0005】
中国公開特許第101351819号の特許に基づく本解決法は、POS端末として携帯電話を使用する可能性を示すが、この特許は、システムの個々の基本的な要素の特定の編成を取り扱っていない。中国公開特許第101339685号、中国公開特許第101329801号、米国特許出願公開第2008270246(A1)号、スロベニア特許第22595(A)号、米国特許出願公開第2008059375号などの特許に基づく多くの解決法は、口座自動引き落とし決済における携帯電話の関与について記載しているが、電話機内には独立したPOS端末素子は直接存在しない。また、米国特許出願公開第20077241180(A1)号明細書に記載されるように、携帯電話と静的なPOS端末が相互作用する解決法が存在する。
【0006】
安全性の高いEMV決済アプリケーションを有し、EMV標準の形式で最終的な決済暗号を生成する技術的解決法などの要求があり、これは、インターネット決済、または、たとえば携帯電話会社に格納されるプログラムのダウンロードに対して支払う場合など通常の店舗の外側で実施された他の決済の場合も含む。これらの種類の解決法が現在は知られていないか、あるいは、たとえば、インターネット経由またはNFC通信あるいはGPRS通信によって、支払い顧客の決済カードから販売者のPOS端末または仮想POS端末へのデータ転送時、通信の漏洩または悪用が起こる可能性があるという事実に安全性リスクが存在する。通常の店舗のPOS端末と決済カードとの間の従来の近接を、インターネット環境による通信に拡張した場合、安全性リスクが増大する。
【0007】
既存のPOS端末は安定した構造によって識別され、それ以外のものとして、決済処理センターに接続する通信チャネル、プリンタ、暗号鍵、カード読取装置、主にさまざまな形式のカード読取装置および暗証番号入力用キーボードを含む。この種類の技術構成は、ある一定のスペースを必要とし、比較的高価である。公知のPOS端末の実現は、宝石店の安定した販売場所を意図しており、POS端末の購入、設置および運用の高額な費用は、購買の決済の妥当な売上げによって釣り合う。
【0008】
公開された特許、国際公開第2008063990号パンフレットによる解決法は、POS端末が決済処理センターとの通信チャネルを有さず、決済した顧客の携帯電話で仲介される接続を使用するシステムを示す。この解決法は、決済端末アプリケーション自体がリモートコンピュータで動作し、携帯電話は通信の仲介にすぎないため、安全性が低い。他の公開された特許は、決済場所には直接的に、店舗の他の部分に配置されている残存部分に接続する管理部分のみが存在するように分割されたPOS端末を示す。既存の解決法および公開されている特許は、現在の標準、とりわけEMV標準に従う決済暗号を生成する、安価であり、複雑でなく、ひいては携帯用のPOS決済端末の生成方法に関する簡単な指示を提供していない。
【0009】
既存の解決法は全て、比較的複雑な設置を必要として、多数の入出力装置を含み、これにより価格が上がる。簡単さおよび安全性の高さの両方を特徴とし、新聞スタンドなどの小規模店舗や、ファーストフードを販売する可動式カウンタにおいても可搬式かつ使用可能であるような装置は今のところ知られていない。
【0010】
キャッシュレス決済用途のために携帯電話などの移動通信装置の使用が増加すればやがて、決済処理の快適性および安全性を強化する要求は高まるようになる。移動通信装置には、移動通信装置の環境への有害プログラムの侵入リスクを伴う移動データネットワークとの悪意のある接続のみならず保護されていない接続の可能性がある。
【0011】
国際公開第2010/011670(A2)号パンフレットとして公開された特許により、支払目的ボタンは公知である。非接触型の決済アプリケーションの実行に必要なNFC通信素子は、そのボタンによって起動される。このボタンは従来の解決法と比較しても、決済アプリケーションが、移動通信装置のディスプレイに表示されるメニューの仮想ボタンによって起動する場合、決済アプリケーションの開始を簡素化するが、NFC通信素子との接続は安全性を増大しない。移動通信装置に格納された決済カードに対する可能な攻撃を分析することによって、危険を指摘し、たとえばトロイの木馬型の不適切なプログラムがユーザーに気付かれずに決済アプリケーションを開始する場合にリスクを指摘している。移動通信装置における決済カードが絶えず決済カード読取装置に挿入されるため、この位置自体が、カードからのデータ読み取りが繰り返し試行される可能性さえ含む。この理由から、たとえばPOS端末またはATMに長い時間、実際に中断することなく挿入されているため、現在までありそうもないと考えられていたEMV標準であっても、将来、決済カードの安全性レベルが破綻するというリスクがある。このような理由で、決済カードの快適性のみではなく、安全性も強化するような解決法が求められている。たとえば、携帯電話のフォトボタンなどの既存の目的ボタンは、電話の選択された機能へのアクセスを高速化および簡素化する目的のみを有し、選択された機能の意識的な開始の安全性問題を解決する必要はなかった。
【0012】
新規かつさらに安全な解決法は、販売者の快適さを低下させないように、十分快適である必要があり、携帯電話によるキャッシュレス決済の拡大に対する重要な仮定である。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】中国公開特許第101351819号
【特許文献2】中国公開特許第101339685号
【特許文献3】中国公開特許第101329801号
【特許文献4】米国特許出願公開第2008270246号
【特許文献5】スロベニア特許第22595号
【特許文献6】米国特許出願公開第2008059375号
【特許文献7】米国特許出願公開第20077241180号
【特許文献8】国際公開第2008/063990号
【特許文献9】国際公開第2010/011670号
【発明の概要】
【0014】
記載した欠点は、決済端末がメモリ、インタフェースおよびマイクロコントローラを含む携帯電話などの移動通信装置を使用する決済端末によって大部分が除外される。マイクロコントローラは、メモリおよびインタフェースを介して移動通信装置回路にもリンクされる。決済端末は、決済POS端末アプリケーションを有する1つの装置と、メモリの保護部に格納される決済端末の構成データ部とを有する。
【0015】
本発明の本質は、決済端末が、関連する構成データと共に、着脱可能なメモリカードに格納でき、このメモリカードは、移動通信装置の基本機能を超える機能を追加するのに使用される別のハードウェア用の移動通信装置のスロットに挿入できるように調整されるという事実にある。本解決法の本質は、移動通信装置に挿入される着脱可能なメモリカードにPOS端末の処理カーネル全体を配置できるような構成であり、携帯電話の共用メモリスロットへの挿入において最も使用される可能性が高い。内部決済POS端末アプリケーション全ての実行は、移動通信装置に挿入される着脱可能なメモリカードで実現することができる。例外は、決済処理本部との通信処理にみられるが、移動通信装置自体の通信チャネル(SMS(ショートメッセージサービス)、GPRS(汎用パケット無線サービス))を使用できる。移動通信装置の表示ツールを使用して、決済アプリケーションの実行を表示することができる。
【0016】
携帯電話の補助メモリカードにのみPOS端末の処理カーネルを移動することによって、驚くべき技術的利点がもたらされるが、携帯電話にはチップカードリーダがないため、決済カードからのデータローディングの複雑化の原因にもなりうる。本解決法の重要な特徴は、同じハードウェア装置、すなわち、着脱可能なメモリカード上に、ユーザーの決済カードまたは複数の決済カードでも配置することができるという事実である。技術的には、着脱可能なメモリカードが、決済端末のためのデータを有するメモリの安全部分以外に、決済カードデータを有する別個のメモリの保護部を含むことができるように確実にすることができる。
【0017】
決済アプリケーションの実行時、着脱可能なメモリカードは別のハードウェアのために移動通信装置のスロットに挿入され、メモリカードは移動通信装置の基本機能を超える機能性を追加するのに使用される。スロットは、主に、ただし排他的にではなく、通常使用するスロットであり、携帯電話などの移動通信装置の外部からアクセス可能である。関連するスロットは、そのような技術装置のために設計されており、それなしでも移動通信装置は基本機能を満たすことができる。したがって、このスロットは、オペレータのネットワークのデータ伝送および/または音声に直接影響を及ぼさず、SIM(加入者識別モジュール)カードのインタフェースと異なっているという事実がある。メモリカードは、本発明の重要な素子であるが、SIMカードの機能を有しない。本解決法に記載する着脱可能なメモリカードは、携帯電話のSIMカードに依存せず、電話の通常機能を妨害せずに、携帯電話から取り外したり、挿入したりすることができる。
【0018】
決済カードとPOS端末との間の通信が、1つのハードウェア装置内のデータ転送に狭められ、ハードウェア装置はアプリケーションの実行時、携帯電話に挿入される場合には、一般の手段でこの通信を監視し、悪用することはできない。決済の実現後、実現した決済に関する暗号化情報は、着脱可能なメモリカードから送信される。この情報は、EMV標準形式の十分な安全性により識別される。一般の構成では、移動通信装置は携帯電話である可能性があり、その携帯電話は着脱可能なメモリカードにおける決済アプリケーションの実行のために、決済処理本部との通信としての外部の機能を確実にする。また、携帯電話は、着脱可能なメモリカードの給電を確実にする。
【0019】
着脱可能なメモリカードは、主にEMV型の決済アプリケーションを有する決済カード部も含むことができる。この種類の決済カード部は、EMV標準に従って、チップが有するのと同じような機能を保証するためのハードウェアおよびソフトウェアのツールを含む。この装置のインタフェースは、通常型の読取装置で読み取るようには設計されていないため、さまざまなものでありうるが、それは堅固に、取り外しできないように着脱可能なメモリカードキャリアに接続される。
【0020】
単一であり、更には分割できないハードウェア装置に、POS決済端末および決済カードを配置することは、端末が物理的に販売者の元に配置されても、それは銀行や決済処理装置などが通常所有していたため、現在まで意味をなさなかった。本解決法を通して、ユーザーが決済端末を賃借することが実現でき、この場合、決済端末および決済カードを1つのハードウェア装置に配置することが可能である。構成識別の観点から、販売者の元に配置される端末に関して現在まで問題はなかったため、端末はこのまま特定の銀行または処理機関が所有することになるであろう。決済カードとPOS端末との間の通信がコントローラを経由して実施されることになるため、着脱可能なメモリカードのハードウェア内のマイクロコントローラと小型決済装置を考えると、本質的に外部からこの通信を不正に読み取ることは技術的に実現不可能となる。
【0021】
POS決済端末の細心の注意を要するデータは、暗号鍵と識別データのように、メモリの保護部、好ましくはいわゆる安全素子に格納する必要がある。安全素子は、特定のハードウェア特性によって特徴付けられ、対応する認証の影響下にあり、これにより、関係者らは、そのようなメモリデバイスに細心の注意を要するデータを進んで信頼しようとする。これらのPOS決済端末のデータは、決済カードデータへのアクセスから厳密に分離する必要があり、逆もまた同様である。この理由から、少なくとも2つの独立した別個の安全メモリ領域は、着脱可能なメモリカードに存在することが可能である。これらは、たとえば、1つの安全素子の別個のパーティションの形式であることも可能である。
【0022】
決済端末アプリケーションにおける処理を最適化する観点から、着脱可能なメモリカードに2つの独立したハードウェア安全素子を有することは、有利ではあるが、必須ではない。これらの素子は、2つの同一のチップの形式である場合があり、着脱可能なメモリカードのプリント回路に独立して配置することができる。そこで、第1の安全素子は、POS端末データの格納、または、さまざまなPOS端末データのそれぞれの格納を対象にすることができる。第2の安全素子は、決済カードのデータまたはさまざまな決済カードに関するデータのいずれかの保存を対象とする。本解決法は、複数のオペレータのPOS端末および1人のユーザーの複数の決済カード(つまり1人の名前で発行されたさまざまな銀行の決済カード)も1つのハードウェア装置に配置することを可能にする。アクセスの視点から、さまざまな会社に属するこれらの構成および決済データは、別個に配置する必要があるため、安全素子は複数の独立した領域、パーティションに分割される。次に、2つの安全素子が使用される場合、相互通信および2つのアプリケーション実行は、安全素子がマルチタスキング機能を有しない場合でも、可能となる。2つ、または複数の安全素子を使用すれば、決済POS端末アプリケーションが安全素子で直接実行することができるように、利用可能な総記憶容量が増大する。1つの安全素子を有する構成では、主に安価で未保護の別のメモリを使用するのがさらに好適となり、メモリには、決済POS端末アプリケーションがロードされ、メモリでは、決済処理時にそのアプリケーションが実行される。
【0023】
共用記憶域自体を含むこと以外に、メモリカードは、セキュアメモリを有するチップの形式に安全素子を保持でき、端末の構成データ部が格納される。この構成データ部は、端末がその識別を割り当てるために必要とするデータの安全な格納に使用される。原則として、これらはほぼ、関連データを有する端末がどこに属するかを決定するデータである。
【0024】
安全素子は、マイクロコントローラに接続する。「マイクロコントローラ」という用語は、コントローラ、または、単にコントローラ形式の狭義のハードウェアを意味しうる。マイクロコントローラは、その機能を分割し、たとえば、コントローラ部が、別のチップのコンピューティング部から分割されるように配置することができる。決済POS端末アプリケーションを実行できるように、マイクロコントローラは、メモリカードのメモリに接続することができ、このメモリには決済POS端末アプリケーションを有する装置が格納される。本アプリケーションは、特にEMVアプリケーションの形式でありうる。マイクロコントローラは、いわゆる汎用POS端末となるそれぞれの装置から決済POS端末アプリケーションを読み込む。一般のPOS決済端末であるが、この時点ではまだ通常のものである。POS決済端末を特定の銀行、特定の機関と関連付けるために、スマートカードチップの選択部から端末構成データをダウンロードする必要がある。
【0025】
本構成は、決済POS端末動作を実現することが可能な構成済みかつ適合済みのメモリカードを、メモリ拡張用スロットを有する一般の携帯電話に挿入することができる。
【0026】
決済カード部は、メモリの保護部に、端末構成データを有する装置とは別個に配置され、好ましくは特殊チップの安全素子の独立した領域に配置される。メモリカードの好適な構造のために、および、SDスロットを有する移動通信装置の高普及率に関して、カードは、SD型、miniSD(商標)型、microSD型カード、それともM2型(メモリースティックマイクロ(商標))のものが好適である。そこで、移動通信装置の回路に対するメモリカードのインタフェースは、SD型またはM2型のインタフェースである。マイクロコントローラは、SDカードアソシエーション(技術委員会SDカードアソシエーション)によって定義された仕様によって規定されるように、カードのインタフェースに接続することができる。
【0027】
十分なデータ透過性を実現するためには、決済カードに少なくとも2つの導体、それ以上に4つの導体データバスを有することが好適となりうる。カードが、第1の最大パラメータが24mm未満であり、第2の最大パラメータが14mm未満であるのが好ましい。
【0028】
マイクロコントローラは、好ましくはEEPROM型の削除不可能な内部メモリを備えることができる。十分なレベルの安全性を実現するために、マイクロコントローラは、ロードされたPOS決済アプリケーションでの不正介入を制御するためのブートローダ部を含むことができる。ブートローダは、マイクロコントローラプロセッサメモリの読み取り専用部分に配置することができ、端末の毎回のリセット後に実行される。ブートローダ機能は、不正介入によって、オペレーティングシステムまたはアプリケーションプログラムが変更されなかったかどうかを制御するために存在する。毎回リセット後、ブートローダは、オペレーティングシステムおよびアプリケーションが格納されるプログラムの外部フラッシュメモリの内容からハッシュ値(電子署名)を計算する。EEPROM内部記憶装置に格納された値と結果を比較する。データが等しい場合は、ブートローダはオペレーティングシステムへ管理を移す。データが等しくない場合は、ブートローダは試行失敗のカウンタをデクリメントさせて、停止する。カウンタが0に達した場合、これ以上マイクロコントローラを起動することができなくなる。メモリには、格納されたオペレーティングシステム(アドレス領域の開始および終了として)が存在することができ、メモリ容量のハッシュ値(電子署名)は、オペレーティングシステムおよびアプリケーションの最初に保存する時にマイクロコントローラに格納される。後に、このデータを変更することはできない。
【0029】
よくみられる態様では、マイクロコントローラは32ビットマイクロプロセッサ構造を有することができる。
【0030】
決済端末は、それ自体通信チャネルを有することができ、すなわち、原則的に携帯機器の通信経路から独立しているような構成によって端末の有用性を大幅に増大することができる。この構成態様は、安全素子および/またはマイクロコントローラに接続する非接触通信素子を含むメモリカードによって特徴付けられる。アンテナがメモリカードに直接配置され、そのアンテナが非接触通信素子に接続されている場合が好ましい。このようにして、端末の機能独立が実現される。非接触通信素子は、周囲の電磁場の検出を備えることができ、これにより、端末の回路は接続が必要な時にのみ起動し、端末のエネルギー需要を抑える。端末は、電磁場から、あるいは、関連するメモリカードのインタフェースを介して携帯電話の電源から給電することができる。非接触通信装置は、安全素子の全装置にリンクできるが、暗号化部は例外であり、コードの未承認違反のリスクを下げるためにマイクロコントローラのみを介してアクセスが可能となる。既存の通信型の分布に対して、通信素子はISO14443標準に従うNFC型のものであるのが好ましい。
【0031】
決済端末は、安全素子にさまざまな独立した端末からの構成データを有するさらに多くの別個の装置を有することができる。これらは、安全素子の別個の領域に格納される。本技術的解決法は、さまざまな決済処理に属する端末に決済端末をアクティブにすることを可能にする。この能力は、ユーザーの選択または他のコマンドに依存する。このようにして、1つのメモリカードは、複数の独立した決済端末のシーケンス機能を組み込んで、実行することができる。この構成は、記載した決済端末の移動性および特定の販売者の端末の独立性が考慮される場合に、または、決済端末の識別および所有権を選択する可能であるのが好ましい場合に、特に有利になる。
【0032】
決済端末は、安全素子にそれぞれの決済アプリケーションを有する独立した決済カードを保持する複数の独立部を有することによって、複数の決済カードを含むこともできる。これにより決済端末は、多決済端末というだけでなく、多重カードとなりうる。1人のユーザーが所有するカード数の増加に伴って、本解決法は、携帯電話に挿入される1つのメモリカードに、これらの決済手段の快適かつ安全な共用体のための空間を生成する。
【0033】
好ましくは、フラッシュメモリ形式のメモリカードの記憶装置は、保護された空間の少なくとも一部を有することができる。これにより、このメモリに決済POS端末アプリケーション部を格納することができる。本装置は、マイクロプロセッサまたは安全素子に直接配置することができるが、回路基板アーキテクチャによっては、記憶領域に必要なサイズが問題となる場合には、この種類の解決法は十分に適応性を有しない。さらに、決済POS端末アプリケーションは、徐々に更新する必要があるため、その作業はメモリに格納されるダウンロード管理部によって実行することができる。メモリカードは、データフロー管理に使用するメモリ制御処理部を備えることができる。ウェブインタフェースを介したメモリカードと携帯電話との間の通信の必要性がある場合、ウェブサーバ部をメモリカードに含めることができる。
【0034】
本願明細書により、端末の有用性は、非金融的な特徴の機能に関して拡張することによって増大する。メモリカードの既存素子、独立した安全素子領域、非接触通信素子および暗号化部は、たとえばリモート制御またはゲートに対する電子キーなどの外部装置を制御するのに使用することができる。この場合、マイクロコントローラより初期化される非金融アプリケーション部は、安全素子または管理するスマートカードチップに存在しうる。
【0035】
本解決法による構成では、決済端末機能を有するメモリカードは、移動通信装置の拡張メモリの機能もさらに実現することができる。未保護部では、メモリは、画像、音楽ファイルなどのユーザーが自由にアクセス可能なデータの領域を有することができる。この部分は、移動通信装置を見れば、直接目視可能である。ユーザーから隠されるデータのためのメモリには、決済取引結果などの記録としてシステムデータが存在することができる。
【0036】
システムは、標準の店舗で支払う目的のための決済POS端末アプリケーション開始プログラムを補足することができ、開始プログラムは、簡単なハードウェア素子の形式、または、レジの一部でありうる。開始プログラムは、決済価格の生成部を有することができる。販売者は、必要な決済金額を開始プログラムより入力する。また、この金額は、レジから出力された最終的な購入金額としても生成することができる。開始プログラムは、通信素子に装着、あるいは、完全に装備され、通信素子は、着脱可能なメモリカードの通信素子または移動通信装置の短距離通信素子と互換性がある。
【0037】
本発明によると、移動通信装置を使用する口座自動引き落としによる決済は、決済POS端末アプリケーションは、別のハードウェアのために携帯電話のスロットに挿入される着脱可能なメモリカードで動作することができ、決済カードアプリケーションは同じハードウェア装置で動作するという事実に基づいている。現在まで知られている決済POS端末アプリケーションの実行は、決済の実施時に、決済カードは、一時的にPOS端末に接続されるという事実によって特徴付けられた。本解決法により、決済カードは堅固に決済端末に接続されるため、POS端末と決済カードとの間の通信は直接決済カードの回路により実行することができる。さまざまな新しい決済アプリケーション処理の可能性はこの技術的解決策から急に増大して、原則として決済POS端末アプリケーションの結果は、今日使用されている形式であるEMV決済暗号でありうる。
【0038】
可能性のある手続きの態様の1つでは、決済POS端末アプリケーションは、メモリカードのマイクロコントローラにロードされ、次に選択された端末の識別に関する構成データは、対応する安全素子からロードされる。また、重要な特徴は、決済カードデータを安全素子からマイクロコントローラにロードする可能性であり、マイクロコントローラは決済端末として動作するため、データはアプリケーションの実行に使用される決済POS端末によって使用される同じ種類のハードウェア装置からロードされる。安全素子が十分な計算能力を有する場合、決済POS端末アプリケーションは安全素子で直接実行することができる。これは、たとえば、2つの安全素子が、一方は決済端末として、もう一方は決済カードとして使用される場合に起こる。さらに、この構成では、決済POS端末アプリケーションは、全決済端末の識別のために、通常の一般のものとして生成でき、安全素子の対応する独立領域からの識別データは、決済端末が選択された後にのみ、決済POS端末アプリケーションにロードされる。既に挿入された構成データを有する独立した決済POS端末アプリケーションを使用する態様も除外されない。
【0039】
安全性レベルを強化するために、ブートローダは、決済POS端末アプリケーション自体を実行する前に、決済POS端末アプリケーションの変更制御を実行するのが好ましい。決済POS端末アプリケーションは、移動通信装置、主にキーボードの入力装置を介して管理される。
【0040】
決済カード、または少なくとも1つの決済カードが、着脱可能なメモリカードに配置された場合、かつ、決済端末アプリケーションは同じ着脱可能なメモリカードで動作する場合のように同じ技術基盤で、販売者の技術装置の要件を簡素化した「ライトPOS」の構造を生成することも可能である。構成の本態様の主題は、販売装置が着脱可能なメモリカードと一時的に接続する時に、POS決済端末が着脱可能なメモリカードで生成されるという事実にある。販売装置が販売者に属すか、販売者によって保持され、識別データを有する保護部を含み、識別データは、とりわけ対応する販売者の銀行口座にPOS決済端末を一致させるのに必要なデータを包含する。基本的に、販売装置はハードウェアによって形成され、一時的に生成されたPOS決済端末の識別を確実にする。
【0041】
構造があらかじめ定義されたPOS端末は2つの部分の一時的な接続から生成されるという事実に、一般に基本的な技術的思想のこのような使用の重要な特徴がある。決済処理が終了した後に、構成部分は切断し、通信チャネルは中断され、販売装置と別の着脱可能なメモリカードとの間に別の新しい接続を生成できるため、接続は、一時的であるとみなされる。当然、あらかじめ協働している着脱可能なメモリカードと販売装置との度重なる接続も除外されない。接続の一時性は、1つの決済処理によって実際に限定される時相として理解されるが、決済処理の開始前と終了後ある程度の時間の接続であるとも仮定することができる。販売者側と支払い顧客側の常に新しい素子の組み合わせを組み合わせることが可能であることが解決法であり、それにより、支払い顧客の移動通信装置にPOS端末を、対応する販売者の識別を有するPOS端末とともに生成することが常に可能である。
【0042】
販売装置という連語は、POS決済端末の分野で一般に使用されず、この連語においては、本願明細書による機能の実現のための対応するソフトウェアを備えるあらゆる型のハードウェア装置を考慮することが必要である。販売装置は外部からPOS決済端末として動作し、販売者は通常、実際にそのように販売装置を呼ぶが、アプリケーションの構造と実行の観点から、販売装置は重要ではあるが、POS決済端末全体の十分な部分ではない。したがって、販売装置という用語は、広義では、販売者または購入場所に基本的に接続され、口座引き落とし決済の正確な経路指定を確実にする端末の一部であるという事を理解する必要がある。
【0043】
POS決済端末全体では、販売装置は、POS端末識別の提供と決済価格の入力との2つの基本機能を有することができる。原則的に、決済価格が移動通信装置のキーボードより入力される狭義のハードウェア態様も可能である。しかし、販売者は、顧客の移動通信装置を制御する必要があるか、あるいは、顧客が決済端末アプリケーションに正確な決済金額を入力するために顧客を信用する必要があるため、この種類の態様は販売者にとっては、不安がある。また、販売者が入力した価格を確認できるように、販売装置ディスプレイに表示することが可能であるが、支払金額が販売者の側の素子を通して入力できれば、はるかに安心なものとなる。移動通信装置のキーボードより決済価格を入力するこの項で記載する態様は、口座引き落とし決済実施時に、販売者の動作や操作に対して標準(たとえば、EMV)を満たす必要はないが、原則として本解決法の原理を使用することによって実現可能である。
【0044】
販売装置は、独立して決済端末アプリケーションを実行できず、処理センターとの接続を確立するための通信チャネルを有する必要はない。ハードウェアセットは、販売者の販売装置を顧客の移動通信装置に挿入される着脱可能なメモリカードと接続することによって、一般のPOS決済端末の全基本機能を実現することができる。それぞれ個々の決済の実現のために、一時的な接続は、基本的に生成することができ、これは常にさまざまな顧客側の異なる通信装置でありうる。移動通信装置はまさに、既存のGSM(登録商標)/GPRS(汎欧州デジタル移動電話システム/汎用パケット無線サービス)により決済センターと必要な接続を生成することができる。しかし、本願明細書による本解決法は、オフラインおよびオンラインの決済を処理できるため、この接続は各決済時に生成する必要はない。
【0045】
販売装置と接続するための着脱可能なメモリカード構造は、上に記載した変異型に類似する。販売装置と移動通信装置で作製されたセットが、決済端末アプリケーションを動作させて、実行するために、ハードウェアおよびソフトウェアの要素を含み、処理の観点では、口座引き落とし決済動作のカーネルは着脱可能なメモリカードに直接形成する。販売装置および移動通信装置で作製されたセットは、外部の決済カード読取装置を備える必要はないため、決済カード部を有する保護メモリであっても着脱可能なメモリカードに直接存在するのが好適となる。決済の実行のための装置−販売装置との接続のための端末のアプリケーションおよび通信素子は、着脱可能なメモリカードにある。また、販売装置は、POS決済端末の識別データを有する保護メモリ以外に、着脱可能なメモリカードとの接続のための通信素子を含む。POS決済端末は、これらの素子によって、メモリを拡張するカードのためのスロットを有する一般の携帯電話を用いて生成される。着脱可能なメモリカードは、販売装置に接続した後にのみ一意の識別を有する特定の決済端末になる汎用の決済端末を含むことができる。販売装置は、この一時的に接続に対して、決済を実施する関係者の便益のために、明確な識別を与える。NFC(近距離無線通信)通信素子がない携帯電話であっても、本機能には関心があるため、着脱可能なメモリカードにそのようなNFC通信素子を直接含むことができる。原則として、移動通信装置と販売装置との間の接続は、接触型インタフェースの形式でありうるが、それはコネクタの複雑な統一を必要とし、互換性が問題となる。したがって、解決法がない場合はもちろん、販売装置と着脱可能なメモリカードとの間の接続が広範囲に標準化されているNFC通信チャネルの形式であるのが好ましい。
【0046】
記載した構成により、販売者は、識別、端末の番号に関する情報を提供するきわめて簡単な販売装置のみを所有することが可能となり、その販売装置に対して、決済処理センターで対応する販売者の口座番号を割り当てることができる。この種類の販売装置は、きわめて小型かつ簡単となる。それは、販売者が必要な決済金額を入力するためのディスプレイおよびキーボードを有する小型の箱の形状であってもよい。識別データは、販売装置のプリント回路上の対応する素子に直接格納することができ、あるいは、ICC(集積回路カード)カードまたはたとえば暗号鍵を有する今までに知られているSAM(セキュリティ認証モジュール)カードなどの他のキャリアに格納することができる。この態様では、一般のSIMカード(加入者識別モジュール)のサイズのSAMカードが、販売装置のカバーを外した後に利用可能となる。SAMカードは、最初の起動前に販売装置に挿入される。
【0047】
顧客は、自身の移動通信装置で販売装置を軽打する。販売装置を軽打することによって、NFC通信チャネルが生成され、この一時的に生成されたPOS決済端末の識別に関する情報が、販売装置から着脱可能なメモリカードに送信される。そこで、識別データは、販売装置の安全素子に格納されたマスターキーによって暗号化できる。販売装置からの入力データは、着脱可能なメモリカードで読み出し後、決済端末アプリケーションの実行の基礎となる。決済端末アプリケーションは、着脱可能なメモリカードにそれ自体の識別なしで、通常の形式にロードすることができる。基本的に、販売装置と着脱可能なメモリカードとの間の一時的な接続が生成された後、一般に汎用性のある通常の端末は、特定のPOS端末に変形し、この端末はシステム内で対応する販売者に割り当てられる。このフェーズは、新しい一時的なPOS端末の起動に関するある種の準備をする。次に、たとえばEMV型などの決済端末アプリケーションは、接続時に、現在までの標準POS端末と同じような方法で実行することができる。
【0048】
POS端末の識別データの暗号化は、マスターキーにより実施され、マスターキーは、決済暗号の生成のために、後に決済端末アプリケーションによって使用される暗号鍵とは、一般に異なることがあり、大部分は異なる。マスターキーは、たとえば、販売装置ハードウェアの供給先から入手することができ、決済端末アプリケーションの暗号鍵は、銀行または決済処理装置によって発行することができる。暗号鍵の実際差は、決済清算システムで作動する個々のエンティティのさまざまな要求を条件とする。
【0049】
安全性強化の観点から、販売装置から移動通信装置までの転送時に、決済金額に関する入力も暗号化することができる。これによって、決済端末アプリケーションカーネルが実行される前でも、支払ユーザーが決済価格を下げるリスクが低くなる。この種類の変更は、支払金額を表示する形式において、販売者側で決済を最終的に確認することによって示されるが、怠慢や日課となっている方法の場合、販売者は金額の変化に気付くことはないと思われる。
【0050】
決済端末アプリケーションの実行時に選択された決済カードの装置との通信が直接着脱可能なメモリカードで行われる構成は好適である。着脱可能なメモリカードと、物理的な別個の安全素子または1つの安全素子の独立した領域に、独立した決済カードの複数の装置を格納できる。この構成では、決済端末アプリケーションは着脱可能なメモリカードで直接動作することができ、顧客の決済カードに関するデータは外部の読取装置やインターネット領域には送信されず、決済操作の安全性に対して肯定的な影響力があるのは事実である。
【0051】
販売装置は、さまざまな形式である可能性があり、直接識別データを有する安全素子を含むキーボードを有する小型の箱以外に、内部に、好ましくは古典的な標準ICC(ICカード)カード形式の外部のカードのために生成された読取装置を有するようにも生成できる。そこで、この種類のカードのチップに機密データをロードできる。また、カードのチップは、実施した決済取引のデータ入力に好適に使用できる一定の記憶容量を含む。業務終了後、販売者はたとえば新聞スタンドなどの店舗に販売装置の基本的な部分を残して、ICCカードのみを持ち出すことができる。販売者は、販売装置からICCカードを抜く場合、処理手続きのために銀行に持って行くこともでき、あるいは、読取装置を使用して、このカードから自宅のコンピュータにデータをバックアップすることができる。販売者が複数のモバイルスタンドを所有している場合、1つの端末および1つの銀行口座の識別データを有する1枚のICCカードと組み合わせて複数の販売装置が存在でき得、一方では、1つの店舗の複数のシフト店舗内で、さまざまな販売者に属する複数のICCカードとともに1つの販売装置を使用することができる。
【0052】
必須でないにしても、販売装置が、決済データを販売装置から直接あるいは、それぞれこのコネクタによって、印刷することを可能にする。たとえば、拡張アクセサリによる接続のためのUSB形式の装置自体のインタフェースを有する場合、決済カード読取装置、GPRSモデムなどに接続することが可能となるのは好ましい。
【0053】
本願明細書に記載のシステムを実装した後、移動通信装置は、移動通信装置の回路との協働のために絶えず準備される決済カードのデータを盗み取るという目標によって攻撃の対象になることが想定することができる。現在、本解決法が新規であり、現在まで広く普及していないため、これら該当するハッカーの戦略がどの方向に進んでいくのかを示すことは不可能である。しかし、決済カード、あるいは、それぞれ着脱可能なメモリカード上の決済端末の持続する迅速性、即戦性および接続性を悪用する傾向があることが想定することができる。理想的な構成では、着脱可能なカードが2つの独立したアクセスモードを有した場合、このリスクを低くする。1つのアクセスモードが設計され、携帯電話などの移動通信装置の記憶容量の拡張部に存在する着脱可能なメモリカードの一般機能として設定される。このアクセスモードでは、決済カードを有する装置と、着脱可能なメモリカードの非接触通信素子へのアクセスを防止する。基本的に、着脱可能なメモリカードのインタフェースのこのアクセスモードでは、このカードは、着脱可能なメモリカードに安全素子も通信素子もない一般の着脱可能なカードであるように見える。
【0054】
第2のアクセスモードは、着脱可能なメモリカードの決済機能に設計され、設定され、決済カードを有する装置と、着脱可能なメモリカードの非接触通信素子へのアクセスは、移動通信装置の回路からインタフェースにより許可される。決済端末を有する装置は、着脱可能なメモリカードに配置される場合、この装置は、単にアクセス可能であり、決済機能のために単にアクセスモードに存在する。
【0055】
2つのモードは交互に選択可能であり、着脱可能なメモリカードの決済機能のためのアクセスモードは、ハードウェア決済ボタンを物理的に押下後にのみ起動することが可能であることは重要である。
【0056】
着脱可能なメモリカードは、少なくとも1つの決済カード部が配置され、決済目的ボタンが物理的に押下される瞬間までは、インタフェース上に移動通信装置の記憶容量の拡張のための着脱可能なメモリカードであるように見える。そこで着脱可能なメモリカードは、安全素子と少なくとも1つの決済カード部を有するカードとして、インタフェースでアクセス可能になる。
【0057】
好適な本解決法の態様による着脱可能なメモリカードは、一般にアクセス可能なフラッシュメモリを含み、決済カードまたは決済端末のハードウェアおよびソフトウェア素子をさらに有する構造を有する。移動通信装置の一般使用時に、着脱可能なメモリカードは、対応するマイクロコントローラと共に、記憶容量の拡張のためのフラッシュメモリのみを含むかのよう動作する。この状態では、ファイルの読み書きは、着脱可能なメモリカードのメモリで可能ではあるが、このモードでは、他の素子、たとえば安全素子、NFC通信素子は隠されており、管理も実行もできない。
【0058】
ハードウェア決済目的ボタンの存在によって、決済ボタンの物理的な押下に排他的に関連させるように、着脱可能な決済カードの特徴をインタフェースレベルで変更することが可能になる。ボタンを物理的に押下する必要性は、望ましくないソフトウェアやユーザーの意志を模倣するスクリプトによって決済アプリケーションが実行される可能性を除外する。
【0059】
この構成によって、ユーザーに知られずに安全素子を乗っ取ろうとする試みのために着脱可能なメモリカードのインタフェースが悪用されるリスクを除外する。ボタンの物理的な押下と対応するファームウェアの実行との関係は、書き換え、変更、更新をできないようにし、あるいは、対応するパスワードなしでこれらを実行できないようにメモリに格納することができる。そこで、不正プログラムは、この信号がアプリケーションの実行の他のステップへのボタンの実際の物理的な押下として生じるように、物理的な決済ボタンからの信号を模倣することができない。侵入者は、リモート移動通信装置に示すボタンを物理的に押下する可能性がないため、決済カード部、または、着脱可能なメモリカードの決済端末の装置への制御不可能なアクセスを得ることが除外される。着脱可能なメモリカードは、標準のメモリカードとして動作し、決済ボタンが物理的に押下された後にのみ、決済カードモードに切り替わる。決済アプリケーションの終了は、記憶容量モードを拡張する一般のカードにカードのモードを自動的に切り換える。
【0060】
移動通信装置において、決済処理の上に記載した実行のオフセットは2つのアクセスモードの同じ原理に基づいている。この手続きの変形は着脱可能なメモリカードが決済処理の実行前に記憶容量を拡張する一般の機能のためのアクセスモードにあるという事実に基づいている。次に、決済カードを有する装置、適切には非接触通信素子および決済端末を有する装置であっても、着脱可能なメモリカードに配置される場合、インタフェース側からアクセスできない。ハードウェア決済ボタンの物理的な押下後にのみ排他的に、着脱可能なメモリカードは、決済カードを有する装置へアクセスが許可された着脱可能なメモリカードの決済機能のためにアクセスモードへ切り替わる。
【0061】
本解決法は、図1〜14で詳細に説明する。
【図面の簡単な説明】
【0062】
【図1】1つの分割された安全素子を有するメモリカードの個々の素子の間の接続を表示したメモリカードの個々の素子のブロックの図であり、決済POS端末や複数の決済カードからの保護されたデータが存在することを示す図である。
【図2】インターネット店舗での決済時または移動ネットワークからダウンロードしたファイルの決済時に、メモリカードを有する携帯電話による解決法を示す図である。
【図3】2つの独立した安全素子、およびメモリカードにアンテナと同じように、直接配置される通信素子を有するmicroSD型の着脱可能なメモリカードを示し、通常のPOS決済端末部と、さまざまな銀行の4つの独立した決済カード部とを有する構成を表す図である。
【図4】2つの安全素子をオプションで有する、構造が簡単なプリペイド型の着脱可能なメモリカードを示す図である。
【図5】移動ネットワークで提供されるファイルの支払時に、着脱可能なメモリカードで動作する決済アプリケーションでタスク遷移があることを示す図である。
【図6】決済開始プログラムによる解決法であり、実際に開始プログラムは物理的店舗のレジ横に恒久的に配置されることを示す図である。
【図7】一般の携帯電話形式の移動通信装置の外側の概要図であり、携帯電話は販売装置の近傍に配置され、寸法、形状および移動通信装置および販売装置の比率割合は必須でなく、単にスキームをより明確に示すためにだけ選択され、携帯電話および販売装置は、実際に販売装置の表面に携帯電話を直接配置することができるが、図をさらに明確にする目的のために重ねていないが、可能であることを示す図である。
【図8】販売装置の基本構造の斜視図であり、携帯電話の側面の通信素子が着脱可能なメモリカードに配置されることも見ることができる、POS端末の識別データを有するメモリは、着脱可能なメモリカードに配置され、POS端末の識別データを有するメモリは、SAMカードで配置され、着脱可能なメモリカードと販売装置との間にはNFC通信チャネルが存在していることを示す図である。
【図9】構造内に、販売者のICCカードが読取装置の本体に挿入される構造における販売装置構造のスキームを示す図である。
【図10】レジへの接続を有する構成であり、販売装置は、ICCカード読取装置を含み、mini USBコネクタをさらに有することを示す図である。
【図11】ハードウェア決済ボタンの押下による決済アプリケーションの実行の流れを示す概略図であり、電話ハードウェア/電話ファームウェア/着脱可能なメモリカードのレベルで、アプリケーションの開始時の個々のタスクおよび処理のローカライズを見ることが可能である図である。
【図12】携帯電話のメモリアクセスモードを一般に拡張した場合、着脱可能なメモリカードは、外部に存在する構造を見ることができる図である。
【図13】決済カードアクセスモードの場合、着脱可能なメモリカードが、外部に存在する構造であり、この構成には、決済端末を有する装置は、着脱可能なメモリカードに配置されることを示す図である。
【図14】決済ボタンを有する携帯電話の一例を示す図である。
【発明を実施するための形態】
【実施例1】
【0063】
本実施例では、図3による2つの独立した安全素子31および32による解決法を記載している。別個のハードウェア安全素子31、32を使用することによって、安全素子3、31、32の機密データの格納に関して、決済システムの個々の関係者(カード発行者、クリアリングセンターオペレータ)によって設定される証明要件を簡素化する。本実施例では、安全素子31、32はそれぞれ独立した領域に分割され、その領域をさまざまなカード発行会社およびPOS端末の構成データのさまざまな所有者に提供することができる。安全素子31、32は、回路基板の独立したチップの形式であり、マイクロコントローラ12の役割を果たすコントローラに接続される。コントローラ12に関して、インタフェースはISO7816である。着脱可能なメモリカード1は、microSDカードの形式である。ASIC(特定用途向け集積回路)チップは、NFCプラットフォーム通信処理を実行するように設定され、通信素子13の機能を実現するマイクロコントローラ12に接続される。アンテナ21は着脱可能なメモリカードの本体1に直接配置され、特許権者のさまざまな特許出願に従って設計され、携帯電話4の他のハードウェアから独立しているNFC通信を可能にするようにASICチップに接続される。着脱可能なメモリカード1は、たとえば容量が2GBの一般のフラッシュメモリ2を含む。ユーザーは、携帯電話のインタフェース4からメモリ2の一部20にアクセスできない。メモリのこの部分は、実現した決済レコードを記録するのに使用され、メモリ2の残りは、音楽、画像などの共通記憶装置に使用され、これによりユーザーにはメモリカード1全体が共用記憶域媒体であるように見える。POS端末と決済カードとを着脱可能なメモリカード1に配置することによって、記憶容量を拡張するように設計された携帯電話4のスロットの初期機能は消失しなかった。
【0064】
決済は2つの異なる型で実行できる。たとえば、図6に示すように、携帯電話4のユーザーは、インターネット店舗で電子書式の地図を購入することを決める。この場合、インターネット店舗の経営者は、携帯電話4の製造者でありうる。記載した技術的解決法に従って製造されたmicroSD型メモリカード1は、携帯電話4の外部からアクセス可能な側部のスロットに挿入される。安全素子31には、複数の人々、中にはインターネット店舗の経営者にも属するPOS端末構成データ6が格納される。購入商品の選択後、対応する数量に関する支払要求をインターネット店舗から携帯電話4に送信する。ユーザーは、携帯電話が備える決済ボタンを押下する。別の決済例では、携帯電話4のディスプレイ上に表示されたソフトウェアボタンによって決済選択を初期化することができる。決済POSアプリケーションの開始要求を、インタフェース11に送信する。決済POS端末アプリケーションは、標準POS決済端末とPOS端末の読取装置に挿入される決済カードとの間の関係の場合と同じように、メモリカード1で動作する。携帯電話4のディスプレイは、決済の実行を管理するのに使用される。ユーザーは、必要な金額を支払う決済カードを選択する。選択した決済カードの対応部7でアプリケーションを起動後に、対応するカード発行者の危機管理に関する既定の規則によって、決済の実行を管理することもできる。これによって、決済のカードパスワードの入力が必要となったり、必要とならなかったりする。
【0065】
決済POS端末アプリケーションを終了後に、POS決済端末と決済カードの接続がソフトウェアによって切断され、インターネット店舗で処理するために、得られた決済暗号が、GPRSチャンネルによって送信される。インターネット店舗が、決済ファイルを受信して、解読した後に、決済を評価し、肯定結果の場合に、代金が支払われた商品(本実施例では地図)を携帯電話4に送信する。
【実施例2】
【0066】
本実施例では、標準microSDカードと形状およびパラメータが類似するmicroSD型の着脱可能な決済カード1プラットフォーム上の決済端末に関して記載する。決済カード1は、図1のように、本実施例ではLinux(登録商標)であるマルチタスクオペレーティングシステム8を動作させる32ビットマイクロプロセッサ形式のマイクロコントローラ12を有する。フラッシュメモリ2、安全素子3およびSDインタフェース11が、マイクロコントローラ12に接続される。マイクロプロセッサ12は、ロードされた決済POS端末アプリケーションにおける未承認の介入を制御する内部のEEPROMメモリ10とブートローダ部9を含む。
【0067】
フラッシュメモリ2は、保護部と未保護部に分割される。未保護部には、ユーザーが自由にアクセス可能で見ることができるデータのための空間15と、隠されたシステムファイル、特に決済端末によって処理される決済取引に関する記録のための空間20がある。メモリカードの保護部には、本実施例ではLinux(登録商標)であるオペレーティングシステムの保持部8があり、とりわけ決済POS端末アプリケーションが保存される決済POS端末アプリケーション部5は、この場合、EMV型のアプリケーションである。本実施例では、メモリ2の保護部には、メモリカード1の格納およびソフトウェア更新管理に使用するダウンロード管理部19が存在する。スマートカードチップ3に、アプリケーションをロード/更新する必要がある場合、アプリケーションのバイナリデータは、たとえば、ユーザーに隠されるデータが格納される空間20のシステムデータ部などのフラッシュメモリ2の未保護部にロードされる。ダウンロード管理部19は、安全素子3にロードする必要のある新しいファイルがシステムデータ部に存在しないかを定期的に確認する。「yes」の場合には、それぞれのインストールが実行される。
【0068】
メモリ2の保護部には、安全素子3に格納されるEMV決済アプリケーション以外のアプリケーションを管理するために使用されるSCWSウェブサーバ部もある。マイクロコントローラ12には、メモリ空間があり、オペレーティングシステムが(アドレス領域の開始および終了として)格納されている。メモリ容量のハッシュ値(電子署名)は、オペレーティングシステムおよびアプリケーションの最初に保存する時にマイクロコントローラ12に格納される。後に、このデータを変更することはできず、禁止されたソフトウェア変更に対して保護を確実にする。
【0069】
複数の個々の領域が、スマートカードチップ3の安全素子に生成される。本願明細書では、上記領域の3つが、3つの異なる決済処理に属する3つの独立した端末の構成データ部6を保持するのに使用される。安全素子の2つの部分が、EMV型のそれぞれの決済アプリケーションを有する2つの独立した決済カード7を含む。したがって、本実施例は、ユーザーが、異なる決済処理に属する3つの端末で2つの異なった決済カードによって支払うことができる解決法を示す。たとえば、これらの決済処理の1つは、口座自動引き落とし決済取引処理業務に、電気通信サービスを接続する携帯電話ネットワークオペレータでありうる。また、安全素子には、RSA暗号化部14が存在する。
【0070】
メモリカード1は、アンテナ21が配置された、NFC非接触通信素子13をメモリカード1それぞれに有する。この構成は、NFCチップのない一般の電話とISO14443標準を満たす関連する読取装置との間のNFC通信接続を新しく生成することを可能にする。
【0071】
安全素子3には、非金融アプリケーション部16も存在し、本実施例では、扉を開けるための電子式の非接触型キーとして動作するよう構成される。
【0072】
フラッシュメモリ2コントローラ17は、メモリ2の保護部にあり、携帯電話とメモリカード1のフラッシュメモリ2との間のデータ転送を管理する。フラッシュメモリ2コントローラ17は、データを参照したり、メモリ2の保護部に書き込んだりする可能性を備え、システムデータ部(読み書きは許可)が配置されるメモリ2の未保護部を参照する可能性を備えている。
【0073】
決済POS端末アプリケーションは、別のハードウェアのために移動通信装置のスロット4に挿入される着脱可能なメモリカード1で実行する。決済POS端末アプリケーションは、メモリカード1のマイクロコントローラ12にロードされ、次に、選択された端末の識別に関する構成データは、安全素子3からロードされる。選択された決済カードデータは、安全素子3から決済端末として動作するマイクロコントローラ12にロードされる。どの決済カードデータがロードされるかは、ユーザーの選択に依存する。
【0074】
ブートローダ9は、決済POS端末アプリケーション自体が起動する前に、決済POS端末アプリケーションの変更管理を実行する。決済POS端末アプリケーションは、移動通信装置4のキーボードおよびディスプレイを使用して管理される。携帯電話には、ユーザーと、メモリカード1とHOSTプロセッサとの間の通信を可能にするグラフィカルGUIインタフェース(グラフィックユーザインタフェース)を有する。携帯電話には、プッシュSMS技術も存在する。決済POS端末アプリケーションは、SDマイクロコントローラアプリケーション12であり、microSD型メモリカード1の決済アプリケーションを使用して、オンラインおよびオフラインの決済を可能にする。決済は、「カードが存在する」として、大いに安全性を強化して実現され、取引は、暗号で署名され、各取引時にATCカウンタが1加算され、いくつかの鍵を入手するために無制限に取引件数を生成することは不可能であることを意味する。クライアントは、それ自体の電話にインストールされているGUIアプリケーションを介して決済POS端末アプリケーションを管理する。本実施例では、決済POS端末アプリケーションはマイクロコントローラ12と共に汎用POS端末を形成する。異なる構成では、汎用POS端末は、安全素子を有するチップに直接存在する計算素子と共に決済POS端末アプリケーションを形成することができる。次に、設定パラメータと共に、EMBEDDED POS TERMINALを形成する。Terminal_type 1xは、金融機関に属する端末、2xは、販売者に属する端末、3xは、クレジットカード所有者に属する端末、つまりクレジットカード所有者の端末である。端末の構成データ部6は、端末の識別番号、PDOLデータ(処理オプションデータオブジェクトリスト)、端末リスク管理、オフラインバッチファイル形式、HOSTのSMSゲート、HOSTのIPアドレス、オフライン決済に署名するためのコードを含む。決済は、オフラインまたはオンラインでありうる。決済処理との通信は、SMSメッセージまたはGPRSにより実現することができる。
【実施例3】
【0075】
着脱可能なメモリカード1は、決済の実現に必要な最小限のセットのみを含み、本実施例に記載する。その構造を図4に示す。この種類の着脱可能なメモリカードは、あらかじめ入力した金額のプリペイド型決済カードとして販売されるようにのみ設計されており、たとえば、異なる通貨の国からの旅行者に販売されることを意図している。着脱可能なメモリカード1は、microSD仕様に従う接点とのインタフェース11を含む。着脱可能なメモリカード1の塑性体には、2つの安全素子31、32がある。第1の安全素子31には、プリペイドカードシステムオペレータによって生成されるPOS端末の構成データがある。第2の安全素子32には、1回限りの決済カードのデータがある。商用パッケージは、着脱可能なメモリカード1と共に、スクラップ欄を有するペーパーキャリアを含み、決済カードへのアクセスを管理するための対応する暗証番号がある。メモリカード1は、支払い顧客の決済カードに接続されると、販売者によって保持された一般のPOS端末として全動作を実行する。携帯電話4の装置は、表示および通信に使用される。
【実施例4】
【0076】
本実施例では、システムは、決済POS端末のアプリケーション開始プログラム22のために補足される。それは、NFC通信素子を有する専用の装置の形式でありうる。本実施例では、開始プログラムはレジ出力に接続され、レジは要求される決済の合計に関する情報を出力に送信する。開始プログラム22は、決済価格、販売者の口座に関する情報および要求コマンドを含むファイルを生成する。開始プログラム22は、通信素子24を介して携帯電話4にこのファイルを送信し、ファイルは携帯電話に適用される。メモリカード1でこのファイルを受信すると、決済POS端末アプリケーションが開始する。本解決法は、POS端末を有しない通常店舗で、ユーザーの携帯電話4の決済端末を口座自動引き落とし決済に使用することを可能にする。
【実施例5】
【0077】
図3、7および8に示すように本実施例では、記載するシステムがあり、そのシステムでは販売者側には、専用の箱の形式の販売装置28が配置され、数値キーボード36、ディスプレイ37および充電式アキュムレータ形式の電源を有する。販売装置28は、上側カバーの表面下にアンテナ21とのNFC通信素子35を有し、アンテナ21の中心は、標的の誘導シンボル40によって図示されるカバーの外側にある。SAMカード42のハードウェアでは、販売装置28は、安全素子6を含み、安全素子には、POS決済端末の27識別および通信データの暗号化のためのマスターキーがロードされる。他の態様では、データは販売装置28のプリント回路の保護メモリに直接ロードできる。
【0078】
販売者は、販売時に商品に対して希望する金額をキーボード36からディスプレイ37に入力するように販売装置28を使用する。ディスプレイ37上で金額を確認した後、販売者は確認ボタンを押す。この操作後に、POS決済端末27の識別データはマスターキーを使用して暗号化され、この暗号化データは決済金額と共に、NFC通信素子35に送信され、この素子はアンテナ41により暗号化メッセージを送信し、移動通信装置4が販売装置28に配置されることを要求する。顧客は、自身の移動通信装置4で、決済アプリケーションの開始を起動し、特殊なハードウェアキーボードを介して、または、ソフトウェアボタンによりにこれを行う。NFC通信チャネルの確立後、販売装置28からの暗号化データは、読み込まれ、解読され、その結果はPOS端末27識別データおよび必要な決済金額である。
【0079】
この部分の転送は、次の数式で表すことができる。
【数1】
【0080】
式中、3DESは、トリプルデータ暗号化アルゴリズムによる暗号化を意味し、Mkは、決済処理によって供給されたマスターキーであり、Cfgは、構成データとNFCが、販売装置と着脱可能なメモリカードとの間の転送経路であることを意味する。
【0081】
支払金額は、顧客の移動通信装置4のディスプレイ上で顧客によって確認することができる。販売装置28からの識別データは、着脱可能なメモリカード1上の通常のPOS端末27に有用であり、特定の販売者の便益ために特定のPOS決済端末27となる。
【0082】
この処理は、次の数式で表すことができる。
Cfg+汎用POS=ACgPOS
式中、汎用POSは普通の汎用POSの識別を示し、ACgPOSは対応する販売者のPOSを示す。
【0083】
次に、決済端末アプリケーションは、たとえば、EMV標準に従って通常の方法で実行される。決済カード7の既定のリスク管理に従い、かつ、支払金額の高さに対して、移動通信装置4のキーボードで顧客によって入力されるパスワード、暗証番号符号を入力するように要求される場合がある。決済端末アプリケーションが直接着脱可能なメモリカード1で動作し、このカードに決済カード部7も格納され、機密データは販売装置28と着脱可能なメモリカード1との間の接続のハードウェアに残らないため、このようにして高い安全性が実現する。決済アプリケーションの結果は決済暗号の生成であり、決済暗号は、販売装置28に送信され、オンライン決済の場合でもインタフェース11により移動通信装置4に送信され、次に決済処理に移動ネットワークにより送信される。決済暗号を、その次の関係に応じて生成かつ送信することができる。
【数2】
【0084】
次の関係が決済処理側には適切である。
【数3】
【0085】
この場合、着脱可能なメモリカードはmicroSDカードの形式である。
【実施例6】
【0086】
図4による本実施例には、販売装置28は、ICCカード29を挿入するためのスロットを有し、対応する形式の読取装置を有する装置の形式である。販売者は、どこでも販売装置28を購入することができ、この販売装置28は、それ自体の識別を有しない。販売者は、銀行または決済処理装置から、ISO7810の85.60mm×53.98mmに従う一般のパラメータのICCカード29を受領する。決済処理装置のマスターキーおよび対応する販売者に割り当てるPOS端末の識別データは、ICCカードのチップの安全素子にロードされる。ICCカード29を読取装置に挿入することによって、本願明細書による販売装置28が生成される。また、販売装置28は、mini−B USBコネクタ39を含み、このコネクタにより拡張構成でプリンタ、コンピュータや他の入出力部と接続することが可能である。販売装置28の存在および動作は、最初の実施例と同じであるが、変更が実現されると、販売者は自身のICCカード29を取り外して、オフライン決済の処理のために、たとえば銀行にカードを持って行くことができるという事実によって異なる。また、現金自動預入支払機でこの種類のICCカード29を直接処理することを除外しない。本解決法は、ICCカードの動作が容易であり、実際的のパラメータを有し、販売装置28から取り外すことにとって、夜間の店舗からの窃盗など防止するという事実にも利点がある。また、ICCカード29は、データの後作業および簡単な読取装置によるコンピュータへのデータのバックアップのための領域を提供する。
【0087】
また、本実施例による構成の利点は、1つの店舗でシフト勤務している複数の販売者によって、読取装置、ディスプレイ37およびキーボード36を有する1つの装置を使用することができることであり、決済は、その時点でICCカード29を読取装置に挿入している対応する販売者の便益ために処理される。
【実施例7】
【0088】
上の実施例に記載された素子以外に、図5による販売装置28は、レジ26に接続できるRS232(勧告基準232)インタフェースを含む。本実施例では、販売装置28は、基本的に販売者の既存のレジ26のPOS端末27への拡張であり、決済端末アプリケーションは、顧客によって保持される移動通信装置4と共に着脱可能なメモリカード1で再び実行する。
【0089】
ケーブル接続38により、レジ26からの結果は販売装置28に転送され、ディスプレイ37に表示され、販売者は確認ボタンによってそれを確認する。次に、支払高が販売装置28のキーボード36より入力されたかのように、処理は同じ方法で実行される。この接続では、販売装置28は、支払金額を入力するためのキーボード36を含む必要はないが、さまざまなシステムの販売装置28の有用性から、キーボード36は本実施例でも販売装置28の一部である。
【実施例8】
【0090】
本実施例では、図11〜14に従って、着脱可能なメモリカード1が、microSDカードの形式であるシステムを記載する。本実施例では、その上に配置された2つの安全素子3があり、1つの安全素子3は、決済カード部7のため、あるいは、さまざまな発行者からの複数の決済カード部7それぞれのために設計され、第2の安全素子3は、決済端末部5を含む。他の実施例では、着脱可能なメモリカード1は、決済端末部5がローカライズされることなく1つの決済カード部7しか含むことができない。
【0091】
一般のフラッシュメモリ2を有する着脱可能なメモリカード1は、一般のmicroSD標準のインタフェース11を有し、移動通信装置4のスロットに挿入される。それは、拡張メモリを挿入するために設計された一般のスロットである。
【0092】
本実施例では、アンテナ21を有するNFC通信素子13は着脱可能なメモリカード1に配置される。移動通信装置4には、キーボード45の横に決済ボタン44が配置される。決済ボタン44は、移動通信装置4のマイクロスイッチに接続される。マイクロスイッチの特定の実施が重要ではなく、たとえば、薄膜スイッチ、容量スイッチなどの異なる形式であってもよい。
【0093】
決済ボタン44は、着脱可能なメモリカード1のアクセスモードを変更する唯一の受付順は、少なくとも移動通信装置4がこの種類の決済ボタン44を備えた場合に、この決済ボタン44に接触してから可能となるように、ファームウェアに接続される。同じ着脱可能なメモリカード1が、ハードウェア決済目的ボタン44なしで移動通信装置4のスロットに挿入される場合、アクセスモードの変更は、移動通信装置4のディスプレイ46上のメニューで実施される。この場合、着脱可能なメモリカード1は、両方のアクセスモードで機能するようになるが、移動通信装置4との接続全体の決済の安全性が低下する。
【0094】
決済ボタン44を備える携帯電話では、決済ボタン44に接続された既定のファームウェア以外の方法によって着脱可能なメモリカードの安全素子3にアクセスすることができない。本実施例では、それは、LGMアプリケーションになる。
【0095】
2つのアクセスモードは、以下の特徴を有することができる。
【表1】
【0096】
決済機能のアクセスモードでは、着脱可能なメモリカード1のファイルキャッシングは停止し、フラッシュメモリ2へのアクセスとファイルシステムへのアクセスはサポートされる。
【0097】
移動通信装置4が、たとえばSDIO標準(セキュアデジタル入出力)、McEXの高度通信インタフェースをサポート可能である場合、対応するインタフェースは、決済機能のアクセスモードでもアクセス可能でありうる。
【産業上の利用可能性】
【0098】
産業上の利用可能性は、明白である。本発明によって、1つのメモリカードに1つまたは複数の決済端末を有するメモリカードに実装される決済端末を、大量に工業生産して、使用することが可能である。また、POS決済端末を生産し使用することが可能であり、POS決済端末は、特定の決済の目的のために販売装置と移動通信装置との接続によって一時的に生成されるPOS決済端末を作り出し、そこで、支払ユーザーの移動通信装置の着脱可能なメモリカードとの接続が実施された後にのみ、販売者のPOS端末の必要な構造が生成される。
【0099】
本解決法による、移動通信装置のハードウェア決済ボタンを大量に工業生産することも可能であり、このボタンは、着脱可能なメモリカードの現在のアクセスモードのセレクタを表す。
【符号の説明】
【0100】
1 メモリカード
2 メモリ
3 安全素子
31 POS端末の安全素子
32 決済カードの安全素子
4 移動通信装置
5 決済POS端末アプリケーション
6 端末の構成データ部
7 決済カード部
8 オペレーティングシステム部
9 ブートローダ部
10 内部マイクロコントローラメモリ
11 インタフェース
12 マイクロコントローラ
13 通信素子
14 暗号化部
15 自由にアクセス可能なユーザーのデータ空間
16 非金融アプリケーション部
17 フラッシュメモリコントローラ
18 ウェブサーバ部
19 ダウンロード管理部
20 非表示データ空間
21 アンテナ
22 開始プログラム
23 決済受領者のコンピュータ
24 開始プログラムの通信素子
25 決済処理本部
26 レジ
27 POS決済端末
28 販売装置
29 ICCカード
35 販売装置通信素子
36 キーボード
37 ディスプレイ
38 レジへの接続
39 外部コネクタ
40 標的シンボル
41 販売装置アンテナ
42 SAMカード
43 一時的な非接触接続
44 決済ボタン
45 移動通信装置のキーボード
46 ディスプレイ
【技術分野】
【0001】
本解決法は、携帯電話などの移動通信装置に配置された決済端末について言及する。決済処理を実現するため、端末はそれ自体の通信素子、主にNFC型のものを介しても通信することができる。本発明は、非接触型転送リンクを使用した口座自動引き落とし決済の方法を記載し、移動通信装置を使用することによって、とりわけ小規模の店舗を意図した簡単な構造を有する一時的な決済端末を生成できる構成を示す。本解決法は、たとえばmicroSD(商標)カードの形式で着脱可能なメモリカードを有する移動通信装置による支払いの安全性と快適性の強化について言及する。
【背景技術】
【0002】
恒久的に店舗内に配置される決済端末およびPOS(販売時点管理)端末は公知である。POS端末は、購入者の口座から店舗経営者の口座への送金が、承認したシステム内で保護されるように動作する。現在まで、POS端末による決済は、決済受領者がPOS端末を所有し、支払い顧客は決済装置として、対応するカードを使用する決済を特徴とする。第1の段階では、確認、クレジットカード保有者の照合が実行され、この処理は、安全性を高くする必要があり、販売者および支払い顧客の両方に、不当な労力を強いることなく実現する必要がある。次に、支払金額が店舗経営者の口座に自動的に信用貸しされる処理が実行される。もともとは、磁気ストライプのみを備えたカードが、決済端末アプリケーションの実行に使用された。しかし、技術的な制限に関しては、簡単な技術的装置を使用して磁気ストライプを複製または変更することが可能であったため、データがロードされる磁気ストライプは、安全性リスクがある。磁気ストライプから内部データを読み込むのは、ローテクである。
【0003】
そこで、90年代後半にカード発行会社のEuropay International(登録商標)、MasterCard(登録商標)、VISA(登録商標)の間では、決済カードに配置されたマイクロチップを使用するEMV標準の策定に合意した。EMV(Europay MasterCard Visa)標準は、世界的な相互運用性を保証する目的のために、決済カードチップとPOS端末との間の相互動作について示している。マイクロチップの使用は、外部からは暗証番号なしではマイクロチップにアクセスすることができないように、配置されたデータを保護することを可能にする。カード上のチップの使用は、処理本部へのオンライン接続がなくても、カード保有者本人照合を実現することを可能にする。磁気ストライプは受動的データ記憶媒体であったが、カード上のチップは、基本的にそれ自体が計算能力を有する小型コンピュータであり、メモリ保護部およびデータ暗号化部を有する。現在のPOS端末の記載した技術特性にも関わらず、POS端末の内部を不正に調節および操作した場合、あるいは、読取装置に中間リンクを挿入した場合、カードからのデータおよび暗証番号を漏洩できることが発見された。これは、POS端末に関して、担当員による管理が不十分な場合に、あるいは、他の不正な方法によって、店舗経営者の知らないうちに通常発生する。
【0004】
しかし、今のところ、支払い顧客が所有し、取引関係全体の個々の関係者(決済カード発行者、処理本部、銀行、販売者)に必要な安全性を有するそのような種類の決済端末に携帯端末を改造することが可能な技術的ツールは知られていない。
【0005】
中国公開特許第101351819号の特許に基づく本解決法は、POS端末として携帯電話を使用する可能性を示すが、この特許は、システムの個々の基本的な要素の特定の編成を取り扱っていない。中国公開特許第101339685号、中国公開特許第101329801号、米国特許出願公開第2008270246(A1)号、スロベニア特許第22595(A)号、米国特許出願公開第2008059375号などの特許に基づく多くの解決法は、口座自動引き落とし決済における携帯電話の関与について記載しているが、電話機内には独立したPOS端末素子は直接存在しない。また、米国特許出願公開第20077241180(A1)号明細書に記載されるように、携帯電話と静的なPOS端末が相互作用する解決法が存在する。
【0006】
安全性の高いEMV決済アプリケーションを有し、EMV標準の形式で最終的な決済暗号を生成する技術的解決法などの要求があり、これは、インターネット決済、または、たとえば携帯電話会社に格納されるプログラムのダウンロードに対して支払う場合など通常の店舗の外側で実施された他の決済の場合も含む。これらの種類の解決法が現在は知られていないか、あるいは、たとえば、インターネット経由またはNFC通信あるいはGPRS通信によって、支払い顧客の決済カードから販売者のPOS端末または仮想POS端末へのデータ転送時、通信の漏洩または悪用が起こる可能性があるという事実に安全性リスクが存在する。通常の店舗のPOS端末と決済カードとの間の従来の近接を、インターネット環境による通信に拡張した場合、安全性リスクが増大する。
【0007】
既存のPOS端末は安定した構造によって識別され、それ以外のものとして、決済処理センターに接続する通信チャネル、プリンタ、暗号鍵、カード読取装置、主にさまざまな形式のカード読取装置および暗証番号入力用キーボードを含む。この種類の技術構成は、ある一定のスペースを必要とし、比較的高価である。公知のPOS端末の実現は、宝石店の安定した販売場所を意図しており、POS端末の購入、設置および運用の高額な費用は、購買の決済の妥当な売上げによって釣り合う。
【0008】
公開された特許、国際公開第2008063990号パンフレットによる解決法は、POS端末が決済処理センターとの通信チャネルを有さず、決済した顧客の携帯電話で仲介される接続を使用するシステムを示す。この解決法は、決済端末アプリケーション自体がリモートコンピュータで動作し、携帯電話は通信の仲介にすぎないため、安全性が低い。他の公開された特許は、決済場所には直接的に、店舗の他の部分に配置されている残存部分に接続する管理部分のみが存在するように分割されたPOS端末を示す。既存の解決法および公開されている特許は、現在の標準、とりわけEMV標準に従う決済暗号を生成する、安価であり、複雑でなく、ひいては携帯用のPOS決済端末の生成方法に関する簡単な指示を提供していない。
【0009】
既存の解決法は全て、比較的複雑な設置を必要として、多数の入出力装置を含み、これにより価格が上がる。簡単さおよび安全性の高さの両方を特徴とし、新聞スタンドなどの小規模店舗や、ファーストフードを販売する可動式カウンタにおいても可搬式かつ使用可能であるような装置は今のところ知られていない。
【0010】
キャッシュレス決済用途のために携帯電話などの移動通信装置の使用が増加すればやがて、決済処理の快適性および安全性を強化する要求は高まるようになる。移動通信装置には、移動通信装置の環境への有害プログラムの侵入リスクを伴う移動データネットワークとの悪意のある接続のみならず保護されていない接続の可能性がある。
【0011】
国際公開第2010/011670(A2)号パンフレットとして公開された特許により、支払目的ボタンは公知である。非接触型の決済アプリケーションの実行に必要なNFC通信素子は、そのボタンによって起動される。このボタンは従来の解決法と比較しても、決済アプリケーションが、移動通信装置のディスプレイに表示されるメニューの仮想ボタンによって起動する場合、決済アプリケーションの開始を簡素化するが、NFC通信素子との接続は安全性を増大しない。移動通信装置に格納された決済カードに対する可能な攻撃を分析することによって、危険を指摘し、たとえばトロイの木馬型の不適切なプログラムがユーザーに気付かれずに決済アプリケーションを開始する場合にリスクを指摘している。移動通信装置における決済カードが絶えず決済カード読取装置に挿入されるため、この位置自体が、カードからのデータ読み取りが繰り返し試行される可能性さえ含む。この理由から、たとえばPOS端末またはATMに長い時間、実際に中断することなく挿入されているため、現在までありそうもないと考えられていたEMV標準であっても、将来、決済カードの安全性レベルが破綻するというリスクがある。このような理由で、決済カードの快適性のみではなく、安全性も強化するような解決法が求められている。たとえば、携帯電話のフォトボタンなどの既存の目的ボタンは、電話の選択された機能へのアクセスを高速化および簡素化する目的のみを有し、選択された機能の意識的な開始の安全性問題を解決する必要はなかった。
【0012】
新規かつさらに安全な解決法は、販売者の快適さを低下させないように、十分快適である必要があり、携帯電話によるキャッシュレス決済の拡大に対する重要な仮定である。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】中国公開特許第101351819号
【特許文献2】中国公開特許第101339685号
【特許文献3】中国公開特許第101329801号
【特許文献4】米国特許出願公開第2008270246号
【特許文献5】スロベニア特許第22595号
【特許文献6】米国特許出願公開第2008059375号
【特許文献7】米国特許出願公開第20077241180号
【特許文献8】国際公開第2008/063990号
【特許文献9】国際公開第2010/011670号
【発明の概要】
【0014】
記載した欠点は、決済端末がメモリ、インタフェースおよびマイクロコントローラを含む携帯電話などの移動通信装置を使用する決済端末によって大部分が除外される。マイクロコントローラは、メモリおよびインタフェースを介して移動通信装置回路にもリンクされる。決済端末は、決済POS端末アプリケーションを有する1つの装置と、メモリの保護部に格納される決済端末の構成データ部とを有する。
【0015】
本発明の本質は、決済端末が、関連する構成データと共に、着脱可能なメモリカードに格納でき、このメモリカードは、移動通信装置の基本機能を超える機能を追加するのに使用される別のハードウェア用の移動通信装置のスロットに挿入できるように調整されるという事実にある。本解決法の本質は、移動通信装置に挿入される着脱可能なメモリカードにPOS端末の処理カーネル全体を配置できるような構成であり、携帯電話の共用メモリスロットへの挿入において最も使用される可能性が高い。内部決済POS端末アプリケーション全ての実行は、移動通信装置に挿入される着脱可能なメモリカードで実現することができる。例外は、決済処理本部との通信処理にみられるが、移動通信装置自体の通信チャネル(SMS(ショートメッセージサービス)、GPRS(汎用パケット無線サービス))を使用できる。移動通信装置の表示ツールを使用して、決済アプリケーションの実行を表示することができる。
【0016】
携帯電話の補助メモリカードにのみPOS端末の処理カーネルを移動することによって、驚くべき技術的利点がもたらされるが、携帯電話にはチップカードリーダがないため、決済カードからのデータローディングの複雑化の原因にもなりうる。本解決法の重要な特徴は、同じハードウェア装置、すなわち、着脱可能なメモリカード上に、ユーザーの決済カードまたは複数の決済カードでも配置することができるという事実である。技術的には、着脱可能なメモリカードが、決済端末のためのデータを有するメモリの安全部分以外に、決済カードデータを有する別個のメモリの保護部を含むことができるように確実にすることができる。
【0017】
決済アプリケーションの実行時、着脱可能なメモリカードは別のハードウェアのために移動通信装置のスロットに挿入され、メモリカードは移動通信装置の基本機能を超える機能性を追加するのに使用される。スロットは、主に、ただし排他的にではなく、通常使用するスロットであり、携帯電話などの移動通信装置の外部からアクセス可能である。関連するスロットは、そのような技術装置のために設計されており、それなしでも移動通信装置は基本機能を満たすことができる。したがって、このスロットは、オペレータのネットワークのデータ伝送および/または音声に直接影響を及ぼさず、SIM(加入者識別モジュール)カードのインタフェースと異なっているという事実がある。メモリカードは、本発明の重要な素子であるが、SIMカードの機能を有しない。本解決法に記載する着脱可能なメモリカードは、携帯電話のSIMカードに依存せず、電話の通常機能を妨害せずに、携帯電話から取り外したり、挿入したりすることができる。
【0018】
決済カードとPOS端末との間の通信が、1つのハードウェア装置内のデータ転送に狭められ、ハードウェア装置はアプリケーションの実行時、携帯電話に挿入される場合には、一般の手段でこの通信を監視し、悪用することはできない。決済の実現後、実現した決済に関する暗号化情報は、着脱可能なメモリカードから送信される。この情報は、EMV標準形式の十分な安全性により識別される。一般の構成では、移動通信装置は携帯電話である可能性があり、その携帯電話は着脱可能なメモリカードにおける決済アプリケーションの実行のために、決済処理本部との通信としての外部の機能を確実にする。また、携帯電話は、着脱可能なメモリカードの給電を確実にする。
【0019】
着脱可能なメモリカードは、主にEMV型の決済アプリケーションを有する決済カード部も含むことができる。この種類の決済カード部は、EMV標準に従って、チップが有するのと同じような機能を保証するためのハードウェアおよびソフトウェアのツールを含む。この装置のインタフェースは、通常型の読取装置で読み取るようには設計されていないため、さまざまなものでありうるが、それは堅固に、取り外しできないように着脱可能なメモリカードキャリアに接続される。
【0020】
単一であり、更には分割できないハードウェア装置に、POS決済端末および決済カードを配置することは、端末が物理的に販売者の元に配置されても、それは銀行や決済処理装置などが通常所有していたため、現在まで意味をなさなかった。本解決法を通して、ユーザーが決済端末を賃借することが実現でき、この場合、決済端末および決済カードを1つのハードウェア装置に配置することが可能である。構成識別の観点から、販売者の元に配置される端末に関して現在まで問題はなかったため、端末はこのまま特定の銀行または処理機関が所有することになるであろう。決済カードとPOS端末との間の通信がコントローラを経由して実施されることになるため、着脱可能なメモリカードのハードウェア内のマイクロコントローラと小型決済装置を考えると、本質的に外部からこの通信を不正に読み取ることは技術的に実現不可能となる。
【0021】
POS決済端末の細心の注意を要するデータは、暗号鍵と識別データのように、メモリの保護部、好ましくはいわゆる安全素子に格納する必要がある。安全素子は、特定のハードウェア特性によって特徴付けられ、対応する認証の影響下にあり、これにより、関係者らは、そのようなメモリデバイスに細心の注意を要するデータを進んで信頼しようとする。これらのPOS決済端末のデータは、決済カードデータへのアクセスから厳密に分離する必要があり、逆もまた同様である。この理由から、少なくとも2つの独立した別個の安全メモリ領域は、着脱可能なメモリカードに存在することが可能である。これらは、たとえば、1つの安全素子の別個のパーティションの形式であることも可能である。
【0022】
決済端末アプリケーションにおける処理を最適化する観点から、着脱可能なメモリカードに2つの独立したハードウェア安全素子を有することは、有利ではあるが、必須ではない。これらの素子は、2つの同一のチップの形式である場合があり、着脱可能なメモリカードのプリント回路に独立して配置することができる。そこで、第1の安全素子は、POS端末データの格納、または、さまざまなPOS端末データのそれぞれの格納を対象にすることができる。第2の安全素子は、決済カードのデータまたはさまざまな決済カードに関するデータのいずれかの保存を対象とする。本解決法は、複数のオペレータのPOS端末および1人のユーザーの複数の決済カード(つまり1人の名前で発行されたさまざまな銀行の決済カード)も1つのハードウェア装置に配置することを可能にする。アクセスの視点から、さまざまな会社に属するこれらの構成および決済データは、別個に配置する必要があるため、安全素子は複数の独立した領域、パーティションに分割される。次に、2つの安全素子が使用される場合、相互通信および2つのアプリケーション実行は、安全素子がマルチタスキング機能を有しない場合でも、可能となる。2つ、または複数の安全素子を使用すれば、決済POS端末アプリケーションが安全素子で直接実行することができるように、利用可能な総記憶容量が増大する。1つの安全素子を有する構成では、主に安価で未保護の別のメモリを使用するのがさらに好適となり、メモリには、決済POS端末アプリケーションがロードされ、メモリでは、決済処理時にそのアプリケーションが実行される。
【0023】
共用記憶域自体を含むこと以外に、メモリカードは、セキュアメモリを有するチップの形式に安全素子を保持でき、端末の構成データ部が格納される。この構成データ部は、端末がその識別を割り当てるために必要とするデータの安全な格納に使用される。原則として、これらはほぼ、関連データを有する端末がどこに属するかを決定するデータである。
【0024】
安全素子は、マイクロコントローラに接続する。「マイクロコントローラ」という用語は、コントローラ、または、単にコントローラ形式の狭義のハードウェアを意味しうる。マイクロコントローラは、その機能を分割し、たとえば、コントローラ部が、別のチップのコンピューティング部から分割されるように配置することができる。決済POS端末アプリケーションを実行できるように、マイクロコントローラは、メモリカードのメモリに接続することができ、このメモリには決済POS端末アプリケーションを有する装置が格納される。本アプリケーションは、特にEMVアプリケーションの形式でありうる。マイクロコントローラは、いわゆる汎用POS端末となるそれぞれの装置から決済POS端末アプリケーションを読み込む。一般のPOS決済端末であるが、この時点ではまだ通常のものである。POS決済端末を特定の銀行、特定の機関と関連付けるために、スマートカードチップの選択部から端末構成データをダウンロードする必要がある。
【0025】
本構成は、決済POS端末動作を実現することが可能な構成済みかつ適合済みのメモリカードを、メモリ拡張用スロットを有する一般の携帯電話に挿入することができる。
【0026】
決済カード部は、メモリの保護部に、端末構成データを有する装置とは別個に配置され、好ましくは特殊チップの安全素子の独立した領域に配置される。メモリカードの好適な構造のために、および、SDスロットを有する移動通信装置の高普及率に関して、カードは、SD型、miniSD(商標)型、microSD型カード、それともM2型(メモリースティックマイクロ(商標))のものが好適である。そこで、移動通信装置の回路に対するメモリカードのインタフェースは、SD型またはM2型のインタフェースである。マイクロコントローラは、SDカードアソシエーション(技術委員会SDカードアソシエーション)によって定義された仕様によって規定されるように、カードのインタフェースに接続することができる。
【0027】
十分なデータ透過性を実現するためには、決済カードに少なくとも2つの導体、それ以上に4つの導体データバスを有することが好適となりうる。カードが、第1の最大パラメータが24mm未満であり、第2の最大パラメータが14mm未満であるのが好ましい。
【0028】
マイクロコントローラは、好ましくはEEPROM型の削除不可能な内部メモリを備えることができる。十分なレベルの安全性を実現するために、マイクロコントローラは、ロードされたPOS決済アプリケーションでの不正介入を制御するためのブートローダ部を含むことができる。ブートローダは、マイクロコントローラプロセッサメモリの読み取り専用部分に配置することができ、端末の毎回のリセット後に実行される。ブートローダ機能は、不正介入によって、オペレーティングシステムまたはアプリケーションプログラムが変更されなかったかどうかを制御するために存在する。毎回リセット後、ブートローダは、オペレーティングシステムおよびアプリケーションが格納されるプログラムの外部フラッシュメモリの内容からハッシュ値(電子署名)を計算する。EEPROM内部記憶装置に格納された値と結果を比較する。データが等しい場合は、ブートローダはオペレーティングシステムへ管理を移す。データが等しくない場合は、ブートローダは試行失敗のカウンタをデクリメントさせて、停止する。カウンタが0に達した場合、これ以上マイクロコントローラを起動することができなくなる。メモリには、格納されたオペレーティングシステム(アドレス領域の開始および終了として)が存在することができ、メモリ容量のハッシュ値(電子署名)は、オペレーティングシステムおよびアプリケーションの最初に保存する時にマイクロコントローラに格納される。後に、このデータを変更することはできない。
【0029】
よくみられる態様では、マイクロコントローラは32ビットマイクロプロセッサ構造を有することができる。
【0030】
決済端末は、それ自体通信チャネルを有することができ、すなわち、原則的に携帯機器の通信経路から独立しているような構成によって端末の有用性を大幅に増大することができる。この構成態様は、安全素子および/またはマイクロコントローラに接続する非接触通信素子を含むメモリカードによって特徴付けられる。アンテナがメモリカードに直接配置され、そのアンテナが非接触通信素子に接続されている場合が好ましい。このようにして、端末の機能独立が実現される。非接触通信素子は、周囲の電磁場の検出を備えることができ、これにより、端末の回路は接続が必要な時にのみ起動し、端末のエネルギー需要を抑える。端末は、電磁場から、あるいは、関連するメモリカードのインタフェースを介して携帯電話の電源から給電することができる。非接触通信装置は、安全素子の全装置にリンクできるが、暗号化部は例外であり、コードの未承認違反のリスクを下げるためにマイクロコントローラのみを介してアクセスが可能となる。既存の通信型の分布に対して、通信素子はISO14443標準に従うNFC型のものであるのが好ましい。
【0031】
決済端末は、安全素子にさまざまな独立した端末からの構成データを有するさらに多くの別個の装置を有することができる。これらは、安全素子の別個の領域に格納される。本技術的解決法は、さまざまな決済処理に属する端末に決済端末をアクティブにすることを可能にする。この能力は、ユーザーの選択または他のコマンドに依存する。このようにして、1つのメモリカードは、複数の独立した決済端末のシーケンス機能を組み込んで、実行することができる。この構成は、記載した決済端末の移動性および特定の販売者の端末の独立性が考慮される場合に、または、決済端末の識別および所有権を選択する可能であるのが好ましい場合に、特に有利になる。
【0032】
決済端末は、安全素子にそれぞれの決済アプリケーションを有する独立した決済カードを保持する複数の独立部を有することによって、複数の決済カードを含むこともできる。これにより決済端末は、多決済端末というだけでなく、多重カードとなりうる。1人のユーザーが所有するカード数の増加に伴って、本解決法は、携帯電話に挿入される1つのメモリカードに、これらの決済手段の快適かつ安全な共用体のための空間を生成する。
【0033】
好ましくは、フラッシュメモリ形式のメモリカードの記憶装置は、保護された空間の少なくとも一部を有することができる。これにより、このメモリに決済POS端末アプリケーション部を格納することができる。本装置は、マイクロプロセッサまたは安全素子に直接配置することができるが、回路基板アーキテクチャによっては、記憶領域に必要なサイズが問題となる場合には、この種類の解決法は十分に適応性を有しない。さらに、決済POS端末アプリケーションは、徐々に更新する必要があるため、その作業はメモリに格納されるダウンロード管理部によって実行することができる。メモリカードは、データフロー管理に使用するメモリ制御処理部を備えることができる。ウェブインタフェースを介したメモリカードと携帯電話との間の通信の必要性がある場合、ウェブサーバ部をメモリカードに含めることができる。
【0034】
本願明細書により、端末の有用性は、非金融的な特徴の機能に関して拡張することによって増大する。メモリカードの既存素子、独立した安全素子領域、非接触通信素子および暗号化部は、たとえばリモート制御またはゲートに対する電子キーなどの外部装置を制御するのに使用することができる。この場合、マイクロコントローラより初期化される非金融アプリケーション部は、安全素子または管理するスマートカードチップに存在しうる。
【0035】
本解決法による構成では、決済端末機能を有するメモリカードは、移動通信装置の拡張メモリの機能もさらに実現することができる。未保護部では、メモリは、画像、音楽ファイルなどのユーザーが自由にアクセス可能なデータの領域を有することができる。この部分は、移動通信装置を見れば、直接目視可能である。ユーザーから隠されるデータのためのメモリには、決済取引結果などの記録としてシステムデータが存在することができる。
【0036】
システムは、標準の店舗で支払う目的のための決済POS端末アプリケーション開始プログラムを補足することができ、開始プログラムは、簡単なハードウェア素子の形式、または、レジの一部でありうる。開始プログラムは、決済価格の生成部を有することができる。販売者は、必要な決済金額を開始プログラムより入力する。また、この金額は、レジから出力された最終的な購入金額としても生成することができる。開始プログラムは、通信素子に装着、あるいは、完全に装備され、通信素子は、着脱可能なメモリカードの通信素子または移動通信装置の短距離通信素子と互換性がある。
【0037】
本発明によると、移動通信装置を使用する口座自動引き落としによる決済は、決済POS端末アプリケーションは、別のハードウェアのために携帯電話のスロットに挿入される着脱可能なメモリカードで動作することができ、決済カードアプリケーションは同じハードウェア装置で動作するという事実に基づいている。現在まで知られている決済POS端末アプリケーションの実行は、決済の実施時に、決済カードは、一時的にPOS端末に接続されるという事実によって特徴付けられた。本解決法により、決済カードは堅固に決済端末に接続されるため、POS端末と決済カードとの間の通信は直接決済カードの回路により実行することができる。さまざまな新しい決済アプリケーション処理の可能性はこの技術的解決策から急に増大して、原則として決済POS端末アプリケーションの結果は、今日使用されている形式であるEMV決済暗号でありうる。
【0038】
可能性のある手続きの態様の1つでは、決済POS端末アプリケーションは、メモリカードのマイクロコントローラにロードされ、次に選択された端末の識別に関する構成データは、対応する安全素子からロードされる。また、重要な特徴は、決済カードデータを安全素子からマイクロコントローラにロードする可能性であり、マイクロコントローラは決済端末として動作するため、データはアプリケーションの実行に使用される決済POS端末によって使用される同じ種類のハードウェア装置からロードされる。安全素子が十分な計算能力を有する場合、決済POS端末アプリケーションは安全素子で直接実行することができる。これは、たとえば、2つの安全素子が、一方は決済端末として、もう一方は決済カードとして使用される場合に起こる。さらに、この構成では、決済POS端末アプリケーションは、全決済端末の識別のために、通常の一般のものとして生成でき、安全素子の対応する独立領域からの識別データは、決済端末が選択された後にのみ、決済POS端末アプリケーションにロードされる。既に挿入された構成データを有する独立した決済POS端末アプリケーションを使用する態様も除外されない。
【0039】
安全性レベルを強化するために、ブートローダは、決済POS端末アプリケーション自体を実行する前に、決済POS端末アプリケーションの変更制御を実行するのが好ましい。決済POS端末アプリケーションは、移動通信装置、主にキーボードの入力装置を介して管理される。
【0040】
決済カード、または少なくとも1つの決済カードが、着脱可能なメモリカードに配置された場合、かつ、決済端末アプリケーションは同じ着脱可能なメモリカードで動作する場合のように同じ技術基盤で、販売者の技術装置の要件を簡素化した「ライトPOS」の構造を生成することも可能である。構成の本態様の主題は、販売装置が着脱可能なメモリカードと一時的に接続する時に、POS決済端末が着脱可能なメモリカードで生成されるという事実にある。販売装置が販売者に属すか、販売者によって保持され、識別データを有する保護部を含み、識別データは、とりわけ対応する販売者の銀行口座にPOS決済端末を一致させるのに必要なデータを包含する。基本的に、販売装置はハードウェアによって形成され、一時的に生成されたPOS決済端末の識別を確実にする。
【0041】
構造があらかじめ定義されたPOS端末は2つの部分の一時的な接続から生成されるという事実に、一般に基本的な技術的思想のこのような使用の重要な特徴がある。決済処理が終了した後に、構成部分は切断し、通信チャネルは中断され、販売装置と別の着脱可能なメモリカードとの間に別の新しい接続を生成できるため、接続は、一時的であるとみなされる。当然、あらかじめ協働している着脱可能なメモリカードと販売装置との度重なる接続も除外されない。接続の一時性は、1つの決済処理によって実際に限定される時相として理解されるが、決済処理の開始前と終了後ある程度の時間の接続であるとも仮定することができる。販売者側と支払い顧客側の常に新しい素子の組み合わせを組み合わせることが可能であることが解決法であり、それにより、支払い顧客の移動通信装置にPOS端末を、対応する販売者の識別を有するPOS端末とともに生成することが常に可能である。
【0042】
販売装置という連語は、POS決済端末の分野で一般に使用されず、この連語においては、本願明細書による機能の実現のための対応するソフトウェアを備えるあらゆる型のハードウェア装置を考慮することが必要である。販売装置は外部からPOS決済端末として動作し、販売者は通常、実際にそのように販売装置を呼ぶが、アプリケーションの構造と実行の観点から、販売装置は重要ではあるが、POS決済端末全体の十分な部分ではない。したがって、販売装置という用語は、広義では、販売者または購入場所に基本的に接続され、口座引き落とし決済の正確な経路指定を確実にする端末の一部であるという事を理解する必要がある。
【0043】
POS決済端末全体では、販売装置は、POS端末識別の提供と決済価格の入力との2つの基本機能を有することができる。原則的に、決済価格が移動通信装置のキーボードより入力される狭義のハードウェア態様も可能である。しかし、販売者は、顧客の移動通信装置を制御する必要があるか、あるいは、顧客が決済端末アプリケーションに正確な決済金額を入力するために顧客を信用する必要があるため、この種類の態様は販売者にとっては、不安がある。また、販売者が入力した価格を確認できるように、販売装置ディスプレイに表示することが可能であるが、支払金額が販売者の側の素子を通して入力できれば、はるかに安心なものとなる。移動通信装置のキーボードより決済価格を入力するこの項で記載する態様は、口座引き落とし決済実施時に、販売者の動作や操作に対して標準(たとえば、EMV)を満たす必要はないが、原則として本解決法の原理を使用することによって実現可能である。
【0044】
販売装置は、独立して決済端末アプリケーションを実行できず、処理センターとの接続を確立するための通信チャネルを有する必要はない。ハードウェアセットは、販売者の販売装置を顧客の移動通信装置に挿入される着脱可能なメモリカードと接続することによって、一般のPOS決済端末の全基本機能を実現することができる。それぞれ個々の決済の実現のために、一時的な接続は、基本的に生成することができ、これは常にさまざまな顧客側の異なる通信装置でありうる。移動通信装置はまさに、既存のGSM(登録商標)/GPRS(汎欧州デジタル移動電話システム/汎用パケット無線サービス)により決済センターと必要な接続を生成することができる。しかし、本願明細書による本解決法は、オフラインおよびオンラインの決済を処理できるため、この接続は各決済時に生成する必要はない。
【0045】
販売装置と接続するための着脱可能なメモリカード構造は、上に記載した変異型に類似する。販売装置と移動通信装置で作製されたセットが、決済端末アプリケーションを動作させて、実行するために、ハードウェアおよびソフトウェアの要素を含み、処理の観点では、口座引き落とし決済動作のカーネルは着脱可能なメモリカードに直接形成する。販売装置および移動通信装置で作製されたセットは、外部の決済カード読取装置を備える必要はないため、決済カード部を有する保護メモリであっても着脱可能なメモリカードに直接存在するのが好適となる。決済の実行のための装置−販売装置との接続のための端末のアプリケーションおよび通信素子は、着脱可能なメモリカードにある。また、販売装置は、POS決済端末の識別データを有する保護メモリ以外に、着脱可能なメモリカードとの接続のための通信素子を含む。POS決済端末は、これらの素子によって、メモリを拡張するカードのためのスロットを有する一般の携帯電話を用いて生成される。着脱可能なメモリカードは、販売装置に接続した後にのみ一意の識別を有する特定の決済端末になる汎用の決済端末を含むことができる。販売装置は、この一時的に接続に対して、決済を実施する関係者の便益のために、明確な識別を与える。NFC(近距離無線通信)通信素子がない携帯電話であっても、本機能には関心があるため、着脱可能なメモリカードにそのようなNFC通信素子を直接含むことができる。原則として、移動通信装置と販売装置との間の接続は、接触型インタフェースの形式でありうるが、それはコネクタの複雑な統一を必要とし、互換性が問題となる。したがって、解決法がない場合はもちろん、販売装置と着脱可能なメモリカードとの間の接続が広範囲に標準化されているNFC通信チャネルの形式であるのが好ましい。
【0046】
記載した構成により、販売者は、識別、端末の番号に関する情報を提供するきわめて簡単な販売装置のみを所有することが可能となり、その販売装置に対して、決済処理センターで対応する販売者の口座番号を割り当てることができる。この種類の販売装置は、きわめて小型かつ簡単となる。それは、販売者が必要な決済金額を入力するためのディスプレイおよびキーボードを有する小型の箱の形状であってもよい。識別データは、販売装置のプリント回路上の対応する素子に直接格納することができ、あるいは、ICC(集積回路カード)カードまたはたとえば暗号鍵を有する今までに知られているSAM(セキュリティ認証モジュール)カードなどの他のキャリアに格納することができる。この態様では、一般のSIMカード(加入者識別モジュール)のサイズのSAMカードが、販売装置のカバーを外した後に利用可能となる。SAMカードは、最初の起動前に販売装置に挿入される。
【0047】
顧客は、自身の移動通信装置で販売装置を軽打する。販売装置を軽打することによって、NFC通信チャネルが生成され、この一時的に生成されたPOS決済端末の識別に関する情報が、販売装置から着脱可能なメモリカードに送信される。そこで、識別データは、販売装置の安全素子に格納されたマスターキーによって暗号化できる。販売装置からの入力データは、着脱可能なメモリカードで読み出し後、決済端末アプリケーションの実行の基礎となる。決済端末アプリケーションは、着脱可能なメモリカードにそれ自体の識別なしで、通常の形式にロードすることができる。基本的に、販売装置と着脱可能なメモリカードとの間の一時的な接続が生成された後、一般に汎用性のある通常の端末は、特定のPOS端末に変形し、この端末はシステム内で対応する販売者に割り当てられる。このフェーズは、新しい一時的なPOS端末の起動に関するある種の準備をする。次に、たとえばEMV型などの決済端末アプリケーションは、接続時に、現在までの標準POS端末と同じような方法で実行することができる。
【0048】
POS端末の識別データの暗号化は、マスターキーにより実施され、マスターキーは、決済暗号の生成のために、後に決済端末アプリケーションによって使用される暗号鍵とは、一般に異なることがあり、大部分は異なる。マスターキーは、たとえば、販売装置ハードウェアの供給先から入手することができ、決済端末アプリケーションの暗号鍵は、銀行または決済処理装置によって発行することができる。暗号鍵の実際差は、決済清算システムで作動する個々のエンティティのさまざまな要求を条件とする。
【0049】
安全性強化の観点から、販売装置から移動通信装置までの転送時に、決済金額に関する入力も暗号化することができる。これによって、決済端末アプリケーションカーネルが実行される前でも、支払ユーザーが決済価格を下げるリスクが低くなる。この種類の変更は、支払金額を表示する形式において、販売者側で決済を最終的に確認することによって示されるが、怠慢や日課となっている方法の場合、販売者は金額の変化に気付くことはないと思われる。
【0050】
決済端末アプリケーションの実行時に選択された決済カードの装置との通信が直接着脱可能なメモリカードで行われる構成は好適である。着脱可能なメモリカードと、物理的な別個の安全素子または1つの安全素子の独立した領域に、独立した決済カードの複数の装置を格納できる。この構成では、決済端末アプリケーションは着脱可能なメモリカードで直接動作することができ、顧客の決済カードに関するデータは外部の読取装置やインターネット領域には送信されず、決済操作の安全性に対して肯定的な影響力があるのは事実である。
【0051】
販売装置は、さまざまな形式である可能性があり、直接識別データを有する安全素子を含むキーボードを有する小型の箱以外に、内部に、好ましくは古典的な標準ICC(ICカード)カード形式の外部のカードのために生成された読取装置を有するようにも生成できる。そこで、この種類のカードのチップに機密データをロードできる。また、カードのチップは、実施した決済取引のデータ入力に好適に使用できる一定の記憶容量を含む。業務終了後、販売者はたとえば新聞スタンドなどの店舗に販売装置の基本的な部分を残して、ICCカードのみを持ち出すことができる。販売者は、販売装置からICCカードを抜く場合、処理手続きのために銀行に持って行くこともでき、あるいは、読取装置を使用して、このカードから自宅のコンピュータにデータをバックアップすることができる。販売者が複数のモバイルスタンドを所有している場合、1つの端末および1つの銀行口座の識別データを有する1枚のICCカードと組み合わせて複数の販売装置が存在でき得、一方では、1つの店舗の複数のシフト店舗内で、さまざまな販売者に属する複数のICCカードとともに1つの販売装置を使用することができる。
【0052】
必須でないにしても、販売装置が、決済データを販売装置から直接あるいは、それぞれこのコネクタによって、印刷することを可能にする。たとえば、拡張アクセサリによる接続のためのUSB形式の装置自体のインタフェースを有する場合、決済カード読取装置、GPRSモデムなどに接続することが可能となるのは好ましい。
【0053】
本願明細書に記載のシステムを実装した後、移動通信装置は、移動通信装置の回路との協働のために絶えず準備される決済カードのデータを盗み取るという目標によって攻撃の対象になることが想定することができる。現在、本解決法が新規であり、現在まで広く普及していないため、これら該当するハッカーの戦略がどの方向に進んでいくのかを示すことは不可能である。しかし、決済カード、あるいは、それぞれ着脱可能なメモリカード上の決済端末の持続する迅速性、即戦性および接続性を悪用する傾向があることが想定することができる。理想的な構成では、着脱可能なカードが2つの独立したアクセスモードを有した場合、このリスクを低くする。1つのアクセスモードが設計され、携帯電話などの移動通信装置の記憶容量の拡張部に存在する着脱可能なメモリカードの一般機能として設定される。このアクセスモードでは、決済カードを有する装置と、着脱可能なメモリカードの非接触通信素子へのアクセスを防止する。基本的に、着脱可能なメモリカードのインタフェースのこのアクセスモードでは、このカードは、着脱可能なメモリカードに安全素子も通信素子もない一般の着脱可能なカードであるように見える。
【0054】
第2のアクセスモードは、着脱可能なメモリカードの決済機能に設計され、設定され、決済カードを有する装置と、着脱可能なメモリカードの非接触通信素子へのアクセスは、移動通信装置の回路からインタフェースにより許可される。決済端末を有する装置は、着脱可能なメモリカードに配置される場合、この装置は、単にアクセス可能であり、決済機能のために単にアクセスモードに存在する。
【0055】
2つのモードは交互に選択可能であり、着脱可能なメモリカードの決済機能のためのアクセスモードは、ハードウェア決済ボタンを物理的に押下後にのみ起動することが可能であることは重要である。
【0056】
着脱可能なメモリカードは、少なくとも1つの決済カード部が配置され、決済目的ボタンが物理的に押下される瞬間までは、インタフェース上に移動通信装置の記憶容量の拡張のための着脱可能なメモリカードであるように見える。そこで着脱可能なメモリカードは、安全素子と少なくとも1つの決済カード部を有するカードとして、インタフェースでアクセス可能になる。
【0057】
好適な本解決法の態様による着脱可能なメモリカードは、一般にアクセス可能なフラッシュメモリを含み、決済カードまたは決済端末のハードウェアおよびソフトウェア素子をさらに有する構造を有する。移動通信装置の一般使用時に、着脱可能なメモリカードは、対応するマイクロコントローラと共に、記憶容量の拡張のためのフラッシュメモリのみを含むかのよう動作する。この状態では、ファイルの読み書きは、着脱可能なメモリカードのメモリで可能ではあるが、このモードでは、他の素子、たとえば安全素子、NFC通信素子は隠されており、管理も実行もできない。
【0058】
ハードウェア決済目的ボタンの存在によって、決済ボタンの物理的な押下に排他的に関連させるように、着脱可能な決済カードの特徴をインタフェースレベルで変更することが可能になる。ボタンを物理的に押下する必要性は、望ましくないソフトウェアやユーザーの意志を模倣するスクリプトによって決済アプリケーションが実行される可能性を除外する。
【0059】
この構成によって、ユーザーに知られずに安全素子を乗っ取ろうとする試みのために着脱可能なメモリカードのインタフェースが悪用されるリスクを除外する。ボタンの物理的な押下と対応するファームウェアの実行との関係は、書き換え、変更、更新をできないようにし、あるいは、対応するパスワードなしでこれらを実行できないようにメモリに格納することができる。そこで、不正プログラムは、この信号がアプリケーションの実行の他のステップへのボタンの実際の物理的な押下として生じるように、物理的な決済ボタンからの信号を模倣することができない。侵入者は、リモート移動通信装置に示すボタンを物理的に押下する可能性がないため、決済カード部、または、着脱可能なメモリカードの決済端末の装置への制御不可能なアクセスを得ることが除外される。着脱可能なメモリカードは、標準のメモリカードとして動作し、決済ボタンが物理的に押下された後にのみ、決済カードモードに切り替わる。決済アプリケーションの終了は、記憶容量モードを拡張する一般のカードにカードのモードを自動的に切り換える。
【0060】
移動通信装置において、決済処理の上に記載した実行のオフセットは2つのアクセスモードの同じ原理に基づいている。この手続きの変形は着脱可能なメモリカードが決済処理の実行前に記憶容量を拡張する一般の機能のためのアクセスモードにあるという事実に基づいている。次に、決済カードを有する装置、適切には非接触通信素子および決済端末を有する装置であっても、着脱可能なメモリカードに配置される場合、インタフェース側からアクセスできない。ハードウェア決済ボタンの物理的な押下後にのみ排他的に、着脱可能なメモリカードは、決済カードを有する装置へアクセスが許可された着脱可能なメモリカードの決済機能のためにアクセスモードへ切り替わる。
【0061】
本解決法は、図1〜14で詳細に説明する。
【図面の簡単な説明】
【0062】
【図1】1つの分割された安全素子を有するメモリカードの個々の素子の間の接続を表示したメモリカードの個々の素子のブロックの図であり、決済POS端末や複数の決済カードからの保護されたデータが存在することを示す図である。
【図2】インターネット店舗での決済時または移動ネットワークからダウンロードしたファイルの決済時に、メモリカードを有する携帯電話による解決法を示す図である。
【図3】2つの独立した安全素子、およびメモリカードにアンテナと同じように、直接配置される通信素子を有するmicroSD型の着脱可能なメモリカードを示し、通常のPOS決済端末部と、さまざまな銀行の4つの独立した決済カード部とを有する構成を表す図である。
【図4】2つの安全素子をオプションで有する、構造が簡単なプリペイド型の着脱可能なメモリカードを示す図である。
【図5】移動ネットワークで提供されるファイルの支払時に、着脱可能なメモリカードで動作する決済アプリケーションでタスク遷移があることを示す図である。
【図6】決済開始プログラムによる解決法であり、実際に開始プログラムは物理的店舗のレジ横に恒久的に配置されることを示す図である。
【図7】一般の携帯電話形式の移動通信装置の外側の概要図であり、携帯電話は販売装置の近傍に配置され、寸法、形状および移動通信装置および販売装置の比率割合は必須でなく、単にスキームをより明確に示すためにだけ選択され、携帯電話および販売装置は、実際に販売装置の表面に携帯電話を直接配置することができるが、図をさらに明確にする目的のために重ねていないが、可能であることを示す図である。
【図8】販売装置の基本構造の斜視図であり、携帯電話の側面の通信素子が着脱可能なメモリカードに配置されることも見ることができる、POS端末の識別データを有するメモリは、着脱可能なメモリカードに配置され、POS端末の識別データを有するメモリは、SAMカードで配置され、着脱可能なメモリカードと販売装置との間にはNFC通信チャネルが存在していることを示す図である。
【図9】構造内に、販売者のICCカードが読取装置の本体に挿入される構造における販売装置構造のスキームを示す図である。
【図10】レジへの接続を有する構成であり、販売装置は、ICCカード読取装置を含み、mini USBコネクタをさらに有することを示す図である。
【図11】ハードウェア決済ボタンの押下による決済アプリケーションの実行の流れを示す概略図であり、電話ハードウェア/電話ファームウェア/着脱可能なメモリカードのレベルで、アプリケーションの開始時の個々のタスクおよび処理のローカライズを見ることが可能である図である。
【図12】携帯電話のメモリアクセスモードを一般に拡張した場合、着脱可能なメモリカードは、外部に存在する構造を見ることができる図である。
【図13】決済カードアクセスモードの場合、着脱可能なメモリカードが、外部に存在する構造であり、この構成には、決済端末を有する装置は、着脱可能なメモリカードに配置されることを示す図である。
【図14】決済ボタンを有する携帯電話の一例を示す図である。
【発明を実施するための形態】
【実施例1】
【0063】
本実施例では、図3による2つの独立した安全素子31および32による解決法を記載している。別個のハードウェア安全素子31、32を使用することによって、安全素子3、31、32の機密データの格納に関して、決済システムの個々の関係者(カード発行者、クリアリングセンターオペレータ)によって設定される証明要件を簡素化する。本実施例では、安全素子31、32はそれぞれ独立した領域に分割され、その領域をさまざまなカード発行会社およびPOS端末の構成データのさまざまな所有者に提供することができる。安全素子31、32は、回路基板の独立したチップの形式であり、マイクロコントローラ12の役割を果たすコントローラに接続される。コントローラ12に関して、インタフェースはISO7816である。着脱可能なメモリカード1は、microSDカードの形式である。ASIC(特定用途向け集積回路)チップは、NFCプラットフォーム通信処理を実行するように設定され、通信素子13の機能を実現するマイクロコントローラ12に接続される。アンテナ21は着脱可能なメモリカードの本体1に直接配置され、特許権者のさまざまな特許出願に従って設計され、携帯電話4の他のハードウェアから独立しているNFC通信を可能にするようにASICチップに接続される。着脱可能なメモリカード1は、たとえば容量が2GBの一般のフラッシュメモリ2を含む。ユーザーは、携帯電話のインタフェース4からメモリ2の一部20にアクセスできない。メモリのこの部分は、実現した決済レコードを記録するのに使用され、メモリ2の残りは、音楽、画像などの共通記憶装置に使用され、これによりユーザーにはメモリカード1全体が共用記憶域媒体であるように見える。POS端末と決済カードとを着脱可能なメモリカード1に配置することによって、記憶容量を拡張するように設計された携帯電話4のスロットの初期機能は消失しなかった。
【0064】
決済は2つの異なる型で実行できる。たとえば、図6に示すように、携帯電話4のユーザーは、インターネット店舗で電子書式の地図を購入することを決める。この場合、インターネット店舗の経営者は、携帯電話4の製造者でありうる。記載した技術的解決法に従って製造されたmicroSD型メモリカード1は、携帯電話4の外部からアクセス可能な側部のスロットに挿入される。安全素子31には、複数の人々、中にはインターネット店舗の経営者にも属するPOS端末構成データ6が格納される。購入商品の選択後、対応する数量に関する支払要求をインターネット店舗から携帯電話4に送信する。ユーザーは、携帯電話が備える決済ボタンを押下する。別の決済例では、携帯電話4のディスプレイ上に表示されたソフトウェアボタンによって決済選択を初期化することができる。決済POSアプリケーションの開始要求を、インタフェース11に送信する。決済POS端末アプリケーションは、標準POS決済端末とPOS端末の読取装置に挿入される決済カードとの間の関係の場合と同じように、メモリカード1で動作する。携帯電話4のディスプレイは、決済の実行を管理するのに使用される。ユーザーは、必要な金額を支払う決済カードを選択する。選択した決済カードの対応部7でアプリケーションを起動後に、対応するカード発行者の危機管理に関する既定の規則によって、決済の実行を管理することもできる。これによって、決済のカードパスワードの入力が必要となったり、必要とならなかったりする。
【0065】
決済POS端末アプリケーションを終了後に、POS決済端末と決済カードの接続がソフトウェアによって切断され、インターネット店舗で処理するために、得られた決済暗号が、GPRSチャンネルによって送信される。インターネット店舗が、決済ファイルを受信して、解読した後に、決済を評価し、肯定結果の場合に、代金が支払われた商品(本実施例では地図)を携帯電話4に送信する。
【実施例2】
【0066】
本実施例では、標準microSDカードと形状およびパラメータが類似するmicroSD型の着脱可能な決済カード1プラットフォーム上の決済端末に関して記載する。決済カード1は、図1のように、本実施例ではLinux(登録商標)であるマルチタスクオペレーティングシステム8を動作させる32ビットマイクロプロセッサ形式のマイクロコントローラ12を有する。フラッシュメモリ2、安全素子3およびSDインタフェース11が、マイクロコントローラ12に接続される。マイクロプロセッサ12は、ロードされた決済POS端末アプリケーションにおける未承認の介入を制御する内部のEEPROMメモリ10とブートローダ部9を含む。
【0067】
フラッシュメモリ2は、保護部と未保護部に分割される。未保護部には、ユーザーが自由にアクセス可能で見ることができるデータのための空間15と、隠されたシステムファイル、特に決済端末によって処理される決済取引に関する記録のための空間20がある。メモリカードの保護部には、本実施例ではLinux(登録商標)であるオペレーティングシステムの保持部8があり、とりわけ決済POS端末アプリケーションが保存される決済POS端末アプリケーション部5は、この場合、EMV型のアプリケーションである。本実施例では、メモリ2の保護部には、メモリカード1の格納およびソフトウェア更新管理に使用するダウンロード管理部19が存在する。スマートカードチップ3に、アプリケーションをロード/更新する必要がある場合、アプリケーションのバイナリデータは、たとえば、ユーザーに隠されるデータが格納される空間20のシステムデータ部などのフラッシュメモリ2の未保護部にロードされる。ダウンロード管理部19は、安全素子3にロードする必要のある新しいファイルがシステムデータ部に存在しないかを定期的に確認する。「yes」の場合には、それぞれのインストールが実行される。
【0068】
メモリ2の保護部には、安全素子3に格納されるEMV決済アプリケーション以外のアプリケーションを管理するために使用されるSCWSウェブサーバ部もある。マイクロコントローラ12には、メモリ空間があり、オペレーティングシステムが(アドレス領域の開始および終了として)格納されている。メモリ容量のハッシュ値(電子署名)は、オペレーティングシステムおよびアプリケーションの最初に保存する時にマイクロコントローラ12に格納される。後に、このデータを変更することはできず、禁止されたソフトウェア変更に対して保護を確実にする。
【0069】
複数の個々の領域が、スマートカードチップ3の安全素子に生成される。本願明細書では、上記領域の3つが、3つの異なる決済処理に属する3つの独立した端末の構成データ部6を保持するのに使用される。安全素子の2つの部分が、EMV型のそれぞれの決済アプリケーションを有する2つの独立した決済カード7を含む。したがって、本実施例は、ユーザーが、異なる決済処理に属する3つの端末で2つの異なった決済カードによって支払うことができる解決法を示す。たとえば、これらの決済処理の1つは、口座自動引き落とし決済取引処理業務に、電気通信サービスを接続する携帯電話ネットワークオペレータでありうる。また、安全素子には、RSA暗号化部14が存在する。
【0070】
メモリカード1は、アンテナ21が配置された、NFC非接触通信素子13をメモリカード1それぞれに有する。この構成は、NFCチップのない一般の電話とISO14443標準を満たす関連する読取装置との間のNFC通信接続を新しく生成することを可能にする。
【0071】
安全素子3には、非金融アプリケーション部16も存在し、本実施例では、扉を開けるための電子式の非接触型キーとして動作するよう構成される。
【0072】
フラッシュメモリ2コントローラ17は、メモリ2の保護部にあり、携帯電話とメモリカード1のフラッシュメモリ2との間のデータ転送を管理する。フラッシュメモリ2コントローラ17は、データを参照したり、メモリ2の保護部に書き込んだりする可能性を備え、システムデータ部(読み書きは許可)が配置されるメモリ2の未保護部を参照する可能性を備えている。
【0073】
決済POS端末アプリケーションは、別のハードウェアのために移動通信装置のスロット4に挿入される着脱可能なメモリカード1で実行する。決済POS端末アプリケーションは、メモリカード1のマイクロコントローラ12にロードされ、次に、選択された端末の識別に関する構成データは、安全素子3からロードされる。選択された決済カードデータは、安全素子3から決済端末として動作するマイクロコントローラ12にロードされる。どの決済カードデータがロードされるかは、ユーザーの選択に依存する。
【0074】
ブートローダ9は、決済POS端末アプリケーション自体が起動する前に、決済POS端末アプリケーションの変更管理を実行する。決済POS端末アプリケーションは、移動通信装置4のキーボードおよびディスプレイを使用して管理される。携帯電話には、ユーザーと、メモリカード1とHOSTプロセッサとの間の通信を可能にするグラフィカルGUIインタフェース(グラフィックユーザインタフェース)を有する。携帯電話には、プッシュSMS技術も存在する。決済POS端末アプリケーションは、SDマイクロコントローラアプリケーション12であり、microSD型メモリカード1の決済アプリケーションを使用して、オンラインおよびオフラインの決済を可能にする。決済は、「カードが存在する」として、大いに安全性を強化して実現され、取引は、暗号で署名され、各取引時にATCカウンタが1加算され、いくつかの鍵を入手するために無制限に取引件数を生成することは不可能であることを意味する。クライアントは、それ自体の電話にインストールされているGUIアプリケーションを介して決済POS端末アプリケーションを管理する。本実施例では、決済POS端末アプリケーションはマイクロコントローラ12と共に汎用POS端末を形成する。異なる構成では、汎用POS端末は、安全素子を有するチップに直接存在する計算素子と共に決済POS端末アプリケーションを形成することができる。次に、設定パラメータと共に、EMBEDDED POS TERMINALを形成する。Terminal_type 1xは、金融機関に属する端末、2xは、販売者に属する端末、3xは、クレジットカード所有者に属する端末、つまりクレジットカード所有者の端末である。端末の構成データ部6は、端末の識別番号、PDOLデータ(処理オプションデータオブジェクトリスト)、端末リスク管理、オフラインバッチファイル形式、HOSTのSMSゲート、HOSTのIPアドレス、オフライン決済に署名するためのコードを含む。決済は、オフラインまたはオンラインでありうる。決済処理との通信は、SMSメッセージまたはGPRSにより実現することができる。
【実施例3】
【0075】
着脱可能なメモリカード1は、決済の実現に必要な最小限のセットのみを含み、本実施例に記載する。その構造を図4に示す。この種類の着脱可能なメモリカードは、あらかじめ入力した金額のプリペイド型決済カードとして販売されるようにのみ設計されており、たとえば、異なる通貨の国からの旅行者に販売されることを意図している。着脱可能なメモリカード1は、microSD仕様に従う接点とのインタフェース11を含む。着脱可能なメモリカード1の塑性体には、2つの安全素子31、32がある。第1の安全素子31には、プリペイドカードシステムオペレータによって生成されるPOS端末の構成データがある。第2の安全素子32には、1回限りの決済カードのデータがある。商用パッケージは、着脱可能なメモリカード1と共に、スクラップ欄を有するペーパーキャリアを含み、決済カードへのアクセスを管理するための対応する暗証番号がある。メモリカード1は、支払い顧客の決済カードに接続されると、販売者によって保持された一般のPOS端末として全動作を実行する。携帯電話4の装置は、表示および通信に使用される。
【実施例4】
【0076】
本実施例では、システムは、決済POS端末のアプリケーション開始プログラム22のために補足される。それは、NFC通信素子を有する専用の装置の形式でありうる。本実施例では、開始プログラムはレジ出力に接続され、レジは要求される決済の合計に関する情報を出力に送信する。開始プログラム22は、決済価格、販売者の口座に関する情報および要求コマンドを含むファイルを生成する。開始プログラム22は、通信素子24を介して携帯電話4にこのファイルを送信し、ファイルは携帯電話に適用される。メモリカード1でこのファイルを受信すると、決済POS端末アプリケーションが開始する。本解決法は、POS端末を有しない通常店舗で、ユーザーの携帯電話4の決済端末を口座自動引き落とし決済に使用することを可能にする。
【実施例5】
【0077】
図3、7および8に示すように本実施例では、記載するシステムがあり、そのシステムでは販売者側には、専用の箱の形式の販売装置28が配置され、数値キーボード36、ディスプレイ37および充電式アキュムレータ形式の電源を有する。販売装置28は、上側カバーの表面下にアンテナ21とのNFC通信素子35を有し、アンテナ21の中心は、標的の誘導シンボル40によって図示されるカバーの外側にある。SAMカード42のハードウェアでは、販売装置28は、安全素子6を含み、安全素子には、POS決済端末の27識別および通信データの暗号化のためのマスターキーがロードされる。他の態様では、データは販売装置28のプリント回路の保護メモリに直接ロードできる。
【0078】
販売者は、販売時に商品に対して希望する金額をキーボード36からディスプレイ37に入力するように販売装置28を使用する。ディスプレイ37上で金額を確認した後、販売者は確認ボタンを押す。この操作後に、POS決済端末27の識別データはマスターキーを使用して暗号化され、この暗号化データは決済金額と共に、NFC通信素子35に送信され、この素子はアンテナ41により暗号化メッセージを送信し、移動通信装置4が販売装置28に配置されることを要求する。顧客は、自身の移動通信装置4で、決済アプリケーションの開始を起動し、特殊なハードウェアキーボードを介して、または、ソフトウェアボタンによりにこれを行う。NFC通信チャネルの確立後、販売装置28からの暗号化データは、読み込まれ、解読され、その結果はPOS端末27識別データおよび必要な決済金額である。
【0079】
この部分の転送は、次の数式で表すことができる。
【数1】
【0080】
式中、3DESは、トリプルデータ暗号化アルゴリズムによる暗号化を意味し、Mkは、決済処理によって供給されたマスターキーであり、Cfgは、構成データとNFCが、販売装置と着脱可能なメモリカードとの間の転送経路であることを意味する。
【0081】
支払金額は、顧客の移動通信装置4のディスプレイ上で顧客によって確認することができる。販売装置28からの識別データは、着脱可能なメモリカード1上の通常のPOS端末27に有用であり、特定の販売者の便益ために特定のPOS決済端末27となる。
【0082】
この処理は、次の数式で表すことができる。
Cfg+汎用POS=ACgPOS
式中、汎用POSは普通の汎用POSの識別を示し、ACgPOSは対応する販売者のPOSを示す。
【0083】
次に、決済端末アプリケーションは、たとえば、EMV標準に従って通常の方法で実行される。決済カード7の既定のリスク管理に従い、かつ、支払金額の高さに対して、移動通信装置4のキーボードで顧客によって入力されるパスワード、暗証番号符号を入力するように要求される場合がある。決済端末アプリケーションが直接着脱可能なメモリカード1で動作し、このカードに決済カード部7も格納され、機密データは販売装置28と着脱可能なメモリカード1との間の接続のハードウェアに残らないため、このようにして高い安全性が実現する。決済アプリケーションの結果は決済暗号の生成であり、決済暗号は、販売装置28に送信され、オンライン決済の場合でもインタフェース11により移動通信装置4に送信され、次に決済処理に移動ネットワークにより送信される。決済暗号を、その次の関係に応じて生成かつ送信することができる。
【数2】
【0084】
次の関係が決済処理側には適切である。
【数3】
【0085】
この場合、着脱可能なメモリカードはmicroSDカードの形式である。
【実施例6】
【0086】
図4による本実施例には、販売装置28は、ICCカード29を挿入するためのスロットを有し、対応する形式の読取装置を有する装置の形式である。販売者は、どこでも販売装置28を購入することができ、この販売装置28は、それ自体の識別を有しない。販売者は、銀行または決済処理装置から、ISO7810の85.60mm×53.98mmに従う一般のパラメータのICCカード29を受領する。決済処理装置のマスターキーおよび対応する販売者に割り当てるPOS端末の識別データは、ICCカードのチップの安全素子にロードされる。ICCカード29を読取装置に挿入することによって、本願明細書による販売装置28が生成される。また、販売装置28は、mini−B USBコネクタ39を含み、このコネクタにより拡張構成でプリンタ、コンピュータや他の入出力部と接続することが可能である。販売装置28の存在および動作は、最初の実施例と同じであるが、変更が実現されると、販売者は自身のICCカード29を取り外して、オフライン決済の処理のために、たとえば銀行にカードを持って行くことができるという事実によって異なる。また、現金自動預入支払機でこの種類のICCカード29を直接処理することを除外しない。本解決法は、ICCカードの動作が容易であり、実際的のパラメータを有し、販売装置28から取り外すことにとって、夜間の店舗からの窃盗など防止するという事実にも利点がある。また、ICCカード29は、データの後作業および簡単な読取装置によるコンピュータへのデータのバックアップのための領域を提供する。
【0087】
また、本実施例による構成の利点は、1つの店舗でシフト勤務している複数の販売者によって、読取装置、ディスプレイ37およびキーボード36を有する1つの装置を使用することができることであり、決済は、その時点でICCカード29を読取装置に挿入している対応する販売者の便益ために処理される。
【実施例7】
【0088】
上の実施例に記載された素子以外に、図5による販売装置28は、レジ26に接続できるRS232(勧告基準232)インタフェースを含む。本実施例では、販売装置28は、基本的に販売者の既存のレジ26のPOS端末27への拡張であり、決済端末アプリケーションは、顧客によって保持される移動通信装置4と共に着脱可能なメモリカード1で再び実行する。
【0089】
ケーブル接続38により、レジ26からの結果は販売装置28に転送され、ディスプレイ37に表示され、販売者は確認ボタンによってそれを確認する。次に、支払高が販売装置28のキーボード36より入力されたかのように、処理は同じ方法で実行される。この接続では、販売装置28は、支払金額を入力するためのキーボード36を含む必要はないが、さまざまなシステムの販売装置28の有用性から、キーボード36は本実施例でも販売装置28の一部である。
【実施例8】
【0090】
本実施例では、図11〜14に従って、着脱可能なメモリカード1が、microSDカードの形式であるシステムを記載する。本実施例では、その上に配置された2つの安全素子3があり、1つの安全素子3は、決済カード部7のため、あるいは、さまざまな発行者からの複数の決済カード部7それぞれのために設計され、第2の安全素子3は、決済端末部5を含む。他の実施例では、着脱可能なメモリカード1は、決済端末部5がローカライズされることなく1つの決済カード部7しか含むことができない。
【0091】
一般のフラッシュメモリ2を有する着脱可能なメモリカード1は、一般のmicroSD標準のインタフェース11を有し、移動通信装置4のスロットに挿入される。それは、拡張メモリを挿入するために設計された一般のスロットである。
【0092】
本実施例では、アンテナ21を有するNFC通信素子13は着脱可能なメモリカード1に配置される。移動通信装置4には、キーボード45の横に決済ボタン44が配置される。決済ボタン44は、移動通信装置4のマイクロスイッチに接続される。マイクロスイッチの特定の実施が重要ではなく、たとえば、薄膜スイッチ、容量スイッチなどの異なる形式であってもよい。
【0093】
決済ボタン44は、着脱可能なメモリカード1のアクセスモードを変更する唯一の受付順は、少なくとも移動通信装置4がこの種類の決済ボタン44を備えた場合に、この決済ボタン44に接触してから可能となるように、ファームウェアに接続される。同じ着脱可能なメモリカード1が、ハードウェア決済目的ボタン44なしで移動通信装置4のスロットに挿入される場合、アクセスモードの変更は、移動通信装置4のディスプレイ46上のメニューで実施される。この場合、着脱可能なメモリカード1は、両方のアクセスモードで機能するようになるが、移動通信装置4との接続全体の決済の安全性が低下する。
【0094】
決済ボタン44を備える携帯電話では、決済ボタン44に接続された既定のファームウェア以外の方法によって着脱可能なメモリカードの安全素子3にアクセスすることができない。本実施例では、それは、LGMアプリケーションになる。
【0095】
2つのアクセスモードは、以下の特徴を有することができる。
【表1】
【0096】
決済機能のアクセスモードでは、着脱可能なメモリカード1のファイルキャッシングは停止し、フラッシュメモリ2へのアクセスとファイルシステムへのアクセスはサポートされる。
【0097】
移動通信装置4が、たとえばSDIO標準(セキュアデジタル入出力)、McEXの高度通信インタフェースをサポート可能である場合、対応するインタフェースは、決済機能のアクセスモードでもアクセス可能でありうる。
【産業上の利用可能性】
【0098】
産業上の利用可能性は、明白である。本発明によって、1つのメモリカードに1つまたは複数の決済端末を有するメモリカードに実装される決済端末を、大量に工業生産して、使用することが可能である。また、POS決済端末を生産し使用することが可能であり、POS決済端末は、特定の決済の目的のために販売装置と移動通信装置との接続によって一時的に生成されるPOS決済端末を作り出し、そこで、支払ユーザーの移動通信装置の着脱可能なメモリカードとの接続が実施された後にのみ、販売者のPOS端末の必要な構造が生成される。
【0099】
本解決法による、移動通信装置のハードウェア決済ボタンを大量に工業生産することも可能であり、このボタンは、着脱可能なメモリカードの現在のアクセスモードのセレクタを表す。
【符号の説明】
【0100】
1 メモリカード
2 メモリ
3 安全素子
31 POS端末の安全素子
32 決済カードの安全素子
4 移動通信装置
5 決済POS端末アプリケーション
6 端末の構成データ部
7 決済カード部
8 オペレーティングシステム部
9 ブートローダ部
10 内部マイクロコントローラメモリ
11 インタフェース
12 マイクロコントローラ
13 通信素子
14 暗号化部
15 自由にアクセス可能なユーザーのデータ空間
16 非金融アプリケーション部
17 フラッシュメモリコントローラ
18 ウェブサーバ部
19 ダウンロード管理部
20 非表示データ空間
21 アンテナ
22 開始プログラム
23 決済受領者のコンピュータ
24 開始プログラムの通信素子
25 決済処理本部
26 レジ
27 POS決済端末
28 販売装置
29 ICCカード
35 販売装置通信素子
36 キーボード
37 ディスプレイ
38 レジへの接続
39 外部コネクタ
40 標的シンボル
41 販売装置アンテナ
42 SAMカード
43 一時的な非接触接続
44 決済ボタン
45 移動通信装置のキーボード
46 ディスプレイ
【特許請求の範囲】
【請求項1】
携帯電話などの移動通信装置を使用し、メモリ、インタフェース(11)およびマイクロコントローラ(12)を含み、前記マイクロコントローラ(12)は、前記メモリおよび前記インタフェース(11)に接続され、POS端末が、決済端末アプリケーションを有する装置(5)を含み、さらに前記POS端末は、メモリ(3、31、32)の保護部に決済端末の構成データを有する装置(6)を含む決済端末であって、前記決済端末は、前記決済端末の対応する構成データと共に、着脱可能なメモリカード(1)に配置され、移動通信装置(4)の基本機能を超える機能を追加するために使用される別のハードウェアスロットに挿入できるように調整され、前記着脱可能なメモリカード(1)は、前記POS端末の前記構成データを有する装置(6)を備える保護メモリ(3、31)と、決済カード部(7)を備える保護メモリ(3、32)とを含み、前記決済カード部(7)は、前記POS端末の前記構成データから別個に配置され、前記保護メモリ(3、31、32)は、前記マイクロコントローラ(12)にリンクされ、前記マイクロコントローラ(12)は、前記移動通信装置(4)の回路への接続のために前記インタフェース(11)にリンクされることを特徴とする決済端末。
【請求項2】
前記決済端末の前記構成データの格納のための前記保護メモリは、安全素子(31)によって形成され、該安全素子は、前記決済カード部(7)を有する独立した安全素子(32)とは別個のハードウェアであり、あるいは、前記決済端末の前記構成データ部(6)のための、かつ、前記決済カード部(7)のための前記保護メモリは、1つの安全素子(3)の独立した領域として生成されることを特徴とする請求項1に記載の決済端末。
【請求項3】
前記メモリカード(1)は、SD型、miniSD型、microSDカード型またはM2型のメモリカードであり、前記インタフェース(11)は、SD型またはM2型のインタフェースであることを特徴とする請求項1または2のいずれか1項に記載の決済端末。
【請求項4】
前記メモリカード(1)は、少なくとも2つの導体、好ましくは4つの導体データバスを有し、前記マイクロコントローラ(12)は、好ましくはEEPROM型の削除できない内部記憶(10)を含み、前記マイクロコントローラ(12)は、ロードされた決済POS端末アプリケーションの未承認の介入を制御するブートローダ部(9)を含むことを特徴とする請求項1〜3のいずれか1項に記載の決済端末。
【請求項5】
前記メモリカード(1)は、非接触通信素子(13)を備え、該接触通信素子は、前記安全素子(3、31、32)および/または前記マイクロコントローラ(12)に接続されることを特徴とする請求項1〜4のいずれか1項に記載の決済端末。
【請求項6】
前記メモリカード(1)にはアンテナ(21)があり、該アンテナは、好ましくはNFC型の前記非接触通信素子(13)に接続され、ISO14443標準を満たすことを特徴とする請求項5に記載の決済端末。
【請求項7】
前記安全素子(3、31)には、少なくとも2つの装置(6)があり、該装置は、さまざまな独立した端末からの構成データを有することを特徴とする請求項1〜6のいずれか1項に記載の決済端末。
【請求項8】
前記安全素子(3、32)には、少なくとも2つの装置(7)があり、該装置は、独立した決済カードを保持し、該決済カードは対応する決済アプリケーション、好ましくはEMV標準のアプリケーションを有することを特徴とする請求項1〜7のいずれか1項に記載の決済端末。
【請求項9】
前記メモリ(2)は、好ましくはフラッシュ型であり、保護空間の少なくとも一部を有し、該保護空間には、前記決済POS端末アプリケーション(5)が格納されることを特徴とする請求項1〜8のいずれか1項に記載の決済端末。
【請求項10】
前記メモリ(2)には、メモリコントローラ部(17)と、ダウンロード管理部(19)と、好ましくはウェブサーバ部(18)があることを特徴とする請求項1〜9のいずれか1項に記載の決済端末。
【請求項11】
前記安全素子(3、31、32)には、非金融アプリケーション部(16)があり、前記メモリ(2)は、未保護部にユーザーに隠されるデータの空間(20)と、ユーザーの自由アクセスデータの空間(15)を有することを特徴とする請求項1〜10のいずれか1項に記載の決済端末。
【請求項12】
前記端末は、前記決済POS端末アプリケーションの開始プログラム(22)を含み、該開始プログラムは、店舗に配置され、決済価格を生成する装置を含み、前記開始プログラム(22)は、前記通信素子(24)を備え、前記通信素子は、前記着脱可能なメモリカード(1)の前記通信素子(13)または前記移動通信装置(4)の短距離通信素子と互換性があることを特徴とする請求項1〜11のいずれか1項に記載の決済端末。
【請求項13】
前記移動通信装置(4)、特に携帯電話を使用し、決済端末アプリケーションの実行のための前記装置(5)と、販売者とインタフェースとを一致させるためのPOS端末の識別データを有する保護メモリとを含む決済端末(27)であって、前記決済端末(27)は、販売者の販売装置(28)と、前記着脱可能なメモリカード(1)との一時的な非接触接続(43)によって形成され、前記着脱可能なメモリカード(1)は、顧客の前記移動通信装置(4)のスロットに挿入され、前記販売装置(28)は、決済受領者によって保持され、前記POS端末の識別データを有する前記保護部(6)を含むことを特徴とする決済端末。
【請求項14】
前記着脱可能なメモリカード(1)は、
前記決済端末アプリケーションの実行のための前記装置(5)と、
少なくとも1つの決済カード部(7)を有する保護メモリ(3、32)と、
前記販売装置(28)との接続のための前記アンテナ(21)を有する通信素子(13)とを含み、
保護メモリ(3、31、32)が、前記マイクロコントローラ(12)に接続され、前記マイクロコントローラ(12)は、前記移動通信装置(4)の回路への接続のためにインタフェース(11)に接続され、前記販売装置(28)は、
POS端末の識別データを有する安全素子(6)と、
暗号鍵と、
前記着脱可能なメモリカード(1)と接続するためのアンテナ(41)を有する通信素子(35)とを含むことを特徴とする請求項13に記載の決済端末(27)。
【請求項15】
前記保護部(6)は、前記POS端末の前記識別データを有し、前記販売装置(28)に挿入されるSAMカード(42)に配置されるか、あるいは、前記保護部(6)は、前記POS端末の前記識別データを有し、前記販売装置(28)の読取装置に挿入されるICCカード(29)に配置されることを特徴とする請求項13〜14のいずれか1項に記載の決済端末(27)。
【請求項16】
前記販売装置(28)は、支払金額を入力するためのキーボード(36)とディスプレイ(37)とを有することを特徴とする請求項13〜15のいずれか1項に記載の決済端末(27)。
【請求項17】
前記着脱可能なメモリカード(1)は、2つの安全素子(31、32)を有し、決済カードの前記安全素子(32)は、独立した前記決済カード部(7)のための複数の別個の領域を含み、前記着脱可能なメモリカード(1)は、ユーザーの未保護データのためのメモリ(2)を有することを特徴とする請求項13〜16のいずれか1項に記載の決済端末(27)。
【請求項18】
前記販売装置(28)は、外部装置の接続のためのコネクタ(39)を有することを特徴とする請求項13〜17のいずれか1項に記載の決済端末(27)。
【請求項19】
前記販売装置(28)は、レジ(26)への接続(38)を有することを特徴とする請求項13〜18のいずれか1項に記載の決済端末(27)。
【請求項20】
前記着脱可能なメモリカード(1)は、2つのアクセスモード、
前記移動通信装置(4)の記憶容量拡張機能のためのアクセスモードであって、前記安全素子(3)および前記着脱可能なメモリカード(1)の前記非接触通信素子(13)へのアクセスを妨げるアクセスモードと、
前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードであって、前記決済カード部(7)による前記安全素子(3)へのアクセスが許可され、前記着脱可能なメモリカード(1)で前記非接触通信素子(13)が起動されるアクセスモードとを有し、
前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードは、ハードウェア決済ボタン(44)の物理的な押下後にのみ起動することが可能であり、前記決済端末を有する前記装置(5)は、前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードで排他的にアクセス可能となることを特徴とする請求項1〜19のいずれか1項に記載の決済端末。
【請求項21】
前記移動通信装置(4)のソフトウェアは、他の入力によって前記決済ボタン(44)からの信号を模倣する可能性を妨げることを特徴とする請求項20に記載の決済端末。
【請求項22】
移動通信装置、好ましくは携帯電話を使用し、主にEMV型の決済POS端末アプリケーションを実行する口座自動引き落とし決済取引の方法であって、前記決済POS端末アプリケーションは、着脱可能なメモリカード(1)で実行され、該メモリカードは、別のハードウェアのために前記移動通信装置(4)のスロットに挿入され、決済カードとの通信は、前記着脱可能なメモリカード(1)の回路内で実行されることを特徴とする決済取引の方法。
【請求項23】
前記決済POS端末アプリケーションは、前記メモリカード(1)に配置された前記マイクロコントローラ(12)にロードされ、次に選択された端末の識別に関する構成データが、前記安全素子(3、31)からロードされることを特徴とする請求項22に記載の口座自動引き落とし決済取引の方法。
【請求項24】
選択された決済カードに関するデータは、前記安全素子(3、32)から前記マイクロコントローラ(12)にロードされ、前記マイクロコントローラは決済端末として動作することを特徴とする請求項22〜23のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項25】
前記POS端末の開始時または開始前に、ブートローダ部(9)が、前記決済POS端末アプリケーションで変更管理を実行することを特徴とする請求項22〜24のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項26】
前記決済POS端末アプリケーションは、主にキーボードである前記移動通信装置(4)の入力装置を介して管理されることを特徴とする請求項22〜25のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項27】
要求された決済金額に関するデータは、別個の開始プログラム(22)から前記決済POS端末アプリケーションに挿入され、前記アプリケーションは、開始命令と共に、必要な決済に関するデータを非接触通信チャネルにより送信することを特徴とする請求項22〜26のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項28】
携帯電話などの移動通信装置を使用する口座自動引き落とし決済取引の方法であって、前記決済端末(27)は、決済処理前または決済処理時、販売者の販売装置(28)と前記着脱可能なメモリカード(1)との一時的な接続によって生成され、顧客によって保持されるが、前記販売装置(28)は、決済受領者によって保持されることを特徴とする口座自動引き落とし決済取引の方法。
【請求項29】
前記POS端末の識別データは、好ましくは暗号化された転送により前記販売装置(28)から前記着脱可能なメモリカード(1)にロードされ、次に前記着脱可能なメモリカード(1)の汎用POS端末は、対応する販売者のPOS端末となり、前記決済端末アプリケーションは、前記着脱可能なメモリカードで動作し、顧客の選択による前記決済カード部(7)からのデータが使用されることを特徴とする請求項28に記載の口座自動引き落とし決済の方法。
【請求項30】
決済暗号が作成された後に前記販売装置(28)に送信され、前記販売装置では実施した決済記録のメモリに格納されることを特徴とする請求項28〜29のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項31】
決済暗号が作成された後に前記インタフェース(11)により、次に、前記移動通信装置(4)により決済処理センター(25)へ送信されるか、あるいは、前記実施した決済記録を有するキャリアが、前記販売装置(28)から前記暗号信号を取り出した後に、処理のための銀行または前記決済処理センター(25)に提供されることを特徴とする請求項28〜30のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項32】
決済価格に関するデータが、前記キーボード(36)よる手動挿入処理によって、あるいは、前記レジ(26)との前記接続(38)によって、前記販売装置(28)から着脱可能なメモリカードに挿入されることを特徴とする請求項28〜31のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項33】
前記着脱可能なメモリカード(1)は、前記決済処理の実行前は、前記記憶容量拡張機能のためのアクセスモードにあり、前記決済カード部(7)は、前記インタフェース(11)の側からアクセスできず、前記着脱可能なメモリカード(1)は、前記決済ハードウェアボタン(44)の物理的な押下後にのみ排他的に前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードに切り換えられ、前記決済カード部(7)にアクセスが許可され、前記安全素子(3)は、前記決済端末装置(5)を有し、前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードに切り換えられた後にアクセス可能となり、前記決済処理が終了した後および/または中断された後に、前記着脱可能なメモリカード(1)は、前記移動通信装置(4)の記憶容量拡張機能のためのアクセスモードに切り換えられることを特徴とする請求項22〜32のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項1】
携帯電話などの移動通信装置を使用し、メモリ、インタフェース(11)およびマイクロコントローラ(12)を含み、前記マイクロコントローラ(12)は、前記メモリおよび前記インタフェース(11)に接続され、POS端末が、決済端末アプリケーションを有する装置(5)を含み、さらに前記POS端末は、メモリ(3、31、32)の保護部に決済端末の構成データを有する装置(6)を含む決済端末であって、前記決済端末は、前記決済端末の対応する構成データと共に、着脱可能なメモリカード(1)に配置され、移動通信装置(4)の基本機能を超える機能を追加するために使用される別のハードウェアスロットに挿入できるように調整され、前記着脱可能なメモリカード(1)は、前記POS端末の前記構成データを有する装置(6)を備える保護メモリ(3、31)と、決済カード部(7)を備える保護メモリ(3、32)とを含み、前記決済カード部(7)は、前記POS端末の前記構成データから別個に配置され、前記保護メモリ(3、31、32)は、前記マイクロコントローラ(12)にリンクされ、前記マイクロコントローラ(12)は、前記移動通信装置(4)の回路への接続のために前記インタフェース(11)にリンクされることを特徴とする決済端末。
【請求項2】
前記決済端末の前記構成データの格納のための前記保護メモリは、安全素子(31)によって形成され、該安全素子は、前記決済カード部(7)を有する独立した安全素子(32)とは別個のハードウェアであり、あるいは、前記決済端末の前記構成データ部(6)のための、かつ、前記決済カード部(7)のための前記保護メモリは、1つの安全素子(3)の独立した領域として生成されることを特徴とする請求項1に記載の決済端末。
【請求項3】
前記メモリカード(1)は、SD型、miniSD型、microSDカード型またはM2型のメモリカードであり、前記インタフェース(11)は、SD型またはM2型のインタフェースであることを特徴とする請求項1または2のいずれか1項に記載の決済端末。
【請求項4】
前記メモリカード(1)は、少なくとも2つの導体、好ましくは4つの導体データバスを有し、前記マイクロコントローラ(12)は、好ましくはEEPROM型の削除できない内部記憶(10)を含み、前記マイクロコントローラ(12)は、ロードされた決済POS端末アプリケーションの未承認の介入を制御するブートローダ部(9)を含むことを特徴とする請求項1〜3のいずれか1項に記載の決済端末。
【請求項5】
前記メモリカード(1)は、非接触通信素子(13)を備え、該接触通信素子は、前記安全素子(3、31、32)および/または前記マイクロコントローラ(12)に接続されることを特徴とする請求項1〜4のいずれか1項に記載の決済端末。
【請求項6】
前記メモリカード(1)にはアンテナ(21)があり、該アンテナは、好ましくはNFC型の前記非接触通信素子(13)に接続され、ISO14443標準を満たすことを特徴とする請求項5に記載の決済端末。
【請求項7】
前記安全素子(3、31)には、少なくとも2つの装置(6)があり、該装置は、さまざまな独立した端末からの構成データを有することを特徴とする請求項1〜6のいずれか1項に記載の決済端末。
【請求項8】
前記安全素子(3、32)には、少なくとも2つの装置(7)があり、該装置は、独立した決済カードを保持し、該決済カードは対応する決済アプリケーション、好ましくはEMV標準のアプリケーションを有することを特徴とする請求項1〜7のいずれか1項に記載の決済端末。
【請求項9】
前記メモリ(2)は、好ましくはフラッシュ型であり、保護空間の少なくとも一部を有し、該保護空間には、前記決済POS端末アプリケーション(5)が格納されることを特徴とする請求項1〜8のいずれか1項に記載の決済端末。
【請求項10】
前記メモリ(2)には、メモリコントローラ部(17)と、ダウンロード管理部(19)と、好ましくはウェブサーバ部(18)があることを特徴とする請求項1〜9のいずれか1項に記載の決済端末。
【請求項11】
前記安全素子(3、31、32)には、非金融アプリケーション部(16)があり、前記メモリ(2)は、未保護部にユーザーに隠されるデータの空間(20)と、ユーザーの自由アクセスデータの空間(15)を有することを特徴とする請求項1〜10のいずれか1項に記載の決済端末。
【請求項12】
前記端末は、前記決済POS端末アプリケーションの開始プログラム(22)を含み、該開始プログラムは、店舗に配置され、決済価格を生成する装置を含み、前記開始プログラム(22)は、前記通信素子(24)を備え、前記通信素子は、前記着脱可能なメモリカード(1)の前記通信素子(13)または前記移動通信装置(4)の短距離通信素子と互換性があることを特徴とする請求項1〜11のいずれか1項に記載の決済端末。
【請求項13】
前記移動通信装置(4)、特に携帯電話を使用し、決済端末アプリケーションの実行のための前記装置(5)と、販売者とインタフェースとを一致させるためのPOS端末の識別データを有する保護メモリとを含む決済端末(27)であって、前記決済端末(27)は、販売者の販売装置(28)と、前記着脱可能なメモリカード(1)との一時的な非接触接続(43)によって形成され、前記着脱可能なメモリカード(1)は、顧客の前記移動通信装置(4)のスロットに挿入され、前記販売装置(28)は、決済受領者によって保持され、前記POS端末の識別データを有する前記保護部(6)を含むことを特徴とする決済端末。
【請求項14】
前記着脱可能なメモリカード(1)は、
前記決済端末アプリケーションの実行のための前記装置(5)と、
少なくとも1つの決済カード部(7)を有する保護メモリ(3、32)と、
前記販売装置(28)との接続のための前記アンテナ(21)を有する通信素子(13)とを含み、
保護メモリ(3、31、32)が、前記マイクロコントローラ(12)に接続され、前記マイクロコントローラ(12)は、前記移動通信装置(4)の回路への接続のためにインタフェース(11)に接続され、前記販売装置(28)は、
POS端末の識別データを有する安全素子(6)と、
暗号鍵と、
前記着脱可能なメモリカード(1)と接続するためのアンテナ(41)を有する通信素子(35)とを含むことを特徴とする請求項13に記載の決済端末(27)。
【請求項15】
前記保護部(6)は、前記POS端末の前記識別データを有し、前記販売装置(28)に挿入されるSAMカード(42)に配置されるか、あるいは、前記保護部(6)は、前記POS端末の前記識別データを有し、前記販売装置(28)の読取装置に挿入されるICCカード(29)に配置されることを特徴とする請求項13〜14のいずれか1項に記載の決済端末(27)。
【請求項16】
前記販売装置(28)は、支払金額を入力するためのキーボード(36)とディスプレイ(37)とを有することを特徴とする請求項13〜15のいずれか1項に記載の決済端末(27)。
【請求項17】
前記着脱可能なメモリカード(1)は、2つの安全素子(31、32)を有し、決済カードの前記安全素子(32)は、独立した前記決済カード部(7)のための複数の別個の領域を含み、前記着脱可能なメモリカード(1)は、ユーザーの未保護データのためのメモリ(2)を有することを特徴とする請求項13〜16のいずれか1項に記載の決済端末(27)。
【請求項18】
前記販売装置(28)は、外部装置の接続のためのコネクタ(39)を有することを特徴とする請求項13〜17のいずれか1項に記載の決済端末(27)。
【請求項19】
前記販売装置(28)は、レジ(26)への接続(38)を有することを特徴とする請求項13〜18のいずれか1項に記載の決済端末(27)。
【請求項20】
前記着脱可能なメモリカード(1)は、2つのアクセスモード、
前記移動通信装置(4)の記憶容量拡張機能のためのアクセスモードであって、前記安全素子(3)および前記着脱可能なメモリカード(1)の前記非接触通信素子(13)へのアクセスを妨げるアクセスモードと、
前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードであって、前記決済カード部(7)による前記安全素子(3)へのアクセスが許可され、前記着脱可能なメモリカード(1)で前記非接触通信素子(13)が起動されるアクセスモードとを有し、
前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードは、ハードウェア決済ボタン(44)の物理的な押下後にのみ起動することが可能であり、前記決済端末を有する前記装置(5)は、前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードで排他的にアクセス可能となることを特徴とする請求項1〜19のいずれか1項に記載の決済端末。
【請求項21】
前記移動通信装置(4)のソフトウェアは、他の入力によって前記決済ボタン(44)からの信号を模倣する可能性を妨げることを特徴とする請求項20に記載の決済端末。
【請求項22】
移動通信装置、好ましくは携帯電話を使用し、主にEMV型の決済POS端末アプリケーションを実行する口座自動引き落とし決済取引の方法であって、前記決済POS端末アプリケーションは、着脱可能なメモリカード(1)で実行され、該メモリカードは、別のハードウェアのために前記移動通信装置(4)のスロットに挿入され、決済カードとの通信は、前記着脱可能なメモリカード(1)の回路内で実行されることを特徴とする決済取引の方法。
【請求項23】
前記決済POS端末アプリケーションは、前記メモリカード(1)に配置された前記マイクロコントローラ(12)にロードされ、次に選択された端末の識別に関する構成データが、前記安全素子(3、31)からロードされることを特徴とする請求項22に記載の口座自動引き落とし決済取引の方法。
【請求項24】
選択された決済カードに関するデータは、前記安全素子(3、32)から前記マイクロコントローラ(12)にロードされ、前記マイクロコントローラは決済端末として動作することを特徴とする請求項22〜23のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項25】
前記POS端末の開始時または開始前に、ブートローダ部(9)が、前記決済POS端末アプリケーションで変更管理を実行することを特徴とする請求項22〜24のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項26】
前記決済POS端末アプリケーションは、主にキーボードである前記移動通信装置(4)の入力装置を介して管理されることを特徴とする請求項22〜25のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項27】
要求された決済金額に関するデータは、別個の開始プログラム(22)から前記決済POS端末アプリケーションに挿入され、前記アプリケーションは、開始命令と共に、必要な決済に関するデータを非接触通信チャネルにより送信することを特徴とする請求項22〜26のいずれか1項に記載の口座自動引き落とし決済取引の方法。
【請求項28】
携帯電話などの移動通信装置を使用する口座自動引き落とし決済取引の方法であって、前記決済端末(27)は、決済処理前または決済処理時、販売者の販売装置(28)と前記着脱可能なメモリカード(1)との一時的な接続によって生成され、顧客によって保持されるが、前記販売装置(28)は、決済受領者によって保持されることを特徴とする口座自動引き落とし決済取引の方法。
【請求項29】
前記POS端末の識別データは、好ましくは暗号化された転送により前記販売装置(28)から前記着脱可能なメモリカード(1)にロードされ、次に前記着脱可能なメモリカード(1)の汎用POS端末は、対応する販売者のPOS端末となり、前記決済端末アプリケーションは、前記着脱可能なメモリカードで動作し、顧客の選択による前記決済カード部(7)からのデータが使用されることを特徴とする請求項28に記載の口座自動引き落とし決済の方法。
【請求項30】
決済暗号が作成された後に前記販売装置(28)に送信され、前記販売装置では実施した決済記録のメモリに格納されることを特徴とする請求項28〜29のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項31】
決済暗号が作成された後に前記インタフェース(11)により、次に、前記移動通信装置(4)により決済処理センター(25)へ送信されるか、あるいは、前記実施した決済記録を有するキャリアが、前記販売装置(28)から前記暗号信号を取り出した後に、処理のための銀行または前記決済処理センター(25)に提供されることを特徴とする請求項28〜30のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項32】
決済価格に関するデータが、前記キーボード(36)よる手動挿入処理によって、あるいは、前記レジ(26)との前記接続(38)によって、前記販売装置(28)から着脱可能なメモリカードに挿入されることを特徴とする請求項28〜31のいずれか1項に記載の口座自動引き落とし決済の方法。
【請求項33】
前記着脱可能なメモリカード(1)は、前記決済処理の実行前は、前記記憶容量拡張機能のためのアクセスモードにあり、前記決済カード部(7)は、前記インタフェース(11)の側からアクセスできず、前記着脱可能なメモリカード(1)は、前記決済ハードウェアボタン(44)の物理的な押下後にのみ排他的に前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードに切り換えられ、前記決済カード部(7)にアクセスが許可され、前記安全素子(3)は、前記決済端末装置(5)を有し、前記着脱可能なメモリカード(1)の決済機能のためのアクセスモードに切り換えられた後にアクセス可能となり、前記決済処理が終了した後および/または中断された後に、前記着脱可能なメモリカード(1)は、前記移動通信装置(4)の記憶容量拡張機能のためのアクセスモードに切り換えられることを特徴とする請求項22〜32のいずれか1項に記載の口座自動引き落とし決済の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公表番号】特表2012−526306(P2012−526306A)
【公表日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願番号】特願2012−507875(P2012−507875)
【出願日】平成22年5月1日(2010.5.1)
【国際出願番号】PCT/IB2010/051915
【国際公開番号】WO2010/128442
【国際公開日】平成22年11月11日(2010.11.11)
【出願人】(511030415)
【氏名又は名称原語表記】LOGOMOTION S.R.O.
【住所又は居所原語表記】Winterova 15, 921 01 Piest’any, Slovakia
【Fターム(参考)】
【公表日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願日】平成22年5月1日(2010.5.1)
【国際出願番号】PCT/IB2010/051915
【国際公開番号】WO2010/128442
【国際公開日】平成22年11月11日(2010.11.11)
【出願人】(511030415)
【氏名又は名称原語表記】LOGOMOTION S.R.O.
【住所又は居所原語表記】Winterova 15, 921 01 Piest’any, Slovakia
【Fターム(参考)】
[ Back to top ]