JP5396568B2 - 通信をセットアップするための、方法、サーバ、販売者デバイス、コンピュータプログラム及びコンピュータプログラム製品 - Google Patents

通信をセットアップするための、方法、サーバ、販売者デバイス、コンピュータプログラム及びコンピュータプログラム製品 Download PDF

Info

Publication number
JP5396568B2
JP5396568B2 JP2013518310A JP2013518310A JP5396568B2 JP 5396568 B2 JP5396568 B2 JP 5396568B2 JP 2013518310 A JP2013518310 A JP 2013518310A JP 2013518310 A JP2013518310 A JP 2013518310A JP 5396568 B2 JP5396568 B2 JP 5396568B2
Authority
JP
Japan
Prior art keywords
merchant device
message
application
customer
customer payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013518310A
Other languages
English (en)
Other versions
JP2013539567A (ja
Inventor
マッティアス エルド,
ペテル アルビドソン,
イェラン セランデル,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2013539567A publication Critical patent/JP2013539567A/ja
Application granted granted Critical
Publication of JP5396568B2 publication Critical patent/JP5396568B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Description

本発明は、販売者デバイスと、移動通信端末に備わるように構成されているセキュア要素内の顧客(カスタマ)支払アプリケーションとの間のセットアップを行う通信に関するものである。
いくつかの移動通信規格では、例えば、GSM(登録商標)及UMTSでは、各移動通信端末は、スマートカードとの接点を有している。このスマートカードには、例えば、加入者アイデンティティモジュール(SIM)カードあるいはユニバーサル統合交換カード(UICC)がある。スマートカードは、移動通信端末自身の一般的な実行環境よりもよりセキュアな(安全な)実行環境を提供する。実際にも、移動通信端末に搭載されているメモリカード内で、あるいは移動通信端末内の埋込メモリ内でさえも、セキュアな実行環境を可能にする同等の構成が開発されている。つまり、このような環境は、セキュア要素として機能することができる。
本願の出願時における、グローバルプラットホームは、http://www.globalplatform.orgを参照、セキュア要素の規格と構造を提供し、また、セキュア要素上のアプリケーションを提供する。セキュア要素には、例えば、支払用のアプリケーションのような1つ以上のアプリケーションをインストールすることを許容する。例えば、ユーザは、VISAデビットカードアプリケーションと同時に、マスタカードアプリケーションをインストールすることができる。ユーザは、ユーロペイ−マスタカード−ビザ(EMV)プロトコルと呼ばれるプロトコルを使用して、また、リーダーを備える近接場通信(NFC)を使用して、また、オプションとして、移動通信端末のユーザインタフェースを使用して、支払を行うことができる。近接場通信(NFC)機能付きの移動電話を使用することで、例えば、セキュア要素内のカードアプリケーションと、ポイントオブセールス端末との間のEMVプロトコルを使用して、ポイントオブセールス(PoS)デバイスでの非接触の支払を実現することができる。
しかしながら、従来技術では、取引が発生している販売者の権限をユーザに検証させることを可能にする構成は存在していない。結果として、不正な販売者が、セキュア要素上の情報を取得し続けることができるばかりか、不正な取引を実行することですら可能となってしまう。
本発明の目的は、セキュア要素上の顧客支払アプリケーションへの未認可アクセスを防止することを可能にすることである。
本発明の第1の態様に従えば、販売者デバイスと顧客支払アプリケーションとの間の通信をセットアップするように構成されているセキュリティサーバが提示される。前記セキュリティサーバは、第1のメッセージとして、顧客識別子、前記顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、前記販売者デバイスから受信するように構成されている受信部と、前記セキュリティトークンを使用して、前記販売者デバイスが前記顧客支払アプリケーションのスキームプロバイダによって認可されるかどうかを判定するように構成されている判定部と、前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合のみ、第2のメッセージとして、前記顧客支払アプリケーションを使用して支払を行うことを前記販売者デバイスが認可されていることを示す第2のメッセージを、前記販売者デバイスへ送信するように構成されている送信部と、前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合、移動通信端末に備わるように構成されているセキュア要素内の前記顧客支払アプリケーションと前記販売者デバイスとの間にセキュアチャネルをセットアップするように構成されているチャネル確立部とを備え、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信は前記セキュリティサーバによって制御される。
換言すれば、販売者デバイスは、前記セキュリティトークンを使用することによって認可される対象であることが判定される。前記販売者デバイスが認可される対象であることが判定される場合のみ、支払プロセスが継続される。これは、未認可の販売者デバイスが取引を開始することを防止し、これによって、支払アプリケーションへのアクセスを防止する。
前記チャネル確立部は、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信が前記セキュリティサーバを介在するようにセットアップされるように構成されていても良い。これは、より強力なセキュリティを提供する。これは、販売者デバイスが顧客支払アプリケーションと直接通信することを防止することができるからである。
前記セキュリティトークンは、販売者の信用証明書を含んでいても良く、前記判定部は、前記販売者の信用証明書が前記スキームプロバイダによって発行されているかどうかを判定することによって前記販売者デバイスが認可されるかどうかを判定するように構成されていても良く、前記スキームプロバイダは、認証機関として動作する。販売者は、スキームプロバイダによって発行されている信用証明書を自身で有している中間パーティによって発行することもできる。選択的には、いくつかの中間パーティが存在し得る。
前記顧客識別子は、電話番号、電子メールアドレス、あるいはネットワークアクセス識別子を含んでいても良い。
前記アプリケーション識別子は、アプリケーションを示すテキスト文字列、アプリケーションのプレフィックス、あるいは固有のアプリケーション識別子を含んでいても良い。
前記判定部は、前記第1のメッセージが前記販売者デバイスによってデジタル署名されていて、かつ前記販売者の識別子と、前記セキュリティトークンの識別子とが一致する場合にのみ、前記販売者デバイスが認可されると判定するように構成されていても良い。
前記判定部は、前記第1のメッセージが受信される際の日時を含む有効日時範囲を前記セキュリティトークンが有している場合にのみ、前記販売者デバイスが認可されると判定するように構成されていても良い。
前記第1のメッセージは、複数のアプリケーション識別子を含んでいても良く、それぞれのアプリケーション識別子は、複数の顧客支払アプリケーションのそれぞれを示し、前記判定部は、更に、前記複数の顧客支払アプリケーションの内、支払を行うために使用する顧客支払アプリケーションを判定するように構成されていても良く、前記第2のメッセージは、前記使用する顧客支払アプリケーションの識別子を含んでいても良い。換言すれば、セキュリティサーバは、複数の顧客支払アプリケーションの内、使用する顧客支払アプリケーションを判定する。
前記セキュリティサーバは、前記顧客識別子に対応する移動端末へ、プロンプトメッセージを送信し、どの顧客支払アプリケーションが使用されるべきかをプロンプトし、前記複数の顧客支払アプリケーションの内、使用する顧客支払アプリケーションを示すメッセージを前記移動端末から受信するように構成されているプロンプターを更に備えても良い。これは、ユーザに対して、各取引に対して、どの顧客支払アプリケーションを使用するかを選択することを可能にする。
前記第1のメッセージは、テキストメッセージを含んでいても良く、また、前記プロンプトメッセージは、前記テキストメッセージを含んでいても良い。つまり、このテキストメッセージは、例えば、ベンダー、量及び項目の詳細の少なくとも1つを指示するために、顧客支払アプリケーションを選択する場合に、顧客に提示することができる。
前記判定部は、更に、前記複数の顧客支払アプリケーションの内、使用する顧客支払アプリケーションを示すデータベースを読み出すように構成されていても良い。顧客は、例えば、優先度あるいは指定の顧客支払アプリケーションのリストを示すことができ、これによって、顧客は、各取引に対して顧客支払アプリケーションを選択する必要がない。
本発明の第2の態様は、セキュリティサーバで実行される、販売者デバイスと顧客支払アプリケーションとの間の通信をセットアップするための方法である。この方法は、前記セキュリティサーバが、第1のメッセージとして、顧客識別子、前記顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、前記販売者デバイスから受信するステップと、前記セキュリティトークンを使用して、前記販売者デバイスが前記顧客支払アプリケーションのスキームプロバイダによって認可されるかどうかを判定するステップと、前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合のみ、第2のメッセージとして、前記顧客支払アプリケーションを使用して支払を行うことを前記販売者デバイスが認可されていることを示す第2のメッセージを、前記販売者デバイスへ送信するステップと、移動通信端末に備わるように構成されているセキュア要素内の前記顧客支払アプリケーションと前記販売者デバイスとの間にセキュアチャネルをセットアップするステップとを実行し、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信は前記セキュリティサーバによって制御される。
前記セキュアチャネルをセットアップするステップは、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信を前記セキュリティサーバを介在させることを含んでいても良い。
前記セキュリティトークンは、販売者の信用証明書を含んでいても良く、前記判定するステップは、前記販売者の信用証明書が前記スキームプロバイダによって発行されているかどうかを判定することによって前記販売者デバイスが認可されるかどうかを判定するように構成されていても良く、前記スキームプロバイダは、認証機関として動作する。
前記顧客識別子は、電話番号、電子メールアドレス、あるいはネットワークアクセス識別子を含んでいても良い。
前記アプリケーション識別子は、アプリケーションを示すテキスト文字列、アプリケーションのプレフィックス、あるいは固有のアプリケーション識別子を含んでいても良い。
前記判定するステップは、前記第1のメッセージが前記販売者デバイスによってデジタル署名されていて、かつ前記販売者の識別子と、前記セキュリティトークンの識別子とが一致する場合にのみ、前記販売者デバイスが認可されると判定することを含んでいても良い。
前記判定するステップは、前記第1のメッセージが受信される際の日時を含む有効日時範囲を前記セキュリティトークンが有している場合にのみ、前記販売者デバイスが認可されると判定することを含んでいても良い。
前記第1のメッセージは、複数のアプリケーション識別子を含んでいても良く、それぞれのアプリケーション識別子は、複数の顧客支払アプリケーション(5a、5b)のそれぞれを示し、前記判定するステップは、更に、前記複数の顧客支払アプリケーション(5a、5b)の内、支払を行うために使用する顧客支払アプリケーションを判定することを含んでいて、前記第2のメッセージは、前記使用する顧客支払アプリケーション(5a、5b)の識別子を含んでいる。
この方法は、前記顧客識別子に対応する移動端末(10)へ、プロンプトメッセージを送信すること、どの顧客支払アプリケーションが使用されるべきかをプロンプトすること、前記複数の顧客支払アプリケーション(5a、5b)の内、使用する顧客支払アプリケーションを示すメッセージを、前記移動端末(10)から受信することを含むプロンプターするステップを備えても良い。
前記第1のメッセージは、テキストメッセージを含んでいても良く、また、前記プロンプトメッセージは、前記テキストメッセージを含んでいても良い。
前記判定するステップは、前記複数の顧客支払アプリケーション(5a、5b)の内、使用する顧客支払アプリケーションを示すデータベースを読み出すことを含んでいても良い。
本発明の第3の態様は、セキュリティサーバのコントローラで実行可能なコンピュータプログラムコードを備えるコンピュータプログラムである。このコンピュータプログラムコードは、前記コントローラ上で実行する場合に、前記セキュリティサーバに、第1のメッセージとして、顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び販売者デバイス用のセキュリティトークンを含む第1のメッセージを、前記販売者デバイスから受信するステップと、前記セキュリティトークンを使用して、前記販売者デバイスが前記顧客支払アプリケーションのスキームプロバイダによって認可されるかどうかを判定するステップと、前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合のみ、第2のメッセージとして、前記顧客支払アプリケーションを使用して支払を行うことを前記販売者デバイスが認可されていることを示す第2のメッセージを、前記販売者デバイスへ送信するステップと、移動通信端末に備わるように構成されているセキュア要素内の前記顧客支払アプリケーションと前記販売者デバイスとの間にセキュアチャネルをセットアップするステップとを実行させ、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信は前記セキュリティサーバによって制御される。
本発明の第4の態様は、第3の態様に従うコンピュータプログラムと、前記コンピュータプログラムが記憶されているコンピュータ可読媒体を備えるコンピュータプログラム製品である。
本発明の第5の態様は、販売者デバイスの認可を受信し、購入の実行の希望を示す入力の受信とともに使用されるように構成されている販売者デバイスである。この販売者デバイスは、顧客識別子を取得するように構成されている顧客識別子取得部と、第1のメッセージとして、前記顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、セキュリティサーバへ送信するように構成されている送信部と、第2のメッセージとして、前記販売者デバイスがスキームプロバイダによって認可されると判定される場合のみ受信される第2のメッセージを、前記セキュリティサーバから受信するように構成されている受信部であって、前記顧客支払アプリケーションは、移動通信端末に備わるように構成されているセキュア要素内に備えられている、受信部と、前記顧客支払アプリケーションを使用して支払を行うために、前記移動通信端末の前記セキュア要素とのセキュアチャネルをセットアップするように構成されているチャネル確立部とを備える。
前記第1のメッセージ内の前記アプリケーション識別子は、前記第2のメッセージ内の前記アプリケーション識別子と同一である。
前記第1のメッセージは、複数のアプリケーション識別子を含むことができ、それぞれのアプリケーション識別子は、それぞれの顧客支払アプリケーションを示している。
前記第2のメッセージは、前記第1のメッセージの前記複数のアプリケーション識別子の一部あるいはすべてに対するアプリケーション識別子を含んでいても良く、前記販売者デバイスは、前記第2のメッセージの前記アプリケーション識別子に関連付けられている前記顧客支払アプリケーションの1つを使用して、支払を行うように構成されていても良い。
前記販売者デバイスは、更に、前記複数のアプリケーション識別子の一部あるいはすべてが、2つ以上のアプリケーション識別子からなる場合、前記第1のメッセージの前記複数のアプリケーション識別子の一部あるいはすべての内、支払を行うために使用するアプリケーション識別子を示す入力を受信するように構成されていても良い。
前記チャネル確立部は、前記移動通信端末の前記セキュア要素とのワイドエリアネットワークを介するセキュアチャネルをセットアップするように構成されていても良い。
本発明の第6の態様は、販売者デバイスの認可を受信し、購入の実行の希望を示す入力を受信する、前記販売者デバイスで実行される方法である。この方法は、前記販売者デバイスが、顧客識別子を取得するステップと、第1のメッセージとして、前記顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、セキュリティサーバへ送信するステップと、第2のメッセージとして、前記販売者デバイスがスキームプロバイダによって認可されると判定される場合のみ受信される第2のメッセージを、前記セキュリティサーバから受信するステップであって、前記顧客支払アプリケーションは、移動通信端末に備わるように構成されているセキュア要素内に備えられている、受信するステップと、前記顧客支払アプリケーションを使用して支払を行うために、前記移動通信端末の前記セキュア要素とのセキュアチャネルをセットアップするステップとを実行する。
前記第1のメッセージ内の前記アプリケーション識別子は、前記第2のメッセージ内の前記アプリケーション識別子と同一である。
前記第1のメッセージは、複数のアプリケーション識別子を含むことができ、それぞれのアプリケーション識別子は、それぞれの顧客支払アプリケーションを示している。
前記第2のメッセージは、前記第1のメッセージの前記複数のアプリケーション識別子の一部あるいはすべてに対するアプリケーション識別子を含んでいても良く、前記販売者デバイスは、前記第2のメッセージの前記アプリケーション識別子に関連付けられている前記顧客支払アプリケーションの1つを使用して、支払を行うように構成されていても良い。
この方法は、更に、前記複数のアプリケーション識別子の一部あるいはすべてが、2つ以上のアプリケーション識別子からなる場合、前記第1のメッセージの前記複数のアプリケーション識別子の一部あるいはすべての内、支払を行うために使用するアプリケーション識別子を示す入力を受信するステップを備えていても良い。
前記セキュアチャネルをセットアップするステップは、前記移動通信端末の前記セキュア要素とのワイドエリアネットワークを介するセキュアチャネルをセットアップすることを含んでいても良い。
本発明の第7の態様は、購入の実行の希望を示す入力を受信するとともに、販売者デバイスのコントローラで実行可能なコンピュータプログラムコードを備えるコンピュータプログラムである。このコンピュータプログラムコードは、前記コントローラ上で実行する場合に、前記販売者デバイスに、顧客識別子を取得するステップと、第1のメッセージとして、前記顧客識別子、前記顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、セキュリティサーバへ送信するステップと、第2のメッセージとして、前記販売者デバイスがスキームプロバイダによって認可されると判定される場合のみ受信される第2のメッセージを、前記セキュリティサーバから受信するステップであって、前記顧客支払アプリケーションは、移動通信端末に備わるように構成されているセキュア要素内に備えられている、受信するステップと、前記顧客支払アプリケーションを使用して支払を行うために、前記移動通信端末の前記セキュア要素とのセキュアチャネルをセットアップするステップとを実行させる。
本発明の第8の態様は、第7の態様に従うコンピュータプログラムと、前記コンピュータプログラムが記憶されているコンピュータ可読媒体を備えるコンピュータプログラム製品である。
第1、第2、第3及び第4の態様の任意の特徴は、必要に応じて、これらの態様の任意の他の態様に適用されても良いことに注意するべきである。同様に、第5、第6、第7及び第8の態様の任意の特徴は、必要に応じて、これらの態様の任意の他の態様に適用されても良い。
用語の複数形が使用されるときはいつでも、それが2つ以上であると解釈されるべきであることに注意すべきである。
一般的には、請求項で使用されるあらゆる用語は、本明細書で明示的に定義されていない限り、技術分野での通常の意味に従って解釈されるべきである。
「a(1つの)/an(1つの)/the(その)の要素、装置、コンポーネント、手段、ステップ等」へのあらゆる参照は、明示して言及していない限り、要素、装置、コンポーネント、手段、ステップ等の少なくとも1つのインスタンス(例)を率直に参照しているものと解釈されるべきである。本明細書で開示される任意の方法のステップ群は、明示して言及されていない限り、開示されている順序で必ずしも実行されるものではない。
本発明の実施形態を適用することができる第1の環境を示す図である。 本発明の実施形態を適用することができる第2の環境を示す図である。 図1a−bのコンポーネントを使用して、顧客が購入を実行する場合の第1の実施形態での通信を示すシーケンス図である。 図1a−bのコンポーネントを使用して、顧客が購入を実行する場合の第2の実施形態での通信を示すシーケンス図である。 図1a−bの販売者デバイスのハードウェアコンポーネントを示す図である。 図1a−bの販売者デバイスの機能モジュールを示す図である。 図1a−bのセキュリティサーバのハードウェアコンポーネントを示す図である。 図1a−bのセキュリティサーバの機能モジュールを示す図である。 図1a−bの販売者デバイスで実行される方法を示すフローチャートである。 図1a−bのセキュリティサーバで実行される方法を示すフローチャートである。 コンピュータ可読媒体を備えるコンピュータプログラム製品100の一例を示す図である。 図1a−bの移動通信端末、図1a−bのセキュア要素及びセキュア要素上のアプリケーションとの間の関係を示す図である。
本発明は、本発明の一実施形態が示される図面を参照してより完全に説明する。しかしながら、本発明は、様々な形態で実施することができ、また、本明細書で説明される実施形態に限定されるものと解釈されるべきでない。むしろ、これらの実施形態は、例示として提供されるものであって、そうすることで、本開示は、完全かつ完璧なものとなり、当業者に本発明の範囲を完全に伝えることになる。記載全体を通して、同様の番号は、同様の要素を参照する。
図1aは、本発明の実施形態を適用することができる、第1の環境を示す図である。
顧客(カスタマ)15は、例えば、インターネットのようなワイドエリアネットワーク14を介して、販売者デバイス16と接続している。このように、顧客15は、例えば、コンピュータ13あるいは移動通信端末10を使用して、販売者デバイス16に対応する販売者との購入を行うことを希望していることを示している。購入を行うためのこの希望は、例えば、ウェブショップを使用して、通信販売員を使用して、あるいは、物理的なお店を使用して、何かを購入することである。物理的なお店の場合、顧客15は、例えば、NFCあるいは2次元バーコードを使用して、購入を実行するためのURI(ユニフォームリソースインジケータ)を受信することができる。ここで、NFCタグあるいは2次元バーコードは、購入対象の製品に付けることができる。移動通信端末10は、次に、例えば、ワイドエリアネットワークを使用して、提供されるURIによって示される、販売者デバイス16と通信して、対象の製品を購入することの希望を示すことができる。
移動通信端末10は、埋込セキュア要素12を備える。移動通信端末10は、任意の適切なポータブル移動端末とすることができ、これには、例えば、任意の1つ以上の規格に従う移動(セルラー)電話がある。この規格には、GSM(移動通信用グローバルシステム)、UMTS(ユニバーサル移動電気通信システム)、W−CDMA(ワイドバンド符号分割多元アクセス)、CDMA−2000(符号分割多元アクセス−2000)、FOMA(フリーダム移動マルチメディアアクセス)、WiMax/IEEE802.16、及びLTE(ロングタームエボリューション)がある。選択的には、あるいは追加的に、移動通信端末は、任意の適切なWi−Fiプロトコルを使用して、例えば、任意のIEEE802.11xプロトコルを使用して、ワイドエリアネットワーク14に接続される。この状況でのワイドエリアネットワーク14も、移動通信端末10にワイドエリアネットワークとの通信を可能にするコンポーネントを含んでいる。
販売者デバイス16は、以下で後述する方法を実行するために最適な任意のサーバである。セキュリティサーバ18は、販売者デバイス16に接続されている。典型的には、セキュリティサーバ18は、複数の販売者デバイス16に接続されていて、ここで、各販売者あるいは販売店は、少なくとも1つの販売者デバイス16を有している。販売者デバイス16とセキュリティサーバは、ワイドエリアネットワーク14を介して、及び/あるいは、ダイレクト(直結)ローカルエリアネットワーク接続のようないくつかの他の方法(不図示)を通じて、接続することができる。スキームプロバイダ19は、取引を全体的に監視するパーティである。例えば、スキームプロバイダ19は、マスタカード、あるいはVISA、あるいは任意の他のクレジットカード会社とすることができる。
販売者デバイス16とセキュア要素12とを通信状態にする必要がある場合、この通信は、セキュアチャネル17a−bを介してのみ発生する。ここで、このセキュアチャネルを介するあらゆる通信がセキュリティサーバ18によって制御される。セキュリティサーバ18は、移動通信端末10と埋込セキュア要素12と接続している。換言すれば、販売者デバイス16とセキュア要素12との間の通信を制御するセキュリティサーバによって、販売者デバイス16とセキュア要素12との通信は、セキュリティサーバ18の承認なしでは発生することはない。
図1bは、本発明の実施形態を適用することができる、第2の環境を示す図である。ここでの主な違いは、移動通信端末10が、ワイドエリアネットワーク14ではなく、他の方法で、例えば、移動通信ネットワークを介して、セキュリティサーバ18と接続していることである。
図1aと図1bの両方を参照すると、本実施形態は、販売者デバイス16を動作させる販売者への、顧客15による支払に関連する。この実施形態は、上述のように、移動電話にバンドルされているセキュア要素12上で動作する支払カードアプリケーションを使用することによって達成される。セキュア要素12は、加入者アイデンティティモジュール(SIM)カード、あるいはユニバーサル統合回線カード(UICC)、移動通信端末に挿入されているメモリカード(例えば、SD)を使用して実現することができる。あるいは、セキュア要素12は、移動通信端末のメモリに直接埋め込まれていても良い。
セキュア要素12とそのアプリケーションは、通常は、顧客15によって単独で管理されるものでなく、その顧客15が課金関係(ネットワークオペレータ、銀行等)あるいは他の関係(例えば、端末製造者)を有している、いくつかのアプリケーション所有エンティティによって管理される。グローバルプラットホームフォーラムは、リモート管理用のスマートカードの一連の仕様書を発行していて、これは、アプリケーション所有エンティティに、セキュア要素12上のアプリケーションを管理することを可能にする。
一般的には、複数のアプリケーションはセキュア要素内に共存し、そして、異なるパーティ(当事者)によって管理される。例えば、ネットワークオペレータは、USIM(ユニバーサル加入者アイデンティティモジュール)アプリケーションを制御することができ、銀行は、1つ以上の支払アプリケーション、及び/あるいはアイデンティティアプリケーションを管理することができ、また、他のパーティは、自身のアクセス/支払/ロイヤルティアプリケーションを管理する。これは、GSMA(GSM[移動通信用グローバルシステム]アソシエーション)及びそれ以外のものによって、セキュア要素とインタフェースするエンティティ間に仲介エンティティの必要性があることが提案されている。ここでは、この仲介エンティティの部分は、セキュリティサーバ18内で実現される。
図2aは、図1a−図1bのコンポーネントを使用して、顧客が購入を実行する場合の第1の実施形態における通信を示すシーケンス図である。
顧客15は、まず、販売者デバイス16に対して支払を行うための希望を指示する20。これは、例えば、ウェブショップを閲覧し、支払の希望を指示することによって、あるいは通信販売員にサービスあるいは商品に対する支払を同意することによって行うことができる。このステップでは、顧客識別子、例えば、電話番号、MSISDN(移動加入者統合サービスデジタルネットワーク番号)、電子メールアドレスあるいは任意の他のアクセス識別子が、顧客15から販売者デバイス16へ通信される。
次に、販売者デバイス16は、顧客識別子と、販売者デバイス16の販売者が使用したい1つ以上の顧客支払アプリケーション(例えば、VISA、マスタカード、アメリカンエクスプレス、ダイナーズクラブ等)に対するアプリケーション識別子とを含むメッセージ22を、セキュリティサーバ18へ送信する。このアプリケーション識別子は、アプリケーションを示すテキスト文字列、アプリケーションのプレフィックス、あるいは、EMVに従う固有のアプリケーション識別子を含むことができる。また、販売者デバイスが、1つ以上の顧客支払アプリケーションへアクセスすることが許容されることの証拠として、販売者デバイス16に対しては、セキュリティトークンが含まれる。セキュリティトークンは、スキームプロバイダ19あるいは中間パーティによって販売者デバイス16に対して発行されている信用証明書であって、1つ以上の顧客支払アプリケーションに対して販売者デバイス16を認可する信用証明書を含んでいる。ここで、1つのトークンが各スキームプロバイダ、例えば、VISAあるいはマスタカードに対して提供されている。例えば、セキュリティトークンは、公開鍵基盤に準拠する電子署名を含むことができる。この方法では、販売者デバイスは、自身の秘密鍵を使用して署名を生成し、これによって、セキュリティサーバ18は、(1)セキュリティトークンに記述されている、販売者デバイスの公開鍵と照合し、これによって、販売者を認証し、また、(2)そのセキュリティトークンあるいは信用証明書が有効であることを検証する。この検証は、そのセキュリティトークンのデジタル署名を検証し、有効期限をチェックし、取消リストと、他の標準PKI処理を有効にすることによって行い、そうすることによって、顧客支払アプリケーションに接続するための、販売者デバイスの権限を検証する。
セキュリティトークンを使用することによって、販売者の販売者デバイス16が認証されていることが顧客15に保証され、これによって、認可済の販売者だけが、対応する支払アプリケーションを使用することができるとともに、顧客15を脅かす販売者による不正取引のリスクを著しく削減することができる。
セキュリティサーバ18は、セキュリティトークンを使用して、販売者デバイス16が顧客支払アプリケーションへアクセスすることが認可されていることを検証する23。
オプションとしては、セキュリティサーバは、販売者デバイス16によって提供されている顧客支払アプリケーションのリストをフィルタにかけることができる。例えば、対象のセキュア要素上で利用できない顧客支払アプリケーション、あるいは検証されていない顧客支払アプリケーションは、そのリストから除去される。
次に、セキュリティサーバ18による任意のフィルタ処理が実行された後、セキュリティサーバ18は、販売者デバイス16が接続することが許可されている1つ以上の顧客支払アプリケーションに対する識別子を含むメッセージ24を販売者へ送信する。オプションとしては、セキュリティサーバ18は、この段階では、セキュア要素12との1つ以上のセキュア支払チャネルを確立して、そのようなセキュア支払チャネルへのハンドルを、販売者デバイスへのメッセージ24に含めることができる。
異なる顧客支払アプリケーションに対するいくつかのトークンが送信されている場合、販売者デバイス16は、従来の販売チャネルを使用して、顧客15が、どの顧客支払アプリケーションを使用するかを問い合わせる26。例えば、これは、ウェブショップ用のウェイブインタフェースを通じて、あるいは、通信販売員が電話を通じて顧客に問い合わせることによって行うことができる。次に、顧客15は、どの顧客支払アプリケーションを使用するかを選択する28。但し、この問い合わせ26は、セキュア要素12を使用するものでないことに注意されたい。
上述のように、支払チャネルが既に確立されている限り、販売者デバイス16は、メッセージ30をセキュリティサーバ18へ送信して、セキュア要素12とのセキュア支払チャネルを確立する。次に、セキュリティサーバは、セキュアチャネルをセットアップして、販売者デバイス16に対して応答する32ことで、販売者デバイスが、セキュア要素12上の顧客支払アプリケーションと通信することを許可する。テキスト文字列あるいはアプリケーションプレフィックスが先のアプリケーション識別子として使用される場合、セキュリティサーバは、顧客支払アプリケーションと更に通信する場合に、販売者デバイスが使用することができるアプリケーション識別子を通信する。
次に、販売者デバイス16は、例えば、(EMV)プロトコルを使用して、支払を行うために、セキュア要素12上の判定された顧客支払アプリケーションと通信する34。EMVプロトコル自体は周知である一方で、これは、今までは、販売者デバイスとセキュア要素の間での直接通信のために使用されている。特に、これは、セキュア要素が、ポイントオブセールス(販売場所)で導入されている、あるいはNFC通信を使用することによる物理的な近場で導入されている場合である。これに対して、販売者デバイス16とセキュア要素12との間のあらゆる通信は、セキュリティサーバ10の制御下にある。これは、販売者デバイス16は、セキュリティサーバ18の制御下でセキュア要素12と通信するだけであり、また、判定された顧客支払アプリケーションに対して認可されている販売者デバイスだけが権限を獲得するので、不正な販売者デバイス16が、セキュア要素12内のアプリケーションにアクセスすることは回避される。また、販売者デバイスに認可されていないアプリケーションに対してその販売者デバイスが問い合わせることも回避される。例えば、販売者デバイスと顧客アプリケーションとの間で直接通信が許可されていた場合は、販売者デバイスは、顧客のプライバシーを危険にさらすような、様々な顧客アプリケーションへの接続を試行する可能性があろう。事実、販売者デバイスとセキュア要素との間で直接通信が許可されていた場合には、一定の顧客アプリケーションの存在自体が、顧客のプライバシーを危険にさらすことになろう。
例えば、セキュアチャネルは、SSLである、セキュアソケットレイヤ、及びSCP80であるセキュアチャネルプロトコル80を使用して実現することができる。これは、販売者デバイス16に、判定された顧客支払アプリケーションと通信することによって支払を行うためにAPDU(アプリケーションプロトコルデータユニット)を使用することを可能にする。
図2bは、図1a−図1bのコンポーネントを使用して、顧客が購入を実行する場合の第2の実施形態における通信を示すシーケンス図である。図2aの実施形態との主な違いは、セキュリティサーバ18が、どんな顧客支払アプリケーションを使用するかを判定することである。通信信号20、22、24、34及び処理23は、図2aのそれぞれに対応する。
しかしながら、この実施形態において、販売者デバイスからのメッセージ22が複数の顧客支払アプリケーションを含んでいる場合、セキュリティサーバ18は、この段階23で、残りの取引に対して使用するための、複数の顧客支払アプリケーションの内の1つを判定する。これは、例えば、セキュリティサーバがメッセージ35をセキュア要素12へ送信して、Java MidLet、ウェブアプリケーションあるいはセキュア要素12上で動作する別のアプリケーションによって、使用する顧客支払アプリケーションを顧客15に問い合わせる36ことによって実行することができる。次に、顧客15は、使用する顧客支払アプリケーションを選択し37、その後、この選択は、セキュリティサーバ18へ通信される38。
例として、販売者デバイス16は、支払に対して、VISA、マスタカードあるいはアメリカンエクスプレスを使用することができることを指示する22。次に、セキュリティサーバ18は、データベースへ問い合わせて、あるいは、顧客15の移動通信端末上のロジックをトリガーして、そのユーザがVISA及びマスタカードの顧客支払アプリケーションだけを有していることを判定する。顧客には、VISAあるいはマスタカードで支払を行うことのオプションが提示され(即ち、VISAの顧客支払アプリケーションあるいはマスタカードの顧客支払アプリケーションを使用して)、そうすることによって、ユーザは、移動通信端末10のユーザインタフェースを使用して、セキュア要素12上のVISAの顧客支払アプリケーションを使用して支払を行うことを選択する。
次に、販売者デバイス16は、メッセージ30をセキュリティサーバ18へ送信して、セキュア要素12に対するセキュア支払チャネルを確立する。セキュリティサーバはセキュアチャネルをセットアップして、販売者デバイス16に応答する32ことで、販売者デバイスが、セキュア要素12上の顧客支払アプリケーションと通信することを許可する。
セキュリティサーバ18を介する販売者デバイス16とセキュア要素12との間の通信34は、図2aで示される実施形態のように達成される。
一実施形態において、販売者デバイス16からのメッセージ22が複数の顧客支払アプリケーションを含んでいる場合は、セキュリティサーバ18は、例えば、メッセージ35及び38を使用して、セキュア要素12から、利用可能な顧客支払アプリケーションのリストを取得する。一実施形態では、セキュリティサーバ18は、そのような利用可能な顧客支払アプリケーションのリストが記憶されているセキュア要素12上の、例えば、グロバールプラットホームカード仕様書補遺Cで定義されるような、コンタクトレスレジストリサービス(CRS)に問い合わせる。顧客15は、利用可能な顧客支払アプリケーションンのリストを従前に定義している。セキュリティサーバ18は、販売者デバイス16からの顧客支払アプリケーションのリストと、セキュア要素12からの利用可能な顧客支払アプリケーションのリストの間で共通するセット(intersecting set)を判定する。この共通するセットは、販売者デバイスが要求していて、かつ顧客15が承認している顧客支払アプリケーションのすべてを含むものとなる。この共通のリスト(ゼロ、あるいは1つ以上の項目を含む場合がある)は、販売者デバイス16へ送信され24、そして、続いて、上述のように使用される。
図3aは、図1a−図1bの販売者デバイス16のハードウェアコンポーネントを示す図である。コントローラ46は、例えば、メモリの形態である、コンピュータプログラム製品45に記憶されるソフトウェア命令を実行することができる、任意の適切な中央処理ユニット(CPU)、マイクロコントローラ、デジタル信号プロセッサ(DSP)等を使用して提供される。コンピュータプログラム製品45は、メモリ、あるいは、リードライトメモリ(RAM)及びリードオンリーメモリ(ROM)の任意の組み合わせとすることができる。このメモリは、また、永久記憶装置も含み、これは、例えば、磁気メモリ、光学メモリ、あるいはソリッドステートメモリ、あるいは遠隔の据付メモリの内の任意の1つあるいはその組み合わせとすることができる。
入力/出力(I/O)インタフェース40は、販売者デバイス16に、セキュリティサーバ18のような他のコンポーネントとの対話を可能にするように提供される。I/Oインタフェース40は、例えば、イーサネット(登録商標)インタフェースのようなネットワークインタフェースとすることができる。
販売者デバイス16は、ウェブショップのために使用される同一のウェブサーバ内で実現することもできるし、別のサーバであっても良い。
図3bは、図1a−図1bの販売者デバイスの機能モジュールを示す図である。この機能モジュールは、コンピュータプログラムのような、販売者デバイスのソフトウェアを使用して実現することができる。すべてのモジュールが実行環境41に依存し、この実行環境41は、コントローラ46と、オプションで、図3aのコンピュータプログラム製品45とI/Oインタフェース40を利用する。
顧客識別子取得部42は、顧客識別子を取得するように構成されている。顧客識別子用のソースは、例えば、ウェブショップトランザクションからのものとすることができ、あるいは、移動通信端末からのhttpリクエストとすることができる。
送信部43は、第1のメッセージをセキュリティサーバ18へ送信するように構成されていて、ここで、第1のメッセージは、顧客識別子取得部によって取得される顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び販売者デバイス用のセキュリティトークンを含むことができる。これは、セキュリティサーバに、販売者デバイス16を認証させることを可能にする。
受信部47は、第1のメッセージに対する応答として、セキュリティサーバ18から第2のメッセージを受信するように構成されている。この第2のメッセージは、スキームプロバイダによって顧客支払アプリケーションに対して認可されるべきセキュリティトークンが、その顧客支払アプリケーションのアプリケーション識別子と一致すると判定される場合にのみ受信されるであろう。
販売者デバイスは、更に、チャネル推定部44を備え、これは、顧客支払アプリケーションを使用して支払を行うための、移動通信端末のセキュア要素とのセキュアチャネルをセットアップするように構成される。セキュアチャネルは、第2のメッセージが受信部47によって受信された後にのみセットアップされる。こうして、セキュアチャネルを使用して、販売者デバイスと顧客支払アプリケーションとの間で支払を達成することとができる。
図4aは、図1a−図1bのセキュリティサーバ18の実施形態を示している。コントローラ50は、例えば、メモリの形態である、コンピュータプログラム製品52に記憶されるソフトウェア命令を実行することができる、任意の適切な中央処理ユニット(CPU)、マイクロコントローラ、デジタル信号プロセッサ(DSP)等を使用して提供される。コンピュータプログラム製品52は、メモリ、あるいは、リードライトメモリ(RAM)及びリードオンリーメモリ(ROM)の任意の組み合わせとすることができる。このメモリは、また、永久記憶装置も含み、これは、例えば、磁気メモリ、光学メモリ、あるいはソリッドステートメモリ、あるいは遠隔の据付メモリの内の任意の1つあるいはその組み合わせとすることができる。
入力/出力(I/O)インタフェース54は、セキュリティサーバ18に、販売者デバイス16のような他のコンポーネントとの対話を可能にするように提供される。I/Oインタフェース54は、例えば、イーサネットインタフェースのようなネットワークインタフェースとすることができる。
オプションとしては、ユーザインタフェース(不図示)は、セキュリティサーバ18のオペレータが使用するために提供される。加えて、あるいは選択的には、セキュリティサーバ18は、受信部/送信部54を使用して遠隔からあるいは局所で制御することができる。
セキュリティサーバ18は、1つのユニットに統合することもできるし、あるいは、例えば、アップグレード、実装の容易性、あるいは冗長性のために、いくつかの別ユニットに分けることもできる。セキュリティサーバ18を構成するいくつかのユニットが存在する場合には、いくつかのコンポーネントが2つ以上のユニット、例えば、コントローラ50、受信部/送信部54、及びコンピュータプログラム製品52に存在していても良い。
図4bは、図1a−図1bのセキュリティサーバの機能モジュールを示す図である。この機能モジュールは、セキュリティサーバのハードウェア及びソフトウェアの少なくとも一方を使用して実現することができる。すべてのモジュールが実行環境51に依存し、この実行環境51は、コントローラ50と、オプションで、図4aのコンピュータプログラム製品52とI/Oインタフェース54を利用する。
受信部51は、上述のように、販売者デバイスから第1のメッセージを受信するように構成されている。
判定部53は、販売者デバイスが、顧客支払アプリケーションのスキームプロバイダによって認可されているかどうかを判定するように構成されている。これは、セキュリティトークンが、スキームプロバイダあるいは中間パーティによって発行されている信用証明書を含んでいることを検証することによって実行することができる。換言すれば、この適合性は、公開鍵基盤を使用して判定することができる。
送信部55は、セキュリティトークンが顧客支払アプリケーションのアプリケーション識別子と照合する場合に、第2のメッセージを販売者デバイスへ送信するように構成されている。この第2のメッセージは、図3bを参照して上述した第2のメッセージと同一である。
また、セキュリティサーバは、チャネル確立部57を備えている。販売者デバイスが顧客支払アプリケーションのスキームプロバイダによって認可される場合のみ、チャネル確立部は、販売者デバイスと顧客支払アプリケーションとの間にセキュアチャネルをセットアップすることができる。チャネル確立部は、販売者デバイスと顧客支払アプリケーションとの間の通信を制御することによってこのセキュアチャネルのセットアップを達成することができる。選択的には、あるいはこれに加えて、チャネル確立部は、販売者デバイスと顧客支払アプリケーションとの間のあらゆる通信が、セキュリティサーバを介して通信することを保障することができる。これは、販売者デバイスのチャネル確立部44と協働して実行される。この方法では、販売者デバイスと顧客支払アプリケーションとの間のあらゆる通信は、セキュリティサーバによって制御される。
図5は、図1a−図1bの販売者デバイス16で実行される方法を示すフローチャートである。この方法は、図3bのモジュールを使用して実現することができる。このフローチャートは、図2a−図2bのシーケンス図に対応する。
最初の顧客識別子を取得するステップ60では、販売者デバイスは、購入の実行の要望を示す入力を受信し(受け付け)、顧客の識別子を取得する。これは、例えば、ウェブショップにおける顧客の入力を通じて、あるいは、顧客が識別子を販売員へ伝えて、その販売員が販売者デバイス16に識別子を入力することによって行われる。
第1のメッセージをセキュリティサーバへ送信するステップ62では、販売者デバイス16は、顧客識別子、1つ以上の顧客支払アプリケーションの識別子、及びセキュリティトークンを含むメッセージを、セキュリティサーバへ送信する。
セキュリティサーバ64から第2のメッセージを受信するステップ64では、販売者デバイス16はセキュリティサーバからメッセージを受信する。このメッセージは、販売者デバイス16が接続することが許可されている、1つ以上の顧客支払アプリケーションの識別子を含んでいる。
オプションのアプリケーションの入力を受信するステップ65では、販売者デバイスは、複数の顧客支払アプリケーションの内、支払を行うために使用する顧客支払アプリケーションはどれであるかを顧客に問い合わせる。
そして、セキュア要素とのセキュアチャネルをセットアップするステップ66では、販売者デバイスはセキュリティサーバ18と接続して、支払を行うために、セキュア要素とのセキュアチャネルをセットアップする。このセキュアチャネル上でのあらゆる通信は、セキュリティサーバ18の制御下で発生する。
図6は、図1a−図1bのセキュリティサーバで実行される方法を示すフローチャートである。この方法は、図4bのモジュールを使用して実現することができる。このフローチャートは、図2a−図2bのシーケンス図に対応する。
最初の販売者デバイスから第1のメッセージを受信するステップ70では、セキュリティサーバは、販売者デバイスからメッセージを受信する。第1のメッセージは、顧客識別子、1つ以上の顧客支払アプリケーションの識別子、及びセキュリティトークンを含んでいる。
セキュリティトークンを照合するかどうかを条件判定するステップ72では、セキュリティサーバは、販売者デバイスが顧客支払アプリケーションのスキームプロバイダによって認可されているかどうかをチェックし、また、あるのであれば、第1のメッセージの顧客支払アプリケーションの内のどれがセキュリティトークンと一致するかをチェックする。一致するものがない場合、この方法は終了する。そうでなければ、この方法は、オプションのアプリケーションを判定するステップ74を継続する、あるいは、第2のメッセージを販売者デバイスへ送信するステップ76を直接継続する。
オプションのアプリケーションを判定するステップ74では、セキュリティサーバ18は、どの顧客支払アプリケーションが支払取引に対して使用されるべきかを判定する。検証された顧客支払アプリケーションが1つだけしか存在しない場合、その顧客支払アプリケーションが使用される。しかしながら、2つ以上の顧客支払アプリケーションが存在する場合、セキュリティサーバ18は、オプションで、例えば、メモリに記憶されているデータベーステーブルを問い合わせて、その特定の顧客がインストールしている顧客支払アプリケーションがどれであるかを検出することができる。選択的には、あるいはこれに加えて、セキュリティサーバ18は、セキュア要素、及び顧客支払アプリケーションを使用する移動通信端末の少なくとも一方を介して、ユーザへ問い合わせる。
使用する顧客支払アプリケーションが一旦確定すると、セキュリティサーバ18は、使用する顧客支払アプリケーションを示す第2のメッセージを販売者デバイスへ送信する。オプションとして、アプリケーションを判定するステップ74が実行されない場合、セキュリティサーバ18は、このステップでは、複数の顧客支払アプリケーションの識別子を販売者デバイスへ送信し、販売者デバイスに、それらの顧客支払アプリケーションの内、どの顧客支払アプリケーションを使用するかを判定させる。
セキュアチャネルをセットアップするステップ78では、セキュリティサーバ18は、販売者デバイス16からの命令で、販売者デバイス16とセキュア要素12との間でセキュアチャネルをセットアップする。
図7は、コンピュータ可読媒体を含むコンピュータプログラム製品の一例を示している。このコンピュータ可読媒体上に、コンピュータプログラム101を記憶することができ、ここで、コンピュータプログラムは、コントローラに、本明細書で記載される実施形態に従う方法を実行させることができる。この例では、コンピュータプログラム製品は、CD(コンパクトディスク)、あるいはDVD(デジタル多用途ディスク)、あるいはブルーレイディスクのような光ディスクである。上述のように、コンピュータプログラム製品は、販売者デバイス16のメモリ45、あるいはセキュリティサーバ18のメモリ52のようなデバイスのメモリとして実現することができる。コンピュータプログラム101は、図示の光ディスク上のトラックとして示されているが、コンピュータプログラムは、コンピュータプログラム製品に対して適切な任意の方法で記憶することができる。
図8は、図1a−図1bの移動通信端末と、図1a−図1bのセキュア要素12と、セキュア要素上のアプリケーション5a−bとの間の関係を示している。移動通信端末10は、例えば、ディスプレイ5とユーザ入力手段を備えるユーザインタフェースを備え、これは、例えば、タッチセンシティブディスプレイのようなディスプレイ5を提供することによって、あるいはキーパッドを使用することによって実現される。
上述のように、セキュア要素12は、加入者アイデンティティモジュール(SIM)カード、あるいはユニバーサル統合回線カード(UICC)、あるいは移動通信端末に挿入されるメモリカード(例えば、SD)を使用して実現することができ、あるいは、セキュア要素12は、移動通信端末のメモリに直接埋め込まれていても良い。セキュア要素12は、1つ以上の顧客支払アプリケーション5a−bを備える。例えば、アクセスプログラムあるいはロイヤリティプログラムのような他のアプリケーション(不図示)は、セキュア要素12上に存在させることができる。
本発明は、主に、いくつかの実施形態を参照して説明している。しかしながら、当業者に容易に理解されるように、上述の開示されるもの以外の他の実施形態を、本発明の範囲内で等しく実現可能である。

Claims (24)

  1. 販売者デバイスと顧客支払アプリケーションとの間の通信をセットアップするように構成されているセキュリティサーバであって、
    第1のメッセージとして、顧客識別子、前記顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、前記販売者デバイスから受信するように構成されている受信部と、
    前記セキュリティトークンを使用して、前記販売者デバイスが前記顧客支払アプリケーションのスキームプロバイダによって認可されるかどうかを判定するように構成されている判定部と、
    前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合のみ、第2のメッセージとして、前記顧客支払アプリケーションを使用して支払を行うことを前記販売者デバイスが認可されていることを示す第2のメッセージを、前記販売者デバイスへ送信するように構成されている送信部と、
    前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合、移動通信端末に備わるように構成されているセキュア要素内の前記顧客支払アプリケーションと前記販売者デバイスとの間にセキュアチャネルをセットアップするように構成されているチャネル確立部とを備え、
    前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信は前記セキュリティサーバによって制御される
    ことを特徴とするセキュリティサーバ。
  2. 前記チャネル確立部は、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信が前記セキュリティサーバを介在させてセットアップされるように構成されている
    ことを特徴とする請求項1に記載のセキュリティサーバ。
  3. 前記セキュリティトークンは、販売者の信用証明書を含み、
    前記判定部は、前記販売者の信用証明書が前記スキームプロバイダによって発行されているかどうかを判定することによって前記販売者デバイスが認可されるかどうかを判定するように構成されていて、
    前記スキームプロバイダは、認証機関として動作する
    ことを特徴とする請求項1または2に記載のセキュリティサーバ。
  4. 前記顧客識別子は、電話番号、電子メールアドレス、あるいはネットワークアクセス識別子を含んでいる
    ことを特徴とする請求項1乃至3のいずれか1項に記載のセキュリティサーバ。
  5. 前記アプリケーション識別子は、アプリケーションを示すテキスト文字列、アプリケーションのプレフィックス、あるいは固有のアプリケーション識別子を含んでいる
    ことを特徴とする請求項1乃至4のいずれか1項に記載のセキュリティサーバ。
  6. 前記判定部は、前記第1のメッセージが前記販売者デバイスによってデジタル署名されていて、かつ前記販売者の識別子と、前記セキュリティトークンの識別子とが一致する場合にのみ、前記販売者デバイスが認可されると判定するように構成されている
    ことを特徴とする請求項1乃至5のいずれか1項に記載のセキュリティサーバ。
  7. 前記判定部は、前記第1のメッセージが受信される際の日時を含む有効日時範囲を前記セキュリティトークンが有している場合にのみ、前記販売者デバイスが認可されると判定するように構成されている
    ことを特徴とする請求項1乃至6のいずれか1項に記載のセキュリティサーバ。
  8. 前記第1のメッセージは、複数のアプリケーション識別子を含み、それぞれのアプリケーション識別子は、複数の顧客支払アプリケーションのそれぞれを示し、
    前記判定部は、更に、前記複数の顧客支払アプリケーションの内、支払を行うために使用する顧客支払アプリケーションを判定するように構成されていて、
    前記第2のメッセージは、前記使用する顧客支払アプリケーションの識別子を含んでいる
    ことを特徴とする請求項1乃至7のいずれか1項に記載のセキュリティサーバ。
  9. 前記顧客識別子に対応する移動端末へ、プロンプトメッセージを送信し、どの顧客支払アプリケーションが使用されるべきかをプロンプトし、前記複数の顧客支払アプリケーションの内、使用する顧客支払アプリケーションを示すメッセージを、前記移動端末から受信するように構成されているプロンプターを更に備える
    ことを特徴とする請求項8に記載のセキュリティサーバ。
  10. 前記第1のメッセージは、テキストメッセージを含み、
    前記プロンプトメッセージは、前記テキストメッセージを含んでいる
    ことを特徴とする請求項9に記載のセキュリティサーバ。
  11. 前記判定部は、更に、前記複数の顧客支払アプリケーションの内、使用する顧客支払アプリケーションを示すデータベースを読み出すように構成されている
    ことを特徴とする請求項8に記載のセキュリティサーバ。
  12. セキュリティサーバで実行される、販売者デバイスと顧客支払アプリケーションとの間の通信をセットアップするための方法であって、
    前記セキュリティサーバが、
    第1のメッセージとして、顧客識別子、前記顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、前記販売者デバイスから受信するステップと、
    前記セキュリティトークンを使用して、前記販売者デバイスが前記顧客支払アプリケーションのスキームプロバイダによって認可されるかどうかを判定するステップと、
    前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合のみ、第2のメッセージとして、前記顧客支払アプリケーションを使用して支払を行うことを前記販売者デバイスが認可されていることを示す第2のメッセージを、前記販売者デバイスへ送信するステップと、
    移動通信端末に備わるように構成されているセキュア要素内の前記顧客支払アプリケーションと前記販売者デバイスとの間にセキュアチャネルをセットアップするステップと
    を実行し、
    前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信は前記セキュリティサーバによって制御される
    ことを特徴とする方法。
  13. 前記セキュアチャネルをセットアップするステップは、前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信を前記セキュリティサーバを介在させることを含んでいる
    ことを特徴とする請求項12に記載の方法。
  14. セキュリティサーバのコントローラで実行可能なコンピュータプログラムコードを備えるコンピュータプログラムであって、
    前記コンピュータプログラムコードは、前記コントローラ上で実行する場合に、前記セキュリティサーバに、
    第1のメッセージとして、顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び販売者デバイス用のセキュリティトークンを含む第1のメッセージを、前記販売者デバイスから受信するステップと、
    前記セキュリティトークンを使用して、前記販売者デバイスが前記顧客支払アプリケーションのスキームプロバイダによって認可されるかどうかを判定するステップと、
    前記販売者デバイスが前記スキームプロバイダによって認可されると判定される場合のみ、第2のメッセージとして、前記顧客支払アプリケーションを使用して支払を行うことを前記販売者デバイスが認可されていることを示す第2のメッセージを、前記販売者デバイスへ送信するステップと、
    移動通信端末に備わるように構成されているセキュア要素内の前記顧客支払アプリケーションと前記販売者デバイスとの間にセキュアチャネルをセットアップするステップと
    を実行させ、
    前記販売者デバイスと前記顧客支払アプリケーションとの間のあらゆる通信は前記セキュリティサーバによって制御される
    ことを特徴とするコンピュータプログラム。
  15. 請求項14に記載のコンピュータプログラム記憶されているコンピュータ可読媒体。
  16. 販売者デバイスの認可を受信し、購入の実行の希望を示す入力の受信とともに使用されるように構成されている販売者デバイスであって、
    顧客識別子を取得するように構成されている顧客識別子取得部と、
    第1のメッセージとして、前記顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、セキュリティサーバへ送信するように構成されている送信部と、
    第2のメッセージとして、前記販売者デバイスがスキームプロバイダによって認可されると判定される場合のみ受信される第2のメッセージを、前記セキュリティサーバから受信するように構成されている受信部であって、前記顧客支払アプリケーションは、移動通信端末に備わるように構成されているセキュア要素内に備えられている、受信部と、
    前記顧客支払アプリケーションを使用して支払を行うために、前記移動通信端末の前記セキュア要素とのセキュアチャネルをセットアップするように構成されているチャネル確立部と
    を備えることを特徴とする販売者デバイス。
  17. 前記第1のメッセージ内の前記アプリケーション識別子は、前記第2のメッセージ内の前記アプリケーション識別子と同一である
    ことを特徴とする請求項16に記載の販売者デバイス。
  18. 前記第1のメッセージは、複数のアプリケーション識別子を含み、それぞれのアプリケーション識別子は、それぞれの顧客支払アプリケーションを示す
    ことを特徴とする請求項16または17に記載の販売者デバイス。
  19. 前記第2のメッセージは、前記第1のメッセージの前記複数のアプリケーション識別子の一部あるいはすべてに対するアプリケーション識別子を含み、
    前記販売者デバイスは、前記第2のメッセージの前記アプリケーション識別子に関連付けられている前記顧客支払アプリケーションの1つを使用して、支払を行うように構成されている
    ことを特徴とする請求項18に記載の販売者デバイス。
  20. 前記販売者デバイスは、更に、前記複数のアプリケーション識別子の一部あるいはすべてが、2つ以上のアプリケーション識別子からなる場合、前記第1のメッセージの前記複数のアプリケーション識別子の一部あるいはすべての内、支払を行うために使用するアプリケーション識別子を示す入力を受信するように構成されている
    ことを特徴とする請求項18に記載の販売者デバイス。
  21. 前記チャネル確立部は、前記移動通信端末の前記セキュア要素とのワイドエリアネットワークを介するセキュアチャネルをセットアップするように構成されている
    ことを特徴とする請求項16乃至20のいずれか1項に記載の販売者デバイス。
  22. 販売者デバイスの認可を受信し、購入の実行の希望を示す入力を受信する、前記販売者デバイスで実行される方法であって、
    前記販売者デバイスが、
    顧客識別子を取得するステップと、
    第1のメッセージとして、前記顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、セキュリティサーバへ送信するステップと、
    第2のメッセージとして、前記販売者デバイスがスキームプロバイダによって認可されると判定される場合のみ受信される第2のメッセージを、前記セキュリティサーバから受信するステップであって、前記顧客支払アプリケーションは、移動通信端末に備わるように構成されているセキュア要素内に備えられている、受信するステップと、
    前記顧客支払アプリケーションを使用して支払を行うために、前記移動通信端末の前記セキュア要素とのセキュアチャネルをセットアップするステップと
    を実行する
    ことを特徴とする方法。
  23. 購入の実行の希望を示す入力を受信するとともに、販売者デバイスのコントローラで実行可能なコンピュータプログラムコードを備えるコンピュータプログラムであって、
    前記コンピュータプログラムコードは、前記コントローラ上で実行する場合に、前記販売者デバイスに、
    顧客識別子を取得するステップと、
    第1のメッセージとして、前記顧客識別子、顧客支払アプリケーションを示すアプリケーション識別子、及び前記販売者デバイス用のセキュリティトークンを含む第1のメッセージを、セキュリティサーバへ送信するステップと、
    第2のメッセージとして、前記販売者デバイスがスキームプロバイダによって認可されると判定される場合のみ受信される第2のメッセージを、前記セキュリティサーバから受信するステップであって、前記顧客支払アプリケーションは、移動通信端末に備わるように構成されているセキュア要素内に備えられている、受信するステップと、
    前記顧客支払アプリケーションを使用して支払を行うために、前記移動通信端末の前記セキュア要素とのセキュアチャネルをセットアップするステップと
    を実行させる
    ことを特徴とするコンピュータプログラム。
  24. 請求項23に記載のコンピュータプログラム記憶されているコンピュータ可読媒体。
JP2013518310A 2010-06-29 2010-06-29 通信をセットアップするための、方法、サーバ、販売者デバイス、コンピュータプログラム及びコンピュータプログラム製品 Expired - Fee Related JP5396568B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2010/050745 WO2012002852A1 (en) 2010-06-29 2010-06-29 Methods, server, merchant device, computer programs and computer program products for setting up communication

Publications (2)

Publication Number Publication Date
JP2013539567A JP2013539567A (ja) 2013-10-24
JP5396568B2 true JP5396568B2 (ja) 2014-01-22

Family

ID=45402337

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013518310A Expired - Fee Related JP5396568B2 (ja) 2010-06-29 2010-06-29 通信をセットアップするための、方法、サーバ、販売者デバイス、コンピュータプログラム及びコンピュータプログラム製品

Country Status (7)

Country Link
US (2) US10007904B2 (ja)
EP (1) EP2589001A4 (ja)
JP (1) JP5396568B2 (ja)
CN (1) CN102971760B (ja)
RU (1) RU2546549C2 (ja)
SG (1) SG186296A1 (ja)
WO (1) WO2012002852A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9047601B2 (en) * 2006-09-24 2015-06-02 RFCyber Corpration Method and apparatus for settling payments using mobile devices
KR102088451B1 (ko) 2012-02-29 2020-03-12 모비웨이브 인코포레이티드 디바이스로 보안 금융 거래를 행하는 방법, 디바이스 및 보안 요소
EP2951936A1 (en) 2013-01-30 2015-12-09 Telefonaktiebolaget L M Ericsson (publ) Relay device and associated vehicle and method
SG11201506347WA (en) * 2013-02-18 2015-09-29 Touch Networks Australia Pty Ltd Controlling usage of acquirer tokens stored within a merchant system
US20150058203A1 (en) * 2013-08-22 2015-02-26 Ebay Inc Systems and methods for payment authorization using full-duplex communication from browser
EP2854332A1 (en) * 2013-09-27 2015-04-01 Gemalto SA Method for securing over-the-air communication between a mobile application and a gateway
CN103701606B (zh) * 2013-12-25 2017-02-15 中国工商银行股份有限公司 一种基于银行安全证书的企业信息处理方法及系统
SE538681C2 (sv) 2014-04-02 2016-10-18 Fidesmo Ab Koppling av betalning till säker nedladdning av applikationsdata
WO2015162276A2 (en) * 2014-04-24 2015-10-29 Vodafone Ip Licensing Limited Secure token implementation
WO2015171942A1 (en) * 2014-05-07 2015-11-12 Visa International Service Association Enhanced data interface for contactless communications
FR3042675B1 (fr) * 2015-10-15 2017-12-08 Oberthur Technologies Dispositif electronique comprenant un module securise supportant un mode de gestion locale de configuration d'un profil souscripteur
US11107071B2 (en) 2016-02-01 2021-08-31 Apple Inc. Validating online access to secure device functionality
WO2017217808A1 (ko) 2016-06-16 2017-12-21 주식회사 하렉스인포텍 모바일 인증방법 및 그 시스템
CN107067244B (zh) * 2016-11-03 2020-09-29 阿里巴巴集团控股有限公司 业务实现方法、支付方法、业务实现装置及支付服务端
US10812974B2 (en) * 2017-05-06 2020-10-20 Vmware, Inc. Virtual desktop client connection continuity
CN111343635B (zh) * 2018-03-06 2023-07-14 创新先进技术有限公司 支付辅助方法、装置以及设备
CN110138737B (zh) * 2019-04-15 2021-10-15 深圳市纽创信安科技开发有限公司 权限控制方法、权限控制设备、用户设备及系统

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3660101B2 (ja) * 1996-11-14 2005-06-15 松下電器産業株式会社 パーソナル電子決済システム
US20020038420A1 (en) * 2000-04-13 2002-03-28 Collins Timothy S. Method for efficient public key based certification for mobile and desktop environments
WO2001084761A1 (en) 2000-04-28 2001-11-08 Swisscom Mobile Ag Method for securing communications between a terminal and an additional user equipment
US8719562B2 (en) * 2002-10-25 2014-05-06 William M. Randle Secure service network and user gateway
US7103575B1 (en) * 2000-08-31 2006-09-05 International Business Machines Corporation Enabling use of smart cards by consumer devices for internet commerce
CA2319919A1 (en) * 2000-09-15 2002-03-15 Twin Lion Systems Inc. On-line payment system
US20020152179A1 (en) 2000-10-27 2002-10-17 Achiezer Racov Remote payment method and system
US7725427B2 (en) * 2001-05-25 2010-05-25 Fred Bishop Recurrent billing maintenance with radio frequency payment devices
JP2003036406A (ja) 2001-07-23 2003-02-07 Ntt Docomo Inc 電子決済方法、電子決済システム、通信端末、決済装置、プログラムおよび記録媒体
US20020107007A1 (en) * 2002-03-27 2002-08-08 Howard Gerson Method for wireless telephony payment and an apparatus therefor
US7784684B2 (en) 2002-08-08 2010-08-31 Fujitsu Limited Wireless computer wallet for physical point of sale (POS) transactions
EP1629442A1 (en) * 2003-06-04 2006-03-01 Zingtech Limited Transaction processing
US7024396B2 (en) 2003-12-10 2006-04-04 Ncr Corporation Transaction system and method of conducting a point-of-sale transaction between a merchant and a consumer using a wireless platform
JP2007041993A (ja) 2005-08-05 2007-02-15 Nec Corp 決済システム、決済センタ装置、端末装置及びそれらに用いる決済方法並びにそのプログラム
US8275312B2 (en) * 2005-12-31 2012-09-25 Blaze Mobile, Inc. Induction triggered transactions using an external NFC device
US8016192B2 (en) * 2006-06-06 2011-09-13 Motorola Mobility, Inc. User-configurable priority list for mobile device electronic payment applications
KR101561428B1 (ko) * 2007-01-09 2015-10-19 비자 유에스에이 인코포레이티드 비접촉 트랜잭션
US8201218B2 (en) * 2007-02-28 2012-06-12 Microsoft Corporation Strategies for securely applying connection policies via a gateway
US8041338B2 (en) * 2007-09-10 2011-10-18 Microsoft Corporation Mobile wallet and digital payment
US20090106160A1 (en) * 2007-10-19 2009-04-23 First Data Corporation Authorizations for mobile contactless payment transactions
US9195981B2 (en) 2008-10-23 2015-11-24 Ims Health Incorporated System and method for authorizing transactions via mobile devices
US8244643B2 (en) * 2008-11-08 2012-08-14 Fonwallet Transaction Solutions, Inc. System and method for processing financial transaction data using an intermediary service

Also Published As

Publication number Publication date
RU2546549C2 (ru) 2015-04-10
WO2012002852A1 (en) 2012-01-05
CN102971760A (zh) 2013-03-13
EP2589001A1 (en) 2013-05-08
US10007904B2 (en) 2018-06-26
JP2013539567A (ja) 2013-10-24
SG186296A1 (en) 2013-01-30
US20140032411A1 (en) 2014-01-30
EP2589001A4 (en) 2014-01-22
US10248946B2 (en) 2019-04-02
US20130103590A1 (en) 2013-04-25
RU2013103723A (ru) 2014-08-10
CN102971760B (zh) 2017-09-08

Similar Documents

Publication Publication Date Title
JP5396568B2 (ja) 通信をセットアップするための、方法、サーバ、販売者デバイス、コンピュータプログラム及びコンピュータプログラム製品
US11615414B2 (en) Virtualization and secure processing of data
US10922675B2 (en) Remote transaction system, method and point of sale terminal
KR102508836B1 (ko) 접속된 디바이스를 위한 서브토큰 관리 시스템
US20170046696A1 (en) Automated account provisioning
US20130166456A1 (en) System and Method for Remote Payment Based on Mobile Terminal
US11227268B2 (en) Systems and methods for user data management across multiple devices
US10373169B2 (en) Enhancing information security via the use of a dummy credit card number
KR102574524B1 (ko) 원격 거래 시스템, 방법 및 포스단말기
KR101472751B1 (ko) 제휴사 앱을 이용한 결제 제공 방법 및 시스템
KR20110107311A (ko) 모바일 네트워크를 이용한 결제 서비스 시스템 및 그 방법, 그리고 이를 위한 컴퓨터 프로그램
KR101561534B1 (ko) 프로파일 사용과 데이터 준비를 통한 어플리케이션 ota 프로비저닝 관리 시스템 및 방법
KR101505847B1 (ko) 결제 처리를 위한 제휴사 앱 인증 방법
KR20100134200A (ko) 휴대폰 번호를 통한 온라인 결제방법 및 시스템과 이를 위한 기록매체
KR20160017014A (ko) 유심 기반 무선 결제 방법
EA041883B1 (ru) Система и способ для проведения удаленных транзакций с использованием платежного терминала точки продаж
KR20100136362A (ko) 휴대폰 소액결제 처리방법 및 시스템과 이를 위한 서버와 기록매체
KR20120089886A (ko) 휘발성 인증 값을 생성하여 카드 거래를 제공하는 스마트폰과 그 방법

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130807

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131021

R150 Certificate of patent or registration of utility model

Ref document number: 5396568

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees