JP5572755B2 - セントラル・トラスティド・サービス・マネージャーを使用したセキュア・サービス・プロバイダ間からユーザが選択することを可能にすること - Google Patents

Description

《関連出願への相互参照》
本出願は、２０１１年９月１５日に出願された米国仮出願第６１／５３５，３３１号「セントラル・トラスティド・サービス・マネージャーを使用したセキュア・サービス・プロバイダ間からユーザが選択することを可能にすること（Ｅｎａｂｌｉｎｇ Ｕｓｅｒｓ Ｔｏ Ｓｅｌｅｃｔ Ｂｅｔｗｅｅｎ Ｓｅｃｕｒｅ Ｓｅｒｖｉｃｅ Ｐｒｏｖｉｄｅｒｓ Ｕｓｉｎｇ Ａ Ｃｅｎｔｒａｌ Ｔｒｕｓｔｅｄ Ｓｅｒｖｉｃｅ Ｍａｎａｇｅｒ）」の優先権を主張する。上記優先出願の全開示は、参照により本明細書に完全に組み込まれる。

本開示は、モバイル・デバイス・ユーザが安全な取引取引、通信、ならびに他のタスクを完了するために利用可能なトラスティド・サービス・マネージャー（ＴＳＭ）から選択することを可能にするシステムおよび方法に関する。

現在の近距離無線通信（ＮＦＣ）エコシステムは、通信デバイスに取り付けられた「セキュアエレメント（secure element）」と一般的に称される１台のハードウェアに依存し、金融取引、トランジット発券、身分証明ならびに認証、物理的なセキュリティ・アクセス、および他の機能のための安全な動作環境を提供する。セキュアエレメントは、一般に、改ざん防止機能付きマイクロプロセッサ、メモリ、およびオペレーティング・システムを有する専用動作環境を含む。トラスティド・サービス・マネージャー（ＴＳＭ）は、他の要素の中に、セキュアエレメントを取り付け、セットアップし、個人化する。セキュアエレメントは、通常は製造時に取り付けされる１つまたは複数のキーを有する。対応するキーはＴＳＭによって共有され、それによってＴＳＭは、セキュアエレメントを有するデバイスをエンド・ユーザが保有している間、セキュアエレメントの取り付け、セットアップ、および個人化するために、セキュアエレメントに暗号によるセキュア・チャネルを確立することができる。このようにして、セキュアエレメントは、デバイス内のホストＣＰＵが危険にさらされた場合でも、安全を維持することができる。

現在のＮＦＣシステムが有する問題は、セキュアエレメントとＴＳＭとの間で密接な結合が存在することである。現在の配置では、ただ１つのＴＳＭのみが、特定のセキュアエレメントのキーへのアクセスを有する。したがって、エンド・ユーザは、１つのＴＳＭのみから供給されるセキュアエレメント機能をセットアップすることしか選ぶことができない。通常は、このＴＳＭは、デバイスの製造者によって選ばれる。例えば、スマート・フォンの製造者は、エンド・ユーザではなく、スマート・フォンを購入するＳＰＲＩＮＴやＶＥＲＩＺＯＮ等のモバイル・ネットワーク・オペレータ（ＭＮＯ）からの指針の下で、スマート・フォンに対してＴＳＭを選択する可能性がある。したがって、エンド・ユーザに利用可能なＴＳＭ機能は、エンド・ユーザの関心の範囲外である可能性がある。一例として、ＭＮＯは、ＭＡＳＴＥＲカードやバンク・オブ・アメリカ等の１つの決済プロバイダのみとビジネス関係を有する可能性がある。そのＴＳＭは、セキュアエレメントが１つの決済プロバイダのみからの決済命令でセットアップされることを可能にすることができる。したがって、エンド・ユーザは、ＶＩＳＡ等の他の決済プロバイダからのサービスにアクセスすることはできないであろう。

一例示的な実施形態において、セキュアエレメントを有するネットワーク・デバイスに安全なサービスを提供するための方法は、セキュアエレメントに対する少なくとも１つの暗号化キーを維持するコンピュータを含む。少なくとも１つの暗号化キーは、安全な通信チャネルを介して、セキュアエレメントへの安全なアクセスを提供するよう動作可能である。コンピュータは、ネットワーク・デバイスから、セキュア・サービス・プロバイダの選択を受信する。コンピュータは、選択を受信したことに応じて、選択されたセキュア・サービス・プロバイダに少なくとも１つの暗号化キーを送信する。

例示的な実施形態のこれら、および他の態様、目的、特徴、ならびに利点は、現時点で考え得る発明を実行する最良の態様を含む、図示される例示的な実施形態の以下の詳細な記述の考慮時に当業者に明らかとなるであろう。

一例示的な実施形態による、近距離無線通信（ＮＦＣ）システムの図である。 一例示的な実施形態による、図１のＮＦＣシステムにおけるセキュア・サービス・プロバイダを変更するための方法を示すブロック図である。 一例示的な実施形態による、他のＮＦＣシステムの図である。 一例示的な実施形態による、図３のＮＦＣシステムにおけるセキュア・サービス・プロバイダを変更するための方法を示すブロック図である。

本明細書に記載された方法およびシステムは、携帯電話等の通信デバイスのエンド・ユーザがセキュア・サービス・プロバイダを選択し、通信デバイスに記憶されたセキュアエレメントと共に使用することを可能にする。一実施形態において、システムは、１人または複数のユーザおよび１つまたは複数のセキュア・サービス・プロバイダに対し暗号化キーを管理するキー・エスクロー・サービス（key escrow service）を含む。通常は、セキュアエレメントおよびセキュアエレメントに対する１つまたは複数の暗号化キーは、通信デバイスが製造された時に、各ユーザ通信デバイスに取り付けられる。これらのキーまたは対応するキーは、キー・エスクロー・サービスに提供される。各ユーザデバイスはまた、利用可能なセキュア・サービス・プロバイダ間からユーザが選択することを可能にする、サービス・プロバイダ・セレクター（ＳＰＳ）モジュール、またはソフトウェア・アプリケーションを含む。ＳＰＳは、セキュア・チャネルを介して、選択されたサービス・プロバイダを識別する情報を、ユーザの選択に応じて、キー・エスクロー・サービスに送信する。キー・エスクロー・サービスは、ユーザのセキュアエレメントに対するキーを、選択されたセキュア・サービス・プロバイダのトラスティド・サービス・マネージャー（ＴＳＭ）に提供する。キー・エスクロー・サービスはまた、ユーザの以前のセキュア・サービス・プロバイダのＴＳＭから、ユーザのセキュアエレメントに対するキーを破棄する。さらに、ＳＰＳは、以前のセキュア・サービス・プロバイダ等の認められていないセキュア・サービス・プロバイダが、セキュアエレメントにアクセスすることを防ぐことができる。

他の実施形態において、セントラルＴＳＭは、他のセキュア・サービス・プロバイダの代わりにセットアップするビジネス・ロジックおよびアプリケーションを実行する。選択されたセキュア・サービス・プロバイダに暗号化キーを配信するのではなく、セントラルＴＳＭは、選択されたセキュア・サービス・プロバイダと、通信デバイスに取り付けられたセキュアエレメントとの間でプロキシの役目を果たす。

本明細書に記載された例示的なシステムおよび方法は、ただ１つのセキュア・サービス・プロバイダのサービスにしかユーザがアクセスできないという、従来のＮＦＣシステムの欠陥を克服する。１つのセキュア・サービス・プロバイダによって提供される機能性やサービスに限定されるのではなく、ユーザは、複数のセキュア・サービス・プロバイダから選択することができる。例えば、セキュア・サービス・プロバイダが、特定のブランドのクレジット・カードを介した決済を行う等の、ユーザの望むサービスを提供しない場合、ユーザは、それらサービスを提供するセキュア・サービス・プロバイダを選択することができる。

例示的な実施形態の１つまたは複数の態様は、本明細書に記載され、図示された機能を具体化するコンピュータ・プログラムを含むことができ、コンピュータ・プログラムは、コンピュータ可読メディアに記憶された命令を備えるコンピュータ・システムおよび命令を実行するプロセッサ内に実装される。しかしながら、コンピュータ・プログラミングにおける例示的な実施形態を実現する多くの異なる方法が存在し、例示的な実施形態は、任意の１セットのコンピュータ・プログラム命令に限定されると解釈されるべきではないことを明らかとするべきである。さらに、熟練プログラマーは、そのようなコンピュータ・プログラムを書き、添付のフロー・チャート、および出願文の関連記述に基づいて、一実施形態を実装することができるであろう。したがって、特定のセットのプログラム・コード命令の開示は、例示的な実施形態の作成および使用方法の適切な理解が必要であると必ずしも考えられない。さらに、コンピュータによって実行される動作へのどんな言及も、２つ以上のコンピュータによって動作を実行することができるように、単一のコンピュータによって実行されると解釈されるべきではない。例示的な実施形態の機能性は、プログラム・フローを図示する図と共に読むことで、以下の記述においてより詳細に説明されるであろう。

ここで図面を参照すると、図全体を通して同様の番号が同様の（だが、必ずしも同一ではない）要素を示し、例示的な実施形態が詳細に記載される。

《システム・アーキテクチャー》
図１は、一例示的な実施形態による、近距離無線通信（ＮＦＣ）システム１００を示す。図１に示すように、システム１００は、１つまたは複数のエンド・ユーザ・ネットワーク・デバイス１１０、１つまたは複数のアプリケーション・プロバイダ１８０、キー・エスクロー・サービス１５０、モバイル・ネットワーク・オペレータ（ＭＮＯ）１３０、および複数のセキュア・サービス・プロバイダ１６０を含む。アプリケーション・プロバイダ１８０、キー・エスクロー・サービス１５０、およびセキュア・サービス・プロバイダ１６０のそれぞれは、インターネット１４０を介して通信するよう構成されたネットワーク・デバイスを含む。例えば、アプリケーション・プロバイダ１８０、キー・エスクロー・サービス１５０、およびセキュア・サービス・プロバイダ１６０のそれぞれは、サーバ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、タブレット・コンピュータ、スマート・フォン、ハンドヘルド・コンピュータ、携帯情報端末（ＰＤＡ）、または任意の他の有線もしくは無線のプロセッサ駆動デバイスを含んでもよい。一実施形態において、キー・エスクロー・サービス１５０は、利用可能なセキュア・サービス・プロバイダ１６０から、変更（または、選択）するよう要求を受信するための第１のネットワーク通信モジュールと、暗号化キー１２０をセキュア・サービス・プロバイダ１６０に送信するための第２のネットワーク通信モジュールとを含む（または、それらに通信可能に結合される）。第１および第２のネットワーク通信モジュールは、同じか、または異なるネットワーク通信モジュールとすることができる。

エンド・ユーザ・ネットワーク・デバイス１１０は、携帯電話、スマート・フォン、ＰＤＡネットブック・コンピュータ、ラップトップ・コンピュータ、タブレット・コンピュータ、または任意の他の有線もしくは無線のプロセッサ駆動デバイスとすることができる。図１に示すように、エンド・ユーザ・ネットワーク・デバイス１１０は、ＭＮＯ１３０を介してインターネット１４０にアクセスする。ＭＮＯの例には、ＶＥＲＩＺＯＮ、ＳＰＲＩＮＴ、およびＡＴ＆Ｔがある。ＭＮＯは、３Ｇもしくは４Ｇモバイル通信ネットワーク等のモバイル・ネットワーク（図示しない）を介して、インターネット・アクセスをエンド・ユーザ・ネットワーク・デバイス１１０に提供する。当然、エンド・ユーザ・ネットワーク・デバイス１１０は、インターネット・プロバイダと接続するＷｉ−Ｆｉ等の他の機構を介してインターネット１４０にアクセスすることができる。

エンド・ユーザ・ネットワーク・デバイス１１０のそれぞれは、１つまたは複数の暗号化キー１２０、ＮＦＣコントローラー１１２、ＮＦＣアンテナ１１３、ホストＣＰＵ１１４、およびＳＰＳ１１５を有するセキュアエレメント１１１を含む。ＮＦＣコントローラー１１２およびＮＦＣアンテナ１１３は、エンド・ユーザ・ネットワーク・デバイス１１０が、他のＮＦＣ可能デバイス（図示しない）と通信することを可能にする。例えば、エンド・ユーザ・ネットワーク・デバイス１１０は、ＮＦＣ可能なマーチャント販売時点情報管理（ＰＯＳ）デバイス、発券デバイス、セキュリティ・デバイス、および他のエンド・ユーザ・ネットワーク・デバイス１１０と通信することができる。

ホストＣＵＰ１１４は、エンド・ユーザ・ネットワーク・デバイス１１０に記憶されたアプリケーションを実行する。例えば、ホストＣＰＵ１１４は、ＮＦＣコントローラー１１２と相互通信するアプリケーションを実行することができ、そのようなアプリケーションには、ＮＦＣ可能発券ＰＯＳを介してトランジット設備ならびにイベントをユーザが入力することを可能にするＮＦＣ可能ＰＯＳまたはトランジットならびにイベント発券アプリケーションを介しての購入を、エンド・ユーザ・ネットワーク・デバイス１１０を操作するユーザが完了することを可能にするＮＦＣ決済アプリケーション等がある。身分証明、認証、セキュリティ、およびクーポン切り抜き（coupon clipping）ならびに買い戻しアプリケーション（redemption applications）を含む他のアプリケーションはまた、ＮＦＣコントローラー１１２およびＮＦＣアンテナ１１３と接続するホストＣＰＵ１１４によって実行されるために、エンド・ユーザ・ネットワーク・デバイス１１０に記憶することができる。

各アプリケーションは、それぞれアプリケーション・プロバイダ１８０によって提供することができる。例えば、クレジット・カード会社は、クレジット・カード決済アプリケーションを提供することができ、トランジットもしくは他の発券会社は、チケット販売および買い戻しアプリケーションを提供することができ、製造者、小売業者、または商品やサービスを販売する他の事業体は、クーポン・アプリケーションを提供することができ、認証会社は、ユーザ認証アプリケーションを提供することができる。

通常は、ＮＦＣアプリケーションは、セキュリティ目的のために、エンド・ユーザ・ネットワーク・デバイス１１０のセキュアエレメント１１１内に記憶される。セキュアエレメント１１１は、ＮＦＣ（または、他の）アプリケーションに対して安全な動作環境を提供する。通常は、セキュアエレメント１１１は、改ざん防止機能付きマイクロプロセッサ、オペレーティング・システム、および決済証明書等の情報を記憶するメモリを有する専用動作環境を含む。セキュアエレメント１１１は、エンド・ユーザ・ネットワーク・デバイス１１０の固定チップ、加入者同定モジュール（ＳＩＭ）カード、汎用集積回路カード（ＵＩＣＣ）、取り外し可能スマート・チップ、または、ｍｉｃｒｏＳＤ等のメモリーカード内にあってもよい。セキュアエレメント１１１はまた、セキュアエレメント１１１が取り付けられたカードもしくはチップの読込み専用メモリ（ＲＯＭ）、レディ・アクセス・メモリ（ＲＡＭ）、およびＥＥＰＲＯＭフラッシュ・メモリを管理するメモリコントローラーを含む。

通常は、セキュア・サービス・プロバイダ１６０は、ＮＦＣ非接触アプリケーション・サービス等のアプリケーションおよびサービスを安全に配信し、管理する際に、アプリケーション・プロバイダ１８０および他のサービス・プロバイダを助ける仲介役として働く。通常は、セキュア・サービス・プロバイダ１６０のＴＳＭ１７０は、アプリケーションのホストとして働き、セキュアエレメント１１１にアプリケーションを取り付け、セットアップする。図１に示すように、各ＴＳＭ１７０は、ユーザのセキュアエレメント１１１に対するキー１２０を受信し、記憶し、さらに使用することができる。キー１２０を有することによって、ＴＳＭ１７０は、安全で暗号化された通信チャネルを介してセキュアエレメント１１１にアクセスし、セキュアエレメント１１１内にアプリケーションを取り付ける、セットアップ、およびカスタマイズすることができる。セキュア・サービス・プロバイダ１６０の例としては、ＧＥＭＡＬＴＯおよびＦＩＲＳＴ ＤＡＴＡがある。

一例示的な実施形態において、セキュア・サービス・プロバイダ１６０は、セキュアエレメント１１１と通信する場合に、ホストＣＰＵ１１４およびＮＦＣコントローラー１１２を介さない。例えば、あるＵＩＣＣ／ＳＩＭセキュアエレメントにおいて、セキュア・サービス・プロバイダ１６０は、エンド・ユーザ・ネットワーク・デバイス１１０に取り付けられた無線ＣＰＵ（図示しない）を介して、セキュアエレメント１１１と通信する。したがって、ＮＦＣコントローラー１１２およびホストＣＰＵ１１４の関与は、一例示的な実施形態におけるセキュアエレメント１１１のアプリケーションをセットアップする間、オプションとすることができる。一例示的な実施形態において、ホストＣＰＵ１１４および無線ＣＰＵは、互いと相互通信し、セキュアエレメント１１１へのアクセス制御を調整する。

キー・エスクロー・サービス１５０は、セキュアエレメント１１１のためのキー１２０を維持する。キー・エスクロー・サービス１５０はまた、例えば、ユーザの選択に応じて、キーをＴＳＭ１７０に配信する。例えば、ユーザが第１のセキュア・サービス・プロバイダ１６０Ａから第２のセキュア・サービス・プロバイダ１６０Ｂに切り替えることを選ぶ場合、キー・エスクロー・サービス１５０は、第１のＴＳＭ１７０Ａからキー１２０を破棄し、第２のＴＳＭ１７０Ｂにキー１２０を提供する。次いで、第２のＴＳＭ１７０は、ユーザのネットワーク・デバイス１１０のセキュアエレメント１１１にアクセスすることができる。

ＳＰＳ１１５は、ソフトウェアおよび／またはハードウェア内に実装され、エンド・ユーザ・ネットワーク・デバイス１１０のユーザが、キー・エスクロー・サービス１５０を介して、セキュア・サービス・プロバイダ１６０を選択または変更することを可能にする。ＳＰＳ１１５は、ユーザがセキュア・サービス・プロバイダ１６０を選択することを可能にするユーザ・インターフェースを提供する。ユーザの選択に応じて、ＳＰＳ１１５は、選択されたセキュア・サービス・プロバイダ１６０に関する情報を、キー・エスクロー・サービス１５０に送信する。キー・エスクロー・サービス１５０はまた、１つまたは複数の異常経路機構(off-path mechanism)を介して選択を確認することができる。ＳＰＳ１１５、キー・エスクロー・サービス１５０、および例示的なシステム１００の他の構成要素は、図２に示す方法を参照して以下により詳細に記載する。

図３は、ある代替の例示的な実施形態による他のＮＦＣシステム３００を示す。例示的なシステム３００は、システム１００と同じ構成要素を多く含み、１つまたは複数のエンド・ユーザ・ネットワーク・デバイス１１０、１つまたは複数のアプリケーション・プロバイダ１８０、ＭＮＯ１３０、および複数のセキュア・サービス・プロバイダ１６０を含む。しかしながら、キー・エスクロー・サービス１５０ではなく、システム３００は、中央管理ＴＳＭ３５０を含む。管理ＴＳＭ３５０は、インターネット１４０と通信するよう構成されたネットワーク・デバイスを含み、そのようなネットワーク・デバイスには、サーバ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、タブレット・コンピュータ、スマート・フォン、ハンドヘルド・コンピュータ、ＰＤＡ、または他の有線もしくは無線のプロセッサ駆動デバイス等がある。キー・エスクロー・サービス１５０と同様に、管理ＴＳＭ３５０は、セキュアエレメント１１１に対するキー１２０を維持し、エンド・ユーザ・ネットワーク・デバイス１１０を操作するユーザが、複数のセキュア・サービス・プロバイダ１６０から選択することを可能にする。選択されたＴＳＭ１７０にキー１２０を配信するのではなく、管理ＴＳＭ３５０は、選択されたセキュア・サービス・プロバイダ１６０の代わりに、セキュアエレメント１１１と相互通信することができる。すなわち、管理ＴＳＭ３５０は、セキュアエレメント１１１に取り付けされるアプリケーションを取り付けし、セットアップし、さらにそのようなアプリケーションと相互通信することができる。または、管理ＴＳＭ３５０は、選択されたＴＳＭ１７０とセキュアエレメント１１１との間で安全な通信チャネルを確立する（または、終端する）ことができ、選択されたＴＳＭ１７０は、セキュアエレメント１１１と相互通信することができる。この安全な通信チャネルは、セキュアエレメント１１１と関連づけられていない別のキーで暗号化することができ、各セキュア・サービス・プロバイダ１６０に固有とすることができる。管理ＴＳＭ３５０はまた、セキュア・サービス・プロバイダ１６０の代わりにビジネス・ロジックを実行することができる。管理ＴＳＭ３５０、および図３の他の構成要素は、図４に示す方法を参照して以下により詳細に記載する。

《システム処理》
図２は、図１のＮＦＣシステム１００におけるセキュア・サービス・プロバイダを変更するための方法２００を示すブロック図である。方法２００は、図１で図示した構成要素を参照して記載される。

ブロック２０５では、１つまたは複数の安全な暗号化キー１２０が、セキュアエレメント１１１に対して提供される。一例示的な実施形態において、セキュアエレメント１１１およびそのキー１２０は、製造時点で、エンド・ユーザ・ネットワーク・デバイス１１０に取り付けられる。一例示的な実施形態において、セキュアエレメント１１１およびそのキー１２０は、エンド・ユーザ・ネットワーク・デバイス１１０に後で取り付けられる、ＳＩＭカードやｍｉｃｒｏＳＤカード等の、取り外し可能なカードまたはチップに取り付けられる。

ブロック２１０では、セキュアエレメント１１１に対するキー１２０または対応するキーが、キー・エスクロー・サービス１５０に提供される。これらのキー１２０は、キー・エスクロー・サービス１５０（または、キー１２０を受信する他の実体）が、セキュアエレメント１１１と安全な通信チャネルを生成し、およびセキュアエレメント１１１へのアクセス権を得ることを可能にする。任意選択的に、キー１２０はまた、セキュア・サービス・プロバイダ１６０のＴＳＭ１７０に提供される。従来は、セキュア・サービス・プロバイダ１６０、およびセキュアエレメント１１１に対するＴＳＭ１７０は、通常は、エンド・ユーザ・ネットワーク・デバイス１１０を購入するＭＮＯ１３０からの指針の下で、エンド・ユーザ・ネットワーク・デバイス１１０の製造者によって選択される。この場合、キー１２０は、そのＴＳＭ１７０に提供することができる。あるいは、キー１２０は、キー・エスクロー・サービス１５０のみに提供される。この場合、エンド・ユーザ・ネットワーク・デバイス１１０を操作するユーザ（または、ＭＮＯ１３０等の他の実体）は、ＳＰＳ１１５を使用して、セキュア・サービス・プロバイダ１６０の初期選択をすることができる。

ブロック２１５では、ユーザは、ＳＰＳ１１５を使用して、セキュア・サービス・プロバイダ１６０を、したがって、ＴＳＭ１７０を選択する。例えば、ユーザは、エンド・ユーザ・ネットワーク・デバイス１１０を使用して、ＳＰＳ１１５にアクセスすることができる。ＳＰＳ１１５は、利用可能なセキュア・サービス・プロバイダ１６０、および、任意選択的に、セキュア・サービス・プロバイダ１６０によってサポートされたサービスを一覧表示するユーザ・インターフェースを提示することができる。例えば、ＳＰＳ１１５は、各セキュア・サービス・プロバイダ１６０によって非接触取引がサポートされる金融機関を表示することができる。他の例において、ＳＰＳ１１５は、各利用可能なセキュア・サービス・プロバイダ１６０によってセットアップされ、サポートされるアプリケーションを表示することができる。さらに他の例において、ＳＰＳ１１５は、ユーザが、セキュア・サービス・プロバイダ１６０を、それらの機能とサービスに基づいて、検索することを可能にする検索機能を提供することができる。ユーザが適切なセキュア・サービス・プロバイダ１６０を見つけると、ユーザは、ＳＰＳ１１５を使用して、セキュア・サービス・プロバイダ１６０を選択することができる。

ブロック２２０では、ＳＰＳ１１５は、選択されたサービス・プロバイダ１６０を使用するための要求を、ユーザの選択に応じて、キー・エスクロー・サービス１５０に送信する。通常は、要求は、選択されたセキュア・サービス・プロバイダ１６０を識別する情報を含む。要求を受信したことに応じて、キー・エスクロー・サービス１５０は要求を処理する。

ブロック２２５では、キー・エスクロー・サービス１５０は、異常経路確認プロシージャを実行し、選択されたセキュア・サービス・プロバイダ１６０を使用するための要求を、ユーザが開始したことを確認する。このブロック２２５はオプションであり、ＳＰＳ１１５／キー・エスクロー・サービス１５０システムに対する追加レベルのセキュリティを提供し、例えば、エンド・ユーザ・ネットワーク・デバイス１１０を紛失した、または盗まれた場合に、この機能に他の人間がアクセスすることを防ぐ。

一実施形態において、異常経路確認プロシージャは、エンド・ユーザ・ネットワーク・デバイス１１０を通じてではなく別の通信チャネルを介して要求がなされたことをユーザに通信するキー・エスクロー・サービス１５０を含む。例えば、キー・エスクロー・サービス１５０は、ＳＭＳテキスト・メッセージを、ユーザの携帯電話に送信して、要求がなされたことを指摘することができる。または、キー・エスクロー・サービス１５０は、要求がなされたというメッセージで、ユーザに電話をかけてもよい。テキスト・メッセージまたはボイス・メッセージは、ユーザが要求をしていない場合、ある電話番号にかけるよう、ユーザに指示することができる。キー・エスクロー・サービス１５０はまた、ユーザが要求を確認することを要求する可能性がある。例えば、テキスト・メッセージは、テキスト・メッセージに応答すること、キー・エスクロー・サービス１５０のウェブ・サイトにアクセスすること、または、キー・エスクロー・サービス１５０に電話して要求を確認することをユーザに指示することができる。また、ユーザへのメッセージ内にコードを提供してもよく、ユーザは、要求を確認するために、電話を介して、またはウェブ・サイトを介して、そのコードを入力することを要求される可能性がある。

ブロック２３０では、他のＴＳＭ１７０が、セキュアエレメント１１１に対するキー１２０を処理する場合、キー・エスクロー・サービス１５０が、その以前のＴＳＭ１７０からのキー１２０を破棄する。一実施形態において、キー・エスクロー・サービス１５０は、メッセージ、例えばＳＭＳテキスト・メッセージを以前のＴＳＭ１７０に送り、ＴＳＭがキー１２０を破棄するよう要求する。セキュア・サービス・プロバイダ１６０は、そのような要求に応じて、契約の下で、キー１２０を破棄するよう強制することができる。

他の実施形態において、キー・エスクロー・サービス１５０は、セキュアエレメント１１１に以前のＴＳＭ１７０をブロックするよう指示することによって、以前のＴＳＭ１７０からのキー１２０を破棄する。セキュアエレメント１１１は、セキュアエレメント１１１にアクセスしようとするＴＳＭ１７０を識別するプログラム・コードと、許可されたおよび／またはブロックされたＴＳＭ１７０のリストとを含むことができる。ＴＳＭ１７０がセキュアエレメント１１１にアクセスしようとする場合、セキュアエレメント１１１は、そのＴＳＭ１７０を識別する情報と、アクセスを承認するかどうかを判断するためのリストとを比較することができる。キー・エスクロー・サービス１５０はまた、以前のＴＳＭ１７０に要求を送り、以前のＴＳＭがキー１２０を破棄することを要求することができる。当然、ユーザがそのＴＳＭ１６０に対するセキュア・サービス・プロバイダ１６０を再選択する場合、ブロックされたＴＳＭ１７０をブロック解除することができる。例えば、キー・エスクロー・サービス１５０は、セキュアエレメント１１１にメッセージを送り、セキュアエレメント１１１がＴＳＭ１７０をブロック解除することを要求することができる。

さらに他の実施形態において、キー・エスクロー・サービス１５０は、マスター・キーおよびＴＳＭ固有キーの使用を介して、以前のＴＳＭ１７０からのキー１２０を破棄する。ＴＳＭ固有キーは、各利用可能なＴＳＭに対する、または選択されたＴＳＭ１７０に対するセキュアエレメント１１１に提供してもよい。ＴＳＭ固有キーはまた、それぞれのＴＳＭ１７０に配信される。ＴＳＭ固有キーは、製造時にセキュアエレメント１１１に予め組み込むことができ、キー・エスクロー・サービス１５０によって、後日、取り付けるすることができ、または、ユーザがＴＳＭ１７０を選択したことに応じて、キー・エスクロー・サービス１５０によって取り付けるすることができる。セキュアエレメント１１１は、ＴＳＭ固有キーが有効であるか無効であるかを制御することができる。例えば、セキュア・サービス・プロバイダ１６０Ａからセキュア・サービス・プロバイダ１６０Ｂに切り替えるようユーザが要求する場合、ＳＰＳ１１５は、セキュアエレメント１１１のキー管理アプレットまたはモジュール（図示しない）にこの要求を通信する（さらに、選択されたＴＳＭ１７０Ｂを識別する）。キー管理アプレットは、要求に応じて、ＴＳＭ１７０Ｂに対するＴＳＭ固有キーを有効にし、ＴＳＭ１７０Ａに対するＴＳＭ固有キーを無効にする。この時点で、セキュアエレメント１１１は、ＴＳＭ１７０Ｂへのアクセスを許可し、ＴＳＭ１７０Ａからのアクセスをブロックする。

ブロック２３５では、セキュアエレメント１１１に記憶した以前のＴＳＭ１７０および／または以前のセキュア・サービス・プロバイダ１６０に関連した情報は、セキュアエレメント１１１から除去される。例えば、以前のＴＳＭ１７０と関連づけられた決済カード証明書は、そのＴＳＭ１７０がセキュアエレメント１１１と共に使用されている間は、セキュアエレメント１１１に記憶することができる。それらの証明書は、他のＴＳＭ１７０がセキュアエレメント１１１にアクセスすることが可能になる前に、セキュアエレメント１１１から除去される。さらに、以前のＴＳＭ１７０に対するセキュアエレメント１１１に取り付けるされたいずれのアプリケーションもアン取り付けるされる。一例示的な実施形態において、キー・エスクロー・サービス１５０は、セキュアエレメント１１１のアプレットまたはモジュール、例えば、カード管理アプレットにコマンドを送り、以前のＴＳＭ１７０に関連した情報を除去する。

ブロック２４０では、キー・エスクロー・サービス１５０が、選択されたセキュア・サービス・プロバイダ１６０のＴＳＭ１７０にキー１２０を送信する。通常は、この伝送は、安全な通信チャネルを介してなされる。例えば、キー・エスクロー・サービス１５０は、暗号化された通信チャネルを介して、選択されたＴＳＭ１７０にキー１２０を送ることができる。ブロック２４５では、選択されたＴＳＭ１７０が、キー１２０を受信する。

一例示的な実施形態において、キー・エスクロー・サービス１５０は、以前のＴＳＭ１７０に関連した情報およびアプリケーションが、セキュアエレメント１１１から除去されたことの確認を受信するまで、選択されたセキュア・サービス・プロバイダ１６０のＴＳＭ１７０にキー１２０を送信することを遅らせる。いくつかの実施形態において、キー・エスクロー・サービス１５０は、選択されたセキュア・サービス・プロバイダ１６０を使用することをユーザが要求したという、ユーザからの異常経路確認を受信しない場合、選択されたセキュア・サービス・プロバイダ１６０のＴＳＭ１７０にキー１２０を送信しない可能性がある。

ブロック２５０では、選択されたセキュア・サービス・プロバイダ１６０のＴＳＭ１７０は、受信したキー１２０を使用して、セキュアエレメント１１１と安全な通信チャネルを生成しようとする。一実施形態において、ＴＳＭ１７０は、暗号化されたメッセージをセキュアエレメント１１１に送り、セキュアエレメント１１１へのアクセスを要求する。ＴＳＭ１７０は、受信したキー１２０を使用して、メッセージに暗号化アルゴリズムを実行することによって、メッセージを暗号化する。

ブロック２５５では、セキュアエレメント１１１が、ＴＳＭ１７０へのアクセスを承認するかどうかを判断する。一実施形態において、セキュアエレメント１１１のプロセッサは、セキュアエレメント１１１に記憶したキー１２０を使用して、受信したメッセージに暗号化アルゴリズムを実行し、ＴＳＭ１７０へのアクセスを承認するかどうかを判断する。

一例示的な実施形態において、ＳＰＳ１１５は、セキュアエレメント１１１がＴＳＭ１７０を検証する前に、ＴＳＭ１７０へのアクセスを承認するかどうかについて初期決定をする。例えば、エンド・ユーザ・ネットワーク・デバイス１１０が、セキュアエレメント１１１へアクセスするための要求を受信すると、要求がセキュアエレメント１１１に通される前に、ＳＰＳ１１５は要求を評価して、要求を送出したＴＳＭ１７０が、ユーザが選択したＴＳＭ１７０であるかどうかを判断することができる。要求を送出したＴＳＭ１７０が選択されたＴＳＭ１７０であるとＳＰＳ１１５が判断すると、次いで、セキュアエレメント１１１は、ブロック２５５の動作により、要求を検証することができる。

セキュアエレメント１１１がＴＳＭ１７０へのアクセスを承認すると、方法２００は、ブロック２６５への“はい”枝に続く。一方、セキュアエレメント１１１がＴＳＭ１７０はブロックすべきであると判断すると、方法２００はブロック２６０への”いいえ”枝に続く。

ブロック２６０では、セキュアエレメント１１１は、ＴＳＭ１７０をセキュアエレメント１１１にアクセスすることからブロックする。セキュアエレメント１１１はまた、メッセージをＴＳＭ１７０に送り、ＴＳＭ１７０はアクセスを承認されなかったことをＴＳＭ１７０に通知することができる。

ブロック２６５では、ＴＳＭ１７０は、セキュアエレメント１１１でサービスをセットアップする。ＴＳＭ１７０は、セキュアエレメント１１１に、１つまたは複数のアプリケーション、およびそれらアプリケーションと共に使用するための証明書を送信することができる。アプリケーションは、ユーザによって選択することができる。例えば、ユーザは、アプリケーションを、アプリケーション・プロバイダ１８０から要求することができる。それに応じて、アプリケーション・プロバイダ１８０は、ユーザのセキュアエレメント１１１にアプリケーションを取り付けるするよう、ＴＳＭ１７０に要求する。アプリケーション・プロバイダ１８０はまた、セキュアエレメント１１１で記憶するために、ユーザに関する情報またはユーザのアカウント情報をＴＳＭ１７０提供することができる。例えば、クレジット・カード会社は、セキュアエレメント１１１に取り付けるする／記憶するために、決済アプリケーション、およびユーザの決済アカウントに関する情報をＴＳＭ１７０に提供することができる。一例示的な実施形態において、ユーザは、キー・エスクロー・サービス１５０またはセキュア・サービス・プロバイダ１６０から、アプリケーションを要求することができる。

ブロック２７０では、ユーザは、１つまたは複数のアプリケーション・プロバイダ１８０と関連して、選択されたセキュア・サービス・プロバイダ１６０によって提供されたサービスにアクセスする。例えば、アプリケーション・プロバイダ１８０がクレジット・カード会社である場合、ユーザは、ＮＦＣ可能ＰＯＳでエンド・ユーザ・ネットワーク・デバイス１１０を使用して、購入を完了することができる。ＮＦＣコントローラー１１２は、セキュアエレメント１１１と安全に相互通信して、決済証明書をセキュアエレメント１１１から得ることができ、さらに、ＮＦＣアンテナ１１３を介して、ＮＦＣ可能ＰＯＳにそれら証明書を提供することができる。

ブロック２７０の後、方法２００は終了する。当然、ユーザは、選択されたセキュア・サービス・プロバイダ１６０によって提供されたサービスにアクセスを続けることができ、他のセキュア・サービス・プロバイダ１６０に切り替えることができる。

図４は、一例示的な実施形態による、図３のＮＦＣシステム３００におけるセキュア・サービス・プロバイダを変更するための方法４００を示すブロック図である。方法４００は、図３で図示した構成要素を参照して記載される。

ブロック４０５では、１つまたは複数の安全な暗号化キー１２０が、セキュアエレメント１１１に対して提供される。一例示的な実施形態において、セキュアエレメント１１１およびそのキー１２０は、製造時点で、エンド・ユーザ・ネットワーク・デバイス１１０に取り付けられる。一例示的な実施形態において、セキュアエレメント１１１およびそのキー１２０は、エンド・ユーザ・ネットワーク・デバイス１１０に後で取り付けられる、ＳＩＭカードやｍｉｃｒｏＳＤカード等の、取り外し可能なカードまたはチップに取り付けられる。

ブロック４１０では、セキュアエレメント１１１に対するキー１２０または対応するキーが、管理ＴＳＭ３５０に提供される。これらのキー１２０は、管理ＴＳＭ３５０（または、キー１２０を受信する他の実体）が、セキュアエレメント１１１と安全な通信チャネルを生成し、およびセキュアエレメント１１１へのアクセス権を得ることを可能にする。

ブロック４１５では、ユーザは、ＳＰＳ１１５を使用して、セキュア・サービス・プロバイダ１６０を選択する。このブロック４１５は、図２で図示し、上記したブロック２１５と同じか同様とすることができる。ブロック４２０では、ＳＰＳ１１５は、選択されたサービス・プロバイダ１６０を使用するための要求を、ユーザの選択に応じて、管理ＴＳＭ３５０に送信する。通常は、要求は、選択されたセキュア・サービス・プロバイダ１６０を識別する情報を含む。要求を受信したことに応じて、管理ＴＳＭ３５０は要求を処理する。

ブロック４２５では、管理ＴＳＭ３５０は、異常経路確認プロシージャを実行し、選択されたセキュア・サービス・プロバイダ１６０を使用するための要求を、ユーザが開始したことを確認する。このブロックはオプションであり、上記した図２のブロック２２５と実質的に同様である。しかしながら、管理ＴＳＭ３５０は、キー・エスクロー・サービス１５０ではなくブロック４２５で異常経路確認を実行する。

ブロック４３０では、以前のＴＳＭ１７０および／または以前のセキュア・サービス・プロバイダ１６０に関連した、セキュアエレメント１１１に記憶した情報は、セキュアエレメント１１１から除去される。例えば、以前のＴＳＭ１７０と関連づけられた決済カード証明書は、そのＴＳＭ１７０がセキュアエレメント１１１と共に使用されている間は、セキュアエレメント１１１に記憶することができる。それらの証明書は、他のＴＳＭ１７０がセキュアエレメント１１１にアクセスすることが可能になる前に、セキュアエレメント１１１から除去される。さらに、以前のＴＳＭ１７０に対するセキュアエレメント１１１に取り付けられたいずれのアプリケーションも取りはずされる。一例示的な実施形態において、管理ＴＳＭ３５０は、セキュアエレメント１１１のアプレットまたはモジュール、例えば、カード管理アプレットにコマンドを送り、以前のＴＳＭ１７０に関連した情報を除去する。

ブロック４３５では、管理ＴＳＭ３５０は、ユーザが選択したセキュア・サービス・プロバイダ１６０と安全な通信チャネルを生成する。この安全な通信チャネルは、例えば、キー１２０とは異なる１つまたは複数の暗号化キーを使用して、暗号化することができる。本開示の利点を有する当業者によって理解されるであろうように、他の暗号化技術を使用してもよい。

ブロック４４０では、管理ＴＳＭ３５０は、選択されたセキュア・サービス・プロバイダ１６０に、ユーザがそのセキュア・サービス・プロバイダ１６０のサービスにアクセスするよう要求したと通知する。管理ＴＳＭ３５０はまた、ユーザの代わりに、セキュア・サービス・プロバイダ１６０から１つまたは複数のアプリケーションを要求することができる。または、ユーザは、アプリケーション・プロバイダ１８０から１つまたは複数のアプリケーションを要求することができ、次いで、アプリケーション・プロバイダ１８０は、セキュア・サービス・プロバイダ１６０に、ユーザのセキュアエレメント１１１に１つまたは複数のアプリケーションを提供するよう要求を送信する。ブロック４４５では、選択されたセキュア・サービス・プロバイダ１６０が、要求されたアプリケーションおよび任意の他の適切な情報を、管理ＴＳＭ３５０に送信する。例えば、この他の適切な情報は、決済カード証明書等の、安全なサービスにアクセスするための証明書を含むことができる。

ブロック４５０では、管理ＴＳＭ３５０は、１つまたは複数のキー１２０を使用して、セキュアエレメント１１１と安全な通信チャネルを生成する。ブロック４５５では、管理ＴＳＭ３５０は、セキュアエレメント１１１でサービスをセットアップする。管理ＴＳＭ３５０は、セキュアエレメント１１１に、１つまたは複数のアプリケーション、およびそれらアプリケーションと共に使用するための証明書を送信することができる。管理ＴＳＭ３５０はまた、セキュアエレメント１１１に、ユーザに関する情報またはユーザのアカウントを提供することができる。例えば、クレジット・カード会社は、セキュアエレメント１１１に取り付けるする／記憶するために、決済アプリケーション、およびユーザの決済アカウントに関する情報を管理ＴＳＭ３５０に提供することができる。

ブロック４６０では、オプションではあるが、管理ＴＳＭ３５０は選択されたセキュア・サービス・プロバイダ１６０に対しビジネス・ロジックを実行し、選択されたセキュア・サービス・プロバイダ１６０の間で、プロキシまたは中継ぎとして働く。管理ＴＳＭ３５０によって実行されるビジネス・ロジックの例には、提携金融機関との決済カードをユーザが有するかどうかを検証すること、クレジット・カード証明書がユーザによって提供され、それにより、クレジット・カードをセキュアエレメント１１１にセットアップすることができるかを検証すること、選択されたセキュア・サービス・プロバイダ１６０が、エンド・ユーザ・ネットワーク・デバイス１１０が通信するＭＮＯ１３０に、所与のエンド・ユーザ・ネットワーク・デバイス１１０に対して要求されたサービスを提供することができるかどうかを検証すること、および、ユーザからのセットアップ要求を受信し、セキュアエレメント１１１に対してセットアップ命令を変換することが含まれる。

ブロック４６５では、ユーザは、１つまたは複数のアプリケーション・プロバイダ１８０と関連して、選択されたセキュア・サービス・プロバイダ１６０によって提供されたサービスにアクセスする。例えば、アプリケーション・プロバイダ１８０がクレジット・カード会社である場合、ユーザは、ＮＦＣ可能ＰＯＳでエンド・ユーザ・ネットワーク・デバイス１１０を使用して、トランジットチケットを買い戻す（redeem）ことができる。ＮＦＣコントローラー１１２は、セキュアエレメント１１１と安全に相互通信して、トランジットチケット証明書をセキュアエレメント１１１から得ることができ、さらに、ＮＦＣアンテナ１１３を介して、ＮＦＣ可能ＰＯＳにそれら証明書を提供することができる。

ブロック４６５の後、方法４００は終了する。当然、ユーザは、選択されたセキュア・サービス・プロバイダ１６０によって提供されたサービスにアクセスを続けることができ、他のセキュア・サービス・プロバイダ１６０に切り替えることができる。

上記の実施形態に記載された例示的な方法およびブロックは例示目的であり、代替実施形態において、あるブロックは、本発明の範囲および主旨から逸脱することなく、別の順序で実行する、互いと並列に実行する、全体を省略する、ならびに／もしくは異なる例示的な方法間で組み合わせることができ、および／またはある追加ブロックを実行することができる。それに応じて、そのような代替実施形態は、本明細書に記載した発明に含まれる。

本発明は、上記の方法および処理機能を実行するコンピュータ・ハードウェアおよびソフトウェアと共に使用することができる。当業者によって理解されるであろうように、本明細書に記載したシステム、方法、およびプロシージャは、プログラム可能なコンピュータ、コンピュータが実行可能なソフトウェア、またはデジタル回路で具体化することができる。ソフトウェアは、コンピュータ読込み可能メディアに記憶することができる。例えば、コンピュータ読込み可能メディアは、フロッピー(登録商標)・ディスク、ＲＡＭ、ＲＯＭ、ハードディスク、リムーバブル・メディア、フラッシュ・メモリ、メモリ・スティック、光学メディア、光磁気記録媒体、ＣＤ−ＲＯＭ等を含むことができる。デジタル回路は、集積回路、ゲート・アレイ、ビルディング・ブロック論理（ｂｕｉｌｄｉｎｇ ｂｌｏｃｋ ｌｏｇｉｃ）、フィールド・プログラマブル・ゲート・アレイ（ＦＰＧＡ）等を含むことができる。

１００ 近距離無線通信（ＮＦＣ）システム
１１０ エンド・ユーザ・ネットワーク・デバイス
１１１ セキュアエレメント
１１２ ＮＦＣコントローラー
１１３ ＮＦＣアンテナ
１１５ ＳＰＳ
１２０ 暗号化キー
１３０ モバイル・ネットワーク・オペレータ（ＭＮＯ）
１４０ インターネット
１５０ キー・エスクロー・サービス
１６０ セキュア・サービス・プロバイダ
１６０Ａ 第１のセキュア・サービス・プロバイダ
１６０Ｂ 第２のセキュア・サービス・プロバイダ
１８０ アプリケーション・プロバイダ

Claims (30)

1. セキュアエレメントを備えるコンピューティング・デバイスに安全なサービスを提供するためのコンピュータで実施される方法であって、
   コンピュータによって、安全な通信チャネルを介して前記セキュアエレメントに安全なアクセスを提供するように動作可能である、ネットワーク・コンピューティング・デバイスの前記セキュアエレメントに対する少なくとも１つの暗号化キーを、維持するステップと、
   前記コンピュータによって、前記安全なサービスを促進するためのトラスティド・サービス・マネージャー（ＴＳＭ）の選択を受信するステップと、
   前記コンピュータによって、前記選択されたＴＳＭから、前記安全なサービスに関する情報と、前記安全なサービスのためのアプリケーションとを得るステップと、
   前記コンピュータによって、前記選択されたＴＳＭから得られた前記安全なサービスに関する情報と、前記選択されたＴＳＭから得られた前記安全なサービスのための前記アプリケーションと、前記少なくとも１つの暗号化キーとを使用して、前記セキュアエレメントにおいて前記安全なサービスをセットアップするステップとを備える、コンピュータで実施される方法。
2. 前記安全なサービスに関する前記情報および前記安全なサービスのための前記アプリケーションを得るために、前記コンピュータと前記選択されたＴＳＭとの間で安全な通信チャネルを生成するステップをさらに備える、請求項１に記載のコンピュータで実施される方法。
3. 前記選択されたＴＳＭの代わりに前記セキュアエレメントに対してビジネス論理を実行するステップをさらに備える、請求項１に記載のコンピュータで実施される方法。
4. 前記セキュアエレメントが、前記選択されたＴＳＭと異なる以前のＴＳＭに関係する情報を含む場合に、前記セキュアエレメントからの前記以前のＴＳＭに関係する情報を除去するステップをさらに備える、請求項１に記載のコンピュータで実施される方法。
5. 前記セキュアエレメントが、前記選択されたＴＳＭと異なる以前のＴＳＭに関係する情報を含む場合に、前記セキュアエレメントから前記以前のＴＳＭに関係する情報を除去するように前記セキュアエレメントに命令するメッセージを前記セキュアエレメントに送信するステップをさらに備える、請求項１に記載のコンピュータで実施される方法。
6. 前記セキュアエレメントで前記安全なサービスをセットアップする前に、前記ネットワーク・コンピューティング・デバイス以外の他のデバイスから前記選択されたＴＳＭの前記選択の確認を受信するステップをさらに備える、請求項１に記載のコンピュータで実施される方法。
7. 前記コンピュータは、管理ＴＳＭを備える、請求項１に記載のコンピュータで実施される方法。
8. コンピュータによる実行時に、セキュアなメモリを備えるコンピューティング・デバイスに安全なサービスを前記コンピュータに提供させるコンピュータ読込み可能プログラム・コードを有する非一時的コンピュータ読込み可能メディアであって、前記コンピュータ読込み可能プログラム・コードが、
   安全な通信チャネルを介して前記セキュアなメモリに安全なアクセスを提供するよう動作可能である、コンピューティング・デバイスのセキュアなメモリに対する少なくとも１つの暗号化キーを、維持するためのコンピュータ読込み可能プログラム・コードと、
   安全なサービスを促進するためにセキュア・サービス・プロバイダの選択を受信するためのコンピュータ読込み可能プログラム・コードと、
   前記選択されたセキュア・サービス・プロバイダから、前記安全なサービスに関する情報と、前記安全なサービスのためのアプリケーションとを得るためのコンピュータ読込み可能プログラム・コードと、
   前記得られた情報と、前記得られたアプリケーションと、前記少なくとも１つの暗号化キーとを使用して、前記セキュアなメモリにおいて、前記安全なサービスをセットアップためのコンピュータ読込み可能プログラム・コードとを備える、非一時的コンピュータ読込み可能メディア。
9. 前記安全なサービスに関する前記情報および前記安全なサービスのための前記アプリケーションを得るために、前記コンピュータと前記選択されたセキュア・サービス・プロバイダとの間で安全な通信チャネルを生成するためのコンピュータ読込み可能プログラム・コードをさらに備える、請求項８に記載の非一時的コンピュータ読込み可能メディア。
10. 前記選択されたセキュア・サービス・プロバイダの代わりに前記セキュアなメモリに対してビジネス論理を実行するためのコンピュータ読込み可能プログラム・コードをさらに備える、請求項８に記載の非一時的コンピュータ読込み可能メディア。
11. 前記選択されたセキュア・サービス・プロバイダと異なる以前のセキュア・サービス・プロバイダに関係する情報を前記セキュアなメモリから除去するためのコンピュータ読込可能プログラム・コードをさらに備え、
    前記以前のセキュア・サービス・プロバイダに関係する情報を前記セキュアなメモリから除去するためのコンピュータ読込可能プログラム・コードは、前記セキュアなメモリが前記以前のセキュア・サービス・プロバイダに関係する情報を含む場合に実行される、請求項８に記載の非一時的コンピュータ読込み可能メディア。
12. 前記選択されたセキュア・サービス・プロバイダと異なる以前のセキュア・サービス・プロバイダに関係する情報およびアプリケーションを前記セキュアなメモリから除去するように前記セキュアなメモリに要求するメッセージを、前記セキュアなメモリに送信するためのコンピュータ読込み可能プログラム・コードをさらに備え、
    前記以前のセキュア・サービス・プロバイダに関係する情報およびアプリケーションを前記セキュアなメモリから除去するためのコンピュータ読込み可能プログラム・コードは、前記セキュアなメモリが前記以前のセキュア・サービス・プロバイダに関係する情報およびアプリケーションを含む場合に実行される、請求項８に記載の非一時的コンピュータ読込み可能メディア。
13. 前記セキュアなメモリで前記安全なサービスをセットアップする前に、前記コンピューティング・デバイス以外の他のデバイスから前記選択されたセキュア・サービス・プロバイダの前記選択の確認を受信するためのコンピュータ読込み可能プログラム・コードをさらに備える、請求項８に記載の非一時的コンピュータ読込み可能メディア。
14. セキュアなメモリを備えるコンピューティング・デバイスに安全なサービスを提供するためのシステムであって、前記システムは、
    安全なサービスを促進するためにトラスティド・サービス・マネージャー（ＴＳＭ）の選択を受信するようにコンピュータにおいて実行される通信モジュールと、
    前記通信モジュールに通信可能に結合された、コンピュータにおいて実行される管理ＴＳＭとを備え、前記管理ＴＳＭは、
    安全な通信チャネルを介して前記セキュアなメモリに安全なアクセスを提供するよう動作可能である、コンピューティング・デバイスのセキュアなメモリに対する少なくとも１つの暗号化キーを維持し、
    前記選択されたＴＳＭから、前記安全なサービスに関する情報と、前記安全なサービスのためのアプリケーションとを受信し、
    前記受信した情報と、前記受信したアプリケーションと、前記少なくとも１つの暗号化キーとを使用して、前記セキュアなメモリにおいて前記安全なサービスをセットアップする、システム。
15. 前記管理ＴＳＭは、前記安全なサービスに関する情報および前記安全なサービスのためのアプリケーションを得るために、前記コンピュータと前記選択されたＴＳＭとの間で安全な通信チャネルを生成する、請求項１４に記載のシステム。
16. 前記管理ＴＳＭは、前記選択されたＴＳＭの代わりに前記セキュアなメモリに対してビジネス論理を実行する、請求項１４に記載のシステム。
17. 前記セキュアなメモリが前記選択されたＴＳＭと異なる以前のＴＳＭに関係する情報を含む場合に、前記管理ＴＳＭは、前記以前のＴＳＭに関係する情報が前記セキュアなメモリから除去されるようにする、請求項１４に記載のシステム。
18. 前記セキュアなメモリが前記選択されたＴＳＭと異なる以前のＴＳＭに関係する情報を含む場合に、前記管理ＴＳＭは、前記通信モジュールを介して、前記セキュアなメモリから前記以前のＴＳＭに関係する情報を除去するように前記セキュアなメモリに命令するメッセージを前記セキュアなメモリに送信する、請求項１４に記載のシステム。
19. 前記管理ＴＳＭは、前記セキュアなメモリで前記安全なサービスをセットアップする前に、前記コンピューティング・デバイス以外の他のデバイスから前記選択されたＴＳＭの前記選択の確認を受信する、請求項１４に記載のシステム。
20. 前記セキュアなメモリは、セキュアエレメントである、請求項１４に記載のシステム。
21. 前記安全なサービスを促進するための前記ＴＳＭの選択は、前記コンピューティング・デバイスから受信される、請求項１４に記載のシステム。
22. 前記安全なサービスを促進するための前記ＴＳＭの選択は、前記ネットワーク・コンピューティング・デバイスから受信される、請求項１に記載のコンピュータで実施される方法。
23. 前記コンピュータによって、第２の安全なサービスを促進するための第２のＴＳＭの選択を受信するステップと、
    前記コンピュータによって、前記第２の安全なサービスに関する情報と、前記第２の安全なサービスのためのアプリケーションとを、前記第２のＴＳＭから得るステップと、
    前記コンピュータによって、得られた前記第２の安全なサービスに関する情報と、得られた前記第２の安全なサービスのためのアプリケーションと、前記少なくとも１つの暗号化キーとを使用して、前記セキュアエレメントで前記第２の安全なサービスをセットアップするステップとをさらに備える、請求項１に記載のコンピュータで実施される方法。
24. 前記セキュアエレメントから、前記第２のＴＳＭ以外のＴＳＭに関係する情報を除去するステップをさらに備える、請求項２３に記載のコンピュータで実施される方法。
25. 前記セキュアエレメントから、前記第２のＴＳＭ以外のＴＳＭに関係する情報およびアプリケーションを除去するように前記セキュアエレメントに命令するメッセージを前記セキュアエレメントに送信するステップをさらに備える、請求項２３に記載のコンピュータで実施される方法。
26. 前記第２の安全なサービスのみの処理を許可するように前記セキュアエレメントに命令を伝えるステップをさらに備える、請求項２３に記載のコンピュータで実施される方法。
27. 前記第２の安全なサービス以外の安全なサービスの処理をブロックするように前記セキュアエレメントに命令を伝えるステップをさらに備える、請求項２３に記載のコンピュータで実施される方法。
28. 前記セキュアなメモリは、セキュアエレメントである、請求項８に記載の非一時的コンピュータ読込み可能メディア。
29. 前記セキュア・サービス・プロバイダは、トラスティド・サービス・マネージャーである、請求項８に記載の非一時的コンピュータ読込み可能メディア。
30. 前記安全なサービスを促進するための前記セキュア・サービス・プロバイダの選択は、通信デバイスから受信される、請求項８に記載の非一時的コンピュータ読込み可能メディア。

Images