JP6818727B2

JP6818727B2 - 携帯通信デバイスにおける動的一時決済認証のシステムおよび方法

Info

Publication number: JP6818727B2
Application number: JP2018218138A
Authority: JP
Inventors: ブラッドニッキ，デイヴィッド; クラフト，マイケル; レイスジース，ハンス; ウェインステイン，アンドリュー
Original assignee: Sequent Software Inc
Current assignee: Sequent Software Inc
Priority date: 2011-12-19
Filing date: 2018-11-21
Publication date: 2021-01-20
Anticipated expiration: 2032-12-19
Also published as: JP6441396B2; EP2795548A1; EP2945111A1; CN109242468B; CA2859526A1; WO2013096486A1; RU2014129856A; JP6106691B2; EP3690779A1; JP2019050032A; CN104272332A; JP2017142809A; CN109242468A; EP2795548A4; US20130159186A1; JP2015506046A; US9898728B2; US20180174131A1; RU2646331C2; CN104272332B

Description

本発明は、一般的には無線取引を完了するためのセキュアデータ（secure data）の使用に関し、より具体的には、世界地理位置（world geo-location）情報に基づいてもよい、携帯通信デバイスから要求されると、１回決済取引（one-time payment transaction）の処理をするシステムおよび方法に関する。

本出願は、２０１１年１２月１９日付け出願の米国特許仮出願第６１／５７７６５２号および２０１２年４月１６日付け出願の米国特許正規出願第１３／４４８１９３号の優先権を主張するものであり、それぞれの全文を参照により本明細書に組み入れる。

ＲＦＩＤベース近接カードを使用する無線取引は、かなり普及している。例えば、多くの従業員が、自分たちの職場へ入場するのにＲＦＩＤキーカードを使用し、ドライバは、高速道路速度で通行料金を支払うのにＲＦＩＤパスを使用している。ＲＦＩＤとは、無線周波数識別（radio-frequency identification）を表わし、電磁波を使用して、識別の目的で、端末と何らかの対象物との間でデータを交換する。より最近では、企業は、セルラー電話にサポートされたＲＦＩＤを使用して、電子決済商品（すなわち、クレジットカードおよび／またはデビットカード）を実現する試みをしている。しかしながら、基本ＲＦＩＤ技術には多くのセキュリティ問題が生じており、これが基本技術の改変を促してきた。それでも、電子決済用の機構としてのＲＦＩＤの広範な採用の速度は鈍かった。

消費者へのスマートフォンの浸透も迅速に進展している。既存の移動電話を使用して消費者が電子決済を行うことをどのようにして可能にするかが、課題となっている。埋め込み式セキュアエレメント（secure element）を備える電話における、近距離通信（Near Field Communication）技術は、この課題に対する１つの可能性のある解決策を与える。

近距離通信（ＮＦＣ：Near Field Communication）は、ＲＦＩＤのように、電磁波を使用してデータ交換を行う別の技術である。ＮＦＣは、変調方式、符号化、転送速度およびＲＦインターフェイスを規定する、オープン規格（例えば、ＩＳＯ／ＩＥＣ１８０９２を参照）である。ＲＦＩＤと異なり、ＮＦＣ波は、短距離（数インチの程度）を高周波数で伝播するだけである。すなわち、金融取引およびアクセス管理に対してより高いセキュリティを提供することから、通信プラットフォームとして、ＮＦＣがより広範囲に採用されてきた。その他の短距離通信プロトコルが知られており、金融取引およびアクセス管理をサポートするための使用に受け入れられる可能性がある。

ＮＦＣデバイスは、一部のＰＯＳ（point of sale）デバイスにおける決済を行うのにすでに使用されている。しかし、ＮＦＣ通信を利用可能にされていないＰＯＳデバイスも多い。したがって、本発明は、いずれのスマートフォンでも、既存のＰＯＳ機器でのレガシ電子決済（legacy electronic payment）を受け付けるマーチャント（merchant）において、高度なセキュリティの電子決済を行うことを可能にする解決策を提供することを試みる。

別の問題は、利用可能な様々な異なるＰＯＳ端末と関連する、無数の通信プロトコルである。そのために、例えば、ＩＢＭＰＯＳ端末と無線で首尾よく通信するのに必要なプロトコルは、ＮＣＲ端末と通信するのに必要なプロトコルと非常に異なる場合がある。したがって、本発明の目的は、（利用可能な場合には）地理位置データを使用して、携帯通信デバイスと同位置にある小売り施設（retail establishment）に存在する、見込みＰＯＳ端末デバイスを事前設定することを試みる、システムおよび方法を提供することである。

電子形態決済を受け付ける物理的マーチャントの能力は、先進国では大幅に発達しており、開発途上国でも急速に成長しつつある。金融業界は、不正行動を軽減し最少化するために、電子取引に対する厳格なシステム、方法、および要件を開発して、展開してきた。

したがって、本発明はまた、本明細書を入手した当業者によって理解されるように、前述の機会および関係する問題に対する１つまたは２つ以上の解決策を提供することを試みる。本開示の、これらおよびその他の目的および効果も、本願の図面、明細書、および特許請求の範囲を手にすれば、当業者には明白となるであろう。そのようなすべての追加のシステム、方法、特徴および効果は、この明細書に含めるとともに、本開示の範囲内にあるものとして、添付の特許請求の範囲によって保護されることを意図している。

本開示がより詳細に理解されるように、非限定で、非網羅的な態様を、以下の図面を参照して説明する。図面においては、同様の参照番号は、特に断らない限りは、様々な図のすべてにわたって同様の部品を指している。

図１Ａは、自分の携帯通信デバイスを使用して、ＰＯＳにおけるセキュア決済取引を実行しようとしているユーザを示す図である。図１Ｂは、エンドユーザのスマートフォン（すなわち、携帯通信デバイス）と、システム管理バックエンドを含む、様々なサブシステムとの間の、動作可能な相互接続を示す図である。図２は、本システムと関係することのある、携帯通信デバイス内の論理ブロックの一部を示す、ブロック図である。図３Ａは、１回決済に対する処理の１つの可能な態様におけるフローを合わせて示す図である。図３Ｂは、１回決済に対する処理の１つの可能な態様におけるフローを合わせて示す図である。図４は、携帯通信デバイスと、図３Ａおよび３Ｂの１回決済処理に関係する決済エコシステムの残部との間の情報フローを示すブロック図である。図５、６および６Ａは、スマートフォンに展開してもよい、例示的なウォレット（wallet）ユーザインターフェイスの説明図である。図７Ａおよび７Ｂは、代表的な携帯通信デバイス上の例示的なウォレットユーザインターフェイスによって発行される、１回決済クレデンシャルの２つの可能な態様の説明図である。図８Ａは、本システムと関係することのある形態形通信デバイス内の論理ブロックの一部を示す、ブロック図である。図８Ｂは、本システムと関係することのある、図８Ａの「１回決済ウォレット」のさらなる詳細を示す、ブロック図である。図９Ａおよび９Ｂは、連合型ウォレット（federated wallet）と結合された１回クレデンシャル機能の柔軟性をさらに示す、説明用スマートフォン上に実装してもよい、ユーザインターフェイスの１つの可能な態様を合わせて示す図である。図１０は、決済サブシステムに記憶されたセキュアデータを閲覧、選択および／または変更するための、１回決済アプリに対する許可の付与の基礎となるシステムの１つの可能な実装のブロック図である。

詳細な説明
次に、以下では、本明細書の一部を形成するとともに、本発明がそれによって実施される特定の例示的な態様を例証として示す、添付の図面を参照して、本発明をさらに詳細に説明する。しかしながら、本発明は、多数の異なる形態に具現化してもよく、本明細書に記載する態様に限定されるものとは考えるべきではなく、これらの態様は、本開示が完全で完成したものとなり、当業者に本発明の範囲を完全に伝えるように、提示される。とりわけ、本発明は、方法およびデバイスとして具現化してもよい。したがって、本発明およびその構成要素は、全体的にハードウェア態様、全体的にソフトウェア態様、またはソフトウェア様相およびハードウェア様相を組み合わせる態様をとることができる。したがって、以下の詳細な説明は、限定の意味で解釈すべきではない。

携帯通信デバイス
それに限定はされないが、ＰＤＡ、セルラー電話、スマートフォン、ラップトップ、タブレットコンピュータ、および好ましくはセルラー式音声データサービスに加えて、好ましくは消費者ダウンロード可能なアプリケーションへのアクセスを含む、その他のモバイルデバイスを含む、多様な異なる携帯通信デバイスで使用することのできる、システムおよび方法を提供する。そのような携帯通信デバイスの１つは、ｉＰｈｏｎｅ（登録商標）、モトローラＲＡＺＲ（登録商標）またはＤＲＯＩＤ（登録商標）であってもよいが、本発明は、好ましくはプラットフォームおよびデバイスに独立である。例えば、携帯通信デバイス技術プラットフォームは、マイクロソフトＷｉｎｄｏｗｓ（登録商標）モバイル、マイクロソフトＷｉｎｄｏｗｓ（登録商標）Ｐｈｏｎｅ７、ＰａｌｍＯＳ（登録商標）、ＲＩＭブラックベリーＯＳ（登録商標），アップルＯＳ（登録商標）、アンドロイドＯＳ（登録商標）、シンビアン（Symbian）（登録商標）、Ｊａｖａ（登録商標）またはその他任意の技術プラットフォームとしてもよい。この開示の目的では、本発明は、一般化されたプラットフォームを利用するスマートフォンに対して最適化された、機能およびインターフェイスに従って、全体的に説明するが、当業者であれば、そのような特徴およびインターフェイスのすべては、その他任意のプラットフォームおよび／またはデバイスに使用し、適合させることができることを理解するであろう。

携帯通信デバイスは、ＮＦＣ、ＲＦＩＤ、またはＢｌｕｅｔｏｏｔｈ（登録商標）送受信器などの、１つまたは２つ以上の短距離近接電磁通信デバイスを含む。現在では、ＮＦＣＩＰ−１規格（www.nfcforum.org）に準拠する、ＮＦＣベースバンドを使用するのが好ましく、このＮＦＣベースバンドは、携帯通信デバイス上でセキュアエレメントと対にされて、「非接触決済リーダ」の前方に提示されるときに（ＰＯＳにおいて以下を参照）、ピア・ツー・ピアデータ交換、リーダ／ライタモード（すなわち、ＲＦＩＤタグからの情報の収穫）、非接触カードエミュレーション（ＮＦＣＩＰ−１およびＩＳＯ１４４４３規格による）のような標準機能を提供する。当該技術においては理解されるように、当該技術分野において本発明の明細書、図、および特許請求の範囲を入手した者には理解されるように、ＮＦＣＩＰ−１規格は、単に、現在好ましい例であり、これは、全体または部分として、その他任意の近接通信規格と関連して使用するためにエクスポートすることもできる。携帯通信デバイスは、近接場通信を可能にするために、ＮＦＣ／ＲＦＩＤアンテナ（ＮＦＣＩＰ−１およびＩＳＯ１４４４３規格に準拠）を含むのがさらに好ましい。しかしながら、当該技術において理解されるように、ＮＦＣ／ＲＦＩＤ通信は、より短い距離範囲であって、潜在的な読取り問題があるにもかかわらず、達成することができる。

携帯通信デバイスはまた、モバイルネットワークオペレータと無線通信を確立して管理するための、モバイルネットワークインターフェイスを含む。モバイルネットワークインターフェイスは、それに限定はされないが、グローバルシステムフォーモバイルコミュニケーション（ＧＳＭ（登録商標））、３Ｇ、４Ｇ、符号分割多重アクセス（ＣＤＭＡ）、時間分割多重アクセス（ＴＤＭＡ）、使用者データグラムプロトコル（ＵＤＰ）、伝送制御プロトコル／インターネットプロトコル（ＴＣＰ／ＩＰ）、ＳＭＳ、汎用パケット無線サービス（ＧＰＲＳ：general packet radio service）、ＷＡＰ、超広帯域（ＵＷＢ：ultra wide band）、ＩＥＥＥ８０２．１６ＷｉＭａｘ（Worldwide Interoperability for Microwave Access）、ＳＩＰ／ＲＴＰ、またはモバイルネットワークオペレータのモバイルネットワークと通信するための、その他多様な無線通信プロトコルのいずれかを含む、１つまたは２つ以上の通信プロトコルおよびテクノロジを使用する。したがって、モバイルネットワークインターフェイスは、トランシーバ、送受信デバイス、またはネットワークインターフェイスカード（ＮＩＣ）を含めることができる。モバイルネットワークインターフェイスおよび短距離近接電磁通信デバイスは、当該技術分野において本発明の明細書、図、および特許請求の範囲を入手した者には理解されるように、トランシーバまたは送受信デバイスを共有することが考えられる。

携帯通信デバイスは、通常は、その緯度、経度および標高の関数として、地球の表面上でのデバイスの物理的座標を特定することのできる、位置トランシーバをさらに含む。この位置トランシーバは、好ましくはＧＰＳ技術を使用し、それによって、本明細書においては、ＧＰＳトランシーバと呼称してもよいが、位置トランシーバは、追加的に（または代替的に）、それには限定されないが、地球の表面上での携帯通信デバイスの物理的位置を特定するための三角測量、アシステッドＧＰＳ（ＡＧＰＳ）、Ｅ−ＯＴＤ、ＣＩ、ＳＡＩ、ＥＴＡ、ＢＳＳ、その他を含む、その他の測位機構（geo-positioning mechanism）を使用してもよいことを理解すべきである。

携帯通信デバイスは、消費者に対して、情報を受信することに加えて、情報を入力するか、または受信した情報にその他の方法で応答する手段を提供する、ユーザインターフェイスをさらに含む。現在では理解されているように、このユーザインターフェイスには、（本開示をそれに限定することを意図することなく）マイクロフォン、オーディオスピーカ、触覚インターフェイス、グラフィックディスプレイ、およびキーバッド、キーボード、ポインティングデバイス、および／またはタッチスクリーンを含めてもよい。携帯通信デバイスは、マイクロプロセッサおよび大容量メモリも含む。この大容量メモリには、ＲＯＭ、ＲＡＭに加えて、１つまたは２つ以上のリムーバブルメモリカードを含めてもよい。大容量メモリは、基本入出力システム（ＢＩＯＳ：basic input/output system）および携帯通信デバイスの動作を制御するための、オペレーティングシステムを含む、コンピュータ可読命令およびその他のデータのための記憶を提供する。

携帯通信デバイスは、ＳＩＭカードのような、デバイスを識別することに専用化された、デバイス識別メモリも含む。一般に理解されているように、ＳＩＭカードは、デバイスの固有のシリアル番号（ＥＳＮ）、国際的に固有のモバイルユーザの番号（ＩＭＳＩ）、セキュリティ認証情報および暗号化情報、ローカルネットワークに関係する一時情報、ユーザがアクセスできるサービスのリスト、２つのパスワード（通常使用用のＰＩＮおよびロック解除用のＰＵＫ）を含む。本発明の明細書、図、および特許請求の範囲を入手した当業者には理解されるように、デバイスのタイプ、その主要ネットワークタイプ、ホームモバイルネットワークオペレータ、その他に応じて、その他の情報を、デバイス識別メモリに維持してもよい。

携帯通信デバイスは２つのサブシステム：（１）今日のセルラー電話のユーザには一般化しているように、通信およびその他のデータアプリケーションを可能にする、「無線サブシステム」、および（２）「決済サブシステム」としても知られている、「セキュア取引サブシステム」を有する。セキュア取引サブシステムは、管理システムおよび提供システムへの通信のための、セキュアエレメントおよび関連するデバイスソフトウェアに加えて、セキュアエレメントに記憶された、セキュアデータの使用および管理のための顧客向けインターフェイスを含むことがある。このセキュア取引サブシステムは、好ましくは、グローバルプラットフォーム（Global Platform）２．１．Ｘ、２．２、または２．２．Ｘ（www.globalplatform.org）の一部として記載されたものと（同一でないとしても）類似のセキュアエレメントを含むことが考えられる。セキュアエレメントは、業界共通ＰＯＳに使用される決済カードトラックデータを記憶する、業界共通慣行用に使用される、専用化された、独立の物理的メモリとして実現されており、さらに、セキュアエレメント内に記憶することのできる、その他のセキュアクレデンシャルとしては、就労バッジクレデンシャル（employment badge credential）（企業アクセス管理）、ホテルおよびその他のカードベースアクセスシステム、およびトランジットクレデンシャル（transit credential）が挙げられる。

モバイルネットワークオペレータ
携帯通信デバイスのそれぞれは、少なくとも１つのモバイルネットワークオペレータに接続されている。モバイルネットワークオペレータは、一般に、各セルタワーの関連するセル内の複数の携帯通信デバイスと通信する、複数のセルタワーを介して、無線通信サービス、データアプリケーションおよびセキュア取引サブシステムをサポートする、物理的インフラストラクチャを提供する。そうすると、セルタワーは、モバイルネットワークオペレータ、ＰＯＴＳ、およびインターネットの論理ネットワークと動作可能に通信して、モバイルネットワークオペレータ自身の論理ネットワーク内に加えて、その他のモバイルネットワークオペレータのものを含む外部ネットワークへ、通信およびデータを伝達することができる。モバイルネットワークオペレータは、一般に、それに限定はされないが、ＧＳＭ（登録商標）（global system for mobile communication）、３Ｇ、４Ｇ、コード分割多重接続（ＣＤＭＡ）、時間分割多重接続（ＴＤＭＡ）、ユーザデータグラムプロトコル（ＵＤＰ）、ＴＣＰ／ＩＰ（transmission control protocol/Internet protocol）、ＳＭＳ、一般パケット無線サービス（ＧＲＰＳ），ＷＡＰ、超広帯域（ＵＷＢ）、ＩＥＥＥ８０２．１６ＷｉＭａｘ（Worldwide Interoperability for Microwave Access）、ＳＩＰ／ＲＴＰ、または携帯通信デバイスと通信する、様々なその他の無線通信プロトコルのいずれかを含む、１つまたは２つ以上の通信プロトコルおよびテクノロジに対するサポートを提供する。

小売りサブシステム
今日の商店における標準として、銀行およびマーチャントサービスプロバイダのデビット商品、クレジット商品、プリペイ商品、ギフト商品の取引処理を可能にする、インターネットプロトコル接続決済システムがある。ＰＯＳ（またはＰＯＰ：Point of Purchase）端末の磁気リーダにおいて磁気ストライプ利用可能カードをスワイプすることによって、カードデータがＰＯＳ機器に転送されて、発行銀行が手元資金を確認するのに使用される。このＰＯＳ機器は、決済カードデータを、磁気リーダの代わりに、ＲＦインターフェイス上に提示することを可能にするアクセサリとして、非接触カードリーダを含め始めている。このデータは、ＩＳＯ１４４４３規格によるＲＦインターフェイス、およびカードから、および将来には、決済サブシステムを含むモバイルデバイスから非接触カードデータを送信する、ＰａｙＰａｓｓ（登録商標）およびＰａｙｗａｖｅ（登録商標）のような所有権登録された決済アプリケーションを介してリーダに転送される。

小売商のＰＯＳデバイス７５は、無線接続または有線接続を介して、マーチャント決済ネットワークに接続してもよい。このＰＯＳネットワークには、ローカルエリアネットワーク（ＬＡＮ）、ワイドエリアネットワーク（ＷＡＮ）、ユニバーサルシリアルバス（ＵＳＢ）ポート、その他の形態のコンピュータ可読媒体、またはそれらの組合せなどの直接接続に加えて、インターネットを含めることができる。異なるアーキテクチャおよびプロトコルに基づくものを含めて、相互接続された一組のＬＡＮ上で、ルータは、ＬＡＮ間のリンクとして作用して、メッセージを互いに送付することを可能にする。さらに、ＬＡＮ内部の通信リンクは、一般的に、ツイスト線ペアまたは同軸ケーブルを含むのに対して、ネットワーク間の通信リンクは、アナログ電話回線、Ｔ１、Ｔ２、Ｔ３およびＴ４を含む、完全または部分専用ディジタル回線、統合化サービスディジタルネットワーク（ＩＳＤＮ）、ディジタル加入者回線（ＤＳＬ）、衛星リンクを含む無線リンク、または当業者に知られている、その他の通信リンクを使用してもよい。さらに、リモートコンピュータおよびその他の関係する電子デバイスを、モデムや一時電話リンクを介して、ＬＡＮまたはＷＡＮのいずれかに遠隔接続してもよい。要するに、ＰＯＳネットワークは、同一の金融サービスプロバイダを介して、決済用のＰＯＳにおいて金融取引を検証、認証および最終取込みを行う目的で、ＰＯＳデバイスと金融サービスプロバイダ間で、情報を移動させることを可能にする、任意の通信方法を使用してもよい。

システム管理バックエンド
システムは、システム管理バックエンドを含む。図１Ｂに示されるように、システム管理バックエンド３００は、小売りサブシステム（ＰＯＳデバイス７５を参照）、（１つまたは２つ以上の金融サービスプロバイダからなる）セキュア取引サブシステム３１０、および複数の携帯通信デバイス５０に、少なくとも１つのモバイルネットワークオペレータのインフラストラクチャを介して、接続されている。システム管理バックエンド３００は、１つまたは２つ以上のクライアントデバイスと動作可能に通信する、サーバを備える。サーバはまた、小売商サブシステム７５、セキュア取引サブシステム３１０、および１つまたは２つ以上の携帯通信デバイス５０と動作可能に通信する。ＶｏＩＰを含むがそれに限定はされない、任意のタイプの音声チャネルを、本発明と関連して使用してもよい。

システム管理バックエンド３００のサーバは、同一のコンピュータ上、または複数のコンピュータ上に分散したローカルエリアネットワークまたはワイドエリアネットワーク全体上で、直列または並列にシステムバックオフィス（system back office）を実行するのに必要な手順および関数を実現する、１つまたは２つ以上の汎用コンピュータを含んでもよく、また（好ましくは、十分なセキュリティの準備をして）「クラウド内」に配置してもよい。サーバを含むコンピュータ（複数を含む）は、いくつかの例を挙げると、Ｌｉｎｕｘ（登録商標）、Ｗｉｎｄｏｗｓ（登録商標）、Ｗｉｎｄｏｗｓ（登録商標）ＣＥ、Ｕｎｉｘ（登録商標）、またはＪａｖａ（登録商標）をベースとするオペレーティングシステムによって制御されてもよい。システム管理バックエンドサーバは、プログラムコードおよびデータを記憶する、大容量メモリと動作可能に関連付けられている。データには、知識ベース、ユーザ識別子（ＥＳＮ、ＩＭＳＩ、ＰＩＮ、電話番号、電子メイル／ＩＭアドレス、課金情報、またはその他）を維持して記憶するように構成してもよい、１つまたは２つ以上のデータベース、テキスト、スプレッドシート、フォルダ、ファイルまたはその他を含めてもよい。

システム管理バックエンドサーバは、カスタマケアセンタ内のクライアントコンピュータ全体にわたる、通話トラフィック接続性および通話トラフィック分布をもたらすために、事例管理システム（case management system）をサポートしてもよい。ＶｏＩＰ音声チャネル接続性を使用する好ましいアプローチにおいては、事例管理システムは、カリフォルニア州、Ｒｅｄｗｏｏｄ市、ＣｏｎｔａｃｔｕａｌＩｎｃ．により配布される契約／事例管理システムである。Ｃｏｎｔａｃｔｕａｌシステムは、ＶｏＩＰベースカスタマケアコールセンタのための標準的なＣＲＭシステムであり、このシステムはまた、同時支払についてのケア問題、およびセルラー関係ケア問題を取り扱う柔軟性を与える。本明細書を入手した当業者には理解されるように、Ｓａｌｅｓｆｏｒｃｅ（カリフォルニア州、サンフランシスコ市のＳａｌｅｓｆｏｒｃｅ．ｃｏｍ，ｉｎｃ．）およびＮｏｖｏ（バージニア州、バージニアビーチ市のＮｏｖｏＳｏｌｕｔｉｏｎｓ，Ｉｎｃ．）などの、その他の事例管理システムも本発明の範囲で使用してもよい。

システム管理バックエンドサーバはまた、発行エンジン２０１０、ユーザ固有識別データベース２０１１、マーチャント地理位置照合データベース２０１２、および予測取引モジュール２０１５もサポートする。これらの要素については、本明細書において後述する。

システム管理バックエンドサーバと関連する各クライアントコンピュータは、ネットワークインターフェイスデバイス、グラフィカルユーザインターフェイス、およびＶｏＩＰのような、クライアントケアセンタサーバによってサポートされる音声チャネル（複数を含む）と調和する、音声通信能力を有する。各クライアントコンピュータは、携帯通信デバイスのセルラーサブシステムとセキュア取引サブシステムの両方の状態を要求することができる。この状態には、携帯通信デバイスのソフトメモリおよびコア性能のコンテンツ、ＮＦＣ構成要素：ベースバンド、ＮＦＣアンテナ、セキュアエレメント状態および識別を含めてもよい。

決済サブシステム（Payment Subsystem）
図２に示すように、各携帯通信デバイス５０は、１回決済ウォレット１６０、決済ライブラリ１１０、セキュアエレメント１２０、ＮＦＣ（またはＲＦ）ベースバンド、決済サブシステム１５０（すなわちセキュアデータストア１１５およびセキュアエレメント１２０）、および診断エージェント１７０を含んでもよい。１回決済ウォレット１６０は、任意の携帯通信デバイスが、一時的な使用のためにデバイス５０に（好ましくは、決済サブシステム１５０中に）ダウンロードされる、ＮＦＣ／ＲＦベースバンドと関連するクレデンシャル（例えば、カード、クーポン、アクセス管理およびチケットデータ）を要求してエミュレートすることを可能にする、コンピュータアプリケーションである。このアプリケーションは、スマートフォンの代わりに、ＷＡＰ、Ｊ２ＭＥＲＴＥ、および／またはＳＭＳチャネルを使用する、レガシフィーチャフォン（非スマートフォン）上に実装してもよい。本明細書の以降でより詳細に考察するように、クレデンシャルは、最も好ましくはＮＦＣベースであるが、それらはＲＦＩＤベース、２Ｄバーコードベース、またはアラビア数字ベースとしてもよい。

決済ライブラリ１１０は、セキュアエレメント１２０を管理し（ハウスキーピングタスクをその上で実行する）１回決済ウォレット１６０によって使用され、システム管理バックエンド３００とインターフェイスを形成し、デバイス５０上で、データ通信トランシーバ（それのＳＭＳチャネルを含む）を介するオーバ・ザ・エア（ＯＴＡ）提供を実行する。ＯＴＡデータ通信は、何らかの方法で暗号化され、暗号化キーを、携帯通信デバイス５０および決済サブシステム１５０と動作可能に関連するカードサービスモジュールに配備することが考えられる。一態様において、カードサービスモジュールは、（以下に記述するようにサードパーティアプリケーションとして配備された）１回決済ウォレット１６０と決済サブシステム１５０とに動作可能に結合されている。カードサービスモジュールは、一般に、決済サブシステム１５０に記憶されたデータへのアクセス管理を実施するとともに、各アプリケーションが、決済サブシステム１５０を用いて実行することが可能である、機能（複数を含む）を制御する。一態様において、カードサービスモジュールは、（以下に概説するように）携帯通信デバイス上で使用される各サードパーティアプリケーションの作成者／発行者を検証する。決済システム１５０は、その他の決済カード（複数を含む）、クーポン、アクセス管理およびチケットデータ（例えば、交通チケットデータ、コンサートチケットデータ、その他）に加えて、一時的な１回決済カードなどの、クレデンシャルを記憶するのに使用してもよい。これらのクレデンシャルタイプの一部は、状況に応じて、決済サブシステムおよび決済ライブラリに追加される。

セキュアデータストア１１５は、携帯通信デバイス５０上のセキュリティ対策された記憶を提供する。セキュアデータストア１１５に記憶しようと意図するデータの性質に応じて、様々なレベルのセキュリティを提供してもよい。例えば、セキュアデータストア１１５は、デバイス５０のオペレーティングシステムレベルにおいて、簡単にパスワード保護されてもよい。これらのオペレーティングシステムにおいて知られているように、パスワードは、デバイス５０のどこかに記憶される、簡単な英数字コードまたは１６進コードとしてもよい。代替的に、セキュアデータストア１１５内のデータは、好ましくは暗号化される。しかしながら、セキュアデータストア１１５は、同時係属中の特許出願、２０１１年１０月２１日付で出願されて、参照により本明細書に組み入れられている（本願の譲受人が所有する）「System and Method for Providing A Virtual Secure Element on a Portable Communication Device」という名称の米国特許出願第１３／２７９１４７号に開示された方法で、仮想セキュアエレメントとして設定されることが多い。

スマートフォンを介する１回決済
一部のＰＯＳ機器は、ＮＦＣ決済を受け付けず、一部のユーザは確立されたＮＦＣ口座を有さないので、本発明は、任意の携帯通信デバイスが、既存のＰＯＳ機器を介してレガシ電子決済を受け付けるマーチャントにおいて、セキュリティの高い電子決済を行うことを可能にする。

小売商に対する１回決済用のシステムを使用するために、消費者は１回決済ウォレットアプリケーションをダウンロードし、指定された銀行との少なくとも１つの既存の口座を有することになる。消費者は、（やはり、指定銀行であってもよい）１回決済発行者３１０との、少なくとも１つの口座を登録していなくてはならない。さらに、消費者は、自分たちのスマートフォン（または携帯通信デバイス５０）用のモバイルデータサービスを有さなくてはならない。

１回決済ウォレット１６０は、クレデンシャルの一時的特性と、それと地理位置確認との組合せが理由で、クレデンシャルの記憶、維持および使用に伴う複雑さの一部を解消することができる。１回決済ウォレット１６０によって制御できる可能性のある行為の中には、以下のものと関連したものがある：
ａ．ウォレット管理（例えば、ウォレットパスコードを設定、再設定または使用可能にする；ＯＴＡサーバのＵＲＬを取得；オーバ・ザ・エアレジストリ提供；決済タイミングの設定；決済タイミングの延長；デフォールトカードの設定；リスト発行者、メモリ監査；クレデンシャルの記憶のためにＳＥを決定；ウォレット状態を更新）；
ｂ．クレデンシャル管理（例えば、クレデンシャルの追加；クレデンシャル詳細の閲覧；クレデンシャルの削除；（履行／決済のための）クレデンシャルの活動化；クレデンシャルの非活動化；クレデンシャルのロック／ロック解除；パスコードアクセスの要求；クレデンシャル画像の取得；アクセスパスコードの設定）；および
ｃ．セキュアエレメント（ＳＥ）管理（例えば、クレデンシャルを取得；クレデンシャルを更新；メタデータを更新；クレデンシャルを削除；ウォレットロック／ロック解除；ＳＥロック／ロック解除）。

図３Ａ〜３Ｂは、合わせて、１回決済ウォレット１６０を使用して、１回決済クレデンシャルを取得して使用する方法に対する、（様々な潜在的代替態様を備える）１つの可能な態様を示す。消費者は、自分のスマートフォン（すなわち、携帯通信デバイス５０）を用いて物理的小売店に入り、通常通りに自分の買い物を行うことができる。自分のスマートフォン５０にダウンロードされた１回決済ウォレット１６０を用いて、消費者が物理的小売店からチェックアウトする準備ができたとき、消費者は自分のスマートフォンを使用して、ソリューションを使用可能にされたスマートフォンアプリケーションを開くことによって、レガシシステムを用いてでも支払うことができる。

消費者はＰＯＳ７５に接近し、スマートフォン５０上の１回決済ウォレット１６０を開き、１回決済スクリーン上のユーザインターフェイス（図５を参照）を介して、消費者のパスワード／パスコードを入力する。１回決済ウォレット１６０は、消費者のパスコードおよび（位置同定サービス１６５、図２によって生成されているような）地理位置座標を発行エンジン２０１０に送付する（図４）。一態様において、１回決済ウォレット１６０は、消費者に対して、一時決済カード情報の生成前に、来る決済の推定量を発行エンジン２０１０に連絡する能力も提供してもよい。１回決済の推定量に関する情報を確認プロセスに組み込むことによって、１回コードに対するさらなるセキュリティを与えることができる。

発行エンジン２０１０は、（例えば、ユーザ固有識別データベース２０１１を使用して）パスコードを検証する。正しいパスコードを受け取ることは、システムに対して、消費者が、（数分程度であって、特定の状況においては延長することができる）短い所定期間内に決済をすることになることを示す。発行エンジン２０１０は、携帯通信デバイス５０から受信した地理位置座標を使用して、見込みマーチャントを特定して、発行エンジン２０１０と動作可能に関連付けられたデータベース（例えば、マーチャント地理位置収集データベース２０１２）内のそのマーチャントのＰＯＳ詳細を調べる。特に、受信した地理位置情報に基づいて、発行エンジン２０１０は、データベース照会を行い、いずれの非接触ＰＯＳ端末が、消費者の位置に導入されているか（または導入されている可能性が高いか）を特定する。好ましい態様においては、携帯通信デバイス５０は、携帯通信デバイス５０が位置している可能性のある、次に見込みが最も高い（例えば、次の上位５つの）小売店のリストを表示してもよい（例えば、図６Ａを参照）。同定された位置および／またはＰＯＳ端末に基づいて、携帯通信デバイス５０のカードサービスモジュールは、デバイス５０が、カード、クーポン、チケットまたはアクセス管理エミュレーションの最適提示によってサポートされるように、この位置および／またはＰＯＳに特定の、データフォーマットおよびその他の非接触ＰＯＳデータを用いて、決済システム１５０を構成する。このシステムはまた、消費者に対して、消費者が決済ライブラリ１１０にまだロードしていない、その地理位置に対して利用可能な新規カード商品を識別してもよい。態様によっては、このシステムは必要なライブラリをロードしてもよい。発行エンジン２０１０は、すべての電子決済受容マーチャントのデータベース（例えば、マーチャント地理位置集中データベース２０１２）を含み、このデータベースは、マーチャント位置、レガシ電子決済において使用されるマーチャント識別番号、各マーチャント位置によって受容されるレガシ決済方式、および各マーチャント位置のＰＯＳ機器能力の能力を含んでもよい。（以下の表１を参照のこと。）マーチャント地理位置収集データベース２０１２は、発行エンジン２０１０内に含まれるか、またはそうでなければその一部であると記述されているが、マーチャント地理位置収集データベース２０１２は、携帯通信デバイス５０、発行者３１０の内部に含まれるか、その一部であるか、もしくはそれと関連しているか、または別個にホストが設けられている。

発行エンジン２０１０は、次いで、１回使用一時決済カードを生成するとともに、一時決済カードデータおよび見込みマーチャントの識別情報（identity）を、オーバ・ザ・エアで携帯通信デバイス５０に送信する。この一時決済カード情報は、個人口座番号、発行者識別番号、（国際、業界間、および／または業界内相互変換において動作するように、発行者識別番号（ＩＩＮ）を使用する発行者の識別に関する）ＩＳＯ／ＩＥＣ７８１２、（最初の金融取引に対して使用される磁気トラックのデータ構造およびコンテンツに関する）ＩＳＯ／ＩＥＣ、および（所有権付き規格に基づく、ビジネスメッセージプロトコルである）ＩＳＯ８５８３フォーマッティングを含む、レガシ電子決済業界の既存の規格および慣行を使用してリアルタイムにフォーマットしてもよい。

好ましい一態様において、１回決済ウォレット１６０は、携帯通信デバイス５０の能力に加えて、マーチャントのＰＯＳ機器７５の能力に基づいて、一時決済カードをフォーマット化する。一時決済カード情報は、複数のフォーマットにフォーマットしてもよく、消費者に、マーチャント会計係に提示してもよい、選択肢を提供してもよい。図７Ａおよび７Ｂは、携帯通信デバイス５０に送信することのできる、１回決済コードの２つの可能な種類を示す。図７Ａは、２Ｄバーコードとして１回決済のコードを示す。当業者には理解されるように、このバーコードは、３ＤまたＱＲコード（登録商標）とすることもできる。図７Ｂは、１６桁または必要に応じて異なる長さとしてもよい、数字コードとしての１回決済コードを示す。

一時決済カード情報をスマートフォンディスプレイ上に描画することのできる、１つのフォーマットは、マーチャントにおける事務員がマーチャントＰＯＳに手で入力する、ＩＳＯ／ＩＥＣ７８１３準拠番号（すなわち、ＰＡＮ）である。一時決済カードデータをスマートフォンディスプレイ上に描画することのできる別のフォーマットは、バーコード（ＩＳＯ／ＩＥＣ１５４２６−１）、２−Ｄバーコード（ＩＳＯ／ＩＥＣ１５４２６−２）、ＱＲコード（登録商標）（ＩＳＯ／ＩＥＣ１８００４：２００６）、またはＡＳＣＩＩデータを送信して、次いで、マーチャントのＰＯＳの光学スキャナによって取り込まれる、そのような類似の方法である。一時決済カードデータを、ＮＦＣピア・ツー・ピアモード（ＩＳＯ／ＩＥＣ１８０９２）描画できるさらに別のフォーマットは、ＮＦＣタグエミュレーション（ＮＤＥＦ、ＩＳＯ１４４４３およびＦｅｌｉｃａ（登録商標）である）、またはＮＦＣカードエミュレーションモード（ＩＳＯ１４４４２カードエミュレーション）もしくはＲＦＩＤモードである。

一時決済カードデータは、例えば２分などの、短い所定期間の後に期限切れとなり、さらなるセキュリティを与える。この時間は、発行者の意志がある限り延長することもできる。３０分未満、または２０分未満、またはさらには１０分未満が好ましいと考えられる。その他の期限切れ時間を、必要に応じて使用および／またはプログラムすることができる。

携帯通信デバイス５０は、一時クレデンシャルデータ、見込みマーチャント、および発行エンジン２０１０からのエミュレーション情報を受信する。好ましい態様において、携帯通信デバイス５０は、見込みマーチャントがデータベース２０１２から正しく選択されたかを確認する。図６に関連して示された１つのアプローチにおいては、携帯通信デバイスが、ユーザに位置を確認するように依頼する。図示の例においては、ユーザインターフェイスが、位置が「グローサリランド（ＧｒｏｃｅｒｙＬａｎｄ）」であるかどうかを尋ねる。図１Ａにおいて消費者は、グローサリランドに立っているのが示されているので、図６の「ｙｅｓ」ボタンを選択するはずである。システムが間違った小売商を選択した場合には、システムは、正しい小売り商を確定するための代替案を提示してもよい。例えば、図６Ａは、発行エンジン２０１０がモール（またはその他のマーチャントの高密度群）として認識しているものの中から１回クレデンシャルが要求された例において、消費者の近傍に近い可能性のあるマーチャントのリストの提供を示している。本明細書、図面、および特許請求の範囲を入手した当業者には理解されるように、近所のマーチャントは、単一のモール内のマーチャントに限定される必要はない。地理的にサーバが受信した地理位置に近い、その他の小売商から代替案を選択してもよい。さらに理解されるように、これらの代替案は、エンドユーザに対してプルダウンメニューまたはリストの形態で提示してもよい。

消費者が携帯デバイス５０を使用してマーチャントを確認する一態様においては、見込みマーチャントの確認は、発行エンジン２０１０によって受信されてもよい。見込みマーチャントが誤って同定された場合には、発行エンジンは、新規のエミュレーション情報を携帯通信デバイス５０に発行してもよい。見込みマーチャントが分かると、発行エンジン２０１０の予測取引モジュール２０１５が、見込みマーチャント用のＩＤ、携帯通信デバイス５０に関連する固有のユーザＩＤ、その取引のために生成された１回使用トークン、および期限切れ時間を、検証マッピングゲートウェイ（validation mapping gateway）２０２０へ送信する。

検証マッピングゲートウェイ２０２０は、銀行、発行者３１０、または決済プロセッサネットワークが物理的なホストとなり、サービスとして、または既存の取引プロセッサ、カード方式、金融機関、およびその他の実体に導入されて統合化されたサブシステムとして、配備されてもよい。予測取引モジュール２０１５からデータを受信すると、受信されたデータは、検証マッピングゲートウェイと関連するデータベース内に記憶される。そのようなデータが提供される場合、一時的データは、先に固有のユーザＩＤと関連していた、レガシカードデータと関連している可能性があるそのようなレガシカード固有のユーザＩＤ関連が存在する範囲まで、そのようなデータは、発行者３１０によるか、または消費者によって、携帯通信デバイス５０と、システム管理バックエンド３００によって組織化された検証マッピングゲートウェイ２０２０との間の直接の電子決済において、作成されてもよい。

好ましい態様において、予測取引モジュール２０１５は、１回使用クレデンシャルが携帯通信デバイス５０に送信されるのと実質的に同時に、検証マッピングゲートウェイ２０２０にデータを送付する。このアプローチにおいて、検証マッピングゲートウェイ２０２０は、マーチャント決済ネットワークを介して、マーチャントＰＯＳ７５からの消費者取引を予期することができる。特に、そのような態様において、検証マッピングゲートウェイ２０２０は、予測取引モジュール２０１５からデータを受信するのと、小売りＰＯＳ７５からの取引の受領との間の時間を利用して、記憶されたデータを、大規模データベースから（大規模データベースからのアクセス時間と比較して）より迅速なアクセスと、記憶されたデータとマーチャント決済ネットワークから受信されるデータとの比較を可能にする、メモリ中に取り出す。このアプローチにおいて、検証マッピングゲートウェイ２０２０におけるこの追加の検証ステップを追加することによって、ＰＯＳ７５から取引を受信した後に、そうでなければ、この比較のためにデータを位置特定して取り出す必要性によって生ずるよりも、生成される遅れが小さくなる。

消費者に戻ると、携帯デバイス５０が一時クレデンシャルおよびエミュレーション情報を受信した後に、消費者は、ＮＦＣピア・ツー・ピア可能ＰＯＳデバイス７５上でスマートフォン５０をタップするか、または他の方法で活動化してもよく、これによって、携帯通信デバイスが、サーバによって提供されるエミュレーションプロトコルを使用して、１回決済コードを備えるクレデンシャルをエミュレートする。コードは、携帯通信デバイス５０のスクリーン上で、視覚的に「エミュレート」してもよいことが理解される。一時決済カードデータは、レガシフォーマットで提供されてもよいので、一時決済カードデータは、既存のマーチャントＰＯＳ機器７５によって受け付けられる。

次いで、ＰＯＳデバイス７５は、一時決済カードデータを、標準クレジットクレデンシャルまたはデビットクレデンシャルであるかのようにして、通常のマーチャント決済ネットワークを介して処理する。しかしながら、一時決済カードデータは、１回決済システムプロバイダに発行者として登録されマッピングされている、発行者識別番号（Issuer Identification Numbers）（ＩＳＯ／ＩＥＣ７８１２）を使用するので、データは、マーチャント決済ネットワークを介して検証マッピングゲートウェイ２０２０へと誘導されることになる。一時クレデンシャルに対する期限切れ時間の期限切れの前に、データが、予期される見込みマーチャントから、検証マッピングゲートウェイ２０２０によって受信される場合には、検証マッピングゲートウェイ２０２０は、（資金の利用可能性に従って）取引を許可する。検証マッピングゲートウェイ２０２０は、決済カードデータがマーチャントＰＯＳデバイス７５に入力された方法（既存のＩＳＯ８５８３指定フィールド）を、一時カードデータがモバイルフォンに提供された方法（例えば、数字コード、バーコード、ＮＦＣ）と比較してもよい。

再び、すべての所望の特性（例えば、一時コード、実行時間、マーチャントＩＤ、およびエミュレーションタイプ）が一致すれば、検証マッピングゲートウェイは、マーチャント決済ネットワークを介して、マーチャントに許可コードを伴う確認を返してもよい。マーチャントＰＯＳ７５は、認証（すなわち、許可コードを伴う決済受託の確認）を受信し、受取りを印刷し、消費者は、その新規に取得した商品を備えて店を出る。

代替的に、（タイミングおよび見込みマーチャントＩＤを含む）一時決済カード情報を検証すると、システムは、等価な決済取引要求を発行者３１０に転送して、取引を許可するという選択肢を有する。このことは、バック・ツー・バック決済取引を実行することとして知られている。このようにして、消費者とマーチャントは、一時カード番号の代わりに、消費者のレガシ銀行クレジットカードまたはデビットカードの口座から決済確認を受け取ることになる。特に、一時決済取引が確認されると、検証マッピングゲートウェイ２０２０は、取引データ内のレガシカード決済データを置換して、このデータは、標準ＰＯＳ取引情報（例えば、マーチャントＩＤ、および取引量）および、態様によっては、取引が、（追加されたセキュリティ対策を示す）検証された１回使用クレデンシャルを使用したことの指示とともに、発行者認証システム３１０に送られる。発行者３１０は、おそらく、取引が上述の追加されたセキュリティを有するという情報を用いて、当該技術において一般に知られている方法で、取引を認証するかどうかを決定するために、レガシカードデータおよび取引情報を検閲する。発行者認証は、通常の既存処理チャネルを介して、マーチャントＰＯＳ７５へ送り返される。

この１回使用クレデンシャルソリューションは、クレジットカードおよびデビットカード決済、ギフトカード、ロイヤルティカード、クーポンおよびオファ、アクセス管理、および消費者が物理的な環境における検証のためにクレデンシャルを提示するその他任意の環境を含む、多数の異なるタイプのクレデンシャル検証シナリオに使用することができる。

この機能は、１回決済ウォレット１６０内に統合してもよいが、ユーザインターフェイスは、ウォレットユーザインターフェイスおよびオーバ・ザ・エア提供によって設けてもよく、セキュア決済サブシステムの管理およびそれへのアクセスは、カードサービスモジュールの機能によってサポートされる。ユーザインターフェイスの根底をなす、カードサービスモジュールは、当該技術において先に知られているように、暗号化された方法で、ユーザのモバイルデバイス５０のカードサービスモジュールと適当な発行者サーバ（１回決済ウォレット１６０に対しては、それは発行エンジン２０１０である）の間での、オーバ・ザ・エア提供、セキュアエレメント管理、および直接キー交換を容易化する。

サードパーティアプリケーションとしての１回決済アプリケーションの検証
図８Ａ、８Ｂに示すように、１回決済ウォレット１６０は、多数の信頼済みサードパーティアプリケーション２００の１つとして配備してもよい。カードサービスモジュールは、任意のアプリケーション２００の信頼済み状態の検証を、そのアプリケーションがセキュアエレメント１２０（またはセキュアデータストア１１５およびさらに好ましくは、とりわけ、カード画像データおよび任意のエンボスカードデータ（embossed card data）を記憶する、メタデータレポジトリ）へのアクセスを許可されて、携帯通信デバイス５０上の決済サブシステム１５０に記憶されたセキュアデータを閲覧、選択および／または変更する前に行う。この検証は、許可済み、または信頼済みのアプリケーションのローカル認証データベースにアクセスすることによって達成してもよい。好ましいアプローチにおいて、ローカル認証データベースは、システム管理バックエンド３００と関連する、１つまたは２つ以上のサーバと関連する、リモート認証データベースと協働する。

図１０は、カードサービスモジュール、セキュアエレメント１２０、および決済サブシステム１５０のセキュリティを強化するための、ローカルおよびリモートの認証データベースの１つの可能な組合せの、１つの可能な実現のブロック図である。図１０に示されるように、ユーザＡ／Ｃレジストリ（またはユーザアカウントレジストリ）は、サーバと関連付けてもよい（またはそうではなくクラウドに配備してもよい）。ユーザＡ／Ｃレジストリは、各ユーザの携帯デバイス５０に配置された、セキュアエレメント１２０の識別を記憶してもよい。ユーザアカウントレジストリ内の入力項目（entry）は、プロセスにおける任意の点において、各ユーザに対して追加してもよい。

「発行者レジストリ」データベースは、承認された発行者のデータベースである。発行者ＩＤは、各タイプのクレデンシャルに対して固有である。言い換えると、銀行が複数のタイプのクレデンシャル（例えば、デビットカード、クレジットカード、アフィニティカード、その他）を有している場合には、各クレデンシャルタイプは、それ自体の発行者ＩＤ（例えば、Ｉ−ＢｏｆＡ−ＩＩ）を有することになる。好ましいアプローチにおいて、複数のタイプのクレデンシャルの間の、発行者ＩＤは、クレデンシャルが少なくとも関係していることを示すように、何らかの共通エレメントを有する（例えば、Ｉ−ＢｏｆＡ−Ｉ）。このようにして、同一の発行者からのアプリケーションは、同一の「拡張」発行者のその他のアプリケーションとデータを共有することができる。好ましいアプローチにおいて、カードサービスモジュールは、（「システムと一緒に出荷する」）ウォレットユーザインターフェイスが、発行者ＩＤ（に加えてアプリケーションＩＤおよびコンパイルトークンを）を有することを要求することによって簡略化することができる。

「アプリケーションレジストリ」は、オペレーティングシステムプロバイダによって事前承認されている、（ほとんどはサードパーティの）アプリケーションのデータベースである。ユーザＡ／Ｃレジストリのように、「アプリケーションレジストリ」データベースおよび「発行者レジストリ」データベースは、１回決済アプリケーションと動作可能に関連する、サーバ側で（またはそうでない場合にはクラウドにおいて）維持される。本明細書を入手した当業者には理解されるように、様々なレジストリを、別個のデータベースに、または１つの一体化されたデータベースに実装してもよい。ウォレッと１６０の開始時、およびその後は好ましくは実質的に規則的な時間間隔（例えば、毎日）において、１回決済ウォレット１６０のアプリケーションレジストリに記憶されたデータは、ローカルに記憶されるウォレットを備えるデバイスに分散される。

図１０に示すように、アプリケーションレジストリには、その他の情報の内で、アプリケーションＩＤ（「ＡｐｐＩＤ」）、発行者ＩＤ、およびコンパイルＩＤまたはトークンを含んでもよい。コンパイルＩＤは、特定のアプリケーションに対する資格付与プロセス中に、１回決済ウォレットに関連する１つまたは２つ以上のプロセスにより、各アプリケーションに対して生成された、グローバル定数である。固有のデバイス５０上の特定のカードサービスモジュールによって、それが生成された後に、コンパイルトークンは、アプリケーションに含められるか、またはその他の方法でアプリケーションに関連付けられる。このコンパイルトークンは、好ましくは、アプリケーションＩＤ、コンパイルＩＤ、発行者ＩＤまたはそれらの組合せなどの、所定のシード（seed）を使用する、デバイスに対してローカルな疑似乱数発生器によって生成される。

ユーザが、デバイス５０上のカードサービスモジュールで、アプリケーションに資格付与しようとするときに、コンパイルＩＤ（ディジタルトークン）およびサードパーティアプリケーションに関連するアプリケーションＩＤ（ディジタル識別子）を、デバイス５０上に記憶されたカードサービスレジストリに記憶されたコンパイルＩＤとアプリケーションＩＤの対に対して、マッチングさせてもよい（図１０を参照）。本明細書を入手した当業者には理解されるように、同一のコンパイルＩＤとアプリケーションＩＤの対は、システムに関連するその他のデバイス５０にも同様に送信される。コンパイルＩＤ／アプリケーションＩＤ対が、デバイス上のカードサービスレジストリ内の対の１つと一致すれば、（セキュアエレメント１２０と関連するものなどの）疑似乱数発生器によって、好ましくはシークレットトークンＩＤがデバイス５０上に生成されて、次いで、デバイス５０上のカードサービスレジストリ内にコンパイルＩＤ／アプリケーションＩＤ対に関連して記憶される。場合によっては、コンパイルＩＤが事前選択されて、乱数発生器にシードを与えるに使用してもよい。なお、カードサービスレジストリに関連するその他所定のデータの１つまたは２つ以上を、代わりにシードとして事前選択することもできることを理解すべきである。カードサービスレジストリは、好ましくは（セキュアエレメント１２０は限定された記憶容量（real estate）を有するので、セキュアエレメント１２０よりも）セキュアメモリ内に記憶され、カードサービスレジストリは、好ましくは、標準暗号化技法を使用してさらに暗号化される。シークレットトークンＩＤはまた、アプリケーションが振り分けられたコンパイルＩＤの代わりに、デバイス５０上のアプリケーション２００の中に、またはその他の方法でそれに関連付けて、埋め込まれる。

１回決済ウォレット１６０が、カードサービスレジストリ中にロードされた後に（かつシークレットトークンがアプリケーション内に埋め込まれた後に）、１回決済ウォレット１６０は、検証済み（または信頼済み）アプリケーションに対して必要な発行者特有クレデンシャルへのアクセスを提供するために、ユーザにオプトイン（opt-in）することを促してもよい。１回決済ウォレットアプリケーション１６０のその後の起動のそれぞれにおいて、埋め込まれたシークレットトークンおよび／またはアプリケーションＩＤが、デバイス上のカードサービスレジストリ内のデータと比較される。一致している場合には、アプリケーションは信頼されて、カードサービスモジュールを介して決済サブシステム１５０にアクセスすることができる。このようにして、アプリケーション２００またはウォレットユーザインターフェイスも、カードサービスレジストリから除去し、このようにして、決済サブシステムおよび場合によってはアプリケーションへのアクセスをもすべて合わせて不能にされることになる場合がある。

カードサービスモジュールはまた、好ましくは、信頼済みアプリケーション検証ステップを使用して、１回決済ウォレット１６０に対して許可されたサブシステムアクセスの適当なレベルを決定する。例えば、一態様においては、このアプリケーションは、決済サブシステム１５０内に含まれるデータのすべてにアクセスして標示することが認可されるのに対して、別のアプリケーションは、決済サブシステム１５０内に含まれるデータのサブセットにアクセスして表示することだけが認可されてもよい。さらに別の態様においては、アプリケーションは、１回決済ウォレット１６０に対して決済要求または取引要求を送付することだけが許可されるが、それ自体は、決済サブシステム１５０に含まれるデータのいずれへもアクセスが許可されてない。１つのアプローチにおいて、アプリケーションに対する許可の授与は以下のように考えることができる。
これらの許可は、最上位から最下位まで上記に示す順番で４つの１６進数を形成するのに使用することができる。図１０の例示カードサービスレジストリに示すように、Ｉ−ＢｏｆＡ−ＩＩ発行者は、許可レベル１１１１１を有し、これは０００１０００１０００１０００１０００１に展開されると考えることができる。言い換えると、Ｉ−ＢｏｆＡ−ＩＩアプリケーションは、それ自体のクレデンシャルの読取り、書込み、削除、活動化／非活動化、およびダウンロードを行うことができるが、全部のクレデンシャルはもちろんのこと、拡張発行者クレデンシャルについてはそれができない。ＢｏｆＡが別の発行者コード（例えば、Ｉ−ＢｏｆＡ−Ｉ）を有している場合には、それは拡張発行者アプリケーションとなる。そのために、発行者ＩＤ「Ｉ−ＢｏｆＡ−ＩＩ」と関連するアプリケーションの許可レベルが０００１０００１０００１００１００００１（または１６進数で２１１２１）に設定されている場合には、アプリケーションは、両発行者ＩＤに関連するクレデンシャルを読み取って、活動化／非活動化することができることになる。さらに別の例においては、ウォレットユーザインターフェイスは、４４４４４（すなわち、０１０００１０００１０００１０００１００）の許可レベルを与えられることがある。言い換えると、ウォレットユーザインターフェイスは、全クレデンシャルの読取り、書込み、削除、活動化／非活動化、およびダウンロードを行うことができる。当業者には理解されるように、これらはアプリケーションに対して授与することのできる可能な許可の例示にすぎず、その他の許可も考えられる。例えば、アプリケーションによっては、拡張発行者クレデンシャルを読み取る能力を有するが、アプリケーション自体のクレデンシャルについては、書込み、削除、活動化およびダウンロードをするだけの能力を有してもよい（例えば、２１１１１であり、これは００１００００１０００１０００１０００１に展開される）。さらに別の例においては、アプリケーションは、活動化／非活動化およびダウンロードの権利だけを与えられてもよい（例えば、０００００００００００００００１０００１または１６進数で０００１１）。さらに別の例においては、アプリケーションは、信頼済みアプリケーションデータベースまたはカードサービスレジストリから削除されることなく、すべての権利をゼロに設定することによって、不能にしてもよい。

１回決済ウォレットアプリケーション１６０が、信頼済みサードパーティアプリケーションの１つとして構成されている態様においては、オープンウォレット１００（またはさらにカードサービスモジュール）にアクセスするためには、それを登録しなければならなくなる。１回決済ウォレットアプリケーション１６０は、発行エンジン２０１０と関連する発行者によって開発された。さらに、１回決済ウォレットアプリケーション１６０は、ＮＦＣクレデンシャルをエミュレートしてもよい。それによって、１回決済ウォレットアプリケーション１６０は、許可レベル１１１１１が与えられ、これは、０００１０００１０００１０００１０００１に展開されると考えることができる。言い換えると、１回決済ウォレットアプリケーション１６０は、それ自体のクレデンシャルを読取り、書込み、削除、活動化／非活動化、およびダウンロードを行うことができるが、拡張発行者クレデンシャルまたはその他任意のクレデンシャルに対してはそれができない。

前述の説明および図面は、１回決済ウォレット１６０、および１回決済クレデンシャルもしくは情報、または短い所定期間の後に期限の切れる、一時決済カードデータについて言及する。しかしながら、１回決済ウォレット１６０は、代わりに、動的一時ウォレット１６０と考えてもよいこと、および１回決済クレデンシャル／情報および一時決済カードデータは、動的一時クレデンシャルと考えてもよいことが認識される。そのために、クレデンシャルは、（１）システム内で他のユーザによって「再生」および再使用してよく；（２）「短い」所定の期間よりも長い、所定の有効時間を有し、（３）そのようなクレデンシャルは、単に商品を購入することを超えて使用してもよい。前述の説明および図面は、マーチャントと関連するＰＯＳデバイス７５に主として言及するが、前述の説明、図面および態様は、ホテルルームトランシーバ、オフィストランシーバ、レンタカートランシーバ、その他などの、その他様々な電子制御ポイントに応用することができる。例えば、電子制御ポイントは、ＰＯＳデバイス、ＲＦＩＤトランシーバ、バーコードトランシーバ、ＮＦＣトランシーバ、その他などの、任意のアクセスポイントを含んでもよい。

特に、クレデンシャルは、一般に、全体的に大型のマーチャント決済システム内の発行者３１０またはその他の組織によって、「費用負担（paid for）」されなくてはならない。そのために、システムは、その廃棄において、限定された数のクレデンシャルだけを有してもよい。そのようなクレデンシャルを特定のユーザおよび取引に対して１回だけ使用すると、不正使用に対する追加のセキュリティをもたらすために、決済クレデンシャルが、異なる時間に、かつ好ましくは異なる地理位置において、複数のユーザが使用するために再生されるシステムと比較して、不必要に高コストになる可能性がある。例えば、発行エンジン２０１０は、第１の地理位置（例えば、カリフォルニア）に位置する第１の携帯通信デバイスを操作している第１のユーザに対するクレデンシャルの発行、およびそれと関連する期限切れデータを追跡して、クレデンシャルの期限切れ日時に続いて、第２の異なる地理位置（例えば、フロリダ）に位置する第２の携帯通信デバイスを操作する第２のユーザに対して全く同一のクレデンシャルを再割り当てしてもよい。

同様に、クレデンシャルは、様々なＰＯＳまたはその他の電子制御ポイントにおけるクレデンシャルの使用を許可するために、より長い有効時間期間を有してもよい。例えば、図９Ａおよび９Ｂを参照すると、例示的なウォレットユーザインターフェイスが、携帯通信デバイス５０上に示されている。ウォレット１６０は、様々な決済カード（例えば、図９Ａに示されているように、ＭａｓｔｅｒＣｈａｒｇｅ、ＶＩＳＡ、Ｃｈａｒｇｅ−Ｉｔ、その他）を含み、またそれらと関連付けてもよいとともに、様々なその他の非決済アプリケーション（例えば、図９Ｂに示されているように、ホテルでのルームキー、オフィスキーカード、レンタカーＦＯＢ、その他）をさらに含み、またそれらと関連付けてもよい。「有効時間」期間は、強化されたセキュリティを提供するために、ＰＯＳにおける販売の文脈において短いのが好ましいが、「有効時間」は、ウォレットがホテルのルームキーなどの非決済アプリケーションと関連する場合には、大幅に長い場合が考えられる。そのような一例において、ウォレット１６０は、ホテルにおけるユーザの部屋を「開放」または「施錠」するのに使用してもよい。すなわち、「有効時間」は、ユーザのホテルでの滞在と、少なくとも同じ長さに設定しなくてはならない。同様に、有効時間は、デバイス５０のユーザが、デバイス５０を使用してオフィスまたはレンタカーにアクセスすることを可能にする、期間（必要な場合には無限）に設定することが可能である。

したがって、システム管理バックエンド３００および発行者３１０を、非金融サービスと関連付けて非決済ウォレットアプリケーションの使用を許可する場合も考えられる。例えば、システム管理バックエンド３００は、非金融サービスに関係するデータ（例えば、ホテル位置、オフィス位置、その他）を含んでもよく、その発行者３１０は、非決済実体（例えば、ホテル実体、オフィス管理実体、その他）と所属していてもよい。

前記の説明および図面は、本発明を単に説明して例証するものであり、本発明はそれらに限定はされない。本明細書は、ある実現または態様に関係して説明されるが、多くの詳細は、例証の目的で記載されている。すなわち、前記は、本発明の原理を単に例証している。例えば、本発明は、その趣旨と本質的な特徴から逸脱することなく、その他の特定の形態を有してもよい。記載の配設は例証的であって、制約的ではない。当業者にとっては、本発明は、追加の実現形態または実施形態をとることが可能であって、本願に記載されたこれらの詳細のある部分は、本発明の基本原理から逸脱することなく、かなり変更してもよい。すなわち、本明細書に明示的に記載して示されてはいないが、本発明の原理を具現化する様々な配設を、その範囲と趣旨の範囲で考案することが可能であることを、当業者であれば理解するであろう。

Claims

携帯通信デバイスと電子制御ポイントとの間の取引を検証するためのシステムであって、携帯通信デバイスは、携帯通信デバイスの現在の地理位置を提供するサービスを有し、システムは、
ユーザ識別データベースにパスコード情報を記憶する手段、
パスコード情報を使用してパスコードを検証する手段、
パスコードを検証した後、現在の地理位置座標を使用して、１つまたは２つ以上の見込みマーチャント、および１つまたは２つ以上の見込みマーチャント内の電子制御ポイントの種類を判定する手段、
判定された種類の電子制御ポイント、および検証マッピングゲートウェイの経路情報を使用して、動的一時クレデンシャルを生成する手段、
生成された動的一時クレデンシャルを携帯通信デバイスに送信する手段、
動的一時クレデンシャル、見込みマーチャントのためのマーチャントＩＤ、携帯通信デバイスに関連付けられたユーザＩＤ、および動的一時クレデンシャルの期限切れ時間を、電子制御ポイントに動作可能に関連付けられた認証システムに提供する手段、および
期限切れ時間前の見込みマーチャント内の電子制御ポイントから受信した動的一時クレデンシャルと、電子制御ポイントに関連付けられたエミュレーションタイプとの取引を検証する手段を含む、
前記システム。
検証する手段が、パスコードと携帯通信デバイスに関連付けられた固有ディジタル署名とのペアリングをさらに検証する、請求項１に記載のシステム。
提供する手段が、携帯通信デバイスの固有ディジタル署名をさらに提供する、請求項２に記載のシステム。
１つまたは２つ以上の見込みマーチャントのそれぞれが、マーチャント名およびマーチャント識別コードによって表わされる、請求項１に記載のシステム。
送信する手段が、１つまたは２つ以上の見込みマーチャントを携帯通信デバイスにさらに送信し、システムが、携帯通信デバイスからの１つまたは２つ以上の見込みマーチャントの内の１つの確認を確定する手段をさらに含み、確定する手段が、一致がないことの指示を受信すると、別の１つまたは２つ以上の見込みマーチャントを選択する、請求項１に記載のシステム。
認証システムが、マーチャント決済ネットワークに接続された検証マッピングゲートウェイをさらに含み、マーチャント決済ネットワークは、ＰＯＳ端末である電子制御ポイントに接続される、請求項１に記載のシステム。
検証マッピングゲートウェイが、動的一時クレデンシャルおよびレガシ決済データを包含する検証データベースを含む、請求項６に記載のシステム。
検証マッピングゲートウェイが、１つまたは２つ以上の発行者に動作可能に接続されており、システムが、決済取引をレガシ決済データと関連する発行者に送付する前に、決済取引において動的一時クレデンシャルの代わりにレガシ決済データを用いる、検証マッピングゲートウェイに関連付けられた手段をさらに含む、請求項７に記載のシステム。
検証する手段が、実行時間が期待された値と一致するかを検証する手段をさらに含む、請求項８に記載のシステム。
検証する手段が、動的一時クレデンシャルが現在地理位置に位置する見込みが最も高いマーチャントからであることを検証する手段をさらに含む、請求項９に記載のシステム。
期限切れ時間が、数分程度であり、システムが、動的一時クレデンシャルを再生する手段をさらに含み、再生する手段は、携帯通信デバイスの現在地理位置、第２の携帯通信デバイスの地理位置、および動的一時クレデンシャルに関連する有効期限切れ時間を使用して、第２の携帯通信デバイスが、第１の携帯通信デバイスの現在地理位置に対して、第２の異なる地理位置に位置するときに、有効期限切れ時間の期限切れに続いて、動的一時クレデンシャルを第２の通信デバイスに送信する、請求項１に記載のシステム。
携帯通信デバイスと電子制御ポイントとの間の取引を検証するための方法であって、携帯通信デバイスは、携帯通信デバイスの現在の地理位置を提供するサービスを有し、方法は、
中央コンピュータによって、ユーザ識別データベースにパスコード情報を記憶すること、
中央コンピュータによって、パスコード情報を使用してパスコードを検証すること、
中央コンピュータによって、検証に基づいて、現在の地理位置座標を使用して、見込みマーチャント、および見込みマーチャント内の電子制御ポイントの種類を判定すること、
中央コンピュータによって、判定された種類の電子制御ポイント、および検証マッピングゲートウェイの経路情報を使用して、動的一時クレデンシャルを生成すること、
中央コンピュータから、生成された動的一時クレデンシャルを携帯通信デバイスに送信すること、
中央コンピュータから、動的一時クレデンシャル、見込みマーチャントのためのマーチャントＩＤ、携帯通信デバイスに関連付けられたユーザＩＤ、および動的一時クレデンシャルの期限切れ時間を、電子制御ポイントに動作可能に関連付けられた認証システムに提供すること、および
認証システムにおいて、期限切れ時間前の見込みマーチャント内の判定された種類の電子制御ポイントから受信した動的一時クレデンシャルとの取引を検証すること、を含む、
前記方法。
中央コンピュータから携帯通信デバイスへ、見込みマーチャントのためのマーチャントＩＤを送信すること、および中央コンピュータによって、携帯通信デバイスからの見込みマーチャントの検証を受信することをさらに含む、請求項１２に記載の方法。
携帯通信デバイスが、固有ディジタル署名を有し、検証することが、パスコードと固有ディジタル署名との関連をチェックすることをさらに含む、請求項１２に記載の方法。
以下の認証：
取引記録における、携帯通信デバイスのエンドユーザに関連するレガシカード決済データを置換すること；および
エンドユーザに関連するレガシカード決済データを使用して、取引記録を決済のために発行者認証システム上に送ること、
を含む、請求項１２に記載の方法。