そこで、クレジットカード情報自体は暗号化されたままだが、これに「Alias」と呼ばれるラベルのようなものを付与するほか、「Shared Secret」と呼ばれる共通鍵を用意することで、バックエンドサーバとのやり取りを成立させる。共通鍵は最初のリンク確立時にバックエンドサーバとモバイル端末(アプリケーションプロセッサ)の間で用意されるもので、これが「○○のトランザクション通信を行っているのは正規の端末です」という証明になる。暗号化されたクレジットカード情報と合わせ、AliasとShared Secretを用いることで、さらにモバイル端末が付加的な別の通信も行えるようにするのが特許の肝だといえるだろう。
実際に、リンク確立からデータのやり取りが行われるまでの過程は次のチャートのようになる。図中の302がリンクを確立するまでの1つめのインターフェイスでのやり取りであり、「Bump」とはいわゆる端末を読み取り機に"タッチ"させる動作だと考えられる。この時点で共通の秘密鍵の交換を行い、2つめのインターフェイスをどれにするか決定する。次にクレジットカード情報等を送信するが、これは2つめのインターフェイスを介したセキュアなリンクで行われるとみられる。さらに次に位置情報(おそらく店舗情報等も含む)やクーポン、ストアクレジット(ポイント等だと考えられる)の交換が行われる。チャートでは最後に支払いとリンク切断で終了している。
|
リンク確立から終了までにやり取りされるトランザクションの流れ(出典: USPTO) |
前述のように、1つめのインターフェイスは共通鍵の交換とAliasの設定、そして2つめのインターフェイスで使う接続手段の選定のみが行われており、それ以外の決済情報を含む追加情報はすべて2つめのインターフェイスで提供されるセキュアなリンクで交換されることになる。なぜ、わざわざ2段階でのリンク確立を行うのか? その理由を次の項で考察する。
どういったことが可能になる?
なぜ、AppleはNFCではなく別の通信手段で決済情報をやり取りしようとしているのだろうか? おそらく理由はシンプルで、次の2つが考えられる。
- NFCでは一度のやり取り可能な情報量が限られており(クレジットカード情報のみなど)、さらなる付加情報のやり取りを行うため
- NFCとセキュアエレメント(SE)を組み合わせた決済ではアプリケーションプロセッサが介入する余地がなく、これをもう少し自由にハンドリングするため
SEにクレジットカード情報を保存し、そのSE内にアプリ(アプレット)を介してのみ情報の取り出しや書き込みが可能な仕組みというのは、安全性の確保を目的に考案された。一方で、このアプレットはセキュアにプログラミングされている必要があり、これが「すべての情報がSEのセキュリティレベルを必要としていない」という部分と合わさり、利用のためのハードルを上げている。
