背景技術：

本公開整體涉及電子設備，并且更具體地涉及操作電子設備以進行移動支付交易。

便攜式電子設備諸如蜂窩電話有時具有近場通信(NFC)電路，該NFC電路允許電子設備執(zhí)行與對應的NFC讀取器的基于非接觸式鄰近性的通信。通常，用戶設備中的NFC電路用于執(zhí)行要求用戶設備驗證并訪問商業(yè)憑據(jù)諸如信用卡憑據(jù)的金融交易或其他安全數(shù)據(jù)事務。執(zhí)行此類移動金融交易所必需的安全數(shù)據(jù)通常被存儲在電子設備內(nèi)的安全元件上。

考慮安全元件存儲與給定信用卡憑據(jù)對應的安全數(shù)據(jù)的情景。該安全元件應當僅在被授權的移動支付交易期間才輸出安全數(shù)據(jù)(即，未被授權的用戶應當不能訪問設備上的支付功能)。因此期望為被授權的用戶提供一種提供導致暫時激活用戶設備上的支付功能的某種輸入的方式。

技術實現(xiàn)要素：

本發(fā)明提供了一種用于操作便攜式電子設備以進行移動支付交易的裝置和方法。

根據(jù)一個實施方案，該電子設備可包括安全元件和與該安全元件進行通信的處理器。該電子設備可被配置為從用戶接收支付發(fā)起輸入。響應于接收到該支付發(fā)起輸入，該安全元件可用于向處理器發(fā)送用于指示已從用戶接收到支付發(fā)起輸入的通知。之后，該安全元件可用于與處理器進行通信，以暫時激活安全元件以用于支付。

根據(jù)另一實施方案，該便攜式電子設備可包括用于安全存儲商業(yè)憑據(jù)的安全元件、被配置為經(jīng)由安全信道與安全元件進行通信的應用處理器、和用于與設備的用戶進行交互的輸入-輸出設備。安全元件可具有相關聯(lián)的安全元件標識符(SEID)。

在利用設備來執(zhí)行金融交易之前，可要求用戶啟用設備上的密碼鎖定功能。當密碼鎖定功能被啟用時，設備可在設備空閑時被置于鎖定狀態(tài)中，并且可在用戶能夠提供正確密碼時被置于解鎖狀態(tài)中。響應于從用戶接收到正確密碼，應用處理器可從被保持在應用處理器上的用戶鑰匙串(例如，安全地存儲敏感用戶信息的鑰匙串)檢索隨機授權號“AuthRand”。

輸入-輸出設備可用于從被授權用戶接收用于發(fā)起移動支付交易的某些預先確定的輸入序列。例如，用戶可在按鈕上按壓兩次來發(fā)信號通知該設備意圖使用商家終端處的該設備來進行基于NFC的金融交易。根據(jù)一個實施方案，安全元件可具有響應于檢測到預先確定的用戶輸入序列來將“接收到用戶輸入”標記置為有效(assert)的非接觸式注冊服務(CRS)小應用程序。

電子設備還可包括用于檢測來自用戶的預先確定的輸入序列的電力管理單元(PMU)。PMU可以是不可重新配置的數(shù)字狀態(tài)機(作為示例)。PMU可在從用戶接收到預先確定的輸入序列時從輸入-輸出設備接收觸發(fā)信號。該觸發(fā)信號可指示PMU向應用處理器和安全元件兩者發(fā)送提示(例如，向應用處理器和安全元件發(fā)送被置為有效的啟用信號)。

安全元件可用于確認所接收的用戶輸入是有效的預先確定的用戶輸入序列(例如，通過監(jiān)測由電力管理單元輸出的授權信號的狀態(tài))。電力管理單元可響應于檢測到有效的用戶支付發(fā)起輸入序列而將授權信號置為有效預先確定的時間段。一旦用戶輸入已被驗證，安全元件上的非接觸式注冊服務(CRS)小應用程序便可將“接收到用戶輸入”控制標記置為有效，并且安全元件可被配置為向應用處理器發(fā)送用于指示已接收到有效的用戶輸入序列(在本文中有時被稱為支付發(fā)起輸入)的通知。

響應于從安全元件接收到通知，應用處理器可用于基于安全元件的SEID和/或基于應用處理器的唯一標識符來推導認證密鑰“AuthKey”。然后，安全元件可向應用處理器發(fā)送卡密文。應用處理器可使用所推導的AuthKey來對卡密文進行解碼，并且可用于通過至少將卡密文的一部分與所檢索的AuthRand進行比較來確定是否繼續(xù)激活安全元件上的支付小應用程序。如果卡密文的一部分與所檢索的AuthRand匹配，則應用處理器可繼續(xù)向安全元件發(fā)送主機密文。例如，主機密文可使用基于密碼的消息認證代碼(CMAC)算法利用AuthKey進行加密。

安全元件可從應用處理器接收主機密文，并且可用于通過分析所接收的主機密文的至少一部分來確定是否要繼續(xù)激活支付小應用程序。如果主機密文的一部分滿足設計標準，則CRS小應用程序可用于暫時激活支付小應用程序。這時，用戶可使電子設備位于商家終端的場內(nèi)，以完成移動支付交易。

提供發(fā)明內(nèi)容僅僅是為了概述一些示例性實施方案，以便提供對本文所述主題的一些方面的基本了解。因此，應當理解，上文所述的特征結構僅為示例并且不應理解為以任何方式縮小本文所述主題的范圍或?qū)嵸|(zhì)。本文所述主題的其他特征、方面和優(yōu)點將根據(jù)以下具體實施方式、附圖和權利要求書而變得顯而易見。

附圖說明

圖1是根據(jù)實施方案的其中一個或多個用戶設備可用于執(zhí)行移動支付交易的示例性系統(tǒng)的圖示。

圖2A是根據(jù)實施方案的示例性主用戶設備的透視圖。

圖2B是根據(jù)實施方案的示例性輔用戶設備的透視圖。

圖3是根據(jù)實施方案的圖1的主用戶設備中的示例性電路的示意圖。

圖4是根據(jù)實施方案的圖1的輔用戶設備中的示例性電路的示意圖。

圖5是根據(jù)實施方案的在激活用戶設備以用于移動支付的過程中所涉及的示例性步驟的流程圖。

圖6是示出根據(jù)實施方案的在支付激活操作期間的用戶設備內(nèi)的不同部件之間的信息流的圖示。

圖7是示出根據(jù)實施方案的由預先確定的用戶輸入觸發(fā)的事件序列的時序圖。

圖8是根據(jù)實施方案的用于使用電力管理單元來檢測用于發(fā)起移動支付的有效用戶輸入的示例性步驟的流程圖。

具體實施方式

圖1示出了系統(tǒng)100的圖示，其中憑據(jù)信息可利用服務提供方子系統(tǒng)112來從支付網(wǎng)絡子系統(tǒng)122提供到一個或多個電子設備上。已從支付網(wǎng)絡子系統(tǒng)122提供有商業(yè)憑據(jù)的用戶設備可用于與商家終端諸如商家終端108進行金融交易。用戶設備例如可經(jīng)由基于非接觸式鄰近性的通信(例如，使用近場通信(NFC)標準)來與商家終端108進行通信。終端108(有時被稱為“銷售”終端)可包括NFC讀取器，以用于從附近電子設備檢測、讀取或以其他方式接收信息。

例如，用戶可將電子設備保持在商家終端108的范圍內(nèi)，以發(fā)起商業(yè)交易。不需要存在用戶設備與商家終端之間的實際物理接觸。在電子設備位于商家終端108的范圍內(nèi)時(例如當用戶設備在終端108的10cm內(nèi)時、當用戶設備在終端108的5cm內(nèi)時、當用戶設備在終端108的1cm內(nèi)時、或者當用戶設備與商家終端之間的距離具有其他合適的值時)，電子設備可將所選擇的商業(yè)憑據(jù)發(fā)送至商家終端108。響應于接收到所選擇的商業(yè)憑據(jù)，商家終端108可通過將所接收的商業(yè)憑據(jù)轉(zhuǎn)發(fā)給相應支付處理器(未示出)來完成支付。支付處理器可利用用戶商業(yè)憑據(jù)來完成與支付網(wǎng)絡子系統(tǒng)122的交易。支付交易經(jīng)由NFC執(zhí)行的這個實施方案僅僅是示例性的，并不限制本發(fā)明的范圍。如果需要，任意兩個電子設備之間的金融交易可通過通信鏈路、個人區(qū)域網(wǎng)(PAN)通信鏈路、無線局域網(wǎng)(WLAN)通信鏈路、或其他短距離無線通信鏈路來執(zhí)行。

支付網(wǎng)絡子系統(tǒng)122可由包括多個發(fā)行銀行和/或收單銀行(例如，支付處理器)的網(wǎng)絡的金融實體來運營。支付網(wǎng)絡子系統(tǒng)122處的金融實體可充當與和不同品牌的商業(yè)憑據(jù)相關聯(lián)的一個或多個發(fā)行銀行/收單銀行合作的一般性支付卡協(xié)會(例如，信用卡協(xié)會)，并且有時可被稱為支付網(wǎng)絡運營方。支付網(wǎng)絡運營方和相關聯(lián)的發(fā)行銀行/收單銀行可以是單一實體或分開的實體。

例如，American Express是支付網(wǎng)絡運營方和發(fā)行銀行/收單銀行兩者。又如，Visa和MasterCard可以是與其他發(fā)行銀行/收單銀行諸如Bank of America、Wells Fargo、和Chase(舉例來說)合作的支付網(wǎng)絡運營方。發(fā)行銀行可以是對于每個用戶清償利用特定品牌的支付卡所發(fā)生債務的能力來承擔主債務責任的金融機構?？砂l(fā)行的各種類型的支付卡可包括但不限于信用卡、借記卡、簽帳卡、儲值卡、汽油優(yōu)惠卡、和禮品卡。

用戶支付卡憑據(jù)可使用服務提供方子系統(tǒng)諸如服務提供方子系統(tǒng)112從此類金融實體提供到用戶設備上。服務提供方子系統(tǒng)112可被配置為提供另一層安全性和/或提供更無縫的用戶體驗。例如，服務提供方子系統(tǒng)112可由為用戶提供各種服務的商業(yè)服務實體來運營，該各種服務可包括：用于銷售/租賃將由用戶設備播放的媒體的在線商店、用于銷售/租賃在用戶設備上運行的應用程序的在線商店、用于在多個用戶設備之間備份和同步數(shù)據(jù)的在線存儲服務、用于跟蹤用戶設備的位置并遠程控制該設備的遠程設備管理服務、允許用戶購買附加用戶設備或產(chǎn)品(例如，由該商業(yè)實體制造的產(chǎn)品)的在線商店等等。又如，服務提供方子系統(tǒng)112可由移動網(wǎng)絡運營方諸如Verizon或AT&T運營。

在任一情景中，服務提供方子系統(tǒng)112處的商業(yè)實體可至少向不同的用戶提供其各自的個性化賬戶，以用于訪問由該商業(yè)實體所提供的服務。每個用戶帳戶可與個性化用戶識別(或賬戶ID)和用戶可用于登錄其賬戶的密碼相關聯(lián)。一旦登錄，便可給予用戶機會來將一個或多個商業(yè)憑據(jù)(例如支付卡)提供到用戶設備上，以使得用戶設備能夠使用由商業(yè)實體提供的服務來購買商品和/或在商家終端108處執(zhí)行金融交易。

一般來講，服務提供方子系統(tǒng)112處的商業(yè)實體和支付網(wǎng)絡子系統(tǒng)122處的金融實體被視為是分開的實體。商業(yè)實體可利用與其每個用戶賬戶相關聯(lián)的任何已知的憑據(jù)信息來更安全地確定由支付網(wǎng)絡運營方所提供的特定憑據(jù)是否應當被提供到給定用戶設備上。如果需要，則商業(yè)實體還可利用其能夠(例如經(jīng)由軟件或固件更新)配置或控制用戶設備的各個部件的能力，以便在用戶想要將由支付網(wǎng)絡運營方所提供的憑據(jù)提供到給定用戶設備上時為用戶提供更無縫的體驗。

如圖1所示，服務提供方子系統(tǒng)112可包括代理人模塊114、可信服務管理器(TSM)模塊116、和基于網(wǎng)絡的服務模塊118。代理人模塊114可用于管理與商業(yè)實體用戶賬戶的用戶認證，并且還可用于管理生命周期，以及將憑據(jù)提供到用戶設備上。代理人模塊114還可被配置為控制被顯示在用戶設備上的用戶界面(例如，圖形用戶界面)，以及處理與在用戶設備上提供商業(yè)憑據(jù)相關的任何用戶輸入。當期望將卡被提供到用戶設備上時，代理人模塊114可經(jīng)由路徑120來向支付網(wǎng)絡子系統(tǒng)122發(fā)送通知。

響應于接收到來自代理人模塊114的這個通知，支付網(wǎng)絡子系統(tǒng)122可直接與TSM模塊116進行通信，以在用戶設備上執(zhí)行憑據(jù)提供操作。TSM 116可用于提供基于GlobalPlatform或其他安全交易的服務，使得TSM 116可在服務提供方子系統(tǒng)112和用戶設備內(nèi)的安全元件之間建立安全信道。商業(yè)憑據(jù)、支付卡信息、和/或其他敏感賬戶數(shù)據(jù)于是可經(jīng)由安全信道被傳送給設備中的安全元件。一般來講，TSM 116可使用公鑰/私鑰或其他加密方案來確保服務提供方子系統(tǒng)112與用戶設備內(nèi)的安全元件之間的通信是安全的。

基于網(wǎng)絡的服務模塊118可用于允許用戶在計算服務器的網(wǎng)絡上存儲數(shù)據(jù)諸如音樂、照片、視頻、聯(lián)系人、多媒體消息、電子郵件、日歷、記事、提醒、應用程序、文檔、設備設置、和其他信息，使得數(shù)據(jù)可跨多個用戶設備而同步(例如模塊118允許用戶將存儲在其設備上的數(shù)據(jù)備份到與服務提供方子系統(tǒng)相關聯(lián)的服務器上)。該備份數(shù)據(jù)可用于恢復用戶設備或者設置新的用戶設備(作為示例)。

基于網(wǎng)絡的服務模塊118還可被配置為允許用戶尋找丟失的設備(有時被稱為“尋找我的設備”特征)、在不同設備之間分享媒體、和/或跨不同用戶設備來將敏感信息(例如商業(yè)憑據(jù)信息、網(wǎng)址賬戶登錄信息、賬戶信息等)保持為最新的。任何敏感用戶信息可作為用戶“鑰匙串”的一部分被存儲，用戶“鑰匙串”可被存儲在用戶設備上和/或基于網(wǎng)絡的服務模塊118上。只有被授權用戶才應具有對鑰匙串的訪問權限。鑰匙串中的內(nèi)容可使用行業(yè)標準加密技術(例如，使用至少128位AES加密)來進行保護。以這種方式配置的模塊118有時被稱為“云”存儲裝置或云計算模塊。

仍然參考圖1，用戶可擁有多個設備諸如設備10和102。設備10可被稱為“主”用戶設備，而設備102可被稱為“輔”用戶設備。一般來講，主用戶設備10可具有比輔用戶設備102更多的功能。例如，主用戶設備10可充當用戶的主要設備，以用于在訪問由服務提供方子系統(tǒng)112提供的整個一系列服務時使用、以用于進行電話呼叫、以用于選擇要在設備10和102中的一個設備上提供的新卡、以用于捕獲圖像、以及以用于訪問互聯(lián)網(wǎng)，而輔用戶設備102可充當附件設備，以用于在只訪問由服務提供方子系統(tǒng)112處的商業(yè)實體所提供的服務的子集時使用。然而，應當理解，術語“主”和“輔”用于便于描述，并且在一些情況下，“輔”設備實施與由“主”設備所實施的功能相同或更大的功能。

主用戶設備10或輔用戶設備102中的任一者可用于在商家終端108處執(zhí)行移動支付交易。能夠進行這種類型的基于NFC的金融交易的每個設備可具有安全元件。安全元件可以是能夠根據(jù)公認的可信權威機構諸如GlobalPlatform所規(guī)定的規(guī)則和安全要求來安全地托管應用程序及其保密和密碼數(shù)據(jù)的防篡改部件(例如，作為單芯片或多芯片安全微控制器)。安全元件(SE)可作為通用集成電路卡(UICC)、嵌入式SE、智能安全數(shù)字(SD)卡、微SD卡等來提供。敏感用戶信息諸如信用卡信息和其他商業(yè)憑據(jù)可被存儲在安全元件上。安全元件提供安全域，該安全域保護用戶憑據(jù)并且在可信環(huán)境中處理所期望的支付交易，而不損害用戶數(shù)據(jù)的安全性。一般來講，每個安全元件可具有其自身的唯一標識符，其在本文中有時被稱為SEID。任何兩個安全元件不應具有相同的SEID，并且SEID不能改變。

在一種合適的布置中，用戶可操作主用戶設備10，以直接在主用戶設備上提供一個或多個支付卡。在此類布置中，憑據(jù)信息可從支付網(wǎng)絡子系統(tǒng)122和/或服務提供方子系統(tǒng)112檢索，并且可經(jīng)由路徑110下載到設備10內(nèi)的安全元件。子系統(tǒng)112和設備10之間的路徑110可經(jīng)由蜂窩電話無線電通信協(xié)議或其他遠距離無線通信技術和/或經(jīng)由IEEE 802.11協(xié)議(有時被稱為)、或其他短距離無線通信技術來支持。

在另一種合適的布置中，用戶可操作主用戶設備10，以將一個或多個支付卡間接地提供到輔用戶設備102上。在此類情景中，可使用在主用戶設備10上運行的輔設備憑據(jù)管理應用程序(有時被稱為“橋接”應用程序)來管理將憑據(jù)提供到輔設備102上。在此類布置中，支付網(wǎng)絡子系統(tǒng)122可提供期望的支付卡信息，該支付卡信息然后經(jīng)由主用戶設備10和路徑106被安全地寫入輔設備102上的安全元件中。主用戶設備10和輔用戶設備106之間的通信路徑106可經(jīng)由(例如經(jīng)由藍牙低功耗和/或藍牙“經(jīng)典”技術)、IEEE 802.11協(xié)議(有時被稱為)、或其他短距離無線通信技術來支持(作為示例)。在另外一種合適的布置中，輔設備102可使用任何合適的遠距離或短距離無線通信標準(如由路徑111所指示的)來直接與服務提供方子系統(tǒng)112進行通信，以獲取商業(yè)憑據(jù)。

圖2A示出主用戶設備10的透視圖。設備10可以是便攜式設備，諸如蜂窩電話、媒體播放器、平板電腦、或其他便攜式計算設備。圖2A的示例僅是示例性的。如果需要，其他配置也可用于設備10。如圖2A所示，設備10可包括顯示器諸如顯示器14。顯示器14已被安裝在外殼諸如外殼12中。外殼12有時可被稱為可由塑料、玻璃、陶瓷、纖維復合材料、金屬(例如，不銹鋼、鋁等)、其他合適的材料或這些材料中的任意兩種或更多種的組合形成的外殼或殼體。外殼12可使用一體式構造形成，在該一體式構造中，外殼12的一些或全部外殼被加工或模制成單一結構，或者可使用多個結構(例如，內(nèi)框架結構、形成外部外殼表面的一種或多種結構等)形成。

顯示器14可以是結合有一層傳導性電容性觸摸傳感器電極或其他觸摸傳感器部件(例如，電阻性觸摸傳感器部件、聲學觸摸傳感器部件、基于力的觸摸傳感器部件、基于光的觸摸傳感器部件等)的觸摸屏顯示器，或者可以是并非觸敏的顯示器。電容性觸摸屏電極可由氧化銦錫墊陣列或其他透明導電結構形成。

顯示器14可包括由液晶顯示器(LCD)部件形成的顯示像素陣列、電泳顯示像素陣列、等離子顯示像素陣列、有機發(fā)光二極管顯示像素陣列、電濕潤顯示像素陣列、或基于其他顯示技術的顯示像素。

顯示器14可使用顯示器覆蓋層諸如一層透明玻璃或透光塑料來保護?？稍陲@示器覆蓋層中形成開口。例如，可在顯示器覆蓋層中形成開口，以容納按鈕諸如按鈕16。還可在顯示器覆蓋層中形成開口，以容納端口諸如揚聲器端口18。可在外殼12中形成開口，以形成通信端口(例如，音頻插孔端口、數(shù)字數(shù)據(jù)端口等)。

圖2B示出輔用戶設備102的透視圖。電子設備102可為計算設備(諸如膝上型計算機、包含嵌入式計算機的計算機監(jiān)測器、平板電腦、蜂窩電話、媒體播放器或其他手持式或便攜式電子設備)、較小的設備(諸如腕表設備、掛式設備、耳機或聽筒設備、嵌入在眼鏡或其他佩帶在用戶頭部的配件中的設備、或其他可穿戴式或微型設備)、電視機、不包含嵌入式計算機的計算機顯示器、游戲設備、導航設備、嵌入式系統(tǒng)諸如其中具有顯示器的電子設備被安裝在信息亭或汽車中的系統(tǒng)、實現(xiàn)這些設備中的兩個或更多個設備的功能的設備、或其他電子設備。在至少一些實施方案中，輔用戶設備102充當主設備10的輔助設備，其中設備102可用于為用戶執(zhí)行專用功能。

圖2B所示的其中設備102被圖示為可穿戴設備諸如具有表帶19的腕表設備的示例僅僅是示例性的。如圖2B所示，設備102可包括顯示器諸如顯示器15。顯示器15已被安裝在外殼諸如外殼13中。外殼13有時可被稱為可由塑料、玻璃、陶瓷、纖維復合材料、金屬(例如，不銹鋼、鋁等)、其他合適的材料或這些材料中的任意兩種或更多種的組合形成的外殼或殼體。外殼13可使用一體式構造形成，在該一體式構造中，外殼13的一些或全部外殼被加工或模制成單一結構，或者可使用多個結構(例如，內(nèi)框架結構、形成外部外殼表面的一種或多種結構等)形成。

顯示器15可以是結合有一層傳導性電容性觸摸傳感器電極或其他觸摸傳感器部件(例如，電阻性觸摸傳感器部件、聲學觸摸傳感器部件、基于力的觸摸傳感器部件、基于光的觸摸傳感器部件等)的觸摸屏顯示器，或者可以是并非觸敏的顯示器。電容性觸摸屏電極可由氧化銦錫墊陣列或其他透明導電結構形成。

顯示器15可包括由液晶顯示器(LCD)部件形成的顯示像素陣列、電泳顯示像素陣列、等離子顯示像素陣列、有機發(fā)光二極管顯示像素陣列、電濕潤顯示像素陣列、或基于其他顯示技術的顯示像素。顯示器15可使用顯示器覆蓋層諸如一層透明玻璃或透光塑料來保護。

設備102可具有可用于采集用戶輸入的一個或多個按鈕17。按鈕17可基于薄膜開關或其他開關電路。按鈕17可包括形成下壓按鈕(例如，瞬時按鈕)、滑動開關、搖臂開關等的按鈕構件。如果需要，設備10還可具有附加按鈕、揚聲器端口、數(shù)據(jù)端口(諸如數(shù)字數(shù)據(jù)端口和音頻連接器端口)、和/或其他輸入-輸出設備。在一些實施方案中，輔用戶設備102上的按鈕17中的至少一個按鈕可用于使得設備102能夠執(zhí)行安全移動交易。

圖3中示出了可在設備10中使用的示例性部件的示意圖。如圖3所示，設備10可包括控制電路諸如存儲和處理電路28。存儲和處理電路28可包括存儲裝置諸如硬盤驅(qū)動器存儲裝置、非易失性存儲器(例如，被配置為形成固態(tài)驅(qū)動器的閃存存儲器或其他電可編程的只讀存儲器)、易失性存儲器(例如，靜態(tài)或動態(tài)隨機存取存儲器)，等等。存儲和處理電路28中的處理電路可用于控制設備10的操作。該處理電路可基于一個或多個微處理器、微控制器、數(shù)字信號處理器、專用集成電路等。

存儲和處理電路28可用于運行設備10上的軟件，諸如互聯(lián)網(wǎng)瀏覽應用程序、互聯(lián)網(wǎng)語音協(xié)議(VOIP)電話呼叫應用程序、電子郵件應用程序、媒體回放應用程序、操作系統(tǒng)功能、輔設備憑據(jù)管理應用程序等。為了支持與外部裝置進行交互，存儲和處理電路28可用于實現(xiàn)通信協(xié)議?？墒褂么鎯吞幚黼娐?8來實現(xiàn)的通信協(xié)議包括互聯(lián)網(wǎng)協(xié)議、無線局域網(wǎng)協(xié)議(例如IEEE802.11協(xié)議—有時被稱為)、用于其他短距離無線通信鏈路的協(xié)議(諸如協(xié)議、蜂窩電話協(xié)議、MIMO協(xié)議、天線分集協(xié)議，等等)。

輸入-輸出電路44可包括輸入-輸出設備32。輸入-輸出設備32可用于允許將數(shù)據(jù)提供至設備10，以及允許將數(shù)據(jù)從設備10提供至外部設備。輸入-輸出設備32可包括用戶接口設備、數(shù)據(jù)端口設備、和其他輸入-輸出部件。例如，輸入-輸出設備32可包括觸摸屏、不具有觸摸傳感器能力的顯示器、按鈕、操縱桿、點擊輪、滾輪、觸摸板、小鍵盤、鍵盤、麥克風、相機、按鈕、揚聲器、狀態(tài)指示器、光源、音頻插孔和其他音頻端口部件、數(shù)字數(shù)據(jù)端口設備、光傳感器、運動傳感器(加速度計)、電容傳感器、接近傳感器等。

輸入-輸出電路44可包括用于與外部設備進行無線通信的無線通信電路34。無線通信電路34可包括由一個或多個集成電路、功率放大器電路、低噪聲輸入放大器、無源射頻(RF)部件、一個或多個天線、傳輸線和用于處理RF無線信號的其他電路形成的RF收發(fā)器電路。無線信號也可使用光(例如，使用紅外通信)來發(fā)送。

無線通信電路34可包括用于處理各種射頻通信頻帶的射頻收發(fā)器電路90。例如，電路34可包括收發(fā)器電路36和38。收發(fā)器電路36可以是可處理用于(IEEE 802.11)通信的2.4GHz頻帶和5GHz頻帶并可處理2.4GHz通信頻帶的無線局域網(wǎng)收發(fā)器電路。電路34可使用用于處理頻率范圍或者其他合適頻率中的無線通信的蜂窩電話收發(fā)器電路38，諸如從700MHz到960MHz的低通信頻帶、從1710MHz到2170MHz的中頻帶、和從2300MHz到2700MHz的高頻帶或者700MHz與2700MHz之間的其他通信頻帶(作為示例)。電路38可處理語音數(shù)據(jù)和非語音數(shù)據(jù)。

無線通信電路34還可包括用于接收1575MHz的GPS信號或者用于處理其他衛(wèi)星定位數(shù)據(jù)的衛(wèi)星導航系統(tǒng)電路，諸如全球定位系統(tǒng)(GPS)接收器電路42。如果需要，無線通信電路34可包括用于其他短距離和遠距離無線鏈路的電路。例如，無線通信電路34可包括60GHz收發(fā)器電路、用于接收電視信號和無線電信號的電路、尋呼系統(tǒng)收發(fā)器等。在和鏈路以及其他短距離無線鏈路中，無線信號通常用于在幾十或幾百英尺的范圍內(nèi)傳送數(shù)據(jù)。在蜂窩電話鏈路和其他遠距離鏈路中，無線信號通常用于在幾千英尺或數(shù)英里范圍內(nèi)傳送數(shù)據(jù)。

無線電路34還可包括近場通信電路50。近場通信電路50可生成和接收近場通信信號，以支持設備10與近場通信讀取器或其他外部近場通信設備之間的通信。近場通信可使用環(huán)形天線來支持(例如用于支持感應式近場通信，其中設備10中的環(huán)形天線電磁地近場耦接到近場通信讀取器中的對應環(huán)形天線)。近場通信鏈路通常在20cm或更短的距離內(nèi)形成(即為了有效通信，設備10必須鄰近近場通信讀取器放置)。

收發(fā)器電路90和NFC電路50可耦接到一個或多個基帶處理器48。基帶處理器48可從電路28接收要傳輸?shù)臄?shù)字數(shù)據(jù)，并且可向無線收發(fā)器電路90中的至少一個無線收發(fā)器電路提供對應信號以用于無線傳輸。在信號接收操作期間，收發(fā)器電路90和NFC電路50可從外部源(例如，無線基站、無線接入點、GPS衛(wèi)星、NFC讀取器等)接收射頻信號?；鶐幚砥?8可將從電路90和50接收的信號轉(zhuǎn)換成用于電路28的對應數(shù)字信號。基帶處理器48的功能可由一個或多個集成電路提供?；鶐幚砥?8有時被認為是存儲和處理電路28的一部分。

無線通信電路系統(tǒng)34可包括天線40。可使用任何合適的天線類型來形成天線40。例如，天線40可包括具有諧振元件的天線，該諧振元件由環(huán)形天線結構、貼片天線結構、倒F形天線結構、隙縫天線結構、平面倒F形天線結構、螺旋形天線結構、這些設計的混合等形成。可針對不同的頻帶和頻帶組合使用不同類型的天線。例如，在形成本地無線鏈路天線時可使用一種類型的天線，并且在形成遠程無線鏈路天線時可使用另一種類型的天線。除了支持蜂窩電話通信、無線局域網(wǎng)通信、和其他遠場無線通信之外，天線40的結構可用于支持近場通信。天線40的結構也可用于采集接近傳感器信號(例如，電容性接近傳感器信號)。

射頻收發(fā)器電路90不處理近場通信信號，并且因此有時被稱為“遠場”通信電路或非近場通信電路(例如收發(fā)器電路90可處理非近場通信頻率，諸如高于700MHz的頻率或其他合適的頻率)。近場通信收發(fā)器電路50可用于處理近場通信。利用一種合適的布置，近場通信可使用頻率為13.56MHz的信號來支持。如果需要，可使用天線40的結構來支持其他近場通信頻帶。

圖4中示出了可在輔用戶設備102中使用的示例性部件的示意圖。如圖4所示，設備102可包括控制電路，諸如主處理器(在本文中有時被稱為應用處理器或AP)200、輸入-輸出設備210、電力管理單元(PMU)(諸如電力管理單元220)、安全元件(諸如安全元件202)、和NFC控制器222。應用處理器200可用于控制設備102的操作并且可訪問存儲裝置(諸如硬盤驅(qū)動器存儲裝置)、非易失性存儲器(例如被配置為形成固態(tài)驅(qū)動器的閃存存儲器或其他電可編程的只讀存儲器)、易失性存儲器(例如靜態(tài)或動態(tài)隨機存取存儲器)等。一般來說，處理器200可用于運行設備102上的軟件，諸如互聯(lián)網(wǎng)瀏覽應用程序、互聯(lián)網(wǎng)語音協(xié)議(VOIP)電話呼叫應用程序、電子郵件應用程序、媒體回放應用程序、操作系統(tǒng)功能等。應用處理電路可基于一個或多個微處理器、微控制器、數(shù)字信號處理器、專用集成電路等。

應用處理器可經(jīng)由路徑250和252耦接到電力管理單元220。PMU 220例如可以是管理設備102的電力功能的微控制器。PMU 220應當即使在設備102的其余部分空閑或掉電時也保持活躍(例如,使用備用電池源)。PMU 220可負責包括但不限于以下各項的功能：監(jiān)測電力連接和電池充電、控制對設備102內(nèi)的其他電路部件的電力、在不必要的系統(tǒng)部件空閑時關停不必要的系統(tǒng)部件、控制休眠和開/關電力功能、和/或為了最佳用戶性能而主動管理電力消耗。

在圖4的示例中，PMU 220(經(jīng)由路徑250和252)耦接到應用處理器200，并且(經(jīng)由路徑260)耦接到安全元件202，并且可被配置為選擇性地使這些部件休眠或者從休眠模式喚醒這些部件。例如，PMU 220可在路徑252上將啟用信號AP_EN置為有效以喚醒應用處理器，并且可經(jīng)由路徑250與應用處理器交換信息。路徑250可以是I²C總線或者任何其他合適的總線類型。又如，PMU 220可在路徑260中的一個路徑上將啟用信號SE_EN置為有效以喚醒安全元件，并且還可經(jīng)由其他路徑260來向安全元件發(fā)送電力和其他控制信號(例如，信號PWR和Auth/)。PMU 220和安全元件202之間的通信可使用通用輸入/輸出(GPIO)接口、被編程輸入/輸出(PIO)接口、I²C接口、串行外圍設備接口(SPI)、和/或其他類型的通信接口來實現(xiàn)。

如圖4所示，PMU 220還可經(jīng)由路徑254耦接到輸入-輸出設備210，并且還可被配置為管理設備102的I/O接口。輸入-輸出設備210可用于允許將數(shù)據(jù)提供至設備102，以及允許將數(shù)據(jù)從設備102提供至外部設備。例如，輸入-輸出設備210可包括用戶接口設備、數(shù)據(jù)端口設備、和其他輸入-輸出部件。輸入-輸出設備210可包括按鈕、生物識別傳感器(例如，指紋傳感器、視網(wǎng)膜傳感器、手掌傳感器、簽名識別傳感器等)、觸摸屏、不具有觸摸傳感器能力的顯示器、操縱桿、點擊輪、滾輪、觸摸板、小鍵盤、鍵盤、麥克風、相機、揚聲器、狀態(tài)指示器、光源、音頻插孔和其他音頻端口部件、數(shù)字數(shù)據(jù)端口設備、光傳感器、運動傳感器(加速度計)、電容傳感器、接近傳感器等。

考慮設備102在設備102完全靜止時將其顯示器15關閉的情形。響應于(例如，使用利用設備210中的加速度計)檢測到設備102處的任何運動，該加速度計可經(jīng)由路徑254來向PMU 220發(fā)送相應信號。該信號于是可指示PMU 220向應用處理器200發(fā)送另一信號，該另一信號導致顯示器被打開，以向設備102的用戶輸出某些有用信息諸如當前時間(作為示例)。

考慮安全元件202通常處于非活躍狀態(tài)的另一情形。響應于檢測到來自用戶的指示期望執(zhí)行金融交易的輸入(有時被稱為“支付激活輸入”或“支付發(fā)起輸入”)，設備210中的一個或多個部件可經(jīng)由路徑254來向PMU 220發(fā)送信號，該信號繼而指示PMU 220經(jīng)由路徑260來向安全元件202發(fā)送喚醒信號。一旦安全元件202已蘇醒，隨后便可執(zhí)行其他操作來完成金融交易。這些示例僅是示例性的。如果需要，PMU 220可被配置為處理其他類型的用戶輸入來為設備102提供最佳功率節(jié)省。

仍然參見圖4，NFC控制器222可被插置在應用處理器200和安全元件202之間。NFC控制器222可包括用于(例如經(jīng)由路徑240和270)將應用處理器200鏈接到安全元件202的接口電路242。鏈接應用處理器200和NFC控制器222的路徑240可使用通用異步接收器/發(fā)射器(UART)總線、通用串行總線(USB)、串行ATA(SATA)總線、和/或用于將應用處理器耦接到無線網(wǎng)絡控制器的其他合適類型的計算機總線來實現(xiàn)。另一方面，路徑270可使用單線協(xié)議(SWP)、NFC有線接口(NFC-WI)協(xié)議、I²C協(xié)議、或用于將安全元件鏈接到近場通信部件的其他合適的通信協(xié)議來支持安全元件202與NFC控制器222之間的通信。

根據(jù)一個實施方案，應用處理器200可充當用于經(jīng)由安全信道與安全元件202通信的“可信處理器”。在移動支付交易期間，安全元件202可使用控制器222內(nèi)的NFC收發(fā)器216和天線218來將被存儲在安全元件上的商業(yè)憑據(jù)的加密版本向外轉(zhuǎn)發(fā)給商家終端108(圖1)處的NFC讀取器?？墒褂萌魏魏线m的天線類型來形成天線218。例如，天線218可包括具有諧振元件的天線，該諧振元件由環(huán)形天線結構、貼片天線結構、倒F形天線結構、隙縫天線結構、平面倒F形天線結構、螺旋形天線結構、這些設計的混合等形成。

這僅是示例性的。一般來講，設備102還可包括用于處理NFC協(xié)議、無線局域網(wǎng)協(xié)議(例如IEEE 802.11協(xié)議--有時被稱為)、用于其他短距離無線通信鏈路的協(xié)議諸如協(xié)議、蜂窩電話協(xié)議、互聯(lián)網(wǎng)協(xié)議、MIMO協(xié)議、天線分集協(xié)議等的一個或多個基帶處理器?；鶐幚黼娐房神罱拥接糜谏珊徒邮?3.56MHz的近場通信信號以支持設備10和/或近場通信讀取器或其他外部近場通信設備之間的通信的近場通信電路216、用于處理用于(IEEE 802.11)通信的2.4GHz和5GHz頻帶和2.4GHz通信頻帶的無線局域網(wǎng)收發(fā)器電路、和/或用于支持短距離無線鏈路和遠距離無線鏈路的其他合適類型的無線發(fā)射器/接收器。如果需要，設備102還可包括衛(wèi)星導航系統(tǒng)接收器、蜂窩電話收發(fā)器、和/或被配置為支持任何期望的無線通信協(xié)議的任何類型的發(fā)射器和接收器電路。

仍然參見圖4，安全元件(SE)202可具有作為安全元件202的操作系統(tǒng)的一部分(例如，作為在SE 202上運行的Java運行環(huán)境的插件)運行的一個或多個應用程序或“小應用程序”。例如，安全元件202可包括認證小應用程序204，該認證小應用程序204提供非接觸式注冊服務(CRS)、加密/解密向可信處理器發(fā)送和從可信處理器接收的數(shù)據(jù)、在安全元件202的操作系統(tǒng)中設置一個或多個控制標記、和/或管理安全元件202上的一個或多個相關聯(lián)的支付小應用程序206(例如支付小應用程序206-1、206-2等)。認證小應用程序204因此有時被稱為CRS小應用程序。與給定支付卡相關聯(lián)的商業(yè)憑據(jù)可被存儲在安全元件202上的特定“容器”中，該特定“容器”基本上是結合用于該實例化的加密支付數(shù)據(jù)的支付小應用程序的實例化。例如，如果兩張Visa卡要被提供到安全元件上，則Visa支付小應用程序?qū)⒈皇纠瘍纱?，從而成為安全元件上的兩個不同的容器。每個容器可具有被稱為應用程序ID(或AID)的唯一標識符。

CRS小應用程序204可在安全元件202中的主安全域或“發(fā)行方”安全域(ISD)中執(zhí)行，而支付小應用程序206可在補充安全域(SSD)中執(zhí)行。例如，用于在設備102上創(chuàng)建或以其他方式提供一個或多個憑據(jù)(例如，與各個信用卡、銀行卡、禮品卡、通行卡、交通卡等相關聯(lián)的憑據(jù))和/或用于管理設備102上的憑據(jù)內(nèi)容的密鑰和/或其他合適的信息可被存儲在CRS小應用程序204上。每個支付小應用程序206可與為設備102提供特定特權或支付權限的特定憑據(jù)(例如，特定信用卡憑據(jù)、特定公共交通卡憑據(jù)等)相關聯(lián)。這些安全域之間的通信使用特定于安全域的不同加密/解密密鑰來加密(例如，每個SSD可具有其自身的與相應支付小應用程序206相關聯(lián)的管理員密鑰，其用于激活/啟用該SSD的特定憑據(jù)以用于在商家終端108處的基于NFC的交易期間使用)。

在一種合適的布置中，輔用戶設備102上的應用處理器200可被配置為運行移動支付應用程序。這個支付應用程序可允許用戶存儲信用卡、借記卡、優(yōu)惠券、登機牌、活動門票、商場卡、禮品卡、積分卡、通用卡、和/或其他形式的移動支付。這些數(shù)字卡、優(yōu)惠券、或門票中的每一者有時被被稱為“通行證”。因此，移動支付應用程序有時被稱為“存折”應用程序或數(shù)字錢包應用程序。存折應用程序可包括與用于在進行金融交易中使用的相應支付小應用程序206對應的通行證。存折中的每個通行證(在本文中有時被稱為存折通行證、數(shù)字錢包通行證等)可處于激活(或已個性化)狀態(tài)或者禁用(未個性化或個性化過程中)狀態(tài)。個性化通行證可指示對應的支付小應用程序206已提供有所期望的商業(yè)憑據(jù)并且準備好用于支付。未個性化通行證可指示對應的支付小應用程序206還未提供有所必需的商業(yè)憑據(jù)并且因此對于支付并未準備就緒。

在一個適當?shù)膶嵤┓桨钢?，安全元?02可使用授權密鑰或“AuthKey”來與一個相應的可信處理器(諸如處理器200)配對。使用AuthKey將安全元件與可信處理器配對應當僅在這些部件制造期間執(zhí)行一次。用于給定安全元件和可信處理器對的AuthKey可基于這個給定對中的安全元件的唯一SEID 225和/或這個給定對中的可信處理器的唯一標識符(UID)224來推導。AuthKey充當部件級秘密密鑰，該部件級秘密密鑰對于用戶是未知的并且用于將安全元件綁定到相應處理器，使得安全元件知道信任誰(例如，AuthKey幫助在安全元件和相關聯(lián)的應用處理器200之間建立安全信道)。

AuthKey可被存儲在安全元件內(nèi)(例如，AuthKey可由CRS小應用程序204管理)，但不需要被存儲在應用處理器200處。輔用戶設備102上的應用處理器可能夠在需要與配對的安全元件進行通信時在運行的情況下基于其自身的UID 224和/或從相應安全元件獲得的SEID 225中的至少一者來重新推導AuthKey。

雖然AuthKey有效地將安全元件202綁定到可信處理器200，但可使用隨機授權號“AuthRand”來將用戶綁定到可信處理器200。AuthRand可以是被存儲在用戶鑰匙串上的隨機生成的數(shù)(例如，AuthRand 229可被存儲作為被保持在應用處理器200處的鑰匙串228的一部分)。如上文結合圖1所述，用戶鑰匙串228可包括只與特定用戶相關的信息。

如圖5所示，AuthRand也可被存儲在安全元件內(nèi)(例如，AuthRand 232可在CRS小應用程序204處進行管理)。一般來講，可信處理器可被配置為響應于檢測到用戶設備處的所有權改變而生成新的AuthRand值并(例如通過在安全元件上利用新生成的AuthRand值覆寫舊的AuthRand值)將新生成的AuthRand值添加到相對應的安全元件202中。通過這樣的操作，可信處理器(例如，應用處理器200)用于通過監(jiān)測用戶鑰匙串的狀態(tài)來本地地跟蹤用戶設備102處的任何所有權改變(作為示例)。響應于檢測到新AuthRand的添加，安全元件202上的任何當前已激活的支付小應用程序260應當針對支付而立即被去激活。通過這樣進行配置，通過確保由于所有權改變(不管所有權改變是否是有意的)而獲得設備102的新用戶將不能使用新獲得的設備以與原始用戶相關聯(lián)的商業(yè)憑據(jù)執(zhí)行移動交易來增強對安全元件處的敏感用戶憑據(jù)的保護。一般來講，可信處理器200可具有用于處理經(jīng)由NFC控制器222與安全元件202的任何通信的安全元件守護進程(SEd)226。

仍然參考圖4，CRS小應用程序204還可包括用于在激活安全元件202上的支付小應用程序206時使用的一個或多個控制標記。例如，CRS小應用程序204可包括“按鈕被按壓”標記236。按鈕被按壓標記236可用于指示用戶是否已按壓用戶設備102上的按鈕17(參見圖2B)。例如，按鈕被按壓標記的默認值為“0”。當設備102已檢測到用戶已按壓按鈕17時，按鈕被按壓標記可被設置為數(shù)值“1”(即，按鈕被按壓標記被置為有效)。在一種合適的布置中，按鈕被按壓標記可僅在用戶兩次按壓按鈕17的情況下被設置為“1”。在另一種合適的布置中，按鈕被按壓標記可僅在用戶三次按壓按鈕17的情況下被置為有效。在另外一種合適的布置中，按鈕被按壓標記可僅在用戶按住按鈕17超過一秒、超過兩秒、超過三秒等的情況下被置為有效。

一般來講，標記236充當響應于檢測到用于發(fā)起為了設備102執(zhí)行移動支付交易而需要執(zhí)行的操作的某個預先確定的用戶輸入序列而被置為有效的標記。按鈕被按壓標記236因此僅為示例性的，并且不用于限制本發(fā)明的范圍。如果需要，可實施允許用戶發(fā)起商家終端處的支付的其他方式。除此之外或另選地，CRS小應用程序204可具有在設備102上的指紋傳感器檢測到被授權用戶的指紋時被置為有效的“指紋被檢測到”標記、在設備102上的觸摸屏接收到來自被授權用戶的特定輕掃運動時被置為有效的“輕掃被檢測到”標記、在設備102上的觸摸屏接收到來自被授權用戶的雙擊時被置為有效的“輕擊被檢測到”標記、在設備102上的多個按鈕同時被授權用戶按壓時被置為有效的“按鈕被按壓”標記、在設備102上的麥克風檢測到來自被授權用戶的語音命令時(例如如果用戶說“支付”)被置為有效的“語音命令被接收到”標記、和/或其他合適的標記。標記236因此有時可被統(tǒng)稱為“用戶輸入”標記或“接收到用戶輸入”標記。

一般來講，當電子設備被新用戶得到時，電子設備可提示新用戶向服務提供方子系統(tǒng)(例如圖1中的子系統(tǒng)112)設置帳戶。例如，可給予用戶機會輸入帳戶標識符(ID)和對應的密碼來設置新帳戶。一旦帳戶已被設置，設備便可被認為對于該用戶被個性化，并且用戶現(xiàn)在可操作該設備來播放音樂、捕捉照片/視頻、記錄語音備忘錄、存儲聯(lián)系人信息、發(fā)送/接收多媒體消息、瀏覽互聯(lián)網(wǎng)、查看/編輯日歷、記事、提醒、和其他文檔、改變設備設置、將一個或多個支付卡提供到設備上、從在線商店購買/租賃媒體、從在線商店購買/租賃應用程序、和/或訪問服務提供方子系統(tǒng)提供的其他服務。在至少一些實施方案中，與用戶和用戶設備有關的任何信息可被存儲在基于網(wǎng)絡的服務模塊(例如，圖1中的模塊118)上作為備份。

為了用戶能夠?qū)⒅Ц犊ㄌ峁┑接脩粼O備上，用戶可能必須啟用設備上的密碼鎖定功能。密碼鎖定功能在被啟用時會要求用戶輸入四個數(shù)字的密碼，以便完全操作設備(作為示例)。這僅是示例性的?？芍甘居脩糨斎腴L度短于四個數(shù)字的密碼、長度長于四個數(shù)字的密碼、或任意長度的包括數(shù)字、字符和/或符號的密碼。一般來講，可實施任何形式的認證方法。如果用戶不能提供正確密碼，則設備將保持鎖定狀態(tài)，在該鎖定狀態(tài)中只能訪問受限功能諸如緊急呼叫功能(作為示例)。如果用戶能夠提供正確密碼，則設備將被暫時置于解鎖狀態(tài)，在該解鎖狀態(tài)中，用戶能夠訪問設備的所有正常功能。

當用戶利用設備執(zhí)行完某項任務時，用戶將(例如，通過按壓設備上的按鈕)來通知設備返回到鎖定狀態(tài)。設備還可在設備已空閑預先確定的時間段時自動返回到鎖定狀態(tài)(例如，設備可在設備已空閑超過30秒、超過1分鐘、超過兩分鐘等的情況下自動鎖定)。密碼功能用于保護通常通過設備能訪問的任何用戶信息，因為只有預期用戶才應能夠解鎖其設備。密碼可本地地保持在應用處理器處(例如，在應用處理器200上的鑰匙串228中)，和/或可遠程地存儲在服務提供方子系統(tǒng)處。

假設只有被授權用戶才具有對正確密碼的訪問權限，要求用戶輸入密碼因此便能幫助確保當前用戶是該設備的預期被授權用戶。在移動支付的上下文中，只有被授權用戶才應能夠利用已提供有其商業(yè)憑據(jù)的設備來執(zhí)行任何金融交易。因此希望電子設備諸如圖2A的設備10或圖2B的設備102要求用戶在使用設備時輸入密碼至少一次。

圖5是激活用戶設備諸如用戶設備102以用于移動支付所涉及的示例性步驟的流程圖。在步驟300處，用戶設備102可被置于鎖定狀態(tài)中。在接收到來自被授權用戶的正確密碼時，用戶設備可被置于解鎖狀態(tài)中(步驟302)。在步驟302期間，設備102中的應用處理器200可從安全元件檢索SEID，并且可從用戶鑰匙串檢索隨機授權值AuthRand。一般來講，步驟302可在支付交易完成之前的任何時候執(zhí)行。

在步驟304出，設備102可被配置為等待來自被授權用戶的支付激活觸發(fā)事件(例如，設備102可被配置為監(jiān)測預先確定的用戶輸入序列或清楚表明用戶想要發(fā)起支付的動作)。例如，設備102可等待用戶在按鈕17(參見圖2B)中的一個按鈕上進行兩次按壓、在觸摸屏顯示器15上進行特定輕掃運動、在觸摸屏顯示器15上進行雙擊、發(fā)出語音命令、和/或用戶在設備102處可故意采取的任何合適的動作。

這個對于設備102接收來自用戶的特定支付發(fā)起輸入的要求可幫助防止發(fā)生來自被授權用戶的無意的移動支付交易。考慮用戶已解鎖設備但實際上不想執(zhí)行金融交易的情景。如果此類用戶無意地使經(jīng)解鎖的設備足夠接近商家終端，則潛在地可能執(zhí)行無意的移動支付交易。如果用戶需要采取故意的動作來向設備指示其實際希望執(zhí)行支付，則可避免此類情形。

響應于接收到來自用戶的所期望的支付觸發(fā)輸入，設備102可繼續(xù)驗證觸發(fā)事件并在安全元件中的CRS小應用程序處設置對應的控制標記(步驟306)。在步驟308處，CRS小應用程序可針對支付對所選擇的支付小應用程序260進行認證，并且可啟動定時器。定時器可用于設置時間段，在該時間段內(nèi)，只要使用戶設備位于商家終端的場內(nèi)，便允許進行移動支付交易。例如，在激活觸發(fā)事件之后可給予用戶10秒鐘來將設備置于讀取器場內(nèi)。又如，在激活觸發(fā)事件之后可給予用戶20秒鐘來將設備置于NFC讀取器場內(nèi)。一般來講，定時器可被配置為提供任何合適持續(xù)時間的時間限制。

在步驟308期間，安全元件可向應用處理器發(fā)送卡密文，并且應用處理器可利用主機密文進行響應。例如，卡密文和主機密文可使用基于密碼的消息認證碼(CMAC)算法來加密，這確保了正在應用處理器和安全元件之間交換的數(shù)據(jù)的真實性?？芪暮椭鳈C密文例如可包括使用只有安全元件和多于可信處理器才應能夠訪問的AuthKey加密的數(shù)據(jù)。通過以這種方式操作，密文的交換用于驗證應用處理器正與正確的安全元件對話以及安全元件正與其可信處理器對話。

在步驟310處，設備102可用于在用戶設備處于在商家終端處由NFC讀取器所生成的場內(nèi)時執(zhí)行所期望的交易(假定定時器還未截止)。然而如果定時器在用戶有機會使設備進入讀取器場中之前截止，則將不會完成任何支付。在任一情景中，處理均將返回到步驟304，以等待另一支付激活/發(fā)起觸發(fā)事件，如路徑312所示。

圖6示出在執(zhí)行圖5的步驟時設備102中的不同部件之間的信息流。在步驟400處，設備102可由被授權用戶解鎖(例如，被授權用戶可輸入正確的密碼)。密碼可使用應用處理器(AP)上的鑰匙串來驗證，并且作為響應，應用處理器可將用戶設備置于解鎖狀態(tài)中。

在步驟402出，應用處理器可向安全元件發(fā)送“獲取SEID”請求。如上文結合圖4所述，在應用處理器和安全元件之間傳送的任何消息可由安全元件守護進程(SEd)處理，并且可通過NFC控制器222。響應于從應用處理器接收到“獲取SEID”請求，安全元件可以加密格式發(fā)送回到其SEID。

在步驟406處，設備102上的應用處理器于是可從用戶鑰匙串檢索隨機授權號AuthRand。由于AuthRand受到鑰匙串保護，因此AuthRand只有在步驟400處已提供正確密碼之后才可被訪問。

如圖6所示，步驟400、402、404、和406一起歸為步驟399。一般來講，步驟399可在任何時候設備已空閑延長的時間段時被執(zhí)行。例如，考慮設備102是用戶在晚上摘下而在早起戴在手腕上的腕表設備的情景。在該示例中，步驟399可僅在早起用戶戴上該設備時被執(zhí)行(例如，只要設備一直在手腕上，用戶便應該不需要在一天中反復地輸入密碼)。

一天只執(zhí)行步驟399一次對于用戶可能是期望的，因為一天中必須反復輸入密碼多次可能是令人厭煩的。換句話講，步驟399可在用戶獲得設備時執(zhí)行一次，并且應當僅在發(fā)生潛在地可能導致設備所有權改變的事件時被再次執(zhí)行(例如設備可能被與原始被授權用戶不同的用戶擁有的任何情形應當對設備進行觸發(fā)，從而將其置于鎖定狀態(tài)中)。

在任何時間點出，設備102可在I/O設備210處接收用于表明用戶要執(zhí)行移動支付交易的明確意圖的故意用戶輸入。在步驟410處，I/O設備210可向電力管理單元發(fā)送對應的用戶輸入觸發(fā)信號。在至少一些實施方案中，故意用戶輸入可以是按鈕按壓事件，諸如兩次按鈕按壓事件。本文中任何與用于觸發(fā)支付激活的按鈕按壓事件有關的描述僅僅是示例性的，并不用于限制本發(fā)明的范圍。如上所述，可使用任何其他類型的用戶輸入來觸發(fā)對安全元件的激活。

響應于檢測到適當?shù)挠脩糨斎?，電力管理單元可繼續(xù)通過在路經(jīng)252上將啟用信號AP_EN置為有效(參見圖4)來喚醒應用處理器。應用處理器可通常在應用處理器并非正在活躍地運行設備102上的任何應用程序時被置于空閑模式中。在步驟414處，電力管理單元于是可在路經(jīng)260中的一個路徑上向安全元件輸出被置為有效的用戶輸入認證信號Auth/。當安全元件知道Auth/被置為有效時，支付激活觸發(fā)事件已被驗證，并且安全元件于是可(在步驟416處)將按鈕被按壓標記設置為高。一旦按鈕被按壓標記已被設置為高(或者其他“接收到用戶輸入”控制標記已使用CRS小應用程序被置為有效)，安全元件便可(在步驟418處)向應用處理器發(fā)送按鈕按壓激活事件狀態(tài)字(或“接收到用戶輸入”通知)，以向應用處理器通知已接收到有效的用戶支付激活輸入。

如圖6所示，步驟410、412、414、416、和418一起歸為步驟409。一般來講，步驟409可在任何時候設備從用戶接收到有效的用戶支付激活輸入時被執(zhí)行。

響應于接收到來自安全元件的按鈕按壓激活通知，應用處理器可繼續(xù)使用其自身的UID和/或使用步驟404期間所接收的SEID來推導AuthKey。應用處理器可使用這個所推導的AuthKey來有效地建立與安全元件的安全信道。

在步驟422處，應用處理器可向安全元件內(nèi)的CRS小應用程序發(fā)送認證初始化命令。在這個步驟期間，應用處理器還可向安全元件發(fā)送第一隨機數(shù)。應用處理器有時被稱為主機處理器；在此類情形下，由應用處理器生成的第一隨機數(shù)有時被稱為“主機質(zhì)詢”。主機質(zhì)詢與隨機數(shù)AuthRand不同。

響應于接收到來自應用處理器的主機質(zhì)詢，安全元件可(在步驟424處)通過向應用處理器發(fā)送卡密文來進行響應。在一種合適的布置中，卡密文可包括所接收的主機質(zhì)詢、由安全元件生成的第二隨機數(shù)(在本文中有時被稱為“卡質(zhì)詢”或“安全元件質(zhì)詢”)、本地存儲在安全元件處的AuthRand(例如圖4中的CRS小應用程序204處的AuthRand 232)、和其他合適的控制位。SE質(zhì)詢與隨機數(shù)AuthRand不同。例如，卡密文可使用美國國家標準與技術研究所(NIST)所公布的CMAC算法進行加密。在至少一些布置中，CMAC算法可至少使用AuthKey來對卡密文進行加密。

當應用處理器接收到來自安全元件的卡密文時，應用處理器可使用其自身的所推導的AuthKey(例如，在步驟420期間所推導的AuthKey)來對卡密文進行解碼，并且可被配置為至少將卡密文中的AuthRand值與本地檢索的AuthRand(例如，在步驟406期間從用戶鑰匙串所檢索的AuthRand值)進行比較。如果AuthRand值匹配，則應用處理器將能夠繼續(xù)針對支付來認證安全元件。

在步驟426處，應用處理器可向安全元件發(fā)送主機密文。主機密文例如可包括主機質(zhì)詢、所接收的SE質(zhì)詢、其本地的AuthRand值(例如，在步驟406期間所檢索的AuthRand值)、和其他合適的控制位。主機密文也可使用所推導的AuthKey以CMAC算法進行加密。

當安全元件接收到來自應用處理器的主機密文時，安全元件可使用CRS小應用程序處的AuthKey來對主機密文進行解碼，并且可將主機密文中所接收的AuthRand值與其自身的被存儲在CRS小應用程序處的AuthRand值進行比較。如果AuthRand值匹配，則安全元件將(在步驟428處)繼續(xù)暫時激活所選擇的支付小應用程序以用于金融交易。如前文結合圖5所述，在這時可啟動定時器，以給用戶機會使設備位于讀取器場內(nèi)，從而利用被激活的支付小應用程序來執(zhí)行金融交易。主機密文因此可充當指示安全元件啟用支付小應用程序的被授權的NFC激活請求。啟用支付小應用程序進行交易的動作有時被稱為瞬態(tài)激活操作。當移動支付交易完成時(或當定時器截止時)，可使用CRS小應用程序?qū)Ξ斍耙鸭せ畹闹Ц缎贸绦蜻M行去激活(步驟430)。

如圖6所示，步驟420、422、424、426、428、和430一起歸為步驟419。一般來講，步驟419可在任何時候該應用處理器從安全元件接收到按鈕按壓激活通知(或其他有效用戶支付激活輸入提示)時被執(zhí)行。

如上所述，準備用戶設備102來執(zhí)行移動支付交易的大部分取決于能夠準確地檢測故意用戶輸入諸如兩次按鈕按壓的能力(作為示例)。對此類用戶輸入的檢測可由電力管理單元(例如，圖4中的PMU 220)來處理。一般來講，電力管理單元可以是不實際運行任何軟件的不可重新配置的數(shù)字狀態(tài)機。因為電力管理單元不實際運行任何軟件，所以電力管理單元不能被容易地侵入。因此，惡意軟件很難控制PMU來向應用處理器和/或安全元件發(fā)送虛假通知。

圖7是示出由支付激活用戶輸入觸發(fā)的事件序列的時序圖。這些事件可至少部分地對應于圖6的步驟409。在時間t1處，電力管理單元可檢測兩次按鈕按壓(例如，電力管理單元可經(jīng)由路徑254從輸入-輸出設備210接收兩次按鈕按壓觸發(fā)信號)。響應于接收到該觸發(fā)，電力管理單元可暫時在路徑252上將信號AP_EN置為有效，以喚醒應用處理器并將Auth/置為有效(例如，驅(qū)動Auth/為低的)。信號Auth/可僅在所期望的支付激活用戶輸入已被PMU檢測到時被置為有效。在應用處理器蘇醒期間，電力管理單元于是可經(jīng)由I²C總線250來向應用處理器發(fā)送讀取按鈕按壓事件命令。

在時間t2處，應用處理器可經(jīng)由路徑250來向電力管理單元發(fā)送用于指示電力管理單元打開安全元件的對應命令。這個命令可指示電力管理單元將電力信號PWR和啟用信號SE_EN置為有效，以提供電力并且將安全元件從休眠模式喚醒。

在安全元件已蘇醒之后的某個時間(在時間t3處)，安全元件可通過檢查Auth/的值來確定所檢測到的用戶輸入是否是預先確定的有效支付激活用戶輸入。如果Auth/被置為有效，則安全元件確認該有效觸發(fā)事件，將按鈕被按壓標記置為有效，并向應用處理器發(fā)送對應的按鈕按壓激活通知(參見圖6的步驟418)。在實際從安全元件接收按鈕按壓激活通知之前，電力管理單元可(在時間t4處)將Auth/和AP_EN置為有效，以提示應用處理器。通過只選擇性地將控制信號Auth/置為有效，電力管理單元控制何時允許安全元件設置按鈕被按壓標記，以及何時允許安全元件向應用處理器發(fā)送按鈕按壓激活狀態(tài)字(例如，安全元件可被配置為如果Auth/在時間t3處未被置為有效則保持按鈕被按壓標記被解除置為有效)。

圖8是簡要概述結合圖7所述的事件序列的流程圖。在步驟500處，電力管理單元可檢測兩次按鈕按壓事件(或其他用戶支付激活輸入)。在步驟502處，電力管理單元可喚醒應用處理器，并將Auth/置為有效預先確定的時間段。

在步驟504處，應用處理器可認識到電力管理單元已檢測到來自用戶的兩次按鈕按壓事件，并且可指示電力管理單元打開安全元件。在安全元件已被打開之后并且如果安全元件接收到被置為有效的Auth/，則安全元件可繼續(xù)通過設置按鈕被按壓標記以及通過向應用處理器發(fā)送按鈕按壓激活狀態(tài)字來驗證按鈕按壓事件，該按鈕按壓激活狀態(tài)字繼而指示應用處理器執(zhí)行步驟419(圖6)。

圖5至8所述的用于確保被授權用戶實際擁有電子設備以及用于檢測用于觸發(fā)所選擇的支付小應用程序的暫時激活的有效用戶輸入的操作僅僅是示例性的，并不用于限制本發(fā)明的范圍。一般來講，本文所述的方法可擴展到任何具有安全元件的設備，并且可用于檢測任何其他類型的用戶輸入。

雖然操作方法以特定次序進行描述，但應當理解，可在操作之間執(zhí)行其他操作，可調(diào)節(jié)操作使得它們以略微不同的時間發(fā)生，或者只要對重疊操作的處理以所期望的方式執(zhí)行，操作便可分布在允許處理操作以與處理相關聯(lián)的多個間隔來發(fā)生的系統(tǒng)中。

根據(jù)一個實施方案，提供了一種操作電子設備內(nèi)的安全元件的方法，該電子設備還包括與安全元件進行通信的處理器，該方法包括響應于電子設備接收到支付發(fā)起輸入使用安全元件來向處理器發(fā)送用于指示已接收到支付發(fā)起輸入的通知，以及響應于處理器接收到來自安全元件的通知，使用安全元件來與處理器進行通信，以暫時激活安全元件以用于支付。

根據(jù)另一實施方案，安全元件具有相關聯(lián)的安全元件標識符(SEID)，該方法包括利用安全元件來接收來自處理器的請求，以及響應于接收到來自處理器的請求，使用安全元件來向處理器發(fā)送安全元件標識符。

根據(jù)另一實施方案，該方法包括響應于電子設備接收到支付發(fā)起輸入，使用安全元件上的非接觸式注冊服務(CRS)小應用程序來將控制標記置為有效。

根據(jù)另一實施方案，該方法包括響應于電子設備接收到支付發(fā)起輸入，使用安全元件來從電子設備內(nèi)的電力管理單元(PMU)接收輸入提示。

根據(jù)另一實施方案，該方法包括響應于接收到來自電力管理單元的輸入提示使用安全元件來驗證支付發(fā)起輸入，該通知僅在安全元件能夠成功驗證支付發(fā)起輸入的情況下才從安全元件發(fā)送至處理器。

根據(jù)另一實施方案，使用安全元件與處理器進行通信以暫時激活安全元件以用于支付包括利用安全元件來從處理器接收認證初始化請求。

根據(jù)另一實施方案，使用安全元件與處理器進行通信以暫時激活安全元件以用于支付包括利用安全元件來從處理器接收第一隨機數(shù)。

根據(jù)另一實施方案，使用安全元件與處理器進行通信以暫時激活安全元件以用于支付包括利用安全元件來向處理器發(fā)送卡密文，該卡密文包括第一隨機數(shù)和第二隨機數(shù)。

根據(jù)另一實施方案，該卡密文還包括本地存儲在安全元件上的授權隨機數(shù)。

根據(jù)另一實施方案，使用安全元件與處理器進行通信以暫時激活安全元件以用于支付進一步包括利用安全元件來從處理器接收主機密文，該主機密文包括第一隨機數(shù)、第二隨機數(shù)、和不存儲在處理器處的用戶鑰匙串內(nèi)的授權隨機數(shù)。

根據(jù)另一實施方案，使用安全元件與處理器進行通信以暫時激活安全元件以用于支付包括利用安全元件通過分析所接收的主機密文的至少一部分來確定是否要繼續(xù)激活安全元件上的支付小應用程序。

根據(jù)另一實施方案，使用安全元件與處理器進行通信以暫時激活安全元件以用于支付包括響應于確定主機密文的一部分滿足設計標準使用安全元件上的非接觸式注冊服務(CRS)小應用程序來激活支付小應用程序預先確定的時間段。

根據(jù)一個實施方案，提供了一種便攜式電子設備，該便攜式電子設備包括用于存儲用戶憑據(jù)的安全元件、和被配置為在電子設備接收到用于發(fā)起移動支付交易的預先確定的用戶輸入序列時從安全元件接收通知并且被配置為與安全元件通信以暫時激活安全元件以用于支付的處理電路。

根據(jù)另一實施方案，該便攜式電子設備包括電力管理單元，該電力管理單元被配置為檢測預先確定的用戶輸入序列以及響應于檢測到預先確定的用戶輸入序列而提示安全元件和處理器。

根據(jù)另一實施方案，該安全元件被配置為向處理電路提供安全元件標識符(SEID)，該處理電路被配置為使用至少安全元件標識符來推導認證密鑰，并且該處理電路被配置為使用認證密鑰來建立與安全元件的安全信道。

根據(jù)另一實施方案，該處理電路被配置為存儲第一授權隨機值，并且安全元件被配置為存儲第二授權隨機值。

根據(jù)另一實施方案，該安全元件被進一步配置為向處理電路發(fā)送卡密文，并且該卡密文包括第二授權隨機值。

根據(jù)另一實施方案，該安全元件被進一步配置為從處理電路接收主機密文，并且該主機密文包括第一授權隨機值。

根據(jù)另一實施方案，該便攜式電子設備包括腕表設備。

根據(jù)一個實施方案，提供了一種操作包括輸入-輸出設備、電力管理單元和安全元件的電子設備的方法，該方法包括利用輸入-輸出設備來接收用戶輸入，響應于利用輸入-輸出設備接收到用戶輸入來從輸入-輸出設備向電力管理單元發(fā)送對應的觸發(fā)信號，響應于從輸入-輸出設備接收到觸發(fā)信號使用電力管理單元來將認證信號置為有效預先確定量的時間，并通過利用安全元件監(jiān)測認證信號來確定用戶輸入是否有效。

根據(jù)另一實施方案，該電力管理單元包括數(shù)字狀態(tài)機。

根據(jù)另一實施方案，該輸入-輸出設備包括按鈕，并且利用輸入-輸出設備接收用戶輸入包括利用按鈕來接收多個連續(xù)按鈕按壓。

根據(jù)另一實施方案，該電子設備還包括耦接到電力管理單元的應用處理器，該方法還包括響應于從輸入-輸出設備接收到觸發(fā)信號使用電力管理單元來向應用處理器發(fā)送被置為有效的啟用信號，并且響應于從電力管理單元接收到被置為有效的啟用信號，使用應用處理器來向電力管理單元發(fā)送對應的命令以打開安全元件。

根據(jù)另一實施方案，該方法包括在安全元件已打開之后，當認證信號正被安全元件讀取時只有在認證信號被置為有效的情況下才使用安全元件來確認用戶輸入有效。

以上所述僅是本發(fā)明的原理的示例，并且本領域的技術人員可進行各種修改。上述實施方案可單獨實施或可以任意組合實施。

雖然為了清楚已以某種細節(jié)描述了本發(fā)明，但顯然在所附權利要求的范圍內(nèi)可實施某些改變和修改。雖然所附權利要求中的一些權利要求只是單一從屬的或者只引用其先前權利要求中的一些權利要求，但它們一個或多個相應特征可與任何其他權利要求的一個或多個特征組合。