使用电子设备的安全元件来进行在线支付

摘要

本发明公开了一种用于利用电子设备的安全元件来安全地进行在线支付的系统、方法和计算机可读介质。方法包括在电子设备处生成包括支付卡数据的第一数据，通过利用第一密钥对第一数据和商家信息加密来生成第二数据，向商业实体子系统传输所生成的第二数据，接收包括利用与商家信息相关联的第二密钥加密的第一数据的第三数据，以及向与商家信息相关联的商家子系统传输所接收的第三数据，其中第一密钥不能被商家子系统访问，并且其中第二密钥不能被电子设备访问。还提供了附加实施例。

说明书

技术领域

本公开涉及使用电子设备的安全元件来进行在线支付。

背景技术

可为便携式电子设备(例如，蜂窝电话)提供近场通信(“NFC”)部件，以使得能够与另一实体进行基于无接触邻近性的通信。这些通信常常与需要电子设备在基于无接触邻近性的通信中进行访问并与其他实体共享商务凭据诸如信用卡凭据的金融交易或其他安全数据事务相关联。然而，电子设备安全地使用此类商务凭据以用于在线交易仍然是不可行的。

发明内容

本文档描述了一种使用电子设备的安全元件以用于在线支付的系统、方法和计算机可读介质。

例如，方法可包括在电子设备处生成包括支付卡数据的第一数据；通过利用第一密钥对第一数据和商家信息加密来生成第二数据；向商业实体子系统传输所生成的第二数据；接收包括利用与商家信息相关联的第二密钥加密的第一数据的第三数据；以及向与商家信息相关联的商家子系统传输所接收的第三数据，其中第一密钥不能被商家子系统访问，并且其中第二密钥不能被电子设备访问。

作为另一个实例，电子设备可包括通信部件、被配置为访问商家服务器的在线资源的应用处理器、以及被配置为存储凭据数据、凭据密钥和访问密钥的安全元件。安全元件被配置为生成包括利用凭据密钥加密的凭据数据的第一数据。安全元件被配置为生成包括利用访问密钥加密的第一数据的第二数据。应用处理器被配置为从所访问的在线资源中识别商家信息。通信部件被配置为向商业实体服务器传输所生成的第二数据和所识别的商家信息。

作为另一个实例，方法可包括在商业实体子系统处从电子设备接收第一数据，其中第一数据包括凭据信息和用于指示商家子系统的商家信息；使用访问密钥来对第一数据解密；基于来自第一数据的商家信息来识别商家密钥；使用所识别的商家密钥来对凭据信息加密；以及向商家子系统和电子设备的至少一者传输第二数据，其中第二数据包括利用所识别的商家密钥加密的凭据信息。

作为另一个实例，方法包括在电子设备处通过利用凭据密钥对凭据数据加密来生成第一数据；通过利用访问密钥对第一数据加密来生成第二数据；访问商家服务器的在线资源；从所访问的在线资源中识别用于指示商家服务器的商家信息；以及向商业实体服务器传输所生成的第二数据和所识别的商家信息。

作为另一个实例，方法可包括利用电子设备来从商家的在线资源接收第一潜在交易数据；利用电子设备基于所接收的第一潜在交易数据来自动识别电子设备本地的附加信息；以及利用电子设备来向电子设备的用户提供所识别的附加信息和所接收的第一潜在交易数据的至少一部分。

作为另一个实例，方法可包括在电子设备处从商家服务器的在线资源接收交易数据；访问包括凭据数据的第一数据；以及通过利用访问密钥对第一数据和所接收的交易数据的商家标识符加密来生成第二数据。

作为另一个实例，方法可包括利用商业实体服务器来从电子设备接收第一数据和第二数据，其中第一数据可包括凭据信息和通过访问密钥加密的第一商家标识符，并且其中第二数据可包括第二商家标识符。该方法还可包括利用商业实体服务器基于第一商家标识符和第二商家标识符中的至少一者来识别商家密钥。

作为另一个实例，方法可包括利用电子设备来生成包括凭据数据的第一数据；利用电子设备通过利用访问密钥对第一数据加密来生成第二数据；利用电子设备来向商业实体服务器传输所生成的第二数据和商家信息；利用电子设备来接收包括利用与商家信息相关联的商家密钥加密的第一数据的第三数据；以及利用电子设备来向与商家信息相关联的商家服务器传输所接收的第三数据，其中商家密钥不能被电子设备访问。

作为另一个实例，方法可包括从电子设备的安全元件访问信用卡信息以及利用所访问的信用卡信息来促进在线支付交易。

作为另一个实例，方法可包括从电子设备的安全元件访问支付信息以及通过互联网从电子设备向服务器传送所访问的支付信息。

提供本发明内容仅是为了概述一些示例性实施例，以便提供对本文档所述的主题的一些方面的基本理解。因此，应当理解，本发明内容中所述的特征仅为示例性的，而不应被理解为以任何方式缩小本文所述的主题的范围或实质。本文所述主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

以下论述参考了以下附图，在整个附图中类似的附图标记指示类似的部件，并且其中：

图1是用于使用电子设备的安全元件进行在线支付的示例性系统的示意图；

图1A是图1的系统的另一个更详细示意图；

图2是图1和图1A的系统的电子设备的更详细示意图；

图3是图1-图2的电子设备的另一个更详细示意图；

图4是图1-图3的电子设备的前视图；

图5-图13是用于进行在线支付的示例性过程的流程图；以及

图14A-图14E是示出了用于进行在线支付的过程的图1-图4的电子设备的图形用户界面的屏幕的前视图。

具体实施方式

可使用在电子设备的安全元件上提供的凭据以在电子设备和商家之间安全地进行在线金融交易。可由安全元件使用对于电子设备的任何不安全部分不可用的访问密钥来对凭据加密。可由电子设备向也可能具有对访问密钥的访问权限的商业实体传输用于识别针对所提出的在线金融交易的商家的所加密的凭据和信息(例如，设备经由商家应用程序或经由商家网站获得的商家信息)。商业实体可使用访问密钥来对所接收的凭据数据解密，并可使用商业实体已知的商家密钥来对凭据数据重新加密。此类商家密钥可由商业实体通过使用从电子设备接收的商家识别信息来确定(例如，使用可包括针对商业实体已知的各个商家的各种商家密钥的查找表)。然后可直接或经由电子设备来从商业实体向商家传输重新加密的凭据数据，并且商家可使用商家可能已知的商家密钥来对凭据数据解密。商业实体可向电子设备和商家之间的在线金融交易添加安全层。商业实体可能不仅知晓在设备的安全元件处可用的访问密钥而且还可能知晓商家可用的商家密钥。因此，商业实体可能处于独有的地位，以管理设备的安全元件和商家之间的任何在线交易，同时不知晓正在使用的凭据数据(例如，因为商业实体可能不具有对安全元件用于对凭据数据加密的凭据密钥的访问权限)。电子设备的安全元件可使用访问密钥与适当的凭据信息一起对商家标识符加密，其中可首先从在线资源接收此类商家标识符，然后由安全元件进行重新格式化(例如，加密散列化)，以便与安全元件上的凭据信息一起被正确加密。电子设备可被配置为自动填充由在线资源请求的第一信息(例如，通过借助电子设备上的联系人数据库的装运信息)，并且在线资源可被配置为基于此类自动填充的数据来自动更新关于潜在交易的信息(例如，基于新的装运信息来更新总交易价格)。

图1和图1A示出了系统1，其中可结合商业实体子系统400从金融机构子系统350向电子设备100上提供一个或多个凭据，并且其中由电子设备100使用此类凭据以与商家子系统200和相关联的收单银行子系统300进行在线金融交易。图2-图4示出了相对于系统1的电子设备100的特定实施例的更多的细节，图5-图13是用于在在线金融交易中安全地使用电子设备上的凭据的示例性过程的流程图，而图14A-图14E示出了可代表此类在线金融交易期间的电子设备100的图形用户界面的示例性屏幕190a-190e。

图1的描述

图1是示例性系统1的示意图，该系统1可允许在在线金融交易(例如，在线支付)中安全地使用电子设备上的凭据。例如，如图1所示，系统1可包括最终用户电子设备100、以及商业实体子系统400和金融机构子系统350，以在电子设备100上安全地提供一个或多个凭据。此外，如图1所示，系统1还可包括商家子系统200，以从电子设备100接收基于无接触邻近性的通信(例如，近场通信)和/或基于在线的通信670(例如，在应用程序网络电信中)，以基于电子设备100的用户和商家子系统200的商家之间的此类所提供的凭据来实现支付。系统1还可包括收单银行子系统300可利用此类基于无接触邻近性的通信和/或此类基于在线的通信670来完成与金融机构子系统350的金融交易。

系统1可包括用于在设备100和商家子系统200之间实现通信的通信路径15、用于在商家子系统200和收单银行子系统300之间实现通信的通信路径25、用于在收单银行子系统300和金融机构子系统350之间实现通信的通信路径35、用于在金融机构子系统350的支付网络子系统360和金融机构子系统350的发行银行子系统370之间实现通信的通信路径45、用于在金融机构子系统350和商业实体子系统400之间实现通信的通信路径55、用于在商业实体子系统400和电子设备100之间实现通信的通信路径65、用于在金融机构子系统350和电子设备100之间实现通信的通信路径75、以及用于在商业实体子系统400和商家子系统200之间实现通信的通信路径85。路径15、25、35、45、55、65、75和85中的一者或多者可至少部分地由一个或多个可信服务管理器(“TSM”)来管理。可使用可用于创建通信网络的任何适当的电路、设备、系统或这些部件的组合(例如包括一个或多个通信塔、电信服务器等的无线通信基础结构)来提供路径15、25、35、45、55、65、75和85中的一者或多者，这些路径能够使用任何适当的有线通信协议或无线通信协议来提供通信。例如，路径15、25、35、45、55、65、75和85中的一者或多者可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网、蓝牙^TM、BLE、高频系统(例如，900MHz通信系统，2.4GHz通信系统和5.6GHz通信系统)、红外、TCP/IP、SCTP、DHCP、HTTP、BitTorrent^TM、FTP、RTP、RTSP、RTCP、RAOP、RDTP、UDP、SSH、WDS桥接、可由无线电话和蜂窝电话和个人电子邮件设备(例如，GSM、GSMplusEDGE、CDMA、OFDMA、HSPA、多频带等)使用的任何通信协议、可由低功率无线个人局域网(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议或它们的任意组合。

图1A的描述

现在参考图1A，图1A示出了上文相对于图1描述的系统1的更详细视图。如图1A中所示，例如电子设备100可包括处理器102、通信部件106和/或近场通信(“NFC”)部件120。NFC部件120可包括可被配置为提供防篡改平台(例如，作为单个或多个芯片安全微控制器)的安全元件，该安全元件能够根据可由一组识别良好的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)阐述的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如，凭据小应用程序和相关联的凭据密钥诸如凭据密钥155a'和访问密钥155a和/或发行者安全域(“ISD”)密钥156k，如图1A中所示)。如下文更详细所述的，NFC部件120的凭据小应用程序可被配置为提供充分的细节，以识别资金账户或其他金融工具或信用源，其中可由电子设备100在与商家子系统200的一次或多次通信中使用此类凭据小应用程序以促进金融交易。NFC部件120可被配置为与商家子系统200(例如，与商家子系统200的商家终端，其中商家终端可位于实体店处或电子设备100的用户可能使用电子设备100上存储的凭据经由基于无接触邻近性的通信与位于附近的商家终端进行金融交易的任何物理位置处)传送此类凭据信息作为基于无接触邻近性的通信(例如，近场通信)。另选地或除此之外，可提供通信部件106以允许设备100使用任何适当的有线协议或无线协议(例如，经由通信路径15、65和/或75中的一个或多个通信路径)来与一个或多个其他电子设备或服务器或子系统(例如，系统1的一个或多个子系统或其他部件)传送任何适当的数据(例如，凭据信息)。电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可被配置为运行设备100上的一个或多个应用程序(例如，在线资源或商家应用程序113)，该一个或多个应用程序至少部分地指示可在设备100的通信部件106和商家子系统200的商家服务器210之间传送包括NFC部件120的凭据信息的基于在线的通信670的方式(例如，以通过互联网或可由通信路径15提供的任何其他适当的网络来与商家子系统200的远程商家服务器进行金融交易)。

图2的商家子系统200的商家服务器210可包括被配置为经由设备100和服务器210之间的通信路径15来从电子设备100的通信部件106接收基于在线的通信670的任何适当的部件或子系统。此类基于在线的通信670可被配置为从设备100的NFC部件120的安全元件经由设备100的通信部件106支持的任何适当的通信协议(例如，Wi-Fi、蓝牙^TM、蜂窝、有线网络协议等)来向服务器210传送商务凭据数据(例如，来自凭据补充安全域(“SSD”)的启用的小应用程序的信用卡凭据信息，如下文更详细所述的)。可在任何适当的在线上下文内提供基于在线的通信670，诸如在设备100的用户正在与商家服务器210进行通信以经由运行于设备100上的可由商家服务器210管理的第三方应用程序113或经由运行于设备100上的可指向统一资源定位符(“URL”)(其目标或网络资源可由商家服务器210管理)的互联网应用程序或网络浏览器(例如AppleInc.的Safari^TM)进行金融交易时。因此，需要指出，商家服务器210和电子设备100之间的基于在线的通信670可以无线方式和/或经由有线路径(例如，通过互联网)发生。可由商家子系统200的商家提供商家服务器210(例如，作为网络服务器以托管网站数据和/或管理第三方应用数据)。尽管未示出，但商家子系统200还可包括可与电子设备100的处理器部件102相同或类似的商家处理器部件、可与电子设备100的通信部件106相同或类似的商家通信部件、可与电子设备100的I/O界面114相同或类似的商家I/O界面、可与电子设备100的总线118相同或类似的商家总线、可与电子设备100的存储器部件104相同或类似的商家存储器部件、和/或可与电子设备100的电源部件108相同或类似的商家电源部件。

金融机构子系统350可包括支付网络子系统360(例如，支付卡关联或信用卡关联)和/或发行银行子系统370。例如，发行银行子系统370可以是可针对消费者利用特定凭据还清其可能产生的债务的能力来承担主要责任的金融机构。NFC部件120的每个特定凭据小应用程序可与特定支付卡相关联，该特定支付卡可以电子方式链接到特定用户的一个或多个账户。各种类型的支付卡是合适的，该各种类型的支付卡包括信用卡、借记卡、充值卡、储值卡、汽油特惠卡、礼品卡等。可由发行银行子系统370在电子设备100上提供特定支付卡的商务凭据(例如，作为NFC部件120的凭据补充安全域的凭据，如下所述)，以与商家子系统200的商务凭据数据通信(例如，基于无接触邻近性的通信和/或基于在线的通信670)中。每个凭据都可以是可由支付网络子系统360冠名的特定品牌的支付卡。支付网络子系统360可以是可处理对特定品牌的支付卡(例如，商务凭据)的使用的各种发行银行370和/或各种收单银行的网络。

为了在系统1内进行金融交易，必须要在电子设备100的NFC部件120的安全元件上安全地提供至少一个商务凭据。例如，此类商务凭据可直接从金融机构子系统350至少部分地被提供在电子设备100的NFC部件120的安全元件上(例如，作为金融机构子系统350和设备100之间的经由通信路径75的凭据数据654，该凭据数据可经由通信部件106将其传递到NFC部件120)。除此之外或另选地，可经由商业实体子系统400从金融机构子系统350在电子设备100的NFC部件120的安全元件上至少部分地提供此类商务凭据(例如，作为金融机构子系统350和商业实体子系统400之间的经由通信路径55的凭据数据654，该凭据数据可经由商业实体子系统400的服务器410和设备100的通信部件106之间的通信路径65将其传递到设备100作为凭据数据654，然后可将其从通信部件106传递到NFC部件120)。可在设备100的安全元件上提供经由路径75和/或经由路径65的凭据数据654，作为NFC部件120的凭据补充安全域的至少一部分或全部，其可包括凭据小应用程序和/或凭据密钥诸如凭据密钥155a'。如图1A中所示，例如金融机构子系统350还可具有对凭据密钥155a'的访问权限(例如，用于对由设备100使用凭据密钥155a'来加密的数据进行解密)。金融机构子系统350可负责管理凭据密钥155a'，这可包括此类密钥的生成、交换、存储、使用和替换。金融机构子系统350可在金融机构子系统350的安全元件中存储其版本的凭据密钥155a'。

可提供商业实体子系统400作为电子设备100和金融机构子系统350之间的中间体，其中商业实体子系统400可被配置为在设备100的安全元件上提供凭据时和/或在使用所提供的凭据作为设备100和商家子系统200之间的商务凭据数据通信的一部分时(例如，作为基于在线的通信670的一部分)提供新安全层和/或提供更无缝的用户体验。可由可经由特定于用户的登录信息向设备100的用户提供各种服务的特定商业实体向具有商业实体的特定于用户的账户提供商业实体子系统400(例如，经由特定于用户的识别和口令组合)。仅作为一个实例，可由AppleInc.(Cupertino,CA)来向设备100的用户提供商业实体子系统400，AppleInc.也可以是各种服务的提供商(例如，用于销售/租赁要由设备100播放的媒体的iTunes^TMStore、用于销售/租赁用于设备100上的应用程序的AppleAppStore^TM、用于存储来自设备100的数据的AppleiCloud^TM服务、用于在线购买各种Apple产品的AppleOnlineStore等)，其还可以是设备100自身(例如，在设备100是iPod^TM、iPad^TM、iPhone^TM等时)和/或设备100的操作系统(例如，设备应用程序103)的提供商、制造商和/或开发商。可提供商业实体子系统400的商业实体(例如，AppleInc.)可与金融机构子系统350的任何金融实体不同且独立。例如，可提供商业实体子系统400的商业实体可与可提供并管理要在用户设备100上提供的任何信用卡或其他商务凭据的任何支付网络子系统360或发行银行子系统370不同且独立。除此之外或另选地，可提供商业实体子系统400的商业实体(例如，AppleInc.)可与商家子系统200的任何商家不同且独立。例如，可提供商业实体子系统400的商业实体可与可提供用于NFC通信的商家终端、第三方应用程序113和/或商家子系统200的任何其他方面的商家子系统200的任何商家不同且独立。此类商业实体可利用其潜在能力来配置或控制设备100的各种部件(例如，在该商业实体至少部分地产生或管理设备100时的设备100的软件部件和/或硬件部件)，以便在其希望在用户设备100上提供由金融机构子系统350提供的凭据时和/或在使用此类所提供的凭据作为与商家子系统200的商务凭据数据通信的一部分(例如，作为基于在线的通信670的一部分)时，为设备100的用户提供更无缝的用户体验。例如，在一些实施例中，设备100可被配置为与商业实体子系统400无缝地且对于设备100的用户透明地进行通信(例如，经由通信路径65)，以共享或接收可实现更高等级安全性的特定数据(例如，在设备100和商家子系统200之间进行基于在线的商务凭据数据通信期间)。

除了在电子设备100的NFC部件120的安全元件上提供至少一个商务凭据(例如，作为具有凭据密钥155a'的凭据SSD的一部分)之外，还可在设备100的NFC部件120的安全元件上提供具有访问密钥155b的至少一个访问SSD，以便更安全地使得设备100能够与商家子系统200进行金融交易。例如，访问SSD可直接从商业实体子系统400至少部分地被提供在电子设备100的NFC部件120的安全元件上(例如，作为商业实体子系统400的服务器410和设备100的通信部件106之间的经由通信路径65的访问数据652，然后可从通信部件106将其传递到NFC部件120)。可在设备100的安全元件上提供经由路径65的访问数据652作为访问SSD的至少一部分或全部，并且访问数据652可包括访问小应用程序和/或访问密钥155b。如图1A中所示，商业实体子系统400还可具有对访问密钥155b的访问权限(例如，以对由设备100使用访问密钥155b来加密的数据进行解密)。商业实体子系统400可负责管理访问密钥155b，这可包括此类密钥的生成、交换、存储、使用和替换。商业实体子系统400可在商业实体子系统400的安全元件中存储其版本的访问密钥155b。具有访问密钥155b的NFC部件120的访问SSD可被配置为确定设备100的用户的意图和本地认证(例如，经由设备100的一个或多个输入部件110诸如生物测定输入部件)，响应于此类确定，其可被配置为使得另一个特定SSD能够进行支付交易(例如，利用NFC部件120的凭据SSD的凭据)。通过在设备100的安全元件内存储此类访问SSD可提高其可靠地确定金融交易的用户意图和认证的能力。此外，如下文更详细所述的，可利用NFC部件120的此类访问SSD的访问密钥155b来向可能在设备100的安全元件外部传送的金融交易数据提供增强的加密。除此之外或另选地，如下所述，访问数据652可包括用于电子设备100的安全元件的ISD的发行者安全域(“ISD”)密钥156k，这也可由商业实体子系统400维护，并可如下所述作为访问密钥155b的补充或替代而被使用。

如上所述，除了被提供在电子设备100的安全元件上的至少一个凭据SSD和至少一个访问SSD之外，设备100可访问至少一个第三方应用程序(例如，应用程序113)，以便实现设备100和商家子系统200之间的商务凭据数据通信(例如，基于在线的通信670)。首先，可在设备100能访问应用程序113之前，由商业实体子系统400来批准或以其他方式启用此类应用程序113。例如，商业实体子系统400的应用程序商店420(例如，AppleAppStore^TM)可经由通信路径85从商家子系统200接收表示应用程序113的至少一些日期。此外，在一些实施例中，商业实体子系统400可为应用程序113生成或以其他方式分配商家密钥157，并向商家子系统200(例如，经由路径85)提供此类商家密钥157。另选地，商家子系统200可为应用程序113生成并以其他方式分配商家密钥157，并向商业实体子系统400(例如，经由路径85)提此类商家密钥157。商家子系统200或商业实体子系统400可负责管理商家密钥157，这可包括这种密钥的生成、交换、存储、使用和替换。无论如何或在哪里生成并管理此类商家密钥157，商家子系统200和商业实体子系统400都可存储一种版本的商家密钥157(例如，在商家子系统200和商业实体子系统400的相应安全元件中)。在一些实施例中，此类商家密钥157可特定地与商家应用程序113相关联，而在其他实施例中，商家密钥157可特定地与商家子系统200的商家相关联，使得商家密钥157可与由商家子系统200的同一商家操作的多个第三方应用程序相关联。可提供商业实体子系统400能访问的表格430或任何其他适当的数据结构或信息源，以使特定商家密钥157与特定商家应用程序113或商家实体相关联。表格430可使得商业实体子系统400能够确定并利用适当的商家密钥157，以向设备100和商家子系统200之间的商务凭据数据通信(例如，基于在线的通信670)提供安全层(例如，在设备100的用户正与商家服务器210通信以经由与该商家密钥157相关联的第三方应用程序113进行金融交易时)，如下文更详细所述的。设备100可被配置为访问应用程序113(例如，经由通信路径65来自应用程序商店420)并运行应用程序113(例如，利用处理器102)。另选地或除此之外，商家密钥157可与商家的网站(例如，一个或多个URL)而非与商家的第三方应用程序(例如，应用程序113)相关联或与除商家的第三方应用程序之外的应用程序相关联。例如，商家子系统200的商家可与商业实体子系统400合作以使特定商家网站与表格430中的特定商家密钥157相关联，这可使得商业实体子系统400能够确定并利用适当的商家密钥157来向设备100和商家子系统200之间(例如，在设备100的用户正在与商家服务器210通信以经由设备100上运行的互联网应用程序或网络浏览器进行金融交易时，该互联网应用程序或网络浏览器可指向其目标或网络资源可与商家密钥157相关联的URL)的商务凭据数据通信(例如，基于在线的通信670)提供安全层。设备100可被配置为例如使用设备100上的互联网应用程序经由通信路径15来从商家服务器210访问此类URL。

图2的描述

现在参考图2，图2示出了上文相对于图1和图1A描述的系统1的电子设备100的更详细视图。如图2所示，例如电子设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信(“NFC”)部件120。电子设备100还可包括可提供一个或多个有线或无线通信链路或路径以向、从设备100的各个其他部件或在其间传输数据和/或电力的总线118。还可为电子设备100提供可至少部分地包封设备100的一个或多个部件以用于针对设备100外部的灰尘和其他劣化力进行保护的外壳101。在一些实施例中，可组合或省略电子设备100的一个或多个部件。此外，电子设备100可包括图2中未组合或包括的其他部件。例如，电子设备100可包括任何其他适当的部件或图2中所示的部件的若干个实例。为了简单起见，图2中示出了每种部件中的仅一个部件。可提供一个或多个输入部件110以允许用户与设备100进行交互或接口连接，和/或可提供一个或多个输出部件112以向设备100的用户呈现信息(例如，图形信息、音频信息和/或触觉信息)。应当指出，在本文有时可将一个或多个输入部件和一个或多个输出部件统称为输入/输出(“I/O”)部件或I/O界面114(例如，输入部件110和输出部件112作为I/O部件或I/O界面114)。例如，输入部件110和输出部件112有时可以是可通过用户触摸显示屏来接收输入信息并且还可经由同一显示屏向用户提供视觉信息的单个I/O部件114诸如触摸屏。电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2所示，处理器102可用于运行一个或多个应用程序诸如应用程序103和/或应用程序113。作为一个实例，应用程序103可以是操作系统应用程序，而应用程序113可以是第三方应用程序(例如，与商家子系统200的商家相关联的应用程序)。

NFC部件120可以是任何适当的基于邻近性的通信机构，其可在电子设备100和商家子系统200的商家终端(例如，商家支付终端)之间实现基于无接触邻近性的交易或通信。NFC部件120可包括用于在电子设备100和此类商家终端之间实现基于无接触邻近性的通信的任何适当的模块。如图2所示，例如NFC部件120可包括NFC设备模块130、NFC控制器模块140和/或NFC存储器模块150。NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或以其他方式提供可由NFC部件120向商家终端传输的作为基于无接触邻近性的通信或NFC通信的一部分的任何适当的数据。除此之外或另选地，NFC数据模块132可被配置为包含、路由或以其他方式接收可由NFC部件120从商家终端接收的作为基于无接触邻近性的通信的一部分的任何适当的数据。NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC设备模块130工作以启用、激活、允许和/或以其他方式控制NFC部件120，以在电子设备100和商家终端之间传送NFC通信。NFC控制器模块140可包括可用于运行一个或多个应用程序诸如NFC低功率模式或钱包应用程序143的至少一个NFC处理器模块142，这些应用程序可帮助指示NFC部件120的功能。NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作以允许电子设备100和商家子系统200之间的NFC通信。NFC存储器模块150可防篡改并可提供安全元件145的至少一部分(例如，参见图3)。例如，此类安全元件可被配置为提供防篡改平台(例如，作为单个或多个芯片安全微控制器)，该防篡改平台可能够根据可由一组识别良好的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)阐述的规则和安全要求来安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。

如图2所示，例如NFC存储器模块150可包括可由NFC规范标准(例如GlobalPlatform)定义和管理的发行者安全域(“ISD”)152和补充安全域(“SSD”)154(例如，服务提供商安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)等)中的一者或多者。例如，ISD152可以是NFC存储器模块150的一部分，其中可信服务管理器(“TSM”)或发行金融机构(例如，金融机构子系统350)可存储密钥和/或其他适当的信息，以创建或以其他方式在电子设备100上(例如，经由通信部件106)提供一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、赊购卡、交通卡等相关联的凭据)，从而用于凭据内容管理和/或安全域管理。凭据可包括可被分配给用户/消费者并且可被安全地存储在电子设备100上的凭据数据诸如信用卡支付号码。NFC存储器模块150可包括至少两个SSD154(例如，至少第一SSD154a和第二SSD154b)。例如，第一SSD154a(例如，凭据SSD154a)可与特定凭据(例如，由金融机构子系统350提供的可向电子设备100提供特定特权或支付权限的特定信用卡凭据或特定公共交通卡凭据)相关联，而第二SSD154b(例如，访问SSD154b)可与商业实体(例如，可控制设备100的实体的商业实体子系统400的商业实体)相关联，该商业实体可控制设备100对另一SSD(例如，第一SSD154a)的特定凭据的访问，例如以向电子设备100提供特定特权或支付权限。另选地，第一SSD154a和第二SSD154b中的每一者可与可向电子设备100提供特定特权或支付权限的相应特定凭据相关联(例如，由金融机构子系统350提供的特定信用卡凭据或特定公共交通卡凭据)。每个SSD154可包括至少一个小应用程序153和/或与其相关联(例如，具有小应用程序153a的SSD154a和具有小应用程序153b的SSD154b)。例如，SSD154的小应用程序153可以是可运行于NFC部件120的安全元件上的应用程序(例如，在GlobalPlatform环境中)。每个小应用程序153还可包括至少一个其自身的密钥155和/或与其相关联(例如，具有至少一个密钥155a的小应用程序153a和具有至少一个密钥155b的小应用程序153b)。

SSD154的密钥155可以是可确定加密算法或密码的函数输出的一条信息。例如，在加密时，密钥可指定加密期间明文到密文的特定转化或反之亦然。也可在其他加密算法中使用密钥诸如数字签名方案和消息认证代码。可由TSM或授权的代理在设备100的安全元件上加载每个密钥和小应用程序或在第一次被提供在设备100上时在安全元件上进行预加载。作为一个实例，尽管凭据SSD154a可与特定信用卡凭据相关联，但在该凭据SSD154a的小应用程序153a已被启用或以其他方式被激活或解锁以用于此类用途时，可从设备100的安全元件(例如，从NFC部件120)向商家子系统200仅传送该特定凭据作为商务凭据数据通信(例如，作为至商家终端的基于无接触邻近性的通信和/或作为至商家服务器210的基于在线的通信670)。

可提供安全特征以使得能够使用NFC部件120，在从电子设备100向商家子系统200传输保密支付信息诸如例如凭据的信用卡信息或银行账户信息时，NFC部件可能特别有用。此类安全特征还可包括可具有受限访问权限的安全存储区域。例如，可能需要提供经由个人标识号(“PIN”)输入或经由与生物测定传感器的用户交互的用户认证来访问安全存储区域。例如，访问SSD154b可利用小应用程序153b以在允许使用其他SSD154(例如，凭据SSD154a)传送其凭据信息之前确定是否已发生此类认证。在某些实施例中，可在NFC存储器模块150内存储一些或所有安全特征。此外，可在NFC存储器模块150内存储安全信息诸如认证密钥，以和商家子系统200传送商务凭据数据。在某些实施例中，NFC存储器模块150可包括嵌入电子设备100内的微控制器。仅作为一个实例，访问SSD154b的小应用程序153b可被配置为确定设备100的用户的意图和本地认证(例如，经由一个或多个输入部件110诸如生物测定输入部件)，并且响应于此类确定，其可被配置为使得另一个特定SSD能够进行支付交易(例如，利用凭据SSD154a的凭据)。

图3的描述

现在参考图3，图3示出了上文相对于图1-图2描述的系统1的电子设备100的一部分的另一个详细视图。如图3中所示，例如NFC部件120的安全元件145可包括SSD154a和SSD154b，该SSD154a可包括小应用程序153a或与其相关联，该小应用程序153a可包括访问密钥155a和/或凭据密钥155a'，该SSD154b可包括小应用程序153b或与其相关联，该小应用程序153b可包括访问密钥155b和/或凭据密钥155b'。在一些实施例中，特定的补充安全域(“SSD”)154(例如，SSD154a和154b中的一个SSD)可与特定TSM以及可向电子设备100提供特定特权或支付权限的至少一个特定商务凭据(例如，特定信用卡凭据或特定公共交通卡凭据)相关联。每个SSD154可具有其自身的管理器密钥155(例如，密钥155ak和155bk中的相应一个密钥)，其可能需要被激活以启用该SSD154的功能以供NFC设备模块130使用。除此之外或另选地，每个SSD154可包括其自身的凭据应用程序或与特定商务凭据相关联的凭据小应用程序(例如，Java卡小应用程序实例)中的至少一者和/或与其相关联(例如，SSD154a的凭据小应用程序153a可与第一商务凭据相关联，并且SSD154b的凭据小应用程序153b可与第二商务凭据相关联)，其中凭据小应用程序可具有其自身的访问密钥(例如，用于凭据小应用程序153a的访问密钥155a和用于凭据小应用程序153b的访问密钥155b)和/或其自身的凭据密钥(例如，用于凭据小应用程序153a的凭据密钥155a'和用于凭据小应用程序153b的凭据密钥155b')，并且其中可能需要激活凭据小应用程序以启用其自身的相关联的商务凭据，以供NFC设备模块130用作电子设备100和商家子系统200之间的NFC通信和/或基于在线的通信670。在一些实施例中，凭据小应用程序的凭据密钥(例如，用于凭据小应用程序153a的凭据密钥155a'和/或用于凭据小应用程序153b的凭据密钥155b')可由可负责这此类凭据的金融机构子系统350生成并能由该金融机构子系统350(例如，如图1A所示)访问，以实现安全元件145和金融机构子系统350之间的该凭据小应用程序的安全传输。除此之外或另选地，凭据小应用程序的访问密钥(例如，用于凭据小应用程序153a的访问密钥155a和/或用于凭据小应用程序153b的访问密钥155b)可由商业实体子系统400生成并能由商业实体子系统400(例如，如图1A所示)访问，以实现安全元件145和商业实体子系统400之间的该凭据小应用程序的安全传输。

除此之外或另选地，如图3所示，安全元件145可包括ISD152，该ISD152可包括也可被与该安全域相关联的可信服务管理器(例如，商业实体子系统400，如图1A所示)知道的ISD密钥156k。可类似于和/或替代访问密钥155a和/或访问密钥155b，由商业实体子系统400和电子设备100利用ISD密钥156k，以实现商业实体子系统400和电子设备100的安全元件145之间的安全传输。此外，如图3中所示，并且如下文更详细所述，可在处理器102和安全元件145之间传送各种数据。例如，设备100的处理器102可被配置为运行设备应用程序103，该设备应用程序103可与处理器102的商家应用程序113以及安全元件145、I/O部件114a(例如，用于接收I/O输入数据115i和/或用于传输I/O输出数据115o)和/或通信部件106传送信息。

除此之外或另选地，如图3所示，安全元件145可包括控制管理机构安全域(“CASD”)158，该CASD158可为被配置为充当第三方元件上信任根的专用安全域。CASD158的相关联的应用程序可被配置为向其他应用程序和/或特定管理层(例如，GlobalPlatform管理层)提供元件上保密密钥生成作为全局服务。可在CASD158内使用的保密密钥材料可被配置为使得不可被包括安全元件145的发行者的任何实体检测或修改。CASD158可被配置为包括和/或可被配置为生成和/或以其他方式包括CASD访问套件158k(例如，CASD私钥(“CASD-SK”)、CASD公钥(“CASD-PK”)、CASD证书(“CASD-Cert”)和/或CASD-签名模块)。例如，在向设备100的另一个部分(例如，用于和系统1的其他子系统共享的通信部件106)提供此类数据之前，CASD158可被配置为(例如，使用CASD访问套件158k)标记安全元件145上的特定数据。例如，CASD158可被配置为标记由安全元件145提供的任何数据，使得其他子系统(例如，商业实体子系统400)可能够确认此类所标记的数据是由安全元件145(例如，使用商业实体子系统400处的相关联的CASD套件158k)标记的。

除此之外或另选地，如图3所示，安全元件145可包括无接触注册服务(“CRS”)小应用程序或应用程序151，该CRS小应用程序或应用程序151可被配置为向电子设备100提供本地功能以修改特定安全域元件的生命周期状态(例如，激活、去活、锁定等)并(例如，经由用户I/O界面114a)与设备100的用户共享关于特定生命周期状态中的特定安全域元件的特定输出信息115o。除此之外或另选地，CRS151可包括也可被与CRS151相关联的可信服务管理器(例如，商业实体子系统400，如图1A所示)知道的CRS访问密钥151k。可类似于和/或替代访问密钥155a和/或访问密钥155b，商业实体子系统400和电子设备100利用CRS访问密钥151k来实现商业实体子系统400和电子设备100的安全元件145之间的安全传输。

图4的描述

如图4所示，并且如下文更详细所述，电子设备100的具体实例可以是手持式电子设备诸如iPhone^TM，其中外壳101可允许访问各种输入部件110a-110i、各种输出部件112a-112c和各种I/O部件114a-114d，通过它们该设备100和用户和/或周围环境可彼此交互。例如，触摸屏I/O部件114a可包括显示输出部件112a和相关联的触摸输入部件110f，其中可使用显示输出部件112a来显示可允许用户与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180。GUI180可包括各种层、窗口、屏幕、模板、元件、菜单和/或当前运行的应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的其他部件，它们可被显示在输出部件112a的全部区域或一些区域中。例如，如图4所示，GUI180可被配置为显示具有GUI180的一个或多个图形元件或图标182的第一屏幕190。在已选择特定图标182时，设备100可被配置为打开与该图标182相关联的新应用程序并显示与该应用程序相关联的GUI180的对应屏幕。例如，在已选择被标记为“商家应用程序”文本指示符181(即，具体图标183)的特定图标182时，设备100可启动或以其他方式访问特定的第三方商家应用程序并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征的特定用户界面的屏幕(例如，参见图14A-图14E以用于在使用商家应用程序(例如，应用程序113)期间的GUI180的此类显示的具体实例，可由设备100的用户使用该商家应用程序利用NFC部件120的凭据(例如，凭据SSD154a的凭据)来进行在线支付)。对于每个应用程序而言，屏幕可被显示在显示输出部件112a上并可包括各种用户界面元件。除此之外或另选地，对于每个应用程序，可经由设备100的各种其他输出部件112来向用户提供各种其他类型的非视觉信息。

图5、图6、图7和图14A-图14E的描述

为了便于下文论述用于在设备100和商家子系统200之间安全地进行在线支付的系统1的操作(例如，在使用设备100的安全元件的凭据作为设备100和商家子系统200之间的基于在线的通信670的一部分时)，参考图5-图7的一个或多个流程图的一个或多个过程、图1-图4的示意图的系统1的各个部件以及屏幕190-190e的前视图，它们可代表此类支付期间的电子设备100的图形用户界面(例如，如图4和图14A-图14E所示)。可利用多种图形元件和视觉方案来实现操作。因此，图4和图14A-图14E的实施例并非意在限于本文采用的精确用户界面会话。相反，实施例可包括各种用户界面风格。

图5是用于安全地进行在线支付的示例性过程500的流程图。过程500被示出为由电子设备100、商家子系统200、收单银行子系统300、商业实体子系统400和金融机构子系统350实施。然而，应当理解，可使用任何其他适当的部件或子系统来实施过程500。过程500可提供无缝的用户体验以利用设备100上的商家子系统200安全地进行在线支付。过程500可开始于步骤502处，在此处电子设备100可利用商业实体密钥来对支付卡数据加密。例如，安全元件145可利用商业实体子系统400能访问的安全元件145的访问密钥155a、访问密钥155b、CRS151k和/或ISD密钥156k来对来自SSD154a(例如，小应用程序153a数据)的支付卡凭据数据加密。另选地或除此之外，安全元件145可在步骤502处利用商业实体子系统400能访问的CASD158k来标记来自SSD154a的支付卡凭据数据。接下来，在步骤504处，过程500可包括向商业实体子系统400传送步骤502的所加密的支付卡数据的电子设备100。例如，可使用任何适当的通信协议经由通信路径65来从电子设备100的通信部件106向商业实体子系统400的服务器410传输此类所加密的支付卡数据。接下来，在步骤506处，过程500可包括商业实体子系统400利用商业实体密钥对步骤504的所传送的加密的支付卡数据解密，然后利用商家密钥对所解密的支付卡数据重新加密。例如，商业实体子系统400的服务器410可从电子设备100接收所加密的支付卡数据，利用商业实体子系统400的访问密钥155a、访问密钥155b、CRS151k和/或ISD密钥156k来对该所加密的支付卡数据解密和/或不利用商业实体子系统400的CASD158k来标记支付卡数据，并利用商业实体子系统400的商家密钥157对该所解密的/未标记的支付卡数据重新加密。通过在电子设备100和商业实体子系统400之间以已使用电子设备100和商业实体子系统400两者已知的商业实体密钥(例如，访问密钥155a、访问密钥155b、CRS151k和/或ISD密钥156k)加密的加密形式来传送支付卡数据，过程500可禁止此类所加密的支付卡数据的通信被截获并且禁止被不具有对商业实体密钥的访问权限的实体解密。

接下来，在步骤508处，过程500可包括商业实体子系统400向电子设备100传送步骤506的重新加密的支付卡数据。例如，可使用任何适当的通信协议经由通信路径65来从商业实体子系统400向电子设备100的通信部件106传输此类重新加密的支付卡数据。接下来，在步骤510处，过程500可包括电子设备100向商家子系统200传送步骤508的重新加密的支付卡数据。例如，可使用任何适当的通信协议经由通信路径15来从电子设备100的通信部件106向商家子系统200的服务器210传输此类重新加密的支付卡数据。通过以已使用商业实体子系统400和商家子系统200两者已知的商家密钥(例如，商家密钥157)进行重新加密的重新加密的形式从商业实体子系统400向电子设备100然后向商家子系统200传输支付卡数据，过程500可禁止此类重新加密的支付卡数据通信被解密并禁止被不具有对商家密钥(例如，电子设备100)的访问权限的实体篡改。在一些实施例中，在步骤504处从电子设备100向商业实体子系统400所传送的数据可包括商家标识符，该商家标识符可指示电子设备100尝试与其(例如，经由与商家子系统为200相关联的在线资源113)进行金融交易的商家子系统。可由商业实体子系统400在步骤506处接收并利用此类商家标识符，以识别商业实体子系统400能访问的很多商家密钥中的特定一个商家密钥，以用于在步骤506处对支付卡数据进行重新加密(例如，通过利用商业实体子系统400的表格430)。

在商家子系统200接收到在步骤510处从电子设备100传输的重新加密的支付卡数据之后，过程500可包括商家子系统200利用该重新加密的支付卡数据在步骤512处与收单银行300和/或金融机构子系统350进行金融交易。例如，商家子系统200可利用商家子系统200能访问的商家密钥(例如，商家密钥157)来对重新加密的支付卡数据进行解密，然后可将该支付卡数据转发到收单银行300和/或金融机构子系统350(例如，经由通信路径25和/或通信路径35)，使得与支付卡数据相关联的资金账户可由收单银行300和/或金融机构子系统350识别并使用，以为金融交易注资。接下来，在步骤512处执行此类交易之后，过程500可包括商家子系统200在步骤514处向电子设备100确认该执行。例如，商家子系统200可经由通信路径15来向电子设备100传送任何适当的确认信息。

在一些实施例中，可首先由凭据密钥(例如，安全元件145的凭据密钥155a')对在步骤502处由电子设备100加密的支付卡数据进行加密。此类凭据密钥不能由商业实体子系统400访问，使得不仅步骤506的所解密的支付卡数据的支付卡数据，而且步骤508和510的重新加密的支付卡数据均可保持被该凭据密钥加密。收单银行300和/或金融机构子系统350可访问此类凭据密钥(例如，金融机构子系统350的凭据密钥155a')，使得在步骤512处由商家子系统200向收单银行300和/或金融机构子系统350转发支付卡数据，收单银行300和/或金融机构子系统350可在能够识别与该支付卡数据相关联的资金账户之前使用凭据密钥来对支付卡数据解密。因此，过程500可利用商业实体子系统来向电子设备和商家之间的在线金融交易添加安全层。商业实体可能不仅知晓在设备的安全元件处可用的商业实体密钥，而且可能知晓对商家可用的商家密钥。因此，商业实体可能处于独有的地位，以管理设备的安全元件和商家之间的任何在线交易，同时不知晓正在用于识别用于为该交易注资的账户的支付卡数据(例如，因为商业实体可能不具有对其中安全元件初始可用于对凭据数据加密的凭据密钥的访问权限)。

应当理解，图5的过程500中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加步骤，并可改变某些步骤的顺序。

图6是用于安全地进行在线支付的示例性过程600的流程图。过程600被示出为由电子设备100、商家子系统200、收单银行子系统300、商业实体子系统400和金融机构子系统350实施。然而，应当理解，可使用任何其他适当的部件或子系统来实施过程600。过程600可提供无缝的用户体验以利用设备100上的商家子系统200安全地进行在线支付。过程600可开始于步骤602，在此处可由商业实体子系统400在电子设备100的安全元件上提供访问数据652(例如，图1A的访问数据652)。例如，可在设备100的安全元件(例如，NFC部件120)上提供作为来自商业实体子系统400的服务器410的访问数据652的至少一个访问SSD(例如，SSD154b)，以便更安全地使得设备100能够与商家子系统200进行金融交易。如上所述，访问SSD154b可直接从商业实体子系统400至少部分地被提供在电子设备100的NFC部件120的安全元件上(例如，作为商业实体子系统400的服务器410和设备100的通信部件106之间的经由通信路径65的访问数据652，然后可从通信部件106(例如，经由总线118)将其传递到NFC部件120)。可在设备100的安全元件上提供经由路径65的访问数据652作为访问SSD154b的至少一部分或全部，并且该访问数据可包括访问小应用程序153b和/或访问密钥155b。可在(例如，在设备100被卖给用户之前，由商业实体子系统400)初始配置设备100时，至少部分地执行步骤602。另选地，可至少部分地响应于设备100的用户初始设置NFC部件120来执行步骤602。除此之外或另选地，访问数据652可包括用于电子设备100的安全元件的ISD152的ISD密钥156k，除了用于在商业实体子系统400和电子设备100之间实现安全传输的访问密钥155b之外或作为替代，还可使用访问数据652。除此之外或另选地，访问数据652可包括电子设备100的安全元件145的CRS151的CRS151k和/或CASD158的CASD158k，除了用于在商业实体子系统400和电子设备100之间实现安全传输的访问密钥155b和/或访问密钥155a和/或ISD密钥156k之外或作为替代，还可使用访问数据652。

在步骤604处，过程600可包括在一些实施例中由金融机构子系统350经由商业实体子系统400在电子设备100的安全元件上提供凭据数据654(例如，图1A的凭据数据654)。例如，此类凭据数据654可直接从金融机构子系统350至少部分地被提供在电子设备100的NFC部件120的安全元件上(例如，经由金融机构子系统350和设备100之间的图1A的通信路径75，可经由通信部件106来将其传递到NFC部件120)。除此之外或另选地，可经由商业实体子系统400从金融机构子系统350在电子设备100的NFC部件120的安全元件上至少部分地提供此类凭据数据654(例如，经由金融机构子系统350和商业实体子系统400之间的图1A的通信路径55，可经由商业实体子系统400的服务器410和设备100的通信部件106之间的图1A的通信路径65来将其作为凭据数据654传递到设备100，然后可将其从通信部件106(例如，经由总线118)传递到NFC部件120)。可在设备100的安全元件上提供经由路径75和/或经由路径65的作为凭据SSD154a的至少一部分或全部的凭据数据654，并可包括凭据小应用程序153a和/或凭据密钥155a'。可在设备100的用户选择要在设备100上提供特定凭据时，至少部分地地执行步骤604。在一些实施例中，凭据数据654还可包括访问密钥155a，该访问密钥可从商业实体子系统400向金融机构子系统350被初始提供和/或可由商业实体子系统400添加。

在设备100上提供的凭据数据可包括利用该凭据进行支付所必需的所有数据，诸如例如主账号(“PAN”)、卡安全代码(例如，卡验证码(“CVV”))、到期日期、与凭据相关联的名称等。可在设备100上提供“虚拟”凭据或虚拟PAN或设备PAN(“D-PAN”)，而不是用户的“实际”凭据或实际PAN或注资PAN(“F-PAN”)。例如，一旦决定要在设备100上提供凭据，便可(例如，由金融机构子系统350，由商业实体子系统400和/或由设备100的用户)请求生成虚拟凭据、链接到实际凭据、并在设备100上提供凭据但不提供实际凭据。可由金融机构子系统350的任何适当部件进行虚拟凭据的此类生成以及与实际凭据的链接。例如，支付网络子系统360(例如，可与实际凭据的品牌相关联的特定支付网络子系统360)可定义和存储可在实际凭据和虚拟凭据之间形成关联的虚拟链接表格312(例如，如图1A所示)，使得在设备100在任何时候将虚拟凭据用于与商家子系统200的金融交易时(例如，在设备100上提供之后)，支付网络子系统360均可接收用于指示该虚拟凭据的授权请求(例如，作为图1A的数据674)，并可考虑到与由表格312确定的虚拟凭据相关联的实际凭据来对该授权请求进行分析。通过在设备100上提供虚拟凭据而非实际凭据，金融机构子系统350可被配置为限制在未授权用户拦截虚拟凭据时可能导致的欺诈活动，因为支付网络子系统360仅可被配置为在特定交易期间利用表格312来将虚拟凭据链接到实际凭据。

在步骤606处，过程600可包括使商家的在线资源诸如商家应用程序113或商家网站与商家密钥157相关联。例如，商业实体子系统400可填充表格430以使商家密钥157与商家的资源(例如，应用程序113或网站)相关联，以使用该商家资源来在设备100和商家子系统200之间实现安全的商务凭据数据通信(例如，图1A的基于在线的通信670)。商家子系统200和商业实体子系统400两者可存储一种版本的此类商家密钥157(例如，在商家子系统200和商业实体子系统400的相应安全元件中，如图1A所示)。在一些实施例中，为了参与在线资源支付程序，可能要求商家被注册为商业实体子系统400的商业实体运行的程序的成员和/或获得商家证书。商家没有证书可能不能接收支付数据。每个证书可包含将商家绑定到用于该商家的公钥(例如，公共商家密钥157)的唯一的商家标识符。商家可获得多个证书，因此可保持超过一个身份。此类唯一的商家标识符可由商家子系统200向设备100提供(例如，在步骤610处，作为数据660的一部分和/或作为在设备100上运行的在线资源的固有要素(例如，商家应用程序113))，可在所尝试的交易期间从设备100向商业实体子系统400提供此类商家标识符(例如，作为下述步骤614的数据664的至少一部分)。

在步骤608处，过程600可包括被设备100访问的商家的在线资源658(例如，图1A的商家的第三方应用程序113或网站)。如图1A所示，可从商业实体子系统400(例如，从应用程序商店420)向设备100上加载商家的第三方应用程序113。例如，如图4所示，用户可使用I/O部件114a的触摸屏输入部件110f来选择GUI180的特定屏幕190的“商家应用程序”图标183，并且该选择可被电子设备100识别为为用户提供与商家的第三方应用程序113进行交互的能力的发起事件。另选地或除此之外，此类在线资源658可被电子设备100直接从商家子系统200访问。响应于对商家应用程序图标183的此类选择，GUI180可提供交互屏幕，其中电子设备100可使得用户能够与应用程序113进行交互，以精读来自商家用于购买的市售物品。另选地，步骤608可包括设备100使用设备100的互联网应用程序，以访问商家的在线资源658作为来自商家子系统200的商家网页(例如，经由商家服务器210)，也可通过图4的GUI180的特定屏幕190的“互联网”图标182来选择该资源，以为用户提供与商家网页而非与商家的第三方应用程序进行交互的能力。

接下来，在步骤610处，设备100可从所访问的商家的在线资源接收潜在交易数据660。例如，如图1A所示，在设备100正在与商家的第三方应用程序113或商家的网站或商家的任何其他适当的在线资源(例如，资源658)进行交互时，可从商家子系统200(例如，从商家服务器210)向设备100提供潜在交易数据660。另选地或除此之外，潜在交易数据660的至少一部分能被设备100经由设备100本地的应用程序113被本地访问(例如，在应用程序113被存储在存储器部件104中或正由设备100的处理器102运行时)，而不是在步骤610处主动从商家服务器210向设备100发送数据。例如，在应用程序113初始被存储在设备100上(例如，在步骤608处，作为商家的在线资源658)时，可由该初始存储的应用程序113生成潜在交易数据660中的至少一些潜在交易数据，而无需商家子系统200向设备100提供任何附加信息。潜在交易数据660可包括指示要在设备100的用户和商家子系统200的商家之间发生的潜在金融交易的特性的任何适当的数据，包括但不限于对设备100的识别、对商家的识别、对被使用的特定商家资源(例如，由设备100访问的特定商家应用程序113或网站)的识别、对要购买或租赁或以其他方式付款的特定产品或服务的识别、对要支付的价格的识别、对在交易期间要使用的货币的识别、对要使用的默认地址或初始装运地址的识别、可由商家子系统200接受凭据的金融机构的列表和/或任何其他适当的信息。潜在交易数据660可定义在线资源的请求，以为购买产品和/或服务产生支付令牌，并可封装关于潜在交易的任何适当的信息，包括例如关于商家的支付处理能力、支付量和货币代码的信息。潜在交易数据660还可包括可由商家支持的一个或多个支付网络(例如，一个或多个支付网络360)的列表，使得设备100被配置为确定此类所列出的一个或多个支付网络中的任一个支付网络是否具有设备100上的所授权的支付凭据。如果存在此类匹配，例如如图14A所示，GUI180可提供屏幕190a，其中商家的在线资源可使用交易数据660以利用信息1407a来向用户展示商家的名称(例如，“商家A”)，利用信息1407b来展示产品名称(例如，“产品B”)，利用信息1407c来展示价格(例如，“价格C”)和/或利用信息1407d来展示初始装运数据(例如，“地址D”)。可由商家服务器210向设备100提供的潜在交易数据660可指示此类信息1407a、1407b、1407c和/或1407d。如图14A还示出的并且如下文更详细所述的，屏幕190a还可包括选择替代装运提示1409和/或购买提示1411。可经由图1A的通信路径15来从商家服务器210向设备100提供潜在交易数据660，并可由设备100的通信部件106接收。通信部件106可将这种潜在交易数据660传递到处理器102(例如，用于在屏幕190a上针对设备100上的商家应用程序113来显示用户界面的一部分(例如，针对信息1407a-1407d))和/或传递到NFC部件120。例如，NFC部件120可利用此类潜在交易数据660来安全地实现设备100和商家子系统200之间的金融交易，如下文进一步所述的。如下文更详细所述(例如，相对于图7的过程700的步骤702-714)，装运信息1407d可基于在线资源已知的任何适当的数据和/或基于可由设备100可用的其他资源可发现和可选择的数据(例如，设备100本地的联系人信息)，以自动填充和/或更新由在线资源提供的初始装运信息。在一些实施例中，可将潜在交易数据660称为支付请求数据和/或统一资源定位符(“URL”)或任何其他适当的参考字符串和/或查询串。

接下来，在步骤611处，过程600可包括接收设备100的用户的意图和认证，以基于潜在交易数据660利用特定凭据来针对特定商家、产品、价格和装运目的地执行金融交易。例如，如图14A所示，设备100的GUI180的屏幕190a还可包括购买提示1411，该购买提示根据潜在交易数据660的细节来询问用户其是否希望从商家进行购买。此外，如图14C所示，输出显示部件112a可被配置为响应于接收到对图14A的屏幕190a的购买提示1411和/或图14C的屏幕190c的购买提示1411的选择来提供屏幕190c。图14C的屏幕190c可提示用户以一种或多种方式来与设备100进行交互，以选择设备100可用的特定凭据以进行购买。如图所示，屏幕190c可包括凭据选择提示1413，该凭据选择提示可使得用户能够选择可在设备100上提供的潜在多个凭据中的一个凭据(例如，凭据SSD154a的凭据)。提示1413可仅包括与由商家支持的支付网络相关联的凭据(例如，如上所述，可由潜在交易数据660来确定)。如图14D所示，输出显示部件112a可被配置为响应于接收到对来自图14C的屏幕190c的凭据选择提示1413的凭据的用户选择来提供屏幕190d。图14D的屏幕190d可提示用户以一种或多种方式来与设备100进行交互，以认证用户以及其利用所选择的凭据的意图。这可包括提示用户(例如，利用认证提示1415)经由个人标识号(“PIN”)或经由与生物测定传感器的用户交互来输入用户认证，以便访问设备100的安全元件，从而访问要用于购买的凭据。访问SSD154b可利用小应用程序153b以在允许使用其他SSD154(例如，凭据SSD154a)在商务凭据数据通信中启用其凭据信息之前确定是否已进行此类认证。仅作为步骤611的一个实例，访问SSD154b的小应用程序153b可被配置为确定设备100的用户的意图和本地认证(例如，经由一个或多个输入部件110诸如经由GUI180与应用程序113进行用户交互所使用的图4的生物测定输入部件110i)，并且响应于此类确定，其可被配置为使得另一个特定SSD能够进行支付交易(例如，利用凭据SSD154a的凭据)。在一些实施例中，此类确定之后但在此类启用之前，输出显示部件112a可被配置为提供图14E的屏幕190e，该屏幕可提示用户(例如，利用支付提示1417)以一种或多种方式与设备100进行交互以使用所选择和所认证的凭据根据潜在交易数据660来向商家子系统200最终发起支付。可在下文相对于图7的过程700描述图14A-图14E的附加特征。

接下来，在步骤612-614处，过程600可包括设备100生成、加密并传输商业实体凭据数据664，以供商业实体子系统400使用。一旦已选择、认证和/或启用设备100的安全元件上的凭据SSD154a的凭据以在金融交易(例如，在步骤611处)中使用，设备100的安全元件(例如NFC部件120的处理器模块142)便可对该凭据数据加密以供商业实体子系统400使用。例如，可在步骤612处利用凭据密钥155a'来将凭据SSD154a的安全元件(“SE”)凭据数据661(例如，小应用程序数据153a)加密为所加密的SE凭据数据662，使得所加密的SE凭据数据662仅可由能够访问该凭据密钥155a'的实体(例如，金融机构子系统350)解密，以访问SE凭据数据661。SE凭据数据661可包括利用该凭据进行支付必需的所有数据，诸如例如主账号(例如，实际的F-PAN或虚拟D-PAN)、卡安全代码(例如，卡验证码(“CVV”))、到期日期、与凭据相关联的名称等。一旦在步骤612处利用凭据密钥155a'来将凭据SSD154a的SE凭据数据661中的一些或全部SE凭据数据加密为所加密的SE凭据数据662，便可在步骤613处由访问信息(例如，由SSD154a的访问密钥155a、访问SSD154b的访问密钥155b、ISD密钥156k和/或CRS151k和/或由CASD158k标记)来将所加密的SE凭据数据662单独或与潜在交易数据660的至少第一部分(例如，潜在交易数据660的可包括对商家的识别、对价格的识别和/或对产品/服务的识别的第一部分)和/或任何其他适当的信息(例如，任何识别设备100自身的信息)一起被加密为所加密的商业实体(“CE”)凭据数据663。例如，设备100的安全元件145(例如，NFC部件120的处理器模块142)可使用访问信息来不仅加密对来自数据660的商家的识别(例如，对商家或其用于购买的资源诸如应用程序113的识别)，而且加密对来自数据660的购买量和/或货币代码以及SSD154a的所加密的SE凭据数据661(例如，所加密的SE凭据数据662)的识别，从而将其加密成所加密的商业实体凭据数据663。在一些实施例中，可首先由安全元件将来自数据660的商家的此类识别转换成可由安全元件的协议利用的格式(例如，从可从交易数据660提供的长度可变的明文商家识别格式转换成可适合由安全元件加密的固定长度的散列商家识别格式)，如下文相对于图7的过程700的步骤720更详细所述的。

接下来，在步骤614处，所加密的商业实体凭据数据663连同任何附加信息诸如至少一些潜在交易数据660(例如，对商家的识别、对价格的识别和/或对产品/服务的识别)和/或任何其他适当的信息(例如，用于识别设备100自身和/或未加密形式的商家的任何信息)，可一起作为商业实体交易数据664从设备100被传输到商业实体子系统400(例如，如下文相对于图7的过程700的步骤724更详细所述的)。因此，商业实体交易数据664的至少部分(例如，所加密的商业实体凭据数据663)可仅被有权访问用于加密的该访问信息(例如，访问密钥155a、访问密钥155b、ISD密钥156k、CRS151k和/或CASD158k)的实体解密，从而生成商业实体交易数据664(例如，商业实体子系统400)的所加密的商业实体凭据数据663。可在步骤612-614处生成此类商业实体交易数据664，然后在步骤614处(例如，经由通信部件106和通信路径65，从NFC部件120的安全元件)传输到商业实体子系统400。步骤612、613和614可确保作为商业实体交易数据664的一部分从设备100的安全元件生成并传输的任何凭据数据首先被加密，从而不能由设备100的另一部分解密。即，可利用可不暴露于其安全元件外部的设备100的任何部分或不能被其访问的凭据密钥155a'来将商业实体交易数据664的SE凭据数据661加密为所加密的SE凭据数据662。此外，可利用可不暴露于其安全元件外部的设备100的任何部分或不能被其访问的访问密钥(例如，访问密钥155a、155b、156k、151k和/或158k(例如，在本文称为“访问信息”))来将商业实体交易数据664的此类所加密的SE凭据数据662加密为所加密的商业实体凭据数据663。

接下来，在步骤616处，过程600可包括商业实体子系统400接收商业实体交易数据664的至少一部分并对其解密。例如，商业实体子系统400可接收商业实体交易数据664并可然后使用在商业实体子系统400处可用的访问信息(例如，155a、155b、156k、151k和/或158k)来对商业实体交易数据664的所加密的商业实体凭据数据663进行解密。这样可使得商业实体子系统400能够确定商家的未加密的标识(例如，来自所解密的商业实体凭据数据663)，同时还将SE凭据数据661保持在加密状态中(例如，作为所加密的SE凭据数据662)，因为商业实体子系统400可能不具有对在步骤612处可由设备100的安全元件用于将此类SE凭据数据661加密为所加密的SE凭据数据662的凭据密钥155a'的访问权限。除此之外或另选地，可由可能已被包括在商业实体交易数据664中的附加数据连同所加密的商业实体凭据数据663来识别商家(例如，如下文相对于图7的过程700的步骤724和726更详细所述的)。商业实体交易数据664可包括用于识别设备100或至少其安全元件的信息，使得在数据664被商业实体子系统400接收时商业实体子系统400可知道在步骤616处使用哪些访问信息(例如，访问信息155a、155b、156k、151k和/或158k中的哪个访问信息)。例如，商业实体子系统400可具有对多个访问密钥155a/155b和/或多个ISD密钥156k的访问权限，其每个均可特定于特定设备100或特定于特定安全元件。

接下来，在步骤617处，过程600可包括商业实体子系统400识别与可能从商业实体交易数据664识别的商家相关联的商家密钥157，然后使用该商家密钥157来对商业实体凭据数据664的至少一部分重新加密。即，在步骤616处使用适当的访问信息来对商业实体交易数据664的至少第一部分解密之后(例如，在对所加密的CE凭据数据663解密以实现所加密的SE凭据数据662以及可在所加密的CE凭据数据663中加密任何其他信息之后)，商业实体子系统400然后可在步骤617处利用可能与在商业实体交易数据664中识别的商家信息相关联的适当的商家密钥157来对商业实体交易数据664的至少第二部分(例如，所加密的SE凭据数据662)重新加密。可通过将在商业实体交易数据664中识别的商家信息与图1A的表格430中的数据进行比较来确定此类商家密钥157。利用这一所确定的适当的商家密钥157，在步骤617处，商业实体子系统400可利用商家密钥157来将商业实体交易数据664的至少一部分重新加密为所加密的商家凭据数据667。例如，所加密的商家凭据数据667可至少包括来自商业实体交易数据664的所加密的SE凭据数据662以及来自商业实体交易数据664的购买量数据或其他适当的交易数据(例如，可能初始从交易数据660识别的数据)。来自商业实体交易数据664的商家识别信息可能不需要被包括在所加密的商家凭据数据667中，因为可能已使用该商家识别来确定在步骤617处可用于对所加密的商家凭据数据667加密的商家密钥157。所加密的商家凭据数据667可由商业实体子系统400标记，从而当被商家子系统200接收时，可将商业实体子系统400建立为此类加密商家凭据数据667的创建者和/或可使商家子系统200确保所加密的商家凭据数据667在标记之后未被修改。此类所加密的商家凭据数据667可在步骤616和617处生成，然后在步骤618处，连同作为商家交易数据668的任何其他适当的数据被传输到电子设备100(例如，从商业实体子系统400的服务器410经由图1A的路径65到设备100的通信部件106)。

步骤616、617和618可确保对从商业实体子系统400作为图1A的商家交易数据668的一部分而传输的凭据数据(例如，商家交易数据668的所加密的商家凭据数据667的凭据数据)加密，使其不可被除安全元件之外的设备100的一部分解密。即，可利用可能不会暴露于设备100的任何部分或不能以其他方式被其访问的商家密钥157来加密商家交易数据668，在一些实施例中，该设备的任何部分包括其安全元件。此外，可利用可能未暴露于安全元件外部的设备100的任何部分或不能被其访问的凭据密钥155a'来对商家交易数据668的凭据数据加密(例如，商家交易数据668的所加密的商家凭据数据667的所加密SE凭据数据662)。然后在步骤620处，可由设备100来将作为基于在线的通信670的商家交易数据668转发到商家子系统200(例如，商家服务器210)(例如，经由图1A的通信部件106和通信路径15)。此类基于在线的通信670可至少包括一些商家交易数据668(例如，所加密的商家凭据数据667)和任何其他适当的信息(例如，可由商家应用程序113使用的信息或任何其他商家资源(例如，商家网站)诸如装运信息1407d)，如下文相对于图7的过程700的步骤730和732更详细所述的。另选地，并非在步骤618和620处经由设备100来与商家子系统200共享作为基于在线的通信670的商家交易数据668，在步骤621处，商业实体子系统400可直接与商家子系统200共享作为基于在线的通信671的商家交易数据668(例如，经由图1A的路径85)。

一旦商家子系统200接收到此类商家交易数据668(例如，作为在步骤621处直接来自商业实体子系统400的基于在线的通信671，或者作为在步骤620处来自设备100的基于在线的通信670)，过程600可包括步骤622，在该步骤622处，商家子系统200可向设备100发送确认数据672(例如，经由图1A的通信路径15)。此类确认数据672可被设备100接收，以向设备100的用户指示用户的支付指令已被商家子系统200接收。在设备100的用户可在步骤611处提供意图和认证以利用特定凭据基于潜在交易数据660来执行金融交易之后，过程600的其余步骤可对于用户透明地发生。即，一旦用户在步骤611处提供了认证和意图，便可进行步骤612-620或621以及步骤622-630而没有任何其他用户交互，并且对于用户看起来似乎是瞬时的，由此过程600对于用户而言看起来在步骤611之后，从而在步骤622处立即向商家子系统200自动并瞬间发送凭据数据并进行确认。

此外，一旦此类商家交易数据668被商家子系统200接收(例如，作为在步骤621处直接来自商业实体子系统400的通信671或作为在步骤620处来自设备100的基于在线的通信670)，过程600还可包括步骤623，在此步骤623处，商家子系统200可被配置为生成并向收单银行子系统300(例如，经由图1A的商家子系统200和收单银行子系统300之间的通信路径25)传输支付数据673，其中数据673可包括可指示用户的商务凭据和针对产品或服务的商家的购买价格的支付信息和授权请求(例如，如在步骤621处直接来自商业实体子系统400的通信671中或在步骤620处从设备100接收的基于在线的通信670中包括的那样)。例如，在步骤623处，商家子系统200可利用其已知的商家密钥157至少部分地对商家交易数据668(例如，在步骤621处从通信671接收或在步骤620处从通信670接收)解密，使得支付数据673可包括利用其凭据密钥155a'(例如，所加密的SE凭据数据662)而非利用金融机构子系统350不可用的密钥加密的凭据SSD154a的SE凭据数据661。然后，在步骤624处，收单银行子系统300可将来自数据673的授权请求转发到金融机构子系统350作为授权请求数据674(例如，经由图1A的收单银行子系统300和金融机构子系统350之间的通信路径35)。接下来，在步骤626处，在金融机构子系统350的发行银行子系统370接收授权请求(例如，在步骤624处直接从收单银行子系统300接收来作为数据674，或如上所述经由支付网络子系统360间接接收来作为数据405)时，可对支付信息(例如，由设备100的安全元件通过凭据密钥155a'加密的设备100的SE凭据数据661(例如，加密的SE凭据数据662))和购买量(每一者均可被包括在授权请求数据674中以及数据673、664、668、670和/或671中)解密(例如，使用金融机构子系统350处的凭据密钥155a')，并进行分析以确定与商务凭据相关联的账户是否有足够的信用来覆盖购买量。如果没有充足的资金，发行银行子系统370可通过向收单银行子系统300传输否定授权响应来拒绝所请求的交易。然而，如果有充足的资金，发行银行子系统370可通过向收单银行子系统300传输肯定授权响应来批准所请求的交易并且金融交易可完成。作为授权响应数据676的任一种类型的授权响应均可在过程600的步骤626处由用户金融子系统350提供至收单银行子系统300(例如，直接从发行银行子系统370经由通信路径35提供至收单银行子系统300，或基于可经由图1A的通信路径45从发行银行子系统370提供至支付网络子系统360的授权响应数据415来从支付网络子系统360提供至收单银行子系统300)。接下来，响应于在步骤626处接收到授权响应数据676，过程600还可包括在步骤628处收单银行子系统300或任何其他适当的子系统可与商家子系统200共享作为授权响应数据678的此类授权响应数据，然后可在步骤630处与电子设备100共享作为授权响应数据680的此类授权响应数据。

因此，商家子系统200可被配置为以任何适当方式来处理在步骤621处直接从商业实体子系统400接收的基于在线的通信671或在步骤620处从设备100接收的基于在线的通信670。例如，为了从此类基于在线的通信获得明文支付凭据(例如，SE凭据数据661)，商家子系统200可验证所接收的数据的签名属性有效并且商业实体子系统400是该签名的签发者。商家子系统200可使用任何适当的技术来确定商业实体子系统400使用哪个商家密钥(例如，哪个商家公钥157)来构造所加密的商家凭据数据(例如，数据667)。然后，商家子系统200可检索对应的商家私钥(例如，商家子系统200处的商家私钥157)并使用该所检索的密钥对所加密的商家凭据数据667解除封装和/或解密，以恢复所加密的SE凭据数据662。然后可向适当的支付网络360提供此类数据662，该数据可利用金融机构子系统350的适当的凭据密钥155a'来对所加密的SE凭据数据662解除封装和/或解密，以恢复SE凭据数据661(例如，以恢复用于支付凭据的明文支付信息，诸如完整的EMV(“EuropayMasterCardVisa”)支付数据)。

在一些实施例中，一旦设备100准备好向商业实体子系统400准备CE交易数据(例如，数据664)以用于新的在线资源交易(例如，在步骤611之后)，但在这样做之前，设备100可被配置为从商业实体子系统请求特定数据。例如，在步骤612之前但在步骤610之后，设备100可请求可由设备100和过程600用于向过程600添加附加安全层的特定CE特征信息(例如，不可预测的数量或其他适当的数据)。例如，响应于此类请求，可从商业实体400向设备100提供此类CE特征信息(例如，在步骤612之前的步骤处(未示出))，并可由安全元件145对此类CE特征信息连同其他数据一起加密。例如，可在步骤612处连同SE凭据数据661一起将此类CE特征信息加密为所加密的SE凭据数据662。另选地或除此之外，可在步骤613处连同所加密的SE凭据数据662一起将此类CE特征信息加密为所加密的CE凭据数据663。在任何情况下，此类CE特征信息可被包括在至商业实体子系统400的CE交易数据664中，并可被商业实体子系统400访问并与其更早生成的CE特征信息进行比较，以确认匹配或确定任何潜在假冒行为(例如，如果此类CE特征信息是在步骤613处加密的)。除此之外或另选地，此类CE特征信息可被包括在CE交易数据664和通信670中，使得可由商家子系统200接收(例如，经由设备100)。此外，此类CE特征信息可直接从商业实体子系统400提供至商家子系统200(例如，作为步骤621处的或过程600中的步骤622之前的任何其他点处的通信671)，使得商家子系统200可将由设备100加密并由商家子系统200作为通信670的至少一部分接收的此类CE特征信息与可由商家子系统200直接从商业实体子系统400接收的此类CE特征信息进行比较。如果匹配，则此类比较可添加另一安全层，在确定通信670不是假冒并可用于执行金融交易时，商家子系统200可依赖于该另一安全层。此类CE特征信息(例如，初始不可预测的数量)可由商业实体子系统400生成，可在安全元件145上进行加密(例如，在步骤612和/或步骤613处)，并被提供至商家子系统200(例如，作为步骤620的通信670的一部分)，此类CE特征信息也可直接从商业实体子系统400提供至商家子系统200(例如，作为步骤621处的通信671)，使得此类CE特征信息的两个实例均可被商家子系统200和/或被过程600的任何其余步骤用作过程的安全层。

过程600可确保系统1可利用设备100的安全元件能访问的安全密钥，以便向商家子系统200安全地传送凭据数据，以供金融机构子系统350使用，同时使得特定密钥能够被商业实体子系统400适当的管理。即，设备100的安全元件145(例如，NFC部件120)可包含凭据密钥155a'和访问信息(例如，155a、155b、156k、151k和/或158k)，商业实体子系统400可包含访问信息(例如，155a、155b、156k、151k和/或158k)和商家密钥157，商家实体200可包含商家密钥157，并且金融机构子系统350可包含凭据密钥155a'。由于设备100和商业实体子系统400可各自包含或具有对信息(例如，155a、155b、156k、151k和/或158k)的访问权限，所以设备100可与商业实体子系统400安全地共享所加密的凭据数据(例如，作为步骤614的数据664)。类似地，由于商业实体子系统400和商家子系统200可各自包含商家密钥157或具有对该商家密钥157的访问权限，所以商业实体子系统400可与商家子系统200安全地共享所加密的凭据数据(例如，作为步骤621处的数据671或经由设备100作为步骤620处的数据670)。然后，商家子系统200经由收单银行子系统300可与金融机构子系统350共享该所加密的凭据数据，该金融机构子系统350可最终利用凭据数据155a'来对所加密的凭据数据解密。然而，在一些实施例中，设备100的安全元件的任何凭据数据(例如，SSD154a的小应用程序153a的SE凭据数据661)均不可在解密状态中与设备100的非安全元件(例如，处理器102和/或通信部件106)进行共享，凭据密钥155a'也不可被设备100的此类非安全元件使用。凭据密钥155a'可由金融机构子系统350管理，而某些访问信息(例如，155a、155b、156k、151k和/或158k)能被商业实体子系统400管理或以其他方式访问，而商家密钥157可由商业实体子系统400和/或商家子系统200管理，使得可根据需要维护和/或更新和/或删除这些密钥中的每个密钥以维持其有效性。因此，商家密钥157可始终不被存储在设备100上或以其他方式能被设备100访问。例如，商家密钥157甚至可不被存储在设备100的安全元件上。商家密钥157可被废除或可在一定量时间之后到期，这可能要求商家子系统200和商业实体子系统350经常进行通信以管理和/或更新商家密钥157。这样可使得商业实体子系统400能够指示哪些商家子系统200可使用设备100的安全凭据进行在线交易。此外，特定的访问信息(例如，155a、155b、156k、151k和/或158k)可始终不被存储在商家子系统200上或能以其他方式被其访问。例如，某些访问信息可被废除或可在一定量时间之后到期，这可能要求设备100和商业实体子系统400经常进行通信以管理和/或更新此类访问信息。这样可使得商业实体子系统400能够指示哪些设备100可利用设备100的安全凭据经由商业实体子系统400来与商家子系统200进行在线交易。

因此，过程600可使得在设备100的安全元件上提供的至少一个凭据能够被安全地用于与商家子系统200进行在线支付交易。过程600可被配置为提供设备100的安全元件和商家子系统200之间的虚拟化隧道，该密钥可传输凭据数据的高度安全、EMV(“Europay,MasterCard,Visa”)标准级别(例如，“ChipandPIN”)数据集，以在金融交易中使用。通过仅信任设备100的安全元件内的数据而不信任此类安全元件外部的设备100的任何数据或部件(例如，设备100本地的处理器102或应用程序113)，过程600可要求利用仅由安全元件和金融机构子系统350知道的凭据密钥155a'(例如，如步骤612处的所加密SE凭据数据662)来对从安全元件传输的任何凭据数据(例如，小应用程序153a的SE凭据数据661)加密，并且在一些实施例中，然后利用可仅由安全元件145和商业实体子系统400知道的访问信息(例如，155a、155b、156k、151k和/或158k)进行加密(例如，如步骤613处的所加密的商业实体凭据数据663)。商业实体子系统400然后可利用该数据663(例如，作为所接收的商业实体交易数据664的一部分)及其对这种访问信息(例如，155a、155b、156k、151k和/或158k)的了解和商家密钥157来对由设备100传输的凭据数据解密/重新加密(例如，在步骤616/617处)，以供商家子系统200稍后使用。通过在过程600的中间提供商业实体子系统400来实现附加安全层。商业实体子系统400可不仅知晓由设备100的安全元件145共享的某些访问信息(例如，155a、155b、156k、151k和/或158k)，而且还知晓由商家子系统200共享的商家密钥157。因此，商业实体子系统400可处于独特的地位，以管理设备100安全元件和商家子系统200之间的任何在线交易，而同时不知晓所使用的凭据数据(例如，不知晓可由凭据密钥155a'在步骤612处被加密为所加密的SE凭据数据662的小应用程序153a的SE凭据数据661，例如因为商业实体子系统400可能无法访问凭据密钥155a')。

商业实体子系统400可被配置为在接收到商业实体交易数据664之后但在提供商家交易数据668之前(例如，在步骤616-618/621处)提供验证检查。例如，商业实体子系统400可确定所接收的商业实体交易数据664识别商家密钥157已到期或因其他原因终止或未被识别(例如，由表格430)的商家。因此，如果商业实体子系统400在步骤618/621之前的某个点处确定特定商家不再值得信任，则商业实体子系统400可从表格430消除或以其他方式禁用其商家密钥157，使得在稍后由商业实体子系统400从所接收的由电子设备100所提供的商业实体交易数据664识别与该密钥157相关联的商家时，商业实体子系统400可不提供任何相关联的商家交易数据668/671，由此防止期望的金融交易。另选地，在从电子设备100接收的商业实体交易数据664中识别的商家可能始终不具有与表格430相关联的商家密钥157，使得商业实体子系统400可认识到商业实体交易数据664可能尝试与未被商业实体子系统400识别的商家进行金融交易，从而该商业实体子系统400可防止执行交易。然而，如果过程600能够完成，不仅商业实体子系统400可满意在已知设备100(例如，由于所共享的访问信息(例如，155a、155b、156k、151k和/或158k))和已知商家子系统200(例如，由于已知的商家密钥157)之间进行金融交易，而且商家子系统200也可满意正在与可信设备100进行金融交易(例如，由于所接收的通信数据670/671是利用来自可信商业实体子系统400的商家密钥157进行加密的)。

应当理解，图6的过程600中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。例如，应当理解，一些共享密钥可以是公钥，而其他共享密钥可以是私有密钥或保密密钥(例如，包括公钥和私钥的存在数学联系的密钥对)。可使用密钥对＝中的公钥来对数据加密，而可使用密钥对中的私钥来对所加密的数据解密。例如，可被存储在设备100的安全元件145中的SSD154a的访问密钥155a和/或SSD154b的访问密钥155b可以是公钥，而商业实体子系统400处可用的访问密钥155a和/或访问密钥155b可与私钥相关联，或反之亦然。除此之外或另选地，可被存储在设备100的安全元件中的ISD152的ISD密钥156k可以是公钥，而商业实体子系统400处可用的ISD密钥156k可与私钥相关联，或反之亦然。除此之外或另选地，可被存储在设备100的安全元件中的CRS151k可以是公钥，而商业实体子系统400处可用的CRS151k可与私钥相关联，或反之亦然。除此之外或另选地，可被存储在设备100的安全元件中的CASD158k可以是公钥，而商业实体子系统400处可用的CASD158k可以是私钥，或反之亦然。除此之外或另选地，表格430或商业实体子系统400的别处的商家密钥157可以是公钥，而商家子系统200处可用的商家密钥157可与私钥相关联，或反之亦然。此外，某些数据可由传输该数据的部件进行标记。例如，可在步骤614处向商业实体子系统400传输之前，由设备100来标记商业实体交易数据664，或者可在步骤614处作为交易数据664的至少一部分传输之前，在步骤613处可由安全元件来标记所加密的商业实体凭据数据663(例如，由CASD158k)。设备100的此类标记可使得商业实体子系统400能够更自信地确定数据664是由可信设备100生成的。除此之外或另选地，可在步骤618处向设备100传输之前和/或在步骤621处向商家子系统200传输之前，由商业实体子系统400来标记数据668。由商业实体子系统400进行的此类标记可使得设备100和/或商家子系统200能够更自信地确定数据668/670/671是由可信商业实体子系统400生成的。应当理解，不需要设备100被配置为处理与另一设备的NFC通信或任何其他基于无接触邻近性的通信(例如，与商家子系统200的商家终端的NFC通信)。相反，设备100可包括用于存储如相对于过程600所述可用于在线交易的凭据信息的安全元件，而不用于NFC交易。例如，设备100可包括安全元件(例如，具有控制器模块140和/或存储器模块150，而没有设备模块130)。

图7是用于安全进行在线支付的示例性过程700的流程图，该过程可包括图6的过程600的特定部分的具体实施。过程700被示出为由电子设备100、商家子系统200和商业实体子系统400来实施。然而，应当理解，可使用任何其他适当的部件或子系统来实施过程700。过程700可为利用设备100上的商家子系统200安全地进行在线支付提供无缝的用户体验。过程700可开始于步骤702处，其中潜在交易数据752可由电子设备100的商家应用程序113生成和/或由电子设备100的商家应用程序113从商家子系统200接收。例如，潜在交易数据752可类似于上文相对于图6所述的潜在交易数据660，并可包括指示要在设备100的用户和商家子系统200的商家之间进行的潜在金融交易的特性的任何适当的数据，该任何适当的数据包括但不限于对设备100的识别、对商家的识别、对所使用的特定商家资源(例如，由设备100访问的特定商家应用程序113或网站)的识别、对要购买或租赁或以其他方式付款的特定产品或服务的识别、对要支付的价格的识别、对在交易期间要使用的货币的识别、对商家支持的支付网络的识别和/或任何其他适当的信息。潜在交易数据752可定义在线资源的请求，以为购买产品和/或服务产生支付令牌，并可封装关于潜在交易的任何适当的信息，包括例如关于商家的支付处理能力、支付量和货币代码的信息。潜在交易数据752还可包括可由在线资源初始作为要在交易中使用的装运地址提供的装运信息(例如，默认装运信息)，其中可基于针对商家应用程序113的所存储的用户设置(例如，在线资源的用户概况)或基于在线资源可用的任何其他适当的数据来确定此类默认装运信息。

接下来，在步骤704处，过程700可包括从在线资源(例如，商家应用程序113)提供至设备应用程序103(例如，操作系统应用程序和/或软件开发商套件(“SDK”))的作为设备交易数据754的此类潜在交易数据752的至少一部分，设备应用程序103可被设备100的处理器102使用并可被配置为经由任何适当的技术(例如，经由一个或多个应用程序编程接口(“API”))来与商家在线资源进行通信。设备应用程序103可被配置为访问设备100可用的信息(例如，来自存储器104和/或安全元件145)。设备交易数据754可包括可在商家在线资源(例如，商家应用程序113)和设备100的其他部分(例如，经由设备应用程序103)之间共享的任何适当的数据。例如，在步骤704处，设备交易数据754可包括对潜在交易数据752中可能不包括但可由商家应用程序113用于提供期望的用户界面(例如，图14A的屏幕190a)的任何附加信息的请求。即，设备交易数据754可包括对确认安全元件145包括与商家子系统200所使用的支付网络相关联的至少一个商务凭据的请求。除此之外或另选地，如果商家应用程序113不知道此类默认装运信息，则设备交易数据754可包括对要用作图14A的屏幕190a的初始装运信息1407d的此类默认装运信息的请求。

接下来，在步骤706处，过程700可包括响应于在步骤704处接收的设备交易数据754生成并向商家应用程序113传输响应数据756的设备应用程序103。例如，如果设备交易数据754包括对确认电子设备100是否被配置为使用与由商家子系统200支持的金融机构(例如，特定的支付网络360诸如MasterCard或Visa)相关联的凭据的请求，则设备应用程序103可被配置为轮询安全元件145或设备100的另一部分(例如，可包括指示在安全元件145上启用的凭据的信息的设备100的“钱包”应用程序或“通行证”应用程序，诸如利用图4的“通行证”文本指示符181(即，特定图标185)标记的特定图标182所例示的那样)，以便确定在设备100可用的凭据和由设备交易数据754指示的金融实体之间是否具有至少一个匹配。响应于此类轮询，设备应用程序103可生成并传输响应数据756，该响应数据756可包括具有匹配或不具有匹配的指示，在这种情况下，购买提示可被包括在或不被包括在向用户提供的UI屏幕中。例如，响应于此类轮询，设备应用程序103可生成并传输响应数据756，该响应数据756可包括具有匹配的指示，在这种情况下，购买提示可被包括在向用户提供的UI屏幕中(例如，图14A的屏幕190a的购买提示1411)。响应于接收到此类响应数据756，商家应用程序113可被配置为在过程700的步骤712处在设备100的I/O界面(例如，I/O界面114a)上提供初始UI数据762。例如，此类UI数据762可由商家应用程序113独自或结合设备应用程序103在步骤712处生成，以便为图14A的UI屏幕190a呈现购买提示1411，该购买提示1411可指示安全元件145的凭据匹配由商家子系统200支持的金融实体(例如，基于响应数据756)。此类UI屏幕190a的其他部分可指示可被包括在潜在交易数据752和/或响应数据756中的信息(例如，商家信息1407a、产品信息1407b、价格信息1407c和/或初始装运信息1407d)。

除此之外或另选地，作为另一个实例，如果设备交易数据754包括对基于设备交易数据754的其他信息要使用的默认信息或初始装运信息(例如，如果商家应用程序113没有默认信息或初始装运信息可用)的请求，设备应用程序103可被配置为轮询设备100的另一部分(例如，可包括指示设备100的用户的装运地址信息(例如，“MeCard”或“VCard”)的设备100的“地址簿”应用程序，诸如可利用图4的“电话”文本指示符181(即，特定图标184)标记的特定图标182所例示的那样)，以便确定对于设备100的用户是否具有设备100知道的至少一个可用装运地址。响应于此类轮询，设备应用程序103可生成并传输响应数据756，该响应数据756可包括具体默认地址或对未找到此类地址的指示，在这种情况下，默认装运地址信息可被包括在或不被包括在向用户提供的UI屏幕中。在此类实施例中，在响应数据756包括初始装运地址或相对于设备交易数据754指示或未指示的经修订的装运地址时，过程700还可包括商家应用程序113在步骤708处生成并向商家子系统200传输更新请求758，以便潜在更新特定交易数据(例如，可能部分基于装运成本的价格)。例如，更新请求758可包括响应数据756的初始装运地址或修改的装运地址(例如，仅ZIP代码或其他识别特征)的至少一部分，响应于接收到此类更新请求758，商家子系统200可在步骤710处生成并向商家应用程序113传输所更新的交易数据760，其中此类所更新的交易数据760可包括与可能被包括在步骤702的潜在交易数据752中的价格不同的潜在交易价格(例如，基于由更新请求758指示的初始装运地址或修订装运地址)。例如，响应于设备应用程序103在步骤706处利用响应数据756对默认装运信息的此类更新以及在步骤708和710对所更新的交易数据760的后续请求和接收，商家应用程序113可被配置为在设备100的I/O界面(例如，I/O界面114a)上在过程700的步骤712处生成并提供初始UI数据762。例如，此类UI数据762可由商家应用程序113独自或结合设备应用程序103在步骤712处生成，以便为图14A的UI屏幕190a提供用于地址“D”的默认装运信息1407d以及用于价格“C”的适当的价格信息1407c，这些信息可考虑针对默认地址D的装运成本要求。步骤702-712中的每个步骤可对于用户透明地进行。即，一旦用户提供可能导致潜在交易数据752被生成和/或被在线资源(例如，商家应用程序113)接收的特定输入，便可发生步骤704-712而无需任何进一步的用户交互，并可对用户而言看起来是瞬时的，由此过程700可看起来自动填充默认装运信息1407d，该默认装运信息可由基于设备100本地的独立于商家应用程序113的信息的设备的应用程序103填充或不填充，和/或可包括可能与此类默认装运信息1407d相称的适当的价格信息1407c。

响应于提供图14A的UI屏幕190a(例如，基于过程700的步骤712的作为图3的I/O输出数据115o的UI数据762)，用户可通过很多可能的方式中的一种方式(例如，在过程700的步骤714处利用作为图3的I/O输入数据115i的用户输入764)来与设备100(例如，具有I/O界面114a)进行交互。例如，用户可选择图14A的提示1409来选择替代装运地址(例如，与上述默认装运地址D不同的装运地址)。在此类情况下，可生成并提供(例如，由类似于步骤702-714中的一个或多个步骤的以下步骤)图14B的屏幕190b，其中可向用户提供至少一个新的装运选项作为提示1410，其中此类选项可由设备应用程序103提供和/或可由用户手动输入。响应于选择或输入此类新装运地址，可生成并提供(例如，通过类似于步骤702-714中的一个或多个步骤的以下步骤)图14C的屏幕190c，其中可示出来自图14B的提示1410的至少所选择的新的装运选项(例如，图14C的装运信息1407d的装运选项“E”)，还可示出所更新的价格信息1407c(例如，图14C的价格信息1407c的更新价格“C*”)，其中图14C的价格C*可基于所更新的装运成本而与图14A和图14B的价格C不同，该所更新的装运成本可能是由于从图14A和图14B的装运地址D变为新的装运地址E所导致的，并且其中可对用户而言无缝和/或透明地确定所更新的价格C*(例如，如上文相对于步骤704-712所述的)。

除此之外或另选地，图14A的屏幕190a和/或图14C的屏幕190c可提示用户以一种或多种方式来与设备100交互以进行购买(例如，购买提示1411)。响应于对此类购买提示1411的选择，可生成并提供(例如，通过类似于步骤702-714中的一个或多个步骤的以下步骤)图14C的屏幕190c，其中可提供可使得用户能够选择可能在设备100上提供的潜在多个凭据中的一个凭据(例如，凭据SSD154a的凭据)的凭据选择提示1413，其中可由设备应用程序103提供此类凭据选项(例如，作为响应数据756的至少一部分)。响应于对屏幕190c的一个凭据选项的选择，可生成并提供(例如，通过类似于步骤702-714中的一个或多个步骤的以下步骤)图14D的屏幕190d，其中可示出来自图14C的提示1413的至少所选择的凭据(例如，图14D的凭据信息1407e的凭据选项“X”)。图14D的屏幕190d可提示用户以一种或多种方式来与设备100交互，以认证用户及其在在线交易中利用所选择的凭据的意图。这可包括提示用户(例如，利用图14D的认证提示1415)通过任何适当的方式(例如，经由输入个人标识号(“PIN”)或经由例如经由I/O界面114a或任何其他适当的输入部件与生物测定传感器的用户交互)输入用户认证，以便评估设备100的安全元件，从而评估要用于购买的凭据(例如，如上文相对于过程600的步骤611所述的)。因此，在一些实施例中，过程700的步骤714的用户输入764可基本类似于上文相对于图6的过程600的步骤611所述的认证/意图。访问SSD154b可利用小应用程序153b以在允许使用其他SSD154(例如，凭据SSD154a)以在商务凭据数据通信中启用其凭据信息之前确定是否已发生此类认证。仅作为此类步骤714的一个实例，访问SSD154b的小应用程序153b可被配置为确定设备100的用户的意图和本地认证(例如，经由一个或多个输入部件110诸如经由GUI180与应用程序113的用户交互所使用的图4的生物测定输入部件110i)，并且响应于此类确定，其可被配置为使得另一个特定SSD能够进行支付交易(例如，利用凭据SSD154a的凭据)。例如，SSD154b可经由可共享界面对象(“SIO”)或任何其他适当的技术来与SSD154a通信。在一些实施例中，在此类确定之后但在此类启用之前，设备100可被配置为提供可提示用户(例如，利用支付提示1417)通过一种或多种方式来与设备100交互的图14E的屏幕190e，以使用所选择的和所认证的凭据根据潜在交易数据752/762来向商家子系统200最终发起支付。

响应于可适当提供必要意图和认证以使得能够在在线交易中使用所选择的凭据的用户输入764，过程700可进行到步骤716，其中商家应用程序113可生成并与设备应用程序103共享所更新的设备交易数据766。所更新的设备交易数据766可包括上文相对于交易数据752和/或交易数据760所述的任何适当的数据，但可基于用户作出的任何/所有交易选择来进行更新(例如，如屏幕190d或屏幕190e所示的)。接下来，在步骤718处，设备应用程序103可使用此类交易数据766来生成凭据请求768并向安全元件145传输该凭据请求768。例如，设备应用程序103可被配置为经由有线接口(例如，经由NFC控制器)来与安全元件145通信。在一些实施例中，设备应用程序103可被配置为直接与访问SSD154b和/或ISD152通信，从而认证请求以分配支付凭据。凭据请求768不仅可包括用于在与商家应用程序113进行在线交易时利用所选择的凭据的认证请求，而且凭据请求768还可包括可由交易数据766定义的特定于商家应用程序113和/或特定于特定交易的至少一些信息。例如，凭据请求768可包括用于商家应用程序113和/或负责该在线资源的商家的唯一商家标识符，其中可从交易数据766实现此类唯一的商家标识符。

响应于由安全元件145在步骤718处接收用于指示唯一商家标识符的凭据请求768，在步骤720处该安全元件145可被配置为生成可类似于过程600的所加密的CE凭据数据663的所加密的CE凭据数据770。例如，所加密的CE凭据数据770可由安全元件145在步骤720处通过如下方式生成：利用凭据密钥155a'对作为所加密的SE凭据数据(例如，所加密的SE凭据数据662)的SE凭据数据(例如，SSD154a的SE凭据数据661)加密，然后不仅加密此类所加密的SE凭据数据，而且还利用任何适当的访问信息(例如，155a、155b、156k、151k和/或158k)来加密作为所加密的CE凭据数据770的SE商家标识符719(例如，由安全元件145基于来自凭据请求768的信息生成的商家标识符)。可连同所加密的SE凭据数据一起被加密为所加密的CE凭据数据770的此类SE商家标识符719也可在步骤720处使用来自凭据请求768的唯一商家标识符信息来生成。例如，安全元件145可被配置为对来自凭据请求768的唯一商家标识符使用密码数据散列函数，以便生成SE商家标识符719，然后可由安全元件145对其进行处理(例如，加密)。即，安全元件145可例如使用密钥推导函数(例如，可使用安全散列算法(例如，SHA-256函数)来推导至少一个32个字节的现场阵列SE商家标识符719的X9.63密钥推导函数)从凭据请求768的唯一商家标识符(例如，从商家标识符查询串)导出SE商家标识符719。这样可允许连同所加密的SE凭据数据由安全元件145在步骤720处将SE商家标识符719适当加密为所加密的CE凭据数据770。通过使用安全元件145将唯一商家标识符与加密凭据数据加密绑定，该版本的唯一商家标识符可不被设备100中的除安全元件145之外的可能具有对所使用的访问信息(例如，155a、155b、156k、151k和/或158k)的访问权限的其他部分(例如，由设备应用程序103)篡改。然后，在步骤722处，安全元件145可被配置为与设备应用程序103共享此类所加密的CE凭据数据770。

在步骤724处，设备应用程序103可被配置为生成并向商业实体子系统400传输商业实体交易数据774，其中该商业实体交易数据774可包括所加密的CE凭据数据770和任何其他适当的信息。CE交易数据774可类似于过程600的CE交易数据664。CE交易数据774可不仅包括所加密的CE凭据数据770，而且还可包括未加密的商家标识符(例如，来自也可能在步骤718处作为凭据请求768的一部分提供至安全元件145的交易数据766的唯一商家标识符)。即，不仅CE交易数据774可包括其自身可包括散列化版本和/或加密版本的唯一商家标识符(例如，来自设备交易数据766)的所加密的CE凭据数据770，而且CE交易数据774还可包括非散列化和未加密版本的唯一商家标识符(例如，来自设备交易数据766)。此外，还可包括来自设备交易数据766的其他信息诸如作为CE交易数据774的一部分的对设备100的识别(例如，“SEID”)、交易量、货币类型和/或任何其他适当的信息。

在过程700的步骤726处，商业实体子系统400可被配置为基于所接收的CE交易数据774来生成所加密的商家凭据数据776。在一些实施例中，所加密的商家凭据数据776可类似于过程600的所加密的商家凭据数据667。例如，商业实体子系统400可访问来自CE交易数据774的第一部分的未加密的唯一商家标识符，还可利用特定访问信息(例如，155a、155b、156k、151k和/或158k)来对CE交易数据774的第二部分(例如，所加密的SE凭据数据770)解密，以访问散列版本的唯一商家标识符(例如，SE商家标识符719)以及所加密的SE凭据数据。商业实体子系统400可使用未加密的唯一商家标识符和/或所解密的散列版本的唯一商家标识符(例如，SE商家标识符719)来识别商业实体子系统400能访问的适当的商家密钥157，然后可将其用于利用所识别的商家密钥157来将所加密的SE凭据数据重新加密为所加密的商家凭据数据776。商业实体子系统400可在步骤726处使用所识别的商家密钥157来将所解密的散列版本的唯一商家标识符(例如，SE商家标识符719)连同所加密的SE凭据数据重新加密或不重新加密为所加密的商家凭据数据776。在一些实施例中，商业实体子系统400还可被配置为例如通过对由安全元件145使用的未加密唯一商家标识符使用类似的密钥推导函数(例如，可使用安全散列算法(例如，SHA-256函数)来推导至少一个32个字节的现场阵列的X9.63密钥推导函数)，并将其与所解密的散列版本的唯一商家标识符(例如，SE商家标识符719)进行比较来比较未加密的唯一商家标识符与所解密的散列版本的唯一商家标识符(例如，SE商家标识符719)。在此类实施例中，过程700可仅在比较成功或有效时(例如，如果两个唯一的商家标识符匹配)继续进行。否则，可生成错误以供进一步探索。在一些实施例中，可仅在已使用未加密的唯一商家标识符识别有效商家密钥157之后才进行此类比较(例如，如果未加密的唯一商家标识符将不揭示有效的商家密钥157(例如，通过使用表格430)，则不会浪费时间来进行比较)。此外，出于各种原因诸如速度检查、购物欺诈检查和提醒等也可由商业实体子系统400(例如，在步骤726出)使用被包括在CE交易数据774中的某些附加信息(例如，商家标识符、价格量、货币类型、电子设备识别等)。

在步骤728处，商业实体子系统400可生成并向设备应用程序103传输商家交易数据778。在一些实施例中，商家交易数据778可类似于过程600的商家交易数据668。商家交易数据778可包括所加密的商家凭据数据776和任何其他适当的信息。例如，连同所加密的商家凭据数据776，商家交易数据778可包括由商业实体子系统400生成的用于指示商业实体子系统400生成此类所加密的商家凭据数据776的时间的时间戳。此类时间戳可稍后由系统1的另一实体(例如，商家子系统200)用于确定其在过程700期间可接收的数据(例如，作为如下所述的通信782的至少一部分的所加密的商家凭据数据776)是否已最近足够多地被生成以可靠地确保此类所接收的数据不是恶意制造的。在步骤730处，设备应用程序103可被配置为生成所更新的商家交易数据780并与商家应用程序113共享，其中所更新的商家交易数据780可包括商家交易数据778和任何其他适当的信息诸如用于交易的完整装运信息(例如，屏幕190d和190e的装运信息1407d)。接下来，在步骤732处，商家应用程序113可被配置为生成基于在线的通信782并向商家子系统200进行传送，其中基于在线的通信782可包括所更新的商家交易数据780的至少一部分(例如，至少商家交易数据778)和任何其他适当的信息诸如商家应用程序113本地的信息。在一些实施例中，基于在线的通信782可类似于过程600的基于在线的通信670。在一些实施例中，可由商家子系统200接收可能由商业实体子系统400在步骤728处生成并被包括在数据778中的时间戳，并作为数据782的一部分在步骤732进行分析。可由商家子系统200使用此类分析(例如，时间戳与接收数据782的时间的比较)来确定数据782是否值得信任或此类时间戳是否缺失或与数据782的接收相比是否太旧，由此这可指示潜在欺诈。如果此类时间戳分析为可接受的，商家子系统200可利用数据782来继续进行金融交易(例如，如上文相对于过程600的步骤623-630所述的)。如上所述，在设备100的用户可在步骤714处提供意图和认证以利用特定凭据基于潜在交易数据752、760和/或766以执行金融交易之后，过程700的其余步骤可对于用户透明地发生。即，一旦用户在步骤714到户提供认证和/或意图，便可执行步骤716-732而没有任何其他用户交互，并且对于用户看起来似乎是瞬时的，由此过程700对于用户而言看起来在步骤714之后立即向商家子系统200自动并瞬间发送凭据数据。

应当理解，图7的过程700中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图8的描述

图8是用于安全地进行在线支付的示例性过程800的流程图。在步骤802处，过程800可包括利用商业实体来从电子设备接收第一数据，其中第一数据包括凭据信息和用于指示商家的商家信息。例如，商业实体子系统400可接收可包括凭据数据(例如，与设备100的凭据SSD154a相关联的所加密的SE凭据数据662)和用于指示商家的信息(例如，基于潜在交易数据660)的数据664。接下来，在步骤804处，过程800可包括利用商业实体使用访问密钥来对第一数据解密。例如，商业实体子系统400可使用访问信息(例如，155a、155b、156k、151k和/或158k)来对数据664解密。接下来，在步骤806处，过程800可包括利用商业实体基于来自第一数据的商家信息来识别商家密钥。例如，商业实体子系统400可基于来自数据664的商家信息(例如，使用表格430)来识别商家密钥157。接下来，在步骤808处，过程800可包括利用商业实体使用所识别的商家密钥来对凭据信息加密。例如，商业实体子系统400可使用商家密钥157来对来自数据664的凭据信息(例如，来自数据664的所加密的SE凭据数据662)进行加密。然后，在步骤810处，过程800可包括利用商业实体来向商家和电子设备中的至少一者传输第二数据，其中第二数据可包括利用所识别的商家密钥加密的凭据信息。例如，商业实体子系统400可向设备100传输数据668和/或向商家子系统200传输数据671。

应当理解，图8的过程800中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图9的描述

图9是用于安全地进行在线支付的示例性过程900的流程图。在步骤902处，过程900可包括利用电子设备通过利用凭据密钥对凭据数据加密来生成第一数据。例如，设备100的安全元件可通过利用凭据密钥155a'对凭据数据(例如，凭据SSD154a的小应用程序153a的SE凭据数据661)加密来生成第一数据(例如，所加密的SE凭据数据662)。接下来，在步骤904处，过程900可包括利用电子设备通过利用访问密钥对第一数据加密来生成第二数据。例如，设备100可通过利用访问信息(例如，155a、155b、156k、151k和/或158k)对第一数据(例如，加密的SE凭据数据662)加密来生成第二数据(例如，所加密的商业实体凭据数据663)。接下来，在步骤906处，过程900可包括利用电子设备来访问商家的在线资源。例如，设备100可访问商家子系统200的商家的第三方应用程序(例如，应用程序113)或网站资源。接下来，在步骤908处，过程900可包括利用电子设备从所访问的在线资源中识别用于指示商家的商家信息。例如，设备100可从所访问的在线资源中识别商家信息(例如，经由潜在交易数据660)。接下来，在步骤910处，过程900可包括利用电子设备来向商业实体传输所生成的第二数据和所识别的商家信息。例如，设备100可向商业实体子系统400传输所生成的第二数据(例如，所加密的商业实体凭据数据663)和作为商业实体交易数据664的所识别的商家数据。

应当理解，图9的过程900中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图10的描述

图10是用于安全地进行在线支付的示例性过程1000的流程图。在步骤1002处，过程1000包括利用电子设来备生成包括凭据数据的第一数据。例如，设备100可通过利用凭据密钥155a'对凭据数据(例如，凭据SSD154a的SE凭据数据661)加密来生成第一数据。接下来，在步骤1004处，过程1000可包括利用电子设备通过利用访问密钥对第一数据加密来生成第二数据。例如，设备100可通过利用访问信息(例如，155a、155b、156k、151k和/或158k)对第一数据(例如，SE凭据数据661和/或所加密的SE凭据数据662)加密来生成第二数据(例如，所加密的商业实体凭据数据663)。接下来，在步骤1006处，过程1000可包括利用电子设备来向商业实体传输所生成的第二数据和商家信息。例如，设备100可向商业实体子系统400传输所生成的第二数据(例如，所加密的商业实体凭据数据663)和作为商业实体交易数据664的商家数据(例如，来自交易数据660的)。接下来，在步骤1008处，过程1000可包括利用电子设备接收包括利用与商家信息相关联的商家密钥加密的第一数据的第三数据。例如，电子设备100可接收可包括SE凭据数据661和/或利用商家密钥157加密的所加密SE凭据数据662的商家交易数据668。然后，在步骤1010处，过程1000可包括利用电子设备来向与商家信息相关联的商家传输所接收的第三数据，其中商家密钥不能被电子设备访问。例如，设备100可向商家子系统200传输作为基于在线的通信670的至少一部分的商家交易数据668，其中设备100可能不具有对商家密钥157的访问权限。

应当理解，图10的过程1000中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图11的描述

图11是用于安全地进行在线支付的示例性过程1100的流程图。在步骤1102处，过程1100可包括利用电子设备来从商家的在线资源接收第一潜在交易数据。例如，如上所述，设备100的设备应用程序103可在过程700的步骤704处从商家应用程序113接收交易数据754。接下来，在步骤1104处，过程1100可包括利用电子设备基于所接收的第一交易数据来自动识别电子设备本地的附加信息。例如，如上所述，设备应用程序103可在过程700的步骤706处响应于从商家应用程序113接收交易数据754来识别响应数据756，诸如来自设备100本地的联系人卡的针对潜在交易的默认装运地址信息。接下来，在步骤1106处，过程1100可包括利用电子设备来向电子设备的用户提供所识别的附加信息和所接收的第一潜在交易数据的至少一部分。例如，如上所述，设备应用程序103和/或商家应用程序113可向设备100的用户提供图14A的屏幕190a，其中屏幕190a可包括来自响应数据756的装运信息1407d和来自交易数据752/754的产品信息1407b。

应当理解，图11的过程1100中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图12的描述

图12是用于安全地进行在线支付的示例性过程1200的流程图。在步骤1202处，过程1200可包括利用电子设备来从商家的在线资源接收交易数据。例如，如上所述，设备100的设备应用程序103可在过程700的步骤704处从商家应用程序113接收交易数据754。接下来，在步骤1204处，过程1200可包括利用电子设备来访问包括凭据数据的第一数据。例如，如上所述，设备100可访问凭据数据(例如，凭据SSD154a的SE凭据数据661)。接下来，在步骤1206处，过程1200可包括利用电子设备通过利用访问密钥对第一数据和所接收的交易数据的商家标识符加密来生成第二数据。例如，如上所述，安全元件145可通过利用访问信息(例如，155a、155b、156k、151k和/或158k)对SE凭据数据和SE商家ID719加密来生成所加密的CE凭据数据770。

应当理解，图12的过程1200中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图13的描述

图13是用于安全地进行在线支付的示例性过程1300的流程图。在步骤1302处，过程1300可包括利用商业实体来从电子设备接收第一数据和第二数据，其中第一数据可包括凭据信息和通过访问密钥加密的第一商家标识符，并且其中第二数据可包括第二商家标识符。例如，如上所述，商业实体交易数据774可包括凭据信息和SE商家标识符719以及另一种形式的商家标识符。接下来，在步骤1304处，过程1300可包括利用商业实体基于第一商家标识符和第二商家标识符中的至少一者来识别商家密钥。例如，如上所述，商业实体子系统400可基于来自过程700的步骤726处的数据774的商家信息(例如，使用表格430)来识别商家密钥157。

应当理解，图13的过程1300中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图1、图1A、图2、图3和图4的进一步描述

尽管未示出，但图1A的商业实体子系统400可以是安全平台系统，并可包括安全移动平台(“SMP”)代理部件、SMP可信服务管理器(“TSM”)部件、SMP加密服务部件、身份管理系统(“IDMS”)部件、欺诈系统部件、硬件安全模块(“HSM”)部件和/或商店部件。可使用可与设备100的处理器部件102相同或类似的一个或多个处理器部件、可与设备100的存储器部件104相同或类似的一个或多个存储器部件和/或可与设备100的通信部件106相同或类似的一个或多个通信部件来实现商业实体子系统400的一个、一些或所有部件。商业实体子系统400的一个、一些或全部部件可由可与金融机构子系统350不同且独立的单个商业实体(例如，AppleInc.)管理、所有、至少部分地进行控制和/或以其他方式提供。商业实体子系统400的部件可彼此交互，并一起与金融机构子系统350和电子设备100两者作用，以提供新的安全层和/或提供更无缝的用户体验。

商业实体子系统400的SMP代理部件可被配置为利用商业实体用户账户来管理用户认证。此类SMP代理部件还可被配置为管理设备100上的生命周期和对凭据的提供。SMP代理部件可以是其可控制设备100上的用户界面元素(例如，GUI180的元素)的主端点。设备100的操作系统或其他应用程序(例如，应用程序103、应用程序113和/或应用程序143)可被配置为调用特定的应用编程接口(“API”)，并且SMP代理部件可被配置为处理那些API的请求并利用可导出设备100的用户界面的数据作出响应和/或利用可与NFC部件120的安全元件145(例如，经由商业实体子系统400和电子设备100之间的通信路径65)进行通信的应用协议数据单元(“APDU”)作出响应。可由商业实体子系统400经由系统1的可信服务管理器(“TSM”)(例如，商业实体子系统400和金融机构子系统350之间的通信路径55的TSM)从金融机构子系统350接收此类PDU。商业实体子系统400的SMPTSM部件可被配置为提供可用于与金融机构子系统350合作以执行设备100上的操作的基于GlobalPlatform的服务。GlobalPlatform或任何其他适当的安全信道协议可使得此类SMPTSM部件能够在设备100的安全元件145和TSM之间适当地进行通信和/或提供敏感账户数据以用于商业实体子系统400和金融机构子系统350之间的安全数据通信。

商业实体子系统400的SMPTSM部件可被配置为使用商业实体子系统400的HSM部件来保护其密钥并生成新的密钥。商业实体子系统400的SMP加密服务部件可被配置为提供密钥管理和密码操作，这可能是用户认证和/或系统1的各部件之间的保密数据传输所需要的。此类SMP加密服务部件可利用商业实体子系统400的HSM部件进行安全密钥存储操作和/或不透明加密操作。商业实体子系统400的SMP加密服务部件的支付加密服务可被配置为与商业实体子系统400的IDMS部件进行交互，以检索与商业实体的用户账户相关联的文件上信用卡或其他类型的商务凭据。此类支付加密服务可被配置为成为商业实体子系统400的可具有用于描述存储器中的其用户账户的商务凭据(例如，信用卡号)的明文(即，非散列)信息的仅一个部件。商业实体子系统400的商业实体欺诈系统部件可被配置为基于商业实体已知的关于商务凭据和/或用户的数据(例如，基于利用商业实体的与用户账户相关联的数据(例如，商务凭据信息)和/或可能在商业实体的控制下的任何其他适当数据和/或可不在金融机构子系统350的控制下的任何其他适当的数据)来对商务凭据进行商业实体欺诈检查。商业实体子系统400的此类商业实体欺诈系统部件可被配置为基于各种因素或阈值针对凭据来确定商业实体欺诈分数。除此之外或另选地，商业实体子系统400可包括可以是设备100的用户的各种服务的提供商的存储部件(例如，用于销售/出租要由设备100播放的媒体的iTunes^TMStore、用于销售/出租用于设备100上的应用程序的AppleAppStore^TM、用于存储来自设备100的数据的AppleiCloud^TM、用于在线购买各种Apple产品的AppleOnlineStore等)。仅作为一个实例，商业实体子系统400的此类商店部件可被配置为管理应用程序113并向设备100(例如，经由通信路径65)提供该应用程序113，其中该应用程序113可以是任何适当的应用程序诸如银行应用程序、电子邮件应用程序、文本消息应用程序、互联网应用程序或任何其他适当的应用程序。可由商业实体子系统400使用任何适当的通信协议或通信协议的组合来在商业实体子系统400的各种部件之间传送数据和/或在商业实体子系统400和系统1的其他部件(例如，经由图1A的通信路径55的金融机构子系统350和/或经由图1A的通信路径65的电子设备100)之间传送数据。

在适当地启用设备100的安全元件的凭据(例如，与NFC部件120的凭据SSD154a的所启用的小应用程序153a相关联的商务凭据数据)以便作为商务凭据数据通信向商家子系统200提供时(例如，作为至商家终端的基于无接触邻近性的通信和/或作为至商家服务器210的基于在线的通信670)，收单银行子系统300可利用此类商务凭据数据通信以完成与金融机构子系统350的金融交易。例如，在电子设备100的用户已选择要购买的产品并适当启用要用于支付的设备100的特定凭据之后，商家子系统200可接收用于指示用于特定凭据的商务凭据数据的适当的商务凭据数据通信。可由商家子系统200的任何适当的商家或商家代理来提供商家服务器210和/或商家终端，该任何适当的商家或商家代理可响应于设备100经由此类商务凭据数据通信提供支付凭据来向设备100的用户提供产品或服务。基于此类所接收的商务凭据数据通信(例如，通信670)，商家子系统200可被配置为生成并向收单银行子系统300传输数据673(例如，经由商家子系统200和收单银行子系统300之间的通信路径25)，其中数据673可包括可指示用户的商务凭据和针对产品或服务的商家购买价格的支付信息和授权请求。也被称为支付处理器或收单器的收单银行子系统300可以是与商家子系统200相关联的商家的银行合作伙伴，并且收单银行子系统300可被配置为与金融机构子系统350合作，以批准和处理由电子设备100经由与商家子系统200的商务凭据数据通信(例如，经由基于无接触邻近性的通信和/或经由基于在线的通信670)尝试的凭据交易。收单银行子系统300然后可将来自数据673的授权请求(例如，经由收单银行子系统300和金融机构子系统350之间的通信路径35)转发到金融机构子系统350作为数据674。

支付网络子系统360和发行银行子系统370可以是单个实体或独立实体。例如，AmericanExpress可以是支付网络子系统360和发行银行子系统370两者。相比之下，Visa和MasterCard可以是支付网络360，并可与发行银行370诸如Chase、WellsFargo、BankofAmerica等合作。金融机构子系统350还可包括一个或多个收单银行诸如收单银行子系统300。例如，收单银行子系统300可以是与发行银行子系统370相同的实体。可使用可与设备100的处理器部件102相同或类似的一个或多个处理器部件、可与设备100的存储器部件104相同或类似的一个或多个存储器部件、和/或可与设备100的通信部件106相同或类似的一个或多个通信部件来实现收单银行子系统300的一个、一些或所有部件。可利用可与设备100的处理器部件102相同或类似的一个或多个处理器部件、可与设备100的存储器部件104相同或类似的一个或多个存储器部件、和/或可与设备100的通信部件106相同或类似的一个或多个通信部件来实现支付网络子系统360的一个、一些或所有部件。可利用可与设备100的处理器部件102相同或类似的一个或多个处理器部件、可与设备100的存储器部件104相同或类似的一个或多个存储器部件、和/或可与设备100的通信部件106相同或类似的一个或多个通信部件，实现发行银行子系统370的一个、一些或所有部件。在支付网络子系统360和发行银行子系统370是独立实体的情况下，支付网络子系统360可从收单银行子系统300接收数据674的授权请求，然后可将请求转发到发行银行子系统370作为数据405(例如，经由支付网络子系统360和发行银行子系统370之间的通信路径45)。在支付网络子系统360和发行银行子系统370是相同实体的情况下，收单银行子系统300可直接向发行银行子系统370提交数据674的授权请求。此外，支付网络子系统360可代表发行银行子系统370(例如，根据支付网络子系统360和发行银行子系统370之间达成一致的条件)对收单银行子系统300作出响应。通过在收单银行子系统300和发行银行子系统370之间进行接口连接，支付网络子系统360可减少每个收单银行子系统300和每个发行银行子系统370可能必须要直接进行交互的实体数量。即，为了使金融机构子系统350的直接整合点最小化，支付网络子系统360可充当用于个各发行银行370和/或各个收单银行300的聚合器。金融机构子系统350还可包括一个或多个收单银行诸如收单银行子系统300。例如，收单银行子系统300可以是与发行银行子系统370相同的实体。

在发行银行子系统370接收授权请求(例如，直接从收单银行子系统300接收作为数据674或经由支付网络子系统360间接接收作为数据405)时，可被包括在分析授权请求中的支付信息(例如，设备100的商务凭据信息)和购买量来确定与商务凭据相关联的账户是否具有足够的信用来覆盖购买量。如果没有充足的资金，则发行银行子系统370可通过向收单银行子系统300传输否定授权响应来拒绝所请求的交易。然而，如果有充足的资金，则发行银行子系统370可通过向收单银行子系统300传输肯定授权响应来批准所请求的交易，并且金融交易可完成。作为授权响应数据676的任一种授权响应均可由用户金融子系统350提供至收单银行子系统300(例如，可直接从发行银行子系统370经由通信路径35向收单银行子系统300提供授权响应数据676，或可基于可经由通信路径45从发行银行子系统370向支付网络子系统360提供的授权响应数据415来从支付网络子系统360向收单银行子系统300提供授权响应数据676)。

如上所述，并且如图2所示，电子设备100可包括但不限于音乐播放器(例如，可购自AppleInc.(Cupertino,California)的iPod^TM)、视频播放器、静止图像播放器、游戏播放器、其他媒体播放器、音乐录制器、电影或视频相机或录像机、静态相机、其他媒体录制器、无线电设备、医疗设备、家用电器、运输车辆仪表、乐器、计算器、蜂窝电话(例如，可购自AppleInc.的iPhone^TM)、其他无线通信设备、个人数字助理、遥控器、寻呼机、计算机(例如，台式机、膝上型计算机、平板电脑(例如，可购自AppleInc.的iPad^TM)、服务器等)、监视器、电视、立体声设备、固定盒、机顶盒、大型手提式录音机、调制解调器、路由器、打印机或它们的任意组合。在一些实施例中，电子设备100可执行单个功能(例如，专用于进行金融交易的设备)，并且在其他实施例中，电子设备100可执行多个功能(例如，进行金融交易、播放音乐和接收及传输电话呼叫的设备)。电子设备100可以是可被配置为在用户行进到的任何地方进行金融交易的任何便携式、移动使、手持式或微型电子设备。一些微型电子设备可具有比手持式电子设备诸如iPod^TM更小的形状因子。可将示例性微型电子设备集成到各种对象中，该各种对象可包括但不限于手表、戒指、项链、腰带、腰带饰件、耳机、鞋子饰件、虚拟现实设备、眼镜、其他可穿戴电子设备，用于运动设备的附件、用于健身设备的附件、钥匙链或它们的任意组合。另选地，电子设备100可根本不是便携的，而是可以大致静止的。

如图2所示，例如电子设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信(“NFC”)部件120。电子设备100还可包括总线118可提供一个或多个有线或无线通信链路或路径以向、从设备100的各个其他部件或在其间传输数据和/或电力。在一些实施例中，可组合或省略电子设备100的一个或多个部件。此外，电子设备100可包括图2中未组合或未包括的其他部件。例如，电子设备100可包括任何其他适当的部件或图2中所示的部件的若干个实例。为了简单起见，图2中仅示出了每种部件中的一个部件。

存储器104可包括一个或多个存储介质，该一个或多个存储介质包括例如硬盘驱动器、闪存存储器、永久性存储器(诸如只读存储器(“ROM”))、半持久性存储器(诸如随机存取存储器(“RAM”))、任何其他适当类型的存储部件或它们的任意组合。存储器104可包括可以是用于暂时存储用于电子设备应用程序的数据的一种或多种不同类型的存储器的高速缓存存储器。存储器104可固定地嵌入电子设备100内，或者可并入可反复插入电子设备100中并从其移除的一种或多种适当类型的卡(例如，用户身份模块(“SIM”)卡或安全数字(“SD”)存储卡)上。存储器104可存储媒体数据(例如，音乐文件和图像文件)、软件(例如，用于在设备100上实施功能)、固件、偏好信息(例如，媒体回放偏好)、生活方式信息(例如，食物偏好)、锻炼信息(例如，通过锻炼监测设备获得的信息)、交易信息(例如，信息诸如信用卡信息)、无线连接信息(例如，可使得设备100能够建立无线连接的信息)、订阅信息(例如，跟踪用户订阅的播客或电视节目或其他媒体的信息)、联系人信息(例如，电话号码和电子邮件地址)、日历信息、任何其他适当的数据或它们的任意组合。

可提供通信部件106以允许设备100使用任何适当的通信协议来与一个或多个其他电子设备或服务器或子系统(例如，系统1的一个或多个子系统或其他部件)通信。例如，通信部件106可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网、Bluetooth^TM、Bluetooth^TM低功耗(“BLE”)、高频系统(例如，900MHz通信系统、2.4GHz通信系统和5.6GHz通信系统)、红外、传输控制协议/互联网协议(“TCP/IP”)(例如，每个TCP/IP层中使用的任何协议)、流控制传输协议(“SCTP”)、动态主机配置协议(“DHCP”)、超文本传输协议(“HTTP”)、BitTorrent^TM、文件传输协议(“FTP”)、实时传输协议(“RTP”)、实时流传输协议(“RTSP”)、实时控制协议(“RTCP”)、远程音频输出协议(“RAOP”)、真实数据传输协议^TM(“RDTP”)、用户数据报协议(“UDP”)、安全外壳协议(“SSH”)、无线分布系统(“WDS”)桥接、可由无电话线和蜂窝电话和个人电子邮件设备使用的任何通信协议(例如，全球移动通信系统(“GSM”)、GSM加增强型数据速率GSM演进(“EDGE”)、码分多址(“CDMA”)、正交频分多址(“OFDMA”)、高速分组接入(“HSPA”)、多频带等)、可由低功率无线个人区域网络(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议或它们的任意组合。通信部件106还可包括或电耦接到任何适当的收发器电路(例如，经由总线118的收发器电路或天线116)，该收发器电路能够使得设备100能够可通信地耦接到另一个设备(例如，主计算机或附件设备)并以无线方式或经由有线连接(例如，使用连接器端口)来与该另一设备通信。通信部件106可被配置为确定电子设备100的地理位置。例如，通信部件106可利用可使用小区塔定位技术或Wi-Fi技术的全球定位系统(“GPS”)或地区或地点范围定位系统。

电源108可包括用于接收和/或生成电力并用于向电子设备100的一个或多个其他部件提供此类电力的任何适当的电路。例如，电源108可耦接到电力网(例如，在设备100不充当便携式设备时或在设备电池在电插座处利用由发电厂生成的电力充电时)。作为另一个实例，电源108可被配置为从天然源(例如，使用太阳能电池的太阳能)生成电力。作为另一个实例，电源108可包括用于提供电力的一个或多个电池(例如，在设备100正充当便携式设备时)。例如，电源108可包括电池(例如，凝胶、镍金属氢化物、镍镉、镍氢、铅酸或锂离子电池)、不间断电源或连续电源(“UPS”或“CPS”)以及用于处理从发电源接收的电力(例如，由发电厂产生并经由电力插座或以其他方式传递至用户的电力)的电路中的一者或多者可由电源108提供交流电或直流电，并可对其进行处理以转换电力或将所接收的电力限制为特定特性。例如，电力可被转换成直流或从直流转换而来，并被约束到平均功率、有效功率、峰值功率、每个脉冲的能量、电压、电流(例如，以安培为单位来测量)、或所接收电力的任何其他特性中的一个或多个值。电源108可用于例如基于电子设备100或可耦接到电子设备100的外围设备的需求或要求而在不同时间处请求或提供特定量的电力(例如，在为电池充电时比电池已充电时请求更多的功率)。

可提供一个或多个输入部件110以允许用户与设备100进行交互或进行接口连接。例如，输入部件110可采取各种形式，包括但不限于触摸板、拨号盘、点击轮、滚轮、触摸屏、一个或多个按钮(例如，键盘)、鼠标、操纵杆、跟踪球、麦克风、相机、扫描仪(例如，条形码扫描仪或可从代码诸如条形码、QR码等获得产品识别信息的任何其他适当的扫描仪)、接近传感器、光探测器、运动传感器、生物测定传感器(例如，可结合特征处理应用而工作的指纹读取器或其他特征识别传感器，电子设备100能访问该特征处理应用以认证用户)，以及它们的组合。每个输入部件110可被配置为提供一个或多个专用控制功能以作出选择或发出与操作设备100相关联的命令。

电子设备100还可包括可向设备100的用户呈现信息(例如，图形信息、可听信息和/或触觉信息)的一个或多个输出部件112。例如，电子设备100的输出部件112可采取各种形式，包括但不限于音频扬声器、耳机、音频线输出、视觉显示器、天线、红外端口、触觉输出部件(例如，滚筒、振动器等)或它们的组合。

作为具体实例，电子设备100可包括作为输出部件112的显示输出部件。此类显示输出部件可包括任何适当类型的显示器或界面以向用户呈现视觉数据。显示输出部件可包括嵌入设备100中或耦接到设备100的显示器(例如，可移除显示器)。显示输出部件可包括例如液晶显示器(“LCD”)、发光二极管(“LED”)显示器、有机发光二极管(“OLED”)显示器、表面传导电子发射器显示器(“SED”)、碳纳米管显示器、纳米晶体显示器、任何其他适当类型的显示器，或它们的组合。另选地，显示输出部件可包括可移动显示器或用于在远离电子设备100的表面上提供内容显示的投影系统，诸如例如视频投影仪、平视显示器、或三维(例如，全息)显示器。作为另一个实例，显示输出部件可包括数字取景器或机械取景器诸如在紧凑数字相机、反射相机或任何其他适当的静态相机或视频相机中存在的类型的取景器。显示输出部件可包括显示驱动器电路、用于驱动显示驱动器的电路或两者，并且此类显示输出部件可用于显示可能在处理器102的指示下的内容(例如，媒体回放信息、用于在电子设备100上实施的应用程序的应用程序屏幕、关于正在进行的通信操作的信息、关于传入的通信请求的信息、设备操作屏幕等)。

应当指出，在本文有时可将一个或多个输入部件和一个或多个输出部件统称为输入/输出(“I/O”)部件或I/O界面(例如，输入部件110和输出部件112作为I/O部件或I/O界面114)。例如，输入部件110和输出部件112有时可以是可通过用户触摸显示屏接收输入信息并且还可经由同一显示屏向用户提供视觉信息的单个I/O部件114诸如触摸屏。

电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2所示，处理器102可用于运行一个或多个应用程序诸如应用程序103、应用程序113和/或应用程序143。每个应用程序103/113/143可包括但不限于一个或多个操作系统应用程序、固件应用程序、媒体回放应用程序、媒体编辑应用程序、NFC低功率模式应用程序、生物测定特征处理应用程序或任何其他适当的应用程序。例如，处理器102可加载应用程序103/113/143作为用户界面程序，以确定经由设备100的输入部件110或其他部件接收的指令或数据可如何操控可存储信息和/或经由输出部件112向用户提供信息的方式。可由处理器102从任何适当的源诸如从存储器104(例如，经由总线118)或从另一个设备或服务器(例如，经由通信部件106)来访问应用程序103/113/143。处理器102可包括单个处理器或多个处理器。例如，处理器102可包括至少一个“通用”微处理器、通用微处理器和专用微处理器的组合、指令集处理器、图形处理器、视频处理器和/或相关芯片组和/或专用微处理器。处理器102还可包括用于高速缓存目的的板上存储器。

电子设备100还可包括近场通信(“NFC”)部件120。NFC部件120可以是任可在电子设备100和商家子系统200(例如，商家支付终端)之间实现基于无接触邻近性的交易或通信的何适当的基于邻近性的通信机构。NFC部件120可允许以较低数据速率(例如，424kbps)进行近程通信，并可与任何适当的标准兼容，该标准诸如ISO/IEC7816、ISO/IEC18092、ECMA-340、ISO/IEC21481、ECMA-352、ISO14443和/或ISO15693。另选地或除此之外，NFC部件120可允许以较高数据速率(例如，370Mbps)进行近程通信，并可与任何适当的标准诸如TransferJet^TM协议兼容。NFC部件120和商家子系统200之间的通信可发生于设备100和商家子系统200之间的任何适当近程距离内(例如，参见图1A的距离D)诸如大约2厘米到4厘米的范围，并可在任何适当的频率(例如，13.56MHz)下工作。例如，可经由磁场感应来进行NFC部件120的此类近程通信，这可允许NFC部件120与其他NFC设备通信和/或从具有射频标识(“RFID”)电路的标签检索信息。NFC部件120可提供采集商品信息、传输支付信息以及以其他方式与外部设备(例如，商家子系统200的商家终端)进行通信的方式。

NFC部件120可包括用于在电子设备100和商家子系统200之间实现基于无接触邻近性的通信的任何适当的模块。如图2所示，例如，NFC部件120可包括NFC设备模块130、NFC控制器模块140和NFC存储器模块150。

NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或以其他方式提供可由NFC部件120向商家子系统200传输的作为基于无接触邻近性的通信或NFC通信5的一部分的任何适当的数据。除此之外或另选地，NFC数据模块132可被配置为包含、路由或以其他方式接收可由NFC部件120从商家子系统200接收的作为基于无接触邻近性的通信5的一部分的任何适当的数据。

NFC收发器或NFC天线134可以是通常可实现从NFC数据模块132到商家子系统200和/或从子系统200到NFC数据模块132的通信的任何适当的天线或其他适当的收发器电路。因此，可提供NFC天线134(例如，环形天线)以专门用于实现NFC部件120的基于无接触邻近性的通信能力。

另选地或除此之外，NFC部件120可利用电子设备100的另一个通信部件(例如，通信部件106)可能利用的相同的收发器电路或天线(例如，天线116)。例如，通信部件106可利用天线116以实现电子设备100和另一远程实体之间的Wi-Fi、Bluetooth^TM、蜂窝通信或GPS通信，而NFC部件120可利用天线116以实现NFC设备模块130的NFC数据模块132和另一实体(例如，商家子系统200)之间的基于无接触邻近性的通信或NFC通信。在此类实施例中，NFC设备模块130可包括NFC增强器136，该NFC增强器可被配置为为NFC部件120的数据(例如，NFC数据模块132内的数据)提供适当的信号放大使得可由共享天线116适当地传输作为至子系统200的通信的此类数据。例如，可以正确方式使得天线116(例如，非环形天线)能够在电子设备100和商家子系统200之间传送基于无接触邻近性的通信或NFC通信之前，共享天线116可能需要来自增强器136的放大(例如，可能需要比使用天线116传输其他类型数据可能需要的更多的功率使用天线116来传输NFC数据)。

NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142结合NFC设备模块130工作以启用、激活、允许和/或以其他方式控制NFC部件120，以在电子设备100和商家子系统200之间传输NFC通信。NFC处理器模块142可作为独立部件而存在，可集成到另一个芯片组中，或者可与处理器102集成在一起，例如作为片上系统(“SoC”)的一部分。如图2所示，NFC控制器模块140的NFC处理器模块142可用于运行一个或多个应用程序，诸如可帮助指示NFC部件120的功能的NFC低功率模式或钱包应用程序143。应用程序143可包括但不限于一个或多个操作系统应用程序、固件应用程序、NFC低功率应用程序或NFC部件120能访问的任何其他适当的应用程序(例如，应用程序103/113)。NFC控制器模块140可包括一种或多种协议，诸如用于与另一个NFC设备(例如，商家子系统200)进行通信的近场通信接口和协议(“NFCIP-1”)。可使用协议来调整通信速度并指定所连接的设备中的一个设备作为用于控制近场通信的发起设备。

NFC控制器模块140可控制NFC部件120的近场通信模块。例如，NFC处理器模块142可被配置为在用于从NFC标签(例如，从商家子系统200)向NFC数据模块132读取信息(例如，通信5)的读取器/写入器模式、用于与另一个支持NFC的设备(例如，商家子系统200)交换数据(例如，通信5)的对等模式、以及用于允许另一个支持NFC的设备(例如，商家子系统200)从NFC数据模块132读取信息(例如，通信5)的卡仿真模式之间切换NFC设备模块130。NFC控制器模块140还可被配置为在主动模式和被动模式之间切换NFC部件120。例如，NFC处理器模块142可被配置为在主动模式和被动模式之间切换NFC设备模块130(例如，结合NFC天线134或共享天线116)，在主动模式中，NFC设备模块130可生成其自身的RF场，并且在被动模式中，NFC设备模块130可使用负载调制以向生成RF场的另一个设备(例如，商家子系统200)传输数据。与此类主动模式中的操作相比，此类被动模式中的操作可延长电子设备100的电池寿命。可基于用户的偏好和/或基于设备100制造商的偏好来控制NFC设备模块130的模式，这可由运行于设备100上的应用程序(例如，应用程序103和/或应用程序143)定义或以其他方式指示。

NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作以允许电子设备100和商家终端子系统200之间的NFC通信。NFC存储器模块150可嵌入NFC设备硬件内或NFC集成电路(“IC”)内。NFC存储器模块150可防篡并可提供安全元件的至少一部分。例如，NFC存储器模块150可存储可由NFC控制器模块140访问的与NFC通信相关的一个或多个应用程序(例如，应用程序143)。例如，此类应用程序可包括可能被加密的金融支付应用程序、安全访问系统应用程序、会员卡应用程序和其他应用程序。在一些实施例中，NFC控制器模块140和NFC存储器模块150可独立或组合地提供专用微处理器系统，该专用微处理器系统可包含操作系统、存储器、应用程序环境和意图用于在电子设备100上存储和执行敏感应用程序的安全协议。NFC控制器模块140和NFC存储器模块150可独立地或组合地提供安全元件145的至少一部分，该安全元件145的至少一部分可以是防篡改的。例如，此类安全元件145可被配置为提供防篡改平台(例如，作为单个芯片安全微控制器或多个芯片安全微控制器)，其可能够根据可由一组识别良好的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)阐述的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。NFC存储器模块150可以是存储器106的一部分或特定于NFC部件120的至少一个专用芯片。NFC存储器模块150可驻留在SIM、电子设备100的主板上的专用芯片上或作为存储器卡中的外部插头。NFC存储器模块150可完全独立于NFC控制器模块140，并可由设备100的不同部件提供和/或由不同的可移除子系统向电子设备100提供。安全元件145可以是可用于在电子设备100上存储敏感数据或应用程序的芯片内的高度安全防篡改的硬件部件。可在可移除电路卡中提供安全元件145的至少一部分，该可移除电路卡诸如可用于在全球移动通信系统(“GSM”)网络、通用移动电信系统(“UMTS”)和/或长期演进(“LTE”)标准网络内兼容的电子设备100的通用集成电路卡(“UICC”)或用户身份模块(“SIM”)卡。另选地或除此之外，在制造设备100期间，可在可嵌入电子设备100中的集成电路中提供安全元件145的至少一部分。另选地或除此之外，可在能够能够塞入、插入或以其他方式耦接到电子设备100中的外围设备诸如微型安全数字(“SD”)存储器卡中提供安全元件145的至少一部分。

如图2所示，NFC存储器模块150可包括可由NFC规范标准(例如，GlobalPlatform)定义和管理的发行者安全域(“ISD”)152和补充安全域(“SSD”)154(例如，服务提供商安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)等)中的一者或多者。例如，ISD152可以是NFC存储器模块150的一部分，其中可信服务管理器(“TSM”)或发行金融机构(例如，商业实体子系统400和/或金融机构子系统350)可存储密钥和/或其他适当的信息，以创建或以其他方式在电子设备100上(例如，经由通信部件106)提供一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、赊购卡、交通卡、数字货币(例如，比特币和相关联的支付网络)等相关联的商务凭据)、以用于凭据内容管理和/或以用于安全域管理。特定的补充安全域(“SSD”)154(例如，SSD154a)可与特定TSM以及可向电子设备100提供特定特权或支付权限的至少一个特定商务凭据(例如，特定信用卡凭据或特定公共交通卡凭据)相关联。例如，第一支付网络子系统360(例如，Visa)可以是用于第一SSD154a的TSM，并且第一SSD154a的小应用程序153a可与由该第一支付网络子系统360管理的商务凭据相关联，而第二支付网络子系统360(例如，MasterCard)可以是用于另一个SSD154的TSM。

可提供安全特征以使得能够使用NFC部件120(例如，以使得能够激活在设备100上提供的商务凭据)，在从电子设备100向商家子系统200传输保密支付信息诸如凭据的信用卡信息或银行账户信息时，NFC部件可能特别有用。此类安全特征还可包括可具有受限访问权限的安全存储区域。例如，可能需要提供经由个人标识号(“PIN”)输入或经由与生物测定传感器的用户交互进行用户认证，以访问安全存储区域(例如，使用户改变安全元件的安全域元件的生命周期状态)。在某些实施例中，可在NFC存储器模块150内存储一些或所有安全特征。此外，可在NFC存储器模块150内存储安全信息，诸如用于和子系统200进行通信的认证密钥。在某些实施例中，NFC存储器模块150可包括嵌入电子设备100内的微控制器。

图1A的商家子系统200的商家终端可包括用于从电子设备100检测、读取或以其他方式接收NFC通信的读取器(例如，在电子设备100进入此类商家终端特定距离内或附近时)。因此，需要指出的是，此类商家终端和电子设备100之间的NFC通信可以无线方式进行，这样一来，可能不需要相应设备之间的清晰的“视线”。如上所述，NFC设备模块130可以是被动的或主动的。当被动时，可仅在此类商家终端的适当读取器的响应范围内时激活NFC设备模块130。例如，此类商家终端的读取器可发射可用于为由NFC设备模块130利用的天线(例如，所共享的天线116或特定于NFC的天线134)供电的较低功率无线电波场，由此使得天线能够从NFC数据模块132经由天线116或天线134向此类商家终端传输作为NFC通信的适当的NFC通信信息(例如，信用卡凭据信息)。当主动时，NFC设备模块130可结合或以其他方式具有对电子设备100本地的电源(例如，电源108)的访问权限，其可使得所共享的天线116或特定于NFC的天线134能够从NFC数据模块132经由天线116或天线134向此类商家终端主动传输作为NFC通信的NFC通信信息(例如，信用卡凭据信息)，而不是像被动NFC设备模块130的情况中那样反射射频信号。可由商家子系统200的商家提供商家终端(例如，在用于在商店处向设备100的用户直接销售产品或服务的商家商店中)。尽管已相对于近场通信描述了NFC部件120，但应当理解，部件120可被配置为在电子设备100和此类商家终端之间提供任何适当的基于无接触邻近性的移动支付或任何其他适当类型的基于无接触邻近性的通信。例如，NFC部件120可被配置为提供任何适当的短程通信，诸如涉及电磁技术/静电耦接技术的那些通信。

尽管已相对于近场通信描述了NFC部件120，但应当理解，部件120可被配置为在电子设备100和商家子系统200之间提供任何适当的基于无接触邻近性的移动支付或任何其他适当类型的基于无接触邻近性的通信。例如，NFC部件120可被配置为提供任何适当的短程通信，诸如涉及电磁技术/静电耦接技术的那些通信。

还可为电子设备100提供可至少部分地包封设备100的一个或多个部件以用于针对设备100外部的灰尘和其他劣化力进行保护的外壳101。在一些实施例中，可在其自身的外壳内提供一个或多个部件(例如，输入部件110可以是其自身的外壳内的独立键盘或鼠标，它们可以无线方式或通过线路与处理器102通信，该处理器102可被提供在其自身的外壳内)。

如上所述，并且如图4所示，电子设备100的一个具体实例可以是手持式电子设备诸如iPhone^TM，其中外壳101可允许触及各种输入部件110a-110i、各种输出部件112a-112c和各种I/O部件114a-114d，通过这些部件，设备100和用户和/或周围环境可彼此交互。输入部件110a可包括按钮，当被按压时可使得设备100显示当前运行的应用程序的“home”屏幕或菜单。输入部件110b可以是用于在睡眠模式和唤醒模式之间或在任何其他适当的模式之间切换电子设备100的按钮。输入部件110c可包括可在电子设备100的特定模式中禁用一个或多个输出部件112的双位滑块。输入部件110d和110e可包括用于增大和减小电子设备100的输出部件112的音量输出或任何其他特性输出的按钮。输入部件110a-110e中的每个输入部件可以是机械输入部件，诸如由弹片开关、滑动开关、控制板、按键、旋钮、滚轮或由任何其他适当形式支持的按钮。

输出部件112a可以是可用于显示可允许用户与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180的显示器。GUI180可包括各种层、窗口、屏幕、模板、元件、菜单和/或当前运行的应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的其他部件，它们可被显示在显示输出部件112a的全部或一些区域中。例如，如图4中所示，GUI180可被配置为显示第一屏幕190。可使用用户输入部件110a-110i中的一个或多个用户输入部件1来在GUI180内导航。例如，一个用户输入部件110可包括可以允许用户选择GUI180的一个或多个图形元素或图标182的滚轮。还可经由触摸屏I/O部件114a来选择图标182，该触摸屏I/O部件114a可包括显示输出部件112a和相关联的触摸输入部件110f。此类触摸屏I/O部件114a可采用任何适当类型的触摸屏输入技术，诸如但不限于电阻式、电容式、红外、表面声波、电磁或近场成像。此外，触摸屏I/O部件114a可采用单点或多点(例如，多点触摸)输入感测。

图标182可代表可在用户选择时被显示在显示部件112a的一些或所有区域中的各种层、窗口、屏幕、模板、元件和/或其他部件。此外，选择特定图标182可导致分层导航过程。例如，选择特定图标182可导致可包括一个或多个附加图标或与该图标182相关联的同一应用程序或的新应用程序的其他GUI元件的GUI180的新屏幕。可在每个图标182上或附近显示文本指示符181以方便用户解释每个图形元素图标182。应当理解，GUI180可包括被布置成分层结构和/或非分层结构的各种部件。在已选择特定图标182时，设备100可被配置为打开与该图标182相关联的新的应用程序并显示与该应用程序相关联的GUI180的对应屏幕。例如，在已选择利用“商家应用程序”文本指示符181标记的特定图标182(即，特定图标183)时，设备100可启动或以其他方式访问特定商家应用程序，并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征的特定用户界面的屏幕。对于每个应用程序而言，屏幕可被显示在显示输出部件112a上并可包括各种用户界面元素(例如，图14A-图14E的屏幕190a-190e)。除此之外或另选地，对于每个应用程序，可经由设备100的各种其他输出部件112来向用户提供各种其他类型的非视觉信息。可利用多种图形元素和视觉方案来实现相对于各种GUI180所述的操作。因此，所述的实施例并非意在限于本文采用的精确用户界面会话。相反，实施例可包括各种用户界面风格。

电子设备100还可包括可允许设备100和其他设备之间的通信的各种其他I/O部件114。I/O部件114b可以是可被配置用于从远程数据源传输和接收数据文件诸如媒体文件或客户订单文件和/或从外部电源传输和接收电力的连接端口。例如，I/O部件114b可以是专有端口，诸如来自AppleInc.(Cupertino,California)的Lightning^TM连接器或30针坞站连接器。I/O部件114c可以是用于接收SIM卡的连接插槽或任何其他类型的可移除部件。I/O部件114d可以是用于连接可包括或不包括麦克风部件的音频耳机的耳机插孔。电子设备100还可包括至少一个音频输入部件110g诸如麦克风和至少一个音频输出部件112b诸如音频扬声器。

电子设备100还可包括至少一个触感输出部件和触觉输出部件112c(例如，滚筒)、相机和/或扫描仪输入部件110h(例如，视频相机或静态相机和/或条形码扫描仪或可从代码诸如条形码、QR码等获得产品识别信息的任何其他适当的扫描仪)，以及生物测定输入部件110i(例如，可结合特征处理应用程序工作的指纹读取器或其他特征识别传感器，电子设备100能访问该特征处理应用程序以认证用户)。如图4所示，可将生物测定输入部件110i的至少一部分并入设备100的输入部件110a或任何其他适当的输入部件110内或以其他方式与其组合。例如，生物测定输入部件110i可以是指纹读取器可被配置为在通过利用该手指按压输入部件110a来与机械输入部件110a进行用户交互时扫描用户手指的指纹。作为另一个实例，生物测定输入部件110i可以是可与触摸屏I/O部件114a的触摸输入部件110f组合的指纹读取器，使得生物测定输入部件110i可被配置为在通过按压触摸屏输入部件110f并利用该手指沿输入部件110f滑动而与触摸屏输入部件110f进行用户交互时扫描用户手指的指纹。此外，如上所述，电子设备100还可包括可被子系统200经由天线116和/或天线134(图4中未示出)能通信地访问的NFC部件120。NFC部件120可至少部分地位于外壳101内，并且可在外壳101外部提供标记或符号121，该标记或符号可识别与NFC部件120相关联的一个或多个天线的大致位置(例如，天线116和/或天线134的一般位置)。

此外，相对于图1-图14E所述的过程中的一个、一些或全部过程均可通过软件来实现，但也可以硬件、固件或软件、硬件和固件的任意组合来实现。用于执行这些过程的指令还可被实现为机器可读介质或计算机可读介质上记录的机器可读代码或计算机可读代码。在一些实施例中，计算机可读介质可以是非暂态计算机可读介质。这种非暂态计算机可读介质的实例包括但不限于只读存储器、随机存取存储器、闪存存储器、CD-ROM、DVD、磁带、可移除存储器卡和数据存储设备(例如，图2的存储器104和/或存储器模块150)。在其他实施例中，计算机可读介质可以是暂态计算机可读介质。在此类实施例中，暂态计算机可读介质可分布在网络耦接的计算机系统中，使得计算机可读代码以分布式方式来存储和执行。例如，可使用任何适当的通信协议来从一个电子设备向另一个电子设备传送此类暂态计算机可读介质(例如，可经由通信部件106向电子设备100传送计算机可读介质(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。此类暂态计算机可读介质可包含计算机可读代码、指令、数据结构、程序模块、或所调制的数据信号中的其他数据，诸如载波机制或其他传输机制，并可包括任何信息传递介质。所调制的数据信号可以示以此类方式设置或改变其一个或多个特性而在信号中对信息进行编码的信号。

应当理解，可将系统1的任何、每个或至少一个模块或部件或子系统提供作为软件构造、固件构造、一个或多个硬件部件或它们的组合。例如，可在可由一个或多个计算机或其他设备执行的计算机可执行指令诸如程序模块的一般上下文中描述系统1的任何、每个或至少一个模块或部件或子系统。通常，程序模块可包括可执行一个或多个特定任务或可实施一种或多种特定抽象数据类型的一个或多个例程、程序、对象、部件和/或数据结构。还应当理解，系统1的模块和部件和子系统的数量、配置、功能和互连仅是示例性的，并且可修改或省略现有模块、部件和/或子系统的数量、配置、功能和互连，可添加附加模块、部件和/或子系统，并且可改变特定模块、部件和/或子系统的互连。

系统1的模块或部件或子系统中的一者或多者的至少一部分可通过任何适当的方式被存储在系统1的实体中或能以任何其他方式被其访问(例如，设备100的存储器104中(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。例如，可使用任何适当的技术来实现NFC部件120的任何或每个模块(例如，作为一个或多个专用集成电路器件)，并且不同的模块可在结构、能力和操作方面相同或不同。系统1的任何或所有模块或其他部件可被安装在扩展卡上、直接被安装在系统母板上或被集成到系统芯片组部件中(例如，被集成到“北桥”芯片中)。

系统1的任何或每个模块或部件(例如，NFC部件120的任何或每个模块)可是使用适于各种总线标准的一个或多个扩展卡实现的专用系统。例如，所有模块可被安装在不同的互连扩展卡上，或者所有模块可被安装在一个扩展卡上。相对于NFC部件120而言，仅作为实例，NFC部件120的模块可通过扩展槽(例如，外围部件互连(“PCI”)槽或PCI扩展槽)来与设备100的母板或处理器102交互。另选地，NFC部件120不需要是可移除的，但可包括一个或多个专用模块，该一个或多个专用模块可包括专用于利用该模块的存储器(例如，RAM)。在其他实施例中，NFC部件120可被集成到设备100中。例如，NFC部件120的模块可利用设备100的设备存储器104的一部分。系统1的任何或每个模块或部件(例如，NFC部件120的任何或每个模块)可包括其自身的处理电路和/或存储器。另选地，系统1的任何或每个模块或部件(例如，NFC部件120的任何或每个模块)可与NFC部件120的任何其他模块和/或设备100的处理器102和/或存储器104共享处理电路和/或存储器。

如上所述，设备100的输入部件110(例如，输入部件110f)可包括可接收触摸输入以经由有线或无线总线118来与设备100的其他部件进行交互的触摸输入部件。此类触摸输入部件110可用于代替或结合其他输入部件诸如键盘、鼠标等来向设备100提供用户输入。

触摸输入部件110可包括触敏面板可以是完全透明的或部分透明的、半透明的、非透明的、不透明的或它们的任意组合。触摸输入部件110可被实现为触摸屏、触摸板、充当触摸板的触摸屏(例如，替代膝上型电脑的触摸板的触摸屏)、与任何其他输入设备组合或合并的触摸屏或触摸板(例如，被设置在键盘上的触摸屏或触摸板)，或具有用于接收触摸输入的触敏表面的任何多维对象。在一些实施例中，可互换使用术语触摸屏和触摸板。

在一些实例中，被实现为触摸屏的触摸输入部件110可包括部分或完全被定位在显示器(例如，显示输出部件112a)的至少一部分上方、下方和/或内部的透明和/或半透明触敏面板。在其他实施例中，触摸输入部件110可被实现为集成触摸屏，其中触敏部件/设备与显示部件/设备是一体的。在其他实施例中，可将触摸输入部件110用作用于显示主显示器的补充图形数据或相同图形数据并用于接收触摸输入的补充显示屏或附加显示屏。

触摸输入部件110可被配置为基于电容、电阻、光学、声学、感应、机械、化学测量来检测一个或多个触摸或接近触摸的位置，或者检测可相对于在输入部件110附近发生的一次或多次触摸或接近触摸来进行测量的任何现象。可使用软件、硬件、固件或它们的任意组合来处理所检测到的触摸的测量，以便识别和追踪一个或多个手势。手势可对应于触摸输入部件110上的静止的或非静止、单个或多个触摸或接近触摸。可通过基本上同时、连续或依次地以特定方式在触摸输入部件110上移动一个或多个手指或其他对象来执行手势，诸如通过轻击、按压、摇动、摩擦、旋转、扭转、改变取向、利用不同压力进行按压等。手势可通过但不限于以下动作来进行表征：在手指之间或利用任何一个或多个其他手指进行的夹捏、拉动、滑动、轻扫、旋转、屈曲、拖拽或轻击动作。一个或多个用户可利用一只或多只手或它们的任意组合来执行单个手势。

如上所述，电子设备100可利用图形数据来驱动显示器(例如，显示输出部件112a)以显示图形用户界面(“GUI”)180。GUI180可被配置为经由触摸输入部件110f来接收触摸输入。触摸I/O部件110f被实现为可显示GUI180的触摸屏(例如，具有作为I/O部件114a的显示输出部件112a)。另选地，GUI180可被显示在与触摸输入部件110f分开的显示器(例如，显示输出部件112a)上。GUI180可包括在界面内的特定位置处显示的图形元素。图形元素可包括但不限于各种所显示的虚拟输入设备，包括虚拟滚轮、虚拟键盘、虚拟旋钮、虚拟按钮、任何虚拟用户界面(“UI”)等。用户可在触摸输入部件110f上的可能与GUI180的图形元素相关联的一个或多个特定位置处执行手势。在其他实施例中，用户可在与GUI180的图形元素的位置无关的一个或多个位置处执行手势。在触摸输入部件110上执行的手势可直接或间接地操纵、控制、修改、移动、致动、启动或一般性地影响GUI内的图形元素，该图形元素诸如光标、图标、媒体文件、列表、文本、所有或部分图像等。例如，就触摸屏而言，用户可通过在触摸屏上的图形元素上方执行手势来与图形元素直接进行交互。另选地，触摸板一般可提供间接交互。手势还可影响未被显示的GUI元素(例如，使得用户界面显现)或可影响设备100的其他动作(例如，影响GUI、应用程序或操作系统的状态或模式)。与所显示的光标结合，手势可在或可不在触摸输入部件110上执行。例如，在触摸板上执行手势的情况下，可在显示屏或触摸屏上显示光标或指针，并且可经由触摸板上的触摸输入来控制光标或指针以与显示屏上的图形对象进行交互。另选地，在直接在触摸屏上执行手势时，不管是否有光标或指针被显示在触摸屏上，用户均可与触摸屏上的对象直接进行交互。可响应于或基于触摸输入部件110上的触摸或接近触摸来经由总线118向用户提供反馈。可通过光学、机械、电气、嗅觉、声学等或它们的任意组合并且以可变方式或不可变方式来传输反馈。

所述概念的进一步应用

尽管已描述了用于安全地进行在线支付的系统、方法和计算机可读介质，但应当理解，在不以任何方式脱离本文所述的主题的实质和范围的情况下，可对其作出许多修改。无论是现在已知的还是以后设计的，被本领域普通技术人员视为要求保护的主题的非实质变更均被明确考虑为在权利要求的范围内是等价的。因此，本领域普通技术人员现在或以后已知的明显置换被定义为在所定义的元素的范围内。

因此，本领域的技术人员应当理解，可通过除所述实施例之外的方式来实践本发明，所述实施例是为了例示目的而非限制目的而呈现的。