[0001] 本申请还要求以下优先权的申请的全部权益：于2014年9月29日提交的名为“交易数据的安全处理”的第62/056,688号美国临时专利申请；
于2014年10月2日提交的名为“交易数据的安全处理”的第62/058,799号美国临时专利申请；
于2014年10月17日提交的名为“交易数据的安全处理”的第62/065,280号美国临时专利申请；
于2014年11月12日提交的名为“数据的安全处理”的第62/078,683号美国临时专利申请；
于2014年11月25日提交的名为“用于金融或其它交易的数据的复合令牌”的第62/084,
549号美国临时专利申请；
于2014年12月8日提交的名为“电子支付交易密钥”的第62/089,210号美国临时专利申请；
于2015年2月20日提交的名为“电子支付交易密钥”的第62/118,990号美国临时专利申请；
每条上文所述申请的全部内容，包括它们的任何和全部改进，通过引用并入此案。

[0002] 本发明本发明总的来说涉及用于数据安全处理的系统、方法和机器可读程序和/或其他指令产品。特别地，本发明本发明涉及使用安全标示符、支付手段(elements)如虚拟钱包和支付令牌及其它设备和方法，在支付交易处理和其它数据处理对有用的电子数据进行安全创建、管理、操作、处理和存储。

[0003] 本申请中公开的材料涉及在支付交易处理中对有用的数据进行安全创建、管理、操作、处理和存储。这些创建、管理、操作、处理和存储的方面可能受到政府和其他机构的法规约束。本文的公开仅根据逻辑、经济和通信的可能性做出，而不考虑法令、法规或其他法律考量。本文没有内容旨在作为一个声明或表明，这里所提出或探讨的任何系统、方法或流程或它们的用途遵守或不遵守任何法令、法律、法规或其他具有任何管辖权的法律要求；也不应采取或理解为这样做。

[0004] 在各个方面，本发明提供了表示可执行指令集和/或其他用于数据处理的产品的系统、方法和非瞬态的机器可读的数据。具体地，本发明涉及在支付交易处理和其它数据处理中有用的电子数据的安全创建、管理、操作、处理和存储。这些方面以或者经过专门编程的通用计算机的、经过专门设计的有线处理器(包括专用集成电路)或者同时两者的各种组合的形式，通过使用新的、创新的、专用的数据处理系统被实现。

[0005] 例如，在各个方面和实施例中，本发明提供了受制于受控访问时，在敏感和其他数据处理的授权和实施中，对有用的数据进行生成、通信、解释和其他处理的安全方法。这种流程包括，例如，对电子数据进行创建、管理、授权、操作、解释、处理和存储，其中这些电子数据表示消费者、商家和其他支付账户的特点、用于它们的指令和与它们相关的信息和其他形式的安全支付要素如支付令牌和与之相关的流程；以及对使用这种账户和要素的交易处理有用的数据。与特定支付手段相关的信息，如支付令牌，可以例如被存储在一个通常是安全的，有时被称为虚拟或电子钱包或安全支付令牌的数据集中。

[0006] 与其他受控制的或可控制的流程的执行相关的指令集和其他数据，如对图像、文本和其他媒体文件进行创建、存储和其他操作或控制，可以被解释，且通过使用本发明的相同的和其他的实施例，与这种执行相关的流程可以被授权和被控制。

[0007] 本发明提供的许多改进和优点包括在交易和其他敏感或安全数据处理的授权中使用多个授权码和其他类型的标识符是。在各种方面和实施例中，例如，在授权一个被请求的数据的流程中，本发明提供了三、四或更多的授权码或其他标识符，每一个授权码例如，与被请求的流程的不同方面关联。例如，这些标识符可以包括一个或多个数据集，该数据集表示一个设备或系统的特定用户、该特定设备或系统本身(例如，移动PDA)和/或一个或多个用于满足支付交易的帐户的任何一个或多个。

[0008] 例如，一方面，本发明提供了授权数据处理的方法。这样一个流程可能，例如，由一个授权裁定服务器的或与其相关的一个或多个处理器执行，并且可能包括：接收一个请求的客户端设备生成的数据处理请求，其中该数据处理请求包括：表示与一个应用程序数据集相关的至少一个标识符的数据；表示与数据处理应用的请求用户相关的至少一个标识符数据，其中数据处理应用与应用程序数据集相关；和与请求客户端设备相关的至少一个标识符；访问一个授权数据集，并确定收到的与应用程序数据集相关的标识符与数据处理请求的授权兼容；该收到的与数据处理应用程序标识符的请求用户相关的标识符对应于数据处理应用的至少一个被授权用户；并且收到的与请求的客户端设备相关的标识符对应于与应用的授权数据集相关的至少一个被授权的客户端设备；并且，在这种确定的条件下，授权执行被请求的数据处理。

[0009] 在本发明的各种方面和实施例中，对各种授权码来说，与流程的各种相应方面唯一相关可以是特别有利的。例如，在一个用于授权支付交易的流程中，这种授权码可以与下列内容的任何一个或多个唯一相关：用于生成一个交易请求的移动或其他网络通信设备如智能手机和台式电脑；与被请求的交易相关的单个用户或其他实体；和/或用于完成交易的支付账户。在另一个例子中，这种标识符可以与，用于生成一个存储或其它图像处理请求的设备的用户、一个与这种请求相关的数据文件以及一个数据存储或其它图像处理请求，唯一地和/或以其它方式相关。

[0010] 在本发明的各种方面和实施例中，例如通过使用公开密钥/私人密钥和/或其他加密方案，对标识符和其他授权代码进行加密可能具有进一步的独特优点。

[0011] 正如先前指出的，本发明有广泛的应用。这样，例如，它可以应用于安全支付交易的环境中。例如，在这种环境中，本发明可以提供用于授权支付交易的安全方法，其中交易通信设备执行一个机器可执行的代码指令集，该代码指令集设置为导致至少一个数据处理器访问持久内存设备和生成交易请求数据集，其中该交易通信设备如一台台式电脑、智能手机或其他移动计算设备，包括一个或多个网络通信系统、一个或多个处理器以及一个或多个包括数据的持续内存设备，该持续内存包括表示与至少一个交易支付账户的至少一个被授权用户相关的至少一个标识符数据；至少一个标识符与交易通信设备相关；和与至少一个交易支付账户相关的一个标识符。这种交易数据集可以至少包括与至少一个交易支付账户的至少一个被授权用户相关的至少一个标识符；与交易相关的通信设备；至少有一个标识符；和与至少一个交易支付账户关联的标识符。这种方法还可以包括使用网络通信系统将生成的交易数据路由到一个交易裁定服务器上，用于裁定/授权和/或进一步处理受到请求的交易。

[0012] 除了其他的优点，本发明提供了正如本文所述的处于多个安全或授权级别的多个独立标识符。例如，一个用户和设备可以，为了访问设备上的所有可用的应用程序，每次提供三、四或更多的独立的标识符；为了在这种应用程序的单个会话期间访问个人应用程序和执行多个流程(例如，多次购买交易)，使用相同的和/或其他标识符；和/或用户可以被一个单一的应用程序要求提供用于每个交易或流程的执行的所有标识符——例如，用于使用一个单一的支付应用程序的多次购买交易的每一次。

[0013] 正如上文所述，与交易帐户的被授权用户、交易支付账户和/或交易通信设备的任何或全部相关的标识符可以与该用户、帐户和/或设备唯一相关。这些标识符可以是适用于实现本文公开的系统、方法等任何形式。

[0014] 个人、商家、其他具有设备和账户的用户，可以例如通过使用表示任何合适的令牌或特征的数据来被识别，包括例如，密码；个人识别号码(PIN)或代码；和/或生物信息如指纹、视网膜或眼睛的信息、声音数据的全部或部分等等的任何一个或多个。

[0015] 代码或其他表示特定设备或系统的标识符可以包括表示序列号或与设备的外壳、处理器或其他系统或特征相关联的其它标识符的数据。

[0016] 表示支付或其他帐户用户的代码或其他标识符，例如，可以包括表示帐户号码、地址、姓名或其他信息的任何一个或多个的数据。

[0017] 在本发明的各种实施例和方面中，标识和其他数据以及表示可执行指令集的数据，被存储在安全元件和/或其他安全内存中、在用来产生交易和其他数据处理请求的设备上、并在裁定服务器和其它网络化数据处理服务器的其他组件内可能是特别有利的。这种安全内存可以在例如，用户身份模块(SIM)卡上的安全元件、安全数字(SD)和/或其它可移动存储设备上被提供。表示常用标识符的数据的单独存储可以例如用来与真实数据、以及与之相关的交易或其他流程比较。

[0018] 在另外的方面和实施例中，本发明提供了用于在用于生成包括例如金融交易授权的请求的数据处理请求的设备上，安全和方便地访问数据处理应用程序的改进的系统、方法和指令集。在一个方面中，本发明提供了由交易通信设备的处理器执行的方法。这种交易通讯设备可以包括，例如，输入设备和设置为接收来自输入设备的、由设备的用户生成并表示一个买方定义的标识符的信号的网络通信系统，该标识符例如电话号码、电子邮件地址和/或其它之前已经与可由设备执行的多个应用程序的唯一一个相关的个人标识符。例如，用户可以输入这种标识符，从而导致设备使用至少由买方定义的标识符来发起或访问或执行多个交易授权数据集中的一个，例如使用一个虚拟钱包应用；和至少使用被允许访问的交易授权数据集来生成一个交易请求数据集，该交易请求数据集至少包括以下中的两个：与至少一个交易支付帐户的至少一个被授权用户相关的一个标识符，与交易通信设备相关的一个标识符；和与至少一个交易支付账户相关的一个标识符；和使用一个无线通信系统来将生成的交易数据请求路由到一个交易判断服务器。

[0019] 正如相关领域的技术人员所认为的，各种形式的安全交易可以通过专门的应用程序(“应用”)的全部或部分使用被处理，这些应用程序被安装在交易请求设备如手机和台式电脑或在它们的控制下可执行。例如，电子支付和/或其他方面的被提出或完善的交易可以通过使用电子或虚拟钱包来实现。这种钱包通常包括或者使得能够访问表示标识符的安全数据集，如与特定买家相关的各种形式的信息。这种数据集，在某些情况下，或者被称为买方账户，并可以包括姓名、电话号码、物理和/或电子邮件地址和/或其他与一个或多个买家相关的识别信息，连同应用程序或流程的特定信息或标识符，如表示买方已授权使用的一个或多个不同形式或类型的支付的支付信息或以其他形式与之相关。例如，每个买方帐户数据集可以包含一个或多个信用卡号码、一个或多个银行卡号码、一个或多个礼品卡号码，或与任何类型和数量的账户或与一个买方或一批买方的相关的其他支付手段相关的其他信息。每个这种数据集可以进一步包括或与买方识别信息相关，该买方识别信息例如表示政府或私人发布的身份证件的数据，如护照、照片、出生证明、驾驶证或公民身份证等，和/或其图像。

[0020] 本发明应用安全数据处理的进一步的例子，包括使用安全支付令牌来实现，例如，“有卡交易 (card‐present)”，其中，实物信用、借记卡或其他支付卡，包括例如包含安全数据存储芯片的卡片等等，是无法使用或不被使用的。通过例如避免一种物理支付卡存在的需要(例如，信用卡或借记卡)，这种卡模拟流程可以提供改良的消费者和其他设备的用户的支付交易处理的灵活性，从而通过本文所述的类型的技术改进提供显著的商业优点。

[0021] 正如相关领域的技术人员一旦熟悉了本发明所理解的，一个安全支付令牌可以包括加密的或以其他形式的安全数据集，该数据集表示当被破译和/或以其他方式正确地被解释时，可以用来影响和/或证明固定的、有限的和/或以其他形式被预授权数额的支付或支付授权所有需要的信息。

[0022] 这种令牌，例如，可以包括和/或被存储在适用于完成交易时的电子展示的移动和/或非移动设备的内存中。例如，这种一个安全令牌被安全地存储在一个移动电话(例如，一个“智能”手机)中，或者其他个人数字助理(PDA)可以在电子销售点(POS)或交易点(POT)作为一个用于完成或帮助完成一个被识别的交易的、特定的预授权的支付的法定货币，或为信用或其他绑定支付授权的证据被电子地展示。这种支付，例如，可以类似于在销售点的现金出示，或类似于一个“有卡”交易的信用卡、芯片卡或其他价值转移卡出示。

[0023] 本发明的进一步方面包括交易和/或其他授权请求、协议或流程的改进的仿真和代理。例如，本发明提供了个人应用小程序(有时称为“安全元件程序”或“SE小程序”)，它可以被嵌入在作为CPU中的硬件或固件或作为专门的电路或流程等被提供在安全元件中，这些小程序设置为(a)模拟多个特定目的或特定方案的小程序、脚本等和/或(b)作为生成、解释、或以其他方式处理数据的代理，该代理设置为使得安全元件小程序被存储在其中的一个移动或其他设备能够以特定方案的方法与外部设备，如支付处理器、账户管理服务器，或其他授权服务器进行通信。例如，在移动支付应用，一个安全元件小程序可以在“有卡”交易中，模拟一个塑料卡，即以一个塑料卡的方式进行交易行为；并且它可以提供支付或其他与丰富多样的支付形式或协议一致的交易数据，例如使用多个支付相关的专门编写的小程序或脚本以支持个人支付协议，如Visa，并且可以代理允许移动设备与外部销售点(POS)终端或其他设备通信的数据，以根据Visa兼容的账户完成支付交易。或者此外，为了增加交易通信的安全，虚假的、中立的或其他数据如时间戳可以作为在令牌或其他密码中的敏感数据代理被使用。

[0024] 由安全元件小程序(或程序提供与披露根据其他程序)提供的模仿和代理多种支付方案和支付相关的应用程序的能力(例如，公交费用支付、优惠卡提示等)使这种小程序的用户能够在一个单一的移动设备上比其他可能的方式更高效灵活地访问和使用多个方案和支付应用。没有仿真器和代理程序的典型的实现方式会要求用户安装一批单独的、方案特定或应用程序特定的小程序或脚本，这些小程序或脚本在设备上占用更多的存储空间并且可能在添加几个大型小程序或脚本时涉及一个时间更密集型和繁琐的用户体验。

[0025] 在本公布文本的各种方面和实施例中，用于创建、管理、操作、处理、和存储电子数据的安全手段，可以被存储在存储在远离由买方使用的设备的安全内存中，以提供支付授权，其中电子数据表示应用程序如虚拟钱包、安全令牌、标识符和其他授权码或信息和与消费者、商家和其它支付和/或支付账户相关的其他在处理支付交易中有用的信息，以及由这些流程造成的或以其他方式与之相关的数据。例如，这些信息可能会被集中存放在一个安全的环境，如由银行或其他金融机构(FI)或支付服务提供商维护的子安全域(SSD)中。

[0026] 在相同的或其他实施例中，用于实现和/或完成安全支付交易的支付安全令牌和/或其他数据集可以在消费者或其他用户控制的设备上的适当安全的内存内被存储，例如包括专门提供的安全内存，它可以例如包括或被包括在安全的用户身份识别模块(SIM)卡、安全数字(SD)卡(例如包括小型和微型SD卡) 和/或其他可移动存储设备上，和/或在智能手机、平板电脑或其他PDA上的嵌入式内存如隔离或以其他方式安全的寄存器，和/或在买方设备如家庭电脑系统、由商家或其他供应商操作的面板系统上。

[0027] 由这种实施例提供的优点之一是，表示与广泛的数量和类型的支付来源(例如，银行或信用卡账户) 相关的支付信息的、对一个单一的买方或一批买方可获得的数据可以被集中存储在庞大数目和类型的安全隔离环境的任何一个或多个中。这种组合的、安全的存储例如可以同时提供物理和数据安全方面的改进。例如，存储在安全环境如由金融机构建立和/或维护的云中可以远远比存储在买方的移动设备上更安全。

[0028] 进一步的优点包括能够使智能手机和其他掌上电脑用户模拟传统塑料支付卡，即使用存储在他们的 PDA上的安全令牌完成“有卡”和/或现金等价交易——即使在网络通信是不可用，或者在远程存储账户数据不可用于访问时。

[0029] 根据本发明被处理的交易可包括任何需要交换的或应要求的安全的类型。这种交易或其它流程，例如，包括交易基于或相当于这种支付，即使用信用卡，借记卡，奖励，和储值(例如，礼品)账户，例如包括基于卡和/或卡实现的账户，以及考虑销售，租赁，转让，出租，或其他交易的凭证和/或其他任何形式或系统的交易。它们还可以包括与图像、文本和其他媒体数据一起使用的安全数据生成、传输和存储流程。

[0030] 通过使用被适当配置的系统，根据本发明的改进可以简化处理请求的安全数据，例如由各种支付服务提供商如支付处理器、金融机构、金融通讯运营商提供的支付系统数据集的创建和修改，或者以其他形式改进其效率。

[0031] 根据本发明的被适当配置且技术适应性强的系统的使用与新技术如改进的远程通信、无线、和/或近场技术和/或协议兼容，并且可以通过采用其来提高效率。例如，从全球移动通信(GSM)或其他无线远程通信协议过渡到蓝牙、近场通信(NFC)、条形码、快速响应(QR)类型的协议可以显著被塑造得更高效和更高成本效益。在许多实施例中，改进的通信系统/协议，包括例如当前或今后开发的蓝牙设备(包括蓝牙LE)、近场通信、条形码，快速响应(QR)类型的技术可以在系统的任何或全部节点，包括例如在销售点(POS)处的买方和/或商家/供应商侧被有利地使用。作为一个可以在多种环境下有利地实现的更具体的例子，蓝牙(LE)技术可以用于与现有的启用蓝牙的POS终端通信以处理依照GP规范、EMV标准和/或其他标准的支付。

[0032] 在当代的通信系统中，在这种远程安全环境中存储的数据的创建、存储、操作和/或其他处理可以提供经济和通信效率。例如，与无线设备的SIM卡相关的内存和/或这种设备的嵌入式内存的使用，必须经常从无线设备的一个电话接线员或其他通信服务提供商(“telco”)或原始设备制造商(OEM)“租赁”。根据本发明的系统和流程可以有助于最小化、消除和/或以其他方式优化与多个实体的交易和相互作用和涉及租赁这种内存的合同的需要和/或愿望。

[0033] 在正如本文所述和附图所示的，这种远程安全环境中存储的数据的创造、存储、操作和其他处理可以通过例如改进的架构和指令集的使用被实现，该改进的架构和指令集使得程序、函数和其它常规活动，以及来自这种远程安全系统中的数据获取和存储指令的安全调用能够实现。这种安全调用可以实际上从到用户设备上的SIM卡或其他安全内存上的调用重新定向到远程安全存储设备。

[0034] 在各种实施例中，本发明提供了用于实现本文所述的各种功能和流程且包括持久(或非瞬态)机器可读的指令集(如软件)的方法和进一步的组件。

[0035] 本发明的各种方面和实施例在附图的图中被示出，这些附图旨在作为示例性的而非限制性的，且其中相似的参考符号旨在标出相同或相似的部分。

[0036] 图1‐4F示出了与流程和设备相关的，根据本发明的系统和安全存储设施的实施例的示意图

[0037] 图5A‐5C示出了根据本发明的使用安全元件和授权在完成支付交易中有用的工艺流程和用户界面的实施例的示意图。

[0038] 图6示出了根据本发明，在实现或促进通过人对人交互的安全支付的一个有用的工艺流程的一个实施例的示意图。

[0039] 图7示出了根据本发明的安全元件和设备的实现方式的各方面。

[0040] 图8‐10显示了根据本发明的各方面，适用于发起和进行购买和/或其他数据处理交易的数据通信交换的示意图。

[0041] 图11A‐11D示出了根据本发明的安全元件和支付令牌开通和通信流程的各方面的示意图。

[0042] 图12显示了使用JSR‐177编程协议的适用于实现本发明的各方面的脚本编程的例子。。

[0043] 图13A‐16显示了适用于实施本发明的包括命令和响应的编程脚本的例子。

[0044] 图17‐19显示了根据本发明的各方面，包括在本发明中的的小程序的关系和使用的示意图。

[0045] 图20A‐26D显示根据本发明的各方面，适用于在购买和/或其他数据处理交易生成和利用私人会话密钥的数据通信交换的示意图。

[0046] 下面通过参考附图，描述本发明的各方面的实施例。

[0047] 图1示出根据本发明适合于用在实现安全的数据处理时的一个示例系统100的示意图。在图1中，两个架构或子系统100A、100B，以及用于安全的数据处理和数据存储的请求、授权和执行的流程由此被示出。正如相关领域技术人员所理解的，一旦他们熟悉本发明所公开的，架构或子系统100A、100b彼此不排斥或并非不相容；反而他们可以有利地被单独地或彼此组合或并行地使用，以实现根据本文描述的各种实施例的结果。

[0048] 在所示实施例中，除了其他的组件，系统100和子系统100A、100B包括一个或多个交易或数据处理请求设备102，如移动设备202、203、台式设备402(图2)或其他数据处理设备；数据处理应用104，如对购买交易有用的虚拟钱包，或图像处理应用；持续内存106；以及交易或认证裁定服务器 (authentication adjudication server(s))110。

[0049] 这种系统和/或子系统可以设置为用于彼此之间的通信，且各种应用程序界面(APIs)和/或其他类型的通信可能被利用。API可以通过各种技术如简单对象访问协议(SOAP)、通过公开使用编程代码的功能开发的界面、表述性状态传递(REST风格的编程技术)等等来实现。

[0050] 在100A的架构/实施例中，应用104和/或内存106、116、118被存储在用户设备102、202上。在实施例100B中，部分或全部应用104和/或内存106、116、118被存储在安全的云端存储器中，例如在一个安全的网络化服务器中。

[0051] 在1002处，买方如一个智能卡持有人或一个流程或交易请求设备102的其他用户10可以使用小键盘、键盘、触摸屏或其他输入设备103以访问一个数据处理应用104，该应用可以全部或部分贮存在任何或全部的请求设备102、金融或其他应用服务器112和/或任何其他适于访问的网络化处理设备上。应用 104可以访问持续内存106以读取或以其他方式访问与买方或用户、该请求设备102和/或应用104相关的标识符，如用于支付交易的金融账户信息，和/或所有标识符可以存入的地方，例如，一个或多个安全元件116和/或它们的(子)域118。

[0052] 例如，在1002，一个买方设备，例如智能(或芯片)卡、如智能手机、平板电脑或笔记本电脑等移动计算/通信设备(PDA)、或如台式电脑等网络处理器，可以用来创建、访问和/或以其他方式处理被安全存储的与一个或多个买方账户相关的数据。在显示在100A上的存储实施例中，包括买方的金融数据的安全元件116被安全地存储在买方设备102的持续内存上，该金融数据可以包括帐户和/或预授权的支付信息(例如，一个安全支付令牌)。在显示在100B上的实施例中，这种数据被存进一个安全元件(SE) 如基于云的远程安全通信设施，如在该例中被银行或其他金融机构维持或控制的基于云的子安全域(SSD) 中。在这两种情况下，SE子域118可以在安全内存106中提供并使用以便例如安全地存储与多个应用相关的授权和其他数据——如在支付交易环境中的，与多个不同的买方账户(“Visa(VMPA)”；“万事达卡(MasterCard)”“PayPass”、“MDA”“借记卡(Debit)(MDA)”和“VAS”)和/或支付相关的买方和/或帐户信息。

[0053] 在图1的底部的1110处，相同的或另一个买方设备102、202被用来在自动售货机或商家销售终端 (POS)设备114上进行购买或其他交易，这些设备如近场通信(NFC)驱动设备和/或读卡器115。

[0054] 图1的各(子)系统100A、100B提供了交易和其他敏感数据的各种安全处理的优点。例如，在显示在100A处的实施例中，在用户或请求设备102、202上的内存106、116、118中的应用104和/或各种类型的授权和交易数据的存储，使设备102、202的所有者、管理员和/或其他用户能够保留该应用104和 /或内存106、116、118的保管和控制以及为此的责任。这对于许多用户来说，例如，在知道他们自己可以提供最终的安全责任的情况下提供了增强的舒适性。这种应用104和存储在这种元件106、116、118中的数据的准备可以通过通信服务提供商系统122、原始设备制造商124和/或其他信用服务提供商或管理平台(TSM)系统120中的任何一个或全部提供，这些准备可以以例如附加应用及配套服务的形式提供附加值。

[0055] 实施例100A的一个进一步的显著优点是一个全部或部分存储在一个设备102、202上的应用程序，可以通过使用，例如全球平台(GP)标准的硬件、固件或软件，提供将应用绑定到特定的设备102、202 的安全性。这样，例如可以用在任何一个实施例100A或100B中，以确认设备102、202的请求用户；特定设备102、202用于生成请求；和在交易或其他数据处理的要求中被提供的账户或其他应用信息是彼此恰当地相关和绑定的，从而通过由一个独立的交易或处理请求裁定者存储或以其他方式可由其获得的授权或认证信息的比较，以授权一个被请求的交易或其他数据处理。

[0056] 通过将多个独立的身份和功能因素联系在一起，如像上文提到的三重、四重或其他的多因素认证特征，如在100B处所示的架构，提供显著优越的授权/认证的可能性。如前文所述，这种绑定的多因素识别特征可以包括表示与用户、设备、和支付、存储或其他交易帐户相关的各种代码或特性的数据。

[0057] 通过提供这种多参数的授权流程，其中一些或所有应用程序104和/或各种类型的授权和交易数据可以存储在云内的安全设备中的内存106、116、118中(即，通过任何一个或多个公共和/或私人局域网或广域网250存储在可访问设备102、220、114、120等的设备中)，该发明使许多进一步的优点能够实现，包括例如敏感数据优越的物理安全；通过减少或消除各TSM和其他中间机构的需要来减少设备间/系统间的通信；允许多个服务提供商——包括各银行或其他交易服务提供商，利用现有的平台或基础设施，并为扩展的服务和效率开辟了新的可能性。

[0058] 由本发明实现的一个显著改进是在单个钱包或其他控制应用程序中提供和统一控制多个安全应用。本发明的这方面可以是特别有利的，例如，在该方面，一些类似的或相应的应用在一个单一的用户设备 102、202等等上或通过其而提供。例如，在金融交易的环境中，一个单一的“钱包”应用可以提供访问数据和指令，这些数据和指令适合使用和控制使用由多个独立的金融机构持有和/或以其他方式管理的账户的交易。例如，具有多个银行和/或由不同机构持有的支付帐户的用户可以使用本发明的各个方式来普遍地和/或选择性地存储、访问和控制各种帐户。除了其他由本发明的这方面提供的进一步的优点，为这样一个钱包或其他应用提供访问的第一机构，例如银行或信用卡公司，可以使内存和处理能力对其他的、非附属机构可用，从而从中获得收益。

[0059] 例如，一个设备102、202等的用户希望访问一个钱包或其他应用时，该应用可能会在云中的相应位置被访问，并且需求或请求的信息可由设备102、202从其基于云的存储位置中取出以用于POS机或其他交易的通信。

[0060] 一个进一步的优点是，通过多个域和/或应用(小程序)层或层次结构如104、116、118的使用，仿真和/或代理服务，由此的“有有卡交易”交易可以根据所需的任何支付协议，不论被应用的支付账户的实际身份或性质而被执行。例如，正如本文所述的，一个持有信用卡帐户的用户可以根据一个借贷协议被授权以完成交易，并通过独立帐户和支付协议的使用和映射，使用信用帐户代理借记卡支付。

[0061] 正如相关领域的技术人员所理解的，适用于实现本发明各方面的任何通信、支付和/或其他协议都可以直接对应支付账户或通过代理使用。这些措施包括，例如，全球移动通信系统(GSM)、Europay+MasterCard+Visa卡全球平台标准(EMV‐GP)和其他协议。全球平台是一个用于在卡上提供管理应用(例如，Java卡小程序)标准的一个平台/组织。它包括可以管理应用程序的附加的“安全域”的认证方案和授权。EMV是由Europay、MasterCard和Visa创建的用于包括存储在SIM卡上的安全元件(SE) 等等的智能卡和POS(销售点)终端的互操作性的标准。

[0062] 一个安全元件，例如，可以包括加密的硬件(例如，适当配置的SIM卡)、公共密钥/私人密钥和其他加密元件，和合适的用于通信的通信设备，例如，通过一个设备102、202的控制器与设备102的NFC 或其他通讯系统通信，并从而与商家POS系统114、服务器112等等通信。

[0063] 根据本发明本发明，图2给出了一个适合用于实现安全数据处理和存储的系统100的进一步例子和流程的示意图。图2所示和所描述的实施例与图1所示和所描述的实施例一致，并提供了各种实施例100A、 100B等的进一步的细节。

[0064] 在如图2所示的实施例中，根据本发明，一个支付交易或其他处理系统100包括应用服务器112，如金融机构服务器，该金融机构服务器包括安全网上银行或其他支付账户管理模块214，该安全网上银行或其他支付账户管理模块214包括在线安全金融账户和信息系统216，该在线安全金融账户和信息系统216 例如可以由或代表一个或更多的银行或者其他金融机构(FIs)执行并且可以包含一个或多个安全数据库 218；该应用服务器112还包括一个用于管理虚拟钱包和/或数据处理应用的客户端应用/消费者钱包管理应用220，可以完全或部分地贮存在任何所需的客户端或消费者设备上，例如包括客户端笔记本电脑204、台式机206或其他移动或固定电脑102、202和/或任何移动设备如掌上电脑、平板电脑或其他移动通信设备202，这些客户端或消费者设备可以包括各种模块和/或应用，这些模块和/或应用用于执行或与非常广泛的金融和其他数据处理交易的任何一个——包括借记、信贷和/或忠诚度(loyalty)交易以其他方式相互作用；一个或多个奖励或者其他的忠诚度计划的服务器240，可以由相同的和/或其他金融机构(FIs)、第三方程序管理员等管理；固定线路和无线安全以及空中下载(OTA)通信基础设施260；以及包括商家和持卡人214、270的各种第三方伙伴系统。正如相关领域的技术人员所理解的，一旦他们熟悉本发明，任何一个或所有的组件110、112、214、216、220、240、260、114、270等，可以以各种形式和组合来实现，并可以由各种各样的实体控制，这些实休体包括如银行的金融机构(FI)、商家、消费者和其他消费者和客户端以及第三方服务提供商。

[0065] 例如，应用服务器112可以托管或以其他方式启用或提供与本文所述目的相一致的任何类型的数据处理。应用服务器112可以包括，例如，银行、券商、商家、信用卡和其他金融机构以及其他安全金融交易的处理器；安全的文本、图像或其他媒体的生成、存储、展示或控制服务提供商；社交媒体应用服务器、拍卖商和其他商业网站，等等。

[0066] 以网上银行或其他支付账户管理服务提供商的形式的服务器112可以包括模块214，该模块214包括在线安全金融账户和信息系统216，其可以例如由或代表一个或更多的银行或者其他金融机构(FIs)应用并且可以包含一个或多个安全数据库218。

[0067] 客户端应用/消费者钱包管理应用和/或服务器220可以提供对托管或以其它方式管理虚拟钱包和/或数据处理应用有用的任何执行、支持、数据存储或其他功能，该虚拟钱包和/或数据处理应用可以完全或部分地贮存在任何所需的客户端或消费者设备中。

[0068] 服务器112、214和用户设备，如笔记本电脑204，台式机206和/或其他移动或固定计算机102、202 和/或任何移动设备如掌上电脑、平板电脑或其他移动通信设备202，可以以任何所需的形式被应用，包括任何适当配置的专用或通用目的的任何类型的数据处理设备。

[0069] 在102、106、116、214、216等处被管理或实施的应用104，可以由各种各样的第三或第四方服务提供商支持。例如，在在线和/或POS购买交易中，第三方忠诚度管理器或服务提供商可以提供或支持适当配置的数据处理。

[0070] 由服务器112、214等管理的安全内存218，可以存储任何需要或请求的敏感信息，包括与用户10 等相关的个人信息、偏好和其他数据以及与个人和/或商业支付、储蓄、退税账户，等相关的账户信息。

[0071] 通过固定线路和/或无线网络250的通信利用任何合适的协议等可以以任何合适的形式被提供。在如图2所示显示在100处的一个系统环境中，安全和空中下载(OTA)通信基础设施可以通过任何适当配置的服务器或平台260被提供。

[0072] OTA和其他通信(子)系统260、钱包管理应用程序220，和其他组件的系统100可以配置为支持多个硬件和软件系统。例如，专门配置的钱包管理组件220A‐220D、TSM界面120和通信组件260A‐260E可以设置为用于与各种硬件设备通信，硬件设备例如包括苹果、三星、黑莓、诺基亚和其他智能手机；以SIM 卡、SD卡等形式存在的安全元件(SE)；和按照GP、GMS、3G和其他通信协议的其他设备。

[0073] 例如，适当配置的钱包管理应用220可以通过访问适当配置的用户界面(UL)，经由适当配置的用户设备102的输入/输出设备，直接或通过网上银行应用程序216等，被用户10控制，以新建一个帐户，使任何一个或多个金融机构访问一个账户以完成支付交易或下载一个预付的“有卡交易”的支付、令牌等，其目的是提供，例如：·常见的和因此更高效的横跨一些金融机构的用户体验(通过根据与支付账户相关的协议访问子应用 220A‐D等以直接从所需的用户帐户支付；根据商家所需的协议，使用与支付账户等相关的标识符的合适的替代物和/或映射来代理支付)；
·从定义的或可定义的列表中对需要的虚拟/物理钱包和/或支付账户的选择和生命周期管理(在本文中，“物理”钱包的含义是存储在由智能手机和其他设备制造商(OEM)提供的安全元件(SE)和其他设备102 上的被独立管理的账户信息；在本文中，“虚拟”的钱包包括由支付账户持有者如银行、信用卡和/或忠诚度机构管理的数据集)；
·被选定的或其他符合条件的钱包的参数设置和检查、钱包的删除或注销、帐户和帐户的属性的命名、通知；
·工具的选择和管理，包括用于仿真、代理和其他目的的支付协议，包括例如信贷、借记、奖励和/或忠诚度帐户的准备金提取；
·设置客户资料和/或其他用户偏好；
·访问和利用其他增值(由托管金融机构等所提供的辅助功能)；
·与第三方服务提供商等交互；
·用户标识符和认证符，例如包括个人识别码(PIN)，密码等的设置和恢复；
·由缔约的用户10的许可和/或其他同意或确认；
·访问服务中心或其他帮助/联系信息；
·访问、新建和使用付费点击和点对点(P2P)传输功能；
·忠诚度计划设置和偿还等。

[0074] 在如图2所示的实施例中，安全内存218可作为基于云的安全元件被提供，该安全元件包括任何一个或多个统一的或物理或虚拟分开的安全数据库218A、218C等，并且该安全内存218能提供：·逻辑和物理安全元件功能，例如，类似于用于智能手机和其他移动或固定设备102上的在SIM中被提供的硬件安全元件(SE)和其他固定和/或可移动内存(PC)。这些安全元件可用于存储与可选的特定设备 102的用户10相关的信贷、借记、优惠券、奖励和其他忠诚帐户相关的帐户标识符和其他信息；
·加密和其他逻辑安全功能；
·通过钱包同步和管理服务和引擎220等的用户可访问性；
·用户、帐户和其他的偏好或参数以及用户的选择，例如包括为了方便和/或安全对帐户和交易信息进行用户访问而使用昵称、电话号码和其他标识符；
·与各种账户和金融机构等相关的帐户和其他跨帐户信息、钱包等的同步，该同步包括，例如映射或识别支付令牌或密码被路由的服务器或支付系统或服务器110到例如通过从用户识别的账户直接支付或使用代理技术等将用户识别的支付账户映射到一个交替支付协议上；
·有卡交易(例如，预支付或预授权)的支付或交易令牌(也称为卡仿真流程)。这种令牌，例如，为方便用户10，通过允许用户10访问他的金融机构帐户并减支、分隔或其他识别和选择性地撤销用于后续交易的预授权支付而被创建；
·关于出价、促销等的赎回和拒绝记录

[0075] 在如图1和2所示的实施例中，买方金融数据可以被提供给移动通信设备或其他设备102，例如，通过任何一个或多个数据准备系统如买方无线设备、通过一个或多个网上银行(OLB)系统操作的远程台式电脑和/或由金融机构和/或其他运营服务商操作的任何一个或多个合作伙伴网站，用来发起或完成在商家POS114、网站270等上的交易。在被移动通信设备接收后，这种买方金融信息可以被存储在一个安全环境，如逻辑上贮存在由银行或其他金融机构或服务提供商所操作的基于云的系统中的子安全域(SSD) 中。

[0076] 如上文所述，根据本发明的系统和方法的特别有利的特征是，他们可以通过使用任何合适的通信技术实现，该通讯技术包括例如任何一个或多个网络、公用电话交换网(PSTN)或其他有线和/或无线连接、和被存储的，读卡器、NFC设备、条形码、扫描仪、蓝牙设备等任何合适的方式或需要的组合。

[0077] 这种通信技术可以用来传输或以其他方式共享不同系统组件之间的数据。在一些实施例中，例如，如各附图所示，安全元件(SE)和/或任何其它组件包括、符合空中下载(OTA)或以其他方式使空中下载 (OTA)可行。在这些和其他的实施例中，交易和/或其他金融数据(例如，适用于在交易中接受支付的账户)可以由安全元件(SE)通过任何适当的安全通信链接，包括PSTN和/或无线连接等提供给任何一个或多个供应商或商家销售点(POS)系统。商家POS系统可以传递相同的和/或其他的交易信息，包括例如识别被购买的项目和/或服务的数据、价格信息、数量信息等至一个或多个购买者设备，如智能电话、SIM卡和/或NFC设备。

[0078] 辅助功能，诸如对或为任何合适或需要的组件系统100、112的更新、分析等可以由更新、分析和其他服务器235，236等提供。

[0079] 在各种实施例中，为了完成和/或者以其他方式预付一个购买交易，购买或其他处理请求设备102可以通过使用空中下载(OTA)功能与基于云的安全元件(SE)218、106等通讯，以访问或以其他方式利用买方信息，例如包括与一个或多个用户的支付账户有关的信息。例如，相应的帐户余额可以被检查，被授权的购买、用于支付的资金可以被预授权，以及适当的信贷和/或借记记录可以被实时创建和/或批量处理。这种处理可被单独运行的基于云的安全元件(SE)和/或与一个或多个第三方系统合作处理，第三方系统例如包括维持或以其他方式管理与买方相关的信用和/或借记账户的一个或多个金融机构，该买方与买方设备关联。

[0080] 图3是根据本发明的显示系统10的一个实施例的示意图，包括如图1所示的(子)系统100A、100B 的元件，以及相关流程。如图3所示和所描述的实施例与图1和图2中的一致，并提供了实现选项的进一步细节。

[0081] 在如图3所示的实施例中，一个买方或其他客户端请求设备102的一个用户10可以通过交互，通过网络250、用可信服务提供商或管理平台(TSM)120和收购方和金融机构服务器112、116，直接或通过商家POS系统114获得预付的或预授权的安全有卡交易令牌。

[0082] 除了其他优点，一个如图3所示的系统100的使用使得交易设备102的用户10能够获得有卡交易的令牌而无需用户设备102上的安全元件(SE)；这样一个令牌可以代表请求用户10被选择性地存储在例如由一个发行金融机构操作或代表该机构的基于云的安全元件(SE)116中。正如前文所述，这种令牌的安全可以通过如本文所述的多个加密或带有令牌的安全标识符的关联而加强。这种标识符，例如，可以与用于获取令牌的用户10(无论是个人或实体)、交易支付帐户和专用设备102唯一相关。此外，这种令牌可用于在线交易(例如，移动和/或其他电子商务，或“电子商务”或“移动商务”)。在根据本发明的系统、方法和编程产品所能实现的许多优点中，在一些实施例中，购买者能够被授权在商家/供应商POS 系统上使用如适当编程的NFC设备(如NFC手机)一样简单的设备完成交易。这样，例如可以无需买方获取、保护或以其他方式使用安全元件(SE)，或将它们带在使用者身上。这样例如可以减少数据和/或身份被盗或其他滥用的机会。

[0083] 在可替代的实施例中，正如下文更全面地解释的，“可以使用存储在如智能手机、平板电脑和其他个人数字助理(PDA)的移动设备102、202，上的具有加密和/或其他安全预授权支付令牌的形式的安全元件(SE)106，来进行或以其他方式实现有卡交易”和其他交易。安全元件(SE)可以通过使用在可移动设备如子安全域(SSD)和其他形式的SIM卡和/或任何其他合适的形式中的、嵌入个人数字助理(PDA) 的CPU或其他组件的专用的固件而被提供，并且可能包含发起和完成电子交易的所需要的所有数据，或一个或多个所需的要素，例如包括帐户标识符和/或预授权金额。

[0084] 在由本发明的实施例提供的优点中，鉴于当前的通信业务实务，由于这种安全元件(SE)106和/或令牌在固件或其他嵌入式设备而不是可移动设备中被提供，买方、金融机构和其他账户发行者和/或支付处理器，可以消除与安全元件(SE)发行者有时不必要的或麻烦的关系，带来降低成本和系统复杂性和改善消费者关系的附加收益。例如，通过将安全的金融数据从买方的移动设备的SIM卡上转移到PDA上的内存和/或安全的远程内存设备上，任何或所有买方、账户发行者和支付处理器对移动网络经营商或移动网络运营商(MNO)的依赖可以被消除或减少。通过将这种数据从嵌入移动设备(如智能手机或平板电脑) 的内存的转移，这几方对原始设备制造商(OEB)和/或手机制造商的依赖可以消除或减少。通过将这些数据从SD卡转移，与交换卡、操纵卡套、分配卡、内存容量低和买方混淆相关的风险和不便可以被消除或减少。

[0085] 由具有安全元件(SE)的功能的硬件或固件的实施例提供的进一步的优点是，它们可以起到迷你硬件安全模型(HSM)的作用，通过安全加密、存储、检索、解码和解释令牌而增加令牌管理的安全性；增加有卡交易或模拟程序的安全性；和在代理流程中为敏感数据使用替代数据。

[0086] 由这种安全元件(SE)和/或令牌在可移动设备如SIM、SD或其他存储卡中被提供的实施例所提供的优点中，与一个或多个特定用户相关的个性化的信息，例如包括个人识别或认证码，可以很容易地从一个设备传送到另一个。

[0087] 两种中任一类型的实施例的进一步优点是，安全的金融信息(例如，购买者的虚拟钱包)可以方便地用于在线(例如，电子商务或移动商务)交易。

[0088] 正如对熟悉本发明的人来说显而易见的，很多进一步的优点，由或者可以由本发明实现。

[0089] 图4A‐4D示出了适用于实现根据本发明的安全存储设施和其他组件的系统架构以及相关的流程和信息的进一步实施例的示意图。在每一个实施例中，所示的支付系统包括用户支付、交易、或其他通信设备 102，金融机构或其他裁定系统110和第三方服务提供商如支付或其他应用处理器112、TSM和其他通信服务提供商(例如，telco)120等；和在某些情况下的商家POS或其它交易系统114。

[0090] 每个如图4A‐4D所示的实施例进一步示出了移动银行和/或其他数据处理应用104、内存和安全元件 (SE)106、116以及可选的118。正如图4A‐4D可看出的，应用104和内存以及安全元件(SE)106、116、 118可以贮存在买方设备102中。

[0091] 在如图4A‐4D所示的实施例中，一个请求的客户设备102以如智能手机或其他无线移动通信设备等的个人数字助理(PDA)202的形式显示。裁定服务器110以金融机构(FI)系统的形式显示，该金融机构 (FI)系统包括多个服务器和/或服务器应用(例如，它可以在任何一个或多个独立的服务器上物理实现，和/或是单一的数据处理设备的各种虚拟组合)，包括移动银行网上服务器410；认证服务器412；设置为提供加密服务和其他功能的后端系统414(“后端系统)；和设置为提供硬件服务模块(HSM)功能，加密密钥管理服务(KSM)、TSM功能和账户管理服务的支持服务提供商416。第三方服务提供商系统120， 122“合作伙伴”包括如通信和支付/交易处理服务提供商系统，提供电信、交易处理以及任何其他所请求 /需要的第三方服务功能。

[0092] 除了其他特征，在图4A所示的实施例中：·(104A)表示一般银行业务或其他支付或数据处理应用，该应用可由PDA202或其他客户端系统102执行，可操作以访问钱包应用(104)以及提供其他远程银行功能，使用户通过使用PDA102、202和输入/ 输出设备103访问可执行的一般银行业务和/或其他支付处理应用；
·(104B)表示一个由PDA执行的钱包应用，以能访问与PDA或它的一个用户或一个管理器或其他管理员相关的一个或多个支付或其他金融账户。应用104b可以例如，通过由PDA执行的钱包应用程序的用户界面层或应用程序实现；
·(104c)表示一个代理和/或仿真功能，由此包含将他们绑定到账户以用作资金或信用来源以完成交易的数据的支付令牌可以例如，通过适当的帐户或协议标识符的替代物被映射或以其他方式修改，以使用代理技术支付，从而不论资金来源而适应支付系统一个扩展的范围；
·(432)表示通过金融机构(FI)110从例如一个应用/综合层提供的令牌管理器，以根据需要或要求经过电信和其他TSM20与FI交互，以预上传或以其他方式向PDA提供加密的或其他虚拟支付令牌，并方便这种令牌载入/访问用于支付或其他数据处理交易的安全元件(SE)应用(106、116)。这种管理器432设置为减少或消除交易网络延迟——通过例如，与展示层令牌的管理器(3)一起工作和提供横跨所有用于 POS交易的支付方式或工具的EMV令牌和密码。
·(116)表示一个在SIM卡和/或PDA102、202的其他安全和可选择性移动的内存上实施的安全元件(SE)，其包括适用于安全生成交易和其它数据集的一个或多个小程序和/或其他可执行代码、数据或电路，该交易和其它数据集适用于发起、洽谈和/或完善数据流程，如在商家POS设备114上的金融交易和/或适用于 PDA102、202的用户授权访问由金融机构“主机(Host)”110控制的账户信息。正如本文进一步解释的，安全元件(SE)116可以提供用于存储认证数据的内存，该认证数据表示多个独立的标识符或凭证，该凭证例如包括与设备102关联的每个用户10设备102本身和账户或其他应用信息相关的一个或多个标识符，账户或其他应用信息与应用104的裁定服务器11或第三方服务器120等等相关。标识符和安全流程令牌，如预付交易令牌，都可以被存储。这种令牌和凭证可以表示或以其它方式关联各种各样的账户或其他与应用相关的数据集，例如，包括存储、校验、信贷、借记、奖励、礼品卡，和/或其他支付凭证可以存储在 SIM卡或其他安全内存上的专门创建用于金融机构(FI)的子安全域(SSD)上。
(110)表示一个认证或裁定服务器，认证或裁定服务器设置为认证用户10、PDA“设备”
102以及应用或其他信息，如帐户号码，从而通过设备102授权安全访问由整个网或其他网络250上的110托管的金融机构(FI)服务器。
(430)表示一个移动应用服务器，如一个裁定服务器110的或与之相关的平台集成服务器，与已知的授权设备120相比其适合于身份验证客户端设备102、用户10和其它凭证，从而通过设备102和/或用户10 能够安全访问FI或其他数据处理服务器——可通过整个网或其他网络250上的服务器110获得。
(412)表示一个裁定服务器110的或与之相关的展示层，用于由金融机构(FI)提供的银行或其他应用程序。(418)表示一个网关，如XML网关，设置为起到在裁定服务器110和商家支付处理服务(112、 420)“卡系统(TSYS)”之间的接口的作用。
(122)表示一个由第三方服务提供商如telco或其他通信服务提供商提供的根TSM，设置为由服务提供商 TSM提供的或在服务提供商TSM(416)的要求或授权下提供服务如子安全域(SSD)的创建和脚本或其他指令集的执行。
(416)表示一个裁定服务器110的或与之相关的服务提供商TSM，
该服务提供商TSM设置为例如促使和/或以其他方式使SE小程序116对PDA“设备”可获得，改变与PDA “设备”的用户和/或管理员10相关的UUID/密码和/或其他授权/认证信息；
以及向PDA“设备”提供和/ 或以其他方式使PDA“设备”可获得与SE小程序(116)、银行应用(104A)，和/或钱包应用(104B) 等相关的数据更新和/或更换。服务提供商TSM416可以进一步设置为为提供用于交易的信贷、借记和/或其他账户的记录簿，提供和/或以其他方式管理账户持有人和/或其他个人数据，如信用卡的“凸字”服务或管理，并执行与交易帐户或服务等相关的更新和/或其他变化；以其他方式与TSYS系统(420)交互。
·(418)表示金融机构(FI)应用和/或其他功能，设置为用于金融机构(FI)裁定服务器
100和TSYS服务(420)以及其他第三方服务器112、114之间的通信，并且例如包括telco和其他TSM120、122，例如包括如XML的网关。
·(420)表示信用卡支付和发行流程(TSYS)服务，该服务设置为提供用于交易的信贷、借记和/或其他账户的记录簿，提供和/或以其他方式管理账户持有者和/或其他的个人资料，如信用卡“凸字”服务或管理，并执行与交易帐户或服务相关的更新和/或其他变化等。
由服务器420提供的进一步的功能可以包括例如维护、协调、和/或管理由第三方持有或管理的信用、借记、忠诚度、礼品和其他支付账户的记录簿；移动帐户和令牌创建和维修、创建和/或发送帐户持有者的个人信息如卡片凸字的喜好等；以及方便帐户更新；
·(414)表示金融机构(FI)后端服务，该服务负责例如将协议要求插入个人数据的服务，如Europay、万事达卡、Visa(EMV)的格式化兼容要求等。这种服务，例如，可以有由PTB/CIS应用提供，负责将EMV 或其他支付密钥插入与令牌和/或交易数据集相关的个人数据；
·(434)表示一个消费者支持应用，该应用在所示的实施例中具有由一个第三方服务提供商提供并设置为提供，例如，监视在PDA上执行的命令等；且
(422)表示一个网络服务层414，例如用于方便在展示层与PDA102、202进行通信。
(112，512)表示账户管理、FI、或其他系统，负责处理与特定的地理区域或货币相关的密码、令牌或其他数据集；
(112，612)表示账户管理、FI、或其他系统，负责处理与特定的支付协议或网络如Visa、万事达卡等相关的密码、令牌或其他数据集。

[0093] 由如图D所示的系统100执行的流程的其他功能参照图4B所示，可以包括：在(A)处，源于展示层的用户发起或其他功能，例如包括个人/帐户创建或更改的请求，例如包括由安全元件(SE)小程序(116)、钱包应用(104B)和/或银行应用(104A)使用、存储和/或以其他形式与之关联的任何或所有账户持有人的姓名、地址、密码、通用唯一识别码(UUID)、指纹或其他生物信息和/ 或支付账户信息，通过平台集成服务器(430)向服务提供商(SP TSM)(416)传递以用于执行，从而有助于确保只有已认证的用户能够执行敏感功能，；FI应用服务器410转发个人/帐户创建或更改的请求，包括任何或所有用户、设备、和/或与应用相关的标识符，例如由安全元件(SE)小程序(116)、钱包应用(104B)和/或银行应用(104A)使用、存储和/或以其他形式与之关联的账户持有人的姓名、地址、密码、通用唯一识别码(UUID)和/或支付账户信息，至服务提供商(SP‐TSM)(416)以用于执行。
在(B)处或(B)后，服务提供商(SP TSM)(416)生成一个请求，要求根TSM(120)执行任何需要的动作以实现该请求，例如包括子安全域(SSD)的生成和任何所需的脚本的执行，并导致请求被转发到根 TSM(120)中；
在(C)处根TSM(120)执行任何必要动作，该动作需要实施在(B)处PDA“设备”102、202上产生的请求，例如通过创建或更新一个包括表示所有安全元件(SE)(116)上所需的独立标识符的数据的子安全域(SSD)；
·在(D)处服务提供商(SP TSM)416安装安全元件(SE)小程序(116)，并通过例如使根TSM(120) 执行适当的指令执行要求或期望的个性化功能；
·在(E)处服务提供商(SP TSM)416提供密钥管理和其他可选的期望的加密功能；和·在(F)处，由例如根TSM120执行命令执行状态的设备合格性检查和查询。

[0094] 在如图4A‐4D所示的架构实施例中，一个功能性的用户支付设备级(“展示层”)可以被提供以在 PDA如智能手机或其他无线移动通信设备102、202上安装启用。由例如一个金融机构(FI)服务器系统 110实现的应用/集成层可以使用多台服务器和/或者服务器应用410、412、414、416、418、430等来提供， (例如，这可以在任何一个或多个独立的服务器或在一个单一的数据处理设备上实现)，包括一个移动银行的网络服务器410；一个移动平台集成服务器“调动应用服务器”430，一个令牌管理器432；消费者支持工具434；设置为提供加密服务和其他功能的后端系统414(“后端系统)；和设置为提供硬件服务模块(HSM)功能、加密密钥管理服务(KSM)，TSM功能和账户管理服务(平台)的支持服务提供商416。第三方服务提供商系统120“合作伙伴”或“外部供应商”提供各种支持功能，例如包括通信和支付/交易处理服务、消费者支持等以及任何其他要求/需求的第三方服务功能。

[0095] 如上文所述，并当相关领域技术人员一旦他们熟悉本发明所理解的，且如图4D所示，根据本发明，金融机构(FI)和/或其他支付服务器或系统110除去其他的特征以外，具有虚拟化一种基于SIM卡的安全元件(SE)116的操作的能力，并且可以设置为支持所有被适当地兼容的支付方案，包括自动化清算所(ACH) 及其他。这种支付服务器/系统可以管理在HSM中的一般和加密流程。敏感的应用和应用数据可以存储和保护在防火墙和/或其他安全发行者环境；任何或所有数据可以使用最先进和安全的数据库系统软件被隔离在任何一个或多个所需的数据库内。

[0096] 由这种服务器/系统提供的服务可以包括：·使用HSM服务器416的基于硬件的加密操作，等等
·密钥管理操作
·用于所有卡/支付类型，包括借记卡、礼品、Visa、MC和/或其他的支付凭证QVSDC、MSD、DCVV等等的生成。

[0097] 用于图4A‐4D和其他图的一些术语，包括：OLB 网上银行
OTA 空中下载，例如，无线
TSM 可信服务管理平台
SP‐TSM 服务提供商TSM
TSYS 商家和/或信用卡支付处理系统
CCoE或CCCoE 通用组件卓越中心
JSR Java规范要求
PCI 支付卡产业
RBC 金融机构及/或其他金融服务提供商
Telco 电话和/或其他通信服务提供商

[0098] 图5A和5B示出了用于完成以电子交易的形式的数据流程的示例性流程，根据且符合本发明的各种方面和实施例，该电子交易使用安全元件116和设备102、202、114、112、420等履行支付。本文所描述的示例性流程可以参照现在通用的特定通信技术和标准/协议，本发明的实施例没有必要限制(除非本文另外明确规定)为这种技术和标准/协议。例如，如图5A所示的实施例中利用近场通信(NFC)链接510 以交换分别表示消费者和商家设备102、
114之间的支付信息的数据，而在520处图5B的实施例利用光学扫描设备和条码和/或快速响应(QR)码。正如相关领域技术人员所理解的，目前存在的或被设想在未来的符合本发明的其他通信技术都是合适的。

[0099] 根据如图5A所示的示例性实施例，消费者可以履行安全支付，该安全支付用于以下列非限制性方式进行与商家销售点(POS)终端114的交易。如图5c所示和本文所描述的，一个消费者的移动通信设备 /PDA102、202可以包括一个或多个预初始化的安全元件116(包括与各自的用户10、特定的设备102、202 和一个或多个用户帐户相关的凭证及其他数据，或被编程或存储在其上的类似物)，安全元件116具有表示与一个或多个金融机构(FI)和/或其他授权裁定服务器110相关的一个或多个不同的账户或支付方式(如信用卡、借记卡、优惠券或其他增值服务)的买方金融数据。这种存储在安全元件116中的买方金融信息可由此变得可自动和/或按由消费者10、设备102、裁定服务器110和/或其他系统100的设备或组件的使用要求获得以授权和完成交易。在各种实施例中，通过使用表示预支付或预授权支付令牌的加密或以其它方式安全的数据集，不论任何通信网络250等的状态如何，启用通过移动通信设备与一个远程网络资源如 FI的OLB系统110等的通信，这些信息可获得以用于无线(例如，NFC)和其它POS交易中。

[0100] 在如图5A所示的801处，为了履行用于交易的支付，消费者或其他请求的客户端或用户10可以通过使用被安装在用户的移动设备如智能手机或平板电脑202等上的一个应用程序104、104A、104B、或其他用户界面，被授权以选择和有效地访问一个表示一个被预先存储的卡或其他帐户的安全数据集。在输入合适的帐户信息选择之后，消费者移动设备102、202可以将消费者的选择传输到安全元件116和/或裁定服务器110中，用于查找消费者的安全存储的买方金融数据和其他凭证。在某些情况下，被传输到安全元件116和/或服务器110上的信息可能包含足够的信息以便识别一个被选定的支付方式，而不需要提供完整的细节(例如，购买金额)，其中一些细节可能是敏感的，留下了如果被第三方截获而易受攻击的消费者。通过空中下载，潜在的敏感消费者信息传输可能由此减少，这种做法倾向于为消费者提供针对第三方威胁的更高的安全性。

[0101] 例如，移动设备102、202可产生和/或传输信号，该信号表示与被存储的信用卡或借记卡相关的一个唯一的编号或代码的一部分(例如，最后4位数字，但是最好是足够的信息以便明确地识别在所存储的买方金融数据中的被选定的卡片)。作为另一个例子，消费者能够创建用于区分不同的已存储的帐户或支付方式与其他的备用名称(如“昵称”)或通用的(例如，序列化的)的帐户编号。这种昵称可以指卡片发行者(例如，“Visa”或“万事达卡”)，金融机构(例如，“RBC帐户”)，支付方式的类型(例如，“信用卡”或“活期存款账户”)，以及这些示例性描述符的任意组合。

[0102] 在802处，为了例如进一步提高在安全元件116和消费者的移动设备102之间的数据传输的安全性，安全元件116可生成和使用一个安全会话ID，该安全会话ID使得移动设备102能够建立一个在两设备102、 114之间的安全会话。由安全元件生成的安全会话ID对由消费者完成的交易可以是特定的，并且可以在移动设备102和安全元件116之间交换的每个在数据包内被传输以验证用以确认和/或授权交易、促进账簿和账户管理等的数据包的来源。

[0103] 作为发起和提出消费者移动设备102、202和商家设备11之间的安全会话的一部分，一旦建立对安全元件116的安全访问，在803处，例如通过将消费者移动设备102、202放置在充分接近商家POS系统 114的位置以使商家POS系统114处于安置在消费者的移动设备202内的近场通信发射机的广播范围内，消费者10可将数据传输到商家POS系统114上。对于现有类型的技术和/或标准，一些NFC发射机可能具有只有厘米数量级的广播范围，例如，不到10厘米，或在某些情况下仅仅在1‐5厘米之间。因此，在消费者移动设备202和商家POS设备114之间建立通信链接可能涉及这些设备之间的物理的或接近物理的接触(有时称为设备“连通(tap or tapping)”)。

[0104] 为了履行支付，商家POS设备114，可通过NFC或其他通信链接510向消费者移动设备202传输购买信息或数据。这种被传输的信息可以包括一个最低限度的总欠款。然而，其他类型和/或种类的购买信息也可以被传输，例如分项的购买分类和增值服务例如优惠券或折扣，以及其他的特定交易信息如商店名称或地址、或其他商家标识符或详情、日期和/或时间详情、交易数量、偏好的支付协议或网络(例如， VISA，万事达等)及其他在熟悉本发明后显而易见的信息。

[0105] 在由消费者移动设备202接收后，通过NFC通信链接510交换的一些或所有购买信息可以在804 处被中继到安全元件116和/或相关应用上，用于支付处理。然后，安全元件116可以通过例如使用适当格式的密码，生成和传输任何用于传输所需的安全通信包到POS机114和/或远程FI设备110上以使用选定的货币、忠诚度和/或其他帐户进行支付。在一些实施例中，安全密码可以包含加密的数据或程序代码，该数据或程序代码为商家POS机提供了一个完整的指令集以便与选定的支付方式相关联的发行金融机构清除交易。因此，例如，至少消费者选择的支付方式和支付总额可能被编码成安全密码。正如在下文更详细描述的，对于这种有能力解码的实体，其中被编码的支付指令可以例如，通过金融机构用购买总额借记 (或贷记)消费者的选定卡或账户来被访问和执行。其他交易或识别信息，如消费者、设备、账户和/或其他凭证、一个应用交易计数器或一个唯一的派生密钥也可随意编码而没有限制编码为安全密码。

[0106] 在805处，经过适当配置的交易数据从安全元件116接收后，无论是否位于“云中”(即在与一个远程网络存储资源如裁定服务器110相关的内存)和/或移动设备102、202上，消费者的移动设备102、 202通过例如使用适当配置的移动支付应用104，通过在消费者移动设备102和商家POS设备114之间建立的NFC通信链接510可以将数据经安全密码中继到商家POS设备114上。之后，安全密码可以被从商家POS设备传递到一个收购方或其他交易处理器112上，并随后传递到一个或多个相关的支付处理器420 上，如用于验证或其它裁定的一个或多个FI系统110。例如，接收的金融机构110可配备有用于解码安全密码和提取编码在其中的支付指令的软件或其他应用程序。一旦被解码，银行或金融机构能够在执行支付之前完成许多不同的验证。例如，银行或其他金融机构可以验证消费者10是否如密码中被识别的有一个帐户或已被发行一张信用卡，并且存在足够的资金以涵盖购买金额，并且用于生成交易请求的特定设备 102是一个授权设备。其他验证也是有可能的，如异动笔数、地理检查(例如，作为欺诈对策)也是可能的。

[0107] 在806处，如果帐户/交易信息得到验证，银行或金融机构可以授权和/或以其他方式处理请求的支付，并发送交易已被批准的通知给商家POS设备112、114。这时，商家POS设备114可以通过NFC通信链接510(使用有利于生成视觉、听觉和/或振动警报的典型信号)发送交易已被批准的通知给消费者移动设备102，在这时，消费者的移动设备102可从商家POS设备114的附近撤回以停止NFC通信链接510 和结束信息交换。随后可能发生交易结束处理，如收据的打印和/或存储。

[0108] 可替代地，如果一个金融机构或代表其行事的裁定者110由于一个原因或其他原因无法验证或授权一个被请求的交易(例如，因为消费者没有充足的资金来涵盖支付、发行的信用卡已经过期、没有匹配的信用卡或帐户号码可以被定位)，FI可能拒绝交易。在这种情况下，FI可能会发送适当的通知给商家POS 设备114，这可能中继合适的信息给移动消费者设备102(例如，使用不同的视觉、听觉和/或振动警报，或根本没有警报)。在这种情况下，消费者可以被允许通过选择不同的支付方式使用安全元件116重新尝试支付，或在没有完成购买的情况下终止交易，或任何其他处理方式。

[0109] 图5B作为如图5A所示的实施例的替代方案，示出了履行安全支付的流程的实施例，该实施例利用条形码或QR码代替设备的连通或其他NFC功能，以交换消费者移动设备102、202和商家POS设备114 之间的信息。这两个流程可以共享几个共同的元件或方面，由此描述可以在某些方面被简写以便更清楚。具体差异可以被突出。

[0110] 根据如图5B所示的实施例，在851处，消费者选择一个使用在消费者移动设备102上的应用程序 104或其他用户界面的支付方法。消费者移动设备102将识别所选择的支付方法的数据发送到设备102上的和/或用空中下载的安全元件116上，这反过来导致用于交易的安全会话ID的生成和传输到消费者移动设备102上。这些操作可以基本如本文关于图5A的描述执行。

[0111] 在消费者的移动设备和安全元件之间的安全会话建立后，在853处，安全元件116可选择一个支付协议和生成一个基于所选择的支付协议的安全密码。例如，用于密码生成的合适的支付协议可能包括但不限于SMSD、DMSD和EMV。安全生成的密码可能包括如参照图5A所描述的购买信息。

[0112] 一旦产生，安全元件116可能导致密码发布或传输到消费者的移动设备102，且在853处密码可以使用合适的应用程序被转换成二维图示，如条形码或QR码522，购买或交易信息使用例如PDF417协议被唯一地编码为该二维图示。在854处，条形码或QR码522可呈现在消费者移动设备102的显示器上，并被提供给商家POS设备114用于通过一个连接到商家POS设备的合适的输入设备进行扫描。

[0113] 在855处，一旦消费者移动设备102和商家POS114交换信息，条形码或QR码522(和被编码在其中的交易信息)可以通过用于验证的收单机构(acquier)中继到一个裁定者/金融机构110和/或卡片发行者420。通过银行或金融机构或其他裁定者的交易验证(交易的接受或拒绝)，可以如本文对图5A的描述处理。

[0114] 如本文所述的安全密码的使用(在一些实施例中，也可以称为“令牌化”，解释为如本文所述的令牌可以包括这种用于安全交易或授权的安全密码和其他数据，包括例如用户标识符的散列版本、唯一的设备标识符、URL或其他路由信息，等)可以提供支付和其他数据处理的安全流程的一些优点。例如，安全密码可以在任何消费者移动设备和安全元件之间的链接(例如，无线、广域网(WAN)、LAN、蜂窝技术) 被建立的时候授权交易的处理，由此消费者随后能够在不论一个网络250或其他链接是否可用的情况下，访问安全地存储于其中的买方金融数据。尽管首先描述作为空中下载(OTA)链接，这种实施例也可以利用物理的、固定线路的通信网络，如公用电话网(PTSN)、有线电视、光纤等。如前所述，安全元件116 以这种方式的使用可减少或消除对被包含在移动设备102、202中的安全元件116的依赖，该安全元件116 可能本质上是专有的和/或与telco或其他第三方120、122等相关联。

[0115] 如前所述，即使在某些移动设备102、202和裁定者110之间的连接不能建立或意外终止的情况下，使用如本文所述的安全密码也可以使交易进行。例如，根据各种实施例，在预期的交易之前，一个安全会话可以在FI110或其它服务器和消费者移动设备102、202之间建立，以便获得一定的指定金额的交易的预授权。由此，消费者10可以选择和发送一个支付方式和预授权的购买额至安全元件，该安全元件反过来生成并发送相应的用于该支付方式和预授权的购买额的密码到移动设备。该密码可以被存储在消费者移动设备102、202以便之后用于交易中。

[0116] 带有密码或其他令牌、或适于由请求的消费者设备102使用或有利于生成这样一个令牌的、居于请求的消费者设备上的其他数据集或结构，不论是否有与FI和/或裁定服务器110的会话，交易可以参照图 8A或8B所描述的进行。移动设备102、202不是建立一个到服务器110等的连接，而是可以访问存储在移动设备的安全元件116或内存106内的密码或令牌以获得预授权金额，并建立一个与商家POS设备(例如，图5A)的NFC或其他通信链接510、520等，或生成将由商家POS输入设备(如图5B)扫描的相应的条码或QR码520、522。商家POS设备114接收后，安全令牌可能再次中继到银行或其他金融机构、或其他裁定服务器10，用于验证和其它交易的执行。正如本文所述，假如预授权金额没有超额，银行或金融机构通常会确认安全密码。

[0117] 在这种情况下，为了反映交易的完成，交易信息可以被删除或修改。例如，可用于进一步交易的支付金额可以从存储的可用交易金额中被扣除，并且相应的数据记录可以被修改。

[0118] 正如相关领域技术人员所理解的，存储在消费者设备102上的安全元件(SE)上的预付软令牌和/ 或其他安全交易数据集116可以提供多次，并且可以识别各种预授权的交易信息的任何一种，包括但不限于交易的预授权交易金额、预先批准的商家和/或种类等。

[0119] 图6A和6B示出了根据本发明的各种方面的示例性流程的实施例，这些实施例可能授权使用如本文所述的安全元件的实施例的“人对人”(例如，移动设备对移动设备)(P2P)交换，以履行或方便电子数据交易，包括将预支付的或其他有价值的令牌从一个设备转移到另一个。这种P2P的交互可能基于任何合适的或技术上有利或方便的通信技术，例如但不限于蓝牙、RFID或NFC。

[0120] 在901处，在如图6A所示的示例性P2P交换中，为NFC或其他安全、短距离通信而配备智能手机或其他移动设备102、202的消费者或其他用户10可以进入商家的商店或营业场所附近。

[0121] 在消费者10进入后，在902处，消费者移动设备102、202可以与建立在商家的商店或营业场所中的通信网络250上运行的应用程序或其他后端软件无线链接。例如，消费者移动设备可以是激活的蓝牙和连接到适当设置的蓝牙主设备(商家服务器)上，尽管其他通信技术和协议也适用。当消费者移动设备连接到(或“配对”到)商家网络时，消费者移动设备102能够在商家的经营场所或通过其他方式如邮购订单访问和在一个移动设备显示器上向消费者显示呈现一个菜单或其他列表的数据，例如用于销售的商品或其他库存的目录。除了销售库存的商品，如增值服务(优惠券、折扣)也可以由消费者移动设备102 访问。例如，这种增值服务可作为促销活动的一部分，或响应过去或当前的消费者行为例如考虑如购买的频率和数量的因素而被提供。

[0122] 在903处，当消费者10虚拟地和/或物理地浏览商家的商品时，消费者能够使用菜单选择特性在移动设备102、202上选择购买一个或多个商品。当消费者完成购买商品的选择后，在设备102、202的任一或两者之上运行的应用可以生成表示需要的订单的数据，该数据可以使用任何本文所述的安全支付方式例如，使用NFC链接510(图5A)和/或条码/QR码520、522(图5B)被提交给商家，以与商家系统114、 112等交换表示支付信息的数据。

[0123] 在904处，由消费者设备组合或以其他方式生成的安全支付数据集可以被路由到相应的银行或金融机构110上，用于裁定、验证和/或执行。适用于进行这种验证的流程也参照上文所述图5A和5B的描述。

[0124] 如果消费者的安全支付被相应的银行或金融机构110等(在其通知下)接受，在905处，消费者的订单数据可以被从消费者移动设备102传输到商家服务器112上，用于结束交易。例如，在商家的商店的员工可能根据订单为消费者的商品准备结账，这可能涉及从可见的库存、幕后商店收集货物或可能在稍后的日期安排邮递或提货。

[0125] 在完成安全支付后，在906处，一个收据数据集可以被提供至消费者移动设备102和/或由其产生，消费者和/或消费者设备102可以将该收据数据集，例如以人类可读的媒体栏或QR码520、522、机器可读的数据等的形式提交给商家员工用于商品的结账和提货。收据可以直接在移动设备上生成，但也可以在商家服务器上生成，然后通过短距离网络发送到移动设备上。随着购买订单被填写和收集，消费者可以在之后退出商店。

[0126] 在另一个例子中，移动或其他设备102、202的两个用户10可以使用NFC链接彼此交换安全支付工具或其他安全令牌。例如，正如本文所述的，被安全连接的、包括本地安全元件116或对被远程存储的安全元件116具有通信访问权限的一个消费者的移动设备102、202到可以获得一个安全的密码或其他安全数据集，该安全的密码或其他安全数据集表示由或代表开证银行或其他金融机构电子地发布的一个预授权的支付令牌。或者，提供给消费者移动设备102的安全数据集或令牌可以表示适用于未来的购买或交易的增值服务，如折扣或优惠券。这些可以在本文被统称为“令牌”。

[0127] 一般来说，这些令牌可以完全转让，从而由一人获得的令牌可以转让给另一方并随后由另一方在收到第一人的令牌时使用。为了交换令牌，分别具有激活NFC功能的移动设备的两人可以连通他们各自的设备。正如本文所述的，贮存在这样一个移动设备上的令牌可以由此在NFC链接中被传输到其他移动设备上。另外，令牌如本文所述可以使用条形码或QR码被交换。例如，转让方的移动设备可以将令牌转换成在移动设备显示器上呈现的二维图形，该二维图形之后由输入设备(如照相机或其他扫描设备)读取，并通过应用软件被转换回安全令牌。

[0128] 通常，令牌可以为了任何目的以这种方式进行P2P交换。例如，转让方可以提供支付给受让方以交换由受让人提供的实体商品、服务或其他对价。在这种情况下，可以利用如EMV和其他的支付协议。

[0129] 根据本发明的这个方面，由令牌的使用提供的许多优点有，在销售点处的延迟的减少、在缺乏到远程存储安全元件116和/或裁定服务器110的连接的情况下的支付能力，和在低流动性的情况下等等，将令牌存储在一个移动设备以之后使用的可能性，如供其他用户用来预支付，其好处包括：·在销售点处，延迟以及由此对交易数据的错误访问和滥用的敏感性的减少，
·在没有网络或通信连接的情况下在POS机处支付的能力
·在移动设备上的预支付额的安全、无定期存储
·通过支付和其他数据记录的用户10、裁定者110、商家112，商家及其他人的集合，以模仿和其他分析·支付流程的简化和改进保证

[0130] 图7示出了一个或多个安全元件和设备116的实施方面，例如包括对交易授权和裁定流程有用的凭证或其他标识符在其中的存储，其包括在移动或其他通讯设备102、202、204、402等的安全内存、电路等106内的仿真和代理的流程。在所示实施例中，一个或多个安全元件116被提供在，可以与个人帐户持有人或用户10、由FI或其他实体110、114等持有的账户和/或特定的移动或非移动通信设备102、120相关的SIM卡和/或其他的、可随意拆卸的内存106上。

[0131] 例如，如图7所示，这种安全元件(SE)116可以以加密或编码的、机器可读的数据集的形式提供，该数据可能相对较小，表示指令、内容，该指令、内容包括适合由应用104(包括应用104A和/或B)在安全生成的交易数据集中使用的凭证和/或其他标识符、和/或指针等，其中该安全生成的交易数据集适用于在商家POS设备114、112处发起、洽谈和/或完善金融交易。

[0132] 例如，在如图7所示的实施例1‐3处，一个安全元件小程序105被下载到请求者通信设备102——如PDA或其他移动通信设备202上，并存储在永久地或可拆卸地在装于其中的SIM卡或其他安全内存106 中。小程序105可以针对任何或所有的单个用户10(或与此用户相关的企业)、单个FI110和一个特定的设备102。尽管在图7中安全元件小程序105显示为基于基于SIM的并作为一个根源应用而被加载，相关领域的技术人员会立刻理解，SE小程序105还可以贮存在任何硬件SE116(例如，一个嵌入式内存、一个黏附式内存或贴纸等)上，并且可以提供给这种SE的一部分，该部分被分配给一个单个FI110或以其他方式与之相关联，该FI110，例如，已经“租用”或“拥有”该部分。

[0133] 如在2处所示，这种小程序105，可以被提供给移动设备202或由其存储，例如通过从可信的服务管理平台(TSM)120使用移动支付或其他帐户管理应用104来推进和/或拉动下载流程，该可信服务管理平台(TSM)120为例如与SIM卡所有者相关的银行或其他FI110、或可由此进入的账户，或另一个被授权的实体112、114、122、420等；和可以包括数据安全设备如公共密钥、私人密钥和/或其他加密元件；一个或多个网络资源标识符(“重定向器”)如URL和/或其他网络地址信息；具有用于存储额外数据的所需数目和大小的内存缓存118，例如包括与一个或更多的单个用户10(包括商业和其他企业)相关的凭证和/或其他标识符；金融或其他帐户，或与这种用户10相关的应用程序数据和/或特定的设备102、202等；以及任何或所有由移动设备、与交易相关的商家POS系统和/或一个或多个FI生成的令牌、其他交易和/ 或应用相关的数据。

[0134] 一个基于SIM或其他基于移动的例如根据图7描述的流程所提供的小程序SE105，在商家POS114 中发起和进行购买交易的使用范例在图8中被示出。在所示例子中，移动支付应用(或固定线路等效电路) 104(“RBC移动应用”)由移动设备102、202的被授权用户10调用，并且在交易流程步骤1中查询基于SIM的SE小程序105以寻找与由移动设备的用户10拥有或以其他方式可访问的一个或多个帐户相关的网络资源标识符(“重定向符”)。

[0135] 例如，通过使用移动通信设备102、202的一个或多个适当配置的输入设备103，设备102、202的用户10可以调用一个通用银行应用程序104，如一个虚拟钱包，通过与由应用程序104生成的一个或多个适当配置的图形用户界面(GUI)516的相互作用，例如，在多个金融机构或由期望的金融机构持有的特定帐户中选择用户10希望抽取以完成交易的那一个。例如，一个用户10在多个银行和/或其他信用卡公司拥有或与与与其相关联的银行或信用卡账户、并且已知用户希望使用哪个特定帐户以完成交易，可以使用如图5c所示的设备
102、202的触摸屏或其它输入设备103选择相应的银行或信用卡公司。用户可以例如，通过调用应用程序104实现这种指定，并且主动或响应由应用生成的提示，输入表示预定的和用户随意选择的标识符，例如电话号码、电子邮件地址、昵称、个人识别码(PIN)等等的数据，从而将迅速和方便地在多个金融机构和/或特定的支付账户中指定用户10希望在交易中使用的那个。银行应用程序 104可以使用这种用户指定以生成对小程序105的查询，请求一个与所需的FI和/或帐户相关的资源定位器。

[0136] 正如前文所述，设备102、202不需要是移动设备，而可以是适用于由用户10输入购买和其他数据的交易请求的任何设备，例如包括一个联网的台式机或笔记本电脑等。正如相关领域技术人员所迅速理解的，本文所述的数据流程可以便利地适用于使用这种设备而实现。

[0137] 通过使用这种预定的标识符，使得设备102、202等的用户10确定所需的账户和/或FI，其优点包括，用户10能够维持与他们的帐户相关的机密信息而不需要用通过公共通信网络250公开它；能够避免必须重复录入相对长和/或其他复杂的数据字符串(例如，银行、信用和/或其他FI或帐户标识符)；方便用户10记忆；简化消费者/用户10的体验；改善数据安全性和降低带宽通信。

[0138] 在如图8所示的步骤2中，在步骤1中请求的网络资源定位器经由小程序105访问或通过其他方式被提供；并且在3处，由移动支付应用使用以向一个与资源标识符相关联的FI发起交易请求。

[0139] 例如，在2处，小程序105，可以在SE116中解析在1中生成的请求，访问存储在重定向内存131 中的合适的资源定位器作为如图6所述的流程在一部分，并向应用104提供被请求的网络资源定位符。正如相关领域技术人员所理解的，在一些实施例中，容易使用的标识符如电话号码、电子邮件地址、昵称、个人识别码(PIN)等由用户输入这种标识符与在2中被提供的资源定位器的联系可以全部或部分由通用应用104和特定小程序105的任一或两者建立。同样地，表示交易或会话请求的数据在3中的生成可以全部或部分由应用104和小程序105的任一或两者生成。

[0140] 正如相关领域技术人员一旦他们熟悉本发明所理解的，由本发明的这些方面所提供的独特优点在于一个SE小程序105可以以各种形式被实现，例如包括硬件、应用、小程序、和/或存储在安全或非安全内存上的适当加密的数据集。

[0141] 应当指出的是，如图7所示的内存目标或部分131可以不同于一个重定向器使用。例如，正如本文所述的，它可以包括导致其仿真任何一个或多个特定形式或类型的支付工具的数据或固件。

[0142] 在3处，如上文所述，由应用和/或小程序生成的表示交易或会话请求的数据由用户10的设备102、 202转发到与1处的用户10所作的指定相关联的FI110处。例如，通过使用用户设备102、202等的一个或多个无线或其他通信系统，一个合理配置的数据集通过公共或其他通信网络250如互联网可以转发到与 FI服务器110相关联的统一资源定位器(URL)上。在组件104、105、110和112、114之间方便通信的合适的协议、组件和其他手段以相关领域的技术人员来说，当他们熟悉本发明后很容易理解。

[0143] 响应于由设备102、202转发的交易发起请求，在4中，FI/裁定服务器110返回给移动设备的102、 202和应用104一个加密的验证码，该验证码可以包括任何数据字符串，该数据字符串适用于确定针对请求用户10和/或设备102、202的密钥或其他加密工具的设备102、202的存在或可用性。例如，在4中FI/ 裁定服务器110可以生成和加密一个表示一个加密的日期/时间戳记的验证码，并经由应用104将其转发给请求设备102、202，该应用可以在
5中将验证码转发给小程序105，以根据如结合图7所述的步骤，例如通过使用加密元件——如由裁定服务器110或代表该裁定服务器110被提供并被存储在安全元件小程序 105内的内存元件133、135中的一个公共密钥/私人密钥组合被解释。在解码验证码后，在6处，小程序 105可以将被解密的代码返回给应用104；并且在7处，应用104可以将被恰当解释的验证码返回给裁定 FI110，以证明该设备102、202和/或用户10关于购买和/或其他数据处理交易的授权和处理请求，被授权访问裁定服务器110。

[0144] 为了清楚起见，发明人再次注意到，小程序105和/或应用程序104可以以各种形式被实现，例如包括硬件、应用、小程序和/或被存储在安全或非安全的内存中的适当加密的数据集。

[0145] 当确定在7处被返回的验证码的恰当的解密和返回后，裁定服务器110可以返回给请求的设备102/ 应用104一个确认，该确认可以被转发给小程序105。

[0146] 在确认与裁定服务器110的安全的通信链接/会话已经被建立和/或以其他方式被启用后，当用户10 准备通过键盘或其他输入设备103完成交易(例如获取和存储表示预付或预付购买令牌的一个安全数据集，或在商家POS114处发起一个实时购买请求)，以生成一个凭证请求并将该凭证请求路由到小程序105上时，应用104在9处可以被使用。

[0147] 响应于在9处被路由的凭证请求，小程序105可以根据如结合图7中所述的流程访问存储在SE116/ 小程序105的内存137中的一个或多个凭证或其他授权码。在步骤9中在内存137中访问和在步骤10返回的凭证可以表示与一个提议的交易相关的任何所期望的或以其他合适的因素，并可以包括多个独立生成的和相关的标识符。例如，存储在SE116和/或小程序105的内存元件137中的凭证可以包括数据，该数据表示以下的任何一个或多个：·一个或多个标识符，这些标识符与一个或多个交易支付帐户的一个或多个授权的持有者或用户唯一关联，该帐户如银行和/或由一个FI110持有或管理的信贷账户。正如相关领域技术人员一旦熟悉本发明所理解的，这些标识符可以包括与这种用户相关的任何数据或信息，例如包括用户姓名；生日；驾驶证、社会保险/ 社会保障和/或其他政府分配的标识符；由商家、协会、和/或其他企业分配的识别名和/或编号；网络和/ 或物理地址；电话号码，用户指定的名称、昵称、个人识别码(PIN)、指纹或其他生物识别数据，等等的任何一个或多个。
·一个或多个标识符，这些标识符与用于生成凭证请求的移动或其他通信设备102、
202唯一相关。正如相关领域技术人员一旦熟悉本发明所理解的，这些标识符可以包括与这种账户相关的数据或信息，例如包括对唯一的设备的制造商和/或监管者分配的序号、由用户指定的昵称、管理员或者其他；被裁定服务器110、 TSM120的预先提供的(例如，在原始开通或偶尔更新时)且被存储在例如内存133、135等等中的公共和 /或私人密钥；
·一个或多个标识符，这些标识符与SE116和/或小程序105——例如包括SIM或其他可移动内存106唯一相关。正如相关领域技术人员一旦熟悉本发明所理解的，这些标识符可以包括与这种内存或SE相关的任何数据或信息，例如包括一个或多个与数据和/或指令集相关的小程序标识符(AID)，这些数据和/或指令集与设置为用于与特定支付服务提供商如Visa，MasterCard，Europay等的交易的支付协议相关；由SE制造商、其他原始设备制造商(OEM)、telco或其他通信服务提供商和/或TSM120提供的序列号或其他标识符；被裁定服务器110、TSM120的任何预先提供的(例如，在原始开通或偶尔更新时)且被存储在例如内存
133、135等等中的公共/私人密钥；和
·一个或多个标识符，这些标识符与至少一个用于完成一个交易的交易支付账户唯一相关。正如相关领域技术人员一旦熟悉本发明所理解的，这些标识符可以包括与这种账户相关的任何数据或信息，例如包括账号、与用户和/或FI相关的昵称等。

[0148] 当访问在9处的被请求或指定的凭证时，在10处小程序105和/或设备102/应用104能够使凭证从任何或所有的内存106、105、133、135、137等中取回，被使用公共/私人密钥等等加密，被在内存133、135等等中访问；以及与一个或多个与相同的和/或其他裁定服务器110相关的网络资源地址相关联，该裁定服务器110使用例如从一个内存121、应用程序104、小程序105，和/或其他合适的资源中取出的网络地址信息。

[0149] 在11处，移动应用104的程序可以使加密的凭证信息以及任何其他需要或合意的信息被路由到一个或多个FI和/或其他裁定服务器110，用于一个被如此取回的网络地址和一个或多个设备102、202等等的无线或其他通信系统。

[0150] 例如，在本发明的实施例中，例如适用于处理下载预支付或其他预授权的购买令牌或支付或其他金融交易的请求的例子中，在11处被路由的数据可以包括进一步的信息，如被请求的预授权和/或实时购买请求金额。例如，一个寻求预支付令牌或另一个完成购买交易的用户10，可以通过使用输入设备103，与应用104交互以生成表示一个令牌和/或购买金额的数据，并使表示这种金额的数据与在9，10中被访问的凭证信息相关，且被用于生成安全凭证授权和/或交易数据集，并且使这种凭证和/或交易授权的数据集从购买设备102被路由到裁定设备110上。

[0151] 在11中被路由的数据，如同在3和7处发送的数据，还可以包括网络资源定位器，如电话号码、 URL和/或其他网络地址等，通过裁定服务器110可用于将信息经由网络250路由返回给请求的设备102、 202等等。

[0152] 在12处，与金融帐户持有者服务器相关的服务器110的一个或多个处理器可以接收由这种网络购买通信设备102生成的交易请求数据集，并且可以通过以下方式裁定隐含的授权：·解密和解释请求数据集至相应的标识符，该标识符与由金融帐户持有者或用户管理的至少一个交易支付帐户相关联；至少一个标识符与交易支付账户的被授权用户10关联；
至少一个标识符与购买通信设备102 相关联；表示预付令牌或其他交易金额的数据；和表示一个交易授权路由地址的数据；
·访问交易授权数据集，该数据集与由接收到的交易支付帐户标识符表示的交易支付帐户相关如由FI和/ 或其他裁定服务器110持有和/或以其他方式管理的帐户或其他支付信息的安全数据库，例如包括内存218 (B)(图2)；和
·确定：
。收到的与交易支付账户的被授权用户相关的标识符对应于与交易授权数据集相关的至少一个被授权用户，例如，通过比较收到的标识符与之前存储在数据库218(B)中的相应的标识符；
。收到的与买方通信设备相关的标识符对应于与交易授权数据集相关的至少一个买方通信设备，例如，通过比较收到的标识符与之前存储在数据库218(B)中的相应的标识符；
·确定与所识别的交易支付账户相关的资金额足够支付交易金额，例如通过比较与一个预授权的支付令牌的购买请求相关的或用于实时在线或POS购买请求的金额与可在储蓄、活期、信贷或其他支付账户中获得的资金数量；以及
·以所述确定为条件，生成一个交易授权数据集；以及
·将交易授权数据集路由到交易授权路由地址，例如通过将交易授权数据集返回到请求用户设备102。这种交易授权数据集可以包含任何一个或多个数据项目，该数据项目适合起到完成交易授权的作用。如本文所述，在由用户10购买预授权的支付令牌的情况下，这种授权可以包括加密令牌数据集的递送。在实时购买交易的情况下，在POS112处或在线，这种授权可以包括由商家112、114接受的作为资金可用和交易已授权的指示的加密或纯文本的代码。

[0153] 在13中，在12处被路由的授权数据集可以被请求的设备102和应用程序104接收，并被路由到存储在一个SE116上的小程序105，例如如图8所示的安全内存137。

[0154] 在商家POS112或电子商务网站的购买交易的洽谈的例子如图8中的标记14‐17所述。

[0155] 在14中，通过如上文所述的访问移动支付应用程序104，设备102、202等的用户10建立一个与商家POS设备112、经由网络250访问的电子商务网站等的购买交易会话。例如，如上文所述，设备102、 202的用户10可以进入商家的经营地址，并使用设备102、202的应用程序104和蓝牙或其它NFC通信系统开始与商家POS设备的购买洽谈会话。用于建立这种会话的适当的手段，对于本发明的相关领域的技术人员很好理解。这种方法中的一些已知，并且毫无疑问其他的将在今后得到发展。

[0156] 在一个典型的购买洽谈会话中，用户10将提出一个或多个用于购买的项目，且商家POS设备114 将通过扫描仪、手动小键盘输入等被使用以生成具有价格和其他所需信息的要购买的商品清单。当所有需要的商品已被添加到这种生成的列表中后，用户设备102和商家设备112(包括移动商务网络接口)可用于生成交易完成请求，通常包括包括合适的税收等的购买总额。

[0157] 这种完成请求可以提交给用户10的移动银行应用104，并且如果/当用户10满意于交易条款，用户可以授权支付。

[0158] 在15处，根据用户的指示，例如通过使用键盘、触摸屏或其他输入设备103而产生一个愿意开始的确认信号，用户的应用程序104可以使用户设备102或者使用上文所述的流程1‐13洽谈交易授权，和/ 或访问一个在SE116/小程序105中如在内存137中的先前洽谈好的购买授权(例如，一个安全的预授权的支付令牌)个，以执行(或仿真)例如有卡交易，并使用设备102的NFC或其他通信系统将相应的交易授权数据集转发到商家POS或电子商务设备114上。在这两者任一情况下，支付协议或用户和/或商家的其他的支付类型的偏好可以通过如本文所述的代理流程的应用被尊重。

[0159] 在16中，商家设备112可以执行任何所需的进一步授权/认证流程(包括可选的、对相同的或其他裁定服务器110的、例如经由网络250的独立检查)，并且可以通过一个收据或其他确认或承认数据集生成和传递至请求设备102来确认购买交易的关闭。

[0160] 表示交易的支付的一个安全数据集可以例如在预授权的支付令牌的使用的情况下，由请求设备102 直接提供，和/或在实时购买交易的情况下由一个或多个服务器110、240、280等间接提供。

[0161] 在使用预授权的支付令牌的情况下，在17中用户的移动支付应用可导致存储在SE116/小程序105 上的预支付的令牌被削减一个适当的购买额，并与更新的预授权的支付金额信息一起存储，以便根据所需在将来使用。这些令牌可以例如被称为重复使用令牌。

[0162] 正如相关领域技术人员所理解的，如图8所示的流程1‐17和如图7所示的1‐3，除了或代替新令牌购买，可用于根据所需补充预授权令牌。

[0163] 在各种实施例中，包括例如加密的预支付和/或其它预授权令牌的使用的本发明的各个方面，可以特别有利地适用于移动和其他电子商务交易。正如相关领域技术人员所知，移动和其他电子商务交易增加了正确确认购买者身份的难度，由此，除了其他问题，增加了欺诈的可能性。因而，例如在某些情况下，由于银行和其他FI寻求规避风险并依靠信贷和其他类型的支付交易，用户可获得更少的支付工具。或者，为了减少欺诈的可能性，在网上交易流程中的额外步骤的实施，会惹恼消费者并导致在完成前放弃合法交易的发生率的增加。

[0164] 在这种和其他情况下，使用安全加密的且先前授权的凭证，其中可能包括预授权支付金额，无论这种令牌是否存储在SIM卡或其他SE或安全内存106、116、118等等上，可以使一个台式机、笔记本电脑、平板电脑、掌上电脑或其他102、202、204、206等的用户既安全又方便地与在线商家交互，例如经由一个或更多不需要位于商店或其他常规地理位置的POS的网络实现。。

[0165] 图9和图10是根据本发明的这些方面，示出了适用于发起和进行购买和/或其他电子商务交易(包括移动电子商务交易)的数据通信交换的示意图。在该例中，用户10可以拥有或控制一个或多个安全加密的授权和/或支付令牌已被存储于其上的交易请求设备102、202等，如本文所述，其通过与一个或多个 FI先前的交互，在该一个或多个FI上用户10拥有或控制一个或多个支付账户来实现。通过使用例如PKI 和/或其他加密技术来加密，这些令牌可以存储在安全的或相对不安全的内存如设备硬盘驱动器上的内存上，其中硬盘驱动器可以简单地通过控制和打开设备102、202等被访问。

[0166] 在如图9所示的实施例中，一个移动商务交易，例如由一个平板电脑或其他移动设备102、202的用户10发起，通过使用例如URL和/或其他网络地址和/或协议，导航至如一个网络服务器或网站的商业系统112、114。通过访问例如由商家提供的菜单和其他交互式图形用户界面(GUI)，用户10可以指定用户希望购买的一个或多个的商品或服务，如酒店房间、书、CD、衣着类商品等等，并且生成或导致其生成相应的交易请求数据集。

[0167] 生成一个交易请求数据集后，其中该交易请求数据集包括与所有所需购买项目/服务相关的标识符和可选地相应的购买、税收、递送和/或其他支付数额后，在图9中的(1)中的用户10可以，例如通过选择相应的如“立即支付”链接的图形用户界面(GUI)设备和调用商家支付应用程序，发起一个支付流程。作为一种选择，商家支付应用可以包括一个选择如“用我的银行结帐”，由用户10对其的选择可以在移动设备102、202上调用一个应用104、105，该应用104、105可以完全贮存在移动设备102、202上或部分贮存在一个或多个FI或第三方服务器110、112、120等等上。

[0168] 由用户10的应用程序104、105的调用可以导致移动设备102、202的显示器或其他输出设备103 显示用户验证界面如一个适用于接受来自一个个人化的标识符如电话号码、电子邮件地址、PIN码等的用户输入的图形用户界面(GUI)，这允许设备102、202访问存储在安全的或其他内存106、116、118等等中的一个加密的支付/授权数据集。如本文所述，这种令牌可以包含代表多个标识符的数据，例如包括与用户10、设备102、202唯一相关的标识符，以生成一个交易请求和代表用户10的由FI110控制的一个或多个支付工具或帐户。正如本文所公开的，可选地，这种令牌可以包括表示先前被扣押或以其他方式与用户10提出的支付帐户分离的金额的数据，以确保在用户10选择的时间支付，从而表示一个预支付或其他有卡交易的令牌。

[0169] 当用户10调用在(1)中的所需的、FI明确的(例如“用我的银行结账”)的支付选项后，用户的设备102、202等可以通过将一个包括适当配置的请求数据集的认证请求路由到FI应用或服务器110上呼叫相应的安全FI应用110。FI服务器或应用110可以响应适当配置的信号，使用户应用程序104、105例如通过使用合适的加密和/或其他安全信道设备建立一个与FI服务器或应用110安全通信会话。例如，如本文所述，用户交易应用104、105，除去其他数据，一个包括多个加密的标识符的加密认证授权令牌路由到FI服务器或应用110上，并且在成功地解释这种凭证后，FI服务器110和用户应用104、105可以继续建立一个适度安全的交易通信会话。

[0170] 在本发明的这种指向到移动和其他电子商务交易的实施例中，一个安全交易通信数据会话的产品可以由FI110和/或商家或第三方服务器120等等授权而对任何订购的货物或服务的物理和/或虚拟传送所需的信息，和/或其确认等进行访问。

[0171] 在(1)处与各自的FI110建立适度安全的通信会话后，例如进一步确认需求的订单的内容和条款，在图9中的(2)中，用户10可以在应用104、105的适当配置的支付GUI上选择一个命令图标或商品，以确认订单的配置。例如，可以对一个适当配置的订单完成指令提供一个超文本链接，使用文本标识符如“下单”、“完成交易”等。可选地，用户10可以通过使用适当调整的GUI被提供，以在选择订单完成项目或以其他方式导致交易完成命令的执行之前确认订单的内容和条款。如本文所述，当这种“完成交易”的命令在(2)中调用后，用户的应用104、105可以在用户设备的102、202等等的安全或其他内存106、 116、118中访问包括至少三个独立的标识符的安全授权和/或支付令牌，并将其路由到FI服务器或应用110 上。

[0172] 正确解释在(2)处，在授权的被请求的交易中由用户设备102、202路由的交易授权数据集后，在 (3)处FI服务器或应用110可以生成被批准的交易的数据集，该数据集具有例如包括表示被授权的支付账户和金额的数据的合适的标识符，并且将他们以任何需要的形式转发给任何一个或多个所需的商家、支付处理器、协议或格式转换器、发行者和/或其他第三方服务器或应用程序112、184、110、120以用于完成资金或其他支付转移等。

[0173] 在接收从交易处理器112、184、110、120等的任何适当的或其他需要的确认后，在(4)处，FI 服务器或应用程序110上可以生成任何确认成功支付所需的通知并将其路由到请求的用户设备102、202 等等上。正如相关领域技术人员一旦熟悉本发明所理解的，在(4)中这种通知以例如通过从被指定的支付帐户扣除资金的任何交易费用的结算为条件。

[0174] 在图10所示的实施例中，一个电子商务交易，例如由一个平板电脑或其他移动设备102、202的用户10发起，例如通过使用URL和/或其他网络地址和/或协议导航至一个诸如一个网络服务器或网站的商业系统112、114。通过例如访问由商家112提供的一个或多个适当配置的交互菜单和其他交互式的图形用户界面(GUI)1002，用户10可以指定用户希望购买的一个或多个的商品或服务，如酒店房间、书、CD、衣着类商品等等，并且生成或导致其生成相应的交易请求数据集。

[0175] 在生成一个包括与所有所需购买商品/服务相关的标识符和可选的相应的购买、税收、递送和/或其他支付数额的交易请求数据集后，在图10中的(1a)处的用户10可以，例如通过选择相应的如“结账”项目的图形用户界面(GUI)图形，发起一个支付流程，其中“结账”项目使得商家支付应用生成包括被用户10指定购买的商品和/或服务的确认列表的图形用户界面(GUI)。

[0176] 在审查列表并确认它是正确的后，在(1b)中用户10可以选择一个进一步的GUI项目“确认订单”、“现在支付”等，从而导致在(1c)中的商家应用发起一个支付流程，例如通过生成一个包含列表或其他一个或更多的支付选项的展示的GUI，并导致这种列表由一个用户的交易设备102、202等的显示器103 等被展示。

[0177] 在(1b)中被生成的支付选项列表可以包括一个选项如“用我的银行支付”1004，由用户10对其的选择可以在移动设备102、202上调用应用程序104、105，该应用104、105可以完全贮存在移动设备 102、202上或部分贮存在一个或多个FI或第三方服务器110、112、120等等上。

[0178] 由用户10在(1c)中选择“用我的银行支付”的选项或项目1004可以导致用户的设备102、202 和/或应用程序104、105在(2a)中被重定向到一个安全FI服务器和/或应用110，并请求一个授权会话或交易。在各种实施例中，这种授权会话或交易的发起可以由设备102、202和/或一个或多个标识符的应用104、105的用户10的登录作为条件，该标识符可以选择性地针对应用104、105和/或授权请求访问。例如，在1004处所示和本文其他所公开的，这种请求的生成可以以由用户10指定的或以其他方式被用户 10知道的任何一个或多个标识符，如电话号码、昵称、密码等的登录为条件。

[0179] 由用户10在(2b)中成功调用“用我的银行支付”的选项或项目1004可以导致可能被存储在设备102、202的任何安全或其他内存106、116、118等中的安全识别令牌被路由到FI服务器或应用110上。这种令牌的成功解释，可由FI服务器或应用110作为由FI服务器或应用110对交易授权请求的任何授权的条件被应用，其中这种令牌可以如本文所述被加密并可以如本文所述包括任何三、四或更多独特的用户、设备和帐户标识符。

[0180] 以这种授权为条件，在(2c)中FI服务器或应用110可以直接返回给电子商务的商家112、114、 1002和/或第三方支付处理器120、420一个支付令牌，该支付令牌例如包括加密的标识符，该加密的标识符表示与正采购的用户10唯一识别的电子顾客(eshopper)标识符；与提供授权的FI应用或服务器110 相关的FI专用的安全云标识符；由商家12和/或用户应用104、105生成的具体交易标识符，一个交易金额(例如，被购买的货物/服务的费用加上任何合适的税、运费等的总和)；以及与由购买用户10指定的支付方式(例如，帐户)相关的一个或多个标识符。

[0181] 如果被路由到第三方支付处理器120、420，这种令牌可能在授权的交易完成之前由设备102、202 的用户10持有。

[0182] 在(3a)中，要么独立于(2c)的流程要么以此为条件，用户10的设备102、202可被导致显示适用于用户10的一个或多个GUI以便先确认订单内容和条款，再通过一个订单完成项目的选择或一个交易完成指令的其他执行表示这种确认。这种指令的选择可以导致用户的设备102、202和/或应用程序104、105生成适当配置的确认数据集，并将该确认数据集路由到相应的商家112和/或支付处理器120、420等。

[0183] 以收到由用户在(3a)中生成的确认信号为条件，在(3b)中商家112或第三方支付处理器120、 420可以将授权支付令牌数据集路由到持有或控制相应的支付帐户的FI110上。

[0184] 在(3c)中，以在(3b)中被路由的支付令牌的成功解码为条件，并以任何进一步确认任何独特的用户、设备和/或包括于其中的帐户标识符对应于一个被授权的支付账户为条件，FI服务器或应用110可以生成一个例如包括适当加密的支付细节的相应的交易令牌数据集，并将这种交易令牌数据集路由到任何所需的第三方支付处理器120、420等上，该处理器例如包括规定或约定作为支付处理网络或方案的一部分的任何处理器184，支付处理网络或方案例如由EMV网络等出发的那些网络或方案。在(3d)中，这种方案或处理网络184能以例如“vChip”授权的形式将任何进一步需要的授权数据集转发到一个TSYS网络或处理器等。

[0185] 以在(3c)和/或(3d)处任何需要的授权为条件，在(3e)中可以生成任何所需的交易“批准”或“拒绝”信号，并将生成的支付处理器120、420、112等路由回到“方案”处理器184、第三方支付处理器120、420和/或商家112和用户设备102、202等。

[0186] 在图10中的(5)和(6)中，最终的批准可以经由他或她的设备102、202等被传递给用户10，并且任何购买的货物或服务可能被酌情物理地或虚拟地路由给用户。

[0187] 由电子商务系统和流程所提供的优点如图9和10所示，用户10通过对一个适当匹配的交互命令设备进行单一的验证性点击就能够完成这种流程的购买部分一个如“用我的银行账户立即支付”的链接，并使这样购买的商品或服务传递到与购买账户关联的货运地址并约束适用的FI110的保管；购买凭证，例如包括任何所需的名称、账号、结算和/或送货地址可以由一个单一的FI110保留，而不是多个商家系统112 或第三方系统120、420等保留；存储用户忠诚的凭证，例如旅游概况，护照信息，飞行常客号码，和座位，食物，或者其他的偏好可以通过指定购买账户FI110同样存储。

[0188] “虚拟安全元件”应用的许多有利的应用，如图9和图10所描述的，包括，在用户设备102、202 和持有所需的支付帐户的FI110之间的有效的通信链接，如无线电话网络不可用时，它们在“有卡交易” (或“仿真”)交易中的使用可以被完成。

[0189] 例如参照图10，如果用户10希望完成一个与商家112、1002的交易的时候，没有在用户设备202 和FI系统或应用110之间的通信连接不可用，那么一个例如如本文所述的那些中的任何一个的、以加密形式被存储在安全或其他内存106、116、118中的预授权的支付令牌或其他令牌化的授权请求可以被从用户设备102、202路由到商家系统112和合适的第三方支付处理器120、420中，以用于通过使用有线或其他独立交易通信网络250处理。例如，使用这种独立的网络、这种令牌或其他授权请求，可以被任何系统 112、120、420等路由到用于支付授权的任何系统110等，无需在请求设备102、202等和被指定的支付系统FI110之间的直接通信。

[0190] 根据本发明的系统、设备和流程提供的另一个独特优点是，它们可以实现或提高从几乎任何位置进行的，使用任何类型的在任何类型的购买者、商家、FI和/或第三方设备102、202、112、114、110、120、 420等之间的网络通信的交易如购买的安全。

[0191] 作为一个例子，本发明可以实现密码的创造，该密码的创造适用于诸如当部分通信网络或信道(例如，无线电话连接)不可用时，购买交易流程的安全完成。例如，如果如图5所示的设备102、202的用户10希望在商家POS114处进行购买交易，使用通过FI110由用户10的代表持有或与基于云的SE116相关的贷记或借记账户，如图5A所示，，那么在当NFC通信在用户设备102、202之间可用但通信在设备 102、202和FI110、116之间不可用的期间，该发明可以使这种交易在一个对交易的安全性和正当性具有高度的信心的“有卡交易”的基础上被进行。

[0192] 预计到这种情况的可能性，当“不可预测的”数据通常在交易不可用的时间和/或位置被提供或不能由FI110、116与商家系统112、114和用户设备102、202两者的通信核实时，例如，FI110、116可以导致数据的生成和安全存储被用于“有卡”交易。这种预授权标准可能提前于被提议的交易而生成，并被提供给用户10的移动设备102(如智能手机或平板电脑)或静态设备202(例如，台式机或笔记本电脑)，和/或被保持在一个与FI相关的服务器110的安全元件116或其他内存中。这种预授权数据和使用这种数据被生成的密码，可能具有任何所需格式或协议，并可以包含任何合适的或以其他方式所需的认证和/或交易数据，例如包括真实的或“模拟的”伪不可预知的交易数据。

[0193] 例如，在适用于使用根据EMV协议生成的密码和/或支付令牌完成购买交易的系统100中，一个或多个伪不可预知的标识符可能提前于被提议的交易被FI110、116和/或用户设备102、202生成，并存放在与FI110、116相关的安全或其他内存，且使用SE116、公共/私有密钥、加密等被推送到用户设备102、202 上用于安全存储，这种伪不可预知的标识符可以具有任何合适的形式，优选地包括任何不易被潜在的欺诈性购买者复制或推导的数据。

[0194] 在需要交易时，一个用户的设备102、202和/或支付应用104、105可以生成一个格式合适的交易密码，例如，通过从商家POS112、114接收交易信息如购买金额和商家标识符，并添加多个安全标识符，例如如本文所述，与特定用户10、用户的特定设备102、202和与用户10相关的支付账户相关的标识符；与被提议的交易相关的一个预授权或其他购买金额的数据，和打算替代通常与EMV密码相关的“不可预知的”数据的数据。例如，在兼容EMV标准的密码通常包括供应商的地理位置、供应商POS设备序列号，预授权的位置，这种替代的“不可预测的”数据可以包括用户10的电话号码、PIN码、昵称或任何其他只有FI110和/或用户10已知的数据，包括生物特征数据。该设备102、202和/或应用104、105可以生成一个兼容协议的密码，并将密码路由到FI110和/或任何第三方裁定者如TSYS公司120、420等。例如，如果在FI110和设备102、202之间一个直接的通信链接在当前不可用，那么这种密码可以通过将它从设备102、 202传递到商家POS112、114而被路由到FI110上，这就可以将它通过一个安全传递途径转发到FI110和/ 或所需的任何第三方裁定者120、420上。

[0195] 在通过任何可用的通信信道收到包括伪不可预知的数据的密码后，FI110和/或其他裁定者可以在之后解码，将被解码的标识符和购买数据与先前存储在与FI110或其他裁定者相关的内存中的预授权的购买限额等等比较，以及确定是否批准交易。

[0196] 通过使用这种可以被认为类似于校验和的流程的“三角校正(triangulation)”类型的技术，例如，通常在兼容EMV或其他协议的密码中被提供的“不可预知的数据”可以被只有FI110和/或用户10知道的信息代替，而购买或其他安全交易在具有高度安全和信任的情况下可被完成。

[0197] 正如相关领域技术人员所理解的，这些技术可以通过使用任何所需的移动或静态设备102、202等和任何类型的有线或无线网络250，用来完成在POS和移动商务或其他电子商务交易中的安全交易。

[0198] 减少诈骗机会的一个进一步手段可以是将如上文所述备好的密码与它的创建时间相关，例如通过将一个合适的数据记录添加或以其他方式与密码相关，并作为批准交易的条件，要求这个密码相比这种先前存储的数据被成功解码，并在一个给定的时限内被批准，该时限通常可能是几份之一秒到几秒。正如相关领域技术人员所理解的，这种时限可以用来阻止由那些企图犯下欺诈的未经授权的解码算法的使用，因为使用这种技术成功解码通常需要相对大量的时间。

[0199] 由安全元件小程序(或其他根据本发明的小程序)提供的仿真和代理多种支付方案和与支付相关的应用的能力(如交通费的支付、忠诚度卡提示等)使这种小程序的用户能够在一个单一的移动设备中比其它可能的方式更有效和灵活地访问和使用多个(甚至，无限数量的)方案和支付应用。典型的没有仿真器和代理小程序的实现将要求用户安装一批独立的、方案专用(scheme‐specific)的或应用专用 (application‐specific)的小程序或脚本，这些小程序或脚本在设备上占据了更多的内存存储空间，并且在添加几个大的小程序或脚本时可能涉及到一个时间更密集和繁琐的用户体验。

[0200] 安全元件小程序能够在通过应用一些独特的特征，在提供效率和灵活性的优点的同时实现这种仿真和代理功能，这些特征包括以下的一个或多个：(a)使用一个通用的“核心”小程序和方案专用或应用专用的“外壳”小程序(一个“安全元件小程序”可能包括核心和外壳小程序的结合)；
(b)核心小程序与外壳小程序之间“职责分工”。例如，预支付的支付令牌可以由任何一个或多个特定的外壳小程序提供，并无限期地(或在有限的时间内)被存储直到交易需要，并且实时生成的支付令牌可以由内核小程序通过如本文所述的洽谈流程提供；
(c)区分“静态”和“动态”命令(例如在与外部设备如POS终端的通信时使用的命令)，并以不同的方式处理它们；以及
(d)区分“通用”功能和命令(即一般的跨越计划和应用)与“方案专用/应用程序专用”的功能和命令。

[0201] 这种被改进的功能可以通过核心和外壳小程序106、116、118、220之间各自的职责划分来提供。例如，核心小程序可以设置为处理“通用”命令，而“方案专用/应用程序专用”的命令和函数可以由外壳小程序118、220处理。通过消除对多个不同的小程序的需要来处理对多个交易协议通用的命令，例如，安全元件小程序105在使用主机的内存和处理能力上使效率提高。而且，由于相对较少的方案专用的命令和功能，外壳小程序是相对较小和“轻量级”的，例如，他们占用相对较少的内存和消耗更少的处理器资源，包括时间、功率和带宽。在实践中，这使相同的设备能够用于更多可能的方案，并且从用户体验的角度来看，增加新的方案更加容易，因为假如新方案需要准备一个大的小程序，那么相比而言，更小的壳程序则可以更迅速地装到移动设备上。

[0202] 应当指出的是，在支付和其他交易期间区分不同类型的用于在POS和移动设备之间的通信的命令的另一方面，是对由POS发出的命令的预期反应是否可以是“预生成的”(即对特殊命令的预期反应是否提前可知)，或该反应是否基于数据在交易时间前不可知而需要实时生成。该安全元件的核心小程序的实施例可以设置为通过存储或以其他方式访问对POS系统可能发布的命令的预期响应的一个或多个函数库来处理“预生成的”响应，而外壳小程序可以被设置为处理特定的或其他的实时响应的生成。

[0203] 适用于根据本发明的这方面实现的核心和外壳程序的指令命令集是如13A‐16所示。

[0204] 图13A‐13I显示了一个Java脚本指令代码的例子，适用于导致一个或多个处理器如一个或多个移动通信设备102、202的CPU发起、控制和/或以其他方式实现本文所述的(包括被并入的附图令牌中的)功能。这种功能，例如，包括：*使用一个通用的“核心”小程序104和方案专用或应用专用的“外壳”小程序118、220(一个“安全元件小程序”可能包括核心和外壳小程序的组合)
*核心小程序104和外壳小程序118、220之间的“职责分工”
*支付令牌和其他安全处理数据集和/或密码的生成和通信，
*区分“通用”的功能和命令(即一般的跨越计划和应用)与“方案专用/应用程序专用”的功能和命令。
*加密密钥的管理和使用

[0205] 图14和图15A‐15B显示进一步的示例性指令集，适用于通过外壳小程序104和小程序116、118、 220之间的职责分工，导致一个或多个处理器如一个或多个移动通信设备102、202的CPU发起、控制和/ 或以其他方式实现本文所述的(包括被并入的引用文件中的)功能。这种功能包括，例如，由外壳小程序对输入命令的解释，该命令例如从移动设备102、202的NFC通信组件收到，以及基于命令和合适的、先前生成的响应之间的映射，或基于在命令集中循环搜索直到匹配的响应被识别，将命令路由到相应的安全元件程序116、118、220。在识别到一个合适的响应后，该响应通过将该响应提供给请求的设备110、112 等或转发到一个合适的进一步设备110、112等，或通过产生进一步的用于需要处理的响应如交易密码，被返回和由外壳小程序处理，。

[0206] 包括这种命令的传递和解释、和响应的数据交换的例子，在本文关于图8、9和11中描述。

[0207] 正如上文所建议的，用于在安全元件小程序和相关数据存储的生成和配置可以有多个设计选择。例如，如上文所述的表示对POS或其他查询命令的“预生成”的响应的数据的库可以被存储在各种的设备和 /或网络位置中的安全单元小程序中，并被其访问。所述选择包括，例如，在云中存储(例如，一个安全的服务器，可以例如由一个发卡银行或其他FI托管)。在这种情况下，预先设定的响应集可以被编码成云中的“令牌”并被传递给请求的移动设备(例如，在云中的密码生成)。第二个选择是一个将“预生成”的响应的库直接预先编入安全元件小程序，以便响应集被贮存在设备本身(例如，在包括一个SIM卡、标签设备、或电子SE的设备上的密码生成)。

[0208] 图16显示了适用于实现本发明的方面的命令和先前生成的响应，特别是如图13‐15所示的解释和响应的例子。正如相关领域技术人员所理解的，图16所示的应用程序协议数据单元(APDU)命令的列表仅仅是示例性的；并且适合关于金融交易使用；适合用于根据本发明实现金融和非金融流程的各种各样的进一步命令现在是可用的，并且毫无疑问更多的命令在之后可用。由此，熟悉本发明的人将不必困扰于如何适应本发明，以便处理它们。

[0209] 正如相关领域技术人员所理解的，并且如下文所述，本发明的各个方面和实施例中的每一个都可以单独使用，或与任何或所有其他方面和实施例结合使用。

[0210] 用于实现本发明的各个方面的流程的实施例在下列使用案例中被提供，该使用案例可参照如图17 所示的示意图被更好地理解。使用案例0说明了用于实现安全元件小程序116的安全元件(SE)106的建立；使用案例1说明了安全元件小程序的启动；使用案例2说明了在安全购买交易中使用的支付令牌的生成。可以由安全元件小程序支持的具有进一步功能的例子包括顶级凭证管理，顶级凭证管理可以例如使安全元件小程序通过使用由任何FI或其他机构支持的帐户来支持所需的支付或交易协议的使用。

[0211] 每一个使用案例都可以使用带有任何所需的或以其他方式适当的修改或改编的如图8所示的通信步骤、设备和系统来实现。

[0212] 使用案例0——这可以，例如，作为一个更通用的虚拟钱包应用(如，例如，移动支付应用，或“VMPA”) 在智能手机或其他移动或台式设备102、202上的安装的一部分或与其结合发生。一个可信服务管理平台 (根TSM)120可以为通过创建一个用于安全元件小程序的服务管理平台或主机110、112(“RBC”)的子安全域而准备手机的安全元件。根TSM可以加载一个适用于与虚拟钱包应用(例如，VMPA)合作的安全元件小程序模块或包括多个(例如，4或更多)下级(例如，“外壳”)程序118、220的的包，并执行安装命令，其中该安装命令注册每个在SE包内的AID w/每个小程序(小程序：用于MC、Visa、借记卡、控制器的外壳‐管理进入SE的令牌的缓存)，并使安全元件进入一个进行预先个性化设置的状态，并将合适的Telco密钥与FI(“RBC”)密钥互换来启用安全通信；任何子安全域密钥可以被返回给安全元件小程序的主机(RBC)。

[0213] 使用案例1——可以包括使用在使用案例0中提供的子安全域密钥，以在主机110，FI112之间打开一个安全的加密通信信道以及SE116已经在其上被安装的安全元件106。由激活OB功能的移动设备传输适当配置的个性化命令给主机110，并且在由SE小程序118、220收到一个包含相应的公共密钥的响应后， SE小程序的状态可以在“个性化”处被设置。正如相关领域技术人员所理解的，考虑到本发明和被并入的引用文件，这种使用可以包括适当的提供和生成那些在生成令牌和授权其他安全数据流程时表示由移动设备和主机和可选的其他系统组件使用的多个个人标识符的数据。

[0214] 使用案例2——预连通：在例如一个合适的无线或其他通信网络(如3G网络)可用的时候，钱包应用仿真一个POS终端114并向telco或其他TSM120请求生成一个令牌的数据。例如，这些数据可以包括一个或多个用于识别支付协议和/或帐户的小程序标识符(AID)。
通过使用这种数据，SE小程序118、 220可以生成一个令牌请求数据集，并将它路由到主机以及可选地路由到SE上控制器的小程序上。在授权或其他适当配置的数据集返回后，一个被预授权的支付令牌可以被存储在SE上；用户的设备现在准备好进行一个交易，即使在其他方式中被要求的通信网络在用户希望进行购买或其他交易的时间和/或地点不可用。

[0215] 在与一个商家或其他交易的设备相关的POS终端114上，用户可以使用NFC或其他局域通信进程发起所需的交易；POS终端可以请求用于交易和预存的卡和/或其他帐户信息，被预授权的令牌化密码可以用于提供该信息。交易授权数据集可以从商家POS系统发送到支付处理主机，如TSYS。这样一个授权请求可以包含表示令牌化的密码的数据，和真实的处理选项数据对象列表(PDOL)数据。TSYS可以识别作为预授权的请求(令牌TBD识别)，并且该授权请求可以被定向到FI或其他授权服务器如与支付帐户的管理相关的银行服务器，并被定向到适当配置的令牌化引擎，该引擎可以查找请求和替代(即代理)与被授权的支付令牌相关的“假装”，或占位符的PDOL数据，被发送用于处理的该数据可以返回到TSYS，以完成所需的交易。

[0216] 与授权同步，用户的设备102、202可以把与被请求的交易相关的“真实的”PDOL数据发送给令牌化引擎(“TE”，例如，主机)，在该TE上TE可以比较从支付处理器(例如，TSYS)接收的令牌。以“真实”和占位符的PDOL数据之间的一个合适的匹配为条件，支付处理器112、110可以授权交易。除了其他优点，以这种形式的“真实”和占位符PDOL数据的使用可以减少预期货币价值(EMV)的风险。此外，即使例如由于通信系统的不可用，在真实和占位符的PDOL数据之间的匹配不可能，交易也可以被授权。

[0217] 因此，如上文和被并入的引用文件中所述，在适当配置的用户设备上的SE小程序可以用来仿真任何所需的支付机制，包括信贷、借记、奖励、忠诚度、礼品或其他被储值的卡或账户，和/或可以被用于使任何这种账户或卡的任何一个或多个被用作任何其他进行支付和其他交易的代理。

[0218] 根据本发明的相关方面的代理功能可以通过使用系统100的至少两个或多个组件来实现：1.在用户设备102、202上，包括多个外壳小程序118、220的支付应用104、116，每个小程序118、220 与一个或多个不同的支付账户或协议(如Visa、MC、Oyster、借记、忠诚度)相关：
在访问一个SE小程序105(或应用如一个虚拟钱包)后，用户10可以指定各种支付协议中任何一个，无论该帐户用于支付的性质如何(例如，借记帐户可以使用Visa协议在交易中被使用)。基于这种设计，用户可以使包括一个支付令牌和合适的帐户标识符的密码(例如，AID)的创建和使支付令牌根据所需的协议、账户等被处理。
2.支付令牌路由器或服务器117可以可解释支付密码以确保支付协议/账户可用于完成交易，以及用于进一步的处理的令牌/密码的路由。

[0219] 正如相关领域技术人员一旦熟悉本发明所理解的，这种功能可以在一个单一的服务器110、112、 117中与令牌的生成结合。这种代理函数可以在至少两种情况中实现，如此处所述：
1.密码/令牌是实时生成的(例如，在POS处在销售时)：无论什么支付账户或类型被使用，所需的AID 可以被插入支付令牌/密码，以便根据商家的偏好或要求完成交易。指定的支付系统和支付帐户/类型之间的映射可以由路由器/服务器维持。
2.支付令牌被提前生成，并存储在安全设备内存106等中。令牌可以带有或不带有帐户/协议标识符(AID) 而存储。在交易时，合适的AID连同其他令牌数据被插入密码，并且被路由以用于由路由器/服务器的解释和进一步的支付处理。

[0220] 关于图17，令牌118、718可以例如包含或提供(a)适合服务器110、112、117等用于验证被授权的用户和/或授权交易的被令牌化的凭证和(b)如图16所示的方案专用的命令/响应对。核心安全元件小程序105、116可以解析令牌118、718和输入的命令请求或指令，例如询问令牌118、718和识别、提取和适当地将响应路由从而与例如应用程序协议数据单元(APDU)和其他POS类型的命令匹配。外壳小程序118、220可以适用注册在或以其他方式与其关联的行业知名的AID的方案专用的数据，以在安全元件小程序105、116和POS终端112、裁定服务器110或其他外部设备之间起到映射或网桥的作用。令牌库118、220可以存储先前生成的被预支付的支付令牌。

[0221] 由所述实施例所提供的众多好处和优点包括在令牌库118、220中生成和存储的令牌的类型、起源和/或配置的灵活性。例如，如本文所述，这种令牌可以在用户设备102、202或在与金融机构关联的远程服务器110上生成。生成的令牌还可能涉及被预授权或预支付的交易，例如，可能在某些情况下是可以重复使用的，在其他情况下不可重复使用，可能是用户可控的，可能与支付方式有关，且在某些情况下可能与其他功能或交易相关。各种不同的具体情况如本文所述，仅仅是示例性的，而不是限制各种可能性。

[0222] 正如上文所述，例如，可重复使用的符号可以通过预授权步骤被实现，该预授权步骤使表示被授权的购买或交易金额的数据被减少而不需要无效现有的授权，直到一个被减少的授权交易价值或金额在交易后等于或大于零，此时授权可以无效。例如，在基于包括表示一个被授权的100美元的购买金额数据的令牌，其中约定的交易金额为75美元，收到表示交易执行的确认的数据后，用户设备102、202和远程服务器110的任一或两者可将授权购买金额减少75美元，并导致授权交易令牌恢复表示25美元的授权购买金额的数据，而不需要额外的在用户设备102、202、服务器110或其它设备之间的授权流程。

[0223] 在一些实施例中，存储在用户设备102、202上的令牌本身可以包含表示授权支付金额的数据。由此，例如，当一个令牌库118、220准备令牌时，远程服务器110可能仅仅授权价值达到规定的最高限额的用于交易的令牌，该最高限额被编码为加密信息。当用户发起与设备102、202的交易时，只有具有小于或等于被授权金额的价值的交易才能被成功处理。这种授权金额在某些情况下也可以与存储在服务器 110上的相应的金额相联系。

[0224] 在某些实施例中，令牌本身不包括表示授权支付金额(如上文所述)的数据，但可以参照或以其他方式与存储在云中如服务器110内的帐户相关。在这种情况下，存储在云中的帐户可能与一个被授权的支付金额，例如，将被授权的最大交易价值相关，这同样可以限制用户可以用一个用户设备102、202成功发起或完成小于或等于被授权的支付金额的交易。例如，当一个交易被发起时，存储在云中的帐户URL 或其他链接将允许一个裁定服务器或其他支付网络访问表示被授权的交易金额的数据和验证正在进行中的交易是否可以被处理，或以其他方式被授权。在某些情况下，验证可能另外和/或可替代地由用户设备 102、202进行，并且以确认所请求或发起的交易满足被授权的金额为条件，令牌被路由而用于支付处理。

[0225] 在一些实施例中，存储在令牌库118、220中的令牌可以包括表示被存储的价值或其他一些表示或参照云中的数据的信息，如URL的数据。为了处理来自用户设备102、202的交易，表示存储在令牌库118、 220中的令牌的数据可以被安全地直接由设备102、202传输到云(即服务器110)上，而不干预由其他服务器110、终端114等等的处理；另外，令牌可以或者通过缓冲和转发或者利用例如有时被用在金融数据流程中的数据“管道”技术，经由销售点终端(“POS”)114被转发到服务器110上。一旦在例如裁定服务器110上的云中被接收到，从设备102、202被转发的令牌可以被处理以识别、授权、或定位和/或解锁与存储在云中的第二令牌有关的数据。在这种情况下，交易可以使用与被定位的/未锁定的云令牌而不是设备令牌相关的数据信息被处理。

[0226] 如前文所述，在某些实施例中，令牌可能仅仅在不超过最大支付金额的单次使用中有效。因此，例如，令牌可以被设置以使只有达到不超过最大指定金额如100美元的单个交易被授权。在这种情况下，在交易被处理后，即使处理过的交易和随后请求的交易的总额小于被授权的最大金额，令牌也不再能够授权进一步的交易。然而，在其他情况下，只要所请求的交易的总值不超过指定的最大交易金额，令牌可以对多个交易有效。因此，只要所请求交易的值不在指定金额以上使用该令牌以处理交易的总值，则该令牌将保持有效。

[0227] 在多次使用令牌的情况下，在某些实施例中，用户设备102、202可以跟踪和更新令牌上的剩余的被授权的交易量。例如，在使用一个多次使用的令牌的支付成功处理后，用户设备102、202可以与一个授权主机服务器110同步以确定令牌的最新剩余的被授权金额，并且可以减少存储在设备102、202上的令牌以体现新的金额。或者，用户设备102、202可以接收给定量的成功处理交易的指示。这样，在收到这种指示后(或同步后)，令牌上的剩余的被授权金额可以通过处理交易的金额而减少，以提供一个新剩余的被授权金额。

[0228] 为了发起进一步交易，用户设备102、202可以接收新发起的交易的金额的指示，并将其与剩余的被授权金额进行比较，以确定是否可以使用该令牌处理交易。另外，不论剩余的授权金额多少，用户设备 102、202可能会试图发起交易，对其的验证可通过支付网络中的其他实体进行。这种多用途的令牌可以被金融服务提供商提供初始的被授权金额，该金额可在某些情况下基于令牌的被授权用户的一个或多个特征而被确定。

[0229] 在某些情况下，剩余的被授权金额可视或其他指示可以使用适当配置的界面屏幕或其他I/O设备 103而显示，或者至少根据需要可被用户访问。然而，在其他情况下，这种视觉指示可能无法被提供。尽管用户在决定被存储的令牌是否可以用于处理给定交易时可能受益于剩余的被授权金额显示，交易的处理和最终授权仍可能属于裁定服务器110。

[0230] 在某些情况下，被授权交易金额可能受限于或基于与特定用户信用卡帐户相关的信用限额。在这种方式下，每个不同的用户可以具有不同的被银行或发行者授权的基于与用户相关的不同的标准的限额，这些标准包括但不限于RIS配置文件。然而，在其他情况下，授权交易金额可以基于一个或多个其他因素或标准，独立于信用限额被确定。例如，在这种方式下，与存储在令牌库118、220中的给定的令牌相关的一个令牌和/或被授权金额可能与多个用户和/或用户设备102、202或钱包应用220相关，并且可以在每个用户的基础上变化，使得每个不同的用户可以根据由开证银行应用的不同的标准，接收与他们的令牌相关的不同的被授权支付金额。

[0231] 正如相关领域技术人员一旦熟悉这一公开文本所理解的，一个单一的令牌和/或被授权金额可能与多个用户相关，例如通过为每一个被授权访问一个单一的设备102、202或钱包应用的用户提供一个单独的用户名和/或密码，和/或其它如本文所公开的标识，或与被相应的金融机构服务器110存储或以其他方式被其管理或控制的一个单一账户相关。

[0232] 在一些实施例中，令牌可以包括或与表示一个被授权的支付金额的数据相关，该被授权的支付金额可被一个或多个设备102、202的一个或多个被授权用户在一个或多个不同的方面通常不受限制地调整。例如，商家POS终端114目前具有对施加主机卡仿真(HCE)交易的支付限制的能力，主机卡仿真(HCE) 交易被从用户设备102、202发起，允许个体商家确定这种交易的使用限制。同样，设备102、202的用户也可以在某些情况下，能够自定义被存储的令牌以施加使用限制，从而控制令牌可能对用户造成的风险大小。例如，令牌可被设置为用于多个不同的限制，如每笔交易金额限制(例如，100美元)，依据一个特定的时间段内使用次数(例如，每天一次、每天2次、每周10次等)确定的使用频率限制，或确定为在特定时间段内的总的被授权金额的累计金额限制(例如，每天500美元，每周1000美元，每月2500美元等)。这些限制也可以在每个令牌的基础上，例如，对于每个单独的令牌，或可替代地，存储在一个数字钱包中的或与一个特定的支付帐户或方法等等相关的所有令牌的集合被施加。

[0233] 在一些实施例中，令牌可以在用户试图发起的交易之前被生成并提供给用户设备102、202。由此，在支付时，即使用户设备102、202目前没有网络连接或无法建立与远程服务器110的足够的通信，处理交易也是可能的，因为包括确认交易已被授权的数据的令牌，已被提前配置和提供给用户设备102、202。正如本文所述，除了协议如NFC通信、可视化数据交易如条形码、QR码，和其他短距离无线、光纤和直连等等或作为它们的一种替代，令牌可以在用户设备102、202和商家POS终端114之间使用无线PSTN 或其他通讯协议交换。然而，在某些情况下，如本文所述，用户设备102、202可能在支付时具有一个活跃的网络通信，并由此能够同时从远程服务器110请求令牌或能够根据具体情况执行任何其他授权或令牌配置。

[0234] 在一些实施例中，一个第一用户可以请求一个第二用户的移动设备102、202提供与第一用户的金融账户相关的令牌和/或其他数据元件。例如，第一用户能够，例如通过使用例如NFC和/或其他“人对人” (“P2P”)数据交换技术结合本文公开的数据安全特征，将令牌规则交换给第二用户的移动设备的102、 202，以使第二用户在使用第一个用户的帐户的交易中进行电子支付。在这种情况下，第一用户能够显示在被提供的令牌上的交易限制或能够包含如本文所述的任何其他交易约束。例如，被提供的令牌可以是单次使用的，仅在一个有限的时间内有效的、仅仅对限额交易有效的等等以及这种限制的不同组合的令牌。在这种情况下，授权限额可以由任一用户在不同的实施例中自定义。

[0235] 正如本文所述，因此，关于被提供给用户设备102、202的令牌，每个与令牌和被授权的支付金额相关的支付服务提供商可能在类型和/或形式上变化。例如，在一些实施例中，支付服务提供商可以是任何用户可以订阅的信贷、借记、忠诚度或其他价值服务提供商(如Visa、万事达卡、Interac等等)、一个忠诚价值服务提供商、一个商家、一个运输机构或其他一些服务提供商。由此，对于每一种情况，由令牌表示的被授权的交易金额可以以美元或任何其他常规货币来定义。另外，被授权的交易金额可以由其他一些金融工具表示，如忠诚度或奖励点、车票/费用(例如公共交通票)、优惠券等。在某些情况下，被授权的交易金额也可以表示非传统的货币或其他有价值的工具，如一个加密货币或虚拟货币(如，电子游戏币)。

[0236] 在一些实施例中，代替表示被授权的支付金额，被装到设备102、202上的令牌可以包括表示对基于与用户身份关联的交易的授权的数据。例如，与用户身份唯一相关的一些信息，如驾照号码、健康卡号码、昵称或任何其他与用户相关的唯一的字符串，可以被远程服务器110预注册和/或验证和与存储在设备102、202或云的其他地方上的服务器110中的一个或更多的支付方法和/或金额相关。为了使用设备102、 202发起和处理交易，用户之后可能会使用户设备102、103生成或以其他方式提供被存储的令牌，该被存储的令牌包括相应的数据以验证用户的身份。一旦被验证，用户可以例如，通过由远程服务器110生成或以其他方式提供给如本文所述的支付网络一个适当配置的令牌，用于用户的开证银行进行验证和结算，或在某些情况下，通过由设备102提供令牌，以与被存储的支付方法和/或金额相关来完成交易。

[0237] 在一些实施例中，一个提供给用户设备102、202的令牌可能在支付交易时用一个用于安全的不可预测数(“UN”)包装或处理，以验证交易的来源，从而协助认证交易。例如，支付交易数据可以在支付时通过种子/安全电键信息的注入被随机化或伪随机化。也就是说，例如，这些数据可以被写入新生成的令牌中的一个或多个数据字段，或者在先前存储的令牌中写入现有的数据。在某些情况下，如在EMV 交易中，用户设备102、202可能会从商家POS终端114收到UN并在之后将UN注入到令牌和/或交易数据中而不需要接触远程服务器110。UN可以以这种方式被用作密码的一部分。

[0238] 可替代地，在某些情况下，用户设备102、202可以接收UN以将其从商家POS终端114以外的一个位置或网络节点注入到交易数据中。该UN，例如可以由设备102、202通过来自附近的设备如一个第二移动设备的NFC，生成或转移到用户设备102上。在这些情况下，为了处理交易，用户设备102、202仍然可以例如，从商家POS终端114获得商家或接收方标识符和支付金额。或者，这种信息可以从一个第二移动设备传递给用户设备102、202，或者由用户、从服务器上、通过使用NFC标签或以前的交易预加载到移动设备102、202上，或在交易时由用户输入。例如，先前下载到手机上的用户专用的加密密钥可用于加密用于交易的令牌。以这种方式，如本文所述的令牌可以有效地用于发起和处理商家的，例如与POS 终端114的交易，以及电话对电话的NFC交易。

[0239] 正如本文所述，令牌可由或从一个或多个不同的实体或令牌服务提供商被分配到移动设备102、202 上。例如，在一些实施例中，令牌可以由设备102、202的用户的金融机构110或银行的开证银行生成。或者，一个令牌服务提供商可能与收购方112、商家或其他实体如telco122或OEM124相关。无论什么实体供应了设备102、202，令牌可以以一个如本文所述的支付网络或其他交易的裁定者指定的兼容方案生成或格式化。

[0240] 因此，例如，在一个标准的EMV交易中，商家POS终端114生成一个被用作一个验证电子交易的来源的安全特征的伪随机(“不可预测的”)数。在这种情况下，从商家POS终端或其他网络节点发送的交易有效载荷数据通常具有以下格式：<信用卡PAN#><终结日期><服务码><不可预测数>
值得注意的是，不可预测数在某些情况下，可能由商家的POS终端生成，而服务代码可能表明正在被处理的交易的类型如Visa、万事达卡、Interac。EMV标准的一个好处是，生成不可预测数的责任被分配给作为资金的最终受体的一方(即商家)，而不是其他方如提供资金的一方(即消费者)。

[0241] 通过将实际的信用卡PAN#或其他一些独特的帐户标识符有效地转化为另一个格式类似信用卡 PAN#的号码，如本文所描述的令牌化流程则与EMV标准一致或被并入EMV标准。该可替代号码可与用户的实际信用卡或其他帐户号码相关联，其可保持存储在由金融机构10、收购方112或其他可信实体实施的安全元件116或库中。为了处理交易，该替代号码可通过支付网络被传输，并随后与用户的实际帐号关联以用于验证和结算。在某些情况下被传输给收购方或支付网络的交易有效载荷数据可能包括以下内容： <替代令牌PAN#><有效日期><服务码><不可预测数>值得注意的是，替代令牌PAN#可以代替信用卡PAN#被发送以更好地保护这个敏感信息。在某些情况下，替代令牌PAN#也可以如本文所述设置为具有一个或多个被定义的限制和/或规格，如使用频率的限制、最大价值上限等，以便更好的提高安全性和可用性。

[0242] 在某些实施例中，一个用户的支付凭证的令牌化可以由卡片网络服务器或专业令牌服务提供商(TSP) 例如如图4e和4f所示的令牌管理器112进行。然而，尽管令牌的使用通常可以通过传输不同于用户的实际支付凭证的数据在电子交易中增加安全性，如果恶意的一方能够得到TSP的进入权和获得真正的帐户标识符以及替代令牌数的映射，这种支付凭证在一个单一的实体如TSP中的合并还存在安全漏洞的可能性。

[0243] 由此，在一些实施例中，如本文所述，支付凭证的令牌化可能全部或部分地在支付网络中的多个不同的位置处发生。由此，在这种情况下，希望获得用户的实际支付凭证的恶意或以其他方式未经授权的各方必须获得多个不同的安全实体的访问权，而非只是一个单一的令牌服务提供商，消除了单节点的隐患。这种复合令牌还可与如本文所述的各种不同的支付系统和方案完全兼容。

[0244] 例如，表示用户的支付凭证的数据可能在某些情况下被总共至少两次令牌化(被较不敏感的替代数据代替)，令牌化的每次由一个不同的安全实体进行。这个流程实际上创造了令牌的链或“层级”，在其中每一个参与的实体或者在实际支付凭证处或者由链中的其他一些实体生成的令牌处进行相应的令牌化。以这种方式，单个实体可以存储实际支付凭证并映射到一阶令牌，且其他实体可以存储令牌和映射到高阶令牌。这种对未经授权方的安排的隐患可能被大大降低，因为获得用户的实际支付凭证现在将涉及获得每一个(而不是只有一个)链中的信用实体的访问。

[0245] 在一些实施例中，令牌可以在每一个用户的开证银行(第一令牌化)、例如与收单银行相关的TSP 上(第二令牌化)以及可选地，在用户设备上(动态令牌化)生成。以这种方式，开证银行可以单独安全地存储用户的实际身份和/或客户端凭证。在链中的所有其他实体将存储令牌信息，它本身仅仅在当被最终转化回用户在开证银行上的实际凭证时有用。例如，在用户设备上生成的动态令牌可以打算用于单次使用或设置为具有如本文所述的任何其它限制。在某些情况下，更进一步的实体可以被包含在链中，以便提供额外的安全性。

[0246] 因此，如图4E和4F所示，例如，开证银行110可能最初将用户的支付凭证在发行者自身安全的托管环境中令牌化。作为结果的令牌可以是任何在一个或多个方面与被令牌化的信息类似的号，如具有相同的位数，但这不是一个有效的支付凭证。此外，发行者令牌可以被生成，以便包括与用户或帐户持有人相关的其他信息。

[0247] 一种可能性是，令牌可以包含针对用户或一个组织的一个数字或数字序列。由此，多个令牌可以针对特定个体、业务或其他实体被生成。在某些情况下，以这种方式被生成的令牌可以包含或包括两部分，即针对个人或组织<客户端数>，随后是表示与个人/组织相关的一个特定的支付凭证或账户<帐户/工具标识符>。所述的这种发行者令牌，可以被生成以具有与信用卡PAN#相同的格式，以被不同的令牌化方案或支付网络接收。

[0248] 在一些实施例中，发行者令牌可被用于一个第二可信实体，如与商家或收单银行相关的TSP，或其他一些如图4e和4f所示的令牌管理器112。被收到的发行者令牌之后本身被令牌化为具有与发行者令牌 (也是原始账户标识符)相同的格式的第二令牌。例如，通过TSP生成的令牌可能再一次类似信用卡PAN#，例如具有与信用卡PAN#相同的格式。然后，随着被映射到TSP令牌被安全地存储在发行者令牌库中，TSP 之后可以用于在处理交易。在某些情况下，TSP令牌可以被提供给用户设备102、202。

[0249] 在发起电子交易时，用户设备102、202可提供TSP令牌或如下文所进一步描述的设备级动态令牌，作为通过商家POS终端114(或其他支付节点)发送到支付网络的支付消息的一部分。当支付消息在收单银行112上被接收时，TSP令牌可以使用被安全存储在TSP中的信息被处理并转换回例如发行者令牌。然后，收购方可以将支付信息转发给发卡银行110用于结算，发行者令牌可以在FI110的安全的托管环境中转换为用户的实际支付凭证。

[0250] 在一些实施例中，TSP可以通过创建一个，例如仅仅对一个单一的交易或一个单一的通信交换有效的、设备级动态令牌，以提供一个第三令牌化流程。由此，不是直接向用户设备102、202提供一个TSP 令牌，而是TSP可以提供这种已生成的基于TSP令牌的动态令牌(TSP也可以安全地存储该动态令牌)。因此，当交易被处理时，TSP或收购方可以接收一个这种动态令牌作为有效载荷数据。动态令牌可以与之后被转换回发行者令牌的相应的TSP令牌关联。正如上文所述，该发行者令牌可以由开证银行处理以解决交易。

[0251] 图18显示了适合与本发明一同使用的安全应用，包括金融(支付)和非金融应用两者，例如广义的安全识别(护照或边境控制功能，与健康相关的交易、车辆登记等；社会和其他安全的个人媒体；对经营场所、汽车、或敏感数据账户如金融账户的信息的安全访问；增值服务(增值业务)如礼品卡、忠诚度账户以及税收和其他收益)。

[0252] 因此，例如，在一些实施例中，令牌可以被例如酒店或工作场所中的无线门锁分配给移动设备102、 202。无线门锁的例子包括但不限于基于NFC和基于RFID的锁。在这种情况下，令牌可能表示设置为打开门的物理访问入口卡。因此，类似于物理访问入口卡存在的情况，当被分配有一个合适的令牌的移动设备 102、202在门锁前被挥动时，设备102、202可以传递令牌(例如通过NFC)和解锁门。根据需要或合适的情况，包括一天中的使用次数和/或时间的使用限制可以设置在令牌上，并且可能包括过期期间。

[0253] 在一些实施例中，安全密钥用于如本文所述的任何流程或数据的鉴别和/或加密可以被由移动设备 102、202执行的软件应用(有时称为小程序)和/或被嵌入或以其他方式被存储在移动设备102、202上的数据提供，该移动设备102、202如智能手机由消费者在销售点使用。这种安全密钥在某些情况下可能是例如半或完全永久静态的，，并因此被用于数据集的生成和加密以处理支付，其中该数据集用于消费者设备102、202、设备销售点114和任何其他系统如由使用的服务器、卡片发行者或其他金融机构或帐户的管理员(在本文被统称为“发行者”)之间的多个交易(或其他数据交换)。然而，在这种情况下，发行者可能不被允许授权或以其他方式控制所有或在某些情况下任何部分的安全密钥生成。

[0254] 现在参照图20A‐26D，显示有适用于根据本发明，在购买和/或其他数据处理交易中生成和利用私人会话密钥的数据通信交换的示意图。因此，在各种方面，提供了使发行者能够控制安全密钥的生成的方法、系统和机器可执行的指令逻辑，其中该安全密钥的生成用于由移动、笔记本电脑和其他购买者设备(如 PDA、智能手机、平板电脑以及消费者家用计算机系统)使用的交易数据的加密，从而至少部分地控制这种交易的认证。

[0255] 这可以，在将交易数据从购买者设备上的一个控制应用(或小程序)被传送到一个卡片代理应用(或小程序)之前，例如，使发行者能够完成其偏好的认证流程。例如，根据本发明所用的系统，方法，和/ 或控制逻辑的发行者可以在触发与用户设备上的卡片代理的数据交换——如数据更新流程之前，对单个用户/购买者和购买设备的任一或两者进行一个“默认”。

[0256] 如图所示，例如，在图20A‐26D中，所述实施例提供的各种方面有：·发行者触发代理数据更新的能力，每次更新在每次数据交换中使用独特的安全密钥。除了其他优点，这种能力使发行者能够控制身份验证和交易授权流程。
·发行者为从移动或其他支付小程序到卡片代理的数据的安全传送规定会话密钥的能力。
·发行者检查用户输入的密码在代理中是否(如PIN或其它字母‐数字或符号的代码)存在的能力
·对发行者生成的用于“离线”交易中的多个令牌的支持。例如，单个被授权的更新请求可以被导致生成多个会话密钥。在一些实施例中，例如，由购买设备的支付应用生成的一个单一的更新请求可以导致多达五个的独特的会话密钥被凭证管理器和/或其他发行者系统生成，并被存储在一个购买者设备上以用于单一的后续交易。
·支持恢复交易金额
·由购买者或其他设备的用户输入的密码可以被用于生成独立的加密密钥，例如通过将由发行者(例如，由一个认证管理服务器)生成的时间戳与表示这种代码的数据相关和使用这种与密码相关的时间戳，以裁定交易请求或以其他方式授权数据交换。由此，除其他优点外，本发明还提供了在认证、授权和/或其他方式处理交易数据时多个独立安全代码的生成和使用。

[0257] 正如所理解的诸如移动支付或银行应用、设备密钥库、安全的容器和主机卡仿真(HCE)API等组件可以在购买者设备如智能手机、平板电脑等上被实现；而移动银行服务器和凭证管理器应用可以在由发行者经营的服务器和其他设备上被实施。

[0258] 实现交易的基于SIM和基于云的SE的相互作用的实现的进一步的例子包括以下使用案例。所描述的使用案例提供了安装基于SE116的移动设备；发起或调用基于SIM的SE应用105；和生成用于交易的支付令牌的例子。除了这些流程，根据本发明，基于SIM的SE应用105将支持顶级凭证管理功能，根据本发明它可以例如使机构能够访问和/或其他与基于SIM的SES116、105交互，以处理安全支付交易。

[0259] 安装案例：移动202(或其他)设备102上的SE应用105的安装：根TSM120可以通过创建在SIM 卡106或其他安全的、可随意移动的内存中子安全域105、118等从而为一个请求的金融机构准备移动设备的SE116。除了其他方面，TSM102可以在代理流程中向我们提供移动设备102、202、移动SE应用包 105或以其他方式使其可获得，该移动设备102、202、移动SE应用包105可能包括兼容一个或多个Visa 或其他移动支付的应用(VMPA)220A‐220D(图2)并且可能包括多个小程序105。TSM120可以授权或以其他方式使执行安装命令能够设置为造成一个对应在基于SIM的SE包中的每个小程序的小程序标识符 (AID)的注册。例如，这种小程序可以包括用于各种支付类型或协议,例如包括MasterCard、VISA、借记卡、控制器的外壳；并且可以管理进入SE的令牌的缓存。这种TSM命令还可以将基于SIM的SE安装或以其他方式设置进入预个性化状态，并交换公共密钥如Telco密钥和一个或多个私人密钥，如针对具体的银行或其他金融机构的密钥。该安装命令执行可能进一步导致子安全域密钥被返回至TSM的主机和/或至任何其他合适方。

[0260] 使用案例1：通过使用在安装案例中被提供的子安全域密钥，一个安全信道可以在FI或其他主机 110和基于SIM的安全元件应用105之间打开，用于例如图7的1‐3和图8的1‐13的流程。一个“个性化”命令可以被发送到基于SIM的应用105上，并可能导致用于存储在内存子域133中的、一个包含与基于SIM的应用相关的公共密钥的响应返回，和将基于SIM的应用设置在一个独特的“个性化”状态，该状态，对与基于SIM的应用相关的移动设备或与移动设备相关的用户如帐户持有人或管理员都是唯一的。

[0261] 使用案例2：

[0262] 交易前(“连通前”)：在当3G或合适的通信网络可用的方便时间，一个“钱包”支付应用104 (例如，在图11B中的“RBC移动应用”)“模仿(spoof)”POS终端112(以POS终端112的方式动作)，查询TSM120或其他通信服务器110等找出用于支付令牌的生成所需的识别数据和其他所需的交易数据(精选的AID等)。基于SIM卡的SE应用105之后发送这种数据的副本至一个与FI110相关的令牌化引擎，该令牌化引擎被用于识别在支付中被使用的帐户，并至SE116上的一个控制器小程序105以创造一个可以被基于SIM的SE或FI令牌化引擎存储的“替代”的令牌化交易密码。

[0263] SE应用现在准备处理交易。

[0264] 在交易中(“在连通时”)：一个被选择以处理所需的交易的POS终端112、114请求支付账户(例如，卡)的信息，该信息被以SIM为基础的SE应用105通过移动支付应用104提供。

[0265] 在交易完成时(“连通后”)：一个交易授权请求被从商家POS系统发送到与交易(例如，TSYS) 相关的支付处理器280上。这种授权请求可以包含被令牌化的密码，和/或真实的在线支付(“PDOL”) 数据。支付处理器(TSYS)280可以将授权请求识别为与一个支付令牌(交易细节在之后被确定)相关。该授权请求可以被定向到与FI110相关的相同或其他令牌引擎，该FI110与一个被识别用于交易的支付账户相关；令牌化引擎可以查找请求，替代模拟的PDOL数据，并将具有替代PDOL数据的交易请求返回到支付处理器上，以用于继续处理。

[0266] 在授权的同时，移动支付应用可以将真实的PDOL数据发送到令牌化引擎上，该令牌化引擎可以将这种PDOL数据与从支付处理器接收的数据比较。得到的匹配可以降低EMV风险。在某些情况下，移动设备将真实PDOL数据发送到令牌化引擎上的延迟可能防止真实PDOL匹配的碰巧发生。

[0267] 涉及实现基于SIM或其他安全元件小程序105以及相应的交易的进一步的优点和机制，包括：·将银行凭证暴露给第三方例如包括网络供应商和通过这些供应商拥有或获得访问的那些机构的风险最小化，同时实现功能性目标，如：
·用“硬件级”的确定性作为第二因子的识别模型识别消费者拥有的安全元件或SIM卡。
·允许基于云的凭证经由SIM卡信道“贯通”到销售点终端，这可能比不可靠或不可用的如主机卡仿真渠道更可用或可靠。
·将特定身份与SIM106和/或安全元件116关联。例如，安全元件小程序105可以利用现有的非对称密钥算法，如RSA或其他。在许多SIM和/或其他安全元件架构中，小程序105独立创建或存储一个独特的公共/私人密钥对是可能的。安全小程序的实施例还可以安全地将其私人密钥存储在SIM或安全单元中，例如，在安全存储单元135中，这样它就不会被暴露在安全元件116之外。这个功能允许使得访问公共密钥匹配的任何人高度确定地理解一个小程序所运行的SIM卡或安全元件的身份，例如，如结合图8的步骤 1‐7描述的运行认证或者裁定流程。公共密钥可以被同时存储在用户设备102的一个安全内存133中，和在FI或其他裁定系统110能够进入的远程表式数据库218A、218B上，并有能力使每个FI280与在这个公共密钥远程列表内保护的各种数据联系。公共密钥表218A、218B可以被一个独立的裁定者或由在每个各自的FI110内的团体和代表委派的裁定者小组管理。

[0268] 根据本发明由小程序105提供的进一步的优点是允许基于云的凭证通过用户设备102的一次一个的中继，和提供基于硬件的缓存118、137以控制单独的交易数据集的能力。
根据本发明的小程序105具有生成适合于在被POS112或移动应用触发时连同各种AID(应用标识符)展示到POS终端112上的交易数据集的能力。这可以使交易数据集被识别为具有非常高的特异性，并具有与特定支付系统或协议如Visa、 MasterCard、Europay等的很强的相关性，由小程序105使用的AID可以由此在很广泛的数量和类型的方面被唯一识别，包括由包含该小程序105的设备生成的每个交易的特定的和独特方式。这可以例如，通过使用与卡片规格如万事达信用卡(A0000000041010)和Visa(A0000000031010)以及其他如Interac、mFIash 相关的AID而完成。随着小程序105作为一个被认证的支付工具向远程POS终端112展示自身，该小程序可以被POS终端112询问，就好像它是一个真实的SIM卡/安全元件支付应用。小程序105随后可以负责传输被它从移动应用104接收的存储在其安全缓存137上的特定的交易数据，其中移动应用104从在云 250中的网络服务器110、120、220等等收到该特定的交易数据。

[0269] 适用于实现小程序105的具体示例规范，以及由此被提供的优点，包括：1.在一个用户设备102、202上使用小于10千字节的内存106、116的运算能力。
2.可以以Java卡和/或其他常用的和可用的代码编写，并被编译以运行在任何SE(被嵌入的或SIM的)106、 116上。
3.可以设置为生成交易数据集，该交易数据集可由POS112询问器解释为与任何所需的具体支付处理器兼容，例如目前包括，众所周知的MasterCard、VISA，通过合适的AID：
‐AO 00 00 00 04 10 10(MC)
‐AO 00 00 00 03 10 10(VISA)
4.可以用独特的控制AID如：“xxxxxxxxxx”向设备102上的内部系统表明其身份
5.可以包含用于存储缓存的交易数据的足够的内存137等以与一个POS(外部询问器)交易一同使用，即读取器(reader)对选择AID、GPO、计算加密等需要反应。
6.一个控制AID可用以实现随设备，用户和/或应用专用的私人密钥135输入数据的加密和返回通信，如可以存储被小程序105使用的交易数据，以在被要求时发送到POS112处(例如，这可以用来验证手机的身份)。

[0270] 正如相关领域技术人员所理解的，一个可信服务管理平台(TSM)120可以起到一个中立的或安全或可信的中间人的作用，该中间人与移动网络运营商、手机厂商或其他原始设备制造商(OEM)和/或控制移动通信设备如智能手机的安全元件的其他实体，包括telco建立商业协议和技术连接。例如，一个可信服务管理平台120可以例如使服务提供商能够通过允许访问在激活NFC的手机中的安全元件进行远程分配和管理他们的非接触式应用。

[0271] 正如在上述的整个公开文本，显然，令牌管理器如FI系统110、220、105、120和/或其他TSM具有以各种适合提高消费者和其他用户体验的方式使支付凭证令牌化的能力。身份管理和安全问题可以通过任何或所有使客户端识别和支付数据令牌化的能力而加强，这可通过使用特定设备102、220等(即移动设备编号或其他标识符)，客户端10的个人身份(姓名；社会保障、驾照、医疗卡和/或其他识别号码；出生日期和/或地址等)和帐户、FI协会和/或其他凭证资格的信息。正如上文和图中明确指出的，在优选实施例中，至少三个身份特征，例如包括以下的任何或全部：个人用户、特定用户设备、帐户或其他的FI 信息，和/或小程序标识符(AID)，可以用来最大限度地提高交易的安全性与效率。

[0272] 由如前文所述的系统、流程和指令集提供的这些和其他可能性和优点，通过安全元件小程序105 的实施和使用的进一步具体实施例例如，在图11A‐11D中的移动支付的情况下被示出。

[0273] 图11A显示一个安全元件小程序105、一个FI服务器110(“RBC支付服务器”)、一个TSM令牌管理器120(“RBC令牌管理器”)和手机或其他用户设备102、202的一个操作系统之间的信号/数据相互作用的例子。在1中，访问了钱包或其他帐户/支付管理应用104的移动或其他设备102、202的用户，请求支付令牌以在当前或未来的有卡交易或其他支付交易中使用。在2中，从FI的服务器110访问了合适的信息218A、218B的令牌管理器120，生成和提供一个安全令牌数据集，该安全令牌数据集包括适当配置加密密钥信息或以其它方式与其相关，例如通过在用户设备102、202上的钱包或其他支付管理中应用104和合适的无线或其他通信系统工作或与其协力工作，以保护用户设备102、202上的小程序105。在3中，由令牌管理器120提供的令牌数据集已经通过使用交易专用如运输密钥(该运输密钥可以通过使用如本文所公开的公共/私人密钥被实现)，被安全元件小程序105解码，并被放置在持久的、最好是安全的设备102、202上的内存106、116、137中用于存储，直到一个支付交易被用户10请求。

[0274] 图11B显示了在“实时”支付交易期间，例如在销售点的商家经营场所中使用安全元件小程序105 实现的信号/数据流程的示例。在1中，消费者或者其他用户10，通过使用移动设备202上或用户请求系统102上的一个钱包或其他支付应用104，选择一个帐户，如与由FI110、280等等持有或以其他方式管理的借记卡、礼品卡、忠诚度卡和/或信用卡相关的帐户。在这种选择后，支付应用104访问先前存储在可能在或可能不在移动设备上的持续内存106、116、137等等上的支付令牌，并且使令牌对安全元件小程序 105可用，该小程序通过使用公共/私人或其他存储密钥，解码令牌和分级(即转化为与FI兼容的支付系统协议，该FI与选定的支付账户相关)令牌以用于根据特定用户指令传输(例如，NFC“连通”或在支付应用屏幕上选择一个适当配置的GUI元件)给商家或其他POS112。例如，安全元件的小程序通过使用java 脚本JSR‐177的流程，加载VisaMSD——如上文所述以AID格式的兼容令牌。

[0275] 在2中，随着令牌被加载和适当地分级，例如在近距离支付系统环境(PPSE)的流程期间，例如在 POS 112处的NFC通信流程期间，安全元件小程序105给卡注册服务器(CRS)106、118写适用于通知CRS 106、118所需的信号处理优先权的信号，该优先权被分配给被安全元件小程序连同支付交易发起或控制的进程。

[0276] 在3中，商家的POS终端系统112进入适当配置的PPSE状态，并被CRS106、118定位到安全元件应用105上。例如，商家POS终端可以通过如上文所述的一个适当配置的VisaMSD应用AID的CRS106、 118确保传输。

[0277] 在4中，商家终端112通过使用在安全的、被分级的令牌上提供的信息，发起与包括安全元件小程序105(例如图8中的步骤14‐17所示)的用户手机102、202的交易通信流程。

[0278] 图11C显示了一个移动或其他交易通信设备102的一个安全元件小程序105和一个操作系统之间的信号/数据相互作用的例子。在所示实施例中，该小程序被设计作为一个包括4个不同的小程序105的 Javacard包的一部分，：设置为如本文所述提供令牌化和/或其他加密服务的一个小程序，和与各种不同的支付系统或协议关联的适用于提供了协议/数据的格式化和其他处理以用于安全元件支付令牌的分开的小程序105、118、220A‐D，“Visa壳，”MC壳”和“Interac壳”。所有这种小程序被安全元件小程序 105、钱包104、和其他应用启用，以与彼此共享数据和在任何所需的FI SSD(“RBC SSD”)中运行。由此，这种小程序启用了代理功能等等。在一些实施例中，这样一个应用包，可以例如以大约2.5K字节的数据被提供，可以拨出更进一步的3K字节的存储用于如本文所述的令牌。如图所示，安全元件小程序105 的集合可以通过格式化和/或以其他方式将用户唯一、设备唯一和FI唯一的AID“A0000005691010”转化为任何一个或多个所需适当支付的标识，提供适当配置的令牌用于在支付交易中使用，这种转化以如在所示的例子中的方式，VISA AID:A00000000310 0
MC AID:A0000000041010
Interac AID:A0000002771010
顺次的，以启用如本文所公开的代理函数。

[0279] 图11D显示，安全元件小程序105可以设置为向CRS提供被设置在任何一个或多个所需的支付系统协议上的一个或多个支付令牌，以例如启用如上文所述的仿真和/或代理函数。

[0280] 图12提供了一个适用于实施在安全元件小程序和一个钱包或其他支付应用之间的AID通信流程的 JSR‐177脚本的例子。

[0281] 在根据本发明的安全元件小程序的各种实现方式中，敏感数据可能以加密或散列的形式被存储在安全元件106中这种令牌内，并且被安全元件小程序105取回用于交易处理，该安全元件小程序105在用户的移动或其他设备102、202等上被实现，例如连同手机钱包软件应用104运行，该手机钱包软件应用104 与标准和/或特殊用途的用户设备操作系统或特殊用途的应用界面相互作用。

[0282] 如本文所述的加密服务可以具有任何合适的形式，例如包括由服务器110、120、220等以及相关的 HSM416实现的通常可用的并行处理能力。HSM可以保护所有的加密流程和相关的密钥。

[0283] 正如相关领域技术人员一旦熟悉本发明所理解的，OAuth是一个授权的开放标准的一个例子。OAuth 可以使客户端能够访问代表一个资源所有者(如不同的客户端或最终用户)的服务器资源。它也可以使用用户代理的重定向，向最终用户提供一个授权第三方访问他们的服务器资源而不需要共享他们的凭证(通常是用户名和密码对)的流程。

[0284] 尽管本发明已经结合各种具体的实施例被提供和说明，系统和流程的元件的许多变化、组合和修改可能在不脱离本文所提供的发明的公开范围的情况下还会被做出。

[0285] 作为一个特定的例子，本文所述的公开和发明包括多种类型和形式的系统、组件和设备，这些系统、组件和设备可以以各种不同的方式被相互连接和使用，在许多情况下它们可以被彼此等效。因此，本文所述的公开和发明不限于上文提出的确切的组件、或组件的组合、或任何方法和/结构的细节。相反，在许多情况下，这些组件和细节可能以多种实现相似或相同的结果的方式被修改和互换，而不脱离本发明的范围。由此，除了到系统、设备和流程本身所必需或固有的程度之外，本发明(包括图)中所描述的方法、流程、系统或设备的步骤、阶段或其他成分的任何特定顺序都不是刻意的或隐含的。在许多情况下，流程步骤的顺序可以在不改变所述的方法的目的、效果或含义的情况下被改变。

[0286] 本发明的范围在考虑适用的解释规则，如等同原则和相关学说的情况下被所附权利要求所限定。