CN107067251B - 使用具有地理上受限的非本地凭据的电子设备进行交易 - Google Patents

Abstract

本发明涉及使用具有地理上受限的非本地凭据的电子设备进行交易。在一个实施例中，可提供位于***中的主机电子设备，该***包括管理实体子***以及经由该管理实体子***而通信地耦接到主机电子设备的客户端电子设备，该主机电子设备包括：安全元件；被提供在该安全元件上的生成主机交易凭据数据的主机凭据应用程序；通信地耦接到管理实体子***的通信部件；以及处理器，该处理器确定该主机凭据应用程序受到地理限制并且基于该确定经由通信部件来向管理实体子***传送主机交易凭据数据和用于使管理实体子***生成唯一凭证的指令，该唯一凭证可由客户端电子设备兑换，以获取主机交易凭据数据。

Description

使用具有地理上受限的非本地凭据的电子设备进行交易

相关申请的交叉引用

本专利申请要求于2016年1月25日提交的先前提交的美国临时专利申请No.62/286,938、于2016年6月12日提交的先前提交的美国临时专利申请No.62/348,958和于2016年9月6日提交的先前提交的美国临时专利申请No.62/384,059的权益，上述专利申请中的每个专利申请据此全文以引用方式并入本文。

技术领域

本公开涉及使用具有地理上受限的非本地凭据的电子设备进行交易，包括使用具有来自主机电子设备的地理上受限的凭据的客户端电子设备进行交易。

背景技术

便携式电子设备(例如，蜂窝电话)可设置有用于使得能够与另一实体(例如，商家)进行基于非接触式邻近性的通信的近场通信(“NFC”)部件。这些通信常常与需要电子设备在基于非接触式邻近性的通信中生成、访问和/或与另一实体共享本地支付凭据诸如***凭据的商业交易或其他安全数据事务相关联。然而，电子设备在其他类型的通信(例如，在线商业交易)中使用此类本地支付凭据的效率通常较低。

发明内容

本文档描述了一种用于使用具有地理上受限的非本地凭据的电子设备来进行交易的***、方法和计算机可读介质。

例如，可提供一种用于进行交易的方法，该方法包括在管理实体子***处：从主机电子设备接收主机交易数据，该主机交易数据包括由主机电子设备的安全元件上的主机凭据应用程序生成的主机交易凭据数据以及包括指示服务提供方子***的服务提供方标识符的交易信息；获取唯一凭证数据；针对管理主机交易凭据数据来存储唯一凭证数据，该管理主机交易凭据数据包括所以接收到的主机交易数据的主机交易凭据数据；以及向主机电子设备、客户端电子设备或服务提供方子***中的至少一者传送唯一凭证数据。

又如，可提供一种存储至少一个程序的非暂态计算机可读存储介质，其中该至少一个程序包括指令，该指令当由管理实体子***执行时使得管理实体子***：从主机电子设备接收主机交易数据，该主机交易数据包括由主机电子设备的安全元件上的主机凭据应用程序生成的主机交易凭据数据以及包括指示服务提供方子***的服务提供方标识符的交易信息；识别已针对服务提供方标识符存储的服务提供方密钥；通过使用已识别的服务提供方密钥对主机交易凭据数据进行加密来创建管理主机交易凭据数据；获取唯一凭证数据；存储与已创建的管理主机交易凭据数据相关联的唯一凭证数据；以及向主机电子设备传送唯一凭证数据。

再如，可提供一种主机电子设备，该主机电子设备包括：安全元件；被提供在安全元件上的生成主机交易凭据数据的主机凭据应用程序；通信地耦接到管理实体子***的通信部件；以及处理器，该处理器被配置为确定主机凭据应用程序受到地理限制并且基于该确定经由通信部件来向管理实体子***传送主机交易凭据数据以及用于使管理实体子***生成可由客户端电子设备兑换以获取主机交易凭据数据的唯一凭证的指令。

提供本发明内容的目的仅为概述一些示例性实施方案，以便提供对本文所述主题的一些方面的基本了解。因此，应当理解，本发明内容中所述的特征仅为示例，而不应理解为以任何方式缩小本文所述主题的范围或实质。除非另有说明，否则在一个示例的上下文中所描述的特征可与在一个或多个其他示例的上下文中所描述的特征组合或一起使用。本文所述的主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

下文论述参考以下附图，其中在全文中类似的附图标记是指类似的部件，并且其中：

图1为用于进行交易的示例性***的示意图；

图1A是图1的***的更详细示意图；

图1B是图1和图1A的***的另一个更详细示意图；

图2是图1至图1B的***的电子设备的更详细示意图；

图2A是图1至图2的电子设备的另一个更详细示意图；

图3是图1至图2A的电子设备的前视图；

图3A至图3H是图1至图3中的一个或多个图的电子设备的图形用户界面的屏幕的前视图，这些图示出了用于进行交易的过程；

图4是图1至图1B的***的AE子***的更详细示意图；以及

图5和图6是用于进行交易的示例性过程的流程图。

具体实施方式

在启用凭据的主机电子设备的安全元件上提供的凭据(例如，支付凭据或任何其他合适的交易凭据)可用于生成某些主机凭据数据(例如，令牌数据和相关联的加密数据)，这些主机凭据数据然后可用于直接地或经由可正与服务提供方子***进行接口连接的客户端电子设备安全地注资或以其他方式与服务提供方子***进行交易(例如，金融交易或任何其他合适的凭据交易)。然而，某些主机凭据可能与某些限制相关联，这些限制可阻止此类主机凭据数据由在地理上位于与主机凭据的源(例如，凭据发行方子***的服务器)的地理位置在物理上不同的位置中的某些实体的某些服务器(例如，可用于对主机设备和客户端设备之间的通信进行加密的管理实体子***)处理。例如，在某些市场(例如，中国)，规定可防止某些银行业务信息被传输到国外。因此，与经由用于该主机凭据数据的受限服务器在主机设备和客户端设备之间传送此类主机凭证数据相比，可针对唯一凭证来存储此类主机凭据数据，该唯一凭证本身可不指示主机凭据数据、和/或主机凭据、和/或主机凭据的源，并且该凭证可随后在由客户端设备兑换以用于主机凭据数据之前经由受限服务器在主机设备和客户端设备之间被传送，该主机凭据数据可由客户端设备与服务提供方子***共享。因此，可将该凭证用作该主机凭据数据的有效代理，以遵守某些主机凭据规定，同时还维持过程的安全性和效率。

图1的描述

图1是例示性***1的示意图，其可允许在与服务提供方(或商家或处理器)的交易(例如，在线交易或基于非接触式邻近性的交易)中直接地或经由客户端电子设备或在客户端电子设备的请求下安全地使用被提供在主机电子设备上的来自凭据发行方子***的地理上受限的凭据。例如，如图1所示，***1可包括具有被提供在其上(例如，在主机电子设备100的安全元件上)的至少一个地理上受限的凭据的终端用户主机电子设备100(例如，智能电话)、可具有或可不具有被提供在其上的至少一个凭据的终端用户客户端电子设备100'(例如，膝上型计算机)、管理(或商业或可信)实体子***400、服务提供方(或商家或处理)子***200、和凭据发行方子***300。***1还可包括可利用由在主机设备100上提供的凭据生成的凭据数据代表SP子***200来完成与发行方子***300的交易的收单(或支付处理器)子***399。在主机电子设备100、客户端电子设备100'、服务提供方(“SP”)子***200、管理实体(“AE”)子***400、收单子***399和凭据发行方(或金融机构)子***300中的任何两者之间传送任何合适的数据可经由任何合适的通信装置9来实现，该通信装置可包括任何合适的有线通信路径、任何合适的无线通信路径，或者使用一个或多个任何合适的通信协议和/或一个或多个任何合适的网络和/或一个或多个云架构的两个或更多个有线和/或无线通信路径的任何合适的组合。

来自任何合适的凭据发行方子***300的交易凭据(例如，支付凭据或任何其他合适的交易凭据)可直接地从凭据发行方子***或经由可用于将凭据数据安全地传送到主机设备100上并管理此类凭据数据的AE子***400(例如，发行银行子***或金融机构子***)而被提供在主机电子设备100上(例如，主机电子设备100的安全元件或其他存储部件上)。例如，凭据发行方子***300可包括第一发行子***391，该第一发行子***可由具有或没有第一支付网络机构(例如，第一支付网络，诸如MasterCard)的至少一个第一凭据发行机构(例如，第一发行银行，诸如Wells Fargo(San Francisco,California))操作，以将第一交易凭据(例如，直接地或经由AE子***400)提供在主机设备100上。凭据发行方子***300可包括第二发行子***392，该第二发行子***可由具有或没有第二支付网络机构(例如，第二支付网络，诸如中国上海的***)的至少一个第二凭据发行机构(例如，第二发行银行，诸如中国北京的中国人民银行)操作，以将第二交易凭据(例如，直接地或经由AE子***400)提供在主机设备100上。一旦被提供在主机设备100上，交易凭据便可由主机设备100用于安全注资或以其他方式与SP子***200(例如，可用于提供作为交易的一部分的对任何合适的商品或服务的访问的任何合适的子***)进行交易(例如，商业或金融交易或任何其他合适凭据交易)，该交易直接与SP子***200进行，或经由可与SP子***200进行接口连接的客户端设备100'或代表可能已发起与SP子***200的交易的客户端设备100'进行。

例如，在与服务提供方(“SP”)子***200(例如，经由在线资源(例如，在线应用程序或web浏览器)或经由基于非接触式邻近性的通信介质)进行接口连接以访问(例如，购买)服务提供方产品或服务的同时，客户端设备100'可将主机设备100识别为交易凭据的期望来源，该交易凭据将被用于注资或以其他方式促成访问服务提供方产品的交易。客户端设备100'可为可未被配置为存储或以其他方式已在其上提供用于为交易注资的交易凭据的设备类型(例如，客户端设备100'可不包括可用于安全利用支付凭据的安全元件)，或者被配置为存储交易凭据但当前不具有被存储在其上的特定凭据的设备类型，该特定凭据期望用于由客户端设备100'发起的特定交易。例如，在用于定义用于访问SP子***200的产品的交易的客户端设备100'和SP子***200之间的任何合适的通信期间的任何合适的点处，客户端设备100'可代表其诸如通过AE子***400的通信服务(例如，身份服务(“IDS”))来识别或已识别被存储在主机设备100上的可供客户端设备100'用于注资或以其他方式促成交易的至少一个交易凭据的可用性。在一些实施方案中，如图1所示，AE子***400可提供IDS子***471，该IDS子***可被配置为实现和/或管理主机设备100和客户端设备100'之间的任何合适的设备检测和/或通信，诸如身份服务(“IDS”)传输(例如，使用特定于管理实体的(或特定于其他实体的)服务(例如，由Apple Inc.提供的iMessage^TM))。例如，某些设备可自动或手动注册此类服务(例如，AE子***400的管理实体的生态***中的所有设备(例如，主机设备100和客户端设备100')均可自动注册该服务)。此类服务可用于提供在可实现设备检测和/或可(例如，使用每个参与设备上的IDS应用程序)使用该服务发送消息之前可能需要主动注册的端对端加密机制。可包括AE子***400的任何合适的处理部件、数据访问部件和数据通信部件的IDS子***471可用于识别或以其他方式查找在与给定用户帐户或其他方面相关联的任何电子设备上提供的任何凭据的状态，例如使得AE子***400可用于有效且高效地识别可从与特定用户帐户相关联的一个或多个特定主机设备提供给特定客户端设备(例如，多个主机设备和客户端设备可在具有AE子***400的家庭帐户中)的一个或多个非本地交易凭据。然后，客户端设备100'可与所识别和所选择的主机设备100共享任何合适的数据，以用于请求与SP子***200共享的主机设备100上的此类交易凭据，以用于代表客户端设备100'来为交易注资。客户端设备100'和主机设备100之间的此类请求和任何其他通信可由AE子***400的IDS子***471促成并穿过该IDS子***，该IDS子***用于实现设备之间的安全和/或有效通信路径。

响应于从客户端设备100'接收到此类交易凭据请求，主机设备100可使用主机设备100上的特定交易凭据来生成可用于注资或以其他方式促成交易的任何合适的主机交易凭据数据。主机设备100可生成如利用在主机设备100和在主机设备100上提供特定交易凭据的凭据发行子***之间/可用的任何合适的共享秘密(例如，密码、密码短语、随机选择字节阵列、一个或多个对称密钥、公-私钥(例如，非对称密钥)等)(例如，当主机交易凭据数据由主机设备100使用由第一发行子***391提供在主机设备100上的第一交易凭据生成时在主机设备100和第一发行子***391之间的共享秘密，或者当主机交易凭据数据由主机设备100使用由第二发行子***392提供在主机设备100上的第二交易凭据生成时在主机设备100和第二发行子***392之间的共享秘密)来加密或以其他方式修改的主机交易凭据数据，与此同时主机设备100可利用AE子***400在与客户端设备100'或SP子***200共享主机交易凭据数据之前进一步保护此类主机交易凭据数据。例如，AE子***400(例如，AE子***400的第一安全子***491和第二安全子***492中的至少一者，其中的每一者可包括AE子***400的任何合适的处理部件、数据访问部件和数据通信部件)可用于维持AE子***400和SP子***200之间/可用的任何合适的共享秘密(例如，密码、密码短语、随机选择字节阵列、一个或多个对称密钥、公-私钥(例如，非对称密钥)等)，并且AE子***400(例如，第一安全子***491和第二安全子***492中的至少一者)可用于使用此类共享秘密来加密或以其他方式修改由主机设备100生成作为SP保护的主机交易凭据数据的主机交易凭据数据(例如，来自主机设备100的已使用SP子***200的共享秘密保护的主机交易凭据数据)。接着，AE子***400可用于将此类SP保护的主机交易凭据数据传送回主机设备100。随后，主机设备100可用于将此类SP保护的主机交易凭据数据传送至客户端设备100'，其中共享主机交易凭据数据从主机设备100至客户端设备100'的此类传送可由AE子***400的IDS子***471促成并穿过该IDS子***，该IDS子***用于在设备之间实现用于数据的安全和/或有效通信路径。然后，客户端设备100'可用于将此类SP保护的主机交易凭据数据传送至SP子***200，以用于注资或以其他方式促成交易。作为另外一种选择，主机设备100可用于直接将此类SP保护的主机交易凭据数据传送至SP子***200，诸如当主机设备100发起与SP子***200的交易时(例如，当客户端设备100'未参与交易时)，或者可用于消除对经由客户端设备100'将此类SP保护的主机交易凭据数据传送至SP子***200的需要。

然而，在一些实施方案中，由凭据发行方子***的某些凭据发行子***提供在主机设备100上的某些交易凭据可受某些地理和/或政治限制规范和/或管控，这些地理和/或政治限制可旨在防止由此类“地理上受限的”交易凭据在主机设备100上生成的任何主机交易凭据数据被物理上位于与地理上受限的交易凭据的凭据发行子***所在地理区域不同的地理区域的***1(例如，AE子***400和/或客户端设备100'和/或SP子***200和/或收单银行399)的任何服务器或部件处理。例如，如图1所示，第一发行子***391可物理上位于第一地理区域91中(例如，用于在主机设备100上提供第一交易凭据的第一发行子***391的第一凭据发行机构Wells Fargo和/或第一支付网络机构MasterCard可物理上位于作为第一地理区域91的美国)，而第二发行子***392可物理上位于至少部分地不同于第一地理区域91的第二地理区域92中(例如，用于在主机设备100上提供第二交易凭据的第二发行子***392的第二凭据发行机构中国人民银行和/或第二支付网络机构***可物理上位于作为第二地理区域92的中国)。此外，如图1所示，AE子***400的IDS子***471和第一安全子***491可物理上位于第一地理区域91，而AE子***400的第二安全子***492可物理上位于第二地理区域92(应当理解，根据具体实施方案，主机设备100、客户端设备100'、SP子***200和收单子***399可位于第一地理区域91或第二地理区域92中的一个地理区域中)。因此，在此类示例性***1中，如果第二地理区域92的第二发行子***392在主机设备100上提供此类地理上受限的交易凭据，则***1可被配置为避免由该地理上受限的交易凭据在主机设备100上生成的任何主机交易凭据数据被***1的物理上位于与第二发行子***392的第二地理区域92不同的地理区域的任何(或至少某一个)服务器或部件处理(即，***1可被配置为不传送或加工或以其他方式处理使用AE子***400的物理上位于第二地理区域92之外的(例如，物理上位于第一地理区域91内的)IDS子***471和/或第一安全子***491由此类地理上受限的交易凭据在主机设备100上生成的任何主机交易凭据数据)。在此类实施方案中，虽然如图所示，AE子***400可被配置为在第二地理区域92中提供可用于在AE子***400和SP子***200之间维持和使用任何合适的共享秘密以加密或以其他方式修改任何主机交易凭据数据(如由此类地理上受限的交易凭据在主机设备100上生成以便根据地理上受限的交易凭据的地理限制来生成SP保护的主机交易凭据数据)的第二安全子***492，但是AE子***400可不被配置为在第二地理区域92中提供任何IDS子***，而是可仅在第一地理区域91中提供IDS子***471(例如，管理实体的IDS子***可仅位于美国而不位于中国，但是可对这两个区域均提供覆盖)。因此，由第二安全子***492针对地理上受限的交易凭据生成的SP保护的主机交易凭据数据(例如，“地理上受限制的”SP保护的主机交易凭据数据)可不通过IDS子***471传送，这本来可在SP保护的主机交易凭据数据将要从主机设备100传送至客户端设备100'时完成。在此类实施方案中，第二安全子***492可被配置为结合生成地理上受限的SP保护的主机交易凭据数据来生成或以其他方式访问唯一主机交易凭证，并且随后可被配置为针对SP保护的主机交易凭据数据来存储此类唯一主机交易凭证(例如，被存储在第二安全子***492的任何合适的存储器部件中)，之后可将唯一主机交易凭证而非SP保护的主机交易凭据数据返回至主机设备100。随后，主机设备100可用于将该唯一主机交易凭证而非任何SP保护的主机交易凭据数据传送至客户端设备100'，其中唯一主机交易凭证从主机设备100至客户端设备100'的此类传送可由AE子***400的IDS子***471促成并穿过该IDS子***，该IDS子***用于在设备之间实现用于凭证的安全和/或有效通信路径。此类唯一主机交易凭证可为具有任何合适大小的任何合适的数据元，诸如8字符字母数字串或9字符字母数字串，该数据元可由AE子***400或以其他方式随机或唯一地生成，以与地理上受限的SP保护的主机交易凭据数据相关联，使得凭证可不包括指示地理上受限的交易凭据和/或地理上受限的SP保护的主机交易凭据数据的任何数据。因此，此类唯一主机交易凭证可在不违反对地理上受限的交易凭据的地理限制的情况下由IDS子***471处理，即使在IDS子***471物理上不位于第二地理区域92中时也是如此，因为凭证可不包括通过地理上受限的交易凭据和/或由第二安全子***492使用地理上受限的交易凭据生成的任何地理上受限的SP保护的主机交易凭据数据而在主机设备100上生成的任何主机交易凭据数据。然而，一旦唯一主机交易凭证被客户端设备100'接收，客户端设备100'便可通过将凭证传送至第二地理区域92来将凭证兑换为地理上受限的SP保护的主机交易凭据数据。然后，第二地理区域92可使用从客户端设备100'接收的凭证来识别合适的地理上受限的SP保护的主机交易凭据数据(例如，第二地理区域92可示识别针对特定唯一主机交易凭证而存储的特定地理上受限的SP保护的主机交易凭据数据)，并且随后可将该所识别的地理上受限的SP保护的主机交易凭据数据传送回到客户端设备100'，之后该数据可从客户端设备100'传送至SP子***200以用于(例如，在SP子***200不必与主机设备100通信或甚至不必知道该主机设备的情况下(例如，如SP保护的主机交易凭据数据已在客户端设备100'本地生成那样))注资或以其他方式促成交易。作为另外一种选择，在其他实施方案中，AE子***400可用于将凭证传送到服务提供方子***200上，或者主机设备100可用于将从AE子***400所接收的凭证传送至服务提供方子***200上，或者客户端设备100'可用于将从主机设备100接收到的凭证传送到SP子***200上，并且随后SP子***200可用于在第二安全子***492处将凭证兑换为SP保护的主机交易凭据数据。例如，在一些实施方案中，客户端设备100'还可位于第一地理区域91中，并且如IDS子***471那样，不应处理地理上受限的SP保护的主机交易凭据数据以用于遵从一个或多个适用的地理限制，使得凭证应当从客户端设备100'转发到SP子***200，如果SP子***200位于第二地理区域92中，则可兑换该凭证。另外，如果SP子***200不位于第二地理区域92中，则凭证可被传送至SP子***200，并且SP子***200可将凭证转发给第二地理区域92中的合适的收单子***399，使得该收单子***399可适当地将凭证兑换为地理上受限的SP保护的主机交易凭据数据，以用于遵从一个或多个适用的地理限制。因此，在AE子***400可用作用于主机设备和客户端设备之间的有效通信的渠道的同时和/或在AE子***400可用于通过使用AE子***400和SP子***200的一个或多个任何合适的共享秘密或其他安全特征而生成地理上受限的SP保护的主机交易凭据数据来实现交易凭据数据的安全通信路径的同时，在交易过程的任何合适部分期间，唯一主机交易凭证可由***1生成并用作任何地理上受限的SP保护的主机交易凭据数据的有效代理，以用于遵从一个或多个适用的地理限制。

图1A的描述

现在参考图1A，图1A示出上文相对于图1描述的***1的扩展图，其可允许在(例如，经由客户端电子设备100')与SP子***200的交易(例如，在线交易或基于非接触式邻近性的交易)过程中安全地使用主机电子设备100上的凭据(例如，地理上受限的凭据)。AE子***400和凭据发行方子***300可用于在主机设备100上安全地提供一个或多个凭据，由此此类所提供的凭据可由主机设备100用于经由客户端设备100'来进行与SP子***200的交易(例如，金融交易或支付交易或其他合适的数据交易)。例如，响应于主机设备100(例如，通过由AE子***400促成的IDS服务)接收到来自客户端设备100'的对与SP子***200的特定交易的客户端交易(或支付)请求，主机设备100可与AE子***400共享被提供在主机设备100上的凭据的主机交易凭据数据或主机支付凭据数据，以便由AE子***400使用与SP子***200的共享秘密来保护主机交易凭据数据作为SP保护的主机交易凭据数据。接着，SP保护的主机交易凭据数据可经由主机设备100使用从AE子***400传送至主机设备100并随后可从主机设备100传送至客户端设备100'的唯一主机交易凭证而与客户端设备100'共享(例如，作为安全主机交易数据684)，但是该凭证随后可由客户端设备100'在AE子***400处兑换为SP保护的主机交易凭据数据(例如，以遵从该凭据的可禁止在主机设备100与客户端设备100'之间使用AE子***400的IDS服务来传送SP保护的主机交易凭据数据的一个或多个任何适用的地理限制)。随后，客户端设备100'可与SP子***200共享该SP保护的主机交易凭据数据以作为基于非接触式邻近性的通信5(例如，近场通信或BlueTooth^TM通信)和/或基于在线的通信(例如，网络电信或其他形式的通信)(例如，作为客户端交易数据690)，以用于注资或以其他方式促成与SP子***200的特定交易。***1还可包括可利用由SP子***200接收的此类SP保护的主机交易凭据数据代表SP子***200来完成与发行方子***300的交易的收单银行子***399。

***1可包括用于在客户端设备100'和SP子***200之间实现通信的通信路径15、用于在SP子***200和收单银行子***399之间实现通信的通信路径25、用于在收单银行子***399和凭据发行方子***300之间实现通信的通信路径35、用于在(例如，图1的第一地理区域91的)凭据发行方子***300的第一支付网络子***361和凭据发行方子***300的第一发行子***391之间实现通信的通信路径41、用于在(例如，图1的第二地理区域92的)凭据发行方子***300的第二支付网络子***362和凭据发行方子***300的第二发行子***392之间实现通信的通信路径42、用于在凭据发行方子***300和AE子***400之间实现通信的通信路径55、用于在AE子***400和主机电子设备100之间实现通信的通信路径65、用于在凭据发行方子***300和主机电子设备100之间实现通信的通信路径75、用于在AE子***400和SP子***200之间实现通信的通信路径85、用于在AE子***400和客户端设备100'之间实现通信的通信路径95，以及用于在主机设备100和客户端设备100'之间实现通信的通信路径99。路径15,25,35,41,42,55,65,75,85,95和99中的一个或多个路径可至少部分地由一个或多个可信服务管理器(“TSMs”)来管理。可使用可用于创建通信网络的任何合适的电路、设备、***或这些的组合(例如可包括一个或多个通信塔、电信服务器等的无线通信基础结构)来提供路径15,25,35,41,42,55,65,75,85,95和99中的一个或多个路径，这些路径能够使用任何合适的有线通信协议或无线通信协议来提供通信。例如，路径15,25,35,41,42,55,65,75,85,95和99中的一个或多个路径可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网、Bluetooth^TM、BLE、高频***(例如，900MHz通信***，2.4GHz通信***和5.6GHz通信***)、红外、TCP/IP、SCTP、DHCP、HTTP、BitTorrent^TM、FTP、RTP、RTSP、RTCP、RAOP、RDTP、UDP、SSH、WDS桥接、可由无线电话和蜂窝电话和个人电子邮件设备使用的任何通信协议(例如，GSM、GSM plus EDGE、CDMA、OFDMA、HSPA、多频带等)、可由低功率无线个域网(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议，或它们的任意组合。路径15,25,35,41,42,55,65,75,85,95和99中的一个或多个路径可由任何合适的通信装置(例如，图1的通信装置9)来实现。

图1B的描述

现在参考图1B，图1B示出了上文相对于图1A描述的***1的更详细视图。如图1B中所示，例如主机电子设备100可包括处理器102、通信部件106和/或近场通信(“NFC”)部件120。NFC部件120可包括或以其他方式提供安全元件145，该安全元件能够根据可由一组良好标识的可信管理机构提出的规则和安全要求来安全地托管应用程序及其保密数据和加密数据。如下文更详细地描述的，主机设备100的(例如，NFC部件120的)安全元件145上的凭据小应用程序或支付应用程序可被配置为提供具有足够的细节以用于识别任何合适注资账户或其他金融工具或信用源等(例如，凭据发行方子***300处(例如，在凭据发行方子***300的可能已在主机设备100上提供凭据小应用程序的相同发行子***处))的主机支付凭据数据或主机交易凭据数据，其中此类主机交易凭据数据可最终由SP子***200和/或发行方子***300接收，以用于为金融交易注资或以其他方式促成任何合适的交易。NFC部件120或类似NFC部件120'可被配置为传送此类主机交易凭据数据或相关联的凭证或任何其他合适的数据作为彼此之间或与SP子***200(例如，与SP子***200的可位于实体店或任何物理位置处的SP终端220，在该物理位置处，主机设备100或客户端设备100'的用户可使用凭据经由基于非接触式邻近性的通信来与位于附近的SP终端220进行交易)的基于非接触式邻近性的通信(例如，近场通信)。NFC部件120可允许以相对较低数据速率(例如，424kbps)的近距离通信，并且可遵从任何合适的标准诸如ISO/IEC 7816、ISO/IEC 18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443和/或ISO 15693。NFC部件120可允许相对较高数据速率(例如，370Mbps)的近距离通信，并且可遵此从任何合适的标准诸如TransferJet^TM协议。NFC部件120或NFC部件120'与SP子***200之间的通信可发生于NFC部件和商家子***200之间的任何合适的近程距离内(例如，参见图1A和图1B的NFC部件120'和终端220之间的距离D)，诸如大约2厘米到4厘米的范围，并可在任何合适的频率(例如，13.56MHz)下工作。例如，NFC部件的此类近距离通信可经由磁场感应发生，该磁场感应可允许NFC部件与其他NFC设备进行通信和/或从具有射频识别(“RFID”)电路的标签检索信息。尽管可相对于近场通信来描述NFC部件120(和/或部件120')，但应理解，部件120可被配置为提供设备100与另一实体诸如客户端设备100'或终端220之间的任何合适的基于非接触式邻近性的移动支付或任何其他合适类型的基于非接触式邻近性的通信。例如，NFC部件120可被配置为提供任何合适的短程通信，诸如涉及电磁耦合技术/静电耦合技术的短程通信。可提供通信部件106以允许主机设备100使用任何合适的有线协议或无线协议与一个或多个其他电子设备或服务器或子***(例如，***1的一个或多个子***或其他部件)传送任何合适的主机交易凭据数据或相关联的凭证。主机设备100的处理器102可包括可用于控制主机设备100的一个或多个部件的操作和性能的任何合适的处理电路。例如，处理器102可被配置为在设备100上运行一个或多个应用程序(例如，应用程序103和/或在线资源或SP应用程序113)，这些应用程序可至少部分地规定数据(例如，主机交易凭据数据或相关联的凭证)可由主机设备100传送以(诸如经由客户端设备100')促成与SP子***200的交易的方式(例如，数据可在主机设备100和客户端设备100'之间传送的方式和/或数据可在主机设备100和AE子***400之间传送的方式，该数据可最终从AE子***400传送至客户端设备100')。此外，如图1B所示，主机设备100可包括可由设备100的处理器102或任何其他合适部分访问的任何合适的主机设备识别信息119。主机设备识别信息119可由客户端设备100'和/或AE子***400和/或SP子***200和/或发行方子***300的用户用于唯一地识别主机设备100，以促成与SP子***200的交易和/或实现与主机设备100的任何合适的安全通信。仅作为一个示例，主机设备识别信息119可以是电话号码或电子邮件地址，或者是可与设备100相关联的任何唯一标识符。

客户端设备100'可包括与主机设备100相同的部件中的一个部件、一些部件或所有部件，或由主机设备100未提供的任何部件。例如，如图1B所示，客户端设备100'可包括可与主机设备100(例如，经由通信路径99)和/或与AE子***400(例如，经由通信路径95)和/或与SP子***200(例如，经由通信路径15)传送任何合适通信的任何合适通信部件106'。客户端设备100'可包括可用于与SP子***200的终端220传送基于非接触式邻近性的通信5的任何合适的基于非接触式邻近性的部件或者NFC部件120。客户端设备100'可包括可用于运行设备100'上的一个或多个合适的应用程序(例如，在线资源或SP应用程序113')的任何合适处理器102'，该应用程序可至少部分地规定来自主机设备100或其他方面的主机交易凭据数据或相关联的凭证可由客户端设备100'兑换和/或传送以促成与SP子***200的交易的方式。此外，客户端设备100'可包括可由处理器102'或设备100'的任何其他合适部分访问并且可由主机设备100和/或AE子***400和/或SP子***200和/或发行方子***300的用户用于唯一地识别客户端设备100'以促成与SP子***200的交易和/或实现与客户端设备100'的任何合适的安全通信的任何合适的客户端设备识别信息119'。仅作为一个示例，客户端设备识别信息119'可以是电话号码或电子邮件地址，或者是可与设备100'相关联的任何唯一标识符。虽然并未示出，但是客户端设备100'也可包括可与图2所示电子设备100的I/O接口114相同或类似的I/O接口、可与电子设备100(参见例如图2)的总线118相同或类似的总线、可与电子设备100的存储器部件104相同或类似的存储器部件和/或可与电子设备100的电源部件108相同或类似的电源部件。

SP子***200可包括任何合适的服务提供方(“SP”)服务器210，如图1B所示，该SP服务器可包括任何合适的部件或子***，该任何合适的部件或子***被配置为经由任何合适的通信协议(例如，Wi-Fi、Bluetooth^TM、蜂窝、有线网络协议等)来与AE子***400的通信部件和/或与收单银行399的通信部件106'和/或客户端设备100'的通信部件传送任何合适的数据。例如，在任何合适的在线上下文内诸如当客户端设备100'的用户正经由可能正在客户端设备100'上运行的任何合适SP在线资源113'(诸如可由SP服务器210管理的在客户端设备100'上运行的第三方SP应用程序113'或可指向目标或web资源可由SP服务器210管理的统一资源定位符(“URL”)的客户端设备100'上运行的互联网应用程序113'(例如，Apple Inc.的Safari^TM))与SP服务器210通信以进行交易时，SP服务器210可用于与客户端设备100'的通信部件106'传送潜在交易数据660。因此，需要指出，SP服务器210和客户端设备100'之间的通信可以无线方式和/或经由有线路径(例如，通过互联网)发生。可由SP子***200的商家或任何其他控制实体的商家提供SP服务器210(例如，作为网络服务器以托管网站数据和/或管理第三方应用程序数据)。如图1B所示，SP子***200可包括任何合适的SP终端220(例如，商家支付终端)，该SP终端可包括任何合适的部件或子***，该任何合适的部件或子***被配置为与主机设备100和/或客户端设备100'的基于非接触式邻近性的通信部件(例如，与客户端设备100'的NFC部件120'的基于非接触式邻近性的通信5)传送任何合适的数据。SP子***200可包括SP密钥157和/或SP密钥157'。此外，SP子***200可包括可供服务器210和/或终端220和/或SP子***200的任何其他合适部分访问的任何合适的服务提供方识别(“SP ID”)信息219。SP ID信息219可由客户端设备100'和/或主机设备100和/或AE子***400和/或SP子***200和/或发行方子***300用于唯一地识别SP子***200，以促成交易和/或实现任何合适的安全通信。仅作为一个示例，SP ID信息219可以是电话号码或电子邮件地址或IP地址，或者可与SP子***200相关联的任何唯一标识符。尽管并未示出，但是SP子***200也可包括可与图1B和图2的电子设备100的处理器部件102相同或类似的SP处理器部件、可与图1B和图2的电子设备100的通信部件106相同或类似的SP通信部件(作为服务器210的一部分)、可与图2的电子设备100的I/O接口114相同或类似的SP I/O接口、可与图2的电子设备100的总线118相同或类似的SP总线、可与图2的电子设备100的存储器部件104相同或类似的SP存储器部件和/或可与图2的电子设备100的电源部件108相同或类似的SP电源部件。

发行方子***300可包括至少一个发行子***(例如，发行银行子***)，诸如第一发行子***391和第二发行子***392。另外，在一些实施方案中，发行方子***300可包括至少一个网络子***(例如，支付网络子***(例如，支付卡协会或***协会))，诸如第一网络子***361和第二网络子***362。例如，每个发行子***可以是可针对消费者清偿其可利用特定凭据产生的债务的能力承担主要责任的金融机构。主机设备100的NFC部件120的一个或多个特定凭据小应用程序可与特定支付卡相关联，该特定支付卡可以电子方式链接到特定用户的一个或多个账户。各种类型的支付卡都可以是合适的，包括***、借记卡、签帐卡、储值卡、汽油特惠卡、礼品卡等。可由发行方子***300的发行子***在主机设备100上提供特定支付卡的商务凭据(例如，作为NFC部件120的凭据补充安全域(“SSD”)的凭据，如下所述)，以用于(例如，直接地或经由AE子***400和/或经由客户端设备100')与SP子***200进行商务凭据数据通信(例如，基于非接触式邻近性的通信和/或基于在线的通信)。每个凭据可以是可由发行方子***300的网络子***进行品牌标注的特定品牌的支付卡。发行方子***300的每个网络子***可以是可处理对特定品牌的支付卡(例如，商业凭据)的使用的发行方子***300的各个发行子***和/或各个收单银行399的网络。已知为支付处理器或收单器的收单银行子***399可以是与SP子***200相关联的SP的银行合作方，并且收单银行子***399可被配置为与发行方子***300一起工作以批准并解决将试图利用主机交易凭据数据(例如，经由SP子***200)由主机设备100注资的凭据交易。发行方子***300的网络子***和发行子***(例如，网络子***362和发行子***392)可以是单一实体或独立实体。例如，American Express既可以是网络子***也可以是发行子***，而相比之下，Visa和MasterCard可为支付子***并且可与发行子***诸如Chase、WellsFargo、Bank of America协同工作。发行方子***300还可包括一个或多个收单银行诸如收单银行子***399。例如，收单银行子***399可与发行子***392为同一实体。

为了在***1内发生金融交易(例如，可根据本文所公开的概念由***1在客户端设备100'和/或主机设备100与SP子***200之间进行的许多合适类型的交易中的特定类型的交易)，必须在主机设备100的安全元件上提供至少一个商务凭据。例如，此类商务凭据可直接地从发行方子***300或经由AE子***400至少部分地提供在主机设备100的安全元件145上(例如，第一主机凭据可作为第一主机凭据数据652而被提供在发行方子***300的第一发行子***391(和/或相关联的第一网络子***361)与设备100之间，和/或第二主机凭据可作为第二主机凭据数据654而被提供在发行方子***300的第二发行子***392(和/或相关联的第二网络子***362)与设备100之间)，其中任何此类主机凭据数据接着经由通信部件106而被传递至NFC部件120。第一主机凭据数据652可作为NFC部件120的凭据补充安全域的至少一部分或全部而被提供在设备100的安全元件145上并可包括具有凭据信息和/或凭据密钥的凭据小应用程序，诸如具有凭据信息161a和凭据密钥155a'的支付应用程序或凭据小应用程序153a，而第二主机凭据数据654可作为NFC部件120的凭据补充安全域的至少一部分或全部而被提供在设备100的安全元件145上并可包括具有凭据信息和/或凭据密钥的凭据小应用程序，诸如具有凭据信息161b和凭据密钥155b'的支付应用程序或凭据小应用程序153b。如图1B所示，例如，发行方子***300(例如，第一发行子***391)还可具有对凭据密钥155a'(例如，用于解密由设备100使用凭据密钥155a'加密的数据)的访问权限，并且发行方子***300(例如，第二发行子***392)还可具有对凭据密钥155b'(例如，用于解密由设备100使用凭据密钥155b'加密的数据)的访问权限。发行方子***300可负责管理凭据密钥155a'和155b'，这可包括此类密钥的生成、交换、存储、使用和替换。发行方子***300可将其每个版本的凭据密钥存储在发行方子***300的一个或多个合适的安全元件中。应当理解，NFC部件120和发行方子***300的凭据密钥155a'和155b'中的每一者可为任何合适的共享秘密(例如，密码、密码短语、随机选择字节阵列、一个或多个对称密钥、公-私钥(例如，非对称密钥)等)，这些共享秘密可供电子设备100和发行方子***300的安全元件两者使用，该安全元件可用于使得任何合适的据加密数据(例如，密文)或任何其他合适的数据能够独立地由电子设备100和发行方子***300生成(诸如通过使用功能输出可至少部分地由共享秘密确定的任何合适的加密算法或密码)(例如，用于验证金融交易的支付数据)，其中此类共享秘密可由发行方子***300提供在设备100上。共享秘密可事先(例如，在由发行方子***300在设备100上提供凭据期间)在发行方子***300和主机设备100之间共享，在此类情况下，此类共享秘密可被称为预共享密钥，或者共享秘密可在用于特定金融交易之前通过使用密钥协商协议(例如，使用公钥加密法诸如Diffie-Hellman、或使用对称密钥加密法诸如Kerberos)来创建。共享秘密以及功能输出可至少部分地由共享秘密确定的任何合适的加密算法或密码可由设备100的安全元件访问。

可提供AE子***400作为发行方子***300和主机设备100之间的中间体，其中AE子***400可被配置为在设备100的安全元件上提供凭据时和/或在使用所提供的凭据作为设备100和SP子***200之间的主机交易凭据数据通信的一部分时提供新安全层和/或提供更无缝的用户体验。AE子***400可由可向设备100的用户和/或设备100'的用户提供各种服务的任何合适的管理实体和/或商业实体提供，该管理实体和/或商业实体经由对与该管理实体的特定于用户的账户的特定于用户的登录信息(例如，经由特定于用户的识别和密码组合)来向设备用户提供各种服务。仅作为一个示例，AE子***400可由Apple Inc.(Cupertino,CA)提供，Apple Inc.也可以是向设备100和/或设备100'的用户提供各种管理和/或其他服务的提供方(例如，用于销售/租赁要由设备100播放的媒体的iTunes^TM商店、用于销售/租赁用于设备100上的应用程序的Apple App Store^TM、用于存储来自设备100的数据和/或使多个用户设备和/或多个用户配置文件彼此相关联的Apple iCloud^TM服务、用于在线购买各种苹果产品的苹果在线商店、用于在设备之间传送媒体消息的AppleiMessage^TM等)，并且其还可为设备100本身和/或设备100'本身(例如，当设备100为iPod^TM、iPad^TM、iPhone^TM、MacBook^TM、iMac^TM、Apple Watch^TM等时)和/或设备100和/或设备100'的操作***(例如，设备应用程序103)的提供方、制造商和/或开发商。可提供AE子***400(例如，Apple Inc.)的管理实体或商业实体可不同于且独立于发行方子***300的任何凭据发行和/或金融实体。例如，可提供AE子***400的管理实体或商业实体可不同于且独立于可提供和/或管理要在终端用户主机设备100上提供的任何***或任何其他商务凭据的任何支付网络子***360或发行银行子***370。可提供AE子***400的实体(例如，AppleInc.)可不同于且独立于SP子***200的任何商家(例如，SP子***200的可提供NFC通信的SP终端220的任何SP实体、第三方应用程序113/113'和/或SP子***200的任何其他方面)。此类AE可利用其潜在能力来配置或控制设备100的各种部件(例如，在诸如该实体可至少部分地产生或管理设备100/100'时的设备100/100'的软件部件和/或硬件部件)，以便在其希望在主机设备100上提供由发行方子***300提供的凭据时和/或在使用此类所提供的凭据作为与SP子***200的主机交易凭据数据通信的一部分以为交易注资时为设备100/100'的用户提供更无缝的用户体验。例如，在一些实施方案中，设备100可被配置为与AE子***400无缝地且对于设备100的用户透明地进行通信，以用于(例如，在设备100和SP子***200之间的基于在线的主机交易凭据数据通信期间)共享和/或接收可实现更高等级的安全性的特定数据。虽然并未示出，但是AE子***400还可包括或可访问可与设备100上的此类部件相同或类似的处理器部件、通信部件、I/O接口、总线、存储器部件和/或电源部件，这些部件中的一个部件、一些部件或所有部件可至少部分地由AE子***400的服务器410、IDS子***471、第一安全子***491和第二安全子***492中的一者、一些或每一者提供。

除了在主机设备100的NFC部件120的安全元件上提供至少一个商务凭据(例如，作为具有凭据密钥155a'和凭据信息161a的第一凭据SSD 154a的一部分的第一主机凭据和/或作为具有凭据密钥155b'和凭据信息161b的第二凭据SSD 154b的一部分的第二主机凭据)之外，还可在设备100的NFC部件120的安全元件上提供具有访问密钥155c的至少一个访问SSD 154c，以便更安全地使得设备100能够与SP子***200进行金融交易或其他安全交易。例如，访问SSD 154c可直接地从AE子***400至少部分地提供在主机设备100的安全元件145上(例如，作为AE子***400和设备100的通信部件106之间的访问数据651/653，随后可将该访问数据从通信部件106传递至NFC部件120)。可在设备100上提供访问数据651/653作为访问SSD 154c的至少一部分或全部，并且该访问数据可包括具有访问密钥155c的访问小应用程序153c。如图1B中所示，AE子***400还可具有对访问密钥155c的访问权限(例如，用于解密由设备100使用访问密钥155c加密的数据)。AE子***400可负责管理访问密钥155c，这可包括此类密钥的生成、交换、存储、使用和替换。AE子***400可在AE子***400的安全元件中存储其版本的访问密钥155c。具有访问密钥155c的访问SSD 154c可被配置为(例如，经由设备100的一个或多个输入部件110，诸如生物特征输入部件)确定设备100的用户的意图和本地认证，并且响应于这此类确定，其可被配置为使得另一特定SSD能够(例如，利用凭据SSD 154a或SSD 154b的主机凭据)进行支付交易。通过在设备100的安全元件145内存储此类访问SSD可提高其可靠地确定安全数据交易的用户意图和认证的能力。此外，可利用访问密钥155c来提供对可在设备100的安全元件外部传送的任何主机交易数据的增强的加密。访问数据651/653可包括安全元件145的ISD 152的发行方安全域(“ISD”)密钥156k，其还可由AE子***400维持并且可在访问密钥155c(或访问密钥155a,155b,151k和158k中的一个或多个其他访问密钥)之外或作为替代来使用。虽然未明确地示出或描述，但应理解，(例如，当可在客户端设备100'上提供凭据以使得客户端设备100'可用于作为主机设备来工作时)AE子***400可用于以与AE子***400可用于与主机设备100交互或相关联的相同方式中的任一种方式或所有方式来与客户端设备100'进行交互或相关联。

SP应用程序或在线资源113'可由客户端设备100'访问，以便能够在设备100'和SP子***200之间促成在线交易(例如，在线金融交易)。首先，可在客户端设备100'可访问应用程序113'之前由AE子***400来批准或以其他方式启用此类应用程序113'。例如，AE子***400的应用程序商店420(例如，Apple App Store^TM)可经由通信路径85从SP子***200接收用于表示应用程序113'的至少一些数据。此外，在一些实施方案中，AE子***400可针对应用程序113'生成或以其他方式分配SP密钥157'，并可向SP子***200(例如，经由路径85)提供此类SP密钥157'。另选地，SP子***200可针对应用程序113'生成或以其他方式分配SP密钥157'，并可向AE子***400(例如，经由路径85)提供此类SP密钥157'。SP子***200或AE子***400可负责管理SP密钥157'，这可包括此类密钥的生成、交换、存储、使用和替换。无论如何或在哪里生成并管理此类SP密钥157'，SP子***200和AE子***400两者可存储某版本的SP密钥157'(例如，在SP子***200和AE子***400的相应安全元件中)。在一些实施方案中，此类SP密钥157'可专门与SP应用程序113'相关联，而其他实施方案中，SP密钥157'可专门与SP子***200的商家相关联，使得SP密钥157'可与由SP子***200的同一商家操作的多个第三方应用程序相关联。表430或可由AE子***400访问的任何其他合适的数据结构或信息源可被提供用于使用SP ID 219或以其他方式使特定SP密钥157'与特定SP应用程序113'和/或SP实体相关联(例如，安全子***491和492中的每个安全子***均可包括表430)。表430可使得AE子***400能够确定和利用合适的SP密钥157'，以用于向被传送至SP子***200的任何交易凭据数据(例如，可包括主机设备100本地的支付凭据数据的主机交易凭据数据)提供安全层，其中该数据用于可涉及经由与密钥157'相关联的SP应用程序113'来与SP子***200进行接口连接的客户端设备100'的金融交易。设备100'可被配置为(例如，经由通信路径95从应用程序商店420)访问应用程序113'并(例如，利用处理器102')运行应用程序113'。并非或除了与商家的第三方应用程序(例如，应用程序113)相关联，SP密钥157'通常可与商家网站(例如，一个或多个URL)或与商家相关联。例如，SP子***200的商家可与AE子***400一起工作，以将特定商家网站或该商家通常与表430内的特定SP密钥157'相关联(例如，将特定SP ID 219与特定SP密钥相关联)，这可使得AE子***400能够确定和利用合适的SP密钥157'，以用于向被传送至SP子***200的任何主机交易凭据数据(例如，商务凭据数据)(例如，可包括主机设备100本地的支付凭据数据的主机交易凭据数据，该数据用于可涉及经由在设备100'上运行的互联网应用程序或web浏览器(其可指向目标或web资源可与该SP密钥157'相关联的URL)来与SP服务器210进行接口连接以进行交易的客户端设备100'的交易)提供安全层。设备100'可被配置为(例如，使用设备100'上的互联网应用程序113')经由通信路径15来从SP服务器210访问此类URL。在其他实施方案中，应用程序113'可不与特定SP实体、SP子***200和/或SP密钥157'相关联，而是可为可用于设备100'的独立应用程序。在一些实施方案中，如图所示，具有SP密钥157的类似应用程序113可(例如，经由AE子***400)被提供用于主机设备100，其中应用程序113可与应用程序113'相同或不同，和/或其中密钥157可与密钥157'相同或不同。

图2的描述

现在参考图2，图2示出了上文相对于图1至图1B描述的***1的电子设备100的更详细视图。如图2所示，例如设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116、和NFC部件120。设备100还可包括总线118，该总线可提供一个或多个有线或无线通信链路或路径，以用于向设备100的各种其他部件传输数据和/或功率、从该设备的各种其他部件传输数据和/或功率、或者在该设备的各种其他部件之间传输数据和/或功率。设备100还可设置有外壳101，该外壳可至少部分地包封设备100的部件中的一个或多个部件，以保护其免受设备100外部的杂物和其他降解力的损害。在一些实施方案中，可对设备100的一个或多个部件进行合并或省略。此外，设备100可包括未被结合或被包括在图2中的其他部件。例如，设备100可包括任何其他合适的部件或在图2中所示部件的若干个示例。为了简单起见，在图2中仅示出了每种部件中的一个部件。可提供一个或多个输入部件110以允许用户与设备100进行交互或接口连接，和/或可提供一个或多个输出部件112以向设备100的用户呈现信息(例如，图形信息、音频信息和/或触觉信息)。应当指出，在本文有时可将一个或多个输入部件和一个或多个输出部件统称为输入/输出(“I/O”)部件或I/O界面114(例如，输入部件110和输出部件112作为I/O部件或I/O界面114)。例如，输入部件110和输出部件112有时可以是可通过用户触摸显示屏来接收输入信息并且还可经由同一个显示屏向用户提供视觉信息的单个I/O部件114诸如触摸屏。设备100的处理器102可包括可用于控制设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2所示，处理器102可用于运行一个或多个应用程序，诸如应用程序103和/或应用程序113。作为一个示例，应用程序103可以是操作***应用程序，而应用程序113可以是第三方应用程序或任何其他合适的在线资源(例如，与SP子***200的商家相关联的应用程序)。此外，如图所示，处理器102可具有对主机设备识别信息119的访问权限，该主机设备识别信息可由设备100和/或AE子***400的用户用于向SP子***200(例如，为了促成交易)和/或向AE子***400和/或客户端设备100'(例如，为了促成设备100和100'之间的安全通信)提供对设备100的识别。

NFC部件120可以是可在电子设备100与设备100'和/或SP终端220之间实现基于非接触式邻近性的交易或通信的任何合适的基于邻近性的通信机构。NFC部件120可包括用于在设备100和此类SP终端之间实现基于非接触式邻近性的通信的任何合适的模块。如图2所示，例如NFC部件120可包括NFC设备模块130、NFC控制器模块140、和/或NFC存储器模块150。NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或以其他方式提供可作为基于非接触式邻近性的通信或NFC通信的一部分的由NFC部件120传送至SP终端的任何合适的数据。NFC数据模块132可被配置为包含、路由或以其他方式接收可作为基于非接触式邻近性的通信的一部分的由NFC部件120从SP终端接收的任何合适的数据。NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC设备模块130工作，以启用、激活、允许和/或以其他方式控制NFC部件120，以用于在设备100和SP终端之间传送NFC通信。NFC控制器模块140可包括可用于运行一个或多个应用程序(诸如可帮助指示NFC部件120的功能的NFC低功率模式或钱包应用程序143)的至少一个NFC处理器模块142。NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作，以允许设备100和SP子***200之间的NFC通信。NFC存储器模块150可防篡改并可提供设备100的安全元件145的至少一部分。例如，此类安全元件可被配置为提供防篡改平台(例如，作为单芯片或多芯片安全微控制器)，其可能够根据可由一组良好标识的可信管理机构(例如，凭据发行方子***和/或金融机构子***的管理机构和/或行业标准诸如GlobalPlatform)所提出的规则和安全要求来安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。

如图2所示，例如NFC存储器模块150可包括可由NFC规范标准(例如GlobalPlatform)定义和管理的发行方安全域(“ISD”)152、SSD 154a-154c(例如，服务提供方安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)、凭据SSD、访问SSD等)中的一者或多者。例如，ISD 152可为NFC存储器模块150的一部分，其中可信服务管理器(“TSM”)或发行金融机构(例如，发行方子***300)可将用于创建或以其他方式提供一个或多个凭据(例如，与各种***、银行卡、礼品卡、赊购卡、通行证、数字货币(例如，比特币和相关联的支付网络)等相关联的凭据)的一个或多个密钥(例如，ISD密钥156k)和/或其他合适的信息(例如，经由通信部件106)存储在设备100上，以用于凭据内容管理和/或安全域管理。凭据可包括可分配给用户/消费者并且可安全地存储在电子设备100上的凭据数据(例如，凭据信息161a)，诸如***支付号(例如，设备主帐号(“DPAN”)、DPAN有效期、CVV等(例如，作为令牌或是其他手段))。NFC存储器模块150可包括至少三个SSD 154(例如，第一凭据SSD 154a、第二凭据SSD 154b和访问SSD 154c)。例如，第一凭据SSD 154a和第二凭据SSD 154b可与可向电子设备100提供特定特权或支付权限的相应特定凭据(例如，由发行方子***300提供的特定***凭据或特定公共交通卡凭据)相关联，而访问SSD 154c可与商业或管理实体(例如，可为控制设备100的实体的AE子***400的实体)相关联，该商业实体可控制设备100对另一SSD(例如，第一SSD 154a或第二SSD 154b)的特定凭据的访问，例如以向电子设备100提供特定特权或支付权限。每个SSD 154可包括至少一个小应用程序153和/或与其相关联(例如，具有小应用程序153a的SSD 154a和具有小应用程序153b的SSD 154b)。例如，SSD154的小应用程序153可以是可运行于NFC部件120的安全元件上的应用程序(例如，在GlobalPlatform环境中)。凭据小应用程序153可包括凭据信息161(例如，小应用程序153a的信息161a和/或小应用程序153b的信息161b)或与其相关联。每个SSD 154和/或小应用程序153还可包括其自身的密钥155中的至少一个密钥和/或与其相关联(例如，具有至少一个访问密钥155a和至少一个凭据密钥155a'的小应用程序153a，以及具有至少一个访问密钥155b和至少一个凭据密钥155b'的小应用程序153b)。

SSD 154的密钥155可以是可确定加密算法或密码的函数输出的一条信息。例如，在进行加密时，密钥可指定在加密期间的明文到密文的特定转化，或反之亦然。也可在其他加密算法中使用密钥诸如数字签名方案和消息认证代码。SSD的密钥可提供与另一实体的任何合适的共享秘密。每个密钥和小应用程序可由TSM或被授权的代理在设备100的安全元件上加载，或者在第一次被提供在设备100上时在安全元件上进行预加载。作为一个示例，尽管凭据SSD 154a可与特定***凭据相关联，但该特定凭据可仅用于在该凭据SSD 154a的小应用程序153a已被启用或以其他方式被激活或解锁以用于此类用途时从设备100的安全元件(例如，从NFC部件120)向SP子***200传送主机交易凭据数据通信以用于金融交易。

可提供安全特征以使得能够使用NFC部件120，该安全特征在(例如，经由AE子***400和/或经由设备100)将机密支付信息(诸如凭据的***信息或银行账号信息)从电子设备100传输到SP子***200时尤其有用。此类安全特征还可包括可具有受限访问权限的安全存储区域。例如，可能需要提供经由个人标识号(“PIN”)输入或经由与生物识别传感器的用户交互的用户认证，以访问安全存储区域。例如，访问SSD 154c可利用小应用程序153c以在允许使用其他SSD 154(例如，凭据SSD 154a或凭据SSD 154b)发送其凭据信息161之前确定是否已发生此类认证。在某些实施方案中，一些或全部安全特征可被存储在NFC存储器模块150内。此外，可在NFC存储器模块150内存储安全信息诸如认证密钥，以用于与SP子***200传送商务凭据数据。在某些实施例中，NFC存储器模块150可包括嵌入电子设备100内的微控制器。仅作为一个示例，访问SSD 154c的小应用程序153可被配置为(例如，经由一个或多个输入部件110，诸如生物特征输入部件)确定设备100的用户的意图和本地认证，并且响应于此类确定，其可被配置为使得另一特定SSD能够(例如，利用凭据SSD 154a的凭据)进行支付交易。

图2A的描述

现在参考图2A，图2A示出了上文相对于图1至图2描述的***1的设备100的一部分的另一详细视图。如图2A中所示，例如NFC部件120的安全元件145可包括：SSD 154a，其可包括小应用程序153a、凭据信息161a、访问密钥155a和/或凭据密钥155a'或与它们相关联；以及SSD 154b，其可包括小应用程序153b、凭据信息161b、访问密钥155b和/或凭据密钥155b'或与它们相关联。在一些实施方案中，SSD 154a和154b中的每个SSD可与特定TSM以及可向电子设备100提供特定特权或支付权限的至少一个特定商务凭据(例如，特定***凭据或特定公共交通卡凭据)相关联(例如，SSD 154a可与由发行方子***300的第一发行子***391提供的第一主机交易凭据相关联，并且SSD 154b可与由发行方子***300的第二发行子***392提供的第二主机交易凭据相关联，如相对于图1所述)。每个SSD 154可具有其自身的管理器密钥155(例如，密钥155ak和155bk中的相应一个密钥)，其可能需要被激活以启用该SSD 154的功能以供NFC设备模块130使用。每个SSD 154可包括其自身的凭据应用程序或与特定商务凭据相关联的凭据小应用程序(例如，Java卡小应用程序示例)中的至少一者和/或与其相关联(例如，SSD 154a的凭据小应用程序153a可与第一商务凭据相关联，和/或SSD 154b的凭据小应用程序153b可与第二商务凭据相关联)，其中凭据小应用程序可具有其自身的访问密钥(例如，用于凭据小应用程序153a的访问密钥155a和/或用于凭据小应用程序153b的访问密钥155b)和/或其自身的凭据密钥(例如，用于凭据小应用程序153a的凭据密钥155a'和/或用于凭据小应用程序153b的凭据密钥155b')，并且其中可能需要激活凭据小应用程序以启用其相关联的商务凭据，以供NFC设备模块130用作(例如，与SP终端220)NFC通信和/或用作设备100和SP子***200之间(例如，经由AE子***400和/或客户端设备100')的基于在线的通信。在一些实施方案中，凭据小应用程序的凭据密钥可由可负责此类凭据的发行方子***300生成并且可由发行方子***300访问，以用于使得小应用程序的凭据信息能够在安全元件145和发行方子***300之间安全地进行传输。凭据小应用程序的访问密钥可由AE子***400生成并且可由AE子***400访问，以用于使得小应用程序的凭据信息能够在安全元件145和AE子***400之间安全地进行传输。如图所示，每个小应用程序可包括其自身的唯一应用程序标识符(“AID”)，诸如小应用程序153a的AID 155aa和/或小应用程序153b的AID 155ba。例如，AID可识别特定卡方案和产品、程序或网络(例如，MasterCard Cirrus、Visa PLUS、Interac等)，其中AID不仅可包括可用于识别与AID相关联的凭据的支付***(例如，卡方案)或网络(例如，MasterCard、Visa、Interac等)的已注册应用程序提供方标识符(“RID”)，还可包括可用于在由与AID相关联的凭据的提供方或支付***提供的产品、程序或应用程序之间进行区分的专有应用程序标识符扩展(“PIX”)。可用于负责安全元件145的固件的任何合适的规范(例如，Java卡规范)可用于确保或以其他方式促成安全元件145上的每个AID的唯一性(例如，安全元件145上的每个凭据示例可与其自身的唯一AID相关联)。

如图2A所示，安全元件145可包括ISD 152，该ISD可包括ISD密钥156k，该ISD密钥对于与该安全域相关联的可信服务管理器(例如，AE子***400，如图1B所示)也可以是已知的。可类似于和/或替代访问密钥155a和/或访问密钥155b，由AE子***400和设备100来利用ISD密钥156k，以实现AE子***400和安全元件145之间的安全传输。此外，如图2A所示，可在处理器102和安全元件145之间传送各种数据。例如，设备100的处理器102可被配置为运行设备应用程序103，该设备应用程序可与处理器102的应用程序113以及安全元件145、I/O接口部件114a(例如，以用于接收I/O输入数据115i和/或用于传输I/O输出数据115o)和/或通信部件106传送信息。此外，如图所示，处理器102可具有对设备识别信息119的访问权限，该设备识别信息可用于实现设备100和远程实体之间的安全通信。

如图2A所示，安全元件145可包括控制管理机构安全域(“CASD”)158，该CASD可被配置为生成和/或以其他方式包括CASD访问套件158k(例如，CASD密钥、证书和/或签名模块)。例如，在向设备100的另一个部分(例如，用于和***1的其他子***共享的通信部件106)提供此类数据之前，CASD 158可被配置为(例如，使用CASD访问套件158k)标记安全元件145上的特定数据。安全元件145可包括非接触式注册表服务(“CRS”)小应用程序或应用程序151，CRS小应用程序或应用程序可被配置为向电子设备100提供本地功能，以修改某些安全域元素的生命周期状态(例如，激活、去激活、锁定等)并与设备100的用户共享(例如，经由用户I/O接口114a)关于在某些生命周期状态中的某些安全域元素的某些输出信息115o，并且CRS小应用程序或应用程序可包括CRS列表151t，该CRS列表可维持安全元件145上的每个安全域元素的当前生命周期状态的列表，并且可被配置为与设备100的应用程序(例如，可与任何合适的应用程序类型，诸如守护进程，诸如可作为操作***应用程序103内的后台进程而运行的卡管理守护进程(“CMD”)应用程序113a和/或卡管理应用程序113b(例如，Apple Inc.的Passbook^TM或Wallet^TM应用程序)和/或SP应用程序113c(例如，可与SP密钥157相关联的SP应用程序)和/或身份服务(“IDS”)应用程序113d，但其可不一定在设备100的交互用户的控制下)共享一个或多个安全域元素的生命周期状态，这进而可经由I/O接口114a和用户界面(“UI”)应用程序(例如，卡管理应用程序113b的UI)来向设备100的用户提供某些生命周期状态信息作为输出信息115o，这些输出信息可使得用户能够改变安全域元素的生命周期状态。CRS 151可包括CRS访问密钥151k，该CRS访问密钥对于与CRS 151相关联的可信服务管理器(例如，如图1B所示的AE子***400)也可以是已知的，并且可类似于和/或代替访问密钥155a和/或访问密钥155b由AE子***400和设备100用于实现AE子***400和安全元件145之间的安全传输。

IDS应用程序113d可为任何合适的应用程序类型，诸如可作为操作***应用程序103内的后台进程和/或卡管理应用程序113b运行和/或可由CMD应用程序113a提供并且可用作IDS管理器来监听并可通过任何合适的IDS服务(例如，AE子***400的IDS子***471的IDS服务)向和/或从设备100发送的IDS消息的守护进程，该何合适的IDS服务可类似于任何合适的消息发送服务诸如Apple Inc.的iMessage^TM等等(例如，Apple Inc.的FaceTime^TM或Continuity^TM)和/或该何合适的IDS服务可对主机设备100的IDS应用程序113d与另一设备的类似IDS应用程序(例如，客户端设备100'的IDS应用程序)之间的消息实现唯一端对端加密。可使用用于通信设备中的一个或两个通信设备的唯一标识符(例如，主机设备唯一标识符119和/或客户端设备唯一标识符119'和/或用于通信设备的特定用户中的一个或两个特定用户的唯一标识符)来对此类消息进行加密。此类消息可作为本地链路或真实的设备到设备(例如，对等)通信来传送，或者可经由AE子***400(例如，经由IDS子***471(例如，使用身份管理***部件470))来传送。此类消息发送可被实现为可允许数据以结构化格式(例如，协议缓冲区)和/或非结构化格式进行交换的低延迟解决方案。如果IDS应用程序113d在接收到IDS消息时未运行，则其可被自动唤醒。IDS应用程序113d可用于呈现合适的用户界面并且将所接收到的IDS通信的请求数据回送给请求设备。当可检测到来自客户端设备的初始请求时，主机设备的IDS应用程序113d可用于唤醒卡管理应用程序113b的卡管理守护进程应用程序113a，这可允许主机设备在低功率或“睡眠”模式下运行。IDS应用程序113d可用于管理此类所请求的“超时”，使得如果在一段时间内(例如，60秒，因为无响应于此类请求的活动主机设备用户交互)在主机设备上未对来自客户端设备的支付请求进行操作，则IDS应用程序113d可用于确定终止该请求，这使得主机设备生成“取消”状态并将该“取消”状态递送回到客户端设备，该客户端设备可向该客户端设备的用户显示合适的消息(例如，“超时错误”)。

图3和图3A至图3H的描述

如图3所示，并且如下文所详述的，主机电子设备100的一个具体示例可以是手持式电子设备诸如iPhone^TM，其中外壳101可允许访问各个输入部件110a-110i、各个输出部件112a-112c和各个I/O部件114a-114d，通过这些部件，设备100和用户和/或周围环境可彼此进行交互。例如，触摸屏I/O部件114a可包括显示输出部件112a和相关联的触摸输入部件110f，其中显示输出部件112a可用于显示可允许用户与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180。GUI 180可包括当前运行的应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的各种层、窗口、屏幕、模板、元素、菜单和/或其他组分，它们可被显示在显示输出部件112a的全部区域或一些区域中。例如，如图3所示，GUI180可被配置为显示具有GUI 180的一个或多个图形元素或图标182的第一屏幕190。在选择特定图标182时，设备100可被配置为打开与该图标182相关联的新的应用程序并显示与该应用程序相关联的GUI 180的对应屏幕。例如，在已由设备100的用户选择被标记为“商家应用程序”文本指示符181(即，特定图标183)的特定图标182时，设备100可启动或以其他方式访问特定第三方商家或SP应用程序并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征结构的特定用户界面的屏幕(例如，参见图3A至图3H中在使用任何合适应用程序(例如，主机设备100上的卡管理应用程序113b或SP应用程序113c和/或客户端设备100'上的SP应用程序113')期间对GUI 180的此类显示的具体示例，其可由设备用户使用以利用主机设备100的NFC部件120的凭据(例如，凭据SSD 154b的凭据)来进行支付)。作为另一示例，在已选择利用“钱包”文本指示符181标记的特定图标182(即，特定图标185)时，设备100可启动或以其他方式访问特定设备应用程序(例如，图3的用于管理安全元件145上的各种凭据的卡管理应用程序113b(例如，作为“钱包”或“卡券簿”应用程序))，并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征结构的特定用户界面的屏幕。对于每个应用程序，可在显示输出部件112a上显示屏幕，并且该屏幕可包括各种用户界面元素。对于每个应用程序，可经由设备100的各种其他输出部件112来将各种其他类型的非视觉信息提供给用户。

虽然可相对于主机设备100描述图2至图3，但应当理解，图2至图3中的任一个多个图的设备100的一个部件、一些部件或所有部件可类似地由客户端设备100'提供。在一些实施方案中，主机设备100的一个或多个部件可不由客户端设备100'提供(例如，客户端设备100'可不包括具有提供在其上的一个或多个凭据的安全元件，而其他实施方案中，客户端设备100'还可包括具有提供在其上的一个或多个本地凭据的安全元件，并且客户端设备100'仍可使用非本地凭据(例如，主机设备100的本地凭据)促成金融交易。在一些实施方案中，客户端设备100'可不包括可用于提供GUI的用户界面部件，但是可替代地被视为更自动化的设备。主机设备100可不包括可用于提供GUI的用户界面部件，但是可替代地提供音频输出部件和机械部件或其他合适的用户输入部件以用于选择和验证对用于为交易注资的支付凭据的使用。

图4的描述

现在参考图4，图4示出了相对于***1的AE子***400的各种实施方案的更多细节。如图4所示，AE子***400可以是安全平台***并且可包括安全移动平台(“SMP”)代理部件440、SMP可信服务管理器(“TSM”)部件450、SMP加密服务部件460、身份管理***(“IDMS”)部件470、欺诈***部件480、硬件安全模块(“HSM”)部件490、存储部件420、和/或一个或多个服务器410。在一些实施方案中，可对AE子***400的一个或多个部件进行合并或省略。此外，AE子***400可包括未被结合或被包括在图4中的其他部件。例如，AE子***400可包括任何其他合适的部件或图4中所示部件的若干个示例。为了简单起见，图4中仅示出了每种部件中的一个部件。AE子***400的一个部件、一些部件或所有部件可使用一个或多个处理器部件、一个或多个存储器部件和/或一个或多个通信部件来实现，其中该处理器部件可与设备100的处理器部件102相同或类似，该存储器部件可与设备100的存储器部件104相同或类似，该通信部件可与设备100的通信部件106相同或类似。AE子***400的一个部件、一些部件或所有部件可由可不同于且独立于发行方子***300的单个管理实体或商业实体(例如，Apple Inc.)管理、拥有、至少部分地由该单个管理实体或商业实体控制和/或以其他方式由该单个管理实体或商业实体提供。AE子***400的部件可彼此交互，并一起与发行方子***300和/或主机电子设备100和/或客户端电子设备100'和/或SP子***200进行交互，以提供新的安全层和/或提供更无缝的用户体验。在一些实施方案中，ISD子***471、第一安全子***491和第二安全子***492可各自包括其自身的处理部件、存储器部件、通信部件、服务器410、表430、SMP代理部件440、SMP TSM部件450、SMP加密服务部件460、IDMS部件470、欺诈***部件480、和HSM部件490。

AE子***400的SMP代理部件440可被配置为利用管理实体或商业实体用户账户来管理用户认证。SMP代理部件440还可被配置为管理凭据在设备100上的生命周期和提供。SMP代理部件440可为能够控制设备100和/或设备100'上的用户界面元件(例如，GUI 180的元件)的主要端点。终端用户设备的操作***或其他应用程序(例如，主机设备100的应用程序103、应用程序113和/或应用程序143)可被配置为调用特定应用编程接口(“API”)，并且SMP代理440可被配置为处理那些API的请求并利用可导出设备100的用户界面的数据作出响应和/或利用可与NFC部件120的安全元件(例如，经由AE子***400和设备100之间的通信路径65)进行通信的应用协议数据单元(“APDU”)作出响应。可由AE子***400经由***1的TSM(例如，AE子***400和发行方子***300之间的通信路径55的TSM)从发行方子***300接收此类APDU。AE子***400的SMP TSM部件450可被配置为提供基于GlobalPlatform的服务或任何其他合适的服务，该服务可用于从发行方子***300在设备100上进行凭据提供操作。GlobalPlatform或任何其他合适的安全信道协议可使得SMP TSM部件450能够在设备100的安全元件145和TSM之间合适地传送和/或提供敏感账户数据，以便在AE子***400和发行方子***300之间进行安全数据通信。

SMP TSM部件450可被配置为使用HSM部件490来保护其密钥并生成新的密钥。AE子***400的SMP加密服务部件460可被配置为提供密钥管理和加密操作，该密钥管理和加密操作可针对用户认证和/或***1的各种部件之间的机密数据传输来提供。SMP加密服务部件460可利用HSM部件490以用于安全密钥存储和/或不透明加密操作。SMP加密服务部件460的支付加密服务可被配置为与IDMS部件470进行交互，以检索与管理实体的用户账户(例如，Apple iCloud^TM账户)相关联的文件上***或其他类型的商业凭据相关联的信息。此类支付加密服务可被配置为作为AE子***400的可具有描述存储器中的其用户账户的商业凭据(例如，******)的明文(即，非散列)信息的仅有部件。IDMS部件470可被配置为实现和/或管理主机设备100和客户端设备100'之间的任何合适通信，诸如身份服务(“IDS”)传输(例如，使用可由IDS子***471促成的特定于管理实体的(或特定于其他实体的)服务(例如，由Apple Inc.提供的iMessage^TM))。例如，某些设备可自动或手动注册此类服务(例如，商业实体400的生态***中的所有设备都可自动注册该服务)。此类服务可提供在使用服务(例如，使用主机设备100的IDS应用程序113d和IDS子***471)发送消息之前可能需要主动注册的端对端加密机制。IDMS部件470和/或AE子***400的任何其他合适的服务器或部分可用于识别或以其他方式查找在与给定用户帐户或其他方面相关联的任何电子设备上提供的任何凭据的状态，使得AE子***400可用于有效且高效地识别可用于与特定用户帐户相关联的特定客户端设备(例如，具有AE子***400的家庭帐户的多个主机设备)的一个或多个非本地支付凭据。AE子***400的欺诈***部件480可被配置为基于管理实体已知的关于交易凭据和/或用户的数据(例如，基于利用管理实体的与用户账户相关联的数据(例如，交易凭据信息)和/或可能在管理实体的控制下的任何其他合适的数据和/或可不在发行方子***300的控制下的任何其他合适的数据)来对交易凭据进行管理实体欺诈检查。欺诈***部件480可被配置为基于各种因素或阈值来确定针对凭据的管理实体欺诈评分。AE子***400可包括可以是设备100的用户的各种服务的提供方的商店420(例如，用于销售/租赁要由设备100/100'播放的媒体的iTunes^TMStore、用于销售/租赁用于设备100/100'上的应用程序的Apple App Store^TM、用于存储来自设备100/100'的数据和/或将多个用户设备和/或多个用户配置文件彼此相关联的Apple iCloud^TM服务、用于在线购买各种Apple产品的Apple在线商店等)。仅作为一个示例，商店420可被配置为管理应用程序113并向设备100提供该应用程序(例如，经由通信路径65)，其中应用程序113可以是任何合适的应用程序，诸如银行应用程序、SP应用程序、电子邮件应用程序、文本消息应用程序、互联网应用程序、卡管理应用程序或任何其他合适的通信应用程序。AE子***400可使用任何合适的通信协议或通信协议的组合来在AE子***400的各种部件之间传送数据(例如，经由图4的至少一条通信路径495)和/或在AE子***400与***1的其他部件之间传送数据(例如，经由图1B的通信路径55与发行方子***300和/或经由图1B的通信路径65与主机设备100和/或经由图1B的通信路径85与SP子***200和/或经由图1B的通信路径95与客户端设备100'进行通信)。

图5的描述

图5是用于与服务提供方子***进行交易的示例性过程500的流程图(例如，使用管理实体子***、客户端电子设备以及包括安全元件和在安全元件上提供的主机凭据应用程序的主机电子设备)。在过程500的操作502处，管理实体子***可从主机电子设备接收主机交易数据，该主机交易数据包括由主机电子设备的安全元件上的主机凭据应用程序生成的主机交易凭据数据和包含指示服务提供方子***的服务提供方标识符的交易信息(例如，如相对于图6所述，第二安全子***492可从主机设备100接收主机交易数据678，该主机交易数据包括由安全元件145上提供的第二凭据小应用程序153b生成的主机交易凭据数据675/676和指示SP子***200的交易数据666)。在过程500的操作504处，管理实体子***可获取唯一凭证数据(例如，如相对于图6所述，第二安全子***492可获取唯一凭证数据682)。在过程500的操作506处，管理实体子***可针对包括接收到的主机交易数据的主机交易凭据数据的管理主机交易凭据数据(或与该管理主机交易凭据数据相关联地(例如，使得两者之间存在某种关系(例如，以使得一者可对照地得到)))存储唯一凭证数据(例如，如相对于图6所述，第二安全子***492可针对包括主机交易凭据数据675/676的SP凭据数据681存储凭证数据682)。在过程500的操作508处，管理实体子***可向主机电子设备、客户端电子设备和服务提供方子***中的至少一者传达唯一凭证数据(例如，如相对于图6所述，第二安全子***492可向主机电子设备100、客户端设备100'和SP子***200中的至少一者传达凭证数据682)。

应当理解，图5的过程500中所示的操作仅仅是例示性的，可修改或省略现有操作、可添加附加步骤，并可改变某些操作的顺序。另外，在一些具体实施中，两个或更多个操作可并行地或以不同于所描述的顺序进行。

图6的描述

图6是使用具有地理上受限的非本地支付凭据的电子设备进行交易(例如，金融交易)的示例性过程600的流程图。过程600被示出为由主机设备100、客户端设备100'、SP子***200、发行方子***300和AE子***400来实现。然而，应当理解，过程600可使用任何其他合适的部件或子***来实现。过程600可提供在使用于自主机设备100的交易凭据的同时经由客户端设备100'安全且高效地进行与SP***200的交易的无缝用户体验。为了便于下文关于***1根据图6的过程600进行交易的操作的讨论，参考图1至图4的示意图中***1的各种部件，并且参考可代表主机设备(HD)100的图形用户界面(例如，可由卡管理应用程序113b或SP应用程序113c或主机设备100的任何合适的支付应用程序提供的GUI)和/或可代表客户端设备(CD)100'的图形用户界面(例如，可由客户端设备100'的SP应用程序113'或客户端设备100'的任何合适的支付应用程序提供的GUI)的图3至图3H的屏幕190至190h的前视图。可利用多种图形元素和视觉方案来实现所述操作。因此，图3至图3H的实施方案并非旨在限制本文所采用的准确用户界面约定。相反，这些实施方案可包括多种用户界面样式。

过程600可开始于操作601，在此处可由AE子***400在主机设备100的安全元件145上提供第一主机访问数据651(例如，图1B的第一主机访问数据651)。例如，可在主机设备100的安全元件145上提供第一访问SSD(例如，SSD 154c)作为来自第一安全子***491的服务器410的第一访问数据651，以便更安全地使得主机设备100能够使用第一安全子***491来与SP子***200进行交易。如上所述，访问SSD 154c可直接从AE子***400至少部分地被提供在主机设备100的安全元件145上(例如，作为第一安全子***491的服务器410和主机设备100的通信部件106之间的经由通信路径65的主机访问数据651，然后可将该访问数据从通信部件106(例如，经由总线118)传递到安全元件145)。可在主机设备100的安全元件145上提供经由路径65的主机访问数据651作为访问SSD 154c的至少一部分或全部，并且该访问数据可包括访问小应用程序153c和/或访问密钥155c。在一些具体实施中，可在(例如，在主机设备100被卖给用户之前，由AE子***400)初始配置主机设备100时，至少部分地执行操作601。可至少部分地响应于主机设备100的用户初始设置NFC部件120的安全元件145来执行操作601。主机访问数据651可包括用于安全元件145的ISD 152的ISD密钥156k，除了用于在AE子***400和主机设备100之间实现安全传输的访问密钥155c之外或作为替代，还可使用该主机访问数据。主机访问数据651可包括主机设备100的安全元件145的CRS 151的CRS 151k和/或CASD 158的CASD 158k，除了用于在AE子***400和主机设备100之间实现安全传输的访问密钥155c和/或访问密钥155a和/或ISD密钥156k(例如，用作AE子***400和主机设备100之间的任何合适商业实体密钥或共享秘密)之外或作为替代，还可使用该主机访问数据。

在操作602处，可由发行方子***300的第一发行子***391(在一些实施方案中，经由AE子***400)在主机设备100的安全元件145上提供第一主机凭据数据652(例如，图1B的凭据数据652)。例如，此类第一主机凭据数据652可直接从第一发行子***391至少部分地被提供在主机设备100的安全元件145上(例如，经由发行方子***300和设备100之间的图1B的通信路径75，可经由通信部件106传递到安全元件145)。可经由AE子***400从第一发行子***391在安全元件145上至少部分地提供此类第一主机凭据数据652(例如，经由第一发行子***391和AE子***400的第一安全子***491之间的图1B的通信路径55，可经由第一安全子***491的服务器410和主机设备100的通信部件106之间的图1B的通信路径65作为第一主机凭据数据652传递到主机设备100，然后可将其从通信部件106(例如，经由总线118)传递到安全元件145)。可在主机设备100的安全元件145上提供经由路径75和/或经由路径65的作为第一凭据SSD 154a的至少一部分或全部的第一主机凭据数据652，并可包括具有凭据信息161a和/或凭据密钥155a'和/或凭据密钥155ak的凭据小应用程序153a。可在主机设备100的用户选择要在主机设备100上提供第一发行子***391的特定凭据时，至少部分地执行操作602。在一些实施方案中，第一主机凭据数据652还可包括访问密钥155a，该访问密钥可从AE子***400向发行方子***300被初始提供和/或可由AE子***400添加。在一些实施方案中，此类第一主机凭据数据652可包括作为将提供的支付凭据的凭据信息(例如，小应用程序153a的凭据信息161a)的至少一部分的主帐号、AID(例如，将在SSD 154a提供支付凭据的数据的小应用程序153a的AID 155aa)、SSD标识符和/或SSD计数器。

过程600还可开始于操作603，在此处可由AE子***400在主机设备100的安全元件145上提供第二主机访问数据653。例如，可在主机设备100的安全元件145上提供第二访问SSD或第一访问SSD 154c的附加数据作为来自AE子***400的第二安全子***492的服务器410的第二访问数据653，以便更安全地使得主机设备100能够使用第二安全子***492来与SP子***200进行交易。因此，操作603可类似于操作601，但是可由第二安全子***492而非第一安全子***491执行。另外，过程600还可包括操作604，在此处可由发行方子***300的第二发行子***392(在一些实施方案中，经由AE子***400)在主机设备100的安全元件145上提供第二主机凭据数据654。例如，此类第二主机凭据数据654可直接从发行方子***300的第二发行子***392至少部分地被提供在主机设备100的安全元件145上(例如，经由发行方子***300和设备100之间的图1B的通信路径75，可经由通信部件106传递到安全元件145)。可经由AE子***400从发行方子***300的第二发行子***392在主机设备100的安全元件145上至少部分地提供此类第二主机凭据数据654(例如，经由发行方子***300的第二发行子***392和AE子***400的第二安全子***492之间的图1B的通信路径55，可经由AE子***400的第二安全子***492的服务器410和主机设备100的通信部件106之间的图1B的通信路径65作为第二主机凭据数据654传递到主机设备100，然后可将其从通信部件106(例如，经由总线118)传递到安全元件145)。可在安全元件145上提供经由路径75和/或经由路径65的作为第二凭据SSD 154b的至少一部分或全部的第二主机凭据数据654，并可包括具有凭据信息161b和/或凭据密钥155b'和/或密钥155bk的凭据小应用程序153b。可在主机设备100的用户选择要在主机设备100上提供第二发行子***392的特定凭据时，至少部分地执行操作604。在一些实施方案中，第二主机凭据数据654还可包括访问密钥155b，该访问密钥可从AE子***400向发行方子***300初始提供和/或可由AE子***400添加。在一些实施方案中，此类第二主机凭据数据654可包括作为将提供的支付凭据的凭据信息(例如，小应用程序153b的凭据信息161b)的至少一部分的主帐号、AID(例如，将在SSD 154b提供支付凭据的数据的小应用程序153b的AID 155ba)、SSD标识符和/或SSD计数器。因此，操作604可类似于操作602，但是可由具有或不具有第二安全子***492的第二发行子***392而非具有或不具有第一安全子***491的第一发行子***391执行。

提供在主机设备100上的操作602的第一凭据数据和操作604的第二凭据数据中的每者都可包括利用该凭据进行支付必需的所有数据诸如主帐号(“PAN”)、卡安全码(例如，卡验证码(“CVV”))、PAN有效期、与凭据相关联的名称等，以及主机设备100可用于生成适当加密数据的其他数据(例如，任何合适的共享秘密以及功能输出可至少部分地由共享秘密确定的任何合适的加密算法或密码)。可在设备100上配置“虚拟”凭据或虚拟PAN或设备PAN(“D-PAN”)，而不是用户的“实际”凭据或实际PAN或资金PAN(“F-PAN”)(或者除了用户的“实际”凭据或实际PAN或资金PAN之外)。例如，一旦确定待将凭据提供在主机设备100上，便可请求(例如，由发行方子***300、由AE子***400和/或由主机设备100的用户)生成虚拟凭据(而非实际凭据)、关联至实际凭据并被提供在主机设备100上。可由发行方子***300的任何合适部件进行虚拟凭据的此类生成以及与实际凭据的链接。例如，发行方子***300的网络子***(例如，可与实际凭据的品牌相关联的特定支付网络子***361或362)可定义和存储可在实际凭据和虚拟凭据之间形成关联的虚拟链接表312(例如，如图1B所示)，使得在主机设备100在任何时候将虚拟凭据用于与SP子***200的交易时(例如，在被提供在主机设备100上之后)，支付网络子***均可接收用于验证指示该虚拟凭据的任何接收到的数据的授权或验证请求或以其他方式尝试对其进行验证(例如，在操作644处，响应于在操作642处接收到数据692)，并可根据表312所确定的与该虚拟凭据相关联的实际凭据，对该验证尝试请求进行分析。另选地，该表可由适当发行子***(例如，发行子***391或391)或发行方子***300可访问的任何合适子***访问和/或以类似的方式利用。通过在主机设备100上配置虚拟凭据而非实际凭据，发行方子***300可被配置为限制在未授权用户拦截虚拟凭据时可能导致的欺诈活动，因为支付网络子***或发行子***可仅被配置为在特定交易期间利用表312来将虚拟凭据链接到实际凭据。

在操作606处，SP在线资源诸如SP应用程序或SP网站可与SP密钥相关联。例如，AE子***400可填充表430(例如，至少第二安全子***492的表430)以将SP密钥与商家资源相关联(例如，具有主机设备100的SP资源113的SP ID 219的SP密钥157和/或具有客户端设备100'的SP资源113'的SP ID 219的SP密钥157')，以在可使用该SP资源的交易期间使用该SP密钥来在AE子***400与SP子***200之间(例如，经由主机设备100和/或客户端设备100')实现安全交易凭据数据通信。SP子***200和AE子***400两者都可存储某版本的此类SP密钥(例如，在SP子***200和AE子***400的相应安全元件中)。在一些实施方案中，为了参与在线资源支付程序，可能要求服务提供方被注册为AE子***400的管理实体运行的程序的成员和/或获得SP证书(例如，在通过任何合适SP验证过程后)。服务提供方没有SP证书可能不能接收支付数据。每个证书可包含将SP绑定到用于该SP的公钥(例如，SP公钥157/157')的唯一的商家标识符(例如，SP ID 219)。SP可获得多个证书，并因此可保持超过一个身份。此类唯一的管理实体SP标识符(例如，SP ID 219)可由SP子***200向客户端设备100'提供(例如，在操作610处，作为潜在交易数据660的一部分和/或作为在客户端设备100'上运行的SP在线资源的固有要素(例如，SP应用程序113'))，并且可在所尝试的交易期间经由主机设备100从客户端设备100'向AE子***400提供此类管理实体标识符(例如，SP ID 219)(例如，作为在操作628处的经由交易请求数据666的主机交易数据678的至少一部分)。在一些实施方案中，AE子***400可为SP在线资源生成或以其他方式分配SP密钥(例如，应用程序113的密钥157和/或应用程序113'的密钥157')，并向SP子***200(例如，经由路径85)提供此类SP密钥。另选地，SP子***200可为SP在线资源生成或以其他方式分配SP密钥，并向AE子***400(例如，经由路径85)提供此类SP密钥。SP子***200或AE子***400可负责管理任何SP密钥，这可包括此类密钥的生成、交换、存储、使用和替换。无论如何或在哪里生成并管理此类SP密钥，SP子***200和AE子***400都可存储某版本的SP密钥(例如，在SP子***200和AE子***400的相应安全元件中)。这可允许使用AE子***400和SP子***200之间的共享秘密在这两者之间安全传送数据。在一些实施方案中，可向主机设备100提供此类SP密钥，用于在主机设备100上利用该密钥来安全加密支付数据。

在操作608处，可由客户端设备100'访问SP资源658(例如，图1B的SP的第三方资源113')。如图1B所示，可从AE子***400(例如，从应用程序商店420)向客户端设备100'上加载商家的资源应用程序113'。例如，如图3所示，但相对于主机设备100，客户端设备100'的用户可使用I/O部件114a的触摸屏输入部件110f来选择GUI 180的特定屏幕190的“商家应用程序”图标183，并且该选择可被客户端设备100'识别为为用户提供与SP的第三方应用程序113'进行交互的能力的发起事件。此类SP资源658可由客户端设备100'直接从SP子***200访问。响应于对SP应用程序图标的此类选择，GUI可提供交互屏幕，其中客户端设备100'可使得用户能够与应用程序113'进行交互，以查看来自SP用于购买的市售物品。另选地，在操作608处，客户端设备100'可使用客户端设备100'的互联网应用程序来访问SP资源658作为来自SP子***200的商家网页(例如，经由SP服务器210)，也可通过图3的GUI 180的特定屏幕190的“互联网”图标(例如，特定图标184)来选择该资源，以用于为用户提供与商家网页而非与SP的第三方应用程序进行交互的能力。另选地，在操作608处，可以任何合适方式在无主动用户输入的情况下自动访问资源658(例如，客户端设备100'可用于响应于检测到任何合适事件(诸如自主家用电器客户端设备100'检测到其特定供源不足(例如，洗衣机客户端设备100'响应于检测到洗衣粉的供应不足))而与资源658自动交互)。

在操作610处，客户端设备100'可从所访问的SP资源接收潜在交易数据660。例如，如图1B所示，在客户端设备100'正在与SP的资源113'(例如，SP的第三方应用程序或网站或任何其他合适的在线资源(例如，资源658))进行交互时，可从SP子***200(例如，从SP服务器210)向客户端设备100'提供潜在交易数据660。潜在交易数据660的至少一部分可由客户端设备100'经由客户端设备100'本地的应用程序113'被本地访问(例如，在应用程序113'被存储在存储器部件中或正由客户端设备100'的处理器102'运行时)，而不是在操作610处主动从SP服务器210向客户端设备100'发送数据。例如，在应用程序113'可初始被存储在客户端设备100'上(例如，在操作608处，作为商家资源658)时，可由该初始存储的应用程序113'生成潜在交易数据660中的至少一些潜在交易数据，而无需SP子***200向客户端设备100'提供任何附加信息。潜在交易数据660可包括指示将在客户端设备100'的用户和SP子***200的SP之间发生的潜在交易的任何合适特征的任何合适数据，包括但不限于：(i)特定SP信息，诸如唯一SP标识符(例如，SP ID 219)(例如，收单银行SP标识符(例如，收单银行子***399的标识符)和/或管理实体SP标识符(例如，SP ID219))和/或对将使用的特定SP资源(例如，特定SP应用程序113')的识别和/或对SP子***200的位置的识别(例如，对SP子***200可位于或可用于处理该交易的任何交易凭据数据的特定地理区域(例如，区域91和/或92)的识别)，(ii)特定交易信息，诸如对将用于支付该交易的特定货币(例如，日元、英磅、美元等)的识别和/或对将支付该交易的特定量货币的识别和/或对将购买或租赁或以其他方式来支付的特定产品或服务的识别和/或对将使用的默认或初始装运地址的识别，(iii)指示SP可接受来支付该交易的一种或多种支付方法(例如，可用于进行购买的支付卡列表(例如，***而非MasterCard))的信息，和/或(iv)唯一基于SP的交易标识符(例如，任何合适的数据元件，诸如3字符或4字符字母数字串，其可由SP子***200随机或唯一地生成以与将进行的交易相关联)。此类潜在交易数据660可包括具有或不具有相关联数据的任何合适数量和类型的数据字段，完成金融交易可需要或至少使用这些数据字段，诸如进行购买的顾客的联系人信息字段(例如，电话号码、电子邮件地址、邮寄地址)，其中可填充和包括一些字段作为此类潜在交易数据660的一部分，和/或其中一些字段可不填充作为此类潜在交易数据660的一部分，而是可在过程600期间打开并等待填充。操作610的此类潜在交易数据660在本文中可被称为PK支付请求。另选地，如上所述，用户可不与客户端设备100'主动交互，以便在操作610处，允许将与SP子***200相关联的潜在交易数据660提供给客户端设备100'。

潜在交易数据660可定义对客户端设备100'的SP资源的请求，以为购买产品和/或服务产生支付令牌，并可封装关于潜在交易的任何适当的信息，包括例如关于SP的支付处理能力、支付量和货币代码的信息。潜在交易数据660还可包括可由SP支持的一个或多个支付网络(例如，一个或多个支付网络361/362)的列表，使得客户端设备100'被配置为确定此类所列出的一个或多个支付网络中的任一个支付网络是否具有客户端设备100'上或可用于客户端设备100'的任何合适主机设备上的所授权的支付凭据。在一些实施方案中，一旦此类潜在交易数据660可由客户端设备100'访问(例如，如图3A所示)，GUI 100即可提供屏幕190a，其中SP的资源可使用交易数据660以向客户端设备100'的用户展示与潜在交易相关联的任何合适信息，诸如利用信息307a展示SP或商家的名称(例如，“商家A”)，利用信息307b展示产品名称(例如，“产品B”)，利用信息307c展示价格(例如，“价格C”)和/或利用信息307d展示初始装运数据(例如，“地址D”)。可由SP子***200向客户端设备100'提供的潜在交易数据660可指示此类信息307a,307b,307c和/或307d。客户端设备100'的用户可与设备100'和屏幕190a交互，以调节此类信息的某些部分(例如，装运地址等)，这可需要由SP子***200生成和共享经更新的潜在交易数据(例如，在另一次重复进行操作610时)。如图3A还示出的并且如下文更详细所述的，屏幕190a还可包括安全支付提示309。可经由图1B的通信路径15来从SP子***200向客户端设备100'提供潜在交易数据660的至少一部分，并可由客户端设备100'的通信部件106'接收。通信部件106'可将此类潜在交易数据660传递到处理器102'(例如，用于在屏幕190a上显示作为客户端设备100'上的用户界面的一部分(例如，针对信息307a-307d))和/或传递到NFC部件120'。例如，NFC部件120'可利用此类潜在交易数据660来安全实现客户端设备100'和SP子***200之间的金融交易。在一些实施方案中，可将潜在交易数据660称为SP支付请求数据和/或SP交易请求数据和/或统一资源定位符(“URL”)或任何其他合适参考字符串和/或查询串。

在过程600的操作612处，客户端设备100'可尝试通过向任何合适的远程源发送任何合适主机可用性请求数据662(例如，发现请求)来识别(例如，至少一个主机设备的)至少一个非本地支付源以潜在注资金融交易，诸如与操作610处的潜在交易数据660相关联的交易，然后，在过程600的操作614处，响应于任何发送出的主机可用性请求数据662，客户端设备100'可从任何合适源接收任何合适主机可用性响应数据664(例如，任何合适发现响应)。可使用任何合适技术来识别任何可用非本地支付源。例如，信标信号可由客户端设备100'作为主机可用性请求数据662传输，其可请求来自可接收到信标的任何主机设备(例如，在客户端设备100'的特定距离内的任何主机设备，其可用于使用该信标的特定通信协议进行通信，或者信标可为快速响应(“QR”)代码或可由客户端设备100'呈现并由一个或多个主机设备的扫描仪读取的任何其他合适代码)的响应。客户端设备100'可使用任何合适的通信路径和协议向一个或多个特定主机设备(例如，向设备100'的联系人应用程序中识别的和/或由设备100'的用户手动识别(例如，通过电话号码或电子邮件地址或任何合适唯一设备标识符(例如，主机设备100的设备标识符119))的一个或多个设备)发送主机可用性请求数据662。

此类主机可用性请求数据662可包括任何合适信息、诸如识别客户端设备100的信息(例如，客户端设备100的设备标识符119)和/或识别可(例如，由SP)接受来注资潜在金融交易的一个或多个特定支付类型的信息(例如，可由操作610的潜在交易数据660识别的支付类型)，并且作为响应而可请求任何合适主机可用性响应数据664，诸如可识别响应主机设备的任何合适信息(例如，主机设备100的设备标识符119)和/或可识别该主机设备可用的一个或多个特定支付类型的任何合适信息。(例如，主机设备100的AID 155aa和/或AID155ba，其中主机可用性响应数据664的此类支付类型识别可仅包括与主机可用性请求数据662的发现请求中的某个类型相匹配的每个类型，或可包括该响应主机可用的所有支付类型)和/或可识别该响应主机设备的位置的任何合适信息和/或可识别该主机设备的状态的任何合适信息(例如，唤醒、睡眠、关机等)。由主机设备共享的主机可用性响应数据664可以是主机发现所需的绝对最小数据量(诸如通过使用协议缓冲区)。AE子***400或任何其他实体可在操作612和/或操作614处参与客户端设备100'对主机设备100的识别。例如，如上所述，AE子***400的IDS子***471可用于管理可提供给客户端设备100'和/或主机设备100的任何合适服务，诸如iCloud^TM和/或iMessage^TM或任何其他合适身份服务传输，其可用于在不同设备之间进行关联和/或自动确定各种设备的状态和/或能力(例如，家庭可具有可与客户端设备100'以及多个其他设备(包括主机设备100)相关联的AE子***400的帐户)。作为一个示例，客户端设备100'可向AE子***400的IDS子***471发送主机可用性请求数据662，以请求与客户端设备100'的账户相关联的所有其他设备的状态，并且AE子***400的IDS子***471可通过获得此类设备中的一个设备、一些设备或每个设备的状态并与客户端设备100'共享那些状态中的每个状态作为主机可用性响应数据664来响应，其中状态可指示主机设备100的可用性和可用于主机设备100的至少一种支付类型的识别。每个主机设备可相对于此类请求和潜在响应而具有其特有的设置(例如，特定主机设备可被配置为仅响应从特定客户端设备(例如，仅与AE子***400处的相同帐户相关联的设备、仅与该特定主机设备的联系人应用程序中的联系人相关联的设备等)接收的主机可用性请求数据662)。在操作612和614处使得能够对一个或多个可用支付源进行识别的此类请求和/或响应可以任何合适方式(诸如直接地在客户端设备100'和主机设备100之间传送，或者在客户端设备100'和AE子***400的IDS子***471之间传送，并且接着在AE子***400的IDS子***471和主机设备100之间)传送。例如，如图1B所示，主机可用性请求数据662可从客户端设备100'传送至主机设备100(例如，使用任何合适通信协议经由通信路径99或经由AE子***400的IDS子***471(例如，使用任何合适通信协议经由通信路径95和通信路径65))，并且主机可用性响应数据664可从主机设备100传送至客户端设备100'(例如，使用任何合适通信协议经由通信路径99或经由AE子***400的IDS子***471(例如，使用任何合适通信协议经由通信路径95和通信路径65))，或者可从AE子***400的IDS子***471传送至客户端设备(例如，使用任何合适通信协议经由通信路径95)。

主机可用性请求数据662可由客户端设备100'响应于接收到潜在交易数据660而自动发送，或周期性地独立于接收到此类交易数据660而自动发送，或响应于客户端设备100'的用户在任何合适时间做出的请求(诸如响应于客户端设备100'的用户与图3A的屏幕190a的GUI的交互)而自动发送。例如，响应于用户对于客户端设备100'的屏幕190a的安全支付提示309的选择(以便根据潜在交易数据660的详细信息来从SP进行购买)，客户端设备100'可生成并发送主机可用性请求数据662。此外，如图3B所示，客户端设备100'可被配置为响应于接收到对图3A的屏幕190a的安全支付提示309的选择、并响应于接收到任何合适主机可用性响应数据664来提供屏幕190b，其可提示用户以一种或多种方式与客户端设备100'交互来选择可用于客户端设备100'进行此次购买的特定支付源或凭据。例如，如图所示，屏幕190b可包括支付源选择提示311，其可使得用户能够选择可用于客户端设备100'的潜在多个支付源中的一个支付源。支付源选择提示311可仅包括具有与SP支持的支付网络相关联的凭据的支付源(例如，如上所述，如可由潜在交易数据660确定的)，或可展示可用于客户端设备100'的所有的支付源(例如，与作为主机可用性响应数据664接收的所有AID相关联的所有的源)，但可使仅与可接受的支付网络相关联的那些能够由用户来做出选择。支付源选择提示311可包括任何合适支付源，包括但不限于客户端设备100'的安全元件本地的任何合适支付凭据(未示出)、如可由任何接收到的主机可用性响应数据664识别的任何可用支付源的任何合适非本地支付凭据(例如，如可由提示311的支付选项标识符311a指示的主机设备1的支付方法X(例如，从第一发行子***391提供的主机设备100的SSD 154a的第一主机凭据)、如可由提示311的支付选项标识符311b指示的主机设备1的支付方法Y(例如，从第二发行子***392提供的主机设备100的SSD 154b的第二主机凭据)等)和/或可由客户端设备100'识别的任何其他合适支付源(例如，可使客户端设备100'的用户能够手动地输入或选择任何合适远程主机设备(例如，通过输入可由客户端设备100'用于与该远程主机进行通信的任何合适唯一主机设备标识符，诸如主机设备的电话号码或电子邮件地址，或者通过选择可识别在客户端设备100'的联系人应用程序中或可识别为最后一个选择的主机设备或其他的主机设备)来请求支付的提示311的支付选项标识符311c)。在一些实施方案中，支付源选择提示311可用于使客户端设备100'的用户能够选择特定支付源的特定支付类型(例如，具有标识符311a的主机设备1的支付方法(PM)X(例如，“来自WellsFargo的具有以0096结尾的账号的MasterCard凭据”)(例如，从第一发行子***391提供的主机设备100的SSD 154a的第一主机凭据)或具有标识符311b的主机设备1的支付方法(PM)Y(例如，“来自中国人民银行的具有以2587结尾的账号的***凭据”)(例如，从第二发行子***392提供的主机设备100的SSD 154b的第二主机凭据))，和/或支付源选择提示311可仅用于使客户端设备100'的用户能够选择特定支付源(例如，主机设备1或主机设备2)而无法选择该支付源的特定支付类型(例如，这取决于由客户端设备100'接收到的主机可用性响应数据664的特殊性，或取决于可用于客户端设备100'的任何其他合适数据)。在一些实施方案中，主机可用性响应数据664可基于已缓存的支付可用性数据，所述已缓存的支付可用性数据是AE子***400和/或客户端设备100'针对当前可为非响应性的特定主机设备100(例如，可关闭且不响应于操作612的发现请求但可能已知包括合适支付凭据的主机设备100)所已知的，其中提示311的标识符(未示出)可包括该主机设备的识别和其已知支付凭据以及提醒客户端设备100'的用户该主机设备当前关闭的信息(例如，“HD2必须打开才能使用HD2PM Z”)。

接着，在过程600的操作616处，客户端设备100'可向至少一个特定主机设备100传送交易请求数据666(例如，支付请求数据)。交易请求数据666的目标主机设备100可由客户端设备100'以任何合适的方式(诸如自动地或响应于用户对图3B的支付源选择提示311的选择)确定，和/或这一确定可基于任何合适信息(诸如潜在交易数据660和/或主机可用性响应数据664)来进行。例如，客户端设备100'的用户可从图3B的支付源选择提示311的潜在目标主机设备列表中选择操作616的交易请求数据666的目标主机设备100，其中该列表可使用主机可用性响应数据664基于一个或多个支付源的识别(例如，“具有标识符311a的HD1的PM X”和“具有标识符311b的HD1的PM Y”)来提供，或者客户端设备100'可以任何合适方式识别任何合适特定目标主机设备(例如，客户端设备100'的联系人应用程序中的主机设备和/或由设备100'的用户手动识别的主机设备(例如，通过电话号码或电子邮件地址或主机设备的任何合适唯一设备标识符(例如，使用图3B的标识符311c的选项)))。仅为一个特定示例，如图3C所示，客户端设备100'可被配置为响应于接收到图3B的支付源选择提示311的具有标识符311b的“HD1的PM Y”的用户选择(例如，来自图1的地理区域92的中国人民银行的***凭据(例如，从第二发行子***392提供的主机设备100的SSD 154b的第二主机凭据))来提供屏幕190c。图3C的屏幕190c可提示用户以一种或多种方式与客户端设备100'进行交互，以针对图3B的支付源选择提示311的所选择的支付源来请求非本地主机设备支付(诸如通过用户对图3C的请求主机设备(HD)支付提示315的选择)，如由图3C的支付方法标识符313指示。另选地，操作616的交易请求数据666的目标主机设备100可响应于客户端设备100'在操作614处获得的任何识别数据而由客户端设备100'自动选择(例如，客户端设备100'可被定制为或以其他方式配置为基于任何合适特征而从一组可用主机设备中选择一个主机设备(例如，与客户端设备100'的距离最短的主机设备或具有可用主机设备的最高优先级的主机设备(例如，如可通过结合主机可用性响应数据664或其他的客户端设备100'的应用程序的默认或自定义设置确定)等))。因此，操作616的交易请求数据666可由客户端设备100'自动地生成和传输，而无需与客户端设备100'进行任何用户交互(例如，基于交易数据660和/或任何主机可用性数据664和/或(例如，在客户端设备100'上运行的任何应用程序的)任何应用参数)。在操作616处，可以任何合适方式传送操作616的交易请求数据666，如图1B所示，诸如直接地在客户端设备100'和主机设备100之间(例如，使用任何合适通信协议经由通信路径99)传送，或者在客户端设备100'和AE子***400的IDS子***471之间(例如，使用任何合适通信协议经由通信路径95)传送，接着在AE子***400的IDS子***471和主机设备100之间(例如，使用任何合适通信协议经由通信路径65)传送。客户端设备100'操作以(例如，基于可定期由AE子***400收集并在任何合适时间与客户端设备100'共享的数据)维持可用于与客户端设备100'相关联的各种主机设备的各种支付类型的本地高速缓存(例如，在客户端设备100'本地的存储器上)，使得当做出支付请求时，可无需存在特定的专用发现请求和响应周期。当客户端设备100'确定了来自本地凭据(例如，在客户端设备100'上)和/或非本地凭据(例如，在一个或多个主机设备100上)的一个或多个可用支付类型时，就可启用对于供客户端设备100'的用户选择的各种支付源中特定支付源和/或优先次序的自动选择。例如，客户端设备100'可用于基于客户端设备100'和主机设备之间的距离来自动地选择或优先考虑在支付请求中作为目标并识别的至少一个可用支付源中的一个，这可包括所选择的支付源(例如，具有最接近客户端设备的可用支付源(例如，如可根据发现响应中的距离数据或经由其他合适通信相关数据(例如，检测到的通信信号强度蓝牙等)确定)的主机设备可被自动地选择以便于客户端设备的用户可容易地使用)。客户端设备100'可用于基于由SP支持的支付源来自动地选择或优先考虑至少一个可用支付源中的一者，其中所述可用支付源在支付请求中作为目标并受到识别(例如，用企业品牌标注的支付凭据可优先考虑来用于与该公司的交易中(例如，用Disney品牌标注的Visa卡可被优先考虑或选择来用于与迪斯尼SP的交易中此类偏好可由SP表示并使其可用于客户端设备100'))。

交易请求数据666可包括可由客户端设备100'提供给目标主机设备100来识别将注资的潜在交易的一个或多个特定特征的任何合适信息。例如，如同操作610的潜在交易数据660那样，操作616的潜在交易数据666可包括与将注资的潜在金融交易相关的任何合适数据，包括但不限于(i)特定SP信息，诸如SP的唯一SP标识符(例如，SP ID 219)(即，“商家A”)和/或使用中的特定SP资源(例如，特定SP应用程序113')的识别(ii)特定交易信息，诸如将用于支付该交易的特定货币(例如，日元、英磅、美元等)的识别，和/或将支付该交易的特定量的货币的识别(即，“价格C”)，和/或将购买或租赁或以其他方式来支付的特定产品或服务的识别(即，“产品B”)，和/或将使用的默认或初始装运地址的识别(即，“装运D”)，(iii)指示SP可接受或由客户端设备100'选择来支付该交易的一种或多种支付方法(例如，可用于进行购买的支付卡列表(例如，***而非MasterCard))的信息(即，“HD1的PMY”)，(iv)唯一基于SP的交易标识符(例如，任何合适的数据元，诸如3字符或4字符字母数字串，其可由SP子***200随机或唯一地生成以与将进行的交易相关联)，(v)唯一基于客户端的交易标识符(例如，任何合适的数据源，诸如3字符或4字符字母数字串，其可由客户端设备100'随机或唯一地生成以与将进行的交易相关联)，和/或(vi)唯一基于客户端的支付请求标识符(例如，任何合适的数据源，诸如3字符或4字符字母数字串，其可由客户端设备100'随机或唯一地生成以与由交易请求数据666做出的支付请求相关联)。在一些实施方案中，在传送至目标主机设备100通信之前，交易请求数据666可由AE子***400加密或以其他方式格式化或处理(例如，可由IDS子***471使用任何合适IDS格式化程序(例如，用于通信端对端加密)进行)。此类交易请求数据666可被称为PK远程支付请求，并可包括任何合适数据，包括但不限于(1)PK支付请求和/或操作610的潜在交易数据660的任何其他数据(例如，其可打包在PK远程支付请求内)，(2)识别选择的目标主机设备(在本文中其可称为PK远程设备)的任何合适数据(例如，主机设备100的主机设备标识符119，其可包括在操作614的主机可用性响应数据664中)，(3)识别目标主机设备的选择或默认的特定支付凭据的任何合适数据(例如，主机设备100的安全元件145的AID 155ba，其可被包括在操作614的主机可用性响应数据664中，和/或可自动地在客户端设备100'处选择或由用户选择)，其可在本文中称为选择的应用程序标识符，和/或(4)识别与支付请求相关联的唯一标识符的任何合适数据(例如，可用于识别跨***的客户端和主机设备的支付请求，并且可由客户端设备100或以其他方式生成的唯一值)，其可在本文中称为远程支付标识符。在操作616处，可以任何合适方式来传送交易请求数据666，如诸如直接地(对等地)在客户端设备100'和主机设备100之间(例如，使用任何合适通信协议经由通信路径99)传送，或者在客户端设备100'和AE子***400的IDS子***471之间(例如，使用任何合适通信协议经由通信路径95)传送，以及在AE子***400的IDS子***471和主机设备100之间(例如，使用任何合适通信协议经由通信路径65)传送(例如，使用身份服务传输或AE子***400的IDS子***471的任何其他合适通信服务)。潜在交易数据660和/或交易请求数据666中的一个部分、一些部分或所有部分都可通过客户端设备100'和/或主机设备100和/或AE子***400从交易请求数据666载送到主机交易数据678和/或安全主机交易数据683和/或安全主机交易数据684和/或客户端交易数据690，使得潜在交易的某些标识符可在过程600期间由一个实体、一些实体或每个实体识别。

响应于在操作616处从客户端设备100'接收到交易请求数据666，目标主机设备100可用于向主机设备100的用户提供任何合适信息以对支付请求做出反应。例如，如图3D所示，推送通知屏幕190d可由主机设备100的GUI提供，其可用于利用标识符317向主机设备100的用户指示已接收到客户端支付请求，并可包括可被选择以隐藏通知的选项321和/或可被选择以查看关于通知的更多细节的选项319。例如，响应于用户选择查看更多细节选项319或代替地选择屏幕190d，主机设备100的GUI可前进到图3E的屏幕190e，其可使得主机设备100的用户能够以一种或多种合适方式来响应于客户端支付请求。图3E的屏幕190e可提示主机设备100的用户以一种或多种方式与主机设备100进行交互，来选择主机设备100本地的或非设备100本地的但可通过类似于过程600的过程由设备100访问以进行购买的特定凭据。如图3E所示，除了可向主机设备100的用户识别潜在交易与在操作616之前和/或在该操作处在图3C的屏幕190c上向客户端设备100'的用户识别的相同商家、产品、价格和装运信息的标识符307a-307之外，屏幕190e还可包括凭据选择提示323，其可使得用户能够选择可在主机设备100上提供的潜在多个凭据中的一个凭据(例如，凭据SSD 154b的凭据)用于注资潜在交易。提示323可仅包括主机设备100本地的与由SP支持的支付网络相关联的凭据(例如，如上所述，可由交易请求数据666确定)。如图所示，提示323可包括与主机设备100的“凭据X”相关联的第一本地支付凭据选项325和与主机设备100的“凭据Y”相关联的第二本地支付凭据选项327，其中每个凭据可接受由潜在交易的SP子***200使用(例如，基于交易请求数据666的任何合适部分)，和/或其中可使用任何合适技术来识别由客户端设备100'选择的凭据(如果适用)(例如，如果“PM Y”可能已由客户端设备100'选择(例如，在图3B的屏幕190b处)并特别地在交易请求数据666中识别，则可在与“凭据Y”相关联的第二本地支付凭据选项327旁边提供“*”)。如图3F所示，主机设备100的GUI可被配置为响应于接收到对于来自图3E的屏幕190e的凭据选择提示323的特定凭据(如，“凭据Y”)的主机设备用户选择，而提供屏幕190f。图3F的屏幕190f可用凭据标识符信息329来识别所选择的或自动识别的默认凭据，并且可提示主机设备100的用户以一种或多种方式与主机设备100进行交互，来认证用户和其利用所选择的凭证的意图。这可包括提示用户(例如，利用认证提示331)经由个人识别号(“PIN”)或经由与生物测定传感器的用户交互来输入用户认证，以便访问主机设备100的安全元件，从而访问要用于购买的凭据。

在操作616处，可向不同目标主机设备(例如，可向一组可用主机设备(例如，从儿童的客户端设备发送到其父亲的主机设备以及到其母亲的主机设备))发送交易请求数据666的不同示例，以便增加快速响应机会。如果睡眠主机设备是目标主机设备，则用于该主机设备的交易请求数据666可排队等候与该目标主机设备在其上线时共享(例如，由AE子***400或由客户端设备100'自身)，其中此类排队可仅在特定的时间段内(例如，在生成此类交易请求数据666之后的2小时内，之后此类支付请求数据可视为过期的，并且可不提供给其目标主机设备)启用。如上所述，提示311可包括向客户端设备100'告知特定主机设备不在线的通知，或者可提供指示特定主机设备未响应于支付请求数据的通知，并且可针对客户端设备的用户生成采取步骤或进行操作以启用该主机设备的请求。AE子***400可操作以管理设置或特定主机设备，所述设置可用于阻止来自某些客户端设备的某些发现请求和/或某些支付请求去往某些主机设备，所述特定主机设备可操作以设置阻止来自某些客户端设备的此类请求的任何合适选项。

如果主机设备100的用户愿意并能够响应于在操作616处所接收到的交易请求数据666来选择或确认用于注资潜在交易的特定支付凭据，则过程600可进行到操作625，在该操作处设备100可接收主机设备100的用户的意图和认证，以利用特定凭据基于潜在交易数据666针对特定商家、产品、价格和装运目的地执行潜在交易(例如，通过对图3F的认证提示331的用户选择)。访问SSD 154c可利用主机设备100的小应用程序153c以在允许使用其他SSD 154(例如，凭据SSD 154b)以用于在商务凭据数据通信中启用其凭据信息之前确定是否已发生此类认证。仅为操作625的一个示例，访问SSD 154c的小应用程序153c可被配置为确定主机设备100的用户的意图和本地认证(例如，经由一个或多个输入部件110，诸如可与设备100的应用程序(例如，主机设备100的卡管理应用程序113b)进行用户交互所使用的图3的生物测定输入部件110i)，并响应于这一确定，其可被配置为使得另一特定SSD能够进行支付交易(例如，利用第二凭据SSD 154b的第二主机交易凭据)。在一些实施方案中，在这一确定之后而在这样启用之前，主机设备100的GUI可被配置为提供另一屏幕(例如，类似于图3G的屏幕190g)，该屏幕可提示主机设备100的用户(例如，具有类似于图3G的提示333的提示)以一种或多种方式与主机设备100进行交互，来最终使用所选择和认证的凭据发起支付。

在操作625处，主机设备100的用户可提供意图和认证，以使用主机设备100本地的特定支付凭据来注资由操作616的交易请求数据666识别的潜在交易(例如，针对屏幕190c和190e的“商家A”和“产品B”、“价格C“和“装运D”)，由此操作625可紧接在操作616之后发生。在设备之间的任何合适基础通信协议(例如，客户端设备100'和主机设备100之间的IDS子***471的身份服务传输层)都可用于提供完成处理程序，其可用于确保每个设备知道其他设备何时已接收并处理了请求数据和/或响应数据(例如，类似于iMessage^TM的“读取回执”或其他合适媒体消息发送协议)。例如，可提供连续支付服务(例如，通过AE子***400的IDS子***471的IDMS部件470或以其他方式)来实现客户端和主机设备之间的支付请求和支付响应的安全通信，其中客户端设备和主机设备中的每一者能够使用该服务的消息发送传输(例如，IDS传输，诸如用主机设备100的IDS应用程序113d进行)。可采用用于传送此类数据的任何合适机制，诸如Apple Inc.的Handoff^TM(例如，设备之间的应用程序数据的无缝共享)或Apple Inc.的AirDrop^TM(例如，安全自组织传输协议)或Apple Inc.的Continuity^TMSMS/MMS等等。此外，任一设备可用于取消请求(例如，客户端设备100'可在操作612之后取消所传输的请求和/或主机设备100可在操作612之后取消所接收的请求)，该请求可用于更新每个设备上呈现的数据(例如，更新屏幕190c和190e)。用于特定交易的所有请求/响应的公共远程支付标识符，可由每个设备用于确认每个设备正相对于特定交易进行通信。例如，具有特定远程支付标识符的最近接收到的支付请求，可由主机设备覆盖具有该相同特定远程支付标识符的任何先前接收到的支付请求而使用。

接着，一旦在操作625处已响应于接收到特定支付请求数据(例如，操作616处的交易请求数据666)而对特定主机交易凭据接收到意图和认证，则过程600的操作626-628可包括主机设备100生成、加密和传输主机交易数据678以供AE子***400(例如，第二安全子***492)使用。一旦已选择、认证和/或启用主机设备100的安全元件145上的凭据SSD 154b的特定主机交易凭据以在交易(例如，在操作625处)中使用，主机设备100的安全元件145(例如，NFC部件120的处理器模块142)便可生成该选择的主机交易凭据的某些凭据数据，并对其进行加密以供AE子***400使用。例如，凭据SSD 154b的主机交易凭据数据675(例如，SSD154b的支付卡数据，其可与所选择的“凭据Y”相关联(例如，从第二发行子***392提供的来自图1的地理区域92的中国人民银行的***凭据))，诸如令牌数据和加密数据，可在操作626处利用凭据密钥155b'生成和/或至少部分地加密为主机交易凭据数据676以便至少包括令牌数据和加密数据，从而使得此类所加密的主机交易凭据数据676可仅由对于用于访问主机交易凭据数据675的凭据密钥155b'具有访问权限的实体(例如，发行方子***300的第二发行子***392)解密。此类主机交易凭据数据675可包括可用于安全证明主机设备100的特定安全元件凭据(例如，SSD 154b的凭据)的正确的所有权并是利用该凭证进行支付必需的任何合适数据，包括但不限于，(i)令牌数据(例如，实际FPAN或虚拟DPAN、PAN有效期、卡安全码(例如，卡验证码(“CVV”))和/或与SSD 154b的凭据信息161b的凭据相关联的名称和/地址)，以及(ii)加密数据(例如，可由安全元件145使用SSD 154b和发行方子***300的共享秘密(例如，第二发行方子***392的密钥155b')来生成的密文，以及可用于主机设备100并还可用于发行方子***300(例如，在操作642或其他操作处)以独立地使用共享秘密生成加密数据的任何其他合适信息(例如，以下项中一些或全部：令牌数据、识别主机设备100的信息、识别操作610的潜在交易数据660和/或操作616的交易请求数据666的一些或全部的信息，诸如成本和/或货币、任何合适计数器值、随机数等))。在一些实施方案中，一旦凭据SSD 154b的一些或全部主机交易凭据数据675已在操作626处用凭据密钥155b'加密为所加密的主机交易凭据数据676，该所加密的主机交易凭据数据676或主机交易凭据数据675单独地或连同适用交易请求数据666的至少第一部分(即便不是全部)(例如，可包括SP的识别、价格量的识别、货币和/或装运和/或产品的识别和/或唯一基于SP的交易标识符和/或唯一基于客户端的交易标识符和/或唯一基于客户端的支付请求等的潜在交易数据660的部分或全部)和/或任何其他合适信息(例如，识别主机设备100其自身的任何信息(例如，主机设备标识符119)、任何特定基于主机设备的交易标识符等等)，可在操作627处由访问信息(例如，由SSD 154b的访问密钥155b、访问SSD 154c的访问密钥155c、ISD密钥156k和/或CRS 151k和/或通过CASD 158k签名密)加密为所加密的主机交易凭据数据677。例如，主机设备100的安全元件145(例如，NFC部件120的处理器模块142)可使用访问信息来不仅加密对来自数据660/666的商家的识别(例如，对SP或其用于购买的资源诸如应用程序113的识别)，而且加密对来自数据660/666的购买量和/或货币代码以及SSD 154c的经加密主机交易凭据数据675(例如，所加密的主机交易凭据数据676)的识别，从而将其加密成经加密的主机交易凭据数据677。在一些实施方案中，凭据SSD 154b的主机交易凭据数据675(例如，SSD 154b的支付卡数据)，诸如令牌数据和加密数据在用管理实体密钥或访问密钥加密(例如，在操作627处，作为数据677)之前，可被生成但不利用凭据密钥加密(例如，在操作626处，作为数据676)，并替代地，此类主机支付交易数据675可用管理实体密钥或访问密钥加密(例如，在操作627处，数据677)，由此在此类实施方案中，未来对数据676的任何参考也可参考未用任何凭据密钥来加密的数据675。在一些实施方案中，此类管理实体密钥或访问密钥可以是与AE子***400的方案相关联的管理实体公钥，并且其AE子***400可访问相关联的管理实体私钥。AE子***400可向发行方子***300提供此类管理实体公钥，然后发行方子***300可与主机设备100共享该管理实体公钥(例如，当在主机设备100上提供凭据数据时(例如，在过程600的操作652/654处))。

接着，所加密的主机交易凭据数据677以及任何附加信息诸如至少一些交易请求数据666(例如，SP的识别、价格量的识别、货币识别、唯一基于SP的交易标识符、产品/服务的识别等等)和/或任何其他合适信息(例如，识别主机设备100其本身的任何信息、唯一基于主机设备的交易标识符等等)可在操作628处作为主机交易数据678一起从主机设备100传输到AE子***400。因此，主机交易数据678的至少部分(例如，所加密的主机交易凭据数据677)可仅被有权访问用于加密的该访问信息(例如，访问密钥155b、访问密钥155c、ISD密钥156k、CRS 151k和/或CASD 158k)的实体解密，从而生成主机交易数据678(例如，AE子***400)的所加密的主机交易凭据数据677。此类主机交易数据678可在操作626-628处生成，接着在操作628处被传输给(例如，从安全元件145经由通信部件106和通信路径65)AE子***400(例如，被传输给第二安全子***492)。操作626,627和628可确保作为主机交易数据678的一部分从主机设备100的安全元件145生成并传输的任何主机交易凭据数据首先被加密，以使得不能由主机设备100的另一部分(例如，由处理器102)解密。即，可利用可不暴露于其安全元件外部的主机设备100的任何部分或不能被其访问的凭据密钥155b'来将主机交易数据678的主机交易凭据数据675加密为经加密的主机交易凭据数据676。此外，可利用可不暴露于其安全元件外部的主机设备100的任何部分或不能被其访问的访问密钥(例如，访问密钥155b,155c,156k,151k和/或158k(例如，在本文总称为“访问信息”))来将主机交易数据678的此类所加密的主机交易凭据数据676加密为经加密的主机交易凭据数据677。

如上所述，某些主机交易凭据可受到一个或多个地理限制的管控，所述地理限制可用于限制可允许处理来自这些受限主机交易凭据的数据的子***的类型或位置。例如，如相对于图1所述，凭据SSD 154b的第二主机交易凭据(例如，所选择的“凭据Y”的SSD 154b的支付卡数据(例如，在操作603/604处，从第二发行子***392(例如，单独地或结合网络子***362)提供在主机设备100上的来自地理区域92的中国人民银行的***凭据)))可为受地理限制的交易凭据，AE子***400的任何服务器或部件对所述交易凭据的处理可受到限制，其中所述服务器或部件在物理上位于不同于受地理限制的交易凭据的凭据发行子***所在地理区域(例如，第二地理区域92)的地理区域。因此，由该受限主机交易凭据生成的主机交易数据678的主机交易凭据数据，不应由IDS子***471或AE子***400的第一安全子***491处理，而是可由AE子***400的第二安全子***492处理。任何合适目标识别数据可由主机设备100访问，以便使得设备100能够确定第二安全子***492是AE子***400中用于根据地理限制在操作628处接收和处理受限主机事务数据678的适当目标安全子***。此类目标识别数据可以包括但不限于，URL或其他可为目标子***地址的数据，诸如来自主机设备100的生成受限主机交易凭据数据的所选凭据SSD 154b(或小应用程序153b)或以其他方式与之相关联的URL(例如，可由在设备100上提供SSD凭据的子***定义的URL(例如，作为数据653和/或数据654的一部分)，和/或存储在与凭据相关联的主机设备100的处理器102可用的通行证中的URL，和/或通过任何其他机制(例如，由于固件或设备100上的任何其他软件更新(例如，来自AE子***400))存储在设备100中的URL)，和/或可从主机交易凭据数据675的令牌数据的一部分导出的URL，其中此类令牌数据可例如包括凭据信息161b的PAN或SSD 154b的AID，由此这类PAN或AID的至少一部分可用于为设备100识别(例如，结合可用于设备100的任何其他合适数据(例如，查找表中的数据或针对某些PAN或AID类型的地理限制定期更新(例如，可定期下载到设备100')的其他信息))AE子***400的适当目标安全子***的URL，其中所述目标安全子***为，例如，与PAN/AID相关联的AE子***400的适当安全子***(例如，PAN/AID的字母数字字符的某个子集可以与特定安全子***相关联，从而可由设备100识别(例如，使用查找表))。此外，除了在操作628处识别AE子***400的用于接收和处理受限主机交易数据678的适当目标安全子***之外，设备100还可用于生成指令并且将该指令包括在主机交易数据678内，该指令可用于指示所识别的目标安全子***不仅基于主机交易数据678的所加密的主机交易凭据数据676/677来生成SP保护的主机交易凭据数据(例如，在操作631处，生成SP凭据数据681)，而且结合生成SP保护的主机交易凭据数据来生成或以其他方式访问唯一主机交易凭证，然后相对于SP保护的主机交易凭据数据来存储此类唯一主机交易凭证(例如，在操作632处，针对SP凭据数据681来存储指示凭证的凭证数据682)。该指令可以是可被配置为由AE子***的目标安全子***适当处理的任何合适数据，并且设备100可用于使用可相同于或可不同于目标识别数据中的任何数据的任何合适数据来确定对此类指令的需要。在一些实施方案中，由设备100从目标识别数据中识别出的目标安全子***的URL，可明确地绑定到目标安全子***的适当凭证存储进程(例如，在操作628处由设备100用于将主机交易数据678定向传送到第二安全子***492的URL可为特定URL，在该特定URL，任何接收到的主机交易数据可由第二安全子***492处理以相对于SP凭据数据(例如，接收到的主机交易数据的安全主机凭据数据)存储凭证数据，而非仅仅将此类SP凭据数据返回给主机设备100，而第二安全子***492的另一URL可不用于存储接收到的主机交易数据的凭证)。在一些实施方案中，请求数据666的任何合适数据部分都可指示IDS子***471用于主机设备100和客户端设备100'之间的数据传送的用途，并且可被主机设备100用作凭证指示数据，以便将主机设备100配置为生成可用于请求凭证的主机交易数据678而非SP保护的主机交易凭据数据，使得在过程600期间，主机设备100和客户端设备100'之间往后的通信(例如，在操作634处)不会违反对主机交易凭据的地理限制。在一些实施方案中，AE子***400(例如，安全子***492)可用于处理任何合适主机交易数据678，以确定凭证(例如，凭证数据682)或受保护的主机交易凭据数据(例如，SP凭据数据681)是否应返回到主机设备100，还是以其他方式来提供给子***1的另一实体。

接着，在过程600的操作630处，一旦主机交易数据678已被发送到合适的目标第二安全子***492以根据对所选择和所利用的主机交易凭据的限制来存储凭证，第二安全子***492便可用于接收主机交易数据678的至少一部分并且将其解密。例如，第二安全子***492可接收主机交易数据678，然后可使用在第二安全子***492处可用的访问信息(例如，155b,155c,156k,151k和/或158k)来对主机交易数据678的所加密的主机交易凭据数据677进行解密。这可使得第二安全子***492能够确定SP的未加密的识别(例如，来自所解密的主机交易凭据数据677)，同时还将主机交易凭据数据675维持在加密状态中(例如，作为所加密的主机交易凭据数据676)，因为第二安全子***492可能不具有对在操作626处可由主机设备100的安全元件145用于将此类主机交易凭据数据675加密为所加密的主机交易凭据数据676的凭据密钥155b'的访问权限。SP可由可能已被所加密的主机交易凭据数据677和被包括在主机交易数据678中的附加数据(例如，数据666)所识别。主机交易数据678可包括识别设备100或至少其安全元件的信息(例如，主机设备标识符119)，使得在主机交易数据678由第二安全子***492接收时，第二安全子***492可知道在操作630处使用哪些访问信息(例如，访问信息155b,155c,156k,151k和/或158k中的哪个访问信息)。例如，第二安全子***492可具有对多个访问密钥155b/155c和/或多个ISD密钥156k的访问权限，其中的每一者可特定于特定主机设备100或特定安全元件。

接着，在操作631处，第二安全子***492可用于识别与可能已由交易请求数据666并因此由主机交易数据678识别的SP相关联的SP密钥(例如，SP密钥157')，然后使用该SP密钥来对主机交易数据678的至少一部分进行重新加密。即，在操作630处使用合适的访问信息来对主机交易数据678的至少一部分进行解密之后(例如，在对所加密的主机交易凭据数据677解密以实现所加密的主机交易凭据数据676以及可在所加密的主机交易凭据数据677中加密的任何其他信息(例如，数据666)之后)，第二安全子***492然后可在操作631处利用可能与在主机交易数据678中识别的SP信息相关联的合适的SP密钥来对主机交易数据678的至少一部分(例如，所加密的主机交易凭据数据676的令牌数据和/或加密数据)进行重新加密。此类SP密钥(例如，SP密钥157')可通过将在主机交易数据678(例如，SP ID 219)中识别的管理实体SP信息与第二安全子***492的表430中的数据进行比较来确定(例如，SP密钥157'可针对表430中的SP ID 219进行存储(例如，在操作606处))。利用该所确定的合适的SP密钥，第二安全子***492可利用该SP密钥(例如，SP密钥157')来将主机交易数据678的至少一部分(例如，所加密的主机交易凭据数据676(例如，包括主机交易凭据数据675的令牌数据和/或加密数据))重新加密为经加密的SP凭据数据681(例如，SP保护的主机交易凭据数据)。例如，所加密的SP凭据数据681可至少包括来自主机交易数据678的所加密的主机交易凭据数据676以及任何合适交易数据，诸如来自或基于主机交易数据678和/或交易请求数据666的购买量数据或其他合适的交易数据(例如，可能初始已由潜在交易数据660识别的数据)。在一些实施方案中，在操作631处的此类加密之前，AE子***400可用于确认AE子***400在被识别用于确定SP密钥157'的SP子***中具有的有效性和/或可信度。来自主机交易数据678的SP识别信息可能无需被包括在所加密的SP凭据数据681中，因为可能已使用该SP识别来确定在操作631处可用于对所加密的SP凭据数据681进行加密的SP密钥。所加密的SP凭据数据681可由AE子***400标记，使得当由SP子***200接收时，可将AE子***400建立为此类所加密的SP凭据数据681的创建者和/或可使得SP子***200能够确保此类所加密的SP凭据数据681在标记之后未被修改。例如在可兑换凭证均不被用于满足该主机交易凭据的任何一个或多个地理限制的情况下，此类所加密的SP凭据数据681可在操作631处生成，然后连同任何其他合适的数据一起作为受保护的主机交易凭据数据从AE子***400传输到主机设备100或客户端设备100'或SP子***200，以便促成(例如，注资)交易。

然而，如果应当使用凭证，则在操作632处，可由AE子***400针对此类凭证来存储在操作631处生成的所加密的SP凭据数据681。在此类实施方案中，在操作632处，第二安全子***492可被配置为生成或以其他方式访问可指示唯一主机交易凭证的凭证数据682，然后针对所加密的SP凭据数据681将此类凭证(例如，通过利用任何合适数据链路将凭证数据682的凭证和SP凭据数据681链接)存储在第二安全子***492的任何合适存储器部件中，诸如存储在表435中或任何其他合适数据结构中。此类唯一主机交易凭证可为具有任何合适大小的任何合适的数据元，诸如8字符或9字符字母数字串，其可由AE子***400或以其他方式随机或唯一地生成，以与所加密的SP凭据数据681关联，使得凭证可不包括指示所加密的SP凭据数据681的主机交易凭据数据的任何数据。在操作632处使用的此类凭证数据682然后可连同任何其他合适数据(诸如第二安全子***492的URL或指示兑换该凭证的实体的其他数据)一起在操作633处作为受保护的主机交易数据683从AE子***400传输到主机设备100。然后，在操作634处，受保护的主机交易数据683的至少凭证数据682以及任何其他合适数据(例如，数据666或以其他方式可用于主机设备100的可指示交易的任何合适数据)可以作为安全主机交易数据684从主机设备100传送至客户端设备100，其中此类数据684可以通过IDS子***471从主机设备100传送至客户端设备100'，而不违反对受限主机交易凭据数据的任何限制，因为凭证数据682和安全主机交易数据684的任何其他部分都不可以包括凭据SSD 154b的任何主机交易凭据数据，使得IDS子***471可以处理受保护的主机交易数据684。在一些实施方案中，任何附加数据诸如兑换器数据可在操作632处针对所加密的SP凭据数据681连同凭证一起存储。例如，某些兑换器数据可为与正处理的交易相关联的客户端设备100'的任何合适标识符(例如，任何合适客户端设备ID(例如，客户端设备ID119'和/或在AE子***400处与客户端用户帐户相关联的令牌(例如，iCloud^TM账户令牌)，其为主机设备100的用户和客户端设备100'的用户可共同的)，在操作628处，可将其传到(例如，从数据662和/或数据666)AE子***400上)，使得客户端设备100'可用于连同凭证一起来提供该客户端设备标识符兑换器数据，以便将凭证兑换为所加密的SP凭据数据681(例如，在操作637处，如果客户端设备100'将凭证连同该客户端设备标识符兑换器数据一起来提供给AE子***400，则AE子***400可仅将所加密的SP凭据数据681提供给客户端设备100'，并且AE子***400确定凭证和该客户端设备标识符兑换器数据相对于彼此并相对于所加密的SP凭据数据681来存储或以其他方式彼此关联，以及与所加密的SP凭据数据相关联)。又如，某些兑换器数据可为正处理的交易的SP子***200的任何合适标识符(例如，在操作628处可传给(例如，从数据660)AE子***400的SP子***200的SP证书(例如，来自操作606)或任何合适SPID(例如，SP ID 219))，使得SP子***200(或相关联的收单银行399)可用于将SP标识符兑换器数据连同凭证一起提供，以便将凭证兑换为所加密的SP凭据数据681(例如，在操作637处，如果该实体将凭证连同该SP标识符兑换器数据一起来提供给AE子***400，则AE子***400可仅将所加密的SP凭据数据681提供给SP子***200或收单银行399，并且AE子***400确定凭证和该SP标识符兑换器数据相对于彼此并相对于所加密的SP凭据数据681来存储或以其他方式彼此关联，以及与所加密的SP凭据数据相关联)。

包括凭证数据682的受保护的主机交易数据683，可作为安全主机交易数据684在操作634处由主机设备100转发到客户端设备100'(例如，使用任何合适协议经由通信路径99和/或经由AE子***400的IDS子***471)。然后，在操作636处，客户端设备100'可用于检测主机交易数据684的凭证数据682，并接着尝试通过将可包括凭证数据682的主机交易数据凭证兑换请求数据686传送到第二安全子***492(例如，由数据683/684的兑换实体识别数据识别的实体)，在第二安全子***492处将凭证数据682的凭证兑换为可注资或以其他方式促成交易的主机交易凭据数据，诸如所加密的SP凭据数据681。客户端设备100'可用于检测凭证数据682，和/或目标第二安全子***492的身份，和/或使用可从主机设备100传送到客户端设备100'的任何合适数据将凭证数据682兑换为主机交易数据683的一部分(例如，数据683可包括用于第二安全子***492的合适的URL(例如，可在操作628处由主机设备100确定和使用))的方式。主机交易数据凭证兑换请求数据686可包括凭证数据682和指示客户端设备100'(例如，客户端设备ID 119')的任何数据，使得第二安全子***492可以将用凭证兑换的主机交易凭据数据传送回客户端设备100'。

在操作637处，第二安全子***492可通过从客户端设备100'接收主机交易数据凭证兑换请求数据686、识别由主机交易数据凭证兑换请求数据686的凭证数据682定义的凭证，并识别相对于该凭证存储的任何主机交易凭据数据(例如，在操作632处，针对凭证存储的所加密的SP凭据数据681)，将凭证兑换为主机交易凭据数据。然后，在操作638处，第二安全子***492可以将在操作637处识别的主机交易凭据数据(例如，所加密的SP凭据数据681)传送到客户端设备100'作为兑换到的主机交易数据688的至少一部分，从而完成凭证兑换。一旦凭证已兑换为主机交易凭据数据，就可从第二安全子***492中删除凭证和针对凭证存储的主机交易凭据数据(例如，所加密的SP凭据数据681)中的一个或多个，使得AE子***400可不在其已被兑换之后存储主机交易凭据数据(例如，使得主机事务凭据数据在子***400上是瞬时的)，和/或使得凭证可被配置为一次性可兑换凭证。

在一些实施方案中，一个或多个限制或兑换标准可应用于凭证的兑换，其中此类标准可由AE子***400和/或主机设备100(例如，在提供给AE子***400的数据678中)和/或发行方子***30(例如，在提供主机交易凭据时的数据653/654中(例如，作为在该主机交易凭据上的任何限制的一部分))限定，并且可用于为交易提供附加安全层，例如，通过限定在操作637处必须满足以将凭证兑换为主机交易凭据数据的一个或多个限制或要求。例如，如上所述，此类兑换标准可以包括客户端设备标识符兑换器数据，其中客户端设备100'的标识符可相对于在操作632处创建在凭证数据682的凭证和所加密的SP凭据数据681之间的链路或以其他方式存储与其相关联地存储，使得第二安全子***492可用于要求主机交易数据凭证兑换请求数据686包括此类客户端设备标识符，以便兑换所加密的SP凭据数据681的凭证(例如，验证客户端设备100'是所加密的SP凭据数据681的预期/批准的接收方)。又如，如上所述，此类兑换标准可以包括SP标识符兑换器数据，其中SP子***200的标识符可针对在操作632处创建在凭证数据682的凭证和所加密的SP凭据数据681之间的链路或以其他方式与之相关联地存储，使得第二安全子***492可用于要求主机交易数据凭证兑换请求数据686包括此类SP标识符(例如，如果凭证兑换请求数据686由SP子***200或相关联的收单子***399而非客户端设备100'来传送到AE子***400)，以便兑换所加密的SP凭据数据681的凭证(例如，验证SP子***200和/或与其相关联的收单子***399是所加密的SP凭据数据681的预期/批准的接收方)。除此之外或另选地，此类兑换标准可以包括时间兑换标准，其中在凭证和主机交易凭据数据之间的存储的链路可仅在链路被删除并且凭证不可兑换之前的有限持续时间内有效(例如，在操作637处由第二安全子***492接收主机交易数据凭证兑换请求数据686的时间必须不超过在操作632处凭证初始针对主机交易凭据数据而存储的时间之后的5分钟或任何其他合适时间标准时间限制，以便在操作638处，主机交易凭据数据初始针对将由第二安全子***492识别并从其传送的凭证来存储)。此类时间兑换标准可以防止AE子***400使得交易能够在过去的特定持续时间内发起注资，或仅在意图相对于特定时间来注资的情况下发起注资(例如，时间兑换标准可用于定义时间框架，在其期间或之前或之后，交易有效并能够被注资)。

又如，兑换标准可以包括SP识别兑换标准信息，诸如与交易相关联的特定SP的指示(例如，任何合适SP ID 219)，由此在操作632处，AE子***400可从数据678识别由主机设备100提供的第一SP标识符，并针对凭证和主机交易凭据数据来存储此类第一SP标识符，由此在操作636处，AE子***400可连同凭证一起从数据686识别由客户端设备100'提供的第二SP标识符，并且如果针对凭证存储的第一SP标识符匹配在操作636处接收的第二SP标识符，则在操作638处，AE子***400可仅将主机交易凭据数据发布到客户端设备100'(例如，为了确认SP在交易过程中尚未发生改变)。又如，兑换标准可以包括基于量的兑换标准，诸如可在操作631处针对主机交易凭据数据来存储凭证之前定义并与交易相关联的特定货币的特定量或最大量的指示，由此在操作632处，AE子***400可从数据678识别由主机设备100提供的第一量标识符，并针对凭证和主机交易凭据数据来存储此类第一量标识符，由此在操作636处，AE子***400可连同凭证一起从数据686识别由客户端设备100'提供的第二量标识符，并且如果在操作638处针对凭证存储的第一量标识符匹配在操作636处接收的第二量标识符或在其预定阈值量范围内，则AE子***400可仅向客户端设备100'发布主机交易凭据数据(例如，为了防止AE子***400使交易以不同于满足初始与交易相关限制量的量被注资)。又如，兑换标准可以包括凭据限制兑现标准，由此AE子***400可识别用于处理所加密的SP凭据数据681的受地理限制的主机交易凭据数据的地理区域限制(例如，从数据678或可另外由主机设备100和/或AE子***400确定)，并且AE子***400可存储指示凭据限制兑换标准的数据(例如，指示“将仅由位于第二地理区域92中的实体兑换”的数据)，由此在操作636处，AE子***400可连同凭证一起识别兑换请求实体的位置或其他请求设备情形信息(例如，向AE子***400传送凭证兑换请求数据686的实体的位置可包括在数据686中，或以其他方式可从其中检测(例如，该请求实体的IP地址))，并且如果针对凭证存储的限制兑现标准被兑换请求实体的所识别的位置或其他请求设备情形信息满足，则在操作638处，***400可仅向请求实体发布主机交易凭据数据(例如，为了防止用于向实体发布所加密的SP凭据数据681的凭证兑换会违反所加密的SP凭据数据681的主机交易凭据数据的限制)。除此之外或另选地，第二安全子***492可以包括具有在数据683中的凭证数据682的特定凭证兑换URL，其中该URL可仅寻址第二安全子***492可与兑换在地理上被限制为用于第二地理区域92内的主机交易凭据数据的凭证相关联的部分(例如，服务器)，并且第二安全子***492的该部分(例如，服务器)可被配置为不接收来自位于第二地理区域92外的任何请求实体的任何凭证兑换请求数据686(例如，第二安全子***492可使用防火墙或其他合适技术来仅接收从第二地理区域92内传输出的受地理限制的主机凭据数据的凭证兑换请求数据686(例如，限制仅来自适于兑换受地理限制的主机凭据数据的凭证的实体的受许通信量))。又如，兑换标准可以包括设备-情形兑换标准，由此在操作632处，AE子***400就可识别可由主机设备100提供在数据678中的指示主机设备100的位置的第一位置标识符，并针对该凭证和主机交易凭据数据来存储此类第一位置标识符，由此在操作636处，AE子***400就可连同凭证一起识别可由客户端设备100'提供在数据686中的指示客户端设备100'的位置的第二位置标识符，并且如果针对凭证存储的第一位置标识符匹配在操作636处接收的第二位置标识符或在其预定阈值距离内，则在操作638处，AE子***400就可仅向客户端设备100'发布主机交易凭据数据(例如，以便防止AE子***400能够使用不在彼此合适距离范围内的设备注资交易)，由此AE子***400就可用于处理此类设备-情形兑换标准，以便使得相关联的交易能够仅在该设备-情形兑换标准的将处理的环境信息符合可用于AE子***400的任何合适风险分析(例如，常见欺诈指示器)的情况下受到注资(例如，AE子***400可访问的与进行交易的一个或多个设备相关联的管理账户信息(例如，与账户所有者相关联的地址信息)可结合此类设备-情形兑换标准信息分析，以确定是否存在将必然拒绝或标记对交易的注资以进一步审查的任何风险(例如，如果设备100的所有者的地址由AE子***400确定为是在纽约，但是由设备-情形兑换标准识别的设备100的位置是在中国，则可对交易进行标记以在允许注资交易之前进行另外风险分析))。其他合适的设备-情形兑换标准信息可以包括一个设备或每个设备的地理位置(例如，国家位置或是更具体的位置，诸如州或市或街道)、一个设备或每个设备的互联网协议(“IP”)地址等等。

本公开认识到在本发明技术中使用此类个人信息数据(诸如用户设备100的当前位置)可用于使用户受益。例如，可使用个人信息数据为正在进行的金融交易提供更好的安全性和风险评估。因此，使用此类个人信息数据使得能够有计划地确保金融交易的安全性。此外，本公开还预期个人信息数据有益于用户的其他用途。

本公开还预期负责此类个人信息数据的收集、分析、公开、传输、存储或其他用途的实体将遵守已确立的隐私政策和/或隐私实践。具体地，此类实体应当实行并坚持使用被公认为满足或超出对维护个人信息数据的隐私性和安全性的行业或政府要求的隐私政策和实践。例如，来自用户的个人信息应当被收集用于实体的合法且合理的用途，并且不在这些合法使用之外共享或出售。另外，此类收集应当仅在用户知情同意之后进行。另外，此类实体应采取任何所需步骤或进行某些操作，以保障和保护对此类个人信息数据的访问，并且确保能够访问个人信息数据的其他人遵守他们的隐私政策和程序。另外，此类实体可使其本身经受第三方评估以证明其遵守广泛接受的隐私政策和实践。

不管前述情况如何，本公开还预期用户选择性地阻止使用或访问个人信息数据的实施方案。即本公开预期可提供硬件元件和/或软件元件，以防止或阻止对此类个人信息数据的访问。例如，就金融交易服务而言，本发明的技术可被配置为在注册服务期间允许用户选择“加入”或“退出”参与对个人信息数据的收集。又如，用户可选择不向金融交易服务提供位置信息。再如，用户可选择不提供精确的位置信息，但准许传输位置区域信息。

因此，虽然本公开广泛地覆盖了使用个人信息数据来实现一个或多个各种所公开的实施方案，但本公开还预期各种实施方案也可在无需访问此类个人信息数据的情况下被实现。即，本发明技术的各种实施方案不会由于缺少此类个人信息数据的全部或一部分而无法正常进行。例如，可通过基于非个人信息数据或绝对最低限度的个人信息，诸如与用户相关联的设备所进行的金融交易、对金融交易服务可用的其他非个人信息或公开可用信息来推断偏好或状况，从而提供金融交易服务。

因此，使用兑换标准信息可用于使AE子***400能够在操作628处接收主机交易数据678之后并在操作636处接收兑换请求数据686之后但在操作638处兑换凭证以将主机交易凭据数据作为兑换到主机交易数据688来传送至客户端设备100'之前，提供验证检查。AE子***400可用于结合AE子***400可访问的任何其他合适信息来处理任何合适兑换标准信息，以便确定是否应当能够注资交易。此类兑换标准信息可由与该交易相关联的任何合适实体生成，并且可以任何合适通信(包括图6未示出的通信)来发送给AE子***400。因此，如果AE子***400确定特定交易不再可行或不符合任何合适兑换标准，则AE子***400就可通过不兑换凭证来阻止交易被注资，并且可更新或删除与该交易相关联的任何数据(例如，AE子***400可删除凭证或在AE子***400处相对于凭证存储的任何主机交易凭据数据和/或编辑与该交易相关联的任何兑换标准信息的至少一部分)。然而，如果在操作637和638处，AE子***400能够实现要注资的交易，则在交易在已知设备和/或已知SP之间和/或符合任何合适兑换标准的任何合适要求的条件下就可满足AE子***400。

在操作640处，在操作638处从AE子***400接收到兑换的主机交易数据688之后，客户端设备100'可至少将兑换的主机交易数据688的主机交易凭据数据(例如，加密的SP凭据数据681)转发给SP子***200作为客户端交易数据690(例如，经由通信路径15或作为基于非接触式邻近性的通信5)。在一些实施方案中，在操作634和操作640之间，客户端设备100'的GUI可被配置为提供图3G的另一个屏幕190g，其可利用提示333提示客户端设备100'的用户以一种或多种方式与客户端设备100'交互，以使用于自主机设备100的选择并认证的主机交易凭据(例如，作为在兑换的主机交易数据688的加密的SP凭据数据681内加密的加密主机交易凭据数据676)来审查和拒绝和/或最终发起支付。另选地，操作636-638可对客户端设备100'的用户透明地发生。另选地，可将具有SP凭据数据681的兑换的主机交易数据688从AE子***400传送到SP子***200，而不经由客户端设备100'传送。操作631和638可用于确保从AE子***400作为兑换的主机交易数据688的一部分传输的凭据数据(例如，加密的SP凭据数据681的令牌数据和/或加密数据)可通过某种方式加密，以使其不可被客户端设备100'的一部分解密。也就是说，可利用可能未暴露于客户端设备100'的任何部分或以其他方式不能被其访问的SP密钥(例如，SP密钥157')来对兑换的主机交易数据688的凭据数据(例如，加密的商家凭据数据681的令牌数据和/或加密数据)进行加密。此外，可利用可能未暴露于客户端设备100'的任何部分或以其他方式不能被其访问的凭据密钥155b'来对兑换的主机交易数据688的凭据数据(例如，加密的SP凭据数据681的令牌数据和/或加密数据)进行加密。

在其他实施方案中，主机设备100可在操作634处直接而非经由客户端设备100'将受保护的主机交易数据684传送到SP子***200，或者AE子***400可在操作633处直接而非经由主机设备100将受保护的主机交易数据683传送到客户端设备100'(例如，使用可由数据666或以其他方式在操作630处提供的任何合适的客户端设备目标地址信息)，或者AE子***400可在操作621处直接而非经由主机设备100和/或客户端设备100'将受保护的主机交易数据683传送到SP子***200(例如，使用可从在操作631处使用的SP ID 219确定的任何合适的SP目标地址信息)，其中此类传送的受保护的主机交易数据683/684的凭证可由数据683/684的接收方兑换。不同于凭证相对于SP凭据数据681存储来进行后续兑换，在其他实施方案中，应当了解，可由第二安全子***492在接收数据678之后但在操作630之前相对于主机交易数据678来存储这一凭证，其中该凭证的兑换(例如，在操作637处)可包括第二安全子***492接着在操作630和631处识别和处理数据678以揭示加密的SP凭据数据681将返回为凭证的兑换物，和/或可由第二安全子***492在操作630之后但在操作631之前相对于数据666,675和/或676来存储这一凭证，其中该凭证的兑换(例如，在操作637处)可包括第二安全子***492接着在操作631处识别和处理数据666,675和/或676以揭示加密的SP凭据数据681将返回为凭证的兑换物。

在一些实施方案中，HSM部件490可被配置为(例如，第二安全子***492的)AE子***400的防篡改部件，其可用于在发生篡改时以物理的方式破坏自身，从而可保护其上数据。第二安全子***492的HSM部件490可用于包括针对具有链接到任何SP ID的任何SP密钥的表430的存储、针对具有链接到任何主机交易凭据数据的任何凭证的表435的存储以及针对可被链接到任何合适设备ID的任何合适访问密钥的存储，以使得操作630,631,632和637中的每个操作可由HSM部件490执行。这样可彻底阻止第二安全子***492和/或AE子***400的任何其他部分用于访问数据675和/或数据666(例如，因为用于从数据678的数据677揭示此类数据的访问密钥可仅在HSM部件490内的AE子***400处提供和/或因为用于从数据681揭示此类数据的SP密钥可仅在HSM组件490内的AE子***400处提供)。由于凭证可被兑换为可包括已唯一地加密到特定SP的SP密钥的主机交易凭据数据的SP凭据数据681，所以凭证可由除具有该SP密钥的实体之外的实体兑换，而不存在主机交易凭据数据的安全性方面风险。因此，HSM部件490可被配置为将SP凭据数据681发布到可向HSM部件490呈现凭证的实体，同时该凭证和SP凭据数据681之间的链路仍然可行(例如，由于时间兑换标准而未到期)。

一旦包括主机交易凭据数据675/676的SP凭据数据681被SP子***200接收(例如，在操作640处作为客户端交易数据690)，过程600还可包括操作642，在该操作处，SP子***200可被配置为向发行方子***300生成和传输SP交易数据692(例如，经由收单银行子***399(例如，经由图1B的SP子***200与收单银行子***399之间的通信路径25和收单银行399与发行方子***300之间的通信路径35)，或直接向发行方子***300的第二发行方子***392)，其中数据692可包括可指示主机设备100的受保护的主机支付凭据数据(例如，数据681的主机交易凭据数据675/676)的支付信息和授权请求，以及产品或服务的SP购买价格(例如，可被包括在客户端交易数据690中或以其他方式与其相关联，或者可以其他方式与SP子***200已知的交易相关联(例如，通过潜在交易数据660(例如，基于唯一交易标识符)))。例如，在操作642处，SP子***200可利用其已知SP密钥157'来至少部分地解密客户端交易数据690的SP凭据数据681，使得SP凭据数据692可包括使用其凭据密钥155b'而非发行方子***300不可用的密钥(例如，SP密钥157')进行加密的凭据SSD 154b的受保护的主机支付凭据数据(例如，加密的支付凭据数据676)。

接下来，在操作644处，当发行方子***300的第二发行方子***392接收授权请求(例如，在操作642处直接从收单银行子***399或SP子***300接收来作为数据692，或经由相关联的支付网络子***362间接接收来作为数据405)时，可对支付信息(例如，由主机设备100的安全元件145通过凭据密钥155b'加密的主机设备100的主机交易凭据数据675(例如，加密的主机交易凭据数据676))和购买量(每一者均可被包括在授权请求数据中)解密(例如，使用发行方子***300处的凭据密钥155b')，并进行分析以确定与主机交易凭据相关联的账户是否有足够的信用或以其他方式来覆盖购买量。如果没有充的资金，则第二发行方子***392可通过向收单银行子***399/SP子***200传输否定授权响应来拒绝所请求的交易。然而，如果有充足的资金，则第二发行方子***392就可通过向收单银行子***399/SP子***200传输肯定授权响应来批准所请求的交易，并且金融交易可完成。作为授权响应交易状态数据694的任一种类型的授权响应均可在过程600的操作644处由第二发行方子***392提供至收单银行子***399/SP子***200(例如，直接从第二发行方子***392提供至收单银行子***399/SP子***200，或基于可经由通信路径42从第二发行方子***392提供至支付网络子***362的授权响应数据415来从支付网络子***362提供至收单银行子***399/SP子***200)。接下来，响应于在操作644处接收到授权响应交易状态数据694，过程600还可包括SP子***200或任何其他合适的子***，这些子***与客户端设备100'(例如，使用SP资源或以其他方式)共享此类授权响应交易状态数据，在操作646处作为确认的交易状态数据696，和/或与主机设备100共享此类授权响应交易状态数据，在操作648处作为确认过的交易状态数据698。此类确认的交易状态数据可被配置为向设备100和/或100'提供任何合适的确认数据，诸如图3H的屏幕190h的确认数据335。如果交易成功，则确认的交易状态数据可用于在操作646处在客户端设备100'处和/或在操作648处在主机设备100处关闭交易(例如，由支付请求数据的唯一远程支付标识符识别的交易)。如果交易未成功，则确认的交易状态数据可用于或可不用于关闭交易(例如，如果没有有效注资可用或设备被识别为欺诈性的，则关闭交易，但是如果确定为无效装运地址，则保持打开并允许更新)。任何非交易终止的交易状态数据都可允许支付过程继续，直至过程被应用程序取消、过程被用户取消，或者过程完成。

因此，SP子***200可被配置为以任何合适方式处理客户端交易数据690或SP凭据数据681的任何其他载体。例如，为了从SP凭据数据681获得主机交易凭据数据，SP子***200可验证所接收的SP凭据数据681的签名属性有效并且AE子***400是该签名的签发者。SP子***200可使用任何合适的技术来确定AE子***400使用哪个SP密钥(例如，哪个商家公钥157')来构造所加密的SP凭据数据(例如，数据681)。然后，SP子***200可检索对应的SP私钥(例如，SP子***200处的SP私钥157')并使用该所检索的密钥对所加密的SP凭据数据681解除封装和/或解密，以恢复所加密的主机交易凭据数据676。接下来，此类数据676可提供给合适的支付网络/发行子***，其可利用发行方子***300的合适的凭据密钥155b'来将所加密的主机交易凭据数据676解除封装和/或解密，以恢复主机交易凭据数据675(例如，恢复主机交易凭据数据675的用于验证主机交易凭据数据675的令牌数据和/或加密数据(例如，基于接收到的主机交易凭据数据675的令牌数据独立生成加密数据，将所生成的加密数据与所接收的主机交易凭据数据675的加密数据进行比较，并基于该比较来确认或拒绝交易))。

应当理解，图6的过程600中所示的操作仅仅是例示性的，可修改或省略现有操作、可添加附加步骤，并可改变某些操作的顺序。另外，在一些具体实施中，两个或更多个操作可并行地或以不同于所描述的顺序进行。在一些实施方案中，潜在交易(例如，由潜在交易数据660所识别的)可至少部分地通过两个不同支付凭据注资。虽然并未示出，但是凭证数据682可直接从AE子***400传送到客户端设备100'(例如，经由通信路径95而非经由主机设备100)，或者直接从AE子***400传送到SP子***200(例如，经由通信路径85而不经由主机设备100和/或不经由客户端设备100')，或者直接从AE子***400传送到发行方子***300或其收单银行(例如，经由通信路径55而不经由主机设备100和/或不经由客户端设备100'和/或不经由SP子***200)，以由那些接收子***中的任一者进行兑换。虽然并未示出，但是凭证数据682可直接从主机设备100传送到SP子***200(例如，并非经由客户端设备100')，以由SP子***200进行兑换，或者直接从主机设备100传送到发行方子***300，以由发行方子***300(例如，经由通信路径75而不经由客户端设备100'和/或不经由SP子***200)进行兑换。应当理解，当未检测到正在使用的主机交易凭据的地理限制时，或者如果IDS子***471并不用于处理从主机设备100传送到客户端设备100'的数据，则就可跳过操作632和636-638，由此受保护的主机交易数据683和684可包括SP凭据数据681而非凭证数据682，使得客户端设备100'无需使用凭证来兑换此类SP凭据数据681，而是可直接从主机设备100接收此类SP凭据数据681。如上所述，客户端设备100'可被配置为确定应当购买特定产品或服务并且该产品或服务应当与一个或多个SP交互，以便从用于该特定产品或服务的至少一个特定SP获得相关联的潜在交易数据(例如，客户端设备100'可为家用电器，其可被配置为确定必须购买某电器产品(例如，检测到洗衣机需要更多的洗衣剂或检测到由用户预设的关于在特定日期购买更多洗衣剂的日历事件)，并可自动识别针对该产品提供最佳交易的特定SP，并可自动与该SP交互以获得从该SP购买该产品的潜在交易数据)，所有这些都是自动进行的，而没有由客户端设备100'的用户进行的任何主动交互。此后，客户端设备100'可用于自动生成支付请求(例如，交易请求数据666)并将该支付请求推送到一个或多个特定目标主机设备。例如，此类客户端设备100'可为自动化设备，其可被配对至生态***中的一个或多个主机设备100(例如，使用家庭自动化平台，诸如Apple Inc.的HomeKit^TM)，并且此类支付请求可根据任何合适的预定设置至少部分地预先填充或以其他方式填充(例如，从主机设备X请求支付新洗衣剂，并且从主机设备Y请求支付新干燥纸，或者从主机设备X请求支付任何超过$G的购买和从主机设备Y请求支付任何低于$G的购买)。

在过程600的主机设备100和客户端设备100'之间的一个数据通信、一些数据通信或每个数据通信(例如，数据662,664,666,684和/或698中的一个数据、一些数据或每个数据的通信)可利用可以任何合适方式加密或完全不加密的任何合适传输机构使用任何合适通信协议在任何合适通信路径上(诸如直接以对等布置或经由AE子***400的IDS子***471或任何其他合适实体)进行。此类数据通信可经由任何合适的在线消息发送、即时消息发送、电子邮件消息发送、文本消息发送、任何合适基于邻近性的消息发送、NFC、BlueTooth^TM等等来发生，并且可使用任何合适设备寻址方案诸如电话号码、电子邮件地址、唯一设备标识符、基于位置的信标等等来实现。每台主机设备和每台客户端设备可为具有用于用户的任何合适UI和I/O能力的任何合适设备，诸如膝上型计算机、智能电话、家用电器、SP附件设备(例如，由汽油商家在气泵处提供的设备)、用户附件(例如，可穿戴设备，诸如智能手表)等等。通过允许具有本地支付凭据的任何主机设备从自身可具有或可不具有本地支付凭据的任何其他合适设备(例如，具有或不具有其自身本地支付凭据的客户端设备)接收并响应于支付请求(例如，通过公共互联网或以任何其他合适方式)，***1和过程600可实现许多安全有效的使用情况和用户体验，即使在尊重本地支付凭据的任何合适地理限制时也是如此。

例如，用户使用客户端设备100'(例如，可能没有安全元件或任何本地支付凭据的膝上型计算机)上的SP子***200的在线SP资源(例如，应用程序113')进行在线购物，并与在线资源进行交互以识别要购买的特定产品(例如，“产品B”)。响应于对该产品的识别(例如，响应于用户选择“利用安全凭据支付进行购买”(例如，Apple Inc.的Apple Pay^TM))，该在线资源可用于在客户端设备100'上呈现支付表单或任何合适UI，这可使得用户能够输入特定装运地址或其他可变数据(例如，如屏幕190a所示，并可由客户端设备100'的用户通过一次或多次附加重复请求和获得操作610的可更新其他信息的更新的潜在交易数据而进行更新(例如，响应于客户端设备100'的用户改变信息307d的装运地址，信息307c的价格也会更新)。在某一时刻，客户端设备100'的用户可选择屏幕190a的“安全支付”选项309，这可得到发现过程(例如，操作662和664)，该发现过程可自动识别(例如，不存在由客户端设备100'的用户进行的任何另外交互)客户端设备100'没有适于注资购买屏幕190a的支付表单的本地支付凭据(例如，基于由潜在交易数据660指示的可接受的支付选项)，并且“HD1的PMY”(即，主机设备1的支付方法Y)是适于使用的唯一可用或优选的非本地支付凭据(例如，可基于每个可用主机设备与客户端设备的邻近性或可由客户端设备100'经由发现过程访问的任何其他合适特征，自动确定偏好)。在此类识别后，客户端设备100'可用于向客户端设备100'的用户自动呈现图3C的屏幕190c，以使得用户能够选择图3C的选项315以向该主机设备发送合适的支付请求，或者过程600可代表用户自动做出该选择(例如，通过响应于识别到发现过程，将合适的交易请求数据666自动发送到可用目标主机设备1(即，主机设备100))，这可导致图3D的屏幕190d或图3E的屏幕190e由该主机设备100自动呈现(例如，在主机设备100上呈现可类似于在客户端设备100'上呈现的支付单的支付单)。主机设备100可以是移动电话或任何其他设备，其可包括具有适于注资由客户端设备100'发起交易的至少一个本地支付凭据的安全元件。客户端设备100'的用户可不仅邻近客户端设备100'，还可邻近主机设备100，并且可能能够与主机设备100的屏幕190d-190f中一者的GUI交互，以授权使用主机设备100本地的特定支付凭据来注资由客户端设备100'和SP子***200发起或以其他方式进行的交易(例如，通过选择图3F的屏幕190f的验证选项331)。响应于主机设备100上的此类认证，可向发行方子***300提供用于主机设备100本地的凭据的主机支付凭据数据，以尝试注资交易(例如，在过程600的操作625-642处)，然后可在客户端设备100'和/或在主机设备100处(例如，通过图3H的屏幕190h)与用户共享该交易的确认状态。在一个另选的实施方案中，多个主机设备可被识别为可用的，并且支付请求可从客户端设备100'发送到可用主机设备中的每一者，并且以主机支付凭据数据响应的第一主机设备可注资交易，或者每个主机设备可以主机支付凭据数据响应，从而注资该交易的特定部分。

又如，使用家庭自动化平台(例如，Apple Inc.的HomeKit^TM)通信地耦接到通信网络的用户的家用电器客户端设备100'(例如，洗衣机)可用于确定几乎超出合适的操作所需的资源(例如，洗衣机客户端设备100'可用于自动确定其洗衣剂的储备为20％容量)。响应于此类确定，家用电器客户端设备100'可用于自动识别购买更多该资源的机会(例如，家用电器客户端设备100'可用于经由一个或多个在线资源与一个或多个SP子***交互，以识别以最佳价格或以其他合适度量出售的所需洗衣剂)。由此，可由客户端设备100'获得针对该购买机会的潜在交易数据660，并且客户端设备100'可用于自动发现可用于注资该交易的至少一个主机设备(例如，经由操作662/664的发现过程)，并且可与至少一个所发现主机设备中的每一者(诸如与包含家用电器客户端设备100'的家庭自动化平台生态***相关联的至少一个用户的主机设备)自动共享合适的交易请求数据666。主机设备100可接收此类支付请求数据并可使主机设备100的用户具有以下能力：选择和认证该主机设备本地的支付凭据，以用于注资由家用电器客户端设备100'识别(例如，如在没有任何主动用户交互的情况下在客户端设备100'处识别)的交易。这可使得用户和主机设备100能够在相对于家用电器客户端设备100'的任何合适位置处从家用电器客户端设备100'接收请求(唯一支付请求)，并向家用电器客户端设备100'提供主机设备本地的支付凭据的主机交易数据，以用于注资与唯一支付请求相关联的交易(例如，主机设备100及其用户可与家用设备客户端设备100'天各一方，但仍可用于从家用设备客户端设备100'接收支付请求并以主机支付凭据数据进行响应(例如，经由任何合适互联网通信路径或任何其他合适通信路径，诸如经由AE子***400的IDS子***471的服务))。另选地，不同于经由互联网进行跨大距离通信，家用电器客户端装置100'可在客户端装置100'的显示器上呈现可由邻近主机装置100的传感器扫描并处理以识别特定支付请求数据的QR代码，或者客户端设备100'和主机设备100可经由BlueTooth^TM或任何其他合适的本地通信协议来通信。

在一些实施方案中，本公开的过程600和/或任何其他过程的至少一部分可用于在主机设备100的用户和客户端设备100'的用户之间转移资金(例如，客户端设备100'可独立于客户端设备100'和SP子***之间的任何交易来从主机设备100请求资金)。在一些实施方案中，这可通过发行方子***300的收单银行和/或一个或多个实体实现，以启用主机交易数据来促成资金在与主机设备上的凭据相关联的账户和与客户端设备的用户相关联的账户之间转移，而不需要任何SP子***。作为另外一种选择，可利用主机设备上的储值卡和/或客户端设备上的储值卡在主机和客户端之间转移资金(例如，将资金从主机设备本地的储值凭据(例如，在主机设备100的安全元件145上的凭据)转移到客户端设备本地的存储值凭据(例如，客户端设备100'的安全元件上的凭据))。例如，客户端设备100'可向主机设备100发送可用于请求主机设备100从主机设备100上的储值凭据中扣除一定量货币的支付请求，并向客户端设备100发送可用于向客户端设备100'的储值凭据添加合适量货币的任何合适的APDU命令(例如，以使得与客户端设备100'共享的主机交易数据可包括此类APDU命令和/或可包括实际加密货币)。

当客户端设备100'可经由客户端设备100'上的可特定于SP的本地应用程序与SP子***200通信时，SP应用程序113c可由此类应用程序提供。然而，当客户端设备100'可经由非特定于SP但可指向由商家管理的网站(例如，在SP控制下的服务器上)的互联网浏览器与SP子***200通信时，SP应用程序113c可以是能够将通信转发到SP的网站(例如，经由通信组件106)的布局引擎软件部件(例如，WebKit)。例如，客户端设备100'的此类应用程序113c可以是用于将提供给SP子***200的任何主机交易数据的渠道。另选地，可不经由客户端设备100'而替代地直接从主机设备100(例如，使用凭证作为代理)或AE子***400(例如，使用SP标识符(例如，SP ID 219)或由SP提供在潜在交易数据和客户端设备支付请求数据中的地址)来向SP子***200传送此类主机交易数据。

图1至图6的进一步描述

相对于图1至图6所述过程中的一个过程、一些过程或所有过程均可由软件来实现，但也可由硬件、固件，或者软件、硬件和固件的任何组合来实现。用于执行这些过程的指令也可实现为记录在机器可读介质或计算机可读介质上的机器可读代码或计算机可读代码。在一些实施方案中，计算机可读介质可以是非暂态计算机可读介质。此类非暂态计算机可读介质的示例包括但不限于只读存储器、随机存取存储器、闪存存储器、CD-ROM、DVD、磁带、可移除存储器卡和数据存储设备(例如，图2的存储器104和/或存储器模块150)。在其他实施方案中，计算机可读介质可以是暂态计算机可读介质。在此类实施方案中，暂态计算机可读介质可分布在网络耦接的计算机***上，使得计算机可读代码以分布式方式来存储和执行。例如，可使用任何合适的通信协议来从一个电子设备向另一个电子设备传送此类暂态计算机可读介质(例如，可经由通信部件106向电子设备100传送计算机可读介质(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。此类暂态计算机可读介质可实现为计算机可读代码、指令、数据结构、程序模块或经调制的数据信号形式的其他数据，诸如载波或其他传输机构，并且可包括任何信息递送介质。被调制数据信号可以是其一个或多个特性被设置或改变以将信息编码在信号中的信号。

应当理解，可将***1的任何、每个或至少一个模块或部件或子***提供作为软件构造、固件构造、一个或多个硬件部件或它们的组合。例如，可在可由一个或多个计算机或其他设备执行的计算机可执行指令诸如程序模块的一般性上下文中描述***1的任何、每个或至少一个模块或部件或子***。一般来讲，程序模块可包括可执行一个或多个特定任务或可实现一个或多个特定抽象数据类型的一个或多个例程、程序、对象、部件和/或数据结构。还应当理解，***1的模块和部件和子***的数量、配置、功能和互连仅是例示性的，并且可修改或省略现有模块、部件和/或子***的数量、配置、功能和互连，可添加附加模块、部件和/或子***，并且可改变特定模块、部件和/或子***的互连。

***1的模块或部件或子***中的一者或多者的至少一部分可通过任何适当的方式被存储在***1的实体中或能以任何其他方式被其访问(例如，设备100的存储器104中(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。例如，可使用任何合适的技术来实现NFC部件120的任何或每个模块(例如，作为一个或多个专用集成电路器件)，并且不同的模块可在结构、能力和操作方面相同或不同。***1的任何模块或所有模块或者其他部件可安装在扩展卡上、直接安装在***母板上，或集成到***芯片集部件中(例如，集成到“北桥”芯片中)。

***1的任何或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可为使用适于各种总线标准的一个或多个扩展卡来实现的专用***。例如，所有模块可被安装在不同的互连扩展卡上或者所有模块可被安装在一个扩展卡上。相对于NFC部件120，仅以举例的方式，NFC部件120的模块可通过扩展槽(例如，***部件互连(“PCI”)槽或PCIexpress槽)与设备100的母板或处理器102进行交互。另选地，NFC部件120无需为可移除的，但可包括一个或多个专用模块，该一个或多个专用模块可包括专用于模块的存储器(例如，RAM)。在其他实施方案中，NFC部件120可集成到设备100中。例如，NFC部件120的模块可利用设备100的设备存储器104的一部分。***1的任何模块或部件或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可包括其自身的处理电路和/或存储器。另选地，***1的任何模块或部件或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可与设备100的NFC部件120和/或处理器102和/或存储器104的任何其他模块共享处理电路和/或存储器。

所述概念的进一步应用

尽管已描述了用于使用具有地理上受限的非本地凭据的电子设备进行交易的***、方法和计算机可读介质，但应当理解，可在不脱离本文所述的主题的实质和范围的情况下以任何方式在其中作出许多改变。无论是现在已知的还是以后想到的，被本领域的普通技术人员视为要求保护的主题的非实质变更均被明确地考虑为等同地处于权利要求的范围内。因此，本领域的普通技术人员现在或以后所知的明显置换被定义为在所定义的元件的范围内。

因此，本领域的技术人员将认识到，可以通过除所述实施例之外的方式来实践本发明，所述实施例是为了例示而非限制而提供的。

Claims (18)

1.一种用于进行交易的方法，所述方法包括：

在管理实体子***处：

从特定地理区域内的主机电子设备接收主机交易数据，所述主机交易数据包括：

主机交易凭据数据，所述主机交易凭据数据由所述主机电子设备的安全元件上的主机凭据应用程序生成，所述主机交易凭据数据对应于在所述特定地理区域中发布的主机凭据，其中所述主机交易凭据数据在所述特定地理区域之外是不可访问的；和

交易信息，所述交易信息包括指示服务提供方子***的服务提供方标识符；

获取唯一凭证数据；

与管理主机交易凭据数据相关联地存储所述唯一凭证数据，所述管理主机交易凭据数据包括所接收到的主机交易数据的主机交易凭据数据，其中所述唯一凭证数据本身不指示所述主机交易凭据数据；以及

向所述主机电子设备、客户端电子设备或所述服务提供方子***中的至少一者传送所述唯一凭证数据，所述唯一凭证数据能够在所述特定地理区域内被兑换以获得包括所述主机交易凭据数据的所述管理主机交易凭据数据。

2.根据权利要求1所述的方法，还包括：

在所述管理实体子***处：

在所述接收之后并且在所述存储之前，生成所述管理主机交易凭据数据，其中所述生成包括：

识别已针对所述服务提供方标识符而存储的服务提供方密钥；以及

通过使用所识别的服务提供方密钥对所述主机交易凭据数据进行加密来创建所述管理主机交易凭据数据。

3.根据权利要求2所述的方法，其中所述传送所述唯一凭证数据包括向所述主机电子设备传送所述唯一凭证数据。

4.根据权利要求1所述的方法，还包括：

在所述管理实体子***处：

在所述传送所述唯一凭证数据之后，从所述客户端电子设备或所述服务提供方子***中的一者接收所述唯一凭证数据；

使用所接收到的唯一凭证数据来识别已与所接收到的唯一凭证数据相关联地存储的所述管理主机交易凭据数据；以及

向所述客户端电子设备和所述服务提供方子***中的至少一者传送服务提供方主机交易凭据数据，所述服务提供方主机交易凭据数据包括所识别的管理主机交易凭据数据。

5.根据权利要求4所述的方法，其中：

所述传送所述唯一凭证数据包括向所述主机电子设备传送所述唯一凭证数据；

所述接收所述唯一凭证数据包括从所述客户端电子设备接收所述唯一凭证数据；并且

所述传送所述服务提供方主机交易凭据数据包括向所述客户端电子设备传送所述服务提供方主机交易凭据数据。

6.根据权利要求4所述的方法，其中所述传送所述服务提供方主机交易凭据数据包括向所述客户端电子设备传送所述服务提供方主机交易凭据数据。

7.根据权利要求4所述的方法，其中所述传送所述服务提供方主机交易凭据数据包括向所述服务提供方子***传送所述服务提供方主机交易凭据数据。

8.根据权利要求4所述的方法，还包括：

在所述管理实体子***处：

在所述识别之后并且在所述传送所述服务提供方主机交易凭据数据之前，生成所述服务提供方主机交易凭据数据，其中所述生成包括：

识别已针对所述服务提供方标识符而存储的服务提供方密钥；以及

通过使用所识别的服务提供方密钥对所识别的管理主机交易凭据数据进行加密来创建所述服务提供方主机交易凭据数据。

9.根据权利要求8所述的方法，其中：

所述传送所述唯一凭证数据包括向所述主机电子设备传送所述唯一凭证数据；

所述接收所述唯一凭证数据包括从所述客户端电子设备接收所述唯一凭证数据；并且

所述传送所述服务提供方主机交易凭据数据包括向所述客户端电子设备传送所述服务提供方主机交易凭据数据。

10.根据权利要求8所述的方法，其中所述传送所述服务提供方主机交易凭据数据包括向所述客户端电子设备传送所述服务提供方主机交易凭据数据。

11.根据权利要求8所述的方法，其中所述传送所述服务提供方主机交易凭据数据包括向所述服务提供方子***传送所述服务提供方主机交易凭据数据。

12.根据权利要求1所述的方法，还包括：

在所述管理实体子***处：

在所述传送之后，从所述客户端电子设备或所述服务提供方子***中的一者接收所述唯一凭证数据；

使用所接收到的唯一凭证数据来识别已与所接收到的唯一凭证数据相关联地存储的所述管理主机交易凭据数据；

确定在所述存储所述唯一凭证数据与从所述客户端电子设备接收所述唯一凭证数据之间已过去的持续时间；

确定所述持续时间满足与所述凭证相关联的时间兑换标准；以及

当所确定的持续时间满足与所述凭证相关联的所述时间兑换标准时，向所述客户端电子设备或所述服务提供方子***中的一者传送服务提供方主机交易凭据数据，所述服务提供方主机交易凭据数据包括所识别的主机交易凭据数据。

13.根据权利要求1所述的方法，其中：

所述主机交易数据进一步包括指示地理限制是否与所述主机凭据应用程序相关联的主机凭据信息；并且

所述方法进一步包括：

在所述管理实体子***处：

确定所接收到的主机交易数据的所述主机凭据信息是否指示所述主机凭据应用程序的地理限制；

当所接收到的主机交易数据指示所述主机凭据应用程序的地理限制时，进行所述获取、所述存储和所述传送；并且

当所接收到的主机交易数据并未指示所述主机凭据应用程序的地理限制时，进行以下操作：

识别已针对所述服务提供方标识符而存储的服务提供方密钥；

通过使用所识别的服务提供方密钥对所述主机交易凭据数据进行加密来生成服务提供方主机交易凭据数据；以及

向所述主机电子设备、所述客户端电子设备或所述服务提供方子***中的一者发送所生成的服务提供方主机交易凭据数据。

14.根据权利要求13所述的方法，其中所述发送所生成的服务提供方主机交易凭据数据包括向所述主机电子设备发送所生成的服务提供方主机交易凭据数据。

15.根据权利要求1所述的方法，其中所述传送所述唯一凭证数据包括向所述主机电子设备传送所述唯一凭证数据。

16.根据权利要求15所述的方法，其中所述主机电子设备经由所述管理实体子***而通信地耦接到所述客户端电子设备。

17.一种存储至少一个程序的非暂态计算机可读存储介质，所述至少一个程序包括指令，所述指令当由管理实体子***执行时使得所述管理实体子***：

从特定地理区域内的主机电子设备接收主机交易数据，所述主机交易数据包括：

主机交易凭据数据，所述主机交易凭据数据由所述主机电子设备的安全元件上的主机凭据应用程序生成，所述主机交易凭据数据对应于在所述特定地理区域中发布的主机凭据，其中所述主机交易凭据数据在所述特定地理区域之外是不可访问的；和

交易信息，所述交易信息包括指示服务提供方子***的服务提供方标识符；

识别已针对所述服务提供方标识符而存储的服务提供方密钥；

通过使用所识别的服务提供方密钥对所述主机交易凭据数据进行加密来创建管理主机交易凭据数据；

获取唯一凭证数据；

与所创建的管理主机交易凭据数据相关联地存储所述唯一凭证数据；

向所述主机电子设备传送所述唯一凭证数据；

在已传送所述唯一凭证数据之后，从客户端电子设备接收所述唯一凭证数据，其中所述客户端电子设备在所述特定地理区域内并且和所述主机电子设备与相同的用户帐户相关联，并且所述主机电子设备和所述客户端电子设备是分开的设备；

使用所接收到的唯一凭证数据来识别已与所接收到的唯一凭证数据相关联地存储的所述管理主机交易凭据数据；以及

向所述客户端电子设备传送所识别的管理主机交易凭据数据，其中所述管理主机交易凭据数据包括所述主机交易凭据数据。

18.一种主机电子设备，包括：

安全元件；

被提供在所述安全元件上的生成主机交易凭据数据的主机凭据应用程序；

通信部件，所述通信部件通信地耦接到管理实体子***；和

处理器，所述处理器被配置为：

确定所述主机凭据应用程序受到地理限制，使得所述主机凭据应用程序生成的主机交易凭据数据对应于在所述主机电子设备所位于的特定地理区域中发布的主机凭据，所述主机交易凭据数据在所述特定地理区域之外是不可访问的；以及

基于所述确定，经由所述通信部件向所述管理实体子***传送所述主机交易凭据数据、以及用于使所述管理实体子***生成唯一凭证的指令，所述唯一凭证可由客户端电子设备在所述特定地理区域内兑换，以获取所述主机交易凭据数据，其中所述主机电子设备和所述客户端电子设备与相同的用户帐户相关联。

Images