CN107067250A - 用于执行支付的方法和装置 - Google Patents

Abstract

提供了一种电子设备和一种支付的方法。该电子设备包括能够存储至少一个令牌的安全模块、第一通信模块、第二通信模块和将安全模块、第一和第二通信模块功能性地或操作性地连接到彼此的至少一个处理器。该至少一个处理器被配置为进行控制以将第一和第二通信模块的至少一者确定为用于执行支付的通信模块，并且向外部电子设备发送支付信息，该支付信息包含该至少一个令牌之中的与第一和第二通信模块的该至少一者有关的令牌。

Description

用于执行支付的方法和装置

技术领域

本公开涉及电子设备。更具体而言，本公开涉及具有能够执行支付的控制器的电子设备以及用于电子商务支付系统的方法和装置。

背景技术

随着移动通信技术的发展，电子设备已被发展来除了执行语音呼叫功能以外还执行各种类型的数据通信功能。电子设备——例如移动设备或用户设备——能够经由各种应用提供各种类型的服务。电子设备能够提供基于网络的通信服务、多媒体服务、音乐服务、运动图像服务、数字广播服务、呼叫服务、无线互联网、短消息服务(short messageservice，SMS)、多媒体消息传递服务(multimedia messaging service，MMS)、等等。电子设备已从经由简单通信介质的通信进展到执行诸如支付、互联网、流通等等之类的各种功能，从而使得它们可被广泛用在各种产业领域中，例如社交生活、文化、金融、流通业等等。例如，电子设备配备有移动支付功能。也就是说，使用移动支付方法的电子设备正在替代诸如现金支付方法或塑料卡支付方法之类的传统支付方法。例如，电子设备提供一种支付功能，该支付功能允许用户利用移动支付服务购买服务或产品，就好像用户在商店或餐馆在线或离线购买服务或产品并且进行支付那样。电子设备还配备有用于执行支付信息的发送或接收的通信功能。

上述信息只是作为背景信息给出的，用于帮助理解本公开。关于上述的任何内容对于本公开而言是否适用为现有技术，并未做出判定，也并未做出断言。

发明内容

本公开的各方面要解决至少上述问题和/或缺点并且要提供至少以下所述的优点。因此，本公开的一方面要提供一种经由至少一个通信模块发送验证信息以便提供移动支付服务的方法，和适应于该方法的电子设备。

本公开的另一方面要提供一种利用时间信息创建并发送具有相对较高的安全级别的支付信息以便提供移动支付服务的方法，和适应于该方法的电子设备。

根据本公开的一方面，提供了一种电子设备。该电子设备包括能够存储至少一个令牌的安全模块、第一通信模块、第二通信模块和将安全模块、第一和第二通信模块功能性地或操作性地连接到彼此的至少一个处理器。该至少一个处理器被配置为进行控制以将第一和第二通信模块的至少一者确定为用于执行支付的通信模块，并且向外部电子设备发送支付信息，该支付信息包含该至少一个令牌之中的与第一和第二通信模块的该至少一者有关的令牌。

根据本公开的另一方面，提供了一种用于电子设备保护支付信息的方法。该电子设备包括第一安全世界、第二安全世界和至少一个支付信号模块。该方法包括：在第一安全世界中存储分别与至少一个支付信号模块相对应的至少一个令牌；在第一和第二安全世界的至少一者中创建时间戳；基于时间戳和该至少一个令牌之中的与该至少一个支付信号模块相对应的至少一个令牌中的至少一者，在第二安全世界中创建支付信号；以及向外部电子设备发送支付信号。

根据本公开的另一方面，提供了一种非暂态计算机可读记录介质。该非暂态计算机可读记录介质存储软件程序，该软件程序当被执行时使得包括安全世界和至少一个支付信号模块的电子设备中的至少一个处理器执行一种方法，该方法包括：在安全世界中存储分别与至少一个支付信号模块相对应的至少一个令牌；在安全世界中创建时间戳；基于时间戳和该至少一个令牌之中的与该至少一个支付信号模块相对应的至少一个令牌的至少一部分，在安全世界中创建支付信号；以及向外部电子设备发送支付信号。

通过以下结合附图公开本公开的各种实施例的详细描述，本领域技术人员将清楚本公开的其他方面、优点和显著特征。

附图说明

通过以下结合附图的描述，本公开的某些实施例的上述和其他方面、特征和优点将更加清楚，附图中：

图1是根据本公开的各种实施例示出网络环境的框图；

图2是根据本公开的各种实施例示出电子设备的框图；

图3是根据本公开的各种实施例示出程序模块的框图；

图4是根据本公开的各种实施例示出在电子设备中操作的若干个执行环境的框图；

图5A至图5C根据本公开的各种实施例示出了可信执行环境(trusted executionenvironment，TEE)的硬件体系结构；

图6是根据本公开的各种实施例示出支付系统的图；

图7是根据本公开的各种实施例示出用于执行支付的支付系统的图；

图8是根据本公开的各种实施例示出电子设备的硬件的图；

图9是根据本公开的各种实施例示出被配置为管理令牌的支付系统的框图；

图10是根据本公开的各种实施例示出被配置为支持经由近场通信(near fieldcommunication，NFC)的支付模式的电子设备的框图；

图11是根据本公开的各种实施例描述利用令牌执行支付交易的方法的框图；

图12是根据本公开的各种实施例示出电子设备的框图；

图13是根据本公开的各种实施例描述电子设备的操作的流程图；

图14是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图15是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图16是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图17是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图18是根据本公开的各种实施例示出在电子设备的执行环境中要执行的程序模块的框图；

图19是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图20是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图21是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的另一示例的流程图；

图22是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图23是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图24是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的另一示例的流程图；

图25是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图26是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图27是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图28是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图29是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的另一示例的流程图；

图30是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图；

图31是根据本公开的各种实施例描述包括用于移动支付服务的若干个通信模块的电子设备的操作的流程图；

图32是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图；

图33是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图；

图34是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图；

图35是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图；

图36是根据本公开的各种实施例描述支付信息的有效时间的图；

图37至图39根据本公开的各种实施例示出了支付手段(例如，卡)的结构的示例；

图40是根据本公开的各种实施例示出支付信息的结构的图；

图41是根据本公开的各种实施例示出交易数据的结构的图；

图42是根据本公开的各种实施例示出支付验证数据的结构的图；

图43是根据本公开的各种实施例示出支付中继模块通过输入支付应用的个人识别号(personal identification number，PIN)来将验证请求中继到TEE的安全识别符处理模块的功能的图；

图44和图45是根据本公开的各种实施例描述支付中继模块基于利用生物计量信息执行的验证结果来执行支付的方法的流程图；

图46是根据本公开的各种实施例描述创建令牌密码的方法的图；

图47是根据本公开的各种实施例描述利用基于时间戳信息生成的支付信息来执行支付的方法的图；

图48是根据本公开的各种实施例描述利用基于时间戳信息生成的支付信息来执行支付的方法的图；并且

图49是根据本公开的各种实施例描述利用令牌执行支付交易的方法的图。

贯穿各图，应当注意相似的标号用于描绘相同或相似的元素、特征和结构。

具体实施方式

提供以下参照附图的描述来帮助全面理解如权利要求及其等同物所限定的本公开的各种实施例。描述包括各种具体细节以帮助理解，但这些细节应被视为只是示范性的。因此，本领域普通技术人员将会认识到，在不脱离本公开的范围和精神的情况下，能够对本文描述的各种实施例进行各种改变和修改。此外，为了清楚和简明，可省略对公知的功能和构造的描述。

在随后的描述和权利要求中使用的术语和字词不受限于字面含义，而只是被发明人用来使得能够对于本公开有清楚且一致的理解。因此，本领域技术人员应当清楚，提供以下对本公开的各种实施例的描述只是为了说明，而不是为了限制如所附权利要求及其等同物所限定的本公开。

要理解，单数形式“一”、“一个”和“该”包括复数指代，除非上下文明确地另有规定。从而，例如，对“一组件表面”的提及包括对一个或多个这样的表面的提及。

在描述中，诸如“具有”、“能够具有”、“可具有”、“包括”和“能够包括”、“可包括”之类的表述用于表示特征(例如，数值、功能、操作、元素等等)的存在，而并不排除附加特征的存在。

在本公开中，表述“和/或”包括关联的列出字词的任何和所有组合。例如，表述“A或B”、“A和B中的至少一者”或者“A或B中的至少一者”可以指以下所有情况：(1)至少一个A；(2)至少一个B；以及(3)至少一个A和至少一个B。

在本公开中，包括诸如“第一”和“第二”等等之类的序数的表述可修饰各种元素，而不限制组件的顺序和/或重要性。以上表述只是为了将一元素与其他元素相区分而使用的，并不限制这些元素。例如，第一电子设备和第二电子设备指示不同的电子设备，无论顺序或重要性如何。例如，第一元素可被称为第二元素，并且类似地，第二元素也可被称为第一元素，而不脱离本公开的范围。

当一组件(例如，第一组件)被称为与任何其他组件(例如，第二组件)“操作性或通信性地耦合”或“操作性或通信性地耦合到”或“连接到”任何其他组件(例如，第二组件)时，应当理解该组件(第一组件)可直接地或者经由另一组件(例如，第三组件)连接/耦合到该其他组件(第二组件)。相反，当一组件(例如，第一组件)被称为与任何其他组件(例如，第二组件)“直接耦合”或“直接耦合到”或“直接连接到”任何其他组件(例如，第二组件)时，应当理解在该组件(第一组件)和其他组件(第二组件)之间不存在组件(例如，第三组件)。

在本公开中，表述“被配置为(被设置为或被实现为)做某事”可与例如“适用于做某事”、“具有做某事的能力”、“被设计为做某事”、“适合于做某事”、“被使得做某事”或“能够做某事”互换。表述“被配置为(被设置为或被实现为)做某事”可不用于仅指“被具体设计为做某事”的某种硬件的东西。相反，表述“一设备被配置为做某事”可表明该设备与其他设备或部件一起“能够做”某事。例如，表述“被配置为(或被设置为)做A、B和C的处理器”可以指可执行存储器设备中存储的一个或多个软件程序以执行相应功能的专用处理器(例如，嵌入式处理器)或通用处理器(例如，中央处理单元(central processing unit，CPU)或应用处理器(application processor，AP))。

本公开中使用的术语只是用于描述特定实施例，而并不打算限制其他实施例的范围。单数形式打算包括复数形式，除非上下文明确地另有指示。除非另有定义，否则本文使用的所有术语——包括技术术语和/或科学术语——具有与本公开所属领域的普通技术人员通常所理解相同的含义。如一般使用的字典中定义的那些术语应被解释为具有与相关领域中的上下文含义等同的含义，而不应被解释为具有理想化的或者过度正式的含义，除非本公开中有明确的定义。虽然在本公开中定义了一些术语，但应当理解这些术语不被解释为排除实施例。

根据本公开的各种实施例的电子设备可包括以下各项中的一个或多个：智能电话、平板个人计算机(personal computer，PC)、移动电话、视频电话、电子书阅读器、桌面型PC、膝上型PC、上网本计算机、工作站、服务器、个人数字助理(personal digitalassistant，PDA)、便携式多媒体播放器(portable multimedia player，PMP)、MP3播放器、移动医疗设备、相机、可穿戴设备，等等。在本公开的各种实施例中，可穿戴设备可包括以下各项中的一个或多个：配件型，例如手表、戒指、手镯、脚镯、项链、眼镜、隐形眼镜和头戴式设备(head-mounted-device，HMD)；衣服或服装整体型，例如电子服装；身体附着型，例如护皮垫或纹身；生物芯片植入型，例如可植入电路；等等。

根据一实施例的电子设备可以是家用电器。家用电器可包括以下各项中的至少一者：电视、数字多功能盘(digital versatile disc，DVD)播放器、音响系统、冰箱、空调、清洁设备、烤箱、微波炉、洗衣机、空气净化器、机顶盒、家庭自动化控制面板、安保控制面板、TV盒(例如，SamsungApple或Google)、游戏机(例如， )、电子字典、电子钥匙、便携式摄像机、电子相册，等等。

根据一实施例的电子设备可包括以下各项中的至少一者：各种医疗设备(例如，各种便携式医疗应用(例如，血糖监视器、心率监视器、血压监视器、体温监视器等等)、磁共振血管造影(magnetic resonance angiography，MRA)、磁共振成像(magnetic resonanceimaging，MRI)、计算机断层扫描(computed tomography，CT)，扫描机、超声波设备等等)、导航设备、全球导航卫星系统(global navigation satellite system，GNSS)、行车记录仪(event data recorder，EDR)、飞行数据记录器(flight data recorder，FDR)、车辆信息娱乐设备、用于船只的电子设备(例如，用于船只的导航设备，陀螺罗盘等等)、航空电子设备、安保设备、车头单元、工业或家用机器人、自动柜员机(automatic teller’s machine，ATM)、销售点(point of sales，POS)系统、物联网(Internet of Things，IoT)(例如，灯泡、各种传感器、电表、气表、洒水系统、街灯、烤面包器、健身设备、热水箱、暖气、烧水器等等)，等等。

根据实施例的电子设备可包括以下各项中的一个或多个：家具或建筑物/构筑物的一部分、电子板、电子签名接收设备、投影仪、各种测量仪器(例如，水表、电表、气表和波长计)，等等。在本公开的各种实施例中，电子设备也可包括以上列出的组件的组合。根据一实施例的电子设备可以是柔性电子设备。对于本领域技术人员显而易见的是，根据本公开的各种实施例的电子设备不限于上述的设备，而是随着技术的发展也可包括新的设备。

以下，参考附图详细描述根据各种实施例的电子设备。在描述中，术语“用户”被称为使用电子设备的人或者使用电子设备的设备(例如，人工智能电子设备)。

图1是根据本公开的各种实施例示出网络环境的框图100。

参考图1，电子设备101、102或104和服务器106经由网络162或短程通信164连接到彼此。电子设备101能够包括总线110、处理器120、存储器130、输入/输出接口150、显示器160和通信接口170。在本公开的实施例中，电子设备101可实现成从其中去除上述组件中的至少一者或者其中还包括另外的组件。

总线110可以是用于将上述组件110至170连接到彼此并且在上述组件之间传输通信(例如，控制消息和/或数据)的电路。

处理器120能够包括中央处理单元(central processing unit，CPU)、应用处理器(application processor，AP)和通信处理器(communication processor，CP)中的一个或多个。处理器120能够控制电子设备101的其他组件中的至少一者和/或处理与通信有关的数据或操作。

存储器130能够包括易失性存储器和/或非易失性存储器。存储器130能够存储与电子设备101的其他组件中的至少一者有关的数据或命令。根据一实施例，存储器130能够存储软件和/或程序模块140。例如，程序模块140能够包括内核141、中间件143、应用编程接口(application programming interface，API)145、应用程序(或应用)147，等等。内核141、中间件143或API 145的至少一部分可被称为操作系统(operating system，OS)。

内核141能够控制或管理用于执行其他程序(例如，中间件143、API 145和应用程序147)的操作或功能的系统资源(例如，总线110、处理器120、存储器130等等)。内核141提供接口，该接口能够允许中间件143、API 145和应用程序147访问电子设备11的个体组件和控制/管理系统资源。

中间件143能够在API 145或应用程序147和内核141之间进行仲裁以使得API 145或应用程序147可与内核141通信并与其交换数据。

中间件143能够根据优先级处理从应用程序147接收的一个或多个任务请求。例如，中间件143能够向应用程序147中的至少一者指派使用电子设备101的系统资源(例如，总线110、处理器120、存储器130等等)的优先级。例如，中间件143根据指派给至少一个应用程序的优先级来处理一个或多个任务请求，从而对这些任务请求执行调度或负载均衡。

API 145指的是被配置为允许应用程序147控制由内核141或中间件143提供的功能的接口。例如，API 145能够包括用于文件控制、窗口控制、图像处理、文本控制等等的至少一个接口或功能(例如，指令)。

输入/输出接口150能够把从用户或外部设备接收的指令或数据传送到电子设备101的一个或多个组件。输入/输出接口150能够把从电子设备101的一个或多个组件接收的指令或数据输出到用户或外部设备。

显示模块160能够包括液晶显示器(liquid crystal display，LCD)、发光二极管(light emitting diode，LED)显示器、有机发光二极管(organic light emitting diode，OLED)显示器、塑料OLED(plastic OLED，POLED)显示器、微机电系统(micro-electro-mechanical systems，MEMS)显示器、电子纸显示器，等等。显示模块160能够显示各种类型的内容(例如，文本、图像、视频、图标、符号等等)。显示模块160也可利用触摸屏来实现。在此情况下，显示模块160能够经由触控笔或用户的身体接收触摸、手势、接近输入或悬停输入。

通信接口170能够建立电子设备101与外部设备(例如，第一外部设备102、第二电子设备104或服务器106)之间的通信信道。例如，通信接口170能够经由有线或无线通信与连接到网络162的外部设备(例如，第二外部设备104或服务器106)通信。

无线通信可采用以下各项中的至少一者作为蜂窝通信协议：长期演进(long-termevolution，LTE)、先进LTE(LTE Advance，LTE-A)、码分多址(code division multipleaccess，CDMA)、宽带CDMA(wideband CDMA，WCDMA)、通用移动电信系统(universal mobiletelecommunications system，UMTS)、无线宽带(wireless broadband，Wi-Bro)以及全球移动通信系统(Global System for Mobile Communication，GSM)。无线通信也可包括短程通信164。短程通信164可包括以下各项中的至少一者：无线保真(wireless fidelity，Wi-Fi)、蓝牙(Bluetooth，BT)、近场通信(near field communication，NFC)、磁安全传输(magnetic secure transmission，MST)和全球导航卫星系统(Global NavigationSatellite System，GNSS)。

MST能够利用电磁信号创建与传输数据相对应的脉冲，并且将这些脉冲转换成磁场信号。电子设备101将磁场信号发送到销售点(POS)终端。POS终端经由MST读取器检测磁场信号并且将检测到的磁场信号转换成电信号，从而恢复数据。

GNSS根据GNSS使用区域、带宽等等可包括以下各项中的至少一者：全球定位系统(global positioning system，GPS)、全球导航卫星系统(global navigation satellitesystem，Glonass)、北斗导航卫星系统(以下称为“北斗”)、伽利略、欧洲全球卫星导航系统。在本公开中，“GPS”和“GNSS”可互换使用。有线通信可包括以下各项中的至少一者：通用串行总线(universal serial bus，USB)、高清晰度多媒体接口(high definitionmultimedia interface，HDMI)、推荐标准232(recommended standard 232，RS-232)以及普通老式电话服务(plain old telephone service，POTS)。网络162可包括以下各项中的至少一者：电信网络，例如计算机网络(例如，LAN或WAN)、互联网，以及电话网络。

参考图1，应当理解，第一和第二外部电子设备102和104在类型上可与电子设备101相同或不同。在本公开的一实施例中，服务器106可包括一组或多组服务器。根据本公开的各种实施例，在电子设备101上执行的操作的一部分或全部也可在一个或多个电子设备(例如，电子设备102和104或服务器106)上执行。根据一实施例，当电子设备101需要以自动方式或根据请求提供功能或服务时，其可不执行该功能或服务，而是改为请求其他设备(例如，电子设备102和104或服务器106)执行与该功能或服务有关的功能的至少一部分。在此情况下，其他设备(例如，电子设备102和104或服务器106)执行请求的功能或额外的功能并且可将结果发送给电子设备101。电子设备101可处理接收到的结果或者可通过额外的过程进一步处理接收到的结果并且可提供经处理的请求功能或服务。为此，设备可采用云计算、分布计算或客户端-服务器计算技术。

图2是根据本公开的各种实施例示出电子设备201的框图200。电子设备201例如可包括图1所示的电子设备101的全部或一部分。

参考图2，电子设备201能够包括以下各项中的一个或多个：处理器210(例如，应用处理器(AP))、通信模块220、订户身份模块(subscriber identity module，SIM)模块229、存储器230、传感器模块240、输入单元250、显示器260、接口270、音频模块280、相机模块291、电力管理模块295、电池296、指示器297和电机298。

处理器210可运行操作系统或应用程序来控制连接的若干个硬件或软件组件，并且可执行数据处理和操作。处理器210可实现为片上系统(system on chip，SoC)。根据一实施例，处理器210还可包括图形处理单元(graphic processing unit，GPU)和/或图像信号处理器。处理器210可包括图2所示的组件的至少一部分(例如，蜂窝模块221)。处理器210可在易失性存储器上加载从其他组件中的至少一者(例如，非易失性存储器)接收的命令或数据，并且处理加载的命令或数据。处理器210可将数据存储在易失性存储器上。

通信模块220在配置上可与图1所示的通信接口170相同或不同。例如，通信模块220能够包括蜂窝模块221、Wi-Fi模块222、蓝牙(BT)模块223、GNSS模块224(例如，GPS模块、Glonass模块、北斗模块或伽利略模块)、NFC模块225、MST模块226和射频(radiofrequency，RF)模块227。

蜂窝模块221能够通过通信网络提供语音呼叫、视频呼叫、消息传递服务、互联网服务，等等。根据一实施例，蜂窝模块221能够利用订户识别模块(subscriberidentification module，SIM)229(例如，SIM卡)来识别和认证通信网络中的电子设备201。根据一实施例，蜂窝模块221能够执行由处理器210提供的功能的至少一部分。根据一实施例，蜂窝模块221也能够包括通信处理器(communication processor，CP)。

Wi-Fi模块222、BT模块223、GNSS模块224、NFC模块225和MST模块226的每一者能够包括用于处理通过相应模块发送或接收的数据的处理器。MST模块128能够包括用于处理通过相应模块发送或接收的数据的处理器。根据实施例，蜂窝模块221、Wi-Fi模块222、BT模块223、GNSS模块224、NFC模块225和MST模块226的至少一部分(例如，两个或更多个模块))可被包括在一个集成芯片(integrated chip，IC)或一个IC封装中。

RF模块227能够执行通信信号——例如RF信号——的发送/接收。RF模块227能够包括收发器、功率放大器模块(power amp module，PAM)、频率滤波器、低噪声放大器(lownoise amplifier，LNA)、天线，等等。根据另一实施例，以下模块的至少一者能够通过单独的RF模块执行RF信号的发送/接收：蜂窝模块221、Wi-Fi模块222、BT模块223、GNSS模块224、NFC模块225和MST模块226。

SIM模块229能够包括包含SIM的一张卡和/或嵌入式SIM。SIM模块229也能够包含唯一识别信息，例如集成电路卡识别符(integrated circuit card identifier，ICCID)，或者订户信息，例如国际移动订户身份(international mobile subscriber identity，IMSI)。

存储器230(例如，图1所示的存储器130)能够包括内置式存储器232或外部存储器234。内置式存储器232能够包括以下各项中的至少一者：易失性存储器，例如动态RAM(dynamic RAM，DRAM)、静态RAM(static RAM，SRAM)、同步动态RAM(synchronous dynamicRAM，SDRAM)等等；以及非易失性存储器，例如一次可编程ROM(one-time programmableROM，OTPROM)、可编程ROM(programmable ROM，PROM)、可擦除可编程ROM(erasable andprogrammable ROM，EPROM)、电可擦除可编程ROM(electrically erasable andprogrammable ROM，EEPROM)、掩模ROM、闪速ROM、闪存(例如，NAND闪存、NOR闪存等等)、硬盘驱动器、固态驱动器(solid state drive，SSD)，等等。

外部存储器234能够包括闪盘驱动器，例如紧凑式闪存(compact flash，CF)、安全数字(secure digital，SD)、微型安全数字(micro secure digital，Micro-SD)、袖珍安全数字(mini secure digital，Mini-SD)、极速数字(extreme digital，xD)、多媒体卡(multi-media card，MMC)、记忆棒，等等。外部存储器234能够通过各种接口功能性地、操作性地和/或物理性地连接到电子设备201。

安全模块236指的是这样的一个模块：该模块包括需要比存储器230相对更高级别的安全性的存储空间。安全模块236可以是能够安全地存储数据并且保证受保护的执行环境的电路。例如，电子设备能够对需要相对更高级别的安全性的数据(例如，生物计量信息、个人信息、卡信息等等)加密并且将用于该加密的密钥存储在安全模块236中。安全模块236可被实现为单独的电路，包括单独的处理器。安全模块236可被包含在可拆卸的智能芯片或者安全数字(SD)卡中。或者，安全模块236可被实现成使得电子设备201在固定芯片中包括嵌入式安全元素(embedded secure element，eSE)。安全模块236可由与电子设备201的操作系统(OS)不同的操作系统操作。例如，安全模块236可基于Java卡开放平台(Java cardopen platform，JCOP)运行。

传感器模块240能够测量/检测物理量或电子设备201的操作状态，并且将测量到或检测到的信息转换成电子信号。传感器模块240能够包括以下各项中的至少一者：姿势传感器240A、陀螺传感器240B、大气压传感器240C、磁传感器240D、加速度传感器240E、抓握传感器240F、接近传感器240G、颜色传感器240H(例如，红、绿、蓝(RGB)传感器)、生物计量传感器240I、温度/湿度传感器240J、照度传感器240K和紫外线(ultraviolet，UV)传感器240M。额外地或替换地，传感器模块240能够包括以下传感器(未示出)：电子鼻(electronicnose，E-nose)传感器、肌电图(electromyography，EMG)传感器、脑电图(electroencephalogram，EEG)传感器、心电图(electrocardiogram，ECG)传感器、红外(infrared，IR)传感器、虹膜传感器和/或指纹传感器。传感器模块240还能够包括用于控制其中包括的一个或多个传感器的控制电路。在实施例中，电子设备201能够包括用于控制传感器模块240的处理器，其被配置为处理器210的一部分或者单独的组件。在此情况下，在处理器210在休眠模式中操作期间，该额外的处理器能够控制传感器模块240。

输入单元250能够包括触摸面板252、数字触控笔或(数字)笔传感器254、键256或者超声输入模块258。触摸面板252可利用电容性触摸系统、电阻性触摸系统、红外触摸系统和超声触摸系统中的至少一者来实现。触摸面板252还可包括控制电路。触摸面板252还可包括触觉层以向用户提供触觉响应。

(数字)笔传感器254可利用触摸面板的一部分或者利用单独的识别片来实现。键256可包括物理按钮、光学键或者小键盘。超声输入模块258能够通过麦克风288检测在输入工具中生成的超声波，并且识别与检测到的超声波相对应的数据。

显示器260(例如，图1所示的显示器160)能够包括面板262、全息模块264或者投影仪266。面板262可包括与图1所示的显示器160相同或相似的配置。面板262可被实现为柔性的、透明的或者可穿戴的。面板262也可与触摸面板252一起被包含到一个模块中。全息模块264能够利用光干涉在空气中显示立体图像。投影仪266能够通过将光投影到屏幕上来显示图像。该屏幕可位于电子设备201的内部或外部。根据一实施例，显示器260还可包括用于控制面板262、全息模块264或投影仪266的控制电路。

接口270能够包括高清晰度多媒体接口(high-definition multimediainterface，HDMI)272、通用串行总线(universal serial bus，USB)274、光学接口276或者D-subminiature(D-sub)278。接口270可被包括在图1所示的通信接口170中。额外地或替换地，接口270能够包括移动高清晰度链路(mobile high-definition link，MHL)接口、安全数字(secure digital，SD)卡/多媒体卡(multi-media card，MMC)接口或者红外数据协会(infrared data association，IrDA)标准接口。

音频模块280能够在声音和电子信号之间提供双向转换。音频模块280中的组件的至少一部分可被包括在图1所示的输入/输出接口150中。音频模块280能够处理通过扬声器282、接收器284、耳机286、麦克风288等等输入或输出的声音信息。

相机模块291指的是既能够拍摄静止图像也能够拍摄运动图像的设备。根据一实施例，相机模块291能够包括一个或多个图像传感器(例如，前置图像传感器或后置图像传感器)、镜头、图像信号处理器(image signal processor，ISP)、闪光灯(例如，LED或氙灯)，等等。

电力管理模块295能够管理电子设备201的电力。根据一实施例，电力管理模块295能够包括电力管理集成电路(power management integrated circuit，PMIC)、充电器集成电路(IC)或者电池或燃料量表。PMIC可采用有线充电和/或无线充电系统。无线充电系统的示例是磁共振充电、磁感应充电和电磁充电。为此，PIMC还可包括用于无线充电的额外电路组件，例如线圈环、谐振电路，整流器，等等。电池量表能够在充电期间测量电池296的剩余电容、电压、电流或温度。电池296可包括可再充电电池或太阳能电池。

指示器297能够显示电子设备201或电子设备201的一部分(例如，处理器210)的特定状态，例如启动状态、消息状态、充电状态，等等。电机298能够将电信号转换成机械振动，例如振动效果、触觉效果等等。虽然没有示出，但电子设备201还能够包括用于支持移动TV的处理单元(例如，GPU)。用于支持移动TV的处理单元能够根据例如数字多媒体广播(digital multimedia broadcasting，DMB)、数字视频广播(digital videobroadcasting，DVD)或mediaFlo^TM等等之类的标准处理媒体数据。

本公开中描述的每个元素可利用一个或多个组件形成，并且相应元素的名称可根据电子设备的类型而变化。在本公开的各种实施例中，电子设备可包括本公开中描述的上述元素中的至少一者，并且可排除一些元素或者还包括其他额外的元素。另外，根据各种实施例的电子设备的一些元素可被耦合来形成单个实体，同时执行与耦合前的相应元素的功能相同的功能。

图3是根据本公开的各种实施例示出程序模块310的框图300。

参考图3，程序模块310(例如，图1所示的程序模块140)能够包括用于控制与电子设备(例如，图1所示的电子设备101)有关的资源的OS和/或在OS上运行的各种应用(例如，图1所示的应用程序147)。OS可例如是等等。

程序模块310能够包括内核320、中间件330、应用编程接口(applicationprogramming interface，API)360和/或应用370。程序模块310的至少一部分可被预加载在电子设备上或者从外部电子设备(例如，图1所示的电子设备102和104、服务器106)下载。

内核320(例如，图1所示的内核141)能够包括例如系统资源管理器321和/或设备驱动器323。系统资源管理器321能够对系统资源执行控制、分配/指派、回收等等。根据一实施例，系统资源管理器321能够包括处理器管理器、存储器管理器、文件系统管理器等等。设备驱动器323能够包括用于例如显示器、相机、蓝牙、共享存储器、USB、小键盘、Wi-Fi、音频系统、进程间通信(inter-process communication，IPC)等等的各种驱动器。

参考图3，中间件330能够提供应用370共同需要的功能，或者经由API360向应用370提供各种功能以使得应用370可高效地使用电子设备中的有限系统资源。根据一实施例，中间件330(例如，图1所示的中间件143)可包括以下各项中的至少一者：运行时库335、应用管理器341、窗口管理器342、多媒体管理器343、资源管理器344、电力管理器345、数据库管理器346、封装管理器347、连通性管理器348、通知管理器349、位置或定位管理器350、图形管理器351、安全管理器352和支付管理器354。

运行时库335能够包括例如库模块，编译器使用该库模块来在应用30在运行的同时经由编程语言添加新功能。运行时库335能够执行输入/输出管理、存储器管理、用于算术功能的运算，等等。

应用管理器341能够管理应用370中的至少一个应用的生命周期。窗口管理器342能够管理用于屏幕的GUI资源。多媒体管理器343能够检测重放各种媒体文件的格式并且利用与该格式相对应的编解码器来对媒体文件编码或解码。资源管理器344能够管理资源，例如存储器或存储空间、应用370中的至少一个应用的源代码，等等。

电力管理器345能够基于与基本输入/输出系统(basic input/output system，BIOS)等等的合作来管理电池或电源，并且提供电子设备的操作等等所需的电力信息。数据库管理器346能够创建、搜索或更改要被应用370中的至少一个应用使用的数据库。封装管理器347能够管理以封装文件的形式分发的应用的安装或更新。

连通性管理器348能够管理无线连通性，例如Wi-Fi、蓝牙等等。通知管理器349能够以不打扰用户的模式向用户显示或通知诸如接收到的消息、日程、接近通知等等之类的事件。位置管理器350能够管理关于电子设备的位置信息。图形管理器351能够管理要提供给用户的图形效果或者与图形效果有关的用户界面。安全管理器352能够提供系统安全性、用户认证等等所需要的各种安全功能。根据一实施例，当电子设备(例如，图1所示的电子设备101)包括电话功能时，中间件330还可包括用于管理电子设备中的语音或视频呼叫功能的电话管理器。支付管理器354能够将支付信息从应用370中继到内核320或应用370。支付管理器354能够把从外部设备接收的支付相关信息存储在电子设备200中或者将存储的信息发送给外部设备。

中间件330能够创建形成以上列出的模块的各种功能的组合的中间件模块。中间件330能够提供根据操作系统的类型而专门化的模块以便提供不同的功能。中间件330可被实现为动态地去除现有组件的一部分或者包括新的组件。

API 360(例如，图1所示的API 145)是一组API编程功能并且可根据操作系统的类型以不同的配置来提供。例如，当操作系统是或时，API 360可被配置为向每个平台提供一个API集合；而当操作系统是时，API 360可被配置为向每个平台提供两个或更多个API集合。

应用370(例如，图1所示的应用程序147)能够包括用于提供功能的一个或多个应用，例如首页371、拨号器372、SMS/MMS 373、即时消息(instant message，IM)374、浏览器375、相机376、闹钟377、联系人378、语音拨号器或语音拨号379、电子邮件380、日历381、媒体播放器382、相册383、时钟384、支付385以及额外的应用(未示出)，例如保健(例如，测量锻炼量、血糖等等)、环境信息(例如，大气压、湿度、温度等等)，等等。

根据一实施例，应用370可包括用于支持电子设备(例如，图1所示的电子设备101)和外部电子设备(例如，图1所示的电子设备102和104)之间的信息交换的应用(称为“信息交换应用”)。信息交换应用可包括用于向外部电子设备中继特定信息的通知中继应用或者用于管理外部电子设备的设备管理应用。

例如，通知中继应用可包括把由电子设备的任何其他应用(例如，SMS/MMS应用、电子邮件应用、保健应用、环境信息应用等等)生成的通知信息中继到外部电子设备(例如，电子设备102和104)的功能。通知中继应用也可从外部电子设备接收通知信息并且将接收到的通知信息提供给用户。

设备管理应用可管理(例如，安装、删除或更新)：与电子设备通信的外部电子设备(例如，电子设备102或104)的至少一个功能(例如，开启/关闭外部电子设备(或者一部分组件)的功能或者调整显示器的亮度(或分辨率)的功能)；在外部电子设备上运行的应用；或者由外部电子设备提供的服务(例如，呼叫服务或消息服务)。

根据一实施例，应用370可包括根据外部电子设备(例如，电子设备102和104)的属性指定的应用(例如，用于移动医疗设备的保健应用)。根据一实施例，应用370可包括从外部电子设备(例如，服务器106或者电子设备102和104)接收的应用。根据一实施例，应用370可包括预加载的应用或者从服务器下载的第三方应用。应当理解，实施例的程序模块310的组件的名称可根据操作系统的类型而变化。

根据本公开的各种实施例，程序模块310的至少一部分可以用软件、固件、硬件或者其任何组合来实现。此外，程序模块310的至少一部分可以用处理器(例如，图2所示的处理器210)来实现(执行)。程序模块310的至少一部分可包括模块、程序、例程、指令集或进程等等，以便执行一个或多个功能。

在本公开中，术语“模块”指的是包括硬件、软件、固件或者其组合的“单元”。例如，术语“模块”与“单元”、“逻辑”、“逻辑块”、“组件”、“电路”等等可互换。“模块”可以是集成的组件的最小单位或者一部分。“模块”可以是可执行一个或多个功能的最小单位或其一部分。“模块”可以按机械或电子模式实现。例如，“模块”可包括已知的或者将要开发的能够执行功能的专用集成电路(application specific integrated circuit，ASIC)芯片、现场可编程门阵列(field-programmable gate array，FPGA)和可编程逻辑器件中的至少一者。

根据各种实施例的方法(例如，操作)或设备(例如，模块或功能)的至少一部分可以用能够以程序模块的形式存储在计算机可读存储介质中的指令来实现。一个或多个处理器(例如，处理器210)可执行这些指令，从而执行这些功能。计算机可读存储介质的示例可以是存储器130。

计算机可读存储介质的示例包括：磁介质，例如硬盘、软盘、磁带等等；光介质，例如致密盘只读存储器(compact disc read only memory，CD-ROM)、DVD等等；磁光介质，例如软光盘；以及硬件设备，例如只读存储器(read-only memory，ROM)、随机访问存储器(random access memory，RAM)、闪存等等。程序指令的示例包括由例如编译器之类的汇编语言生成的机器代码指令，以及由可利用解释器在计算机中执行的高级别编程语言生成的代码指令，等等。描述的硬件设备可被配置为充当一个或多个软件模块以执行上述的各种实施例的操作，反之亦然。

根据各种实施例的模块或程序模块可包括一个或多个组件、去除上述组件的一部分或者还包括新的组件。根据本公开的各种实施例由模块、程序模块或其他组件执行的操作可以按顺序、并行、反复或试探方式执行。这些操作的一部分可按任何其他顺序执行、被跳过或者与额外的操作一起执行。本公开的实施例只是提供来帮助对本公开的全面理解，而并不暗示着限制。因此，应当理解，对本文描述的基本发明构思的许多变化和修改仍落在本公开的实施例的精神和范围内。

图4是根据本公开的各种实施例示出在电子设备(例如，图1所示的电子设备101)中操作的丰富执行环境(rich execution environment，REE)410和可信执行环境(trustedexecution environment，TEE)的框图400。

参考图4，电子设备能够操作具有若干个安全级别的执行环境以实施安全性(须知)。执行环境可包括REE 410和TEE 420。REE 410可以是具有第一安全级别的第一执行环境。TEE 420可以是具有不同于(例如，高于)第一安全级别的第二安全级别的第二执行环境。在一环境中，电子设备101可包括具有第三安全级别的额外执行环境(例如，第三执行环境)，但不限于此。

TEE 420指的是可安全地存储需要相对高的安全级别的数据并且执行有关操作的环境。TEE 420在电子设备的应用处理器上操作。TEE 420也可基于在制造电子设备的过程中确定的可靠硬件体系结构来操作。TEE 420能够将应用或存储器划分成常规世界和安全世界并且在安全世界中操作。TEE 420可被设置成使得安全性所要求的软件或硬件在安全世界中操作。电子设备能够通过对硬件的物理修改或对软件的逻辑修改来操作TEE 420。

TEE 420和REE 410在硬件上可以是彼此分离的，并且分开操作。虽然TEE 420和REE 410在相同硬件中，它们在软件上可以是逻辑上彼此分离的，并且分开操作。在REE 410上运行的至少一个应用(例如，支付、联系人、电子邮件、浏览器等等)可使用被允许访问TEE420的API(例如，图4所示的TEE功能性API 421或TEE客户端API 423)。在REE 410上运行的至少一个应用能够利用API从REE通信代理415向TEE通信代理425发送消息。该消息可被实现为使得其只能够通过硬件只被发送到TEE 420。TEE通信代理425接收该消息并且将接收到的消息发送给与接收到的消息有关的可信应用(trusted application，TA)431(例如，数字权限管理(digital rights management，DRM)、安全支付模块、安全生物计量模块等等)。可信应用431能够执行与该消息有关的操作并且将操作结果经由TEE通信代理425发送到REE通信代理415。REE通信代理415能够将该结果发送给在REE 410中操作的至少一个应用440。

图5A至图5C是根据本公开的各种实施例示出TEE的硬件体系结构的框图500。

图5A示出了使用一个处理器和一个存储器的情况(例如，ARM TrustZone(TZ))的图，该一个处理器和一个存储器各自在硬件上被划分成REE和TEE。在本公开的一实施例中，TEE的硬件体系结构能够包括On-SoC510和外部存储器520。On-SoC 510能够包括微处理核501、RAM 502、ROM503、外设504、密码加速器505或OTP字段506。Trustzone可以按如下方式来使用：处理器以时分方式被划分成两份以便操作两个或更多个执行环境，REE和TEE。或者，Trustzone也可按如下方式来使用：一个存储器被划分成允许对REE的访问的区域和允许对TEE的访问的区域。

图5B示出了用于操作TEE的处理器和用于操作REE的处理器以片上的形式实现、但是具有分开的处理核集合的情况的图。在本公开的一实施例中，On-SoC 510能够包括具有一个或多个处理器的微处理核501和片上安全子系统507。在此情况下，On-SoC 510操作REE并且片上安全子系统507操作TEE。与图5A所示的图一样，图5B所示的Trustzone可按如下方式来使用：一个存储器被划分成允许对REE的访问的区域和允许对TEE的访问的区域。

图5C是用于操作TEE的处理器被实现为硬件芯片，与用于操作REE的处理器的芯片分离的情况的图。

参考图5C，On-SoC 510操作REE，并且安装在On-SoC 510外部的一个或多个外部安全协处理器530操作TEE。

图6是根据本公开的各种实施例示出支付系统600的框图。

参考图6，支付系统600能够包括电子设备(设备)610和/或服务器。服务器能够包括支付服务器620、令牌服务器(令牌服务提供者)630或者发行者640。电子设备610能够包括支付应用(或钱包应用)612和/或支付管理器614。支付服务器620能够包括支付服务服务器622和/或令牌请求者服务器(令牌请求者)624。

在本公开的各种实施例中，支付应用612可包括支付应用612，例如Samsung Pay^TM应用。支付应用612能够提供与支付有关的用户界面(UI)或用户体验(user experience，UX)。支付相关用户界面可包括钱包UI/UX。例如，支付应用612可提供与卡注册、支付、交易等等有关的用户界面。支付应用612能够利用光学字符读取器/识别(OCR)或外部输入(例如，用户输入)来提供与卡注册有关的接口。支付应用612能够经由识别与验证(Identification&Verification，ID&V)提供与用户认证有关的接口。

在本公开的各种实施例中，支付应用612能够利用支付应用612执行支付交易。例如，支付应用612可通过执行预设的应用Simple Pay或Quick Pay来向用户提供支付功能。用户运行支付应用612以进行支付功能并且被提供与支付功能有关的信息。

在本公开的各种实施例中，支付管理器614能够包括与发卡公司有关的信息。例如，支付管理器614能够包括发卡公司的软件开发工具包(software development kit，SDK)。

在本公开的各种实施例中，支付服务器620能够包括被配置为执行电子支付或移动支付的管理服务器。支付服务器620能够从电子设备610接收支付相关信息并且将该信息发送到外部或者处理该信息。

在本公开的各种实施例中，支付服务器620能够利用支付服务服务器622和/或令牌请求者服务器624在电子设备610与令牌服务器630之间执行信息的发送/接收。支付服务服务器622能够包括支付服务器620(例如，Samsung支付服务器)。支付服务服务器622能够管理与用户的账户或服务账户(例如，Samsung账户)相关联的卡信息。支付服务服务器622能够包括与支付应用612有关的应用程序接口(API)服务器。支付服务服务器622能够提供账户管理模块(例如，账户集成或Samsung账户集成)。

在本公开的各种实施例中，参考图6，令牌请求者服务器624能够提供用于处理支付相关信息的接口。例如，令牌请求者服务器624能够发布、删除或激活支付相关信息(例如，令牌)。令牌请求者服务器624能够在与支付管理器414功能性或操作性连接的同时控制支付所需的信息。

在本公开的各种实施例中，电子设备610的支付应用620功能性地或操作性地连接到支付服务器620的支付服务服务器622。例如，支付应用612能够向/从支付服务器620发送/接收支付相关信息。在本公开的一实施例中，电子设备610的支付管理器614功能性地或操作性地连接到支付服务器620的令牌请求者服务器624。例如，支付管理器614能够向/从令牌请求者服务器624发送/接收支付相关信息。

在本公开的各种实施例中，令牌服务器630能够发布或管理支付相关信息(例如，令牌)。例如，令牌服务器630能够控制令牌的生命周期并且在令牌的生命周期期间执行令牌的生成、修改和删除。令牌服务器630能够包括令牌管理服务器。在此情况下，令牌服务器630能够执行令牌配设、识别与验证(ID&V)、补给、生命周期的管理和与发行者有关的信息的集成。

在本公开的各种实施例中，支付服务器620和/或令牌服务器630可位于相同区域或相似区域中或者位于分开的个体区域中。例如，支付服务器620可被包括在第一服务器中并且令牌服务器630可被包括在第二服务器中。或者，支付服务器620和/或令牌服务器630可实现在一个服务器(例如，第一服务器或第二服务器)内，但在其中与彼此相区分。

在本公开的各种实施例中，发行者640能够发卡。例如，发行者640能够包括发卡银行服务器。发行者640能够创建要提供给用户的支付相关信息。用户可利用支付应用612将发行者640生成的支付相关信息存储在电子设备610中。发行者640功能性性或操作性地连接到令牌服务器630并且向其发送/从其接收支付相关信息。

图7是根据本公开的各种实施例示出被配置为执行支付的支付系统的框图700。

参考图7，支付系统能够包括电子设备710(例如，图1所示的电子设备101)、支付服务器720(例如，服务器106)、令牌服务提供者(token service provider，TSP)730(例如，服务器106或未示出的另一服务器)和销售点(POS)终端740(例如，电子设备102)。在本公开的一实施例中，支付系统还可包括一个或多个电子设备750、760，它们可以是功能性地或操作性地(例如，经由通信)连接到电子设备710的可穿戴设备750(例如，智能手表)或配件760(例如，LoopPay^TM fob)。在本公开的一实施例中，LoopPay^TM fob可包括经由麦克风连接到电子设备710的外部支付模块。

在本公开的一实施例中，电子设备710能够执行支付功能。电子设备710能够在其中或在支付服务器720中注册支付卡(例如，诸如卡、卡等等之类的信用卡)。支付服务器720能够管理关于若干张卡的信息，例如由电子设备710注册的卡、由电子设备710的用户的另一电子设备(例如，电子设备750)注册的卡、由其他用户的电子设备注册的卡，等等。

在本公开的一实施例中，支付服务器720能够从TSP 730获得与注册卡信息相对应的令牌信息并将令牌信息发送给电子设备710。支付服务器720能够包括支付服务服务器或令牌请求者服务器。支付服务服务器能够管理关于用户的卡的信息。支付服务器720能够基于账户提供支付相关服务。令牌请求者服务器能够向TSP 730请求执行支付所需的令牌信息并且从其获得该信息。

TSP 730能够发布在支付过程中使用的令牌。在本公开的一实施例中，令牌指的是替代主账户号(primary account number，PAN)作为关于卡的信息的值。在本公开的一实施例中，令牌可利用银行识别号(bank identification number，BIN)等等生成。生成的令牌可被TSP 730编码。或者，生成的令牌可在不被编码的情况下被传送到支付服务器720，然后被支付服务器720编码。编码的令牌信息经由支付服务器720被发送到电子设备710。电子设备710能够对编码的令牌解码。在本公开的一实施例中，令牌是在TSP 730中生成并编码的，并且经处理的令牌被发送到电子设备710，而不经过支付服务器720。在另一实施例中，支付服务器720可配备有令牌创建功能。在此情况下，支付系统可不采用TSP 730。

当电子设备710经由短程通信(例如，蓝牙(BT)或Wi-Fi)功能性地或操作性地连接到其他电子设备750和760时，电子设备710能够利用其他电子设备750和760的至少一者进行支付。在本公开的一实施例中，其他电子设备750的示例是可穿戴设备(例如，智能手表)。在此情况下，电子设备710能够把从TSP 730接收的令牌发送到该可穿戴设备。在本公开的一实施例中，其他电子设备760的示例是配件(例如，LoopPay^TM fob)。在此情况下，电子设备710经由输入/输出接口150(例如，耳机286)功能性地或操作性地连接到该配件(例如，LoopPay^TM fob)。

图8是根据本公开的一实施例示出能够执行支付功能的电子设备(例如，图1所示的电子设备101)的硬件体系结构的框图800。

参考图8，电子设备能够包括相机模块801、加速度传感器803、陀螺传感器805、生物计量传感器807、MST模块810、NFC模块820、MST控制模块830、NFC控制模块840、处理器850和存储器860。相机模块801拍摄卡的图像以进行支付并且获得卡信息。MST模块810能够经由光学字符读取器(OCR)功能识别记录在卡中的卡信息(例如，发卡公司、卡号、到期日、持卡人等等)。或者，用户可利用电子设备的输入单元，例如触摸面板、笔传感器、键、超声输入系统、麦克风等等直接将卡信息输入到他/她的电子设备。

在本公开的一实施例中，加速度传感器803或陀螺传感器805能够在执行支付时获得关于电子设备(例如，电子设备101)的姿态状态并将获得的姿态状态传送给处理器850。处理器850基于所获得的关于电子设备的姿态状态控制从MST模块810发射到POS终端的磁场的强度(电流量)。或者，当MST模块810具有若干个线圈电线时，处理器850可选择要使用的线圈天线。在本公开的一实施例中，MST控制模块830能够包括数据接收模块831和输出变换模块833。数据接收模块831能够接收从处理器850或安全模块(例如，eSE)发送的包含支付信息的逻辑高/低脉冲信号。在本公开的一实施例中，数据接收模块831接收的数据可具有记录在磁卡的磁条上的轨道数据的格式。例如，接收到的数据可形成为使得令牌和认证验证数据被插入到磁条的一个或多个格式，轨道1、轨道2和轨道3。

参考图8，输出变换模块833能够包括用于把由数据接收模块831识别出的数据变换成要发送到MST模块810的相应格式的数据的电路。该电路可包括被配置为使提供给例如MST模块810的两端的电压的极性交替的H桥。该H桥可配置有像字母“H”中那样连接到彼此的四个切换器件。

在本公开的一实施例中，电子设备能够基于经由相机模块801或输入单元(例如，触摸面板、笔传感器等等)接收的卡信息经由通信模块(未示出)从发卡公司/银行服务器接收磁卡的磁条中包含的支付信息(例如，轨道1、轨道2、轨道3或令牌信息)；并且将支付信息以相应格式存储在存储器860或单独的安全模块236(例如，eSE)中。

在本公开的一实施例中，从同一卡发送到POS终端的令牌可根据MST模块810和NFC模块820而变化。例如，当发送到外部设备(例如，POS终端)的卡的令牌(例如，数字卡号)的后四位经由MST模块810是1111时，发送到外部设备(例如，POS终端)的同一卡的令牌(例如，数字卡号)的后四位经由NFC模块820是2222。

图9是根据本公开的一实施例示出支付系统900的框图。

参考图9，支付系统900能够包括电子设备910和/或若干个服务器。服务器包括支付服务器920、第一令牌服务器(第一令牌服务提供者)934、第二令牌服务器(第二令牌服务提供者)944、第一发行者(第一卡网络)932、第二发行者(第二卡网络)942、可信服务管理器(trusted service manager，TSM)936。电子设备910能够包括支付应用(钱包应用)912、支付管理器914和/或安全存储916。支付服务器920能够包括支付服务服务器922和/或令牌请求者服务器(令牌请求者)924。第一发行者932、第一令牌服务器934和TSM 936中的组件可被组合来配置另一服务器(例如，第一管理服务器930)。在此情况下，第一管理服务器930可被配置为以下组合之一：第一发行者与第一令牌服务器；第一发行者与TSM；第一令牌服务器与TSM；第一发行者与TSM；以及第一发行者、第一令牌服务器与TSM。类似地，第二发行者942和第二令牌服务器944被组合以形成服务器(例如，第二管理服务器940)。

在本公开的各种实施例中，参考图9，支付应用912(例如，图6所示的支付应用612)可包括Samsung Pay^TM应用。支付应用912能够提供与支付有关的用户界面(UI)或用户体验(UX)。支付相关用户界面可包括钱包UI/UX。例如，支付应用912可提供与卡注册、支付、交易等等有关的用户界面。支付应用912能够利用光学字符读取器/识别(OCR)或外部输入(例如，用户输入)来提供与卡注册有关的接口。支付应用912能够经由识别与验证(ID&V)提供与用户认证有关的接口。

在本公开的各种实施例中，支付应用912能够利用支付应用912执行支付交易。例如，支付应用912能够通过执行预设的应用——例如Simple Pay或Quick Pay——来向用户提供支付功能。用户运行支付应用912以执行支付功能并且被提供与支付功能有关的信息。

在本公开的各种实施例中，支付管理器914能够包括与发卡公司有关的信息。例如，支付管理器914能够包括发卡公司的软件开发工具包(SDK)。

在本公开的各种实施例中，安全存储916能够包括安全模块236和安全世界，例如TEE。从第一发行者或第二发行者发布的支付小应用程序(例如，小应用程序、可信应用等等)可被安装到安全存储916。在本公开的一实施例中，支付小应用程序能够以磁卡的轨道数据的格式创建要经由MST发射的支付信息(例如，令牌、令牌密码、时间验证码、支付次数)。例如，时间验证码指的是检查支付信息的有效性的值，采用指定的时间值来创建时间验证码。在本公开的一实施例中，指定的时间值可采用协调通用时间(coordinateduniversal time，UTC)信息。例如，电子设备能够经由网络身份和时区(network identityand time zone，NITZ)或网络时间协议(network time protocol，NTP)获得UTC信息。当外部服务器(例如，第一管理服务器)获得UTC信息时，其与电子设备同步，从而验证时间验证码。外部服务器也能够按与电子设备相同的方法(例如，NITZ或NTP)获得指定的时间值。

安全存储916能够在其中存储支付信息(例如，用于创建令牌密码的密钥、令牌等等)。

TSM 936能够与安装到安全存储916的支付小应用程序通信，并且执行支付信息的存储和管理(例如，删除、补给等等)。

在本公开的各种实施例中，支付服务器920能够包括用于电子支付或移动支付的管理服务器。支付服务器920能够从电子设备910接收支付相关信息。支付服务器920能够将接收到的支付相关信息发送到外部或处理支付相关信息。

在本公开的各种实施例中，支付服务器920能够经由支付服务服务器922和/或令牌请求者服务器924在电子设备910与第一发行者932之间传送信息(例如，令牌发布请求)。支付服务服务器922能够包括支付服务器920(例如，Samsung支付服务器)。支付服务服务器922能够管理与服务账户(例如，Samsung账户)或用户账户相关联的卡信息。支付服务服务器922能够包括与支付应用912有关的应用程序接口(API)服务器。支付服务服务器922能够提供账户管理模块(例如，账户集成或Samsung账户集成)。

在本公开的各种实施例中，令牌请求者服务器924能够提供用于处理支付相关信息的接口。例如，令牌请求者服务器924能够发布、删除或激活支付相关信息(例如，令牌)。令牌请求者服务器924能够在与支付管理器914功能性地或操作性地连接的同时控制支付所需的信息。

在本公开的各种实施例中，电子设备910的支付应用912功能性地或操作性地连接到支付服务器920的支付服务服务器922。例如，支付应用912能够向/从支付服务器920发送/接收支付相关信息。在本公开的一实施例中，电子设备910的支付管理器914功能性地或操作性地连接到支付服务器920的令牌请求者服务器924。例如，支付管理器914能够向/从令牌请求者服务器924发送/接收支付相关信息。

在本公开的各种实施例中，第一发行者932和第二发行者942能够管理用于发布支付相关信息(例如，令牌)的数据。例如，第一发行者932能够请求第一令牌服务器934发布与第二令牌服务器已发布的第一支付信息相关联的第二支付信息。当向第一令牌服务器934请求发布令牌时，第一发行者932能够存储并管理信息(例如，令牌ID)以识别第一令牌和第二令牌是否彼此相关。

在本公开的一实施例中，第一支付信息(例如，数字卡号、用于创建令牌密码的密钥和/或令牌)和第二支付信息(例如，数字卡号、用于创建令牌密码的密钥和/或令牌)可以是从电子设备910发布的令牌，其中令牌根据支付的传输模式(例如，MST和NFC)而变化。例如，第一支付信息可用于MST模式中的支付并且第二支付信息可用于NFC模式中的支付。还应当理解，第一支付信息和第二支付信息可分别用于NFC模式中的支付和MST模式中的支付。或者，实施例也可被实现成使得第一支付信息和第二支付信息彼此相同。令牌可以指替代主账户号(PAN)的数字卡号。第一支付信息的至少一部分或第二支付信息的至少一部分经由网络被从电子设备910发送到商店的POS终端或者发送到外部。在此情况下，发行者识别令牌并且判定其是否批准支付。

在本公开的各种实施例中，第一令牌服务器934和第二令牌服务器944能够发布或管理支付相关信息(例如，令牌)。例如，第一令牌服务器934能够控制令牌的生命周期并且在令牌的生命周期期间执行令牌的生成、修改和删除。第一令牌服务器934能够包括令牌管理服务器。在此情况下，第一令牌服务器934能够执行令牌配设、识别与验证(ID&V)、补给、生命周期的管理和与发行者有关的信息的集成。

在本公开的各种实施例中，TSM 936能够把从第一令牌服务器934和第二令牌服务器944发布的第一令牌和/或第二令牌安装在安全存储916中。TSM 936也能够在安全存储916中安装用于创建和管理包含相应令牌的支付信息的支付相关程序。

图10是根据本公开的各种实施例示出被配置为支持经由近场通信(NFC)的支付模式的电子设备的框图。

参考图10，电子设备1000能够包括处理器1001、NFC控制器1003、NFC RF模块1005和安全模块(安全元素)1007。

处理器1001能够控制电子设备1000的操作。处理器1001可以是支持TEE的处理器或者不支持TEE的处理器。

当电子设备(例如，智能电话)包括NFC模块时，NFC模块可被配置成使得其连接到丰富移动操作系统(移动OS)或诸如之类的丰富OS并且被用作连接低安全性OS(或丰富OS、在常规世界运行的OS)的芯片集和安全世界的接口；然而，应当理解NFC模块不限于该体系结构。

NFC控制器1003能够基于NFC模式处理数据。例如，NFC控制器1003能够在三种通信模式中操作，例如卡模拟、读写器和对等(peer-to-peer，P2P)。卡模拟模式指的是使得控制器能够将存储在安全模块1007中的验证信息发送到外部读取器的模式，并且可被应用到支付功能、交通卡功能、识别(ID)卡的用户认证功能，等等。读取器模式指的是使得控制器能够读取外部标签信息的模式。P2P模式指的是使得控制器能够支持设备之间的数据交换的模式，例如电子名片、联系人信息、数字照片、统一资源定位符(uniform resourcelocator，URL)等等。

NFC RF模块1005能够基于相应的解调方案对经由天线(例如，NFC天线1009)接收的信号解调，并且将解调的信号提供给NFC控制器1003。NFC RF模块1005还能够基于相应的调制方案对来自NFC控制器1003的数据进行调制，并且经由天线发送调制的数据。

参考图10，安全世界(安全元素)模块或安全模块1007能够存储与认证或交易有关的信息。例如，与认证或交易有关的信息可包含安全性所需的信息，例如主账户号(PAN)、令牌、加密密钥等等。PAN指的是唯一卡或信用号，包含关于卡或信用卡的信息。唯一卡或信用卡号可不被加密。令牌可用来替换唯一信用卡号。PAN或令牌被用于电子支付。加密密钥用于对数据加密以用于支付认证。令牌和PAN可与加密的数据一起被发送。

只有NFC控制器1003可访问安全模块1007。处理器1001可不被授权访问安全元素模块1007。

在本公开的各种实施例中，电子设备的NFC模块连接到常规世界的OS，从而充当用于连接常规世界OS的芯片集和安全世界的接口。具有相对高的安全级别的安全世界只能通过NFC模块的控制器来访问。

NFC控制器1003、NFC RF模块1005和安全模块1007可被实现成单个芯片或封装。在以下描述中，包括NFC控制器1003、NFC RF模块1005和安全模块1007的封装可以是NFC模块。

图11是根据本公开的各种实施例描述利用令牌执行支付交易的方法的框图1000。

参考图11，该实施例的组件可与上述的支付系统的组件相同。在本公开的一实施例中，电子设备910能够经由NFC和/或MST执行支付交易。在以下描述中，该实施例描述了经由NFC和/或MST的支付交易；然而，应当理解本公开的各种实施例不限于此。

在操作1111中，电子设备910经由NFC向POS 1101发送支付信息(例如，令牌、令牌密码)。例如，当支付交易开始时，电子设备910可等待检测外部NFC信号。当从POS 1101接收到活跃信号时，电子设备910生成NFC信号并且经由NFC信号发送第一支付信息。

在操作1113中，电子设备910经由MST向POS 1101发送支付信息(例如，令牌、令牌密码)。例如，当支付交易开始时，电子设备910以轨道数据格式包括第二支付信息并且将MST信号发送到POS 1101的磁信号读取器。在本公开的一实施例中，轨道数据格式可包含基于指定时间生成的验证码。例如，电子设备910能够：基于从NITZ或NTP获得的UTC创建验证码；将验证码和第二支付信息添加到轨道数据；并且将MST信号发送到POS 1101的磁信号读取器。

在操作1115中，POS 1101能够向第一发行者932发送操作1111中的来自电子设备910的第一支付信息或者操作1113中的来自电子设备910的第二支付信息。在本公开的一实施例中，第一发行者932能够如操作1115中那样验证操作1111中的第一支付信息或者操作1113中的第二支付信息。例如，第一发行者932检查在操作113中包含在第二支付信息中或者与第二支付信息一起发送的时间信息，或者利用时间信息生成的验证码。第一发行者932将超过预设时间段的操作1113中的第二支付信息作为支付验证的失败值发送到外部设备(例如，POS、第二发行者942)。第二发行者942可按与第一发行者932的方式相似的方式执行验证方法。

在操作1117中，当第一发行者932接收到了第二支付信息时，第一令牌服务器934能够将第二支付信息更改成第一支付信息。例如，当第一发行者932接收到了第二支付信息时，其将第二支付信息发送给第一令牌服务器934。第一发行者932能够发布第二支付信息以匹配上文参考图9描述的第一支付信息。支付交易以如下方式执行：利用匹配的信息检查第一支付信息是否与第二支付信息匹配，并且确定与之有关的第一支付信息。

在操作1119中，第一发行者932能够向第二发行者942请求对第一支付信息的验证。

在操作1121中，参考图11，第二发行者942能够将接收到的对第一支付信息的验证结果发送给POS 1101。POS 1101可根据验证结果输出交易完成的收据或者交易失败的消息。

图12是根据本公开的各种实施例示出电子设备的框图。

参考图12，电子设备能够包括处理器(例如，AP)1200、通用IC卡(Universal ICCard，UICC)1202、存储器1204、输入单元1206、显示模块1208、基带模块1214、RF模块1216、第一通信模块1210和第二通信模块1212。

处理器1200能够控制电子设备的操作。例如，处理器1200能够处理并控制语音呼叫和数据通信。处理器1200也能够通过运行支付应用来处理支付服务功能。处理器1200能够在丰富执行环境(REE)/可信执行环境(TEE)中运行。TEE能够在安全环境中存储、执行和保护敏感数据，例如验证数据。REE能够在与TEE相比不那么安全的环境中处理数据。

例如，当电子设备接收到发送验证信息的用户输入或者电子设备接近或接触POS的读取器时，处理器1200能够检测对与支付或验证有关的信息的发送的请求。也就是说，处理器1200能够经由用户输入(或用户界面)接收验证信息发送命令，或者从POS设备接收验证信息请求。处理器1200也能够确定用于发送请求的验证信息的通信模式。例如，当请求的验证信息与基于第一通信模块1210的支付系统有关时，处理器1200能够选择第一通信模块1210。当请求的验证信息与基于第二通信模块1212的支付系统有关时，处理器1200能够选择第二通信模块1212。

在本公开的一实施例中，参考图12，处理器1200能够从收集与个体通信模式相对应的验证信息的安全模块获得与验证信息发送请求相对应的验证信息。例如，安全模块能够存储用于基于第一通信模块1210的支付系统的第一验证信息和用于基于第二通信模块1212的支付系统的第二验证信息。

处理器1200能够通过第一通信模块1210或第二通信模块1212发送所获得的验证信息(例如，第一验证信息或第二验证信息)。

在本公开的一实施例中，安全模块可被实现为各种类型。例如，安全模块可被包括在电子设备的通用IC卡(UICC)1202或者内置存储器1204的一部分或全部中。或者，安全模块可被实现在第一通信模块1210或第二通信模块1212中。

在本公开的各种实施例中，安全模块可被实现为充当嵌入式安全元素的单独芯片。例如，安全模块可被安装在小型移动闪存卡(微型SD)上。

在本公开的一实施例中，安全模块可与处理器1200中的组件之一组合在单个封装中。

处理器1200在TEE中能够访问安全世界，但在REE中不可访问安全世界。虽然其不在TEE中，但只有特定模块(例如，第一通信模块1210和第二通信模块1212)可访问安全世界。

响应于交易或验证信息发送请求，从至少一个安全模块获得至少一条验证信息，这将在参考图14至图31的同时进一步描述。

在本公开的一实施例中，处理器1200能够处理至少一条验证信息，并且经由至少一个通信模块(例如，第一通信模块1210、第二通信模块1212)发送经处理的结果。例如，电子设备能够：利用诸如PAN、令牌和加密密钥之类的与交易或验证有关的信息的加密密钥创建加密数据；并且经由第一通信模块1210和/或第二通信模块1212发送生成的加密数据和交易或验证相关信息的令牌。

在以下描述中，没有说明处理器1200的一般处理和控制。

存储器1204能够包括程序存储器、数据存储器、非易失性存储器等等。程序存储器能够存储用于控制电子设备的操作的程序。程序存储器可以是闪存。数据存储器能够临时存储在电子设备操作的同时生成的数据。数据存储器可以是RAM。非易失性存储器能够存储系统参数和存储数据(电话号码、SMS消息、图像数据等等)。非易失性存储器可以是EEPROM。在本公开的各种实施例中，存储器1204可用作安全世界。存储器1204可根据REE/TEE以不同方式操作。例如，REE中的存储器和TEE中的存储器可如图5A至5C所示被配置为个体单独硬件芯片。或者，REE存储器中的存储器和TEE中的存储器可在单个硬件芯片中用不同地址来使用。在本公开的各种实施例中，存储器1204可存储验证信息。例如，当经由NFC通信模块发送验证信息时，可在主机卡模拟模式中从存储器1204获得验证信息。可在近场磁条数据发送中从存储器1204获得验证信息。验证信息可被存储在REE存储的存储器和/或TEE的存储器中。

参考图12，输入单元1206能够包括数字键0～9和若干个功能键，例如菜单、取消(删除)、确定、讲话、结束、互联网接入键、导航键(上/下/左/右)，等等。输入单元1206能够向处理器1200提供用户按压的键的输入数据。显示模块1208能够显示在电子设备操作的同时生成的状态信息、运动图像、静止图像等等。显示模块1208可以用彩色液晶显示器(LCD)实现。在本公开的各种实施例中，显示模块1208能够从处理器1200接收认证结果并在其上显示认证结果。

RF模块1216能够基于相应的通信方法对经由天线1218接收的RF信号进行下变频，将下变频后的信号提供给基带模块1214。RF模块1216也能够对来自基带模块1214的基带信号进行上变频，并且通过天线1218发送上变频后的信号。基带模块1214能够处理在RF模块1216和处理器1200之间传送的基带信号。相应通信方法的示例是LTE、LTE-A、CDMA、WCDMA、UMTS、GSM和5G通信。

第一通信模块1210能够执行单向通信(例如，发送)。单向通信的示例是近场磁条数据发送。第一通信模块1210能够处理第一验证信息并将结果发送给POS终端。

第二通信模块1212能够执行双向通信(例如，发送和接收)。双向通信的示例是NFC。第二通信模块1212能够处理第二验证信息并将结果发送给POS终端。

在本公开的各种实施例中，在电子设备采用基于双向通信(例如，NFC通信模块)的支付模式的状态中，当电子设备接近或接触POS终端的读取器时，第二通信模块1212直接从POS终端接收验证信息请求，并从而向POS终端发送与基于第二通信模块1212的支付模式相对应的第二验证信息。在电子设备采用基于单向通信(例如，近场磁条数据发送)的支付模式的状态中，第一通信模块1210不能从POS终端接收数据，但可向POS终端发送数据。因此，根据来自处理器1200的验证信息发送命令，第一通信模块1210可向POS终端发送与基于第一通信模块1210的支付模式相对应的第一验证信息。通用IC卡(UICC)1202可以是包括订户身份模块(SIM)的卡并且被插入到电子设备的特定位置处的插槽中。UICC 1202可包含唯一识别信息，例如集成电路卡识别符(ICCID)，或者订户信息，例如国际移动订户身份(IMSI)。

在本公开的各种实施例中，第一通信模块1210或第二通信模块1212可以按与电子设备分离的方式实现。在此情况下，第一和/或第二通信模块可经由连接器连接到电子设备，所述连接器例如是音频插孔(未示出)、USB连接器等等。

在本公开的各种实施例中，第一通信模块1210不限于近场磁条数据发送。可以用用于输出条码、QR码或音频数据的模块来替换第一通信模块1210。例如，可以用用于显示条码或QR码的显示模块1208来替换第一通信模块1210，以充当单向通信模块。或者，用于输出音频数据的扬声器可用作单向通信模块。

类似地，取代NFC模式，第二通信模块1212可采用各种类型的双向通信模式。

图13是根据本公开的各种实施例描述电子设备的操作的流程图。

参考图13，电子设备(例如，图12所示的处理器1200)在操作1300中能够选择用于发送至少一条验证信息的通信模块。例如，当电子设备接收到用于发送验证信息的用户输入或者电子设备接近或接触POS终端的读取器时，其能够选择用于发送相应验证信息的通信模块。

例如，当接收到用于发送验证信息的用户输入(例如，指纹认证)时，电子设备能够选择第一通信模块1210。当电子设备接近或接触POS终端的读取器时，其能够选择第二通信模块1212。

在本公开的各种实施例中，当用于验证信息发送的交易发生时(即，当POS终端支持NFC模式和近场磁条数据发送时)，电子设备能够选择第一通信模块1210和第二通信模块1212两者。

电子设备(例如，图12所示的处理器1200)在操作1302中响应于交易相关或验证相关信息的发送请求能够从至少一个安全模块和存储器的至少一者获得至少一条验证信息。验证信息可包含PAN、令牌和密钥的至少一者。例如，令牌是替代用户的信用卡的数字数据。当注册相应的信用卡时，可从信用卡公司的服务器接收令牌。可从信用卡公司的服务器或者分发密钥的认证中心周期性地接收密钥。或者，可根据请求从服务器接收密钥，并将其存储在安全模块和/或存储器中。密钥可用于生成用于认证对商品的支付的加密数据。

用于从至少一个安全世界获得至少一条验证信息的实施例将在稍后参考图14至图31来描述。

电子设备(例如，图12所示的处理器1200)在操作1304中能够处理至少一条验证信息并且经由至少一个通信模块(例如，图12所示的第一通信模块1210或第二通信模块1212)发送处理的结果。例如，电子设备能够经由验证信息的密钥创建加密数据，并且发送验证信息的令牌和生成的加密数据。例如，可以按消息的形式发送令牌和利用密钥生成的加密数据。令牌可以是动态数据。密钥可以是动态数据。

验证信息的密钥和/或令牌可根据验证的类型相互区分。例如，第一令牌和第一密钥可用于第一类型的验证。第二令牌和第二密钥可用于第二类型的验证。在本公开的各种实施例中，第一类型的验证可以是使用近场磁条数据发送的支付模式。第二类型的验证可以是使用NFC的支付模式。

图14是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图。

参考图14，应用处理器(AP)1401可对应于图12所示的处理器1200；第一通信模块1403可对应于图12所示的第一通信模块1210；并且第二通信模块1405可对应于图12所示的第二通信模块1212。第一通信模块1403和第二通信模块1405电连接到AP 1401。安全模块1407电连接到第二通信模块1405。第一通信模块1403和第二通信模块1405功能性地或操作性地连接到彼此。

在本公开的各种实施例中，参考图8和图14，第一通信模块1403可以是MST模块(例如，MST模块810)。第二通信模块1405可以是NFC模块(例如，NFC模块820)。安全模块1407可以是嵌入式安全元素(embedded secure element，eSE)。

AP 1401能够检测第一认证服务交易并且向第一通信模块1403发送第一认证服务交易命令。在本公开的各种实施例中，第一认证服务交易命令可以是基于第一通信模块1403执行认证过程的指令。例如，该命令可由用户生成。

AP 1401能够从第二通信模块1405接收与第二验证信息1407-2相对应的认证结果并且控制显示模块1208在其上显示该认证结果。

当从AP 1401接收到认证服务交易命令时，第一通信模块1403从第二通信模块1405请求并接收第一验证信息1407-1。第一通信模块1403可进一步处理第一验证信息1407-1并将处理的结果发送给POS终端。该进一步处理包括利用密钥生成加密数据和生成令牌，并且生成的加密数据是消息的形式。

当电子设备接近或接触POS终端时，第二通信模块1405能够检测第二认证服务交易并且从安全模块1407获得第二验证信息1407-2。第二通信模块1405能够处理并向POS终端发送第二验证信息1407-2。第二通信模块1405能够接收认证结果的反馈并将接收到的反馈提供给AP 1401。

安全模块1407可以是仅能被第二通信模块1405访问但不能被AP 1401或第一通信模块1403访问的存储空间。在该实施例中，安全模块1407能够包含第一验证信息1407-1和第二验证信息1407-2。

在本公开的各种实施例中，存储在安全模块1407中的至少一条验证信息(例如，第一验证信息1407-1)可被存储在电连接到AP 1401的常规存储器1409中。常规存储器1409可被常规世界的AP 1401访问。

图15是根据本公开的各种实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图15，当在操作1500中发生第一认证服务交易时(例如，判定第一认证服务交易是否发生)，AP 1401在操作1502中能够向第一通信模块1403发送第一认证服务的交易命令。

第一通信模块1403(图14中示出)在操作1504中能够向第二通信模块1405(图14中示出)请求用于支付结算的第一验证信息。

第二通信模块1405在操作1506中能够从安全模块1507获得用于支付结算的第一验证信息。

第二通信模块1405在操作1508中能够把所获得的用于支付结算的第一验证信息发送给第一通信模块1403。

第一通信模块1403在操作1510中能够处理并经由第一通信模块1210发送验证信息。

在本公开的各种实施例中，在操作1502之后，第一通信模块1403在操作1516中能够从存储器1409获得验证信息。所获得的验证信息可在操作1510中被发送。

另一方面，当在操作1500中发生第二认证服务交易时，第二通信模块1405在操作1512中能够从安全模块1407(图14中示出)获得用于支付结算的第二验证信息。

第二通信模块1405在操作1514中能够处理验证信息并随后经由第二通信模块1212(图12中示出)发送处理的结果。

图16是根据本公开的一实施例示出电子设备中的组件之间的接口的框图。

参考图16，应用处理器(AP)1601可对应于图12所示的处理器1200，第一通信模块1603可对应于图12所示的第一通信模块1210，并且第二通信模块1605可对应于图12所示的第二通信模块1212。第一通信模块1603和第二通信模块1605电连接到AP 1601。第一安全模块1607电连接到第一通信模块1603。第二安全模块1609电连接到第二通信模块1605。

在本公开的各种实施例中，第一通信模块1603可以是MST模块(例如，图8所示的MST模块810)和/或NFC模块(例如，NFC模块820)。第二通信模块1605可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。第一安全模块1607可以是第一嵌入式安全元素(eSE)。第二安全模块1609可以是第二嵌入式安全元素(eSE)。

AP 1601能够检测第一认证服务交易，并且向第一通信模块1603发送第一认证服务交易命令。AP 1601能够从第二通信模块1605接收与第二验证信息相对应的认证结果并且控制显示模块1208在其上显示认证结果。

当从AP 1601接收到认证服务交易命令时，第一通信模块1603从第一安全模块1607获得第一验证信息1607-1。第一通信模块1603处理第一验证信息1607-1并将处理的结果发送给POS终端。

当电子设备接近或接触POS终端时，第二通信模块1605能够检测认证服务交易并且从第二安全模块1609获得第二验证信息1609-2。第二通信模块1605能够处理并发送第二验证信息1609-2给POS终端。第二通信模块1605能够接收认证结果的反馈并将结果提供给AP 1601。

第一安全模块1607可以是仅能被第一通信模块1603访问但不能被AP1601或第二通信模块1605访问的存储空间。第二安全模块1609可以是仅能被第二通信模块1605访问但不能被AP 1601或第一通信模块1603访问的存储空间。

在本公开的各种实施例中，第一验证信息1607-1可被存储在电连接到AP 1601的常规存储器1611中。常规存储器1611可被常规世界的AP 1601访问。

图17是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图16和图17，当在操作1700中发生第一认证服务交易时，AP 1601在操作1702中能够向第一通信模块1603发送第一认证服务的交易命令。

第一通信模块1603在操作1704中能够从第一安全模块1607和/或存储器1611获得用于支付结算的验证信息(例如，第一验证信息)。

第二通信模块1605在操作1706中能够处理并经由第一通信模块1603发送验证信息。

另一方面，当在操作1700中发生第二认证服务交易时，第二通信模块1605在操作1708中能够从第二安全模块1609获得用于支付结算的验证信息。

第二通信模块1605在操作1710中能够处理验证信息并经由第二通信模块1605发送处理的结果。

图18是根据本公开的一实施例示出在能够执行支付功能的电子设备(例如，图1所示的电子设备101)的执行环境中执行的程序模块的框图1800。参考图18，执行环境1800可包括例如REE 1810和TEE 1820。

在本公开的一实施例中，参考图3和图18，为了执行支付，REE 1810能够包括支付应用1830(例如，支付应用385)、支付管理器1840(例如，支付管理器354)和内核1850(例如，内核320)。在本公开的一实施例中，支付应用1830能够包括支付管理模块1831、服务器合作模块1833、认证模块1835和外设(设备)管理模块1837。支付应用1830还可包括图32至图36所示的支付应用。

在本公开的一实施例中，支付管理模块1831能够执行用于卡注册、卡认证、卡信息删除和支付。支付管理模块1831能够注册用户的卡。电子设备(例如，电子设备101)能够从用户接收卡注册请求。电子设备能够经由相机模块获得卡的图像。支付管理模块1831能够经由OCR模块获得卡图像。支付管理模块1831能够从用户或支付服务器720(图7所示)获得与卡信息有关的信息(例如，口令、家庭地址、电子邮件地址、电话号码、账户ID等等)。

在本公开的一实施例中，支付管理模块1831能够在显示器160上显示注册的卡。用户可更改关于注册的卡的信息的一部分(例如，卡名称、家庭地址、电话号码、支付尝试次数、关于是否接收支付通知信息的条件的设置，等等)。支付管理模块1831能够显示个体卡的交易细节。支付管理模块1831能够显示关于在功能性地或操作性地连接到电子设备的可穿戴设备(例如，智能手表)中注册的卡的信息。

在本公开的一实施例中，支付管理模块1831能够利用注册的卡进行支付。用户选择若干个注册的卡之一以便进行支付。用户将电子设备移动到POS终端740(图7中示出)。支付管理模块1831从POS终端740接收关于产品的信息(例如，价格)并且在显示器160上显示该信息。支付管理模块1831经由认证模块1835为支付执行用户认证，例如指纹认证。当完成认证时，支付管理模块1831在显示器160上显示通知支付完成的消息。

在本公开的一实施例中，电子设备(例如，电子设备101(图1所示)或电子设备710(图7所示))能够利用MST模块和/或NFC模块向POS终端发送支付信息。为了增大识别速率，电子设备可同时利用MST模块和NFC模块向POS终端发送支付信息。或者，当电子设备利用MST模块向POS终端发送支付信息但未能进行支付时，其可利用NFC模块向POS终端发送支付信息。电子设备可以如下方式识别支付失败：当其从POS终端或第3方(例如，金融机构)接收到通知时；或者当预设的时间段已逝去时。应当理解，各种实施例不限于上述的操作顺序，而是可按任何顺序执行，例如相反顺序。

在本公开的一实施例中，电子设备能够接收请求删除关于至少一张注册卡的信息的用户输入。支付管理模块1831能够从存储器130中删除关于相应卡的信息。支付管理模块1831能够向支付服务器720请求删除关于至少一张注册卡的信息。

在本公开的一实施例中，支付管理模块1831能够验证卡的拥有者是否与执行卡的注册的人相同。支付管理模块1831能够包括例如识别与验证(ID&V)模块。支付管理模块1831能够经由文本消息、电子邮件、ARS或电话呼叫执行用户认证。或者，用户认证可经由从发卡公司或银行发布的应用来执行。经由支付管理模块1831认证了注册的卡时，其可被使用。

在本公开的一实施例中，支付管理模块1831能够包括OCR模块。OCR模块能够把随着扫描仪扫描包含由人书写或由打印机打印的单词、字母或字符的文档而获得的图像转换成机器可读或可编辑的数据(字符)。电子设备能够获得由相机模块(例如，相机模块291)捕捉的用户的卡的图像。OCR模块能够将捕捉的卡图像中的图像、单词、字母或字符和数字转换成机器可读或可编辑的数据(字符)。OCR模块能够从转换的数据获得用户的卡信息(例如，卡号、用户名或到期日)。电子设备能够经由OCR模块获得用户的卡信息并且基于获得的信息执行卡注册过程。

在本公开的一实施例中，支付管理模块1831能够在显示器160上显示为支付生成的条码。例如，支付管理模块1831能够从POS终端740(图7中示出)接收用于生成条码的命令，当进行支付时条码读取器读取该条码。支付管理模块1831能够基于接收到的命令生成条码。

在本公开的一实施例中，服务器合作模块1833能够从支付服务器720或令牌服务提供者730接收支付相关消息、设备相关消息或服务相关消息。服务器合作模块1833能够将接收到的消息发送给支付管理模块1831。

在本公开的一实施例中，服务器合作模块1833能够包括推送管理模块和/或账户管理模块。例如，当服务器合作模块1833从支付服务器720(图7中示出)接收到令牌相关推送通知时，推送管理模块处理接收到的消息。当服务器合作模块1833从支付服务器720接收到包含账户相关信息信息(例如，三星账户)的消息时，账户管理模块处理接收到的消息。

在本公开的一实施例中，推送管理模块能够操作或处理从支付服务器720接收的推送通知或推送消息。推送消息可经由支付管理器1840或354中的支付中继模块1841被传送到支付应用1830中的服务器合作模块1833。或者，推送消息可被直接传送到支付应用1830。接收到的推送消息的至少一部分被传送到支付管理模块1831并且被用于更新卡相关信息，从而与支付服务器720同步。

在本公开的一实施例中，支付服务器720能够包括被配置为管理账户相关信息的账户服务器或被配置为提供支付相关信息的令牌请求者服务器。账户服务器和令牌请求者服务器可以用个体单独设备(例如，图1所示的服务器106)实现或者被包括在单个设备中。

在本公开的一实施例中，从推送管理模块接收的消息信息可包括与令牌和支付有关的信息，比如权力设置(例如，令牌配设)、暂停(例如，令牌暂停)、废弃(例如，令牌废弃)、状态变化(例如，令牌状态变化)、补给(例如，令牌补给)、支付确认(例如，交易通知)等等，如以下表1中所述。

向/从账户管理模块发送/接收的消息可包含与电子设备有关的信息的至少一部分，例如用于识别丢失的电子设备的功能(例如，丢失设备、查找我的移动设备)、远程阻止功能(例如，远程锁定/解锁)、成员资格管理功能(例如，忠诚卡/成员资格卡)、网站合作功能(例如，网站门户在线)，等等。

表1

在本公开的一实施例中，当由支付管理模块获得的具有ID&V信息的令牌配设经由支付服务器720被成功发送到外部服务器并且发送的令牌相关信息得到确证时，服务器合作模块1833接收消息，例如“推送令牌{id}状态已变化”，并将该消息发送到支付管理模块1831。

在本公开的一实施例中，由支付管理模块1831获得的卡信息的临时暂停(例如，令牌暂停)将使用暂停命令从支付服务器720发送到支付应用1830，从而将移动支付的卡设置状态从活跃状态改变成非活跃状态。

在本公开的一实施例中，当电子设备丢失时，支付服务器720能够删除所有其存储的令牌信息或者临时暂停令牌信息。为了将此结果与支付应用1830同步，支付服务器720能够向支付应用1830发送推送消息。支付服务器720可经由支付管理模块1831或服务器合作模块1833(例如，推送管理模块或账户管理模块)向支付应用1830发送推送消息。

参考以下的表2，电子设备和支付中继模块1831支持的推送API的细节被实现为根据支付中继模块1831彼此区分。

表2

API	描述	类型	确证
				device.push	包含推送平台	Json	需要
device.push.spp.id	三星推送Id。	字符串	需要
				device.push.gcm.id	谷歌推送Id。	字符串	可选

在本公开的一实施例中，账户管理模块能够管理要经由支付应用与支付服务器720(图7中示出)交换的信息，例如，用户的唯一识别符(例如，三星账户id或设备id)、卡信息、成员资源信息等等。用户识别符可包括管理若干个商业相关卡(例如，卡或卡)的用户的预订账户、与电子设备有关的门户账户、电子设备的唯一识别符(例如，型号、媒体访问控制(media access control，MAC)地址、国际移动设备身份(international mobile equipment identity，IMEI)、序列号、通用唯一识别符(universally unique identifier，UUID)、标识(ID)，等等。唯一识别符可以是通过账户在支付服务器720中生成并从其接收的值。

账户管理模块能够利用用户的账户或电子设备的识别符管理卡的注册、补给、删除、重复注册、使用暂停或使用恢复。此外，当在电子设备和可穿戴设备之间导入/导出卡信息时，账户管理模块能够基于用户的生成的账户或者电子设备身份来管理卡的注册、补给、删除、重复注册和识别、使用暂停或使用恢复。

在此情况下，基于账户的管理方法以如下方式管理共享一个账户的若干个用户或若干个电子设备：允许电子设备分别使用唯一账户(例如，Samsung账户)；或者利用一个账户整体管理电子设备。

在本公开的一实施例中，由支付管理模块1831的识别模块(例如，OCR模块)生成的关于第一卡(例如，卡)和第二卡(例如，卡)的信息可用于基于账户注册卡，例如在向三星公司预订时生成的registration02@samsung.com。在此情况下，注册的信息可基于生成的账户与支付服务器720同步。

在本公开的一实施例中，由条码接口生成的成员资格信息可用于基于账户，例如在向三星公司预订时生成的registration01@samsung.com，来注册卡，例如第一卡(例如，Samsung卡)、第二卡(例如，CJ membership卡)，等等。在此情况下，注册的信息可基于生成的账户与支付服务器720同步。

用户经由支付应用登录，基于账户判定卡的状态是活跃还是非活跃，并且使得账户管理模块1831能够向支付服务器710发送判定的卡状态。与之不同，用户可通过服务器管理网页(例如，服务器门户)基于账户来管理卡的状态，例如改变卡的状态。账户管理模块能够与服务器合作管理成员资格信息(例如，CJ membershipregistration001@Cj.com等等)和关于与服务账户(例如，registration01@samsung.com)相关联的卡(例如，卡、ID&V)的信息。成员资格信息可以如下方式被自动更新：当卡进行支付时，支付结果信息(例如，支付价格)和成员资格累积信息(例如，积分、里程等等)被自动累积或结算。

一旦包括账户管理模块的支付应用被安装到电子设备，它就允许用户：在经由电子设备登录或登入仅一次之后管理并使用注册卡的设置状态的一部分或全部，无论电子设备的类型如何；并且还与电子设备合作设置状态。此外，对于认证具有相对低的安全级别的成员资格信息可基于用户的账户来注册或者可与用户的账户合作，从而去除额外的认证过程。

在本公开的一实施例中，认证模块1835能够在显示器160(图1中示出)上显示用于认证用户或卡以便执行支付的用户界面(UI)。例如，认证模块1835能够包括生物计量模块。

在本公开的一实施例中，生物计量模块能够获得用户的生物计量信息，例如指纹、虹膜、面部特征、语音、心跳、血压等等。电子设备能够经由传感器模块获得用户的生物计量信息，例如由指纹传感器获得指纹。电子设备能够经由相机模块获得用户的虹膜信息。生物计量模块能够在显示器160上显示用于获得用户的生物计量信息的用户界面(UI)。

在本公开的一实施例中，参考图18，当用户尝试利用在电子设备中注册的卡信息来进行支付时，生物计量模块执行认证以从功能性地或操作性地连接到电子设备的安全存储器获得安全数据(例如，令牌)。安全存储器的示例是嵌入式安全元素(eSE)和安全环境中可访问的存储器。为了执行用户认证，电子设备能够经由生物计量模块获得用户的生物计量信息(例如，指纹、虹膜等等)。获得的生物计量信息被发送到支付管理器1840的生物计量管理模块1843。在一实施例中，安全存储器可以是能够以加密密钥存储数据的存储器。

在本公开的一实施例中，当用户在互联网网页上执行电子支付时，生物计量管理模块1843能够利用在电子设备中注册的生物计量信息和卡信息来进行支付。用户执行认证以从功能性地或操作性地连接到电子设备的存储器或安全存储器(例如，eSE或在安全环境中可访问的存储器)获得安全数据(例如，令牌)。当用户认证在电子设备中成功进展时，电子设备可继续进行快速自动认证，例如快速身份在线(fast identity online，FIDO)，在这里其与外部服务器合作，而不在互联网网页上执行额外的电子支付过程。也就是说，电子设备能够与生物计量模块合作，以高速执行在线支付所需的认证，即快速认证。

在本公开的一实施例中，电子设备能够预先指定(注册)用户的指纹或卡来进行支付。例如，当用户利用支付应用以指纹执行认证时，他/她可能分别为卡和卡指定了右手的拇指和食指。因此，卡可用于在用户的指纹得到认证时进行支付。

在本公开的一实施例中，设备管理模块1837能够管理功能性地或操作性地连接到电子设备的外部设备(外设)。设备管理模块1837能够包括例如MST设备模块和可穿戴设备模块。

在本公开的一实施例中，MST设备模块能够提供用户界面(UI)，用于输出MST配件(例如，LoopPay^TM fob)和电子设备之间的有线/无线连接状态，以使得用户可执行相应的操作。当MST配件连接到电子设备时，UI允许用户执行卡注册、卡信息删除或支付并且输出结果。当MST配件连接到电子设备时，MST设备模块能够将支付所需的卡信息存储在MST配件或电子设备的单独存储器中。在此情况下，虽然MST配件和电子设备没有连接到彼此，但电子设备或MST配件能够独立地执行支付过程。

可穿戴设备模块能够提供UI，用于输出可穿戴设备(例如，手表、耳机、眼镜、指环等等)和电子设备之间的有线/无线连接状态，以使得用户可执行相应的操作。有线/无线连接可以用各种类型的接口实现，例如BT、BLE、Wi-Fi、Zigbee、Z-wave等等。或者，有线/无线连接可以用特定的配件协议实现，例如三星配件协议(Samsung accessory protocol，SAP)。当可穿戴设备连接到电子设备时，UI允许用户执行卡注册、卡信息删除或支付并且输出结果。在卡注册、卡信息删除或支付的过程中，可穿戴设备能够：输出关于是否生成针对可穿戴设备的基于短程的安全会话的条件；发送/接收应用到电子设备或可穿戴设备的用户输入；以及在电子设备或可穿戴设备上显示这些用户输入。用户输入的示例是支付所需的卡信息，以及除了卡信息以外添加的验证信息(例如，PIN、用户的唯一图案相关数据、指纹识别相关数据、可穿戴设备边框、输入到显示器160的触摸值，等等)。

在本公开的一实施例中，电子设备能够与可穿戴设备或配件共享相同的支付信息(单条信息)。例如，关于单张卡的信息被存储在可穿戴设备和电子设备两者中。在本公开的一实施例中，当从同一张卡(单张卡)进一步生成另一条卡信息时，电子设备能够将该条卡信息存储在可穿戴设备或配件中。例如，当从单张卡(同一张卡)发布两个令牌时，电子设备能够将一个令牌存储在其中并将另一个令牌存储在配件或可穿戴设备中。在电子设备把从同一张卡(单张卡)发布的两个令牌之一存储在其中并将另一个令牌存储在配件或可穿戴设备中的状态中，当设备之一中的支付模块被激活时，另一设备中的支付模块被解除激活。例如，在从同一张卡(单张卡)发布的两个令牌之一被存储在电子设备中并且另一令牌被存储在配件或可穿戴设备中的状态中，当可穿戴设备进行支付时，电子设备中的支付模块可被解除激活。或者，当电子设备进行支付时，可穿戴设备中的支付模块可被解除激活。

在本公开的一实施例中，支付管理器1840能够包括支付中继模块1841、生物计量管理模块1843和安全环境中继模块1846。在本公开的一实施例中，支付中继模块1841能够把关于卡的信息或与卡相对应的信息(例如，令牌)中继到支付应用、内核或支付服务器710。支付中继模块1841能够经由通信模块(例如，NFC模块、MST模块等等)执行离线支付。在NFC支付中，NFC模块可由POS终端操作。在MST支付中，MST模块可由用户的输入操作。支付中继模块1841能够经由通信模块(例如，蜂窝模块、RF模块、Wi-Fi模块等等)执行在线支付。

在本公开的一实施例中，支付中继模块1841能够执行关于卡的信息或与卡相对应的信息(例如，令牌)的状态管理，即，卡/令牌生命周期的管理。支付中继模块1841能够向支付应用1830提供与支付有关的至少一个应用编程接口(API)。

在本公开的一实施例中，支付中继模块1841还可包括用于提供用于输入PIN或主账户号(PAN)的安全UI的系统服务接口、对指纹识别结果的引用(例如，支持安全模式和非安全模式两者)、用于认证内核完整性的基于TrustZone的完整性度量体系结构(TrustZone-based Integrity Measurement Architecture，TIMA)、用于访问支付模块的支付服务、由至少一个支付相关系统服务提供的接口，等等。支付中继模块1841能够包括加密库以将消息或命令发送给TEE 1820。支付中继模块1841能够经由该加密库与TEE 1820交换消息或命令。

在本公开的一实施例中，支付中继模块1841能够包括卡管理功能，其被配置为提供一般卡管理功能，例如卡添加、卡信息删除、补给等等。支付中继模块1841能够包括第一支付软件开发工具包(SDK)或第二支付SDK。第一支付SDK(例如，Samsung SDK)可嵌入在电子设备中。第二支付SDK可由发卡公司或银行提供并被安装到电子设备。支付中继模块1841能够选择与卡信息相对应的第一和第二支付SDK之一。或者，支付中继模块1841可将支付卡设置为默认卡或者可额外地选择其他卡用于支付。

在本公开的一实施例中，支付中继模块1841能够向支付服务器710(图7中示出)发送与一般令牌和密钥管理功能有关的消息，例如令牌配设、令牌补给、令牌暂停、令牌恢复、令牌废弃等等。

在本公开的一实施例中，支付模块1821能够从电子设备或外部电子设备获得令牌和令牌密码。在以下描述中，令牌密码也与密码信息、密文、密码、加密和加密方法同义使用。在本公开的一实施例中，令牌密码可包含用于检查支付交易的有效性的数据。在本公开的一实施例中，支付模块1821能够包括或执行可信应用(TA)的以下功能。例如，支付模块1821能够将关于接收的时间信息发送到安全模块(例如，eSE)。在另一实施例中，TA从安全模块(例如，eSE)接收轨道2数据，生成支付验证数据，并将生成的数据插入到轨道2数据中。用于生成令牌和令牌密码的密钥，例如有限使用密钥(limited used key，LUK)或单次使用密钥(single used key，SUK)，可被存储在REE1810或TEE 1820中。为了将令牌和密钥存储在REE 1810中，TEE 1820的支付模块利用TEE 1820的密钥(例如，设备根密钥(device rootkey，DRK))对令牌和密钥加密，并存储加密的结果。当电子设备进行支付时，支付中继模块1841能够获得由支付模块从加密的令牌解密的令牌。当能够生成令牌密码的密钥或令牌被存储在TEE中时，电子设备能够存储利用TEE的密钥加密的密钥或令牌。

在本公开的一实施例中，支付中继模块1841能够从TSP 730(图7中示出)接收推送消息并且将接收到的消息发送给支付应用。

在本公开的一实施例中，在(从发卡公司或银行提供的)第一支付SDK提供其令牌管理功能的状态中，当支付中继模块1841接收到令牌管理功能请求时，其可将接收到的请求中继到第二支付SDK。例如，当支付中继模块经由卡的SDK获得令牌或密钥时，其可经由Samsung SDK将令牌或密钥发送到TEE 1820的支付模块。在本公开的一实施例中，支付中继模块1841能够在支付框架中包括主机卡模拟(host card emulation，HCE)，其使得电子设备中的虚拟卡能够被用于支付，只使用软件，而没有单独的硬件设备(例如，安全模块或安全元素(SE))。HCE功能利用与POS终端(读取器)有关的消息规范，例如应用协议数据单元(application protocol data unit，APDU)，来通过通信模块(例如，NFC)发送令牌和令牌密码。

在本公开的一实施例中，支付中继模块1841能够包括用于处理从POS终端接收的消息的功能。POS相关消息处理功能可包括用于管理支付数据以响应POS终端的功能。当第一支付SDK配备有用于处理其POS相关消息的功能时，POS相关消息分析功能可进一步包括用于将POS相关消息中继到第一支付SDK的功能。在一实施例中，支付中继模块1841能够包括用于存储卡数据、令牌数据、交易数据等等的至少一个数据库。

在本公开的一实施例中，支付中继模块1841能够在进行支付时选择NFC支付模式和/或MST支付模式。例如，支付中继模块1841可如下执行支付：先在NFC支付模式中、然后在MST支付模式中；先在MST支付模式中、然后在NFC支付模式中；或者同时在NFC支付模式和MST支付模式两者中。在本公开的一实施例中，当相继由两个通信模块执行支付时，这是如下情况：当支付中继模块没有来自首先执行了支付的一个通信模块的响应时或者当从一个通信模块进行的支付起预设的时间段已逝去时，由另一通信模块执行支付。

在本公开的一实施例中，当支付中继模块1841具有关于单张卡(同一张卡)的令牌信息和PAN信息时，可利用该令牌信息和/或PAN信息执行支付。支付中继模块能够判定POS终端是否可利用PAN或令牌执行支付。例如，当电子设备经由BLE接收到POS终端能够用于支付的信息时，支付中继模块能够检测接收到的信息。当支付中继模块基于检测到的信息确定能够利用令牌执行支付时，其利用令牌执行支付。或者，当支付中继模块确定能够利用PAN执行支付时，其利用PAN执行支付。

在本公开的一实施例中，支付中继模块1841能够还包括由支付网络提供的SDK。SDK可包括令牌管理、POS相关消息处理或者令牌/卡数据库。

在本公开的一实施例中，安全环境中继模块1846能够还包括中继功能，该中继功能使得支付应用能够访问生物计量信息驱动器模块1851或安全环境驱动器模块1853以便使用由支付模块1821或生物计量模块1825提供的功能。支付中继模块1841能够包括加密库以将消息或命令发送给安全环境中继模块1846。支付中继模块1841能够经由加密库向/从安全环境中继模块1846发送/接收消息或命令。

在本公开的各种实施例中，支付管理器1840能够还包括安全环境中继模块1846，该安全环境中继模块1846允许了支付应用使用TEE的安全识别符处理模块的功能。

在本公开的一实施例中，支付中继模块1841能够包括用于经由支付应用1830的PIN将认证请求中继到TEE 1820的安全识别符处理模块1823的功能。详细的描述在下文中在参考图22的同时说明。

当请求指纹识别时，一般应用能够获得指纹识别的成功或失败。可信支付应用(支付可信app)能够获得安全生物计量结果(例如，安全指纹结果)。安全生物计量结果可具有在一次性随机数和成功/失败被相互组合并且该组合被加密时生成的形式。该一次性随机数可通过TEE 1820的硬件密钥被加密，例如设备根密钥(DRK)。

在本公开的一实施例中，为了执行支付，支付中继模块1841能够经由安全环境驱动器模块1853将命令支付的消息发送到支付模块1821。支付模块1821能够经由安全环境驱动器模块1853通知支付中继模块1841需要执行认证过程。为了执行认证过程，支付中继模块1841能够经由生物计量管理模块1843和生物计量信息驱动器模块1851命令生物计量传感器240I(图2中示出)获得生物计量信息。此外，支付中继模块1841能够经由生物计量管理模块1843和安全环境驱动器模块1853向TEE 1820的生物计量模块1825发送认证确认消息。生物计量传感器240I能够经由TEE 1820的生物计量模块1825获得生物计量信息。生物计量模块1825将用户的存储的生物计量信息与由生物计量传感器获得的信息相比较并且确定用户的身份。当生物计量模块1825基于识别的信息经由安全环境驱动器模块1853向生物计量管理模块1843发送认证结果时，生物计量管理模块1843将认证结果发送给支付中继模块1841。应当理解，支付中继模块1841和生物计量管理模块1843可被配置为成单个模块或分开的个体模块。

在本公开的一实施例中，支付中继模块1841能够经由外部设备执行认证。例如，电子设备可向支付服务器720(例如，三星账户服务器或令牌请求者服务器)请求关于生物计量信息(例如，指纹、虹膜等等)的认证。支付服务器720对用户的生物计量信息执行认证并将认证结果发送给电子设备。在认证完成之后，支付中继模块1841将包含认证完成的数据发送给令牌服务提供者，从而执行令牌配设过程。当认证已完成时，电子设备可基于认证结果执行支付。另一方面，当认证尚未完成或认证失败时，电子设备可不执行支付。

在本公开的一实施例中，内核1850能够包括生物计量信息驱动器模块1851和安全环境驱动器模块1853。生物计量信息驱动器模块1851能够把从支付管理器1840的生物计量管理模块1843接收的消息发送给生物计量传感器240I(图2中示出)。由生物计量传感器获得的生物计量信息可经由生物计量信息驱动器模块被发送给TEE 1820的生物计量模块1825，而不发送给REE1810的模块。

在本公开的一实施例中，安全环境驱动器模块1853充当REE 1810的模块和TEE1820的模块之间的接口。例如，当TEE是ARM TrustZone时，应用处理器以时分方式运行REE和TEE的操作。在此情况下，数据路径可以用硬件实现以从REE向TEE发送消息。在此情况下，访问硬件的驱动器模块可以是安全环境驱动器模块1853。安全环境驱动器模块1853能够把与TEE中的模块的操作有关的消息发送给REE的模块。

在本公开的一实施例中，TEE能够包括支付模块1821、安全识别符处理模块1823、生物计量模块1825和MST驱动器模块1827。电子设备701能够经由TEE 1820将需要相对高级别的安全性的数据存储在安全环境中并且执行相应的操作。TEE 1820在电子设备的AP上运行。在制造电子设备的过程中确定的可靠TEE可以指电子设备中的安全世界。电子设备可基于安全硬件体系结构经由TEE处理需要相对高级别的安全性的数据。TEE可运行常规世界和安全世界中的AP和存储器区域。此外，TEE使得需要安全性的硬件或软件仅在安全世界中运行。当电子设备需要执行与易受REE 1810影响的信息有关的操作时，其可仅经由能够访问TEE 1820的API和驱动器来访问TEE1820。TEE 1820可将限于相关信息的数据移交给REE。TEE能够经由硬件密钥——例如设备根密钥(DRK)——对内部存储的数据加密。如果不使用额外的解码过程，则在REE中不可分析TEE的内部数据。

TEE 1820中的应用(例如，可信应用、支付模块等等)能够向外部电子设备(例如，图7所示的令牌服务提供者730)发送消息。

在本公开的一实施例中，TEE能够包括可信OS和可信应用。此外，TEE能够还包括安全性相关加密模块、能够从需要安全性的硬件收集数据的驱动器，等等。可信应用能够包括支付模块。可信应用能够经由通信模块将支付信息发送到外部。例如，可信应用能够：经由MST驱动器将支付信息发送到MST控制器(图8所示的MST控制模块830)；或者经由NFC驱动器将支付信息发送到NFC控制器(NFC控制模块840)，使得控制器可将支付信息发送到POS终端。

在本公开的一实施例中，REE 1810的完整性被检查。电子设备能够在TEE 1820中存储对REE的镜像的完整性的验证。在支持TEE的REE启动过程中，当启动加载器被执行时，其能够启动TEE，然后启动REE。当TEE被启动时，启动加载器检测TEE中的REE的完整性，然后在REE已被启动之后通知用户该完整性。在本公开的一实施例中，当REE被黑客破解、获取root权限等方式攻击，并且其镜像被毁坏时，镜像上的完整性受到损害。当镜像上的完整性受到损害时，对TEE的访问被阻止。例如，当支付中继模块1841需要经由安全环境驱动器模块1853向TEE发送消息或命令时，TEE的内核可忽略该消息或命令或者拒绝接收该消息。

在本公开的一实施例中，支付模块1821可以是由银行、发卡公司(例如，卡、卡等等)等等安装的应用。支付模块可配置有一个或多个支付模块。当电子设备利用支付管理模块1831通过互联网附接到支付服务器720(例如，移动应用平台、支付网关、令牌请求者、令牌服务提供者、可信服务管理器、银行服务器等等)或令牌服务提供者730，并且对支付模块1821的安装得到批准时，令牌服务提供者730能够执行与安装有关的操作。例如，支付管理模块1831经由OCR获得塑料卡的卡号和到期日并且执行卡注册操作以便将支付模块1821安装到服务器。当电子设备：经由具有根据卡/银行的关于个体令牌服务提供者730的连接信息的支付中继模块1841连接到网络中的令牌服务提供者730；并且从提供者下载安装文件时，支付中继模块1841将该信息发送到TEE并且将支付模块1821安装在其中。此过程被称为配设过程或卡注册过程。TEE的支付模块1821可配置有若干个支付模块。各个支付模块可以如下方式配置：它们在TEE中不与彼此交换数据并且与彼此是分离的。

在本公开的一实施例中，支付模块1821可以是用于与支付服务器720的数据通信的应用。支付模块可包含关于各种类型的卡的信息，例如信用卡、借记卡、成员资格卡等等。支付模块能够通过加密过程与外部电子设备交换通信数据。加密过程可依据发送支付模块的卡制造公司而变化。服务器能够控制支付模块的状态。例如，服务器能够执行支付模块的激活、暂停、恢复或废弃。

在本公开的一实施例中，支付模块1821能够存储与卡信息有关的信息。例如，卡信息可以是以下各项中的至少一者：与主账户号(PAN)相对应的令牌、令牌参考ID、PAN的一部分、PAN产品ID、令牌请求者ID、令牌担保级别、令牌担保数据、令牌的到期日、加密密钥以及由令牌服务提供者730提供的值，例如一次性口令(one-time password，OTP)。令牌可受令牌服务提供者730的条件的控制。例如，令牌可被激活、暂停、恢复或废弃。令牌可以是与卡信息(例如，PAN)相对应的静态信息。

在本公开的一实施例中，当执行支付时，支付模块1821可确定进行支付的卡。例如，从一个或多个支付管理模块1831之中可确定与用户选择的卡相对应的支付模块。支付管理模块能够将关于所确定的卡的信息发送给支付中继模块1841。支付中继模块1841能够经由安全环境驱动器模块1853将所确定卡信息发送给支付模块1821。支付模块能够管理其信息被存储在其中的卡之中的被实际用于支付的卡的列表。支付模块能够基于所确定卡信息来改变实际用于支付的卡的列表。卡的列表的改变可以指提高卡列表中的所确定的卡的优先级的过程或者删除关于除了所确定的卡以外的卡的信息的过程。

在本公开的一实施例中，当执行支付时，支付模块能够基于与卡信息有关的信息生成要用于支付的信息。要用于支付的信息可以是令牌、令牌参考ID、PAN的一部分、PAN产品ID、令牌请求者ID、令牌担保级别、令牌担保数据、令牌的到期日、令牌密码、POS进入模式、令牌请求者指示符等等，如以下表3中所述。

表3

在本公开的一实施例中，支付模块1821能够经由令牌服务提供者730或支付服务器720(例如，支付服务服务器或令牌请求者服务器)接收用于生成令牌密码的密钥(例如，有限使用密钥(LUK)或单次使用密钥(SUK))。支付模块1821能够经由数据网络、SMS等等接收密钥。

电子设备和令牌服务提供者730经由安全信道与彼此交换密钥。安全信道可以是逻辑信道，通过该逻辑信道发送由与该密钥不同的另一密钥(例如，公钥、私钥)加密的数据。此外，支付模块能够还包括用于生成密钥的模块，该密钥用于生成令牌密码。电子设备能够经由令牌服务提供者730或支付服务器720接收用于生成密钥的模块。或者，用于生成密钥的模块可在制造电子设备的过程中被嵌入到电子设备中。

在本公开的一实施例中，支付模块能够利用用于生成令牌密码的密钥(例如，有限使用密钥(LUK)或单次使用密钥(SUK))来生成令牌密码。支付模块可根据预设的规则使用不同的密钥，例如每次交易、一定次数的交易、一段时间内的交易，等等。令牌服务提供者730具有与上文描述的密钥形成对的密钥。令牌服务提供者730能够利用形成对的这些密钥来对加密的令牌密码解密。

在本公开的一实施例中，支付模块1821能够利用用于生成令牌密码的密钥来生成令牌密码。详细的描述在下文中在参考图46的同时说明。

在本公开的一实施例中，当电子设备执行支付时，支付应用向支付中继模块1841发送表明其将要进行支付的消息。支付中继模块1841判定其是要在MST模式还是NFC模式中进行支付。当支付中继模块1841判定在MST模式中进行支付时，其从TEE的支付模块获得支付所需的信息(例如，令牌、令牌密码、支付验证数据、PAN的一部分、令牌的到期日等等)，并且将所获得的信息发送给TEE中的MST驱动器模块1827。MST驱动器模块1827将接收到的信息发送给MST控制器。MST控制器能够执行信息的发送以便执行支付。MST驱动器模块1827能够包括图32至图35所示的MST的驱动器模块的功能。

在本公开的一实施例中，该信息被发送到支付应用1830。

在本公开的一实施例中，当支付中继模块判定在NFC模式中进行支付时，电子设备能够将支付所需的信息发送到TEE的NFC驱动器模块。NFC驱动器模块将支付所需的信息发送给NFC控制器。NFC控制器基于该信息执行支付。

在本公开的一实施例中，当电子设备在NFC模式中执行支付时，其从POS终端接收由POS终端指定的消息，然后进行支付。例如，当NFC模块检测到由POS终端750指定的消息时，NFC控制器将检测到的消息发送给NFC驱动器模块。NFC驱动器模块把从POS终端接收的消息发送给REE的支付中继模块1841。支付中继模块1841生成令牌密码以进行支付。TEE的支付模块1821利用用于生成令牌密码的密钥(例如，有限使用密钥(LUK)或单次使用密钥(SUK))来生成令牌密码。生成的令牌密码被发送到REE。支付中继模块1841经由网络模块(例如，NFC相关主机卡模拟模块)发送包含令牌密码和令牌的支付相关信息。网络模块经由NFC模块将支付相关信息发送给POS终端。

在本公开的一实施例中，支付模块能够向电子设备发送包含令牌、令牌的到期日、令牌请求者ID、令牌密码等等的信息。例如，支付模块能够经由MST通信模块向POS终端750发送支付信息。或者，支付模块也能够经由NFC通信模块向POS终端发送支付信息。

在本公开的一实施例中，支付模块能够向/从POS终端750发送/接收为支付指定的信息。在NFC模式中的支付的情况下，POS终端首先从支付模块接收指定的信息，然后执行支付。在MST模式中的支付的情况下，支付模块基于用户的明确输入或电子设备的算法，向/从POS终端发送/接收包含令牌密码和令牌的支付相关信息。

在本公开的一实施例中，生物计量模块1825能够存储电子设备用户的生物计量信息并且将存储的生物计量信息与由生物计量传感器检测到的信息相比较以认证用户。生物计量模块1825的示例是指纹信息模块、虹膜信息模块等等。生物计量模块1825能够经由生物计量传感器240I收集信息。当支付应用在显示器160上示出请求认证用户的生物计量信息的消息时，用户可向生物计量传感器输入他/她的生物计量信息。支付应用的认证模块使得生物计量管理模块能够发送向生物计量信息驱动器模块1851发送收集生物计量信息的命令。生物计量信息驱动器模块1851将接收到的消息发送到生物计量传感器。生物计量传感器收集生物计量信息并且将收集的信息发送到TEE。TEE的生物计量模块将用户的存储的生物计量信息与收集的生物计量信息相比较，并且经由REE中的生物计量管理模块，经由安全环境驱动器模块，将认证结果发送给支付应用的认证模块。支付应用在显示器上示出认证结果。用户的生物计量信息可被：存储在TEE中；以加密格式存储在REE中；或者存储在安全模块236(例如，eSE)中。

在本公开的一实施例中，安全识别符处理模块1823从用户的输入获得电子设备所要求的或者与对于支付的认证有关的输入值。例如，该输入值可以是在执行支付时使用的个人识别号(PIN)。该输入值也可以是卡相关信息，例如主账户号(PAN)、到期日、卡验证值(card verification value，CVV)、芯片PIN、自动柜员机(ATM)PIN，等等。安全识别符处理模块1823可被显示为应用的形式。TEE 1820可存储在屏幕上示出安全识别符处理模块的应用所需的图形库。存储在TEE中的图形库可不同于存储在REE 1810中的。安全识别符处理模块基于诸如PIN等等之类的输入值认证用户，并且经由支付中继模块1841将认证结果发送给支付管理模块1831。在本公开的一实施例中，安全环境中继模块1846能够经由安全环境驱动器模块1853接收加密的一次性随机数(例如，乱数)。安全识别符处理模块1823利用TEE的加密密钥(例如，设备根密钥)对该一次性随机数和根据用户的输入获得的输入值加密，并且将加密的结果发送给安全环境中继模块1846。安全环境中继模块能够经由安全环境驱动器模块1853将加密的一次性随机数和加密的输入值发送给支付模块1821。支付模块能够利用TEE的硬件密钥对加密的一次性随机数和加密的输入值解密。当支付模块确定接收到的值与一次性随机数的生成值相同时，其确定经由REE发送的输入值具有完整性。支付模块能够利用具有完整性的输入值执行用户认证。支付模块基于用户认证的结果执行支付。在本公开的一实施例中，工厂重置指的是将电子设备的软件镜像恢复到其原始制造设置的过程。工厂重置可在电子设备用户执行相应应用时在电子设备中执行。或者，在电子设备配备有用于监视黑客破解攻击的模块的状态中，当该模块基于预设的条件(例如，当确定系统具有黑客破解攻击时)确定电子设备具有黑客破解攻击时，其可在电子设备中执行工厂重置。当工厂重置被执行时，存储在电子设备中的数据被重置，从而用户的支付相关信息也可被擦除。支付相关信息可被存储在支付服务器720中。当用户利用他/她的账户登录支付服务器720时，他/她需要再次基于支付相关信息执行卡的注册和支付模块的安装。当在电子设备中执行工厂重置时，存储在电子设备中的支付相关模块经由支付服务器720被通知给令牌服务提供者730并且在令牌服务提供者730中被解除激活。当电子设备的网络被解除激活时，可不执行通知过程。在此情况下，电子设备执行工厂重置并且基于账户访问支付服务器720。电子设备能够经由支付服务器确定注册卡的列表，并且经由支付服务器720解除激活在支付服务器720中注册的电子设备的令牌或卡模块。电子设备能够再次基于支付服务器720的卡列表执行卡注册并接收令牌或支付模块。

图19是根据本公开的一实施例示出电子设备中的组件之间的接口的框图。

参考图19，第一模式的AP 1901和第二模式的AP 1903可对应于图12所示的处理器1200；第一通信模块1905可对应于图12所示的第一通信模块1210；并且第二通信模块1907可对应于图12所示的第二通信模块1212。第一模式的AP 1901可以是在常规世界(例如，REE)中运行的处理器1200，并且第二模式的AP 1903可以是在安全世界(例如，TEE)中运行的处理器1200。在本公开的各种实施例中，第一模式的AP 1901和第二模式的AP 1903可被实现到单个处理器中或实现为分开的处理器。

在本公开的各种实施例中，第一通信模块1905可以是MST模块(例如，图8所示的MST模块810)。第二通信模块1907可以是NFC模块(例如，NFC模块820)。安全模块1909可以是嵌入式安全元素(eSE)。

第一通信模块1905和第二通信模块1907可功能性地或操作性地连接到第二模式的AP 1903。安全模块1909可电连接到第二通信模块1907或第二模式的AP 1903。

第一模式的AP 1901能够在常规世界中执行并处理相应的应用。

第二模式的AP 1903能够在安全世界中执行并处理安全性所要求的应用(例如，数字权限管理(DRM)、支付应用、用于处理商业信息的应用和与银行作业有关的应用)。包括用于与安全外设交界的功能在内的所有安全功能可在安全世界中执行。虽然该实施例是以第一模式的AP 1901和第二模式的AP 1903如图19所示被分离的方式实现的，但应当理解AP1901和1903可被实现到单个处理器中并且常规世界和安全世界可以时间分享的方式运行。

第一模式的AP 1901能够检测第一认证服务交易并且向第二模式的AP1903发送认证服务交易命令。

第二模式的AP 1903能够向第一通信模块1905发送认证交易命令和第一验证信息1909-1。第二模式的AP 1903能够访问安全模块1909并且获得第一验证信息1909-1。第二模式的AP 1903能够从第二通信模块1907接收与第二验证信息1909-2相对应的认证结果并且控制显示模块1208(图12中示出)在其上显示该认证结果。

在本公开的各种实施例中，当第二模式的AP 1903从第二通信模块1907接收到对第二验证信息1909-2的请求时，其能够从安全模块1909获得第二验证信息1909-2并将所获得的信息发送给第二通信模块1907。

当从第二模式的AP 1903接收到认证服务交易命令和第一验证信息1909-1时，第一通信模块1905能够处理并发送第一验证信息1909-1到POS终端。

当电子设备接近或接触POS终端时，第二通信模块1907能够检测第二认证服务交易并且从安全模块1109获得第二验证信息1909-2。第二通信模块1907能够处理并发送第二验证信息1909-2给POS终端。第二通信模块1907能够接收认证结果的反馈并将结果提供给第二模式的AP 1903。

在本公开的各种实施例中，当电子设备接近或接触POS终端时，第二通信模块1907能够从第二模式的AP 1903请求并接收第二验证信息1909-2。

安全模块1909可以是仅能被第二通信模块1907或第二模式的AP 1903访问但不能被第一模式的AP 1901或第一通信模块1905访问的存储空间。在该实施例中，安全模块1909能够存储用于近场磁条数据发送的第一验证信息1909-1和用于NFC的第二验证信息1909-2。

在本公开的各种实施例中，第一验证信息1909-1可被存储在电连接到第一模式的AP 1901的常规存储器1911中。

图20是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图20，当在操作2000中发生第一认证服务的交易时(例如，判定第一认证服务交易是否发生)，第一模式的AP 1901在操作2002中能够向第二模式的AP 1903发送第一认证服务的交易命令。

第二模式的AP 1903在操作2004中能够从安全模块1909和/或存储器1911获得用于支付结算的验证信息。

第二模式的AP 1903在操作2006中能够将所获得的用于支付结算的第一验证信息和第一认证服务的交易命令发送给第一通信模块1905。

第一通信模块1905在操作2008中能够处理并发送该验证信息。

另一方面，当在操作2000中发生第二认证服务交易时，第二通信模块1907在操作2010中能够向第二模式的AP 1903请求用于支付结算的验证信息。

第二模式的AP 1903在操作2012中能够从安全模块1909获得用于支付结算的验证信息。

第二模式的AP 1903在操作2014中能够将所获得的用于支付结算的验证信息发送给第二通信模块1907。

第二通信模块1907在操作2016中能够发送该验证信息。

在本公开的各种实施例中，当在操作2000中发生第二认证服务交易时，第二通信模块1907可直接从安全模块1909获得用于支付结算的验证信息，并且执行该验证信息的发送。

在本公开的各种实施例中，当第一模式的AP 1901将第一认证服务的交易命令发送给第二模式的AP 1903时，第二模式的AP 1903可将第一认证服务交易命令发送给第一通信模块1905并从第一通信模块1905接收对用于支付结算的验证信息的请求，而不是直接从安全模块1909获得用于支付结算的验证信息，这将在下文参考图21描述。

图21是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的另一示例的流程图。

参考图21，当第一模式的AP 1901向第二模式的AP 1903发送第一认证服务的交易命令时，第二模式的AP 1903在操作2101中能够向第一通信模块1905发送第一认证服务的交易命令。

第一通信模块1905在操作2103中能够向第二模式的AP 1903请求用于支付结算的验证信息。

第二模式的AP 1903在操作2105中能够从安全模块1909和/或存储器1911获得用于支付结算的验证信息。

第二模式的AP 1903在操作2107中能够将所获得的用于支付结算的验证信息转发或发送给第一通信模块1905。

第一通信模块1905在操作2109中能够发送该验证信息。

图22是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图。

参考图22，第一模式的AP 2201和第二模式的AP 2203可对应于图12所示的处理器1200，第一通信模块2205可对应于图12所示的第一通信模块1210，并且第二通信模块2207可对应于图12所示的第二通信模块1212。第一模式的AP 2201可以是在常规世界(例如，REE)中运行的处理器1200，并且第二模式的AP 2203可以是在安全世界(例如，TEE)中运行的处理器1200。

第一通信模块2205和第二通信模块2207可电连接到第二模式的AP2203。第二安全模块2209可电连接到第二通信模块2207或第二模式的AP2203。第一安全模块2211可电连接到第二模式的AP 2203。

在本公开的各种实施例中，参考图8和图22，第一通信模块2205可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。第二通信模块2207可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。第一安全模块2211可以是第一嵌入式安全元素(eSE)。第二安全模块2209可以是第二嵌入式安全元素(eSE)。

第一模式的AP 2201能够检测第一认证服务交易并且向第二模式的AP2203发送认证服务交易命令。

第二模式的AP 2203能够向第一通信模块2205发送认证服务交易命令和第一验证信息2211-1。第二模式的AP 2203能够访问第一安全模块2211并且获得第一验证信息2211-1。第二模式的AP 2203能够从第二通信模块2207接收与第二验证信息2209-2相对应的认证结果并且控制显示模块1208(图12中示出)在其上显示该认证结果。

在实施例中，当第二模式的AP 2203从第二通信模块2207接收到对第二验证信息2209-2的请求时，其能够访问第二安全模块2209，从其获得第二验证信息2209-2并将所获得的信息2209-2发送给第二通信模块2207。

第一通信模块2205能够：从第二模式的AP 2203接收认证服务交易命令和第一验证信息2211-1；处理第一验证信息2211-1；并将处理的结果发送给POS终端。

当电子设备接近或接触POS终端时，第二通信模块2207能够检测第二认证服务交易，访问第二安全模块2209，从其获得第二验证信息2209-2，并且处理并发送所获得的第二验证信息2209-2给POS终端。第二通信模块2207能够接收认证结果的反馈，并将该结果提供给第二模式的AP 2203。

第一安全模块2211可以是只能被第二模式的AP 2203访问的存储空间。第二安全模块2209可以是只能被第二模式的AP 2203和第二通信模块2207访问的存储空间。第一模式的AP 2201或第一通信模块2205不能直接访问第一安全模块2211和第二安全模块2209。第一模式的AP 2201或第二通信模块2207不能直接访问第一安全模块2211。

在本公开的各种实施例中，第一验证信息可被存储在电连接到第一模式的AP2201的存储器2213中。

图23是根据本公开的各种实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图23，当在操作2300中发生第一认证服务的交易时，第一模式的AP 2201在操作2302中能够向第二模式的AP 2203发送第一认证服务的交易命令。

第二模式的AP 2203在操作2304中能够从第二安全模块2209和/或存储器2313获得用于支付结算的验证信息。

第二模式的AP 2203在操作2306中能够将所获得的用于支付结算的验证信息和第一认证服务的交易命令转发或发送给第一通信模块2205。

第一通信模块2205在操作2308中能够执行该验证信息的发送。

另一方面，当在操作2300中发生第二认证服务的交易时，第二通信模块2207在操作2310中能够向第二模式的AP 2203请求用于支付结算的验证信息。

第二模式的AP 2203在操作2312中能够从第一安全模块2211获得用于支付结算的验证信息。

第二模式的AP 2203在操作2314中能够将所获得的用于支付结算的验证信息转发给第二通信模块2207。

第二模式的AP 2203在操作2316中能够经由第二通信模块2207发送该验证信息。

在本公开的各种实施例中，当在操作2300中发生第二认证服务交易时，第二通信模块2207可直接从第二安全模块2209获得用于支付结算的验证信息并且执行该验证信息的发送。

在本公开的各种实施例中，当第一模式的AP 2201将第一认证服务的交易命令发送给第二模式的AP 2203时，第二模式的AP 2203可将第一认证服务交易命令发送给第一通信模块2205并从第一通信模块2205接收对用于支付结算的验证信息的请求，而不是直接从第一安全模块2211获得用于支付结算的验证信息，这将在下文在参考图24的同时描述。

图24是根据本公开的各种实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的另一示例的流程图。

参考图24，当第一模式的AP 2201向第二模式的AP 2203发送第一认证服务的交易命令时，第二模式的AP 2203在操作2401中能够向第一通信模块2205发送第一认证服务的交易命令。

第一通信模块2205在操作2403中能够向第二模式的AP 2203请求用于支付结算的验证信息。

第二模式的AP 2203在操作2405中能够从第一安全模块2211和/或存储器2213获得用于支付结算的验证信息。

第二模式的AP 2203在操作2407中能够将所获得的用于支付结算的验证信息转发给第一通信模块2205。

电子设备(例如，第一通信模块2205)在操作2409中能够将验证信息发送给外部设备(例如，POS终端)。

图25是根据本公开的各种实施例示出电子设备中的组件之间的接口的框图。

参考图25，第一模式的AP 2501和第二模式的AP 2503可对应于图12所示的处理器1200，第一通信模块2505可对应于图12所示的第一通信模块1210，并且第二通信模块2507可对应于图12所示的第二通信模块1212。第一模式的AP 2501可以是在常规世界(例如，REE)中运行的处理器1200(图12中示出)，并且第二模式的AP 2503可以是在安全世界(例如，TEE)中运行的处理器1200。

第一通信模块2505和第二通信模块2507可电连接到第二模式的AP2503。安全模块2509可电连接到第二通信模块2507。安全模块2509也可电连接到第一通信模块2505。

在本公开的各种实施例中，第一通信模块2505可以是MST模块(例如，图8所示的MST模块810)和/或NFC模块(例如，NFC模块820)。第二通信模块2507可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。安全模块2509可以是嵌入式安全元素(eSE)。

第一模式的AP 2501能够检测认证服务交易并且向第二模式的AP 2503发送第一认证服务交易命令。

第二模式的AP 2503能够向第一通信模块2505发送第一认证服务交易命令和第一验证信息2509-1。第二模式的AP 2503能够从第二通信模块2507接收与第二验证信息2509-2相对应的认证结果并且控制显示模块1208在其上显示该认证结果。

当从第二模式的AP 2503接收到认证服务交易命令时，第一通信模块2505能够从第二通信模块2507请求并接收第一验证信息2509-1。

在本公开的各种实施例中，当从第二模式的AP 2503接收到认证服务交易命令时，第一通信模块2505可直接访问安全模块2509并从其获得第一验证信息2509-1。

第一通信模块2505能够处理第一验证信息2509-1并将结果发送给POS终端。

当从第一通信模块2505接收到第一验证信息请求时，第二通信模块2507能够访问安全模块2509并从其获得第一验证信息2509-1。第二通信模块2507能够将所获得的第一验证信息2509-1提供给第一通信模块2505。

当电子设备接近或接触POS终端时，第二通信模块2507能够检测第二认证服务交易，直接访问安全模块2509并从其获得第二验证信息1909-2。第二通信模块2507能够处理第二验证信息2509-2并将结果发送给POS终端。第二通信模块2507能够接收认证结果的反馈，并将该结果提供给第二模式的AP 2503。

安全模块2509可以是仅能被第一通信模块2505或第二通信模块2507访问但不能被第一模式的AP 2501或第二模式的AP 2503访问的存储空间。在该实施例中，安全模块2509能够存储第一验证信息2509-1和第二验证信息2509-2。

在本公开的各种实施例中，第一验证信息2509-1可被存储在电连接到第一模式的AP 2501的常规存储器2511中。

图26是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图26，当在操作2600中发生第一认证服务的交易时，第一模式的AP 2501在操作2602中能够向第二模式的AP 2503发送第一认证服务的交易命令。

第二模式的AP 2503在操作2604中能够向第一通信模块2505发送第一认证服务的交易命令。

第一通信模块2505在操作2606中能够向第二通信模块2507请求用于支付结算的第一验证信息。

第二通信模块2507在操作2608中能够从安全模块2509获得用于支付结算的验证信息(例如，第一验证信息2509-1)。

第二通信模块2507在操作2610中能够把所获得的用于支付结算的第一验证信息转发或发送给第一通信模块2505。

在本公开的各种实施例中，当第二模式的AP 2503向第一通信模块2505发送第一认证服务的交易命令时，第一通信模块2505在操作2614中可直接从安全模块2509和/或存储器2511获得用于支付结算的第一验证信息。

第一通信模块2505在操作2612中能够执行该验证信息的发送。

另一方面，当在操作2600中发生第二认证服务交易时，第二通信模块2507在操作2616中能够从安全模块2509获得用于支付结算的验证信息(例如，第二验证信息2509-2)。

第二通信模块2507在操作2618中能够执行该验证信息的发送。

图27是根据本公开的一实施例示出电子设备中的组件之间的接口的框图。

参考图27，第一模式的AP 2701和第二模式的AP 2703可对应于图12所示的处理器1200，第一通信模块2705可对应于图12所示的第一通信模块1210，并且第二通信模块2709可对应于图12所示的第二通信模块1212。第一模式的AP 2701可以是在常规世界(例如，REE)中运行的处理器1200，并且第二模式的AP 2703可以是在安全世界(例如，TEE)中运行的处理器1200。

第一通信模块2705和第二通信模块2709电连接到第二模式的AP 2703。第二安全模块2711电连接到第二通信模块2709。第一安全模块2707电连接到第一通信模块2705。

在本公开的各种实施例中，第一通信模块2705可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。第二通信模块2709可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。第一安全模块2707可以是第一eSE。第二安全模块2711可以是第二eSE。

第一模式的AP 2701能够检测认证服务交易并且向第二模式的AP 2703发送第一认证服务交易命令。

第二模式的AP 2703能够向第一通信模块2705转发第一认证服务交易命令和第一验证信息2707-1。第二模式的AP 2703能够从第二通信模块2709接收与第二验证信息2711-2相对应的认证结果并且控制显示模块1208在其上显示该认证结果。

当从第二模式的AP 2703接收到认证服务交易命令时，第一通信模块2705能够直接访问第一安全模块2707并从其获得第一验证信息2707-1。第一通信模块2705能够处理所获得的第一验证信息2707-1并将处理的结果发送给POS终端。

当电子设备接近或接触POS终端时，第二通信模块2709能够检测第二认证服务交易，访问第二安全模块2711并从其获得第二验证信息2711-2。第二通信模块2709能够处理第二验证信息2709-2并将结果发送给POS终端。第二通信模块2709能够接收认证结果的反馈，并将该结果提供给第二模式的AP 2703。

第一安全模块2707(第一安全世界)可以是仅能被第一通信模块2705访问但不能被第一模式的AP 2701或第二模式的AP 2703访问的存储空间。第二安全模块2711(第二安全世界)可以是仅能被第二通信模块2709访问但不能被第一模式的AP 2701或第二模式的AP 2703访问的存储空间。

在本公开的各种实施例中，第一验证信息2709-1可被存储在电连接到第一模式的AP 2701的常规存储器2713中。

图28是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图28，当在操作2800中发生第一认证服务的交易时，第一模式的AP 2701在操作2802中能够向第二模式的AP 2703发送第一认证服务的交易命令。

第二模式的AP 2703在操作2804中能够向第一通信模块2705发送第一认证服务的交易命令。

第一通信模块2705在操作2806中能够从第一安全模块(第一安全世界)2707和/或存储器2713获得用于支付结算的验证信息。

第一通信模块2705在操作2808中能够执行该验证信息的发送。

另一方面，当在操作2800中发生第二认证服务交易时，第二通信模块2709在操作2810中能够从第二安全模块2711获得用于支付结算的验证信息。

第二通信模块2709在操作2812中能够执行该验证信息的发送。

在本公开的各种实施例中，当在操作2800中发生第二认证服务交易时，可如下文参考图21和图29所述执行支付结算。

图29是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的另一示例的流程图。

参考图29，当第二认证服务交易发生时，第一模式的AP 2701在操作2900中能够向第二模式的AP 2703发送第一认证服务的交易命令。

第二模式的AP 2703在操作2902中能够向第二通信模块2709转发第二认证服务的交易。

第二通信模块2709在操作2904中能够从第二安全模块2711获得用于支付结算的验证信息。

第二模式的AP 2703在操作2906中能够经由第二通信模块2709发送该验证信息。

图30是根据本公开的一实施例示出电子设备中的组件之间的接口的框图。

参考图30，第一模式的AP 3001和第二模式的AP 3003可对应于图12所示的处理器1200；第一通信模块3005可对应于图12所示的第一通信模块1210；并且第二通信模块3007可对应于图12所示的第二通信模块1212。第一模式的AP 3001可以是在常规世界(例如，REE)中运行的处理器1200，并且第二模式的AP 3003可以是在安全世界(例如，TEE)中运行的处理器1200。

第一通信模块3005和第二通信模块3007电连接到第二模式的AP 3003。安全模块3009电连接到第一通信模块3005、第二通信模块3007和第二模式的AP 3003。

在本公开的各种实施例中，第一通信模块3005可以是MST模块(例如，图8所示的MST模块810)和/或NFC模块(例如，NFC模块820)。第二通信模块3007可以是MST模块(例如，MST模块810)和/或NFC模块(例如，NFC模块820)。安全模块3009可以是嵌入式安全元素(eSE)。

第一模式的AP 3001能够检测认证服务交易并且向第二模式的AP 3003发送认证服务交易命令。

第二模式的AP 3003能够将第一认证服务交易命令转发给第一通信模块3005，并且请求安全模块3009将第一验证信息3009-1发送给第一通信模块3005。

在本公开的各种实施例中，当第二认证服务交易发生时，第二模式的AP3003能够请求安全模块3009向第二通信模块3007发送第二验证信息3009-2。

第二模式的AP 3003能够访问安全模块3009并从其获得第一验证信息3009-1。第二模式的AP 3003能够从第二通信模块3007接收与第二验证信息3009-2相对应的认证结果并且控制显示模块1208(图12中示出)在其上显示接收到的结果。

第一通信模块3005能够从第二模式的AP 3003接收认证服务交易命令，并且从安全模块3009接收第一验证信息3009-1。第一通信模块3005能够处理接收到的第一验证信息3009-1并将处理的结果发送给POS终端。

当电子设备接近或接触POS终端时，第二通信模块3007能够检测第二认证服务交易，直接访问安全模块3009并从其获得第二验证信息3009-2。第二通信模块3007能够处理所获得的第二验证信息3009-2并将处理的结果发送给POS终端。第二通信模块3007能够接收认证结果的反馈并将该结果转发给第二模式的AP 3003。

在本公开的一实施例中，当电子设备接近或接触POS终端时，第二通信模块3007可从第二模式的AP 3003请求并接收第二验证信息3009-2。

安全模块3009可以是仅能被第二模式的AP 3003和第二通信模块3007访问但不能被第一模式的AP 3001访问的存储空间。第一通信模块3005能够在一个方向上从安全模块3009接收第一验证信息3009-1。在该实施例中，安全模块3009能够存储第一验证信息3009-1和第二验证信息3009-2。

在本公开的各种实施例中，第一验证信息可被存储在电连接到第一模式的AP3001的常规存储器3011中。

在本公开的各种实施例中，第二模式的AP 3003能够存储验证信息。例如，第二模式的AP 3003能够将验证信息存储在图5A所示的可信RAM 501中。存储在第二模式的AP3003中的验证信息可经由第一通信模块3005和第二通信模块3007被发送。例如，第二模式的AP 3003能够经由第一通信模块3005和第二通信模块3007将一条验证信息发送给接收设备。

在另一实施例中，存储在第二模式的AP 3003中的验证信息可包含经由第一通信模块3005发送的第一验证信息和经由第二通信模块3007发送的第二验证信息。例如，第二模式的AP 3003能够：经由第一通信模块3005向接收设备发送第一验证信息；以及经由第二通信模块3007向接收设备发送第二验证信息。在本公开的各种实施例中，第二模式的AP3003能够将至少一条存储的验证信息发送给接收设备。例如，第二模式的AP 3003能够通过相应的通信模块将验证信息发送给接收设备。

图31是根据本公开的一实施例描述包括用于短程移动支付服务的若干个通信模块的电子设备的操作的流程图。

参考图31，当在操作3100中发生第一认证服务的交易时，第一模式的AP 3001在操作3102中能够向第二模式的AP 3003发送第一认证服务的交易命令。

第二模式的AP 3003在操作3104中能够向第一通信模块3005转发或发送第一认证服务的交易命令。

第二模式的AP 3003在操作3106中能够请求安全模块3009和/或存储器3011向第一通信模块3005发送用于支付结算的验证信息。

安全模块3009和/或存储器3011在操作3108中能够向第一通信模块3005发送用于支付结算的验证信息。

第一通信模块3005在操作3110中能够执行从安全模块3009接收的验证信息的发送。

另一方面，当在操作3100中发生第二认证服务交易时，第一模式的AP3001在操作3112中能够向第二模式的AP 3003发送第二认证服务的交易命令。

第二模式的AP 3003在操作3114中能够向第二通信模块3007转发或发送第二认证服务交易命令。

第二通信模块3007在操作3116中能够向第二模式的AP 3003请求用于支付结算的验证信息并从安全世界获得验证。

第二通信模块3007在操作3118中能够执行该验证信息的发送。

图32是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图。

电子设备(例如，图1所示的电子设备101)能够包括常规世界(例如，图4所示的REE410)和安全处理域。

常规世界能够包括至少一个支付应用3201，例如图9所示的支付应用912。安全处理域能够包括安全世界(例如，TEE 420)和安全模块(例如，嵌入式安全元素(eSE))。安全处理域可以指能够在安全环境中存储安全性所要求的数据并执行相应操作的区域。

在本公开的各种实施例中，安全处理域可仅配置有一个或多个安全模块(例如，eSE)。当安全处理域仅配置有一个或多个安全模块(例如，eSE)时，至少一个安全模块(eSE)可执行TEE中的组件的功能(例如，MST驱动器模块的功能、可信应用的功能)。

在本公开的各种实施例中，安全处理域可仅配置有一个或多个安全世界(例如，TEE)。当安全处理域仅配置有一个或多个安全世界(例如，TEE)时，至少一个安全世界(TEE)可执行安全模块(eSE)的功能。安全世界能够包括：TEE中的应用，例如可信应用(TA)3202；安全模块3203，例如eSE和图9所示的安全存储916；以及MST驱动器模块(MST TA)3205，例如图18所示的MST驱动器模块1827。安全模块3203能够存储一个或多个支付小应用程序。

支付应用3201能够向安全世界发送与当前时间有关的信息(例如，协调通用时间(UTC)信息)。

例如，电子设备(例如，电子设备101)能够经由操作系统(例如，OS)获得UTC信息。电子设备(例如，电子设备101)能够经由网络身份和时区(NITZ)、网络时间协议(NTP)等等获得UTC信息。外部服务器(例如，第一管理服务器)能够获得UTC信息。当外部服务器和电子设备获得UTC信息时，它们与彼此同步并且时间验证码被认证。外部服务器能够利用与电子设备相同的方法(例如，NITZ或NTP)获得指定时间值。

支付应用3201能够向可信应用(TA)3202发送与当前时间有关的信息(例如，UTC信息)。可信应用3202能够向安全模块3203发送与当前时间有关的信息(例如，UTC信息)。

安全模块3203能够包括至少一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)。电子设备(例如，电子设备101)能够包括至少一个或多个通信模块，例如图12所示的第一通信模块1210和第二通信模块1212。安全模块3203能够包括与一个或多个通信模块的每一者相对应的验证信息。

安全模块3203能够通过使用支付相关程序(小应用程序)3204在卡中创建轨道2信息。支付相关程序3204能够包括与加密有关的算法，例如，基于散列的消息认证码(hash-based message authentication code，HMAC)算法。

支付相关程序3204能够基于与当前时间有关的信息(例如，UTC信息)和一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)中的至少一者，创建时间戳信息和支付信息(例如，轨道2信息)中的一个或多个。利用时间戳信息生成的支付信息可利用与MST模块相对应的验证信息来生成。

轨道2信息指的是用于支付的支付信息。支付信息可包含时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

版本信息可以是用于创建支付信息的算法的版本号。序列号可以是对支付信息的使用次数计数的信息。

时间戳信息可利用当前时间、配设时间、参考时间和有效期的至少一者来生成。

当前时间可以是基于UTC信息的时间。当前时间可以是支付应用3201请求支付的时间。配设时间可以是令牌服务器或令牌服务提供者(TSP)(例如图7所示的TSP 730)在令牌的分发期间向电子设备发送令牌的时间。参考时间可被设置为零值。在本公开的各种实施例中，参考时间可与配设时间相同。

有效期是从请求支付并随后开始生成令牌时到有效地使用生成的令牌时的预设时间段。电子设备能够从支付服务器或发行者接收关于有效期的信息。例如，有效期可被设置为180秒。

安全模块3203、可信应用3202和安全世界的至少一者能够利用有效期、配设时间、基于UTC信息的当前时间来创建时间戳信息。

例如，时间戳信息可通过以下式1获得。

时间戳信息＝FLOOR((当前时间–配设时间)/有效期) …式1

FLOOR可以是下舍入函数。

在本公开的各种实施例中，安全模块3201、可信应用3202和安全世界的至少一者能够利用有效期、参考时间、基于UTC信息的当前时间来创建时间戳信息。

例如，时间戳信息可通过以下式2获得。

时间戳信息＝FLOOR((当前时间–参考时间)/有效期) …式2

安全模块3201能够利用用于创建令牌密码的密钥来创建验证码或验证信息，其中包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、版本信息和/或序列号中的一个或多个。

安全模块3201能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、验证码和/或验证信息中的一个或多个的支付信息(例如，轨道2信息)。

在本公开的各种实施例中，安全模块3201能够通过用于创建令牌密码的密钥创建对UTC信息加密的一次性口令(OTP)码；并且利用该OTP码创建支付信息。

安全模块3201能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数和OTP码中的一个或多个的支付信息(例如，轨道2信息)。

生成的支付信息可经由MST驱动器模块(MST TA)3205(例如，图18所示的MST驱动器模块1827)被发送到支付应用3201或外部电子设备。

在本公开的各种实施例中，生成的支付信息可经由NFC模块(例如，图8所示的NFC模块820)被发送到支付应用3201或外部电子设备。

图33是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图。

电子设备(例如，图1所示的电子设备101)能够包括常规世界(例如，图4所示的REE410)和安全处理域。

常规世界能够包括至少一个支付应用3301，例如图9所示的支付应用912。安全处理域能够包括安全世界(例如，TEE 420)。安全处理域可以指能够在安全环境中存储安全性要求的数据并执行相应操作的区域。

安全世界能够包括TEE中的应用，例如可信应用(TA)3304，令牌可信应用3302(例如，嵌入式安全元素(eSE)和图9所示的安全存储916)，以及MST驱动器模块(MST TA)3305(例如，图18所示的MST驱动器模块1827)。令牌可信应用3302能够包括支付相关程序3303(例如，SDK)。

支付应用3301能够向安全世界发送与当前时间有关的信息(例如，协调通用时间(UTC)信息)。

例如，电子设备(例如，电子设备101)能够经由操作系统(例如，Android^TM OS)获得UTC信息。电子设备(例如，电子设备101)能够经由网络身份和时区(NITZ)、网络时间协议(NTP)等等获得UTC信息。外部服务器(例如，第一管理服务器)能够获得UTC信息。当外部服务器和电子设备获得UTC信息时，它们与彼此同步并且时间验证码被认证。外部服务器能够利用与电子设备相同的方法(例如，NITZ或NTP)获得指定时间值。

支付应用3301能够向可信应用(TA)3304发送与当前时间有关的信息(例如，UTC信息)。

令牌可信应用3302能够包括至少一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)。电子设备(例如，电子设备101)能够包括至少一个或多个通信模块，例如图12所示的第一通信模块1210和第二通信模块1212。令牌可信应用3302能够包括与一个或多个通信模块的每一者相对应的验证信息。

令牌可信应用3302能够利用支付相关程序3303在卡中创建轨道2信息。TA 3304能够基于与当前时间有关的信息(例如，UTC信息)和一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)中的至少一者，创建时间戳信息和/或支付信息(例如，经修改的轨道2信息)。

利用时间戳信息生成的支付信息可利用与MST模块相对应的验证信息来生成。TA3304能够包括与加密有关的算法，例如，基于散列的消息认证码(HMAC)算法。

经修改的轨道2信息指的是用于支付的支付信息。支付信息可包含时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

时间戳信息可利用当前时间、配设时间、参考时间和有效期的至少一者来生成。

当前时间可以是基于UTC信息的时间。当前时间可以是支付应用3301请求支付的时间。配设时间可以是令牌服务器或令牌服务提供者(TSP)(例如图7所示的TSP 730)在令牌的分发期间向电子设备发送令牌的时间。参考时间可被设置为零值。在本公开的各种实施例中，参考时间可与配设时间相同。

有效期是从请求支付并随后开始生成令牌时到有效地使用生成的令牌时的预设时间段。电子设备能够从支付服务器或发行者接收关于有效期的信息。例如，有效期可被设置为180秒。

令牌可信应用3302、可信应用3204和安全世界的至少一者能够利用有效期、配设时间、基于UTC信息的当前时间来创建时间戳信息。

在本公开的各种实施例中，令牌可信应用3302、可信应用3204和安全世界的至少一者能够利用有效期、参考时间、基于UTC信息的当前时间来创建时间戳信息。

可信应用3304能够利用用于创建令牌密码的密钥来创建验证码或验证信息，其中包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。

可信应用3304能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、验证码和验证信息中的一个或多个的支付信息(例如，经修改的轨道2信息)。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

在本公开的各种实施例中，可信应用3304能够通过用于创建令牌密码的密钥创建对UTC信息加密的一次性口令(OTP)码；并且利用该OTP码创建支付信息。

可信应用3304能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数和OTP码中的一个或多个的支付信息(例如，经修改的轨道2信息)。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

生成的支付信息可经由MST驱动器模块(MST TA)3305(例如，图18所示的MST驱动器模块1827)被发送到支付应用3301或外部电子设备。

在本公开的各种实施例中，生成的支付信息可经由NFC模块(例如，图8所示的NFC模块820)被发送到支付应用3301或外部电子设备。

图34是根据本公开的各种实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图。

电子设备(例如，图1所示的电子设备101)能够包括常规世界(例如，图4所示的REE410)和安全处理域。

常规世界能够包括安全时间模块3401和支付应用3402中的一个或多个，其中支付应用3402例如是图9所示的支付应用912。安全处理域能够包括安全世界(例如，TEE 420)。安全处理域可以指能够在安全环境中存储安全性要求的数据并执行相应操作的区域。

安全世界能够包括TEE中的应用，例如可信应用(TA)3403，安全模块3404(例如，嵌入式安全元素(eSE)，以及图9所示的安全存储916)，以及MST驱动器模块(MST TA)3406(例如，图18所示的MST驱动器模块1827)。安全模块3404能够包括支付相关程序(小应用程序)3405。

安全时间模块3401管理不能被用户的权力改变的时间信息。安全时间模块3401可被包括在常规世界中(例如，REE 410)。在本公开的各种实施例中，安全时间模块3401可在电子设备的外部设备(例如，服务器)、安全世界(例如，TEE 420)或常规世界(例如，REE410)中实现。时间信息可周期性地与外部设备同步。外部设备(例如，电子设备101)可被设置成使得用户不能改变内部时间信息。

安全时间模块3401能够向支付应用3402发送与当前时间有关的信息(例如，UTC信息)。

支付应用3402能够向安全世界发送与当前时间有关的信息(例如，UTC信息)。

例如，电子设备(例如，电子设备101)能够经由操作系统(例如，Android^TM OS)获得UTC信息。电子设备(例如，电子设备101)能够经由网络身份和时区(NITZ)、网络时间协议(NTP)等等获得UTC信息。外部服务器(例如，第一管理服务器)能够获得UTC信息。当外部服务器和电子设备获得UTC信息时，它们与彼此同步并且时间验证码被认证。外部服务器能够利用与电子设备相同的方法(例如，NITZ或NTP)获得指定时间值。

支付应用3402能够向TA 3403发送与当前时间有关的信息(例如，UTC信息)。可信应用3403能够向安全模块3404发送与当前时间有关的信息(例如，UTC信息)。

安全模块3404能够包括至少一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)。电子设备(例如，电子设备101)能够包括至少一个或多个通信模块，例如图12所示的第一通信模块1210和第二通信模块1212。安全模块3404能够包括与一个或多个通信模块的每一者相对应的验证信息。

安全模块3404能够通过使用支付相关程序(小应用程序)3405在卡中创建轨道2信息。支付相关程序3405能够包括与加密有关的算法，例如HMAC算法。

支付相关程序3405能够基于与当前时间有关的信息(例如，UTC信息)和一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)中的至少一者，创建时间戳信息和支付信息(例如，轨道2信息)中的一个或多个。利用时间戳信息生成的支付信息可利用与MST模块相对应的验证信息来生成。

轨道2信息指的是用于支付的支付信息。支付信息可包含时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

时间戳信息可利用当前时间、配设时间、参考时间和有效期的至少一者来生成。

当前时间可以是基于UTC信息的时间。当前时间可以是支付应用3402请求支付的时间。配设时间可以是令牌服务器或TSP(例如图7所示的TSP730)在令牌的分发期间向电子设备发送令牌的时间。参考时间可被设置为零值。在本公开的各种实施例中，参考时间可与配设时间相同。

有效期是从请求支付并随后开始生成令牌时到有效地使用生成的令牌时的预设时间段。电子设备能够从支付服务器或发行者接收关于有效期的信息。例如，有效期可被设置为180秒。

安全模块3404、可信应用3403和安全世界的至少一者能够利用有效期、配设时间、基于UTC信息的当前时间来创建时间戳信息。

在本公开的各种实施例中，安全模块3404、可信应用3403和安全世界的至少一者能够利用有效期、参考时间、基于UTC信息的当前时间来创建时间戳信息。

安全模块3404能够利用用于创建令牌密码的密钥来创建验证码或验证信息，其中包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

安全模块3404能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、验证码和验证信息中的一个或多个的支付信息(例如，轨道2信息)。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

在本公开的各种实施例中，安全模块3404能够通过用于创建令牌密码的密钥创建对UTC信息加密的OTP码；并且利用该OTP码创建支付信息。

安全模块3404能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数和OTP码中的一个或多个的支付信息(例如，轨道2信息)。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

生成的支付信息可经由MST驱动器模块(MST TA)3406(例如，图18所示的MST驱动器模块1827)被发送到支付应用3402或外部电子设备。

在本公开的各种实施例中，生成的支付信息可经由NFC模块(例如，图8所示的NFC模块820)被发送到支付应用3402或外部电子设备。

图35是根据本公开的一实施例示出被配置为生成支付信息的电子设备中的组件之间的接口的框图。

电子设备(例如，电子设备101)能够包括常规世界(例如，REE 410)和安全处理域。

常规世界能够包括支付应用3501中的一个或多个，例如图9所示的支付应用912。安全处理域能够包括安全世界(例如，TEE 420)。安全处理域可以指能够在安全环境中存储安全性要求的数据并执行相应操作的区域。

安全世界能够包括安全时间模块3502和TEE中的应用，例如TA 3503，安全模块3504(例如，eSE，以及图9所示的安全存储916)，以及MST驱动器模块(MST TA)3506(例如，图18所示的MST驱动器模块1827)。安全模块3504能够包括支付相关程序(小应用程序)3505。

安全时间模块3502管理不能被用户的权力改变的时间信息。安全时间模块3502可被包括在安全世界中(例如，TEE 420)。在本公开的各种实施例中，安全时间模块3502可在电子设备的外部设备(例如，服务器)、安全世界(例如，TEE 420)或常规世界(例如，REE410)中实现。时间信息可周期性地与外部设备同步。外部设备(例如，电子设备101)可被设置成使得用户不能改变内部时间信息。

支付应用3501能够向安全时间模块3502请求安全时间。

安全时间模块3502能够向可信应用3503发送与当前时间有关的信息(例如，UTC信息)。

例如，电子设备(例如，电子设备101)能够经由操作系统(例如，Android^TM OS)获得UTC信息。电子设备(例如，图1所示的电子设备101)能够经由网络身份和时区(NITZ)、网络时间协议(NTP)等等获得UTC信息。外部服务器(例如，第一管理服务器)能够获得UTC信息。当外部服务器和电子设备获得UTC信息时，它们与彼此同步并且时间验证码被认证。外部服务器能够利用与电子设备相同的方法(例如，NITZ或NTP)获得指定时间值。

可信应用3503能够向安全模块3504发送与当前时间有关的信息(例如，UTC信息)。

安全模块3504能够包括至少一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)。电子设备(例如，电子设备101)能够包括至少一个或多个通信模块，例如图12所示的第一通信模块1210和第二通信模块1212。安全模块3504能够包括与一个或多个通信模块的每一者相对应的验证信息。

安全模块3404能够通过使用支付相关程序(小应用程序)3505在卡中创建轨道2信息。支付相关程序3505能够包括与加密有关的算法，例如，基于散列的消息认证码(HMAC)算法。

支付相关程序3505能够基于与当前时间有关的信息(例如，UTC信息)和一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)中的至少一者，创建时间戳信息和支付信息(例如，轨道2信息)中的一个或多个。利用时间戳信息生成的支付信息可利用与MST模块相对应的验证信息来生成。

轨道2信息指的是用于支付的支付信息。支付信息可包含时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

时间戳信息可利用当前时间、配设时间、参考时间和有效期的至少一者来生成。

当前时间可以是基于UTC信息的时间。当前时间可以是支付应用3501请求支付的时间。配设时间可以是令牌服务器或令牌服务提供者(TSP)(例如图7所示的TSP 730)在令牌的分发期间向电子设备发送令牌的时间。参考时间可被设置为零值。在本公开的各种实施例中，参考时间可与配设时间相同。

有效期是从请求支付并随后开始生成令牌时到有效地使用生成的令牌时的预设时间段。电子设备能够从支付服务器或发行者接收关于有效期的信息。例如，有效期可被设置为180秒。

安全模块3504、可信应用3503和安全世界的至少一者能够利用有效期、配设时间、基于UTC信息的当前时间来创建时间戳信息。

在本公开的各种实施例中，安全模块3504、可信应用3503和安全世界的至少一者能够利用有效期、参考时间、基于UTC信息的当前时间来创建时间戳信息。

安全模块3504能够利用用于创建令牌密码的密钥来创建验证码或验证信息，其中包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、版本信息和序列号中的一个或多个。

安全模块3504能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数、验证码和验证信息中的一个或多个的支付信息(例如，轨道2信息)。

在本公开的各种实施例中，安全模块3504能够：通过用于创建令牌密码的密钥创建对UTC信息加密的一次性口令(OTP)码；并且利用该OTP码创建支付信息。

安全模块3504能够创建包含令牌、时间戳信息、到期信息、服务码、随机数、验证数和OTP码中的一个或多个的支付信息(例如，轨道2信息)。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

生成的支付信息可经由MST驱动器模块(MST TA)3506(例如，图18所示的MST驱动器模块1827)被发送到支付应用3501或外部电子设备。

在本公开的各种实施例中，生成的支付信息可经由NFC模块(例如，图8所示的NFC模块820)被发送到支付应用3501或外部电子设备。

在本公开的各种实施例中，电子设备(例如，电子设备101)包括：能够存储至少一个令牌的安全模块(例如，安全模块3203)；第一通信模块(例如，NFC模块820)；第二通信模块(例如，MST模块810)；以及将安全模块3203(例如，eSE)、第一通信模块(例如，NFC模块820)和第二通信模块(例如，MST模块810)功能性地或操作性地连接到彼此的至少一个处理器(例如，处理器1200)。该至少一个处理器(例如，处理器1200)：将第一通信模块(例如，NFC模块820)和第二通信模块(例如，MST模块810)的至少一者确定为执行支付的通信模块；并且将包含该至少一个令牌之中的与该至少一个通信模块有关的令牌的支付信息发送到外部电子设备(例如，支付服务器、发行者、POS终端)。

在本公开的各种实施例中，处理器(例如，处理器1200)利用时间戳、卡到期信息、服务码、随机数、验证数、版本信息和序列号中的至少一者来生成支付信息。

在本公开的各种实施例中，时间戳是基于配设时间、参考时间和有效期的至少一者来生成的。

在本公开的各种实施例中，该至少一个令牌包括与第一通信模块(例如，NFC模块820)有关的第一令牌和与第二通信模块(例如，MST模块810)有关的第二令牌；并且支付信息包括第一令牌和/或第二令牌。

在本公开的各种实施例中，安全模块(例如，安全模块3203)能够包括嵌入式安全元素(eSE)。

在本公开的各种实施例中，第一通信模块(例如，NFC模块820)包括至少一个近场通信(NFC)模块。

在本公开的各种实施例中，第二通信模块(例如，MST模块810)包括至少一个MST通信模块。

在本公开的各种实施例中，至少一个处理器(例如，处理器1200)：在安全模块(例如，第一安全模块1607、安全模块3203)和功能性地或操作性地连接到处理器(例如，处理器1200)的另一安全模块(例如，第二安全模块1609、令牌可信应用3302)的至少一者中生成时间戳；并且基于与一个或多个通信模块有关的令牌和该时间戳的至少一者在另一安全模块(例如，第二安全模块1609、令牌可信应用3302)中生成支付信息。

在本公开的各种实施例中，至少一个处理器(例如，处理器1200)基于令牌和时间戳的至少一者生成令牌密码。

在本公开的各种实施例中，安全模块(例如，第一安全模块1607、安全模块3203)能够包括支付相关程序(例如，支付相关程序3204、支付小应用程序)。

在本公开的各种实施例中，一种方法在电子设备(例如，电子设备101)中保护支付信息，该电子设备包括第一安全世界(例如，安全模块3203)、第二安全世界(例如，令牌可信应用3302)和至少一个支付信号模块(例如，MST模块810或NFC模块820)。该方法包括：在第一安全世界(例如，安全模块3203)中存储分别与至少一个支付信号模块(例如，MST模块810或NFC模块820)相对应的至少一个令牌；在第一安全世界(例如，安全模块3203)和第二安全世界(例如，令牌可信应用3302)的至少一者中创建时间戳；基于该时间戳和该至少一个令牌之中与至少一个支付信号模块(例如，MST模块810或NFC模块820)相对应的令牌中的至少一者，在第二安全世界(例如，令牌可信应用3302)中创建支付信号；以及将支付信号发送到外部电子设备(例如，支付服务器、发行者、POS终端)。

在本公开的各种实施例中，支付信号的生成包括基于令牌和时间戳的至少一者创建令牌密码的过程。支付信号包含令牌和令牌密码。

在本公开的各种实施例中，支付信号包含卡到期信息、服务码、随机数、验证数、版本信息和序列号中的至少一者。

在本公开的各种实施例中，时间戳是基于配设时间、参考时间和有效期的至少一者来生成的。

在本公开的各种实施例中，第一安全世界(例如，安全模块3203)能够包括支付相关程序(支付小应用程序)。

在本公开的各种实施例中，第二安全世界(例如，令牌可信应用3302)能够包括与至少一个支付信号模块有关的至少一个应用。

在本公开的各种实施例中，支付信号是经由至少一个应用生成的。

在本公开的各种实施例中，至少一个支付信号模块(例如，MST模块810或NFC模块820)能够包括至少一个MST通信模块和至少一个NFC模块。

在本公开的各种实施例中，第一安全世界(例如，TEE)包括第一安全模块(例如，eSE、支付相关程序)。第二安全世界(例如，TEE)包括第二安全模块。该至少一个令牌被存储在第一安全模块(例如，eSE、支付相关程序)中。支付信号是在第二安全模块(例如，eSE、支付相关程序)中生成的。

图36是根据本公开的各种实施例描述支付信息的有效时间的图。

参考图32至图35，支付信息包括令牌、时间戳信息、到期信息、服务码、随机数、验证数、验证码和验证信息中的至少一者。在本公开的各种实施例中，支付信息中包括的到期信息可以是关于信用卡的有效期的信息。

有效期指的是从请求支付时起的预设时间段。电子设备能够从支付服务器或发行者接收关于有效期的信息。例如，有效期可被设置为180秒。

当包含时间戳信息的支付信息在有效期内被发送到发行者时，完成支付。另一方面，当包含时间戳信息的支付信息未在有效期内被发送到发行者时，不执行支付。

在本公开的各种实施例中，时间戳信息可由以下式子式3来生成。

时间戳信息＝(当前时间–时间窗口)/时间窗口 …式3

在式3中，当时间窗口值如图36所示是90秒并且时间范围创建验证码2是0～89秒时，时间戳信息可为零。令牌服务提供者(TSP)服务器计算延迟并确定0～179秒为有效期。

图37至图39根据本公开的各种实施例示出了支付手段(例如，卡)的结构的示例。

参考图37，当卡被刷过读取器(例如，POS)时，卡的包含相应信息的磁条在读取器的铁芯周围的线圈中感应电流信号。读取器检测感应的与卡信息有关的磁场信号并且处理卡信息。

在本公开的各种实施例中，卡的磁条包括至少一个或多个轨道。磁条在轨道1、轨道2和轨道3中包含信息。支付可利用轨道2中记录的信息来执行。

在本公开的各种实施例中，卡可在至少一个或多个轨道中包括信息。

参考图38，轨道1包含银行账户信息并且具有数据存储容量，例如79KB。轨道2包含诸如信用卡号、发卡日、有效期等等之类的信息，并且具有数据存储容量，例如40KB。轨道3包含诸如关联商号等等之类的信息。例如，用于支付的信息可以是轨道2信息。

参考图39，轨道2可包含以下格式的信息。

开始标记(start sentinel，SS)–一个字符，例如“；”。

主账户号(PAN)–最多19字符。通常——但并非总是——与打印在卡正面的信用卡号匹配。

字段分隔符(Field Separator，FS)–一个字符，例如“＝”。

到期日–YYMM形式的四个字符。

服务码–三个字符：第一位指定交换规则；第二位指定授权处理；并且第三位指定服务的范围。

任意数据–其与轨道1相同

结束标记(end sentinel，ES)–一个字符，例如“？”。

纵向冗余校验(longitudinal redundancy check，LRC)–它是一个字符并且是从轨道上的其他数据计算的有效性字符。大多数读取器设备在卡被刷时不返回此值到呈现层，而只用它来在内部向读取器验证输入。

金融卡中共同的服务码值如下：

第一位

1：可以国际交换

2：国际交换，在可行时使用IC芯片

5：仅限国内交换，除非有双边协定

6：仅限国内交换，除非有双边协定，在可行时使用IC芯片

7：无交换，除非有双边协定(闭环)

9：测试

第二位

0：正常

2：经由在线手段联系发行者

4：经由在线手段联系发行者，除非有双边协定

第三位

0：无限制，要求PIN

1：无限制

2：仅限商品和服务(无现金)

3：仅限ATM，要求PIN

4：仅限现金

5：仅限商品和服务(无现金)，要求PIN

6：无限制，在可行时使用PIN

7：仅限商品和服务(无现金)，在可行时使用PIN

图40是根据本公开的一实施例示出支付信息的结构的图。

参考图40，支付信息可包含令牌4001和支付验证数据4002。令牌4001可包含数字PAN(替代真实卡号并被电子设备虚拟使用的卡号)。

支付验证数据4002可包含令牌密码(密码)4003和交易数据4004。

支付验证数据4002可能是电子设备的外部设备检查相应的支付交易是否有效所需要的。令牌密码4003也可与密码信息、密文、密码、加密和加密方法同义使用。

图41是根据本公开的一实施例示出交易数据的结构的图。

交易数据4101可包含卡到期日4102和商店信息4103，例如商家ID。电子设备可利用通信模块(例如，3G、4G、Wi-Fi、NFC等等)从外部设备获得商家ID 4103。

图42是根据本公开的一实施例示出支付验证数据的结构的图。

参考图42，支付验证数据4201能够包含随机数4202、验证码4203和生成计数器4204中的一个或多个。

在本公开的一实施例中，OPT数可以是令牌密码的示例。

图43是根据本公开的一实施例示出支付中继模块通过输入支付应用的个人识别号(PIN)来将验证请求中继到TEE的安全识别符处理模块的功能的图。

参考图43，支付中继模块能够包括：用于经由安全环境中继模块从TEE的支付模块接收一次性随机数(例如，乱数)的功能；经由安全环境中继模块向安全识别符处理模块请求PIN结果并发现请求的PIN和加密的PIN结果的功能；以及请求支付模块验证加密的PIN结果的功能。

图44和图45是根据本公开的各种实施例描述支付中继模块1841(图18中示出)基于利用生物计量信息执行的验证结果来执行支付的方法4400(图44中示出)和方法4500(图45中示出)的流程图。

在本公开的一实施例中，支付中继模块能够经由安全环境中继模块1846和安全环境驱动器模块1853(图18中示出)向TEE的支付模块1821(图18中示出)请求一次性随机数(例如，乱数)。

在本公开的一实施例中，参考图18和图44，支付模块能够创建一次性随机数，并且利用TEE的密钥，例如设备根密钥(DRK)，来对生成的一次性随机数加密。支付模块能够经由安全环境驱动器模块1853将加密的一次性随机数发送给安全环境中继模块1846。在同一设备中执行的模块或应用之间的数据的发送/传送可包括允许访问存储器中存储的数据的状态。

在本公开的一实施例中，安全环境中继模块1846能够经由安全环境驱动器模块向生物计量信息模块1825发送加密的一次性随机数。生物计量信息模块1825能够利用密钥对加密的一次性随机数解密。生物计量信息模块能够利用从生物计量传感器获得的信息来认证用户。生物计量信息模块能够利用密钥将用户认证结果与一次性随机数一起加密。生物计量信息模块能够经由安全环境驱动器模块将加密的认证结果和加密的一次性随机数发送给安全环境中继模块。安全环境中继模块能够经由安全环境驱动器模块将加密的认证结果和加密的一次性随机数发送给支付模块。

在本公开的一实施例中，支付模块能够利用密钥对加密的认证结果和加密的一次性随机数进行解密。支付模块能够比较接收到的一次性随机数和生成的一次性随机数是否彼此相同并且基于比较结果识别在REE中是否改变了认证结果。该比较可通过判定发送的一次性随机数和接收到的一次性随机数是否与彼此完全相同来执行。或者，该比较可按如下方式执行：当发送的一次性随机数和接收到的一次性随机数不与彼此相同，但基于发送的一次性随机数生成一次性随机数时，生成的一次性随机数被认为与发送的一次性随机数相同。当两个一次性随机数彼此相同并且认证已成功时，支付模块可执行支付。当一次性随机数彼此不相同或者认证失败时，支付模块不执行支付。

在本公开的一实施例中，该比较可在代理(例如，支付管理器或内核)中执行或者在TEE或REE中执行的另一应用中执行。

图46是根据本公开的一实施例描述创建令牌密码的方法4600的图。

在本公开的一实施例中，支付模块能够利用能够创建令牌密码的密钥来创建令牌密码。支付模块能够根据预设的规则使用其他密钥，例如每次交易、指定数目的交易、预设时间段内的交易，等等。令牌服务提供者730(图7中示出)能够拥有与该密钥配对的密钥。令牌服务提供者730能够通过该对密钥来对加密的令牌密码解密。

当支付模块利用密钥生成令牌密码时，加密引擎和经由密钥加密的数据可根据加密方法(例如，AES、TKIP等等)而变化。

图47是根据本公开的一实施例描述利用基于时间戳信息生成的支付信息来执行支付的方法的图。

参考图47，支付应用4701(例如，图32所示的支付应用3201)能够请求安全世界4703生成支付信息(例如，轨道2信息)。

当通过安全世界4703从支付应用4701接收到生成支付信息(例如，轨道2信息)的请求时，支付相关程序4705(例如，图32所示的支付相关程序3204)能够利用时间戳信息创建支付信息(例如，轨道2信息)。

当生成支付信息(例如，轨道2信息)时，支付相关程序4705能够将生成的支付信息(例如，轨道2信息)发送到安全世界4703。

安全世界4703能够经由图32所示的MST驱动器模块3205利用生成的支付信息(例如，轨道2信息)向POS 4707请求交易批准。

当从安全世界4703接收到交易批准请求时，POS 4707能够将生成的支付信息(例如，轨道2信息)和交易批准请求转发给第一发行者4711。

第一发行者4711(例如，图9所示的第一发行者932)能够将生成的支付信息(例如，轨道2信息)中包含的令牌发送给令牌服务器4713或令牌服务提供者(TSP)。

令牌服务器4713或TSP能够认证从第一发行者4711接收的令牌并将令牌认证结果发送给第一发行者4711。

令牌服务器4713或TSP能够：将支付信息中包含的时间戳信息、到期信息、服务码、随机数、验证数、版本信息或序列号与令牌服务器4713或TSP中存储的配设时间、参考时间或有效期相比较；并且判定令牌的有效性。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

第一发行者4711能够从令牌服务器4713或TSP接收令牌认证结果。第一发行者4711能够将令牌认证结果发送给第二发行者4709(例如，图9所示的第二发行者942)和/或向其请求交易批准。

第二发行者4709能够根据令牌认证结果和交易批准请求判定其是否批准交易。当第二发行者4709基于令牌认证结果确定令牌有效时，其能够向第一发行者4711发送交易认证结果。

第一发行者4711能够将交易认证结果发送给POS 4707。

图48是根据本公开的各种实施例描述利用基于时间戳信息生成的支付信息来执行支付的方法的图。

参考图48，支付应用4801(例如，图32所示的支付应用3201)能够请求安全世界4803生成支付信息(例如，轨道2信息)。

当通过安全世界4803从支付应用4801接收到生成支付信息(例如，轨道2信息)的请求时，支付相关程序4805(例如，图32所示的支付相关程序3204)能够利用时间戳信息创建支付信息(例如，轨道2信息)。

当生成支付信息(例如，轨道2信息)时，支付相关程序4805能够将生成的支付信息(例如，轨道2信息)发送到安全世界4803。

安全世界4803能够经由图32所示的MST驱动器模块3205利用生成的支付信息(例如，轨道2信息)向POS 4804请求交易批准。

当从安全世界4803接收到交易批准请求时，POS 4804能够将生成的支付信息(例如，轨道2信息)和交易批准请求转发给第二发行者4807(例如，图9所示的第二发行者942)。

第二发行者4807能够将生成的支付信息(例如，轨道2信息)中包含的令牌发送给令牌服务器4809或TSP。

令牌服务器4809或TSP能够认证从第二发行者4807接收的令牌并将令牌认证结果发送给第二发行者4807。

令牌服务器4809或TSP能够：将支付信息中包含的时间戳信息、到期信息、服务码、随机数、验证数、版本信息或序列号与令牌服务器4809或TSP中存储的配设时间、参考时间或有效期相比较；并且判定令牌的有效性。在本公开的各种实施例中，支付信息中包含的到期信息可以是关于信用卡的有效期的信息。

第二发行者4807能够将交易认证结果发送给POS 4804。

图49是根据本公开的各种实施例描述利用令牌执行支付交易的方法的图。

参考图49，当支付交易开始时，支付应用4901(例如，图32所示的支付应用3201)能够经由可信应用(TA)向安全模块4903(例如，图32所示的安全模块3203)发送时间戳信息。

安全模块4903能够包括支付相关程序4905(例如，图32所示的支付相关程序3204)。支付相关程序4905能够基于时间戳信息和一条或多条支付信息(例如，令牌、用于创建令牌密码的密钥)中的至少一者来创建支付信息(例如，轨道2信息)。

安全模块4903能够向/从第一发行者(例如，图9所示的第一发行者932)的TSM4909发送/接收与支付有关的信息(例如，支付信息)。

支付服务器4907(例如，图9所示的支付服务器920)能够向/从支付应用4901发送/接收与支付有关的信息(例如，支付信息)。

第一发行者的TSM 4909能够向/从第一发行者的TSP 4911、第二发行者4915(例如，图9所示的第二发行者942)和第二发行者的TSP 4913发送/接收与支付有关的信息，并且批准支付。

本公开中使用的术语“模块”可以指包括硬件、软件和固件之一或者其中的两个或更多个的任何组合的单元。“模块”可与术语“逻辑”、“逻辑块”、“组件”或“电路”互换。“模块”可以是集成的组件的最小单位或者其一部分。“模块”可以是执行一个或多个功能的最小单位或者其一部分。可以机械地或电子地实现“模块”。例如，根据本公开的“模块”可包括现在已知的或者将来将会开发的用于执行特定操作的专用集成电路(application-specific integrated circuit，ASIC)芯片、现场可编程门阵列(field-programmablegate array，FPGA)和可编程逻辑器件中的至少一者。根据各种实施例的方法(例如，操作)或设备(例如，模块或功能)的至少一部分可以用存储在计算机可读存储介质(例如，存储器130)中的作为程序模块的指令来实现。一个或多个处理器(例如，图1所示的处理器120)可执行这些指令，从而执行这些功能。计算机可读存储介质的示例包括：硬盘、软盘、磁介质(例如，磁带)、光介质(例如，CD-ROM、DVD)、磁光介质(例如，软光盘)、内置存储器，等等。

在本公开的各种实施例中，计算机可读记录介质存储软件程序。该软件程序在包括安全世界(例如，TEE)和至少一个支付信号模块(例如，图8所示的MST模块810或NFC模块820)的电子设备(例如，电子设备101)中执行以下操作：在安全世界中存储分别与至少一个支付信号模块相对应的至少一个令牌；在安全世界中创建时间戳；基于时间戳和该至少一个令牌之中的与至少一个支付信号模块相对应的令牌的至少一部分在安全世界中创建支付信号；并且将支付信号发送到外部电子设备(例如，支付服务器、发行者、POS终端，等等)。

指令或命令包括由编译器生成的代码或者由解释器执行的代码。在本公开的各种实施例中，模块或程序模块包括模块中的至少一个或多个、去除模块的一部分，或者在模块中包括新模块。在各种实施例中，由模块、程序模块或其他模块执行的操作是以串行、并行、反复或试探方式执行的。这些操作的一部分可按任何其他顺序执行、被跳过或者与额外的操作一起执行。

本公开的各种实施例能够基于各种通信模式提供移动支付服务。各种实施例还能够利用具有相对较高级别的安全性的安全世界来提供更安全的无线支付支付。

虽然已参考本公开的各种实施例示出和描述了本公开，但本领域技术人员应理解，在不脱离如所附权利要求及其等同物所限定的本公开的精神和范围的情况下，可对本公开进行形式和细节上的各种改变。

Claims (15)

1.一种电子设备，包括：

安全模块，能够存储至少一个令牌；

第一通信模块；

第二通信模块；以及

至少一个处理器，将所述安全模块、所述第一通信模块和所述第二通信模块功能性地或操作性地连接到彼此，

其中，所述至少一个处理器被配置为进行控制以：

将所述第一通信模块和所述第二通信模块的至少一者确定为用于执行支付的通信模块；并且

向外部电子设备发送支付信息，该支付信息包含所述至少一个令牌之中与所述第一通信模块和所述第二通信模块的所述至少一者有关的令牌。

2.如权利要求1所述的电子设备，其中，所述处理器还被配置为进行控制以利用时间戳、卡到期信息、服务码、随机数、验证数、版本信息和序列号中的至少一者来生成所述支付信息。

3.如权利要求2所述的电子设备，其中，所述时间戳是基于配设时间、参考时间和有效期的至少一者来生成的。

4.如权利要求1所述的电子设备，

其中，所述至少一个令牌包括分别与所述第一通信模块和所述第二通信模块有关的第一令牌和第二令牌；并且

其中，所述支付信息包括所述第一令牌和/或所述第二令牌。

5.如权利要求1所述的电子设备，

其中，所述安全模块包括嵌入式安全元素(eSE)和支付小应用程序中的至少一者，

其中，所述第一通信模块包括至少一个近场通信(NFC)模块，并且

其中，所述第二通信模块包括至少一个磁条数据发送(MST)模块。

6.如权利要求1所述的电子设备，其中，所述至少一个处理器还被配置为进行控制以：

在所述安全模块和功能性地或操作性地连接到所述处理器的另一安全模块的至少一者中生成时间戳；并且

基于与所述第一通信模块和所述第二通信模块的至少一者有关的令牌和所述时间戳，在所述另一安全模块中生成所述支付信息。

7.如权利要求6所述的电子设备，其中，所述至少一个处理器还被配置为进行控制以基于所述令牌和所述时间戳的至少一者生成令牌密码。

8.一种在电子设备中保护支付信息的方法，该电子设备包括第一安全世界、第二安全世界和至少一个支付信号模块，该方法包括：

在所述第一安全世界中存储分别与至少一个支付信号模块相对应的至少一个令牌；

在所述第一安全世界和所述第二安全世界的至少一者中创建时间戳；

基于所述时间戳和所述至少一个令牌之中与所述至少一个支付信号模块相对应的至少一个令牌中的至少一者，在所述第二安全世界中创建支付信号；以及

向外部电子设备发送所述支付信号。

9.如权利要求8所述的方法，

其中，所述支付信号的创建包括基于所述令牌和所述时间戳的至少一者来创建令牌密码；并且

其中，所述支付信号包括所述令牌和所述令牌密码。

10.如权利要求8所述的方法，其中，所述支付信号包括卡到期信息、服务码、随机数、验证数、版本信息和序列号中的至少一者。

11.如权利要求8所述的方法，其中，所述时间戳是基于配设时间、参考时间和有效期的至少一者来生成的。

12.如权利要求8所述的方法，

其中，所述第一安全世界包括支付小应用程序，

其中，所述第二安全世界包括：与所述至少一个支付信号模块有关的至少一个应用，并且

其中，所述支付信号是经由至少一个应用生成的。

13.如权利要求8所述的方法，其中，所述至少一个支付信号模块包括至少一个磁条数据发送(MST)通信模块或至少一个近场通信(NFC)模块。

14.如权利要求8所述的方法，

其中，所述第一安全世界包括第一安全模块；

其中，所述第二安全世界包括第二安全模块；

其中，所述至少一个令牌被存储在所述第一安全模块中；并且

其中，所述支付信号是在所述第二安全模块中生成的。

15.一种存储软件程序的非暂态计算机可读记录介质，该软件程序当被执行时使得包括安全世界和至少一个支付信号模块的电子设备中的至少一个处理器执行一种方法，该方法包括：

在所述安全世界中存储分别与至少一个支付信号模块相对应的至少一个令牌；

在所述安全世界中创建时间戳；

基于所述时间戳和所述至少一个令牌之中与所述至少一个支付信号模块相对应的至少一个令牌的至少一部分，在所述安全世界中创建支付信号；以及

向外部电子设备发送所述支付信号。