CN107209884B - 存储不同区域中的安全凭据信息 - Google Patents
存储不同区域中的安全凭据信息 Download PDFInfo
- Publication number
- CN107209884B CN107209884B CN201680009187.9A CN201680009187A CN107209884B CN 107209884 B CN107209884 B CN 107209884B CN 201680009187 A CN201680009187 A CN 201680009187A CN 107209884 B CN107209884 B CN 107209884B
- Authority
- CN
- China
- Prior art keywords
- electronic device
- payment instrument
- computer
- area
- payment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3224—Transactions dependent on location of M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3229—Use of the SIM of a M-device as secure element
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Telephonic Communication Services (AREA)
Abstract
电子设备可尝试通过向第一计算机提供具有指定了未配置凭据的信息的消息来配置所述未配置凭据,诸如支付工具。所述第一计算机可以与第一区域相关联,在所述第一区域中:支持用户的第一配置凭据,所述用户已注册,并且所述用户可以基于所述第一配置凭据进行事务处理。然而,所述未配置凭据可在第二区域中被支持或以其他方式与所述第二区域相关联。因此,所述电子设备可从所述第一计算机接收指定与所述第二区域相关联的第二计算机的重定向信息。作为响应,所述电子设备可以向所述第二计算机提供所述消息。此外,所述电子设备可以将所述未配置凭据的配置信息传送至所述第二计算机,因此可配置所述凭据。
Description
技术领域
所述实施方案总体涉及电子数据的存储,包括与无线电子设备相关联的安全凭据的存储。
背景技术
许多现代电子设备通常包括用于与其他电子设备进行无线通信的联网子系统。例如,这些电子设备可包括联网子系统,该联网子系统具有蜂窝网络接口(UMTS、LTE等)、无线局域网接口(例如,无线网络诸如美国电气与电子工程师协会(IEEE)802.11标准中所述的无线网络或得自Bluetooth Special Interests Group(Kirkland,Washington)的BluetoothTM)、和/ 或另一种类型的无线接口(诸如近场通信接口或NFC接口)。
目前人们对于使用此类电子设备进行安全事务处理,包括财务事务处理方面感兴趣。为了有利于这些事务处理,电子设备可包括安全元件以提供:安全性、保密性以及一个或多个应用环境。安全元件可支持在该安全元件的环境中执行的一个或多个小应用程序或应用程序(诸如与信用卡相关联的支付小应用程序),其中小应用程序使安全元件能够与另一个电子设备诸如销售点终端进行财务事务处理(此类小应用程序有时被称为“支付工具”)。
发明内容
本文提供了用于配置与无线电子设备相关联的电子凭据的系统、方法和/或计算机程序产品实施方案,和/或其组合与子组合,并且甚至当用于电子凭据的数据可存储在多个单独区域中时提供电子凭据的视图。
在一些实施方案中,电子设备(例如蜂窝电话)包括:天线,以及与一个或多个计算机进行无线通信的接口电路。在操作期间,电子设备接收指定未配置支付工具的信息。另外,电子设备经由接口电路将基于该信息的消息提供至在网络中的第一位置处可访问的第一计算机,其中第一计算机与第一区域相关联,在第一区域中:支持用户的第一已配置支付工具,用户已注册,并且用户可基于第一已配置支付工具经由该电子设备和/或另一电子设备进行事务处理(诸如财务事务处理)。此外,电子设备经由接口电路接收来自第一计算机的重定向信息,其中该重定向信息指定在网络中的第二位置处可访问的第二计算机,并且第二计算机与第二区域相关联,在第二区域中支持未配置支付工具。电子设备还经由接口电路在第二位置处将消息提供至第二计算机。另外,电子设备经由接口电路在电子设备和第二计算机之间传送配置信息,使得第二支付工具被配置成为第二已配置支付工具,其中用户可基于第二区域中的第二已配置支付工具经由该电子设备和/或所述另一电子设备进行事务处理。
在一些实施方案中,信息可包括:未配置支付工具的图像;和/或与未配置支付工具相关联的数值标识符。
此外,在一些实施方案中,第一已配置支付工具和第二已配置支付工具可以是:借记卡、信用卡或两者。然而,第一已配置支付工具和第二已配置支付工具中的任一者或两者都可代表另一类型的支付工具,诸如预付卡、俱乐部卡、会员卡、奖励卡、积分卡、过境卡(transit pass)或任何其他此类工具。因此,各种实施方案适用于非财务应用。例如,示例性实施方案可涉及在多个区域中存在的俱乐部或组织,其中给定的俱乐部会员的访问或认证可被限制于某一区域。如果该俱乐部会员想要访问其他区域的俱乐部地点或设施,则可使用本文所述的技术对该会员的俱乐部凭据进行针对这些其他区域的授权。因此,各种实施方案可适用于在访问、授权、认证等在地理上受限情况下的应用。
此外,该消息可包括信息的加密版本。
另外,第一位置和第二位置可由统一资源定位符(URL)指定。
在一些实施方案中,重定向信息包括:具有超文本传输协议(HTTP)状况码301的重定向,具有HTTP状况码307的重定向,和/或具有HTTP状况码308的重定向。
此外,在向第二计算机提供消息之前,电子设备可经由接口电路与第三计算机交换注册信息,以便在第二区域中注册用户。
另外,第一计算机可存储与第一已配置支付工具相关联的财务信息。在未配置支付工具被配置成为第二已配置支付工具之后,第二计算机可根据与第二区域相关联的规定存储与第二已配置支付工具相关联的第二财务信息。
其他实施方案提供了与电子设备结合使用的计算机程序产品。该计算机程序产品可包括存储在任何非暂态计算机可读介质上的指令,该指令用于由电子设备执行的上述操作中的至少一些操作。当由一个或多个处理器执行时,此类指令使一个或多个处理器按照本文所述进行操作。
其他实施方案提供了用于配置未配置支付工具的方法,该方法可由电子设备部分地或全部地执行。在该方法期间,电子设备执行由该电子设备执行的上述操作中的至少一些操作。
其他实施方案还提供了包括第一计算机的计算机系统。第一计算机可包括:与一个或多个计算机和电子设备通信的接口电路;通信地耦接到该接口电路的处理器;以及通信地耦接到该处理器的存储器,其中所述存储器可以是存储可由处理器执行的一个或多个程序模块的任何非暂态计算机可读介质。一个或多个程序模块包括用于以下操作的指令:经由接口电路从电子设备接收包括指定未配置支付工具的信息的消息;确定未配置支付工具与第二区域相关联,所述第二区域不同于与第一计算机相关联的第一区域,其中在第一区域中:支持用户的第一已配置支付工具,该用户已注册,并且该用户可使用第一已配置支付工具经由该电子设备和/或所述另一电子设备进行事务处理;以及经由接口电路将重定向信息提供至电子设备,其中重定向信息指定在网络中的第二位置处可访问的第二计算机,并且其中第二计算机与第二区域相关联,在第二区域中支持未配置支付工具。
此外,计算机系统可包括第二计算机。第二计算机可包括:与计算机和电子设备中的一者或多者通信的第二接口电路;通信地耦接到第二接口电路的第二处理器;以及通信地耦接到第二处理器的第二存储器,其中第二存储器存储第二程序模块,并且第二程序模块可由第二处理器执行。第二程序模块可包括用于以下操作的指令:经由第二接口电路从电子设备接收消息;以及经由第二接口电路在电子设备和第二计算机之间传送配置信息,使得未配置支付工具被配置成为第二已配置支付工具,其中用户可基于第二区域中的第二已配置支付工具经由该电子设备和/或所述另一电子设备进行事务处理。
在一些实施方案中,在用于从电子设备接收消息的指令之前,第二程序模块包括用于经由第二接口电路在第二区域中注册用户的指令。
其他实施方案提供了用于与计算机系统结合使用的计算机程序产品。该计算机程序产品可包括用于由计算机系统执行的上述操作中的至少一些操作的指令。
其他实施方案提供了用于配置未配置支付工具的方法,该方法可由计算机系统执行。在该方法期间,计算机系统执行由该计算机系统执行的上述操作中的至少一些操作。
在其他实施方案中,非暂态计算机可读介质包括所存储的指令,该指令当由电子设备中的处理器执行时,使处理器执行操作。这些操作包括向在第一区域中的第一计算机进行首次注册,以及访问未配置的支付工具,其中所述第一计算机是主pod。这些操作还包括从第一计算机请求对未配置支付工具进行配置,以及从第一计算机接收重定向信息,其中重定向信息识别支持未配置支付工具的第二区域。当未配置支付工具具备了在第二区域中进行配置的条件时,操作还包括从第二区域中的第二计算机请求对未配置支付工具进行配置,以及将个人化脚本存储在电子设备的安全元件中,其中个人化脚本与支付工具相关联。
在其他实施方案中,区域中的计算机系统包括天线和一个或多个处理器,其中所述一个或多个处理器可从电子设备接收与未配置支付工具相关联的信息。当另一区域支持未配置支付工具时,所述一个或多个处理器可将重定向信息传输至识别不同区域的电子设备。当在该区域中支持未配置支付工具时,所述一个或多个处理器可利用该区域中的支付网络运营商 (PNO)启动针对未配置支付工具的新卡检查,与PNO通信以将未配置支付工具的财务主账号(FPAN)与设备主账号(DPAN)相关联,并且当已在该区域中配置支付工具时,提供与支付工具相关联的图像数据。
提供前述发明内容是为了概述一些示例性实施方案,以提供对本文所述的主题的各方面的基本了解。因此,上述特征仅为示例,并且不应理解为以任何方式缩小本文所述主题的范围或实质。本文所述的主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
图1为示出了根据本公开的示例性实施方案的系统的框图。
图2为示出了根据本公开的示例性实施方案的系统细节的框图。
图3示出了用于在不同区域中对支付工具进行配置的电子设备的示例性方法。
图4示出了用于在不同区域中对未配置支付工具进行配置的计算机系统的示例性方法。
图5示出了根据本公开的示例性实施方案的电子设备和计算机系统之间的通信。
图6示出了根据本公开的示例性实施方案,在不同区域中对支付工具进行配置。
图7示出了根据本公开的示例性实施方案,从不同区域中去除支付工具。
图8示出了根据本公开的示例性实施方案,用于从不同区域中去除支付工具的电子设备的方法。
图9示出了根据本公开的示例性实施方案,用于从不同区域中去除支付工具的计算机系统的方法。
图10是用于实现各种实施方案的示例性计算机系统。
需注意,在整个附图中类似的附图标号指代对应的部件。此外,相同对象或对象类型的多个实例由公共前缀进行标定,该公共前缀通过破折号与实例标号分开。
具体实施方式
电子设备(诸如蜂窝电话)可尝试通过向第一计算机提供具有与未配置凭据对应的信息的消息来配置未配置的安全凭据,诸如支付工具。第一计算机可与第一区域相关联,在第一区域中:支持用户的第一配置凭据,该用户已注册,并且该用户可基于第一配置支付凭据经由该电子设备和/或另一电子设备进行事务处理(诸如财务事务处理或其他安全事务处理)。然而,未配置凭据可在第二区域中被支持或以其他方式与第二区域相关联。(在某些情况下,在第一区域中可能不会支持未配置凭据,也就是说,仅在第二区域中可能支持未配置凭据。)因此,电子设备可从第一计算机接收指定与第二区域相关联的第二计算机的重定向信息。作为响应,电子设备向第二计算机提供消息。然后,电子设备向第二计算机传送配置信息,使得第二凭据被配置成为第二配置凭据。以这种方式,用户可使用第二配置凭据来进行事务处理。
消息和配置信息的传送可涉及电子设备与第一计算机或第二计算机之间的无线和/或有线通信。这种无线通信可涉及根据通信协议输送在电子设备中通过无线电传输和接收的数据包,所述通信协议诸如:美国电气与电子工程师协会(IEEE)802.11标准、BluetoothTM(得自Bluetooth Special Interests Group(Kirkland,Washington))、和/或另一种类型的无线接口,诸如近场通信(NFC)标准或规范(得自(Wakefield,Massachusetts)的NFC论坛)。此外,该通信协议可与第三代移动电信技术(诸如符合瑞士日内瓦的国际电信联盟的国际移动电信-2000规范的通信协议)、第四代移动电信技术(诸如符合瑞士日内瓦的国际电信联盟的国际移动电信高级规范的通信协议)、和/或另一蜂窝电话通信技术兼容。在以下论述中,使用蜂窝电话通信技术作为示例性示例。
电子设备和更新设备之间的通信如图1所示,其呈现了示出电子设备 110和计算机112(诸如服务器或计算机系统)之间通信的示例的框图。如下文参照图3至图7所进一步描述的,这些设备可在一个或多个计算机112 配置支付工具时进行通信(诸如与小应用程序或应用程序相关的借记卡或信用卡,这些小应用程序或应用程序在电子设备110的环境中执行,例如,在电子设备110的安全元件中执行),使得电子设备110的用户可使用已配置支付工具(通过电子设备110上的小应用程序或应用程序)进行事务处理。注意,虽然相对于支付工具呈现了示例,但可使用其他形式的凭据(诸如预付卡、俱乐部卡、会员卡、奖励卡、积分卡、过境卡或任何其他此类工具)来代替或补充支付工具。
为了避免一些问题,例如,潜在的延迟问题,以及/或者为了遵守不同区域或国家的政府法规,已配置支付工具可与不同区域相关联(例如,有可能只在相关联区域中配置给定的支付工具)。在一些具体实施中,用户能够使用给定的支付工具只在相关联区域(诸如美国或欧洲)中进行事务处理。在其他具体实施中,支付工具与一个区域相关联,但可用于多个区域中的支付事务处理。在任一种情况下,不同的计算机112-1和112-2用于服务与不同区域(区域118-1和区域118-2)相关联的已配置支付工具,如图1所示。
已经向有利于向计算机112中的一个(与系统的供应商相关联或代表系统的供应商进行操作)配置支付工具的系统注册并且已经配置了与特定区域相关联的支付工具的用户可被默认分配给与该区域相关联的计算机。例如,用户可能已使用计算机112-1(其可以使用一个或多个计算设备来实现)进行注册,并且可能已在与美国(例如,区域118-1)相关联的电子设备110上配置与支付小应用程序相关联的信用卡。如下文进一步所述的,计算机112-1可因此成为用户账户的默认联络点,并且在用户随后尝试配置第二支付工具的情况下可为默认计算机。然而,如果需要将与第二支付工具相关联的财务信息(例如,按照法规、政策、规则等)存储(或归属) 在计算机112-2(其可以使用一个或多个计算设备实现)上,则可能不能完成随后的配置尝试,该计算机位于与计算机112-1不同的区域118-2(例如,在中国)。此外,例如,从延迟、平衡或其他性能的角度来看,将与第二支付工具相关联的信息存储在计算机112-2上可能不是必需的但可为有利的。
为了解决这个问题,当计算机112-1在网络114中的某个位置(诸如统一资源定位符或URL)处接收来自电子设备110的消息时,该消息具有指定未配置支付工具(例如,前面示例中的另一信用卡)的信息,则计算机112-1可确定该未配置支付工具与另一区域相关联,该另一区域为区域 118-2(例如,前面示例中的中国)而非与计算机112-1和已配置支付工具相关联的区域118-1(例如,前面示例中的美国)。因此,计算机112-1可经由网络114将重定向信息提供至在另一位置(诸如另一个URL)处指定计算机112-2的电子设备110。例如,重定向信息可包括:具有超文本传输协议(HTTP)状况码301、状况码307和/或状况码308的重定向。
响应于接收到重定向信息,电子设备110可经由网络114将消息传输至计算机112-2。电子设备110和计算机112-2可经由网络114在电子设备 110和计算机112-2之间传送配置信息,使得未配置支付工具被配置成为用户可用来(例如,通过在电子设备110的环境中执行的同一或另一支付小应用程序)进行事务处理的已配置支付工具。注意,计算机112-1可存储与已配置支付工具(例如,与美国相关联的信用卡)相关联的财务信息。此外,在配置另一支付工具,例如,配置另一信用卡期间或之后,计算机 112-2可存储与已配置支付工具相关联的财务信息。在一些实施方案中,在接收到消息或传送配置信息之前,计算机112-2可在中国注册用户。另选地,另一计算机(诸如与支付网络运营商相关联的计算机)可注册用户。
以这些方式,电子设备110和计算机112可有利于配置与不同区域相关联的支付工具。
如前所述,电子设备110和/或计算机112-1和112-2之间的通信可涉及数据包的交换,所述数据包包括支付工具信息、重定向信息、注册信息和/或配置信息中的任一者或全部。在一个或多个无线信道中传输的帧中可包括这些数据包。
如下文参考图2进一步所述的,电子设备110和/或计算机112可包括子系统,诸如以下中的任一者或全部:联网子系统、存储器子系统、处理子系统和安全子系统。此外,电子设备110和/或计算机112可包括联网子系统中的无线电部件114。更一般地,电子设备110和/或计算机112可包括(或可包括在)任何具有联网子系统的电子设备,该联网子系统允许电子设备110和/或计算机112与另一电子设备进行无线通信。这可包括在无线信道上传输帧,以使得电子设备能够进行初始接触,然后交换后续的数据帧/管理帧(诸如连接请求以建立连接),配置安全选项(例如, IPSEC),传输和接收数据包或帧等。此外,计算机112还可包括支持一种或多种有线技术的有线接口,使得它们能够经由网络114进行通信。
在图1中,在经由网络114通信期间,可通过电子设备110中的一个或多个无线电部件来传输/接收无线信号。可从一个或多个计算机112中的无线电部件接收/传输这些无线信号。然而,经由网络114在电子设备110 与一个或多个计算机112之间的进行的通信也可以是具有与无线通信不同通信协议的有线通信。此外,无线通信可涉及或可不涉及在电子设备110 和/或计算机112之间建立的连接,因此可涉及或可不涉及经由无线网络 (诸如蜂窝电话网络)的通信。
在一些实施方案中,处理电子设备110和/或计算机112中的数据包或帧包括:接收具有数据包或帧的无线或有线信号;从接收到的信号中解码/ 提取数据包或帧以获取数据包或帧;以及处理数据包或帧以确定数据包或帧中所包含的信息(诸如更新数据包的至少一部分)。
在一些实施方案中,可加密电子设备110和计算机112之间的通信。例如,可加密消息中的信息。该加密可使用加密密钥(诸如与小应用程序和/或安全元件的供应商相关联的加密密钥)。此外,加密可使用对称加密技术和/或非对称加密技术。因此,给定的有效载荷可同时使用对称密钥和非对称密钥进行加密(例如,对称密钥可使用非对称密钥加密,并且有效载荷的另一部分可使用对称密钥加密)。
虽然我们以图1所示的环境为示例进行描述,但在另选的实施方案中,可存在不同数量或类型的电子设备。例如,一些实施方案包括更多或更少的电子设备。
图2呈现了示出电子设备200的示例的框图,其可以是图1中的电子设备110或计算机112中的一者。电子设备200可包括处理子系统210、存储器子系统212、联网子系统214、认证子系统216和可选的安全子系统 218。处理子系统210包括被配置为执行计算操作的一个或多个设备。例如,处理子系统210可包括一个或多个微处理器、专用集成电路(ASIC)、微控制器、可编程逻辑设备和/或一个或多个数字信号处理器(DSP)。
此外,处理子系统210可包括可选的安全区域处理器220(例如,在处理子系统210中的一个或多个处理器内实现为片上系统),其用于为处理子系统210中的其他部件执行安全服务并与电子设备200中的其他子系统安全通信。安全区域处理器220可包括一个或多个处理器、安全引导 ROM、一个或多个安全外围设备和/或其他部件。安全性外围设备可以是被配置为辅助由安全区域处理器220执行的安全服务的硬件。例如,安全性外围设备可包括:实现各种认证技术(包括生物特征认证)的认证硬件、被配置为执行加密的加密硬件、被配置为通过安全接口与其他部件通信的安全接口控制器和/或其他部件。在一些实施方案中,能够由安全区域处理器220执行的指令被存储在存储器子系统212中的被分配给安全区域处理器220的可信区域中,并且安全区域处理器220从可信区域获取指令以用于执行。安全区域处理器220可与处理子系统210中除了受控接口之外的其余部分隔离,从而形成用于安全区域处理器220及其部件的安全区域。因为至安全区域处理器220的接口是受控的,所以可防止对安全区域处理器220(诸如处理器或安全引导ROM)内组件的直接访问。在一些实施方案中,安全区域处理器220加密和/或解密利用认证子系统216传送的认证信息,并且加密和/或解密利用安全子系统218传送的信息(诸如令牌)。此外,安全区域处理器220可将该认证信息与所存储的认证进行比较,并且如果匹配,则可向安全元件230提供具有认证完成指示符的加密令牌和/ 或可将认证完成指示符设定为操作系统242中的标记。
存储器子系统212包括用于存储数据和/或指令的一个或多个设备,所述数据/指令用于处理子系统210、联网子系统214、认证子系统216和/或安全子系统218。例如,存储器子系统212可包括动态随机存取存储器 (DRAM)、静态随机存取存储器(SRAM)和/或其他类型的存储器。在一些实施方案中,用于存储器子系统212中的处理子系统210的指令包括:一个或多个程序模块或指令集(诸如程序模块244,例如,电子钱包、存折和/ 或移动支付应用程序),其可以由处理子系统210执行。需注意,该一个或多个计算机程序可构成计算机程序机制或程序模块。此外,存储器子系统212中的各个模块中的指令可以以下语言来实现:高级程序语言、面向对象的编程语言、和/或以汇编语言或机器语言。此外,所述编程语言可以被编译或解释,例如,可配置或被配置(在本讨论中可互换使用)为由处理子系统210执行。
此外,存储器子系统212可包括用于控制对存储器的访问的机制。在一些实施方案中,存储器子系统212包括存储器分级结构,该存储器分级结构包括耦接到电子设备200中的存储器的一个或多个高速缓存。在这些实施方案中的一些实施方案中,该高速缓存中的一个或多个高速缓存位于处理子系统210中。
在一些实施方案中,将存储器子系统212耦接到一个或多个高容量海量存储设备(未示出)。例如,存储器子系统212可耦接到磁盘驱动器或光盘驱动器、固态驱动器、或另一种类型的海量存储设备。在这些实施方案中,存储器子系统212可被电子设备200用作用于经常使用的数据的快速存取存储装置,而海量存储设备被用于存储使用频率较低的数据。
联网子系统214包括被配置为耦接到有线网络和/或无线网络(即,以执行网络操作)并在其上进行通信的一个或多个设备,该一个或多个设备包括接口电路222(诸如近场通信电路)和可选的天线224。例如,联网子系统214可包括BluetoothTM联网系统、蜂窝联网系统(例如,3G/4G网络,诸如UMTS、LTE等)、通用串行总线(USB)联网系统、基于IEEE 802.11中所述标准的联网系统(例如,
联网系统)、以太网联网系统、近场通信(NFC)系统和/或任何其他通信系统中的一者或多者。
联网子系统214包括处理器、控制器、无线电部件/天线、插座/插头、和/或用于耦接到每个所支持的联网系统或通信系统、在每个所支持的联网系统或通信系统上进行通信并且为每个所支持的联网系统或通信系统处理数据和事件的其他设备。需要指出,用于耦接至每个网络系统的网络、在每个网络系统的网络上进行通信、和处理每个网络系统的网络上的数据和事件的机制有时统称为用于该网络系统的“网络接口”。此外,在一些实施方案中,电子设备之间的“网络”尚不存在。因此,电子设备200可使用联网子系统214中的机制来执行电子设备200和计算机112之间的简单无线通信(图1),例如,传输通告帧,请求消息、信标、页面,或其他此类设备对设备/点对点通信。
认证子系统216可包括用于从电子设备200的用户接收认证信息,并且用于(诸如通过对认证信息进行加密)将该认证信息安全地传送至处理子系统210的一个或多个处理器、控制器和设备。例如,认证信息可包括以下中的任一者或全部:由生物特征传感器226(诸如:指纹传感器、视网膜传感器、手掌传感器、数字签名标识传感器等)获取的生物特征标识符;与使用可选用户界面设备228(诸如小键盘、触敏显示器、光学字符识别和/或语音识别等等)接收的支付小应用程序234中的一个小应用程序相关联的个人识别号(PIN);以及用于解锁使用用户界面设备228接收的电子设备200的至少一些功能的密码。
此外,安全子系统218可包括安全元件230,该安全元件包括存储器和一个或多个处理器。需要指出,安全元件230可以是在电子设备200中的用于提供安全性、保密性、以及为了支持各种商业模型所需的多个应用环境的防篡改部件。安全元件230可以多种形状因数中的一种或多种形状因数存在,诸如:通用集成电路卡(UICC)、嵌入式安全元件(位于电子设备200中的电路板上)、智能安全数字(SD)卡、智能微型SD卡等。
此外,安全元件230可包括在安全元件230的环境(诸如在安全元件 230的操作系统232中和/或在安全元件230上执行的Java运行环境中)执行的一个或多个小应用程序或应用程序。例如,所述一个或多个小应用程序可包括执行非接触注册表服务(contactlessregistry service),加密/解密通过安全区域处理器220传送的数据包或令牌,在安全元件230的操作系统232 中设置一个或多个软件标记(诸如认证完成标记),以及/或者将信息输送到一个或多个支付小应用程序234的认证小应用程序。所述一个或多个小应用程序可包括一个或多个支付小应用程序234,该一个或多个支付小应用程序用于,当一个或多个支付小应用程序由程序模块244基于一个或多个软件标记而被激活时和/或当电子设备200邻近另一电子设备时,与另一电子设备进行事务处理。具体地讲,支付小应用程序234可各自与筹资工具或支付工具(诸如信用卡、借记卡、预付费借记卡、礼品卡、奖励卡、另一类型的支付卡,并且更一般地,由金融机构或商家例如,与用户诸如电子设备200的用户的账户相关联的银行提供的凭据)相关联。此外,在一些具体实施中,可识别其中可使用给定的支付小应用程序进行事务处理的相关联区域。此外,安全元件230可包括与在进行事务处理时使用的一个或多个支付小应用程序234相关联的信息(诸如设备主账号(DPAN)、个人识别号(PIN)、借记卡号和/或一个或多个加密密钥)。(需注意,DPAN可与财务账户的财务主账号或者说FPAN诸如信用卡号相关联,但与其不同。DPAN可为可由支付网络生成或由设备本地生成的FPAN的虚拟标识符。
认证小应用程序可在安全元件230中的主或发行者安全域(诸如控制权限安全域)中执行,而支付小应用程序234可在补充安全域中执行。这些安全域之间的通信可使用特定于安全域的不同加密/解密密钥来进行加密。在电子设备200中和/或在电子设备200和计算机112(图1)之间的通信期间,加密/解密可涉及对称加密和/或非对称加密。此外,所传送的信息还可包括特定于电子设备200和/或电子设备200中的部件诸如安全元件 230或支付小应用程序234中的一个支付小应用程序的数字签名。
在电子设备200的操作期间,用户可使用应用程序246来选择或激活一个或多个支付小应用程序234。如果支付小应用程序支持认证完成标记 (如通过在支付小应用程序中启用或设置认证支持所指示的),为了使支付小应用程序与另一电子设备进行事务处理,支付小应用程序可能需要被激活并且可能需要在安全元件230中设置或启用认证完成标记(指示用户已被认证)。相反,对于不支持认证完成标记的支付小应用程序234中的一个支付小应用程序,当该支付小程序为活动(即,支付小程序的操作不通过设置或启用安全元件230中的认证完成标记而被门控)时可进行事务处理。虽然本讨论说明了全局认证完成标记的使用,但需注意,在一些实施方案中,单独的认证完成标记与至少一些支付小应用程序234相关联 (即,可存在用于给定支付小应用程序的特定认证完成标记等)。
当电子设备200邻近所述另一电子设备(诸如销售点终端)时,或者当安全区域处理器220向安全元件230提供支付命令时,指定的、激活的和/或认证的支付小应用程序234中的一个支付小应用程序可将一个或多个支付数据包(其可以是加密的或未加密的)提供至接口电路222或者安全区域处理器220(其随后将一个或多个支付数据包提供至接口电路222)。然后,接口电路222可使用天线224将支付数据包传送至所述另一电子设备(诸如销售点终端)。需注意,支付数据包可包括与支付小应用程序234 中的一个支付小应用程序相关联的财务信息(诸如财务凭据或DPAN)。
该财务信息(以及所述另一电子设备提供的附加信息,诸如商家标识符、事务处理金额等)可由所述另一电子设备传送至支付网络116(图 1),以完成事务处理。一旦事务处理完成,可由接口电路222接收来自管理电子设备(例如,可与电子设备200的供应商相关联的服务器或基站) 的通知。应用程序246可向呈现子系统238提供通知,用于(例如,通过显示器、可听声和/或触觉刺激中的一者或多者)呈现通知,因此电子设备 200的用户可意识到事务处理已成功完成。
如前所述,为了使用一个或多个支付小应用程序234在相关联区域中进行事务处理,可能需要提供一个或多个支付小应用程序234(以及更一般地,一个或多个相关联的支付工具或凭据)。在配置技术期间,安全区域处理器220可从用户接收指定未配置支付工具(或凭据)的信息,并且该信息可被安全地传送至安全元件230。例如,用户可使用用户界面设备228 (诸如键盘或麦克风)输入信息,并且/或者可使用包括在电子设备200中的成像传感器或NFC设备来获取信息。因此,该信息可包括:未配置支付工具的图像(诸如图片);和/或与未配置支付工具(诸如FPAN)相关联的数值标识符。
操作系统232(或由安全元件230中的处理器在操作系统232的环境中执行的程序模块)可基于使用接口电路222传送至计算机112-1(图1)的信息来生成消息。例如,操作系统232可使用与支付小应用程序234中的一个支付小应用程序相关联的加密密钥来加密消息中的信息。
此外,接口电路222可从区域118-1中的计算机112-1(图1)接收重定向信息,其中该重定向信息指定与第二区域(区域118-2)相关联的计算机112-2(图1),在第二区域中将保留与未配置支付工具相关联的信息。该重定向信息可被安全地传送至操作系统232。此外,操作系统232可指示接口电路222将消息提供至计算机112-2(图1),如重定向信息所指示的。
接口电路222可用于在电子设备200和计算机112-2(图2)之间传送配置信息。操作系统232可使用该配置信息来将未配置支付工具配置为附加的已配置支付工具。例如,操作系统232可使用配置信息来配置或启用支付小应用程序234中的一个支付小应用程序。
在一些实施方案中,在将消息提供至计算机112-2(图1)之前,操作系统232可经由接口电路222可选地与另一个计算机(诸如计算机或与支付网络运营商相关联的服务器)交换注册信息,以便在第二区域(区域 118-2)中注册用户。另选地,计算机112-2(图1)可以可选地例如基于来自另一区域的先前注册信息(例如,从区域118-1复制注册)在第二区域中注册用户。
在电子设备200内,处理子系统210、存储器子系统212、联网子系统 214、认证子系统216和安全子系统218可使用一个或多个互连件诸如总线 236耦接在一起。这些互连件可包括可供这些子系统用于在彼此之间传送命令和数据的电连接件、光学连接件、和/或光电连接件。需注意,不同的实施方案可包括子系统之间的不同数量或配置的电连接件、光连接件、和/或光电连接件。在一些实施方案中,电子设备200可检测对安全部件(诸如安全区域处理器220、安全元件230和/或总线236)的篡改,并且如果检测到篡改,则可破坏加密/解密密钥或认证信息(诸如所存储的生物特征标识符)。
在一些实施方案中,电子设备200包括用于使用传感输入来呈现信息 (诸如成功完成的事务处理的通知)的可选呈现子系统238,其可包括显示驱动器和显示器(诸如液晶显示器、多点触摸屏等)、一个或多个扬声器和/或触觉反馈设备。此外,在一些实施方案中,电子设备200包括可选安全输入/输出(I/O)子系统240(例如小键盘),其用于接收用户的与支付小应用程序234中的一个支付小应用程序相关联的PIN。如前所述,呈现子系统238和/或安全I/O子系统240可包括在认证子系统216中。
电子设备200可为具有至少一个网络接口的任何电子设备(或可被包括在具有至少一个网络接口的任何电子设备中)。例如,电子设备200可为(或可包括在):台式计算机、膝上型计算机、服务器、计算机系统 (其可位于特定位置或可在地理上分布)、媒体播放器(诸如MP3播放器)、电器、小型笔记本电脑/上网本、平板电脑、智能电话、蜂窝电话,可穿戴计算设备、一台测试设备、网络电器、机顶盒、个人数字助理 (PDA)、玩具、控制器、数字信号处理器、游戏机、电器内的计算引擎、消费类电子设备、便携式计算设备、个人备忘记事本和/或其他电子设备。
虽然使用了特定部件来描述电子设备200,但是在可另选的实施方案中,在电子设备200中可能存在不同的部件和/或子系统。例如,电子设备 200可包括一个或多个附加的处理子系统、存储器子系统、联网子系统、认证子系统、安全子系统、呈现子系统和/或安全的I/O子系统。另外,一个或多个子系统可能不存在于电子设备200中。此外,在一些实施方案中,电子设备200可包括图2中未示出的一个或多个附加子系统。例如,电子设备200可包括但不限于数据收集子系统、音频子系统和/或视频子系统、报警子系统和/或媒体处理子系统。此外,虽然在图2中示出了单独的子系统,但是在一些实施方案中,给定子系统或部件中的一些或全部可被集成到电子设备200中的其他子系统或部件中的一者或多者中。例如,在一些实施方案中,程序模块244被包括在操作系统242中。另选地或除此之外,程序模块244的至少一些功能可被包括在应用程序246中。
此外,电子设备200中的电路和部件可使用模拟电路和/或数字电路的任一组合来实现,包括:双极性PMOS和/或NMOS栅极或晶体管。此外,这些实施方案中的信号可包括具有近似离散值的数字信号和/或具有连续值的模拟信号。另外,部件和电路可为单端型的或差分型的,并且电源可为单极性的或双极性的。
集成电路可实现联网子系统214(诸如无线电部件)的一些或全部功能,并且更一般地,可实现电子设备200的一些或全部功能。此外,集成电路可包括用于从电子设备200传输无线信号到计算机112(图1)以及在电子设备200处接收来自该计算机的信号的硬件和/或软件机制。除了本文所述的机制,无线电部件在本领域中是已知的,因此没有详细描述。通常,联网子系统214和/或集成电路可包括任意数量的无线电部件。
在一些实施方案中,联网子系统214和/或集成电路包括配置一个或多个无线电部件以在给定通信信道(例如给定载波频率)上进行传输和/或接收的配置机制(诸如一个或多个硬件和/或软件机制)。例如,在一些实施方案中,该配置机制可用于将无线电部件从在给定通信信道上进行监视和/ 或传输切换到在另一通信信道上进行监视和/或传输。(需注意,本文所使用的‘监视’包括从其他电子设备接收信号,并且可能会对所接收的信号执行一个或多个处理操作,诸如,确定所接收的信号是否包括通告帧等。)
虽然使用与蜂窝电话网络兼容的通信协议作为说明性示例,但是所描述的配置技术的实施方案可以用在各种网络或通信接口中。此外,虽然前述实施方案中的一些操作在硬件或软件中实现,但是一般来讲,前述实施方案中的操作可在多种配置和架构中实现。因此,前述实施方案中的一些或全部操作可在硬件、软件中执行或在硬件和软件中同时执行。
此外,虽然前面的讨论集中在电子设备200中的硬件、软件和功能上,但是计算机112(图1)可具有相同或相似的硬件(处理器、存储器、网络接口等)和/或软件来支持由这些实体执行的操作,如下文参考图3至图7进一步描述的。具体地讲,这些实体可包括具有处理子系统的一个或多个计算机,该处理子系统执行存储在存储器子系统中的一个或多个程序模块以执行操作,以及用于与其他电子设备诸如电子设备200通信的一个或多个网络接口。
根据一个实施方案,我们现在进一步描述了配置与电子设备一起使用的支付工具(例如支付小应用程序)。图3呈现了示出用于在不同区域中配置未配置支付工具的方法300的示例的流程图,该方法可使用电子设备 (诸如图1中的电子设备110)来执行。具体地讲,可使用一个或多个处理器、接口电路和/或电子设备中的安全元件中的处理器(其执行程序模块) 来执行方法300。为了方便而非限制,可使用图1和图2的元件描述方法 300。
方法300从步骤305开始,其中电子设备110可访问被支持或可用于注册的不同区域的列表。
在步骤310,电子设备110可在区域中的计算机系统处注册。在一些实施方案中,当电子设备110例如,向位于区域1(R1)中的第一计算机系统 112-1(例如,一组服务器)进行首次注册时,计算机系统112-1被认为是主pod(或主注册系统)。在其他实施方案中,电子设备110可向在第一区域(例如,R1)中的第一计算机112-1进行注册,但与不同区域(例如,R2)中的主pod相关联。
在步骤315,电子设备110接收指定未配置支付工具或凭据的信息。例如,该信息可包括:未配置支付工具的图像(诸如图片);和/或与未配置支付工具(诸如FPAN)相关联的数值标识符。在其他实施方案中,可使用其他标识符或附加标识符来识别待配置的支付工具。
在步骤317,电子设备110请求并获得未配置的第一支付工具的配置。可通过在电子设备110、计算机系统112-1和与计算机系统112-1相关联的受信任安全管理器(TSM)服务器之间交换信息来配置第一支付工具,以使其变得可用于事务处理。
在步骤318,电子设备110可访问关于未配置的第二支付工具的信息,如步骤315所述。例如,用户可通过屏幕上的图形用户界面(GUI)输入借记卡号和/或引脚,或者访问已由在电子设备110上的其他应用程序使用的支付工具。
在步骤320,电子设备110将基于未配置的第二支付工具信息的消息提供至可在网络中的第一位置(例如第一URL)处访问的第一计算机,其中该第一计算机与用户已在其中注册的第一区域相关联。如步骤317所述,第一计算机可能已经支持与用户相关联的第一已配置支付工具,用户可使用该支付工具经由该电子设备和/或另一电子设备进行事务处理。需注意,该消息可包括未配置的第二支付工具信息的一些或全部的加密版本。此外,第一已配置支付工具和第二已配置支付工具中的每一者可表示借记卡或信用卡。例如,电子设备110从第一区域中的第一计算机(例如,计算机系统112-1)请求对第二支付工具进行配置。计算机系统112-1可确定区域1中不支持第二支付工具。例如,区域1中的支付网络116-1可能不支持由与区域2中的支付网络116-2相关联的发行者发行的信用卡。
在步骤325,电子设备110可从第一计算机(例如,计算机系统112- 1)接收重定向信息,其中重定向信息指定在网络中的第二位置(诸如第二 URL)处可访问的第二计算机(例如,计算机系统112-2),并且第二计算机与支持未配置支付工具的第二区域相关联。例如,重定向信息可包括:具有超文本传输协议(HTTP)状况码301的重定向,具有HTTP状况码307 的重定向,和/或具有HTTP状况码308的重定向。
在步骤330,电子设备110可向在第二区域中的第二计算机(例如,计算机系统112-2)进行注册。在步骤335,电子设备110可请求第二区域中未配置的第二支付工具的资格检查。例如,计算机系统112-2可与用于 R2的支付网络运营商(PNO-R2)通信,以确定第二支付类型是否满足某些要求。例如,第二支付类型是活动的、信誉良好的等。
在步骤345,电子设备110从计算机系统112-2接收未配置的第二支付工具的资格状况。
在步骤350,当资格状况为肯定的并且接收到来自用户的请求配置第二支付工具的输入时,电子设备110请求启用未配置的第二支付工具。该请求被传输至第二区域中的第二计算机,即计算机系统112-2。计算机系统 112-2生成并保存与第二支付工具相关联的图像数据,其可包括用户已输入和/或捕获的文本和图形。
在步骤360,电子设备110从第二区域中的第二计算机(例如,计算机系统112-2)接收推送通知,以获得与正在激活的第二支付工具相关联的图像数据。
在步骤362,电子设备110访问与正在激活的第二支付工具相关联的图像数据。例如,图像数据可包括指示第二支付工具正在进行激活的用户的通知(例如,可听声或动画)。
在步骤370,电子设备110接收来自第二区域中的受信任安全管理器 (TSM)服务器的推送通知(例如,TSM-R2-P1),以获得与正在激活的第二支付工具相关联的个性化脚本。
在步骤375,电子设备110访问来自第二区域中的TSM服务器的个性化脚本(例如,TSM-R2-P1),其包括与正在激活的第二支付工具相关联的设备主账号(DPAN)。
在步骤378,电子设备110确认DPAN并将DPAN存储在安全元件 230中。存储可能是成功的,或者例如,如果发生错误,则存储可能不成功。
在步骤380,电子设备110将在安全元件230中存储DPAN的结果传输至第二区域中的TSM服务器(例如,TSM-R2-P1)。
在步骤390,电子设备110从第二区域中的第二计算机接收推送通知,以获得与现在已激活的第二支付工具相关联的更新的图像数据。
在步骤393,电子设备110访问与现在已激活的第二支付工具相关联的更新的图像数据。
一旦第二支付工具被配置成为第二已配置支付工具,则用户可基于该第二已配置支付工具通过该电子设备和/或另一电子设备进行事务处理 (即,可使用与在配置支付工具期间使用的电子设备相同或不同的电子设备进行事务处理)。基于第二已配置支付工具的事务处理可限于或可不限于第二区域。一旦配置,第一支付工具和第二支付工具可在电子设备上表示,而不参考与它们相关联的区域。例如,第一支付工具和第二支付工具或凭据可以提供统一视图/体验的方式在相同的应用程序(例如,存折或电子钱包应用程序)中呈现。可进一步呈现第一支付工具和第二支付工具或凭据,使得支付工具存储在不同区域上或以其他方式与不同区域相关联是不明显的。
另选地,支付工具在电子设备上的表示方式可由支付工具与之相关联的区域通知。例如,如果电子设备在可使用支付工具进行事务处理的区域中,则该支付工具可能只能被显示或以其他方式表示为活动的或可用的。此外,可允许用户选择如何呈现,例如在应用程序内的已配置支付工具或凭据。因此,应用程序可被配置为例如基于用户输入以统一的方式或单独的方式呈现支付工具或凭据。
在一些实施方案中,通过与第三计算机,诸如与支付网络运营商(例如信用卡供应商)相关联的第三计算机交换注册信息(操作316),用户经由电子设备可选地在第二区域中注册。
需注意,第一计算机可存储与第一已配置支付工具相关联的财务信息。在未配置支付工具被配置成为第二已配置支付工具之后,第二计算机可基于与第二区域相关联的规定来存储与第二已配置支付工具相关联的第二财务信息。以这种方式,存储在第一计算机和第二计算机中的财务信息可能不存在任何重叠。
图4中示出了由第一计算机和/或第二计算机执行的对应操作(其可包括在与配置技术和/或电子设备的供应商相关联或代表配置技术和/或电子设备的供应商进行操作的计算机系统中),其呈现了示出用于在图1的系统中配置未配置支付工具的方法400的示例的流程图。具体地讲,方法400 可由第一计算机和/或第二计算机中的一个或多个接口电路和处理器(其执行一个或多个程序模块)来执行。为了方便而非限制,可使用图1和图2 的元件描述方法400。
方法400从步骤408开始,其中计算机系统112-1可接收来自电子设备110的请求以注册,例如为该区域中的用户/设备创建新账户。
在步骤410,计算机系统112-1从电子设备接收消息,该消息包括指定未配置支付工具的信息,该信息包括用于评估注册资格的信息。
在步骤412,计算机系统112-1确定未配置支付工具与不同于第一区域的第二区域相关联或在其中受支持,该第一区域与计算机112-1相关联,其中在第一区域中注册用户。在一些实施方案中,当用户尝试配置与第二区域相关联的支付工具时,也可以调用方法400。
在步骤414,计算机系统112-1向电子设备110提供重定向信息,其中该重定向信息指定计算机系统112-2,即在网络中的第二位置处可访问的第二计算机系统,并且其中第二计算机系统与第二区域相关联,在第二区域中支持未配置支付工具。
另选地,第二计算机可从第一计算机接收消息。然后,第二计算机可在电子设备和第二计算机之间传送配置信息,从而使得未配置支付工具被配置成为第二已配置支付工具,其中用户可基于例如至少在第二区域中的第二已配置支付工具通过该电子设备和/或所述另一电子设备进行事务处理。
根据一些实施方案,图5示出了在方法300和400(图3和图4)期间电子设备110和计算机112之间的通信。具体地讲,当用户使用图像传感器508拍摄包括未配置支付工具的数值标识符(诸如FPAN)的图片或以其他方式输入识别未配置支付工具的信息时,图2中的安全区域处理器220 (以及更一般地,处理子系统210)可接收指定未配置支付工具的信息510。然后,处理子系统210可指示联网子系统214以将包括信息510的消息512提供到计算机112-1。计算机112-1可确定未配置支付工具与不同区域514相关联而非与和计算机112-1相关联并由该计算机支持的区域相关联。因此,计算机112-1可向电子设备110提供重定向信息516。或者,在一些实施方案中,计算机112-1可将消息512直接重定向到计算机112-2。
联网子系统214可接收重定向信息516,并且可将重定向信息516转发至处理子系统210。响应于重定向信息516,处理子系统210可指示联网子系统214向计算机112-2提供具有信息510的消息512,该计算机与其中支持未配置支付工具的区域相关联。接下来,电子设备110和计算机112-2可彼此传送配置信息518,以供安全元件230配置520未配置支付工具。
在方法300(图3)和400(图4)的一些实施方案中,可存在更多的或更少的操作。此外,可改变操作的顺序,和/或将两个或更多个操作合并为单个操作。例如,方法300中的操作(图3)可由电子设备中的不同处理器诸如安全区域处理器执行。另选地或除此之外,第一计算机可将消息与第二计算机可用于与第一计算机和/或电子设备通信的位置(诸如地址)一起转发至第二计算机。在此类实施方案中,电子设备不需要向第二计算机提供消息。
在示例性实施方案中,配置技术允许用户获得所谓的“多归属”财务数据或与可用于在不同区域进行事务处理的支付工具相关联的信息。这种多归属功能允许用户在他们的电子设备(诸如他们的蜂窝电话)上拥有其支付信息(例如,与不同国家相关联的支付信息)的统一视图,而用于与不同区域(诸如不同区域或国家)相关联的不同支付工具的财务数据被归属在物理上和逻辑上单独位置(对应于不同区域)中的计算机上。
在现有的支付系统中,注册用户可与一个pod有亲缘关系。pod可包括位于为注册用户服务的一个区域中的一组一个或多个服务器。由于某些情况,例如,政策、规则、法规等(其可能要求用于与特定国家相关联的支付工具的财务数据仅存储在该国家的计算机上),和/或潜在的延迟问题,用户可能需要在不止一个区域中注册,因此需要注册不止一个pod。需注意,一个区域可包括一组pod,例如诸如彼此位于紧密的空间位置中或彼此邻近(诸如一个国家的相邻部分)的pod。例如,一个区域可包括四个 pod。(这是说明性示例,而并非意在限制。一般来说,一个区域可包括少于或多余四个pod)。然而,在所描述的配置技术中,用户可在不止一个区域中注册。这可能需要在电子设备和与这些区域相关联的计算机上的附加功能。这些功能可允许用户在统一账户(和/或应用程序视图)中配置其财务数据驻留在系统中与不同区域相关联的多个单独计算机中的支付工具,同时提供用户在电子设备上的多个支付工具、通行证和凭据的一致且完整的视图。在一些实施方案中,这些计算机位于单独区域中。例如,用户账户可具有与第一区域中的第一pod相关联的一个或多个支付工具、通行证和/或凭据,以及与第二区域中的第二pod相关联的一个或多个不同的支付工具、通行证和/或凭据。尽管如此,与第一pod和第二pod相关联的支付工具、通行证和/或凭据中的一些或全部可被表示为例如在电子设备上的统一集合。
一个问题是为同一用户在多个区域中存储财务或支付工具数据。为了解决这个问题,电子设备和/或系统中的计算机可能需要具有另外的感知和智能。一般来说,实现计算机级别的功能可允许计算机:扩展良好、减少由跨区域通信引起的延迟以及/或者使复杂性最小化。此外,应用编程接口 (API)对在配置技术期间使用的系统的大多数调用可保持不变。客户端视图 (例如,电子设备上的视图),其可能需要用户的多个支付工具的聚合视图,可从多个区域(并且,特别是系统中的计算机)获取支付工具(或凭据)数据,并将其显示或呈现为单个数据集。
在一些实施方案中,用于不同区域的支付工具数据跨区域兼容。如果区域A中可以添加的所有支付工具都可以添加到区域B中,则区域A可与区域B兼容,反之亦然。例如,如果在欧洲可添加与美国相同的信用卡,则美国和欧洲可为兼容区域,反之亦然。在该示例中,例如,为了降低与从欧洲的电子设备到美国的pod的调用相关联的延迟,可使用单独区域来提高系统性能,以提供负载平衡,以及/或者缩短涉及到pod时(例如,用于配置和/或某些事务处理)的事务处理时间。(虽然可能不会使用系统中的计算机处理事务处理,因此事务处理期间的延迟可不受其位置的影响,但应用程序内购买可使用系统中的计算机进行处理,因而在应用程序内购买期间的延迟可因多归属而改善。)
但是,在配置技术中,可能会存在对可通过系统中的计算机访问的 API的某些更改。具体地讲,可能需要更新区域列表API(其提供称为plist 的小配置文件)和注册API。通常,当满足以下任何条件时可允许用户注册:电子设备已经在当前pod上注册;电子设备没有在任何地方注册;电子设备在其他区域注册,并且所有注册区域与当前区域不兼容;以及/或者电子设备由新用户拥有(在这种情况下,用户可首先在任何其他地方注销)。
此外,来自其中一台计算机的响应体API可被封装在较大的数据结构中。该数据结构可向电子设备通知用户注册的所有区域,诸如:区域1: {注册响应体},区域2:{注册响应体},...,以及区域N:{注册响应体}。
此外,支票卡API可用于有条件地将电子设备指向不同的区域(例如,以提供重定向信息)。对新的(未配置的)卡或支付工具以及现有的 (已配置的)卡或支付工具检查资格的调用可检查以查看待配置的卡的 FPAN的银行识别号(bin)范围(诸如FPAN中的前六个数字)是否在执行该代码的区域(,即与该区域相关联的计算机)上被允许。(更一般地,可使用与支付工具相关联的标识符来检查资格。)如果允许该支付工具,则计算机可继续进行配置。然而,如果不允许该支付工具,并且用户在允许未配置卡的另一区域(即,一旦配置,便可在该区域存储支付凭据信息) 注册,则计算机可返回指示电子设备应尝试在另一个pod(并且因此在系统中与所述另一区域相关联的另一台计算机上)进行配置的消息。另选地,如果用户没有在待配置未配置卡的所述另一区域注册,则计算机可返回指示电子设备应在尝试配置之前在另一个pod中注册的消息。
除此之外,另一个API可用于:为每个区域创建新的证书或主题,以及一个全球主题;向电子设备发送有关区域特定主题的推送,这可使电子设备访问该区域中的已注册pod;以及/或者提供可使电子设备访问其全部 N个区域的全球推送主题。
需注意,系统中的计算机可负责将有关电子设备所在区域的支付工具数据挂起、恢复和/或解除链接。此外,电子设备可为电子设备(即,用户)注册的每个区域调用获得通过API,并可为用户将结果聚合为最终视图。
上述多归属介绍了具有pod集合的区域。在配置技术期间,用户可通过系统中的相关联计算机(或服务器)在区域中的pod中的一个pod中注册。作为响应,可下载带支持区域条目的小配置文件(plist),其可包括诸如以下的信息:中国和相关联服务器的URL,美国和另一相关联服务器的另一URL等。
对于与当前注册区域诸如美国(并且因而与当前服务器)相关联的未配置支付工具或卡,电子设备可向适当的URL发出请求以启动注册过程。然后,可照常为电子设备配置支付工具。
然而,如果用户随后尝试配置仅在另一区域如中国受支持的新的未配置支付工具或卡,而当前区域仍然是美国,则当电子设备和与美国相关联的服务器通信时,该服务器可解密与新支付工具相关联的信息并(例如,通过FPAN中的bin范围)确定用户在美国注册而新支付工具仅在另一区域如中国受支持。因此,服务器可发送识别支持区域的重定向(诸如,HTTP 301响应),诸如在中国的pod的URL。
接下来,用户可在支持区域如中国进行注册,并且可配置未注册的支付工具,以使与新配置的支付工具相关联的财务数据存储在支持区域如中国的服务器中。需注意,存储在电子设备中的安全元件上的配置信息(诸如DPAN)可能受到限制,并且支付凭据(诸如FPAN)可能不会转移到安全元件上。相反,安全元件的状况(特别是安全元件上的安全域中相关联支付小应用程序的容器的状况)可在电子设备和位于例如中国的服务器之间输送。敏感的配置信息可存储在与该区域(诸如中国)相关联的服务器上。该配置信息可包括:财务信息、支付信息、事务处理的URL、持卡人姓名、FPAN的最后四位、银行名称、标识符(诸如DPAN)等。
虽然财务数据可以分布式的方式存储在系统中的服务器上,但是所有 pod能够彼此进行通信,所以可确定用户的注册区域,并且用户可在电子设备上查看其配置卡的统一图片。
图6示出了对新卡进行配置的示例性实施方案,其呈现了示出图1中的一个电子设备和计算机之间进行通信的图示。可根据本公开的示例,使用图1和图2的要素来描述流程600。具体地讲,在步骤605的配置技术期间,电子设备110下载不同区域的访问列表,电子设备110可使用这些访问列表进行注册。例如,电子设备110可下载带有与区域相关联服务器的 URL的配置文件(例如,获取plist)。该配置文件可由静态内容分配服务 601(诸如可由第三方或系统供应商托管的静态内容服务器)提供。
在步骤610,电子设备110在基于当前区域(R1)的pod(P1)中注册。为此,电子设备110可访问系统中服务器的URL,该服务器有时被称为代理服务器(B-R1-P1)。
电子设备110注册后,电子设备110可访问由用户输入电子设备110 中或来自电子设备110上的应用程序的一个或多个信用卡和/或借记卡。例如,在步骤615中,电子设备110可向B-R1-P1提供卡片列表的调用。
用户还可尝试配置无法在当前区域配置的新卡,例如,在步骤620 中,电子设备110将资格检查请求传输至计算机系统112-1的B-R1-P1。B- R1-P1可确定,例如,R1中的支付网络116-1不支持新卡,且在不同区域,诸如区域2(R2)支持新卡。
在步骤625中,B-R1-P1通过适当服务器(例如,计算机系统112-2的 B-R2-P1)的URL提供重定向信息,例如,HTTP状况码301、307和/或 308。
如果用户未在与新卡相关联的区域(例如,R2)注册,则用户可能需要按照步骤630所示在该区域中注册电子设备110,然后才能尝试配置新卡。然而在一些实施方案中,用户尝试在未注册条件下在新区域配置新卡。
在步骤635中,电子设备110可请求对新卡进行资格检查,以确定是否可在R2中配置新卡。作为响应,在步骤640中,B-R2-P1可向区域R2 的支付网络运营商(又称PNO-R2,例如,中国信用卡公司)的服务器发起新信用卡(NCC)请求。PNO-R2可确定并向B-R2-P1提供新信用卡的肯定或否定资格状况。
在步骤645中,B-R2-P1可向电子设备110提供包括新卡条款和条件在内的资格状况。
在步骤650中,当资格状况为肯定时,电子设备110则可请求对新卡进行配置。例如,用户可选择电子设备上用于指示符合条款的项目,然后触发步骤650。具体地讲,电子设备110可提供配置请求,从而利用标识符作为证明来启用卡。
作为响应,在步骤655中,B-R2-P1可在DPAN和FPAN之间创建链接,并向PNO-R2提供配置请求。在一个实施方案中,B-R2-P1向PNO-R2 传输配置请求,该请求将生成DPAN并将DPAN链接到FPAN。
在步骤660中,B-R2-P1可传输推送通知,并且作为响应,在步骤662 处,电子设备110从B-R2-P1获取图像数据。图像数据与正在进行激活的第二支付工具相关联,并且还可包括系统中另一个服务器的URL,该服务器又称区域2pod 1的受信任安全管理器(TSM-R2-P1),其中将会托管新卡的低级个人化脚本。
在步骤665中,PNO-R2可向TSM-R2-P1发送新卡的个人化信息(包括卡片工艺、联系信息和DPAN等)。
作为对步骤670中按区域推送通知的响应,电子设备110可在步骤675 中使用URL下载个人化脚本。确认个人化脚本的数字签名后,电子设备 110可使用个人化脚本对DPAN进行个性化处理,或将其存储在支付小应用程序、与新卡相关联的安全元件230上的容器中。当该操作完成时,用户将能够在电子设备110上的应用程序中查看新卡。
执行完个人化脚本后,在步骤680中,电子设备110可将指示操作已成功完成的个性化处理后结果(例如,DPAN是否成功存储在安全元件230 中)传输至TSM-R2-P1。例如,与新卡相关联的DPAN可存储在支付小应用程序234中。此外,可存在多个DPAN,每个DPAN与不同支付工具相关联,并存储在不同的小应用程序234中。
在步骤681中,可将个性化处理后信息提供至PNO-R2。在步骤685 中,TSM-R2-P1将个性化处理后结果传输至计算机系统112-2的B-R2-P1,并指示B-R2-P1经由推送通知690激活在电子设备110上存储新卡的 DPAN的支付小应用程序。在步骤693中,电子设备110获取与所配置的新卡相关联的更新图像数据。用户现在可以使用与所配置的卡相关联的支付小应用程序,例如,至少在区域R2进行事务处理。
图7示出了将DPAN从FPAN解除链接的示例性实施方案,示出了图 1中一个电子设备和计算机之间进行通信的图示。(如果例如电子设备丢失,则可执行解除链接以禁用所配置的支付工具。)具体地讲,用户可通过访问基于云端的服务器701发起远程删除。作为响应,该服务器可识别在其中注册有电子设备110的所有pod。但服务器可能不知道用户“归属”在哪一个pod里。因此,服务器可向任意pod(用户可能在其中进行了注册也可能未注册)发送远程擦除请求。然后,该pod可将擦除请求转发至主 pod,即用户和电子设备首次注册的pod。
在另一个实施方案中,在步骤705中,基于云端的服务器701将远程擦除请求转发至主pod,计算机系统112-1的B-R1-P1。在步骤710中,主 pod B-R1-P1可向相关联的PNO-R1传输解除链接指令以使DPAN不活动,例如,将与电子设备和/或用户相关联的任何DPAN从FPAN解除链接。
另外,在步骤715中,主pod B-R1-P1可将解除链接请求转发至与其他区域关联的pod,并且在步骤720中,这些一个或多个辅助pod可将解除链接指令传输至其他区域中的对应PNO。例如,可通过相关联的PNO将配置在与电子设备110和/或用户相关联的其他区域中的DPAN从对应FPAN 解除链接。
在步骤725中,主pod B-R1-P1可将删除脚本传输至与主pod相关联的信任安全管理服务器TSM-R1-P1,又称主TSM服务器。删除脚本在被执行时导致安全元件230的一个或多个处理器删除支付小应用程序234,包括在不同区域中配置DPAN(例如,未在R1中配置)的支付小应用程序。在步骤730中,主pod B-R1-P1将远程擦除结果传输至基于云端的服务器701。
在步骤735中,TSM-R1-P1将推送通知传输至电子设备110,以便在步骤740中获取删除脚本。电子设备110删除安全元件230中的一个或多个支付小应用程序234,并在步骤745处将删除脚本的结果传输回TSM-R1- P1。
在步骤750中,TSM-R1-P1将删除脚本的结果传输至主pod B-R1-P1,其在步骤755中传输推送通知。在步骤757中,电子设备110获取与在R1 中配置的支付工具相关联的经修改的图像数据。
在步骤760中,TSM-R1-P1将删除脚本的结果传输至其他对应区域,例如,计算机系统112-2的B-R2-P1。在步骤765中,B-R2-P1传输推送通知。因此,在步骤767中,电子设备110从B-R2-P1获得经修改的图像数据,其中经修改的图像数据与在R2中配置的支付工具相关联。
在另一个实施方案中,每个pod可提供删除脚本来清理与卡相关联的安全元件中的容器。需注意,删除电子设备110上的数据可以由用户手动授权。
尽管先前讨论中所阐释的配置技术将与不同支付工具相关联的金融数据存储在位于不同地理位置的单独计算机上,但在一些实施方案中,如果符合政府规定且对延迟无负面影响,则金融数据可存储在公共计算机上。例如,用户可在美国进行注册,并可配置允许用户在美国进行事务处理的支付工具。相关联的金融数据可存储在与美国区域相关联的计算机上。如果用户随后添加允许用户在中国 香港进行事务处理的新支付工具,则相关联的金融数据可存储在与中国 香港区域相关联的计算机上。由于与美国区域相关联的金融数据可存储在任何地方,而与中国 香港区域相关联的金融数据可能需要存储在与中国 香港区域相关联的计算机上,因此系统可决定将所有金融数据统一存储在与中国 香港区域相关联的计算机上。
图8示出了根据本公开的示例性实施方案,用于从不同区域中去除支付工具的电子设备的方法。可根据本公开的示例,使用图1、图2、图6和图7中所示的要素来描述方法800。
方法800始于步骤835,其中电子设备110从与主pod B-R1-P1相关联的主受信任服务管理服务器(例如,TSM-R1-P1)接收推送通知。
在步骤840中,电子设备110从与主pod相关联的主TSM(例如, TSM-R1-P1)访问删除脚本。
在步骤843中,电子设备110去除存储在安全元件230中的任意支付工具,该支付工具配置于任何区域,而不仅是主pod的R1。例如,在R2 中配置的与DPAN相关联的支付工具也将被删除。
在步骤845中,电子设备110将删除结果传输至主TSM服务器TSM- R1-P1。
在步骤855中,电子设备110从主pod B-R1-P1接收推送通知,以获取经修改的图像数据。
在步骤857中,电子设备110从主pod访问经修改的图像数据,该图像数据可包括指示R1中所配置的支付工具已被去除的图像和文本。
在步骤865中,电子设备110从与电子设备注册区域不同的区域中的 pod(例如,B-R2-P1)接收推送通知。
在步骤867中,响应于该对推送通知,电子设备110从不同区域的pod 访问经修改的图像数据,该数据可指示去除先前配置的支付工具。
图9示出了根据本公开的示例性实施方案,用于从不同区域中去除支付工具的计算机系统的方法。具体地讲,方法900用于从计算机是主pod 的电子设备中去除支付工具。可根据本公开的示例,使用图1、图2、图6 和图7中所示的要素来描述方法900。
当主pod(例如,B-R1-P1)从服务器,诸如基于云端的服务器接收远程擦除请求时,方法900始于步骤905。远程擦除请求识别出要从电子设备 110中去除支付工具的电子设备110。
在步骤910中,主pod将解除链接指令传输至对应区域支付网络运营商(例如,支付网络116-1),以将任何与电子设备相关联的财务主账号 (FPAN)从任意对应设备主帐号(DPAN)解除链接。
在步骤915中,主pod向其他区域中的其他pod(例如,计算机系统 112-2)传输解除链接指令;所述其他pod可与对应PNO通信,从而同样将任何与电子设备相关联的FPAN从该区域的任意对应DPAN解除链接。
在步骤925中,主pod为与电子设备110相关联的安全元件230分配删除脚本,该脚本中与任意区域的电子设备110相关联的任意支付工具将被删除;并将删除脚本传输至主受信任服务管理服务器(例如,TSM-R1- P1,与主pod B-R1-P1位于同一区域的TSM服务器)。
在步骤930中,主pod将远程擦除结果传输至下达远程擦除请求的服务器。
在步骤950中,无论删除是否成功,主pod都将接收在电子设备110 (例如,安全元件230)中执行的删除脚本的结果。
在步骤950中,主pod向电子设备110传输推送通知,以获取经修改的图像数据,在步骤957中,主pod向电子设备提供经过修改的图像数据。例如,经修改的图像数据可指示从区域1删除支付工具的状况。在另一个实施方案中,经修改的图像数据可指示从所有用户注册区域删除支付工具的状况。
可以使用一种或多种众所周知的计算机系统,诸如图10所示的计算机系统1000来执行各种实施方案。计算机系统1000可以是能够执行本文所述功能的任何众所周知的计算机。例如但不限于,处理系统210(和/或图中所示其他装置和/或部件)可使用计算机系统1000或其一部分来实施。
计算机系统1000包括一个或多个处理器(又称中央处理单元或 CPU),诸如处理器1004。处理器1004连接通信基础结构或总线1006。
一个或多个处理器1004各自可为图形处理单元(GPU)。在一个实施方案中,GPU是这样的处理器:其为设计用于处理算数密集型应用的专用电子电路。GPU可具有并行结构,该结构能够并行处理大数据块,诸如计算机图形应用、图像、视频等共同的算数密集型数据。
计算机系统1000还包括一个或多个输入/输出设备1003,诸如监视器、键盘、定位设备等,这些设备通过用户输入/输出接口1002与通信基础结构1006进行通信。
计算机系统1000还包括主存储器或主存储器1008,诸如随机存取存储器(RAM)。主存储器1008可以包括一个或多个等级的高速缓存。主存储器1008中存储有控制逻辑(即计算机软件)和/或数据。
计算机系统1000还可包括一个或多个辅助存储设备或存储器1010。辅助存储器1010可包括,例如,硬盘驱动器1012和/或可移动存储设备或驱动器1014。可移动存储驱动器1014可以是软盘驱动器、磁带驱动器、光盘驱动器、光存储设备、磁带备份设备和/或任何其他存储设备/驱动器。
可移动存储驱动器1014可以与可移动存储单元1018进行交互。可移动存储单元1018包括其上存储有计算机软件(控制逻辑)和/或数据的计算机可用或可读存储设备。可移动存储单元1018可以是软盘、磁带、光盘、 DVD、光存储磁盘和/或任何其他计算机数据存储设备。可移动存储驱动器 1014以众所周知的方式从可移动存储单元1018进行读取和/或写入。
根据示例性实施方案,辅助存储器1010可包括允许计算机系统1000 访问计算机程序和/或其他指令和/或数据的其他装置、机构或其他途径。此类装置、机构或其他途径可包括,例如,可移动存储单元1022和接口 1020。可移动存储单元1022和接口1020的示例可包括:程序盒式存储器和盒式接口(诸如,可见于电子游戏设备中)、可移动存储器芯片(诸如,EPROM或PROM)和相关联的插座、记忆棒和USB端口、存储卡和相关联的存储卡插槽,和/或任何其他可移动存储单元和相关联的接口。
计算机系统1000还可包括通信或网络接口1024。通信接口1024使计算机系统1000能够与远程设备、远程网络、远程实体等的任意组合进行通信和交互(通过附图标号1028单独及共同标引)。例如,通信接口1024 可允许计算机系统1000通过通信路径1026与远程设备1028进行通信,该通信路径可以是有线和/或无线的,并且可包括LAN、WAN、互联网等的任意组合。可通过通信路径1026向/从计算机系统1000传输控制逻辑和/或数据。
在一个实施方案中,包括其上存储有控制逻辑(软件)的有形计算机可用或可读介质的有形装置或制品,在本文中也称计算机程序产品或程序存储设备。这包括但不限于计算机系统1000、主存储器1008、辅助存储器 1010和可移动存储单元1018和1022,以及体现前述任意组合的有形制品。当由一个或多个数据处理设备(例如,计算机系统1000)执行时,此类控制逻辑会使此类数据处理设备按本文所述方式运行。
基于本公开所包括的教导内容,对于相关领域的技术人员来说将显而易见的是,使用图10所示以外的数据处理设备、计算机系统和/或计算机架构来制造并使用本发明实施方案的方式。具体地讲,实施方案可使用本文所述之外的软件、硬件和/或操作系统具体实施来进行操作。
应当理解,具体实施方式部分而非发明内容和说明书摘要部分旨在用于解释权利要求。发明内容和说明书摘要部分可列出发明人所考虑的本发明的一个或多个而非全部示例性实施方案,因此并非旨在以任何方式限制本发明或所附权利要求。
尽管本文已参考示例性领域和应用的示例性实施方案对本发明进行了描述,但应当理解,本发明不限于此。其他实施方案和对这些实施方案的修改是可能的,并且均落在本公开的范围和实质内。例如,在不限制本段内容的普遍性条件下,实施方案不限于图中所示和/或本文所述的软件、硬件、固件和/或实体。此外,实施方案(无论本文是否明确描述)对于本文所述示例以外的领域和应用具有重要作用。
本文借助用于阐释特定功能的实现及其关系的功能块来对实施方案进行了描述。为了方便描述,这些功能块的边界被任意地定义。只要适当执行特定功能和关系(或其等同物)即可定义另选的边界。此外,另选的实施方案可使用与本文所述顺序不同的顺序来执行功能块、步骤、操作、方法等。
在本文中提到“一个实施方案”、“实施方案”、“示例性实施方案”或类似短语表示所述的实施方案可包括特定的特征、结构或特性,但未必每个实施方案都包括该特定特征、结构或特性。此外,此类措辞用语不必是指相同的实施方案。此外,在结合实施方案描述特定特征、结构或特性时,相关领域人员应当理解,无论本文中是否明确提到或描述,都应将此类特征、结构或特性结合到其他实施方案中。
本发明的广度和范围不应受任何上述示例性实施方案的限制,并且应当仅根据以下权利要求书及其等同物进行限定。
Claims (20)
1.一种电子设备,包括:
接口电路,所述接口电路被配置为与位于多个区域中的一个或多个计算机进行通信;和
一个或多个处理器,所述一个或多个处理器耦接到所述接口电路并被配置为:
访问与未配置的支付工具相关联的信息,其中未配置的支付工具尚未被启用来执行财务事务;
从第一区域中的第一计算机请求对所述支付工具进行配置,其中所述支付工具在所述第一区域中不被支持,并且其中所述电子设备注册在所述第一区域中;
从所述第一计算机接收重定向信息,其中所述重定向信息识别支持所述支付工具的第二区域;
至少基于所述重定向信息,经由所述接口电路将包括对所述支付工具进行配置的请求的消息传输至所述第二区域中的第二计算机;以及
在所述第二区域中访问与所述支付工具相关联的图像数据,其中与所述支付工具相关联的所述图像数据是在所述第二区域中生成的。
2.根据权利要求1所述的电子设备,还包括所述一个或多个处理器,所述一个或多个处理器被配置为:从所述第二区域中的受信任安全管理器TSM服务器访问个人化脚本,其中所述个人化脚本被用于对与所述支付工具相关联的设备主帐号DPAN进行个性化。
3.根据权利要求2所述的电子设备,其中所述一个或多个处理器被进一步配置为:将所述个人化脚本存储在所述电子设备的安全元件中。
4.根据权利要求3所述的电子设备,所述一个或多个处理器被进一步配置为:将所述存储的结果传输至所述第二区域中的所述TSM服务器。
5.根据权利要求1所述的电子设备,其中所述第一计算机经由第一区域中的pod访问一个或多个数据库,并且其中所述pod是主pod。
6.根据权利要求5所述的电子设备,所述一个或多个处理器被进一步配置为:
从与所述主pod相关联的主TSM服务器访问删除脚本,其中所述删除脚本被用于移除所述支付工具,其中所述主TSM服务器位于所述第一区域中;以及
将所述删除脚本的结果传输至所述主TSM服务器。
7.根据权利要求5所述的电子设备,所述一个或多个处理器被进一步配置为:
访问与在所述第二区域中配置的所述支付工具相关联的经修改的图像数据。
8.一种非暂态计算机可读介质,所述非暂态计算机可读介质上存储有指令,所述指令当由电子设备中的处理器执行时,使所述处理器执行包括以下的操作:
向第一区域中的第一计算机注册,其中所述第一计算机包括主pod;
访问未配置的支付工具,其中未配置的支付工具尚未被启用来执行财务事务;
从所述第一计算机请求对所述支付工具进行配置,其中所述支付工具在所述第一区域中不被支持;
从所述第一计算机接收重定向信息,其中所述重定向信息识别支持所述支付工具的第二区域;
至少基于所述重定向信息,从所述第二区域中的第二计算机请求对所述支付工具进行配置;以及
将个人化脚本存储在所述电子设备的安全元件中,其中用于对与所述支付工具相关联的设备主账号DPAN进行个性化的所述个人化脚本是在所述第二区域中生成的。
9.根据权利要求8所述的非暂态计算机可读介质,还包括:
从所述第二区域中的TSM服务器访问所述个人化脚本。
10.根据权利要求9所述的非暂态计算机可读介质,还包括:
将所述存储的结果传输至所述第二区域中的所述TSM服务器;以及
访问与所述支付工具相关联的图像数据,其中与所述支付工具相关联的所述图像数据是在所述第二区域中生成的。
11.根据权利要求8所述的非暂态计算机可读介质,还包括:
访问所述电子设备可用于进行注册的不同区域的列表。
12.根据权利要求8所述的非暂态计算机可读介质,还包括:
从与所述主pod相关联的主TSM服务器访问删除脚本,其中所述删除脚本被用于移除所述支付工具,其中所述主TSM服务器位于所述第一区域中;以及
将所述删除脚本的结果传输至所述主TSM服务器。
13.根据权利要求8所述的非暂态计算机可读介质,还包括:
在统一视图中呈现与所述支付工具相关联的信息,以及与在所述第一区域中配置的第二支付工具相关联的信息。
14.一种在区域中的计算机系统,包括:
通信接口;和
一个或多个处理器,其中所述一个或多个处理器被配置为:
从电子设备接收与未配置的支付工具对应的信息,其中未配置的支付工具尚未被启用来执行财务事务;
确定所述支付工具被一不同区域支持;
将重定向信息传输至所述电子设备,其中所述重定向信息识别所述不同区域;
从所述电子设备接收与在所述区域中未配置但支持的第二支付工具对应的信息,
利用与所述区域相关联的支付网络运营商PNO发起用于第二支付工具的新卡片检查;
与所述PNO通信,以将第二支付工具的财务主账号FPAN与设备主帐号DPAN相链接;以及
结合配置来提供与第二支付工具相关联的图像数据。
15.根据权利要求14所述的计算机系统,其中所述一个或多个处理器被进一步配置为:
在接收与所述支付工具对应的信息之前,接收来自所述电子设备的向所述计算机系统注册的请求;以及
向所述区域注册所述电子设备。
16.根据权利要求14所述的计算机系统,其中所述一个或多个处理器被进一步配置为:当支持所述支付工具时,从与所述区域相关联的TSM服务器接收所述电子设备将所述DPAN存储在所述电子设备的安全元件中的结果。
17.根据权利要求14所述的计算机系统,其中所述一个或多个处理器被进一步配置为:
接收对远程擦除所述电子设备的请求;以及
向PNO传输解除链接指令,以将与所述电子设备相关联的所述FPAN从所述DPAN解除链接。
18.根据权利要求17所述的计算机系统,其中所述一个或多个处理器被进一步配置为:
将解除链接指令传输至其中也注册了所述电子设备的另一区域中的pod,其中所述解除链接指令要被传输至所述另一区域中的PNO。
19.根据权利要求17所述的计算机系统,其中所述一个或多个处理器被进一步配置为:
为所述电子设备的安全元件分配删除脚本,以删除与任何区域相关联的DPAN;以及
将所述删除脚本传输至与主pod相关联的主TSM服务器,其中所述主TSM服务器位于所述区域中。
20.根据权利要求14所述的计算机系统,其中所述一个或多个处理器被进一步配置为:
从与主pod相关联的主TSM服务器接收与所述电子设备相关联的删除脚本的结果;以及
在接收到所述删除脚本的所述结果后,提供与配置于所述区域中的第二支付工具相关联的经修改的图像数据。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562113483P | 2015-02-08 | 2015-02-08 | |
| US62/113,483 | 2015-02-08 | ||
| US15/017,419 | 2016-02-05 | ||
| US15/017,419 US11250421B2 (en) | 2015-02-08 | 2016-02-05 | Storing secure credential information in different regions |
| PCT/US2016/016965 WO2016127166A1 (en) | 2015-02-08 | 2016-02-08 | Storing secure credential information in different regions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107209884A CN107209884A (zh) | 2017-09-26 |
| CN107209884B true CN107209884B (zh) | 2021-12-14 |
Family
ID=55353365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680009187.9A Active CN107209884B (zh) | 2015-02-08 | 2016-02-08 | 存储不同区域中的安全凭据信息 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11250421B2 (zh) |
| EP (1) | EP3254247A1 (zh) |
| CN (1) | CN107209884B (zh) |
| WO (1) | WO2016127166A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10178087B2 (en) * | 2015-02-27 | 2019-01-08 | Samsung Electronics Co., Ltd. | Trusted pin management |
| US11657386B2 (en) * | 2015-08-21 | 2023-05-23 | Samsung Electronics Co., Ltd. | Reference-based card enrollment for secondary devices |
| KR20180065237A (ko) * | 2016-12-07 | 2018-06-18 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 카드 등록 방법 |
| US10498810B2 (en) * | 2017-05-04 | 2019-12-03 | Amazon Technologies, Inc. | Coordinating inter-region operations in provider network environments |
| WO2021111824A1 (ja) * | 2019-12-03 | 2021-06-10 | 木戸 啓介 | 電子署名システム及び耐タンパ装置 |
| CN114079609B (zh) * | 2020-08-03 | 2024-08-27 | 阿里巴巴集团控股有限公司 | 网络系统的管控方法、装置、设备、介质及网络系统 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6422462B1 (en) * | 1998-03-30 | 2002-07-23 | Morris E. Cohen | Apparatus and methods for improved credit cards and credit card transactions |
| US7401049B2 (en) * | 2001-05-29 | 2008-07-15 | American Express Travel Related Services Company, Inc. | System and method for a prepaid card issued by a foreign financial institution |
| CN1849632A (zh) | 2003-07-02 | 2006-10-18 | 莫比培国际公司 | 数字移动电话交易和支付系统 |
| WO2005043274A2 (en) | 2003-11-04 | 2005-05-12 | Ebiz.Mobility Ltd. | Universal mobile electronic commerce |
| US20050222961A1 (en) * | 2004-04-05 | 2005-10-06 | Philippe Staib | System and method of facilitating contactless payment transactions across different payment systems using a common mobile device acting as a stored value device |
| CN101014985A (zh) | 2004-04-05 | 2007-08-08 | 佩兹公司B.V. | 使用作为储值装置的普通的移动装置使跨越不同的支付系统的非接触支付交易便利的系统和方法 |
| US8700729B2 (en) * | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| US8639629B1 (en) * | 2005-02-02 | 2014-01-28 | Nexus Payments, LLC | System and method for accessing an online user account registry via a thin-client unique user code |
| US20080249937A1 (en) * | 2007-04-06 | 2008-10-09 | Walls Robert K | Payment card based remittance system with delivery of anti-money laundering information to receiving financial institution |
| KR20100130712A (ko) | 2009-06-04 | 2010-12-14 | 에스케이 텔레콤주식회사 | 전자화폐 송금 시스템 및 전자화폐 송금 방법 |
| JP5531485B2 (ja) | 2009-07-29 | 2014-06-25 | ソニー株式会社 | 情報処理装置、情報提供サーバ、プログラム、通信システム及びログイン情報提供サーバ |
| US8807440B1 (en) | 2010-12-17 | 2014-08-19 | Google Inc. | Routing secure element payment requests to an alternate application |
| US8352749B2 (en) * | 2010-12-17 | 2013-01-08 | Google Inc. | Local trusted services manager for a contactless smart card |
| US20120276872A1 (en) * | 2011-04-28 | 2012-11-01 | Nokia Corporation | Method and apparatus for over-the-air provisioning |
| WO2013101297A1 (en) | 2011-06-07 | 2013-07-04 | Visa International Service Association | Payment privacy tokenization apparatuses, methods and systems |
| US20130013505A1 (en) * | 2011-07-08 | 2013-01-10 | Bank Of America | Transaction engine remote control |
| EP2856407A4 (en) * | 2012-05-24 | 2015-12-23 | Paypal Inc | METHOD AND SYSTEMS FOR REGISTERING PURCHASES |
| CA2830260C (en) * | 2012-10-17 | 2021-10-12 | Royal Bank Of Canada | Virtualization and secure processing of data |
| US20140279332A1 (en) * | 2013-03-14 | 2014-09-18 | Capital One Financial Corporation | Systems and methods for configuring and controlling financial account products |
| US20140379556A1 (en) * | 2013-06-19 | 2014-12-25 | Han Kyum CHOI | Credit Payment Method for Foreign Tourists |
| US20150019418A1 (en) * | 2013-07-12 | 2015-01-15 | Jvl Ventures, Llc | Systems, methods, and computer program products for enabling instrument credentials |
| US20170352018A1 (en) * | 2014-12-11 | 2017-12-07 | Voucher Activation Ip Services Pte. Ltd | System and Method for Processing Vouchers |
-
2016
- 2016-02-05 US US15/017,419 patent/US11250421B2/en active Active
- 2016-02-08 EP EP16704373.6A patent/EP3254247A1/en not_active Ceased
- 2016-02-08 CN CN201680009187.9A patent/CN107209884B/zh active Active
- 2016-02-08 WO PCT/US2016/016965 patent/WO2016127166A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP3254247A1 (en) | 2017-12-13 |
| US20160232521A1 (en) | 2016-08-11 |
| US11250421B2 (en) | 2022-02-15 |
| CN107209884A (zh) | 2017-09-26 |
| WO2016127166A1 (en) | 2016-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9880830B2 (en) | On-board applet migration | |
| US11093932B2 (en) | Mobile-merchant proximity solution for financial transactions | |
| US10223096B2 (en) | Logging operating system updates of a secure element of an electronic device | |
| CN105874494B (zh) | 针对丢失的电子设备禁用移动支付 | |
| CN107209884B (zh) | 存储不同区域中的安全凭据信息 | |
| US9934014B2 (en) | Automatic purposed-application creation | |
| TWI556178B (zh) | 用於金融交易之攜帶型電子裝置、方法以及電腦程式產品 | |
| ES2971531T3 (es) | Aparato para implementar una plataforma de gestión de suscripciones fiable | |
| US10194318B2 (en) | Systems and methods for NFC access control in a secure element centric NFC architecture | |
| JP2021036453A (ja) | ソフトウェアアプリケーションの信頼を最初に確立し、かつ定期的に確認するシステム及び方法 | |
| KR101354804B1 (ko) | 추가 요소를 이용한 이동 장치의 갱신 | |
| KR101905178B1 (ko) | 거래 식별자 생성 | |
| EP3438812A1 (en) | System and method for providing secure data communication permissions to trusted applications on a portable communication device | |
| KR20160064690A (ko) | 데이터 전송 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |