CN113286303A - 管理电子设备上的计划凭据 - Google Patents

Abstract

本公开涉及管理电子设备上的计划凭据。提供了用于对计划凭据进行个性化的系统、方法和计算机可读介质。例如，与计划提供方(例如，发行方)子系统相关联的计划凭据(例如，常客通行证)可利用个人数据被定制。个人数据可在将经定制的计划凭据配置在电子设备上以供在合适的交易中使用之前从电子设备收集。然而，除非管理实体子系统首先能够验证计划提供方子系统，否则此类个人数据不可被收集。管理实体子系统可生成跟踪数据，该跟踪数据可在验证和/或配置期间使用，以便跟踪计划凭据何时被个性化。

Description

管理电子设备上的计划凭据

本申请是申请日为2017年3月17日的、名称为“管理电子设备上的计划凭据”的发明专利申请No.201780017759.2的分案申请。

技术领域

本公开涉及管理电子设备上的计划凭据，包括使用个人用户信息至少部分地自动地对计划凭据诸如常客和/或会员通行证进行个性化。

背景技术

便携式电子设备(例如，蜂窝电话)可设置有近场通信(“NFC”)部件，以用于使得能够实现与另一实体诸如计划提供方的基于接近性的非接触式通信。这些通信常常与可与和计划提供方相关联的常客计划有关的交易(例如，数据交易或商业交易)相关联。然而，电子设备上凭据的登记常常要求手动输入大量信息。

发明内容

本文档描述用于对计划凭据进行登记和个性化的系统、方法和计算机可读介质。

例如，一种管理实体子系统处的方法可包括从电子设备接收第一数据，其中第一数据包括指示计划提供方子系统的计划提供方信息；基于计划提供方信息来确定计划提供方子系统是否有效；当计划提供方子系统被确定为有效时，在数据结构中将跟踪数据与计划提供方信息关联；向电子设备传输第二数据，其中第二数据包括所述跟踪数据；在传输第二数据之后，从电子设备接收第三数据，其中第三数据包括计划提供方数据；确定计划提供方数据是否在所述数据结构中；以及当计划提供方数据被确定为在所述数据结构中时，使能电子设备上计划提供方凭据的个性化。

又如，一种计划提供方子系统处的方法可包括从电子设备接收登记请求数据，其中登记请求数据包括用户个性化数据和管理跟踪数据；基于用户个性化数据，生成用于对计划提供方凭据进行个性化的定制数据；使用密钥对管理跟踪数据签名；以及向电子设备传输登记响应数据，其中登记响应数据包括所述定制数据和经签名的管理跟踪数据。

再如，一种电子设备处的方法可包括从计划提供方子系统接收计划提供方凭据数据；确定计划提供方凭据数据是否包括指示通用计划提供方凭据的第一计划提供方凭据信息和指示通用计划提供方凭据的可定制性的第二计划提供方凭据信息；当计划提供方凭据数据被确定为包括第一计划提供方凭据信息和第二计划提供方凭据信息时，向管理实体子系统传输验证请求数据，其中验证请求数据包括指示计划提供方子系统的计划提供方信息；在传输验证请求数据之后，从管理实体子系统接收验证响应数据，其中验证响应数据包括管理跟踪数据；确定验证响应数据是否指示验证成功；当验证响应数据被确定为指示验证成功时，向计划提供方子系统传输登记请求数据，其中登记请求数据包括用户个性化数据和所述管理跟踪数据。

又如，一种电子设备可包括通信部件、存储器部件和处理器部件，处理器部件操作以：经由通信部件从计划提供方子系统接收计划提供方凭据数据；确定计划提供方凭据数据是否包括指示通用计划提供方凭据的第一计划提供方凭据信息和指示通用计划提供方凭据的可定制性的第二计划提供方凭据信息；当计划提供方凭据数据被确定为包括第一计划提供方凭据信息和第二计划提供方凭据信息时，经由通信部件向管理实体子系统传输验证请求数据，其中验证请求数据包括指示计划提供方子系统的计划提供方信息；在传输验证请求数据之后，经由通信部件从管理实体子系统接收验证响应数据，其中验证响应数据包括管理跟踪数据；确定验证响应数据是否指示验证成功；当验证响应数据被确定为指示验证成功时，经由通信部件向计划提供方子系统传输登记请求数据，其中登记请求数据包括用户个性化数据和所述管理跟踪数据。

再如，可提供一种非暂态计算机可读存储介质，用于存储至少一个程序，所述至少一个程序包括指令，所述指令在被电子设备执行时使电子设备：从计划提供方子系统接收计划提供方凭据数据；确定计划提供方凭据数据是否包括指示通用计划提供方凭据的第一计划提供方凭据信息和指示通用计划提供方凭据的可定制性的第二计划提供方凭据信息；当计划提供方凭据数据被确定为包括第一计划提供方凭据信息和第二计划提供方凭据信息时，向管理实体子系统传输验证请求数据，其中验证请求数据包括指示计划提供方子系统的计划提供方信息；在传输验证请求数据之后，从管理实体子系统接收验证响应数据，其中验证响应数据包括管理跟踪数据；确定验证响应数据是否指示验证成功；以及当验证响应数据被确定为指示验证成功时，向计划提供方子系统传输登记请求数据，其中登记请求数据包括用户个性化数据和所述管理跟踪数据。

提供本发明内容的目的仅为概述一些示例性实施方案，以便提供对本文所述主题的一些方面的基本了解。因此，应当理解，本发明内容中所述的特征仅为示例，而不应理解为以任何方式缩小本文所述主题的范围或实质。除非另有说明，否则在一个示例的上下文中所描述的特征可与在一个或多个其他示例的上下文中所描述的特征组合或一起使用。本文所描述的主题的其他特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

下文的论述参考以下附图，其中在全文中类似的附图标记是指类似的部件，并且其中：

图1是用于对计划凭据进行个性化的示例性系统的示意图；

图1A是图1的示例性系统的更详细示意图；

图2是图1和图1A所示系统的示例电子设备的更详细示意图；

图3是图1-图2的示例电子设备的前视图；

图3A-图3D是示出用于对计划凭据进行个性化的过程的图1-图3中的一者或多者的电子设备的图形用户界面的屏幕的前视图；

图4是图1和图1A的系统的示例管理实体子系统的更详细示意图；并且

图5-图8是用于对计划凭据进行个性化的示例性过程的流程图。

具体实施方式

计划提供方子系统(例如，可与商家或其他合适的常客或注册提供方实体相关联的子系统)的计划提供方凭据(例如，常客通行证或其他此类注册凭据)可利用来自电子设备的所有者的或以其他方式与电子设备的所有者相关联的个人数据来进行定制，然后将所定制的计划凭据配置在电子设备上以(例如，在任何合适的交易中)供使用。除非管理(或商业或授权)实体子系统首先能够验证计划提供方子系统(或计划提供方)，否则此类个人数据不可被收集。当计划提供方(“PP”)子系统得到验证时，管理实体子系统可生成跟踪数据并在电子设备与计划提供方子系统共享个人数据之前向电子设备提供该数据。当此类跟踪数据被电子设备接收时，设备然后可与计划提供方子系统共享个人数据和所述跟踪数据。响应于接收到此类数据，计划提供方子系统可利用计划提供方(或商家)密钥对跟踪数据进行签名，该计划提供方(或商家)密钥可以是计划提供方子系统与管理实体子系统之间的共享秘密。计划提供方子系统然后可将经定制的计划凭据以及经签名的跟踪数据提供给电子设备。在完成经定制的计划凭据在电子设备上的配置之前，设备可首先与管理实体子系统共享经签名的跟踪数据，以便(例如，利用共享秘密)进一步验证计划提供方子系统。此类进一步验证可使得管理实体子系统能够跟踪计划凭据的定制成功率。

图1和图1A示出了系统1，其中计划提供方子系统200的一个或多个计划凭据(例如，计划提供方凭据或常客通行证或其他此类注册凭据)可直接从计划提供方子系统200或者与管理实体子系统400一起被配置或登记到电子设备100上，管理实体子系统400可验证计划提供方子系统200和/或用于使得能够相对于设备100的用户对计划凭据进行个性化的特定计划凭据，而图2和图3示出了系统1的电子设备100的具体实施方案的进一步细节，图3A-图3D示出可代表在此类计划凭据个性化期间系统1的电子设备100的图形用户界面的示例屏幕190a-190d。图4示出了系统1的管理实体子系统400的具体实施方案的进一步细节，并且图5-图8是用于对计划凭据进行个性化的示例性过程的流程图。

图1和图1A的描述

图1和图1A是示例性系统1的示意图，其可允许在电子设备100上对计划提供方子系统200的一个或多个计划凭据进行配置、登记和/或个性化。计划提供方子系统200(例如，可与计划提供方或其他合适的常客或注册提供方实体相关联的子系统)的通用计划提供方凭据(例如，常客通行证或其他此类注册凭据)可由电子设备100经由任何合适的有线或无线通信路径15和/或经由任何合适的基于接近性的非接触式通信5从计划提供方子系统200接收。设备100然后可被配置为确定此类所接收的通用计划提供方凭据(或商家凭据或常客凭据或注册凭据)能够被个性化。在此类确定之后但在与计划提供方子系统200共享任何合适的个性化信息之前，设备100可经由任何合适的有线或无线通信路径25与任何合适的管理(或商业或授权)实体子系统400进行通信，以验证计划提供方子系统200和/或验证可被个性化的特定的通用计划提供方凭据。可通过经由任何合适的有线或无线通信路径35在管理实体子系统400和计划提供方子系统200之间传送的登记和/或验证数据至少部分地使能由管理实体子系统400进行的计划提供方验证。当计划提供方(“PP”)子系统200和/或特定的计划提供方凭据得到验证时，管理实体子系统400可生成跟踪数据并在电子设备100与计划提供方子系统200共享个人数据以用于对要在设备100上使用的计划提供方凭据个性化之前将跟踪数据提供给电子设备100。当此类跟踪数据被电子设备100接收时，设备100然后可与计划提供方子系统200共享个人数据和跟踪数据。响应于接收到此类数据，计划提供方子系统200可利用计划提供方(或商家)密钥对跟踪数据进行签名，该计划提供方(或商家)密钥可以是计划提供方子系统200与管理实体子系统400之间的共享秘密。计划提供方子系统200于是可提供经定制的计划凭据以及经签名的跟踪数据给电子设备100。在完成经定制的计划凭据在电子设备100上的配置之前，设备100可首先与管理实体子系统400共享经签名的跟踪数据，以便(例如，利用共享秘密)进一步验证计划提供方子系统200。此类进一步验证可使得管理实体子系统400能够跟踪计划凭据的定制成功率。

系统1可包括用于使能电子设备100和计划提供方子系统200之间的通信(例如，基于在线的通信)的通信路径15、用于使能管理实体子系统400和电子设备100之间的通信的通信路径25、和用于使能管理实体子系统400和计划提供方子系统200之间的通信的通信路径35。路径15、25、和35中的一者或多者可至少部分地由一个或多个可信服务管理器(“TSM”)来管理。可操作以创建通信网络的任何合适的电路、设备、系统或这些的组合(例如可包括一个或多个通信塔、电信服务器等的有线和/或无线通信基础设施)可被用于提供路径15、25、和35中的一者或多者，这些路径可能够利用任何合适的有线通信协议或无线通信协议来提供通信。例如，路径15、25、和35中的一者或多者可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网、蓝牙^TM、BLE、高频系统(例如，900MHz通信系统、2.4GHz通信系统和5.6GHz通信系统)、红外、TCP/IP、SCTP、DHCP、HTTP、BitTorrent^TM、FTP、RTP、RTSP、RTCP、RAOP、RDTP、UDP、SSH、WDS桥接、可由无线电话和蜂窝电话以及个人电子邮件设备使用的任何通信协议(例如，GSM、GSM plus EDGE、CDMA、OFDMA、HSPA、多频带等)、可由低功率无线个人局域网(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议或它们的任意组合。

如图1A中所示，例如电子设备100可包括处理器102、通信部件106和/或近场通信(“NFC”)部件120。NFC部件120可包括或以其他方式提供安全元件145，该安全元件可被配置为提供防篡改平台(例如，作为单芯片或多芯片安全微控制器)，其可能够根据可由一组公认的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)所提出的规则和安全要求来安全地托管应用程序及其保密数据和加密数据。如下文更详细所述，任何合适的凭据诸如计划提供方凭据和/或支付凭据可被存储在设备100的(例如，NFC部件120的)安全元件145上的小应用程序中，并且可被配置为提供凭据数据以供在与远程实体子系统诸如计划提供方子系统200或金融机构子系统(例如银行机构(未示出))的适当的交易中使用，其中凭据数据可提供足够的细节来标识与该远程实体子系统相关联的账户。例如，计划提供方凭据可被存储在安全元件145上的计划提供方凭据小应用程序或计划提供方凭据应用程序或计划提供方凭据通行证中或者设备100的另一合适的存储器部件(例如存储器部件104)中，并且可被配置为将计划提供方凭据数据提供作为具有充足细节的计划提供方凭据交易数据以用于标识特定的计划提供方帐户或常客帐户或注册帐户或通用和/或匿名计划提供方卡或其他常客要素，其中此类计划提供方凭据数据可被设备100用于与计划提供方子系统200的一个或多个通信中，以用于促进可受益于计划提供方凭据数据或以其他方式受计划提供方凭据数据影响的交易(例如，在与计划提供方进行交易时，针对通用常客卡对与计划提供方的所有消费打折5％或者针对特定用户的特定飞行常客账户累积飞行常客里程)。

NFC部件120可被配置为将此类凭据信息作为与计划提供方子系统200(例如，与计划提供方子系统200的计划提供方终端220，计划提供方终端可位于实体店处或设备100的用户可使用存储在设备100上的一个或多个计划提供方凭据来经由基于接近性的非接触式通信与位于附近的计划提供方终端220进行交易的任何物理位置处)的基于接近性的非接触式通信5(例如，近场通信)来传送。另选地或除此之外，可提供通信部件106以允许设备100利用任何合适的有线或无线协议(例如，经由通信路径15、25和/或35)与一个或多个其他电子设备或服务器或子系统(例如，系统1的一个或多个子系统或者其他部件，诸如经由任何合适的在线通信与计划提供方子系统200的计划提供方服务器210)传送任何合适的计划提供方凭据数据(例如，作为基于在线的通信)。设备100的处理器102可包括可操作以控制设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可被配置为在设备100上运行一个或多个应用程序(例如，设备应用程序103和/或在线资源或计划提供方应用程序113)，所述应用程序可至少部分地指示设备100可传送数据(例如，任何合适的交易数据的支付和/或常客凭据数据)的方式以用于提供资金或以其他方式执行与计划提供方子系统200的交易。此外，设备100可包括任何合适的设备标识信息或设备标识符，其能够被处理器102或设备100的任何其他合适的部分访问(例如，图2的设备标识符信息119)。任何合适的设备标识信息可被管理实体子系统400和/或计划提供方子系统200用于唯一地标识设备100，以便于与计划提供方子系统200的交易和/或使能与设备100的任何合适的安全通信。仅作为一个示例，设备标识信息可以是电话号码或电子邮件地址或可与设备100相关联的任何唯一标识符。

计划提供方子系统200可包括任何合适的计划提供方服务器210，如图1A所示，其可包括任何合适的部件或子系统，该任何合适的部件或子系统可被配置为经由任何合适的通信协议(例如，Wi-Fi，蓝牙^TM、蜂窝、有线网络协议等)与管理实体子系统400的通信部件(例如，经由通信路径35)和/或与设备100的通信部件106(例如，经由通信路径15)传送任何合适的数据。例如，计划提供方服务器210可操作以在任何合适的在线情境内与设备100的通信部件106传送图5的过程500的设备交易数据590，诸如当设备100的用户正在与计划提供方服务器210通信以经由可能正运行在设备100上的任何合适的计划提供方在线资源113来进行交易，所述计划提供方在线资源诸如是可由计划提供方服务器210管理的在设备100上运行的第三方计划提供方应用程序113(例如，本地应用程序)或者在设备100上运行的可指向目标或web资源可由计划提供方服务器210管理的统一资源定位符(“URL”)的互联网应用程序113(例如，Apple Inc.的Safari^TM)(例如，计划提供方网站、使用指向计划提供方网站的网页视图的计划提供方应用程序(例如，捆绑在计划提供方应用程序内的互联网浏览器，由此生成可被称为混合应用的应用程序，其可使得此类应用能利用web技术(例如，HTML、JavaScript、CSS等)来构建，但仍可使得此类应用能被封装成本地应用)、和/或使用指向计划提供方网站的网页视图的非计划提供方应用程序)。因此，需要指出，计划提供方服务器210和设备100之间的通信可以无线方式和/或经由有线路径(例如，通过互联网)进行。计划提供方服务器210可由计划提供方子系统200的计划提供方提供(例如，作为网络服务器来托管网站数据和/或管理第三方应用程序数据)。除此之外或另选地，如图1A所示，计划提供方子系统200可包括任何合适的计划提供方终端220(例如，计划提供方签入或支付终端)，该计划提供方终端可包括可被配置为与设备100的基于接近性的非接触式通信部件传送任何合适的数据(例如，作为与设备100的NFC部件120的基于接近性的非接触式通信5)的任何合适的部件或子系统。此外，如图1A所示，计划提供方子系统200可包括计划提供方密钥157和/或计划提供方标识符(“ID”)167。尽管未示出，但计划提供方子系统200也可包括可与图1A和图2的电子设备100的处理器部件102相同或类似的计划提供方处理器部件、可与图1A和图2的电子设备100的通信部件106相同或类似的计划提供方通信部件(例如，作为服务器210的一部分)、可与图2的电子设备100的I/O接口114相同或类似的计划提供方I/O接口、可与图1A和图2的电子设备100的总线118相同或类似的计划提供方总线218、可与图2的电子设备100的存储器部件104相同或类似的计划提供方存储器部件、和/或可与图2的电子设备100的电源部件108相同或类似的计划提供方电源部件。

计划提供方子系统200可由可管理与一个或多个用户(例如，设备100的用户)的任何合适的常客和/或注册和/或会员计划的任何合适的实体进行管理或以其他方式至少部分地进行控制或操作，所述实体在一些实施方案中也可向此类用户(例如，航空公司、宾馆、零售商店、俱乐部等)销售、出租和/或以其他方式提供任何合适的产品和/或服务。设备100的NFC部件120的特定计划提供方凭据小应用程序和/或设备100的存储器部件104的特定计划提供方凭据数据结构可与特定计划提供方凭据相关联，所述特定计划提供方凭据可针对所有用户为通用的(例如可提供标准折扣和/或累积通用常客点数的匿名常客凭据(例如，跟踪十个冰淇淋甜筒的购买从而第十一个冰淇淋甜筒免费))和/或可针对特定用户个性化并且电子地链接到特定用户在计划提供方子系统200的一个或多个帐户(例如，可被登记到特定用户以用于累积特定常客点数和/或用于接收特别优惠的个性化常客凭据(例如，跟踪特定用户与特定航空公司计划提供方子系统的飞行常客帐户的飞行常客里程))。各种类型的计划提供方凭据或常客通行证或常客卡或常客账户可与可针对用户维护的任何合适类型的物理卡和/或数字账户(具有或者不具有相关联的物理卡)相关联，包括但不限于奖励卡/帐户、点数卡/帐户、优享卡/帐户、俱乐部卡/帐户、会员卡/帐户、非常客卡/帐户、礼品卡/帐户、集花卡/帐户、等级卡/帐户、私人标签帐户卡/帐户、可充值预付帐户卡/帐户、不可充值预付帐户卡/帐户、打孔卡/帐户、储值卡/帐户、这些的数字表示等等。计划提供方凭据可被计划提供方子系统200配置在设备100上(例如，作为NFC部件120的凭据补充安全域的计划提供方凭据和/或作为存储器部件104的计划提供方凭据，如下文所述)，以供后续在(例如，直接或经由管理实体子系统400)与计划提供方子系统200的凭据数据通信(例如，基于接近性的非接触式通信和/或基于在线的通信)中使用。每个计划提供方凭据可以是可由计划提供方子系统200进行品牌标注的特定品牌的常客卡。

虽然未示出，但系统1可包括金融机构子系统(例如，可包括支付网络子系统(例如，支付卡协会或信用卡联盟)和/或发行银行子系统的子系统)，其中设备100的NFC部件120的一个或多个特定支付凭据小应用程序可与特定支付凭据相关联，所述特定支付凭据可电子地链接到特定用户在该金融机构子系统的帐户(例如，各种类型的支付卡的帐户可包括信用卡、借记卡、签账卡、储值卡(例如，公交卡)、加油卡、礼品卡等)。此类支付凭据可由此类金融机构子系统(例如，经由管理实体子系统400)配置在设备100上(例如，作为NFC部件120的支付凭据补充安全域的支付凭据)，并且可后续被设备100用作与计划提供方子系统200的交易的至少一部分(例如，与该计划提供方的特定常客帐户协同对商品或服务进行支付(例如，设备100的用户可使用支付凭据向计划提供方子系统200对机票进行支付，同时也使用计划提供方凭据来获得针对那个购买的飞行常客里程信用))。

为了在系统1内进行交易，至少一个凭据(例如，计划提供方凭据和/或支付凭据)可被配置在设备100上(例如，在电子设备100的安全元件145上(例如作为小应用程序153的凭据信息)和/或在电子设备100的任何其他合适的存储器部分(例如，存储器部件104(例如，作为凭据信息161(例如，过程500的凭据响应数据和/或定制数据576)))上)。例如，此类凭据可至少部分地直接从计划提供方子系统200(例如，经由通信路径15或作为计划提供方子系统200与设备100之间的通信5)或在安全元件145上(例如，经由管理实体子系统400)被配置在设备100的存储器104中。任何合适的凭据数据可作为安全元件的凭据补充安全域的至少一部分或全部而被配置在设备100的安全元件145上，并且可包括具有凭据信息和/或凭据密钥的凭据小应用程序，诸如具有凭据信息和凭据密钥155a的凭据应用程序或凭据小应用程序153a。例如，金融机构子系统(未示出)可生成用于将支付凭据配置在设备100上的安全元件145的安全域的凭据数据的至少一部分，并且可负责管理凭据密钥155a，这可包括生成、交换、存储、使用和替换此类密钥(例如，用于使能设备100和该远程子系统之间的共享秘密以用于在它们之间的安全通信中使用的公钥和私要集)。应当理解，设备100和远程子系统的凭据密钥155a可以是可供电子设备100的安全元件和远程子系统二者使用的任何合适的共享秘密(例如，密码、密码短语、随机选择的字节阵列、一个或多个对称密钥、公钥-私钥(例如，非对称密钥)等)，其可操作以使得任何合适的加密数据(例如，密文)或任何其他合适的数据能够由电子设备100和远程子系统独立地生成(例如，用于验证交易的支付数据)，诸如通过使用其函数输出可至少部分地由所述共享秘密来确定的任何合适的密码算法或密码来生成，其中此类共享秘密可被远程子系统配置在设备100上。共享秘密可事先在远程子系统和设备100之间共享(例如，在远程子系统将凭据配置在设备100上期间)，在这种情况下，此类共享秘密可被称为预共享密钥；或共享秘密可在用于特定金融交易之前通过利用密钥协定协议(例如，利用公钥密码术诸如Diffie-Hellman、或者利用对称密钥密码术诸如Kerberos)来创建。设备100的安全元件可能够访问共享秘密和任何合适的密码算法或密码，该任何合适的密码算法或密码的函数输出可至少部分地由所述共享秘密确定。

管理实体子系统400可被提供作为设备100和计划提供方子系统200和/或任何其他远程子系统(例如金融机构子系统)之间的中间体，其中管理实体子系统400可被配置为当凭据正被配置在设备100上时和/或在此类被配置的凭据正被用作设备100和计划提供方子系统200之间的凭据数据通信的一部分时提供新的安全层和/或提供更无缝的用户体验。管理实体子系统400可由特定管理实体来提供，所述特定管理实体可经由对与该管理实体的特定于用户的账户的特定于用户的登录信息(例如，经由特定于用户的标识和密码组合)向设备100的用户提供各种服务。仅作为一个示例，管理实体子系统400可由Apple Inc.(Cupertino,CA)来提供，Apple Inc.也可以是对设备100的用户的各种服务的提供方(例如，用于销售/租赁要由设备100播放的媒体的iTunes^TM商店、用于销售/租赁用于在设备100上使用的应用程序的Apple App Store^TM、用于存储来自设备100的数据和/或将多个用户设备和/或多个用户简档彼此关联的Apple iCloud^TM服务、用于在线购买各种Apple产品的Apple在线商店、用于在设备之间传送媒体消息的Apple iMessage^TM服务等)，并且其也可以是设备100自身(例如，当设备100是iPod^TM、iPad^TM、iPhone^TM等时)和/或设备100的操作系统(例如，设备应用程序103)的提供方、制造方和/或开发方。可提供管理实体子系统400的管理实体(例如，Apple Inc.)可不同于且独立于任何远程金融机构子系统的任何金融实体。例如，可提供管理实体子系统400的管理实体可不同于和/或独立于可提供和/或管理任何信用卡或待被配置在最终用户设备100上的任何其他支付凭据的任何支付网络或发行银行。除此之外或另选地，可提供管理实体子系统400的管理实体(例如，Apple inc.)可不同于且独立于可提供和/或管理待被配置在最终用户设备100上的任何常客凭据的计划提供方子系统200的任何计划提供方。例如，可提供管理实体子系统400的管理实体可不同于和/或独立于计划提供方子系统200的任何计划提供方，该任何计划提供方可提供用于基于接近性的非接触式通信的计划提供方终端、用于在线通信的第三方应用程序或在线资源113、和/或计划提供方子系统200的任何其他方面。此类管理实体可利用其潜在能力来配置或控制设备100的各个部件(例如，设备100的软件部件和/或硬件部件，诸如在该管理实体可至少部分地生产或管理设备100时)，以便当设备100的用户希望将计划提供方子系统200或任何其他远程子系统提供的凭据配置在设备100上时和/或当此类被配置的凭据正被用作与计划提供方子系统200的凭据数据通信的一部分来执行交易时，为设备100的用户提供更无缝的用户体验。例如，在一些实施方案中，设备100可被配置为与管理实体子系统400无缝地且对于设备100的用户透明地通信(例如，经由通信路径25)，以用于共享或接收可使得能够实现更高等级安全性的特定数据(例如，在将凭据数据配置在设备100上期间和/或在设备100与计划提供方子系统200之间基于在线的安全数据通信期间)。尽管未示出，但管理实体子系统400也可包括可与图1和图2的电子设备100的处理器部件102相同或类似的处理器部件、可与图1和图2的电子设备100的通信部件106相同或类似的通信部件、可与图2的电子设备100的I/O接口114相同或类似的I/O接口、可与图2的电子设备100的总线118相同或类似的总线、可与图2的电子设备100的存储器部件104相同或类似的存储器部件、和/或可与图2的电子设备100的电源部件108相同或类似的电源部件，以上这些中的一者、一些或全部可至少部分地由服务器410提供。

除了至少一个凭据被配置在安全元件145上(例如作为凭据SSD 154的一部分)或存储器部件104上(例如作为凭据信息161)之外，具有访问密钥155b的至少一个访问SSD也可被配置在设备100的安全元件145或存储器部件104上，以便更安全地使得设备100能够与计划提供方子系统200进行交易。例如，访问数据诸如访问SSD可至少部分地直接从管理实体子系统400配置在设备100上(例如，经由管理实体子系统400的服务器410和设备100的通信部件106之间的通信路径25，其然后可从通信部件106传递给存储器104或安全元件145)。访问数据可被配置在设备100上作为访问SSD的至少一部分或全部，并且可包括具有访问密钥155b的访问小应用程序153b。如图1A中所示，管理实体子系统400也可具有对访问密钥155b的访问权限(例如，以用于利用访问密钥155b对被设备100加密的数据进行解密)。管理实体子系统400可负责管理访问密钥155b，这可包括此类密钥的生成、交换、存储、使用和替换。管理实体子系统400可将其版本的访问密钥155b存储在管理实体子系统400的安全元件中。具有访问密钥155b的设备100的访问SSD可被配置为确定设备100的用户的意图和本地认证(例如，经由设备100的一个或多个输入部件110，诸如生物特征输入部件)，并且响应于此类确定，其可被配置为使能用于进行交易(例如，利用设备100的凭据SSD的支付和/或常客凭据)的另一特定SSD。通过将此类访问SSD存储在设备100上，可提高其可靠地确定交易的用户意图和认证的能力。此外，设备100的此类访问SSD的访问密钥155b可被用于为可能在设备100的安全元件外部或者在设备100自身外部传送的交易数据提供增强的加密。除此之外或另选地，此类访问数据可包括电子设备100的发行方安全域(“ISD”)152的ISD密钥156k，其也可由管理实体子系统400维护，并可作为访问密钥155b的补充或替代而被使用。

计划提供方应用程序或在线资源113可被设备100访问，以便使得能够在设备100和计划提供方子系统200之间促进在线交易(例如，数据交易、商业交易、购买交易、金融交易等)，或者以便使得计划提供方子系统200能够在线访问设备100的任何其他合适的安全设备功能。首先，可在应用程序113可被设备100实际使用之前由管理实体子系统400批准或登记或以其他方式使能此类应用程序113。例如，管理实体子系统400的应用程序商店420(例如，Apple App Store^TM)可经由通信路径35从计划提供方子系统200接收表示应用程序113的至少一些数据。此外，在一些实施方案中，管理实体子系统400可为应用程序113生成或以其他方式分配计划提供方密钥157，并且可(例如，经由路径35)将此类计划提供方密钥157提供给计划提供方子系统200。另选地，计划提供方子系统200可为应用程序113生成或以其他方式分配计划提供方密钥157，并且可(例如，经由路径35)将此类计划提供方密钥157提供给管理实体子系统400。计划提供方子系统200或管理实体子系统400可负责管理计划提供方密钥157，这可包括此类密钥的生成、交换、存储、使用和替换。无论此类计划提供方密钥157可如何或者在哪里生成和/或管理，计划提供方子系统200和管理实体子系统400二者可存储一个版本的计划提供方密钥157(例如在计划提供方子系统200和管理实体子系统400的相应安全元件中，其中在一些实施方案中，计划提供方子系统200所存储的计划提供方密钥157可以是私钥，并且管理实体子系统400所存储的计划提供方密钥157可以是对应的公钥(例如，用于在非对称密钥加密/解密过程中使用))。在一些实施方案中，此类计划提供方密钥157可具体地与计划提供方应用程序113和/或与计划提供方凭据(例如，常客通行证凭据)相关联，而在其他实施方案中，计划提供方密钥157可具体地与计划提供方子系统200的计划提供方相关联，使得计划提供方密钥157可与计划提供方子系统200的同一计划提供方的多个第三方应用程序或web资源或常客凭据相关联。独特的计划提供方标识符167可由管理实体子系统400和/或由计划提供方子系统200生成和/或以其他方式分配给应用程序113和/或计划提供方常客通行证，或者与其相关联。例如，计划提供方(或商家)标识符167可以是字母数字字符串、域(例如，URL或者以其他方式用于web资源类型在线资源应用程序113)、或可唯一地标识计划提供方和/或特定的计划提供方在线资源和/或特定的计划提供方常客通行证的任何其他合适的标识符(例如，将此唯一地标识给管理实体子系统400)。管理实体子系统400可能够访问的表430或任何其他合适的数据结构或信息来源可被提供，以用于将特定的计划提供方密钥157与计划提供方应用程序113或计划提供方常客通行证或计划提供方实体的特定的计划提供方标识符167相关联。计划提供方在线资源可与特定的计划提供方标识符167和特定的计划提供方密钥157相关联，特定的计划提供方标识符和特定的计划提供方密钥中的每一者可安全地在计划提供方子系统200和管理实体子系统400之间共享。表430可使得管理实体子系统400能够确定和利用适当的计划提供方密钥157，以用于对于可涉及设备100经由与密钥157和计划提供方标识符167相关联的计划提供方应用程序113与计划提供方子系统200交互的交易而为被传送给计划提供方子系统200的任何安全设备数据(例如，可包括设备100本地的支付凭据数据和/或常客凭据数据的凭据数据)提供安全层。设备100可被配置为(例如，经由通信路径25从应用程序商店420)访问应用程序113以及(例如，利用处理器102)运行应用程序113。另选地或除此之外，计划提供方密钥157和计划提供方标识符167可与计划提供方的网站(例如，一个或多个URL或域，其在本文中在一些实施方案中可被称为计划提供方在线资源或计划提供方应用程序)或一般性地与计划提供方相关联，而不是与计划提供方的第三方本地应用相关联或者除了与计划提供方的第三方本地应用相关联之外。例如，计划提供方子系统200的计划提供方可与管理实体子系统400一起工作，以在表430内将特定的计划提供方网站或计划提供方大体与特定的计划提供方密钥157和计划提供方标识符167相关联，这可使得管理实体子系统400能够确定和利用适当的计划提供方密钥157，以用于对于可涉及设备100与计划提供方服务器210交互的交易而为被传送给计划提供方子系统200的任何安全设备数据(例如，可包括设备100本地的凭据数据的商业凭据数据)提供安全层，以经由在设备100上运行的互联网应用程序或web浏览器来进行交易，该互联网应用程序或web浏览器可指向目标或web资源可与该计划提供方密钥157和计划提供方标识符167相关联的URL或域(例如，该web资源的独特域(例如，store.program.provider.com))。设备100可被配置为例如经由通信路径15从计划提供方服务器210访问此类URL(例如，利用设备100上的互联网应用程序113，其在针对此类计划提供方web资源时可被视为计划提供方在线资源)。在其他实施方案中，应用程序113可不与特定计划提供方、计划提供方子系统200、计划提供方密钥157和/或计划提供方标识符167相关联，但相反可以是可供设备100使用的独立应用程序，其具有针对此类计划提供方web资源的网页视图，由此充当计划提供方在线资源。管理实体子系统400对计划提供方在线资源的此类登记(例如，计划提供方子系统200和管理实体子系统400之间对计划提供方密钥157和计划提供方标识符167的安全且经验证的共享(例如，用于在表430中的存储))可以任何合适的方式执行，以向管理实体子系统400确保计划提供方子系统200是在线资源的有效拥有者。因此，计划提供方在线资源(例如，本地应用、域/URL、或任何其他合适的web资源、或者可能甚至计划提供方终端)和/或计划提供方常客通行证可与特定的计划提供方标识符167和至少一个特定的计划提供方密钥157相关联(例如，在图5的过程500的步骤502处的登记期间)，其中每一者可以任何合适的方式在计划提供方子系统200和管理实体子系统400之间被安全地共享，并且此类关联可能够被管理实体子系统400访问(例如，在表430中)。

图2的描述

现在参考图2，图2示出了上文相对于图1描述的系统1的电子设备100的更详细视图。如图2所示，例如，电子设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信(“NFC”)部件120。电子设备100还可包括总线118，该总线可提供一条或多条有线或无线通信链路或路径，以用于向设备100的各个其他部件传输数据和/或功率、从设备100的各个其他部件传输数据和/或功率或者在设备100的各个其他部件之间传输数据和/或功率。电子设备100还可设置有外壳101，该外壳可至少部分地包封设备100的部件中的一个或多个部件，以保护其免受设备100外部的杂物和其他降解力的损害。在一些实施方案中，可对电子设备100的一个或多个部件进行组合或省略。此外，电子设备100可包括图2中未示出的其他部件。例如，电子设备100可包括任何其他合适的部件或图2中所示的部件(例如天线)的若干个实例。为了简单起见，图2中仅示出了每种部件的一个部件。可提供一个或多个输入部件110以允许用户与设备100进行交互或接口连接，和/或可提供一个或多个输出部件112以向设备100的用户呈现信息(例如，图形信息、音频信息和/或触觉信息)。应当指出，在本文有时可将一个或多个输入部件和一个或多个输出部件统称为输入/输出(“I/O”)部件或I/O界面114(例如，输入部件110和输出部件112作为I/O部件或I/O界面114)。例如，输入部件110和输出部件112有时可为单个I/O部件114诸如触摸屏，其可通过触摸显示屏来接收输入信息并且还可经由同一显示屏输出视觉信息。电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2所示，处理器102可用于运行一个或多个应用程序诸如应用程序103和/或应用程序113。作为一个示例，应用程序103可以是操作系统应用程序，而应用程序113可以是第三方应用程序或任何其他合适的在线资源(例如，与计划提供方子系统200的计划提供方相关联的应用程序)。此外，处理器102可具有对设备标识信息119的访问权限，该设备标识信息可由设备100的用户和/或管理实体子系统400用于提供设备100的标识。

NFC部件120可以是任何合适的基于接近性的通信机构，其可使得能够实现电子设备100和计划提供方子系统200的计划提供方终端(例如，计划提供方支付终端220)之间基于接近性的非接触式交易或通信。NFC部件120可包括用于使得能够实现电子设备100和此类计划提供方终端之间基于接近性的非接触式通信的任何合适的模块。如图2所示，例如NFC部件120可包括NFC设备模块130、NFC控制器模块140和/或NFC存储器模块150。NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或以其他方式提供可被NFC部件120作为基于接近性的非接触式或NFC通信的一部分而传输给计划提供方终端的任何合适的数据。除此之外或另选地，NFC数据模块132可被配置为包含、路由或以其他方式接收可被NFC部件120作为基于接近性的非接触式通信的一部分从计划提供方终端接收的任何合适的数据。NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC设备模块130工作以使能、激活、允许和/或以其他方式控制NFC部件120，以用于在电子设备100和计划提供方终端之间传送NFC通信。NFC控制器模块140可包括可用于运行一个或多个应用程序的至少一个NFC处理器模块142，该一个或多个应用程序诸如可帮助指示NFC部件120的功能的NFC低功率模式或钱包应用程序143。NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作以允许电子设备100和计划提供方子系统200之间的NFC通信。NFC存储器模块150可为防篡改的并且可提供安全元件145的至少一部分。例如，此类安全元件可被配置为提供防篡改平台(例如，作为单芯片或多芯片安全微控制器)，其可能够根据可由一组公认的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)提出的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。

如图2所示，例如NFC存储器模块150可包括可由NFC规范标准(例如GlobalPlatform)定义和管理的发行者安全域(“ISD”)152和补充安全域(“SSD”)154(例如，服务提供商安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)等)中的一者或多者。例如，ISD 152可为NFC存储器模块150的一部分，其中可信服务管理器(“TSM”)或发行远程子系统(例如，金融机构子系统)可将用于创建或以其他方式配置一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、门禁卡、公交卡、数字货币(例如，比特币和相关联的支付网络)等相关联的凭据)的密钥和/或其他合适的信息存储在电子设备100上(例如，经由通信部件106)，以用于凭据内容管理和/或用于安全域管理。凭据可包括可被分配给用户/消费者以及可安全地存储在电子设备100上的凭据数据(例如，凭据信息)，诸如信用卡支付号(例如，设备主帐户号(“DPAN”)，DPAN有效期、CVV等(例如，作为令牌或其他))。NFC存储器模块150可包括至少两个SSD 154(例如，至少第一SSD 154a和第二SSD 154b)。例如，第一SSD 154a(例如，凭据SSD 154a)可与可向电子设备100提供特定特权或支付权限的特定凭据(例如，由远程子系统配置的特定信用卡凭据、特定常客卡凭据、或特定公共交通卡凭据)相关联，而第二SSD 154b(例如，访问SSD 154b)可与可控制设备100对另一SSD(例如，第一SSD154a)的特定凭据的访问的管理实体(例如，管理实体子系统400的管理实体，其可以是设备100的控制实体)相关联，例如以向电子设备100提供特定特权或支付权限。另选地，第一SSD 154a和第二SSD 154b中的每一者可与可向电子设备100提供特定特权或支付权限的相应特定凭据(例如，由远程子系统配置的特定信用卡凭据、特定常客卡凭据、或特定公共交通卡凭据)相关联。SSD 154可包括至少一个小应用程序153和/或与其相关联(例如，具有小应用程序153a的SSD 154a和具有小应用程序153b的SSD 154b)。例如，SSD 154的小应用程序153可以是可运行于NFC部件120的安全元件上的应用程序(例如，在GlobalPlatform环境中)。凭据小应用程序153可包括凭据信息或与凭据信息相关联。每个SSD 154和/或小应用程序153还可包括至少一个其自身的密钥155和/或与其相关联(例如，具有至少一个密钥155a的小应用程序153a和具有至少一个密钥155b的小应用程序153b)。

SSD 154的密钥155可以是可确定加密算法或密码的函数输出的一条信息。例如，在加密时，密钥可指定加密期间明文到密文的特定转化或反之亦然。也可在其他加密算法中使用密钥诸如数字签名方案和消息认证代码。SSD的密钥可提供与另一实体的任何合适的共享秘密。每个密钥和小应用程序可由TSM或被授权的代理在设备100的安全元件上加载，或者在第一次被提供在设备100上时在安全元件上进行预加载。例如，尽管凭据SSD154a可与特定的信用卡凭据相关联，但该特定凭据可只在该凭据SSD154a的小应用程序153a已被使能或以其他方式被激活或解锁以用于此类用途时作为商业凭据数据通信从设备100的安全元件(例如，从NFC部件120)传送给计划提供方子系统200以用于交易。

可提供安全特征以使得能够使用NFC部件120，在从电子设备100向计划提供方子系统200传输保密支付信息诸如凭据的信用卡信息或银行账户信息时，这可能特别有用。此类安全特征还可包括可具有受限访问权限的安全存储区域。例如，可需要提供经由个人标识号(“PIN”)输入或经由与生物特征传感器进行的用户交互的用户认证来访问安全存储区域。例如，访问SSD 154b可利用小应用程序153b以在允许使用其他SSD 154(例如，凭据SSD154a)传送其凭据信息之前＝定是否已发生此类认证。在某些实施例中，可NFC存储器模块150内存储一些或所有安全特征。此外，可在NFC存储器模块150内存储安全信息诸如认证密钥，以用于与计划提供方子系统200传送商业凭据数据。在某些实施方案中，NFC存储器模块150可包括嵌入电子设备100内的微控制器。仅作为一个示例，访问SSD 154b的小应用程序153b可被配置为确定设备100的用户的意图和本地认证(例如，经由一个或多个输入部件110，诸如生物特征输入部件)，并且响应于此类确定，其可被配置为使能用于进行支付交易(例如，利用凭据SSD 154a的凭据)的另一特定SSD。

图3和图3A-图3D的描述

如图3所示，并且如下文更详细所述，电子设备100的具体示例可以是手持式电子设备诸如iPhone^TM，其中外壳101可允许访问各个输入部件110a-110i、各个输出部件112a-112c和各个I/O部件114a-114d，设备100和用户和/或周围环境可通过这些部件彼此交互。例如，触摸屏I/O部件114a可包括显示输出部件112a和相关联的触摸输入部件110f，其中显示输出部件112a可用于显示可允许用户与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180。GUI 180可包括当前运行的应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的各种层、窗口、屏幕、模板、元素、菜单和/或其他部件，它们可被显示在显示输出部件112a的全部区域或一些区域中。例如，如图3所示，GUI 180可被配置为显示具有GUI 180的一个或多个图形元素或图标182的第一屏幕190。当特定图标182被选择时，设备100可被配置为打开与该图标182相关联的新应用程序并显示GUI 180的与该应用程序(诸如计划提供方在线资源应用程序)相关联的对应屏幕。例如，当标记有“常客应用”文本指示符181的特定图标182(即，特定图标183)被设备100的用户选择时，设备100可启动或以其他方式访问特定的第三方计划提供方应用程序(例如，本地应用程序或混合应用程序)。又如，当标记有“互联网”文本指示符的特定图标182(即，特定图标184)被设备100的用户选择时，设备100可启动或以其他方式访问互联网浏览器应用程序，该互联网浏览器应用程序可被引导到特定的第三方计划提供方的web资源的URL，以用于为设备100提供另一类型的计划提供方在线资源。当任何合适的计划提供方在线资源被访问时，设备100可操作以显示一个或多个工具或特征的特定用户界面的屏幕，其可包括用于以特定方式利用设备100与该计划提供方在线资源交互(对于在使用可被设备用户用于任何执行设备100的任何安全功能(例如，使用设备100的支付和/或常客凭据(例如，凭据SSD 154a的凭据)与计划提供方子系统200进行交易)的任何合适的应用程序(例如，计划提供方在线资源113)期间GUI180的此类显示的具体示例，参见例如图3A-图3D)。对于每个应用程序，屏幕可被显示在显示输出部件112a上并且可包括各种用户界面元素。除此之外或另选地，对于每个应用程序，可经由设备100的各种其他输出部件112将各种其他类型的非视觉信息提供给用户。例如，在一些实施方案中，设备100可不包括用于提供GUI的用户界面部件，但相反可提供音频输出部件和机械的或其他合适的用户输入部件，以用于选择支付凭据和/或常客凭据以及对其进行认证，以用于与计划提供方子系统200进行交易和/或用于执行设备100的任何其他合适的安全功能。

图4的描述

现在参见图4，图4示出了相对于系统1的管理实体子系统400的具体实施方案的进一步细节。如图4所示，管理实体子系统400可以是安全平台系统，并且可包括安全移动平台(“SMP”)代理部件440、SMP可信服务管理器(“TSM”)部件450、SMP加密服务部件460、身份管理系统(“IDMS”)部件470、欺诈系统部件480、硬件安全模块(“HSM”)部件490、商店部件420、和/或一个或多个服务器410。可利用可与设备100的处理器部件102相同或类似的一个或多个处理器部件、可与设备100的存储器部件104相同或类似的一个或多个存储器部件、和/或可与设备100的通信部件106相同或类似的一个或多个通信部件来实现管理实体子系统400的一个、一些或全部部件。管理实体子系统400的一个、一些或全部部件可由可与金融机构子系统和/或计划提供方子系统200不同且独立的单个管理实体(例如，Apple Inc.)管理、拥有、至少部分地进行控制和/或以其他方式提供。管理实体子系统400的部件可彼此交互，并一起与任何合适的金融机构子系统和/或电子设备100和/或计划提供方子系统200交互，以提供新的安全层和/或提供更无缝的用户体验。

管理实体子系统400的SMP代理部件440可被配置为管理与管理实体用户帐户的用户认证和/或管理与计划提供方子系统账户的计划提供方验证。SMP代理部件440还可被配置为管理凭据在设备100上的生命周期和配置。SMP代理部件440可以是可控制设备100上的用户界面元素(例如，GUI 180的元素)的主端点。最终用户设备的操作系统或其他应用程序(例如，设备100的应用程序103、应用程序113、和/或应用程序143)可被配置为调用特定应用程序编程接口(“API”)，并且SMP代理440可被配置为处理那些API的请求并利用可导出设备100的用户界面的数据进行响应和/或利用可与设备100(例如，经由管理实体子系统400和电子设备100之间的通信路径25)进行通信的应用协议数据单元(“APDU”)进行响应。此类APDU可由管理实体子系统400经由系统1的可信服务管理器(“TSM”)(例如，管理实体子系统400和远程子系统(例如，金融机构子系统)之间的通信路径的TSM)从金融机构子系统接收。管理实体子系统400的SMP TSM部件450可被配置为提供基于GlobalPlatform的服务或可用于执行从金融机构子系统在设备100上的凭据配置操作的任何其他合适的服务。GlobalPlatform或任何其他合适的安全信道协议可使得SMP TSM部件450能够在设备100的安全元件145和TSM之间正确地传送和/或配置敏感账户数据，以便实现管理实体子系统400和远程子系统之间的安全数据通信。

SMP TSM部件450可被配置为使用HSM部件490来保护密钥和生成新的密钥。管理实体子系统400的SMP加密服务部件460可被配置为提供密钥管理和密码操作，这可被提供用于用户认证和/或系统1的各部件之间的保密数据传输。SMP加密服务部件460可利用HSM部件490以用于安全密钥存储和/或不透明加密操作。SMP加密服务部件460的支付加密服务可被配置为与IDMS部件470进行交互，以检索与和管理实体的用户账户(例如，Apple iCloud^TM帐户)相关联的存档信用卡或其他类型的商业凭据相关联的信息。此类支付加密服务可被配置成管理实体子系统400的唯一可在存储器中具有明文(即，非散列)信息来描述其用户账户的商业凭据(例如，信用卡号)的部件。IDMS部件470可被配置为使能和/或管理设备100与另一设备之间的任何合适的通信，诸如身份服务(“IDS”)传输(例如，利用商业实体特定服务(例如，Apple inc.的imessage^TM))。例如，某些设备可自动或手动地登记此类服务(例如，管理实体400的生态系统中的所有设备可自动登记该服务)。此类服务可提供端到端加密机制，其在可利用该服务来发送消息之前可要求有效的登记。IDMS部件470和/或管理实体子系统400的任何其他合适的服务器或部分可操作以标识或以其他方式查找与给定用户帐户或以其他方式相关联的配置在任何电子设备上的任何凭据的状态，使得管理实体子系统400可操作以有效和高效地标识可供与特定的用户账户相关联的特定的客户端设备(例如，与管理实体子系统400的家庭账户的多个设备)使用的一个或多个非本地支付凭据。管理实体子系统400的管理实体欺诈系统部件480可被配置为基于管理实体已知的关于商业凭据和/或用户的数据(例如，基于和与管理实体的用户账户相关联的数据(例如，商业凭据信息)和/或可在管理实体控制下的任何其他合适的数据和/或可不在远程子系统控制下的任何其他合适的数据)来对商业凭据进行管理实体欺诈检查。管理实体欺诈系统部件480可被配置为基于各种因素或阈值来确定凭据的管理实体欺诈评分。除此之外或另选地，管理实体子系统400可包括商店420，该商店可以是对设备100的用户的各种服务的提供方(例如，用于销售/租赁要由设备100播放的媒体的iTunes^TM商店、用于销售/租赁用于在设备100上使用的应用程序的Apple App Store^TM、用于存储来自设备100的数据和/或将多个用户设备和/或多个用户简档彼此关联的Apple iCloud^TM服务、用于在线购买各种Apple产品的Apple在线商店等)。仅作为一个示例，商店420可被配置为管理应用程序113以及向设备100提供应用程序113(例如，经由通信路径25)，其中应用程序113可以是任何合适的应用程序，诸如银行应用程序、计划提供方应用程序、电子邮件应用程序、文本消息应用程序、互联网应用程序、卡片管理应用程序、或任何其他合适的通信应用程序。任何合适的通信协议或通信协议的组合可被管理实体子系统400用来在管理实体子系统400的各部件之间传送数据(例如，经由图4的至少一个通信路径495)，和/或在管理实体子系统400和系统1的其他部件之间(例如，经由图1的通信路径35的计划提供方子系统200和/或经由图1的通信路径25的电子设备100)传送数据。

图5的描述

图5为用于对常客计划(或“计划提供方”)凭据进行个性化的示例性过程500的流程图。过程500被图示为由电子设备100、管理实体子系统400和计划提供方子系统200来实施。然而，应当理解，过程500可利用任何其他合适的部件或子系统来实施。过程500可对于在电子设备100上安全且有效地个性化和配置第三方计划提供方子系统200的计划提供方凭据(诸如用作电子设备100在与计划提供方子系统200的交易(例如，在线交易或基于接近性的非接触式交易)中的常客通行证)提供无缝用户体验。为了便于以下关于根据图5的过程500对计划提供方凭据进行个性化的系统1的操作的讨论，参考图1-图4的示意图的系统1的各个部件、以及参考可表示设备100的图形用户界面(例如，卡片或凭据管理应用程序(例如，钱包或存折应用程序(例如，应用程序103))和/或计划提供方在线资源113或设备100的任何合适的应用程序提供的GUI)的图3-图3D的屏幕190-190d的前视图。可利用多种图形元素和视觉方案来实现所述操作。因此，图3-图3D的实施方案并非旨在限于本文所采用的准确的用户界面约定。相反，实施方案可包括各种用户界面样式。虽然术语“计划提供方”可用于描述计划提供方子系统200和/或其任何特征，诸如计划提供方在线资源或密钥或服务器或终端或标识符或通行证，但应当理解，子系统200可以是可与电子设备100的所有者或用户和/或与管理实体子系统400不同的任何合适的第三方实体所操作的任何合适的子系统。例如，计划提供方子系统200可以是可使得能够引发设备100上凭据或通行证的配置和/或个性化过程的任何合适的第三方子系统、和/或可从设备100接收此类凭据或通行证信息以用于促进交易(例如，可受益于或以其他方式与常客通行证的一个或多个常客特征相关联的交易)的任何合适的子系统。

在过程500的步骤502，计划提供方子系统200可向管理实体子系统400进行登记。例如，在步骤502，计划提供方子系统200的计划提供方应用程序或计划提供方在线资源113(例如，本地应用、域/URL、或任何其他合适的web资源、或者可能甚至计划提供方终端)可与特定的计划提供方标识符167和特定的计划提供方密钥157相关联，特定的计划提供方标识符和特定的计划提供方密钥中的每一者可以任何合适的方式在计划提供方子系统200和管理实体子系统400之间安全地共享，并且此类关联可能够被管理实体子系统400访问(例如，在表430中)。在一些实施方案中，本地应用程序(例如，本地应用程序计划提供方在线资源113)的开发方可使用授权系统来允许应用程序访问运行该应用程序的电子设备100的安全设备功能(例如，推送消息、云存储、安全元件凭据支付等等)，其中所述授权可被签名到应用程序的二进制中，作为为了使得应用程序能够被管理实体子系统400登记而可能需要的代码签名过程的一部分(例如，用于部署在应用程序商店420中和/或用于在表430中安全地关联应用程序的计划提供方密钥157和计划提供方标识符167)，其中，例如，计划提供方标识符167可形成应用程序的授权的一部分。与此类本地应用程序不同，web资源(例如，网站计划提供方在线资源113)可以不具有可被(例如，管理实体子系统400)提供给用于在电子设备100上运行的本地应用程序的代码签名或类似保护。相反，web资源的域的所有权可在该web资源可被登记之前被证实。为了登记由计划提供方子系统200拥有或以其他方式控制的网站计划提供方在线资源113，此类所有权必须在管理实体子系统400登记该计划提供方在线资源113之前(例如，在特定的计划提供方标识符167和特定的计划提供方密钥157与该计划提供方在线资源113关联并且在计划提供方子系统200和管理实体子系统400之间共享以用于将来由管理实体子系统400访问(例如，在表430中，其中经验证的计划提供方应用程序113的计划提供方标识符167和相关联的计划提供方密钥157可彼此对照地或以其他方式彼此关联地被存储以供未来使用)之前)向管理实体子系统400证实。管理实体子系统400可操作以在管理实体子系统400处为该在线资源113登记任何合适的计划提供方标识符167和一个或多个计划提供方密钥157之前，在步骤502处验证此类计划提供方在线资源113的任何部分。在步骤502处可利用任何合适的过程以用于向管理实体子系统400安全地登记计划提供方子系统200的任何合适类型的计划提供方在线资源113的有效性(例如，任何本地应用、混合应用、web资源、或甚至电子设备要使用的计划提供方的计划提供方终端，不管是本地运行在设备上还是远程地托管在服务器上还是定位为邻近设备)，由此与计划提供方在线资源113相关联的至少一个计划提供方标识符167和至少一个计划提供方密钥157(例如，对称或非对称密钥对)可与计划提供方在线资源113相关联，并且可使得能被计划提供方子系统200和管理实体子系统400二者访问(例如，在表430中)以供未来使用，并且任何合适的数据可以任何合适的方式在任何此类过程期间在计划提供方子系统200和管理实体子系统400之间传送(例如，利用任何合适的通信协议经由通信路径35传送应用程序113、密钥157、标识符167和/或任何其他合适的数据)。例如，步骤502可包括计划提供方密钥157对于与在线资源113相关联的一个或多个计划提供方标识符167在管理实体子系统400和计划提供方子系统200之间共享，其中此类密钥157可被用于在计划提供方子系统200处对数据进行签名和/或加密(例如，在步骤526)以及在管理实体子系统400对该数据解除签名和/或解密(例如，在步骤534)或者反之亦然。

除此之外或另选地，在步骤502，后续要配置在设备100上(例如，作为凭据SSD(例如，SSD 154a))的计划提供方子系统200的计划提供方常客通行证或其他合适的计划提供方凭据可类似地与特定的计划提供方标识符167和特定的计划提供方密钥157相关联，特定的计划提供方标识符167和特定的计划提供方密钥157中每一者可以任何适当的方式在计划提供方子系统200和管理实体子系统400之间安全地共享，并且此类关联可以能被管理实体子系统400访问(例如，在表430中，其中经验证的计划提供方凭据的计划提供方标识符167和相关联的计划提供方密钥157可彼此对照地或以其他方式彼此相关联地被存储以供未来使用))。在管理实体子系统400处为此类计划提供方凭据登记任何合适的计划提供方标识符167和一个或多个计划提供方密钥157之前，管理实体子系统400可操作以在步骤502处以任何合适的方式验证该计划提供方凭据的任何部分。例如，管理实体子系统400可操作以对计划提供方子系统200运行欺诈检查或其他背景检查。除此之外或另选地，管理实体子系统400可操作以分析计划提供方凭据的任何合适的数据，以确保其满足管理实体子系统400的任何合适的计划的特定要求(例如，分析计划提供方凭据(例如，可能够为特定用户定制的计划提供方常客通行证的一部分)的文件(例如，JavaScript对象表示(“JSON”)文件))的个性化请求部分，以确保其只向最终用户请求某些类型的个人数据)。一个或多个计划提供方标识符可与特定的计划提供方在线资源113和/或与特定的计划提供方凭据相关联，诸如第一计划提供方标识符167唯一地与特定的计划提供方在线资源113或与特定的计划提供方凭据相关联，并且/或者第二计划提供方标识符167与每个计划提供方在线资源113和/或特定的计划提供方子系统200的每个计划提供方凭据相关联。除此之外或另选地，一个或多个计划提供方密钥可与特定的计划提供方标识符或与特定的计划提供方在线资源113和/或与特定的计划提供方凭据相关联。所有此类计划提供方密钥和计划提供方标识符关联可在步骤502的一个或多个实例处由管理实体子系统400(例如，在一个或多个表430中)和计划提供方子系统200存储或者以其他方式访问。例如，当计划提供方子系统200的计划提供方尝试加入管理实体子系统400的计划(例如，计划提供方凭据计划)时，计划提供方子系统200可被提供有用来创建或以其他方式已生成“增强的存折证书”的能力，该增强存折证书可包括用于计划提供方凭据的一个或多个计划提供方密钥157和至少一个计划提供方标识符167，其可由计划提供方子系统200和管理实体子系统400存储或以其他方式访问(例如，此类数据可被服务器410列入白名单(例如，在表430中))。

在步骤504处，访问数据554可被管理实体子系统400配置在设备100上。例如，访问SSD(例如，SSD 154b)可作为访问数据554从管理实体子系统400的服务器410被配置在设备100的安全元件145上，以便更安全地使得设备100能够与管理实体子系统400进行通信。如上所述，访问SSD 154b可至少部分地直接从管理实体子系统400配置在设备100的安全元件145上(例如，作为经由管理实体子系统400的服务器410和设备100的通信部件106之间通信路径25的访问数据554，其然后可从通信部件106(例如，经由总线118)被传递给安全元件145)。经由路径25的访问数据554可作为访问SSD 154b的至少一部分或全部被配置在设备100的安全元件145上，并且可包括访问小应用程序153b和/或访问密钥155b。步骤504可至少部分地(例如，在设备100被售卖给用户之前由管理实体子系统400)初始地配置设备100时被执行。另选地或除此之外，步骤504可至少部分地响应于设备100的用户初始设置NFC部件120的安全元件145而被执行。除此之外或另选地，访问数据554可包括用于安全元件145的ISD 152的ISD密钥156k，并且除了访问密钥155b之外或作为替代，可被用于使得能够实现管理实体子系统400和设备100之间的安全传输。除此之外或另选地，访问数据554可包括除了访问密钥155b和/或访问密钥155a和/或ISD密钥156k之外或作为替代可被用于使得能够实现管理实体子系统400和设备100之间的安全传输(例如，用于用作管理实体子系统400和设备100之间的任何合适的管理实体密钥或共享秘密)的一个或多个任何其他合适的密钥。另选地或除此之外，访问数据554可包括管理实体子系统400和设备100之间的任何其他合适的管理实体密钥或共享秘密，其可不被存储在设备100的安全元件上，但可能够由设备100的其他部分诸如处理器102经由存储器104来访问。

在步骤506处，过程500可包括从任何合适的远程子系统(例如，直接地从金融机构子系统和/或计划提供方子系统200(在图5中未示出)或经由管理实体子系统400)将任何合适的凭据和/或应用程序数据556配置在设备100上。此类数据556可来自任何合适的远程子系统，并且可以是可被配置在设备100(例如，安全元件145)上的作为凭据SSD 154a的至少一部分或全部的凭据数据(例如，支付凭据数据)，并且可包括具有凭据信息的凭据小应用程序153a，其中步骤506可至少部分地在设备100的用户选择待在设备100上配置的特定支付凭据时执行。在一些实施方案中，此类凭据数据556也可包括访问密钥155a，该访问密钥可初始地从管理实体子系统400提供给远程子系统(例如，金融机构子系统)和/或可由管理实体子系统400添加。在一些实施方案中，此类凭据数据556可包括作为被配置的支付凭据的凭据信息的至少一部分的主帐户号码、应用程序标识符(“AID”)、SSD标识符和/或SSD计数器。除此之外或另选地，此类数据556可来自计划提供方子系统200(例如，经由通信路径15或作为基于接近性的非接触式通信5和/或经由管理实体子系统400和路径35和25)，并且可以是由设备100访问的计划提供方应用程序数据(例如，计划提供方在线资源应用程序113)。例如，计划提供方的资源应用程序113可在步骤506处从管理实体子系统400(例如，从应用程序商店420)加载到设备100上以供后续使用(例如，设备100的用户可利用I/O部件114a的触摸屏输入部件110f选择GUI 180的特定屏幕190的“常客应用”图标183，并且该选择可被设备100识别为用于为用户提供与先前在步骤506处加载到设备100上的计划提供方的第三方应用程序113进行交互的能力的发起事件)。

在步骤508处，设备100可以任何合适的方式与计划提供方子系统200的任何合适的部件进行交互，所述任何合适的方式可操作以有利于步骤514处的从计划提供方子系统200到设备100的计划提供方凭据响应数据564的最终通信，其中计划提供方凭据响应数据564可包括用于在设备100上提供通用计划提供方凭据(例如，通用和/或匿名常客卡)的任何合适的数据。此类计划提供方凭据响应数据564可遵循任何合适的数据格式，例如例如可具有pkpass文件扩展名的压缩包。此类包可包括例如可操作以由设备100在用户界面的各实例中显示或以其他方式呈现来指示存在计划提供方凭据供使用(例如，在凭据管理应用程序的数字钱包UI中，在通知中，在电子邮件中，在锁定屏幕上，等等)的一个或多个可呈现的媒体文件(例如，.png图像文件或其他)、可为标识包捆绑中每个其他文件的JSON字典的manifest.json文件、签名(例如，manifest.json文件的分离的公钥加密标准(“PKCS”)#7签名)、和/或可为JSON字典的pass.json文件，其可定义计划提供方凭据通行证本身或者可包括例如通行证的简要的可呈现描述作为可定位串、格式版本、可已创建通行证和/或对其进行签名的计划提供方的组织可呈现描述、通行证类型标识符(例如，由管理实体子系统400发布作为与计划提供方凭据相关联的计划提供方标识符167(例如，具有签名证书和/或密钥))、可唯一地标识计划提供方凭据的通行证的唯一通行证标识符(例如，序列号)(例如，不存在具有相同通行征类型标识符的任何两个通行证可具有相同的序列号)、可已创建通行证和/或对其签名的计划提供方的团队标识符、和/或等等。此外，在一些实施方案中，此类包例如也可包括personalization.json文件，其可包括可使用计划提供方密钥157或以其他方式使用增强存折证书签名的任何合适格式的任何合适数据。计划提供方凭据响应数据564中此类合适的personalization.json文件的存在可被设备100检测，以便确定计划提供方凭据响应数据564的计划提供方凭据可被个性化(例如，如参考步骤515所述)。因此，计划提供方凭据响应数据564可包括可指示任何合适的通用计划提供方凭据的任何合适的第一计划提供方凭据信息，并且计划提供方凭据响应数据564也可包括可指示通用计划提供方凭据的可定制性的任何合适的第二计划提供方凭据信息。

任何合适的动作组合可导致此类计划提供方凭据响应数据564在步骤514处被设备100接收。作为一个示例，设备100可在步骤508处被定位为靠近计划提供方子系统200的任何合适的计划提供方终端220，使得计划提供方凭据响应数据564可在步骤514处从该计划提供方终端220被传送给设备100(例如，其中此类计划提供方终端220可以是NFC标记或者可以是可操作以在设备100定位在此类计划提供方终端220的距离D内时(例如，在NFC部件120处于始终接通或能容易行动的读取器模式中时)(例如经由NFC部件120作为通信5(例如，推送通信))将此类计划提供方凭据响应数据564传送给设备100的NFC读取器(例如，可嵌入在计划提供方子系统200的常客凭据的通告中或以其他方式作为计划提供方子系统200的常客凭据的通告的一部分的标签)，这在本文中可被称为轻拍以配置的使用案例。另选地，设备100的用户可在步骤508处主动地选择网站上或设备100的任何合适的计划提供方在线资源113内的链接，该链接可操作以请求该计划提供方凭据响应数据564在步骤514处从计划提供方子系统200的计划提供方服务器210被传送给设备100。另选地，设备100可在步骤508处被定位为靠近任何合适的计划提供方部件(例如，NFC标记、QR码等，其可被嵌入在计划提供方子系统200的常客凭据的通告中或以其他方式被提供作为计划提供方子系统200的常客凭据的通告的一部分)(例如利用NFC部件120或设备100的相机或其他合适的扫描器部件)，以在步骤510处捕获到计划提供方子系统200的计划提供方在线资源的统一资源定位符(“URL”)的此类链接作为计划提供方凭据发起数据560，或者设备100可在步骤510处通过任何其他合适的方式(例如，经由设备100处接收的电子邮件或文本消息)来接收此类链接作为数据560，并且设备100随后可操作以利用该链接和设备100的任何合适的在线资源来在步骤512处(例如自动地)将计划提供方凭据请求数据562传送给与数据560的URL相关联的计划提供方子系统200的适当的计划提供方服务器，然后该计划提供方服务器210可通过在步骤514处(例如经由通信路径15)将计划提供方凭据响应数据564传送给设备100来对该计划提供方凭据请求数据562进行响应，这在本文中也可被称为轻拍以配置的使用案例。另选地，设备100可在步骤508处将任何合适的设备交易数据558传送给计划提供方子系统200，其可包括用于与计划提供方子系统200进行金融交易的支付凭据数据(例如，步骤506处来自被配置在设备100上的支付凭据SSD的数据)，其中此类设备交易数据558可作为基于接近性的非接触式通信5被传送给计划提供方终端220(例如，根据EuropayMasterCard Visa(“EMV”)标准或FeliCa标准)或作为在线通信经由通信路径15被传送给计划提供方服务器210，并且其中初始计划提供方凭据数据560随后可在步骤510处从计划提供方子系统200传送给设备100(例如从服务器210或终端220)，其可包括任何合适的交易响应数据(例如，此类支付凭据数据的接收确认或金融交易完成的确认)以及任何合适的附加数据(例如，上述URL)，其可操作以使得设备100在步骤512处能够传送计划提供方凭据请求数据562以用于随后在步骤514处接收计划提供方凭据响应数据564，其中此类附加数据可根据增值服务(“VAS”)协议来提供(例如，当此类附加数据可作为通信5从计划提供方终端220传送给设备100时)。另选地，设备100可在步骤508处将任何合适的设备交易数据558传送给计划提供方子系统200，其可包括用于与计划提供方子系统200进行金融交易的支付凭据数据，其中此类设备交易数据558可作为基于接近性的非接触式通信5被传送给计划提供方终端220(例如，根据Europay MasterCard Visa(“EMV”)标准或FeliCa标准)或作为在线通信经由通信路径15被传送给计划提供方服务器210，并且其中计划提供方凭据响应数据564随后可在步骤514处从计划提供方子系统200传送给设备100(例如从服务器210通过路径15或从终端220作为通信5)，其可包括任何合适的交易响应数据(例如，此类支付凭据数据的接收确认或金融交易完成的确认)以及用于在设备100上提供计划提供方凭据的任何合适的数据(例如，通用和/或匿名常客卡)，其中此类计划提供方凭据数据可根据VAS协议来提供(例如，当此类附加数据可作为通信5从计划提供方终端220传送给设备100时)。因此，在一些实施方案中，计划提供方子系统200可将计划提供方凭据(例如，计划提供方常客通行证)推送给设备100，作为与设备100的另一交易的一部分。在一些实施方案中，计划提供方凭据发起数据560和/或计划提供方凭据响应数据564可包括动作标识符数据，其可指示要创建的计划提供方凭据的类型(例如，创建常客账户等)、以及账户标识符数据，帐户标识符数据可指示特定计划提供方卡的特定标识符号码(例如，NFC标记的常客卡可作为数据560和/或数据564被传送，和/或常客卡的照相图像或其他扫描图像可作为数据560和/或数据564被传送，其可指示印刷在该卡上的实际账户号码)。

一旦计划提供方凭据响应数据564在步骤514处被设备100接收以用于在设备100上提供计划提供方凭据(例如，通用和/或匿名常客卡)，设备100(例如，设备应用程序，诸如凭据管理应用程序103)就可操作以在步骤515处处理计划提供方凭据响应数据564，以确定此类计划提供方凭据响应数据564是否包括可指示定制(例如，由设备100的用户进行个性化)计划提供方凭据响应数据564的计划提供方凭据的能力的特定数据(例如，personalization.json文件，如上所述)。如所提及的，计划提供方凭据响应数据564可包括可指示任何合适的通用计划提供方凭据的任何合适的第一计划提供方凭据信息、以及可指示通用计划提供方凭据的可定制性的任何合适的第二计划提供方凭据信息，并且设备100可操作以在步骤515处处理计划提供方凭据响应数据564，以确定计划提供方凭据响应数据564是否至少包括此类第二计划提供方凭据信息。步骤515的此类处理可由设备100自动执行，和/或对设备100的用户透明地执行(例如，计划提供方凭据响应数据564的某些数据可操作以向设备100(例如，凭据管理应用程序103)指示计划提供方凭据响应数据564是能被定制的类型)。如果在步骤515处确定计划提供方凭据响应数据564所定义的计划提供方凭据不是可定制的，则设备100可操作以将计划提供方凭据自动添加到设备100的数字钱包以供后续使用(例如，作为通用常客通行证)，或者可操作以在将计划提供方凭据添加到数字钱包或从设备100删除计划提供方凭据之前，请求用户接受或拒绝计划提供方凭据。例如，如图3A所示，设备100的GUI可提供屏幕190a，其中应用程序(例如，可(例如通过共享计划提供方标识符或以其他方式)与计划提供方凭据相关联的凭据管理应用程序103或计划提供方在线资源应用程序113)可使用信息307向设备100的用户指示新的通用计划提供方凭据已被接收并且可询问用户是否想要将新凭据添加到设备的数字钱包，并且可使得用户能够选择用于添加凭据的选项309(例如，单选按钮)或选择用于不添加(例如，删除)凭据的选项311(例如，单选按钮)。然而，如果在步骤515处确定计划提供方凭据响应数据564所定义的计划提供方凭据是可定制的，则设备100可操作以在步骤516处自动生成以及向管理实体子系统400传送计划提供方验证请求数据566。

在过程500的步骤516处，响应于设备100在步骤515处确定计划提供方凭据响应数据564所定义的计划提供方凭据可被个性化(例如，个性化或定制，和/或以其他方式被修改以与特定用户或用户组(例如，家庭)相关联)，设备100可操作以生成以及向管理实体子系统400传送计划提供方验证请求数据566(例如，利用任何合适的通信协议经由通信路径25)，以用于发起可定制的计划提供方凭据的验证会话。在步骤516处从设备100传送给管理实体子系统400的计划提供方验证请求数据566可包括用于试图确定计划提供方凭据响应数据564的计划提供方凭据的有效性的任何合适的数据，包括但不限于与要验证的计划提供方凭据相关联的计划提供方标识符(例如，计划提供方凭据响应数据564的计划提供方标识符(例如，通行证类型标识符)，其可与在步骤502处为计划提供方凭据登记的至少一个计划提供方标识符167相同)；和指示在步骤515处确定计划提供方凭据响应数据564所定义的计划提供方凭据是可定制的任何合适的数据(例如，可指示要被个性化的计划提供方凭据响应数据564所定义的计划提供方凭据的能力的计划提供方凭据响应数据564的数据的特定类型)。在一些实施方案中，计划提供方标识符数据而非动作标识符数据和/或账户标识符数据可需要被包括在数据566中以用于由管理实体子系统400进行验证，但此类数据类型中的每一者在其他实施方案中可被包括和验证。计划提供方验证请求数据566可基于质询请求目标标识符(例如，质询请求URL(例如，标识要与设备100一起工作以验证计划提供方凭据的管理实体子系统400的服务器410的URL))来正确地被寻址到管理实体子系统400。设备应用程序(例如，凭据管理应用程序103)可具有此类质询请求目标标识符，其被编程为可由管理实体子系统400控制的任何合适的操作系统或应用程序更新的一部分，使得质询请求目标标识符可在任何合适的时间由管理实体子系统400在设备100上更新并且在过程500期间能自动地由设备应用程序访问。

在过程500的步骤518处，响应于管理实体子系统400在步骤516处从设备100接收任何合适的计划提供方验证请求数据566，管理实体子系统400(例如，SMP代理部件440)可操作以验证由计划提供方验证请求的计划提供方标识符167所标识的计划提供方凭据。例如，在步骤518处，管理实体子系统400可操作以尝试确认所接收的计划提供方验证请求数据566的计划提供方标识符167所标识的计划提供方凭据是管理实体子系统400处的有效的登记的计划提供方凭据，这可通过在表430中标识该计划提供方标识符167(例如以确定计划提供方标识符167先前已经(例如，在步骤502处)向管理实体子系统400登记用于计划提供方凭据，并且标识该计划提供方凭据的此类登记仍然有效(例如，该管理实体子系统400还没有从表430移除计划提供方标识符167或者还没有由于其计划提供方凭据可疑或以其他方式不再可信而在表430中对计划提供方标识符167进行标记和/或(例如，在表430中)与计划提供方标识符167相关联的证书仍然有效)来确认。除此之外或另选地，步骤518的验证可包括管理实体子系统400尝试确认由所接收的计划提供方验证请求数据566的计划提供方标识符167所标识的计划提供方凭据是管理实体子系统400处的同样为可定制的计划提供方凭据的有效的且登记的计划提供方凭据。例如，管理实体子系统400可操作以确定从请求数据566标识的计划提供方标识符167也是表430中可与可定制的登记的凭据相关联的计划提供方标识符167(例如，以确定计划提供方标识符167先前已经(例如在步骤502处)向管理实体子系统400登记以用于计划提供方凭据，并且确定计划提供方凭据的此类登记仍然有效并且确定此类登记指示可被个性化的计划提供方凭据(例如，在步骤502，要个性化的计划提供方凭据的登记可包括管理实体子系统400以任何合适的方式验证计划提供方凭据可被用于个性化目的，以及随后将计划提供方凭据的计划提供方标识符列入白名单或以其他方式登记为可定制的(例如，在表430中)))。因此，管理实体子系统400可操作以在步骤518处确保可由请求数据566标识的特定的计划提供方和/或特定的计划提供方凭据处于良好状态，并且被管理实体子系统400批准用于个性化服务(例如，使用管理实体子系统400可访问的任何合适的数据，包括来自步骤502的任何数据)。

在管理实体子系统400对所接收的计划提供方验证请求数据566的任何合适的成功验证之后(例如，在验证所接收的计划提供方验证请求数据566的计划提供方标识符和/或验证其计划提供方凭据已经被登记成可定制的之后)，或者可能在失败的验证尝试之后，管理实体子系统400还可在步骤518处操作以生成任何合适的跟踪数据568，并且对照所接收的计划提供方验证请求数据566的任何合适的标识符数据(例如，数据564的计划提供方凭据的计划提供方标识符167)存储该跟踪数据568。例如，管理实体子系统400可操作以生成任何合适的跟踪数据568(例如，任何合适的令牌数据或经由熵的随机数据)，然后对照验证请求数据566的计划提供方标识符167将该跟踪数据568存储在管理实体子系统400能访问的任何合适的数据结构中(例如，表430中或以其他方式)。(例如，步骤514-538中的一者、一些或全部的任何合适的迭代的)验证会话的此类跟踪数据568和计划提供方标识符数据之间的此类所存储的链接或关联可后续被管理实体子系统400用于对验证会话的计划提供方凭据进行验证(例如，在步骤534处)和/或进一步保护和/或跟踪设备100上的计划提供方凭据的个性化。

响应于管理实体子系统400在步骤518处验证所接收的计划提供方验证请求数据566并对照计划提供方标识符数据生成跟踪数据568(例如，在管理实体子系统400处将跟踪数据568与特定的计划提供方标识符167关联)，管理实体子系统400可操作以在步骤520处将此类跟踪数据568作为计划提供方验证响应数据570的至少一部分传送给电子设备100，其可指示此类验证(例如，利用一个或多个任何合适的通信协议经由通信路径25)。除了跟踪数据568之外，此类计划提供方验证响应数据570可包括任何其他合适的数据，包括但不限于验证请求数据566的计划提供方标识符数据和/或可被设备100和/或计划提供方子系统200用于生成个性化的计划提供方凭据的任何其他合适的数据。计划提供方验证响应数据570的至少一部分(例如，至少跟踪数据568)可被管理实体子系统400(例如，在HTTP标头中或以其他方式)以同样能由电子设备100访问的与管理实体子系统400相关联的访问密钥(例如，设备应用程序(例如，凭据管理应用程序103)可知道的任何密钥)进行签名，使得设备100可在接收到经签名的数据时验证签名，以确认是管理实体子系统400而不是可能不被电子设备100信任的另一实体子系统生成了计划提供方验证响应数据570和/或使得经签名的计划提供方验证响应数据570不可能被可能不具有对此类访问密钥的访问权限的实体使用。另选地，响应于管理实体子系统400在步骤518处没有验证所接收的计划提供方验证请求数据566，在这种情况下，跟踪数据568在步骤518可以对照或者可以没有对照计划提供方标识符数据被生成和存储，管理实体子系统400可操作以在步骤520将任何跟踪数据568作为计划提供方验证响应数据570的至少一部分传送给电子设备100，其可指示未验证(例如，利用任何合适的通信协议经由通信路径25)。在一些实施方案中，没有跟踪数据568可在步骤518处被生成和/或在步骤520处被包括作为计划提供方验证响应数据570的至少一部分(如果计划提供方凭据在步骤518处未被验证用于个性化)，并且没有跟踪数据作为计划提供方验证响应数据570的至少一部分可由设备100确定，并且此类确定可操作以指示设备100跳过计划提供方凭据的任何个性化(例如，跳过步骤522-537中的一者或多者)。例如，用户的常客通行证的个性化或定制可允许用户对该通行证的使用被跟踪以用于个性化激励(例如，用于奖励和/或传送优惠)，而通用通行证可仍然使用户(例如，常客通行证持有人)有资格享受标准激励(例如，百分比折扣)。

如所提及的，设备100的用户可选择GUI元素(例如，单选按钮)，诸如图3A的选项309，以用于传达用户希望将通用计划提供方凭据添加到设备100的数字钱包。如图3B所示，设备100可被配置为响应于设备100接收到对图3A的屏幕190a的选项309的选择并且设备100还(例如，在步骤515处)确定数据564的计划提供方凭据指示为可定制的(例如，通过接收具有合适的跟踪数据的计划提供方验证响应数据570或者指示计划提供方凭据有效且可被个性化的其他数据)而提供屏幕190b。另选地，设备100可操作以响应于设备100(例如，在步骤515处)确定数据564的计划提供方凭据指示可定制的并且也不响应于与屏幕190a或其他的任何用户交互而提供屏幕190b。在任何情况下，如图3B所示，设备100的GUI可提供屏幕190b，其中应用程序(例如，可(例如通过共享计划提供方标识符或以其他方式)与计划提供方凭据相关联的凭据管理应用程序103或计划提供方在线资源应用程序113)可使用信息313向设备100的用户指示新的通用计划提供方凭据可被个性化并且可询问用户是否想要对该新凭据个性化，并且可使得用户能够选择用于对凭据进行个性化的选项315(例如，单选按钮)或选择用于不对凭据进行个性化的选项317(例如，单选按钮)。如果选项315被选择，则设备100然后可在设备100已在步骤520处接收了肯定的计划提供方验证响应数据570的情况下前进到步骤522，或者设备100可在选项315在步骤516之前被呈现和选择的情况下前进到步骤516，如果肯定的计划提供方验证响应数据570在步骤520处被接收，则这可最终导致步骤522。如果选项317被选择，则设备100可操作以将通用卡添加到数字钱包，或者如果先前已添加则将通用卡保持在钱包中。当没有肯定的计划提供方验证响应数据570在步骤520处被接收时(例如，如果管理实体子系统400在步骤518处没有验证计划提供方凭据以用于个性化)，设备100可操作以提供图3A的屏幕190a，以使得用户即使在步骤520处接收到可指示管理实体子系统400还未在步骤518处验证计划提供方凭据与用于个性化的计划提供方验证响应数据570的情况下也能够添加通用计划提供方凭据到设备100的数字钱包。例如，计划提供方凭据仍可被批准用于通用用途。另选地，如果在步骤520处接收到可指示管理实体子系统400还未在步骤518处验证计划提供方凭据以用于个性化并且也还未批准计划提供方凭据用于通用用途的计划提供方验证响应数据570，则设备100可不能够操作以提供图3A的屏幕190a和/或可操作以从设备100自动删除通用计划提供方凭据(例如，计划提供方凭据响应数据564的至少一部分)。

在任何情况下，当过程500前进至步骤522时，设备100可操作以在步骤522处收集可用于对计划提供方凭据进行个性化的用户个性化数据572，其中在合适的跟踪数据568已被设备100接收之前，设备100可允许或可不允许前进至步骤522。用户个性化数据572可包括与特定用户的个人特性、特定帐户、或者与设备100的特性相关联的任何合适的数据，包括但不限于姓名、电子邮件地址、电话号码、邮政编码、邮寄地址、化名或用户名、社交媒体登录凭据、生日、性别、与计划提供方的产品或服务相关的用户偏好、和/或等等。例如，如图3C所示，设备100的GUI可提供屏幕190c，其中应用程序(例如，可(例如通过共享计划提供方标识符或其他)与计划提供方凭据相关联的凭据管理应用程序103或计划提供方在线资源应用程序113)可使用信息319向设备100的用户指示个人数据可被提供以用于对计划提供方凭据进行个性化，并且可包括与可在步骤522处收集的个人数据中的一些或全部相关联的一个或多个合适的数据字段，诸如用于姓名数据的数据字段321(例如，姓名数据“A”)、用于电子邮件地址数据的数据字段323(例如，电子邮件地址数据“B”)、用于电话号码数据的数据字段325(例如，电话号码数据“C”)、和/或用于邮政编码数据的数据字段327(例如，邮政编码数据“D”)、以及用于提交数据字段的数据作为个性化数据572以用于对计划提供方凭据进行个性化的选项329(例如，单选按钮)。在一些实施方案中，设备100可操作以自动地在步骤522处以任何合适的方式自动填充屏幕190c的数据字段中的一者或多者，诸如通过从可供设备100使用的一个或多个任何合适的数据源拉取适当的数据(例如，来自设备100的联系人设备应用程序的“我”卡的个人用户数据或者可供设备100使用的任何合适的用户简档信息(例如，来自存储器104和/或来自管理实体子系统400))，使得屏幕190c可使得用户能够确认和/或编辑此类自动填充(例如，预填充)的数据字段，而不是手动地将初始数据输入到那些数据字段中。另选地，在一些实施方案中，设备100可操作以自动确定个性化数据572而无需步骤522处的任何用户交互(例如，无需提供屏幕190c)。虽然计划提供方凭据响应数据564的任何合适的数据可限定计划提供方子系统200期望用于对计划提供方凭据进行个性化的一种或多种类型的个人数据，但设备100(例如，凭据管理应用程序103)可操作以将在步骤522处收集的个性化数据572的类型限制为个人数据类型(例如，姓名、电子邮件地址、电话号码和邮政编码)的特定集，以保护设备100的用户。虽然计划提供方凭据响应数据564的某些数据可指示计划提供方凭据被个性化的能力，但设备100(例如，凭据管理应用程序103)可操作以使用该数据来生成屏幕190c和/或来收集用于一个或多个特定数据字段的数据，而此类数据字段无需由计划提供方凭据响应数据564来明确限定(例如，设备应用程序可被配置有个人信息数据字段的预定义集，其在可定制的计划提供方凭据被检测到时可针对所述个人信息数据字段的预定义集来收集个人数据)。在一些实施方案中，管理实体子系统400可操作以限定个人信息数据字段的固定集，其中的一者或多者可由计划提供方子系统200在定义计划提供方凭据时(例如，在定义计划提供方凭据的计划提供方凭据响应数据564的personalization.json文件时)选择。这可阻止某些类型的个性化数据潜在地在过程500期间被计划提供方子系统200从设备100获取。在一些实施方案中，响应于检测到用户个性化数据可被收集，凭据管理应用程序103可被配置为限定可在步骤522处收集的有限类型的个人数据，而不是此种类型的数据由从计划提供方子系统200接收的任何数据来限定(例如，不由计划提供方管理的固件或设备软件(例如，管理实体子系统400管理的操作系统应用程序或应用程序)可操作以限定和/或向设备100的用户呈现可被收集以用于在对计划提供方通行证进行个性化中使用的个性化数据的一个或多个类型，使得用户可更愿意信任要输入的个人数据是适当的并且被可信实体(例如，管理实体子系统400)批准，而不是只愿意输入可能看起来是由特定的计划提供方请求的任何个人数据)。在一些实施方案中，用户个性化数据572的至少一部分可从管理实体子系统400提供，作为计划提供方验证响应数据570的至少一部分，因为管理实体子系统400可操作以存储或访问设备100的用户的某些个人信息(例如，可在管理实体子系统400处作为与设备100相关联的用户简档的一部分而被包括的姓名、电子邮件地址、电话号码和/或邮政编码)，使得用户个性化数据572的一些或全部可由管理实体子系统400提供，从而使得设备100可不必从设备100的存储器收集此类数据或向设备100的用户请求此类数据。

在过程500的步骤524处，一旦用户个性化数据572在步骤522处已被收集(例如，自动地或在具有任何合适的用户交互的情况下)，则电子设备100可操作以将此类用户个性化数据572作为计划提供方登记请求数据574的至少一部分而传送给计划提供方子系统200(例如，通过利用任何合适的通信协议，经由到计划提供方服务器210的通信路径15或作为到计划提供方终端220的基于接近性的非接触式通信5)。除了用户个性化数据572之外，此类计划提供方登记请求数据574可包括任何其他合适的数据，包括但不限于跟踪数据568(例如，在步骤520处作为计划提供方验证响应数据570的至少一部分而由设备100从管理实体子系统400接收)和/或计划提供方凭据的计划提供方标识符数据，诸如来自计划提供方凭据响应数据564和/或来自计划提供方验证响应数据570的计划提供方标识符数据(例如，数据574可被递送到的URL可包括计划提供方标识符和/或计划提供方凭据的序列号(例如，用于计划提供方子系统200路由和/或查找))、和/或数据560和/或数据564的动作标识符数据和/或账户标识符数据和/或计划提供方凭据响应数据564的整体和/或可被计划提供方子系统200用于生成用于在设备100上配置的个性化计划提供方凭据的任何其他合适的数据。计划提供方登记请求数据574的至少用户个性化数据572可由设备100(例如，由计划提供方在线资源113)使用计划提供方密钥157或与计划提供方子系统200共享的另一共享秘密来加密或以其他方式签名，使得用户个性化数据572可在设备100与计划提供方子系统200之间安全地传送。此类计划提供方登记请求数据574可在本文中被称为针对计划提供方凭据的个性化签约请求。

在过程500的步骤526处，响应于在步骤524处接收到计划提供方登记请求数据574，计划提供方子系统200可操作以任何合适的方式处理计划提供方登记请求数据574以用于生成任何合适的经定制或个性化的计划提供方凭据数据576，该数据后续可被电子设备100处理以用于将经个性化的计划提供方凭据配置在设备100上以供未来交易使用。例如，计划提供方子系统200可操作以标识计划提供方登记请求数据574的用户个性化数据572，并且可利用用户个性化数据572的至少一部分将经个性化的计划提供方凭据(例如，经个性化的计划提供方常客通行证)至少部分地限定为经个性化的计划提供方凭据数据576。例如，可在计划提供方子系统200和设备100之间利用任何合适的API(例如，任何合适的开放式API)来使得计划提供方子系统200(例如，计划提供方子系统200的后端服务器或系统)能够从设备100拉取信息(例如，用户个性化数据572和/或任何其他合适的信息，诸如计划提供方标识符信息和/或动作标识符信息等)，以便生成以及随后传送经个性化的计划提供方凭据数据回到设备100(例如，用作计划提供方常客通行证凭据)。在一些实施方案中，经个性化的计划提供方凭据数据576可与计划提供方凭据响应数据564类似，但可不包括personalization.json文件(例如，经个性化的计划提供方凭据数据576可以是由数据564所标识的计划提供方凭据的“新”版本，但具有指示其为可定制的数据)。另外，在过程500的步骤526处，响应于在步骤524处接收到计划提供方登记请求数据574，计划提供方子系统200可操作以任何合适的方式处理计划提供方登记请求数据574以用于生成任何合适的经签名的跟踪数据568'，该数据后续可被管理实体子系统400处理以用于验证对此类跟踪数据进行签名的计划提供方子系统200的身份。例如，计划提供方子系统200可操作以标识计划提供方登记请求数据574的跟踪数据568，然后可使用任何合适的密钥将至少跟踪数据568签名为经签名的跟踪数据568'。计划提供方子系统200可通过标识可与被定制的计划提供方凭据相关联的计划提供方标识符167(例如，通过标识计划提供方登记请求数据574的任何计划提供方标识符数据)并随后标识可与那个所标识的计划提供方标识符167相关联的任何合适的计划提供方密钥157(例如，通过标识可对照所标识的计划提供方标识符167被存储的计划提供方子系统200所能访问的任何合适的计划提供方密钥157，其中计划提供方密钥157和计划提供方标识符167之间的此类关联可已经在步骤502处完成，使得所述关联也可能够被管理实体子系统400(例如，在步骤534处)独立地访问)来标识此类合适的密钥。因此，在步骤526处，计划提供方子系统200可标识跟踪数据568，可标识(例如，在步骤502)已与被个性化的计划提供方凭据的计划提供方标识符相关联的计划提供方密钥157，并且随后可使用计划提供方密钥157对跟踪数据568进行签名或以其他方式加密为经签名的跟踪数据568'。计划提供方子系统200可操作以在步骤526处采取任何附加动作，诸如向设备100的用户发送与经个性化的计划提供方凭据相关联的欢迎电子邮件、在计划提供方服务器210上生成常客账户、和/或等等，该计划提供方服务器可操作以在未来交易期间(例如，在步骤540处)从设备100接收计划提供方凭据时跟踪和/或更新和/或以其他方式利用来自经个性化的计划提供方凭据的数据。在一些实施方案中，计划提供方登记请求数据574可包括来自数据560和/或来自数据564的动作标识符数据和/或账户标识符数据，并且此类动作标识符数据和/或账户标识符数据可被计划提供方子系统200(例如，连同用户个性化数据572)用于确定可在步骤526处被生成的定制数据576。例如，在轻拍以配置的使用案例中，当NFC标记的常客卡可在步骤508处被设备100轻拍时，数据560和/或数据564随后可由设备100从NFC标记的常客卡接收，其可指示动作标识符数据和账户标识符数据，其中此类动作标识符数据可以是指示“对配置常客计划提供方凭据的请求”的数据，并且此类账户标识符数据可以是指示常客卡的特定账户号码的数据，并且计划提供方子系统200可接收此类动作标识符数据和账户标识符数据作为数据574的至少一部分(例如与用户个性化数据572一起)，以供在步骤526中使用，以相应地定义定制数据576(例如，以定义计划提供方凭据数据，其可使得能够在设备100上配置可与被轻拍的NFC标记的常客卡相关联和/或代替被轻拍的常客卡使用的数字计划提供方常客账户卡)。又如，在用户不具有现有常客账户的使用案例中，数据560和/或数据564可被设备100接收，其可指示动作标识符数据但不指示账户标识符数据，其中此类动作标识符数据可以是“对创建新常客计划提供方凭据的请求”，并且计划提供方子系统200可接收此类动作标识符数据作为数据574的至少一部分(例如，与用户个性化数据572一起)，以供在步骤526处使用，以相应地定义定制数据576(例如，以定义计划提供方凭据数据，其可使得能够在设备100上配置可与和计划提供方子系统200的新用户账户相关联的数字计划提供方常客账户卡，其中计划提供方子系统200也可生成和运送相关联的物理计划提供方常客卡给设备100的用户，所述物理计划提供方常客卡可与配置在设备100上的数字计划提供方常客账户凭据相关联和/或代替其使用)。

响应于计划提供方子系统200生成经个性化的计划提供方凭据数据576以及在步骤526处生成经签名的跟踪数据568'，计划提供方子系统200可操作以在步骤528处(例如，利用任何合适的通信协议经由通信路径15从计划提供方服务器210或作为基于接近性的非接触式通信5从计划提供方终端220)将此类经签名的跟踪数据568'和此类经个性化的计划提供方凭据数据576作为计划提供方登记响应数据578的至少一部分传送给电子设备100。除了经个性化的计划提供方凭据数据576和经签名的跟踪数据568'之外，此类计划提供方登记响应数据578可包括任何其他合适的数据，包括但不限于计划提供方凭据的计划提供方标识符数据(例如，计划提供方凭据响应数据564的和/或计划提供方验证响应数据570的和/或计划提供方子系统200在步骤526标识或确定的计划提供方标识符)和/或可被设备100用于安全地和/或有效地和/或以其他方式在设备100上配置经个性化的计划提供方凭据以供在未来交易中使用的任何其他合适的数据。另选地，如果由于任何原因，计划提供方子系统200在步骤526处没有生成经个性化的计划提供方凭据数据576，则计划提供方子系统200仍可操作以在步骤528处传送计划提供方登记响应数据578，其可包括经个性化的计划提供方凭据数据576之外的任何合适的数据，诸如经签名的跟踪数据568'。在一些实施方案中，可发生步骤524-528的两次迭代。在第一迭代中，步骤526可生成经签名的跟踪数据568'，并且返回经签名的跟踪数据568'作为步骤528的第一迭代中响应数据578的至少一部分。然后，响应于接收到此类经签名的跟踪数据568'，设备100可在步骤524的第二迭代处生成并传送其他请求数据574，其可包括对经个性化的通行证的请求，并且作为响应，在步骤526的第二迭代处，计划提供方子系统200可生成定制数据576并传送此类定制数据576作为步骤528的第二迭代中响应数据578的至少一部分。传送经签名的跟踪数据568'和定制数据576作为步骤528的两个迭代处的响应数据578的不同迭代可使得简单的有效载荷由计划提供方子系统200传送给设备100，而不是经签名的跟踪数据568'和定制数据576作为组合的有效载荷被传送。

在过程500的步骤530处，响应于在步骤528处接收到任何合适的计划提供方登记响应数据578，电子设备100可操作以处理此类所接收的计划提供方登记响应数据578的至少一部分。如果此类处理满足任何合适的条件，诸如要求合适的经个性化的计划提供方凭据数据576在所接收的计划提供方登记响应数据578中被标识和/或通过任何合适的验证检查的条件，则电子设备100可在步骤530处将此类合适的经个性化的计划提供方凭据数据576存储在设备100上(例如，在存储器104中，作为经定制的计划提供方凭据数据)，然后可前进至步骤532。在一些实施方案中，如果定制数据576或响应数据578的任何其他合适的数据包括来自计划提供方子系统200的用户个性化数据，则设备100可操作以将来自计划提供方子系统200的此类用户个性化数据与步骤522的用户个性化数据572进行比较，以便确认来自计划提供方子系统200的个性化数据针对经定制的计划提供方凭据是准确的。例如，如果设备100在步骤530处在计划提供方登记响应数据578中标识适当的经个性化的计划提供方凭据数据576，则设备100可在步骤530处利用此类经个性化的计划提供方凭据数据576将经个性化的计划提供方凭据配置在设备100上(例如，在安全元件145上作为可包括具有计划提供方凭据信息161a的计划提供方凭据小应用程序153a的计划提供方凭据SSD 154a的至少一部分或全部，和/或在不在安全元件145上的存储器部件104中)。步骤530的此类配置可将经个性化的计划提供方凭据完全配置在设备100上(例如，通过使用凭据管理应用程序103或计划提供方在线资源应用程序113或其他方式能访问)，以供设备100在(例如，与计划提供方子系统200的)任何合适的交易中立即使用。另选地，步骤530的此类配置可不将经个性化的计划提供方凭据完全配置在设备100上以供设备100立即使用(例如，在附加数据可被设备100接收之前(例如，步骤536的数据586)不立即使用)。经个性化的计划提供方凭据的配置可包括使用定制数据576更新(例如，数据564的)通用凭据和/或可包括向设备100添加全新的经个性化的凭据(例如，删除或不删除所述通用凭据)。

在过程500的步骤532处，在步骤528之前以及在步骤530之前、之后或同时，电子设备100可操作以标识来自所接收的计划提供方登记响应数据578的经签名的跟踪数据568'，并且可操作以将此类经签名的跟踪数据568'作为设备登记通知数据582的至少一部分传送给管理实体子系统400(例如，经由通信路径25，利用任何合适的通信协议)。除了经签名的跟踪数据568'之外，此类设备登记通知数据582还可包括任何其他合适的数据，包括但不限于与过程500的计划提供方凭据相关联的计划提供方标识符数据(例如，计划提供方凭据响应数据564的和/或计划提供方验证响应数据570的和/或计划提供方登记响应数据578的计划提供方标识符167，并且/或者经签名的跟踪数据568'的签名可包含公开证书，该公开证书可操作以使得管理实体子系统400能够验证经签名的跟踪数据568'的签名)和/或任何其他合适的数据，其可被管理实体子系统400接收并且随后用于(例如在步骤534处)对验证会话的计划提供方凭据进一步验证和/或进一步保护和/或跟踪设备100上计划提供方凭据的个性化。在一些实施方案中，此类设备登记通知数据582可不包括用户个性化数据572的任何部分，使得计划提供方凭据的用户个性化数据可不与管理实体子系统400共享。此类设备登记通知数据582可在本文中被称为签约通知。

在过程500的步骤534处，响应于在步骤532处接收到设备登记通知数据582，管理实体子系统400(例如，SMP代理部件440)可操作以任何合适的方式处理设备登记通知数据582以用于进一步验证(例如，步骤514-538中的一者、一些或全部的任何合适的迭代的)验证会话的计划提供方凭据。例如，管理实体子系统400可操作以标识所接收的设备登记通知数据582的任何合适的计划提供方标识符数据(例如，与验证会话的计划提供方凭据相关联的计划提供方标识符167)，并且可尝试重新验证由设备登记通知数据582的计划提供方标识符数据所标识的计划提供方凭据。例如，在步骤534处，管理实体子系统400可操作以尝试确认由所接收的设备登记通知数据582的计划提供方标识符167所标识的计划提供方凭据是管理实体子系统400处的有效的登记的计划提供方凭据，这可通过在表430中标识该计划提供方标识符167(例如，以确定计划提供方标识符167先前(例如，在步骤502处)已经向管理实体子系统400登记用于计划提供方凭据并且计划提供方凭据的此类登记仍然有效(例如，管理实体子系统400还没有从表430移除计划提供方标识符167或者还没有由于其计划提供方凭据可疑或以其他方式不再可信而在表430中对计划提供方标识符167加标签和/或(例如，在表430中)与计划提供方标识符167相关联的证书仍然有效)来确认。除此之外或另选地，步骤534的验证可包括管理实体子系统400尝试确认所接收的设备登记通知数据582的计划提供方标识符167所标识的计划提供方凭据是管理实体子系统400处作为可定制的计划提供方凭据的有效的登记的计划提供方凭据，这可通过标识表430中的计划提供方标识符167与可定制的登记的凭据相关联(例如，以确定计划提供方标识符167先前已经(例如在步骤502处)向管理实体子系统400登记用于计划提供方凭据并且计划提供方凭据的此类登记仍然有效并且此类登记指示可被个性化的计划提供方凭据(例如，在步骤502处，待被个性化的计划提供方凭据的登记可包括管理实体子系统400验证计划提供方凭据可以任何合适的方式被用于个性化目的以及随后将该计划提供方凭据的计划提供方标识符列入白名单作为可定制的(例如，在表430中)))来确认。因此，步骤534的设备登记通知数据582的计划提供方标识符数据的此类验证可以一种、一些或所有方式与步骤518处的计划提供方验证请求数据566的计划提供方标识符数据的验证类似。

除此之外或另选地，在过程500的步骤534处，响应于在步骤532处接收设备登记通知数据582，管理实体子系统400(例如，SMP代理部件440)可操作以任何合适的方式处理设备登记通知数据582，以用于验证生成计划提供方登记响应数据578的计划提供方子系统200。例如，管理实体子系统400可操作以标识所接收的设备登记通知数据582的经签名的跟踪数据568'以及所接收的设备登记通知数据582的计划提供方标识符167，并且可尝试使用该计划提供方标识符167和管理实体子系统400能访问的任何数据(例如，步骤502的登记数据和/或步骤518的跟踪数据)来验证那个经签名的跟踪数据568'。例如，在步骤534处，管理实体子系统400可操作以(例如，通过标识可对照该计划提供方标识符167存储(例如在表430中，如可已经在步骤502处被存储)的计划提供方密钥157)标识与可已经在设备登记通知数据582中标识的计划提供方标识符167相关联的计划提供方密钥(例如，计划提供方密钥157)，然后管理实体子系统400可尝试利用那个所标识的计划提供方密钥157来对所接收的设备登记通知数据582的经签名的跟踪数据568'解除签名或解密。经签名的跟踪数据568'的签名可包含公开证书，该公开证书可操作以使得管理实体子系统400能够验证经签名的跟踪数据568'的签名和/或以其他方式对经签名的跟踪数据568'解除签名。然后，如果解除签名成功，则所得到的经解除签名的跟踪数据568可在步骤534处被管理实体子系统400用于确认从设备登记通知数据582导出的此类经解除签名的跟踪数据568也同时存储在管理实体子系统400处，或者更具体地，在一些实施方案中，确认从设备登记通知数据582导出的此类经解除签名的跟踪数据568也同时对照所接收的设备登记通知数据582的任何合适的计划提供方标识符数据(例如，用于标识在对经签名的跟踪数据568'解除签名中使用的计划提供方密钥的相同计划提供方标识符167或者任何其他计划提供方标识符167)被存储在管理实体子系统400处(例如，在表430中)，其中此类所存储的关联可先前已由管理实体子系统400在步骤518处进行。在一些实施方案中，经解除签名的跟踪数据568与任何合适的计划提供方标识符数据之间的此类所存储的链接在链接被自动清除之前可被保持仅有限量的时间，使得电子设备100可被限制于特定的持续时间，在此持续时间内，其必须在步骤520处从管理实体子系统400接收计划提供方验证响应数据570的经解除签名的跟踪数据568，然后最终在步骤532处将具有经签名的跟踪数据568'的设备登记通知数据582发送给管理实体子系统400，以用于使得管理实体子系统400能够在步骤534处验证通知数据582(例如，管理实体子系统400可操作以在特定时间段之后移除管理实体子系统400处经解除签名的跟踪数据568与任何合适的计划提供方标识符之间的此类关联(例如，在链接被创建之后不超过10分钟就从表430移除该链接，或者链接可被配置为在限定的时间段之后自动删除))。因此，在步骤534处所接收的设备登记通知数据582的验证可包括管理实体子系统400(例如，利用来自步骤502或其他方式的所存储的数据)验证与所接收的设备登记通知数据582的计划提供方标识符相关联的计划提供方凭据，和/或(例如，使用可利用所接收的设备登记通知数据582的计划提供方标识符结合来自步骤502或其他方式的所存储的数据所标识的计划提供方密钥157)对所接收的设备登记通知数据582的经签名的跟踪数据568'解除签名，以及(例如，利用来自步骤518或其他方式的所存储的数据)验证从所接收的设备登记通知数据582导出的经解除签名的跟踪数据568，这可确保具有针对该跟踪数据的未决的计划提供方凭据核验过程。此类验证可防止假冒的计划提供方或者还未(例如在步骤502处)被管理实体子系统400预批准的计划提供方执行凭据的个性化。在一些实施方案中，并非由管理实体子系统400(例如经由设备100)将跟踪数据568传递给计划提供方子系统200以用于由计划提供方子系统200签名为经签名的跟踪数据568并且经签名的跟踪数据568然后可(例如经由设备100)被传递回管理实体子系统400以由管理实体子系统400进行验证，过程500可包括管理实体子系统400生成跟踪数据568、对照与计划提供方凭据相关联的适当的计划提供方标识符存储此类跟踪数据568，但然后也使用与计划提供方凭据相关联的适当的计划提供方密钥157将跟踪数据568签名为经签名的跟踪数据568'、之后(例如在步骤518和520处)将此类经签名的跟踪数据568'作为数据570的至少一部分发送给设备100，然后计划提供方子系统200(例如在步骤524处)从设备100接收此类经签名的跟踪数据568'作为数据574的至少一部分，并利用适当的计划提供方密钥157将经签名的跟踪数据568'解除签名为跟踪数据568，之后(例如在步骤528处)此类跟踪数据568被作为数据578的至少一部分与设备100共享，然后管理实体子系统400可(例如，在步骤532处)从设备100接收该跟踪数据568作为数据582的至少一部分，并且管理实体子系统400随后可验证此类跟踪数据568当前对照与计划提供方凭据相关联的计划提供方标识符而被存储以用于验证计划提供方(例如，在步骤534处)。

响应于管理实体子系统400在步骤534处验证所接收的设备登记通知数据582，管理实体子系统400可操作以在步骤536处(例如，利用一个或多个任何合适的通信协议，经由通信路径25)将可指示此类验证的任何合适的设备登记响应数据586传送给电子设备100。此类设备登记响应数据586可包括任何合适的数据，包括但不限于确认步骤534的验证的数据或者指示未在步骤534处实现验证的数据(例如，如果步骤534的任何部分失败的话)。此类设备登记响应数据586可在电子设备100处被接收并且在步骤537处被处理以完成计划提供方凭据的配置。例如，如果设备登记响应数据586指示步骤534处的验证成功，则设备100可在步骤537处操作以完成可能已经在步骤530处被部分地执行的经个性化的计划提供方凭据的配置。然而，如果此类配置完全在步骤530处执行，则步骤537可包括设备100确认此类配置。另选地，如果设备登记响应数据586指示步骤534处的验证不成功，则设备100可在步骤537处操作以撤销或取消或删除可能已经在步骤530处执行的经个性化的计划提供方凭据的部分或完整配置。因此，响应于接收到此类设备登记响应数据586，设备100可在步骤537处确认或完成或取消设备100上的计划提供方凭据的可能配置，并且可向设备100的用户提供任何合适的确认数据，诸如使用图3D的屏幕190d的确认数据331来提供。一旦计划提供方凭据(例如，通用或经个性化的计划提供方凭据)成功地被配置在设备100上，该计划提供方凭据(例如，经定制的或经个性化的计划提供方凭据数据576的至少一部分)可在步骤540处作为设备交易数据590的至少一部分从电子设备100传送给计划提供方子系统200(例如，利用任何合适的通信协议，作为在线通信经由通信路径15传送给计划提供方服务器210或者作为基于接近性的非接触式通信5传送给计划提供方终端220)，以供在与计划提供方子系统200的任何合适的交易中使用。

此外，响应于管理实体子系统400在步骤534处验证或未验证所接收的设备登记通知数据582以及发送适用的设备登记响应数据586给设备100，管理实体子系统400可在步骤538处操作以更新管理实体子系统400处(例如，表430或者管理实体子系统400的任何其他合适的数据结构中)的任何合适的计划提供方通行证数据588，其中此类计划提供方通行证数据588可指示关于计划提供方凭据数据的一个或多个成功和/或不成功验证的任何合适的信息。此类计划提供方通行证数据588可操作以针对所有计划提供方子系统和/或针对特定的计划提供方子系统和/或针对特定的计划提供方凭据类型来跟踪通用计划提供方凭据(例如，使用步骤515-536的迭代)被转变成经个性化的计划提供方凭据的成功率，其中此类计划提供方通行证数据588可利用通知数据582的和/或请求数据566的任何合适的计划提供方标识符数据而被用于任何合适的目的。使用计划提供方通行证数据588的此类跟踪可使得能够采集任何合适的量度以用于任何合适的目的。例如，计划提供方通行证数据588可提供准确的数据分解，以用于使得管理实体子系统400的管理实体能够跟踪用户设备上计划提供方凭据的转变，并用于(例如，向计划提供方子系统)收取任何合适的费用以用于使得能够以安全有效的方式实现此类转变。因此，过程500可使得管理实体子系统400能够安全地使能和准确地跟踪可在设备100上个性化的计划提供方凭据的数量，尽管可能使用一个或多个计划提供方子系统200支持开放式API。跟踪数据568可在过程500中被管理实体子系统400用于考虑任何合适的事件，包括但不限于被提供给每个设备100以对计划提供方凭据进行个性化的每个选项事件(例如，如果屏幕190b可仅在生成和与设备100共享跟踪数据568之后被提供)、每个个性化事件(例如，每当经签名的跟踪数据被返回给管理实体子系统400时)、和/或等等。

应当理解，图5的过程500中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可添加附加步骤，并可改变某些步骤的顺序。应当理解，如果过程500的任何验证步骤失败，则此类失败可被传送给一个或多个合适的实体。例如，如果计划提供方验证请求数据566的验证在步骤518处失败，和/或如果设备登记通知数据582的验证在步骤534处失败，则此类失败可被管理实体子系统400与计划提供方子系统200和/或与电子设备100共享，使得设备100可取消任何相关联的计划提供方凭据的配置和/或可从设备100移除任何相关联的计划提供方在线资源。在设备100的用户可以任何合适的方式与设备100交互以执行步骤508之后，步骤510-520可对该用户透明地执行(例如，步骤510-520可在与设备100没有任何进一步用户交互的情况下执行，并且可能在设备100的用户看来是瞬时的，例如，直到设备100可(例如，以图3B的屏幕190b)寻求对计划提供方凭据个性化的用户权限)。除此之外或另选地，一旦设备100的用户已提供了对计划提供方凭据个性化的权限(例如，经由与图3B的屏幕190b的交互，例如在步骤515处或步骤522处)，过程500的任何剩余的步骤可对于该用户透明地执行(例如，步骤516-537可在与设备100没有任何进一步用户交互的情况下执行，并且在用户在步骤515处提供对计划提供方凭据个性化的权限之后，这些步骤可能在设备100的用户看来是瞬时的，和/或步骤524-537可在与设备100没有任何进一步用户交互的情况下执行，并且在用户在步骤522处提供对计划提供方凭据个性化的权限之后，这些步骤可能在设备100的用户看来是瞬时的)。另选地，在一些实施方案中，过程500可总体对于设备100的用户透明地进行(例如，其中设备100可被配置为自动确定可被个性化的计划提供方凭据何时已被接收，并且如果计划提供方已经在步骤518处被正确验证，则在步骤522处自动提供适当的个人信息)。

在一些实施方案中，步骤532-538可被跳过，并且步骤518处的验证请求数据566的验证可以是足够的而无需步骤534的附加验证，其中在此类实施方案中，跟踪数据568可被生成和/或传送或者可不被生成和/或传送。在一些实施方案中，跟踪数据568(例如，nonce)可足够长(例如，具有合适长度的数据串，诸如10个或更多个字符)以提供足够的随机性，用于使得能够实现对计划提供方子系统200的显著稳健的质询，或者可足够短(例如，6个字符)以提供足够的随机性，用于使得能够实现一定稳健的质询，同时在跟踪数据568可作为基于接近性的非接触式通信5而在设备100和计划提供方子系统200之间被传送的情况下也满足任何合适的标准(例如，以满足Europay MasterCard Visa(“EMV”)标准的数据长度要求)。

因此，计划提供方或任何其他合适的商家可操作以将通用常客卡或其他合适的通用计划提供方凭据推送给客户设备(例如，作为基于接近性的非接触式交易的一部分)，并且用户可操作以在任何合适的时刻(例如，在通用计划提供方凭据被添加到数字钱包以供匿名使用之前或之后)将此类通用计划提供方凭据添加到设备的数字钱包(例如，使用选项309)和/或对此类通用计划提供方凭据进行个性化(例如，使用选项315)。

在一些实施方案中，设备应用程序诸如凭据管理应用程序103可操作以执行可在设备100处进行的过程500的步骤中的每一个步骤，和/或可操作以在过程500期间提供一个或多个GUI(例如，图3-图3D的屏幕190-190d中的一者或多者)或以其他方式呈现信息给设备100的用户。另选地，在一些实施方案中，可与计划提供方子系统200在设备100上配置计划提供方凭据相关联的任何合适的计划提供方在线资源或应用程序113可操作以执行可在设备100处进行的过程500的一个或多个步骤，和/或可操作以在过程500期间提供一个或多个GUI(例如，图3-图3D的屏幕190-190d中的一者或多者)或以其他方式呈现信息给设备100的用户。例如，在步骤522处，响应于确定设备100上的计划提供方凭据可被个性化(例如，响应于在步骤520处接收到合适的数据570)，凭据管理应用程序103或设备100的任何其他合适的设备应用程序可操作以发起可与该计划提供方凭据相关联的可供设备100使用的计划提供方在线资源(例如，可与计划提供方凭据的计划提供方标识符相关联的计划提供方在线资源)的启动(例如，深层链接启动)，或者如果此类计划提供方在线资源在设备100上不可用，则启动设备100上的可促进此类计划提供方在线资源(例如，使用与步骤506类似的配置步骤)被配置在设备100上的应用程序商店应用程序。然后，一旦此类计划提供方在线资源已经在设备100上被启动，设备100的设备应用程序或任何其他合适的处理能力可操作以使得用户个性化数据572能够被该计划提供方在线资源收集或者与该计划提供方在线资源共享。然后，设备100上的计划提供方在线资源可操作以在步骤524和528处与计划提供方子系统200通信以用于创建经个性化的计划提供方凭据，和/或设备100上的计划提供方在线资源可操作以在步骤530和/或步骤537处与凭据管理应用程序103通信以用于在设备100上配置计划提供方凭据。在一些实施方案中，计划提供方在线资源的此类启动可在数据560可在步骤510处被设备100接收之后或者在数据564在步骤514处被设备100接收之后进行，使得用户可在过程500的早期阶段可直接与计划提供方在线资源交互。因此，并非通过使用开放式API，计划提供方在线资源可在设备100上被用于至少部分地限定在设备100处可收集数据和/或数据可在设备100和计划提供方子系统200之间传送以用于使得所传送的经个性化的计划提供方凭据数据能够被配置在设备100上(例如，用于用作计划提供方私有标签帐户通行证凭据和/或计划提供方可冲值预付费帐户通行证凭据和/或计划提供方礼品卡凭据和/或等等)的方式。

当设备100可经由设备100上可特定于计划提供方的本地应用程序与计划提供方子系统200通信时，计划提供方应用程序113可由此类应用程序提供。然而，当设备100可经由互联网浏览器应用程序或可特定于或者可不特定于计划提供方但可指向计划提供方管理的网站(例如在计划提供方控制下的服务器上)的混合应用程序与计划提供方子系统200通信时，计划提供方应用程序113可以是可(例如，经由通信部件106)将通信转发到计划提供方的网站的布局引擎软件组件(例如，WebKit)。例如，设备100的此类应用程序113可以是用于被提供给计划提供方子系统200的任何设备交易数据的管道。

图6的描述

图6为用于对计划提供方凭据进行个性化的示例性过程600的流程图。在过程600的步骤602处，管理实体子系统可从电子设备接收第一数据，其中第一数据包括指示计划提供方子系统的计划提供方信息(例如，管理实体子系统400可从电子设备100接收可包括指示计划提供方子系统200的计划提供方信息的计划提供方验证请求数据566)。在过程600的步骤604处，管理实体子系统可基于计划提供方信息确定计划提供方子系统是否有效(例如，管理实体子系统400可基于计划提供方验证请求数据566的计划提供方标识信息确定计划提供方子系统200是否有效)。在过程600的步骤606处，当计划提供方子系统被确定为有效时，管理实体子系统可在数据结构中将跟踪数据与计划提供方信息关联(例如，管理实体子系统400可在计划提供方子系统200得到验证时生成跟踪数据568并对照计划提供方标识符数据存储此类跟踪数据)。在过程600的步骤608处，管理实体子系统可将第二数据传输给电子设备，其中第二数据包括所述跟踪数据(例如，管理实体子系统400可将具有跟踪数据568的计划提供方验证响应数据570传送给电子设备100)。在过程600的步骤610处，在传输第二数据之后，管理实体子系统可从电子设备接收第三数据，其中第三数据包括计划提供方数据(例如，管理实体子系统400可接收具有经签名的跟踪数据568'的设备登记通知数据582)。在过程600的步骤612处，管理实体子系统可确定计划提供方数据是否位于所述数据结构中(例如，管理实体子系统400可通过确定经签名的跟踪数据568'是否可被解除签名并在(例如，先前在计划提供方的验证期间所存储的)所述数据结构中被找到以验证通知数据582)。在过程600的步骤614处，当计划提供方数据被确定位于所述数据结构中时，管理实体子系统可使得能够实现电子设备上计划提供方凭据的个性化(例如，管理实体子系统400可将设备登记响应数据586传送给电子设备100，以用于使得能够完成设备100上的计划提供方凭据配置)。

应当理解，图6的过程600中所示的步骤仅是示例性的，可修改或省略现有步骤，可添加附加的步骤，并可改变某些步骤的顺序。

图7的描述

图7为用于对计划提供方凭据进行个性化的示例性过程700的流程图。在过程700的步骤702处，计划提供方子系统可从电子设备接收登记请求数据，其中登记请求数据包括用户个性化数据和管理跟踪数据(例如，计划提供方子系统200可从电子设备100接收具有跟踪数据568和个性化数据572的登记请求数据574)。在过程700的步骤704处，基于用户个性化数据，计划提供方子系统可生成用于对计划提供方凭据进行个性化的定制数据(例如，计划提供方子系统200可创建定制数据576)。在过程700的步骤706处，计划提供方子系统可使用密钥对管理跟踪数据签名(例如，计划提供方子系统200可将跟踪数据568签名为经签名的跟踪数据568')。在过程700的步骤708处，计划提供方子系统可将登记响应数据传输给电子设备，其中登记响应数据包括定制数据和经签名的管理跟踪数据(例如，计划提供方子系统200可将具有定制数据576和经签名的跟踪数据568'的计划提供方登记响应数据578传送给电子设备100)。

应当理解，图7的过程700中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可增加附加步骤，并可改变某些步骤的顺序。

图8的描述

图8为用于对计划提供方凭据进行个性化的示例性过程800的流程图。在过程800的步骤802处，电子设备可从计划提供方子系统接收计划提供方凭据数据(例如，设备100可从计划提供方子系统200接收凭据响应数据564)。在过程800的步骤804处，电子设备可确定计划提供方凭据数据是否包括指示通用计划提供方凭据的第一计划提供方凭据信息和指示通用计划提供方凭据的可定制性的第二计划提供方凭据信息(例如，电子设备100可确定凭据响应数据564是否指示定制通用计划提供方凭据的能力)。在过程800的步骤806处，当计划提供方凭据数据被确定为包括第一计划提供方凭据信息和第二计划提供方凭据信息时，电子设备可传输验证请求数据给管理实体子系统，其中验证请求数据包括指示计划提供方子系统的计划提供方信息(例如，设备100可将具有指示计划提供方子系统200的信息的计划提供方验证请求数据566传送给管理实体子系统400)。在过程800的步骤808处，在传输验证请求数据之后，电子设备可从管理实体子系统接收验证响应数据，其中验证响应数据包括管理跟踪数据(例如，设备100可从管理实体子系统400接收具有跟踪数据568的计划提供方验证响应数据570)。在过程800的步骤810处，电子设备可确定验证响应数据是否指示验证成功(例如，设备100可分析计划提供方验证响应数据570以确定其是否指示由管理实体子系统400成功验证计划提供方子系统200)。在过程800的步骤812处，当验证响应数据被确定为指示成功验证时，电子设备可传输登记请求数据给计划提供方子系统，其中登记请求数据包括用户个性化数据和管理跟踪数据(例如，设备100可传输具有跟踪数据568和个性化数据572的登记请求数据574给计划提供方子系统200)。

应当理解，图8的过程800中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可增加附加步骤，并可改变某些步骤的顺序。

如所提及的，电子设备100可包括但不限于音乐播放器(例如，可购自Apple Inc.(Cupertino,California)的iPod^TM)、视频播放器、静态图像播放器、游戏机、其他媒体播放器、音乐记录器、电影或视频相机或记录器、静物相机、其他媒体记录器、无线电设备、医疗设备、家用或商用电器、交通工具仪表、乐器、计算器、蜂窝电话(例如，可购自Apple Inc.的iPhone^TM)、其他无线通信设备、个人数字助理、遥控器、寻呼机、计算机(例如，台式机、膝上型电脑、平板电脑(例如，可购自Apple Inc.的iPad^TM)、服务器等)、监视器、电视机、音响设备、机上盒、机顶盒、调制解调器、路由器、打印机，或它们的任意组合。在一些实施方案中，电子设备100可执行单个功能(例如，专用于进行安全数据交易的设备)，在其他实施方案中，电子设备100可执行多个功能(例如，进行安全数据交易、播放音乐以及接收和传输电话呼叫的设备)。电子设备100可以是可被配置为在用户行进时进行金融交易的任何便携式、移动式、手持式或微型电子设备。一些微型电子设备可具有比手持式电子设备诸如iPod^TM的形状因数小的形状因数。示例性微型电子设备可被集成到各种对象中，所述对象可包括但不限于手表(例如Apple Inc.的Apple Watch^TM)、戒指、项链、皮带、皮带的附件、耳机、鞋子的附件、虚拟现实设备、眼镜、其他可穿戴电子器件、运动器材的附件、健身器材的附件、钥匙链，或它们的任何组合。另选地，电子设备100可根本不为便携式的，相反可通常为固定的。

存储器104可包括一个或多个存储介质，例如包括硬盘驱动器、闪存存储器、永久性存储器诸如只读存储器(“ROM”)、半永久性存储器诸如随机存取存储器(“RAM”)、任何其他合适类型的存储部件，或它们的任意组合。存储器104可包括高速缓存存储器，该高速缓存存储器可为用于暂时存储电子设备应用程序的数据的一个或多个不同类型的存储器。存储器104可固定地嵌入电子设备100内，或者可结合到可反复插入电子设备100中以及从电子设备100中移除的一种或多种合适类型的卡(例如，用户身份模块(“SIM”)卡或安全数字(“SD”)存储卡)上。通信部件106在操作以将任何合适的数据传送给任何远程服务器或其他合适的实体(例如，传送给任何合适的互联网连接)时可被称为在线通信部件。通信部件106可被配置为确定电子设备100的地理位置。例如，通信部件106可利用全球定位系统(“GPS”)或者区域范围定位系统或站点范围定位系统，该区域范围定位系统或站点范围定位系统可使用小区塔定位技术或WiFi技术。

可提供一个或多个输入部件110以允许用户与设备100交互或相互作用。例如，输入部件110可采用多种形式，包括但不限于触摸板、拨号盘、点击式触摸转盘、滚轮、触摸屏、一个或多个按钮(例如，键盘)、鼠标、操控杆、轨迹球、麦克风、相机、扫描仪(例如，条形码扫描仪或可从代码诸如条形码、QR码等获取产品标识信息的任何其他合适的扫描仪)、接近传感器、光检测器、运动传感器、生物特征传感器(例如，指纹读取器或其他特征识别传感器，其可结合可由电子设备100访问的特征处理应用程序来操作以对用户进行认证)以及它们的组合。每个输入部件110可被配置为提供一个或多个专用控制功能以用于作出选择或发出与操作设备100相关联的命令。

电子设备100还可包括可向设备100的用户呈现信息(例如，图形信息、听觉信息和/或触觉信息)的一个或多个输出部件112。例如，电子设备100的输出部件112可采用多种形式，包括但不限于音频扬声器、耳机、音频线路输出、视觉显示器、天线、红外线端口、触觉输出部件(例如，滚筒、振动器等)或它们的组合。

电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2所示，处理器102可用于运行一个或多个应用程序诸如应用程序103、应用程序113和/或应用程序143。每个应用程序103/113/143可包括但不限于一个或多个操作系统应用程序、固件应用程序、媒体回放应用程序、媒体编辑应用程序、NFC低功率模式应用程序、生物特征处理应用程序或任何其他合适的应用程序。例如，处理器102可加载应用程序103/113/143作为用户界面程序，以确定经由设备100的输入部件110或其他部件接收的指令或数据可如何操控可存储信息和/或经由输出部件112向用户提供信息的方式。应用程序103/113/143可由处理器102从任何合适的源访问，诸如从存储器104(例如，经由总线118)或从另一设备或服务器(例如，经由通信部件106)访问。处理器102可包括单个处理器或多个处理器。例如，处理器102可包括至少一个“通用”微处理器、通用微处理器和专用微处理器的组合、指令集处理器、图形处理器、视频处理器和/或相关的芯片组，和/或专用微处理器。处理器102还可包括用于高速缓存目的的板上存储器。

电子设备100还可包括近场通信(“NFC”)部件120。NFC部件120可以是可使得能够实现电子设备100和计划提供方子系统200(例如，计划提供方支付终端220)之间基于接近性的非接触式交易或通信的任何合适的基于接近性的通信机构。NFC部件120可允许相对较低数据速率(例如，424kbps)的近程通信，并且可遵守任何合适的标准，诸如ISO/IEC 7816、ISO/IEC 18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443和/或ISO 15693。另选地或除此之外，NFC部件120可允许相对较高数据速率(例如，370Mbps)的近程通信，并且可遵守任何合适的标准诸如TransferJet^TM协议。NFC部件120和计划提供方子系统200之间的通信可发生于NFC部件和计划提供方子系统200之间任何合适的近程距离内(例如，参见NFC部件120和计划提供方支付终端220之间的图1的距离D)，诸如大约2厘米到4厘米的范围，并且可工作于任何合适的频率(例如，13.56MHz)。例如，NFC部件的此类近程通信可经由磁场感应发生，该磁场感应可允许NFC部件与其他NFC设备进行通信和/或从具有射频标识(“RFID”)电路的标签检索信息。此类NFC部件可提供获取商品信息、传输支付信息、以及以其他方式与外部设备通信(例如，NFC部件120与计划提供方终端220之间的通信)的方式。

NFC控制器模块140和NFC存储器模块150可独立地或组合地提供安全元件145的至少一部分，该安全元件145的至少一部分可以是防篡改的。例如，此类安全元件145可被配置为提供防篡改平台(例如，作为单芯片或多芯片安全微控制器)，其可能够根据可由一组公认的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)所提出的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。NFC存储器模块150可为存储器104的一部分或为特定于NFC部件120的至少一个专用芯片。NFC存储器模块150可驻留在SIM上、电子设备100的母板上的专用芯片上，或作为存储卡中的外部插件。NFC存储器模块150可完全独立于NFC控制器模块140，并且可由设备100的不同部件来提供和/或可由不同的可移除子系统提供至电子设备100。安全元件145可以是可用于存储电子设备100上的敏感数据或应用程序的芯片内的高度安全防篡改的硬件部件。安全元件145的至少一部分可被提供在可移除电路卡中，诸如通用集成电路卡(“UICC”)或用户身份模块(“SIM”)卡，其可在兼容于全球移动通信系统(“GSM”)网络、通用移动电信系统(“UMTS”)和/或长期演进(“LTE”)标准网络内的电子设备100中使用。另选地或除此之外，在制造设备100期间，可在可嵌入电子设备100中的集成电路中提供安全元件145的至少一部分。另选地或除此之外，可在能够塞入、插入或以其他方式耦接到电子设备100的外围设备诸如微型安全数字(“SD”)存储器卡中提供安全元件145的至少一部分。

图1的计划提供方子系统200的计划提供方终端220可包括用于从电子设备100检测、读取或以其他方式接收NFC通信的读取器(例如，在设备100进入计划提供方终端220的特定距离内或附近时的通信5)。因此，需要指出的是，此类计划提供方终端和电子设备100之间的NFC通信可以无线方式进行，这样一来，可以不需要相应设备之间的清晰的“视线”。如上所述，NFC设备模块130可以是无源的或有源的。当为无源的时，NFC设备模块130可仅当位于此类计划提供方终端的合适读取器的响应范围内时被激活。例如，此类计划提供方终端的读取器可发射相对低功率的无线电波场，其可用于为NFC设备模块130所利用的天线(例如，共享天线116或特定于NFC的天线134)供电，由此使得该天线能够经由天线116或天线134从NFC数据模块132向此类计划提供方终端传输合适的NFC通信信息作为NFC通信。当为有源的时，NFC设备模块130可结合或以其他方式具有对电子设备100本地的电源(例如，电源108)的访问权限，其可使得共享天线116或特定于NFC的天线134能够经由天线116或天线134从NFC数据模块132向计划提供方终端220主动传输NFC通信信息作为NFC通信，而不是像无源NFC设备模块130的情况中那样反射射频信号。计划提供方终端220可由计划提供方子系统200的计划提供方提供(例如，在计划提供方的商店中以用于在该商店处直接向设备100的用户销售产品或服务)。尽管已相对于近场通信描述了NFC部件120，但应当理解，部件120可被配置为在电子设备100和此类计划提供方终端之间提供任何合适的基于接近性的非接触式移动支付或任何其他合适类型的基于接近性的非接触式通信。例如，NFC部件120可被配置为提供任何合适的短程通信诸如涉及电磁耦合技术/静电耦合技术的短程通信。另选地，在一些实施方案中，设备100的NFC部件120可被配置为包括任何合适的部件，其用于使得可供处理器102或设备100的任何其他部分使用的数据能够作为任何合适的基于接近性的非接触式通信5而在设备100的NFC部件120和计划提供方子系统200的计划提供方终端220之间被传送，但NFC部件120可包括或者可不包括用于安全地存储凭据小应用程序的安全元件。

相对于图1-图8所述过程中的一个过程、一些过程或所有过程均可由软件来实现，但也可由硬件、固件或软件、硬件和固件的任意组合来实现。用于执行这些过程的指令也可实现为记录在机器可读介质或计算机可读介质上的机器可读代码或计算机可读代码。在一些实施方案中，计算机可读介质可以是非暂态计算机可读介质。此类非暂态计算机可读介质的示例包括但不限于只读存储器、随机存取存储器、闪存存储器、CD-ROM、DVD、磁带、可移除存储器卡和数据存储设备(例如，图2的存储器104和/或存储器模块150)。在其他实施方案中，计算机可读介质可以是暂态计算机可读介质。在此类实施方案中，暂态计算机可读介质可分布在网络耦接的计算机系统上，使得计算机可读代码以分布式方式来存储和执行。例如，此类暂态计算机可读介质可利用任何合适的通信协议从一个电子设备传送给另一电子设备(例如，计算机可读介质可经由通信部件106被传送给电子设备100(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。此类暂态计算机可读介质可实现计算机可读代码、指令、数据结构、程序模块或经调制的数据信号形式的其他数据，诸如载波或其他传输机构，并且可包括任何信息递送介质。经调制的数据信号可以是具有其特性集中一个或多个特性的信号，或可被改变以将信息编码在信号中。

应当理解，可将系统1的任何、每个或至少一个模块或部件或子系统提供作为软件构造、固件构造、一个或多个硬件部件或它们的组合。例如，可在可由一个或多个计算机或其他设备执行的计算机可执行指令诸如程序模块的一般情境中描述系统1的任何、每个或至少一个模块或部件或子系统。一般来讲，程序模块可包括可执行一个或多个特定任务或可实现一个或多个特定抽象数据类型的一个或多个例程、程序、对象、部件和/或数据结构。还应当理解，系统1的模块和部件和子系统的数量、配置、功能和互连仅是示例性的，并且可修改或省略现有模块、部件和/或子系统的数量、配置、功能和互连，可添加附加模块、部件和/或子系统，并且可改变特定模块、部件和/或子系统的互连。

系统1的模块或部件或子系统中的一者或多者的至少一部分可通过任何合适的方式被存储在系统1中或以其他方式能被系统1的实体访问(例如，在设备100的存储器104中(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。例如，可使用任何适当的技术来实现NFC部件120的任何或每个模块(例如，作为一个或多个专用集成电路器件)，并且不同的模块可在结构、能力和操作方面相同或不同。系统1的任何模块或所有模块或者其他部件可安装在扩展卡上、直接安装在系统母板上，或集成到系统芯片集组件中(例如，集成到“北桥”芯片中)。

系统1的任何或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可为使用适于各种总线标准的一个或多个扩展卡来实现的专用系统。例如，所有模块可被安装在不同的互连扩展卡上或者所有模块可被安装在一个扩展卡上。对于NFC部件120，仅以示例的方式，NFC部件120的模块可通过扩展槽(例如，外围部件互连件(“PCI”)槽或PCIexpress槽)与设备100的母板或处理器102进行交互。另选地，NFC部件120无需为可移除的，但可包括一个或多个专用模块，该一个或多个专用模块可包括专用于模块的存储器(例如，RAM)。在其他实施例中，NFC部件120可集成到设备100中。例如，NFC部件120的模块可利用设备100的设备存储器104的一部分。系统1的任何模块或部件或者每个模块或部件(例如，NFC部件120的任何模块或每个模块)可包括其自身的处理电路和/或存储器。另选地，系统1的任何模块或部件或者每个模块或部件(例如，NFC部件120的任何模块或每个模块)可与设备100的NFC部件120和/或处理器102和/或存储器104的任何其他模块共享处理电路和/或存储器。

尽管已描述了用于在电子设备上对计划提供方凭据进行个性化的系统、方法和计算机可读介质，但应当理解，可在不脱离本文所述的主题的实质和范围的情况下以任何方式在其中作出许多改变。无论是现在已知的还是以后想到的，被本领域的通用技术人员视为要求保护的主题的非实质变更均被明确地考虑为等同地处于权利要求的范围内。因此，本领域的普通技术人员现在或以后所知的明显置换被定义为在所定义的元素的范围内。

因此，本领域的技术人员将认识到，可以通过除所述实施例之外的方式来实践本发明，所述实施例是为了例示而非限制而提供的。

Claims (21)

1.一种方法，包括：

在电子设备处：

从计划提供方子系统接收计划提供方凭据数据；

确定所述计划提供方凭据数据是否包括指示通用计划提供方凭据的第一计划提供方凭据信息和指示所述通用计划提供方凭据的可定制性的第二计划提供方凭据信息；

当所述计划提供方凭据数据被确定为包括所述第一计划提供方凭据信息和所述第二计划提供方凭据信息时，传输验证请求数据给管理实体子系统，其中所述验证请求数据包括指示所述计划提供方子系统的计划提供方信息；

在传输所述验证请求数据之后，从所述管理实体子系统接收验证响应数据，其中所述验证响应数据包括管理跟踪数据；

确定所述验证响应数据是否指示验证成功；以及

当所述验证响应数据被确定为指示验证成功时，传输登记请求数据给所述计划提供方子系统，其中所述登记请求数据包括用户个性化数据和所述管理跟踪数据。

2.根据权利要求1所述的方法，还包括在传输所述登记请求数据之前，当所述验证响应数据被确定为指示验证成功时，在所述电子设备处自动收集所述用户个性化数据的至少一部分。

3.根据权利要求2所述的方法，其中所述验证响应数据还包括所述用户个性化数据的另一部分。

4.根据权利要求1所述的方法，其中所述验证响应数据还包括所述用户个性化数据的至少一部分。

5.根据权利要求1所述的方法，还包括在传输所述登记请求数据之后，在所述电子设备处从所述计划提供方子系统接收计划提供方登记响应数据，其中所述计划提供方登记响应数据包括定制数据。

6.根据权利要求5所述的方法，还包括在接收所述设备登记响应数据之后，在所述电子设备处使用所述定制数据更新所述通用计划提供方凭据。

7.根据权利要求1所述的方法，还包括：

在传输所述登记请求数据之后，在所述电子设备处从所述计划提供方子系统接收计划提供方登记响应数据，其中所述计划提供方登记响应数据包括定制数据和计划提供方跟踪数据；以及

从所述电子设备向所述管理实体子系统传输登记通知数据，其中所述登记通知数据包括所述计划提供方跟踪数据。

8.根据权利要求1所述的方法，其中：

计划提供方凭据数据包括JavaScript对象表示(“JSON”)文件；并且

所述JSON文件包括所述第一计划提供方凭据信息和所述第二计划提供方凭据信息中的至少一者。

9.一种方法，包括：

在计划提供方子系统处：

从电子设备接收登记请求数据，其中所述登记请求数据包括用户个性化数据和管理跟踪数据；

基于所述用户个性化数据，生成用于对计划提供方凭据进行个性化的定制数据；

使用密钥对所述管理跟踪数据进行签名；以及

传输登记响应数据给所述电子设备，其中所述登记响应数据包括所述定制数据和经签名的所述管理跟踪数据。

10.根据权利要求9所述的方法，其中所述密钥不能被所述电子设备访问。

11.一种电子设备，包括：

存储器；和

至少一个处理器，所述至少一个处理器被配置为：

从计划提供方子系统接收计划提供方凭据数据；

确定所述计划提供方凭据数据是否包括指示通用计划提供方凭据的第一计划提供方凭据信息和指示所述通用计划提供方凭据的可定制性的第二计划提供方凭据信息；

当所述计划提供方凭据数据被确定为包括所述第一计划提供方凭据信息和所述第二计划提供方凭据信息时，传输验证请求数据给管理实体子系统，其中所述验证请求数据包括指示所述计划提供方子系统的计划提供方信息；

在传输所述验证请求数据之后，从所述管理实体子系统接收验证响应数据，其中所述验证响应数据包括管理跟踪数据；

确定所述验证响应数据是否指示验证成功；以及

当所述验证响应数据被确定为指示验证成功时，传输登记请求数据给所述计划提供方子系统，其中所述登记请求数据包括用户个性化数据和所述管理跟踪数据。

12.根据权利要求11所述的电子设备，其中所述至少一个处理器还被配置为在传输所述登记请求数据之前，当所述验证响应数据被确定为指示验证成功时，在所述电子设备处自动收集所述用户个性化数据的至少一部分。

13.根据权利要求12所述的电子设备，其中所述验证响应数据还包括所述用户个性化数据的另一部分。

14.根据权利要求11所述的电子设备，其中所述验证响应数据还包括所述用户个性化数据的至少一部分。

15.根据权利要求11所述的电子设备，其中所述至少一个处理器还被配置为在传输所述登记请求数据之后，在所述电子设备处从所述计划提供方子系统接收计划提供方登记响应数据，其中所述计划提供方登记响应数据包括定制数据。

16.根据权利要求15所述的电子设备，其中所述至少一个处理器还被配置为在接收所述设备登记响应数据之后，在所述电子设备处使用所述定制数据更新所述通用计划提供方凭据。

17.根据权利要求11所述的电子设备，其中所述至少一个处理器还被配置为：

在传输所述登记请求数据之后，在所述电子设备处从所述计划提供方子系统接收计划提供方登记响应数据，其中所述计划提供方登记响应数据包括定制数据和计划提供方跟踪数据；以及

从所述电子设备向所述管理实体子系统传输登记通知数据，其中所述登记通知数据包括所述计划提供方跟踪数据。

18.根据权利要求11所述的电子设备，其中：

计划提供方凭据数据包括JavaScript对象表示(“JSON”)文件；并且

所述JSON文件包括所述第一计划提供方凭据信息和所述第二计划提供方凭据信息中的至少一者。

19.一种计划提供方子系统，包括：

存储器；和

至少一个处理器，所述至少一个处理器被配置为：

从电子设备接收登记请求数据，其中所述登记请求数据包括用户个性化数据和管理跟踪数据；

基于所述用户个性化数据，生成用于对计划提供方凭据进行个性化的定制数据；

使用密钥对所述管理跟踪数据进行签名；以及

传输登记响应数据给所述电子设备，其中所述登记响应数据包括所述定制数据和经签名的所述管理跟踪数据。

20.根据权利要求19所述的计划提供方子系统，其中所述密钥不能被所述电子设备访问。

21.一种计算机可读存储介质，其上存储有计算机指令，所述计算机指令当被处理器执行时实现根据权利要求1至10中任一项所述的方法。

Images