DE202015009906U1

DE202015009906U1 - Vorrichtungen zum Betreiben eines tragbaren elektronischen Geräts zum Durchführen von mobilen Zahlungstransaktionen

Info

Publication number: DE202015009906U1
Application number: DE202015009906.8U
Authority: DE
Original assignee: Apple Inc
Current assignee: Apple Inc
Priority date: 2014-05-29
Filing date: 2015-05-15
Publication date: 2021-06-24
Anticipated expiration: 2025-05-16
Also published as: US20160203467A1; KR20190029787A; KR20160137613A; CN106255984A; US20180211245A1; US9299072B2; KR101965120B1; KR20180054905A; US20150348007A1; US20190251546A1; EP3149682A1; KR101859558B1; US10289996B2; US10977642B2; CN106255984B; US9864984B2; WO2015183590A1

Abstract

Tragbare elektronische Vorrichtung (102), umfassend:
ein sicheres Element (202) zum Speichern von Benutzeranmeldeinformationen;
eine Anwendungs-Verarbeitungsschaltung (200); und
eine Energieverwaltungseinheit (220), die konfiguriert ist, um eine vorbestimmte Benutzereingabesequenz zum Einleiten einer mobilen Zahlungstransaktion zu erkennen und als Reaktion auf das Erkennen der vorbestimmten Benutzereingabesequenz ein Aufwecksignal an die Anwendungs-Verarbeitungsschaltung (200) zu senden und das sichere Element (202) alarmiert, wobei:
die Anwendungs-Verarbeitungsschaltung (200) konfiguriert ist, um eine Benachrichtigung von dem sicheren Element (202) zu empfangen, nachdem das sichere Element (202) die Warnung von der Energieverwaltungseinheit (220) empfangen hat, und konfiguriert ist, um mit dem sicheren Element (202) zu kommunizieren, um das sichere Element (202) vorübergehend für die Zahlung zu aktivieren.

Description

Diese Anmeldung beansprucht Priorität gegenüber der U.S.-amerikanischen Patenanmeldung mit der Nummer 14/475,263 , die am 2. September 2014 eingereicht wurde, und der vorläufigen Patenanmeldung mit der Nummer 62/004,840 , die am 29. Mai 2014 eingereicht wurde, die hierdurch durch Bezugnahme in ihrer Gesamtheit enthalten sind.
Hintergrund
Die vorliegende Anmeldung bezieht sich im Allgemeinen auf elektronische Geräte und im Besonderen das Betreiben elektronischer Geräte, um mobile Zahlungstransaktionen durchzuführen.
Tragbare elektronische Geräte, wie Mobiltelefone, werden manchmal mit einem Nahfeldkommunikations-(NFC)-Schaltkreis vorgesehen, der den elektronischen Geräten ermöglicht, eine kontaktlose nähebasierende Kommunikation mit einem entsprechenden NFC-Leser durchzuführen. Oftmals wird der NFC-Schaltkreis in einem Benutzergerät verwendet, um Finanztransaktionen oder andere sichere Datentransaktionen auszuführen, in denen es für das Benutzergerät erforderlich ist, kommerzielle Identifizierungsdaten wie Kreditkarten-Identifizierungsdaten zu verifizieren und darauf zuzugreifen. Die sicheren Daten, die erforderlich sind, um solche mobilen Finanztransaktionen durchzuführen, sind in der Regel auf einem sicheren Element in einem elektrischen Gerät gespeichert.
Es wird ein Szenario betrachtet, in dem das sichere Element sichere Daten entsprechend gegebene Kreditkarten-Identifizierungsdaten speichert. Das sichere Element sollte die sicheren Daten nur während einer autorisierten mobilen Zahlungstransaktion ausgeben (d. h., ein unberechtigter Benutzer soll nicht dazu in der Lage sein, auf die Zahlungsfunktion auf dem Gerät zuzugreifen). Es kann daher erstrebenswert sein, für einen berechtigten Benutzer eine Möglichkeit bereitzustellen, eine bestimmte Eingabe vorzunehmen, die zu einer vorübergehenden Aktivierung der Zahlungsfunktion auf dem Benutzergerät führt.
Übersicht
Vorrichtungen zum Betreiben eines tragbaren elektronischen Geräts zum Durchführen von mobilen Zahlungstransaktionen werden vorgesehen.
Gemäß einer Ausführungsform kann das elektronische Gerät ein sicheres Element und einen Prozessor aufweisen, der mit dem sicheren Element kommuniziert. Die elektronische Vorrichtung kann ausgestaltet sein, eine Zahlungsinitiierungseingabe von einem Benutzer zu empfangen. Das sichere Element kann in Reaktion auf den Empfang der Zahlungsinitiierungseingabe verwendet werden, um eine Benachrichtigung an den Prozessor zu senden, die angibt, dass die Zahlungsinitiierungseingabe vom Benutzer empfangen wurde. Danach kann das sichere Element zur Kommunikation mit dem Prozessor verwendet werden, um das sichere Element vorübergehend zur Zahlung zu aktivieren.
Gemäß einer anderen Ausführungsformen kann das tragbare elektronische Gerät ein sicheres Element aufweisen, um kommerzielle Identifizierungsdaten sicher zu speichern, einen Anwendungsprozessor, der ausgestaltet ist, um mit dem sicheren Element über einen sicheren Kanal zu kommunizieren, und Eingabe-Ausgabe-Vorrichtungen, um eine Schnittstelle mit einem Benutzer des Geräts zu bilden. Das sichere Element kann einen zugehörige Sicheren-Element-Kennzeichner (SEID) haben.
Es kann für den Benutzer erforderlich sein, eine Kennwortsperrfunktion auf dem Gerät zu aktivieren, bevor eine Finanztransaktion mit dem Gerät durchgeführt wird. Wenn die Kennwortsperrfunktion aktiviert ist, kann das Gerät in einen Sperrzustand versetzt werden, wenn das Gerät im Leerlaufzustand ist, und kann in einen entsperrten Zustand versetzt werden, wenn der Benutzer dazu in der Lage ist, ein korrektes Kennwort bereitzustellen. In Reaktion auf den Empfang des korrekten Kennworts vom Benutzer kann der Anwendungsprozessor eine Zufallsautorisierungszahl „AuthRand“ von einer Benutzer-Keychain abrufen, die auf dem Anwendungsprozessor gepflegt wird (zum Beispiel eine Keychain, auf der sensitive Benutzerinformationen sicher gespeichert sind).
Die Eingabe-Ausgabe-Vorrichtungen können verwendet werden, um eine gewisse vorbestimmte Eingabefolge von dem autorisierten Benutzer zur Initiierung einer mobilen Zahlungstransaktion zu empfangen. Der Benutzer kann zum Beispiel eine Taste doppeldrücken, um dem Gerät die Absicht zu signalisieren, eine NFCbasierte Finanztransaktionen unter Verwendung des Geräts an einem Händlerendgerät auszuführen. Gemäß einer Ausführungsform kann das sichere Element mit einem kontaktlosen Registrierungsdienst-(CRS-)Applet vorgesehen werden, das ein Flag „Benutzereingabe empfangen“ als Reaktion darauf setzt, dass die bestimmte Benutzereingabefolge erfasst wurde.
Das elektronische Gerät kann ebenso eine Leistungsverwaltungseinheit (PMU) aufweisen, die dazu verwendet wird, die bestimmte Eingabefolge vom Benutzer zu erfassen. Die PMU kann eine nicht erneut konfigurierbare digitale Zustandsmaschine sein (als ein Beispiel). Die PMU kann ein Auslösesignal von den Eingabe-Ausgabe-Vorrichtungen bei Empfang der vorbestimmten Eingabefolge vom Benutzer empfangen. Das Auslösesignal kann die PMU anweisen, eine Meldung an beide von dem Anwendungsprozessor und dem sicheren Element zu senden (zum Beispiel gesetzte Aktivierungssignale an den Anwendungsprozessor und das sichere Element senden).
Das sichere Element kann verwendet werden, um zu bestätigen, dass die empfangene Benutzereingabe eine gültige vorbestimmte Benutzereingabefolge ist (zum Beispiel durch Überwachen des Zustands eines Autorisierungssignals, das von der Leistungsverwaltungseinheit ausgegeben wird). In Reaktion auf das Erfassen einer gültigen Benutzerzahlungsinitialisierungs-Eingabefolge kann die Leistungsverwaltungseinheit das Autorisierungssignal für eine bestimmte Zeitspanne setzen. Nachdem die Benutzereingabe validiert wurde, kann ein kontaktloses Registrierungsdienst-(CRS-)Applet am sicheren Element ein Steuer-Flag „Benutzereingabe empfangen“ setzen, und das sichere Element kann ausgestaltet sein, eine Benachrichtigung an den Anwendungsprozessor zu senden, die angibt, dass eine gültige Benutzereingabefolge (im vorliegenden Dokument manchmal auch als eine Zahlungsinitiierungseingabe bezeichnet) empfangen wurde.
In Reaktion auf das Empfangen der Nachricht vom sicheren Element kann der Anwendungsprozessor verwendet werden, um einen Authentifizierungsschlüssel „AuthKey“ basierend auf des SEID des sicheren Elements und/oder auf einem eindeutigen Kennzeichner des Anwendungsprozessors abzuleiten. Danach kann das sichere Element ein Kartenkryptogramm an den Anwendungsprozessor senden. Der Anwendungsprozessor kann das Kartenkryptogramm unter Verwendung des abgeleiteten AuthKey entschlüsseln und kann zur Bestimmung verwendet werden, ob mit der Aktivierung eines Zahlungsapplets auf dem sicheren Element fortgefahren werden soll, indem wenigstens ein Abschnitt des Kartenkryptogramms mit der abgerufenen AuthRand verglichen wird. Wenn der Abschnitt des Kartenkryptogramms mit der abgerufenen AuthRand übereinstimmt, kann der Anwendungsprozessor fortfahren, um ein Host-Kryptogramm an das sichere Element zu senden. Das Host-Kryptogramm kann unter Verwendung des AuthKey mittels eines Chiffre-basierten Nachrichtauthentifizierungscode-(CMAC-)Algorithmus, als ein Beispiel, verschlüsselt werden.
Das sichere Element kann das Host-Kryptogramm vom Anwendungsprozessor empfangen und kann verwendet werden, um zu bestimmen, ob mit der Aktivierung des Zahlungsapplets fortgefahren werden soll, indem wenigstens ein Abschnitt des empfangenen Host-Kryptogramms analysiert wird. Wenn der Abschnitt des Host-Kryptogramms die Gestaltungskriterien erfüllt, kann das CRS-Applet verwendet werden, um das Zahlungs-Applet vorübergehend zu aktivieren. An diesem Punkt kann der Benutzer das elektronische Gerät innerhalb des Felds des Händlerendgeräts bringen, um eine mobile Zahlungstransaktion abzuschließen.
Diese Zusammenfassung wird nur zu Zwecken der Zusammenfassung einiger beispielhafter Ausführungsformen vorgesehen, um so ein Grundverständnis einiger Aspekte des hier beschriebenen Gegenstands vorzusehen. Demgemäß versteht es sich, dass die oben beschriebenen Merkmale nur Beispiele sind und nicht ausgelegt werden sollten, um den Umfang oder Geist des im vorliegenden Dokument beschriebenen Gegenstands in irgendeiner Weise zu beschränken. Weitere Merkmale, Aspekte und Vorteile des hier beschriebenen Gegenstands werden aus der folgenden detaillierten Beschreibung, den Figuren und Ansprüchen offensichtlich.
Figurenliste

1 ist ein Diagramm eines veranschaulichenden Systems, in dem ein oder mehrere Benutzergeräte verwendet werden können, um mobile Zahlungstransaktionen gemäß einer Ausführungsform durchzuführen.
2A ist eine perspektivische Ansicht eines veranschaulichenden primären Benutzergeräts gemäß einer Ausführungsform.
2B ist eine perspektivische Ansicht eines veranschaulichenden sekundären Benutzergeräts gemäß einer Ausführungsform.
3 ist ein schematisches Diagramm des veranschaulichenden Schaltkreises in dem primären Benutzergerät von 1 gemäß einer Ausführungsform.
4 ist ein schematisches Diagramm eines veranschaulichenden Schaltkreises in dem sekundären Benutzergerät von 1 gemäß einer Ausführungsform.
5 ist ein Ablaufdiagramm der veranschaulichenden Schritte, die bei der Aktivierung eines Benutzergeräts zur mobilen Zahlung gemäß einer Ausführungsform beteiligt sind.
6 ist ein Diagramm, das den Fluss der Informationen zwischen verschiedenen Komponenten in einer Benutzervorrichtung während Zahlungsaktivierungsoperationen gemäß einer Ausführungsform darstellt.
7 ist ein Zeitablaufdiagramm, das gemäß einer Ausführungsform eine Folge von Ereignissen darstellt, die durch einige vorbestimmte Benutzereingaben ausgelöst werden.
8 ist ein Ablaufdiagramm der veranschaulichenden Schritte gemäß einer Ausführungsform zum Verwenden einer Leistungsverwaltungseinheit, um eine gültige Benutzereingabe zur Initiierung einer mobilen Zahlung zu erfassen

Detaillierte Beschreibung
1 stellt ein Diagramm eines Systems 100 dar, in denen Identifizierungsdaten-Informationen unter Verwendung eines Dienstanbieter-Subsystems 112 auf einem oder mehreren elektronischen Geräten von einem Zahlungsnetzwerk-Subsystem 122 vorgesehen werden können. Benutzergeräte, die mit kommerziellen Identifizierungsdaten vom Zahlungsnetzwerk-Subsystem 122 ausgestattet sind, können zum Durchführen einer Finanztransaktion mit einem Händlerendgerät, wie einem Händlerendgerät 108, verwendet werden. Benutzergeräte können zum Beispiel mit dem Händlerendgerät 108 über eine kontaktlose nähebasierende Kommunikation kommunizieren (zum Beispiel unter Verwendung der Nahfeldkommunikations-(NFS-)Standards). Das Endgerät 108 (manchmal auch als ein „Point-auf-Sale“-Endgerät bezeichnet) kann einen NFC-Leser zum Erfassen, Lesen oder anderweitigen Empfangen von Informationen von einem in der Nähe befindlichen elektronischen Gerät aufweisen.
Zum Beispiel kann ein Benutzer eine elektronische Vorrichtung innerhalb eines Bereichs des Händlerendgeräts 108 halten, um eine kommerzielle Transaktion zu initiieren. Es muss kein konkreter physikalischer Kontakt zwischen dem Benutzergerät und dem Händlerendgerät vorliegen. Während sich das elektronische Gerät innerhalb des Bereichs des Händlerendgeräts 108 befindet (zum Beispiel, wenn sich das Benutzergerät innerhalb von 10 cm zum Endgerät 108 befindet, wenn sich das Benutzergerät innerhalb von 5 cm zum Endgerät 108 befindet, wenn das Benutzergerät sich innerhalb von 1 cm zum Endgerät 108 befindet, oder wenn der Abstand zwischen dem Benutzergerät und dem Händlerendgerät andere geeignete Werte hat), kann die elektronische Vorrichtung ausgewählte kommerzielle Identifizierungsdaten an das Händlerendgerät 108 senden. In Reaktion auf den Empfang der ausgewählten kommerziellen Identifizierungsdaten kann das Händlerendgerät 108 die Zahlung abschließen, in dem die empfangenen kommerziellen Identifizierungsdaten an einen entsprechenden Zahlungsprozess (nicht dargestellt) weitergeleitet werden. Der Zahlungsprozessor kann die kommerziellen Identifizierungsdaten des Benutzers zum Abschluss der Transaktion mit dem Zahlungsnetzwerk-Subsystem 122 nutzen. Dieses Beispiel, in dem Zahlungstransaktionen über NFC durchgeführt werden, dient nur der Veranschaulichung und schränkt den Umfang der vorliegenden Erfindung nicht ein. Wenn gewünscht, können Finanztransaktionen zwischen zwei beliebigen elektronischen Geräten über Bluetooth®-Kommunikationsverbindungen, persönliche Netzwerk-(PAN-) Kommunikationsverbindungen, lokale Funknetzwerk-(WLAN-) Kommunikationsverbindungen oder andere Funkkommunikationsverbindungen mit kurzer Reichweite ausgeführt werden.
Das Zahlungsnetzwerk-Subsystemen 122 kann durch eine Finanzentität betrieben werden, die ein Netzwerk von verschiedenen ausgebenden Banken und/oder beziehenden Banken (zum Beispiel Zahlungsverarbeitern) aufweisen. Die Finanzentität am Zahlungsnetzwerk-Subsystem 122 kann als ein allgemeines Zahlungskarteninstitut (zum Beispiel ein Kreditkarteninstitut) dienen, das eine Partnerschaft mit einer oder mehreren ausgebenden/beziehenden Banken eingeht, die mit verschiedenen Marken von kommerziellen Identifizierungsdaten verknüpft sind und die in manchen Fällen als ein Zahlungsnetzwerkbetreiber bezeichnet werden können. Der Zahlungsnetzwerkbetreiber und die zugeordneten ausgebenden/beziehenden Banken können eine einzelne Entität oder getrennte Entitäten sein.
Zum Beispiel kann American Express sowohl ein Zahlungsnetzwerkbetreiber als auch eine ausgebende/beziehende Bank sein. Als ein anderes Beispiel können Visa und MasterCard ein Zahlungsnetzwerkbetreiber sein, die mit anderen ausgebenden/beziehenden Banken, wie Bank of America, Wells Fargo und Chase, um nur einige zu nennen, Partnerschaften eingehen. Die ausgebende Bank kann eine Finanzinstitution sein, die eine primäre Haftung für die Befähigung eines jeden Benutzers annimmt, Verpflichtungen zu bezahlen, die bei Verwendung einer bestimmten Marke an Zahlungskarte aufgelaufen sind. Verschiedene Arten von ausgebaren Zahlungskarten können umfassen, ohne darauf beschränkt zu sein: Kreditkarten, EC-Karten, Ticketkarten für den öffentlichen Verkehr, Wertspeicherkarten, Flottenkarten und Geschenkkarten.
Benutzerzahlungskarten-Identifizierungsdaten können von solchen Finanzeinheiten auf Benutzergeräten, die ein Dienstanbieter-Subsystem, wie ein Dienstanbieter-Subsystemen 112, nutzen, vorgesehen werden. Das Dienstanbieter-Subsystem 112 kann ausgestaltet sein, um eine andere Sicherheitsschicht vorzusehen und/oder um eine nahtlosere Benutzererfahrung vorzusehen. Zum Beispiel kann das Dienstanbieter-Subsystem 112 von einer kommerziellen Dienstleistungsentität betrieben werden, die dem Benutzer verschiedene Dienstleistungen anbietet, die aufweisen können: einen Online-Laden zum Verkaufen/Leihen von Medien, die auf einem Benutzergerät wiedergegeben werden, einen Online-Laden zum Verkaufen/Verleihen von Anwendungen, die auf dem Benutzergerät ausgeführt werden, einen Online-Speicherdienst zum Sichern und Synchronisieren von Daten über mehrere Benutzergeräte, einen entfernten Geräteverwaltungsdienst zum Verfolgen der Position des Benutzergeräts und zur Fernsteuerung des Geräts, einen Online-Laden, der dem Benutzer ermöglicht, weitere Benutzergeräte oder Produkte zu erwerben (zum Beispiel Produkte, die von dieser kommerziellen Entität hergestellt werden) usw. Als ein anderes Beispiel kann das Dienstanbieter-Subsystemen 112 durch einen mobilen Netzwerkoperator, wie Verizon oder AT&T, betrieben werden.
In jedem Szenario kann die kommerzielle Entität am Dienstanbieter-Subsystemen 12 für verschiedene Benutzer wenigstens eigene personalisierte Konten zum Zugriff auf die von dieser kommerziellen Entität angebotenen Dienste bereitstellen. Ein jedes Benutzerkonto kann mit einer personalisierten Benutzeridentifikation (oder Konto-ID) und einem Kennwort verknüpft sein, das der Benutzer zum Anmelden bei seinem/ihren Konto verwenden kann. Nach der Anmeldung kann dem Benutzer die Möglichkeit angeboten werden, eine oder mehrere kommerzielle Identifizierungsdaten (zum Beispiel Zahlungskarten) auf dem Benutzergerät bereitzustellen, um den Benutzergerät zu ermöglichen, Artikel unter Verwendung der Dienste zu erwerben, die von der kommerziellen Entität angeboten werden, und/oder um Finanztransaktionen an einem Händlerendgerät 108 durchzuführen.
Im Allgemeinen werden die kommerzielle Entität am Dienstanbieter-Subsystem 112 und die finanzielle Entität am Zahlungsnetzwerk-Subsystem 122 als getrennte Entitäten betrachtet. Die kommerzielle Entität kann beliebige bekannte Identifizierungsdateninformationen nutzen, die mit einem jeden der Benutzerkonten davon verknüpft sind, um in sicherer Weise zu bestimmen, ob spezielle Identifizierungsdaten, die dem Zahlungsnetzwerk durch den Betreiber angeboten werden, auf einem gegebenen Benutzergerät bereitgestellt werden sollten. Wenn gewünscht, kann die kommerzielle Entität ebenso ihre Funktionalität nutzen, verschiedene Komponenten der Benutzervorrichtung zu konfigurieren oder zu steuern (zum Beispiel über Software von Firmware-Updates), um dem Benutzer eine nahtlosere Erfahrung bereitzustellen, wenn er oder sie Identifizierungsdaten bereitstellen möchte, die von dem Zahlungsnetzwerkbetreiber auf einem bestimmten Benutzergerät angeboten werden.
Wie in 1 dargestellt, kann das Dienstanbieter-Subsystem 112 ein Broker-Modul 114, ein Trusted Service-Manager- (TSM-)Modul 116 und ein netzwerkbasiertes Dienstmodul 118 aufweisen. Das Broker-Modul 114 kann dazu dienen, die Benutzerauthentifizierung mit einem Benutzerkonto einer kommerziellen Entität zu verwalten, und kann auch dazu dienen, den Lebenszyklus zu verwalten und Identifizierungsdaten auf einer Benutzervorrichtung vorzusehen. Das Broker-Modul 114 kann ebenso ausgestaltet sein, die Benutzerschnittstelle (zum Beispiel die grafische Benutzerschnittstelle), die auf der Benutzervorrichtung angezeigt wird, zu steuern und beliebige Benutzereingaben zu verarbeiten, die sich auf die Bereitstellung von kommerziellen Identifizierungsdaten auf dem Benutzergerät beziehen. Wenn es gewünscht ist, eine Karte auf dem Benutzergerät vorzusehen, kann das Broker-Modul 114 über den Pfad 120 eine Benachrichtigung an das Zahlungsnetzwerk-Subsystem 122 senden.
In Reaktion auf den Empfang der Nachricht vom Broker-Modul 114 kann das Zahlungsnetzwerk-Subsystem 122 direkt mit dem TSM-Modul 116 kommunizieren, um die Bereitstellungsoperationen der Identifizierungsdaten auf dem Benutzergerät auszuführen. Der TSM 116 kann dazu dienen, eine globale Plattform (GlobalPlatform) oder andere sichere transaktionsbasierte Dienste vorzusehen, sodass der TSM 116 einen sicheren Kanal zwischen dem Dienstanbieter-Subsystemen 112 und einem sicheren Element im Benutzergerät einrichten kann. Kommerzielle Identifizierungsdaten, Zahlungskarteninformationen und/oder andere sensitive Kundendaten können dann an das sichere Element in dem Gerät über den sicheren Kanal übertragen werden. Im Allgemeinen kann der TSM 116 öffentliche/private Schlüssel oder andere kryptografischen Schemas nutzen, um die Kommunikation zwischen dem Dienstanbieter-Subsystem 112 und dem sicheren Element, in dem das Benutzergerät sicher ist, sicherzustellen.
Das netzwerkbasierte Dienstmodul 118 kann dazu dienen, Benutzern das Speichern von Daten, wie Musik, Fotos, Videos, Kontakte, Multimedia-Nachrichten, EMails, Kalender, Notizen, Erinnerungen, Anwendungen, Dokumente, Geräteeinstellungen und andere Informationen auf einen Netzwerk von Computing-Servern zu speichern, sodass die Daten über mehrere Benutzergeräte synchronisiert werden können (zum Beispiel ermöglicht Modul 118 Benutzern, auf ihren Geräten gespeicherte Daten auf Servern zu sichern, die mit dem Dienstanbieter-Subsystem verknüpft sind). Diese Sicherungsdaten können zur Wiederherstellung eines Benutzergeräts oder zum Einrichten neuer Benutzergeräte (als Beispiele) verwendet werden.
Das netzwerkbasierte Dienstmodul 118 kann ebenso ausgestaltet sein, um Benutzern das Auffinden verlorengegangener Geräte zu ermöglichen (manchmal auch als ein „Finde mein Gerät“-Merkmal bezeichnet), um Medien über verschiedene Geräte gemeinsam zu nutzen und/oder um sensitive Informationen (zum Beispiel kommerzielle Identifizierungsdateninformationen, Website-Kontenanmeldeinformationen, WiFi® -Konteninformationen usw.) über verschiedene Benutzergeräte auf dem neuesten Stand zu halten. Beliebige sensitive Benutzerinformationen können als Teil einer Benutzer-„Keychain“ gespeichert werden, die auf dem/den Benutzergerät(en) und/oder auf dem netzwerkbasierten Dienstmodul 118 gespeichert werden kann. Nur der autorisierte Benutzer sollte Zugriff auf die Keychain haben. Die Inhalte in der Keychain können mittels Industriestandard-Verschlüsselungstechniken geschützt werden (zum Beispiel unter Verwendung von zumindest einer 128 Bit-AES-Verschlüsselung). Das Modul 118, das auf diese Weise ausgestaltet ist, wird manchmal als ein „Cloud-‟Speicher oder ein Cloud-Computingmodul bezeichnet.
Mit weiterer Bezugnahme auf 1 kann ein Benutzer im Besitz mehrerer Geräte sein, wie den Geräten 10 und 102. Das Gerät 10 kann als „primäres“ Benutzergerät bezeichnet werden, wohingegen das Gerät 102 als ein „sekundäres“ Benutzergerät bezeichnet werden kann. Im Allgemeinen kann das primäre Benutzergerät 10 mit mehr Funktionen vorgesehen sein als das sekundäre Benutzergerät 102. Zum Beispiel kann das primäre Benutzergerät 10 als das Hauptgerät des Benutzers zur Verwendung für den Zugriff auf eine gesamte Palette von Dienstleistungen, die von dem Dienstanbieter-Subsystem 112 angeboten werden, dienen, um Telefonanrufe durchzuführen, neue Karten auszuwählen, die auf einem der Geräte 10 und 102 bereitgestellt werden sollen, um Bilder zu erfassen und um auf das Internet zuzugreifen, wohingegen des sekundäre Benutzergerät 102 als ein Zusatzgerät dienen kann, das verwendet wird, um nur auf eine Teilmenge der von der kommerziellen Entität am Dienstanbieter-Subsystem 112 bereitgestellten Dienste zuzugreifen. Es versteht sich jedoch, dass die Begriffe „primär“ und „sekundär“ zur einfacheren Beschreibung verwendet werden und dass in einigen Fällen das „sekundäre“ Gerät Funktionalität implementiert, die identisch oder umfangreicher ist als die vom „primären“ Gerät implementierte Funktionalität.
Jedes von dem primären Benutzergerät 10 oder dem sekundären Benutzergerät 102 kann dazu verwendet werden, eine mobile Zahlungstransaktion am Händlerendgerät 108 durchzuführen. Jedes Gerät, das dazu ausgelegt ist, solche Arten von NFC-basierten Finanztransaktionen durchzuführen, kann mit einem sicheren Element vorgesehen werden. Das sichere Element kann eine fälschungssichere Komponente sein (zum Beispiel ein einzelner Chip oder ein sicherer Multichip-Mikrocontroller), die dazu in der Lage ist, Anwendungen und deren vertrauliche und kryptografischen Daten gemäß den Regeln und den Sicherheitsanforderungen sicher zu hosten, die durch gut identifizierte vertrauenswürdige Autoritäten, wie GlobalPlatform, angegeben werden. Das sichere Element (SE) kann als eine universelle integrierte Schaltkreiskarte (UICC), ein eingebettetes SE, eine intelligente sichere digitale (SD) Karte, eine microSD-Karte usw. vorgesehen werden. Sensitive Benutzerinformationen, wie Kreditkarteninformationen und andere kommerzielle Identifizierungsdaten, können auf dem sicheren Element gespeichert werden. Das sichere Element sieht eine sichere Domain vor, die die Identifizierungsdaten des Benutzers schützt und die gewünschten Zahlungstransaktionen in einer vertrauenswürdigen Umgebung ausführt, ohne die Sicherheit der Daten des Benutzers zu gefährden. Im Allgemeinen kann jedes sichere Element einen eigenen eindeutigen Kennzeichner haben, der im vorliegenden Dokument manchmal als der SEID bezeichnet wird. Zwei sichere Elemente sollten nicht den gleichen SEID haben, und der SEID kann nicht geändert werden.
In einer geeigneten Anordnung kann der Benutzer die primäre Benutzervorrichtung 10 betreiben, um eine oder mehrere Zahlungskarten direkt auf den primären Benutzergerät vorzusehen. In solchen Anordnungen können Identifizierungsdateninformationen aus dem Zahlungsnetzwerk-Subsystem 122 und/oder den Dienstanbieter-Subsystem 112 abgerufen werden und können auf ein sicheres Element im Gerät 10 über einen Pfad 110 heruntergeladen werden. Der Pfad 110 zwischen dem Subsystem 112 und dem Gerät 10 kann über Mobiltelefon-Funkkommunikationsprotokolle oder andere Funkkommunikationstechnologien mit hoher Reichweite und/oder über Bluetooth®, IEEE 802.11-Protokolle, manchmal als WiFi® bezeichnet, oder andere Funkkommunikationstechnologien mit kurzer Reichweite unterstützt werden.
In einer anderen geeigneten Anordnung kann der Benutzer die primäre Benutzervorrichtung 10 betreiben, um eine oder mehrere Zahlungskarten direkt auf dem primären Benutzergerät 102 vorzusehen. In solchen Szenarien kann die Bereitstellung von Identifizierungsdaten auf dem sekundären Gerät 102 unter Verwendung einer Verwaltungsanwendung der Identifizierungsdaten des sekundären Geräts verwaltet werden (manchmal als eine „Brücken“-Anwendung bezeichnet), die auf dem primären Benutzergerät 10 ausgeführt wird. In solchen Anordnungen kann das Zahlungsnetzwerk-Subsystemen 122 die gewünschten Zahlungskarteninformationen, die dann sicher auf ein sicheres Element auf dem sekundären Gerät 102 geschrieben werden, über das primäre Benutzergerät 10 und dem Pfad 106 bereitstellen. Der Kommunikationspfad 106 zwischen dem primären Benutzergerät 10 und dem sekundären Benutzergerät 106 kann über Bluetooth® (e.g., über Bluetooth Low Energy und/oder „klassische“ Bluetooth-Technologien), IEEE 802.11-Protokolle - manchmal als WiFi® bezeichnet, oder andere Funkkommunikationstechnologien mit kurzer Reichweite (als Beispiele) unterstützt werden. In einer wiederum anderen geeigneten Anordnung kann das sekundäre Gerät 102 mittels beliebiger geeigneter Funkkommunikationsstandards mit hoher Reichweite oder kurzer Reichweite direkt mit dem Dienstanbieter-Subsystem 112 kommunizieren, um kommerzielle Identifizierungsdaten zu erhalten (wie durch Pfad 111 angegeben).
2A zeigt eine perspektivische Ansicht eines primären Benutzergeräts 10. Das Gerät 10 kann ein tragbares Gerät sein, wie ein Mobiltelefon, ein Medienwiedergabegerät, ein Tablet-Computer oder ein anderes tragbares Computinggerät. Das Beispiel von 2A ist nur veranschaulichend. Andere Gestaltungen können gegebenenfalls für das Gerät 10 verwendet werden. Wie in 2A dargestellt, kann das Gerät 10 eine Anzeige, wie eine Anzeige 14, enthalten. Die Anzeige 14 ist in einem Gehäuse, wie im Gehäuse 12, angebracht. Das Gehäuse 12, das in manchen Fällen als eine Verkleidung oder ein Gehäuse bezeichnet werden kann, kann aus Plastik, Glas, Keramik, Faserverbundstoffen, Metall (zum Beispiel Edelstahl, Aluminium usw.), anderen geeigneten Materialien oder einer Kombination von einem beliebigen von zwei oder mehr dieser Materialien ausgebildet sein. Das Gehäuse 12 kann unter Verwendung eine Gestaltung aus einem einzelnen Körper ausgebildet sein, in der ein Teil oder alles von dem Gehäuse 12 als einzelne Struktur maschinell gefertigt oder gegossen ist, oder kann unter Verwendung mehrerer Strukturen ausgebildet sein (zum Beispiel einer inneren Rahmenstruktur, einer oder mehreren Strukturen, die äußere Gehäuseflächen bilden, usw.).
Die Anzeige 14 kann eine berührungsempfindliche Bildschirmanzeige sein, die eine Schicht von leitfähigen kapazitiven Berührungssensorelektroden oder anderen Berührungssensorkomponenten integriert hat (zum Beispiel Widerstands-Berührungssensorkomponenten, akustische Berührungssensorkomponenten, kraftbasierte Berührungssensorkomponenten, lichtbasierte Berührungssensorkomponenten usw.) oder kann eine Anzeige sein, die nicht berührungsempfindlich ist. Kapazitive Elektrode des berührungsempfindlichen Bildschirms können aus einem Array von Iridium-Zinnoxid-Pads oder anderen transparenten leitfähigen Strukturen gebildet werden.
Die Anzeige 14 kann einen Array an Anzeigebildpunktdaten aufweisen, der ausgebildet ist aus einer Flüssigkristallanzeige-(LCD-)Komponenten, einem Array von elektrophoretischen Bildpunkten, einem Array von Plasma-Anzeige-Bildpunkten, einem Array von organischen lichtausstrahlenden Dioden-Anzeige-Bildpunkten, einem Array von Elektrobenetzungs-Anzeigebildpunkten oder Anzeigebildpunkten basierend auf anderen Anzeigetechnologien.
Die Anzeige 14 kann unter Verwendung einer Anzeigeverkleidungsschicht, wie einer Schicht aus transparentem Glas oder klarem Plastik geschützt werden. Die Öffnungen können in der Anzeigeverkleidungsschicht ausgebildet werden. Eine Öffnung kann zum Beispiel in der Anzeigeverkleidungsschicht ausgebildet werden, um eine Taste, wie eine Taste 16, aufzunehmen. Eine Öffnung kann ebenso in der Anzeigeverkleidungsschicht ausgebildet werden, um Anschlüsse, wie einen Lautsprecheranschluss 18 aufzunehmen. Öffnungen können im Gehäuse 12 ausgebildet sein, um Kommunikationsanschlüsse (zum Beispiel einen Audiobuchsenanschluss, einen Digitaldatenanschluss usw.) auszubilden.
2B zeigt eine perspektivische Ansicht eines sekundären Benutzergeräts 102. Das elektronische Gerät 102 kann eine Computingvorrichtung sein, wie ein Laptop-Computer, ein Computermonitor, der einen eingebetteten Computer enthält, ein Tablet-Computer, ein Mobiltelefon, ein Medienwiedergabegerät oder ein anderes in der Hand haltbares oder tragbares elektronische Gerät, ein kleineres Gerät, wie eine Armbanduhrvorrichtung, ein hängendes Gerät, ein Kopfhörer- oder Ohrstückgerät, ein in eine Brille oder einen anderen Ausrüstungsteil, das auf einen Kopf des Benutzers getragen wird, ein eingebettetes Gerät oder ein anderes tragbares oder Miniaturgerät, ein Fernseher, eine Computeranzeige, die keinen eingebetteten Computer enthält, Spielegerät, ein Navigationsgerät, ein eingebettetes System, wie ein System, in dem elektronische Ausstattung mit einer Anzeige in einem Kiosk oder einem Automobil angebracht ist, Ausstattung, die die Funktionalität von zwei oder mehreren dieser Geräte implementiert oder eine andere elektronische Ausstattung. In zumindest einigen Ausführungsformen dient das sekundäre Benutzergerät 102 als Zusatzgerät zum primären Gerät 10, wobei das Gerät 102 zur Durchführung von Spezialfunktionen für den Benutzer verwendet werden kann.
Das Beispiel von 2B, in dem das Gerät 102 als ein tragbares Gerät, wie eine Armbanduhrvorrichtung mit Bändern 19 dargestellt ist, dient nur der Veranschaulichung. Wie in 2B dargestellt, kann das Gerät 102 eine Anzeige, wie eine Anzeige 15, enthalten. Die Anzeige 15 wurde in einem Gehäuse, wie dem Gehäuse 13, angebracht. Das Gehäuse 13, das in manchen Fällen als eine Verkleidung oder ein Gehäuse bezeichnet werden kann, kann aus Plastik, Glas, Keramik, Faserverbundstoffen, Metall (zum Beispiel Edelstahl, Aluminium usw.), anderen geeigneten Materialien oder einer Kombination von einem beliebigen von zwei oder mehr dieser Materialien ausgebildet sein. Das Gehäuse 13 kann unter Verwendung einer Gestaltung aus einem einzelnen Körper ausgebildet sein, in der ein Teil oder alles von dem Gehäuse 13 als einzelne Struktur maschinell gefertigt oder gegossen ist, oder kann unter Verwendung mehrerer Strukturen ausgebildet sein (zum Beispiel einer inneren Rahmenstruktur, einer oder mehreren Strukturen, die äußere Gehäuseflächen bilden, usw.).
Die Anzeige 15 kann eine berührungsempfindliche Bildschirmanzeige sein, die eine Schicht von leitfähigen kapazitiven Berührungssensorelektroden oder anderen Berührungssensorkomponenten integriert hat (zum Beispiel Widerstands-Berührungssensorkomponenten, akustische Berührungssensorkomponenten, kraftbasierte Berührungssensorkomponenten, lichtbasierte Berührungssensorkomponenten usw.) oder kann eine Anzeige sein, die nicht berührungsempfindlich ist. Kapazitive Elektrode des berührungsempfindlichen Bildschirms können aus einem Array von Iridium-Zinnoxid-Pads oder anderen transparenten leitfähigen Strukturen gebildet werden.
Die Anzeige 15 kann einen Array an Anzeigebildpunktdaten aufweisen, der ausgebildet ist aus einer Flüssigkristallanzeige-(LCD-) Komponenten, einem Array von elektrophoretischen Bildpunkten, einem Array von Plasma-Anzeigebildpunkten, einem Array von organischen lichtausstrahlenden Dioden-Anzeigebildpunkten, einem Array von Elektrobenetzungs-Anzeigebildpunkten oder Anzeigebildpunkten basierend auf anderen Anzeigetechnologien. Die Anzeige 15 kann unter Verwendung einer Anzeigeverkleidungsschicht, wie einer Schicht aus transparentem Glas oder klarem Plastik geschützt werden.
Das Gerät 102 kann eine oder mehrere Tasten 17 haben, die dazu verwendet werden können, Benutzereingaben zu sammeln. Die Tasten 17 können auf Kuppelschaltern oder anderen Schalterschaltkreisen basieren. Die Tasten 17 können Tastenelemente aufweisen, um Drucktasten (zum Beispiel kurzzeitig verfügbare Tasten), Schiebeschalter, Kippschalter usw. aufweisen. Das Gerät 10 kann gegebenenfalls ebenso zusätzliche Tasten, einen Lautsprecheranschluss, Datenanschlüsse, wie einen Digitaldatenanschluss und einen Audioverbindungsanschluss und/oder andere Eingabe-Ausgabe-Geräte haben. In einigen Ausführungsformen kann wenigstens eine der Tasten 17 auf dem sekundären Benutzergerät 102 verwendet werden, um einem Gerät 102 zu ermöglichen, eine sichere mobile Transaktion durchzuführen.
Ein schematisches Diagramm, das veranschaulichende Komponenten darstellt, die im Gerät 10 verwendet werden können, wird in 3 dargestellt. Wie in 3 gezeigt, kann das Gerät 10 einen Steuerschaltkreis beinhalten, wie den Steuer- und Verarbeitungsschaltkreis 28. Der Steuer- und Verarbeitungsschaltkreis 28 kann Speicher enthalten, wie einen Festplattenlaufwerkspeicher, nicht-flüchtigen Speicher (zum Beispiel Flash-Speicher oder anderen elektrisch programmierbaren Festspeicher, der zur Bildung eines Solid-State-Laufwerks ausgestaltet ist), flüchtigen Speicher (zum Beispiel statischen oder dynamischen Direktzugriffspeicher) usw. Der Verarbeitungsschaltkreis im Speicher- und Verarbeitungsschaltkreis 28 kann zur Steuerung des Betriebs von Gerät 10 verwendet werden. Dieser Verarbeitungsschaltkreis kann auf einen oder mehreren Mikroprozessoren, Mikrocontrollern, digitalen Signalprozessoren, anwendungsspezifischen integrierten Schaltkreisen usw. basieren.
Der Speicher- und Verarbeitungsschaltkreis 28 kann zur Ausführung von Software auf Gerät 10 verwendet werden, wie Anwendungen zum Browsen im Internet, VOIP-(Voice-over-Internet-Protocol-)Telefonieanwendungen, E-Mail-Anwendungen, Anwendungen zur Wiedergabe von Medien, Betriebssystemfunktionen, Verwaltungsanwendungen von Identifizierungsdaten des sekundären Geräts usw. Um Interaktionen mit externer Ausstattung zu unterstützen, kann der Speicher- und Verarbeitungsschaltkreis 28 zur Implementierung von Kommunikationsprotokollen verwendet werden. Zu den Kommunikationsprotokollen, die mit dem Speicher- und Verarbeitungsschaltkreis 28 implementiert werden können, gehören Internetprotokolle, Funkprotokolle für lokale Netzwerke (zum Beispiel IEEE 802.11-Protokolle - manchmal auch als WiFi® bezeichnet), Protokolle für andere Funkkommunikationsverbindungen mit kurzer Reichweite, wie das Bluetooth®-Protokoll, Mobiltelefonieprotokolle, MIMO-Protokolle, Antennendiversitätsprotokolle usw.
Der Eingabe-/Ausgabe-Schaltkreis 44 kann Eingabe-/Ausgabe-Vorrichtungen 32 enthalten. Die Eingabe-/Ausgabe-Vorrichtungen 32 können dazu verwendet werden, zu gestatten, dass dem Gerät 10 Daten zugeleitet werden können, und zu gestatten, dass Daten vom Gerät 10 externen Geräten bereitgestellt werden. Die Eingabe-/Ausgabe-Vorrichtungen 32 können Benutzerschnittstellenvorrichungen, Datenanschlussvorrichtungen und andere Eingabe-/Ausgabe-Komponenten enthalten. Zum Beispiel können Eingabe-/Ausgabe-Vorrichtungen 32 berührungsempfindliche Bildschirme, Anzeigen ohne Berührungssensorfähigkeiten, Tasten, Joysticks, Klickräder, Scrollräder, berührungsempfindliche Felder, numerische Eingabefelder, Tastaturen, Mikrofone, Kameras, Tasten, Lautsprecher, Statusanzeigen, Lichtquellen, Audiobuchsen und andere Audioanschlusskomponenten, Digitaldatenanschlussvorrichtungen, Lichtsensoren, Bewegungssensoren (Beschleunigungsmesser), Kapazitätssensoren, Näherungssensoren usw. aufweisen.
Der Eingabe-/Ausgabe-Schaltkreis 44 kann einen Funkkommunikationsschaltkreis 34 zur Funkkommunikation mit externer Geräteausstattung aufweisen. Der Funkkommunikationsschaltkreis 34 kann einen Hochfrequenz-(RF-)Sendeempfänger-Schaltkreis enthalten, der aus einem oder mehreren integrierten Schaltkreisen ausgebildet ist, einen Leistungsverstärkerschaltkreis, rauscharme Eingangsverstärker, passive Hochfrequenzkomponenten, eine oder mehrere Antennen, Übertragungsleitungen und andere Schaltkreise zur Verarbeitung von Hochfrequenz-Funksignalen. Funksignale können ebenso mittels Licht gesendet werden (zum Beispiel mit Infrarotkommunikation).
Der Funkkommunikationsschaltkreis 34 kann einen Hochfrequenz-Sendeempfänger-Schaltkreis 90 zur Verarbeitung verschiedener Hochfrequenz-Übertragungsbändern aufweisen. Zum Beispiel kann der Schaltkreis 34 einen Sendeempfänger-Schaltkreis 36 und 38 aufweisen. Der Sendeempfänger-Schaltkreis 36 kann ein lokaler Funknetzwerk-Sendeempfänger-Schaltkreis sein, der 2,4 GHz- und 5,4 GHz-Bänder für die Kommunikation über WiFi® (IEEE 802.11) und das 2,4 GHz-Bluetooth®-Übertragungsband verarbeiten kann. Der Schaltkreis 34 kann einen Mobiltelefon-Sendeempfänger-Schaltkreis 38 zur Verarbeitung der Funkkommunikation in Frequenzbereichen, wie einem unteren Übertragungsband von 700 bis 960 MHz, einem mittleren Band von 1710 bis 2170 MHz und einem oberen Band von 2300 bis 2700 MHz oder anderen Übertragungsbändern zwischen 700 MHz und 2700 MHz oder anderen geeigneten Frequenzen verwenden (als Beispiele). Der Schaltkreis 38 kann Sprachdaten und Nicht-Sprachdaten verarbeiten.
Der Funkkommunikationsschaltkreis 34 kann auch einen Satellitennavigationssystem-Schaltkreis, wie einen Globalen Positionierungssystem-(GPS-)Empfänger-Schaltkreis zum Empfang von GPS-Signalen auf 1575 MHz oder zur Verarbeitung anderer Satellitenpositionierungsdaten aufweisen. Der Funkkommunikationsschaltkreis 34 kann gegebenenfalls einen Schaltkreis für andere Funkverbindungen mit kurzer Reichweiter und hoher Reichweite umfassen. Zum Beispiel kann ein Funkkommunikationsschaltkreis 34 einen 60 GHz Sendeempfänger-Schaltkreis aufweisen, ein Schaltkreis zum Empfangen von TV- und Radiosignalen, Paging-System-Sendeempfängern usw. In WiFi®- und Bluetooth®-Verbindungen und anderen Funkverbindungen mit kurzer Reichweite werden mit den Funksignalen in der Regel Daten im Bereich von wenigen Metern bis zu ein paar Hundert Metern übertragen. In Mobiltelefonverbindungen und anderen Funkverbindungen mit hoher Reichweite werden mit Funksignalen in der Regel Daten über Tausende von Metern oder Kilometern übertragen.
Der Funkschaltkreis 34 kann auch einen Nahfeldkommunikationsschaltkreis 50 aufweisen. Der Nahfeldkommunikationsschaltkreis 50 kann Nahfeldkommunikationssignale erzeugen und empfangen, um eine Kommunikation zwischen dem Gerät 10 und einem Nahfeldkommunikations-Leser oder einer anderen externen Nahfeldkommunikations-Ausstattung zu unterstützen. Die Nahfeldkommunikation kann durch Schleifenantennen unterstützt werden (zum Beispiel zur Unterstützung induktiver Nahfeldkommunikation, in der eine Schleifenantenne im Gerät 10 elektromagnetisch im Nahfeld mit einer entsprechenden Schleifenantenne in einem Nahfeldkommunikationsleser gekoppelt ist). Die Nahfeldkommunikationsverbindungen werden in der Regel über Entfernungen von 20 cm oder weniger gebildet (d. h., das Gerät 10 muss für eine wirkungsvolle Kommunikation in der Nähe des Nahfeldkommunikationslesers angeordnet sein).
Der Sendeempfänger-Schaltkreis 90 und der NFC-Schaltkreis 50 können mit einem oder mehreren Basisbandprozessoren 48 verbunden sein. Der Basisbandprozessor 48 kann digitale Daten empfangen, die vom Schaltkreis 28 zu übertragen sind, und kann entsprechende Signale an wenigstens einem von den Funk-Sendeempfänger-Schaltkreisen 90 für die Funkübertragung zuleiten. Während der Signalempfangsoperationen können der Sendeempfänger-Schaltkreis 90 und der NFC-Schaltkreis 50 Funkfrequenzsignale von externen Quellen empfangen (zum Beispiel Funkbasisstationen, Funkzugriffspunkte, GPS-Satelliten, NFC-Leser usw.). Der Basisbandprozessor 48 kann Signale, die von den Schaltkreisen 90 und 50 empfangen werden, in zugehörige digitale Daten für den Schaltkreis 28 umwandeln. Die Funktionen des Basisbandprozessors 48 können durch einen oder mehrere integrierte Schaltkreise vorgesehen werden. Der Basisbandprozessor 48 wird in manchen Fällen als Teil des Speicher- und Verarbeitungsschaltkreises 28 betrachtet.
Der Funkkommunikationsschaltkreis 34 kann Antennen 40 aufweisen. Die Antennen 40 können unter Verwendung beliebiger geeigneter Antennentypen ausgebildet werden. Zum Beispiel können die Antennen 40 Antennen mit Resonanzelementen enthalten, die aus Schleifenantennenstrukturen, Musterantennenstrukturen, invertierten-F-Antennenstrukturen, Schlitzantennenstrukturen, planaren invertierten-F-Antennenstrukturen, spiralförmigen Antennenstrukturen, Hybriden dieser Gestaltungen usw. ausgebildet sind. Verschiedene Arten von Antennen können für verschiedene Bänder und Kombinationen von Bändern verwendet werden. Zum Beispiel kann ein Antennentyp zur Ausbildung einer lokalen Funkverbindungsantenne und ein anderer Antennentyp kann zur Ausbildung einer entfernten Funkverbindungs-Antenne verwendet werden. Zusätzlich zur Unterstützung der Mobiltelefonkommunikation, der Funkkommunikation im lokalen Netzwerk und anderer Funkkommunikation in der Fernfeld-Funkkommunikation können die Strukturen der Antennen 40 zum Unterstützen der Nahfeldkommunikation verwendet werden. Die Strukturen der Antennen 40 können ebenso zum Sammeln von Näherungssensorsignalen verwendet werden (zum Beispiel kapazitive Näherungssensorsignale).
Der Hochfrequenz-Sendeempfänger-Schaltkreis 90 verarbeitet keine NahfeldKommunikationssignale und wird daher manchmal als ein „Fernfeld“-Kommunikationsschaltkreis oder als Nicht-Nahfeld-Kommunikationsschaltkreis bezeichnet (zum Beispiel kann der Sendeempfänger-Schaltkreis 90 Nicht-Nahfeld-Kommunikationsfrequenzen wie Frequenzen über 700 MHz oder eine andere geeignete Frequenz) verarbeiten. Der Nahfeldkommunikations-Sendeempfänger-Schaltkreis 50 kann zur Verarbeitung der Nahfeldkommunikation verwendet werden. Mit einer geeigneten Anordnung kann die Nahfeldkommunikation unter Verwendung von Signalen bei einer Frequenz von 13,56 MHz unterstützt werden. Andere Nahfeld-Kommunikationsbänder können gegebenenfalls unter Verwendung der Strukturen der Antennen 40 unterstützt werden.
Ein schematisches Diagramm, das beispielhafte Komponenten zeigt, die im sekundären Benutzergerät 102 verwendet werden können, wird in 4 aufgezeigt. Wie in 4 dargestellt, kann das Gerät 102 einen Steuerschaltkreis aufweisen, wie einen Hauptprozessor (im vorliegenden Dokument in manchen Fällen als der Anwendungsprozessor oder AP bezeichnet) 200, Eingabe-Ausgabe-Vorrichtungen 210, eine Leistungsverwaltungseinheit (PMU), wie die Leistungsverwaltungseinheit 220, ein sicheres Element, wie das sichere Element 202, und eine NFC-Steuereinheit 222. Der Anwendungsprozessor 200 kann zur Steuerung des Betriebs des Geräts 102 verwendet werden und kann auf Speicher, wie einen Festplattenlaufwerkspeicher, nicht-flüchtigen Speicher (zum Beispiel Flash-Speicher oder anderen elektrisch programmierbaren Festspeicher, der zur Bildung eines Solid-State-Laufwerks ausgestaltet ist), flüchtigen Speicher (zum Beispiel statischen oder dynamischen Direktzugriffspeicher) usw. zugreifen. Im Allgemeinen kann der Prozessor 200 verwendet werden, um Software auf dem Gerät 102 auszuführen, wie Anwendungen zum Browsen im Internet, VOIP-(Voice-over-Internet-Protocol-)Telefonieanwendungen, E-Mail-Anwendungen, Anwendungen zur Wiedergabe von Medien, Betriebssystemfunktionen usw. Der Anwendungsverarbeitungsschaltkreis kann auf einem oder mehreren Mikroprozessoren, Mikrocontrollern, digitalen Signalprozessoren, anwendungsspezifischen integrierten Schaltkreisen usw. basiert sein.
Der Anwendungsprozessor kann mit der Leistungsverwaltungseinheit 120 über die Pfade 250 und 252 verbunden sein. Die PMU 220 kann zum Beispiel ein Mikrocontroller sein, der die Leistungsversorgungsfunktionen für die Vorrichtungen 102 regelt. Die PMU 220 sollte aktiv bleiben (zum Beispiel mittels einer Backup-Batteriequelle), selbst wenn der Rest des Geräts 102 im Leerlauf ist oder ausgeschalten ist. Die PMU 220 kann für Funktionen verantwortlich sein, die aufweisen, ohne darauf beschränkt zu sein: Überwachen der Leistungsversorgungsverbindungen und Batterieladungen, Steuern der Leistungsversorgung an andere Schaltkreiskomponenten im Gerät 102, Herunterfahren nicht benötigter Systemkomponenten, wenn sie sich im Leerlauf befinden, Steuern von Ruhe- und Einschalte/Ausschalte-Leistungsversorgungsfunktionen und/oder aktives Verwalten des Leistungsverbrauchs für eine optimale Benutzerleistung.
In dem Beispiel von 4 ist die PMU 220 mit dem Anwendungsprozessor 200 (über die Pfade 250 und 252) und dem sicheren Element 202 (über die Pfade 62) gekoppelt, und kann ausgestaltet sein, um in ausgewählter Weise diese Komponenten in den Ruhemodus zu versetzen oder diese Komponenten aus dem Ruhemodus aufzuwecken. Als ein Beispiel kann die PMU 220 ein Aktivierungssignal AP_EN auf dem Pfad 252 setzen, um den Anwendungsprozessor aufzuwecken und kann Informationen mit dem Anwendungsprozessor über den Pfad 250 austauschen. Der Pfad 250 kann ein PC-Bus oder jeder andere geeignete Bustyp sein. Als weiteres Beispiel kann die PMU 220 ein Aktivierungssignal SE_EN auf einem der Pfade 260 setzen, um das sichere Element aufzuwecken und kann ebenso Leistungs- und andere Steuersignale (zum Beispiel Signale PWR und Auth/) an das sichere Element über andere Pfade 260 senden. Die Kommunikation zwischen der PMU 220 und dem sicheren Element 202 kann unter Verwendung einer allgemeinen Eingabe/Ausgabe-(GPIO-) Schnittstelle, einer programmierten Eingabe/Ausgabe-(PIO-)Schnittstelle, einer I²C-Schnittstelle einer seriellen peripheren Schnittstelle (SPI) und/oder anderen Arten von Kommunikationsschnittstellen implementiert werden.
Wie in 4 dargestellt, kann die PMU 220 ebenso mit Eingabe-Ausgabe-Vorrichtungen 210 über den Pfad 240 verbunden sein und kann ebenso ausgestaltet sein, die E/A-Schnittstelle des Geräts 102 zu verwalten. Die Eingabe-/Ausgabe-Vorrichtungen 210 können dazu verwendet werden, um zu ermöglichen, dass dem Gerät 102 Daten zugeleitet werden, und zu ermöglichen, dass Daten vom Gerät 102 externen Geräten bereitgestellt werden. Zum Beispiel können die Eingabe-/Ausgabe-Vorrichtungen 210 Benutzerschnittstellenvorrichungen, Datenanschlussvorrichtungen und andere Eingabe-/Ausgabe-Komponenten enthalten. Die Eingabe-Ausgabe-Vorrichtungen 10 können Tasten, biometrische Sensoren (zum Beispiel einen Fingerabdrucksensor, einen Augensensor, einen Handflächensensor, einen Unterschrift-Identifikationssensor usw.), berührungsempfindliche Bildschirme, Anzeigen ohne Berührungssensorfähigkeiten, Joysticks, Klickräder, Scrollräder, berührungsempfindliche Felder, numerische Eingabefelder, Tastaturen, Mikrofone, Kameras, Lautsprecher, Statusanzeigen, Lichtquellen, Audiobuchsen und andere Audioanschlusskomponenten, Digitaldatenanschlussvorrichtungen, Lichtsensoren, Bewegungssensoren (Beschleunigungsmesser), Kapazitätssensoren, Näherungssensoren usw. aufweisen.
Es wird ein Szenario betrachtet, in dem die Anzeige 15 von Gerät 102 ausgeschaltet ist, wenn das Gerät 102 vollständig stationär ist. In Reaktion auf das Erfassen einer beliebigen Bewegung an Gerät 102 (zum Beispiel unter Verwendung eines Beschleunigungsmessers in den Vorrichtungen 210), kann der Beschleunigungsmesser ein entsprechendes Signal an die PMU 220 über den Pfad 254 senden. Dieses Signal kann dann die PMU 220 anweisen, ein anderes Signal an den Anwendungsprozessor 200 zu senden, das dazu führt, dass die Anzeige eingeschalten wird, um für den Benutzer des Geräts 102 einige nützliche Informationen, wie die aktuelle Uhrzeit, auszugeben (als ein Beispiel).
Es wird ein anderes Szenario betrachtet, in dem das sichere Element 202 normalerweise in einen inaktiven Zustand versetzt ist. In Reaktion auf das Erfassen der Eingabe vom Benutzer, die die Absicht angibt, eine Finanztransaktion durchzuführen (manchmal als eine „Zahlungsaktivierungseingabe“ oder eine „Zahlungsinitiierungseingabe“ bezeichnet), können eine oder mehrere Komponenten in den Vorrichtungen 210 ein Signal an die PMU 220 über den Pfad 254 senden, was wiederum die PMU 220 anweist, ein Aufwachsignal an das sichere Element 202 über dem Pfad 260 zu senden. Nachdem das sichere Element 202 aufgeweckt wurde, können andere Operationen nachfolgend durchgeführt werden, um die Finanztransaktionen abzuschließen. Die Beispiele dienen nur der Veranschaulichung. Wenn gewünscht, kann die PMU 220 ausgestaltet sein, andere Arten von Benutzereingaben zu verarbeiten, um dem Gerät 102 die optimalen Leistungseinsparungen zu ermöglichen.
Mit weiterer Bezugnahme auf 4 kann die NFC-Steuereinheit 122 zwischen dem Anwendungsprozessor 200 und dem sicheren Element 202 angeordnet sein. Die NFC-Steuereinheit 222 kann einen Schnittstellenschaltkreis 242 aufweisen, um den Anwendungsprozessor 200 mit dem sicheren Element 202 zu verbinden (zum Beispiel über die Pfade 240 und 270). Der Pfad 240, der den Anwendungsprozessor 200 und die NFC-Steuereinheit 222 verbindet, kann unter Verwendung eines universellen asynchronen Empfänger/Sender-(UART-)Busses, eines universellen seriellen Busses (USB), eines seriellen ATA-(SATA-)Busses und/oder anderen geeigneten Arten von Computer-Bussen zum Verbinden eines Anwendungsprozessors mit einer Funknetzwerk-Steuereinheit implementiert werden. Andererseits kann der Pfad 270 die Kommunikation zwischen dem sicheren Element 202 und der NFC-Steuereinheit 222 unter Verwendung des Single Wire-Protokolls (SWP), dem kabelgebundenen NFC-Schnittstellen-(NFC-WI-)Protokoll, dem I²C-Protokoll oder einem anderen geeigneten Kommunikationsprotokoll zum Verbinden eines sicheren Elements mit einer Nahfeldkommunikationskomponente unterstützen.
Gemäß einer Ausführungsform kann der Anwendungsprozessor 200 als ein „vertrauenswürdiger Prozessor“ zur Kommunikation mit dem sicheren Element 202 über einen sicheren Kanal dienen. Während einer mobilen Zahlungstransaktion kann das sichere Element 202 eine verschlüsselte Version von kommerziellen Identifizierungsdaten, die auf dem sicheren Element gespeichert werden, extern an einen NFC-Leser an einem Händlerendgerät 108 (1) unter Verwendung eines NFC-Sendeempfängers 216 und Antenne(n) 82 in der Steuereinheit 222 weiterleiten. Die Antennen 218 können unter Verwendung beliebiger geeigneter Antennentypen ausgebildet werden. Zum Beispiel können die Antennen 218 Antennen mit Resonanzelementen aufweisen, die aus Schleifenantennenstrukturen, Musterantennenstrukturen, invertierten-F-Antennenstrukturen, Schlitzantennenstrukturen, planaren invertierten-F-Antennenstrukturen, spiralförmigen Antennenstrukturen, Hybriden dieser Gestaltungen usw. ausgebildet sind.
Dies dient jedoch nur der Veranschaulichung. Im Allgemeinen kann das Gerät 102 auch einer oder mehrere Basisbandprozessoren zum Verarbeiten der NFC-Protokolle aufweisen, Funkprotokolle für lokale Netzwerke (z. B. IEEE 802.11-Protokolle - manchmal als WiFi® bezeichnet), Protokolle für andere Funkkommunikationsverbindungen mit kurzer Reichweite, wie das Bluetooth®-Protokoll, Mobiltelefonprotokolle, Internetprotokolle MIMO-Protokolle, Antennendiversitätsprotokolle usw. Der Basisband-Verarbeitungsschaltkreis kann mit einem Nahfeldkommunikationsschaltkreis 216 verbunden sein, um Nahfeldkommunikationssignale auf 13,56 MHz zu erzeugen und zu empfangen, um die Kommunikation zwischen dem Gerät 10 und/oder einem Nahfeldkommunikationsleser oder einer anderen externen Nahfeldkommunikationsausstattung, einem Sendeempfänger-Schaltkreis für lokale Funknetzwerke zur Verarbeitung der 2,4 GHz- und 5 GHz-Bänder für die WiFi®-(IEEE 802.11-)Kommunikation und dem 2,4 GHz-Bluetooth®-Kommunikationsband und/oder andere geeignete Arten von Funksendern/Empfängern zum Unterstützen von Funkverbindungen mit kurzer Reichweite und Funkverbindungen mit hoher Reichweite. Das Gerät 102 kann gegebenenfalls ebenso einen Satellitennavigationssystemempfänger, einen Mobiltelefon-Sendeempfänger und/oder eine beliebige Art von Sender- und Empfänger-Schaltkreis aufweisen, der ausgestaltet ist, beliebige gewünschte Funkkommunikationsprotokolle zu unterstützen.
Mit weiterer Bezugnahme auf 4 kann das sichere Element (SE) 202 mit einen oder mehreren Anwendungen oder „Applets“ vorgesehen werden, die als Teil des Betriebssystems des sicheren Elements 202 ausgeführt werden (zum Beispiel als ein Plug-in für eine Java-Runtime-Umgebung, die auf dem SE 202 ausgeführt wird). Zum Beispiel kann das sichere Element 202 ein Authentifizierungsapplet 204 aufweisen, das kontaktlose Registrierungsdienste (CRS) bereitstellt, Daten, die an einen vertrauenswürdigen Prozessor gesendet und davon empfangen werden, verschlüsselt/entschlüsselt, ein oder mehrere Steuer-Flags im Betriebssystem des sicheren Elements 202 setzt und/oder ein oder mehrere zugehörige Zahlungsapplets 206 (zum Beispiel Zahlungsapplet 206-1, 206-2 usw.) auf dem sicheren Element 202 verwaltet. Das Authentifizierungsapplet 204 wird daher manchmal als ein CRS-Applet bezeichnet. Kommerzielle Identifizierungsdaten, die mit einer bestimmten Zahlungskarte verknüpft sind, können in einem besonderen „Container“ auf dem sicheren Element 202 gespeichert werden, der im Grunde die Instanziierung eines Zahlungsapplets kombiniert mit verschlüsselten Zahlungsdaten für diese Instanziierung ist. Wenn zum Beispiel zwei Visa-Karten auf dem sicheren Element bereitzustellen sind, würde ein Visa-Zahlungsapplet zweimal in zwei verschiedenen Containern auf dem sicheren Element instanziiert. Ein jeder Container kann einen eindeutigen Kennzeichner haben, der als eine Anwendungs-ID (oder AID) bekannt ist.
Das CRS-Applet 204 kann in einer Master- oder „Ausgeber-‟Sicherheitsdomain (ISD) im sicheren Element 202 ausgeführt werden, wohingegen das/die Zahlungsapplet(s) 206 in ergänzenden Sicherheitsdomains (SSDs) ausgeführt werden können. Zum Beispiel können Schlüssel und/oder andere geeignete Informationen zum Erstellen oder anderweitigem Bereitstellen von einem oder mehreren Identifizierungsdaten (zum Beispiel Identifizierungsdaten, die mit verschiedenen Kreditkarten, Bankkarten, Geschenkkarten, Zugangsdaten, Ticketkarten für öffentliche Verkehrsmittel usw. verknüpft sind) auf dem Gerät 102 und/oder zum Verwalten des Identifizierungsdateninhalts auf dem Gerät 102 auf dem CRS-Applet 204 gespeichert werden. Jedes Zahlungsapplet 206 kann mit bestimmten Identifizierungsdaten (zum Beispiel spezifischen Kreditkarten-Identifizierungsdaten, spezifischen Identifizierungsdaten für Tickets für öffentliche Verkehrsmittel usw.) verknüpft sein, die dem Gerät 102 bestimmte Berechtigungen oder Zahlungsrechte bereitstellen. Die Kommunikation zwischen diesen Sicherheitsdomains kann unter Verwendung unterschiedlicher Verschlüsselungs-/Entschlüsselungsschlüssel, die spezifisch für eine Sicherheitsdomain sind, verschlüsselt werden (zum Beispiel kann jede SSD einen eigenen Managerschlüssel haben, der mit einem jeweiligen Zahlungsapplet 206 verknüpft ist, das zur Aktivierung/Ermöglichung spezifischer Identifizierungsdaten auf dieser SSD zur Verwendung während einer NFC-basierten Transaktion an einem Händlerendgerät 108 verwendet wird).
In einer geeigneten Anordnung kann der Anwendungsprozessor 200 auf dem sekundären Benutzergerät 102 ausgestaltet sein, eine mobile Zahlungsanwendung auszuführen. Diese Zahlungsanwendung kann dem Benutzer ermöglichen, Kreditkarten, EC-Karten, Einzelhandelscoupons, Boardingkarten, Veranstaltungstickets, Kundenkarten, Geschenkkarten, Treuekarten, generische Karten und/oder andere Formen der mobilen Bezahlung zu speichern. Eine jede von diesen digitalen Karten, Coupons oder Tickets wird manchmal als ein „Pass“ bezeichnet. In der Folge wird die mobile Zahlungsanwendung manchmal als eine „Passbook“-Anwendung oder eine Digitale-Geldbörsen-(Wallet)-Anwendung bezeichnet. Die Passbook-Anwendung kann Pässe entsprechend den jeweiligen Zahlungsapplets 206 zur Verwendung bei der Durchführung einer Finanztransaktion aufweisen. Jeder Pass (im vorliegenden Dokument manchmal auch als ein Passbook-Pass, ein digitaler Geldbörsen-Pass usw. bezeichnet), kann sich entweder in einem aktivierten (oder personalisierten) Zustand oder einem deaktivierten (nicht personalisierten oder zu personalisierenden) Zustand befinden. Ein personalisierter Pass kann angeben, dass ein zugehöriges Zahlungsapplet 206 mit den gewünschten kommerziellen Identifizierungsdaten bereitgestellt wurde und zur Zahlung bereit ist. Ein nichtpersonalisierter Pass kann angeben, dass ein zugehöriges Zahlungsapplet 206 mit den erforderlichen kommerziellen Identifizierungsdaten noch nicht bereitgestellt wurde und daher nicht zur Zahlung bereit ist.
In einer geeigneten Ausführungsform kann das sichere Element 202 mit einem entsprechenden vertrauenswürdigen Prozessor, wie Prozessor 200, unter Verwendung eines Autorisierungsschlüssels oder „AuthKey“ gepaart werden. Diese Paarung eines sicheren Elements mit einem vertrauenswürdigen Prozessor unter Verwendung von AuthKey sollte nur einmal während der Herstellung dieser Komponenten erfolgen. Der AuthKey für ein gegebenes Paar aus sicherem Element und vertrauenswürdigem Prozessor kann basierend auf einem eindeutigen SEID 225 des sicheren Elements in dem gegebenen Paar und/oder einem eindeutigen Kennzeichner (UID) 224 des vertrauenswürdigen Prozessors in dem gegebenen Paar abgeleitet werden. Der AuthKey dient als ein geheimer Schlüssel auf Komponentenebene, der dem Benutzer nicht bekannt ist und der dazu dient, ein sicheres Element an einen entsprechenden Prozessor zu binden, sodass das sichere Element weiß, wem es vertraut (zum Beispiel trägt der AuthKey dazu bei, einen sicheren Kanal zwischen dem sicheren Element und dem zugehörigen Anwendungsprozessor 200 zu errichten).
Der AuthKey kann im sicheren Element gespeichert werden (zum Beispiel kann der AuthKEy von dem CRS-Applet 204 verwaltet werden), muss aber nicht auf dem Anwendungsprozessor 200 gespeichert werden. Der Anwendungsprozessor auf dem sekundären Benutzergerät 102 kann dazu ausgelegt sein, den AuthKey spontan, wenn er mit dem gepaarten sicheren Element kommunizieren muss, basierend auf wenigstens einem von dem eigenen UID 224 und/oder dem SEID 225, der aus dem zugehörigen sicheren Element erhalten wird, abzurufen.
Während der AuthKey das sichere Element 202 wirkungsvoll an den vertrauenswürdigen Prozessor 200 bindet, kann eine Zufallsautorisierungszahl „AuthRand“ verwendet werden, um den Benutzer an den vertrauten Prozessor 200 zu binden. AuthRand kann eine zufällig erzeugte Zahl sein, die auf der Benutzer-Keychain gespeichert wird (zum Beispiel kann AuthRand 229 als Teil der Keychain 228 gespeichert werden, die vom Anwendungsprozessor 200 gepflegt wird). Wie oben in Verbindung mit 1 beschrieben, kann die Benutzer-Keychain 228 Informationen aufweisen, die sich nur auf einen bestimmten Benutzer beziehen.
Wie in 5 dargestellt, kann AuthRand auch in dem sicheren Element gespeichert werden (zum Beispiel kann AuthRand 232 am CRS-Applet 204 verwaltet werden). Im Allgemeinen kann der vertrauenswürdige Prozessor ausgestaltet sein, einen neuen AuthRand-Wert zu erstellen und den neu erzeugten AuthRand-Wert in das zugehörige sichere Element 202 zu injizieren (zum Beispiel durch Überschreiben des alten AuthRand-Werts auf dem sicheren Element mit dem neu erzeugten AuthRand-Wert) in Reaktion auf das Erfassen einer Eigentumsänderung an der Benutzervorrichtung. Auf diese Weise betrieben, dient der vertrauenswürdige Prozessor (zum Beispiel der Anwendungsprozessor 200) dazu, jeglichen Eigentümerwechsel am Benutzergerät 102 lokal zu verfolgen, indem der Status der Benutzer-Keychain überwacht wird (als ein Beispiel). Ein beliebiges aktuell aktiviertes Zahlungsapplet 260 auf dem sicheren Element 202 sollte in Reaktion auf das Erfassen einer Injektion eines neuen AuthRand sofort für die Zahlung deaktiviert werden. In dieser Weise ausgestaltet, wird der Schutz von sensitiven Benutzeridentifizierungsdaten am sicheren Element verbessert, indem sichergestellt wird, dass ein neuer Benutzer, der Gerät 102 in der Folge von einem Eigentümerwechsel erhält (unabhängig davon, ob der Eigentümerwechsel beabsichtigt ist oder nicht), nicht dazu in der Lage ist, das neu erworbene Gerät zum Durchführen von mobilen Transaktionen mit kommerziellen Identifizierungsdaten, die mit dem ursprünglichen Benutzer verknüpft sind, zu verwenden. Im Allgemeinen kann der vertrauenswürdige Prozessor 200 mit einem Daemon des sicheren Elements (Sed) 226 vorgesehen werden, der jede Kommunikation mit dem sicheren Element 202 über die NFC-Steuereinheit 222 verarbeitet.
Mit weiterer Bezugnahme auf 4 kann das CRS-Applet 204 auch ein oder mehrere Steuer-Flags zur Verwendung bei der Aktivierung von Zahlungsapplets 206 auf dem sicheren Element 202 aufweisen. Zum Beispiel kann das CRS-Applet 104 ein Flag 236 „Taste gedrückt“ aufweisen. Das Flag 236 für die gedrückte Taste kann zur Angabe verwendet werden, ob der Benutzer eine Taste 17 auf dem Benutzergerät 102 gedrückt hat (siehe 2B). Zum Beispiel ist der Standardwert für das Flag der gedrückten Taste ,0'. Wenn das Gerät 102 erfasst hat, dass der Benutzer eine Taste 17 gedrückt hat, kann das Flag der gedrückten Taste auf einen Wert ,1' festgelegt werden (d. h., das Flag der gedrückten Taste kann gesetzt werden). In einer geeigneten Anordnung kann das Flag der gedrückten Taste nur auf ,1' gesetzt werden, wenn der Benutzer die Taste 17 zweimal drückt. In einer anderen geeigneten Anordnung kann das Flag der gedrückten Taste nur gesetzt werden, wenn der Benutzer eine Taste 17 dreimal drückt. In einer wiederum einer anderen geeigneten Anordnung kann das Flag der gedrückten Taste nur gesetzt werden, wenn der Benutzer die Taste 17 länger als 1 Sekunde, länger als 2 Sekunden, länger als 3 Sekunden usw. drückt.
Im Allgemeinen dient das Flag 236 als ein Flag, das als Reaktion darauf gesetzt wird, dass eine bestimmte Benutzereingabefolge zum Initiieren von Operationen erfasst wird, die durchgeführt werden müssen, damit das Gerät 102 eine mobile Zahlungstransaktion durchführt. Das Flag 236 der gedrückten Taste dient nur der Veranschaulichung und ist nicht dazu gedacht, den Umfang der vorliegenden Erfindung einzuschränken. Wenn gewünscht, können andere Möglichkeiten implementiert werden, um dem Benutzer die Initiierung einer Zahlung an einem Händlerendgerät zu ermöglichen. Zusätzlich oder alternativ kann das CRS-Applet 204 mit einem Flag „Fingerabdruck erfasst“ vorgesehen werden, das gesetzt wird, wenn ein Fingerabdrucksensor auf Geräten 102 den Fingerabdruck von einem berechtigten Benutzer erfasst, ein Flag „Wischgeste erfasst“, das gesetzt wird, wenn ein berührungsempfindlicher Bildschirm am Gerät 102 eine bestimmte Wischbewegung von dem berechtigten Benutzer empfängt, ein Flag „Tippen erfasst“, das gesetzt wird, wenn ein berührungsempfindlicher Bildschirm am Gerät 102 ein Doppeltippen von dem berechtigten Benutzer empfängt, ein Flag „Tasten gedrückt“, das gesetzt wird, wenn mehrere Tasten am Gerät 102 gleichzeitig von dem berechtigten Benutzer gedrückt werden, ein Flag „Sprachbefehl empfangen“, das gesetzt wird, wenn ein Mikrofon an der Vorrichtung 102 einen Sprachbefehl von dem berechtigten Benutzer erfasst (zum Beispiel, wenn der Benutzer „Zahlen“ sagt) und/oder andere geeignete Flags. Das Flag 236 kann daher manchmal allgemein als „Benutzereingabe“-Flag oder als Flag „Benutzereingabe empfangen“ bezeichnet werden.
Im Allgemeinen, wenn ein elektronisches Gerät von einem neuen Benutzer erworben wird, kann das elektronische Gerät den neuen Benutzer auffordern, ein Konto bei dem Dienstanbieter-Subsystem zu errichten (zum Beispiel Subsystem 112 in 1). Zum Beispiel kann dem Benutzer die Möglichkeit angeboten werden, eine Kontoidentifikation (ID) und ein entsprechendes Kennwort einzugeben, um ein neues Konto einzurichten. Sobald das Konto eingerichtet wurde, kann das Gerät als für den Benutzer personalisiert betrachtet werden und der Benutzer kann nun das Gerät betreiben, um Musik wiedergeben, Fotos/Videos zu erfassen, Sprachmemos aufzuzeichnen, Kontaktinformationen zu speichern, Multimedianachrichten zu senden/zu empfangen, im Internet browsen, Kalender, Notizen, Erinnerungen und andere Dokumente anzeigen/verarbeiten, Geräteeinstellungen ändern, eine oder mehrere Zahlungskarten auf dem Gerät bereitstellen, Medien von einem Online-Laden kaufen/mieten, Anwendungen von einem Online-Laden kaufen/mieten und/oder auf andere Dienstleistungen zugreifen, die von dem Dienstanbieter-Subsystem angeboten werden. In wenigstens einigen Ausführungsformen können beliebige Informationen, die auf den Benutzer und das Benutzergerät bezogen sind, auf einem netzwerkbasierten Dienstmodul (zum Beispiel Modul 118 in 1) als Backup gespeichert werden.
Damit der Benutzer in der Lage ist, Zahlungskarten auf dem Benutzergerät bereitzustellen, muss der Benutzer unter Umständen eine Kennwortsperrfunktion auf dem Gerät aktivieren. Die Kennwortsperrfunktion würde, im Falle der Aktivierung, erfordern, dass der Benutzer einen vierstelligen Kennwort eingibt, um die Vorrichtung vollständig betreiben zu können (als ein Beispiel). Dies dient jedoch nur der Veranschaulichung. Der Benutzer kann angewiesen werden, ein Kennwort einzugeben, das kürzer als vier Stellen in der Länge ist, einen Kennwort, das länger als für Stellen in der Länge ist, oder ein Kennwort, das Zahlen, Buchstaben und/oder Symbole in einer beliebigen Länge aufweist. Im Allgemeinen kann jede Form von Authentifizierungsverfahren implementiert werden. Wenn der Benutzer nicht dazu in der Lage ist, das korrekte Kennwort bereitzustellen, bleibt das Gerät in Sperrzustand, in dem nur auf eine beschränkte Funktion, wie eine Notruffunktion, zugegriffen werden kann (als ein Beispiel). Wenn der Benutzer dazu in der Lage ist, das korrekte Kennwort vorzusehen, wird das Gerät vorübergehend in einen entsperrten Zustand versetzt, in dem der Benutzer auf alle normalen Funktionen des Geräts zugreifen kann.
Wenn der Benutzer eine bestimmte Aufgabe mit dem Gerät ausgeführt hat, kann der Benutzer dem Gerät signalisieren, in den Sperrzustand zurückzukehren (zum Beispiel durch Drücken einer Taste auf dem Gerät). Das Gerät kann auch automatisch in den Sperrzustand zurückkehren, wenn das Gerät für eine bestimmte Zeitspanne im Leerlauf war (zum Beispiel kann das Gerät automatisch gesperrt werden, wenn das Gerät länger als 30 Sekunden, länger als 1 Minute, länger als 2 Minuten usw. im Leerlauf war). Die Kennwort-Funktion dient zum Schutz beliebiger Benutzerinformationen, auf die normalerweise über die Vorrichtung zugegriffen werden kann, da nur der dazu berechtigte Benutzer in der Lage sein sollte, sein oder ihr Gerät zu entsperren. Das Kennwort kann lokal auf dem Anwendungsprozessor (zum Beispiel in der Keychain 228 auf dem Anwendungsprozessor 200) gepflegt werden und/oder kann entfernt auf den Dienstanbieter-Subsystem gespeichert werden.
Die Erfordernis, dass der Benutzer ein Kennwort eingeben muss, kann daher dazu beitragen, sicherzustellen, dass der aktuelle Benutzer der beabsichtigte berechtigte Benutzer des Geräts ist, unter der Annahme, dass nur der berechtigte Benutzer Zugriff auf das korrekte Kennwort hat. Im Kontext der mobilen Zahlungen sollte nur der berechtigte Benutzer dazu in der Lage sein, eine beliebig der Finanztransaktionen mit einem Gerät, das mit seinen oder ihren kommerziellen Identifizierungsdaten vorgesehen wurde, durchzuführen. Es ist daher erstrebenswert, dass ein elektronisches Gerät, wie das Gerät 10 von 2A oder das Gerät 102 von 2B, von einem Benutzer anfordert, das Kennwort wenigstens einmal bei der Verwendung des Geräts einzugeben.
5 ist ein Ablaufdiagramm der veranschaulichenden Schritte, die bei der Aktivierung eines Benutzergeräts, wie dem Benutzergerät 102, zur mobilen Zahlung beteiligt sind. In Schritt 300 kann die Benutzervorrichtung 102 in einen Sperrzustand versetzt werden. Bei Empfangen eines korrekten Kennworts vom berechtigten Benutzer kann das Benutzergerät in einen entsperrten Zustand versetzt werden (Schritt 302). Während Schritt 302 kann der Anwendungsprozessor 200 im Gerät 102 die SEID aus dem sicheren Element abrufen und kann den Zufallsadressierungswert AuthRand aus der Benutzer-Keychain abrufen. Im Allgemeinen kann der Schritt 302 jederzeit durchgeführt werden, bevor eine Zahlungstransaktion abgeschlossen ist.
In Schritt 304 kann das Gerät 102 ausgestaltet sein, auf ein Zahlungsaktivierungs-Auslöseereignis von dem berechtigten Benutzer zu warten (zum Beispiel kann das Gerät 102 ausgestaltet sein, auf eine bestimmte Benutzereingabefolge oder Aktion zu überwachen, die die Absicht des Benutzers, eine Zahlung zu initiieren, klar anzeigt). Zum Beispiel kann das Gerät 102 warten, dass der Benutzer einen Doppeldruck auf eine der Tasten 17 (siehe 2 B) absetzt, um eine bestimmte Wischbewegung auf der berührungsempfindlichen Anzeige 15 abzusetzen, um ein Doppeltippen auf der berührungsempfindlichen Anzeige 15 abzusetzen, einen Sprachbefehl und/oder eine geeignete Aktion abzusetzen, die vom Benutzer am Gerät 102 absichtlich vorgenommen werden kann.
Diese Erfordernis für das Gerät 102, eine bestimmte Zahlungsinitiierungseingabe vom Benutzer zu empfangen, kann dazu beitragen, das Auftreten von unbeabsichtigten mobilen Zahlungstransaktionen von einem autorisierten Benutzer zu vermeiden. Es wird ein Szenario betrachtet, in dem ein Benutzer das Gerät bereits entsperrt hat, aber derzeit keine Finanztransaktionen durchzuführen wünscht. Wenn ein solcher Benutzer versehentlich das entsperrte Gerät in eine ausreichende Nähe zu einem Händlerendgerät bringt, kann möglicherweise eine unbeabsichtigte mobile Zahlungstransaktion durchgeführt werden. Solche Szenarien können vermieden werden, wenn der Benutzer eine beabsichtigte Handlung durchführen muss, um dem Gerät anzugeben, dass er oder sie die Bezahlung tatsächlich ausführen möchte.
In Reaktion auf das Empfangen einer gewünschten Zahlungsauslöseeingabe von dem Benutzer kann das Gerät 102 fortfahren, ein Auslöseereignis zu validieren und das entsprechende Steuer-Flag auf dem CRS-Applet im sicheren Element festlegen (Schritt 306). In Schritt 308 kann das CRS-Applet ein ausgewähltes Zahlungsapplet 160 zur Zahlung authentifizieren und einen Timer starten. Der Timer kann dazu verwendet werden, eine Zeitspanne vorzugeben, in der die mobilen Zahlungstransaktionen zulässig sind, solange das Benutzergerät innerhalb des Felds des Händlerendgeräts gebracht wird. Zum Beispiel können dem Benutzer 10 Sekunden nach der Aktivierung eines Auslöseereignisses gewährt werden, um das Gerät in das Feld des Lesers zu bringen. Als anderes Beispiel können dem Benutzer 20 Sekunden nach der Aktivierung eines Auslöseereignisses gewährt werden, um das Gerät in das NFS-Leserfeld zu bringen. Im Allgemeinen kann der Timer ausgestaltet sein, ein Zeitlimit von einer beliebigen Dauer vorzusehen.
Während Schritt 308 kann das sichere Element ein Kartenkryptogramm an den Anwendungsprozessor senden und der Anwendungsprozessor kann mit einem Host-Kryptogramm antworten. Als ein Beispiel können die Karten- und Host-Kryptogramme mit einem Chiffre-basierten Nachrichtenauthentifizierungscode-(CMAC-)Algorithmus verschlüsselt werden, der die Authentizität der Daten sichergestellt, die zwischen dem Anwendungsprozessor und dem sicheren Element ausgetauscht werden. Die Karten- und Host-Kryptogramme können zum Beispiel Daten aufweisen, die mit einem AuthKey verschlüsselt werden, auf das nur vom sicheren Element und dem dazugehörigen vertrauenswürdigen Prozessor zugegriffen werden kann. Auf diese Weise betrieben, dient der Austausch der Kryptogramme zur Verifizierung, dass der Anwendungsprozessor mit dem richtigen sicheren Element kommuniziert und dass das sichere Element mit seinem vertrauenswürdigen Prozessor kommuniziert.
In Schritt 310 kann das Gerät 102 genutzt werden, um die gewünschte Transaktion durchzuführen, während das Benutzergerät sich innerhalb des Felds befindet, das von dem NFC-Leser am Händlerendgerät erzeugt wird (unter der Annahme, dass der Timer nicht abgelaufen ist). Wenn jedoch der Timer abläuft, bevor der Benutzer eine Möglichkeit hatte, das Gerät in das Leserfeld zu bringen, wird keine Zahlung abgeschlossen. In beiden Szenarien kehrt die Verarbeitung zu Schritt 304 zurück, um auf ein weiteres Zahlungsaktivierungs-/-initiierungs-Auslöseereignis zu warten, wie durch Pfad 312 angegeben.
6 veranschaulicht den Informationsfluss zwischen den verschiedenen Komponenten im Gerät 102 beim Durchführen der Schritte von 5. In Schritt 400 kann das Gerät 102 durch den berechtigten Benutzer entsperrt werden (zum Beispiel kann der berechtigte Benutzer das korrekte Kennwort eingeben). Das Kennwort kann mittels der Keychain auf dem Anwendungsprozessor (AP) verifiziert werden und als Reaktion darauf kann der Anwendungsprozessor das Benutzergerät in den entsperrten Zustand versetzen.
In Schritt 402 kann der Anwendungsprozessor eine Anforderung „SEID abrufen“ (Get SEID) an das sichere Element senden. Wie oben in Zusammenhang mit 4 beschrieben, kann eine beliebige Nachricht, die zwischen dem Anwendungsprozessor und dem sicheren Element übertragen wird, von dem Sicheren Element-Daemon (Sed) verarbeitet werden und kann durch die NFC-Steuereinheit 222 hindurch gehen. In Reaktion auf das Empfangen der Anforderung GET SEID vom Anwendungsprozessor, kann das sichere Element seinen SEID im verschlüsselten Format zurücksenden.
In Schritt 406 kann der Anwendungsprozessor am Gerät 102 die zufällige Autorisierungszahl AuthRand aus der Benutzer-Keychain abrufen. Da AuthRand durch die Benutzer-Keychain geschützt ist, kann auf AuthRand nur zugegriffen werden, nachdem in Schritt 400 ein korrektes Kennwort bereitgestellt wurde.
Wie in 6 dargestellt, sind die Schritte 400, 402, 404 und 406 zusammen als die Schritte 399 gruppiert.
Im Allgemeinen können die Schritte 399 jederzeit durchgeführt werden, wenn das Gerät für eine längere Zeitspanne im Leerlauf war. Es ist zum Beispiel ein Szenario zu betrachten, in dem das Gerät 102 eine Armbanduhrvorrichtung ist, die der Benutzer am Ende des Tages abnimmt und die der Benutzer zu Beginn des Tages wieder an sein/ihr Handgelenk anlegt. In diesem Beispiel können die Schritte 399 nur zu Tagesbeginn durchgeführt werden, wenn der Benutzer das Gerät anlegt (zum Beispiel sollte der Benutzer nicht das Kennwort wiederholt im Laufe des Tages, solange sich die Vorrichtung am Handgelenk befindet, eingeben müssen).
Es kann für den Benutzer erstrebenswert sein, die Schritte 399 nur einmal pro Tag durchzuführen, da es mühsam sein kann, das Kennwort mehrere Male am Tag wiederholt einzugeben. Anders ausgedrückt, können die Schritte 399 einmal ausgeführt werden, wenn der Benutzer das Gerät erhält und sollten nur erneut ausgeführt werden, wenn ein Ereignis eintritt, dass möglicherweise zu einem Wechsel im Besitz des Geräts führen kann (zum Beispiel sollte ein beliebiges Szenario, in dem es möglich ist, dass das Gerät im Besitz eines Benutzers ist, der sich vom ursprünglichen berechtigten Benutzer unterscheidet, auslösen, dass das Gerät in den Sperrzustand versetzt wird) .
Zu einem beliebigen Zeitpunkt kann das Gerät 102 eine beabsichtigte Benutzereingabe an einer E/A-Vorrichtung 210 empfangen, die die klare Absicht des Benutzers zeigt, eine mobile Zahlungstransaktion durchzuführen. In Schritt 410 kann die E/A-Vorrichtung 200 ein entsprechendes Benutzereingabe-Auslösesignal an die Leistungsverwaltungseinheit senden. In wenigstens einigen Ausführungsformen kann die beabsichtigte Benutzereingabe ein Tastendruckereignis, wie ein Tastendoppeldruckereignis, sein. Jede Beschreibung, die sich auf ein Tastendruckereignis zum Auslösen einer Zahlungsaktivierung im vorliegenden Dokument bezieht, ist nur veranschaulichend und dient nicht dazu, den Umfang der vorliegenden Erfindung einzuschränken. Wie oben beschrieben, kann jede andere Art von Benutzereingabe verwendet werden, um die Aktivierung des sicheren Elements auszulösen.
In Reaktion auf das Erfassen der korrekten Benutzereingabe, kann die Leistungsverwaltungseinheit fortfahren, um den Anwendungsprozessor aufzuwecken, in dem ein Aktivierungssignal AP_EN auf Pfad 252 gesetzt wird (siehe 4). Der Anwendungsprozessor kann normalerweise in einen Leerlaufzustand versetzt werden, wenn der Anwendungsprozessor nicht aktiv Anwendungen auf dem Gerät 102 ausführt. In Schritt 414 kann die Leistungsverwaltungseinheit dann ein gesetztes Benutzereingabe-Authentifizierungssignal Auth/ an das sichere Element auf einem der Pfade 260 ausgeben. Wenn das sichere Element erkennt, dass Auth/ gesetzt ist, wurde das Zahlungsaktivierungs-Auslöseereignis verifiziert, und das sichere Element kann dann fortfahren, um das Flag für die gedrückte Taste hochzusetzen (in Schritt 416). Nachdem das Flag für die gedrückte Taste hochgesetzt wurde (oder das Steuer-Flag „Benutzereingabe empfangen“ mithilfe des CRS-Applets gesetzt wurde), kann das sichere Element ein Statuswort des Tastendruck-Aktivierungsereignisses (oder eine Benachrichtigung „Benutzereingabe empfangen“) an den Anwendungsprozessor senden, um den Anwendungsprozessor zu benachrichtigen, dass eine gültige Benutzerzahlungs-Aktivierungseingabe empfangen wurde (in Schritt 418).
Wie in 6 dargestellt, sind die Schritte 410, 412, 414, 416 und 418 zusammen als die Schritte 409 gruppiert. Im Allgemeinen können die Schritte 409 jederzeit durchgeführt werden, wenn das Gerät eine gültige Benutzerzahlungs-Aktivierungseingabe von Benutzer empfängt.
In Reaktion auf das Empfangen der Tastendruck-Aktivierungsbenachrichtigung vom sicheren Element kann der Anwendungsprozessor fortfahren, um den AuthKey unter Verwendung der eigenen UID und/oder unter Verwendung des in Schritt 404 empfangenen SEID abzuleiten. Der Anwendungsprozessor kann mit diesem abgeleiteten AuthKey in wirksamer Weise einen sicheren Kanal mit dem sicheren Element einrichten.
In Schritt 422 kann der Anwendungsprozessor eine Authentifizierungsinitialisierungsanweisung an das CRS-Applet im sicheren Element senden. Während dieses Schritts kann der Anwendungsprozessor auch eine erste Zufallszahl an das sichere Element senden. Der Anwendungsprozessor wird manchmal auch als Host-Prozessor bezeichnet; in solchen Szenarien wird die vom Anwendungsprozessor erzeugte erste Zufallszahl manchmal als „Host-Challenge“ bezeichnet. Die Host-Challenge ist nicht das gleiche wie die Zufallszahl AuthRand.
In Reaktion auf das Empfangen der Host-Challenge vom Anwendungsprozessor kann das sichere Element antworten, indem es ein Kartenkryptogramm an den Anwendungsprozessor sendet (in Schritt 424). In einer geeigneten Anordnung kann das Kartenkryptogramm den empfangenen Host-Challenge, eine zweite Zufallszahl, die vom sicheren Element erzeugt wird (manchmal im vorliegenden Dokument als ein „Karten-Challenge“ oder ein „Challenge des sicheren Elements“ bezeichnet), die lokal im sicheren Element gespeicherte AuthRand (zum Beispiel AuthRand 232 am CRS-Applet 204 in 4) und andere geeignete Steuer-Bit aufweisen. Die SE-Challenge ist nicht das gleiche wie die Zufallszahl AuthRand. Also als ein Beispiel kann das Kartenkryptogramm unter Verwendung des CMAC-Algorithmus verschlüsselt werden, der vom National Institute of Standards and Technology (NIST) veröffentlicht wurde. In wenigstens einigen Anordnungen kann der CMAC-Algorithmen wenigstens den AuthKey verwenden, um das Kartenkryptogramm zu verschlüsseln.
Wenn der Anwendungsprozessor das Kartenkryptogramm an dem sicheren Element empfängt, kann der Anwendungsprozessor das Kartenkryptogramm unter Verwendung des eigenen abgeleiteten AuthKey entschlüsseln (zum Beispiel der in Schritt 420 abgeleitete AuthKey) und kann ausgestaltet sein, wenigstens den AuthRand-Wert im Kartenkryptogramm mit dem lokal abgerufenen AuthRand zu vergleichen (zum Beispiel den aus der Benutzer-Keychain in Schritt 406 abgerufenen AuthRand-Wert). Wenn die AuthRand-Werte übereinstimmen, dann ist der Anwendungsprozessor in der Lage, die Authentifizierung des sicheren Elements zur Zahlung fortzusetzen.
In Schritt 426 kann der Anwendungsprozessor ein Host-Kryptogramm an das sichere Element senden. Das Host-Kryptogramm kann zum Beispiel die Host-Challenge, die empfangene SE-Challenge, den lokalen AuthRand-Wert davon (zum Beispiel den in Schritt 406 abgerufenen AuthRand-Wert) und andere geeignete Steuer-Bit aufweisen. Das Host-Kryptogramm kann auch mit dem CMAC-Algorithmus unter Verwendung des abgeleiteten AuthKey verschlüsselt werden.
Wenn das sichere Element das Host-Kryptogramm vom Anwendungsprozessor empfängt, kann das sichere Element das Host-Kryptogramm unter Verwendung des AuthKEy am CRS-Applet entschlüsseln und kann den empfangenen AuthRand-Wert im Host-Kryptogramm mit dem eigenen im CRS-Applet gespeicherten AuthRand-Wert vergleichen. Wenn die AuthRand-Werte übereinstimmen, dann setzt das sichere Element die Verarbeitung fort, um ein ausgewähltes Zahlungsapplet für eine Finanztransaktion vorübergehend zu aktivieren (in Schritt 428). Wie oben zuvor in Verbindung mit 5 beschrieben, kann zu diesem Zeitpunkt ein Timer gestartet werden, um dem Benutzer eine Möglichkeit zu bieten, das Gerät innerhalb des Leserfelds zu bringen, um eine Finanztransaktion mit dem aktivierten Zahlungsapplet durchzuführen. Das Host-Kryptogramm kann daher als eine autorisierte NFC-Aktivierungsanforderung dienen, die das sichere Element anweist, ein Zahlungsapplet zu aktivieren. Der Akt der Aktivierung eines Zahlungsapplets zum Durchführen einer Transaktion wird manchmal als eine vorübergehende Aktivierungsoperation bezeichnet. Wenn eine mobile Zahlungstransaktion vollständig ist (oder wenn der Timer abläuft), kann das aktuell aktivierte Zahlungsapplet mithilfe des CRS-Applets deaktiviert werden (Schritt 430).
Wie in 6 dargestellt, sind die Schritte 420, 422, 424, 426, 428 und 430 zusammen als die Schritte 419 gruppiert. Im Allgemeinen können die Schritte 419 jederzeit durchgeführt werden, wenn der Anwendungsprozessor eine Tastendruck-Aktivierungsbenachrichtigung (oder eine andere gültige Benutzerzahlungaktivierungs-Meldung) vom sicheren Element empfängt.
Wie oben beschrieben, hängt ein großer Teil bei der Ausrüstung des Benutzergeräts 102 zur Durchführung einer mobilen Zahlungstransaktion von der Fähigkeit ab, eine bewusste Benutzereingabe, wie einen Tastendoppeldruck exakt zu erfassen (als ein Beispiel). Das Erfassen einer solchen Benutzereingabe kann von der Leistungsverwaltungseinheit gehandhabt werden (zum Beispiel PMU 220 in 4). Im Allgemeinen kann die Leistungsverwaltungseinheit eine nicht neue konfigurierbare digitale Zustandsmaschine sein, die de-facto keine Software ausführt. Da die Leistungsverwaltungseinheit de-facto keine Software ausführt, kann die Leistungsverwaltungseinheit nicht einfach gehackt werden. In der Folge ist es für Schadsoftware (oder „Malware“) schwierig, die PMU zu steuern, um falsche Benachrichtigungen an entweder den Anwendungsprozessor und/oder das sichere Element zu senden.
7 ist ein Zeitablaufdiagramm, das eine Folge von Ereignissen darstellt, die durch eine Zahlungsaktivierungs-Benutzereingabe ausgelöst werden. Diese Ereignisse können wenigstens teilweise den Schritten 409 von 6 entsprechen. Zum Zeitpunkt t1 kann die Leistungsverwaltungseinheit einen Tastendoppeldruck erfassen (zum Beispiel kann die Leistungsverwaltungseinheit ein Tastendoppeldruck-Auslösesignal von den Eingabe-Ausgabe-Vorrichtungen 210 über Pfad 254 empfangen). In Reaktion auf das Empfangen dieses Auslösers kann die Leistungsverwaltungseinheit vorübergehend das Signal AP_EN auf Pfad 252 setzen, um den Anwendungsprozessor aufzuwecken und Auth/ zu setzen (zum Beispiel um /Auth niedrig anzusteuern). Das Signal Auth/ kann nur gesetzt werden, wenn die gewünschte Zahlungsaktivierungs-Benutzereingabe von der PMU erfasst wurde. Während der Anwendungsprozessor wach ist, kann die Leistungsverwaltungseinheit dann eine Lese-Tastendruck-Ereignis-Anweisung an den Anwendungsprozessor über den I²C-Bus 250 senden.
Zum Zeitpunkt t2 kann der Anwendungsprozessor eine entsprechende Anweisung über Pfad 250 an die Leistungsverwaltungseinheit senden, die die Leistungsverwaltungseinheit anweist, das sichere Element zu aktivieren. Dieser Befehl kann die Leistungsverwaltungseinheit anweisen, das Leistungssignal PWR und das Aktivierungssignal SE_EN zu setzen, um Leistung bereitzustellen und das sichere Element aus dem Schlafmodus aufzuwecken.
Einige Zeit, nachdem das sichere Element aufgewacht ist (zum Zeitpunkt t₃), kann das sichere Element bestimmen, ob die erfasste Benutzereingabe die bestimmte gültige Zahlungsaktivierungs-Benutzereingabe ist, indem der Wert von Auth/ geprüft wird. Wenn Auth/ gesetzt ist, dann bestätigt das sichere Element ein gültiges Auslöseelement, setzt das Flag für die gedrückte Taste und sendet eine entsprechende Tastendruck-Aktivierungsbenachrichtigung an den Anmeldungsprozessor (siehe Schritt 418 von 6). Vor dem tatsächlichen Empfang der Tastendruck-Aktivierungsbenachrichtigung vom sicheren Element kann die Leistungsverwaltungseinheit Auth/ und AP_EN setzen, um den Anwendungsprozessor zu benachrichtigen (zum Zeitpunkt t₄). Indem das Steuersignal Auth/ nur in ausgewählter Weise gesetzt wird, steuert die Leistungsverwaltungseinheit, ob es dem sicheren Element gestattet ist, das Flag für die gedrückte Taste festzulegen, und ob es dem sicheren Element gestattet ist, das Statuswort zur Tastendruckaktivierung an den Anwendungsprozessor zu senden (zum Beispiel kann das sichere Element ausgestaltet sein, um das Flag für die gedrückte Taste weiterhin als nicht gesetzt zu halten, wenn Auth/ zum Zeitpunkt t₃ nicht gesetzt ist).
8 ist ein Ablaufdiagramm, das die Folge von Ereignissen, die in Zusammenhang mit 7 beschrieben wurden, kurz zusammenfasst. Bei Schritt 500 kann die Leistungsverwaltungseinheit ein Tastendoppeldruckereignis erfassen (oder eine andere Benutzerzahlungs-Aktivierungseingabe). In Schritt 502 kann die Leistungsverwaltungseinheit den Anwendungsprozessor aufwecken und Auth/ für eine bestimmte Zeitspanne setzen.
In Schritt 504 kann der Anwendungsprozessor erkennen, dass die Leistungsverwaltungseinheit ein Tastendoppeldruckereignis vom Benutzer erfasst hat und kann die Leistungsverwaltungseinheit anweisen, das sichere Element zu aktivieren. Nachdem das sichere Element aktiviert wurde, und wenn das sichere Element ein bestätigtes Auth/ empfängt, kann das sichere Element fortfahren, das Tastendruckereignis zu validieren, indem das Flag der gedrückten Taste gesetzt wird und indem ein Statuswort für die Tastendruckaktivierung an den Anwendungsprozessor gesendet wird, was wiederum den Anwendungsprozessor anweist, die Schritte 419 durchzuführen (6).
Die in 5 bis 8 beschriebenen Operationen zum Sicherstellen, dass der berechtigte Benutzer de-facto im Besitz des elektronischen Geräts ist, und um eine gültige Benutzereingabe zu erfassen, die eine temporäre Aktivierung eines ausgewählten Zahlungsapplets auslöst, sind nur veranschaulichend und dienen nicht dazu, den Umfang der vorliegenden Erfindung einzuschränken. Im Allgemeinen können die im vorliegenden Dokument beschriebenen Ansätze auf ein beliebiges Gerät erweitert werden, das ein sicheres Element hat und können zum Erfassen einer beliebigen anderen Art der Benutzereingabe verwendet werden.
Wenngleich die Verfahren der Operationen in einer bestimmten Reihenfolge beschrieben wurden, versteht es sich, dass andere Operationen zwischen den beschriebenen Operationen durchgeführt werden können, die beschriebenen Operationen angepasst werden können, sodass sie zu etwas anderen Zeiten auftreten können oder die beschriebenen Operationen in einem System verteilt sein können, das das Auftreten von Verarbeitungsoperationen in verschiedenen zur Verarbeitung gehörenden Zeitintervallen ermöglicht, solange wie die Verarbeitung der Overlayoperationen in einer gewünschten Weise durchgeführt werden.
Gemäß einer Ausführungsform ist ein elektronisches Gerät mit einem Prozessor, der mit dem sicheren Element kommuniziert, wobei das vorgesehen, das ausgestaltet ist, um in Reaktion darauf, dass das elektronische Gerät eine Zahlungsinitiierungseingabe empfängt, das sichere Element zu verwenden, um eine Benachrichtigung an den Prozessor zu senden, die angibt, dass die Zahlungsinitiierungseingabe empfangen wurde, und in Reaktion darauf, dass der Prozessor die Benachrichtigung von dem sicheren Element empfängt, das sichere Element zur Kommunikation mit dem Prozessor zu verwenden, um das sichere Element vorübergehend für die Zahlung zu aktivieren.
Gemäß einer anderen Ausführungsform weist das sichere Element einen zugeordneten Sicheren-Element-Kennzeichner (SEID) auf, wobei das elektronische Gerät mit dem sicheren Elementausgestaltet ist, um eine Anforderung vom Prozessor zu empfangen und in Reaktion auf das Empfangen der Anforderung vom Prozessor mit dem sicheren Element den Sichere-Element-Kennzeichner an den Prozessor zu senden.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum, in Reaktion darauf, dass das elektronische Gerät die Zahlungsinitiierungseingabe empfängt, Verwenden eines kontaktlosen Registrierungsdienst-(CRS)-Applets auf dem sicheren Element, um ein Steuer-Flag zu setzen.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet, um eine Eingabemeldung von einer Leistungsverwaltungseinheit (PMU) in dem elektronischen Gerät zu empfangen.
Gemäß einer andern Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements in Reaktion auf das Empfangen der Eingabemeldung von der Leistungsverwaltungseinheit, um die Zahlungsinitiierungseingabe zu realisieren, dass die Benachrichtigung vom sicheren Element an den Prozessor nur gesendet wird, wenn das sichere Element dazu in der Lage ist, die Zahlungsinitiierungseingabe erfolgreich zu validieren.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements zur Kommunikation mit dem Prozessor zum vorübergehenden Aktivieren des sicheren Elements für eine Zahlung, dass eine Authentifizierungsinitialisierungsanforderung vom Prozessor mit dem sicheren Element empfangen wird.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements zur Kommunikation mit dem Prozessor, um vorübergehend das sichere Element für eine Zahlung zu aktivieren, dass eine erste Zufallszahl vom Prozessor mit dem sicheren Element empfangen wird.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements zur Kommunikation mit dem Prozessor, um das sichere Element für eine Zahlung vorübergehend zu aktivieren, , dass ein Kartenkryptogramm an den Prozessor mit dem sicheren Element gesendet wird, wobei das Kartenkryptogramm die erste Zufallszahl und eine zweite Zufallszahl aufweist.
Gemäß einer anderen Ausführungsform weist das Kartenkryptogramm weiterhin eine Zufallsautorisierungszahl auf, die lokal auf dem sicheren Elements gespeichert wird.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements zur Kommunikation mit dem Prozessor, um das sichere Element vorübergehend für eine Zahlung zu aktivieren, dass ein Host-Kryptogramm vom Prozessor mit dem sicheren Element empfangen wird, wobei das Host-Kryptogramm die erste Zufallszahl, die zweite Zufallszahl und eine Autorisierungszufallszahl aufweist, die in einer Benutzer-Keychain im Prozessor gespeichert ist.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements zur Kommunikation mit dem Prozessor, um das sichere Element vorübergehend zur Zahlung zu aktivieren, die Bestimmung, ob die Aktivierung eines Zahlungsapplets auf dem sicheren Element fortgesetzt werden soll, indem wenigstens ein Abschnitt des empfangenen Host-Kryptogramms mit dem sicheren Element analysiert wird.
Gemäß einer anderen Ausführungsform ist das elektronische Gerät ausgestaltet zum Verwenden des sicheren Elements zur Kommunikation mit dem Prozessor, um das sichere Element vorübergehend für die Zahlung zu aktivieren, in Reaktion auf die Bestimmung auf, dass der Abschnitt des Host-Kryptogramms die Gestaltungskriterien erfüllt, das Verwenden eines kontaktlosen Registrierungsdienst-(CRS-)Applets auf dem sicheren Element auf, um das Zahlungsapplet für eine bestimmte Zeitspanne zu aktivieren.
Gemäß einer Ausführungsform wird ein tragbares elektronisches Gerät, das ein sicheres Element zum Speichern von Benutzeridentifizierungsdaten aufweist, und einem Schaltkreis vorgesehen, der ausgestaltet ist, eine Benachrichtigung von dem sicheren Element bei Empfang einer bestimmten Benutzereingabefolge von der elektronischen Vorrichtung zum Initiieren einer mobilen Zahlungstransaktion zu empfangen, und ausgestaltet ist, mit dem sicheren Element zu kommunizieren, um das sichere Element vorübergehend zur Zahlung zu aktivieren.
Gemäß einer anderen Ausführungsform weist das tragbare elektronische Gerät eine Leistungsverwaltungseinheit auf, die ausgestaltet ist, die vorbestimmte Benutzereingabefolge zu erfassen und das sichere Element und den Prozessor in Reaktion auf das Erfassen der bestimmten Benutzereingabefolge zu benachrichtigen.
Gemäß einer anderen Ausführungsform ist das sichere Element ausgestaltet, den Verarbeitungsschaltkreis mit einem Sicheren Elementkennzeichner (SEID) bereitzustellen, wobei der Verarbeitungsschaltkreis ausgestaltet ist, einen Authentifizierungsschlüssel unter Verwendung von zumindest des Sicheren Element-Kennzeichners abzuleiten, und der Verarbeitungsschaltkreis ausgestaltet ist, einen sicheren Kanal mit dem sicheren Element unter Verwendung des Authentifizierungsschlüssels zu errichten.
Gemäß einer anderen Ausführungsform ist der Verarbeitungsschaltkreis ausgestaltet, einen ersten Autorisierungszufallswert zu speichern, und das zweite Element ist ausgestaltet, einen zweiten Autorisierungszufallswert zu speichern.
Gemäß einer anderen Ausführungsform ist das sichere Element weiterhin ausgestaltet, ein Kartenkryptogramm an den Verarbeitungsschaltkreis zu senden und das Kartenkryptogramm weist den zweiten Autorisierungszufallswert auf.
Gemäß einer anderen Ausführungsform ist das sichere Element weiterhin ausgestaltet, ein Host-Kryptogramm von dem Verarbeitungsschaltkreis zu empfangen und das Host-Kryptogramm weist den ersten Autorisierungszufallswert auf.
Gemäß einer andern Ausführungsform weist das tragbare elektronische Gerät eine Armbanduhrvorrichtung auf.
Gemäß einer Ausführungsform ist ein elektronische Gerätvorgesehen, das eine Eingabe-Ausgabe-Vorrichtung, eine Leistungsverwaltungseinheit und ein sicheres Element aufweist, wobei das elektronische Gerät ausgestaltet ist zum Empfangen einer Benutzereingabe mit der Eingabe-Ausgabe-Vorrichtung, Senden eines entsprechenden Auslösesignals von der Eingabe-Ausgabe-Vorrichtung an die Leistungsverwaltungseinheit in Reaktion auf das Empfangen des Auslösesignals von der Eingabe-Ausgabe-Vorrichtung, Verwenden der Leistungsverwaltungseinheit, um ein Authentifizierungssignal für eine bestimmte Zeitspanne zu setzen und zu bestimmen, ob die Benutzereingabe gültig ist, indem das Authentifizierungssignal mit dem sicheren Element überwacht wird.
Gemäß einer anderen Ausführungsform weist die Leistungsverwaltungseinheit eine digitale Zustandsmaschine auf.
Gemäß einer anderen Ausführungsform weist die Eingabe-Ausgabe-Vorrichtung eine Taste auf, und das Empfangen der Benutzereingabe mit der Eingabe-Ausgabe-Vorrichtung weist das Empfangen einer Vielzahl von aufeinanderfolgenden Tastendruckaktionen mit der Taste auf.
Gemäß einer anderen Ausführungsform weist das elektronische Gerät ebenso einen Anwendungsprozessor auf, der mit der Leistungsverwaltungseinheit verbunden ist, wobei das elektronische Gerät weiterhin ausgestaltet ist zum, in Reaktion auf das Empfangen des Auslösesignals von der Eingabe-Ausgabe-Vorrichtung, Verwenden der Leistungsverwaltungseinheit zum Senden eines bestätigten Aktivierungssignals an den Anwendungsprozessor, und in Reaktion auf das Empfangen des gesetzten Aktivierungssignals von der Leistungsverwaltungseinheit, Senden unter Verwendung des Anwendungsprozessors von entsprechenden Befehle an die Leistungsverwaltungseinheit, um das sichere Elements zu aktivieren.
Gemäß einer andern Ausführungsform ist das elektronische Gerät ausgestaltet zum, nachdem das sichere Element aktiviert wurde, Verwenden des sicheren Elements zum Bestätigen, dass die Benutzereingabe nur gültig ist, wenn das Authentifizierungssignal gesetzt ist, wenn das Authentifizierungssignal vom sicheren Element gelesen wird.
Das oben Dargelegte dient nur der Veranschaulichung der Prinzipien dieser Erfindung und verschiedene Modifikationen können von Fachleuten vorgenommen werden. Die obigen Ausführungsformen können einzeln oder in beliebigen Kombinationen implementiert werden.
Wenngleich die Erfindung in einer gewissen Detaillierung zum Zwecke der Verdeutlichung beschrieben wurde, ist es offensichtlich, dass bestimmte Änderungen und Modifikationen im Rahmen des Umfangs der Ansprüche im Anhang ausgeübt werden können. Wenngleich einige der Ansprüche im Anhang nur eine einzelne Abhängigkeit haben oder nur auf einige der vorhergehenden Ansprüche davon Bezug nehmen, kann das das jeweilige Merkmal/können die jeweiligen Merkmale mit dem Merkmal/den Merkmalen von einem beliebigen anderen Anspruch kombiniert werden.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur

US 14/475263 [0001]
US 62/004840 [0001]

Claims

Tragbare elektronische Vorrichtung (102), umfassend: ein sicheres Element (202) zum Speichern von Benutzeranmeldeinformationen; eine Anwendungs-Verarbeitungsschaltung (200); und eine Energieverwaltungseinheit (220), die konfiguriert ist, um eine vorbestimmte Benutzereingabesequenz zum Einleiten einer mobilen Zahlungstransaktion zu erkennen und als Reaktion auf das Erkennen der vorbestimmten Benutzereingabesequenz ein Aufwecksignal an die Anwendungs-Verarbeitungsschaltung (200) zu senden und das sichere Element (202) alarmiert, wobei: die Anwendungs-Verarbeitungsschaltung (200) konfiguriert ist, um eine Benachrichtigung von dem sicheren Element (202) zu empfangen, nachdem das sichere Element (202) die Warnung von der Energieverwaltungseinheit (220) empfangen hat, und konfiguriert ist, um mit dem sicheren Element (202) zu kommunizieren, um das sichere Element (202) vorübergehend für die Zahlung zu aktivieren.
Tragbare elektronische Vorrichtung (102) nach Anspruch 1, wobei das sichere Element (202) konfiguriert ist, um die Anwendungs-Verarbeitungsschaltung (200) eine Kennung des sicheren Elements, SEID, (225) bereitzustellen, wobei die Anwendungs-Verarbeitungsschaltung (200) konfiguriert ist, um unter Verwendung mindestens der Kennung des sicheren Elements (225) einen Authentifizierungsschlüssel abzuleiten, und wobei die Anwendungs-Verarbeitungsschaltung (200) konfiguriert ist, um unter Verwendung des Authentifizierungsschlüssels einen sicheren Kanal mit dem sicheren Element (202) einzurichten.
Tragbare elektronische Vorrichtung (102) nach Anspruch 1, wobei die Anwendungs-Verarbeitungsschaltung (200) konfiguriert ist, um einen ersten Autorisierungszufallswert zu speichern, wobei das sichere Element (202) konfiguriert ist, um einen zweiten Autorisierungszufallswert zu speichern, wobei das sichere Element (202) ferner konfiguriert ist, um ein Kartenkryptogramm an die Anwendungsverarbeitungsschaltung (200) zu senden, wobei das Kartenkryptogramm den zweiten Autorisierungszufallswert enthält, wobei das sichere Element (202) ferner konfiguriert ist, um ein Hostkryptogramm von der Anwendungs-Verarbeitungsschaltung (200) zu empfangen, und wobei das Hostkryptogramm den ersten Autorisierungszufallswert enthält.
Tragbare elektronische Vorrichtung (102) nach Anspruch 1, wobei die tragbare elektronische Vorrichtung (102) eine Armbanduhrvorrichtung umfasst.
Tragbare elektronische Vorrichtung (102) nach Anspruch 1, ferner umfassend eine Taste, wobei die vorbestimmte Benutzereingabesequenz einen an der Taste empfangenen doppelten Tastendruck umfasst.
Tragbare elektronische Vorrichtung (102) nach Anspruch 1, wobei die Energieverwaltungseinheit eine nicht rekonfigurierbare digitale Zustandsmaschine umfasst.
Elektronische Vorrichtung, umfassend eine Vielzahl von Eingabe-Ausgabe-Vorrichtungen, die konfiguriert sind, um eine Zahlungsaktivierungseingabe von einem Benutzer zu empfangen, wobei mindestens eine der Vielzahl von Eingabe-Ausgabe-Vorrichtungen eine einzelne Taste umfasst, die konfiguriert ist, um einen doppelten Tastendruck zu erkennen; ein sicheres Element, das ein Zahlungs-Applet zur Verwendung bei der Durchführung einer sicheren mobilen Zahlungstransaktion speichert; und einen Anwendungsprozessor, der als Reaktion auf den Empfang einer Zahlungsaktivierungseingabe an einer der mehreren Eingabe-Ausgabe-Vorrichtungen mit dem sicheren Element kommuniziert, um das Zahlungs-Applet zur Verwendung bei einer drahtlosen mobilen Zahlungstransaktion mit einem Händlerterminal vorübergehend zu aktivieren.
Elektronische Vorrichtung nach Anspruch 7, wobei mindestens einer der mehreren Eingabe-Ausgabe-Vorrichtungen einen Touchscreen umfasst, der konfiguriert ist, um ein Berührungsereignis zu erkennen, das eine Wischbewegung umfasst.
Elektronische Vorrichtung nach Anspruch 7, wobei mindestens eine der Vielzahl von Eingabe-Ausgabe-Vorrichtungen einen biometrischen Sensor umfasst, der konfiguriert ist, um eine Fingerabdruck-Eingabe zu empfangen.
Elektronische Vorrichtung nach Anspruch 7, ferner umfassend eine Energieverwaltungseinheit, die von dem sicheren Element und dem Anwendungsprozessor getrennt ist und die den Anwendungsprozessor in Reaktion auf die empfangene Zahlungsaktivierungseingabe aufweckt.
Elektronische Vorrichtung nach Anspruch 7, ferner umfassend eine drahtlose Kommunikationsschnittstelle, die erkennt, wenn die elektronische Vorrichtung in eine Betriebsreichweite des Händlerterminals gebracht wird, wobei die drahtlose mobile Zahlungstransaktion nur abgeschlossen werden kann, wenn sich die elektronische Vorrichtung in der Betriebsreichweite des Händlerterminals befindet.