用于在设备上进行安全金融交易的方法、设备和安全元件的制作方法

用于在设备上进行安全金融交易的方法、设备和安全元件的制作方法
【专利摘要】一种用于进行安全的金融交易的设备和安全元件被公开。设备包括：中央处理单元；用于建立设备与金融账户相关的金融机构之间通信的通信接口；用于获得金融账户相关数据的接口；用于处理由接口获得的金融账户相关的数据的至少一部分的安全元件；以及用于获得从金融账户记入借方的购买金额和用于从金融账户相关的金融机构获取交易授权的控制逻辑，交易授权至少部分地基于与中央处理单元处理的数据无关的由安全元件单独处理的数据。进行安全的金融交易的方法和用于被安全元件执行的计算机程序产品也被公开。
【专利说明】用于在设备上进行安全金融交易的方法、设备和安全元件
[0001] 相关申请的交叉引用
[0002] 本申请通过将允许通过引用并入的下述美国临时申请：即由S6bastien FONTAINE 等人于2012年2月29日提交的申请号为US61/604, 613且题名为"SYSTEM AND METHOD FOR CONDUCTING A SECURED TRANSACTION ON A DEVICE"的那些权限以引用的方式全部并入。

【技术领域】
[0003] 本发明涉及用于在设备上进行安全交易，尤其是涉及安全金融交易的方法、设备 和安全元件。

【背景技术】
[0004] 本章节意在为读者介绍与本公开在下面描述和/或要求保护的各个方面可能相 关的各个方面。这个讨论被认为有助于为读者提供背景信息以促进更好地理解本发明的各 个方面。因此，应当理解的是这些陈述从这个角度被阅读而不是作为现有技术的承认。
[0005] 销售商经常使用支付终端与客户进行安全的金融交易。这类客户通常持有金融机 构或支付卡机构发行的支付卡。在一些例子中，支付卡包含磁条和/或智能卡芯片，通过在 支付终端的磁条读取器中刷卡或通过在支付终端的智能卡读出器中引入支付卡来允许交 易启动。在其它例子中，支付卡也可以是使通过将支付卡呈现在支付终端附近以允许交易 发生成为可能的非接触式交易。为了确保在金融交易中的安全，诸如泛欧卡（Europay)、万 事达卡和维萨（EMV)交易标准已经被开发并被用来认证支付终端和支付卡双方。然而，由 于各种因素，包括需要满足安全标准的技术复杂性，用来进行安全的金融交易的支付终端 通常是专门致力于金融交易的执行的设备。
[0006] 因此在现有技术中需要一种用于从任何设备，特别是从提供纯粹的金融交易的执 行之外的其它功能的设备进行安全交易的方法、设备和安全元件。


【发明内容】

[0007] 在作为支付终端的设备上提供进行安全的金融交易的方法是本发明的目标，所述 设备包括中央处理单元和安全元件。所述方法包括：获取将从金融账户记入借方的购买金 额；通过设备获取与金融账户相关的数据；并从金融账户相关的金融机构获得交易授权。 授权至少部分地基于独立于由中央处理单元处理的数据的由安全元件单独地处理的数据。 由安全元件单独处理的数据包括所获得的金融账户相关的数据至少一部分。
[0008] 提供作为用于进行安全金融交易的支付终端的设备是本发明的另一个目标。所述 设备包括：中央处理单元；被配置为建立设备与金融账户相关的金融机构之间的通信的通 信接口；用于获得金融账户相关的数据的接口；用于处理由接口获得的金融账户相关的数 据的至少一部分的安全元件；被配置为获得从金融账户记入借方的购买金额和从金融账户 相关的金融机构获取交易授权的控制逻辑。交易授权至少部分地基于独立于由中央处理单 元处理的数据的由安全元件单独地处理的数据。由安全元件单独地处理的数据包括所获得 的金融账户相关的数据的至少一部分。
[0009] 本发明的另一个目标是提供安置在作为支付终端的设备中的安全元件。所述安全 元件包括运行泛欧卡、万事达卡和维萨（EMV)交易模块的指令，其被配置为依据认证标准 处理由设备的接口获得的数据；以及被配置为依据EMVCo标准的级别1处理EMV交易模块 提供的数据的操作系统（0S)。
[0010] 本发明的另一个目标是提供由作为支付终端的设备所执行的计算机程序产品，所 述设备具有嵌入了计算机程序逻辑的计算机可读储存介质。计算机程序逻辑，在由设备执 行时，运行泛欧卡、万事达卡和维萨（EMV)交易模块，其被配置为依据认证标准处理由设备 的接口获得的数据；以及被配置为依据EMVCo标准的水平1处理EMV交易模块提供的数据 的操作系统（0S)。
[0011] 本发明的另一个目标是运行在作为支付终端的设备的安全元件上的交易模块以 执行：从运行在设备上的支付控制应用接收进行金融交易的请求；经由设备的接口从支付 装置获得金融账户相关的数据；通过设备的通信接口与金融账户相关的金融机构的服务器 建立安全通信通道；在安全通信通道上给服务器发送执行金融交易的授权请求，授权请求 包括金融账户相关的至少部分数据；在安全通信通道上从服务器接收来自对授权请求的响 应；处理授权请求的响应以产生金融交易的状态；向支付控制应用发送金融交易的状态。

【专利附图】

【附图说明】
[0012] 现在将结合本文的附图对本发明进行描述，其中：
[0013] 图1是依据本发明的一个实施方式的用于从安全设备进行安全的金融交易的系 统的图解表不；
[0014] 图2是依据本发明的一个实施方式的非接触式交易发生的图解表示；
[0015] 图3是描述依据本发明的一个实施方式进行安全的金融交易的方法的流程图；
[0016] 图4是依据本发明的一个实施方式的可以在其上发生安全的金融交易的设备的 简化框图；
[0017] 图5是依据本发明的一个实施方式的在图4的设备中嵌入的安全元件的图解表 示；
[0018] 图6是嵌入了依据本发明的各种实施方式的安全元件的各种设备的架构的图解 表不；
[0019] 图7是使支付控制应用能够与本发明的一个实施方式中的安全元件上的软件通 信的软件栈的图解表示；
[0020] 图8a、8b和8c是本发明的各种实施方式中的安全元件的软件架构的图解表示；
[0021] 图9a、9b和9c是在依据本发明的一个实施方式的安全元件和用于进行设备上的 安全金融交易的多个其它实体之间的通信流的流程图表示；
[0022] 图10是安全元件和金融机构之间的安全的通信通道的图解表示；
[0023] 图11是依据本发明的一个实施方式的在安全元件中的支付软件的加载过程、更 新过程和配置过程的图解表示；
[0024] 图12是描述在依据本发明的一个实施方式的安全元件中的支付软件加载过程、 更新过程和配置过程的流程图；以及
[0025] 图13是描述与依据本发明的一个实施方式的安全元件上的软件通信的支付控制 应用的流程图。
[0026] 在附图中，本发明的实施方式以示例的方式被阐释。应该清楚地理解的是，说明书 和附图只是为了阐释和帮助理解的目的。它们不是旨在成为本发明的限制的定义。

【具体实施方式】
[0027] 本发明现在将结合一个或多个预期的实施方式被描述。所描述的实施方式旨在作 为本发明的示例，而不是限制其范围。换句话说，虽然注意力被集中在本发明的特定的实施 方式，但是那些实施方式并不意图限制本发明。与此相反，下面提供的实例是旨在说明本发 明的广泛范围。
[0028] 术语
[0029] 在整个本公开中，对安全交易（例如，但无需被限制成，接触式和非接触 式交易）、安全元件（例如，但无需被限制成，芯片组、安全芯片组、嵌入安全组件 的硬件、嵌入安全组件的软件或嵌入安全组件的固件）、以及安全标准进行了引 用。安全标准的实例包括，但无需被限制成，泛欧卡、万事达卡和维萨卡（EMV)、 EMVCo、 万事达卡?、维萨卡?、美国捷运?、 JCB?、发现者? 和PCI SSC(具体处理的用于金融交易的安全标准的定义的支付卡行业安全标准委员会 (由万事达卡?、维萨卡?、美国捷运?、发现者@和了〇8?.创建））。对安全交 易、安全元件和安全标准进行的引用是为了说明的目的，并且旨在示范本发明而并不是限 制其范围。
[0030] 安全元件：以特定硬件和/或软件组件为特征的处理实体，软件组件受制于确保 根据特定安全标准的特定的安全级别的认证。从硬件的角度来看，安全元件包括在计算实 体中通常能发现的组件：至少有一个微控制器（例如CPU)、存储器（例如RAM或FLASH存 储器）、通信接口等。特定的硬件组件也可以被包括以实现特定于安全元件的特定功能。例 如，可以包括加密加速器。同样，可以包括提供RF和静电隔离的模块以保护安全元件16免 受窃听。在金融交易的环境中，安全元件的认证确保各种金融实体原意使用安全元件储存 和处理关键金融数据，以及执行使用关键金融数据的安全的金融交易。
[0031] 信息/数据：术语"信息"和"数据"可交换地被使用，并且为了本公开的目的具有 相似的意义。
[0032] 安全标准可以包括多个安全级别，但是无需被限制为，诸如级别1、级别2或级别 3。例如，但是无需被限制为，级别1可以比级别2对应更高的安全级别，依次，级别2可以 比级别3对应更高的安全级别。例如，但是无需被限制为，EMCo标准可以提供安全级别的 实例以及核准和认证标准，诸如终端类型核准过程、安全评估过程、卡类型核准过程或移动 类型核准过程。
[0033] 例如，终端类型核准过程可以是测试与泛欧卡、万事达卡和维萨卡（EMV)规范兼 容性的机制。终端类型核准可以提供兼容的应用之间的互操作性和一致性行为可以被实现 的置信水平。在实例中，终端类型核准测试可以被划分成两个级别，级别1和级别2。级别 1型核准过程可以测试与机电特性、逻辑接口和在EMV规范中定义的传输协议需求的兼容 性。级别2型核准可以测试与如在EMV规范中定义的借记/信用应用需求的兼容性。此外， 终端类型核准测试可以包括级别3核准，其保证了在终端上执行的应用和金融机构之间的 安全通信。
[0034] 例如，安全评估过程可能旨在向EMVCo成员的发行者提供与一般安全性能特征、 以及智能卡相关的产品和基于集成电路（1C)芯片的权标（token)的使用的适用性的相关 信息。EMVCo安全评估过程可以被设计成在系列产品和组件级别确保这些产品的稳固的安 全基础。作为选择，安全评估过程可能旨在为PCI SSC成员的发行者提供与一般安全性能特 征、以及智能卡相关的产品和基于集成电路（1C)芯片的权标的使用的适用性的相关信息。 在PCI SSC的情况下，软件层也可以被安全标准和需求覆盖。
[0035] 例如，卡类型核准过程可以创建测试与EMV和通用支付应用（CPA)规范的兼容性 的机制。卡类型核准过程可以提供兼容的应用之间的互操作性和一致性行为可以被实现的 置信水平。单独的卡类型核准过程可以被定义，用于实现公共核心定义（CCD)规范的卡或 者实现CPA规范的卡。
[0036] 例如，移动类型核准过程可以包括非接触式移动支付（CMP)产品类型核准过程以 创建测试与EMV规范兼容性的机制。CMP产品类型核准过程可以提供兼容的移动产品之间 的互操作性和一致性行为可以被实现的置信水平。
[0037] 非接触式接口 ：非接触式接口是两个实体（例如，本公开的环境中的移动电话和 信用卡）之间的接口，其允许没有物理接触的两个实体之间的数据的交换。尽管近场通信 (NFC)接口在本公开中被提到，但是允许两个实体之间的数据的非接触式交换的任何技术 和通信协议都与本公开相关。
[0038] 用于在设备上进行安全的金融交易的系统和方法
[0039] 图1示出了依据本发明的一个实施方式的用于从设备12进行安全的金融交易的 系统9的图解表示。在本发明的一个实施方式中，客户4与保存客户的金融账户的金融机 构6是合同关系。金融机构6可以是维护客户的支票账户或信用卡账户的银行。金融机 构6提供给客户4权标以在金融交易期间提供强验证。这样的权标可以是，例如，支付卡 和/或可以嵌入在客户4的设备（例如，移动电话）中的安全唯一的标识组件。支付卡 被支付卡公司8保存，并可以是，例如但无需被限制为，来自Interac?公司的借记卡或来 自诸如万事达卡?、维萨卡?、美国捷运?、JCB?和发现者⑧的信用卡公司中 的一个公司的信用卡。支付卡可以通过磁条、智能卡芯片和/或通过具有无线射频标识 (RFID)电路的标签来具体实现关于客户的金融账户的数据。包括RFID电路的标签可以 提供非接触式交易能力，特别是提供与泛欧卡、万事达卡和维萨卡（EMV)安全标准（例如， 维萨Paywave?、万事达卡PayPass?、美国捷运汇通宝?、Interac Flash?,发现者 Zip?)兼容的非接触式交易能力。在替代的实施方式中，包含RFID电路的标签可以被嵌 入其它支持设备中而非支付卡中，例如，在诸如手机的设备中（例如，嵌入在客户设备中的 谷歌钱^包?模块）。关于客户的金融账户的数据可以是在交易过程中允许金融账户被识别 的任何种类的数据。例如，但是无需被限制为，这样的数据可以包括密钥、证书和支付卡号。
[0040] 销售商2与保存销售商的金融账户的金融机构10是合同关系。金融机构10可以 是维护销售商的支票账户或信用卡账户的银行。金融机构10允许销售商2通过网关11与 客户（例如与客户4)进行金融交易。尽管网关11示出在图1中，但是应该理解的是金融交 易可以直接地发生在销售商2和金融机构10之间而不通过两者之间的网关。在本发明的 实施方式中，销售商2可以通过设备12与客户4启动和完成安全的金融交易。设备12包 括安全元件16和接口 18。在本发明的一个实施方式中，接口 18可以是，例如但无需被限制 为，磁条读出器、智能卡读卡器或近场通信（NFC)接口。接口 18允许在设备12上发生客户 4的支付卡和/或客户4的设备之间的接触式和/或非接触式交易。应该理解的是接触式 交易可以是，例如但是无需被限制为，在磁条读出器中刷磁条或将智能卡芯片与智能卡读 卡器接触。此外，应该被理解的是非接触式交易可以包括支付卡或移动设备在此交易中可 以物理地接触非接触式读出器的交易。同样地，非接触式交易可以涉及通信，通信非接触式 地发生，但是在发生过程中支付卡或移动设备物理地接触非接触式读出器。在本发明的一 个实施方式中，交易是被保护的金融交易，并且该交易与EMV交易标准和可应用的PCI SSC 标准兼容。可应用的PCI SSC标准可以是支付应用数据安全标准（PA-DSS)、PIN交易安全 (PTS)和/或点对点加密（P2PE)中的一个。在另外的实施方式中，交易可以与其它安全的 交易标准兼容。
[0041] 现在同时对图1和2进行参照，其中图2是发生在图1的客户4和销售商2之间 的非接触式交易图解表示。在本发明的一个实施方式中，交易是安全的金融交易，并通过设 备12被销售商2启动，设备12与金融机构10和支付卡公司8通信。销售商2通过在设备 12中输入购买金额启动交易。然后，客户4提供她的/他的支付卡，例如维萨Paywave? 非接触式启用信用卡13贴近设备12的接口 18,在这个实例中的NFC接口，以建立维萨 Paywave?非接触式启用信用卡13与设备12的安全元件16之间的通信。一旦安全元件 16完成从维萨Paywave?非接触式启用信用卡13读出数据，设备12就可以提示客户4输 入个人识别码（PIN)、签名、密码、生物特征数据或任何允许确认客户的身份的数据。一旦必 需的信息被客户4输入，金融交易授权就被设备12请求到客户4的金融机构6和/或支付 卡公司8。接着，客户4的金融机构6和/或支付卡公司8授权或拒绝（根据具体情况）金 融交易并与设备12通信以通知其授权状态。一旦金融交易状态被设备12收到，客户4就被 通知金融交易已经被客户4的金融机构6和/或支付卡公司8接受或拒绝。在本发明的其 他实施方式中，客户4通过使用万事达卡PayPass?非接触式启用信用卡15、移动电话（或 平板电脑）17可以启动金融交易，移动电话（或平板电脑）17包括提供安全非接触式交易 能力的RFID电路。在本发明的其它实施方式中，安全元件16和接口 18可以嵌入到其它设 备而不是设备12中。例如，但无需被限制为，安全元件16和接口 18可以嵌入到诸如平板 电脑14、收银机20、打印机22、自动售货机24、支付终端26和/或自动取款机（ATM) 28 (在 这种情况下，客户4可以不必与销售商2交互而进行交易，也就是，仅通过与她的/他的支 付卡公司8或她的/他的金融机构6交互而进行交易）这样的设备中。安全元件16和接 口 18可以被嵌入在其上的设备的其它实例包括，但无需被限制为，电视机、视频游戏系统、 接入互联网的机顶盒或者苹果公司的苹果电视机⑧。
[0042] 图3是描述依据本发明的一个实施方式进行交易的方法111的流程图。方法111 可以被采用以进行各种类型交易，诸如，但不限制于，安全的接触式和/或非接触式金融交 易。方法111可以具体实现在软件应用中，诸如具体实现在运行在设备12上的销售点应用 112中。依据方法111，销售点应用112可以包括各种软件组件，其允许在客户4和销售商 2之间进行交易。尤其，各种软件组件的一些可以在设备12的安全元件16上被执行，而其 它软件组件被设备12的CPU执行。
[0043] 为了说明的目的，设备12的接口 18是能够在非接触式启用支付卡上读数据的NFC 接口。方法111可以通过销售商2在设备12中输入购买金额在步骤100开始。然后，在步 骤102,客户4提供她的/他的支付卡，例如将维萨Paywave?.非接触式启用信用卡13贴 近设备12的NFC接口 18,以建立维萨Paywave?非接触式启用信用卡13与设备12的安 全元件16之间的通信。一旦安全元件16完成从维萨Paywave?非接触式启用信用卡13 读出数据，在步骤104,设备12就可以提示客户4输入个人识别码（PIN)、签名、密码、生物 特征数据或任何允许确认客户的身份的数据。一旦必需的信息被客户4输入，在步骤106， 金融交易授权就被设备12请求到客户4的金融机构6和/或支付卡公司8。接着，客户4 的金融机构6和/或支付卡公司8授权或拒绝（根据具体情况）金融交易并与设备12通 信，在步骤108,通知其授权状态。一旦金融交易状态被设备12接收到，在步骤110,客户4 就被通知金融交易已经被客户4的金融机构6和/或支付卡公司8接受或拒绝。金融交易 状态可以以交易收据的形式提供给客户4。交易收据可以是在设备12上显示的电子收据或 者经由电子手段（例如，经由电子邮件、多媒体消息服务（MMS)和/或短消息服务（SMS)) 发送给客户。交易收据也可以是通过与设备12通信的打印机产生的实际收据（例如，纸质 收据）。
[0044] 在本发明的另一个实施方式中，设备12可以从会员卡、礼品卡、充值卡、优惠券 卡、奖励卡、积分卡、优惠卡、俱乐部卡等安全地读取数据；并且与卡相关的机构执行安全交 易（该机构将卡持有者识别为会员程序的成员）。设备12和卡之间的通信可以是非接触式 交易，例如使用设备12的NFC接口 18。与卡相关的机构的安全交易可以存在于证实客户的 账户上的足够的会员积分的可用性。
[0045] 用于进行安全金融交易的设备
[0046] 通过参照图4,设备12的附加细节可以被更好地理解，图4是阐释依据本发明的一 个实施方式的说明性设备12的各种示例性组件和特征的框图。设备可以包括安全元件16、 NFC接口 19、智能卡读出器55、用户身份模块（SM)卡槽36、通信接口 38、控制电路40、在 其上运行设备12的操作系统（0S)的中央处理单元（CPU) 42、输入/输出（I/O)控制器44、 显示器46、键盘48、打印机（未在图4中表示）、磁条读出器52和存储器54。在CPU42上 运行的0S的实例包括，但不限制于，可从苹果公司得到的iOS?或其衍生品的版本；可从 谷歌公司得到的安卓0S?或其衍生品的版本；可从RM公司得到的PlayBook 0S?或其 衍生品的版本。应该理解的是其它专有0S或客户定制0S可以同样地被使用而不偏离本发 明的范围。
[0047] 在本发明的一个实施方式中，设备12被CPU42和控制电路40控制以提供执行设 备12的0S所需要的处理能力。CPU42可以包括单个处理器或多个处理器。例如，CPU42可 以包括"通用"微处理器、通用和专用微处理器的组合、指令集处理器、图形处理器或专用处 理器。控制电路40可以包括用于在设备12的组件之间传递数据和指令的一个或多个数据 总线。控制电路40也可以包括用于缓存目的的板载存储器。
[0048] 在本发明的某些实施方式中，被CPU42使用的信息可以位于存储器54中。存储器 54可以是非易失存储器，诸如，只读存储器、闪存、硬盘驱动器或任何其它合适的光、磁或固 态的计算机可读介质，以及它们的组合。存储器54可以被用来存储用于CPU42的运行所需 要的数据，以及设备12所需要的其它数据。例如，存储器54可以存储设备12的固件。固 件可以包括0S，以及启用电子设备12的各种功能的其它程序，图形用户界面（GUI)功能或 处理器功能。存储器54可以为⑶I存储组件，诸如图形元件、屏幕和模板。存储器54也可 以包括诸如连接信息（例如，用来建立通信的信息）的数据文件、或允许设备12运行支付 控制应用的数据。支付控制应用是销售点应用112的软件组件（由设备12的CPU42所执 行）中的一个。存储在存储器54中的允许设备12运行支付控制应用的数据包括，在显示 器46上产生用于进行安全的金融交易和完成安全的金融交易所需要的处理能力的⑶I的 数据。此外，存储器54可以存储控制NFC接口 19的激活/去激活的数据，并且当被激活时， 控制NFC接口 19的操作模式（例如，被动或主动）。例如，NFC接口 19可以以被动模式操 作除非销售点应用112正在运行。
[0049] 通信接口 38可以提供用于接收和传送信息的附加的连接通道。例如，通信接口 38 可以提供连接功能以允许设备12通过网关11和金融机构10的银行服务器与处理信用卡 信息的实体8通信。通信接口 38可以代表，例如，一个或多个网络接口卡（NIC)或网络控 制器以及关联的通信协议。通信接口 38可以包括多种类型接口，包括但不限制于，无线局 域网（WLAN)接口、局域网（LAN)接口、广域网（WAN)接口、多媒体消息服务（MMS)和短消息 服务（SMS)接口。
[0050] 在某些实施方式中，设备12可以使用设备标识网络协议通过网络接口与外部设 备建立连接。例如，设备12和外部设备都可以广播使用互联网协议（IP)的标识信息。设 备然后可以使用标识信息在设备之间建立网络连接，诸如建立LAN连接。
[0051] NFC接口 19可以允许以各种数据速率进行近距离通信，例如符合诸如IS014443、 IS015693、IS018092或IS021481的标准。NFC接口 19可以通过嵌入在设备12的部分的芯 片组中的NFC设备实现。作为选择，NFC接口 19可以通过NFC设备实现，此NFC设备是单独 的组件并且通过通信接口 38、或者通过设备12的附加端口（未在图4中表示）与设备12 通信。NFC接口 19可以包括一个或多个协议，诸如用于与另一个NFC启用设备通信的近场 通信接口和协议（NFCIP-1)。协议可以被用来适应通信速度和指定一个连接的设备作为控 制近场通信的启动设备。在某些实施方式中，NFC接口 19可以被用来接收诸如服务集标识 符（SSID)、信道和密钥、被用来通过另一个通信接口连接的信息。在本发明的一个实施方式 中，NFC接口 19同时直接与安全元件16和控制电路40通信。在本发明的供选择的实施方 式中，NFC接口 19可以被连接到，例如，但无需被限制为，控制电路40、I/O控制器44或它 们两者。
[0052] NFC接口 19可以控制设备12的近场通信模式。例如，NFC接口 19可以被配置为 将设备12在用于读取NFC标签的读/写模式，用于与另一个NFC启用设备交换数据的点对 点模式和用于允许另一个NFC启用设备读取数据的卡模拟模式之间转换。NFC接口 19也可 以被配置为将设备12在主动模式和被动模式之间转换，设备12在主动模式中产生它自己 的RF场，而在被动模式中，设备12使用负载调节去将数据传递到产生RF场的另一个设备。 以被动模式操作可以延长设备12的电池寿命。在某些实施方式中，NFC接口 19的模式可 以基于用户或厂商偏好进行控制。
[0053] 在实施方式中，NFC通信可以发生在大约2到4厘米范围内。与NFC接口 19近距 离通信可以经由磁场感应发生，其允许NFC接口 19与其它NFC设备通信或从具有RFID电 路的标签检索数据。如上述参照图2的讨论，NFC接口 19可以用来从信用卡13和15或从 移动设备（智能电话或平板电脑）17获取数据，特别是获取启用安全的非接触式金融交易 的数据。
[0054] 安全元件16被配置为在提供足够的安全级别以满足所建立的用于EMV交易的安 全标准的同时，使销售点应用112能够运行在设备上。在实施方式中，安全元件16嵌入在 连接到控制电路40的芯片组中，控制电路40与NFC接口 19配合以提供非接触式支付功 能。在另一个实施方式中，安全元件16具体实现在连接到控制电路40的芯片组中，控制电 路40与智能卡读卡器55配合以提供支付功能。在又一个实施方式中，安全元件16具体实 现在连接到控制电路40的芯片组中，控制电路40与磁条读出器52配合以提供支付功能。 例如，但无需被限制为，其上具体实现了安全元件16的芯片组可以是可从意法微电子公司 得到的ST32?或ST33?芯片组系列或其衍生物的模型。在下面将参照图5对安全元件 16进行更详细地描述。
[0055] SM卡槽36允许SM卡被引入到设备12内。SM卡槽36内引入的SM卡包含国 际移动用户标识（MSI)和被用来识别和验证设备12的用户的相关密钥。
[0056] I/O控制器44可以提供用于在控制电路40、CPU42和输入/输出设备之间交换数 据的基础结构。I/O控制器44可以包含一个或多个集成电路，并可以被集成在控制电路40 内，或作为单独组件存在。I/O控制器44可以为与显示器46、键盘48、打印机（未在图4中 表示）、磁条读出器52或智能卡读卡器55的通信提供基础结构。尽管磁条读出器52和智 能卡读卡器55在图4中显示为连接到I/O控制器44,但是应该理解的是磁条读出器52和 智能卡读卡器55可以是，例如但无需被限制为，直接与控制电路40和/或安全元件16通 信。
[0057] I/O控制器44也可以为与外部设备的通信提供基础结构，并可以被用来将设备12 连接到外部电脑、条形码扫描仪、音频耳机等。
[0058] 在本发明的实施方式中，设备12是移动设备，其便携性使得它特别适合执行移动 销售交易。例如，移动设备可以是，但是不限制于，移动电话（例如，可从苹果公司得到的苹 果手机?.或其衍生物的模型；可从RM公司得到的黑莓手机?或其衍生物的模型；可从 三星公司得到的银河手机?.或其衍生物的模型）、平板电脑（例如，可从苹果公司得到的 iPad?或其衍生物模型；可从三星公司得到的Galaxy Tab(g或其衍生物的模型；可从R頂 公司得到的PlayBook?或其衍生物的模型）和手提电脑。为了方便运输和便于移动，设备 12可以包括用于为设备12供电的集成电源。电源可以包括一个或多个诸如锂离子电池的 电池，电池可以是用户可去除的或者固定在设备12上。
[0059] 由于设备12的便携性，销售交易可以在各种环境内进行。例如，销售交易可以发 生在出租车内，或者在物品递送到客户的住宅的门口之后发生。此外，本发明给销售商提 供了通过设备而不是通过专用的支付终端进行金融交易的能力，例如通过嵌入了安全元件 16、NFC接口 19、智能卡读卡器55、磁条读出器52或它们的各种组合的移动电话。
[0060] 在本发明的供选择的实施方式中，安全元件16、NFC接口 19、智能卡读卡器55、磁 条读出器52或它们的各种组合可以被嵌入在非移动设备上以运行销售点应用112,例如， 在打印机、个人电脑、收银机、支付终端、自动取款机（ATM)、自动售货机、电视机、视频游戏 系统、接入互联网的机顶盒、或苹果公司的苹果电视⑧中的销售点应用112。由于可以具体 实现安全元件16和接口 18的各种设备，各种安全交易可以被进行。例如，客户可以从她的 /他的电视订购电影，并直接在她的/他的嵌入了安全元件16和接口 18的电视上进行安全 的交易。
[0061] 用于在设备上进行安全金融交易的销售点应用
[0062] 图5阐释了允许销售点应用112运行在设备12上并进行EMV认证的安全交易的 架构的示意表示。在本发明的实施方式中，架构被实现为预编程硬件元件或固件元件（例 如，运行在实现了安全元件16的芯片组上的专用集成电路（ASIC))和存储在存储器54中 的在销售点应用112的激活之后被CPU42运行的软件组件的组合。应该理解的是，在安全 元件16上运行的组件是单独预编程的硬件元件，或者作为选择，是单独的固件元件或软件 元件，这都是可行的。在本发明的实施方式中，在其上实现了安全元件16的芯片组具有存 储器和处理能力（例如，控制器和/或微处理器）。
[0063] 存储在存储器54中的在销售点应用112的激活之后被CPU42运行的软件组件 包括支付控制应用208。也可以设想的是，支付控制应用208可以存储在存储器54以外 的其它地方。在本发明的实施方式中，支付控制应用208由CPU42上运行的0S运行。支 付控制应用208包括指令以控制安全元件16,以便于启动和完成符合EMV交易标准（例 如，万事达卡?、维萨?、美国捷运?、Interac?)的金融交易，尤其符合EMV非接 触式交易标准（维萨Paywave?、万事达卡PayPass?、美国捷运ExpressPay?、Interac Flash?、Discover Zip? )的非接触式交易。支付控制应用208管理客户4与销售商 2、金融机构10、金融机构6以及支付卡公司8的中的至少一个之间的通信。支付控制应用 208直接地或间接地通过I/O控制器44管理在显示器46上的交易进度的显示。支付控制 应用208也可以通过安全元件16管理由NFC接口 19从支付卡或从RFID启用设备读取的 数据的处理。支付控制应用208也可以通过安全元件16管理由智能卡读卡器55从支付卡 读取的数据的处理。支付控制应用208也可以通过安全元件16管理由磁条读出器52从支 付卡读出的数据的处理。此外，支付控制应用208也可以通过安全元件16管理数据诸如例 如，个人识别码（PIN)、用户签名、密码、用户生物特征数据或允许用户的安全标识的任何数 据的数据的处理。依据来自大多数支付品牌的标准，例如，但无需被限制为，万事达卡⑧、 维萨?、美国捷运?、JCB?和发现者?,支付控制应用208被设计为以便于对安全 支付卡数据处理进行3级认证。
[0064] 当提到安全元件的说明书时，实现了销售点应用112的安全元件12的组件在后面 的说明书中将被更详细地描述。
[0065] 现在参照图7,阐释了使支付控制应用208能够与在安全元件16上实现了销售点 应用112的软件进行通信的软件栈的示例说明。在如图7所阐释的本发明的一个实施方式 中，在控制电路40的CPU42上执行的支付控制应用208经由下列软件栈：SEEK (安全元件 评估工具集）、操作系统（例如，安卓0S)和底层驱动直接与安全元件16通信。SEEK是用 于安卓0S的软件库，其使安卓应用能够与安全元件、SM卡或MicroSD卡通信。安全元件 16和控制电路40之间的物理通信经由IS07816链接（未在图7中表示）被实现。在图7 中阐释的本发明的另一个实施方式中，在控制电路40的CPU42上执行的支付控制应用208 使用如前面的实施方式一样的软件栈经由非接触式前端（CLF) 710与安全元件16通信。在 CLF710和控制电路40之间的物理通信经由I2C链接（未在图7中表示）实现。
[0066] 图13是阐释了支付控制应用208和经由前述的软件栈在安全元件16上执行的终 端小应用程序之间的通信的流程图。在流程图中阐释的例子中，IS07816链接被使用。作 为选择，通信可以经过CLF710。
[0067] 用于在设备上进行安全金融交易的安全元件
[0068] 再次参照图5,安全元件16包括第一模块200、第二模块202和第三模块EMV接触 式/非接触式交易模块204和/或第三模块MAG206。在本公开中，尽管它被参照为一个模 块或多个模块，但是应该理解的是模块可以包括，例如但无需被限制为，计算机程序逻辑、 计算机程序指令、软件、栈、固件、硬件电路或者提供所需要的能力的其中的组合。第一模块 200包括安全元件16在其上运行的芯片组的驱动程序，并提供对安全元件16的硬件层的访 问。依据EMVCol级接触式和非接触式标准，第一模块200被设计为以便对安全支付卡数据 处理进行1级认证。尽管参照了支付卡数据，但是应该理解的是，还可以考虑不管是否位于 任何其它载体（例如，嵌入了用于安全的非接触式支付处理RFID功能的移动设备）上的支 付卡上的任何数据。第二模块202包括实现了安全元件16的芯片组的操作系统（0S)。在 本发明的一个实施方式中，0S是来自甲骨文公司的Java卡?。在本发明的另一个实施方 式中，0S与全球平台标准兼容。在本发明的又一个实施方式中，0S是认证或未认证的客户 定制的0S。在又一个实施方式中，没有0S运行在第一模块200之上。在本发明的一个实施 方式中，依据EMVCol级接触式和非接触式标准，第二模块202的0S运行在第一模块200之 上，并对安全支付卡数据处理也采用1级认证。
[0069] 第三模块EMV接触式/非接触式交易模块204运行在第二模块202之上，并且依 据主要支付品牌标准被设计为2级认证（可选地也可以是3级认证），支付品牌例如，但无 需被限制为，万事达卡?、维萨卡?、美国捷运?、JCB?和发现者?。第三模块 EMV接触式/非接触式交易模块204包括处理由NFC接口 19从支付卡和/或从RFID启用 设备或者由智能卡读卡器55从支付卡读取的数据的指令。在本发明的实施方式中，由NFC 接口 19、智能卡读卡器55或磁条读出器52读取的数据可以直接地传送到安全元件16而不 经过控制电路40。在本发明的供选择的实施方式中，由NFC接口 19或智能卡读卡器55读 取的数据在传送到安全元件16之前通过控制电路40。第三模块EMV接触式/非接触式交 易模块204允许所读出的与EMV交易标准兼容的数据的安全处理。由第三模块EMV接触式 /非接触式交易模块204处理的数据包括从NFC接口 19或智能卡读卡器55读出的数据，但 还可以包括诸如个人识别码（PIN)、用户签名、密码、用户生物特征数据或任何允许识别客 户的身份的数据这样的信息。这样的信息可以经过I/O控制器44通过客户从键盘48、显示 器46 (例如，通过触摸屏显示器）或任何其它允许客户与设备12交互的接口输入信息被提 供。尽管示出了同时嵌入了接触式交易和非接触式交易能力的第三模块EMV接触式/非接 触式交易模块204,但是应该理解的是接触式交易和非接触式交易能力可以嵌入在两个不 同EMV模块中而不偏离本发明的范围。也应该被理解的是第三模块EMV接触式/非接触式 交易模块204可以嵌入额外的能力，例如但无需被限制为，处理从磁条读出器52读取的数 据这样的能力。
[0070] 作为选择，安全元件16可以包括，除了或代替，第三模块EMV接触式/非接触式 204、第三模块磁性（MAG) 206。第三模块MAG206运行在第二模块202提供的0S上，并依据 主要支付品牌的标准被设计为2级认证（可选地也可以是3级认证，支付品牌例如，但无需 被限制为，万事达卡?、维萨?、美国捷运?、JCB?和发现者?这样的品牌。第三 模块MAG206包括处理由磁条读出器52从支付卡读出的数据的指令。第三模块MAG206允 许所读出的与EMV交易标准兼容的数据的安全处理。由第三模块MAG206处理的数据包括 从磁条读出器52读出的数据，但还可以包括诸如个人识别码（PIN)、用户签名、密码、用户 生物特征数据或任何允许识别客户的身份的数据这样的信息。这样的信息可以经过I/O控 制器通过客户从键盘48、显示器46 (例如，通过触摸屏显示器）或任何其它允许客户与设备 12交互的接口输入信息被提供。
[0071 ] 第三模块EMV接触式/非接触式交易模块204和第三模块MAG206被嵌入在实现 了安全元件16的芯片组上，当使安全交易能够在与EMV交易标准兼容的设备12上进行的 同时，这个架构允许数据的快速处理。此外，在本发明的一个实施方式中，这个架构允许设 备12具有独立于由CPU42处理的数据的由安全元件16单独处理的数据。换句话说，安全元 件16可以处理可能不被CPU42或控制电路40访问的数据。在本发明的一个实施方式中， 这个架构允许设备12至少部分地基于独立于由CPU42或控制电路40处理的数据的由安全 元件16单独处理的数据从金融机构获得交易授权。
[0072] 在本发明的又一个实施方式中，只有安全组件16访问由NFC接口 19从支付卡或 从RFID启用设备读取的数据、由智能卡读卡器55读取的数据、以及由磁条读出器52从支 付卡读取的数据。同样地，支付控制应用208通过与安全元件16交互而不必访问至少一 些敏感数据（例如，密钥、证书和支付卡号）管理交易，敏感数据保持被安全元件16的存 储器单独处理并存储在安全元件16的存储器内。依据EMVCo标准和主要支付品牌的标 准，安全元件16被设计为用于安全支付卡数据处理的2级认证（视情况也可以是3级认 证），主要支付品牌例如，但无需被限制为，万事达卡?、维萨?、美国捷运?、JCB? 和发现者?，其通过避免在CPU42或控制电路40上运行的任何应用（例如支付控制应用 208)去访问由安全元件16的存储器处理的数据和存储在安全元件16的存储器的数据，提 供了更高的安全级别。此外，安全元件16被设计和预加载在单独的芯片组上，使得安全元 件16可以是独立于设备12认证的EMV交易。同样地，在本发明的实施方式中，控制电路40 上的安全元件16的集成允许设备12成为认证的EMV交易而无需设备12的其它组件经过 EMV交易认证过程。在供选择的实施方式中，控制电路40上的安全元件16的集成仍然需要 设备12至少部分地经过EMV认证过程成为认证的EMV交易。依据主要支付品牌的标准，安 全元件16也可以被设计为用于安全支付卡数据处理的3级认证，主要支付品牌例如但无需 被限制为，万事达卡?、维萨?、美国捷运?、JCB?和发现者?。成为3级认证确保 在安全元件16上执行的软件和金融机构之间的安全的数据交换。
[0073] 图6阐释了嵌入了安全元件16的设备12,以及可选的实施方式12a、12b和12c的 示意表示。设备12a、12b和12c的表示阐释了，无需被限制为，安全元件16的各种位置。设 备12a包括安全元件16、NFC接口 19、CPU42,但不包括SM卡槽，因此不包括SM卡，由嵌入 在设备12a中的供选择电路或固件/软件提供的设备用户的唯一标识。设备12b包括NFC 接口 19、CPU42、SM卡槽36和安全数字（SD)卡60。尽管示出了 SD卡60,但是应该理解的 是任何非易失存储卡都可以被使用而不偏离本发明的范围。SD卡60包括控制器62和存储 器64。如图6所示，安全元件16嵌入在SD卡60上，SD卡60可以被引入到设备12b或从 设备12b移除。12b中描述的本发明的实施方式的架构允许安全元件16安装在设备自身的 原始电路中不包括任何安全元件的设备上，因此使设备12bEMV启用非接触式交易而不需 使设备12b通过EMV非接触式交易的原始认证。设备12c包括NFC接口 19、CPU42和SM 卡槽360。如图所示，安全元件16嵌入在位于SM卡槽36中的SM卡内，SM卡槽36可以 被引入到设备12c或从设备12c移除。在本发明的实施方式中，位于SIM卡槽36中的SM 卡与全球用户身份模块（USIM)标准兼容。12c中描述的本发明的实施方式的架构允许安全 元件16安装在设备自身的原始电路中不包括任何安全元件的设备上，因此使设备12cEMV 启用非接触式交易而不需使设备12c通过EMV非接触式交易的原始认证。在图6中没有表 示的供选择的又一个实施方式中，安全元件16可以位于外壳内以插入设备12。
[0074] 现在同时参照图5和图8a和8b，其阐释了提供安全功能的安全元件16的软件架 构。图8a和8b中表示的安全元件16包括低层操作系统，Java卡的Java虚拟机（JVM)和 对应于L1认证的驱动程序200和0S202的全球平台组件。安全元件16还包括主安全域 (ISD)，和可选的辅助安全域（SSD)。在这些组件之上，java小程序在安全环境中执行。尤 其，支付小程序810可以实现2级认证（视需要也可以是3级认证）模块：EMV接触式/非 接触式交易模块204和/或MAG模块206。每个安全域（SD)彼此相互分离。安全域的所 有者不能访问驻留在其它安全域的数据/程序。每个安全域通过加密密钥和认证过程被保 护。为了访问特定的安全域（增加/修改/删除驻留在特定的安全域的小程序），使用了保 护特定的安全域的加密密钥。主安全域（ISD)在安全元件16的发行者（支付卡的银行，手 机中的SM卡的移动运营商或手机中嵌入的安全元件的手机制造商）的控制下。发行者可 以创建例如被同伴使用的辅助安全域（SSD)。发行者然后将控制辅助安全域的加密密钥传 递到同伴，那么该同伴就被授权访问辅助安全域并可以控制加载在这个SSD中的内容。此 外，ISD可以将约束强加于他创建的SSD上（例如，SSD的闪存中的最大记忆空间）。并且， 安全域的层级可以被创建，其中ISD包含0个、1个或多个SSD。
[0075] 现在进行参照图8c，其阐释了图8a和8b中表示的支付小程序810的软件架构。 支付小程序810包括抽象层，其总体上与安全元件16的底层软件组件（例如，0S)相接口。 支付小程序810包括接口模块，其与设备12的不同的接触式和非接触式接口连接：用于与 智能卡读卡器55接口连接的EMV接触式L1和EMV接触式L2核心、用于与NFC接口 19接 口连接的EMV非接触式L1和EMV非接触式L2核心、用于与磁条读出器52接口连接的磁条 核心。支付小程序810包括经由设备12的通信接口 38与外部实体（例如，金融机构）通 信的通信服务。支付小程序810还包括用于确保与外部实体（例如，金融机构）通信的安 全服务：认证服务、加密服务和加密存储服务。支付小程序810也包括受理方模块。而且支 付小程序810包括多个支付模块（例如万事达卡PayPass磁条、维萨PayWave MSD、万事达 卡Paypass M/Chip、维萨PayWave qVSDC)以支持由不同类型的支付手段（例如，接触式或 非接触式信用卡、非接触式支付启用移动电话等）提供的各种类型的支付应用。
[0076] 通过设备上的安全元件的安全金融交易的执行
[0077] 现在同时参照图1、2、4、5和图9a_c，图9a_c是用于在依据本发明前面描述的实施 方式的设备上进行安全金融交易的安全元件和多个其它实体之间的通信流程的流程图表 示。特别地，金融机构10或支付卡公司8的金融服务器910被表示。在设备12的CPU42 上执行的支付控制应用208被表示。NFC接口 19被表示。设备12的安全元件16被表示 (支付小程序810在安全元件16上执行）。而且，近耦合集成电路卡（PICC)920被表示。 PICC920集成在非接触式启用支付装置中（诸如，移动电话17或信用卡13)，并包含与金融 账户相关的数据。金融账户与金融机构10或支付卡公司8相关。
[0078] 在图9a_c中阐释的实施方式中，支付控制应用208和安全元件16之间的通信通 过NFC接口 19(例如，经由非接触式前端CLF)进行。供选择的实施方式同样也是可应用的。 例如，通信可以通过控制电路40进行。
[0079] 同样，在图9a_c中阐释的实施方式中，用于读取金融账户相关的数据的设备12的 接口 18是设备12的NFC接口 19。作为选择，接口可以是设备12的智能卡读卡器55或磁 条读出器52。
[0080] 用户经由支付控制应用208启动了金融交易，并且金融交易对应的金额被指定。 支付控制应用208经由NFC接口 19发送开始支付小程序消息给安全元件16。安全元件16 被激活，并且支付小程序810在安全元件16上被启动。安全元件16可以确认支付小程序 810 (未在图9a-c中表示）的启动。然后，支付控制应用208经由NFC接口 19发送开始交 易消息（带有金额）到安全元件16。
[0081] 安全元件16发送请求给NFC接口 19以启用NFC接口 19的读取器模式。NFC接口 19的无线电频率（RF)和非接触式功能被激活。PICC920通告它的存在，并且NFC接口 19 检测PICC920的存在。NFC接口 19通知PICC920的存在给安全元件16。
[0082] 安全元件16利用检测到的PICC920启动支付交易。第一步包括发送（经由NFC 接口 19)选择近距离支付系统环境（PPSE)请求到PICC920。PICC920使用表示被PICC920 支持的支付应用的响应应答（经由NFC接口 19)这个请求。安全元件16在那些可用的应 用中选择一个支付应用，并发送（经由NFC接口 19)选择应用标识符（选择AID)请求到 PICC920。PICC920使用表示支付应用的选择的状态（可以/不可以）以及关于选择的支付 应用的配置选项的响应应答（经由NFC接口 19)这个请求。
[0083] 第二步包括从PICC920读取用于选择的支付应用的支付凭证（例如，密码、证书、 支付卡号）。协议交换经由NFC接口 19发生在安全元件16和PICC920之间以读取支付凭 证。这个协议交换是EMV兼容的，以确保支付凭证的安全读取。在这个第二步之后，安全元 件16不需要与PICC920通信。因此，安全元件16发送请求到NFC接口 19以不激活RF和 NFC接口 19的非接触式功能。
[0084] 可选的步骤包括安全元件16和支付控制应用208之间的交换（经由NFC接口 19) 以证实支付凭证。例如，支付控制应用208可以检索PICC920关联的PIN码（经由PICC920 的所有者与设备12的显示器46和键盘48的交互）。PIN码被传递到安全元件16并被用 来证实支付凭证。
[0085] 第三步包括启动与金融服务器910的通信。这些安全元件16发送请求（经由NFC 接口 19)到支付控制应用208以建立与金融服务器910的通信信道。支付控制应用208使 用设备12的网络资源经由设备的通信接口 38建立安全元件16与金融服务器910之间的 通信信道。然后，安全元件16和金融服务器910在通信信道上建立安全的通信；经由例如， 证书、加密密钥等的交换。
[0086] 第四步包括请求来自金融机构的授权。安全元件16通过安全的通信信道发送授 权交易的请求到金融服务器910。授权请求包括用于授权交易的多个参数；例如，金额、支 付凭证、销售商ID (销售商ID可以存储在安全元件16中以使用由设备12实现的销售点应 用识别销售商）。金融服务器910处理授权请求，确定金融交易是否应该被授权，并通过安 全的通信信道发送对授权请求的响应。在该时刻，安全的通信信道被关闭，因为在安全元件 16和金融服务器910之间不再需要通信。
[0087] 在第五步，安全元件16处理金融机构的响应并确定金融交易的状态：被接受或者 被拒绝。安全元件16还处理已经被金融服务器910随同交易的状态传送的参数。例如，安 全元件16可以产生支付统计图。然后，安全元件16向支付控制应用208传送（经由NFC 接口 19)交易状态的通知，以及可能存在的参数（例如，支付统计图）。
[0088] 在第六步中，支付控制应用208通知用户交易状态。并且支付控制应用208发送 (经由NFC接口 19)停止支付小程序消息到安全元件16。支付小程序810在安全元件16 上停止，并且安全元件16被解除激活。
[0089] 现在参考图10,其是安全元件和金融机构之间的安全的通信信道的图解表示。安 全的通信信道950被建立在移动设备12的安全元件16和金融机构服务器910之间，并且 阐释了前面描述的图9a-c相关的安全的通信信道。安全的通信信道950通过移动设备12 的各种实体被建立，包括例如，支付控制应用208和移动设备12的CPU (未在图10中表示） 的操作系统。安全的通信信道950经由移动设备12支持的通信接口的一个被建立。为了 说明的目的，三个通信接口被表示在图10中（无线网络、蓝牙和蜂窝数据）；蜂窝数据接口 被用于通信信道950的建立。安全的通信信道950通常通过非安全网络915 (在本说明中 的蜂窝数据网络）在移动设备12和金融机构服务器910之间被建立。安全的通信信道950 最初是不安全的或部分安全的通信信道。安全化（如图9a-c中说明的）通过安全元件16 和金融机构服务器910在第二阶段被执行（例如，经由加密密钥、证书等的交换和使用），以 实现用于通过安全的通信信道950执行安全金融交易所需要的合适的安全级别。
[0090] 安全元件上的支付软件的安全加载、配置和更新
[0091] 现在参考图11，其是依据本发明的一个实施方式的安全元件中的支付软件加载、 更新和配置过程的图解表示。移动设备12的安全元件16可以与多个实体通信，为了加载， 更新和配置由安全元件16执行的支付软件（例如，图8c中表示的支付小程序810)。这种 实体包括可信服务管理器（TSM)、金融机构和第三方服务器。
[0092] 可信服务管理器（TSM)是为安全元件（例如，SM卡、嵌入的安全元件、MicroSD 卡）中的客户端管理安全域（ISD或SSD)的第三方。TSM具有适当的基础结构以安全地存 储和使用加密密钥访问安全域、存储软件和数据、以及远程访问安全元件。TSM使安全元件 16上的软件和数据的可信的和远程的部署成为可能而不必物理访问设备12。替代TSM，金 融机构服务器或第三方服务器可以被使用，以管理将加载在安全元件16中的软件和数据 的安全储存和安全部署。尤其，第三方服务器在功能方面与TSM大致相似，但是可能不具有 与完全成熟的TSM关联的所有的安全约束和责任。在第一步中，通信信道在设备12上执行 的支付控制应用208与TSM/金融机构服务器/第三方服务器之间打开。在第二步中，TSM/ 金融机构服务器/第三方服务器打开了与设备12上的安全元件16的安全通信信道，在安 全元件16上与适当的安全域接口连接，并且安全地加载安全元件16上的软件和数据。
[0093] 加载/更新/配置过程使用移动设备12的通信接口（例如，无线网络、蓝牙或蜂 窝数据）中的一个通常经由非安全网络915(例如，蜂窝数据网络）被执行。因此，加载/ 更新/配置过程需要被保护，如将相对于图12被进一步说明的。加载/更新/配置过程通 常依据特定（安全的）协议被执行，例如依据全球平台协议。
[0094] 在供选择的实施方式中（未在图11中表示），代替使用通信网络915,包含将被上 载到安全元件12中的软件和数据的MicroSD卡可以被使用。
[0095] 现在参照图12,其是描述依据本发明的一个实施方式的安全元件中的支付软件加 载、更新和配置过程的流程图。该流程图阐释了为了实现销售点应用，嵌入了安全元件的移 动设备上的所有必需软件和数据的全面安装。
[0096] 在第一步中，移动设备的用户下载用于它的受理方（例如，图12中表不的TSM、金 融机构服务器或第三方服务器）的支付应用到移动设备（例如，从市场、应用商店等等）。 用户启动由移动设备的CPU执行的支付应用。支付应用为了联系受理方请求用户输入它的 凭证。用户输入它的凭证。支付应用通过安全连接联系受理方。受理方证实用户的凭证。 如果凭证无效，那么用户被支付应用请求再次输入其凭证。
[0097] 在第二步中（一旦凭证已经被证实），支付应用打开受理方和安全元件之间的通 信信道。打开这个通信信道的步骤相似于相对于图10描述的一个步骤。受理方和安全元 件的安全域在通信信道上建立安全的通信，提供它们之间的验证和安全消息。
[0098] 在第三步中，受理方加载特定的支付小程序到安全元件中，根据用于移动设备的 用户的适当的配置（销售点功能）选择特定的支付小程序。然后，受理方激活小程序。
[0099] 在第四步中，相互验证在受理方和支付小程序之间被执行；并且安全的通信在它 们之间被建立（通过受理方和安全元件之间已经建立的安全通信信道）。然后，受理方加 载加密证书和私人密钥到支付小程序中。受理方加载移动设备的用户特定的配置数据（销 售点功能）到支付小程序中。配置数据可以包括受理方的主机名称、连接凭证、客户EMV标 签、激活的支付模块（例如，PayPass、PayWave)、国家代码和币种等等。支付小程序现在准 备被使用。
[0100] 支付小程序的更新可以根据前面描述的第二、第三和第四步被执行。
[0101] 虽然已经参考以特定顺序执行的特定步骤描述和示出了如上描述的本发明的实 施方式，但是应该理解的是这些步骤可以被合并、细分或重新排序而不偏离本发明的教导。 因此，这些步骤的顺序和分组不是本发明的限制。
[0102] 对本发明的上述实施方式的修改和改进对本领域普通技术人员可以变得明显。上 述说明旨在是示例性的，而不是限制性的。因此，本发明的范围旨在仅由所附权利要求的范 围所限定。
【权利要求】
1. 一种在作为支付终端的设备上进行安全金融交易的方法，所述设备包括中央处理单 元和安全元件，所述方法包括： 获得从金融帐户记入借方的购买金额； 通过所述设备获得关于所述金融账户的数据；以及 从所述金融账户的相关的金融机构获取交易授权，所述授权至少部分地基于独立于由 所述中央处理单元处理的数据由所述安全元件单独处理的数据； 其中由所述安全元件单独处理的所述数据包括所获得的关于所述金融账户的数据的 至少一部分。
2. 根据权利要求1所述的方法，其中关于所述金融账户的所述数据位于所述设备的外 部。
3. 根据权利要求1所述的方法，其中从所述金融账户相关的所述金融机构获取所述交 易授权包括将由所述安全元件单独处理的所述数据传送到所述金融机构以产生所述交易 授权。
4. 根据权利要求1所述的方法，其中获得关于所述金融账户的所述数据包括通过所述 设备的非接触式接口和所述设备的智能卡读卡器中的一个获得数据。
5. 根据权利要求4所述的方法，其中获得关于所述金融账户的所述数据包括来自支付 卡的接触式读出数据和来自支付卡和移动设备中的一个的非接触式读出数据中的一个。
6. 根据权利要求1所述的方法，其中获得关于所述金融账户的所述数据包括通过所述 设备的磁条读出器获得数据。
7. 根据权利要求6所述的方法，其中获得关于所述金融账户的所述数据包括来自支付 卡的磁条的接触式读出数据。
8. 根据权利要求1所述的方法，其中依据泛欧卡、万事达卡和维萨EMV认证的交易过程 来进行由所述安全元件处理所述数据以从所述金融机构获得所述授权。
9. 根据权利要求1所述的方法，其中获得关于所述金融账户的所述数据包括通过所述 设备获得个人识别码PIN、签名、密码和生物特征数据中的至少一个。
10. 根据权利要求1所述的方法，其中关于所述金融账户的所述数据包括密钥、证书和 支付卡号中的至少一个。
11. 一种用于进行安全金融交易的作为支付终端的设备，所述设备包括： 中央处理单元； 通信接口，其被配置为在所述设备和金融账户相关的金融机构之间建立通信； 接口，其用于获得关于所述金融账户的数据； 安全元件，其用于处理通过所述接口获得的关于所述金融账户的所述数据的至少一部 分；以及 控制逻辑，其被配置为获得从所述金融帐户记入借方的购买金额并从所述金融账户相 关的所述金融机构获取交易授权，所述交易授权至少部分地基于独立于由所述中央处理单 元处理的数据由所述安全元件单独处理的数据； 其中由所述安全元件单独处理的数据包括所获得的关于所述金融账户的数据的至少 一部分。
12. 根据权利要求11所述的设备，其中关于所述金融账户的所述数据位于所述设备外 部。
13. 根据权利要求11所述的设备，其中所述控制逻辑被配置为传送由所述安全元件单 独处理的所述数据到所述金融机构以产生所述交易授权。
14. 根据权利要求11所述的设备，其中所述接口是智能卡读卡器和非接触式接口中的 一个，所述智能卡读卡器被配置为从支付卡接触式地读出数据，所述非接触式接口被配置 为从支付卡和移动设备中的一个非接触式地接收数据。
15. 根据权利要求14所述的设备，其中所述支付卡是维萨Paywave?认证卡、万事 达卡PayPass?认证卡、美国捷运ExpressPay?认证卡、interac Flash?认证卡和发现者 Zip?认证卡中的一个。
16. 根据权利要求14所述的设备，其中所述移动设备嵌入维萨Paywave?_认证模块、 万事达卡PayPass?认证模块、美国捷运ExpressPay?认证模块、imerac Flash?认证模 块、发现者Zip?'认证模块和谷歌钱包⑧模块中的一个。
17. 根据权利要求11所述的设备，其中所述接口是磁条读出器，其被配置为从支付卡 的磁条接触式地读出数据。
18. 根据权利要求11所述的设备，其中所述安全元件被配置为与泛欧卡、万事达卡和 维萨EMV交易过程兼容。
19. 根据权利要求11所述的设备，其中所述安全元件被配置为依据EMVCo、 万事达卡?、维萨?、美国捷运?、JCB?、发现者⑧和？^ SSC中的一个认证标 准处理由所述接口获得的数据。
20. 根据权利要求11所述的设备，其中所述安全元件嵌入在芯片组中，所述芯片组包 括指令以运行： 泛欧卡、万事达卡和维萨EMV交易模块，其被配置为处理依据认证标准由所述接口所 获得的数据；以及 操作系统0S，其被配置为依据所述EMVCo标准的级别1处理由所述EMV交易模块提供 的数据。
21. 根据权利要求20所述的设备，其中所述0S是Java卡⑧和全球平台中的一个。
22. 根据权利要求20所述的设备，其中所述EMV交易模块是非接触式交易模块和接触 式交易模块中的一个。
23. 根据权利要求20所述的设备，其中所述认证标准是来自EMVCo、 万事达卡?、维萨?、美国捷运?、JCB?、发现者(1)和？(：1 SSC中的一个的认证 标准。
24. 根据权利要求23所述的设备，其中所述EMV交易模块依据所述认证标准的级别2 和所述认证标准的级别3中的至少一个被认证。
25. 根据权利要求11所述的设备，其中所述中央处理单元运行金融交易应用，其被配 置为控制所述安全元件而不访问由所述安全元件处理的所述数据的某一些数据。
26. 根据权利要求11所述的设备，其中所述安全元件嵌入在所述设备的电路上嵌入的 芯片组、用户身份模块SIM卡、安全数字SD卡、非易失性存储卡和插入到所述设备的外壳中 的一个中。
27. 根据权利要求11所述的设备，其中所述控制逻辑被配置为从所述设备的用户获得 个人识别码PIN、签名、密码和生物特征数据中的至少一个。
28. 根据权利要求11所述的设备，其中所述设备是多用途设备、移动设备、移动电 话设备、苹果手机?的模型、黑莓手机?的模型、银河手机?的模型、平板电脑、 苹果平板电脑?的模型、银河平板电脑?的模型、PlayBook?的模型、手提电脑、个 人电脑、打印机、点钞机、支付终端、自动取款机atm、自动售货机、电视机、视频游戏系统、接 入互联网的机顶盒和苹果公司的苹果电视机?中的一个。
29. 根据权利要求11所述的设备，其中关于所述金融账户的所述数据包括密钥、证书 和支付卡号的至少一个。
30. -种用于安装在作为支付终端的设备中的安全元件，所述安全元件包括指令以运 行： 泛欧卡、万事达卡和维萨EMV交易模块，其被配置为依据认证标准处理由所述设备的 接口获得的数据；以及 操作系统0S，其被配置为依据所述EMVCo标准的级别1处理由所述EMV交易模块提供 的数据。
31. 根据权利要求30所述的安全元件，其中所述0S是Java卡?和全球平台中的一个。
32. 根据权利要求30所述的安全元件，其中所述安全元件嵌入在所述设备的电路上嵌 入的芯片组、用户身份模块SIM卡、安全数字SD卡、非易失性存储卡和插入到所述设备的外 壳中的一个中。
33. 根据权利要求30所述的安全元件，其中所述EMV交易模块是非接触式交易模块和 接触式交易模块中的一个。
34. 根据权利要求30所述的安全元件，其中所述认证标准是来自EMVCo、 万事达卡?、维萨?、美国捷运?、JCB?、发现者?*PCI SSC中的一个的认证 标准。
35. 根据权利要求34所述的安全元件，其中所述EMV交易模块依据所述认证标准的级 别2和所述认证标准的级别3的至少一个被认证。
36. 根据权利要求30所述的安全元件，其中所述EMV交易模块执行： 从运行在所述设备上的支付控制应用接收进行金融交易的请求； 经由所述设备的所述接口从支付装置获得关于金融账户的数据； 通过所述设备的通信接口建立与所述金融账户相关的金融机构的服务器的安全通信 信道； 通过所述安全通信信道发送执行所述金融交易的授权请求到所述服务器，所述授权请 求包括所述金融账户相关的所述数据的至少一部分； 通过所述安全通信信道从所述服务器接收所述授权请求的响应； 处理所述授权请求的所述响应以产生所述金融交易的状态；以及 发送所述金融交易的所述状态到所述支付控制应用。
37. 根据权利要求36所述的安全元件，其中进行所述金融交易的所述请求包括从所述 金融账户记入借方的购买金额。
38. 根据权利要求36所述的安全元件，其中所述设备的所述接口是非接触式接口，其 被配置为非接触式地接收数据，并且所述支付装置是支付卡和移动设备中的一个。
39. 根据权利要求36所述的安全元件，其中所述设备的所述接口是智能卡读卡器，其 被配置为接触式地读出数据，并且所述支付装置是支付卡。
40. 根据权利要求36所述的安全元件，其中所述设备的所述接口是磁条读出器，其被 配置为接触式地读出数据，并且所述支付装置是带有磁条的支付卡。
41. 根据权利要求36所述的安全元件，其中所述金融账户相关的所述数据包括密钥、 证书和支付卡号的至少一个。
42. -种由作为支付终端的设备所执行的计算机程序产品，所述设备具有嵌入了计算 机程序逻辑的计算机可读储存介质，所述计算机程序逻辑在由所述设备执行时运行： 泛欧卡、万事达卡和维萨EMV交易模块，其被配置为依据认证标准处理由所述设备的 接口所获得的数据；以及 操作系统OS，其被配置为依据所述EMVCo标准的级别1处理由所述EMV交易模块提供 的数据。
43. 根据权利要求42所述的计算机程序产品，其中所述EMV交易模块执行： 从运行在所述设备上的支付控制应用接收进行金融交易的请求； 经由所述设备的所述接口从支付装置获得关于金融账户的数据； 通过所述设备的通信接口建立与所述金融账户相关的金融机构的服务器的安全通信 信道； 通过所述安全通信信道发送执行所述金融交易的授权请求到所述服务器，所述授权请 求包括所述金融账户相关的所述数据的至少一部分； 通过所述安全通信信道从所述服务器接收所述授权请求的响应； 处理所述授权请求的所述响应以产生所述金融交易的状态；以及 发送所述金融交易的所述状态到所述支付控制应用。
44. 根据权利要求43所述的计算机程序产品，其中进行所述金融交易的所述请求包括 从所述金融账户记入借方的购买金额。
45. 根据权利要求43所述的计算机程序产品，其中所述设备的所述接口是非接触式接 口，其被配置为非接触式地接收数据，并且所述支付装置是支付卡和移动设备中的一个。
46. 根据权利要求43所述的计算机程序产品，其中所述设备的所述接口是智能卡读卡 器，其被配置为接触式地读出数据，并且所述支付装置是支付卡。
47. 根据权利要求43所述的计算机程序产品，其中所述设备的所述接口是磁条读出 器，其被配置为接触式地读出数据，并且所述支付装置是带有磁条的支付卡。
48. 根据权利要求43所述的计算机程序产品，其中所述金融账户相关的所述数据包括 密钥、证书和支付卡号的至少一个。
49. 根据权利要求43所述的计算机程序产品，其中所述0S是Java-p?和全球平台中 的一个。
50. 根据权利要求43所述的计算机程序产品，其中所述计算机程序逻辑被安全元件运 行。
51. 根据权利要求43所述的计算机程序产品，其中所述安全元件嵌入在所述设备的电 路上嵌入的芯片组、用户身份模块SM卡、安全数字SD卡、非易失性存储卡和插入到所述设 备的外壳中的一个中。
52. 根据权利要求43所述的计算机程序产品，其中所述EMV交易模块是非接触式交易 模块和接触式交易模块中的一个。
53. 根据权利要求43所述的计算机程序产品，其中所述认证标准是来自EMVCo、 万事达卡?、维萨?、美国捷运?、JCB?、发现者@和？(：1 SSC中的一个的认证标准。
54. 根据权利要求53所述的计算机程序产品，其中所述EMV交易模块依据所述认证标 准的级别2和所述认证标准的级别3的至少一个被认证。
55. 根据权利要求42所述的计算机程序产品，其中所述计算机可读储存介质是非暂时 性的计算机可读储存介质。
56. -种由作为支付终端的设备所执行的计算机程序产品，所述设备具有嵌入了计算 机程序逻辑的计算机可读储存介质，所述计算机程序逻辑，在由所述设备执行时，运行支付 控制应用以执行： 获得从金融账户记入借方的购买金额； 将所述购买金额传送到所述设备的安全元件上运行的交易模块； 在所述安全元件上运行的所述交易模块和金融机构的服务器之间建立通信信道；以及 从所述安全元件上运行的所述交易模块接收金融交易的状态； 其中所述金融交易的所述状态对应于对执行所述金融交易的授权请求的响应，所述授 权请求由运行在所述安全元件上的所述交易模块通过所建立的通信信道发送到所述金融 机构的所述服务器。
57. -种由作为支付终端的设备所执行的计算机程序产品，所述设备具有嵌入了计算 机程序逻辑的计算机可读储存介质，所述计算机程序逻辑，在由所述设备执行时，运行交易 模块以执行： 从运行在所述设备上的支付控制应用接收进行金融交易的请求； 经由所述设备的接口从支付装置获得关于金融账户的数据； 通过所述设备的通信接口建立与所述金融账户相关的金融机构的服务器的安全通信 信道； 通过所述安全通信信道发送执行所述金融交易的授权请求到所述服务器，所述授权请 求包括所述金融账户相关的所述数据的至少一部分； 通过所述安全通信信道从所述服务器接收所述授权请求的响应； 处理所述授权请求的所述响应以产生所述金融交易的状态；以及 发送所述金融交易的所述状态到所述支付控制应用。
58. -种在作为支付终端的设备上进行安全金融交易的方法，所述设备包括中央处理 单元和安全元件，所述方法包括： 获得从金融帐户记入借方的购买金额； 通过所述设备获得关于所述金融账户的数据，关于所述金融账户的所述数据位于所述 设备的外部；以及 从所述金融账户相关的金融机构获取交易授权，所述授权至少部分地基于独立于由所 述中央处理单元处理的数据由所述安全元件单独处理的数据； 其中由所述安全元件单独处理的所述数据包括所获得的关于所述金融账户的数据的 至少一部分，并且由所述安全元件单独处理的所述数据被传送到所述金融机构以产生交易 授权。
59. -种用于进行安全金融交易的作为支付终端的设备，所述设备包括： 中央处理单元； 通信接口，其被配置为在所述设备和金融账户相关的金融机构之间建立通信； 接口，其用于获得关于所述金融账户的数据，关于所述金融账户的所述数据位于所述 设备外部； 安全元件，其用于处理通过所述接口获得的关于所述金融账户的所述数据的至少一部 分；以及 控制逻辑，其被配置为获得从所述金融帐户记入借方的购买金额并从所述金融账户相 关的所述金融机构获取交易授权，所述交易授权至少部分地基于独立于由所述中央处理单 元处理的数据由所述安全元件单独处理的数据； 其中由所述安全元件单独处理的数据包括所获得的关于所述金融账户的数据的至少 一部分，并且由所述安全元件单独处理的所述数据被传送到所述金融机构以产生所述交易 授权。
【文档编号】G06Q20/34GK104145285SQ201380011751
【公开日】2014年11月12日 申请日期:2013年2月28日 优先权日:2012年2月29日
【发明者】塞巴斯蒂安·方丹, 吕克·多齐诺, 本杰明·杜海斯, 马克西姆·德南科拉斯, 赛维尔·阿尔贝蒂 申请人:莫比威孚公司