用于操作便携式电子设备以进行移动支付交易的装置和方法与流程

背景技术：

本公开整体涉及电子设备，并且更具体地涉及操作电子设备以进行移动支付交易。

便携式电子设备诸如蜂窝电话有时具有近场通信(NFC)电路，该NFC电路允许电子设备执行与对应的NFC读取器的基于非接触式邻近性的通信。通常，用户设备中的NFC电路用于执行要求用户设备验证并访问商业凭据诸如信用卡凭据的金融交易或其他安全数据事务。执行此类移动金融交易所必需的安全数据通常被存储在电子设备内的安全元件上。

考虑安全元件存储与给定信用卡凭据对应的安全数据的情景。该安全元件应当仅在被授权的移动支付交易期间才输出安全数据(即，未被授权的用户应当不能访问设备上的支付功能)。因此期望为被授权的用户提供一种提供导致暂时激活用户设备上的支付功能的某种输入的方式。

技术实现要素：

本发明提供了一种用于操作便携式电子设备以进行移动支付交易的装置和方法。

根据一个实施方案，该电子设备可包括安全元件和与该安全元件进行通信的处理器。该电子设备可被配置为从用户接收支付发起输入。响应于接收到该支付发起输入，该安全元件可用于向处理器发送用于指示已从用户接收到支付发起输入的通知。之后，该安全元件可用于与处理器进行通信，以暂时激活安全元件以用于支付。

根据另一实施方案，该便携式电子设备可包括用于安全存储商业凭据的安全元件、被配置为经由安全信道与安全元件进行通信的应用处理器、和用于与设备的用户进行交互的输入-输出设备。安全元件可具有相关联的安全元件标识符(SEID)。

在利用设备来执行金融交易之前，可要求用户启用设备上的密码锁定功能。当密码锁定功能被启用时，设备可在设备空闲时被置于锁定状态中，并且可在用户能够提供正确密码时被置于解锁状态中。响应于从用户接收到正确密码，应用处理器可从被保持在应用处理器上的用户钥匙串(例如，安全地存储敏感用户信息的钥匙串)检索随机授权号“AuthRand”。

输入-输出设备可用于从被授权用户接收用于发起移动支付交易的某些预先确定的输入序列。例如，用户可在按钮上按压两次来发信号通知该设备意图使用商家终端处的该设备来进行基于NFC的金融交易。根据一个实施方案，安全元件可具有响应于检测到预先确定的用户输入序列来将“接收到用户输入”标记置为有效(assert)的非接触式注册服务(CRS)小应用程序。

电子设备还可包括用于检测来自用户的预先确定的输入序列的电力管理单元(PMU)。PMU可以是不可重新配置的数字状态机(作为示例)。PMU可在从用户接收到预先确定的输入序列时从输入-输出设备接收触发信号。该触发信号可指示PMU向应用处理器和安全元件两者发送提示(例如，向应用处理器和安全元件发送被置为有效的启用信号)。

安全元件可用于确认所接收的用户输入是有效的预先确定的用户输入序列(例如，通过监测由电力管理单元输出的授权信号的状态)。电力管理单元可响应于检测到有效的用户支付发起输入序列而将授权信号置为有效预先确定的时间段。一旦用户输入已被验证，安全元件上的非接触式注册服务(CRS)小应用程序便可将“接收到用户输入”控制标记置为有效，并且安全元件可被配置为向应用处理器发送用于指示已接收到有效的用户输入序列(在本文中有时被称为支付发起输入)的通知。

响应于从安全元件接收到通知，应用处理器可用于基于安全元件的SEID和/或基于应用处理器的唯一标识符来推导认证密钥“AuthKey”。然后，安全元件可向应用处理器发送卡密文。应用处理器可使用所推导的AuthKey来对卡密文进行解码，并且可用于通过至少将卡密文的一部分与所检索的AuthRand进行比较来确定是否继续激活安全元件上的支付小应用程序。如果卡密文的一部分与所检索的AuthRand匹配，则应用处理器可继续向安全元件发送主机密文。例如，主机密文可使用基于密码的消息认证代码(CMAC)算法利用AuthKey进行加密。

安全元件可从应用处理器接收主机密文，并且可用于通过分析所接收的主机密文的至少一部分来确定是否要继续激活支付小应用程序。如果主机密文的一部分满足设计标准，则CRS小应用程序可用于暂时激活支付小应用程序。这时，用户可使电子设备位于商家终端的场内，以完成移动支付交易。

提供发明内容仅仅是为了概述一些示例性实施方案，以便提供对本文所述主题的一些方面的基本了解。因此，应当理解，上文所述的特征结构仅为示例并且不应理解为以任何方式缩小本文所述主题的范围或实质。本文所述主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

图1是根据实施方案的其中一个或多个用户设备可用于执行移动支付交易的示例性系统的图示。

图2A是根据实施方案的示例性主用户设备的透视图。

图2B是根据实施方案的示例性辅用户设备的透视图。

图3是根据实施方案的图1的主用户设备中的示例性电路的示意图。

图4是根据实施方案的图1的辅用户设备中的示例性电路的示意图。

图5是根据实施方案的在激活用户设备以用于移动支付的过程中所涉及的示例性步骤的流程图。

图6是示出根据实施方案的在支付激活操作期间的用户设备内的不同部件之间的信息流的图示。

图7是示出根据实施方案的由预先确定的用户输入触发的事件序列的时序图。

图8是根据实施方案的用于使用电力管理单元来检测用于发起移动支付的有效用户输入的示例性步骤的流程图。

具体实施方式

图1示出了系统100的图示，其中凭据信息可利用服务提供方子系统112来从支付网络子系统122提供到一个或多个电子设备上。已从支付网络子系统122提供有商业凭据的用户设备可用于与商家终端诸如商家终端108进行金融交易。用户设备例如可经由基于非接触式邻近性的通信(例如，使用近场通信(NFC)标准)来与商家终端108进行通信。终端108(有时被称为“销售”终端)可包括NFC读取器，以用于从附近电子设备检测、读取或以其他方式接收信息。

例如，用户可将电子设备保持在商家终端108的范围内，以发起商业交易。不需要存在用户设备与商家终端之间的实际物理接触。在电子设备位于商家终端108的范围内时(例如当用户设备在终端108的10cm内时、当用户设备在终端108的5cm内时、当用户设备在终端108的1cm内时、或者当用户设备与商家终端之间的距离具有其他合适的值时)，电子设备可将所选择的商业凭据发送至商家终端108。响应于接收到所选择的商业凭据，商家终端108可通过将所接收的商业凭据转发给相应支付处理器(未示出)来完成支付。支付处理器可利用用户商业凭据来完成与支付网络子系统122的交易。支付交易经由NFC执行的这个实施方案仅仅是示例性的，并不限制本发明的范围。如果需要，任意两个电子设备之间的金融交易可通过通信链路、个人区域网(PAN)通信链路、无线局域网(WLAN)通信链路、或其他短距离无线通信链路来执行。

支付网络子系统122可由包括多个发行银行和/或收单银行(例如，支付处理器)的网络的金融实体来运营。支付网络子系统122处的金融实体可充当与和不同品牌的商业凭据相关联的一个或多个发行银行/收单银行合作的一般性支付卡协会(例如，信用卡协会)，并且有时可被称为支付网络运营方。支付网络运营方和相关联的发行银行/收单银行可以是单一实体或分开的实体。

例如，American Express是支付网络运营方和发行银行/收单银行两者。又如，Visa和MasterCard可以是与其他发行银行/收单银行诸如Bank of America、Wells Fargo、和Chase(举例来说)合作的支付网络运营方。发行银行可以是对于每个用户清偿利用特定品牌的支付卡所发生债务的能力来承担主债务责任的金融机构。可发行的各种类型的支付卡可包括但不限于信用卡、借记卡、签帐卡、储值卡、汽油优惠卡、和礼品卡。

用户支付卡凭据可使用服务提供方子系统诸如服务提供方子系统112从此类金融实体提供到用户设备上。服务提供方子系统112可被配置为提供另一层安全性和/或提供更无缝的用户体验。例如，服务提供方子系统112可由为用户提供各种服务的商业服务实体来运营，该各种服务可包括：用于销售/租赁将由用户设备播放的媒体的在线商店、用于销售/租赁在用户设备上运行的应用程序的在线商店、用于在多个用户设备之间备份和同步数据的在线存储服务、用于跟踪用户设备的位置并远程控制该设备的远程设备管理服务、允许用户购买附加用户设备或产品(例如，由该商业实体制造的产品)的在线商店等等。又如，服务提供方子系统112可由移动网络运营方诸如Verizon或AT&T运营。

在任一情景中，服务提供方子系统112处的商业实体可至少向不同的用户提供其各自的个性化账户，以用于访问由该商业实体所提供的服务。每个用户帐户可与个性化用户识别(或账户ID)和用户可用于登录其账户的密码相关联。一旦登录，便可给予用户机会来将一个或多个商业凭据(例如支付卡)提供到用户设备上，以使得用户设备能够使用由商业实体提供的服务来购买商品和/或在商家终端108处执行金融交易。

一般来讲，服务提供方子系统112处的商业实体和支付网络子系统122处的金融实体被视为是分开的实体。商业实体可利用与其每个用户账户相关联的任何已知的凭据信息来更安全地确定由支付网络运营方所提供的特定凭据是否应当被提供到给定用户设备上。如果需要，则商业实体还可利用其能够(例如经由软件或固件更新)配置或控制用户设备的各个部件的能力，以便在用户想要将由支付网络运营方所提供的凭据提供到给定用户设备上时为用户提供更无缝的体验。

如图1所示，服务提供方子系统112可包括代理人模块114、可信服务管理器(TSM)模块116、和基于网络的服务模块118。代理人模块114可用于管理与商业实体用户账户的用户认证，并且还可用于管理生命周期，以及将凭据提供到用户设备上。代理人模块114还可被配置为控制被显示在用户设备上的用户界面(例如，图形用户界面)，以及处理与在用户设备上提供商业凭据相关的任何用户输入。当期望将卡被提供到用户设备上时，代理人模块114可经由路径120来向支付网络子系统122发送通知。

响应于接收到来自代理人模块114的这个通知，支付网络子系统122可直接与TSM模块116进行通信，以在用户设备上执行凭据提供操作。TSM 116可用于提供基于GlobalPlatform或其他安全交易的服务，使得TSM 116可在服务提供方子系统112和用户设备内的安全元件之间建立安全信道。商业凭据、支付卡信息、和/或其他敏感账户数据于是可经由安全信道被传送给设备中的安全元件。一般来讲，TSM 116可使用公钥/私钥或其他加密方案来确保服务提供方子系统112与用户设备内的安全元件之间的通信是安全的。

基于网络的服务模块118可用于允许用户在计算服务器的网络上存储数据诸如音乐、照片、视频、联系人、多媒体消息、电子邮件、日历、记事、提醒、应用程序、文档、设备设置、和其他信息，使得数据可跨多个用户设备而同步(例如模块118允许用户将存储在其设备上的数据备份到与服务提供方子系统相关联的服务器上)。该备份数据可用于恢复用户设备或者设置新的用户设备(作为示例)。

基于网络的服务模块118还可被配置为允许用户寻找丢失的设备(有时被称为“寻找我的设备”特征)、在不同设备之间分享媒体、和/或跨不同用户设备来将敏感信息(例如商业凭据信息、网址账户登录信息、账户信息等)保持为最新的。任何敏感用户信息可作为用户“钥匙串”的一部分被存储，用户“钥匙串”可被存储在用户设备上和/或基于网络的服务模块118上。只有被授权用户才应具有对钥匙串的访问权限。钥匙串中的内容可使用行业标准加密技术(例如，使用至少128位AES加密)来进行保护。以这种方式配置的模块118有时被称为“云”存储装置或云计算模块。

仍然参考图1，用户可拥有多个设备诸如设备10和102。设备10可被称为“主”用户设备，而设备102可被称为“辅”用户设备。一般来讲，主用户设备10可具有比辅用户设备102更多的功能。例如，主用户设备10可充当用户的主要设备，以用于在访问由服务提供方子系统112提供的整个一系列服务时使用、以用于进行电话呼叫、以用于选择要在设备10和102中的一个设备上提供的新卡、以用于捕获图像、以及以用于访问互联网，而辅用户设备102可充当附件设备，以用于在只访问由服务提供方子系统112处的商业实体所提供的服务的子集时使用。然而，应当理解，术语“主”和“辅”用于便于描述，并且在一些情况下，“辅”设备实施与由“主”设备所实施的功能相同或更大的功能。

主用户设备10或辅用户设备102中的任一者可用于在商家终端108处执行移动支付交易。能够进行这种类型的基于NFC的金融交易的每个设备可具有安全元件。安全元件可以是能够根据公认的可信权威机构诸如GlobalPlatform所规定的规则和安全要求来安全地托管应用程序及其保密和密码数据的防篡改部件(例如，作为单芯片或多芯片安全微控制器)。安全元件(SE)可作为通用集成电路卡(UICC)、嵌入式SE、智能安全数字(SD)卡、微SD卡等来提供。敏感用户信息诸如信用卡信息和其他商业凭据可被存储在安全元件上。安全元件提供安全域，该安全域保护用户凭据并且在可信环境中处理所期望的支付交易，而不损害用户数据的安全性。一般来讲，每个安全元件可具有其自身的唯一标识符，其在本文中有时被称为SEID。任何两个安全元件不应具有相同的SEID，并且SEID不能改变。

在一种合适的布置中，用户可操作主用户设备10，以直接在主用户设备上提供一个或多个支付卡。在此类布置中，凭据信息可从支付网络子系统122和/或服务提供方子系统112检索，并且可经由路径110下载到设备10内的安全元件。子系统112和设备10之间的路径110可经由蜂窝电话无线电通信协议或其他远距离无线通信技术和/或经由IEEE 802.11协议(有时被称为)、或其他短距离无线通信技术来支持。

在另一种合适的布置中，用户可操作主用户设备10，以将一个或多个支付卡间接地提供到辅用户设备102上。在此类情景中，可使用在主用户设备10上运行的辅设备凭据管理应用程序(有时被称为“桥接”应用程序)来管理将凭据提供到辅设备102上。在此类布置中，支付网络子系统122可提供期望的支付卡信息，该支付卡信息然后经由主用户设备10和路径106被安全地写入辅设备102上的安全元件中。主用户设备10和辅用户设备106之间的通信路径106可经由(例如经由蓝牙低功耗和/或蓝牙“经典”技术)、IEEE 802.11协议(有时被称为)、或其他短距离无线通信技术来支持(作为示例)。在另外一种合适的布置中，辅设备102可使用任何合适的远距离或短距离无线通信标准(如由路径111所指示的)来直接与服务提供方子系统112进行通信，以获取商业凭据。

图2A示出主用户设备10的透视图。设备10可以是便携式设备，诸如蜂窝电话、媒体播放器、平板电脑、或其他便携式计算设备。图2A的示例仅是示例性的。如果需要，其他配置也可用于设备10。如图2A所示，设备10可包括显示器诸如显示器14。显示器14已被安装在外壳诸如外壳12中。外壳12有时可被称为可由塑料、玻璃、陶瓷、纤维复合材料、金属(例如，不锈钢、铝等)、其他合适的材料或这些材料中的任意两种或更多种的组合形成的外壳或壳体。外壳12可使用一体式构造形成，在该一体式构造中，外壳12的一些或全部外壳被加工或模制成单一结构，或者可使用多个结构(例如，内框架结构、形成外部外壳表面的一种或多种结构等)形成。

显示器14可以是结合有一层传导性电容性触摸传感器电极或其他触摸传感器部件(例如，电阻性触摸传感器部件、声学触摸传感器部件、基于力的触摸传感器部件、基于光的触摸传感器部件等)的触摸屏显示器，或者可以是并非触敏的显示器。电容性触摸屏电极可由氧化铟锡垫阵列或其他透明导电结构形成。

显示器14可包括由液晶显示器(LCD)部件形成的显示像素阵列、电泳显示像素阵列、等离子显示像素阵列、有机发光二极管显示像素阵列、电湿润显示像素阵列、或基于其他显示技术的显示像素。

显示器14可使用显示器覆盖层诸如一层透明玻璃或透光塑料来保护。可在显示器覆盖层中形成开口。例如，可在显示器覆盖层中形成开口，以容纳按钮诸如按钮16。还可在显示器覆盖层中形成开口，以容纳端口诸如扬声器端口18。可在外壳12中形成开口，以形成通信端口(例如，音频插孔端口、数字数据端口等)。

图2B示出辅用户设备102的透视图。电子设备102可为计算设备(诸如膝上型计算机、包含嵌入式计算机的计算机监测器、平板电脑、蜂窝电话、媒体播放器或其他手持式或便携式电子设备)、较小的设备(诸如腕表设备、挂式设备、耳机或听筒设备、嵌入在眼镜或其他佩带在用户头部的配件中的设备、或其他可穿戴式或微型设备)、电视机、不包含嵌入式计算机的计算机显示器、游戏设备、导航设备、嵌入式系统诸如其中具有显示器的电子设备被安装在信息亭或汽车中的系统、实现这些设备中的两个或更多个设备的功能的设备、或其他电子设备。在至少一些实施方案中，辅用户设备102充当主设备10的辅助设备，其中设备102可用于为用户执行专用功能。

图2B所示的其中设备102被图示为可穿戴设备诸如具有表带19的腕表设备的示例仅仅是示例性的。如图2B所示，设备102可包括显示器诸如显示器15。显示器15已被安装在外壳诸如外壳13中。外壳13有时可被称为可由塑料、玻璃、陶瓷、纤维复合材料、金属(例如，不锈钢、铝等)、其他合适的材料或这些材料中的任意两种或更多种的组合形成的外壳或壳体。外壳13可使用一体式构造形成，在该一体式构造中，外壳13的一些或全部外壳被加工或模制成单一结构，或者可使用多个结构(例如，内框架结构、形成外部外壳表面的一种或多种结构等)形成。

显示器15可以是结合有一层传导性电容性触摸传感器电极或其他触摸传感器部件(例如，电阻性触摸传感器部件、声学触摸传感器部件、基于力的触摸传感器部件、基于光的触摸传感器部件等)的触摸屏显示器，或者可以是并非触敏的显示器。电容性触摸屏电极可由氧化铟锡垫阵列或其他透明导电结构形成。

显示器15可包括由液晶显示器(LCD)部件形成的显示像素阵列、电泳显示像素阵列、等离子显示像素阵列、有机发光二极管显示像素阵列、电湿润显示像素阵列、或基于其他显示技术的显示像素。显示器15可使用显示器覆盖层诸如一层透明玻璃或透光塑料来保护。

设备102可具有可用于采集用户输入的一个或多个按钮17。按钮17可基于薄膜开关或其他开关电路。按钮17可包括形成下压按钮(例如，瞬时按钮)、滑动开关、摇臂开关等的按钮构件。如果需要，设备10还可具有附加按钮、扬声器端口、数据端口(诸如数字数据端口和音频连接器端口)、和/或其他输入-输出设备。在一些实施方案中，辅用户设备102上的按钮17中的至少一个按钮可用于使得设备102能够执行安全移动交易。

图3中示出了可在设备10中使用的示例性部件的示意图。如图3所示，设备10可包括控制电路诸如存储和处理电路28。存储和处理电路28可包括存储装置诸如硬盘驱动器存储装置、非易失性存储器(例如，被配置为形成固态驱动器的闪存存储器或其他电可编程的只读存储器)、易失性存储器(例如，静态或动态随机存取存储器)，等等。存储和处理电路28中的处理电路可用于控制设备10的操作。该处理电路可基于一个或多个微处理器、微控制器、数字信号处理器、专用集成电路等。

存储和处理电路28可用于运行设备10上的软件，诸如互联网浏览应用程序、互联网语音协议(VOIP)电话呼叫应用程序、电子邮件应用程序、媒体回放应用程序、操作系统功能、辅设备凭据管理应用程序等。为了支持与外部装置进行交互，存储和处理电路28可用于实现通信协议。可使用存储和处理电路28来实现的通信协议包括互联网协议、无线局域网协议(例如IEEE802.11协议—有时被称为)、用于其他短距离无线通信链路的协议(诸如协议、蜂窝电话协议、MIMO协议、天线分集协议，等等)。

输入-输出电路44可包括输入-输出设备32。输入-输出设备32可用于允许将数据提供至设备10，以及允许将数据从设备10提供至外部设备。输入-输出设备32可包括用户接口设备、数据端口设备、和其他输入-输出部件。例如，输入-输出设备32可包括触摸屏、不具有触摸传感器能力的显示器、按钮、操纵杆、点击轮、滚轮、触摸板、小键盘、键盘、麦克风、相机、按钮、扬声器、状态指示器、光源、音频插孔和其他音频端口部件、数字数据端口设备、光传感器、运动传感器(加速度计)、电容传感器、接近传感器等。

输入-输出电路44可包括用于与外部设备进行无线通信的无线通信电路34。无线通信电路34可包括由一个或多个集成电路、功率放大器电路、低噪声输入放大器、无源射频(RF)部件、一个或多个天线、传输线和用于处理RF无线信号的其他电路形成的RF收发器电路。无线信号也可使用光(例如，使用红外通信)来发送。

无线通信电路34可包括用于处理各种射频通信频带的射频收发器电路90。例如，电路34可包括收发器电路36和38。收发器电路36可以是可处理用于(IEEE 802.11)通信的2.4GHz频带和5GHz频带并可处理2.4GHz通信频带的无线局域网收发器电路。电路34可使用用于处理频率范围或者其他合适频率中的无线通信的蜂窝电话收发器电路38，诸如从700MHz到960MHz的低通信频带、从1710MHz到2170MHz的中频带、和从2300MHz到2700MHz的高频带或者700MHz与2700MHz之间的其他通信频带(作为示例)。电路38可处理语音数据和非语音数据。

无线通信电路34还可包括用于接收1575MHz的GPS信号或者用于处理其他卫星定位数据的卫星导航系统电路，诸如全球定位系统(GPS)接收器电路42。如果需要，无线通信电路34可包括用于其他短距离和远距离无线链路的电路。例如，无线通信电路34可包括60GHz收发器电路、用于接收电视信号和无线电信号的电路、寻呼系统收发器等。在和链路以及其他短距离无线链路中，无线信号通常用于在几十或几百英尺的范围内传送数据。在蜂窝电话链路和其他远距离链路中，无线信号通常用于在几千英尺或数英里范围内传送数据。

无线电路34还可包括近场通信电路50。近场通信电路50可生成和接收近场通信信号，以支持设备10与近场通信读取器或其他外部近场通信设备之间的通信。近场通信可使用环形天线来支持(例如用于支持感应式近场通信，其中设备10中的环形天线电磁地近场耦接到近场通信读取器中的对应环形天线)。近场通信链路通常在20cm或更短的距离内形成(即为了有效通信，设备10必须邻近近场通信读取器放置)。

收发器电路90和NFC电路50可耦接到一个或多个基带处理器48。基带处理器48可从电路28接收要传输的数字数据，并且可向无线收发器电路90中的至少一个无线收发器电路提供对应信号以用于无线传输。在信号接收操作期间，收发器电路90和NFC电路50可从外部源(例如，无线基站、无线接入点、GPS卫星、NFC读取器等)接收射频信号。基带处理器48可将从电路90和50接收的信号转换成用于电路28的对应数字信号。基带处理器48的功能可由一个或多个集成电路提供。基带处理器48有时被认为是存储和处理电路28的一部分。

无线通信电路系统34可包括天线40。可使用任何合适的天线类型来形成天线40。例如，天线40可包括具有谐振元件的天线，该谐振元件由环形天线结构、贴片天线结构、倒F形天线结构、隙缝天线结构、平面倒F形天线结构、螺旋形天线结构、这些设计的混合等形成。可针对不同的频带和频带组合使用不同类型的天线。例如，在形成本地无线链路天线时可使用一种类型的天线，并且在形成远程无线链路天线时可使用另一种类型的天线。除了支持蜂窝电话通信、无线局域网通信、和其他远场无线通信之外，天线40的结构可用于支持近场通信。天线40的结构也可用于采集接近传感器信号(例如，电容性接近传感器信号)。

射频收发器电路90不处理近场通信信号，并且因此有时被称为“远场”通信电路或非近场通信电路(例如收发器电路90可处理非近场通信频率，诸如高于700MHz的频率或其他合适的频率)。近场通信收发器电路50可用于处理近场通信。利用一种合适的布置，近场通信可使用频率为13.56MHz的信号来支持。如果需要，可使用天线40的结构来支持其他近场通信频带。

图4中示出了可在辅用户设备102中使用的示例性部件的示意图。如图4所示，设备102可包括控制电路，诸如主处理器(在本文中有时被称为应用处理器或AP)200、输入-输出设备210、电力管理单元(PMU)(诸如电力管理单元220)、安全元件(诸如安全元件202)、和NFC控制器222。应用处理器200可用于控制设备102的操作并且可访问存储装置(诸如硬盘驱动器存储装置)、非易失性存储器(例如被配置为形成固态驱动器的闪存存储器或其他电可编程的只读存储器)、易失性存储器(例如静态或动态随机存取存储器)等。一般来说，处理器200可用于运行设备102上的软件，诸如互联网浏览应用程序、互联网语音协议(VOIP)电话呼叫应用程序、电子邮件应用程序、媒体回放应用程序、操作系统功能等。应用处理电路可基于一个或多个微处理器、微控制器、数字信号处理器、专用集成电路等。

应用处理器可经由路径250和252耦接到电力管理单元220。PMU 220例如可以是管理设备102的电力功能的微控制器。PMU 220应当即使在设备102的其余部分空闲或掉电时也保持活跃(例如,使用备用电池源)。PMU 220可负责包括但不限于以下各项的功能：监测电力连接和电池充电、控制对设备102内的其他电路部件的电力、在不必要的系统部件空闲时关停不必要的系统部件、控制休眠和开/关电力功能、和/或为了最佳用户性能而主动管理电力消耗。

在图4的示例中，PMU 220(经由路径250和252)耦接到应用处理器200，并且(经由路径260)耦接到安全元件202，并且可被配置为选择性地使这些部件休眠或者从休眠模式唤醒这些部件。例如，PMU 220可在路径252上将启用信号AP_EN置为有效以唤醒应用处理器，并且可经由路径250与应用处理器交换信息。路径250可以是I²C总线或者任何其他合适的总线类型。又如，PMU 220可在路径260中的一个路径上将启用信号SE_EN置为有效以唤醒安全元件，并且还可经由其他路径260来向安全元件发送电力和其他控制信号(例如，信号PWR和Auth/)。PMU 220和安全元件202之间的通信可使用通用输入/输出(GPIO)接口、被编程输入/输出(PIO)接口、I²C接口、串行外围设备接口(SPI)、和/或其他类型的通信接口来实现。

如图4所示，PMU 220还可经由路径254耦接到输入-输出设备210，并且还可被配置为管理设备102的I/O接口。输入-输出设备210可用于允许将数据提供至设备102，以及允许将数据从设备102提供至外部设备。例如，输入-输出设备210可包括用户接口设备、数据端口设备、和其他输入-输出部件。输入-输出设备210可包括按钮、生物识别传感器(例如，指纹传感器、视网膜传感器、手掌传感器、签名识别传感器等)、触摸屏、不具有触摸传感器能力的显示器、操纵杆、点击轮、滚轮、触摸板、小键盘、键盘、麦克风、相机、扬声器、状态指示器、光源、音频插孔和其他音频端口部件、数字数据端口设备、光传感器、运动传感器(加速度计)、电容传感器、接近传感器等。

考虑设备102在设备102完全静止时将其显示器15关闭的情形。响应于(例如，使用利用设备210中的加速度计)检测到设备102处的任何运动，该加速度计可经由路径254来向PMU 220发送相应信号。该信号于是可指示PMU 220向应用处理器200发送另一信号，该另一信号导致显示器被打开，以向设备102的用户输出某些有用信息诸如当前时间(作为示例)。

考虑安全元件202通常处于非活跃状态的另一情形。响应于检测到来自用户的指示期望执行金融交易的输入(有时被称为“支付激活输入”或“支付发起输入”)，设备210中的一个或多个部件可经由路径254来向PMU 220发送信号，该信号继而指示PMU 220经由路径260来向安全元件202发送唤醒信号。一旦安全元件202已苏醒，随后便可执行其他操作来完成金融交易。这些示例仅是示例性的。如果需要，PMU 220可被配置为处理其他类型的用户输入来为设备102提供最佳功率节省。

仍然参见图4，NFC控制器222可被插置在应用处理器200和安全元件202之间。NFC控制器222可包括用于(例如经由路径240和270)将应用处理器200链接到安全元件202的接口电路242。链接应用处理器200和NFC控制器222的路径240可使用通用异步接收器/发射器(UART)总线、通用串行总线(USB)、串行ATA(SATA)总线、和/或用于将应用处理器耦接到无线网络控制器的其他合适类型的计算机总线来实现。另一方面，路径270可使用单线协议(SWP)、NFC有线接口(NFC-WI)协议、I²C协议、或用于将安全元件链接到近场通信部件的其他合适的通信协议来支持安全元件202与NFC控制器222之间的通信。

根据一个实施方案，应用处理器200可充当用于经由安全信道与安全元件202通信的“可信处理器”。在移动支付交易期间，安全元件202可使用控制器222内的NFC收发器216和天线218来将被存储在安全元件上的商业凭据的加密版本向外转发给商家终端108(图1)处的NFC读取器。可使用任何合适的天线类型来形成天线218。例如，天线218可包括具有谐振元件的天线，该谐振元件由环形天线结构、贴片天线结构、倒F形天线结构、隙缝天线结构、平面倒F形天线结构、螺旋形天线结构、这些设计的混合等形成。

这仅是示例性的。一般来讲，设备102还可包括用于处理NFC协议、无线局域网协议(例如IEEE 802.11协议--有时被称为)、用于其他短距离无线通信链路的协议诸如协议、蜂窝电话协议、互联网协议、MIMO协议、天线分集协议等的一个或多个基带处理器。基带处理电路可耦接到用于生成和接收13.56MHz的近场通信信号以支持设备10和/或近场通信读取器或其他外部近场通信设备之间的通信的近场通信电路216、用于处理用于(IEEE 802.11)通信的2.4GHz和5GHz频带和2.4GHz通信频带的无线局域网收发器电路、和/或用于支持短距离无线链路和远距离无线链路的其他合适类型的无线发射器/接收器。如果需要，设备102还可包括卫星导航系统接收器、蜂窝电话收发器、和/或被配置为支持任何期望的无线通信协议的任何类型的发射器和接收器电路。

仍然参见图4，安全元件(SE)202可具有作为安全元件202的操作系统的一部分(例如，作为在SE 202上运行的Java运行环境的插件)运行的一个或多个应用程序或“小应用程序”。例如，安全元件202可包括认证小应用程序204，该认证小应用程序204提供非接触式注册服务(CRS)、加密/解密向可信处理器发送和从可信处理器接收的数据、在安全元件202的操作系统中设置一个或多个控制标记、和/或管理安全元件202上的一个或多个相关联的支付小应用程序206(例如支付小应用程序206-1、206-2等)。认证小应用程序204因此有时被称为CRS小应用程序。与给定支付卡相关联的商业凭据可被存储在安全元件202上的特定“容器”中，该特定“容器”基本上是结合用于该实例化的加密支付数据的支付小应用程序的实例化。例如，如果两张Visa卡要被提供到安全元件上，则Visa支付小应用程序将被示例化两次，从而成为安全元件上的两个不同的容器。每个容器可具有被称为应用程序ID(或AID)的唯一标识符。

CRS小应用程序204可在安全元件202中的主安全域或“发行方”安全域(ISD)中执行，而支付小应用程序206可在补充安全域(SSD)中执行。例如，用于在设备102上创建或以其他方式提供一个或多个凭据(例如，与各个信用卡、银行卡、礼品卡、通行卡、交通卡等相关联的凭据)和/或用于管理设备102上的凭据内容的密钥和/或其他合适的信息可被存储在CRS小应用程序204上。每个支付小应用程序206可与为设备102提供特定特权或支付权限的特定凭据(例如，特定信用卡凭据、特定公共交通卡凭据等)相关联。这些安全域之间的通信使用特定于安全域的不同加密/解密密钥来加密(例如，每个SSD可具有其自身的与相应支付小应用程序206相关联的管理员密钥，其用于激活/启用该SSD的特定凭据以用于在商家终端108处的基于NFC的交易期间使用)。

在一种合适的布置中，辅用户设备102上的应用处理器200可被配置为运行移动支付应用程序。这个支付应用程序可允许用户存储信用卡、借记卡、优惠券、登机牌、活动门票、商场卡、礼品卡、积分卡、通用卡、和/或其他形式的移动支付。这些数字卡、优惠券、或门票中的每一者有时被被称为“通行证”。因此，移动支付应用程序有时被称为“存折”应用程序或数字钱包应用程序。存折应用程序可包括与用于在进行金融交易中使用的相应支付小应用程序206对应的通行证。存折中的每个通行证(在本文中有时被称为存折通行证、数字钱包通行证等)可处于激活(或已个性化)状态或者禁用(未个性化或个性化过程中)状态。个性化通行证可指示对应的支付小应用程序206已提供有所期望的商业凭据并且准备好用于支付。未个性化通行证可指示对应的支付小应用程序206还未提供有所必需的商业凭据并且因此对于支付并未准备就绪。

在一个适当的实施方案中，安全元件202可使用授权密钥或“AuthKey”来与一个相应的可信处理器(诸如处理器200)配对。使用AuthKey将安全元件与可信处理器配对应当仅在这些部件制造期间执行一次。用于给定安全元件和可信处理器对的AuthKey可基于这个给定对中的安全元件的唯一SEID 225和/或这个给定对中的可信处理器的唯一标识符(UID)224来推导。AuthKey充当部件级秘密密钥，该部件级秘密密钥对于用户是未知的并且用于将安全元件绑定到相应处理器，使得安全元件知道信任谁(例如，AuthKey帮助在安全元件和相关联的应用处理器200之间建立安全信道)。

AuthKey可被存储在安全元件内(例如，AuthKey可由CRS小应用程序204管理)，但不需要被存储在应用处理器200处。辅用户设备102上的应用处理器可能够在需要与配对的安全元件进行通信时在运行的情况下基于其自身的UID 224和/或从相应安全元件获得的SEID 225中的至少一者来重新推导AuthKey。

虽然AuthKey有效地将安全元件202绑定到可信处理器200，但可使用随机授权号“AuthRand”来将用户绑定到可信处理器200。AuthRand可以是被存储在用户钥匙串上的随机生成的数(例如，AuthRand 229可被存储作为被保持在应用处理器200处的钥匙串228的一部分)。如上文结合图1所述，用户钥匙串228可包括只与特定用户相关的信息。

如图5所示，AuthRand也可被存储在安全元件内(例如，AuthRand 232可在CRS小应用程序204处进行管理)。一般来讲，可信处理器可被配置为响应于检测到用户设备处的所有权改变而生成新的AuthRand值并(例如通过在安全元件上利用新生成的AuthRand值覆写旧的AuthRand值)将新生成的AuthRand值添加到相对应的安全元件202中。通过这样的操作，可信处理器(例如，应用处理器200)用于通过监测用户钥匙串的状态来本地地跟踪用户设备102处的任何所有权改变(作为示例)。响应于检测到新AuthRand的添加，安全元件202上的任何当前已激活的支付小应用程序260应当针对支付而立即被去激活。通过这样进行配置，通过确保由于所有权改变(不管所有权改变是否是有意的)而获得设备102的新用户将不能使用新获得的设备以与原始用户相关联的商业凭据执行移动交易来增强对安全元件处的敏感用户凭据的保护。一般来讲，可信处理器200可具有用于处理经由NFC控制器222与安全元件202的任何通信的安全元件守护进程(SEd)226。

仍然参考图4，CRS小应用程序204还可包括用于在激活安全元件202上的支付小应用程序206时使用的一个或多个控制标记。例如，CRS小应用程序204可包括“按钮被按压”标记236。按钮被按压标记236可用于指示用户是否已按压用户设备102上的按钮17(参见图2B)。例如，按钮被按压标记的默认值为“0”。当设备102已检测到用户已按压按钮17时，按钮被按压标记可被设置为数值“1”(即，按钮被按压标记被置为有效)。在一种合适的布置中，按钮被按压标记可仅在用户两次按压按钮17的情况下被设置为“1”。在另一种合适的布置中，按钮被按压标记可仅在用户三次按压按钮17的情况下被置为有效。在另外一种合适的布置中，按钮被按压标记可仅在用户按住按钮17超过一秒、超过两秒、超过三秒等的情况下被置为有效。

一般来讲，标记236充当响应于检测到用于发起为了设备102执行移动支付交易而需要执行的操作的某个预先确定的用户输入序列而被置为有效的标记。按钮被按压标记236因此仅为示例性的，并且不用于限制本发明的范围。如果需要，可实施允许用户发起商家终端处的支付的其他方式。除此之外或另选地，CRS小应用程序204可具有在设备102上的指纹传感器检测到被授权用户的指纹时被置为有效的“指纹被检测到”标记、在设备102上的触摸屏接收到来自被授权用户的特定轻扫运动时被置为有效的“轻扫被检测到”标记、在设备102上的触摸屏接收到来自被授权用户的双击时被置为有效的“轻击被检测到”标记、在设备102上的多个按钮同时被授权用户按压时被置为有效的“按钮被按压”标记、在设备102上的麦克风检测到来自被授权用户的语音命令时(例如如果用户说“支付”)被置为有效的“语音命令被接收到”标记、和/或其他合适的标记。标记236因此有时可被统称为“用户输入”标记或“接收到用户输入”标记。

一般来讲，当电子设备被新用户得到时，电子设备可提示新用户向服务提供方子系统(例如图1中的子系统112)设置帐户。例如，可给予用户机会输入帐户标识符(ID)和对应的密码来设置新帐户。一旦帐户已被设置，设备便可被认为对于该用户被个性化，并且用户现在可操作该设备来播放音乐、捕捉照片/视频、记录语音备忘录、存储联系人信息、发送/接收多媒体消息、浏览互联网、查看/编辑日历、记事、提醒、和其他文档、改变设备设置、将一个或多个支付卡提供到设备上、从在线商店购买/租赁媒体、从在线商店购买/租赁应用程序、和/或访问服务提供方子系统提供的其他服务。在至少一些实施方案中，与用户和用户设备有关的任何信息可被存储在基于网络的服务模块(例如，图1中的模块118)上作为备份。

为了用户能够将支付卡提供到用户设备上，用户可能必须启用设备上的密码锁定功能。密码锁定功能在被启用时会要求用户输入四个数字的密码，以便完全操作设备(作为示例)。这仅是示例性的。可指示用户输入长度短于四个数字的密码、长度长于四个数字的密码、或任意长度的包括数字、字符和/或符号的密码。一般来讲，可实施任何形式的认证方法。如果用户不能提供正确密码，则设备将保持锁定状态，在该锁定状态中只能访问受限功能诸如紧急呼叫功能(作为示例)。如果用户能够提供正确密码，则设备将被暂时置于解锁状态，在该解锁状态中，用户能够访问设备的所有正常功能。

当用户利用设备执行完某项任务时，用户将(例如，通过按压设备上的按钮)来通知设备返回到锁定状态。设备还可在设备已空闲预先确定的时间段时自动返回到锁定状态(例如，设备可在设备已空闲超过30秒、超过1分钟、超过两分钟等的情况下自动锁定)。密码功能用于保护通常通过设备能访问的任何用户信息，因为只有预期用户才应能够解锁其设备。密码可本地地保持在应用处理器处(例如，在应用处理器200上的钥匙串228中)，和/或可远程地存储在服务提供方子系统处。

假设只有被授权用户才具有对正确密码的访问权限，要求用户输入密码因此便能帮助确保当前用户是该设备的预期被授权用户。在移动支付的上下文中，只有被授权用户才应能够利用已提供有其商业凭据的设备来执行任何金融交易。因此希望电子设备诸如图2A的设备10或图2B的设备102要求用户在使用设备时输入密码至少一次。

图5是激活用户设备诸如用户设备102以用于移动支付所涉及的示例性步骤的流程图。在步骤300处，用户设备102可被置于锁定状态中。在接收到来自被授权用户的正确密码时，用户设备可被置于解锁状态中(步骤302)。在步骤302期间，设备102中的应用处理器200可从安全元件检索SEID，并且可从用户钥匙串检索随机授权值AuthRand。一般来讲，步骤302可在支付交易完成之前的任何时候执行。

在步骤304出，设备102可被配置为等待来自被授权用户的支付激活触发事件(例如，设备102可被配置为监测预先确定的用户输入序列或清楚表明用户想要发起支付的动作)。例如，设备102可等待用户在按钮17(参见图2B)中的一个按钮上进行两次按压、在触摸屏显示器15上进行特定轻扫运动、在触摸屏显示器15上进行双击、发出语音命令、和/或用户在设备102处可故意采取的任何合适的动作。

这个对于设备102接收来自用户的特定支付发起输入的要求可帮助防止发生来自被授权用户的无意的移动支付交易。考虑用户已解锁设备但实际上不想执行金融交易的情景。如果此类用户无意地使经解锁的设备足够接近商家终端，则潜在地可能执行无意的移动支付交易。如果用户需要采取故意的动作来向设备指示其实际希望执行支付，则可避免此类情形。

响应于接收到来自用户的所期望的支付触发输入，设备102可继续验证触发事件并在安全元件中的CRS小应用程序处设置对应的控制标记(步骤306)。在步骤308处，CRS小应用程序可针对支付对所选择的支付小应用程序260进行认证，并且可启动定时器。定时器可用于设置时间段，在该时间段内，只要使用户设备位于商家终端的场内，便允许进行移动支付交易。例如，在激活触发事件之后可给予用户10秒钟来将设备置于读取器场内。又如，在激活触发事件之后可给予用户20秒钟来将设备置于NFC读取器场内。一般来讲，定时器可被配置为提供任何合适持续时间的时间限制。

在步骤308期间，安全元件可向应用处理器发送卡密文，并且应用处理器可利用主机密文进行响应。例如，卡密文和主机密文可使用基于密码的消息认证码(CMAC)算法来加密，这确保了正在应用处理器和安全元件之间交换的数据的真实性。卡密文和主机密文例如可包括使用只有安全元件和多于可信处理器才应能够访问的AuthKey加密的数据。通过以这种方式操作，密文的交换用于验证应用处理器正与正确的安全元件对话以及安全元件正与其可信处理器对话。

在步骤310处，设备102可用于在用户设备处于在商家终端处由NFC读取器所生成的场内时执行所期望的交易(假定定时器还未截止)。然而如果定时器在用户有机会使设备进入读取器场中之前截止，则将不会完成任何支付。在任一情景中，处理均将返回到步骤304，以等待另一支付激活/发起触发事件，如路径312所示。

图6示出在执行图5的步骤时设备102中的不同部件之间的信息流。在步骤400处，设备102可由被授权用户解锁(例如，被授权用户可输入正确的密码)。密码可使用应用处理器(AP)上的钥匙串来验证，并且作为响应，应用处理器可将用户设备置于解锁状态中。

在步骤402出，应用处理器可向安全元件发送“获取SEID”请求。如上文结合图4所述，在应用处理器和安全元件之间传送的任何消息可由安全元件守护进程(SEd)处理，并且可通过NFC控制器222。响应于从应用处理器接收到“获取SEID”请求，安全元件可以加密格式发送回到其SEID。

在步骤406处，设备102上的应用处理器于是可从用户钥匙串检索随机授权号AuthRand。由于AuthRand受到钥匙串保护，因此AuthRand只有在步骤400处已提供正确密码之后才可被访问。

如图6所示，步骤400、402、404、和406一起归为步骤399。一般来讲，步骤399可在任何时候设备已空闲延长的时间段时被执行。例如，考虑设备102是用户在晚上摘下而在早起戴在手腕上的腕表设备的情景。在该示例中，步骤399可仅在早起用户戴上该设备时被执行(例如，只要设备一直在手腕上，用户便应该不需要在一天中反复地输入密码)。

一天只执行步骤399一次对于用户可能是期望的，因为一天中必须反复输入密码多次可能是令人厌烦的。换句话讲，步骤399可在用户获得设备时执行一次，并且应当仅在发生潜在地可能导致设备所有权改变的事件时被再次执行(例如设备可能被与原始被授权用户不同的用户拥有的任何情形应当对设备进行触发，从而将其置于锁定状态中)。

在任何时间点出，设备102可在I/O设备210处接收用于表明用户要执行移动支付交易的明确意图的故意用户输入。在步骤410处，I/O设备210可向电力管理单元发送对应的用户输入触发信号。在至少一些实施方案中，故意用户输入可以是按钮按压事件，诸如两次按钮按压事件。本文中任何与用于触发支付激活的按钮按压事件有关的描述仅仅是示例性的，并不用于限制本发明的范围。如上所述，可使用任何其他类型的用户输入来触发对安全元件的激活。

响应于检测到适当的用户输入，电力管理单元可继续通过在路经252上将启用信号AP_EN置为有效(参见图4)来唤醒应用处理器。应用处理器可通常在应用处理器并非正在活跃地运行设备102上的任何应用程序时被置于空闲模式中。在步骤414处，电力管理单元于是可在路经260中的一个路径上向安全元件输出被置为有效的用户输入认证信号Auth/。当安全元件知道Auth/被置为有效时，支付激活触发事件已被验证，并且安全元件于是可(在步骤416处)将按钮被按压标记设置为高。一旦按钮被按压标记已被设置为高(或者其他“接收到用户输入”控制标记已使用CRS小应用程序被置为有效)，安全元件便可(在步骤418处)向应用处理器发送按钮按压激活事件状态字(或“接收到用户输入”通知)，以向应用处理器通知已接收到有效的用户支付激活输入。

如图6所示，步骤410、412、414、416、和418一起归为步骤409。一般来讲，步骤409可在任何时候设备从用户接收到有效的用户支付激活输入时被执行。

响应于接收到来自安全元件的按钮按压激活通知，应用处理器可继续使用其自身的UID和/或使用步骤404期间所接收的SEID来推导AuthKey。应用处理器可使用这个所推导的AuthKey来有效地建立与安全元件的安全信道。

在步骤422处，应用处理器可向安全元件内的CRS小应用程序发送认证初始化命令。在这个步骤期间，应用处理器还可向安全元件发送第一随机数。应用处理器有时被称为主机处理器；在此类情形下，由应用处理器生成的第一随机数有时被称为“主机质询”。主机质询与随机数AuthRand不同。

响应于接收到来自应用处理器的主机质询，安全元件可(在步骤424处)通过向应用处理器发送卡密文来进行响应。在一种合适的布置中，卡密文可包括所接收的主机质询、由安全元件生成的第二随机数(在本文中有时被称为“卡质询”或“安全元件质询”)、本地存储在安全元件处的AuthRand(例如图4中的CRS小应用程序204处的AuthRand 232)、和其他合适的控制位。SE质询与随机数AuthRand不同。例如，卡密文可使用美国国家标准与技术研究所(NIST)所公布的CMAC算法进行加密。在至少一些布置中，CMAC算法可至少使用AuthKey来对卡密文进行加密。

当应用处理器接收到来自安全元件的卡密文时，应用处理器可使用其自身的所推导的AuthKey(例如，在步骤420期间所推导的AuthKey)来对卡密文进行解码，并且可被配置为至少将卡密文中的AuthRand值与本地检索的AuthRand(例如，在步骤406期间从用户钥匙串所检索的AuthRand值)进行比较。如果AuthRand值匹配，则应用处理器将能够继续针对支付来认证安全元件。

在步骤426处，应用处理器可向安全元件发送主机密文。主机密文例如可包括主机质询、所接收的SE质询、其本地的AuthRand值(例如，在步骤406期间所检索的AuthRand值)、和其他合适的控制位。主机密文也可使用所推导的AuthKey以CMAC算法进行加密。

当安全元件接收到来自应用处理器的主机密文时，安全元件可使用CRS小应用程序处的AuthKey来对主机密文进行解码，并且可将主机密文中所接收的AuthRand值与其自身的被存储在CRS小应用程序处的AuthRand值进行比较。如果AuthRand值匹配，则安全元件将(在步骤428处)继续暂时激活所选择的支付小应用程序以用于金融交易。如前文结合图5所述，在这时可启动定时器，以给用户机会使设备位于读取器场内，从而利用被激活的支付小应用程序来执行金融交易。主机密文因此可充当指示安全元件启用支付小应用程序的被授权的NFC激活请求。启用支付小应用程序进行交易的动作有时被称为瞬态激活操作。当移动支付交易完成时(或当定时器截止时)，可使用CRS小应用程序对当前已激活的支付小应用程序进行去激活(步骤430)。

如图6所示，步骤420、422、424、426、428、和430一起归为步骤419。一般来讲，步骤419可在任何时候该应用处理器从安全元件接收到按钮按压激活通知(或其他有效用户支付激活输入提示)时被执行。

如上所述，准备用户设备102来执行移动支付交易的大部分取决于能够准确地检测故意用户输入诸如两次按钮按压的能力(作为示例)。对此类用户输入的检测可由电力管理单元(例如，图4中的PMU 220)来处理。一般来讲，电力管理单元可以是不实际运行任何软件的不可重新配置的数字状态机。因为电力管理单元不实际运行任何软件，所以电力管理单元不能被容易地侵入。因此，恶意软件很难控制PMU来向应用处理器和/或安全元件发送虚假通知。

图7是示出由支付激活用户输入触发的事件序列的时序图。这些事件可至少部分地对应于图6的步骤409。在时间t1处，电力管理单元可检测两次按钮按压(例如，电力管理单元可经由路径254从输入-输出设备210接收两次按钮按压触发信号)。响应于接收到该触发，电力管理单元可暂时在路径252上将信号AP_EN置为有效，以唤醒应用处理器并将Auth/置为有效(例如，驱动Auth/为低的)。信号Auth/可仅在所期望的支付激活用户输入已被PMU检测到时被置为有效。在应用处理器苏醒期间，电力管理单元于是可经由I²C总线250来向应用处理器发送读取按钮按压事件命令。

在时间t2处，应用处理器可经由路径250来向电力管理单元发送用于指示电力管理单元打开安全元件的对应命令。这个命令可指示电力管理单元将电力信号PWR和启用信号SE_EN置为有效，以提供电力并且将安全元件从休眠模式唤醒。

在安全元件已苏醒之后的某个时间(在时间t3处)，安全元件可通过检查Auth/的值来确定所检测到的用户输入是否是预先确定的有效支付激活用户输入。如果Auth/被置为有效，则安全元件确认该有效触发事件，将按钮被按压标记置为有效，并向应用处理器发送对应的按钮按压激活通知(参见图6的步骤418)。在实际从安全元件接收按钮按压激活通知之前，电力管理单元可(在时间t4处)将Auth/和AP_EN置为有效，以提示应用处理器。通过只选择性地将控制信号Auth/置为有效，电力管理单元控制何时允许安全元件设置按钮被按压标记，以及何时允许安全元件向应用处理器发送按钮按压激活状态字(例如，安全元件可被配置为如果Auth/在时间t3处未被置为有效则保持按钮被按压标记被解除置为有效)。

图8是简要概述结合图7所述的事件序列的流程图。在步骤500处，电力管理单元可检测两次按钮按压事件(或其他用户支付激活输入)。在步骤502处，电力管理单元可唤醒应用处理器，并将Auth/置为有效预先确定的时间段。

在步骤504处，应用处理器可认识到电力管理单元已检测到来自用户的两次按钮按压事件，并且可指示电力管理单元打开安全元件。在安全元件已被打开之后并且如果安全元件接收到被置为有效的Auth/，则安全元件可继续通过设置按钮被按压标记以及通过向应用处理器发送按钮按压激活状态字来验证按钮按压事件，该按钮按压激活状态字继而指示应用处理器执行步骤419(图6)。

图5至8所述的用于确保被授权用户实际拥有电子设备以及用于检测用于触发所选择的支付小应用程序的暂时激活的有效用户输入的操作仅仅是示例性的，并不用于限制本发明的范围。一般来讲，本文所述的方法可扩展到任何具有安全元件的设备，并且可用于检测任何其他类型的用户输入。

虽然操作方法以特定次序进行描述，但应当理解，可在操作之间执行其他操作，可调节操作使得它们以略微不同的时间发生，或者只要对重叠操作的处理以所期望的方式执行，操作便可分布在允许处理操作以与处理相关联的多个间隔来发生的系统中。

根据一个实施方案，提供了一种操作电子设备内的安全元件的方法，该电子设备还包括与安全元件进行通信的处理器，该方法包括响应于电子设备接收到支付发起输入使用安全元件来向处理器发送用于指示已接收到支付发起输入的通知，以及响应于处理器接收到来自安全元件的通知，使用安全元件来与处理器进行通信，以暂时激活安全元件以用于支付。

根据另一实施方案，安全元件具有相关联的安全元件标识符(SEID)，该方法包括利用安全元件来接收来自处理器的请求，以及响应于接收到来自处理器的请求，使用安全元件来向处理器发送安全元件标识符。

根据另一实施方案，该方法包括响应于电子设备接收到支付发起输入，使用安全元件上的非接触式注册服务(CRS)小应用程序来将控制标记置为有效。

根据另一实施方案，该方法包括响应于电子设备接收到支付发起输入，使用安全元件来从电子设备内的电力管理单元(PMU)接收输入提示。

根据另一实施方案，该方法包括响应于接收到来自电力管理单元的输入提示使用安全元件来验证支付发起输入，该通知仅在安全元件能够成功验证支付发起输入的情况下才从安全元件发送至处理器。

根据另一实施方案，使用安全元件与处理器进行通信以暂时激活安全元件以用于支付包括利用安全元件来从处理器接收认证初始化请求。

根据另一实施方案，使用安全元件与处理器进行通信以暂时激活安全元件以用于支付包括利用安全元件来从处理器接收第一随机数。

根据另一实施方案，使用安全元件与处理器进行通信以暂时激活安全元件以用于支付包括利用安全元件来向处理器发送卡密文，该卡密文包括第一随机数和第二随机数。

根据另一实施方案，该卡密文还包括本地存储在安全元件上的授权随机数。

根据另一实施方案，使用安全元件与处理器进行通信以暂时激活安全元件以用于支付进一步包括利用安全元件来从处理器接收主机密文，该主机密文包括第一随机数、第二随机数、和不存储在处理器处的用户钥匙串内的授权随机数。

根据另一实施方案，使用安全元件与处理器进行通信以暂时激活安全元件以用于支付包括利用安全元件通过分析所接收的主机密文的至少一部分来确定是否要继续激活安全元件上的支付小应用程序。

根据另一实施方案，使用安全元件与处理器进行通信以暂时激活安全元件以用于支付包括响应于确定主机密文的一部分满足设计标准使用安全元件上的非接触式注册服务(CRS)小应用程序来激活支付小应用程序预先确定的时间段。

根据一个实施方案，提供了一种便携式电子设备，该便携式电子设备包括用于存储用户凭据的安全元件、和被配置为在电子设备接收到用于发起移动支付交易的预先确定的用户输入序列时从安全元件接收通知并且被配置为与安全元件通信以暂时激活安全元件以用于支付的处理电路。

根据另一实施方案，该便携式电子设备包括电力管理单元，该电力管理单元被配置为检测预先确定的用户输入序列以及响应于检测到预先确定的用户输入序列而提示安全元件和处理器。

根据另一实施方案，该安全元件被配置为向处理电路提供安全元件标识符(SEID)，该处理电路被配置为使用至少安全元件标识符来推导认证密钥，并且该处理电路被配置为使用认证密钥来建立与安全元件的安全信道。

根据另一实施方案，该处理电路被配置为存储第一授权随机值，并且安全元件被配置为存储第二授权随机值。

根据另一实施方案，该安全元件被进一步配置为向处理电路发送卡密文，并且该卡密文包括第二授权随机值。

根据另一实施方案，该安全元件被进一步配置为从处理电路接收主机密文，并且该主机密文包括第一授权随机值。

根据另一实施方案，该便携式电子设备包括腕表设备。

根据一个实施方案，提供了一种操作包括输入-输出设备、电力管理单元和安全元件的电子设备的方法，该方法包括利用输入-输出设备来接收用户输入，响应于利用输入-输出设备接收到用户输入来从输入-输出设备向电力管理单元发送对应的触发信号，响应于从输入-输出设备接收到触发信号使用电力管理单元来将认证信号置为有效预先确定量的时间，并通过利用安全元件监测认证信号来确定用户输入是否有效。

根据另一实施方案，该电力管理单元包括数字状态机。

根据另一实施方案，该输入-输出设备包括按钮，并且利用输入-输出设备接收用户输入包括利用按钮来接收多个连续按钮按压。

根据另一实施方案，该电子设备还包括耦接到电力管理单元的应用处理器，该方法还包括响应于从输入-输出设备接收到触发信号使用电力管理单元来向应用处理器发送被置为有效的启用信号，并且响应于从电力管理单元接收到被置为有效的启用信号，使用应用处理器来向电力管理单元发送对应的命令以打开安全元件。

根据另一实施方案，该方法包括在安全元件已打开之后，当认证信号正被安全元件读取时只有在认证信号被置为有效的情况下才使用安全元件来确认用户输入有效。

以上所述仅是本发明的原理的示例，并且本领域的技术人员可进行各种修改。上述实施方案可单独实施或可以任意组合实施。

虽然为了清楚已以某种细节描述了本发明，但显然在所附权利要求的范围内可实施某些改变和修改。虽然所附权利要求中的一些权利要求只是单一从属的或者只引用其先前权利要求中的一些权利要求，但它们一个或多个相应特征可与任何其他权利要求的一个或多个特征组合。