使用在线资源来管理电子设备上的可重载凭据的制作方法

本公开涉及管理电子设备的可重载凭据，并且更具体地涉及使用在线资源来管理电子设备上的可重载凭据。

背景技术：

便携式电子设备(例如，蜂窝电话)可提供有用于启用与另一实体的基于非接触式邻近性的通信的近场通信(“NFC”)部件。这些通信常常与需要电子设备在基于非接触式邻近性的通信中进行访问并与其他实体共享商业凭据的金融交易或其他安全数据事务相关联。然而，使用在线资源在电子设备上对此类商业凭据进行安全和高效的资金重载仍然不可行。

技术实现要素：

本文档描述了一种用于使用在线资源来管理电子设备上的可重载凭据的系统、方法和计算机可读介质。

作为一个示例，一种方法可包括在电子设备处经由在线资源来接收选择数据，其中该选择数据指示被存储在电子设备的安全元件上的特定凭据小应用程序。该方法还可包括响应于接收到该选择数据来从安全元件上的特定凭据小应用程序访问验证数据。该方法还可包括向与在线资源相关联的远程子系统传输包括所访问的验证数据的初始化结果。该方法还可包括响应于该传输来从远程子系统接收重载数据。该方法还可包括基于所接收的重载数据来调整特定凭据小应用程序的余额。

作为另一个示例，电子设备可包括通信部件、应用处理器和安全元件。该应用处理器可用于访问银行服务器的在线资源，该安全元件可用于存储可重载凭据小应用程序，该应用处理器可用于经由通信部件来从银行服务器接收资金数据，该应用处理器可用于获取可重载凭据小应用程序的余额数据，该应用处理器可用于基于所接收的账户数据并基于所获取的余额数据经由在线资源来提供初始凭据管理选项数据，并且该应用处理器可用于经由在线资源基于所提供的初始凭据管理选项数据来接收选择数据，其中所接收的选择数据可指示可重载凭据小应用程序。该应用处理器可用于响应于所接收的选择数据来向安全元件发送初始化命令，该安全元件可用于响应于初始化命令来向应用处理器发送来自可重载凭据小应用程序的验证数据，该应用处理器可用于经由通信部件来向银行服务器传输包括所发送的验证数据的初始化结果，该应用处理器可用于基于所传输的初始化结果来从银行服务器接收重载数据，该应用处理器可用于基于所接收的重载数据来向安全元件发送重载命令，并且该安全元件可用于响应于该重载命令来调整可重载凭据小应用程序的余额。

作为另一个示例，一种方法可包括在银行服务器子系统处从电子设备接收初始化结果，其中该初始化结果可包括电子设备的安全元件上的凭据小应用程序的验证数据。该方法还可包括验证所接收的初始化结果的验证数据，并响应于该验证，向电子设备传输重载数据以用于调整凭据小应用程序的余额。

作为另一个示例，一种非暂态计算机可读介质可包括在其上记录的计算机可读指令，该计算机可读指令用于在电子设备处经由在线资源来接收选择数据，其中该选择数据指示被存储在电子设备的安全元件上的特定凭据小应用程序；响应于接收到该选择数据，从安全元件上的特定凭据小应用程序访问验证数据；向与在线资源相关联的远程子系统传输所访问的验证数据；响应于该传输，从远程子系统接收重载数据；以及基于所接收的重载数据来调整特定凭据小应用程序的余额。

提供本发明内容的目的仅为概述一些示例性实施方案，以便提供对在本文档中所述的主题的一些方面的基本理解。因此，应当理解，本发明内容中所述的特征仅为示例并且而不应理解为以任何方式缩小本文所述的主题的范围或实质。本文所述主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

下文论述参考以下附图，其中在整个附图中类似的参考标号是指类似的部件，并且其中：

图1是用于使用在线资源来管理电子设备上的可重载凭据的示例性系统的示意图；

图1A是图1的系统的另一个更详细的示意图；

图2是图1和图1A的系统的电子设备的更详细的示意图；

图3是图1-图2的电子设备的另一个更详细的示意图；

图4是图1-图3的电子设备的前视图；

图5-图8是用于使用在线资源来管理电子设备上的可重载凭据的示例性过程的流程图；以及

图9A-图9D是示出了用于使用在线资源来管理电子设备上的可重载凭据的过程的图1-图4的电子设备的图形用户界面的屏幕的前视图。

具体实施方式

在电子设备的安全元件上提供和启用的商业凭据可用于限定基于非接触式邻近性的通信(例如，近场通信)，以促进电子设备和商家之间的金融交易。在此类电子设备的用户利用银行子系统的账户经由运行于电子设备上的在线资源(例如，经由可由银行子系统管理或通过其他方式至少部分由银行子系统控制的在线应用程序或网站)来认证其自身时，该设备可能接收用于指示该认证账户的一个或多个账户凭据的合适的账户信息。接下来，电子设备可确定并显示安全元件上的与认证用户相关联的至少一个可重载商业凭据的当前余额(例如，经由在线资源的用户界面)，以用于使得用户能够选择可重载账户来调整其余额。响应于对此类凭据管理选项的用户选择，电子设备可访问所选择的可重载凭据的验证数据(例如，安全元件的可重载凭据小应用程序的密码)，并可与银行子系统和/或可验证该可重载凭据的验证数据的任何其他合适的系统实体共享该验证数据。如果此类验证成功，则银行子系统可向电子设备提供重载数据，该重载数据可被电子设备利用以调整安全元件上的可重载凭据的余额。此类调整可与在线资源共享，以用于经由在线资源来向电子设备的用户传送更新的余额。该安全元件可被配置为接收源自可能请求验证数据的在线资源的第一基于脚本的初始化命令，以及来自可能请求对可重载凭据的余额的调整的在线资源的第二基于脚本的重载命令。该安全元件可被配置为在此类初始化命令和此类重载命令之间执行其他命令。

图1和图1A示出了其中一个或多个凭据可从金融机构子系统350(例如与商业实体子系统400结合)提供到电子设备100上的系统1，其中被提供到设备100上的此类凭据中的至少一个凭据可使用在线资源利用资金进行重载，并且其中此类重载凭据中的至少一个重载凭据可由电子设备100用于与商家子系统200和相关联的收单银行子系统300进行金融交易。图2-图4示出了相对于系统1的电子设备100的特定实施方案的更多的细节；图5-图8是用于使用在线资源来管理电子设备上的可重载凭据的示例性过程的流程图；以及图9A-图9D示出了可表示此类凭据管理期间的电子设备100的图形用户界面的示例性屏幕190a-190d。

图1的描述

图1是可允许将凭据提供到电子设备上的示例性系统1的示意图；例如，如图1所示，系统1可包括用于在电子设备100上安全地提供一个或多个凭据的最终用户电子设备100以及商业实体子系统400和/或金融机构子系统350。此外，系统1可允许使用在线资源(例如，可由服务器310管理或至少部分控制的并可由电子设备100访问的在线应用程序或网站)来重载具有附加资金的此类所提供的凭据。此外，如图1所示，系统1还可包括用于从电子设备100接收基于非接触式邻近性的通信15(例如，近场通信)的商家子系统200，以用于使得能够基于此类重载凭据来在电子设备100的用户和商家子系统200的商家之间进行支付。系统1还可包括可利用由商家子系统200接收的此类基于非接触式邻近性的通信15来完成与金融机构子系统350的金融交易的收单银行子系统300。

系统1可包括用于在商家子系统200和收单银行子系统300之间启用通信的通信路径25，用于在收单银行子系统300和金融机构子系统350之间启用通信的通信路径35，用于在金融机构子系统350的支付网络子系统360和金融机构子系统350的发行银行子系统370之间启用通信的通信路径45，用于在金融机构子系统350和商业实体子系统400之间启用通信的通信路径55，用于在商业实体子系统400和电子设备100之间启用通信的通信路径65，以及用于在金融机构子系统350和电子设备100之间启用通信的通信路径75。路径25,35,45,55,65和75中的一个或多个路径可至少部分地由一个或多个可信服务管理器(“TSM”)来管理。可使用可用于创建通信网络的任何合适的电路、设备、系统或这些的组合(例如包括一个或多个通信塔、电信服务器等的无线通信基础结构)来提供25,35,45,55,65和75中的一个或多个路径，这些路径能够使用任何合适的有线通信协议或无线通信协议来提供任何合适的通信。例如，路径25,35,45,55,65和75中的一个或多个路径可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网、Bluetooth^TM、BLE、高频系统(例如，900MHz通信系统、2.4GHz通信系统和5.6GHz通信系统)、红外、TCP/IP、SCTP、DHCP、HTTP、BitTorrent^TM、FTP、RTP、RTSP、RTCP、RAOP、RDTP、UDP、SSH、WDS桥接、可由无线电话和蜂窝电话以及个人电子邮件设备(例如，GSM、GSM加EDGE、CDMA、OFDMA、HSPA、多频带等)使用的任何通信协议、可由低功率无线个人局域网(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议或它们的任意组合。

图1A的描述

现在参考图1A，图1A示出了上文相对于图1描述的系统1的更详细的视图。如图1A中所示，例如电子设备100可包括处理器102、通信部件106和/或近场通信(“NFC”)部件120。NFC部件120可包括可被配置为提供防篡改平台(例如，作为单个或多个芯片安全微控制器)的安全元件，该平台能够安全地托管应用程序及其凭据和密码数据(例如，补充安全域(“SSD”)，其具有凭据小应用程序、相关联的凭据密钥(例如，凭据密钥155a’和155c’，其还可用于金融机构子系统350，如图1A所示)、以及相关联的访问密钥(例如，访问密钥155a和155c，其还可用于如图1A所示的商业实体子系统400)、发行者安全域(“ISD”)密钥(例如，ISD密钥156k，其还可用于图1A所示的商业实体子系统400)、非接触注册服务(“CRS”)访问套件(例如，CRS访问套件151k，其还可用于如图1A所示的商业实体子系统400)和/或控制管理机构安全域(“CASD”)访问套件(例如，CASD访问套件158k，其还可用于图1A所示的商业实体子系统400)，其中的一者或多者可遵照可由一组公认受信任管理机构(例如，金融机构子系统的管理机构和/或行业标准例如GlobalPlatform)提出的规则和安全要求)。如下文更详细所述的，NFC部件120的凭据小应用程序可被配置为提供充分的细节，以用于识别资金账户或其他金融工具或信用源，其中来自此类凭据小应用程序的信息可由电子设备100在与商家子系统200的一个或多个通信中使用以用于促进金融交易。另选地或除此之外，如下文更详细所述的，NFC部件120的凭据小应用程序可被配置为提供充分的细节，以用于识别货币或现金的特定价值以及该凭据的控制器和管理器的身份证明，其中来自此类凭据小应用程序的信息可由电子设备100在与商家子系统200的一个或多个通信中使用以用于促进金融交易。NFC部件120可被配置为与商家子系统200(例如，与商家子系统200的商家终端220)传送此类凭据信息作为基于非接触式邻近性的通信15(例如，近场通信)，以执行金融交易。另选地或除此之外，可提供通信部件106以允许设备100使用任何合适的有线协议或无线协议(例如，经由通信路径55,65和/或75中的一个或多个通信路径)来与一个或多个其他电子设备或服务器或子系统(例如，系统1的一个或多个子系统或其他部件)传送任何合适的数据(例如，凭据信息)。电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可被配置为运行设备100上的一个或多个应用程序(例如，在线资源或银行应用程序113)，该一个或多个应用程序可至少部分地指示可在NFC部件120的安全元件上管理一个或多个凭据和/或可在设备100的通信部件106和系统1的其他实体(例如，银行服务器310、商业实体子系统400和/或金融机构子系统350)之间通过互联网或可由通信路径65和/或75提供的任何其他合适的网络传送凭据数据的方式。

如所提及的，商家子系统200可包括用于检测、读取或通过其他方式从电子设备100接收NFC通信15的读取器或终端220(例如，当电子设备100进入距终端220的特定距离或接近度D内时)。商家终端220可被定位在砖形物和实体店或电子设备100的用户可使用被存储在电子设备100的NFC部件120上的凭据以经由基于非接触式邻近性的通信15与被定位在附近的商家终端220进行金融交易的任何物理位置处。还如图1A所示并且如下文更详细所述，商家子系统200还可包括可与电子设备100的处理器部件102相同或类似的商家处理器部件202、可与电子设备100的应用程序113相同或类似的商家应用程序203、可与电子设备100的通信部件106相同或类似的商家通信部件206、可与电子设备100的I/O接口相同或类似的商家输入/输出接口(“I/O”)214、可与电子设备100的总线118相同或类似的商家总线218、可与电子设备100的存储器部件相同或类似的商家存储器部件(未显示)，和/或可与电子设备100的电源部件相同或类似的商家电源部件(未显示)。

金融机构子系统350可包括支付网络子系统360(例如，支付卡协会或信用卡协会)和/或发行银行子系统370。例如，发行银行子系统370可以是可针对消费者利用特定凭据还清其可能产生的债务的能力来承担主要责任的金融机构。NFC部件120的每个特定凭据小应用程序可与特定支付卡相关联，该特定支付卡可以电子方式链接到金融机构子系统350处的特定用户的一个或多个账户。各种类型的支付卡是合适的，包括信用卡、借记卡、签帐卡、储值卡、燃油特惠卡、礼品卡、交通卡等，其中这些支付卡中的至少一些支付卡是可重载的。可由发行银行子系统350在电子设备100上提供特定支付卡的商业凭据(例如，作为NFC部件120的凭据SSD的凭据，如下所述)，以用于与商家子系统200的商业凭据数据通信(例如，基于非接触式邻近性的通信15)。每个凭据可为由支付网络子系统360进行品牌标注的支付卡的特定品牌。支付网络子系统360可以是可处理对特定品牌的支付卡(例如，商业凭据)的使用的各种发行银行370和/或各种收单银行的网络。

在提供设备100的安全元件的凭据作为至商家子系统200的商业凭据数据通信时(例如，作为至商家终端220的基于非接触式邻近性的通信15)，商家子系统200可利用收单银行子系统300和/或金融机构子系统350以用于完成基于商业凭据数据通信的金融交易。例如，在电子设备100的用户已选择要购买的产品或服务并适当地启用要用于支付的设备100的特定凭据之后，商家子系统200可接收用于指示用于特定凭据的商业凭据数据的合适的商业凭据数据通信15。基于此类所接收的商业凭据数据通信15，商家子系统200可被配置为生成数据295并向收单银行子系统300传输该数据295(例如，经由商家子系统200和收单银行子系统300之间的通信路径25)，其中数据295可包括可指示用户的商业凭据和针对产品或服务的商家购买价格的支付信息和授权请求。已知为支付处理器或获取器的收单银行子系统300可以是与商家子系统200相关联的商家的银行合作方，并且收单银行子系统300可被配置为与金融机构子系统350一起工作，以批准并解决由电子设备100经由商业凭据数据通信试图进行的与商家子系统200的凭据交易(例如，基于非接触式邻近性的通信15)。收单银行子系统300然后可将来自数据295的授权请求转发到金融机构子系统350作为数据395(例如，经由收单银行子系统300和金融机构子系统350之间的通信路径35)。

支付网络子系统360和发行银行子系统370可以是单个实体或独立实体。例如，American Express(美国运通)可以是支付网络子系统360和发行银行子系统370两者。相比之下，Visa和MasterCard可以是支付网络360，并可与发行银行370诸如Chase(美国大通银行)、Wells Fargo(富国银行)、Bank of America(美国银行)等合作。中国银联(“CUP”)也可以是支付网络360。金融机构子系统350还可包括一个或多个收单银行诸如收单银行子系统300。例如，收单银行子系统300可为与支付网络子系统360和/或发行银行子系统370相同的实体。收单银行子系统300的一个部件、一些部件或所有部件可使用一个或多个处理器部件、一个或多个存储器部件和/或一个或多个通信部件来实现，该一个或多个处理器部件可与设备100的处理器部件102相同或类似，该一个或多个存储器部件可与设备100的存储器部件相同或类似，该一个或多个通信部件可与设备100的通信部件106相同或类似。支付网络子系统360的一个部件、一些部件或所有部件可使用一个或多个处理器部件、一个或多个存储器部件和/或一个或多个通信部件来实现，该一个或多个处理器部件可与设备100的处理器部件102相同或类似，该一个或多个存储器部件可与设备100的存储器部件相同或类似，该一个或多个通信部件可与设备100的通信部件106相同或类似。发行银行子系统370的一个部件、一些部件或所有部件可使用一个或多个处理器部件、一个或多个存储器部件和/或一个或多个通信部件来实现，该一个或多个处理器部件可与设备100的处理器部件102相同或类似，该一个或多个存储器部件可与设备100的存储器部件相同或类似，该一个或多个通信部件可与设备100的通信部件106相同或类似。在支付网络子系统360和发行银行子系统370是独立实体的情况下，支付网络子系统360可从收单银行子系统300接收数据395的授权请求，并且然后可将该请求转发到发行银行子系统370作为数据495(例如，经由支付网络子系统360和发行银行子系统370之间的通信路径45)。在支付网络子系统360和发行银行子系统370为同一实体的情况下，收单银行子系统300可将数据395的授权请求直接提交至发行银行子系统370。此外，支付网络子系统360可代表发行银行子系统370来对收单银行子系统300进行响应(例如，根据在支付网络子系统360与发行银行子系统370之间协商的情况)。通过收单银行子系统300和发行银行子系统370之间的交互，支付网络子系统360可减少每个收单银行子系统300和每个发行银行子系统370不得不直接进行交互的实体的数量。即，为了使金融机构子系统350的直接结合点最小化，支付网络子系统360可充当各种发行银行子系统370和/或各种收单银行子系统300的聚合器。金融机构子系统350还可包括一个或多个收单银行诸如收单银行子系统300。例如，收单银行子系统300可为与发行银行子系统370相同的实体。

在发行银行子系统370接收授权请求(例如，从收单银行子系统300直接接收作为数据395或经由支付网络子系统360间接接收作为数据495)时，分析可被包括在授权请求中的支付信息(例如，设备100的商业凭据信息)和购买量，以确定与商业凭据相关联的账户是否具有足够的信用来覆盖购买量。如果没有充足的资金，则发行银行子系统370可通过向收单银行子系统300传输否定授权响应来拒绝所请求的交易。然而，如果有充足的资金，则发行银行子系统370可通过向收单银行子系统300传输肯定授权响应来批准所请求的交易，并且金融交易可完成。任一种类型的授权响应均可作为授权响应数据399而由用户金融子系统350提供至收单银行子系统300(例如，授权响应数据399可从发行银行子系统370经由通信路径35直接提供至收单银行子系统300，或者授权响应数据399可基于可从发行银行子系统370经由通信路径45提供至支付网络子系统360的授权响应数据499而从支付网络子系统360提供至收单银行子系统300)。可由收单银行子系统300基于授权响应数据399生成并向商家子系统200(例如，经由通信路径25)传输合适的授权响应数据299，以便提示商家子系统200该金融交易的状态。

另选地或除此之外，作为至商家子系统200的商业凭据数据通信(例如，作为至商家终端220的基于非接触式邻近性的通信15)而提供的设备100的安全元件的凭据可以是现金卡凭据(例如可重载现金卡凭据，诸如交通卡、礼品卡等)，使得商家子系统200可不需要利用收单银行子系统300和/或金融机构子系统350以用于完成基于商业凭据数据通信的金融交易。例如，在电子设备100的用户已选择要购买的产品或服务并适当地启用要用于支付的设备100的特定现金凭据之后，商家子系统200可接收用于指示用于特定现金凭据的商业凭据数据的合适的商业凭据数据通信15。基于此类所接收的商业凭据数据通信15，商家子系统200可被配置为生成并向电子设备100传回用于指示此类接收的任何合适的确认，其中设备100可利用此类确认基于通信15的购买价格来确认与设备100上的现金凭据相关联的余额的减少。即，基于现金卡凭据的通信15可包括用于商家子系统200自身的所有合适的信息和/或结合收单银行子系统300以确认并接收用于金融交易的足够多的金融支付(例如，无需检查金融机构子系统350中的特定资金)，而在发送此类通信15时和/或响应于从商家子系统200接收到确认，基于接收到此类所发送的通信15可减少与此类现金卡凭据相关联的余额值。现金卡凭据可实现离线交易(例如，在设备100可能未(例如，经由通信部件106)通信地耦接到其他子系统时)。设备100可被配置为即使在商家子系统200“离线”时(例如，相对于金融机构子系统350)也与商家子系统200进行通信15。设备100可被配置为向商家子系统200传送该现金卡凭据的余额可能是多少。商家子系统200可被配置为从设备100基本捕获用于离线交易的余额的至少一部分。稍后，在商家子系统200返回在线时，商家子系统200可被配置为结算交易。现金卡凭据可以是安全元件145上的并且仅是安全元件145上的所存储的值。

为了在系统1内进行此类金融交易，必须首先要在电子设备100的安全元件上安全地提供至少一个商业凭据(例如作为NFC部件120的凭据SSD的一部分)。例如，此类商业凭据可直接从金融机构子系统350至少部分地被提供在电子设备100的NFC部件120的安全元件上(例如，作为金融机构子系统350和设备100之间的经由通信路径75的凭据传送数据595，该凭据传送数据可经由通信部件106而被传送到NFC部件120)。除此之外或另选地，可经由商业实体子系统400从金融机构子系统350在电子设备100的NFC部件120的安全元件上至少部分地提供此类商业凭据(例如，作为金融机构子系统350和商业实体子系统400之间的经由通信路径55的凭据传送数据595，该凭据传送数据可随后经由商业实体子系统400的服务器和设备100的通信部件106之间的通信路径65而被传送到设备100作为凭据传送数据595，然后可从通信部件106被传送到NFC部件120)。可在设备100的安全元件上提供经由路径75和/或经由路径65的作为凭据SSD的至少一部分或全部的凭据传送数据595，并且其可包括凭据小应用程序和/或凭据密钥，如下文更详细所述的。金融机构子系统350也可具有对针对其所提供的每个凭据(例如，如图1A所示，用于对可由设备100使用其该凭据密钥的版本加密的数据进行解密的凭据密钥155a和/或155b)的凭据密钥的访问权限。金融机构子系统350可负责管理凭据密钥155，这可包括此类密钥的生成、交换、存储、使用和替换。金融机构子系统350可在金融机构子系统350的安全元件中存储其每个凭据密钥155的版本。

在设备100上可提供的凭据数据可包括利用该凭据进行支付所必需的所有数据，诸如例如主账号(“PAN”)、卡安全代码(例如，卡验证码(“CVV”))、截止日期、与凭据相关联的名称等。可在设备100上提供“虚拟”凭据或虚拟PAN或设备PAN(“D-PAN”)，而不是用户的“实际”凭据或实际PAN或资金PAN(“F-PAN”)。例如，一旦确定要在设备100上提供凭据，便可(例如，由金融机构子系统350，由商业实体子系统400，由服务器310和/或由设备100的用户)请求生成虚拟凭据、链接到实际凭据，并在设备100上提供凭据而不提供实际凭据。可由金融机构子系统350的任何合适的部件执行虚拟凭据的此类生成以及与实际凭据的链接。例如，支付网络子系统360(例如，可与实际凭据的品牌相关联的特定支付网络子系统360)可限定和存储可在实际凭据和虚拟凭据之间形成关联的虚拟链接表352(例如，如图1A所示)，使得在设备100在任何时候将虚拟凭据用于与商家子系统200的金融交易时(例如，在设备100上提供之后)，支付网络子系统360均可接收用于指示该虚拟凭据的授权请求(例如，作为图1A的数据395)，并考虑到与由表格352确定的虚拟凭据相关联的实际凭据，可对该授权请求进行分析。通过在设备100上提供虚拟凭据而非实际凭据，金融机构子系统350可被配置为限制在未授权用户拦截虚拟凭据时可能导致的欺诈活动，因为支付网络子系统360仅可被配置为在特定交易期间利用表格352来将虚拟凭据链接到实际凭据。

商业实体子系统400可作为电子设备100和金融机构子系统350之间的中间体来提供，其中商业实体子系统400可被配置为在设备100的安全元件上提供或通过其他方式管理凭据时提供新的安全层和/或提供更无缝的用户体验。商业实体子系统400可由特定商业实体经由具有商业实体的特定于用户的账户的特定于用户的登录信息来提供(例如，经由特定于用户的识别和密码组合)，该特定商业实体可向设备100的用户提供各种服务。仅作为一个示例，商业实体子系统400可由Apple Inc.(Cupertino,CA)来提供，其还可以是向设备100的用户提供各种服务的提供商(例如，用于销售/租赁由设备100播放的媒体的iTunes^TM商店、用于销售/租赁应用程序以用于在设备100上使用的Apple App Store^TM、用于存储来自设备100的数据的Apple iCloud^TM服务、用于购买各种Apple在线产品等的Apple在线商店)，并且其还可以是设备100自身的提供商、制造商、和/或开发商(例如，当设备100为iPod^TM、iPad^TM、iPhone^TM等时)。可提供商业实体子系统400的商业实体(例如，Apple Inc.)可与金融机构子系统350的任何金融机构不同且独立。例如，可提供商业实体子系统400的商业实体可与以下实体不同且独立：可供应或通过其他方式管理银行服务器310的任何实体、可供应或通过其他方式管理第三方应用程序113的任何实体、可供应或通过其他方式管理支付网络子系统360的任何实体、和/或可供应或通过其他方式管理发行银行子系统370的任何实体(其可供应和/或管理在用户设备100上提供的任何信用卡或其他商业凭据)。除此之外或另选地，可提供商业实体子系统400的商业实体(例如，Apple Inc.)可与商家子系统200的任何商家不同且独立。例如，可提供商业实体子系统400的商业实体可与可提供商家终端220和商家子系统200的任何其他方面的商家子系统200的任何商家不同且独立。此类商业实体可利用其配置或控制设备100的各种部件(例如，在该商业实体至少部分地产生或管理设备100时的设备100的软件部件和/或硬件部件)的潜在能力，以便在其想要将由金融机构子系统350所提供的凭据提供在用户设备100上并通过其他方式进行管理时为设备100的用户提供更无缝的用户体验。例如，在一些实施方案中，设备100可被配置为与商业实体子系统400无缝地且对于设备100的用户透明地进行通信(例如，经由通信路径65)，以用于共享或接收可实现更高等级安全性的特定数据(例如，在设备100的安全元件上的一个或多个凭据的提供期间或其他合适的管理期间)。

如所提及的，除了在电子设备100的安全元件上提供至少一个商业凭据(例如，作为NFC部件120的SSD凭据的一部分)之外，还可在设备100的安全元件上提供发行人安全域(“ISD”)，以便更安全地使得设备100能够与商家子系统200进行金融交易。例如，可在电子设备100的NFC部件120的安全元件上至少部分地供应具有ISD密钥的ISD。如图1A中所示，商业实体子系统400还可具有对ISD密钥156k的访问权限(例如，用于对由设备100使用其ISD密钥加密的数据进行解密)。商业实体子系统400可负责管理ISD密钥156k，这可包括此类密钥的生成、交换、存储、使用和/或替换。商业实体子系统400可在商业实体子系统400的安全元件中存储其ISD密钥156k的版本。可利用NFC部件120的ISD的ISD密钥来向可能在设备100的安全元件外部传送的金融交易数据提供增强的加密。

如图1A所示，系统1可包括可管理或通过其他方式至少部分地控制经由在线资源诸如第三方应用程序113与设备100进行通信的内容的银行服务器310。例如，在一些实施方案中，如图所示，银行服务器310可由图1A的金融机构子系统350提供，但在其他实施方案中，银行服务器310可由任何其他合适的子系统或系统1的实体提供和/或可以是系统1的独立子系统中的独立实体。银行服务器310可包括可被配置为与电子设备100的通信部件106(例如，经由通信路径75)传送任何合适的基于在线的通信数据(例如，数据654,672,676和/或692)的任何合适的部件或子系统。此类基于在线的通信可被配置为经由由设备100的通信部件106支持的任何合适的通信协议(例如，Wi-Fi、Bluetooth^TM、蜂窝、有线网络协议等)在设备100和服务器310之间传送在线资源数据和/或任何合适的凭据管理数据(例如，适于实现或通过其他方式促进提供NFC部件120的安全元件上的一个或多个凭据或对其进行其他合适的管理(例如，重载)的信息)。可在任何合适的在线上下文内提供此类基于在线的通信，诸如在设备100的用户正在与服务器310进行通信以通过与运行于设备100上的可由服务器310管理的第三方应用程序113(例如，本地应用程序或混合应用程序)的用户交互和/或通过与运行于设备100上的可指向统一资源定位符(“URL”)(其目标或Web资源(例如，Web应用程序或网页)可由服务器310管理)的互联网应用程序113或Web浏览器(例如Apple Inc.的Safari^TM)的用户交互来进行任何合适的业务时。因此，需要指出，服务器310和电子设备100之间的基于在线的通信可以无线方式发生和/或经由有线路径(例如，通过互联网)发生。服务器310可由银行(例如，发行银行子系统370的银行)和/或金融机构子系统350(例如，作为Web服务器以托管网站数据和/或管理用于银行应用程序113的第三方应用程序数据)的网络(例如，支付网络子系统360的网络)提供。尽管未示出，但(例如金融机构子系统350的)服务器310还可包括可与电子设备100的处理器部件102相同或类似的处理器部件、可与电子设备100的通信部件106相同或类似的通信部件、可与电子设备100的I/O接口相同或类似的I/O接口、可与电子设备100的总线相同或类似的总线、可与电子设备100的存储器部件相同或类似的存储器部件、和/或可与电子设备100的电源部件相同或类似的电源部件，或与这些部件相关联或与这些部件共同工作。

尽管本文可将服务器310称为“银行”服务器，但要理解，服务器310可与可管理或至少部分控制在线资源(例如，第三方应用程序或网站)的任何合适的实体或机构相关联，该在线资源可在电子设备的用户访问在线资源时促进管理电子设备上的凭据。除此之外或另选地，尽管本文可将在线资源或应用程序113称为“银行”应用程序或“银行app”，但要理解，此类在线资源可以是可由任何合适的实体或机构管理或至少部分控制的任何合适的第三方应用程序或网站，该实体或机构在电子设备的用户访问在线资源时促进管理电子设备上的凭据。此外，本文可使用应用程序113来指代任何合适的在线资源，该任何合适的在线资源可由服务器310管理或至少部分地控制并可包括运行于设备100上的可由服务器310管理的任何合适的应用程序(例如，本机应用程序或混合应用程序)和/或运行于设备100上的可指向URL或任何其他合适的地址(其目标或Web资源(例如，Web应用程序或网页)可由服务器310管理)的任何合适的Web浏览器。

此外，除了被提供在电子设备100的安全元件上的至少一个凭据SSD和/或ISD之外，设备100可访问至少一个第三方应用程序(例如，应用程序113)，以便使得用户能够访问在线资源(例如用于启用设备100和服务器310之间的基于在线的通信)。首先，可在设备100能够访问应用程序113之前，由商业实体子系统400来批准或通过其他方式来启用此类应用程序113。例如，商业实体子系统400的应用程序商店420(例如，Apple App Store^TM)可(例如经由通信路径55)来从服务器310接收表示应用程序113的至少一些日期。此外，在一些实施方案中，商业实体子系统400和/或服务器310可生成或通过其他方式向由服务器310管理的可由电子设备100用于与服务器310进行在线通信的任何应用程序113分配一个或多个应用程序标识符(“应用程序ID”)。除此之外或另选地，商业实体子系统400和/或服务器310可生成或通过其他方式向由服务器310管理的可由电子设备100访问以用于与服务器310进行在线通信的任何网站(例如，一个或多个URL)分配一个或多个应用程序标识符(“应用程序ID”)。除此之外或另选地，商业实体子系统400和/或服务器310可生成或通过其他方式向在电子设备100的安全元件上提供的任何商业凭据分配一个或多个合适的应用程序标识符(“应用程序ID”)。在一些实施方案中，此类应用程序ID可特定地与特定应用程序113和/或网站相关联，而在其他实施方案中，应用程序ID可特定地与服务器310的管理实体相关联，使得特定应用程序ID可与可由同一服务器310操作的多个第三方应用程序或网站相关联。通过向设备100上供应的至少一个凭据分配至少一个应用程序ID并通过向由服务器310管理的至少一个第三方应用程序或网站分配至少一个应用程序ID，可提供安全层，从而使得能够使用服务器310的在线资源来管理设备100上的一个或多个凭据。

图2的描述

现在参考图2，图2示出了上文相对于图1和图1A描述的系统1的电子设备100的更详细的视图。如图2所示，例如电子设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信(“NFC”)部件120。电子设备100还可包括总线118，该总线可提供一条或多条有线或无线通信链路或路径，以用于向设备100的各种其他部件传输数据和/或功率、从设备100的各种其他部件传输数据和/或功率、或者在设备100的各种其他部件之间传输数据和/或功率。电子设备100还可提供有外壳101，该外壳可至少部分地包封设备100的部件中的一个或多个部件，以免受设备100外部的杂物和其他降解力的损害。在一些实施方案中，可组合或省略电子设备100的一个或多个部件。此外，电子设备100可包括图2中未组合或未包括的其他部件。例如，电子设备100可包括任何其他合适的部件或图2中所示的部件的若干个实例。为了简单起见，图2中仅示出了每种部件中的一个部件。可提供一个或多个输入部件110以允许用户与设备100进行交互或接口连接，和/或可提供一个或多个输出部件112以向设备100的用户呈现信息(例如，图形信息、音频信息和/或触觉信息)。应当指出，在本文有时可将一个或多个输入部件和一个或多个输出部件统称为输入/输出(“I/O”)部件或I/O接口114(例如，输入部件110和输出部件112作为I/O部件或I/O接口114)。例如，输入部件110和输出部件112有时可以是可通过用户触摸显示屏来接收输入信息并且还可经由同一显示屏向用户提供视觉信息的单个I/O部件114，诸如触摸屏。电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号，和/或通过输出部件112来驱动输出信号。如图1A所示，处理器102可用于运行一个或多个应用程序，诸如应用程序103和/或应用程序113。作为一个示例，应用程序103可以是操作系统应用程序，而应用程序113可以是第三方应用程序(例如，与金融机构子系统350的银行相关联的应用程序)。

NFC部件120可以是可在电子设备100和商家子系统200(例如，商家子系统200的商家支付终端220)之间实现任何合适的基于非接触式邻近性的交易或通信15的任何合适的基于邻近性的通信机构。NFC部件120可包括用于使得能够在电子设备100和子系统200之间进行基于非接触式邻近性的通信15的任何合适的模块。如图2所示，例如NFC部件120可包括NFC设备模块130、NFC控制器模块140和/或NFC存储器模块150。NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或通过其他方式提供可作为基于非接触式邻近性的通信或NFC通信15的一部分的由NFC部件120向终端220传输的任何合适的数据。除此之外或另选地，NFC数据模块132可被配置为包含、路由或通过其他方式接收可作为基于非接触式邻近性的通信15的一部分的由NFC部件120从终端220接收的任何合适的数据。NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC设备模块130来操作，以启用、激活、允许和/或通过其他方式控制NFC部件120，以用于在电子设备100与终端220之间传送NFC通信15。NFC控制器模块140可包括可用于运行一个或多个应用程序的至少一个NFC处理器模块142，该一个或多个应用程序诸如可帮助指示NFC部件120的功能的NFC低功率模式或钱包应用程序143。NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作，以允许电子设备100和商家子系统200之间的NFC通信15。NFC存储器模块150可防篡改并可提供安全元件145的至少一部分(例如，参见图3)。例如，此类安全元件145可被配置为提供防篡改平台(例如，作为单芯片安全微控制器或多芯片安全微控制器)，其可能能够根据可由一组识别良好的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准，诸如GlobalPlatform)阐述的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。

如图2所示，例如NFC存储器模块150可包括可由NFC规范标准(例如GlobalPlatform)限定和管理的发行者安全域(“ISD”)152和补充安全域(“SSD”)154(例如，服务提供商安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)等)中的一者或多者。例如，ISD 152可以是NFC存储器模块150的一部分，其中可信服务管理器(“TSM”)或发行金融机构(例如，金融机构子系统350)可存储密钥和/或其他合适的信息，以用于创建或通过其他方式在电子设备100上(例如，经由通信部件106)提供一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、赊购卡、交通卡等相关联的凭据)，从而用于凭据内容管理和/或安全域管理。特定的补充安全域(“SSD”)154(例如，SSD 154a和154b中的一个SSD)可与特定TSM以及可向电子设备100提供特定特权或支付权限的至少一个特定商业凭据(例如，特定信用卡凭据或特定公共交通卡凭据)相关联。每个SSD 154可具有其自身的管理器密钥，并可包括可与特定商业凭据(例如，凭据小应用程序153a和153b的相应一个)相关联的至少一个其自身的凭据应用程序或凭据小应用程序(例如，Java卡小应用程序实例)或与其相关联，其中凭据小应用程序可具有其自身的访问密钥(例如，用于凭据小应用程序153a的访问密钥155a和用于凭据小应用程序153b的访问密钥155b)，并且其中凭据小应用程序可能需要被激活，以启用其关联的商业凭据供NFC设备模块130以供使用，从而作为电子设备100和商家子系统200之间的NFC通信15。例如，SSD 154的小应用程序153可以是可运行于NFC部件120的安全元件145上的应用程序(例如，在GlobalPlatform环境中)。

SSD 154的密钥155可以是可确定加密算法或密码的函数输出的一条信息。例如，在加密时，密钥可指定加密期间明文到密文的特定转化，或反之亦然。也可在其他加密算法中使用密钥，诸如数字签名方案和消息认证代码。每个密钥和小应用程序可由TSM或授权的代理在设备100的安全元件上进行加载或在第一次被提供在设备100上时在安全元件上进行预加载。虽然凭据SSD 154a可与特定卡凭据相关联，但在该凭据SSD 154a的小应用程序153a已被启用或通过其他方式被激活或解锁以用于此类用途时，可从设备100的安全元件(例如，从NFC部件120)向商家子系统200仅传送该特定凭据作为商业凭据数据通信(例如，作为至商家终端220的基于非接触式邻近性的通信15)。

可提供安全特征结构以使得能够使用NFC部件120，在从电子设备100向商家子系统200传输保密支付信息诸如凭据卡信息时，NFC部件120可能特别有用。此类安全特征机构还可包括可具有受限访问权限的安全存储区域。例如，可需要提供经由个人标识号(“PIN”)输入或经由与生物特征传感器进行的用户交互的用户认证，以访问安全存储区域。在某些实施方案中，一些或全部安全特征结构可被存储在NFC存储器模块150内。此外，可在NFC存储器模块150内存储安全信息诸如认证密钥，以用于和商家子系统200传送商业凭据数据。在某些实施方案中，NFC存储器模块150可包括嵌入电子设备100内的微控制器。仅作为一个示例，安全元件的部件或任何合适的部分可被配置为确定设备100的用户的意图和本地认证(例如，经由一个或多个输入部件110诸如生物测定输入部件)，并且响应于此类确定，其可被配置为使得一个特定SSD能够进行支付交易(例如，利用凭据SSD 154a的凭据)。

图3的描述

现在参考图3，图3示出了上文相对于图1-图2描述的系统1的电子设备100的一部分的另一个详细视图。例如，如图3所示，NFC部件120的安全元件145可包括第一SSD 154a，其可包括小应用程序153a或与其相关联，小应用程序153a可包括访问密钥155a和/或凭据密钥155a’；以及第二SSD 154b，其可包括小应用程序153b或与其相关联，小应用程序153b可包括访问密钥155b和/或凭据密钥155b’，其中访问密钥155a和155b中的每一者也可被商业实体子系统(例如，如图1A所示，商业实体子系统400)所知，和/或其中凭据密钥155a’和155b’中的每一者也可被金融机构子系统(例如，如图1A所示，金融机构子系统350)所知。每个SSD 154可具有其自身的管理器密钥155(例如，密钥155ak和155bk中的相应一个密钥)，其可能需要被激活以启用该SSD 154的功能以供NFC设备模块130使用。除此之外或另选地，每个SSD 154可包括与特定商业凭据(例如，SSD 154a的凭据小应用程序153a可与第一商业凭据相关联，和/或SSD 154b的凭据小应用程序153b可与第二商业凭据相关联)相关联的至少一个其自身的凭据应用程序或凭据小应用程序(例如，Java卡小应用程序实例)或与其相关联，其中凭据小应用程序可需要被激活以启用其关联的商业凭据以供NFC设备模块130使用，从而作为电子设备100和商家子系统200之间的NFC通信15。在一些实施方案中，凭据小应用程序的凭据密钥(例如，用于凭据小应用程序153a的凭据密钥155a’和/或用于凭据小应用程序153b的凭据密钥155b’)可由可负责此类凭据的金融机构子系统350生成并可由该金融机构子系统350(例如，如图1A所示)访问，以用于实现安全元件145和金融机构子系统350之间的该凭据小应用程序的安全传输。除此之外或另选地，凭据小应用程序的访问密钥(例如，用于凭据小应用程序153a的访问密钥155a和/或用于凭据小应用程序153b的访问密钥155b)可由商业实体子系统400生成并可由商业实体子系统400(例如，如图1A所示)访问，以用于实现安全元件145和商业实体子系统400之间的该凭据小应用程序的安全传输。

除此之外或另选地，如图3所示，安全元件145可包括ISD 152，该ISD 152可包括也可被与该安全域相关联的可信服务管理器(例如，商业实体子系统400，如图1A所示)知道的ISD密钥156k。可类似于和/或替代访问密钥(例如访问密钥155a)，由商业实体子系统400和电子设备100来利用ISD密钥156k，以用于实现商业实体子系统400和电子设备100的安全元件145之间的安全传输。此外，如图3所示，每个SSD 154和银行应用程序113可与至少一个应用程序ID相关联。例如，SSD 154a和/或其关联的凭据小应用程序153a可包括应用程序ID信息159a和/或与其相关联，该应用程序ID信息159a可使SSD 154a和/或其相关联的凭据小应用程序153a与至少一个特定应用程序ID相关联，SSD 154b和/或其关联的凭据小应用程序153b可包括应用程序ID信息159b和/或与其相关联，该应用程序ID信息159b可使SSD 154b和/或其相关联的凭据小应用程序153b与至少一个特定应用程序ID相关联，和/或银行应用程序113可包括应用程序ID信息159c和/或与其相关联，该应用程序ID信息159c可使银行应用程序113与至少一个特定应用程序ID相关联。每个应用程序ID信息159(例如159a-159c)可以是可通过任何合适的方式与凭据或应用程序相关联的任何合适类型的信息。此外，如图3中所示，并且如下文更详细所述，可在处理器102和安全元件145之间传送各种数据。例如，设备100的处理器102可被配置为运行设备应用程序103，该设备应用程序103可与处理器102的银行应用程序113以及安全元件145、I/O部件114a(例如，用于接收I/O输入数据115i和/或用于传输I/O输出数据115o)和/或通信部件106传送信息。

除此之外或另选地，如图3所示，安全元件145可包括控制管理机构安全域(“CASD”)158，该CASD 158可以是可被配置为充当第三方元件上信任根的专用安全域。CASD 158的相关联的应用程序可被配置为向其他应用程序和/或特定管理层(例如，GlobalPlatform管理层)提供元件上保密密钥生成作为全局服务。可在CASD 158内使用的保密密钥材料可被配置为使得不能被包括安全元件145的发行者的任何实体检验或修改。CASD158可被配置为包括和/或可被配置为生成和/或通过其他方式包括CASD访问套件158k(例如，CASD私钥(“CASD-SK”)、CASD公钥(“CASD-PK”)、CASD证书(“CASD-Cert.”)和/或CASD-签名模块)。例如，在向设备100的另一个部分(例如，用于和系统1的其他子系统进行共享的通信部件106)提供此类数据之前，CASD 158可被配置为(例如，使用CASD访问套件158k)标记和/或加密安全元件145上的特定数据。例如，CASD 158可被配置为标记由安全元件145提供的任何数据，使得其他子系统可能能够确认此类所标记的数据是由安全元件145标记的。

除此之外或替代地，如图3所示，安全元件145可包括非接触式注册服务(“CRS”)小应用程序或应用程序151，该CRS小应用程序或应用程序151可被配置为向电子设备100提供本地功能以用于识别和/或修改特定安全域元件的应用程序ID、生命周期状态(例如，激活、去活、锁定、启用、禁用等)并与设备100的另一部分共享与该信息相关的特定输出信息(例如，没有安全元件的设备100的设备应用程序103)。例如，CRS应用程序可包括CRS列表，该CRS列表可维护安全元件145上的每个安全域元件当前状态的列表(例如，SSD 154a的小应用程序153a的状态和/或SSD 154b的小应用程序153b的状态)，其中CRS应用程序可被配置为与设备100的应用程序(例如，与可作为后台过程运行于操作系统应用程序内部但不可在设备100的交互用户的控制下的设备应用程序103)共享安全元件145的一个或多个安全域元件的状态，其继而可经由I/O接口114a向设备100的用户提供特定状态信息作为输出信息115o和/或向用户界面(“UI”)应用程序或可运行于设备100上的其他合适的应用程序(例如，银行应用程序113，如下所述)提供特定状态信息，这可使得用户能够制定安全域元件状态的改变(例如，以更新此类CRS列表和安全域元件的状态，例如用于实现特定凭据小应用程序的商业凭据以用于NFC通信15)。现金卡凭据的当前余额可被视为可(例如，由设备100的应用程序)轮询/查询的“状态”和/或可经由正式通知机制(例如，经由设备100的操作系统层)获取。除此之外或另选地，CRS 151可包括也可被与CRS 151相关联的可信服务管理器(例如，商业实体子系统400，如图1A所示)知道的CRS访问套件151k。可类似于和/或替代访问密钥(例如访问密钥155a)，由商业实体子系统400和电子设备100来利用CRS访问套件151k，以用于实现商业实体子系统400和电子设备100的安全元件145之间的安全传输。

CRS应用程序可包括CRS列表，该CRS列表可维护当前应用程序ID的列表或可与安全元件145上的每个安全域元件相关联的应用程序ID(例如，基于SSD 154a的应用程序ID信息159a和/或SSD 154b的应用程序ID信息159b)，其中CRS应用程序可被配置为与设备100的应用程序(例如，与设备应用程序103)共享安全元件145的一个或多个安全域元件的应用程序ID，该应用程序继而可经由I/O接口114a和/或经由可运行于设备100上的用户界面(“UI”)应用程序或其他合适的应用程序(例如，如下所述，银行应用程序113)来向设备100的用户提供与SSD相关联(该SSD与特定应用程序ID相关联)的特定应用程序ID信息和/或其他信息作为输出信息115o。例如，设备应用程序103可被配置为接收与安全元件145的每个SSD相关联的状态和应用程序ID的此类列表，并可与和可运行于设备100上的在线资源(例如，银行应用程序113)相关联的应用程序ID共享针对共享至少一个应用程序ID的任何SSD的状态和/或任何其他合适的信息。因此，响应于设备100(例如，通过对应用程序ID信息159c与应用程序ID信息159a和159b进行比较)识别可与应用程序ID(其也可与运行于设备100上的在线资源相关联)相关联的安全元件145的至少一个SSD 154，设备100可被配置为与该在线资源(例如，银行应用程序113)共享针对每个识别的SSD 154的状态信息和/或任何其他合适的识别信息，诸如用于实现使用该在线资源对每个所识别的SSD 154的管理，如下文更详细所述的。

图4的描述

如图4所示，并且如下文更详细所述的，电子设备100的具体示例可以是手持式电子设备诸如iPhone^TM，其中外壳101可允许访问各种输入部件110a-110i、各种输出部件112a-112c和各种I/O部件114a-114d，通过这些部件该设备100和用户和/或周围环境可彼此交互。例如，触摸屏I/O部件114a可包括显示输出部件112a和相关联的触摸输入部件110f，其中显示输出部件112a可用于显示可允许用户与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180。GUI 180可包括各种层、窗口、屏幕、模板、元件、菜单和/或当前运行的应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的其他部件，它们可被显示在显示输出部件112a的全部区域或一些区域中。例如，如图4所示，GUI 180可被配置为显示具有GUI 180的一个或多个图形元素或图标182的第一屏幕190。在选择特定图标182时，设备100可被配置为打开与该图标182相关联的新的应用程序并显示与该应用程序相关联的GUI 180的对应屏幕。例如，在已选择被标记为“银行应用程序”文本指示符181(即，具体图标183)的特定图标182时，设备100可启动或通过其他方式访问特定的第三方银行应用程序并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征结构的特定用户界面的屏幕(例如，参见图9A-图9D的用于在使用银行应用程序(例如，应用程序113)期间的GUI 180的此类显示的具体示例，可由设备100的用户使用该银行应用程序以用于调配或通过其他方式管理安全元件145的凭据(例如，SSD 154b的凭据))。对于每个应用程序，可在显示输出部件112a上显示屏幕并且该屏幕可包括各种用户界面元件。除此之外或另选地，对于每个应用程序，可经由设备100的各种其他输出部件112来将各种其他类型的非可视化信息提供给用户。

图5、图6和图9A-图9D的描述

为了便于下文论述使用在线资源管理电子设备上的可重载凭据的系统1的操作，参考图5和图6的一个或多个流程图的一个或多个过程、图1-图4的示意图的系统1的各个部件以及屏幕190-190e的前视图，它们可表示此类凭据管理期间电子设备100的图形用户界面(例如，如图4和图9A-图9D所示)。可利用各种图形元件和视觉方案来实现所述操作。因此，图4和图9A-图9D的实施方案并非旨在限制本文所采用的准确的用户界面约定。相反，这些实施方案可包括各种用户界面样式。

图5是用于使用在线资源来管理电子设备上的可重载凭据的示例性过程500的流程图。过程500被示出为由电子设备100(例如，安全元件145、设备应用程序103和银行应用程序113)、银行服务器310和金融机构子系统350来实现。然而，应当理解，过程500可使用任何其他合适的部件或子系统来实现。过程500可提供用于使用在线资源(例如，银行应用程序113)来管理电子设备100的安全元件145上的可重载凭据的无缝用户体验。过程500可开始于步骤502处，在此处，可向用户提供在设备100的安全元件145上提供的至少一个可重载凭据的当前余额并可(例如，经由设备应用程序103)接收重载该凭据的选择。然而，在过程500的步骤502之前，银行应用程序113可首先(例如，经由图1A的应用程序商店420)被加载到设备100上，在设备100上(例如，通过用户选择利用图4的“银行应用程序”文本指示符181(即，特定图标183)标记的特定图标182)启动，和/或用于适当地认证具有银行应用程序113的设备100的用户。例如，用户可与运行于设备100上的银行应用程序113(例如，经由I/O接口114a)进行交互，以用于相对于由服务器310管理或通过其他方式控制的账户来认证其自身。在一些实施方案中，服务器310并且因此还有应用程序113可由银行或支付网络360的其他合适的实体和/或金融机构子系统350的发行银行370或可对设备100的可重载凭据进行控制的任何其他子系统管理和/或通过其他方式至少部分控制(例如，应用程序113可以是用于中国银联(“CUP”)、Bank of America(美国银行)等的银行应用程序，设备100的用户可在那里具有账户，该账户可与一个或多个支付凭据相关联(例如，信用卡、借记卡、可重载现金卡等))。现金卡凭据的目标可以是闪付(例如，由SE小应用程序支持的闪付)。任何合适的应用程序113可被配置为知道现金卡凭据闪付，使得闪付可接受来自应用程序113的资金。在一些实施方案中，应用程序113可与现金卡凭据闪付的相关联的SSD/小应用程序共享公共或相关应用程序ID，以便向现金卡凭据注资或通过其他方式访问该现金卡凭据，以用于注资和/或减资的目的。

通过与设备100上的此类在线资源银行应用程序113的用户交互，用户可认证其自身，以便查看具有管理银行服务器310的实体的用户账户的特定账户数据。应用程序113和服务器310可通过任何合适的方式被配置为适当地认证具有账户的设备100的用户，诸如通过用户PIN条目、用户生物测定数据条目，用户名/密码条目、用户对问题的回答条目等。响应于应用程序113在设备100处接收到用户认证信息并响应于此类认证信息被从设备100传送到服务器310(例如，经由图1A的通信路径75)，服务器310可在过程500的步骤502之前分析该认证信息，并且如果服务器310确定该认证信息合适的，则向设备100返回合适的用户账户数据。此外，银行应用程序113和/或经由银行应用程序113的银行服务器310的经认证的账户可与在安全元件145上提供的可重载凭据相关联。例如，在步骤502之前，电子设备100可利用与在线资源113相关联和/或与由在线资源113从银行服务器310接收的任何账户数据相关联的任何数据，以便访问与安全元件相关的任何合适的数据。例如，电子设备100(例如，设备应用程序103)可识别可与设备100当前使用的在线资源相关联的至少一个、一些或所有应用程序ID(例如银行应用程序113的应用程序ID 159c)，并且然后可尝试访问用于指示安全元件145上的可与在线资源的一个或多个所识别的应用程序ID相关联的至少一个、一些或所有凭据的安全元件数据。在一些实施方案中，设备100可被配置为基于可由设备100接收的任何合适的账户数据来确定应用程序ID 159c与当前运行的应用程序113相关联(例如，响应于设备100的用户经由应用程序113来向服务器310认证其自身)。另选地或除此之外，设备100可被配置为基于任何合适的信息来确定应用程序ID 159c与当前运行的应用程序113相关联，该合适的信息相对于应用程序113可被本地存储于设备100上和/或可固有地与应用程序113相关联，儿无论应用程序113是否已响应于用户认证而接收到账户数据。响应于识别出应用程序ID 159c与当前运行的应用程序113相关联，设备100(例如，设备应用程序103)可被配置为与安全元件145进行通信或指定任何其他合适的过程，以便访问相对于可与应用程序ID 159c相关联的安全元件145的任何SSD 154的任何合适的数据。

银行应用程序113可被配置为通过与设备应用程序103(例如，操作系统应用程序和/或软件开发者套件(“SDK”))进行通信来访问此类安全元件数据，该设备应用程序103可被设备100的处理器102使用并可被配置为经由任何合适的技术(例如，经由一个或多个应用程序编程接口(“API”))来与银行在线资源113进行通信。设备应用程序103可被配置为访问设备100可用的各种类型的信息(例如，来自存储器104和/或安全元件145)。例如，设备应用程序103可被配置为访问用于安全元件145的每个SSD 154的合适的信息(例如，凭据描述信息(例如，部分PAN信息)、应用程序ID信息、状态信息等(例如，来自安全元件145的CRS列表，例如作为存折应用程序))，并且该设备应用程序103然后可被配置为过滤此类信息，使得仅有针对与应用程序ID(该应用程序ID也和银行应用程序113相关联)相关联的每个SSD 154的此类信息可由设备应用程序103提供给银行应用程序113。另选地，设备应用程序103可被配置为访问仅针对可与应用程序ID(其也可以与银行应用程序113相关联)相关联的安全元件145(来自安全元件145的CRS列表)的每个SSD 154的合适的信息，并且该设备应用程序103可被配置为向银行应用程序113仅提供所访问的信息。例如，如果银行应用程序113的应用程序ID 159c匹配或通过其他方式被认为与SSD 154a的应用程序ID 159a相关联，则可由设备应用程序103向银行应用程序113提供关于SSD 154a的凭据的信息(例如，SSD 154a的可重载凭据小应用程序153a的可重载余额161a的当前值)。另选地或除此之外，如果银行应用程序113的应用程序ID 159c匹配或通过其他方式被认为与SSD 154b的应用程序ID 159b相关联，则可由设备应用程序103向银行应用程序113提供关于SSD 154b的凭据的信息(例如，SSD 154b的可重载凭据小应用程序153b的可重载余额(未示出)的当前值)。例如，如图9A的屏幕190a所示，设备100可被配置为提供在安全元件145上提供的可由银行应用程序113访问的至少一个可重载凭据的列表、每个可重载凭据的当前余额、和/或用于重载或通过其他方式调整特定可重载凭据余额的至少一个可选择用户选项。具体地，屏幕190a可包括小应用程序153a的可重载凭据“A”和小应用程序153b的可重载凭据“B”的列表，以及银行应用程序113可访问的每个可重载凭据的状态(例如，当前余额)的列表，以及针对每个账户凭据的至少一个管理选项的列表(例如，用于促进重载(例如，调整)安全元件145的SSD 154a的可重载凭据A的当前余额(例如，“值D”)的“重载”管理选项901a和/或用于促进重载(例如，调整)安全元件145的SSD 154b的可重载凭据B的当前余额(例如，“值E”)的“重载”管理选项901b)。

通过在步骤502处提供SSD 154a的可重载凭据小应用程序153a的可重载余额161a的当前值(例如，如图9A的屏幕190a所示)，银行应用程序113可被配置为为用户提供用于选择向该可重载凭据添加附加资金的能力，以用于增加余额值161a。例如，还是在步骤502处，响应于提供SSD 154a的可重载凭据小应用程序153a的至少可重载余额161a的当前值，银行应用程序113可被配置为为用户提供用于选择重载该凭据小应用程序的资金并然后接收此类用户选择的能力。响应于在步骤502处提供图9A的UI屏幕190a，用户可通过很多可能方式中的一种方式(例如，利用选项901a和901b中的一个选项的用户输入选择作为图3的I/O输入数据115i)与设备100(例如，利用I/O接口114a)进行交互，以用于管理安全元件145上的可重载凭据。例如，在用户可在步骤502处选择图9A的选项901a时，银行应用程序113可例如通过提供图9B的屏幕190b来为用户提供针对可重载的SSD 154a的可重载凭据A的当前余额的至少一个重载源的至少一个用户可选择选项，屏幕190b可包括至少一个重载源选项(例如，选项903a的源G和选项903b的源H)的列表，以用于选择特定重载源，从而在重载可重载凭据时使用。此类重载源可以是与设备100相关联的任何合适的资金来源(例如，诸如通过经由银行应用程序113来向银行服务器310认证而与设备100的用户相关联)，其可包括由金融机构子系统350的任何合适的子系统管理的任何合适的银行账户。另选地，重载源可以是可被配置为向特定现金卡凭据的重载注资的另一个现金卡凭据或安全元件145上的任何其他合适的凭据。此外，响应于在步骤502处提供图9B的UI屏幕190b，用户可通过很多可能方式中的一种方式(例如，利用选项903a和903b中的一个选择项的用户输入选择作为图3的I/O输入数据115i)来与设备100(例如，利用I/O接口114a)进行交互，以用于管理安全元件145上的可重载凭据。例如，在用户可在步骤502处选择图9B的选项903a的重载源G时，银行应用程序113可例如通过提供图9C的屏幕190c来为用户提供至少一个用户可选择选项，以用于输入要重载的可重载凭据A的当前余额的重载量，该屏幕190c可包括重载量输入选项905a，以用于实现对特定重载量的用户选择，从而在重载可重载凭据A时使用。此类量可是由所选择的重载源(例如，源G)可用的资金支持的任何合适的值。在一些实施方案中，该量的上限可以是任何合适的量(例如，在中华人民共和国为1000人民币(“RMB”))。在一些实施方案中，该量可以是正数(例如，用于通过从源G向凭据A移动资金来增加可重载凭据A可用的资金的当前余额)或负数(例如，用于通过从凭据A向源G移动资金来减少可重载凭据A可用的资金的当前余额)。此外，响应于提供图9C的UI屏幕190c并在步骤502处的选项905a处接收到重载量的输入，用户可通过很多可能方式中的一种可能方式来与设备100(例如，利用I/O接口114a)进行交互，以用于发起安全元件145上的可重载凭据的重载。例如，一旦用户在步骤502处利用图9C的选项905a输入了特定重载量，银行应用程序113便可例如通过提供图9C的重载选项905b来为用户提供至少一个用户可选择选项，以用于利用可重载凭据A来发起该重载量，以用于实现对特定重载量的选项905a的用户重载选择，从而在重载可重载凭据A时使用。因此，在该特定示例之后，在步骤502处的对图9C的重载选项905b的用户选择可向具有重载源G的可重载凭据A发起重载选项905a的特定重载量。

响应于在步骤502处接收到此类重载选择(例如，对小应用程序153a的特定可重载凭据A的选择)，过程500的步骤504可包括银行应用程序113处理此类重载选择并生成初始化命令。此类初始化命令可从银行应用程序113(例如，经由设备应用程序103)发送到电子设备100上的安全元件145，以用于在步骤504处重载安全元件145的可重载凭据A。例如，银行应用程序113可在步骤504处(例如，经由设备应用程序103)来与安全元件145进行通信，以便请求可用于实现此类重载的特定信息。在步骤504处向安全元件145提供的此类初始化命令可包括至少一个本地PutPending(待审)命令，该本地待审命令具有作为命令应用协议数据单元(“APDU”)的脚本，其可从在设备100上提供的特定凭据小应用程序请求密码或任何其他合适的数据，其中此类数据可稍后由远离安全元件145的发行者或管理者或系统1的任何其他合适的实体验证，该发行者或管理者或其他合适的实体可能初始便在安全元件145上提供了该凭据小应用程序。此外，此类初始化命令数据可初始由银行应用程序113连同对银行应用程序113的应用程序ID 159c的识别一起向设备应用程序103提供，并且该设备应用程序103可在向安全元件145提供该初始化命令数据之前，确认该应用程序ID 159c与预期接收初始化命令数据指令的凭据适当相关联(例如，该应用程序ID 159c与SSD 154a的可重载凭据小应用程序153a的应用程序ID 159a相关联)。

响应于接收到此类初始化命令，SSD 154a的可重载凭据小应用程序153a可在步骤506处处理初始化命令并利用初始化响应进行响应，该初始化响应可包括至少一个响应APDU，该至少一个响应APDU包括来自特定凭据小应用程序153a的密码或任何其他合适的数据，其中此类数据可稍后由远离安全元件145的发行者或管理者或系统1的任何其他合适的实体验证，该发行者或管理者或其他合适的实体可能初始便在安全元件145上提供该凭据小应用程序153a。此类初始化响应可从安全元件145(例如，经由设备应用程序103)向银行应用程序113提供，并且然后银行应用程序113可在步骤508处连同任何其他合适的数据一起将该初始化响应作为初始化结果向银行服务器310传输。例如，此类初始化结果可包括来自可重载凭据小应用程序153a的密码或任何其他合适的验证数据以及对要利用该可重载凭据小应用程序重载的特定量货币或值的请求(例如，在图9C的选项905a处选择的量)和/或要用于调整该可重载凭据小应用程序的当前余额的特定资金来源(例如，在图9B的选项903a处选择的资金来源G)。安全元件145(例如，具有凭据小应用程序153a的SSD 154a)可被配置为在步骤504处接收一个或多个初始化命令并在步骤506处提供一个或多个初始化响应，而无需利用CRS套件151。

然后，在步骤510处，银行服务器310从银行应用程序113接收此类初始化结果，并可处理此类初始化结果(例如，与金融机构子系统350的任何合适的子系统合作)。初始化结果的此类处理可包括尝试验证可由SSD 154a的可重载凭据小应用程序153a作为初始化结果的至少一部分提供的密码或任何其他合适的验证数据。然后，如果此类所尝试的验证成功，则步骤510的此类处理还可包括生成重载数据，该重载数据可以是指示要应用于可重载凭据的余额的量的和/或指示可注资或通过其他方式与对可重载凭据的余额的调整相关联的源的指令。此类重载数据可在步骤512处被传输到设备100的银行应用程序113，其中此类重载数据可包括至少一个脚本(例如，任何脚本、任何旋转密钥(例如，如果必要)和/或可用于更新设备100上的可重载凭据卡的余额的任何其他合适的管理元件)诸如TopUp脚本，其可遵照任何合适的行业标准诸如GlobalPlatform。在一些实施方案中，可由SSD 154a的可重载凭据小应用程序153a作为步骤508的初始化结果的至少一部分提供的密码或任何其他合适的验证数据可被配置为证明用于请求资金的安全元件145的身份，并可使得金融机构子系统350(例如，发行者)和/或服务器310能够适当地加密用于安全元件145(例如，用于特定SSD 154a)的任何合适的命令。在一些实施方案中，密码可以是SSD 154a的可重载凭据小应用程序153a的实际密钥，或者另选地，密码可以是任何合适长度的数据集(例如，8或16字节密码)，其可以是使用与SSD 154a的可重载凭据小应用程序153a相关联的密钥生成的(例如，使用对任何合适的信息具有任何合适的密码功能(例如，算法)的密钥，诸如随机生成的数字和/或某种其他可用于安全元件145的数据(例如，可用于SSD 154a的可重载凭据小应用程序153a，诸如可重载现金凭据上的现金当前值))，使得密码可由服务器310验证，该服务器310还可访问SSD 154a的可重载凭据小应用程序153a的密钥。例如，在过程500的步骤502之前，服务器310可能已生成和/或提供安全元件145上的该密钥(例如，连同SSD 154a的可重载凭据小应用程序153a)。

接下来，响应于在步骤512处从银行服务器310接收到此类重载数据，银行应用程序113可在步骤514处生成并向电子设备100上的安全元件145传输相关的重载命令(例如，经由设备应用程序103)，以用于重载安全元件145的可重载凭据。例如，响应于在步骤512处从银行服务器310接收到重载命令，银行应用程序113可在步骤514处(例如，经由设备应用程序103)与安全元件145进行通信，以便基于该所接收的重载命令来请求特定可重载凭据卡的余额的重载或其他合适的更新。在步骤514处从银行应用程序113向安全元件145提供的此类重载命令可包括作为命令APDU的至少一个本地PutPcnding命令，其可提供已经由银行应用程序113从银行服务器310接收的脚本。此类APDU命令可被配置为指示SSD 154a的可重载凭据小应用程序153a利用从银行服务器310接收的脚本命令适当地增加或减少安全元件145上的该可重载凭据卡的余额值161a。此外，此类重载命令数据可初始由银行应用程序113连同银行应用程序113的应用程序ID 159c的识别一起向设备应用程序103提供，并且设备应用程序103可在向安全元件145提供该重载命令之前，确认该应用程序ID 159c与预期接收重载命令数据指令的凭据合适的相关联(例如，该应用程序ID 159c与SSD 154a的可重载凭据小应用程序153a的应用程序ID 159a相关联)。

响应于接收到此类重载命令，SSD 154a的可重载凭据小应用程序153a可处理重载命令，以用于在步骤516处验证命令和/或适当地增大或减小安全元件145上的该可重载凭据卡的余额值161a。例如，步骤514处的重载命令可包括验证数据，安全元件145可利用该验证数据来验证与SSD 154a的可重载凭据小应用程序153a相关联的由受信任源提供的重载数据(例如，类似于可由服务器310验证的步骤508的初始化结果的验证数据)。例如，在一些实施方案中，步骤514处的重载命令的验证数据可包括密码，该密码可以是服务器310和SSD 154a的可重载凭据小应用程序153a可用的实际密钥，或者另选地，密码可以是任何合适的长度的数据集(例如，8或16字节密码)，其可以是利使用服务器310和SSD 154a的可重载凭据小应用程序153a可访问的密钥生成的(例如，使用对任何合适的信息具有任何合适的密码功能(例如，算法)的密钥，诸如随机生成的数字和/或可用于服务器310的一些其他数据(例如，诸如可重载现金凭据上的现金的当前值，其可已在上述步骤506/508处提供给服务器310))，使得密码可由SSD 154a的小应用程序153a验证，该小应用程序153a还可访问密钥以及该当前值，以用于验证重载命令。在一些实施方案中，重载命令可被配置得不可重复播放(例如，以免被设备100重复使用来利用单个重载命令(例如，基于单个资金事件)多次递增现金凭据值)。例如，重载命令的验证数据可基于可重载现金凭据的当前值(例如，在步骤506处时)，使得如果安全元件在第一次使用重载命令来改变可重载现金凭据值之后要尝试第二次使用同一重载命令，可重载现金凭据的“当前值”将与其在步骤506处时不同，从而将不能验证重载命令的验证数据来进行其尝试的第二次使用。然而，如果步骤514的重载命令的验证数据被安全元件145(例如，由SSD 154a的可重载凭据小应用程序153a)验证，则可允许重载可重载凭据小应用程序153a。对可重载凭据小应用程序153a的此类重载可调整供设备100使用的可重载凭据小应用程序153a可用的资金的余额(例如，在与商家子系统200的通信15中)。响应于步骤516处的此类重载，安全元件145可在步骤518处(例如，经由设备应用程序103)生成并向银行应用程序113发送重载响应，该重载响应可包括至少一个响应APDU，该至少一个响应APDU包括已根据所接收的重载命令适当地调整余额161a的确认。安全元件145(例如，具有凭据小应用程序153a的SSD 154a)可被配置为在步骤514处接收一个或多个重载命令并在步骤518处提供一个或多个重载响应，而无需利用CRS套件151。

响应于在步骤518处接收到此类重载响应，银行应用程序113可被配置为在步骤520处向设备100的用户(例如，经由I/O接口114a)提供对经调整的余额161a的指示。例如，如图9D的屏幕190d所示，银行应用程序113可被配置为呈现可重载凭据A的更新的当前余额(即，“值D*”)，这是通过步骤516的重载从在步骤504-518之前呈现的屏幕190a的先前余额值D调整的。除此之外或另选地，响应于在步骤518处接收到此类重载响应，银行应用程序113可被配置为在步骤522处向银行服务器310传输该响应作为重载结果。例如，此类重载结果可包括可能在步骤518处提供的来自可重载凭据小应用程序153a的任何合适的重载确认数据，以及来自银行应用程序113的任何其他合适的数据，其可指示用于调整该可重载凭据小应用程序的货币或值的特定量和/或用于该调整的特定资金来源的指示。

然后，在步骤524处，银行服务器310可从银行应用程序113接收此类重载结果，并可处理此类重载结果(例如，与金融机构子系统350的任何合适的子系统合作)。重载结果的此类处理可包括调整金融机构子系统350的可用于在步骤516处调整可重载凭据小应用程序153a的余额的特定资金来源(例如，用户的银行账户(例如，所选择的重载源G))的余额，这样可完成从金融机构子系统350的账户向可重载凭据小应用程序153a移动资金的金融交易，或反之亦然。另选地，对用于步骤516的调整的金融机构子系统350的特定资金来源(例如，所选择的重载源G)的余额的此类调整可至少部分在步骤510处完成，使得可在步骤516处调整可重载凭据小应用程序153a的余额之前在金融机构子系统350的账户处调整资金。

在设备100的用户可在步骤502处提供重载选择(例如，通过经由图9A-图9C的银行应用程序113的选项来选择可重载凭据、重载源和重载量)之后，过程500的其余步骤可对于用户而言是透明发生的。即，一旦用户提供了对可重载凭据的选择，便可进行对步骤502、步骤504-524的可重载凭据、重载源和/或重载量的选择，而无需任何进一步用户交互(例如，至少无需相对于特定重载的任何进一步的用户交互)并可对用户而言看起来是自动和/或瞬时的，由此过程500可对于用户而言似乎在步骤502之后，安全元件145上的凭据数据的状态已自动和/或瞬时被更新(例如，似乎可重载凭据A的余额161a的值已在安全元件145上被自动和/或瞬时调整)并可基于该更新(例如，通过提供图9D的更新屏幕190d)在步骤520处向用户提供该更新的状态。因此，过程500可在用户正与设备100上的在线资源113进行交互或通过其他方式对其进行使用时提供更无缝的用户体验，其中该在线资源113可与已在设备100上提供的一个或多个可重载凭据相关联。通过与在线资源113的用户交互来对电子设备100的安全元件145上的一个或多个可重载凭据进行的此类管理可增加在线资源的功能和/或增强用户对设备100的体验以及其凭据管理能力。

在一些实施方案中，可将安全元件145用于过程500的步骤506和步骤514之间的任何其他合适的过程，例如使得过程500的步骤504的初始化命令和过程500的步骤514的重载命令可相对于安全元件145的角度而言是异步的。这样可在步骤506和步骤514之间实现其他过程，诸如向安全元件145上提供第三凭据和/或利用凭据小应用程序153b经由通信15来进行金融交易，而不需要安全元件145被保持在轮询模式中(例如，在步骤514处等待重载命令时)。然而，从银行应用程序113和/或银行服务器310的角度来讲，过程500可以是同步的，由此可由银行应用程序113利用要由安全元件145执行的一个或多个脚本(例如GlobalPlatform脚本)来在本地生成两个待审命令(例如，步骤504的初始化命令和步骤514的重载命令)。在一些实施方案中，安全元件145可不被配置作为典型意义上的多过程环境。会话可典型地为要执行和/或访问相同的一个或多个状态/一个或多个变量/一个或多个寄存器/一个或多个计数器的一组命令提供统一上下文，例如即使在该场景后方时，CUP或任何其他合适的银行服务器310或金融机构子系统350已换入/换出其他过程并保存其上下文。在已完成第一脚本之后，为了不阻碍其他安全元件过程，该脚本可保存其“本地”上下文。如果用于另一个应用程序标识符(“AID”)的另一安全元件操作要进入脚本之间，其可能会干扰“会话”和/或在可执行第二脚本时潜在地使一个或多个寄存器/一个或多个计数器/一个或多个状态/一个或多个变量处于不同/错误状态中。因此，可保存一种或多种状态，使得在调用第二脚本时可恢复它们。

过程500可仅需要两条命令，以用于重载现金凭据(即，步骤504的初始化命令和步骤514的重载命令)，由此减少(例如，设备100和服务器310之间和/或服务器310和金融机构子系统350之间的)网络流量和/或由此减少对任何网络错误进行特殊处理的量。这样可减少可能用于在现金凭据小应用程序和应用程序113的服务器310之间建立相互认证的“往返行程”的次数。

应当理解，图5的过程500中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可添加附加步骤，并可改变某些步骤的顺序。

图6是用于使用在线资源来管理电子设备上的可重载凭据的示例性过程600的流程图。过程600被示出为由电子设备100(例如，安全元件145、设备应用程序103和银行应用程序113)、银行服务器310和金融机构子系统350来实现。然而，应当理解，过程600可使用任何其他合适的部件或子系统来实现。过程600可供用于使用在线资源(例如，银行应用程序113)来管理电子设备100的安全元件145上的可重载凭据的无缝用户体验。

过程600可开始于步骤602处，在此处，可由银行应用程序113(例如，经由设备应用程序103)来访问在设备100的安全元件145上提供的至少一个可重载凭据的当前余额数据652。然而，在过程600的步骤602之前，如上文相对于图5所述的，银行应用程序113可首先(例如，经由图1A的应用程序商店420)被加载到设备100上，在设备100上(例如，通过对利用图4的“银行应用程序”文本指示符181(即，特定图标183)标记的特定图标182的用户选择)启动，和/或用于向银行应用程序113适当地认证设备100的用户。在步骤602处，电子设备100可利用与在线资源113相关联和/或与由在线资源113从银行服务器310接收的任何账户数据相关联的任何数据，以便访问与安全元件相关的任何合适的数据。例如，电子设备100(例如，设备应用程序103)可识别可与设备100当前使用的在线资源相关联的至少一个、一些或所有应用程序ID(例如银行应用程序113的应用程序ID 159c)，并且然后可尝试访问用于指示安全元件145上的可与在线资源的一个或多个所识别的应用程序ID相关联的至少一个、一些或所有凭据的安全元件数据。在一些实施方案中，设备100可被配置为基于可由设备100接收的任何合适的账户数据来确定应用程序ID 159c与当前运行的应用程序113相关联(例如，响应于设备100的用户经由应用程序113向服务器310认证其自身)。另选地或除此之外，设备100可被配置为基于任何合适的信息来确定应用程序ID 159c与当前运行的应用程序113相关联，该合适的信息相对于应用程序113可被本地存储在设备100上和/或可固有地与应用程序113相关联，而无论应用程序113是否响应于用户认证接收到账户数据。响应于识别应用程序ID 159c与当前运行的应用程序113相关联，设备100(例如，设备应用程序103)可被配置为与安全元件145通进行信或指定任何其他合适的过程，以便访问相对于可与应用程序ID 159c相关联的安全元件145的任何SSD 154的任何合适的数据。例如，如果银行应用程序113的应用程序ID 159c匹配或通过其他方式被认为与SSD 154a的应用程序ID 159a相关联，则可由设备应用程序103在步骤602处向银行应用程序113提供关于SSD 154a的凭据的信息(例如，SSD 154a的可重载凭据小应用程序153a的可重载余额161a的当前值)作为所访问的余额数据652。另选地或除此之外，如果银行应用程序113的应用程序ID 159c匹配或通过其他方式被认为与SSD 154b的应用程序ID 159b相关联，则可由设备应用程序103在步骤602处向银行应用程序113提供关于SSD 154b的凭据的信息(例如，SSD 154b的可重载凭据小应用程序153b的可重载余额(未示出)的当前值)作为所访问的余额数据652。

在步骤604处，所认证的银行应用程序113可被配置为使用任何合适的协议(例如，经由通信路径75)从银行服务器310访问资金数据654，其中此类资金数据654可指示用户可用于调整设备100上的可重载凭据的当前余额的一个或多个资金来源。银行服务器310可在步骤604处与金融机构子系统350的任何合适的子系统进行通信，以访问用于银行应用程序113的此类资金数据。

接下来，在步骤606处，银行应用程序113可被配置为基于步骤602的所访问的余额数据652来向设备100的用户提供当前余额数据656。例如，如图9A的屏幕190a所示，在安全元件145上提供的可由银行应用程序113访问的至少一个可重载凭据的列表、每个可重载凭据的当前余额、和/或用于重载或通过其他方式调整特定可重载凭据余额的至少一个可选择用户选项。具体地，屏幕190a可包括小应用程序153a的可重载凭据“A”和小应用程序153b的可重载凭据“B”的列表，以及银行应用程序113可访问的每个可重载凭据的状态(例如，当前余额)的列表，以及针对每个账户凭据的至少一个管理选项的列表(例如，用于促进重载(例如，调整)安全元件145的SSD 154a的可重载凭据A的当前余额(例如，“值D”)的“重载”管理选项901a和/或用于促进重载(例如，调整)安全元件145的SSD 154b的可重载凭据B的当前余额(例如，“值E”)的“重载”管理选项901b)。

通过在步骤606提供SSD 154a的可重载凭据小应用程序153a的可重载余额161a的当前值(例如，如图9A的屏幕190a所示)，银行应用程序113可被配置为为用户提供用于选择向该可重载凭据添加附加资金的能力，以用于增加余额值161a。例如，还是在步骤606处，响应于提供SSD 154a的可重载凭据小应用程序153a的至少可重载余额161a的当前值，银行应用程序113可被配置为为用户提供用于选择重载该凭据小应用程序的资金并然后接收此类用户选择的能力。响应于在步骤606处提供图9A的UI屏幕190a，用户可通过很多可能方式中的一种可能方式(例如，利用对选项901a和901b中的一个选项的用户输入选择作为图3的I/O输入数据115i)与设备100(例如，利用I/O接口114a)进行交互，以用于通过在步骤608处提供重载选择数据658来管理安全元件145上的可重载凭据。例如，在用户可在步骤608处选择图9A的选项901a时，银行应用程序113可例如通过提供图9B的屏幕190b来为用户提供针对可重载SSD 154a的可重载凭据A的当前余额的至少一个重载源的至少一个用户可选择选项，该屏幕190b可包括基于资金数据654的至少一个重载源选项(例如，选项903a的源G和选项903b的源H)的列表，以用于选择特定重载源以在重载可重载凭据A时使用。此类重载源可以是与设备100相关联的任何合适的资金来源(例如，诸如通过经由银行应用程序113向银行服务器310认证而与设备100的用户相关联)，其可包括由金融机构子系统350的任何合适的子系统管理的任何合适的银行账户或安全元件145上的任何其他合适的资金凭据。此外，响应于银行应用程序113提供图9B的UI屏幕190b，用户可通过很多可能方式中的一种可能方式(例如，利用对选项903a和903b中的一个选项的用户输入选择作为图3的I/O输入数据115i)与设备100(例如，利用I/O接口114a)进行交互，以用于通过在步骤608处提供附加重载选择数据658来管理安全元件145上的可重载凭据。例如，在用户可在步骤608处选择图9B的选项903a的重载源G时，银行应用程序113可例如通过提供图9C的屏幕190c来为用户提供至少一个用户可选择选项，以用于输入要重载的可重载凭据A的当前余额的重载量，该屏幕190c可包括重载量输入选项905a，以用于实现对特定重载量的用户选择，以在重载可重载凭据A时使用。此类量可以是由所选择的重载源(例如，源G)可用的资金支持的任何合适的值。在一些实施方案中，该量的上限可以是任何合适的量(例如，在中华人民共和国为1000人民币(“RMB”))。在一些实施方案中，该量可以是正数(例如，用于通过从源G向凭据A移动资金来增加可重载凭据A可用资金的当前余额)或负数(例如，用于通过从凭据A向源G移动资金来减少可重载凭据A可用资金的当前余额)。此外，响应于银行应用程序113提供图9C的UI屏幕190c并在选项905a处接收到重载量的输入，用户可通过很多可能方式中的一种可能方式(例如，利用I/O接口114a)来与设备100进行交互，以用于通过在步骤608处提供附加重载选择数据658来发起安全元件145上的可重载凭据的重载。例如，一旦用户利用图9C的选项905a输入了特定重载量，银行应用程序113便可例如通过提供图9C的重载选项905b来为用户提供至少一个用户可选择选项，以用于利用可重载凭据A来发起该量的重载，以用于实现对特定重载量的选项905a的用户重载选择，以在重载可重载凭据A时使用。因此，在该特定示例之后，对步骤608处的图9C的重载选项905b的用户选择可向具有重载源G的可重载凭据A发起对特定重载量的选项905a的重载。

响应于在步骤608处接收到此类重载选择(例如，选择小应用程序153a的特定可重载凭据A)作为数据658的至少一部分，过程600的步骤610可包括银行应用程序113处理此类重载选择数据658并生成且发送至少一个初始化命令660。初始化命令660可从银行应用程序113发送到电子设备100上的设备应用程序103，以用于重载安全元件145的可重载凭据A。初始化命令660可包括对安全元件145上的特定凭据(例如，可重载凭据A)的识别和至少一个本地待审命令，该本地待审命令具有作为命令应用协议数据单元(“APDU”)的脚本，该脚本可从在设备100上提供的特定凭据小应用程序请求密码或任何其他合适的数据，其中此类数据可稍后由远离安全元件145的发行者或管理者或系统1的任何其他合适的实体来验证，该发行者或管理者或其他合适的实体可能初始便在安全元件145上提供了该凭据小应用程序。此外，初始化命令660可连同对银行应用程序113的应用程序ID 159c的识别一起而由银行应用程序113初始向设备应用程序103提供。

在步骤612的，设备应用程序103可被配置为分析初始化命令660，以确认是否允许银行应用程序113与安全元件145的特定凭据小应用程序进行通信。设备应用程序103可被配置为在步骤612处通过任何合适的方式检查银行应用程序113相对于特定凭据小应用程序的访问权限。例如，设备应用程序103可对银行应用程序113的应用程序ID 159c与具有应用程序ID 159c的应用程序能够访问的凭据小应用程序的应用程序ID的已知列表(例如，查找表格)进行比较。如果设备应用程序103在步骤612处在银行应用程序113的应用程序ID 159c和由初始化命令660识别的特定凭据小应用程序153a的应用程序ID 159a之间检测到批准的匹配，则设备应用程序103可被配置为在步骤614处向安全元件145传输合适的初始化命令664。在一些实施方案中，如果检测到批准的匹配，则设备应用程序103可进一步分析初始化命令660的每个脚本，以在传输初始化命令664之前确认每个脚本仅对批准的安全元件凭据进行寻址。此类初始化命令664可包括与初始化命令660相同的脚本，但可被充分配置为直接与安全元件145进行通信。初始化命令664可包括至少两个不同的命令APDU，该至少两个不同的命令APDU包括指示对特定可重载小应用程序(例如，可重载凭据A的小应用程序153a)的选择的第一命令和指示用于所选择的可重载小应用程序传输密码或任何其他合适的验证数据的指令的第二命令。

响应于接收到此类初始化命令664，SSD 154a的可重载凭据小应用程序153a可在步骤618处处理初始化命令664并利用初始化响应668进行响应，该初始化响应可包括至少一个响应APDU，该至少一个响应APDU包括来自特定凭据小应用程序153a的密码或任何其他合适的数据，其中此类数据可稍后由远离安全元件145的发行者或管理者或系统1的任何其他合适的实体验证，该发行者或管理者或其他合适的实体可能初始便在安全元件145上提供该凭据小应用程序153a。安全元件145(例如，具有凭据小应用程序153a的SSD 154a)可被配置为在步骤614处接收一个或多个初始化命令664并在步骤618处提供一个或多个初始化响应668，而无需利用CRS套件151。初始化响应668可从安全元件145被提供到设备应用程序103，并且然后从设备应用程序103被提供到银行应用程序113作为初始化响应670。在一些实施方案中，在步骤618之前，与之同时或在其之后，安全元件145(例如，作出响应的凭据小应用程序153a的SSD 154a)可在步骤616处在安全元件145的存储器部分中(例如，在安全元件145的闪存存储器部分而非设备100的RAM部分中)存储任何合适的临时变量。此类临时变量可包括任何合适的数据，诸如柜台数据、会话密钥数据、任何随机生成的数字、包括由初始化响应668提供的任何验证数据的任何密码数据等。这可使得安全元件145能够在初始化命令664之后并且在重载凭据A的过程中的稍后待审命令(例如，步骤632的重载命令682)之前执行其他待审命令。例如，如上所述，安全元件145不可被配置作为典型意义上的多过程环境。会话可典型地为要执行和/或访问相同的一个或多个状态/一个或多个变量/一个或多个寄存器/一个或多个计数器的一组命令提供统一上下文，例如即使在该场景后方时，CUP或任何其他合适的银行服务器310或金融机构子系统350已换入/换出其他过程并保存其上下文。在已完成第一脚本之后，为了不阻碍其他安全元件过程，该脚本可保存其“本地”上下文。如果用于另一个应用程序标识符(“AID”)的另一安全元件操作要进入脚本之间，其可能会干扰“会话”和/或在可执行第二脚本时潜在地使一个或多个寄存器/一个或多个计数器/一个或多个状态/一个或多个变量处于不同/错误状态中。因此，可保存一种或多种状态，使得在调用第二脚本时可恢复它们。

接下来，在步骤622处，银行应用程序113可接收并处理初始化响应670，并且然后在步骤622处使用任何合适的通信协议(例如，经由通信路径75)来向银行服务器310传输初始化响应连同任何其他合适的数据作为初始化结果672。例如，此类初始化结果672可包括来自可重载凭据小应用程序153a的初始化响应668的密码或任何其他合适的验证数据以及对要利用该可重载凭据小应用程序重载的特定量货币或值的请求(例如，在图9C的选项905a处选择的量)和/或对要用于调整该可重载凭据小应用程序的当前余额的特定资金来源(例如，在图9B的选项903a处选择的资金来源G)的指示，如在步骤608处选择数据658被提供至银行应用程序113那样。

然后，在步骤624处，银行服务器310可从银行应用程序113接收此类初始化结果672，并可处理此类初始化结果672(例如，与金融机构子系统350的任何合适的子系统合作)。对初始化结果672的此类处理可包括尝试验证初始化响应668的可由SSD 154a的可重载凭据小应用程序153a作为初始化结果672的至少一部分提供的密码或任何其他合适的验证数据(例如，如上文相对于过程500的步骤508/510所述的)。然后，如果此类所尝试的验证成功，则步骤624的此类处理还可包括生成重载指令，该重载指令可指示要应用于可重载凭据的余额的量和/或可指示可注资或通过其他方式与对可重载凭据的余额调整相关联的源的指令。此类重载数据可在步骤626处被银行服务器310使用任何合适的通信协议(例如，经由通信路径75)传输到设备100的银行应用程序113作为重载数据676，其中此类重载命令可包括至少一个脚本(例如，任何脚本、任何旋转密钥(例如，如果必要)和/或可用于更新设备100上的可重载凭据卡的余额的任何其他合适的管理元件)诸如TopUp脚本，其可遵照任何合适的行业标准诸如GlobalPlatform。

接下来，响应于在步骤626处从银行服务器310接收到此类重载数据676，银行应用程序113可在步骤628处生成并向设备应用程序103传输相关重载命令678，以用于重载安全元件145的可重载凭据A。重载命令678可包括对安全元件145上的特定凭据(例如，可重载凭据A)和具有脚本的至少一个本地待审命令的识别，该本地待审命令作为命令APDU，其可请求对在设备100上提供的该特定凭据小应用程序的余额进行特定类型的重载调整(例如，基于从银行服务器310接收到的作为重载数据676的脚本命令的对适当地增加或减小安全元件145上的该可重载凭据卡的余额值161a的请求)。此外，重载命令678可连同对银行应用程序113的应用程序ID 159c的识别一起由银行应用程序113初始向设备应用程序103提供。

在步骤630处，设备应用程序103可被配置为分析重载命令678，以确认是否允许银行应用程序113与安全元件145的特定凭据小应用程序进行通信。类似于步骤612，设备应用程序103可被配置为在步骤630处通过任何合适的方式来检查银行应用程序113相对于特定凭据小应用程序的访问权限。例如，设备应用程序103可对银行应用程序113的应用程序ID 159c与具有应用程序ID 159c的应用程序能够访问的凭据小应用程序的应用程序ID的已知列表(例如，查找表格)进行比较。如果设备应用程序103在步骤630处在银行应用程序113的应用程序ID 159c和由重载命令678识别的特定凭据小应用程序153a的应用程序ID 159a之间检测到批准的匹配，则设备应用程序103可被配置为在步骤632处向安全元件145传输合适的重载命令682。在一些实施方案中，如果检测到批准的匹配，则设备应用程序103可进一步分析重载命令678的每个脚本以在传输重载命令682之前确认每个脚本仅对批准的安全元件凭据进行寻址。此类重载命令682可包括与重载命令678相同的脚本，但可被充分配置为直接与安全元件145进行通信。重载命令682可包括至少两个不同的命令APDU，该至少两个不同的命令APD包括指示对特定可重载小应用程序(例如，可重载凭据A的小应用程序153a)的选择的第一命令和指示用于所选择的可重载小应用程序调整其余额(例如，余额161a)特定量的指令的第二命令。

响应于接收到此类重载命令682，SSD 154a的可重载凭据小应用程序153a可处理重载命令682，以用于在步骤634处验证重载命令的源(例如，服务器310)和/或适当地增大或减小安全元件145上的该可重载凭据卡的余额值161a(例如，如上文相对于过程500的步骤516所述)。对可重载凭据小应用程序153a的此类重载可调整供设备100使用的可重载凭据小应用程序153a可用的资金的余额(例如，在与商家子系统200的通信15中)。响应于步骤634处的此类重载，安全元件145可在步骤636处生成并发送重载响应686，该重载响应可包括至少一个响应APDU，该至少一个响应APDU包括已根据所接收到的重载命令适当地调整余额161a的确认。重载响应686可从安全元件145提供到设备应用程序103，并且然后从设备应用程序103提供到银行应用程序113作为重载响应688。安全元件145(例如，具有凭据小应用程序153a的SSD 154a)可被配置为在步骤632处接收一个或多个重载命令682并在步骤636处提供一个或多个重载响应686，而无需利用CRS套件151。在一些实施方案中，在步骤634之前，与之同时或在其之后，安全元件145(例如，作出响应的凭据小应用程序153a的SSD 154a)可在步骤633在安全元件145的存储器部分中(例如，在安全元件145的闪存存储器部分而非设备100的RAM部分中)重载或存储任何合适的临时变量。此类临时变量可包括任何合适的数据，诸如柜台数据、会话密钥数据、任何随机生成的数字、包括由初始化响应668提供的任何验证数据的任何密码数据等(例如，如在步骤616初始存储的那样)。这样可使得安全元件145能够在初始化命令664之后并且在重载凭据A的过程中的步骤632的重载命令682之前执行其他待审命令。例如，如上所述，安全元件145可不被配置作为典型意义上的多过程环境。会话可典型地为要执行和/或访问相同的一个或多个状态/一个或多个变量/一个或多个寄存器/一个或多个计数器的一组命令提供统一上下文，例如即使在该场景后方时，CUP或任何其他合适的银行服务器310或金融机构子系统350已换入/换出其他过程并保存其上下文。在已完成第一脚本之后，为了不阻碍其他安全元件过程，该脚本可保存其“本地”上下文。如果用于另一个应用程序标识符(“AID”)的另一安全元件操作要进入脚本之间，其可能会干扰“会话”和/或在可执行第二脚本时潜在地使一个或多个寄存器/一个或多个计数器/一个或多个状态/一个或多个变量处于不同/错误状态中。因此，可保存一种或多种状态，使得在调用第二脚本时可恢复它们。

响应于在步骤638处接收到此类重载响应688，银行应用程序113可被配置为在步骤640处向设备100的用户(例如，经由I/O接口114a)提供对经调整的余额161a的指示作为更新的余额数据690。例如，如图9D的屏幕190d所示，银行应用程序113可被配置为呈现可重载凭据A的更新的当前余额(即，“值D*”)，这是通过步骤634的重载从步骤610之前呈现的屏幕190a的先前余额值D调整的。除此之外或另选地，响应于在步骤638处接收到重载响应688，银行应用程序113可被配置为在步骤642处使用任何合适的通信协议(例如，经由系统1的通信路径75)向银行服务器310传输响应688作为重载结果692。例如，此类重载结果692可包括可能在步骤636处由重载响应686提供的来自可重载凭据小应用程序153a的任何合适的重载确认数据，以及来自银行应用程序113的任何其他合适的数据，可指示用于调整该可重载凭据小应用程序的货币或值的特定量和/或用于该调整的特定资金来源的指示。

然后，在步骤644处，银行服务器310可从银行应用程序113接收此类重载结果692，并可处理此类重载结果692(例如，与金融机构子系统350的任何合适的子系统合作)。重载结果692的此类处理可包括调整账户数据694，诸如金融机构子系统350的可用于在步骤634处调整可重载凭据小应用程序153a的余额的特定资金来源(例如，用户的银行账户(例如，所选择的重载源G))的余额，这样可以成从金融机构子系统350的账户向可重载凭据小应用程序153a移动资金的金融交易，或反之亦然。另选地，对用于步骤634的调整的金融机构子系统350的特定资金来源(例如，所选择的重载源G)的余额的此类调整可至少部分在步骤624处完成，使得可在步骤634处调整可重载凭据小应用程序153a的余额之前在金融机构子系统350的账户处调整资金。

在设备100的用户可在步骤608处提供重载选择数据658(例如，通过经由图9A-图9C的银行应用程序113的选项选择可重载凭据、重载源和重载量)之后，过程600的其余步骤可对于用户而言是透明发生的。即，一旦用户提供了对可重载凭据的选择，便可进行对步骤608、步骤610-644的可重载凭据、重载源和/或重载量的选择，而无需任何进一步的用户交互(例如，至少无需相对于特定重载的任何进一步的用户交互)并可对用户而言看起来是自动和/或瞬时的，由此过程600可对于用户而言似乎在步骤608之后，该安全元件145上的凭据数据的状态已自动和/或瞬时更新(例如，似乎可重载凭据A的余额161a的值已被自动和/或瞬时在安全元件145上被调整(例如，从值D调整到值D*))并可基于该更新(例如，通过提供图9D的更新屏幕190d)来在步骤640处向用户提供该更新的状态。因此，过程600可在用户正与设备100上的在线资源113进行交互或通过其他方式对其进行使用时提供更无缝的用户体验，其中该在线资源113可与已在设备100上提供的一个或多个可重载凭据相关联。通过与在线资源113的用户交互来对电子设备100的安全元件145上的一个或多个可重载凭据进行的此类管理可增加在线资源的功能和/或增强用户对设备100的体验以及其凭据管理能力。

在一些实施方案中，可将安全元件145用于过程600的步骤618和步骤632之间的任何其他合适的过程，例如使得步骤614的初始化命令和过程600的步骤632的重载命令可相对于安全元件145的角度而言是异步的。这样可在步骤618和步骤632之间实现其他过程，诸如向安全元件145上提供第三凭据和/或利用凭据小应用程序153b经由通信15进行金融交易，而不需要安全元件145被保持在轮询模式中(例如，在步骤632处等待重载命令时)。然而，从银行应用程序113和/或银行服务器310的角度来讲，过程600可以是同步的，由此可由银行应用程序113利用要由安全元件145执行的一个或多个脚本(例如GlobalPlatform脚本)来在本地生成两个待审命令(例如，步骤610的初始化命令660和步骤628的重载命令678)。例如，如上所述，安全元件145可不被配置作为典型意义上的多过程环境。会话可典型地为要执行和/或访问相同的一个或多个状态/一个或多个变量/一个或多个寄存器/一个或多个计数器的一组命令提供统一上下文，例如即使在该场景后方时，CUP或任何其他合适的银行服务器310或金融机构子系统350已换入/换出其他过程并保存其上下文。在已完成第一脚本之后，为了不阻碍其他安全元件过程，该脚本可保存其“本地”上下文。如果用于另一个应用程序标识符(“AID”)的另一安全元件操作要进入脚本之间，其可能会干扰“会话”和/或在可执行第二脚本时潜在地使一个或多个寄存器/一个或多个计数器/一个或多个状态/一个或多个变量处于不同/错误状态中。因此，可保存一种或多种状态，使得在调用第二脚本时可恢复它们。

如上所述，在一些实施方案中，服务器310并且因而还有应用程序113可由银行或支付网络360的其他合适的实体和/或金融机构子系统350的发行银行370或可对设备100的可重载凭据进行控制的任何其他子系统管理和/或通过其他方式至少部分控制(例如，应用程序113可以是用于中国银联(“CUP”)、Bank of America(美国银行)的银行应用程序，设备100的用户可在那里具有账户，该账户可与一个或多个支付凭据相关联(例如，信用卡、借记卡、可重载现金卡等))。然而，在其他实施方案中，应用程序113可不被银行管理和/或通过其他方式至少部分控制，而是可由任何其他合适的实体诸如交通机关(例如，如果设备100的可重载凭据是用于地铁网络的交通卡)或餐馆(例如，如果设备100的可重载凭据是用于特定就餐商业机构的现金卡)等管理和/或至少部分控制。在此类实施方案中，应用程序113可使得设备100的用户能够选择资金机构，以用于通过任何合适的方式来重载该可重载凭据。例如，使用安全元件145的支付凭据的任何合适的“应用程序中”支付方法(例如，由Apple Inc.(Cupertino,CA)提供的Apple Pay^TM)诸如在2014年9月9日提交的共同未决共同转让的美国专利申请No.14,481,526中描述的方法在此全文以引用方式并入本文。另选地，用户可向应用程序113中输入信用卡支付信息，使得应用程序113可接受在过程500和/或过程600期间来自与该支付类型相关联的金融机构子系统的资金，使得非银行应用程序113的服务器310可获取资金信息。此类资金信息可由应用程序113的服务器310包括在重载数据676中，如上文所述供应用程序113和安全元件145使用。非银行应用程序113的服务器310然后可与金融机构子系统进行交易，以用于对重载基站注资，并且然后可由非银行应用程序113的服务器310将该交易的合适的资金量包括在重载数据676中。

应当理解，图6的过程600中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可添加附加步骤，并可改变某些步骤的顺序。

图7的描述

图7是用于在电子设备上管理凭据的示例性过程700的流程图。在步骤702处，过程700可包括在电子设备处经由在线资源来接收选择数据，其中该选择数据可指示被存储在电子设备的安全元件上的特定凭据小应用程序。例如，如上所述，设备100可经由银行应用程序113来接收重载选择数据658，其中该选择数据658可指示安全元件145的可重载凭据A。接下来，在步骤704处，响应于在步骤702处接收到选择数据，过程700可包括在电子设备处访问来自安全元件上的特定凭据小应用程序的验证数据。例如，如上所述，设备应用程序103可访问来自安全元件145的凭据小应用程序153a的具有验证数据的初始化响应668。接下来，在步骤706处，过程700可包括在电子设备处向与在线资源相关联的远程子系统传输初始化结果，该初始化结果可包括被访问的验证数据。例如，如上所述，设备100可向与银行应用程序113相关联的银行服务器310传输初始化结果672，其中该初始化结果672可包括来自初始化响应668的验证数据。接下来，响应于步骤706的传输，过程700可包括在步骤708处在电子设备处从远程子系统接收重载数据。例如，如上所述，电子设备100可从银行服务器310接收重载数据676。接下来，在步骤710处，过程700可包括在电子设备处基于所接收的重载数据来调整特定凭据小应用程序的余额。例如，如上所述，凭据小应用程序153a可基于重载命令682来更新余额161a，该重载命令可基于重载数据676。

应当理解，图7的过程700中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可添加附加步骤，并可改变某些步骤的顺序。

图8的描述

图8是用于在电子设备上管理凭据的示例性过程800的流程图。在步骤802处，过程800可包括利用银行服务器子系统来从电子设备接收初始化结果，其中该初始化结果包括电子设备的安全元件上的凭据小应用程序的验证数据。例如，如上所述，银行服务器310可从设备100接收初始化结果672，该初始化结果可包括来自凭据小应用程序153a的初始化响应668的验证数据。接下来，在步骤804处，过程800可包括利用银行服务器子系统来验证所接收的初始化结果的验证数据。例如，如上所述，银行服务器310可认证来自安全元件145的验证数据。接下来，在步骤806处，响应于步骤804的验证，过程800可包括在银行服务器子系统处向电子设备传输重载数据，以用于调整凭据小应用程序的余额。例如，如上所述，银行服务器子系统310可向设备100传输重载数据676，以用于调整凭据小应用程序153a的余额161a。

应当理解，图8的过程800中所示的步骤仅仅是示例性的，可修改或省略现有步骤、可添加附加步骤，并可改变某些步骤的顺序。

图1、图1A、图2、图3和图4的进一步描述

尽管未示出，但图1A的商业实体子系统400可以是安全平台系统，并可包括安全移动平台(“SMP”)代理部件、SMP可信服务管理器(“TSM”)部件、SMP加密服务部件、身份管理系统(“IDMS”)部件、欺诈系统部件、硬件安全模块(“HSM”)部件、和/或商店部件。可使用可与设备100的处理器部件102相同或类似的一个或多个处理器部件、可与设备100的存储器部件104相同或类似的一个或多个存储器部件和/或可与设备100的通信部件106相同或类似的一个或多个通信部件来实现商业实体子系统400的一个、一些或所有部件。商业实体子系统400的一个、一些或全部部件可由可与金融机构子系统350不同且独立的单个商业实体(例如，Apple Inc.)管理、所有、至少部分地进行控制和/或通过其他方式提供。商业实体子系统400的部件可彼此交互，并一起与金融机构子系统350和电子设备100两者进行交互，以提供新的安全层和/或提供更无缝的用户体验。

商业实体子系统400的SMP代理部件可被配置为利用商业实体用户账户来管理用户认证。此类SMP代理部件还可被配置为管理设备100上的生命周期和对凭据的提供。SMP代理部件可以是其可控制设备100上的用户界面元素(例如，GUI 180的元素)的主端点。设备100的操作系统或其他应用程序(例如，应用程序103、应用程序113和/或应用程序143)可被配置为调用特定的应用编程接口(“API”)，并且SMP代理部件可被配置为处理那些API的请求并利用可导出设备100的用户界面的数据作出响应和/或利用可与NFC部件120的安全元件145(例如，经由商业实体子系统400和电子设备100之间的通信路径65)进行通信的应用协议数据单元(“APDU”)作出响应。可由商业实体子系统400经由系统1的可信服务管理器(“TSM”)(例如，商业实体子系统400和金融机构子系统350之间的通信路径55的TSM)从金融机构子系统350接收此类PDU。商业实体子系统400的SMP TSM部件可被配置为提供可用于与金融机构子系统350合作以执行设备100上的操作的基于GlobalPlatform的服务。GlobalPlatform或任何其他合适的安全信道协议可使得此类SMP TSM部件能够在设备100的安全元件145和TSM之间适当地进行通信和/或提供敏感账户数据，以用于商业实体子系统400和金融机构子系统350之间的安全数据通信。

商业实体子系统400的SMP TSM部件可被配置为使用商业实体子系统400的HSM部件来保护其密钥并生成新的密钥。商业实体子系统400的SMP加密服务部件可被配置为提供密钥管理和密码操作，这可能是用户认证和/或系统1的各部件之间的保密数据传输所需要的。此类SMP加密服务部件可利用商业实体子系统400的HSM部件进行安全密钥存储操作和/或不透明加密操作。商业实体子系统400的SMP加密服务部件的支付加密服务可被配置为与商业实体子系统400的IDMS部件进行交互，以检索与商业实体的用户账户相关联的文件上信用卡或其他类型的商业凭据。此类支付加密服务可被配置成为商业实体子系统400的可具有用于描述存储器中的其用户账户的商业凭据(例如，信用卡号)的明文(即，非散列)信息的仅一个部件。商业实体子系统400的商业实体欺诈系统部件可被配置为基于商业实体已知的关于商业凭据和/或用户的数据(例如，基于利用商业实体的与用户账户相关联的数据(例如，商业凭据信息)和/或可能在商业实体的控制下的任何其他合适的数据和/或可不在金融机构子系统350的控制下的任何其他合适的数据)来对商业凭据进行商业实体欺诈检查。商业实体子系统400的此类商业实体欺诈系统部件可被配置为基于各种因素或阈值针对凭据来确定商业实体欺诈分数。除此之外或另选地，商业实体子系统400可包括可以是设备100的用户的各种服务的提供商的存储部件(例如，用于销售/出租要由设备100播放的媒体的iTunes^TM商店、用于销售/出租用于设备100上的应用的Apple App Store^TM、用于存储来自设备100的数据的Apple iCloud^TM、用于在线购买各种Apple产品的Apple在线商店等)。仅作为一个示例，商业实体子系统400的此类商店部件可被配置为管理应用程序113并向设备100提供该应用程序113(例如，经由通信路径65)，其中该应用程序113可以是任何合适的应用程序诸如银行应用程序、电子邮件应用程序、文本消息应用程序、互联网应用程序或任何其他合适的应用程序。可由商业实体子系统400使用任何合适的通信协议或通信协议的组合来在商业实体子系统400的各种部件之间传送数据和/或在商业实体子系统400和系统1的其他部件(例如，经由图1A的通信路径55的金融机构子系统350和/或经由图1A的通信路径65的电子设备100)之间传送数据。

如所提及的并且如图2所示，电子设备100可包括但不限于音乐播放器(例如，可购自Apple Inc.(Cupertino,California)的iPod^TM)、视频播放器、静态图像播放器、游戏机、其他媒体播放器、音乐录音机、电影或视频相机或录音机、静物相机、其他媒体录音机、无线电设备、医疗设备、家用电器、交通工具仪表、乐器、计算器、蜂窝电话(例如，可购自AppleInc.的iPhone^TM)、其他无线通信设备、个人数字助理、遥控器、寻呼机、计算机(例如，台式机、膝上型电脑、平板电脑(例如，可购自Apple Inc.的iPad^TM)、服务器等)、监视器、电视机、音响设备、固定盒、机顶盒、小音响、调制解调器、路由器、打印机、或它们的任何组合。在一些实施方案中，电子设备100(例如，专用于进行金融交易的设备)可执行单个功能，并且在其他实施方案中，电子设备100可执行多种功能(例如，用于进行金融交易、播放音乐以及接收并传输电话呼叫的设备)。电子设备100可以是可被配置为在用户行进时进行金融交易的任何便携式设备、移动、手持式设备或微型电子设备。一些微型电子设备的形状因数小于手持式电子设备诸如iPod^TM的形状因数。示例性微型电子设备可被集成到各种对象中，这些对象可包括但不限于手表、戒指、项链、皮带、皮带的附件、耳机、鞋子的附件、虚拟现实设备、眼镜、其他可穿戴电子器件、运动设备的附件、健身设备的附件、钥匙链，或它们的任何组合。另选地，电子设备100完全可为非携带式的但通常可为固定式的。

如图2所示，例如电子设备100可包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信(“NFC”)部件120。电子设备100还可包括可提供一条或多条有线或无线通信链路或路径的总线118，以用于向设备100的各种其他部件传输数据和/或功率、从设备100的各种其他部件传输数据和/或功率或者在设备100的各种其他部件之间传输数据和/或功率。在一些实施方案中，可组合或省略电子设备100的一个或多个部件。此外，电子设备100可包括图2中未组合或未包括的其他部件。例如，电子设备100可包括任何其他合适的部件或图2中所示的部件的若干个实例。为了简单起见，图2中仅示出了每种部件中的一个部件。

存储器104可包括一个或多个存储介质，例如包括硬盘驱动器、闪存存储器、永久性存储器(诸如只读存储器(“ROM”))、半永久性存储器(诸如随机存取存储器(“RAM”))、任何其他合适类型的存储部件、或它们的任何组合。存储器104可包括可为用于暂时存储电子设备应用程序的数据的一个或多个不同类型的存储器的高速缓存存储器。存储器104可固定地嵌入电子设备100内或可结合到一个或多个合适类型的卡(例如，用户身份模块(“SIM”)卡或安全数字(“SD”)存储卡)上，该一个或多个合适类型的卡可重复插入到电子设备100中以及从电子设备100移除。存储器104可存储媒体数据(例如，音乐文件和图像文件)、软件(例如，用于实现设备100上的功能)、固件、偏好信息(例如，媒体回放偏好)、生活方式信息(例如，饮食偏好)、运动信息(例如，由运动监视设备所获取的信息)、交易信息(例如，信息诸如信用卡信息)、无线连接信息(例如，可使设备100建立无线连接的信息)、订阅信息(例如，用于跟踪用户订阅的播客、电视节目或其他媒体的信息)、联系人信息(例如，电话号码和电子邮件地址)、日历信息、任何其他合适的数据、或它们的任何组合。

可提供通信部件106以允许设备100使用任何合适的通信协议与一个或多个其他电子设备或服务器或子系统(例如，系统1的一个或多个子系统或其他部件)进行通信。例如，通信部件106可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网、Bluetooth^TM、Bluetooth^TM低功耗(“BLE”)、高频系统(例如，900MHz通信系统、2.4GHz通信系统和5.6GHz通信系统)、红外线、传输控制协议/互联网协议(“TCP/IP”)(例如，用于每个TCP/IP层的协议中的任何协议)、流控制传输协议(“SCTP”)、动态主机配置协议(“DHCP”)、超文本传输协议(“HTTP”)、BitTorrent^TM、文件传输协议(“FTP”)、实时传输协议(“RTP”)、实时流传输协议(“RTSP”)、实时控制协议(“RTCP”)、远程语音输出协议(“RAOP”)、实际数据传输协议^TM(“RDTP”)、用户数据报协议(“UDP”)、安全外壳协议(“SSH”)、无线分布式系统(“WDS”)桥接、可由无线电话、蜂窝电话以及个人电子邮件设备使用的任何通信协议(例如，全球移动通信系统(“GSM”)、GSM演进的GSM加增强型数据速率(“EDGE”)、码分多址(“CDMA”)、正交频分多址(“OFDMA”)、高速分组接入(“HSPA”)、多频段等)、可由低功率无线个人局域网(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议、或它们的任何组合。通信部件106还可包括或电耦接至任何合适的收发器电路(例如，经由总线118的收发器电路或天线116)，该收发器电路可使得设备100能够通信地耦接到另一设备(例如，主机设备或附属设备)，并且与该另一设备无线地或经由有线连接(例如，使用连接器端口)进行通信。通信部件106可被配置为确定电子设备100的地理位置。例如，通信部件106可利用可使用小区塔定位技术或Wi-Fi技术的全球定位系统(“GPS”)或区域范围定位系统或站点范围定位系统。

电源108可包括用于接收和/或产生电力并且用于将这些电力提供至电子设备100的一个或多个其他部件的任何合适的电路。例如，电源108可耦接至电力网(例如，在设备100不作为便携式设备时或在设备的电池正利用发电厂产生的电力在电源插座处充电时)。又如，电源108可被配置为从天然源(例如，使用太阳能电池的太阳能)产生电力。又如，电源108可包括用于提供电力的一个或多个电池(例如，在设备100作为便携式设备时)。例如，电源108可包括电池(例如，胶体电池、镍金属氢化物电池、镍镉电池、镍氢电池、铅蓄电池、或锂离子电池)、不间断电源或连续电源(“UPS”或“CPS”)、和用于处理从发电源所接收的电力(例如，电力由发电厂产生并经由电源插座或通过其他方式递送至用户)的电路中的一者或多者。电力可被电源108作为交流电或直流电来提供，并且可被处理以将电力转换为具有特定特征或将所接收的电力限制为具有特定特征。例如，电力可被转换成直流电或从直流电转换而来，并且被约束为所接收的电力的平均功率、峰值功率、每个脉冲的能量、电压、电流(例如，以安培来测量)、或任何其他特征的一个或多个值。例如基于电子设备100或可耦接至电子设备100的周边设备的需要或需求，电源108可用于在不同时间请求或提供特定量的电力(例如，以在为电池充电时比在电池已充好电时请求更多的电力)。

可提供一个或多个输入部件110以允许用户与设备100相互作用或进行交互。例如，输入部件110可采用多种形式，包括但不限于触摸板、拨号盘、点击轮、滚轮、触摸屏、一个或多个按钮(例如，键盘)、鼠标、操控杆、轨迹球、麦克风、相机、扫描仪(例如，条形码扫描仪或可从代码诸如条形码、QR码等获取产品识别信息的任何其他合适的扫描仪)、接近传感器、光检测器、运动传感器、生物特征传感器(例如，指纹读取器或可结合电子设备100能够访问以用于对用户进行认证的特征处理应用程序来操作的其他特征识别传感器)、以及它们的组合。每个输入部件110可被配置为提供用于作出选择或发出与操作设备100相关联的命令的一个或多个专用控制功能。

电子设备100还可包括可将信息(例如，图像信息、听觉信息、和/或触觉信息)呈现给设备100的用户的一个或多个输出部件112。例如，电子设备100的输出部件112可采用多种形式，包括但不限于音频扬声器、耳机、音频线路输出、可视化显示器、天线、红外线端口、触觉输出部件(例如，滚筒、振动器等)、或它们的组合。

作为一个具体示例，电子设备100可包括作为输出部件112的显示输出部件。此类显示输出部件可包括用于向用户呈现可视化数据的任何合适类型的显示器或界面。显示输出部件可包括嵌入设备100中或耦接至设备100的显示器(例如，可移除的显示器)。显示输出部件可包括例如液晶显示器(“LCD”)、发光二极管(“LED”)显示器、有机发光二极管(“OLED”)显示器、表面传导电子发射显示器(“SED”)、碳纳米管显示器、纳米晶体显示器、任何其他合适类型的显示器、或它们的组合。另选地，显示输出部件可包括用于在远离电子设备100的表面上提供对内容的显示的可移动显示器或投影系统，诸如视频投影仪、平视显示器或三维(例如，全息)显示器。又如，显示输出部件可包括数字取景器或机械取景器，诸如存在于紧凑型数字相机、反射式相机或任何其他合适的静物相机或摄像机中的类型的取景器。显示输出部件可包括显示驱动器电路、用于驱动显示驱动器的电路或两者，并且此类显示输出部件可用于显示可能在处理器102的指示下的内容(例如，媒体回放信息、用于在电子设备100上实现应用程序的应用程序屏幕、关于正在进行的通信操作的信息、关于传入的通信请求的信息、设备操作屏幕等)。

应当指出，在本文有时可将一个或多个输入部件和一个或多个输出部件统称为输入/输出(“I/O”)部件或I/O接口(例如，输入部件110和输出部件112作为I/O部件或I/O接口114)。例如，输入部件110和输出部件112有时可以是可通过用户触摸显示屏来接收输入信息并且还可经由同一显示屏向用户提供视觉信息的单个I/O部件114诸如触摸屏。

电子设备100的处理器102可包括可用于控制电子设备100的一个或多个部件的操作和性能的任何处理电路。例如，处理器102可从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2所示，处理器102可用于运行一个或多个应用程序，诸如应用程序103、应用程序113和/或应用程序143。每个应用程序103/113/143可包括但不限于一个或多个操作系统应用程序、固件应用程序、媒体回放应用程序、媒体编辑应用程序、NFC低功率模式应用程序、生物特征处理应用程序、或任何其他合适的应用程序。例如，处理器102可加载应用程序103/113/143作为用户界面程序，以确定经由设备100的输入部件110或其他部件接收的指令或数据可如何操控可存储信息和/或经由输出部件112向用户提供信息的方式。可由处理器102从任何合适的源诸如从存储器104(例如，经由总线118)或从另一个设备或服务器(例如，经由通信部件106)来访问应用程序103/113/143。处理器102可包括单个处理器或多个处理器。例如，处理器102可包括至少一个“通用”微处理器、通用微处理器和专用微处理器的组合、指令集处理器、图形处理器、视频处理器和/或相关的芯片集，和/或专用微处理器。处理器102还可包括用于高速缓存目的板上存储器。

电子设备100还可包括近场通信(“NFC”)部件120。NFC部件120可以是可在电子设备100和商家子系统200(例如，商家支付终端)之间实现基于非接触式邻近性的交易或通信5的任何合适的基于邻近性的通信机构。NFC部件120可允许以相对较低数据速率(例如，424kbps)的近距离通信，并且可遵守任何合适的标准诸如ISO/IEC 7816、ISO/IEC 18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443、和/或ISO 15693。另选地或除此之外，NFC部件120可允许相对较高的数据速率(例如，370Mbps)的近距离通信，并且可遵守任何合适的标准诸如TransferJet^TM协议。NFC部件120和商家子系统200之间的通信可发生于设备100和商家子系统200之间的任何合适的近距离内(例如，参见图1A的距离D)诸如大约2厘米到4厘米的范围，并可在任何合适的频率(例如，13.56MHz)下工作。例如，NFC部件120的此类近距离通信可经由磁场感应发生，该磁场感应可允许NFC部件120与其他NFC设备进行通信和/或从具有射频识别(“RFID”)电路的标签检索信息。NFC部件120可提供获取商品信息、传输支付信息，以及通过其他方式与外部设备(例如，商家子系统200的终端220)进行通信的方式。

NFC部件120可包括用于在电子设备100和商家子系统200之间实现基于非接触式邻近性的通信5的任何合适的模块。如图2所示，例如NFC部件120可包括NFC设备模块130、NFC控制器模块140和NFC存储器模块150。

NFC设备模块130可包括NFC数据模块132、NFC天线134和NFC增强器136。NFC数据模块132可被配置为包含、路由或通过其他方式提供可由NFC部件120向商家子系统200传输的作为基于非接触式邻近性或NFC通信15的一部分的任何合适的数据。除此之外或另选地，NFC数据模块132可被配置为包含、路由或通过其他方式接收可由NFC部件120从商家子系统200接收的作为基于非接触式邻近性的通信5的一部分的任何合适的数据。

NFC收发器或NFC天线134可以是通常可实现从NFC数据模块132到商家子系统200和/或从子系统200到NFC数据模块132传送通信5的任何合适的天线或其他合适的收发器电路。因此，可特别提供NFC天线134(例如，环形天线)，以用于启用NFC部件120的基于非接触式邻近性的通信能力。

另选地或除此之外，NFC部件120可利用与电子设备100的另一通信部件(例如，通信部件106)相同的收发器电路或天线(例如，天线116)。例如，通信部件106可利用天线116来实现电子设备100和另一远程实体之间的Wi-Fi、Bluetooth^TM、蜂窝或GPS通信，而NFC部件120可利用天线116来实现NFC设备模块130的NFC数据模块132和另一实体(例如，商家子系统200)之间的基于非接触式邻近性的通信或NFC通信5。在此类实施方案中，NFC设备模块130可包括NFC增强器136，该NFC增强器可被配置为为NFC部件120的数据(例如，NFC数据模块132内的数据)提供合适的信号放大，使得此类数据可作为通信5由共享天线116合适地传输至子系统200。例如，在以正确方式使得天线116(例如，非环形天线)能够在电子设备100和商家子系统200之间传送基于非接触式邻近性的通信或NFC通信5之前，共享天线116可能需要来自增强器136的放大(例如，使用天线116传输NFC数据可能比使用天线116传输其他类型的数据需要更多的电力)。

NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC设备模块130工作以启用、激活、允许和/或通过其他方式控制NFC部件120，以用于传送电子设备100与商家子系统200之间的NFC通信5。例如作为片上系统(“SoC”)的一部分，NFC处理器模块142可作为单独部件存在、可集成到另一芯片集中，或可与处理器102集成在一起。如图2所示，NFC控制器模块140的NFC处理器模块142可用于运行一个或多个应用程序诸如可协助指示NFC部件120的功能的NFC低功率模式或钱包应用程序143。应用程序143可包括但不限于一个或多个操作系统应用程序、固件应用程序、NFC低功率应用程序或NFC部件120可访问的任何其他合适的应用程序(例如，应用程序103/113)。NFC控制器模块140可包括一种或多种协议，诸如用于与另一个NFC设备(例如，商家子系统200)进行通信的近场通信接口和协议(“NFCIP-1”)。协议可用于调整通信速度并将连接设备中的一个连接设备指定为用于控制近场通信的发起设备。

NFC控制器模块140可控制NFC部件120的近场通信模式。例如，NFC处理器模块142可被配置为在用于从NFC标签(例如，从商家子系统200)向NFC数据模块132读取信息(例如，通信15)的读取器模式/写入器模式、用于与另一个支持NFC的设备(例如，商家子系统200)交换数据(例如，通信5)的对等模式、以及用于允许另一个支持NFC的设备(例如，商家子系统200)从NFC数据模块132读取信息(例如，通信5)的卡仿真模式之间切换NFC设备模块130。NFC控制器模块140也可被配置为在主动模式和被动模式之间切换NFC部件120。例如，NFC处理器模块142可被配置为在主动模式和被动模式之间切换NFC设备模块130(例如，结合NFC天线134或共享天线116)，在主动模式中，NFC设备模块130可生成其自身的RF场，在被动模式中，NFC设备模块130可使用负载调制来向生成RF场的另一个设备(例如，商家子系统200)传输数据。相比于在此类主动模式下的操作，在此类被动模式下的操作可延长电子设备100的电池寿命。NFC设备模块130的模式可基于用户的偏好和/或基于设备100的制造商的偏好来进行控制，这些偏好可由在设备100上运行的应用程序(例如，应用程序103和/或应用程序143)来限定或通过其他方式规定。

NFC存储器模块150可结合NFC设备模块130和/或NFC控制器模块140工作，以允许电子设备100和商家子系统200之间的NFC通信5。NFC存储器模块150可嵌入NFC设备硬件内或可嵌入NFC集成电路(“IC”)内。NFC存储器模块150可为防篡改的并且可提供安全元件的至少一部分。例如，NFC存储器模块150可存储可由NFC控制器模块140访问的与NFC通信相关的一个或多个应用程序(例如，应用程序143)。例如，此类应用程序可包括可被加密的金融支付应用程序、安全访问系统应用程序、优惠卡应用程序和其他应用程序。在一些实施方案中，NFC控制器模块140和NFC存储器模块150可独立地或组合地提供专用微处理器系统，该专用微处理器系统可包含预期用于存储并执行电子设备100上的敏感应用程序的操作系统、存储器、应用环境和安全协议。NFC控制器模块140和NFC存储器模块150可独立地或组合地提供安全元件145的至少一部分，该安全元件145的至少一部分可以是防篡改的。例如，此类安全元件145可被配置为提供防篡改平台(例如，作为单个芯片安全微控制器或多个芯片安全微控制器)，该供防篡改平台可能够根据可由一组识别良好的可信管理机构(例如，金融机构子系统的管理机构和/或行业标准诸如GlobalPlatform)阐述的规则和安全要求安全地托管应用程序及其保密数据和加密数据(例如，小应用程序153和密钥155)。NFC存储器模块150可为存储器106的一部分或为特定于NFC部件120的至少一个专用芯片。NFC存储器模块150可驻留在SIM上、电子设备100母板上的专用芯片上、或作为存储卡中的外部插件。NFC存储器模块150可完全独立于NFC控制器模块140，并且可由设备100的不同部件来提供和/或可由不同可移除子系统提供至电子设备100。安全元件145可以是可用于在电子设备100上存储敏感数据或应用程序的芯片内的高度安全防篡改的硬件部件。可在可移除电路卡诸如通用集成电路卡(“UICC”)或用户身份模块(“SIM”)卡中提供安全元件145的至少一部分，该可移除电路卡可用于在全球移动通信系统(“GSM”)网络、通用移动电信系统(“UMTS”)和/或长期演进(“LTE”)标准网络内兼容的电子设备100。另选地或除此之外，在制造设备100期间，可在可嵌入电子设备100中的集成电路中提供安全元件145的至少一部分。另选地或除此之外，可在能够塞入、插入或通过其他方式耦接到电子设备100中的外围设备诸如微型安全数字(“SD”)存储器卡中提供安全元件145的至少一部分。

如图2所示，NFC存储器模块150可包括可由NFC规范标准(例如，GlobalPlatform)限定和管理的发行者安全域(“ISD”)152和补充安全域(“SSD”)154(例如，服务提供商安全域(“SPSD”)、可信服务管理器安全域(“TSMSD”)等)中的一者或多者。例如，ISD 152可以是NFC存储器模块150的一部分，其中可信服务管理器(“TSM”)或发行金融机构(例如，商业实体子系统400和/或金融机构子系统350)可存储密钥和/或其他合适的信息，以用于创建或通过其他方式在电子设备100上(例如，经由通信部件106)提供一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、赊购卡、交通卡、数字货币(例如，比特币和相关联的支付网络)等相关联的商业凭据)、以用于凭据内容管理和/或以用于安全域管理。特定的补充安全域(“SSD”)154(例如，SSD 154a)可与特定TSM以及可向电子设备100提供特定特权或支付权限的至少一个特定商业凭据(例如，特定信用卡凭据或特定公共交通卡凭据)相关联。例如，第一支付网络子系统360(例如，Visa或CUP)可以是用于第一SSD 154a的TSM，并且第一SSD 154a的小应用程序153a可与由该第一支付网络子系统360管理的商业凭据相关联，而第二支付网络子系统360(例如，MasterCard)可以是用于另一个SSD 154的TSM。

可提供安全特征结构以用于使得能够使用NFC部件120(例如，以用于使得能够激活在设备100上提供的商业凭据)，在从电子设备100向商家子系统200传输保密支付信息诸如凭据的信用卡信息或银行账户信息时，NFC部件可能特别有用。此类安全特征结构还可包括可具有受限访问权限的安全存储区域。例如，可能需要提供经由个人标识号(“PIN”)输入或经由与生物测定传感器的用户交互的用户认证，以访问安全存储区域(例如，使用户改变安全元件的安全域元件的生命周期状态)。在某些实施方案中，一些或全部安全特征结构可被存储在NFC存储器模块150内。此外，可在NFC存储器模块150内存储安全信息诸如用于与子系统200进行通信的认证密钥。在某些实施方案中，NFC存储器模块150可包括嵌入电子设备100内的微控制器。

图1A的商家子系统200的终端220可包括用于检测、读取或通过其他方式从电子设备100接收NFC通信15的读取器(例如，当电子设备100进入距终端220的一定距离或接近度D内时)。因此，需要指出的是，终端220与电子设备100之间的NFC通信15可以无线方式发生，并且正因如此在相应设备之间可能无需明确的“视线”。如上所述，NFC设备模块130可以是被动的或主动的。当被动时，NFC设备模块130可仅在处于终端220的合适读取器的响应范围D内时被激活。例如，终端220的读取器可能发出可用于向由NFC设备模块130所利用的天线(例如，共享天线116或NFC专用天线134)供电的相对较低功率无线电波场，从而使得该天线能够经由天线116或天线134来将合适的NFC通信信息(例如，信用卡凭据信息)从NFC数据模块132传输到终端220作为NFC通信15。当主动时，NFC设备模块130可包含或通过其他方式具有对电子设备100本地的电源(例如，电源108)的访问权限，该电源可使得共享天线116或NFC专用天线134能够经由天线116或天线134来将NFC通信信息(例如，信用卡凭据信息)从NFC数据模块132主动传输到终端220作为NFC通信15，而不是如在被动NFC设备模块130的情况下反映射频信号。可由商家子系统200的商家提供终端220(例如，在用于在商店处向设备100的用户直接销售产品或服务的商家的商店中)。虽然已相对于近场通信描述了NFC部件120，但应当理解，部件120可被配置为提供电子设备100与终端220之间的任何合适的基于非接触式邻近性的移动支付或任何其他合适类型的基于非接触式邻近性的通信15。例如，NFC部件120可被配置为提供任何合适的短程通信诸如涉及电磁耦合技术/静电耦合技术的短程通信。

虽然已相对于近场通信描述了NFC部件120，但应当理解，部件120可被配置为在电子设备100和商家子系统200之间提供任何合适的基于非接触式邻近性的移动支付或任何其他合适类型的基于非接触式邻近性的通信5。例如，NFC部件120可被配置为提供任何合适的短程通信诸如涉及电磁耦合技术/静电耦合技术的短程通信。

电子设备100还可提供有外壳101，该外壳可至少部分地包封设备100的一个或多个部件以免受设备100外部的杂物和其他降解力的损害。在一些实施方案中，可将部件中的一个或多个部件提供在其自身的外壳内(例如，输入部件110可为被定位在其自身的外壳内的可无线地或通过导线与处理器102进行通信的独立键盘或鼠标，该处理器可被提供在其自身的外壳内)。

如所提及的，并且如图4所示，电子设备100的一个具体示例可以是手持式电子设备诸如iPhone^TM，其中外壳101可允许访问各种输入部件110a-110i、各种输出部件112a-112c和各种I/O部件114a-114d，通过这些部件设备100和用户和/或周围环境可彼此交互。输入部件110a可包括在被按下时可使得当前运行的应用程序的“home”屏幕或菜单由设备100进行显示的按钮。输入部件110b可为用于在睡眠模式和唤醒模式之间或在任何其他合适模式之间切换电子设备100的按钮。输入部件110c可包括在电子设备100的某些模式下可禁用一个或多个输出部件112的双位滑动器。输入部件110d和110e可包括用于增大和减小音量输出或电子设备100的输出部件112的任何其他特征输出的按钮。输入部件110a-110e中的每个输入部件可为机械输入部件诸如由弹片开关、滑动开关、控制盘、键盘、旋钮、滚轮或任何其他合适的形式所支持的按钮。

输出部件112a可为能够用于显示可允许用户与电子设备100进行交互的视觉用户界面或图形用户界面(“GUI”)180的显示器。GUI 180可包括各种层、窗口、屏幕、模板、元件、菜单和/或当前运行的应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的其他部件，它们可被显示在显示输出部件112a的全部区域或一些区域中。例如，如图4所示，GUI 180可被配置为显示第一屏幕190。用户输入部件110a-110i中的一个或多个用户输入部件可用于在GUI 180中进行导航。例如，一个用户输入部件110可包括可允许用户选择GUI 180的一个或多个图形元素或图标182的滚轮。还可经由可包括显示输出部件112a和相关联的触摸输入部件110f的触摸屏I/O部件114a来选择图标182。此类触摸屏I/O部件114a可采用任何合适类型的触摸屏输入技术，诸如但不限于电阻式、电容式、红外、表面声波、电磁或近场成像。此外，触摸屏I/O部件114a可采用单点输入感测或多点(例如，多点触摸)输入感测。

图标182可表示在用户进行选择时可在显示部件112a的一些或所有区域中显示的各个层、窗口、屏幕、模板、元件和/或其他部件。此外，对特定图标182的选择可导致分级导航处理。例如，对特定图标182的选择可导致GUI 180的新屏幕，该GUI 180的新屏幕屏幕可包括同一应用程序或与该图标182相关联的新应用程序的一个或多个附加图标或其他GUI元素。文本指示符181可被显示在每个图标182上或其附近，以有助于用户解译每个图形元素图标182。应当理解，GUI 180可包括被布置在分级结构和/或非分级结构中的各种部件。在选择特定图标182时，设备100可被配置为打开与该图标182相关联的新应用程序并显示与该应用程序相关联的GUI 180的对应屏幕。例如，在已选择利用“银行应用程序”文本指示符181标记的特定图标182(即，特定图标183)时，设备100可启动或通过其他方式访问特定银行应用程序，并可显示可包括用于通过特定方式与设备100进行交互的一个或多个工具或特征的特定用户界面的屏幕。对于每个应用程序而言，屏幕可被显示在显示输出部件112a上并可包括各种用户界面元素(例如，图9A-图9D的屏幕190a-190d)。除此之外或另选地，对于每个应用程序，可经由设备100的各种其他输出部件112来将各种其他类型的非可视化信息提供给用户。可利用多种图形元素和视觉方案来实现相对于各种GUI 180所述的操作。因此，所述的实施方案并非旨在限于本文采用的精确用户界面会话。相反，这些实施方案可包括各种用户界面样式。

电子设备100还可包括可允许设备100与其他设备之间的通信的各种其他I/O部件114。I/O部件114b可为可被配置用于传输和接收来自远程数据源的数据文件(诸如媒体文件或客户订单文件)和/或来自外部电源的电力的连接端口。例如，I/O部件114b可为专有端口诸如来自Apple Inc.(Cupertino,California)的Lightning^TM连接器或30管脚基座连接器。I/O部件114c可为用于接收SIM卡或任何其他类型的可移除部件的连接槽。I/O部件114d可为用于连接可能包括或不包括麦克风部件的音频耳机的耳机接口。电子设备100还可包括至少一个音频输入部件110g诸如麦克风和至少一个音频输出部件112b诸如音频扬声器。

电子设备100还可包括至少一个触感或触觉输出部件112c(例如，滚筒)、相机和/或扫描仪输入部件110h(例如，摄像机或静物相机，和/或条形码扫描器或可从代码诸如条形码、QR码等获取产品识别信息的任何其他合适的扫描仪)、生物特征输入部件110i(例如，指纹读取器或可结合电子设备100能够访问以用于对用户进行认证的特征处理应用程序来操作的其他特征识别传感器)。如图4所示，可将生物特征输入部件110i的至少一部分并入到或通过其他方式结合到设备100的输入部件110a或任何其他合适的输入部件110中。例如，生物特征输入部件110i可为指纹读取器，该指纹读取器可被配置为在用户与机械输入部件110a进行交互时通过利用用户的手指按压输入部件110a来扫描该手指的指纹。又如，生物特征输入部件110i可以是可与触摸屏I/O部件114a的触摸输入部件110f相结合的指纹读取器，使得生物特征输入部件110i可被配置为在用户与触摸屏输入部件110f进行交互时通过利用用户的手指按压触摸屏输入部件110f或沿触摸屏输入部件110f滑动来扫描该手指的指纹。此外，如所提及的，电子设备100还可包括可被子系统200经由天线116和/或天线134(图4中未示出)可通信地访问的NFC部件120。NFC部件120可至少部分地被定位在外壳101内，并且标记或符号121可被设置在可识别与NFC部件120相关联的一个或多个天线的大体位置(例如，天线116和/或天线134的大体位置)的外壳101的外部。

此外，相对于图1-图9D所述过程中的一个过程、一些过程或所有过程均可由软件来实现，但也可由硬件、固件或软件、硬件和固件的任何组合来实现。用于执行这些过程的指令也可被实现为被记录在机器可读介质或计算机可读介质上的机器可读代码或计算机可读代码。在一些实施方案中，计算机可读介质可为非暂态计算机可读介质。此类非暂态计算机可读介质的示例包括但不限于只读存储器、随机存取存储器、闪存存储器、CD-ROM、DVD、磁带、可移除存储器卡和数据存储设备(例如，图2的存储器104和/或存储器模块150)。在其他实施方案中，计算机可读介质可为暂态计算机可读介质。在此类实施方案中，暂态计算机可读介质可分布在网络耦接的计算机系统上，使得计算机可读代码以分布式方式来存储和执行。例如，可使用任何合适的通信协议来从一个电子设备向另一个电子设备传送此类暂态计算机可读介质(例如，可经由通信部件106向电子设备100传送计算机可读介质(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。此类暂态计算机可读介质可被实现为计算机可读代码、指令、数据结构、程序模块或经调制的数据信号形式的其他数据，诸如载波或其他传输机制，并且可包括任何信息递送介质。经调制的数据信号可以是这样一种信号：具有以对信号中的信息进行编码的方式来设定或改变的特征中的一个或多个其特征。

应当理解，可将系统1的任何、每个或至少一个模块或部件或子系统提供作为软件构造、固件构造、一个或多个硬件部件、或它们的组合。例如，可在可由一个或多个计算机或其他设备执行的计算机可执行指令诸如程序模块的一般上下文中描述系统1的任何、每个或至少一个模块或部件或子系统。一般来讲，程序模块可包括可执行一个或多个特定任务或可实现一个或多个特定抽象数据类型的一个或多个例程、程序、对象、部件和/或数据结构。还应当理解，系统1的模块和部件和子系统的数量、配置、功能和互连仅是示例性的，并且可修改或省略现有模块、部件和/或子系统的数量、配置、功能和互连，可添加附加模块、部件和/或子系统，并且可改变特定模块、部件和/或子系统的互连。

系统1的模块或部件或子系统中的一者或多者的至少一部分可通过任何合适的方式被存储在系统1的实体中或能以任何其他方式被其访问(例如，设备100的存储器104中(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。例如，可使用任何合适的技术来实现NFC部件120的任何或每个模块(例如，作为一个或多个专用集成电路设备)，并且不同的模块可在结构、能力和操作方面相同或不同。系统1的任何模块或所有模块或者其他部件可被安装在扩展卡上、直接被安装在系统母板上，或被集成到系统芯片集部件中(例如，被集成到“北桥”芯片中)。

系统1的任何或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可为使用适于各种总线标准的一个或多个扩展卡来实现的专用系统。例如，所有模块可被安装在不同的互连扩展卡上或者所有模块可被安装在一个扩展卡上。相对于NFC部件120，仅以举例的方式，NFC部件120的模块可通过扩展槽(例如，外围部件互连(“PCI”)槽或PCIexpress槽)与设备100的母板或处理器102进行交互。另选地，NFC部件120无需为可移除的但可包括一个或多个专用模块，该一个或多个专用模块可包括专用于模块的存储器(例如，RAM)。在其他实施方案中，NFC部件120可被集成到设备100中。例如，NFC部件120的模块可利用设备100的设备存储器104的一部分。系统1的任何模块或部件或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可包括其自身的处理电路和/或存储器。另选地，系统1的任何模块或部件或每个模块或部件(例如，NFC部件120的任何模块或每个模块)可与设备100的NFC部件120和/或处理器102和/或存储器104的任何其他模块共享处理电路和/或存储器。

如所提及的，设备100的输入部件110(例如，输入部件110f)可包括可接收用于经由有线或无线总线118与设备100的其他部件进行交互的触摸输入的触摸输入部件。此类触摸输入部件110可用于代替或结合其他输入部件诸如键盘、鼠标等来向设备100提供用户输入。

触摸输入部件110可包括触敏面板，该触敏面板可以是完全透明的或部分透明的、半透明的、非透明的、不透明的或它们的任意组合。触摸输入部件110可被实现为触摸屏、触摸板、充当触摸板的触摸屏(例如，替代膝上型电脑的触摸板的触摸屏)、与任何其他输入设备组合或合并的触摸屏或触摸板(例如，设置于键盘上的触摸屏或触摸板)或具有触敏表面以用于接收触摸输入的任何多维对象。在一些实施方案中，术语触摸屏和触摸板可互换使用。

在一些实施方案中，被实现为触摸屏的触摸输入部件110可包括部分或完全被定位在显示器的至少一部分上方、下方和/或其内的透明的和/或半透明的触敏面板(例如，显示输出部件112a)。在其他实施方案中，触摸输入部件110可被实现为集成触摸屏，其中触敏部件/设备与显示部件/设备是一体的。在其他实施方案中，将触摸输入部件110用作补充显示屏或附加显示屏，以用于显示主显示器的补充图形数据或相同图形数据并用于接收触摸输入。

触摸输入部件110可被配置为基于电容、电阻、光学、声学、感应、机械、化学测量来检测一个或多个触摸或接近触摸的位置，或者检测可相对于输入部件110附近发生的一次或多次触摸或接近触摸来测量的任何现象。可使用软件、硬件、固件或它们的任何组合来处理对所检测到的触摸的测量，以识别和追踪一个或多个手势。手势可对应于触摸输入部件110上的静止的或非静止的、单个或多个触摸或接近触摸。可通过基本上同时、连续或依次地以特定方式在触摸输入部件110上移动一个或多个手指或其他对象来执行手势，如通过轻击、按压、摇动、摩擦、旋转、扭转、改变取向、利用不同压力进行按压等。手势可通过但不限于以下动作来进行表征：在手指之间或利用任何其他一个或多个手指进行的捏夹、拖拉、滑动、轻扫、旋转、屈曲、拖拽或轻击动作。一个或多个用户可利用一只或多只手或它们的任何组合来执行单个手势。

如所提及的，电子设备100可利用图形数据来驱动显示器(例如，显示输出部件112a)，以显示图形用户界面(“GUI”)180。GUI 180可被配置为经由触摸输入部件110f来接收触摸输入。被实现为触摸屏(例如，利用作为I/O部件114a的显示输出部件112a)，触摸I/O部件110f可显示GUI 180。另选地，GUI 180可被显示在独立于触摸输入部件110f的显示器(例如，显示输出部件112a)上。GUI 180可包括在界面内的特定位置处显示的图形元素。图形元素可包括但不限于各种所显示的虚拟输入设备，该虚拟输入设备包括虚拟滚轮、虚拟键盘、虚拟旋钮、虚拟按钮、任何虚拟用户界面(“UI”)等。用户可在触摸输入部件110f上的可能与GUI 180的图形元素相关联的一个或多个特定位置处执行手势。在其他实施方案中，用户可在与GUI 180的图形元素的位置无关的一个或多个位置处执行手势。在触摸输入部件110上执行的手势可直接或间接地操纵、控制、修改、移动、致动、发起或一般性地影响GUI内的图形元素，该图形元素诸如光标、图标、媒体文件、列表、文本、所有图像或部分图像等。例如，就触摸屏而言，用户可通过在触摸屏上的图形元素上方执行手势来与图形元素直接进行交互。另选地，触摸板通常可提供间接交互。手势还可影响未显示的GUI元素(例如，使得用户界面显现)或可影响设备100的其他动作(例如，影响GUI、应用程序或操作系统的状态或模式)。可结合所显示的光标在触摸输入部件110上执行或不执行手势。例如，在触摸板上执行手势的情况下，可在显示屏或触摸屏上显示光标或指针，并且可经由触摸板上的触摸输入来控制光标或指针以与显示屏上的图形对象进行交互。另选地，在直接在触摸屏上执行手势时，不管是否有光标或指针被显示在触摸屏上，用户均可与触摸屏上的对象直接进行交互。可响应于或基于触摸输入部件110上的触摸或接近触摸经由总线118来向用户提供反馈。可通过光学、机械、电气、嗅觉、声学等或它们的任何组合并且以可变方式或不可变方式来传输反馈。

所述概念的进一步应用

尽管已描述了用于使用在线资源来管理电子设备上的可重载凭据的系统、方法和计算机可读介质，但应当理解，可在不脱离本文所述的主题的实质和范围的情况下以任何方式在其中作出许多改变。无论是现在已知的还是以后设计的，被本领域的普通技术人员视为要求保护的主题的非实质变更均被明确地考虑为在权利要求的范围内是等同的。因此，本领域普通技术人员现在或以后已知的明显置换被限定为在所限定的元素的范围内。

因此，本领域的技术人员应当理解，可以通过述实施方案之外的方式来实践本发明，该实施方案是为了例示而非限制而提供的。