CN113962684B - 验证对安全装置功能性的在线访问 - Google Patents

Abstract

本公开涉及验证对安全装置功能性的在线访问。提供了用于验证对安全装置功能性的在线访问的系统、方法及计算机可读取媒体，其可使用介于不同子系统之间的共享秘密与有限用途的验证数据。

Description

验证对安全装置功能性的在线访问

本申请是申请日为2017年1月3日的、名称为“验证对安全装置功能性的在线访问”的发明专利申请No.201780008311.4的分案申请。

技术领域

本公开涉及验证对安全装置功能性的在线访问，且更具体而言，涉及验证第三方子系统，用于实现由该第三方子系统在线访问电子装置的安全功能性。

背景技术

携带型电子装置(例如，蜂巢式电话)可具备近场通信(“NFC”)部件，用于实现与另一实体(例如，商家)进行非接触式的以接近性为基础的敏感数据通信，诸如需要电子装置以与其他实体产生、存取和/或共享原生付款凭据(诸如信用卡凭据(credit cardcredential))的数据交易。然而，电子装置在其他类型的通信(例如，在线交易)中安全使用此类原生付款凭据经常无效率。

发明内容

此文件描述用于验证对安全装置功能性的在线存取的系统、方法及计算机可读取媒体。

举一实例，可提供一种用于使用商业实体子系统以进行经由商家在线资源的介于商家子系统与通信地耦接至该商家子系统的电子装置之间的安全交易的方法。该方法可包括：在该商业实体子系统处，从该商家子系统接收针对该商家在线资源的验证请求；使用该验证请求及注册数据来验证该商家在线资源，在接收之前已使该注册数据初始地可供该商业实体子系统使用；在该验证之后，产生与该验证请求的至少一部分相关联的验证数据；向该电子装置传送验证数据；接收来自该电子装置的装置事务数据；确定该装置事务数据包括该验证数据；以及在确定之后，基于该装置事务数据来产生安全事务数据以供该商家子系统使用。

举另一实例，可提供一种用于使用管理实体子系统以进行经由在电子装置上执行的在线资源的介于处理子系统与通信地耦接至该处理子系统的该电子装置之间的安全交易的方法。该方法可包括：在该管理实体子系统处，接收针对该在线资源的验证请求，其中该验证请求包括验证请求数据；使用该验证请求数据及注册数据来验证该在线资源，其中在接收该验证请求之前已使该注册数据初始地可供该管理实体子系统使用；使验证响应数据与该验证请求数据的至少一部分相关联；在已验证该在线资源之后，传送该验证响应数据至该电子装置；在传送该验证响应数据至该电子装置后，接收来自该电子装置的装置事务数据；使用该验证响应数据来验证该装置事务数据；以及在已验证该装置事务数据后，基于该装置事务数据来产生安全事务数据以供该处理子系统使用。

举再另一实例，可提供一种用于使用管理实体子系统以实现经由在电子装置上执行的在线资源的介于处理子系统与通信地耦接至该处理子系统的该电子装置之间的安全交易的方法。该方法可包括：在该管理实体子系统处，注册该在线资源，其中该注册包括建立介于该管理实体子系统与该处理子系统之间的处理共享秘密；接收对于该在线资源的验证请求，其中该验证请求包括指示该在线资源的处理标识符，并且其中该验证请求还包括经由该在线资源的介于该电子装置与该处理子系统之间的潜在交易所独有的验证会话标识符；以及使用该验证会话标识符及该处理共享秘密来验证由该处理标识符所指示的该在线资源。

举再另一实例，可提供一种用于使用管理实体子系统以进行经由在电子装置上执行的在线资源的介于处理子系统与通信地耦接至该处理子系统的该电子装置之间的安全交易的方法。该方法可包括：在该管理实体子系统处，接收针对该在线资源的验证请求，其中该验证请求包括验证请求数据，并且其中该验证请求数据包括潜在交易识别信息，该潜在交易识别信息指示经由该在线资源的介于该电子装置与该处理子系统之间的潜在交易；使用该验证请求数据的至少一部分来验证该在线资源；使验证响应数据与至少该潜在交易识别信息相关联；在已验证该在线资源之后，将该验证响应数据传送至该电子装置；在将该验证响应数据传送至该电子装置后，接收来自该电子装置的装置事务数据；使用该验证响应数据及该潜在交易识别信息来验证该装置事务数据；并且在已验证该装置事务数据后，基于该装置事务数据来产生安全事务数据以供该处理子系统使用。

本发明内容仅供用于概括一些示例性实施方案，以便提供对本文件所描述的目标物的一些方面的基本了解。因此，应理解，本发明内容所描述的特征部仅是实例且不应理解为依任何方式限缩本文件所描述的目标物的精神与范围。除非另有陈述，一个示例的内容脉络中所描述的特征可搭配一个或多个其他实例的内容脉络中所描述的特征部组合或使用。从下文的具体实施方式、附图及权利要求书，本文件所描述的目标物的其他特征、方面及优点将显而易见。

附图说明

下文的论述参考下列说明书附图，图中相似的附图标号可指整个说明书附图中的相似部件，并且其中：

图1是用于验证对安全装置功能性的在线存取的阐释性系统的示意图；

图1A是图1的系统的另一更详细示意图；

图2是图1及图1A的系统的示例性电子装置的更详细示意图；

图2A是图1至图2的系统的示例性电子装置的另一更详细示意图；

图3是图1至图2A的示例性电子装置的前视图；

图3A至图3D是图1至图3的一者或多者的示例性电子装置的图形用户接口的画面的前视图，示出用于验证对安全装置功能性的在线存取的程序；

图4是图1及图1A的系统的示例性商业实体子系统的更详细示意图；以及

图5至图9是用于验证对安全装置功能性的在线存取的阐释性程序的流程图。

具体实施方式

在使用处理(或商家)子系统(含或不含合作伙伴付款服务提供商(“PSP”)内嵌付款形式)的一线资源(例如，原生应用程序或网站)安全接收来自用户电子装置的敏感数据(例如，安全元件付款凭据数据)之前，可通过受信任的管理(或商业)实体子系统来验证处理子系统(含或不含PSP)。另外，除了在该在线资源可操作以呈现与该处理子系统在交易中共享敏感数据的选项给该用户装置之前验证该在线资源外，也可响应于选择此选项而实行附加会话验证程序，以重新授权该在线资源用于在实现该特定交易中使用。

图1及图1A展示系统1，其中可自金融机构(或交易或发行方(issuer))子系统350结合商业(或管理)实体子系统400来配置一个或多个凭据至电子装置100上，并且其中可由电子装置100使用此类凭据来与商家(或处理)子系统200及相关联的收单银行(或收单方(acquirer))子系统300(例如，电子装置100安全装置功能性)进行交易(例如，金融交易或任何其他合适的安全数据交易)；而图2至图3展示关于系统1的电子装置100的特定实施方案的进一步细节；图3A至图3D展示可代表在此类交易期间系统1的电子装置100的图形用户接口的示例性画面190a至190d；图4展示关于系统1的商业实体子系统400的特定实施例的进一步细节；并且图5至图9是用于验证对安全装置功能性的在线存取的阐释性程序(例如，进行此类金融交易)的流程图。

图1的说明

图1是阐释性系统1的示意图，该系统可允许验证第三方子系统以用于实现由该第三方子系统在线存取电子装置的安全功能性，诸如验证商家(或处理)子系统，用于实现在与该商家子系统的交易(例如，在线付款或非接触式的以接近性为基础的付款)中安全使用电子装置上的凭据。例如，如图1中所展示，系统1可包括电子装置100以及商业(或管理)实体子系统400及金融机构(或交易或发行方)子系统350，用于在电子装置100上安全地配置一个或多个凭据。另外，如图1中所展示，系统1也可包括商家(或处理)子系统200，由此可由电子装置100使用此类经配置凭据，用于与商家子系统200进行交易(例如，金融交易或任何其他合适的安全数据交易)。例如，响应于接收来自商家子系统200的潜在事务数据，电子装置100可与商家子系统200共享该经配置凭据的安全装置数据作为非接触式的以接近性为基础的通信5(例如，近场通信或BlueTooth^TM通信)和/或作为以在线为基础的通信684(例如，网络电信或以其他方式)，用于提供与商家子系统200的该特定金融交易的资金。系统1也可包括收单银行(或收单方)子系统300，其可利用此类非接触式的以接近性为基础的通信5和/或此类以在线为基础的通信684，用于完成与金融机构子系统350的该交易。

系统1可包括：通信路径15，其用于实现介于电子装置100与商家子系统200之间的通信；通信路径25，其用于实现介于商家子系统200与收单银行子系统300之间的通信；通信路径35，其用于实现介于收单银行子系统300与金融机构子系统350之间的通信；通信路径45，其用于实现介于金融机构子系统350的付款网络子系统360与金融机构子系统350的发行银行子系统370之间的通信；通信路径55，其用于实现介于金融机构子系统350与商业实体子系统400之间的通信；通信路径65，其用于实现介于商业实体子系统400与电子装置100之间的通信；通信路径75，其用于实现介于金融机构子系统350与电子装置100之间的通信；以及通信路径85，其用于实现介于商业实体子系统400与商家子系统200之间的通信。路径15、25、35、45、55、65、75及85的一者或多者可至少部分地由一个或多个受信任服务管理员(“TSM”)管理。可操作以建立通信网络的任何合适电路系统、装置、系统，或其的组合(例如有线和/或无线通信基础结构，其可包括一个或多个通信塔、电信服务器、或类似者)可用来提供路径15、25、35、45、55、65、75及85的一者或多者，其可能够使用任何合适的有线或无线通信协议来提供通信。例如，路径15、25、35、45、55、65、75及85的一者或多者可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网络、Bluetooth^TM、BLE、高频系统(例如，900MHz、2.4GHz、及5.6GHz通信系统)、红外线、TCP/IP、SCTP、DHCP、HTTP、BitTorrent^TM、FTP、RTP、RTSP、RTCP、RAOP、RDTP、UDP、SSH、WDS桥接、可由无线及蜂巢式电话与个人电子邮件装置使用的任何通信协议(例如，GSM、GSM plus EDGE、CDMA、OFDMA、HSPA、多频带等)、可由低功率无线个人局域网络(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议、或其任何组合。

图1A的说明

现在参考图1A，图1A展示上文关于图1所描述的系统1的更详细视图。如图1A中所展示，例如，电子装置100可包括处理器102、通信部件106、和/或近场通信(“NFC”)部件120。NFC部件120可包括或以其他方式提供安全元件145，该安全元件可被配置为提供防篡改平台(例如，作为单一芯片或多芯片安全微控制器)，其可能够根据可由一组经妥善识别的受信任授权单位(authority)(例如，金融机构子系统的授权单位和/或产业标准，诸如GlobalPlatform)所提出的规则及安全性要求来安全地寄存(hosting)应用程序及其的机密及密码编译数据(例如，凭据小应用程序(credential applet)及相关联的凭据密钥，诸如凭据密钥155a'、及存取密钥155a、和/或发行方安全性网域(“ISD”)密钥156k，如图1A中所展示)。如下文更详细描述，在装置100的(例如，NFC部件120的)安全元件145上的凭据小应用程序或付款应用程序可被构配置为提供付款凭据数据作为含用于识别资金账户或其他金融工具(financial instrument)或信用来源(例如，在金融机构子系统350处)的充分细节的事务数据，其中在与商家子系统200和/或商业实体子系统400的一个或多个通信中，可由装置100使用此类付款凭据数据来用于促进金融交易。NFC部件120可配置为传送此类主机付款凭据数据作为与商家子系统200(例如，与商家子系统200的商家终端机220，其可定位在物理商店(brick and mortar store)或任何物理地点(physical location)，在该处，装置100的用户可使用存储在装置100上的凭据以经由非接触式的以接近性为基础的通信来与接近定位的商家终端机220进行金融交易)的非接触式的以接近性为基础的通信5(例如，近场通信)。替代地或此外，可提供通信部件106以允许装置100使用任何合适的有线或无线协议(例如，经由通信路径15、65、和/或75的一者或多者)来与一个或多个其他电子装置或服务器或子系统(例如，系统1的一个或多个子系统或其他部件，诸如经由任何合适的在线通信来与商家子系统200的商家服务器210)传送任何合适的付款凭据数据(例如，作为以在线为基础的通信684)。装置100的处理器102可包括可操作以控制装置100的一个或多个部件的操作及性能的任何处理电路系统。例如，处理器102可被配置为在装置100上运行一个或多个应用程序(例如，应用程序103和/或在线资源或商家应用程序113)，其可至少部分规定其中数据(例如，事务数据的付款凭据数据)可由装置100传送以用于为与商家子系统200的金融交易提供资金的方式。另外，如图1A中所展示，装置100可包括装置100的处理器102或任何其他合适部分可存取的任何合适的装置识别信息或装置标识符119。可由商业实体子系统400和/或商家子系统200和/或金融机构子系统350利用装置识别信息119来唯一地识别装置100，以促进与商家子系统200的交易和/或实现与装置100的任何合适的安全通信。仅举一实例，装置识别信息119可以是电话号码或电子邮件地址或可与装置100相关联的任何唯一标识符。

商家子系统200可包括任何合适的商家服务器210，如图1A中所展示，其可包括任何合适部件或子系统，该部件或子系统可被配置成经由任何合适的通信协议(例如，Wi-Fi、Bluetooth^TM、蜂巢式电话通信(cellular)、有线网络协议等)来与以下项传送任何合适数据：商业实体子系统400的通信部件(例如，经由通信路径85)；和/或收单银行300的通信部件(例如，经由通信路径25)；和/或装置100的通信部件(例如，经由通信路径15)。例如，商家服务器210可操作以在任何合适的在线内容脉络内与装置100的通信部件106进行潜在事务数据660通信，诸如当装置100的用户经由可在装置100上运行的任何合适商家在线资源113与商家服务器210通信以进行交易时，商家在线资源113是诸如在装置100上运行的第三方商家应用程序113，其可由商家服务器210管理(例如，原生应用程序)，或商家在线资源113是在装置100上运行的因特网应用程序113(例如，Apple Inc.提供的Safari^TM)，其可指向可由商家服务器210管理其目标或Web资源的统一资源定位器(“URL”)(例如，商家网站、使用导向至商家网站的网页的商家应用程序(例如，同捆(bundled)在商家应用程序内的因特网浏览器，从而产生可称为混合式应用程序(hybrid app)，其可实现使用Web技术(例如，HTML、JavaScript、CSS等)来建立此应用程序，但仍可实现将此应用程序封装为原生应用程序)、和/或使用导向至商家网站的网页的非商家应用程序)。因此，应注意，在商家服务器210与装置100之间的通信可无线地发生和/或经由有线路径(例如，经过因特网)发生。可由商家子系统200的商家提供商家服务器210(例如，作为代管网站数据和/或管理第三方应用程序数据的网站服务器)。除此之外或作为另外一种选择，如图1A中所展示，商家子系统200可包括任何合适的商家终端机220(例如，商家付款终端机)，其可包括可被配置为与装置100的非接触式的以接近性为基础的通信部件(例如，装置100的NFC部件120的非接触式的以接近性为基础的通信5)通信的任何合适数据的任何合适部件或子系统。另外，如图1A中所展示，商家子系统200可包括商家密钥157和/或商家标识符(“ID”)167。虽然未展示，商家子系统200也可包括：商家处理器部件，其可相同于或相似于图1A及图2的电子装置100的处理器部件102；商家通信部件，其可相同于或相似于图1A及图2的电子装置100的通信部件106(例如，作为服务器210的一部分)；商家I/O接口，其可相同于或相似于图2的电子装置100的I/O接口114；商家总线，其可相同于或相似于图2的电子装置100的总线118；商家内存部件，其可相同于或相似于图2的电子装置100的内存部件104，和/或商家电源供应器部件，其可相同于或相似于图2的电子装置100的电源供应器部件108。

金融机构子系统350可包括付款网络子系统360(例如，付款卡联盟或信用卡联盟)和/或发行银行子系统370。例如，发行银行子系统370可以是金融机构，其可为消费者清偿凭借特定凭据而引致的债务的能力承担主要责任。装置100的NFC部件120的各特定凭据小应用程序可与特定付款卡相关联，该特定付款卡可以电子方式链接至特定使用者的一个或多个账户。各种类型付款卡可系合适的，包括信用卡、转账卡(debit card)、签帐卡(chargecard)、储值卡、汽油特惠卡(fleet card)、礼品卡及类似物。可由发行银行子系统370将特定付款卡的商务凭据配置在装置100上(例如，作为NFC部件120的凭据补充安全性网域的凭据，如下文所描述)，用于在与商家子系统200(例如，直接或经由商业实体子系统400)的商务凭据数据通信(例如，非接触式的以接近性为基础的通信和/或以在线为基础的通信)中使用。各凭据可以是由付款网络子系统360定品牌的特定品牌付款卡。付款网络子系统360可以是可处理特定品牌付款卡的使用(例如，商务凭据)的各种发行银行370和/或各种收单银行300的网络。

为使金融交易发生在系统1内，至少一个商务凭据必须安全地配置在电子装置100的安全元件上。例如，此类商务凭据可直接从金融机构子系统350至少部分地配置在装置100的安全元件145上(例如，作为凭据数据654，其是经由介于金融机构子系统350与装置100之间的通信路径75，可经由通信部件106将其传递至安全元件145)。除此之外或作为另外一种选择，此类商务凭据可经由商业实体子系统400从金融机构子系统350至少部分配置在装置100的安全元件145上(例如，作为凭据数据654，其是经由介于金融机构子系统350与商业实体子系统400之间的通信路径55，其可经由介于商业实体子系统400的服务器410与装置100的通信部件106之间的通信路径65作为凭据数据654传递至装置100，接着可从通信部件106将其传递至安全元件145)。凭据数据654经由路径75和/或经由路径55/65可配置在装置100的安全元件145上，作为该安全元件的凭据补充安全性网域的至少一部分或全部，并且可包括含凭据信息和/或凭据密钥的凭据小应用程序，诸如含凭据信息161a及凭据密钥155a'的凭据小应用程序153a或付款应用程序。如图1A中所展示，例如，金融机构子系统350也可存取凭据密钥155a'(例如，用于解密由装置100使用凭据密钥155a'所加密的资料)。金融机构子系统350可负责管理凭据密钥155a'，其可包括产生、交换、存储、使用及替换此凭据。金融机构子系统350可存储其凭据密钥155a'的版本于金融机构子系统350的安全元件中。应理解，装置100及金融机构子系统350的凭据密钥155a'可以是电子装置100的安全元件及金融机构子系统350两者皆可使用的任何合适的共享秘密(例如，密码(password)、密码短语(passphrase)、随机选取的字节数组、一个或多个对称式密钥、公钥-私钥(例如，非对称式密钥)等)，电子装置100的安全元件及金融机构子系统350两者可操作以实现由电子装置100及金融机构子系统350独立地产生任何合适的密码编译数据(例如，编译密码(cryptogram))或任何其他合适的数据(例如，用于验证用于金融交易的付款数据)，诸如通过使用任何合适的密码编译算法或加密法(cipher)，可至少部分地通过该共享秘密确定密码编译算法或加密法的功能输出，其中可由金融机构子系统350将此共享秘密配置在装置100上。金融机构子系统350与装置100之间可事前共享共享秘密(例如，在由金融机构子系统350在装置100上配置凭据期间)，在此情况中，此类共享秘密可称为预先共享密钥，或可通过使用密钥协议协议(key agreement protocol)(例如：使用公钥密码编译法(public-key cryptography)，诸如Diffie-Hellman；或使用对称密钥加密法(ymmetric-key cryptography)，诸如Kerberos)在共享秘密用于特定金融交易之前建立该共享秘密。装置100的安全元件可存取该共享秘密及可至少部分通过该共享秘密确定其功能输出的任何合适的密码编译算法或加密法。

商业实体子系统400可经提供作为介于金融机构子系统350与装置100之间的中介(intermediary)，其中商业实体子系统400可被配置成当凭据配置在装置100的安全元件上时和/或当此类经配置凭据用作介于装置100与商家子系统200之间的商务凭据数据通信的部分时，提供新安全性层和/或提供更顺畅使用者体验。可由特定商业实体提供商业实体子系统400，该特定商业实体可经由那个商业实体的用户特定帐户的用户特定登入信息(例如，经由使用者特定的识别及密码组合)来提供各种服务给装置100的用户。仅举一实例，可由Apple Inc.(Cupertino,CA)提供商业实体子系统400，其也可以是提供各种服务给装置100的用户的提供者(例如，用于销售/租借待由装置100播放的媒体的iTunes^TM商店、用于销售/租借供在装置100上使用的应用程序的Apple App Store^TM、用于存储来自装置100的数据和/或使多个用户装置和/或多个用户配置文件彼此相关联的Apple iCloud^TM服务、用于在线购买各种Apple产品的Apple在线商店、用于在装置之间传送媒体讯息的AppleiMessage^TM服务等)，且其也可以是装置100本身和/或装置100的操作系统(例如，装置应用程序103)的提供者、制造商和/或开发商(例如，当装置100是iPod^TM、iPad^TM、Phone^TM或类似物时)。可提供商业实体子系统400的商业实体(例如，Apple Inc.)可相异于且独立于金融机构子系统350的任何金融实体。例如，可提供商业实体子系统400的商业实体可相异于和/或独立于可供给和/或管理待配置于终端用户装置100上的任何信用卡或任何其他商务凭据的任何付款网络子系统360或发行银行子系统370。除此之外或作为另外一种选择，可提供商业实体子系统400的商业实体(例如，Apple Inc.)可相异于且独立于商家子系统200的任何商家。例如，可提供商业实体子系统400的商业实体可相异于和/或独立于可提供用于非接触式的以接近性为基础的通信的商家终端机、用于在线通信的第三方应用程序或在线资源113、和/或商家子系统200的任何其他方面的商家子系统200的任何商家。此类商业实体可充分利用其构型或控制装置100的各种部件(例如，装置100的软件和/或硬件部件，诸如当那个商业实体可至少部分生产或管理装置100时)的潜在能力，以在装置100的用户想要在装置100上配置由金融机构子系统350提供的凭据时和/或在此类配置的凭据正用作与商家子系统200的商务凭据数据通信的部分以提供金融交易的资金时，为装置100的用户提供更顺畅的使用者体验。例如，在一些实施方案中，装置100可被配置成对装置100的用户而言顺畅且透通的方式来与商业实体子系统400通信(例如，经由通信路径65)，以用于共享或接收可实现较高安全性等级的某些数据(例如，在介于装置100与商家子系统200之间的以在线为基础的安全数据通信期间)。虽然未展示，商业实体子系统400也可包括：处理器部件，其可相同于或相似于图1A及图2的电子装置100的处理器部件102；通信部件，其可相同于或相似于图1A及图2的电子装置100的通信部件106；I/O接口，其可相同于或相似于图2的电子装置100的I/O接口114；总线，其可相同于或相似于图2的电子装置100的总线118；内存部件，其可相同于或相似于图2的电子装置100的内存部件104，和/或电源供应器部件，其可相同于或相似于图2的电子装置100的电源供应器部件108，其可至少部分地由服务器410的一者、一些或全部提供。

除至少商务凭据配置在装置100的安全元件上(例如，作为含凭据密钥155a'及凭据信息161a的凭据SSD的一部分)外，含存取密钥155b的至少存取SSD也可配置在装置100的安全元件上，以使装置100能以更安全的方式与商家子系统200进行金融交易。例如，可直接从商业实体子系统400将存取SSD至少部分地配置在装置100的安全元件上(例如，作为存取数据652，经由介于商业实体子系统400的服务器410与装置100的通信部件106之间的通信路径65，接着可从通信部件106传递存取数据652至安全元件145)。存取数据652经由路径65可配置在装置100的安全部件上作为存取SSD的至少一部分或全部，并且可包括含存取密钥155b的存取小应用程序153b。如图1A中所展示，商业实体子系统400也可存取存取密钥155b(例如，用于使用存取密钥155b来解密由装置100所加密的数据)。商业实体子系统400可负责管理存取密钥155b，其可包括产生、交换、存储、使用及替换此类密钥。商业实体子系统400可存储其存取密钥155b的版本于商业实体子系统400的安全元件中。含存取密钥155b的装置100的存取SSD可被配置成确定装置100的用户的意图及本端认证(例如，经由装置100的一个或多个输入部件110，诸如生物特征输入部件)，且响应于此确定，可配置为启用另一特定SSD，用于进行付款交易(例如，运用装置100的凭据SSD的凭据)。通过存储此存取SSD于装置100的安全元件内，可增加可靠地确定用户对金融交易的意图及认证的能力。另外，可充分利用装置100的此存取SSD的存取密钥155b以为可传送至装置100的安全元件的外的事务数据提供增强的加密。除此之外或作为另外一种选择，如下文所描述，存取数据652可包括用于电子装置100的安全元件的ISD的发行方安全性网域(“ISD”)密钥156k，其也可由商业实体子系统400维护，且可除使用存取密钥155b外还使用ISD密钥156k，或使用ISD密钥156k作为存取密钥155b的替代，如下文所描述。

可由装置100存取商家应用程序或在线资源113，以实现装置100与商家子系统200之间的待促成的在线金融交易，或实现由商家子系统200在线存取装置100的任何其他合适的安全装置功能性。首先，在可由装置100有效利用应用程序113前，可由商业实体子系统400核准或注册或以其他方式启用应用程序113。例如，商业实体子系统400的应用程序商店420(例如，Apple App Store^TM)可经由通信路径85接收来自商家子系统200的代表应用程序113的至少一些数据。另外，在一些实施方案中，商业实体子系统400可产生或以其他方式指派用于应用程序113的商家密钥157，并且可提供此商家密钥157至商家子系统200(例如，经由路径85)。替代地，商家子系统200可产生或以其他方式指派用于应用程序113的商家密钥157，并且可提供此商家密钥157至商业实体子系统400(例如，经由路径85)。商家子系统200或商业实体子系统400可负责管理商家密钥157，其可包括产生、交换、存储、使用及替换此密钥。无论此商家密钥157可如何产生及管理或在何处产生及管理，商家子系统200及商业实体子系统400两者可存储商家密钥157的版本(例如，在商家子系统200及商业实体子系统400的相应安全元件中，其中，在一些实施例中，由商家子系统200所存储的商家密钥157可以是私钥，且由商业实体子系统400所存储的商家密钥157可以是相对应的公钥(例如，用于在非对称式密钥加密/解密程序中使用))。在一些实施例中，此商家密钥157可具体地与商家应用程序113相关联，而在其他实施例中，商家密钥157可具体地与商家子系统200的商家相关联，使得商家密钥157可与由商家子系统200的同一商家操作的多个第三方应用程序或Web资源相关联。可由商业实体子系统400和/或由商家子系统200产生唯一商家标识符167和/或以其他方式指派该唯一商家标识符给应用程序113或使该唯一商家标识符与应用程序113相关联。例如，商家标识符167可以是文数字符串、网域(例如，用于Web资源类型在线资源应用程序113的URL或其他)、或可唯一识别商家和/或特定商家在线资源的任何其他合适标识符(例如，如此对商业实体子系统400唯一地识别)。可提供表格430或可供商业实体子系统400存取的任何其他合适数据结构或信息来源，用于使特定商家密钥157与商家应用程序113的特定商家标识符167或商家实体相关联。可使商家在线资源与特定商家标识符167及特定商家密钥157相关联，可于商家子系统200与商业实体子系统400之间安全地共享特定商家标识符167及特定商家密钥157的每者。表格430可使商业实体子系统400能够确定及利用适当的商家密钥157，用于提供安全性层给经传送至商家子系统200的任何安全装置数据(例如商务凭据数据，其可包括装置100原生的付款凭据数据)，以用于可涉及装置100经由与密钥157及商家标识符167相关联的商家应用程序113而与商家子系统200接合的交易。装置100可被配置成存取应用程序113(例如，经由通信路径65自应用程序商店420存取应用程序)并执行应用程序113(例如，以处理器102执行应用程序)。替代地或此外，商家密钥157及商家标识符167可与商家网站(例如，一个或多个URL或网域，其在本文中可称为商家在线资源，或在一些实施例中，称为商家应用程序)相关联，或大致上与商家相关联，而非与商家的第三方原生应用程序相关联或还与商家的第三方原生应用程序相关联。例如，商家子系统200的商家可与商业实体子系统400合作以在表格430内使特定商家网站或商家大致上与特定商家密钥157及商家标识符167相关联，其可使商业实体子系统400能够确定及利用适当的商家密钥157，以用于针对交易提供安全性层给经传送至商家子系统200的任何安全装置数据(例如，可包括装置100原生的付款凭据数据的商务凭据数据)，其可涉及装置100与商家服务器210接合以经由在装置100上执行的因特网应用程序或Web浏览器进行交易，因特网应用程序或Web浏览器可指向URL或网域，该URL或网域的目标或Web资源可与那个商家密钥157及商家标识符167相关联(例如，那个Web资源的唯一网域(例如，store.merchant.com))。装置100可被配置成例如经由通信路径15从商家服务器210存取此URL(例如，使用装置100上的因特网应用程序113，当目标是此商家Web资源时，其可视为商家在线资源)。在其他实施例中，应用程序113可未与特定商家、商家子系统200、商家密钥157和/或商家标识符167相关联，反而可以是装置100运用定目标至此商家Web资源的Web检视而可取得的独立应用程序，从而作为商家在线资源。可依任何合适方式来实行通过商业实体子系统400的商家在线资源的此注册(例如，安全且经验证地共享商家密钥157及商家标识符167于商家子系统200与商业实体子系统400之间(例如，用于存储在表格430中))，以使商业实体子系统400确保商家子系统200是在线资源的有效拥有者。如所提及，商家在线资源(例如，原生应用程序、网域/URL、或任何其他合适的Web资源，或甚至可能是商家终端机)可与特定商家标识符167及特定商家密钥157相关联(例如，在图5的步骤501和/或在图6的步骤606的注册期间)，可依任何合适方式于商家子系统200与商业实体子系统400之间安全地共享特定商家标识符167及特定商家密钥157的每者，并且此关联性可供商业实体子系统400存取(例如，在表格430中)。

图2的说明

现在参考图2，图2展示上文关于图1及图1A所描述的系统1的电子装置100的更详细视图。如图2中所展示，电子装置100可例如包括处理器102、内存104、通信部件106、电源供应器108、输入部件110、输出部件112、天线116、及近场通信(“NFC”)部件120。电子装置100也可包括总线118，该总线可提供一个或多个有线或无线通信链路或路径以用于传送数据和/或电力至装置100的各种其他部件、自该各种其他部件传送数据和/或电力、或在该各种其他部件之间传送数据和/或电力。电子装置100也可具备外壳101，该外壳可至少部分地围封装置100的部件中的一者或多者以用于保护免受装置100外部的碎屑及其他降级力影响。在一些实施例中，可组合或省略电子装置100的一个或多个部件。另外，电子装置100可包括图2中未组合或未包括的其他部件。例如，电子装置100可包括任何其他合适的部件或图2中展示的部件的如果干例项。为简单起见，图2中展示此类部件中的各自的仅一者。可提供一个或多个输入部件110以准许用户与装置100互动或接合，和/或可提供一个或多个输出部件112以呈现信息(例如，图像、听觉和/或触觉信息)给装置100的用户。应注意，一个或多个输入部件及一个或多个输出部件有时候在本文中可统称为输入/输出(“I/O”)部件或I/O接口114(例如，输入部件110及输出部件112统称为I/O部件或I/O接口114)。例如，输入部件110及输出部件112有时候可以是单一I/O部件114(诸如触控屏幕)，其可透过用户对显示屏幕的触摸来接收输入信息且也可经由那同一显示屏幕提供视觉信息给用户。电子装置100的处理器102可包括可操作以控制电子装置100的一个或多个部件的操作及性能的任何处理电路系统。例如，处理器102可接收来自输入部件110的输入信号和/或透过输出部件112驱动输出信号。如图2中所展示，处理器102可用于执行一个或多个应用程序，诸如应用程序103和/或应用程序113。举一实例，应用程序103可以是操作系统应用程序，而应用程序113可以是第三方应用程序或任何其他合适的在线资源(例如，与商家子系统200的商家相关联的应用程序)。另外，如所展示，处理器102可存取装置识别信息119，可由装置100的用户和/或商业实体子系统400利用装置识别信息119以用于提供装置100的识别。

NFC部件120可以是任何合适的以接近性为基础的通信机构，该以接近性为基础的通信机构可实现介于电子装置100与商家子系统200的商家终端机(例如，商家付款终端机220)之间的非接触式的以接近性为基础的交易或通信。NFC部件120可包括用于实现介于电子装置100与此商家终端机之间的非接触式的以接近性为基础的通信的任何合适模块。如图2中所展示，NFC部件120可例如包括NFC装置模块130、NFC控制器模块140、和/或NFC内存模块150。NFC装置模块130可包括NFC数据模块132、NFC天线134、及NFC加强器136。NFC数据模块132可被配置成含有、路由、或以其他方式提供任何合适的数据，该数据可由NFC部件120传输至商家终端机作为非接触式的以接近性为基础的通信的部分或NFC通信的部分。除此之外或作为另外一种选择，NFC数据模块132可被配置成含有、路由或以其他方式接收任何合适的数据，该数据可由NFC部件120自商家终端机被接收而作为非接触式的以接近性为基础的通信的部分。NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC装置模块130操作以启用、启动、允许和/或以其他方式控制NFC部件120，以用于传送介于电子装置100与商家终端机之间的NFC通信。NFC控制器模块140可包括至少一个NFC处理器模块142，NFC处理器模块142可用于执行一个或多个应用程序，诸如可帮助规定NFC部件120的功能的NFC低功率模式或钱包应用程序143。NFC内存模块150可结合NFC装置模块130和/或NFC控制器模块140操作以允许介于电子装置100与商家子系统200之间的NFC通信。NFC内存模块150可防篡改且可提供安全元件145的至少一部分(例如，参见图2A)。例如，此安全元件可被配置成提供防篡改平台(例如，作为单一芯片或多芯片安全微控制器)，其可能够根据可由一组经妥善识别的受信任授权单位(例如，金融机构子系统的授权单位和/或产业标准，诸如GlobalPlatform)所提出的规则及安全性要求来安全地寄存应用程序及其的机密及密码编译数据(例如，小应用程序153及密钥155)。

如图2中所展示，NFC内存模块150可例如包括发行方安全性网域(“ISD”)152及补充安全性网域(“SSD”)154的一者或多者(例如，服务提供商安全性网域(“SPSD”)、受信任服务管理员安全性网域(“TSMSD”)等)，此类安全性网域可由NFC规格标准(例如，GlobalPlatform)定义及管理。例如，ISD 152可以是NFC内存模块150的一部分，其中受信任服务管理员(“TSM”)或发行金融机构(例如，金融机构子系统350)可存储密钥和/或其他合适的信息以用于在电子装置100上(例如，经由通信部件106)建立或以其他方式配置一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、通行卡(access card)、交通票证(transitpass)等相关联的凭据)，以用于凭据内容管理，和/或安全性网域管理。凭据可包括可指派给使用者/消费者且可安全地存储于电子装置100上的凭据数据(例如，凭据信息161a)，诸如信用卡付款号码(例如，装置主要帐户号码(“DPAN”)、DPAN到期日期、CVV等(例如，作为符记(token)或其他))。NFC内存模块150可包括至少两个SSD 154(例如，至少一个第一SSD154a及一个第二SSD 154b)。例如，第一SSD 154a(例如，凭据SSD 154a)可与可提供特定特殊权限或付款权给电子装置100的特定凭据(例如，由金融机构子系统350配置的特定信用卡凭据或特定公共交通卡(public transit card)凭据)相关联，而第二SSD 154b(例如，存取SSD 154b)可与可控制装置100对另一SSD的特定凭据(例如，第一SSD 154a)的存取的商业实体(例如，商业实体子系统400的商业实体，其可以是针对装置100的控制实体)相关联，以例如提供特定特殊权限或付款权给电子装置100。替代地，第一SSD 154a及第二SSD154b的各自可与可提供特定特殊权限或付款权给电子装置100的相应特定凭据(例如，由金融机构子系统350配置的特定信用卡凭据或特定公共交通卡凭据)相关联。每个SSD 154可包括至少一小应用程序153和/或与至少一小应用程序153相关联(例如，SSD 154a与小应用程序153a相关联及SSD154b与小应用程序153b相关联)。例如，SSD 154的小应用程序153可以是可在NFC部件120的安全元件上执行的应用程序(例如，在GlobalPlatform环境中)。凭据小应用程序153可包括凭据信息161或与凭据信息161相关联(例如，小应用程序153a的信息161a和/或小应用程序153b的信息161b)。每个SSD 154和/或小应用程序153也可包括自己的密钥155的至少一者和/或与自己的密钥155的至少一者相关联(例如，小应用程序153a与至少一个密钥155a相关联及小应用程序153b与至少一个密钥155b相关联)。

SSD 154的密钥155可以是可确定密码编译算法或加密法的功能输出的一笔信息。例如，在加密中，密钥可指定明文(plaintext)到密文(ciphertext)的具体变换，或在解密期间反过来指定由密文到明文的具体变换。密钥也可用于其他密码编译算法中，诸如数字签名方案及讯息认证码。SSD的密钥可提供与另一实体的任何合适共享秘密。各密钥及小应用程序可由TSM或经授权代理程序(agent)加载于装置100的安全元件上，或当首次提供于装置100上时预先加载于安全元件上。举一实例，虽然凭据SSD 154a可与特定信用卡凭据相关联，但那个特定凭据可仅当那个凭据SSD 154a的小应用程序153a已经启用或以其他方式启动或解锁以用于金融交易时作为商务凭据数据通信而自装置100的安全元件(例如，自NFC部件120)传送至商家子系统200以用于此类用途。

可提供安全性特征以使得能够使用NFC部件120，其在将机密付款信息(诸如，凭据的信用卡信息或银行帐户信息)自电子装置100传输至商家子系统200时可以是特别实用的。此类安全性特征也可包括可具有受限制的存取的安全存储区域。例如，可能需要提供经由个人识别号码(“PIN”)输入项或经由用户与生物特征传感器的互动的用户认证，以存取安全存储区域。举一实例，存取SSD 154b可充分利用小应用程序153b以确定在允许其他SSD154(例如，凭据SSD 154a)被用于传送其凭据信息161a前是否已发生此类认证。在某些实施例中，安全性特征的一些或全部可存储在NFC内存模块150内。进一步，用于与商家子系统200通信商务凭据数据的安全性信息(诸如认证密钥)可存储在NFC内存模块150内。在某些实施例中，NFC内存模块150可包括内嵌在电子装置100内的微控制器。仅举一实例，存取SSD154b的小应用程序153b可被配置成确定装置100的用户的意图及本端认证(例如，经由一个或多个输入部件110，诸如生物特征输入部件)，且响应于此确定，可被配置成启用另一特定SSD，用于进行付款交易(例如，运用凭据SSD 154a的凭据)。

图2A的说明

现在参考图2A，图2A展示上文关于图1至图2所描述的系统1的电子装置100的一部分的另一详细视图。如图2A中所展示，例如，装置100的安全元件145可包括：SSD 154a，其可包括小应用程序153a、凭据信息161a、存取密钥155a和/或凭据密钥155a'，或与小应用程序153a、凭据信息161a、存取密钥155a和/或凭据密钥155a'相关联；及SSD 154b，其可包括小应用程序153b、凭据信息161b、存取密钥155b和/或凭据密钥155b'或与小应用程序153b、凭据信息161b、存取密钥155b和/或凭据密钥155b'相关联。在一些实施例中，特定补充安全性网域(“SSD”)154(例如，SSD 154a及154b的一者)可与可提供特定特殊权限或付款权给电子装置100的特定TSM及至少特定商务凭据(例如，特定信用卡凭据或特定公共交通卡凭据)相关联。每个SSD 154可具有自己的管理员密钥155(例如，密钥155ak及155bk的一相应者)，可能需要启动管理员密钥155以启用那个SSD 154的功能用于NFC装置模块130使用。除此之外或作为另外一种选择，各SSD 154可包括与特定商务凭据相关联的自己的凭据应用程序或凭据小应用程序(例如，一Java卡(Java card)小应用程序例项)的至少一者，和/或与该至少一者相关联(例如，SSD 154a的凭据小应用程序153a可与第一商务凭据相关联和/或SSD154b的凭据小应用程序153b可与第二商务凭据相关联)，其中凭据小应用程序可具有自己的存取密钥(例如，用于凭据小应用程序153a的存取密钥155a、和/或用于凭据小应用程序153b的存取密钥155b)、和/或自己的凭据密钥(例如，用于凭据小应用程序153a的凭据密钥155a'和/或用于凭据小应用程序153b的凭据密钥155b')，且其中可能需要启动凭据小应用程序以启用其相关联的商务凭据用于NFC装置模块130使用作NFC通信(例如，与商家终端机220的NFC通信)和/或作为基于在线的介于电子装置100与商家子系统200之间的通信(例如，经由商业实体子系统400)。在一些实施例中，凭据小应用程序的凭据密钥(例如，用于凭据小应用程序153a的凭据密钥155a'，和/或用于凭据小应用程序153b的凭据密钥155b')可由可负责此凭据的金融机构子系统350产生，且可由那个金融机构子系统350存取(例如，如图1A中所展示)，以用于实现于安全元件145与金融机构子系统350之间安全传输那个小应用程序的那个凭据信息(例如，经由商家子系统200)。除此之外或作为另外一种选择，凭据小应用程序的存取密钥(例如，用于凭据小应用程序153a的存取密钥155a和/或用于凭据小应用程序153b的存取密钥155b)可由商业实体子系统400产生且可由商业实体子系统400存取(例如，如图1A中所展示)，用于实现于安全元件145与商业实体子系统400之间安全传输那个小应用程序的那个凭据信息。除此之外或作为另外一种选择，如所展示，各小应用程序可包括自己的唯一应用程序标识符(“AID”)，诸如小应用程序153a的AID 155aa和/或小应用程序153b的AID 155ba。例如，AID可识别特定卡方案及产品、程序或网络(例如，MasterCard Cirrus、Visa PLUS、Interac等)，其中AID不仅可包括经注册应用程序提供者标识符(“RID”)(其可用于识别与该AID相关联的凭据的付款系统(例如，卡方案)或网络(例如，MasterCard、Visa、Interac等))，而且也可包括专属应用程序标识符延伸(“PIX”)(其可用于区别由与该AID相关联的凭据的提供者或付款系统所提供的产品、程序或应用程序)。可操作以统辖安全元件145的固件的任何合适规格(例如，Java Card规格)可操作以确保或以其他方式强制在安全元件145上的各AID的唯一性(例如，在安全元件145上的各凭据例项可与自己的唯一AID相关联)。

除此之外或作为另外一种选择，如图2A中所展示，安全元件145可包括ISD 152，ISD 152可包括ISD密钥156k，其也可以是与那安全性网域相关联的受信任服务管理员(例如，商业实体子系统400，如图1A中所展示)所已知的。相似于和/或替代存取密钥155a和/或存取密钥155b，可由商业实体子系统400及电子装置100充分利用ISD密钥156k，用于实现介于商业实体子系统400与电子装置100的安全元件145之间的安全传输。另外，如图2A中所展示，可于处理器102及与安全元件145之间进行各种数据通信。例如，装置100的处理器102可被配置成执行装置应用程序103，其可与处理器102的商家应用程序113以及安全元件145、I/O接口部件114a(例如，用于接收I/O输入数据115i和/或用于传输I/O输出数据115o)、和/或通信部件106进行信息通信。另外，如所展示，处理器102可存取装置识别信息119，可利用装置识别信息119用于实现介于装置100与远程实体之间的安全通信。

除此之外或作为另外一种选择，如图2A中所展示，安全元件145可包括控制授权单位安全性网域(“CASD”)158，其可以是可被配置成作为第三方元件上信任根(third-partyon-element root of trust)的特殊用途安全性网域。CASD 158的相关联应用程序可被配置成提供元件上机密密钥产生(on-element confidential key generation)作为全局服务给其他应用程序和/或给特定管理层(例如，GlobalPlatform管理层)。可在CASD 158内使用的机密密钥材料可经构型使得机密密钥材料不会被任何实体(包括安全元件145的发行方)调查或修改。CASD 158可被配置成包括和/或可被配置成产生和/或以其他方式包括CASD存取套件158k(例如，CASD私钥(“CASD-SK”)、CASD公钥(“CASD-PK”)、CASD凭证(“CASD-凭证”)、和/或CASD-签署模块)。例如，CASD 158可被配置成先在安全元件145上签署某些数据(例如，使用CASD存取套件158k)，然后才提供此类数据至装置100的另一部分(例如，通信部件106，用于与系统1的其他子系统共享)。举一实例，CASD 158可被配置成签署由安全元件145提供的任何数据，使得其他子系统(例如，商业实体子系统400)可能够确认此类经签署数据是由安全元件145所签署(例如，在商业实体子系统400处使用相关联的CASD套件158k)。

除此之外或作为另外一种选择，如图2A中所展示，安全元件145可包括非接触式登录服务(“CRS”)小应用程序或应用程序151，其可被配置成提供本端功能性给电子装置100，以用于修改某些安全性网域元件的生命周期状态(例如，经启动、经撤销启动、经锁定等)及与装置100的用户共享关于处于某些生命周期状态的某些安全性网域元件的某些输出信息115o(例如，经由一用户I/O接口114a)。例如，CRS应用程序151可包括可维持在安全元件145上的各安全性网域元件的目前生命周期状态列表的CRS列表

151t(例如，可包括SSD 154a的凭据小应用程序153a和/或SSD 154b的凭

据小应用程序153b的一者、一些或全部的生命周期状态的列表)，其中CRS应用程序151可被配置成与装置100的应用程序共享安全元件145的一个或多个安全性网域元件的生命周期状态(例如，与诸如精灵的任何合适的应用程序类型共享生命周期状态，诸如卡管理精灵(“CMD”)应用程序103a，其可执行作为操作系统应用程序103和/或一卡管理应用程序103b(例如，Apple Inc.提供的Passbook^TM或Wallet^TM应用程序)和/或商家应用程序113(例如，可与商家密钥157及商家标识符167相关联的商家在线资源)和/或识别服务(“IDS”)应用程序103c内的背景程序，但非必然受控于装置100的交互用户)，CRS应用程序151继而可经由I/O接口114a及用户接口(“UI”)应用程序(例如，卡管理应用程序103b的UI)来提供某些生命周期状态信息给装置100的用户作为输出信息115o，UI应用程序令用户能够变更安全性网域元件的生命周期状态(例如，更新CRS清单151t及安全性网域元件的生命周期状态，诸如，用于实现特定凭据小应用程序的商务凭据用于在金融交易中使用)。除此之外或作为另外一种选择，CR151可包括CRS存取密钥151k，其也可以是与CRS 151相关联的受信任服务管理员(例如，商业实体子系统400，如图1A中所展示)所已知的。相似于和/或替代存取密钥155a和/或存取密钥155b，可由商业实体子系统400及电子装置100充分利用CRS存取密钥151k，用于实现介于商业实体子系统400与电子装置100的安全元件145之间的安全传输。

IDS应用程序103c可以是任何合适的应用程序类型，诸如精灵，其可执行作为操作系统应用程序103和/或卡管理应用程序103b内的背景程序，和/或可由CMD应用程序103a提供，且可操作为倾听并响应IDS讯息的IDS管理员，可透过任何合适的IDS服务(其可相似于任何合适的讯息传送服务，诸如Apple Inc.提供的iMessage^TM，或类似物(例如，Apple Inc.提供的FaceTime^TM或Continuity^TM))发送IDS讯息，IDS服务可实现介于主机装置100的IDS应用程序103c与另一装置(例如，客户端装置)的相似IDS应用程序之间的讯息的唯一端对端加密。可使用用于通信中装置的一者或两者的唯一标识符和/或用于通信中装置的特定用户的一者或两者的唯一标识符来将此类讯息加密。此类讯息可经传送作为本端链接或真实装置对装置(例如，同级间(peer to peer))通信，或可经由商业实体子系统400(例如，经由识别管理系统部件470)传送。可实现此类讯息传送作为低延时解决方案，其可允许依结构化格式(例如，协议缓冲区(protocol buffer))和/或非结构化格式进行数据交换。如果在接收到IDS讯息时未正在执行IDS应用程序103c，可自动唤醒IDS应用程序103c。IDS应用程序103c可操作以呈现适当的用户接口及指引经接收的IDS通信所请求的数据回传至正在请求的装置。主机装置的IDS应用程序103c可操作以当检测到来自客户端装置的初始请求时唤醒卡管理应用程序103b的卡管理精灵应用程序103a，其可允许主机装置在低功率“睡眠”模式中操作。除此之外或作为另外一种选择，IDS应用程序103c可操作以管理用于此请求的“逾时”，使得如果来自客户端装置的付款请求在主机装置上无动作达一段时期(例如，60秒，归因于无响应于此请求的主动主机装置用户互动)时，接着IDS应用程序103c可操作以确定终止该请求，这会导致主机装置产生并递送“取消”状态回到客户端装置，其会显示适当的讯息(例如，显示“超时错误”给客户端装置的用户)。

图3及图3A至图3D的说明

如图3中所展示，且如下文所更详细描述，电子装置100的特定实例可以是手持式电子装置，诸如iPhone^TM，其中外壳101可允许存取各种输入部件110a至110i、各种输出部件112a至112c、及各种I/O部件114a至114d，装置100及用户和/或周边环境可透过此类部件彼此接合。例如，触控屏幕I/O部件114a可包括显示输出部件112a及相关联的触控输入部件110f，其中可使用显示输出部件112a以显示可允许用户与电子装置100互动的视觉或图形用户接口(“GUI”)180。GUI 180可包括可显示在显示输出部件112a的所有或一些区域中的目前执行中应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的各种层、窗口、画面、模板、元件、选单、和/或其他部件。例如，如图3中所展示，GUI 180可被配置成显示具有GUI 180的一个或多个图形元素或图标182的第一画面190。选择特定图标182时，装置100可被配置成开启与那个图示182相关联的新应用程序，并显示与那个应用程序相关联的GUI 180的相对应画面，诸如商家在线资源应用程序。例如，当装置100的用户选择标记有“商家应用程序”文字指示符181(即，特定图示183)的特定图标182时，装置100可启动或以其他方式存取特定第三方商家应用程序(例如，原生应用程序或混合式应用程序)。举另一实例，当装置100的用户选择标记有“因特网”文字指示符(即，特定图示184)的特定图标182时，装置100可启动或以其他方式存取因特网浏览器应用程序，其可导向至特定第三方商家的Web资源的URL，用于提供另一类型商家在线资源给装置100。当存取任何合适的商家在线资源时，装置100可操作以显示特定用户接口的画面，其可包括用于以特定方式使用装置100来与那个商家在线资源互动的一个或多个工具或特征(例如，请参见图3A至图3D，图中展示在使用任何合适的应用程序(例如，商家在线资源113)期间，GUI 180的此类显示的特定实例)，装置用户可使用该一个或多个工具或特征来实行装置100的任何安全功能性(例如，使用装置100的NFC部件120的凭据(例如，凭据SSD 154a的凭据)来付款给商家子系统200))。对于各应用程序，画面可显示在显示输出部件112a上，且可包括各种用户接口元素。除此之外或作为另外一种选择，对于各应用程序，可经由装置100的各种其他输出部件112提供各种其他类型的非视觉信息给用户。例如，在一些实施例中，装置100可不包括操作以提供GUI的用户接口部件，而是可提供音频输出部件及机械或其他合适的用户输入部件，用于选择及认证付款凭据的使用，以用于提供一交易的资金或用于实行装置的任何其他合适的安全功能性。

图4的说明

现在参考图4，图4展示关于系统1的商业实体子系统400的特定实施例的进一步细节。如图4中所展示，商业实体子系统400可以是安全平台系统，且可包括安全行动平台(“SMP”)代理人部件440、SMP受信任服务管理员(“TSM”)部件450、SMP密码编译服务部件460、识别管理系统(“IDMS”)部件470、诈骗系统部件480、硬件安全性模块(“HSM”)部件490、商店部件420、和/或一个或多个服务器410。可使用下列各自来实施商业实体子系统400的部件、一些部件或全部部件：一个或多个处理器部件，其可相同于或相似于装置100的处理器部件102；一个或多个内存部件，其可相同于或相似于装置100的内存部件104；和/或一个或多个通信部件，其可相同于或相似于装置100的通信部件106。可相异于且独立于金融机构子系统350和/或商家子系统200的单一商业实体(例如，Apple Inc.)可管理、拥有、至少部分控制和/或以其他方式提供商业实体子系统400的部件、一些部件或全部部件。商业实体子系统400的部件可彼此互动且与金融机构子系统350和/或电子装置100和/或商家子系统200共同地用于提供新安全性层和/或用于提供更顺畅的使用者体验。

商业实体子系统400的SMP代理人部件440可被配置成使用商业实体用户帐户来管理用户认证。SMP代理人部件440也可被配置成管理在装置100上的凭据的生命周期及配置。SMP代理人部件440可以是可控制装置100上的用户接口元素(例如，GUI 180的元素)的主要端点。终端用户装置的操作系统或其他应用程序(例如，装置100的应用程序103、应用程序113和/或应用程序143)可被配置成呼叫特定应用程序设计界面(“API”)，且SMP代理人440可被配置成处理那等API的请求并响应可导出装置100的用户接口的数据和/或响应可与安全元件145通信(例如，经由介于商业实体子系统400与电子装置100之间的通信路径65)的应用程序协议数据单元(“APDU”)。可由商业实体子系统400经由系统1的受信任服务管理员(“TSM”)(例如，商业实体子系统400与金融机构子系统350之间的通信路径55的TSM)自金融机构子系统350接收此类APDU。商业实体子系统400的SMP TSM部件450可被配置成提供以GlobalPlatform为基础的服务或可用于自金融机构子系统350实行在装置100上的凭据配置操作的任何其他合适的服务。GlobalPlatform或任何其他合适安全频道协议可使此SMPTSM部件450能够恰当地于装置100的安全元件145与TSM之间传送和/或配置敏感性帐户数据，用于介于商业实体子系统400与金融机构子系统350之间的安全数据通信。

SMP TSM部件450可被配置成使用HSM部件490来保护其密钥及产生新密钥。商业实体子系统400的SMP密码编译服务部件460可被配置成提供可提供用于使用者认证和/或系统1的各种部件之间的机密数据传输的密钥管理及密码编译法操作。SMP密码编译服务部件460可利用HSM部件490，用于安全密钥存储和/或不透明密码编译操作。SMP密码编译服务部件460的付款密码编译服务可被配置成与IDMS部件470互动，以撷取与档案上信用卡相关联的信息或与商业实体的用户帐户(例如，Apple iCloud^TM账户)相关联的其他类型商务凭据。此付款密码编译服务可经构型为商业实体子系统400的唯一部件，该部件可在内存中具有描述其用户帐户的商务凭据(例如，信用卡号码)的纯文本(clear text)(例如，非哈希)信息。IDMS部件470可被配置成实现和/或管理介于装置100与另一装置之间的任何合适通信，诸如识别服务(“IDS”)传输(例如，使用商业实体特定服务(例如，Apple Inc.提供的iMessage^TM)。例如，某些装置可自动地或手动地注册此服务(例如，商业实体400的生态系统中的所有装置可自动地注册该服务)。此服务可提供端对端加密机构，在可使用该服务(例如，使用装置100的IDS应用程序103c)发送讯息前，该机构会需要主动注册。商业实体子系统400的IDMS部件470和/或任何其他合适的服务器或部分可操作以识别或以其他方式查询经配置在与给定用户帐户或其他者相关联的任何电子装置上的任何凭据的状态，使得商业实体子系统400可操作以有效率且有效地识别一个或多个非原生付款凭据，非原生付款凭据可供与特定用户帐户相关联的特定客户端装置(例如，商业实体子系统400的家庭帐户的多个装置)使用。商业实体子系统400的商业实体诈骗系统部件480可配置为基于商业实体已知的有关商务凭据和/或用户的数据(例如，基于与随商业实体的用户帐户相关联的数据(例如，商务认凭据信息)、和/或可受控于商业实体的任何其他合适的数据、和/或可不受控于金融机构子系统350的任何其他合适的数据)对商务凭据执行商业实体诈骗检查。商业实体诈骗系统部件480可配置为基于各种因素或临限确定针对凭据的商业实体诈骗计分。除此之外或作为另外一种选择，商业实体子系统400可包括商店420，其可以是提供各种服务给装置100的用户的提供者(例如，用于销售/租借待由装置100播放的媒体的iTunes^TM商店、用于销售/租借供在装置100上使用的应用程序的Apple App Store^TM、用于存储来自装置100的数据和/或使多个用户装置和/或多个用户配置文件彼此相关联的Apple iCloud^TM服务、用于在线购买各种Apple产品的Apple在线商店等)。仅举一实例，商店420可被配置成管理及提供应用程序113至装置100(例如，经由通信路径65)，其中应用程序113可以是任何合适的应用程序，诸如银行业务应用程序、商业商家应用程序、电子邮件应用程序、文字讯息传送应用程序、因特网应用程序、卡管理应用程序、或任何其他合适的通信应用程序。可由商业实体子系统400使用任何合适的通信协议或通信协议的组合，以在商业实体子系统400的各种部件之间进行数据通信(例如，经由图4的至少一通信路径495)和/或于系统1的商业实体子系统400与其他部件之间进行数据通信(例如，于商业实体子系统400与金融机构子系统350之间经由图1的通信路径55，和/或于商业实体子系统400与电子装置100之间经由图1的通信路径65)。

图5的说明

图5是用于验证对安全装置功能性的在线存取的阐释性程序500的流程图。程序500是展示为由电子装置100、商业实体子系统400及商家子系统200实施。然而，应理解，可使用任何其他合适的部件或子系统实施程序500。程序500可提供顺畅的使用者体验：用于安全地且有效率地验证第三方商家子系统200，用于实现由商家子系统200在线存取电子装置100的安全功能性，诸如由商业实体子系统400验证商家子系统200，以用于实现在与商家子系统200的交易(例如，在线付款或非接触式的以接近性为基础的付款)中安全地使用电子装置100上的凭据，或用于实现由商家子系统200自电子装置100安全存取任何其他合适的数据(例如，地点数据、健康数据、或不宜与尚未有效验证的第三方子系统共享的任何其他私人数据或其他者)。虽然可利用用语“商家”来描述商家子系统200和/或其任何特征，诸如商家在线资源或密钥或服务器或终端机或标识符，然而应理解，子系统200可以是由任何合适的第三方实体操作的任何合适子系统(例如，处理子系统(例如，数据处理子系统))，第三方实体可不同于于电子装置100的拥有者或使用者和/或不同于商业(或管理)实体子系统400。例如，商家子系统200可以是任何合适的第三方子系统，其可尝试存取或以其他方式接收电子装置100的安全装置功能性或与电子装置100的安全装置功能性互动(例如，使用商家在线资源加载数据至装置100上(例如，在装置100上配置付款凭据)、接收来自装置100的数据(例如，从装置100存取付款凭据数据或健保数据或地点数据或联系人数据或私密媒体数据)、和/或类似者)。程序500可操作以于装置100与任何合适商家子系统的任何合适Web资源之间实现任何合适数据的更安全且更受信任的通信。程序500可操作以验证任何合适的Web资源或其他在线资源，以在启用此类数据通信前，确保那资源具有与商业实体子系统400的受信任关系。

在程序500的步骤501，商家子系统200可向商业实体子系统400注册。如所提及，商家子系统200的商家在线资源113(例如，原生应用程序、网域/URL、或任何其他合适的Web资源，或甚至可能是商家终端机)可与特定商家标识符167及特定商家密钥157相关联，可依任何合适方式于商家子系统200与商业实体子系统400之间安全地共享特定商家标识符167及特定商家密钥157的每者，并且此关联性可供商业实体子系统400存取(例如，在表格430中)。在一些实施例中，原生应用程序(例如，原生应用程序商家在线资源113)的开发商可使用应用(entitlement)系统，以允许该应用程序存取正在执行该应用程序的电子装置100的安全装置功能性(例如，推送讯息传送(push messaging)、云端存储、安全元件凭据付款等)，其中此类权利可经签署至该应用程序的二进制中作为代码签署(code signing)程序的部分，可需要代码签署程序以实现由商业实体子系统400注册该应用程序(例如，用于部署于应用程序商店420中，和/或用于在表格430中安全地使该应用程序的商家密钥157与商家标识符167相关联)，其中商家标识符167可例如形成该应用程序的权利的一部分。不同于此原生应用程序，Web资源(例如，网站商家在线资源113)可不具有代码签署或不具有可提供(例如，由商业实体子系统400)给可操作以在电子装置100上执行的原生应用程序的相似保护。而是，可在可注册Web资源前先实证那个Web资源的网域的拥有权。对于注册由商家子系统200拥有或以其他方式控制的网站商家在线资源113，在商业实体子系统400注册那个商家在线资源113前(例如，在使特定商家标识符167及特定商家密钥157与那商家在线资源113相关联且于商家子系统200与商业实体子系统400之间共享用于未来由商业实体子系统400存取(例如，在表格430中)前)，必须向商业实体子系统400经实证此类拥有权。例如，为了向商业实体子系统400实证待注册的商家在线资源113的网域的拥有权，可提供该网域的识别至商业实体子系统400，商业实体子系统400可提供任何合适的档案(例如，静态档案，诸如JSON档案)至商家子系统200，商家子系统200可签署那档案(例如，运用共享的商家密钥157)及寄存那档案于待注册的该网域上的熟知路径处，且接着商业实体子系统400可自该网域存取那经签署档案及移除该档案的签署(例如，运用共享的商家密钥157)以确认所存取的档案符合与商家子系统200共享的档案。用于注册Web资源的一些示例性程序可描述于美国专利申请案公开案第2015/0350106号、标题为“Sharing Account Data BetweenDifferent Interfaces To A Service”中，该案的全文以引用方式并入本文中。在步骤502可利用任何合适的一个或多个程序，用于向商业实体子系统400安全地注册商家子系统200的任何合适类型商家在线资源113的有效性(例如，待由电子装置利用的任何原生应用程序、混合式应用程序、Web资源、或甚至商家的商家终端机，无论是否在该装置本端执行、或远程寄存于服务器上、或经定位接近该装置)，由此与商家在线资源113相关联的至少一个商家标识符167及至少一个商家密钥157(例如，对称式或非对称式密钥对)可与商家在线资源113相关联且可供商家子系统200及商业实体子系统400两者存取(例如，在表格430中)用于未来使用，及可依任何合适方式在任何此类程序期间于商家子系统200与商业实体子系统400之间进行任何合适数据通信(例如，使用任何合适的通信协议经由通信路径85传送应用程序113、密钥157、标识符167和/或任何其他合适的数据)。一个或多个商家标识符可与特定商家在线资源113相关联，诸如第一商家标识符167唯一地与特定商家在线资源113相关联，且/或第二商家标识符167与特定商家子系统200的各商家在线资源113相关联。除此之外或作为另外一种选择，一个或多个商家密钥可与特定商家标识符相关联或与特定商家在线资源113相关联。在步骤501的一个或多个例项，所有此类商家密钥与商家标识符的关联性可由商业实体子系统400被存储，或以其他方式可供商业实体子系统400存取(例如，在一个或多个表格430中)。

在程序500的步骤502，可使用经注册商家在线资源于商家子系统200与电子装置100之间进行潜在事务数据通信。例如，在使用者与执行或以其他方式存取商家在线资源应用程序113的装置100互动期间的一些时间点(例如，当使用者正在在线购买商家的货物或服务时，或当使用者使用者正在与医疗专业人员通信时)，可从商家子系统200或从任何其他合适的实体将潜在事务数据传送至装置100，其可指示相关于可发生于装置100与商家(或处理)子系统200的商家(或处理器)之间的潜在安全数据交易的任何合适数据，包括但不限于：(i)特定商家信息，诸如商家在线资源应用程序113的至少一个或各商家标识符167；(ii)特定交易信息，诸如待于装置100与商家子系统200之间共享的特定类型安全数据的识别(例如，用于金融交易的货币及数额(value amount)及付款类型(例如，使用经配置在装置100上的Visa付款凭据付款5美元)、用于健康交易的健保数据的类型及总额(例如，如由装置100所检测或以其他方式获得的特定使用者最近3天的心跳率数据)，和/或类似物)；和/或(iii)唯一的以商家为基础的交易标识符(例如，任何合适的数据元素，诸如多字符文数字符串，其可由商家子系统200随机或唯一地产生用于与正在进行中的交易相关联)。此类潜在事务数据可包括可为必要或至少用于完成安全数据交易的任何合适数目个及类型的数据字段(含或不含相关联的数据)，诸如进行购买的客户的联系人信息字段(例如，电话号码、电子邮件地址、邮件地址)，其中一些字段可经填入且被包括作为此类潜在事务数据的部分，和/或其中一些字段可未经填入作为此类潜在事务数据的部分，但可在程序500的稍后部分期间开放及等待填入。在本文中，步骤502的此类潜在事务数据可称为PKDataRequest或PKPaymentRequest(例如，用于金融交易)。在一些实施例中，用户可不主动与装置100互动，以在步骤502使与商家子系统200相关联的潜在事务数据可供装置100使用。而是，举一实例，装置100可被配置为确定特定产品宜购买并与一个或多个商家互动，以从那个特定产品的至少一个特定商家获得相关联的事务数据(例如，装置100可以是家用电器，其可被配置为确定必须购买的电器用产品(例如，检测洗衣机需要更多洗衣清洁剂，或检测由使用者预设要在特定日期买更多清洁剂的行事历事件)，并可自动识别提供那产品的最佳优惠的特定商家，且可自动使用商家在线资源来与那个商家互动以从那个商家获得用于购买那产品的事务数据)，全部皆自动化且无需由装置100的用户进行任何主动互动。步骤502的潜在事务数据可包括必要的所有数据用于装置100安全地产生和/或提供安全装置数据(例如，适当的付款凭据数据)至商家子系统200，以用于完成与潜在事务数据相关联的安全数据交易(例如，为金融交易提供资金)。在步骤502，可依任何合适方式由商家子系统200将此类潜在事务数据传送至装置100(例如，可使用任何合适的通信协议经由通信路径15，或使用任何合适的通信协议经由介于终端机220与NFC部件120之间的非接触式的以接近性为基础的通信频道，从商家子系统200的服务器210传输此类潜在事务数据至装置100的通信部件106)。

在程序500的步骤504，可起始商家在线资源验证会话。此可响应于电子装置100指示安全数据交易(例如，由步骤502的潜在事务数据所识别的安全数据交易)应发生(例如，响应于装置100的用户选择商家在线资源的GUI元素(例如，单选按钮(radio button))，用于传送使用者想要进行由步骤502的商家在线资源的潜在事务数据所识别的安全数据交易，或自动地基于经满足的任何合适需求(例如，简单地响应于步骤502的潜在事务数据传送至装置100))而发生。当确定运用商家在线资源实行特定安全数据交易的此类意图时，在装置100上的商家在线资源113可操作以产生及发送数据交易请求至卡管理应用程序103b或在装置100上的任何其他合适的装置应用程序，且在步骤504，那个装置应用程序103b可操作以产生及传送商家验证会话起始数据至商家子系统200。在步骤504，可由电子装置100产生和/或将任何合适的数据传送至商家子系统200而作为商家验证会话起始数据，用于起始用于待实行的特定安全数据交易的商家在线资源验证会话。例如，在步骤504，可由电子装置100产生验证会话标识符并且传送至商家子系统200来作为商家验证会话起始数据的至少一部分，其中此验证会话标识符可以是可唯一识别目前正在起始的商家在线资源验证会话的任何合适的文数字符串或任何其他合适的标识符(例如，唯一识别对商家子系统200和/或对商业实体子系统400的此类会话至少达一定时期)。当由电子装置100产生验证会话标识符时，该验证会话标识符关于商业实体子系统400可以是唯一的，这是通过利用装置100的唯一标识符(例如，装置标识符119或装置100的安全元件145的唯一安全元件标识符，其可以是装置100独有的(例如，关于商业实体子系统400))来帮助产生该验证会话标识符。除此之外或作为另外一种选择，在步骤504，质询请求目标标识符(例如，质询请求URL)可从装置100传送至商家子系统200作为商家验证会话起始数据的至少一部分，其中此质询请求目标标识符可识别商家子系统200待与其通信以验证该商家的实体(例如，识别商业实体子系统400的服务器410的URL，其可与商家子系统200合作，用于验证用于待实行的特定安全数据交易的商家在线资源)。装置应用程序(例如，卡管理应用程序103b(例如，钱包应用程序))可具有经编程的此质询请求目标标识符(作为任何合适的操作系统或应用程序更新的部分)，其可受控于商业实体子系统400，使得可由商业实体子系统400在任何合适的时间更新装置100上的质询请求目标标识符。除此之外或作为另外一种选择，此类商家验证会话起始数据可包括任何其他合适的数据，诸如：指示对商家验证其自身的请求的任何合适数据；指示装置100的任何合适数据(例如，装置标识符119)；和/或指示待实行的特定安全数据交易的任何合适数据(例如，来自步骤502的潜在事务数据的任何合适数据，诸如特定商家信息(例如，商家标识符167)、特定交易信息(例如，用于金融交易的货币及数额及付款类型或用于健康交易的健保数据的类型及总额)、和/或唯一的以商家为基础的交易标识符)。在步骤504，可依任何合适方式由装置100传送任何合适的商家验证会话起始数据至商家子系统200(例如，可使用任何合适的通信协议经由通信路径15，或使用任何合适的通信协议经由介于NFC部件120与终端机220之间的非接触式的以接近性为基础的通信频道，从装置100的通信部件106传输此类商家验证会话起始数据至商家子系统200的服务器210)。

在程序500的步骤506，响应于在步骤504商家子系统200接收来自装置100的任何合适商家验证会话起始数据以用于起始验证会话，商家子系统200可操作以与商业实体子系统400通信以验证商家在线资源。在一些实施例中，其中步骤504的商家验证会话起始数据不包括验证会话标识符，商家子系统200可操作以产生可唯一识别经起始的当前商家在线资源验证会话的此验证会话标识符。当由商家子系统200产生验证会话标识符时，该验证会话标识符关于商业实体子系统400可以是唯一的，这可以通过商家子系统200确保至少关于相同商业实体子系统和/或关于相同商家标识符和/或在足以确保会话标识符对于在商业实体子系统处的任何特定程序非系搁置中的一定时期内，不使用相同验证会话标识符两次。步骤506可包括任何合适数目个子程序，此类子程序可使商业实体子系统400能够验证用于待实行的特定安全数据交易的商家在线资源(例如，如在步骤502及504所识别)。如关于在图6的程序600的步骤614至622所详细描述，步骤506的验证可包括商家子系统200传送下列项目至商业实体子系统400(例如，如可通过在步骤504来自装置100的商家验证会话起始数据所识别)：质询请求，其可包括与待验证的商家在线资源相关联的商家标识符(例如，如在步骤501所注册的商家标识符167，其可以是商家在线Web资源的网域)；验证会话标识符(例如，如在步骤504由电子装置100所产生者，或在步骤506由商家子系统200所产生者)；及任何其他合适的数据(例如，识别装置100的数据和/或识别待实行的特定安全数据交易的数据)。可由商家子系统200使用与质询请求的商家标识符相关联的商家密钥(例如，如在步骤501连同商家标识符167一起注册的商家密钥157(例如，用于待验证的商家在线资源113))来签署此质询请求(例如，在HTTP标头中或以其他方式)。商业实体子系统400可操作以接收此质询请求，验证由质询请求的商家标识符167所识别的商家在线资源113(例如，以确认已在步骤501注册商家在线资源113(例如，通过在表格430中识别那商家标识符167)且其仍然有效)，且接着验证该质询请求的签章(例如，使用在表格430中与那个经识别商家标识符167相关联的商家密钥157)。响应于验证质询请求的部件，商业实体子系统400可：产生质询数据(例如，经由熵(entropy)的任何合适随机资料)；依任何合适的数据结构(例如，表格430或以其他方式)对照标识符数据(例如，质询请求的验证会话标识符及商家的商家标识符的一者或两者)来存储该质询数据；使用可由商业实体子系统400存取的商家密钥157来加密该质询数据(例如，来自表格430的用于验证该质询请求的签章的商家密钥)；及接着将质询数据传送至商家子系统200，该质询请求可包括经加密质询数据连同任何其他合适的数据，诸如用于加密该质询数据的该商家密钥的哈希(例如，表格430的公开商家密钥157的哈希版本，其可由商家子系统200用来识别恰当的商家密钥157(例如，用于解密该质询数据的商家子系统200的私钥157)，可提供哈希版本以辅助可具有多个经注册商家在线资源和/或多个商家密钥的商家)；该质询请求的验证会话标识符；和/或类似物。响应于接收此类质询数据，商家子系统200可操作以使用适当的商家密钥157来解密经加密质询数据(例如，在商家子系统200处的私密商家密钥157，如可已在步骤501注册)，并接着将质询响应数据(包括经解密的质询数据连同任何其他合适的数据，诸如质询请求的验证会话标识符及适当的商家标识符)传送至商业实体子系统400，其中可由商家子系统200使用与质询请求的商家标识符相关联的商家密钥(例如，如在步骤501所注册的商家密钥157与商家标识符167(例如，用于待验证的商家在线资源113))来签署那个质询响应(例如，在HTTP标头中或以其他方式)。响应于接收此类质询响应数据，商业实体子系统400可操作以验证该质询响应的签章(例如，使用在表格430中与所识别商家标识符167相关联的商家密钥157)，并确认该质询响应的经解密质询数据系对照该质询响应的验证会话标识符和/或对照商家的标识符经存储(例如，在表格430中)。在一些实施例中，介于该质询数据与验证会话标识符及商家标识符的一者或两者之间的此所存储连结可在自动清除该连结前维持达仅一段有限时间量，使得商家子系统200会受限于必须在一定持续时间内接收质询数据并接着发送适当的质询响应数据至商业实体子系统400，用于验证针对特定验证会话的商家在线资源(例如，商业实体子系统400可操作以在一定时期之后移除在商业实体子系统400处的介于该质询数据与验证会话标识符和/或商家标识符之间的此关联性(例如，在建立该连结后不超过10分钟(或任何其他合适的时期)即自表格430移除该链接)，其可增加交易安全性。因此，可使用在商业实体子系统400处的介于商家密钥与商家标识符之间的关联性(例如，如在步骤501所注册者)来完成在步骤506的用于待实行的特定安全数据交易(例如，如在步骤502及504所识别)的商家在线资源的验证。在步骤506可依任何合适方式于商家子系统与商业实体子系统400之间进行任何合适的数据通信(例如，可使用任何合适的通信协议经由通信路径85，于商家子系统200的服务器210与商业实体子系统400的服务器410之间传输此类数据)。

在步骤508，回应于在步骤506基于在步骤504起始的验证会话来验证商家在线资源，商业实体子系统400可产生验证数据并对照标识符数据(诸如该验证会话的该验证会话标识符和/或商家标识符)来存储该验证数据。例如，响应于验证该质询响应的签章及响应于确认在商业实体子系统400处(例如，在表格430中)还恰当地连结该质询响应的质询数据及验证会话标识符和/或商家标识符，在步骤508，商业实体子系统400可：耗用那个链接(例如，移除在商业实体子系统400处的介于质询数据与验证会话标识符和/或商家标识符之间的此关联性(例如，自表格430移除该链接))；产生验证数据(例如，任何合适的随机数据(例如，密码编译临时值(nonce)(例如，经由熵的任何合适随机数据)))；并接着对照质询请求的验证会话标识符和/或质询响应的验证会话标识符来存储该验证数据，或以其他方式使该验证数据与质询请求的验证会话标识符和/或质询回应的验证会话标识符相关联，和/或对照商家的商家标识符来存储该验证数据(例如，依任何合适的数据结构(诸如表格430)或以其他方式)。

在步骤510，响应于在步骤506验证商家在线资源并接着在步骤508对照验证会话标识符和/或商家标识符来存储任何合适的验证数据，商业实体子系统400可将验证响应数据传送至电子装置100，其中此类验证响应数据可包括任何合适的数据，包括但不限于：步骤508的验证数据；步骤508的验证会话标识符；识别在步骤506所验证的商家在线资源的数据(例如，商家标识符167)；和/或任何其他合适的数据。在一些实施例中，如图5中所展示，可自商业实体子系统400直接将此类验证响应数据传送至电子装置100(例如，使用任何合适的通信协议经由通信路径65)，其中识别电子装置100的数据(例如，装置标识符119)可与验证会话标识符相关联(例如，在步骤502或以其他方式)且通过步骤506的验证而相关联，使得商业实体子系统400可将该验证响应数据传送至恰当的电子装置100。替代地，在一些实施例中，可经由商家子系统200从商业实体子系统400将此类验证响应数据传送至电子装置100，由此商家子系统200可接收来自商业实体子系统400的验证响应数据(例如，使用任何合适的通信协议经由通信路径85)并接着传递该验证响应数据的至少一部分至电子装置100上(例如，使用任何合适的通信协议经由通信路径15或作为非接触式的以接近性为基础的通信)。可由商业实体子系统400使用与商业实体子系统400相关联的存取密钥(例如，存取密钥155a、存取密钥155b、CRS 151k、和/或安全元件145的ISD密钥156k，或装置应用程序(例如，卡管理应用程序103b)可已知的任何密钥)来签署此类验证数据(例如，在HTTP标头中或以其他方式)，电子装置100也可存取该存取密钥，使得装置100可在接收到该经签署验证数据后验证签章，以确认商业实体子系统400产生该验证数据，而非不受电子装置100信任的另一实体子系统产生该验证数据。

在程序500的步骤512，安全装置数据可至少部分由装置100产生或存取，且接着在步骤514，此类安全装置数据连同在步骤510所接收的验证响应数据的至少一部分及步骤502的潜在事务数据的至少一部分可由装置100传送至商业实体子系统400作为装置事务数据。例如，响应于在步骤510接收验证响应数据(其可指示被用于步骤502的潜在事务数据的商家在线资源的有效性)，装置100可操作以在步骤512获得或以其他方式识别待与商家子系统200共享的安全数据以用于实行特定安全数据交易(例如，产生付款凭据数据用于在金融交易中使用，或收集待在健康交易中共享的特定健康资料)。接着，在步骤514，装置100可传送步骤512的那安全数据连同步骤510的验证响应数据的验证数据及验证会话标识符及商家标识符和/或连同与待实行的潜在安全数据交易相关的任何合适资料(例如，如可由步骤502的潜在事务数据提供至装置100者，诸如特定商家信息(例如，商家标识符167)、特定交易信息(例如，用于金融交易的货币及数额及付款类型，或用于健康交易的健保数据的类型及总额)、和/或唯一基于商家的交易标识符)作为至商业实体子系统400的装置事务数据。因此，在步骤514从装置100传送至商业实体子系统400的装置事务数据可包括步骤502的潜在事务数据以及步骤512的安全装置数据以及步骤510的验证响应数据的一些或全部。

在步骤514将装置事务数据传送至商业实体子系统400前，装置100可运用商业实体密钥来加密步骤514的装置事务数据的全部或至少一部分(例如，步骤512的安全装置数据)。例如，装置100可运用存取密钥155a、存取密钥155b、CRS 151k、CASD 158k、和/或安全元件145的ISD密钥156k或装置100可存取的任何其他密钥来加密装置事务数据的至少一部分(例如，从任何装置应用程序103至处理器102或以其他方式)，商业实体子系统400也可存取此类密钥(例如，介于装置100与商业实体子系统400之间的任何共享秘密)。在一些实施例中，此商业实体密钥或存取密钥可以是与商业实体子系统400的方案相关联的商业实体公钥且其的商业实体子系统400可存取相关联的商业实体私钥。商业实体子系统400可依任何合适方式来提供此商业实体公钥至装置100。在步骤540可由装置100依任何合适方式来将装置事务数据(无论是否通过任何合适的商业实体密钥来至少部分加密和/或签署)传送至商业实体子系统400(例如，可使用任何合适的通信协议经由通信路径65，从装置100的通信部件106传输此类装置事务数据至商业实体子系统400的服务器410)。

接下来，在接收在步骤514传送的装置事务数据后，程序500的步骤516可包括商业实体子系统400验证在步骤514接收的所接收的装置事务数据的验证数据。例如，响应于接收此类装置事务数据，在步骤516，商业实体子系统400可操作以识别来自那个装置事务数据的验证响应数据，并确认那个所接收的验证响应数据的验证数据是对照所接收的装置事务数据的验证会话标识符(例如，验证响应数据)和/或对照所接收的装置事务数据的商家标识符(例如，验证响应数据)经存储(例如，在表格430中)。在一些实施例中，介于该验证数据与验证会话标识符及商家标识符的一者或两者之间的此所存储连结可在自动清除该连结前维持达仅一段有限时间量，使得电子装置100会受限于必须在一定持续时间内在步骤510接收验证响应数据并接着在步骤514发送装置事务数据至商业实体子系统400，用于实现由商业实体子系统400保护那个装置事务数据的安全装置数据的安全，以用于运用经验证商家在线资源实行特定安全数据交易(例如，商业实体子系统400可操作以在一定时期之后移除在商业实体子系统400处的介于验证数据与验证会话标识符和/或商家标识符之间的此关联性(例如，在建立该连结后不超过10分钟(或任何其他合适的时期)即自表格430移除该链接)，其可增加交易安全性。除此之外或作为另外一种选择，在步骤508也可使介于该验证数据与验证会话标识符及商家标识符的一者或两者之间的所存储连结与任何合适的特定交易信息(在步骤506期间可通过商家子系统200使那特定交易信息可供商业实体子系统400使用)相关联(例如，作为质询请求的一部分)，诸如待共享于装置100与商家子系统200之间的特定类型安全数据的识别(例如，用于金融交易的货币及数额及付款类型(例如，使用经配置在装置100上的Visa付款凭据付款5美元)、用于健康交易的健保数据的类型及总额(例如，由装置100所检测或以其他方式获得的特定使用者最近3天的心跳率数据)，和/或类似物)，及也可通过电子装置100使相似特定交易信息可供商业实体子系统400使用作步骤514的装置事务数据的一部分，使得步骤516也可包括商业实体子系统400确认目前对照在步骤514所接收的验证数据所存储的特定交易信息(例如，如在步骤508存储在表格430中者)在特定程度上至少相似于在步骤514所接收的特定交易信息，其可增加交易安全性。例如，如果在步骤508对照与指示5美元金融交易的潜在交易相关联的特定交易信息来存储特定验证数据，但是接着在步骤514由商业实体子系统400连同那特定验证数据一起接收的特定交易信息指示2,000美元的金融交易，则归因于介于5美元与2,000美元之间的差异量值大于特定临限(例如，超过5％差值)，商业实体子系统400可操作以不验证该装置事务数据的该验证数据。因此，即使在商业实体子系统400处确认在步骤514所接收的装置事务数据的验证数据及验证会话标识符和/或商家标识符为经主动链接(例如，在表格430中)，如果该装置事务数据未满足可与那链接相关联的其他数据，则该验证数据仍可不被验证(例如，如果在验证步骤506期间识别的安全数据交易的任何合适特性与步骤514的装置事务数据中所识别的任何合适特性相差达任何合适的量(例如，相差超过金融交易货币值的10％、相差超过健康数据的时间框架的10％、健康数据的类型系不同等))。

在程序500的步骤518，响应于在步骤516验证该装置事务数据的该验证数据，商业实体子系统400可通过使用与商家子系统200的共享秘密至少加密在步骤514所接收的装置事务数据的安全装置数据来进一步保护装置事务数据的安全装置数据的安全，使得商家子系统200以外的任何实体无法接收及利用该安全装置数据。例如，响应于在步骤516通过确认装置事务数据的验证数据及验证会话标识符和/或商家标识符还在商业实体子系统400处恰当地链接(例如，在表格430中)而验证装置事务数据的验证数据，商业实体子系统400可耗用那链接(例如，移除在商业实体子系统400处的介于验证数据与验证会话标识符和/或商家标识符之间的此关联性(例如，自表格430移除该链接))并进行至步骤518以用于进一步保护装置事务数据的安全装置数据的安全。如果步骤514的装置事务数据经用任何商业实体密钥被加密，则在步骤518，商业实体子系统400可操作以解密此类数据(例如，商业实体子系统400的服务器410可接收装置事务数据并接着解密/移除签署那装置事务数据(例如，用存取密钥155a、存取密钥155b、CRS 151k、CASD158k，和/或商业实体子系统400的ISD密钥156k))。通过依已使用装置100及商业实体子系统400两者已知的商业实体密钥加密/签署的形式来在装置100与商业实体子系统400之间进行装置事务数据通信，程序500可抑制那装置事务数据的通信被不具有商业实体密钥的存取权的实体拦截及使用。另外，在步骤518，商业实体子系统400可操作以用商家密钥(例如，商家密钥157，其可与正在提供该特定交易的资金所针对的商家子系统200相关联)来加密或以其他方式重新格式化装置事务数据的至少一部分。商业实体子系统400可经由表格430来确定及存取此商家密钥(例如，通过识别与步骤514的装置事务数据的商家标识符相关联的商家密钥)。在步骤518，可由商业实体子系统400接收及利用该商家标识符以识别可由商业实体子系统400存取的许多商家密钥的特定者(例如，商家密钥157，透过充分利用商业实体子系统400的表格430)，且接着商业实体子系统400可使用那个经识别的商家密钥来用于加密该装置事务数据的至少一部分(例如，至少装置事务数据的安全装置数据)。通过用此商家密钥(例如，可以是商业实体子系统400及商家子系统200已知的密钥，而非电子装置100或系统1的任何其他子系统已知的密钥)来加密此类安全装置数据，使得此类安全装置数据的安全可受到保护而可自商业实体子系统400安全地传送至商家子系统200，而不会被另一实体拦截而用于非预定用途。在步骤518由商业实体子系统400利用来至少加密装置事务数据的安全装置数据的商家密钥可以是与在步骤506验证商家在线资源期间由商业实体子系统400用来加密该质询数据的商家密钥相同的密钥(例如，非可供装置100或除商业实体子系统400及商家子系统200外的任何子系统使用的密钥)。因此，商业实体子系统400可操作以使用最近在安全数据交易特定的商家验证会话期间已通过商业实体子系统400验证的商家在线资源促进介于装置100与商家子系统200之间的安全数据交易(例如，步骤504及506的验证会话以及步骤516及518的安全数据交易可使用主动或以其他方式启用达一段有限时间量的相同验证会话标识符(例如，介于验证会话标识符与质询数据之间的链接和/或介于验证会话标识符与验证数据之间的链接可在商业实体子系统400处有效达一段有限时间量(例如，任何合适的时间量，诸如介于30秒与10分钟之间))，其可增加交易安全性)。

接下来，在步骤520，程序500可包括商业实体子系统400将步骤518的经保护安全的安全装置数据传送至装置100来作为经保护安全的事务数据。例如，在步骤520，可使用任何合适的通信协议经由通信路径65，将装置事务数据的此类经商家密钥加密的安全装置数据作为经保护安全的事务数据的至少一部分，从商业实体子系统400传输至装置100。此类经保护安全的事务数据除包括该经商家密钥加密的安全装置数据外，也可包括任何合适的数据，诸如与交易相关联的步骤502的任何合适的数据，包括但不限于：(i)特定商家信息，诸如商家标识符的识别，其可识别提供步骤502的潜在事务数据的特定商家子系统200；(ii)特定交易信息，诸如用于支付金融交易的特定货币或金额的识别；(iii)唯一的以商家为基础的交易标识符(例如，如由商家子系统200产生用于与正在进行中的交易相关联)；(iv)唯一的以装置为基础的交易标识符(例如，如由电子装置100所产生用于与正在进行中的交易相关联)；(v)该验证会话标识符，和/或类似物。因此，在步骤520自商业实体子系统400传送至装置100的经保护安全的事务数据可包括步骤502的潜在事务数据的一些或全部以及经保护安全的安全装置数据。

接下来，在程序500的步骤522，装置100可接收在步骤520从商业实体子系统400传送的经保护安全的事务数据且可依任何合适方式来与商家子系统200共享那经保护安全的事务数据。例如，可使用任何合适的通信协议经由通信路径15和/或作为介于NFC部件120与商家终端机220之间的非接触式的以接近性为基础的通信，从装置100的通信部件106传输此类经保护安全的事务数据至商家子系统200的服务器210。在步骤522可由装置100传送至商家子系统200的经保护安全的事务数据(例如，使用商家在线资源113(例如，相同于在步骤502使用的资源))除包括步骤520的经商家密钥加密的安全装置数据外，也可包括任何合适的数据，诸如与交易相关联的任何合适的数据，包括但不限于：(i)特定商家信息，诸如商家标识符的识别，其可识别提供步骤502的潜在事务数据的特定商家子系统200；(ii)特定交易信息，诸如用于支付金融交易的特定货币或金额的识别；(iii)唯一的以商家为基础的交易标识符(例如，如由商家子系统200产生用于与正在进行中的交易相关联)；(iv)唯一的以装置为基础的交易标识符(例如，如由电子装置100所产生用于与正在进行中的交易相关联)；(v)该验证会话标识符，和/或类似物。因此，在步骤522与商家子系统200共享的经保护安全的事务数据可包括步骤502的潜在事务数据的一些或全部以及步骤518的至少该经商家密钥加密的安全装置数据。通过在步骤522传送经保护安全的事务数据的经商家密钥加密的安全装置数据，程序500可实现此类经商家密钥加密的安全装置数据至商家子系统200的通信以用于促进特定安全数据交易，同时防止在步骤512由装置100所产生或以其他方式识别的安全装置数据被不具有该商家密钥的存取权的商家(或处理器)实体(例如，除系统1的商家子系统200外的商家子系统或任何其他子系统)使用。替代地，虽然未展示，可依任何合适方式(例如，使用任何合适的通信协议经由通信路径85)来从商业实体子系统400直接将此类经保护安全的事务数据传送至商家子系统200(而非在步骤520及522经由装置100进行传送)，其中商业实体子系统400可充分利用步骤514的装置事务数据的任何商家标识符来识别目标商家子系统200。在已由商家子系统200接收经保护安全的事务数据的经商家密钥加密的安全装置数据后，程序500可包括商家子系统200利用那经商家密钥加密的安全装置数据以用于任何合适的用途(例如，任何合适的安全装置数据处理或处置)。

应理解，图5的程序500中展示的步骤仅是阐释性，且可修改或省略现有步骤、可新增附加步骤、并且可改变某些步骤的顺序。应理解，如果程序500的任何验证步骤失败，此类失败可传送至一个或多个合适的实体。例如，如果在步骤506商家在线资源的验证失败和/或如果在步骤516验证数据的验证失败，可由商业实体子系统400与电子装置100共享此类失败，使得装置100可取消与商家子系统200的潜在交易且有可能从装置100移除商家在线资源。在装置100的用户可选取某些安全数据以用于在步骤512的安全数据交易后，程序500的其余步骤可对那个使用者透通地发生(例如，步骤514至522可发生而无需任何与装置100的进一步用户互动且对装置100的用户而言如同瞬时)。在步骤512后，程序500对装置100的用户而言看来像是安全装置数据是自动且瞬间地发送至商家子系统200并且可对装置100确认交易状态(例如，通过商家子系统200和/或商业实体子系统400)。除此之外或作为另外一种选择，商家在线资源的验证可对装置100透通地发生(例如，步骤506至510(如果未还含步骤504)可发生而无需任何与装置100的用户互动，且步骤502之后对装置100的用户而言如同瞬时)。替代地，在一些实施例中，程序500可对装置100的用户完全透通地发生(例如，其中装置100可被配置成自动确定何时宜发生安全装置交易及自动接收验证响应数据、和/或自动发送装置事务数据、和/或自动接收和/或发送经保护安全的事务数据以用于安全装置交易，而无需与装置100的任何主动使用者互动)。

图6的说明

图6系用于验证对安全装置功能性的在线存取的阐释性程序600的流程图，用于进行金融交易。程序600是展示为由电子装置100、商家子系统200、收单银行子系统300、商业实体子系统400、及金融机构子系统350实施。然而，应理解，可使用任何其他合适的部件或子系统实施程序600。程序600可提供顺畅使用者体验，用于使用来自装置100的付款凭据安全地且有效率且进行与商家子系统200的金融交易。为了有助于下文关于用于根据图6的程序600进行金融交易的系统1的操作的论述，参考图1至图4的示意图的系统1的各种部件，及参考图3至图3D的画面190至190d的前视图，其可代表在此交易期间装置100的图形用户接口(例如，如可由装置100的商家在线资源113或任何合适的应用程序提供的GUI)。可使用广泛多样的图形元素及视觉方案来达成所描述的操作。因此，图3至图3D的实施例非意欲受限于本文采用的精确用户接口惯例。而是，实施例可包括广泛多样的用户接口样式。虽然至少部分地在验证商家子系统200以用于实现由商家子系统200存取电子装置100的安全付款功能性的内容脉络中来描述程序600的步骤，然而应理解，可利用程序600的许多(如果非全部)部分以用于验证任何合适的第三方子系统，用于实现由那个第三方子系统存取装置100的任何安全功能性(例如，地点数据、健康数据、或不宜与尚未有效地经验证的第三方子系统共享或自尚未有效地经验证的第三方子系统接收的任何其他私人数据或其他)。

程序600可开始于步骤602，在此步骤可由商业实体子系统400在装置100上配置存取数据652(例如，图1A的存取数据652)。例如，可自商业实体子系统400的服务器410将存取SSD(例如，SSD 154b)配置在装置100的安全元件145上作为存取数据652，以更安全地使装置100能够与商家子系统200进行交易。如所提及，可直接自商业实体子系统400将存取SSD154b至少部分地配置在装置100的安全元件145上(例如，作为经由介于商业实体子系统400的服务器410与装置100的通信部件106之间的通信路径65的存取数据652，其接着可自通信部件106传递至安全元件145(例如，经由总线118))。存取数据652经由路径65可经配置在装置100的安全元件145上作为存取SSD154b的至少一部分或全部，且可包括存取小应用程序153b和/或存取密钥155b。可在最初构型装置100时至少部分地实行步骤602(例如，在装置100出售给用户前，由商业实体子系统400实行)。替代地或此外，可响应于装置100的用户一开始设定NFC部件120的安全元件145而至少部分实行步骤602。除此之外或作为另外一种选择，存取数据652可包括用于安全元件145的ISD 152的ISD密钥156k，且可除使用存取密钥155b外或作为密钥155的替代而使用ISD密钥156k，用于实现介于商业实体子系统400与装置100之间的安全传输。除此之外或作为另外一种选择，存取数据652可包括装置100的安全元件145的CRS 151的CRS 151k和/或CASD 158的CASD 158k，并可除使用存取密钥155b和/或存取密钥155a和/或ISD密钥156k外或作为存取密钥155b和/或存取密钥155a和/或ISD密钥156k的替代而使用，用于实现介于商业实体子系统400与装置100之间的安全传输(例如，用作介于商业实体子系统400与装置100之间的任何合适的商业实体密钥或共享秘密)。替代地或此外，存取数据652可包括介于商业实体子系统400与装置100之间的任何其他合适的商业实体密钥或共享秘密，其可未存储于装置100的安全元件上，而是可供装置100的其他部分(诸如处理器102)经由内存104存取。

在程序600的步骤604，金融(或发行方或交易)机构子系统350可在装置100上配置凭据数据654(例如，图1A的凭据数据654)，在一些实施例中是经由商业实体子系统400。例如，此类凭据数据654可直接从金融机构子系统350至少部分配置在装置100的安全元件145上(例如，经由介于金融机构子系统350与装置100之间的图1A的通信路径75，其可经由通信部件106传递至安全元件145)。除此之外或作为另外一种选择，此类凭据数据654可自金融机构子系统350经由商业实体子系统400至少部分地配置在装置100的安全元件145上(例如，经由介于金融机构子系统350与商业实体子系统400之间的图1A的通信路径55，其可经由介于商业实体子系统400的服务器410与装置100的通信部件106之间的图1A的通信路径65传递至装置100而作为凭据数据654，其接着可从通信部件106传递至安全元件145(例如，经由总线118))。凭据数据654经由路径75和/或经由路径65可经配置在装置100的安全元件145上作为凭据SSD 154a的至少一部分或全部，且可包括含凭据信息161a和/或凭据密钥155a'和/或密钥155ak的凭据小应用程序153a。可在装置100的用户选择待配置在装置100上的特定凭据时至少部分地实行步骤604。在一些实施例中，凭据数据654也可包括存取密钥155a，其可于最初自商业实体子系统400提供至金融机构子系统350和/或可由商业实体子系统400新增。在一些实施例中，此类凭据数据654可包括：主要帐户号码，其作为经配置的付款凭据的凭据信息的至少一部分(例如，小应用程序153a的凭据信息161a)；AID(例如，经配置在SSD 154a处的付款凭据的数据的小应用程序153a的AID 155aa)；SSD标识符；和/或SSD计数器。

经配置在装置100上的凭据数据可包括用那个凭据进行付款所必须的所有数据(当那个凭据是金融或付款凭据时)，例如，诸如主要帐户号码(“PAN”)、卡安全性码(例如，卡验证码(“CVV”))、PAN到期日期、与该凭据相关联的名称、及类似者，以及可供装置100操作以产生适当的密码编译数据的其他数据(例如，任何合适的共享秘密及可至少部分通过该共享秘密确定其的功能输出的任何合适的密码编译算法或加密法)。“虚拟”凭据或虚拟PAN或装置PAN(“D-PAN”)可配置在装置100上，而非使用者的“实际”凭据或实际PAN或资金PAN(“F-PAN”)。例如，一旦确定凭据待配置在装置100上，则可(例如，由金融机构子系统350、由商业实体子系统400、和/或由装置100的用户)请求虚拟凭据(而非实际凭据)被产生、连结至该实际凭据、及配置在装置100上。与实际凭据的虚拟凭据的此类建立及链接可由金融机构子系统350的任何合适的部件来执行。例如，付款网络子系统360(例如，可与该实际凭据的品牌相关联的特定付款网络子系统360)可定义及存储可建立介于该实际凭据与虚拟凭据之间的关联性的虚拟链路表格312(例如，如图1A中所展示)，使得在由装置100利用虚拟凭据来用于与商家子系统200的金融交易(例如，经配置在装置100上之后)的任何时间，付款网络子系统360可接收授权或验证请求或以其他方式尝试验证任何所接收的指示那个虚拟凭据的数据(例如，在步骤640响应于在步骤638接收数据688)并可按照如通过表格312所确定的与该虚拟凭据相关联的该实际凭据来分析那验证尝试请求。替代地，可由适当的发行银行子系统370或可由金融机构子系统350可存取的任何其他合适的子系统来存取和/或同样地充分利用此表格。通过在装置100上配置虚拟凭据(而非实际凭据)，金融机构子系统350可被配置为限制当虚拟凭据被未经授权用户拦截时可导致的诈骗活动，此是因为付款网络子系统360可仅被配置为在某些交易期间利用用于链接该虚拟凭据至该实际凭据的表格312。

在程序600的步骤606，商业实体子系统400可注册商家子系统200。例如，如关于在程序500的步骤501所描述，在步骤606，商家子系统200的商家在线资源113(例如，原生应用程序、网域/URL、或任何其他合适的Web资源，或甚至可能是商家终端机)可与至少特定商家标识符167及至少特定商家密钥157相关联，可依任何合适方式在商家子系统200与商业实体子系统400之间安全地共享至少一个特定商家标识符167及至少一个特定商家密钥157的每者，并且此关联性可供商业实体子系统400存取(例如，在表格430中)，使得可向商业实体子系统400注册商家在线资源113。在一些实施例中，为了参与在线资源付款计划，会要求商家注册作为由商业实体子系统400的商业实体执行的计划的成员和/或获得商家凭证。在没有凭证或其他合适的注册证明的情况中，商家无法接收付款数据。无论如何或在何处，可产生和/或管理此类(一个或多个)商家密钥和/或(一个或多个)商家标识符，商家子系统200及商业实体子系统400两者可存储任何商家密钥对的商家密钥的版本(例如，存储在商家子系统200及商业实体子系统400的各自的安全元件中)。此可实现介于商业实体子系统400与商家子系统200之间的共享秘密，用于在那些之间安全地传送数据。在一些实施例中，装置100可具备此商家密钥以用于运用在装置100上的那个密钥安全地加密付款数据。

在程序600的步骤608，装置100可存取商家的在线资源658(例如，图1A的商家在线资源113(例如，如在步骤606所注册者))。如图1A中所展示商家的资源应用程序113可从商业实体子系统400(例如，从应用程序商店420)加载至装置100上。例如，如图3中所展示，装置100的用户可使用I/O部件114a的触控屏幕输入部件110f来选择GUI 180的特定画面190的“商家应用程序”图标183，且可由装置100识别此选择作为一起始事件，用于提供该使用者与商家第三方应用程序113(例如，至少部分地在装置100上执行的原生应用程序，如可已由装置100经由商业实体子系统400所存取者(例如，作为应用程序商店420的经注册商家在线资源))互动的能力。替代地或此外，可由装置100直接从商家子系统200存取此商家的资源658(例如，经由服务器210或终端机220)。响应于商家应用程序图标的此选择，GUI可提供交互式画面，其中装置100可令用户能够与应用程序113互动(例如，以细阅可自该商家购得的品项以进行购买，或确定要与该商家共享的某些健康数据或地点数据或其他)。替代地，步骤608可包括装置100使用以下列来从商家子系统200存取作为商家Web资源的商家的资源658(例如，经由商家服务器210或至少部分受控于商家实体的任何服务器)：装置100的因特网应用程序(其也可通过“因特网”图示(例如，图3的GUI 180的特定画面190的图示184)来选择)、或具有Web检视的混合式应用程序(用于提供该使用者与商家的网页或其他Web资源互动的能力，而非与商家的第三方原生应用程序互动)。替代地，步骤608可包括在没有主动使用者输入的情况下对作为商家在线资源113的资源658的任何合适的自动存取(例如，装置100可操作以响应于检测任何合适的事件而自动与资源658互动，诸如自主式家用电器装置100检测其正在特定供应为低的情况下执行(例如，洗衣机装置100响应于检测到低的洗衣清洁剂供应))。

接下来，在步骤610，装置100可接收来自所存取的商家资源的潜在事务数据660(例如，如关于在程序500的步骤502所描述)。例如，如图1A中所展示，当装置100正在与商家的资源113(例如，商家的第三方应用程序或网站或任何其他合适的在线资源(例如，资源658))互动时，可从商家子系统200(例如，从商家服务器210)将潜在事务数据660提供至装置100。替代地或此外，可由装置100经由装置100本端的应用程序113本端地存取潜在事务数据660的至少一部分(例如，当应用程序113存储于内存部件中或正由装置100的处理器102执行时)，而非在步骤610从商家服务器210主动发送数据至装置100。例如，当应用程序113可最初存储在装置100上时(例如，在步骤608，作为商家的资源658(例如，自应用程序商店420加载))，潜在事务数据660的至少一些可由最初存储的应用程序113被产生而无由商家子系统200提供至装置100的任何附加信息。潜在事务数据660可包括指示发生于装置100的用户与商家子系统200的商家之间的潜在金融交易的任何合适特性的任何合适数据，包括但不限于：(i)特定商家信息，诸如唯一商家标识符(例如，收单银行商家标识符和/或商业实体商家标识符(例如，商家标识符167，如可在步骤610注册者))和/或使用中的特定商家资源(例如，特定商家应用程序113)的识别；(ii)特定交易信息，诸如用于交易的支付的特定货币的识别(例如，日元、英镑、美元等)、和/或交易的待支付的货币的特定总额的识别、和/或待购买或租借或以其他方式支付的特定产品或服务的识别、和/或待使用的默认或初始运送地址的识别；(iii)指示商家可接受用于交易的一种或多种类型付款方法的信息(例如，可用于购买的付款卡清单(例如，MasterCard，而非Visa))；和/或(iv)唯一的以商家为基础的交易标识符(例如，任何合适的数据元素，诸如3或4字符文数字符串，其可由商家子系统200随机或唯一地产生用于与正在进行中的交易相关联)。此类潜在事务数据660可包括可为必要或至少用于完成金融交易的任何合适数目个及类型的数据字段(含或不含相关联的数据)，诸如进行购买的客户的联系人信息字段(例如，电话号码、电子邮件地址、邮件地址)，其中一些字段可经填入且被包括作为此类潜在事务数据660的部分，和/或其中一些字段可未经填入作为此类潜在事务数据660的部分，但可在程序600期间开放及等待填入。在本文中，步骤610的此类潜在事务数据660可称为PKDataRequest或PKPaymentRequest(例如，用于金融交易)。替代地，如所提及，用户可不主动与装置100互动，以在步骤610使与商家子系统200相关联的潜在事务数据660可供装置100使用。

对于安全付款数据的通信，潜在事务数据660可包括针对装置100产生用于购买产品和/或服务的付款符记的商家资源的请求，且可封装关于潜在交易的任何合适信息，包括例如关于该商家的付款处理能力、支付总额、及货币代码等信息。潜在事务数据660也可包括商家可支持的一个或多个付款网络(例如，(一个或多个)付款网络360)的列表，使得装置100可被配置为确定此类所列出一个或多个付款网络的任何者是否具有经授权付款凭据在装置100上或作为客户端的装置100可使用的任何合适主机装置上。在一些实施例中，一旦此类潜在事务数据660可由装置100存取，如图3A中所展示，例如，装置100的GUI可提供画面190a，其中商家的资源可使用事务数据660来展示与潜在交易相关联的任何合适信息给装置100的用户，诸如用信息307a展示商家的名称(例如，“商家A”)、用信息307b展示产品的名称(例如，“产品B”)、用信息307c展示价格(例如，“价格C”)和/或用信息307d展示初始运送数据(例如，“地址D”)。可由商家子系统200提供至装置100的潜在事务数据660可指示此类信息307a、307b、307c、和/或307d。装置100的用户可与装置100及画面190a互动以调整此类信息的某些部分(例如，运送地址等)，其会需要待由商家子系统200产生及共享的经更新的潜在事务数据(例如，在步骤610的另一例项)。还如图3A所展示及如下文更详细描述，画面190a也可包括安全支付提示309。潜在事务数据660的至少一部分可经由图1A的通信路径15从商家子系统200提供至装置100且可由装置100的通信部件106被接收。通信部件106可传递此潜在事务数据660至处理器102上(例如，用于显示在画面190a上作为在装置100上的用户接口的部分(例如，用于信息307a至307d及309))和/或至安全元件145。例如，安全元件145可利用此类潜在事务数据660的至少一部分，用于安全地实现介于装置100与商家子系统200之间的金融交易。在一些实施例中，潜在事务数据660可称为商家付款请求数据和/或统一资源定位器(“URL”)或任何其他合适的参考字符字符串和/或查询字符串。

在程序600的步骤612，可起始商家在线资源验证会话。如关于在程序500的步骤504所提及，步骤612可响应于电子装置100指示安全数据交易(例如，由步骤610的潜在事务数据660所识别的安全数据交易(例如，金融交易))应发生而发生。此指示可响应于装置100的用户选择商家在线资源的GUI元素(例如，单选按钮)而发生，诸如图3A的安全支付提示309，用于传送该使用者想要进行由步骤610的商家在线资源的潜在事务数据660所识别的安全数据交易。替代地，此指示可基于任何合适需求被满足而自动发生(例如，单纯响应于步骤610的潜在事务数据660被传送至装置100)。例如，当此指示发生时，商家在线资源113(例如，用于Web资源的Web套件)可操作以发送安全数据交易请求至卡管理应用程序103b(例如，用于付款安全数据交易的通行套件(pass kit))，且接着装置100(例如，装置100的卡管理应用程序103b或任何其他合适的应用程序)可操作以接收及处理此安全数据交易请求，且作为响应，在步骤612，接着可操作以产生及将商家在线资源验证会话起始数据662传送至商家子系统200。

在步骤612，可由电子装置100产生和/或传送任何合适的数据至商家子系统200作为商家在线资源验证会话起始数据662，用于起始用于待实行的特定安全数据交易的商家在线资源验证会话(例如，由数据660和/或图3A的画面190a所识别的金融交易)。例如，在步骤612，可由电子装置100产生验证会话标识符并且传送至商家子系统200来作为商家在线资源验证会话起始数据662的至少一部分，其中此验证会话标识符可以是可唯一识别目前正在起始的商家在线资源验证会话的任何合适的文数字符串或任何其他合适的标识符(例如，唯一识别对商家子系统200和/或对商业实体子系统400的此类会话至少达一定时期)。除此之外或作为另外一种选择，在步骤612，质询请求目标标识符(例如，质询请求URL)可从装置100传送至商家子系统200作为商家在线资源验证会话起始数据662的至少一部分，其中此质询请求目标标识符可识别商家子系统200待与其通信以验证该商家的实体(例如，识别商业实体子系统400的服务器410的URL，其待与商家子系统200合作，用于验证用于待实行的特定安全数据交易的商家在线资源)。装置应用程序(例如，卡管理应用程序103b)可具有经编程的此质询请求目标标识符(作为任何合适的操作系统或应用程序更新的部分)，其可受控于商业实体子系统400，使得可由商业实体子系统400在任何合适的时间更新装置100上的质询请求目标标识符。除此之外或作为另外一种选择，此类商家在线资源验证会话起始数据662可包括任何其他合适的数据，诸如：指示对商家的请求以验证其自身的任何合适数据；和/或在步骤608所存取且在步骤610被利用于用于接收潜在事务数据660的特定商家在线资源；指示装置100的任何合适数据(例如，装置标识符119)；和/或指示待实行的特定安全数据交易的任何合适数据(例如，来自步骤610的潜在事务数据660的任何合适数据，诸如特定商家信息(例如，商家在线资源的商家标识符167)、特定交易信息(例如，用于该金融交易的货币及数额及付款类型)、和/或唯一的以商家为基础的交易标识符)。在步骤612，可依任何合适方式由装置100将任何合适的商家在线资源验证会话起始数据662传送至商家子系统200(例如，可使用任何合适的通信协议经由通信路径15，或使用任何合适的通信协议经由介于终端机220与NFC部件120之间的非接触式的以接近性为基础的通信频道，从装置100的通信部件106传输此类商家在线资源验证会话起始数据662至商家子系统200的服务器210)。

在程序600的步骤614，响应于在步骤612商家子系统200接收来自装置100的任何合适商家在线资源验证会话起始数据662以用于起始商家在线资源113的验证会话，商家子系统200可操作以将任何合适的质询请求数据664传送至商业实体子系统400，用于验证用于待实行的特定安全数据交易(例如，如在步骤610和/或步骤612所识别的金融付款交易)的商家在线资源。在步骤614从商家子系统200传送至商业实体子系统400的质询请求数据664可包括用于尝试向商业实体子系统400实证商家子系统200(例如，商家资源113)的有效性的任何合适数据，包括但不限于：与待验证的商家在线资源相关联商家标识符(例如，如在步骤606所注册的至少一个商家标识符167，其可以是商家在线Web资源的网域)；验证会话标识符(例如，如在步骤504由电子装置100所产生的，或在步骤506由商家子系统200所产生的)；及任何其他合适的数据(例如，识别装置100的数据和/或识别待实行的特定安全数据交易的数据)。例如，质询请求数据664的商家标识符可以是与在步骤610所使用的商家在线资源(其起始目前商家在线资源验证会话)相关联的任何合适商家标识符167。当步骤612的商家在线资源验证会话起始数据662包括验证会话标识符(例如，如由电子装置100所产生的)时，接着在步骤614，可由商家子系统提供那个验证会话标识符作为质询请求数据664的至少一部分。然而，当步骤612的商家在线资源验证会话起始数据662不包括验证会话标识符时，或当可由商家子系统200自动起始商家在线资源验证会话(例如，响应于传送步骤610的潜在事务数据660)而非回应于任何步骤612的任何商家在线资源验证会话起始数据662时，商家子系统200可操作以产生可唯一识别目前正在起始的商家在线资源验证会话的那个验证会话标识符，并接着在步骤614可操作以包括那个验证会话标识符作为质询请求数据664的至少一部分。在一些实施例中，在步骤614，可提供可以是待实行的安全数据交易(例如，如在步骤610和/或步骤612所识别的金融付款交易)特定的任何合适附加信息作为质询请求数据664的至少一部分，包括但不限于指示下列各项的信息：潜在事务数据的信息307b的“产品B”、潜在事务数据的信息307c的“价格C”、潜在事务数据的信息307d的运送数据“地址D”、潜在事务数据的付款凭据识别“凭据X”信息313、和/或与待实行的安全数据交易相关联的任何其他合适信息，其可适合与商业实体子系统400共享(例如，按照关于该数据的任意者的任何隐私权考虑)，诸如“来自最近三天的心跳率信息”，而非实际心跳率信息(如果待实行的安全数据交易是健康数据交易)。可在程序600的任何合适部分期间使用可系安全数据交易特定的此类信息(在本文中可称为潜在交易识别信息)，用于提供(一个或多个)任何附加安全性层至目前数据交易程序，和/或用于提供任何附加安全性(例如，诈骗检测)服务用于未来数据交易。可由商家子系统200使用商家子系统200可使用且与质询请求的商家标识符相关联的商家密钥(例如，如在步骤606与商家标识符167一起注册的商家密钥157(例如，用于待验证的商家在线资源113))来签署质询请求数据664(例如，在HTTP标头中或以其他方式)，使得可由商业实体子系统400有效地利用质询请求数据664以用于验证商家在线资源113。在步骤614可依任何合适方式由商家子系统200传送任何合适的质询请求数据664至商业实体子系统400(例如，可使用任何合适的通信协议经由通信路径85，自商家子系统200的服务器210传输此类质询请求数据664至商业实体子系统400的服务器410)。质询请求数据664的此类通信可基于质询请求目标标识符(例如，质询请求URL)而恰当地寻址至商业实体子系统400，该质询请求目标标识符可在步骤612自装置100传送至商家子系统200作为商家在线资源验证会话起始数据662的至少一部分。替代地或此外，质询请求数据664的此类通信可基于质询请求目标标识符(例如，质询请求URL)而恰当地寻址至商业实体子系统400，该质询请求目标标识符可供商家子系统200取用并与步骤610的潜在事务数据660相关联(例如，识别商业实体子系统400的标识符可与任何代码(例如，用于Web资源的java脚本代码)相关联或与可供商家子系统200使用于在商家在线资源中提供任何合适的“安全交易”提示(例如，图3A的安全支付提示309))的其他者相关联。

在程序600的步骤616，响应于在步骤614商业实体子系统400接收来自商家子系统200的任何合适质询请求数据664，商业实体子系统400可操作以验证由质询请求的商家标识符167所识别的商家在线资源113。例如，在步骤616，商业实体子系统400可操作以尝试确认在商业实体子系统400处由所接收的质询请求数据664的商家标识符167所识别的商家在线资源113是有效且经注册的商家在线资源，其可通过下列方式而确认：在表格430中识别那个商家标识符167(例如，以确定商家标识符167已经向商业实体子系统400注册(例如，在步骤606)，且确定此类注册仍然有效(例如，那个商业实体子系统400并未从表格430移除商家标识符167或并未在表格430中将商家标识符167旗标为可疑或以其他方式不再受信任，和/或确定与商家标识符167相关联的凭证(例如，在表格430中)仍然有效))；和/或通过识别与那个商家标识符167相关联或由那个商家标识符167所识别的网域，并通过重新验证可寄存在那网域上的档案来重新验证那网域(例如，如关于步骤501和/或步骤606所描述)，其中替代地或此外，可由商业实体子系统400在任何合适的时间(例如，定期地或以其他方式)实行此类重新验证，且非必然在步骤616响应于接收数据664而实行此类重新验证。除此之外或作为另外一种选择，在步骤616，商业实体子系统400可操作以尝试验证所接收的质询请求数据664的签章，其可通过以下来完成：识别商家密钥157(商家密钥157可与所接收的质询请求数据664的商家标识符167相关联(在商业实体子系统400处的表格430中或以其他方式在商业实体子系统400处(例如，可已在步骤606的注册期间建立的关联性)))，并接着利用那经识别的商家密钥157以验证所接收的质询请求数据664的签章(例如，以确认商业实体子系统400可存取的商家密钥157是连同商家子系统200可存取的商家密钥157的经配对密钥组的一者，在步骤614传送质询请求数据664至商业实体子系统400前，可已由商家子系统200使用商家密钥157来签署质询请求数据664(例如，此类密钥的一者可以是公钥且另一者可以是经配对的密钥组的私钥))，其可确保由商家子系统200持有可需要在程序600的(一个或多个)较后部分中由商家子系统200使用的商家密钥157(例如，在步骤636，在此步骤商家子系统200可解密先前由商业实体子系统400所加密的数据)。在由商业实体子系统400对所接收的质询请求数据664进行任何合适的验证后(例如，在验证所接收的质询请求数据664的商家标识符和/或签章后)，在步骤616，商业实体子系统400也可操作以产生任何合适的质询数据并对照所接收的质询请求数据664的任何合适标识符数据来存储那质询数据。例如，在对所接收的质询请求数据664进行任何合适的验证后，商业实体子系统400可操作以产生任何合适的质询数据(例如，经由熵的任何合适随机数据)，并接着依商业实体子系统400可存取的任何合适的数据结构(例如，在表格430中或以其他方式)对照质询请求数据664的验证会话标识符及质询请求数据664的商家标识符的一者或两者来存储那个质询数据)。介于此类质询数据与验证会话的标识符数据(例如，质询请求数据664的验证会话标识符和/或商家标识符)之间的此所存储连结或关联性可稍后由商业实体子系统400使用于进一步验证验证会话的商家在线资源(例如，在步骤622)和/或进一步保护待实行的安全数据交易的安全(例如，在步骤630)。另外，在一些实施例中，质询请求数据664的潜在交易识别信息的任何者或全部也可对照质询数据及标识符数据被存储或以其他方式与质询数据及标识符数据相关联。

在程序600的步骤618，响应于在步骤616商业实体子系统400验证所接收的质询请求数据664及对照验证会话的标识符数据来产生质询数据，商业实体子系统400可操作以使用任何合适的密钥或以其他方式加密步骤616的质询数据并接着可操作以传送那个经加密质询数据连同任何其他合适的数据作为至商家子系统200的质询数据668。例如，商业实体子系统400可使用供商业实体子系统400存取且与所接收的质询请求数据664的商家标识符167相关联(例如，在商业实体子系统400处的表格430中或以其他方式在商业实体子系统400处(例如，可已在步骤606的注册期间建立的关联性))的任何合适商家密钥157来加密该质询数据，其中在步骤618由商业实体子系统400用于加密该质询数据的此商家密钥157可相同于或不同于在步骤616可已由商业实体子系统400用来验证质询请求数据664的商家密钥157。除此类经加密质询数据外，可包括任何其他合适的数据作为在步骤618由商业实体子系统400传送至商家子系统200的质询数据668的一部分，包括但不限于：由商业实体子系统400用来加密该质询数据的商家密钥157的哈希(例如，表格430的公开商家密钥157的哈希版本，其可由商家子系统200接收并使用于识别恰当的商家密钥157(例如，用于解密该质询数据的商家子系统200的私钥157)，可提供哈希版本以辅助可具有多个经注册商家在线资源和/或多个商家密钥的商家)；质询请求数据664的验证会话标识符；质询请求数据664的商家标识符；在商业实体子系统400处(例如，在表格430中)与由商业实体子系统400用来加密该质询数据的商家密钥157相关联的商家标识符；和/或类似物。在步骤618可依任何合适方式由商业实体子系统400传送任何合适的质询数据668至商家子系统200(例如，可使用任何合适的通信协议经由通信路径85，自商业实体子系统400的服务器410传输此类质询数据668至商家子系统200的服务器210)。

在程序600的步骤620，响应于在步骤618商家子系统200接收此类质询数据668，商家子系统200可操作以处理所接收的质询数据668并接着产生及传送质询响应数据670至商业实体子系统400，用于在目前验证会话期间进一步验证商家子系统200。例如，在步骤620，商家子系统200可操作以使用商家子系统200可使用的任何合适的商家密钥157(例如，如在步骤606与商家标识符167一起注册的商家密钥157(例如，用于在目前验证会话期间被验证的商家在线资源113))来解密所接收的质询数据668的经加密质询资料。可由商家子系统200使用下列项来识别在步骤620由商家子系统200用来解密经加密质询资料的此商家密钥157：质询数据668的任何哈希密钥信息；和/或质询数据668的任何商家标识符；和/或通过使用质询请求数据664的任何商家标识符(例如，如可与数据664及数据668的共同会话标识符相关联)。在步骤620由商家子系统200用来解密经加密质询数据的此商家密钥157可相同于或不同于在步骤614可已由商家子系统200用来签署质询请求数据664的商家密钥157。在解密所接收的质询数据668的经加密质询数据后，在步骤620，商家子系统200也可操作以从商家子系统200产生并将质询响应数据670传送至商业实体子系统400，其中质询响应数据670可包括如由商家子系统200所解密的质询数据(用于进一步尝试向商业实体子系统400实证商家子系统200(例如，商家资源113)的有效性)连同任何其他合适的数据，包括但不限于：目前验证会话的验证会话标识符(例如，质询请求数据664的有效会话标识符，和/或所接收的质询数据668的有效会话标识符)；与通过目前验证会话所验证的商家在线资源相关联的商家标识符(例如，质询请求数据664的商家标识符、在商业实体子系统400处(例如，在表格430中)与由商业实体子系统400用于加密该质询数据的商家密钥157相关联的商家标识符，和/或类似物)；用于待实行的安全数据交易的任何或所有合适潜在交易识别信息，其可已包括或可不包括于步骤614的质询请求数据664中；和/或类似物。可由商家子系统200使用商家子系统200可使用的商家密钥(例如，如在步骤606与商家标识符167一起注册的商家密钥157(例如，用于目前正被验证的商家在线资源113))来签署质询响应数据670(例如，在HTTP标头中或以其他方式)，使得可由商业实体子系统400有效地利用质询响应数据670，用于进一步验证商家在线资源113。在步骤620可由商家子系统200用来签署质询响应数据670的此商家密钥157可相同于或不同于在步骤614可已由商家子系统200用来签署质询请求数据664的商家密钥157。除此之外或作为另外一种选择，在步骤620可由商家子系统200用来签署质询响应数据670的此商家密钥157可相同于或不同于在步骤620可已由商家子系统200用来解密经加密质询资料的商家密钥157。在步骤620可依任何合适方式由商家子系统200传送任何合适的质询响应数据670至商业实体子系统400(例如，可使用任何合适的通信协议经由通信路径85，从商家子系统200的服务器210传输此类质询响应数据670至商业实体子系统400的服务器410)。

在程序600的步骤622，响应于在步骤620商业实体子系统400接收来自商家子系统200的任何合适质询响应数据670，商业实体子系统400可操作以进一步验证商家子系统200及在目前验证会话中其所关注的商家在线资源。例如，在步骤622，商业实体子系统400可操作以尝试验证所接收的质询响应数据670的签章，其可通过以下来完成：识别商家密钥157(在表格430中，商家密钥157可与所接收的质询响应数据670的验证会话标识符相关联，或在商业实体子系统400处的表格430中或以其他方式在商业实体子系统400处，商家密钥157可与所接收的质询响应数据670的商家标识符167相关联(例如，可已在步骤606的注册期间建立的关联性))，并接着利用那个经识别的商家密钥157以验证所接收的质询响应数据670的签章(例如，以确认商业实体子系统400可存取的商家密钥157是连同商家子系统200可存取的商家密钥157的经配对密钥组的一者，在步骤620传送质询响应数据670至商业实体子系统400前，可已由商家子系统200使用商家密钥157来签署质询响应数据670(例如，此类密钥的一者可以是公钥且另一者可以是经配对的密钥组的私钥)。在步骤622可由商业实体子系统400用来验证质询响应数据670的签章的此商家密钥157可相同于或不同于在步骤616可已由商业实体子系统400用来验证质询请求数据664的签章的商家密钥157，和/或在步骤622可由商业实体子系统400用来验证质询响应数据670的签章的此商家密钥157可相同于或不同于在步骤618可已由商业实体子系统400用来加密该质询数据的商家密钥157。除此之外或作为另外一种选择，在步骤622，商业实体子系统400可操作以尝试确认所接收的质询响应数据670的经解密质询数据系有效质询数据。例如，商业实体子系统400可操作以尝试确认所接收的质询响应资料670的经解密质询数据是目前经存储或以其他方式可供商业实体子系统400独立地存取(例如，在表格430中)。在一些实施例中，商业实体子系统400可通过识别同一质询数据目前系经存储在表格430中来确定所接收的质询响应数据670的经解密质询数据的有效性。替代地，商业实体子系统400可通过识别与目前对照所接收的质询响应资料670的任何合适标识符数据(例如，对照验证会话标识符或商家标识符)经存储在表格430中(如在步骤616可已存储在表格430中)相同的质询数据来确定所接收的质询响应数据670的经解密质询数据的有效性。在一些实施例中，介于该质询数据与验证会话标识符及商家标识符的一者或两者之间的此所存储连结(或此类所存储质询数据本身)可在自动清除该链接或所存储数据前由商业实体子系统400维持达仅一段有限时间量，使得商家子系统200会受限于必须在一定持续时间内接收质询数据668并接着发送适当的质询响应数据670至商业实体子系统400，用于验证用于特定验证会话的商家在线资源(例如，商业实体子系统400可操作以在一定时期之后移除在商业实体子系统400处的介于该质询数据与验证会话标识符和/或商家标识符之间的此关联性(例如，在建立该链接或质询数据之后不超过10分钟即自表格430移除该链接或质询数据)，其可增加交易安全性)。因此，可使用在商业实体子系统400处的介于商家密钥与商家标识符之间的一个或多个关联性(例如，如在步骤608所注册者)来完成在步骤614至622的任何者或全部的用于待实行的特定安全数据交易(例如，如在步骤610和/或步骤612所识别)的商家在线资源的验证。

在由商业实体子系统400对所接收的质询响应数据670进行任何合适的验证后(例如，在验证所接收的质询响应数据670的签章后和/或在验证所接收的质询响应数据670的经解密质询数据后)，在步骤622，商业实体子系统400也可操作以产生任何合适的验证数据并对照所接收的质询请求数据664的任何合适标识符数据和/或所接收的质询响应数据670的任何合适标识符数据来存储那个验证数据。例如，在对所接收的质询请求数据664和/或所接收的质询响应数据670进行任何合适的验证后，商业实体子系统400可操作以产生任何合适的验证数据(例如，经由熵的任何合适随机数据和/或任何合适的密码编译临时值(cryptographic nonce))，并接着依商业实体子系统400可存取的任何合适的数据结构(例如，在表格430中或以其他方式)对照质询请求数据664及质询响应数据670的任何一者或两者的验证会话标识符及商家标识符的一者或两者来存储那验证数据。介于此类验证数据与验证会话的标识符数据(例如，质询请求数据664的验证会话标识符和/或商家标识符和/或质询响应数据670的验证会话标识符和/或商家标识符)之间的此所存储连结或关联性可稍后由商业实体子系统400使用于进一步保护待实行的安全数据交易的安全(例如，在步骤630)。另外，在一些实施例中，质询请求数据664的潜在交易识别信息的任何者或全部和/或质询响应资料670的任何者或全部也可对照该验证数据及标识符数据被存储或以其他方式与该验证数据及标识符数据相关联。

响应于通过确认在商业实体子系统400处(例如，在表格430中)所接收的质询响应数据670的经解密质询数据是与标识符信息(例如，验证会话标识符和/或商家标识符信息)链接而验证该质询数据，在步骤622，商业实体子系统400可操作以：耗用那个链接(例如，移除在商业实体子系统400处的在质询数据与验证会话标识符和/或商家标识符之间的此关联性(例如，自表格430移除该链接))；产生验证数据(例如，任何合适的随机数据(例如，密码编译临时值(例如，经由熵的任何合适随机数据)))；并接着在商业实体子系统400处对照任何合适的标识符信息(例如，质询请求的验证会话标识符和/或质询回应的验证会话标识符，和/或对照该质询请求的商家标识符和/或该质询回应的商家标识符)来存储该验证数据或以其他方式使该验证数据与任何合适的标识符信息相关联(例如，依任何合适的数据结构，诸如表格430或以其他方式)。替代地，响应于通过确认在商业实体子系统400处(例如，在表格430中)所接收的质询响应数据670的经解密质询数据是与标识符信息(例如，验证会话标识符和/或商家标识符信息)链接而验证该质询数据，在步骤622，商业实体子系统400可操作以在商业实体子系统400处维持那链接或以其他方式更新那个连结(例如，在商业实体子系统400处(例如，在表格430中)重设可与那个连结相关联的任何定时器，或新增任何附加潜在交易识别信息用于与该链接相关联)，并接着利用那个链接的质询数据(例如，如在步骤616所产生)作为在其他状况下可在步骤622产生的验证数据。在一些实施例中，质询数据及验证数据可关于大小或任何其他合适的一个或多个属性而不同，此是因为在步骤618至622使用的质询数据可不同于在步骤624至630使用的验证数据。

在程序600的步骤624，响应于在步骤622商业实体子系统400验证所接收的质询请求数据664和/或验证所接收的质询响应数据670并产生或以其他方式对照验证会话的标识符数据来定义验证数据，商业实体子系统400可操作以产生及传送任何合适的验证响应数据674。例如，验证响应数据674可包括步骤622的验证数据连同任何其他合适的数据，包括(但不限于)：该验证会话标识符(例如，质询请求数据664的验证会话标识符和/或质询响应数据670的验证会话标识符和/或如可依其他方式与该验证会话相关联者)；商家标识符(例如，质询请求数据664的商家标识符和/或质询响应数据670的商家标识符；和/或如可依其他方式在商业实体子系统400处(例如，在表格430中)与在验证会话期间正被验证的商家在线资源相关联者)；和/或类似物。在一些实施例中，如图6中所展示，此类验证响应数据674可自商业实体子系统400直接传送至电子装置100(例如，使用任何合适的通信协议经由通信路径65)，其中识别电子装置100的数据(例如，装置标识符119)可与验证会话起始数据662和/或质询请求数据664和/或质询响应数据670或其他相关联或以其他方式被包括在验证会话起始数据662和/或质询请求数据664和/或质询响应数据670或其他中，使得商业实体子系统400可将验证响应数据674传送至恰当的电子装置100。替代地，在一些实施例中，可经由商家子系统200从商业实体子系统400将验证响应数据674传送至电子装置100，由此商家子系统200可接收来自商业实体子系统400的验证响应数据674(例如，使用任何合适的通信协议经由通信路径85)并接着传递验证响应数据674的至少一部分至电子装置100上(例如，使用任何合适的通信协议经由通信路径15或作为非接触式的以接近性为基础的通信)，使得商业实体子系统400可不必在步骤624直接与装置100的建立安全通信频道。可由商业实体子系统400使用与商业实体子系统400相关联的存取密钥(例如，存取密钥155a、存取密钥155b、CRS 151k、和/或安全元件145的ISD密钥156k，或装置应用程序(例如，卡管理应用程序103b)可已知的任何密钥)来签署验证响应数据674(例如，在HTTP标头中或以其他方式)，电子装置100也可存取该存取密钥，使得装置100可在接收到该经签署验证数据后验证签章，以确认商业实体子系统400产生验证响应数据674而非不受电子装置100信任的另一实体子系统产生验证响应数据，和/或使得该经签署验证数据不会被不具有此存取密钥的存取权的实体利用(例如，商家子系统200，其可用于自商业实体子系统400传递该经签署验证数据至装置100)。

如所提及，装置100的用户可选择商家在线资源的GUI元素(例如，单选按钮)，诸如图3A的安全支付提示309，用于传送使用者想要进行由步骤610的商家在线资源的潜在事务数据660所识别的安全数据交易。如图3B中所展示，装置100和/或商家在线资源113可被配置为提供画面190b，该提供画面190b是单独响应于接收对图3A的画面190a的安全支付提示309的选择或除此外还响应于在步骤624装置100接收验证响应数据674(其可指示无验证会话失败)，和/或响应于装置100验证介于在步骤612可已由电子装置100所产生作为验证会话起始数据662的一部分的会话标识符与可提供作为所接收的验证响应数据674的一部分的会话标识符之间的一致性(例如，在步骤625)，其可使装置100能够确认响应数据674与作为在程序600的相同验证会话的部分的验证会话起始数据662相关联(例如，装置100可与商家子系统200的商家标识符组合地存储验证会话起始数据662的会话标识符(例如，在步骤612)，并可接着在允许程序600的其余者前，可比较所存储数据组合与验证响应数据674的会话标识符及商家标识符(例如，在步骤625)以确保恰当的匹配，其中装置100可操作以确保在步骤612由电子装置100所产生的任何会话标识符在步骤612起始的会话期间是待验证的特定商家子系统或商家在线资源所独有的)。在任何情况中，如图3B中所展示，画面190b可提示使用者依一种或多种方式与装置100互动以选取可供装置100使用的特定付款来源或凭据以进行购买。例如，如所展示，画面190b可包括付款来源选择提示311，其可令用户能够选择可供装置100使用的潜在的多个付款来源的一者。付款来源选择提示311可仅包括含与由该商家所支持的付款网络相关联的凭据的付款来源(例如，如可通过潜在事务数据660所确定，如上文所提及)，或可展示装置100可使用的所有付款来源，但可使得只有与可接受付款的网络相关联者能够由使用者选择。付款来源选择提示311可包括任何合适的付款来源(例如：使用“凭据X”的付款方法，如可由提示311的付款选项标识符311a所指示；使用“凭据Y”的付款方法，如可由提示311的付款选项标识符311b所指示等)，包括但不限于：装置100的安全元件原生的任何合适付款凭据和/或装置100可存取的任何可用付款来源的任何合适非原生付款凭据(例如，可作为装置100(作为客户端装置)的主机装置的另一装置)。仅举一特定实例，如图3C中所展示，装置100可被配置为响应于接收使用者对图3B的付款来源选择提示311的标识符311a的“凭据X”的选择而提供画面190c。图3C的画面190c可用凭据标识符信息313识别经选择的凭据或自动经识别的预设凭据，并且可提示装置100的用户依一种或多种方式与装置100互动以认证该使用者及其利用该所选择凭据的意图。此可包括提示使用者(例如，用图3C的认证提示315)经由个人识别号码(“PIN”)输入项键入使用者认证或经由与生物特征传感器的用户互动，以存取装置100的安全元件，且因此存取待用于购买的凭据。可基于任何合适的事件(诸如响应于潜在事务数据660被传送、和/或回应于画面190a被呈现、和/或响应于使用者选择图3A的画面190a的安全支付提示309、和/或响应于使用者选择图3B的付款来源选择提示311的特定凭据、和/或回应于呈现图3C的画面190c)，而起始商家在线资源验证会话(例如，在步骤612和/或步骤614)。可在任何合适的时刻呈现图3B的付款来源选择提示311，诸如响应于使用者选择图3A的画面190a的安全支付提示309而不论任何验证会话的状态(其可发生在步骤612至624(例如，在步骤612至614的任何者之前或在期间))，和/或不仅响应于使用者选择图3A的画面190a的安全支付提示309而且还响应于在步骤624接收验证响应数据674(其可指示无验证会话失败)。可在任何合适的时刻呈现图3C的认证提示315，诸如响应于接收使用者对付款来源选择提示311的付款标识符的选择而不论任何验证会话的状态(其可发生在步骤612至624(例如，在步骤612至614的任何者前或在期间))，和/或不仅响应于接收使用者对付款来源选择提示311的付款标识符的选择而且还响应于在步骤624接收验证响应数据674(其可指示无验证会话失败)，和/或可在步骤624接收验证响应数据674前呈现画面190c，但是图3C的认证提示315可未经启用于供使用，直到在步骤624接收验证响应数据674后。

如果装置100的用户愿意且能够响应于在步骤610所接收的潜在事务数据660(例如，付款请求数据)而选择或确认特定付款凭据以用在为潜在交易提供资金，且在步骤624已由电子装置100接收验证响应数据674(例如，可指示步骤612至622的商家在线资源验证会话成功的数据)，则程序600可进行至步骤625，在此步骤，程序600可包括：在已识别任何会话标识符一致性后(例如上文所提及，于步骤625)，接收装置100的用户对于利用特定凭据来实行针对基于潜在事务数据660的特定商家、产品、价格及运送目的地的潜在交易的意图及认证(例如，透过使用者选择图3C的认证提示315)。存取SSD 154b可充分利用装置100的小应用程序153b以确定在允许使用其他SSD 154(例如，凭据SSD 154a)被用于在商务凭据数据通信中启用其凭据信息之前是否已发生此类认证。仅举步骤625的实例，存取SSD154b的小应用程序153b可被配置为确定装置100的用户的意图及本端认证(例如，经由一个或多个输入部件110，诸如图3的生物特征输入部件110i，如可由与装置100的任何应用程序(例如，装置100的商家资源113和/或卡管理应用程序103b)互动的使用者所使用)，且响应于此确定，可被配置为启用另一特定SSD，用于进行付款交易(例如，运用凭据SSD 154a的一个凭据)。在一些实施例中，在此确定后，但是在此类启用前，装置100的GUI可被配置为提供另一画面(图中未展示)，该画面可提示装置100的用户(例如，以相似于图3C的提示315的提示)依一种或多种方式与装置100互动以最终使用经选择且经认证的凭据起始付款。在步骤625，装置100的用户可提供意图及认证用于使用装置100原生的特定付款凭据来为由步骤610的潜在事务数据660所识别的潜在交易提供资金(例如，针对画面190a至190c的“商家A”及“产品B”及“价格C”及“运送D”)。然而，替代地，程序600可使装置100的用户能够在可于步骤625提供任何意图及认证前调整潜在交易的一个或多个特性(例如，可更新在画面190a和/或190b上的运送地址信息或以其他方式透过于商家子系统200与装置100之间传送的附加经更新的潜在事务数据660)。

接下来，一旦响应于接收潜在事务数据660的特定付款请求数据而在步骤625已接收针对特定付款凭据的意图及认证，在程序600的步骤626至628可包括装置100产生、加密、及传输装置事务数据678用于商业实体子系统400使用(例如，如关于在程序500的步骤512及514所描述)。一旦已选择、认证、和/或启用在装置100的安全元件145上的凭据SSD 154a的凭据用于在金融交易中使用(例如，在步骤625)，装置100的安全元件145(例如，NFC部件120的处理器模块142)可产生及加密那个经选择的凭据的某些凭据数据用于商业实体子系统400使用。例如，在步骤626，凭据SSD 154a的装置付款凭据数据675(例如，SSD 154a的付款卡数据(例如，如可与所选择的“凭据X”相关联))，诸如符记数据及密码编译数据，可经产生和/或至少部分地用凭据密钥155a'被加密，作为装置付款凭据数据676以包括至少符记数据及密码编译数据，使得此类经加密装置付款凭据数据676可仅由可存取那个凭据密钥155a'的实体被解密(例如，金融机构子系统350)以用于存取装置付款凭据数据675。此类付款凭据数据675可包括可操作以安全地实证装置100的特定安全元件凭据的恰当拥有权的任何合适数据(例如，SSD 154a的凭据)，包括但不限于：(i)符记数据(例如，SSD 154a的凭据信息161a的DPAN、DPAN到期日期、和/或CVV)；及(ii)密码编译数据(例如，编译密码，其可由安全元件145使用SSD 154a与金融机构子系统350的共享秘密(例如，密钥155a')被产生，及可供装置100使用且还经使得可供金融机构子系统350使用于用于使用该共享秘密来独立产生该密码编译数据的任何其他合适信息(例如，符记数据的一些或全部、识别装置100的信息、识别步骤610的潜在事务数据660的一些或全部的信息，诸如费用和/或货币、任何合适的计数器值、临时值(例如，验证响应数据674的验证数据的临时值)等))。因此，付款凭据数据675可包括用那个凭据进行付款所必须的所有数据，例如，诸如主要帐户号码(例如，实际F-PAN或虚拟D-PAN)、卡安全性码(例如，卡验证码(“CVV”))、到期日期、与该凭据相关联的名称、相关联的密码编译数据(例如，使用介于安全元件145与金融机构子系统350之间的共享秘密所产生的编译密码，及任何其他合适的信息)，和/或类似物。在一些实施例中，一旦在步骤626已经用凭据密钥155a'加密凭据SSD 154a的那个付款凭据数据675的一些或全部作为经加密付款凭据数据676，旋即在步骤627，可通过存取信息(例如，通过SSD 154a的存取密钥155a、存取SSD 154b的存取密钥155b、ISD密钥156k、和/或CRS 151k和/或由CASD 158k所签署)将以下加密作为安全装置数据677：那个经加密付款凭据资料676(单独地或连同适用的潜在事务数据660的至少第一部分(如果非全部))(例如，潜在事务数据660的一部分或全部，其可包括商家的识别、价格总额的识别、货币和/或运送和/或产品的识别、和/或唯一的以商家为基础的交易标识符、和/或唯一的以用户装置为基础的交易标识符，和/或类似物)、验证响应数据674的一些或全部、和/或任何其他合适的信息(例如，识别装置100本身的任何信息(例如，装置标识符119)、任何特定以装置为基础的交易标识符，和/或类似物)。例如，装置100的安全元件145(例如，NFC部件120的处理器模块142)可使用存取信息以不仅将来自数据660和/或数据674的商家的识别(例如，商家的识别或其正用于购买的资源，诸如应用程序113)加密至安全装置数据677中，而且还将来自数据660的购买总额和/或货币代码的识别以及SSD 154a的经加密付款凭据数据675(例如，经加密付款凭据数据676)加密至安全装置数据677中。在一些实施例中，可产生凭据SSD 154a的付款凭据数据675(例如，SSD 154a的付款卡数据，诸如符记数据及密码编译数据)，但是在运用商业实体密钥或存取密钥被加密(例如，在步骤627，作为数据677)前，未经用凭据密钥被加密(例如，在步骤626，作为数据676)，且替代地，可运用商业实体密钥或存取密钥来加密此类付款凭据数据675(例如，在步骤627，作为数据677)，由此在这些实施例中，任何未来对数据676的参考也可以是对未经用任何凭据密钥加密的数据675的参考。在一些实施例中，此商业实体密钥或存取密钥可以是与商业实体子系统400的方案相关联的商业实体公钥且其的商业实体子系统400可存取相关联的商业实体私钥。商业实体子系统400可将此商业实体公钥提供至金融机构子系统350，且接着金融机构子系统350可与装置100共享那个商业实体公钥(例如，当配置凭据数据于装置100上时(例如，在程序600的步骤654))。

接下来，在步骤628，安全装置数据677连同任何附加信息(诸如潜在事务数据660或潜在交易识别信息的至少一些(例如，商家的识别、价格总额的识别、货币的识别、唯一的以商家为基础的交易标识符、产品/服务的识别，和/或类似物))、和/或验证响应数据674的至少一部分或全部、和/或任何其他合适的信息(例如，识别装置100本身的任何信息、唯一的以装置为基础的交易标识符，和/或类似物)可一起作为装置事务数据678从装置100传输至商业实体子系统400(例如，如关于在程序500的步骤514所描述)。因此，装置事务数据678的至少部分(例如，含或不含验证响应数据674的安全装置数据677)可仅由可存取用于加密的那个存取信息(例如，存取密钥155a、存取密钥155b、ISD密钥156k、CRS 151k、和/或CASD158k)的实体(例如，商业实体子系统400)被解密，该加密产生装置事务数据678的安全装置数据677。此类装置事务数据678可在步骤626至628被产生及接着在步骤628传输至商业实体子系统400(例如，经由通信部件106及通信路径65，自安全元件145或以其他方式传输)。步骤626、627及628可确保自装置100的安全元件145所产生及传输的任何凭据数据(作为装置事务数据678的部分)已经先依不可被装置100的另一部分解密(例如，被处理器102解密)的方式被加密。即，可用可未暴露于装置100的在其安全元件外的任何部分或不可由该任何部分存取的凭据密钥155a'来加密装置事务数据678的付款凭据数据675作为经加密装置付款凭据数据676。另外，可用可未暴露于装置100的在其安全元件外的任何部分或不可由该任何部分存取的存取密钥(例如，存取密钥155a、155b、156k、151k、和/或158k(例如，本文中称为“存取信息”))来加密事务数据678的此类装置付款凭据数据676作为安全装置数据677。

接下来，在步骤629，程序600可包括商业实体子系统400接收及解密装置事务数据678的至少一部分。例如，商业实体子系统400可接收装置事务数据678并可接着使用如可在商业实体子系统400处可用的存取信息(例如、155a、155b、156k、151k、和/或158k)来解密装置事务数据678的安全装置数据677。此可使商业实体子系统400能够确定未经加密的商家的识别(例如，自经解密安全装置数据677)，同时还维持付款凭据数据675处于经加密状态(例如，作为经加密装置付款凭据数据676)，此是因为商业实体子系统400可不具有凭据密钥155a'的存取权，在步骤626，此类装置付款凭据数据675可已由装置100的安全元件145被加密作为经加密装置付款凭据数据676。除此之外或作为另外一种选择，可由可已连同安全装置数据677一起包括于装置事务数据678中的附加数据来识别商家。装置事务数据678可包括识别装置100或至少其安全元件的信息，使得当由商业实体子系统400接收装置事务数据678时，商业实体子系统400可知道要在步骤629使用哪一个存取信息(例如，存取信息155a、155b、156k、151k、和/或158k的哪一者)。例如，商业实体子系统400可存取多个存取密钥155a/155b和/或多个ISD密钥156k，此类密钥的各自可以是特定装置100特定的密钥或特定安全元件特定的密钥。

另外，在步骤629之前或之后，在接收在步骤628所传送的装置事务数据678后，程序600的步骤629可包括商业实体子系统400验证可已被装置100包括在装置事务数据678中的验证响应数据674的验证数据。例如，响应于接收此类装置事务数据678，在步骤630(例如，相似于在程序500的步骤516)，商业实体子系统400可操作以识别来自那个装置事务数据678的验证响应数据674的至少一部分或全部并确认那个所接收的装置事务数据678的验证数据目前是经存储在商业实体子系统400处，或更具体而言，在一些实施例中，确认那个所接收的装置事务数据678的验证数据目前是在商业实体子系统400处对照所接收的装置事务数据678的验证会话标识符和/或对照所接收的装置事务数据678的商家标识符经存储(例如，在表格430中)。在一些实施例中，介于该验证数据与验证会话标识符及商家标识符的一者或两者之间的此所存储连结可在自动清除该连结前维持达仅一段有限时间量，使得电子装置100会受限于必须在一定持续时间内在步骤624接收验证响应数据674并接着在步骤628发送装置事务数据678至商业实体子系统400，用于实现由商业实体子系统400保护装置事务数据678的安全装置数据677的安全，以用于运用经验证商家在线资源实行特定安全数据交易(例如，商业实体子系统400可操作以在一定时期之后移除在商业实体子系统400处的介于验证数据与验证会话标识符和/或商家标识符之间的此关联性(例如，在建立该连结之后不超过10分钟即自表格430移除该链接)，其可增加交易安全性)。除此之外或作为另外一种选择，在步骤622，也可使介于该验证数据与验证会话标识符及商家标识符的一或两者之间的所存储连结与任何合适的特定潜在交易识别信息(在步骤614及620的一者或多者期间，可由商家子系统200使潜在交易识别信息可供商业实体子系统400使用)相关联(例如，作为质询请求数据664的一部分和/或质询响应数据670的一部分)，诸如待共享于装置100与商家子系统200之间的特定类型安全数据的识别(例如，用于金融交易的货币及数额及付款类型，及也可由电子装置100使相似特定潜在交易识别信息可供商业实体子系统400使用，作为步骤628的装置事务数据678的一部分，使得步骤630也可包括商业实体子系统400确认目前对照在步骤614和/或步骤620所接收的验证数据所存储的特定潜在交易识别信息(例如，如在步骤616和/或步骤622存储在表格430中者)至少相似于在步骤628所接收的特定潜在交易识别信息。例如，如果在步骤622对照与指示5美元金融交易的潜在交易相关联的特定潜在交易识别信息来存储特定验证数据，但是接着在步骤628由商业实体子系统400连同那个特定验证数据一起接收的特定潜在交易识别信息指示2,000美元的金融交易，则归因于介于$5与$2,000之间的差异量值，商业实体子系统400可操作以不验证装置事务数据678的验证数据。因此，即使在步骤628所接收的装置事务数据678的验证数据及验证会话标识符和/或商家标识符可在商业实体子系统400处确认为经主动链接(例如，在表格430中)，如果装置事务数据678未满足可与那个链接相关联的其他数据，则该验证数据仍会不被验证(例如，如果在步骤616至622期间所识别的安全数据交易的任何合适特性与步骤628的装置事务数据678中所识别的任何合适特性相差达任何合适的量(例如，特定数据类型的百分比变异(percentage variance)，诸如相差超过金融交易货币值的10％，或相差超过健康数据的时间框架的10％)；或特定类型不同(例如，所识别数据的类型不同，诸如所识别数据的两个例项之间的健康数据类型不同(例如，心跳率数据对行走哩程数数据，或生物特征数据对付款数据等)；和/或所识别数据的两个例项之间的正用于交易的货币类型不同(例如，美元对日元等)；和/或用于递送货物的付款交易的运送地址的地点))。数据比较可以是介于针对特定交易实际接收的数据与针对特定商家的汇总过去数据之间，以检测与预期范数(norm)偏差的某些例项(例如，由商家测侦生活史资料(biodata)的第一交易直到那时仅已交易付款凭据数据等)，其中可由商家使用潜在交易识别信息以验证或检测诈骗且非必然关于该用户装置(例如，在某些例项中，可追踪商家(而非装置)的汇总数据，以尊重终端使用者的隐私权问题)。

接下来，在步骤631，程序600可包括商业实体子系统400识别可已通过付款请求数据610和/或验证会话(且因此，通过装置事务数据678)所识别的商家相关联的商家密钥(例如，商家密钥157)，并接着使用那个商家密钥来重新加密装置事务数据678的至少一部分。即，在步骤629使用合适的存取信息来解密装置事务数据678的至少一部分后(例如，在解密安全装置数据677以具现化(realize)装置付款凭据数据676及可已在安全装置数据677中加密的任何其他信息(例如，验证响应数据674)之后)，接着在步骤631，商业实体子系统400可用适当的商家密钥(其可与在装置事务数据678中所识别的商家信息相关联，或可与在表格430中识别为与在步骤630经验证的经链接验证数据相关联者)来重新加密装置事务数据678的至少一部分(例如，装置付款凭据数据676的符记数据和/或密码编译数据)。例如，可通过比较使用装置事务数据678所识别的商业实体商家信息与在图1A的表格430中的数据来确定此商家密钥(例如，商家密钥157)。运用此经确定的适当的商家密钥，商业实体子系统400可用那个商家密钥(例如，商家密钥157)来重新加密装置事务数据678的至少一部分(例如，装置付款凭据数据676的符记数据和/或密码编译数据)作为经加密商家凭据资料681。例如，经加密商家凭据数据681可至少包括来自装置事务数据678的经加密装置付款凭据数据676以及任何合适的事务数据，诸如来自或基于装置事务数据678和/或潜在事务数据660的购买总额数据或其他合适的事务数据。来自装置事务数据678的商家识别信息可不需要被包括在经加密商家凭据数据681中，这是因为可已使用那个商家识别来确定在步骤631可用来加密经加密商家凭据资料681的商家密钥。可由商业实体子系统400来签署经加密商家凭据数据681使得当由商家子系统200接收时，商家子系统200可确立商业实体子系统400为此类经加密商家凭据数据681的建立者并且/或者可使商家子系统200能够确保此类经加密商家凭据数据681在经签署之后未经修改。在步骤631可产生此类经加密商家凭据数据681，并且接着在步骤632传输此类经加密商家凭据数据681连同任何其他合适的数据至装置100，作为经保护安全的事务数据682(例如，经由图1A的路径65自商业实体子系统400的服务器410传输至装置100的通信部件106)。

步骤631及632可操作以确保自商业实体子系统400经传输作为图1A的经保护安全的事务数据682的部分的凭据数据(例如，经加密商家凭据数据681的符记数据和/或密码编译数据)可经加密使得装置100除安全元件145外无一部分可解密该凭据数据。即，可用可未暴露于装置100的任何部分(在一些实施例中，包括安全元件145)或以其他方式不可由该任何部分存取的商家密钥(例如，商家密钥157)来加密经保护安全的事务数据682的凭据数据(例如，经加密商家凭据数据681的符记数据和/或密码编译数据)。另外，可用可未暴露于装置100的安全元件145的外的任何部分或以其他方式不可由该任何部分存取的凭据密钥155a'来加密经保护安全的事务数据682的凭据数据(例如，经加密商家凭据数据681的符记数据和/或密码编译数据)(例如，在步骤626)。

接着，在步骤634，经保护安全的事务数据682可转递至商家子系统200上作为经保护安全的事务数据684(例如，经由通信路径15或作为非接触式的以接近性为基础的通信5)。替代地，商家凭据数据681可自商业实体子系统400传送至商家子系统200，而无需经由装置100被传送(图中未展示)。可透过装置100和/或商业实体子系统400传输潜在事务数据660的一者、一些或所有部分至经保护安全的事务数据682和/或至经保护安全的事务数据684，使得在程序600期间可由实体的各自来识别潜在交易的某些标识符，包括但不限于：(i)特定商家信息，诸如商家的唯一商家标识符(即，“商家A”)，和/或使用中的特定商家资源的识别(例如，特定商家应用程序113')；(ii)特定交易信息，诸如用于支付交易的特定货币的识别(例如，日元、英镑、美元等)，和/或用于交易的待支付的货币的特定总额的识别(即，“价格C”)，和/或待购买或租借或以其他方式支付的特定产品或服务的识别(即，“产品B”)，和/或待使用的默认或初始运送地址的识别(即，“运送D”)；(iii)指示商家可接受用于交易的一种或多种类型付款方法的信息(例如，可用于购买的付款卡清单(例如，MasterCard，而非Visa))或由装置100所选择(即，“凭据X”)；(iv)唯一的以商家为基础的交易标识符(例如，任何合适的数据元素，诸如3或4字符文数字符串，其可由商家子系统200随机或唯一地产生用于与正在进行中的交易相关联)；(v)唯一的以用户装置为基础的交易标识符(例如，任何合适的数据元素，诸如3或4字符文数字符串，其可由装置100随机或唯一地产生用于与正在进行中的交易相关联)；(vi)唯一商家在线资源验证会话标识符)，和/或类似物。

一旦由商家子系统200接收包括付款凭据数据675/676的商家凭据数据681(例如，作为经保护安全的事务数据684，在步骤634)，程序600也可包括步骤636，在此步骤，商家子系统200可被配置为产生并传输付款数据686至收单银行子系统300(例如，经由图1A的介于商家子系统200与收单银行子系统300之间的通信路径25)，其中数据686可包括付款信息及授权请求，其可指示装置100的经保护安全的装置付款凭据数据及针对产品或服务的商家购买价格(例如，如可被包括在经保护安全的事务数据684中或以其他方式与经保护安全的事务数据684相关联，或如可以其他方式与如由商家子系统200已知的交易相关联(例如，通过潜在事务数据660(例如，基于唯一交易标识符)))。例如，在步骤636，商家子系统200可充分利用其已知的商家密钥157以至少部分解密经保护安全的事务数据684的商家凭据数据681，使得付款数据686可包括经用其凭据密钥155a'(而非用不可供金融机构子系统350使用的密钥)加密的凭据SSD 154a的经保护安全的付款凭据数据(例如，数据676)。

如果在步骤636传输付款数据686至收单银行子系统300，则接着，在步骤638，收单银行子系统300可转递来自付款数据686的授权请求信息至金融机构子系统350而作为授权请求数据688(例如，经由图1A的介于收单银行子系统300与金融机构子系统350之间的通信路径35)。接下来，在步骤640，当金融机构子系统350的发行银行子系统370接收授权请求(例如，在步骤640，直接接收来自收单银行子系统300的授权请求，作为数据688，或间接经由付款网络子系统360接收授权请求，作为数据405)、付款信息(例如，如由装置100的安全元件145通过凭据密钥155a'所加密的装置100的付款凭据数据675(例如，数据676))及购买总额时，授权请求、付款信息及购买总额的各自：可被包括在授权请求数据688中，以及被包括在数据682、684和/或686中；可经解密(例如，在金融机构子系统350处使用凭据密钥155a')及经分析确定定与该商务凭据相关联的账户是否具有足以履行该购买总额的信用。如果不存在足够资金，发行银行子系统370可通过传输否定授权响应至收单银行子系统300而拒绝所请求的交易。然而，如果存在足够资金，发行银行子系统370可通过传输肯定授权响应至收单银行子系统300而核准所请求的交易，而可完成金融交易。在程序600的步骤640，可由用户金融子系统350提供任一类型授权响应至收单银行子系统300作为授权响应交易状态数据690(例如，经由通信路径35自发行银行子系统370直接提供至收单银行子系统300，或基于可经由图1A的通信路径45自发行银行子系统370提供至付款网络子系统360的授权响应数据415，自付款网络子系统360提供至收单银行子系统300)。接下来，响应于在步骤640接收授权响应交易状态数据690，在步骤642，程序600也可包括收单银行子系统300或任何其他合适的子系统与商家子系统200共享此类授权响应交易状态数据作为授权响应交易状态数据692，其接着在步骤644可与装置100共享(例如，使用商家资源或以其他方式)作为经确认的交易状态数据694。此类经确认的交易状态数据可被配置为提供任何合适的确认数据至装置100，诸如图3D的画面190d的确认数据317。如果交易成功，在步骤644，经确认的交易状态数据可操作以在装置100关闭交易。除此之外或作为另外一种选择，如果交易不成功，则经确认的交易状态数据可操作或可不操作以关闭交易(例如，如果无可用的有效资金或如果装置识别为诈骗，则关闭交易，但如果是确定非有效运送地址则保持开放并允许更新)。任何非交易终止交易状态数据可允许付款程序继续，直到由应用程序取消该程序、由用户取消该程序、或程序完成。

因此，商家子系统200可被配置成依任何合适的方式处理经保护安全的事务数据684或商家凭据数据681的任何其他载体(carrier)。例如，为了自商家凭据数据681获得装置付款凭据数据，商家子系统200可验证所接收的商家凭据数据681的签章属性是有效且那个商业实体子系统400是那个签章的签署者。商家子系统200可使用任何合适的技术以确定可已由商业实体子系统400使用哪一商家密钥(例如，哪一商家公钥157)来构造商家凭据资料681。接着，商家子系统200可撷取相对应的商家私钥(例如，在商家子系统200处的商家私钥157)并使用那个经撷取的密钥以解封装和/或解密经加密商家凭据资料681，以复原经加密数据676。接着此类数据676可提供至适当的付款网络360，其可充分利用金融机构子系统350的适当的凭据密钥155a'，以解封装和/或解密经加密装置付款凭据数据676，以复原装置付款凭据数据675(例如，复原装置付款凭据数据675的符记数据和/或密码编译数据，用于验证装置付款凭据数据675(例如，以基于所接收的装置付款凭据数据675的符记数据来独立产生密码编译数据、比较所产生的密码编译数据与所接收的装置付款凭据数据675的密码编译数据、并基于该比较而验证或拒绝交易))。

应理解，图6的程序600中展示的步骤仅是阐释性，且可修改或省略现有步骤、可新增附加步骤、并且可改变某些步骤的顺序。虽然未展示，经保护安全的事务数据可自商业实体子系统400直接传送至商家子系统200(例如，在步骤632及634，经由通信路径85而非经由装置100)，或直接传送至金融机构子系统350(例如，在步骤632至638，经由通信路径55而非经由装置100和/或非经由商家子系统200和/或非经由收单银行300)。除此之外或作为另外一种选择，虽然未展示，经保护安全的事务数据可从装置100直接传送至金融机构子系统350(例如，未经由商家子系统200)。应理解，如果程序600的任何验证步骤失败，此类失败可传送至一个或多个合适的实体。例如，如果在步骤616验证质询请求数据664失败，和/或如果在步骤622验证质询响应数据670失败，和/或如果在步骤630验证装置事务数据678的验证响应数据674的验证数据失败，则可由商业实体子系统400与商家子系统200和/或电子装置100共享此类失败，使得装置100可取消与商家子系统200的潜在交易且有可能自装置100移除商家在线资源。在步骤625装置100的用户可选取某安全数据以用于安全数据交易后(例如，特定付款凭据的某付款凭据数据)，在程序600的其余步骤可对那个使用者透通地发生(例如，步骤626至644可发生而无需任何与装置100的进一步用户互动且对装置100的用户而言如同瞬时)。在步骤625之后，程序600对装置100的用户而言看来像是安全装置数据系自动且瞬间地发送至商家子系统200并且可对装置100确认交易状态(例如，通过商家子系统200和/或商业实体子系统400)。除此之外或作为另外一种选择，商家在线资源的验证可对装置100透通地发生(例如，步骤614至624(如果未还含步骤612)可发生而无需任何与装置100的用户互动且步骤610之后对装置100的用户而言如同瞬时)。替代地，在一些实施例中，程序600可对装置100的用户完全透通地发生(例如，其中装置100可被配置为自动确定何时宜发生安全装置交易及自动接收验证响应数据，和/或自动发送装置事务数据，和/或自动接收和/或发送经保护安全的事务数据以用于安全装置交易，而无需与装置100的任何主动使用者互动，同时商家在线资源仍然可在验证会话经起始并经实行期间被验证以用于那个特定安全装置交易)。例如，如所提及，装置100可被配置为确定特定产品宜购买并与一个或多个商家互动，以从那个特定产品的至少一特定商家获得相关联的潜在事务数据(例如，装置100可以是家用电器，其可被配置为确定必须购买的电器用产品(例如，检测洗衣机需要更多洗衣清洁剂，或检测由使用者预设要在特定日期买更多清洁剂的行事历事件)，并可自动识别提供那个产品的最佳优惠的特定商家，且可自动与那个商家互动以从那个家获得用于购买那产品的潜在事务数据)，全部皆自动化且无需由装置100的用户进行任何主动互动。其后，装置100和/或特定商家可操作以自动起始步骤612的验证会话。

在一些实施例中，在步骤616已验证质询请求之后可略过步骤618至622，且替代地，在步骤616可产生及存储验证数据，而非质询数据。因此，在一些实施例中，步骤614及616可足以验证用于特定验证会话的商家在线资源。在一些实施例中，在步骤616所产生的质询数据可不同于在步骤622所产生的验证数据。例如，质询数据可足够长(例如，合适长度的数据字符串，诸如10或更多个字符)以提供足够的随机性，以用于用质询数据668实现对商家子系统200的显著健全质询，然而验证数据可比质询数据更短(例如，验证数据可以是长度比质询数据的长度更短的数据字符串，诸如6个字符)以提供足够的随机性，以用于用验证响应数据674实现会话验证的证明和/或满足任何合适的标准(例如，满足EuropayMasterCardVisa(“EMV”)标准的数据长度需求)。替代地，质询数据及验证数据可相同且在步骤616及步骤622两者重复使用。在步骤624，可基于商家子系统200的质询的成功验证而非仅仅基于介于装置100与商家之间将发生付款交易的确定，由商业实体子系统400产生及提供验证响应数据674的验证数据(例如，临时值)至装置100。当装置100可经由在装置100上的原生应用程序(其可以是商家特定的应用程序)来与商家子系统200通信时，则可由此应用程序提供商家应用程序113。然而，当装置100可经由因特网浏览器应用程序或混合式应用程序(其可以是或可不是商家特定的应用程序，但是，其可经指向至由商家管理的网站(例如，在受控于商家的服务器上))来与商家子系统200通信时，则商家应用程序113可以是版面配置引擎(layout engine)软件部件(例如，WebKit)，版面配置引擎软件部件可转递通信至商家的网站上(例如，经由通信部件106)。例如，装置100的此应用程序113可以是用于待提供至商家子系统200的任何装置事务数据的管道。

现在可关于不同商家构型来描述程序600的某部分的替代实施例。商家子系统200可经配备以运用变化的控制程度来处置程序600的安全交易。在第一商家构型中，其中商家子系统200可保持控制整个程序，商家子系统200可操作以不仅处置商家在线资源的验证(例如，在步骤614及616和/或在步骤618及620，商家子系统200本身可与商业实体子系统400通信以验证该商家在线资源)，而且也可处置由商业实体子系统400所加密的安全数据的解密(例如，在步骤636，商家子系统200可充分利用商家密钥157以至少部分解密经保护安全的事务数据684的商家凭据数据681)。在此第一商家构型中，商家子系统200可作为自己的付款服务提供商(“PSP”)且可以是与商业实体子系统400通信(以在程序600中注册及验证在线资源)的唯一子系统，如对高交易量的大型商家而言可是典型的(例如，Amazon.com)。替代地，在第二商家构型中，商家子系统200可交出付款解密责任给任何合适的商家-合作伙伴子系统，诸如PSP子系统310，其在图1A及图6可展示为收单银行300的一部分。在此第二商家构型中，商家子系统200可操作以处置商家在线资源的验证(例如，在步骤614和/或在步骤618及620，商家子系统200本身可与商业实体子系统400通信以验证该商家在线资源)，但是PSP子系统310可操作以处置由商业实体子系统400所加密的安全数据的解密(例如，在步骤638，PSP子系统310可充分利用商家密钥157以至少部分解密付款数据686的商家凭据数据681)。在此第二商家构型中，商家子系统200可使用不同的第三方后端PSP用于其付款解密，使得商家子系统200及PSP子系统310两者可与商业实体子系统400通信以用于在程序600中注册在线资源，如对可利用付款服务提供商的较小型商家而言可以是典型的(例如，收单银行(例如，Chase Paymentech)或较小型PSP(例如，Stripe，Braintree，First Data等)，其可操作以与多个收单银行、卡及付款网络通信，和/或代表商家子系统200管理与外部网络及银行帐户的此类技术连接及关系，从而使商家子系统200较不依赖于金融机构)。此第二商家构型的PSP子系统310可对装置100的用户隐藏，使用者可仅介接商家子系统200的在线资源(例如，在图3A至图3D的画面190a至190d)。替代地，在第三商家构型中，商家子系统200可交出线上资源验证责任及付款解密责任给任何合适的商家-合作伙伴子系统，诸如PSP子系统310。在此第三商家构型中，PSP子系统310可操作以不仅处置商家在线资源的验证(例如，在步骤614，PSP子系统310本身可与商业实体子系统400进行质询请求数据664的传送以验证该商家在线资源(例如，响应于PSP子系统310接收来自商家子系统200的会话起始数据662))，而且也可处置由商业实体子系统400所加密的安全数据的解密(例如，在步骤638，PSP子系统310可充分利用商家密钥157以至少部分解密付款数据686的商家凭据数据681)。在此第三商家构型中，商家子系统200可使用不同的第三方前端PSP用于验证及付款解密，使得商家子系统200及PSP子系统310两者可与商业实体子系统400通信以在程序600中注册及验证在线资源，如对“长尾型(long tail)”商家而言可以是典型的，长尾型商家会依赖第三方付款服务提供商来代表其实行整个检查及付款程序(例如，可由Stripe Inc.的PSP提供Stripe Checkout)。不同的第三方前端PSP子系统310可针对桌面计算机、平板计算机及行动装置提供可内嵌的付款形式(例如，如可寄存于PSP子系统310的服务器上，诸如内嵌至商家子系统200的商家资源中的PSP子系统310的Java脚本)，桌面计算机、平板计算机及行动装置可在商家子系统200的Web资源内运作用于客户经由PSP子系统310的那个付款形式进行付款，而无需将客户(例如，装置100的用户)重新导向离开商家子系统200的Web资源以完成交易或客户可被重新导向离开商家子系统200的Web资源至PSP子系统310的Web资源以完成程序(例如，PayPal.com)。此第三商家构型的PSP子系统310可操作以管理及操作PSP在线资源，PSP在线资可相似于商家在线资源，但是可由本身不具备处理付款能力的商家在线资源利用PSP在线资源，例如，其中网站商家在线资源113可将与那网站商家在线资源113介接的装置100的用户导向至网站PSP在线资源113的接口(其可内嵌在网站商家在线资源113的任何部分内)，或可自网站商家在线资源113的任何合适部分将用户重新导向(例如，可由网站PSP在线资源(而非由网站商家在线资源)提供图3A至图3D的画面190a至190d的一者或多者的任何合适部分)。因此，取决于系统1的构型及商家子系统200的能力，商家子系统200及PSP子系统310(例如，收单方子系统300)可一起提供系统1的单一健全处理子系统299或可用作系统1的相异实体。

向商业实体子系统400注册商家在线资源可包括商家子系统200单独地或与PSP子系统310组合(例如，取决于采用该三种商家构型的哪一者)向商业实体子系统400登记，以操作地向商业实体子系统400验证在线资源并且还解密如由商业实体子系统400所加密的凭据数据。例如，步骤606可不仅包括关于与在线资源相关联的一个或多个商家标识符167而于商业实体子系统400与商家子系统200或PSP子系统310之间共享的商家密钥157，其中在商业实体子系统400处可使用此类密钥157来加密数据(例如，在步骤631)并在商家子系统200或PSP子系统310处使用此类密钥157来解密那个数据(例如，在步骤636或步骤638)，而且也可包括关于与该在线资源相关联的一个或多个商家标识符167而于商业实体子系统400与商家子系统200或PSP子系统310之间共享的凭证177，其中凭证177可于验证该在线资源(例如，在步骤614及步骤616)。

仅举一实例，在步骤606，用于在线资源(例如，网站商家在线资源113)的共享密钥的第凭证签署请求(“CSR”)可经产生并传送至商业实体子系统400。用于共享密钥的此第一CSR可包括：与该在线资源相关联的至少一商家标识符167，诸如该在线资源的完全合格域名(“FQDN”)(例如，可指定其确切地点的一Web网域，包括根及子域(例如，DNS主机名))；和/或任何其他合适的商家标识符，其可连结至该在线资源的该网域；和/或任何合适的商家-合作伙伴的任何其他合适的标识符，其可与该在线资源相关联(例如，PSP标识符(如果商家子系统200可使用PSP以解密由商业实体子系统400所加密的凭据数据))。在步骤606，商业实体子系统400可响应用于共享密钥的第一CSR，而促进密钥对(例如，公开及私密商家密钥157)作为于商业实体子系统400与商家子系统200或PSP子系统310之间的共享秘密(其可与该第一CSR的商家标识符167的一者或多者相关联)。例如，该密钥对的第一商家密钥157可对照用于该商家在线资源的该第一CSR的商家标识符的一者、一些或各自而存储在商业实体子系统400的表格430中，或以其他方式使该密钥对的第一商家密钥157与用于该商家在线资源的该第一CSR的商家标识符的一者、一些或各自相关联，而该密钥对的第二商家密钥157可对照用于该商家在线资源的该第一CSR的商家标识符的一者、一些或各自而存储在商家子系统200和/或在PSP子系统310处，或以其他方式使该密钥对的第二商家密钥157与用于该商家在线资源的该第一CSR的商家标识符的一者、一些或各自相关联。一个或多个商家标识符可与特定商家在线资源113相关联，诸如第一商家标识符167唯一地与该特定商家在线资源113相关联(例如，FQDB(如果为一Web资源商家在线资源113))，和/或第二商家标识符167与特定商家子系统200的各商家在线资源113相关联。除此之外或作为另外一种选择，一个或多个商家密钥可与特定商家标识符相关联或与特定商家在线资源113相关联。在步骤606的一个或多个例项，所有此类商家密钥与商家标识符的关联性可由商业实体子系统400被存储，或以其他方式可供商业实体子系统400存取(例如，在一个或多个表格430中)。在第一商家构型中，商家子系统200可产生并提供此第一CSR至商业实体子系统400，且商家子系统200可对照用于该在线资源的该第一CSR的商家标识符167的一者、一些或各自来存储商家密钥157，或以其他方式使商家密钥157与用于该在线资源的该第一CSR的商家标识符167的一者、一些或各自相关联。在第二商家构型及第三商家构型中，PSP子系统310或商家子系统200可产生此第一CSR，而PSP子系统310或商家子系统200的任一者可提供此第一CSR至商业实体子系统400，且PSP子系统310可接收来自商业实体子系统400(例如，直接或经由商家子系统200)的商家密钥157，并对照用于该在线资源的该第一CSR的商家标识符167的一者、一些或各自来存储商家密钥157，或以其他方式使商家密钥157与用于该在线资源的该第一CSR的商家标识符167的一者、一些或各自相关联。

此外，在步骤606，用于该在线资源的凭证的第二CSR(例如，网站商家在线资源113)可经产生并传送至商业实体子系统400。用于凭证的此第二CSR可包括：与该在线资源相关联的至少一商家标识符167，诸如该第一CSR的至少一商家标识符167或其他(例如，在线资源的FQDN或任何其他合适的商家标识符，其可连结至该在线资源的该网域)，和/或任何合适的商家-合作伙伴的任何其他合适的标识符，其可与该在线资源相关联(例如，PSP标识符(如果商家子系统200可使用PSP子系统以验证该在线资源))。在步骤606，商业实体子系统400可响应于用于凭证的该第二CSR，而促进凭证177被产生且于商业实体子系统400与商家子系统200或PSP子系统310之间共享，其中凭证177可包括该第二CSR的商家标识符167的一者、一些或全部，且可使用用于该商家在线资源的该第一CSR的商家密钥(例如，如可由第二CSR的商家标识符的一者或多者所识别)来产生(例如，由商业实体子系统400)凭证177。例如，用于该第二CSR的在线资源的凭证177可对照用于该在线资源的该第二CSR的商家标识符的一者、一些或各自来存储在商业实体子系统400的表格430中，或以其他方式使凭证177与用于该在线资源的该第二CSR的商家标识符的一者、一些或各自相关联，而凭证177也可对照用于该在线资源的该第二CSR的商家标识符的一者、一些或各自来存储于商家子系统200处和/或存储在其PSP子系统310处，或以其他方式使凭证177与用于该在线资源的该第二CSR的商家标识符的一者、一些或各自相关联。凭证177可以是任何合适的数字证书，诸如传输层安全性(“TLS”)凭证或安全套接字层(“SSL”)凭证。在第一商家构型及第二商家构型两者中，商家子系统200可产生并提供此第二CSR至商业实体子系统400，且商家子系统200可对照用于该在线资源的该第二CSR的商家标识符167的一者、一些或各自来存储凭证177，或以其他方式使凭证177与该在线资源的该第二CSR的商家标识符167的一者、一些或各自相关联。在第三商家构型中，PSP子系统310和/或商家子系统200可产生此第二CSR且可提供此第二CSR至商业实体子系统400，且PSP子系统310可对照用于该在线资源的该第二CSR的商家标识符167的一者、一些或各自来存储凭证177，或以其他方式使凭证177与用于该在线资源的该第二CSR的商家标识符167的一者、一些或各自相关联，其中用于提供凭证177给PSP子系统310的此程序可完成而无关于商家子系统200且可在商家子系统200与PSP子系统310形成合作关系之前完成(例如，商家子系统200与PSP子系统310形成合作关系用于提供前端PSP模型前，PSP子系统310可以是商业实体子系统400的受信任PSP且具备凭证177，其中经由PSP子系统310及PSP子系统310的网域发生付款)。商家子系统200可提供PSP所提供的网域至商业实体子系统400，并向商业实体子系统400请求确认那PSP子系统310是受信任且具有那网域的凭证177。

此外，在步骤606，在处置该第一CSR及该第二CSR的任一者或两者之前、期间或之后，可已向商业实体子系统400验证或以其他方式实证由商家子系统200或由商家-合作伙伴PSP子系统310拥有权该网站在线资源的网域(例如，FQDN)(例如，如关于步骤501所描述)。当注册在线资源时，用于密钥的该第一CSR、用于凭证的该第二CSR及该网域验证中的任何一者可发生在用于密钥的该第一CSR、用于凭证的该第二CSR及该网域验证中的任何其他者之前或之后。然而，在一些实施例中，在处理用于凭证的第二CSR之前验证网域可实现更容易且/或更有效率的注册程序。在第一商家构型及第二商家构型两者中，商家子系统200可共享向商业实体子系统400登记的网站商家在线资源的FQDN，商业实体子系统400可提供任何合适的档案(例如，诸如JSON档案)至商家子系统200，商家子系统200可签署那个档案(例如，运用共享的商家密钥157)并在FQDN上寄存那档案，且接着商业实体子系统400可自该FQDN存取那经签署档案并移除该档案的签署(例如，运用共享的商家密钥157)以确认所存取的档案匹配与商家子系统200共享的该档案，且任何相关联的阈值已符合(例如，持续时间等)。在第三商家构型中，PSP子系统310可与商业实体子系统400共享经登记的网站在线资源的FQDN(例如，PSP的网站在线资源)，商业实体子系统400可提供任何合适的档案(例如，诸如JSON档案)至PSP子系统310，PSP子系统310可签署那个档案(例如，运用共享的商家密钥157)并在FQDN上寄存那个档案，且接着商业实体子系统400可自该FQDN存取那个经签署档案并移除该档案的签署(例如，运用共享的商家密钥157)以确认所存取的档案匹配与PSP子系统310共享的该档案，且任何相关联的阈值已符合(例如，持续时间等)。在第三商家构型中，商家子系统200可操作以将指示介于商家子系统200与PSP子系统310之间的合作关系的数据传送至商业实体子系统400，使得商业实体子系统400可操作以向商家子系统200确认PSP子系统310的有效性并存储介于商家子系统200的商家标识符167与PSP子系统310的FQDN和/或凭证177之间的关联性(例如，在表格430中)，用于在程序600的其他部分期间的任何合适使用。在一些实施例中，针对第二商家构型及第三商家构型，提供至PSP子系统310的(一个或多个)商家密钥157可由PSP子系统310全局使用，用于解密关于任何合作伙伴商家子系统200的数据。替代地，针对第二商家构型及第三商家构型，提供至PSP子系统310的(一个或多个)商家密钥157可特定于特定合作伙伴商家子系统200，由此商家子系统200可与商业实体子系统400通信(例如，运用用于密钥的该第一CSR)，且接着可使PSP子系统310能够接收那个商家子系统200特定的此类(一个或多个)商家密钥157(例如，直接来自商业实体子系统400或来自商家子系统200)，其中在商业实体子系统400处(例如，在表格430中)和/或在PSP子系统310处，此类(一个或多个)商家密钥157可与商家子系统200的任何合适的商家标识符167一起存储或以其他方式使此类(一个或多个)商家密钥157与商家子系统200的任何合适的商家标识符167相关联。此可在商业实体子系统400不再信任特定商家子系统时能够在商业实体子系统400处使商家特定商家密钥157无效化，同时仍然使得能够关于其他商家子系统使用PSP子系统310的其他商家特定密钥。在一些实施例中，可提供一个或多个API，用于实现PSP子系统310直接介接商业实体子系统400，用于允许PSP子系统310与商业实体子系统400共享任何商家密钥157和/或凭证177(其可特定于PSP子系统310的特定合作伙伴商家子系统200)，而无需要求商家子系统200直接涉及那个程序(例如，使得PSP子系统310可向商业实体子系统400上架(onboard)商家，作为那个商家的代理(proxy))。凭证177也可对于PSP子系统310系全局的或是特定于特定合作伙伴商家子系统200。

因此，步骤606和/或步骤501可不仅包括已由商业实体子系统400验证在线资源的网域，而且也可包括在商业实体子系统400处及在商家子系统200处和/或在商家-合作伙伴PSP子系统310处对照商家密钥157及凭证177两者来存储与该在线资源的那网域相关联或相同的商家标识符167，用于在商业实体子系统400处登记该在线资源。因此，在商业实体子系统400处及在商家子系统200处和/或在PSP子系统310处，可对照商家密钥157及凭证177来存储在线资源的已验证FQDN和/或任何其他合适的商家标识符167(例如，在程序600的步骤606和/或在程序500的步骤501)，用于不仅实现在验证会话期间验证在线资源的FQDN(例如，在程序600的步骤614及616和/或在程序500的步骤506)，而且还用于实现由商业实体子系统400加密安全数据(例如，在程序600的步骤631和/或在程序500的步骤518)，及由商家子系统200或PSP子系统310来对应地解密那个经加密安全数据(例如，在程序600的步骤636或步骤638和/或在程序500的步骤522后)。例如，在第一商家构型及第二商家构型两者中，响应于在步骤612商家子系统200接收来自装置100的任何合适商家在线资源验证会话起始数据662以用于起始商家在线资源113的验证会话(其中此类验证会话起始数据662可包括该在线资源的标识符，例如，由装置100存取的商家在线资源的FQDN)，在步骤614商家子系统200可操作以传送任何合适的质询请求数据664(包括在步骤606由商家子系统200所接收并对照验证会话起始数据662的那个FQDN存储的凭证177)至商业实体子系统400，用于验证用于待实行的特定安全数据交易的商家在线资源(例如，如在步骤610和/或步骤612所识别的金融付款交易)。替代地，在第三商家构型中，响应于在步骤612PSP子系统310接收来自装置100的任何合适在线资源验证会话起始数据662以用于起始PSP在线资源113的验证会话(其中此类验证会话起始数据662可包括该在线资源的标识符，例如，由装置100存取的PSP在线资源的FQDN)，在步骤614PSP子系统310可操作以将任何合适的质询请求数据664(包括在步骤606由PSP子系统310所接收并对照验证会话起始数据662的那个FQDN所存储的凭证177)传送至商业实体子系统400，用于验证用于待实行的特定安全数据交易的PSP在线资源(例如，如在步骤610和/或步骤612所识别的金融付款交易)。在步骤614从商家子系统200或PSP子系统310传送至商业实体子系统400的此类质询请求数据664可包括用于尝试向商业实体子系统400实证在线资源的有效性的任何合适数据，包括但不限于：凭证177，其可包括与在线资源相关联的FQDN和/或任何其他合适的标识符，如在步骤606由商业实体子系统400产生者；及任何其他合适的数据(例如，识别装置100的数据，和/或识别待实行的特定安全数据交易的数据(例如，如在步骤610和/或步骤612所识别的金融付款交易，其在本文中可称为潜在交易识别信息，且其可在程序600的任何合适部分期间使用，用于提供(一个或多个)任何附加安全性层至目前数据交易程序，和/或用于提供任何附加安全性(例如，诈骗检测)服务用于未来数据交易)。

在程序600的步骤616，响应于在步骤614商业实体子系统400接收来自商家子系统200或PSP子系统310的任何合适的含凭证177的质询请求数据664，商业实体子系统400可操作以验证由质询请求的商家标识符167所识别的在线资源113。例如，在第一商家构型及第二商家构型两者中，响应于在步骤614商业实体子系统400接收来自商家子系统200的任何合适的含凭证177的质询请求数据664，商业实体子系统400可操作以验证并检查所接收的质询请求数据664的凭证177，以透过(一个或多个)任何合适的程序确保其信任仍然有效且尚未过期(例如，可由商业实体子系统400在数据664中接收凭证177，且接着商业实体子系统400可操作以确定那个凭证177是否是商业实体子系统400已知(例如，存储在表格430中)、及那个凭证177是否仍然受信任、和/或那个凭证177是否尚未过期)。接下来，如果已验证所接收的凭证177，则可自所接收的凭证177撷取FQDN和/或另一商家标识符167并与存储在商业实体子系统400的表格430中的任何FQDN及凭证177关联性进行交叉检查，以确保所接收的凭证177的FQDN系经注册。例如，在步骤616，商业实体子系统400可操作以尝试确认在商业实体子系统400处由所接收的质询请求数据664的商家标识符167所识别的在线资源113是有效且经注册的在线资源，其可通过下列方式而确认：在表格430中识别那个商家标识符167(例如，以确定商家标识符167已经向商业实体子系统400注册(例如，在步骤606)，且此类注册仍然有效(例如，那个商业实体子系统400并未自表格430移除商家标识符167，或并未在表格430中将商家标识符167旗标为可疑或以其他方式不再受信任))。同样地，在第三商家构型中，响应于在步骤614商业实体子系统400接收来自PSP子系统310的任何合适的含凭证177的质询请求数据664，商业实体子系统400可操作以验证并检查所接收的质询请求数据664的凭证177，以确保其信任仍然有效且尚未过期，且如果所接收的凭证177经验证，则可自所接收的凭证177撷取FQDN及另一商家标识符167及PSP标识符，使得接着可确定所识别的PSP是否经授权以代表所识别的商家进行交易以及在商业实体子系统400处所撷取的FQDN是否经注册至其他所撷取的商家标识符，以完全验证步骤614的请求。商家标识符167可以是用于特定商家子系统200的全局商家标识符(例如，可使用单一商家标识符167以识别商家子系统200的原生应用程序商家在线资源及网站商家在线资源，和/或单一FQDN可与多个商家子系统相关联(例如，可由多个商家子系统使用PSP的FQDN))。FQDN及至少一个其他标识符(诸如特定商家子系统200的唯一标识符和/或特定PSP子系统310的唯一标识符)两者可撷取自凭证177并在商业实体子系统400处(例如，在表格430中)确认该两者已彼此相关联，如可已在步骤606完成。在由商业实体子系统400对所接收的质询请求数据664进行任何合适的验证后(例如，在验证所接收的凭证177、和/或验证所接收的凭证177的FQDN、和/或确认介于经识别PSP与所接收的凭证177的经识别商家之间的经授权关系后)，在步骤616，商业实体子系统400也可操作以产生任何合适的验证数据并对照所接收的质询请求数据664的任何合适标识符数据来存储那个验证数据。例如，在步骤616对所接收的质询请求数据664进行任何合适的验证之后，在步骤616，商业实体子系统400也可操作以产生任何合适的验证数据(例如，经由熵的任何合适随机数据和/或任何合适的密码编译临时值(例如，相似于上文所描述的步骤622的验证数据))及验证会话标识符(例如，任何合适的文数字符串或可唯一地对商业实体子系统400识别目前在线资源验证会话的任何其他合适标识符(例如，如在步骤612可由电子装置100所产生的，或在步骤614可由商家子系统200或PSP子系统310所产生的，或在步骤616可由商业实体子系统400所产生的))，且接着在步骤616，商业实体子系统400可依商业实体子系统400可存取的任何合适的数据结构(例如，在表格430中或以其他方式)对照质询请求数据664的验证会话标识符及商家标识符的一者或两者来存储那个验证数据。因此，在某些实施例中，可由商业实体子系统400产生验证会话标识符，使得商业实体子系统400可确保(至少关于特定商家标识符)该验证会话标识符是正在由商业实体子系统400实行的特定验证程序所独有的。然而，如果由商家子系统200或PSP子系统310产生验证会话标识符，则在使那个验证会话标识符能够用于那个特定验证会话前，商业实体子系统400可确认此验证会话标识符是该验证会话的商家标识符独有的。否则，商业实体子系统400可拒绝该验证会话标识符并请求由商家子系统200或PSP子系统310产生新验证会话标识符。介于此类验证数据与验证会话的标识符数据之间的此经存储连结或关联性(例如，质询请求数据664的该验证会话标识符和/或商家标识符)可稍后由商业实体子系统400使用于进一步保护待实行的安全数据交易的安全(例如，在步骤630)。另外，在一些实施例中，在步骤616，质询请求数据664的潜在交易识别信息的任何者或全部也可对照该验证数据及标识符数据被存储或以其他方式与该验证数据及标识符数据相关联。

在第一商家构型、第二商家构型及第三商家构型中的任何一者中，在此一步骤616后，可略过步骤618、620及622，此是因为在单一组步骤614及616中该在线资源可经验证，并且接着程序600可包括步骤624，在此步骤商业实体子系统400可操作以产生及传送任何合适的验证响应数据674。例如，验证响应数据674可以是会话制品，其可包括步骤616的验证数据连同任何其他合适的数据，包括但不限于：验证会话标识符(例如，在步骤616所产生的验证会话标识符)；一个或多个商家标识符(例如，质询请求数据664的任何或各商家标识符(例如，FQDN、其他商家标识符、PSP标识符等)，和/或如可依其他方式在商业实体子系统400处(例如，在表格430中)与在验证会话期间经验证的在线资源相关联者)；质询请求数据664的凭证177；和/或类似物。在一些实施例中，如图6中所展示，此类验证响应数据674可从商业实体子系统400直接传送至电子装置100(例如，使用任何合适的通信协议经由通信路径65)，其中识别电子装置100的数据(例如，装置标识符119)可与验证会话起始数据662和/或质询请求数据664或其他相关联或以其他方式被包括在验证会话起始数据662和/或质询请求数据664或其他中，使得商业实体子系统400可将验证响应数据674传送至恰当的电子装置100。替代地，在一些实施例中(图中未展示)，可经由商家子系统200(例如，在第一商家构型及第二商家构型中)和/或经由PSP子系统310(例如，在第三商家构型中)从商业实体子系统400将验证响应数据674传送至电子装置100，由此商家子系统200和/或PSP子系统310可接收来自商业实体子系统400的验证响应数据674并接着传递验证响应数据674的至少一部分至电子装置100上。可由商业实体子系统400使用与商业实体子系统400相关联且电子装置100也可存取的存取密钥(例如，存取密钥155a、存取密钥155b、CRS 151k、和/或安全元件145的ISD密钥156k，或装置应用程序(例如，卡管理应用程序103b)可已知的任何密钥)来签署验证响应数据674的会话制品(例如，在HTTP标头中或以其他方式)，使得装置100可在接收到该经签署验证数据后验证签章，以确认商业实体子系统400产生验证响应数据674而非不受电子装置100信任的另一实体子系统产生验证响应数据，并且/或者防止无此存取密钥的存取权的另一实体(例如，商家子系统200和/或PSP子系统310)使用该经签署验证数据，同时仍然使其他实体能够接收并转递此类经签署验证数据至装置100上。

在第一商家构型、第二商家构型及第三商家构型的任何一者中，如果装置100的用户愿意且能够响应于在步骤610所接收的潜在事务数据660(例如，付款请求数据)而选择或确认特定付款凭据以用在为潜在交易提供资金，且在步骤624已由电子装置100接收验证响应数据674(例如，可指示步骤612至616的商家在线资源验证会话成功的数据)，则程序600可进行至步骤625，在此步骤，程序600可包括：在已识别任何会话标识符一致性后(例如上文所提及，于步骤625)，接收装置100的用户对于利用特定凭据来实行针对基于潜在事务数据660的特定商家、产品、价格及运送目的地的潜在交易的意图及认证(例如，透过使用者选择图3C的认证提示315)。在一些实施例中，除步骤625包括在此类意图及认证之前验证会话标识符一致性外或作为替代，步骤625可包括在此类意图及认证之前验证网域一致性。例如，响应于在步骤624装置100接收验证响应数据674，装置100可操作以比较此类验证响应数据674的网域标识符(例如，验证响应资料674的FQDN)与目前在装置100的在线资源的网址列中的网域标识符。例如，装置100的Web套件(例如，在线资源应用程序113)可接收验证响应数据674并转送(relay)那个验证响应资料674连同目前由该Web套件定目标的网域标识符(例如，FQDN)至装置100的通行证套件(例如，卡管理应用程序103b)。接着，该通行证套件可验证所接收的验证响应数据674的签章(如果有)(例如，使用装置100的存取密钥)、自验证响应数据674撷取网域标识符(例如，FQDN)、并接着比较所撷取的网域标识符与由Web套件所识别且自Web套件所提供的网域标识符(例如，目前由装置100的Web套件寄存的java脚本的FQDN(例如，在第一商家构型及第二商家构型中，商家在线资源的FQDN，及在第三商家构型中，PSP在线资源的FQDN))，其可使装置100能够确认响应数据674与装置100目前存取的相同在线资源相关联(例如，以避免重新执行攻击(replay attack))。在步骤625已验证任何合适的会话标识符一致性和/或任何合适的网域标识符一致性后，可在步骤625接收针对特定付款凭据的意图及认证。接着，对于第一商家构型、第二商家构型及第三商家构型中的各自，步骤626至629可如上文所描述发生，其中验证响应数据674的任何或所有合适的部分(例如，会话标识符，验证数据(例如，临时值)、FQDN、和/或任何其他合适的商家标识符或PSP标识符、和/或任何其他数据(例如，凭证177的至少一部分))可连同安全装置数据677及事务数据660被包括作为装置事务数据678。

在第一商家构型、第二商家构型及第三商家构型中的任何一者中，在步骤630，商业实体子系统400可操作以验证装置100可已包括在装置事务数据678中的验证响应数据674的验证数据。例如，响应于接收此类装置事务数据678，在步骤630(例如，相似于在程序500的步骤516)，商业实体子系统400可操作以识别来自那个装置事务数据678的验证响应数据674的至少一部分或全部并确认那个所接收的装置事务数据678的验证数据目前是经存储在商业实体子系统400处，或更具体而言，在一些实施例中，确认那所接收的装置事务数据678的验证数据目前是在商业实体子系统400处对照所接收的装置事务数据678的验证会话标识符和/或对照所接收的装置事务数据678的商家标识符(例如，FQDN)经存储(例如，在表格430中)。介于该验证数据与验证会话标识符及商家标识符的一者或两者之间的此所存储连结可在自动清除该连结前维持达仅一段有限时间量，使得电子装置100会受限于必须在一定持续时间内在步骤624接收验证响应数据674并接着在步骤628发送装置事务数据678至商业实体子系统400，用于实现由商业实体子系统400保护装置事务数据678的安全装置数据677的安全，以用于运用经验证商家在线资源实行特定安全数据交易(例如，商业实体子系统400可操作以在一定时期之后移除在商业实体子系统400处的介于验证数据与验证会话标识符和/或商家标识符之间的此关联性(例如，建立该连结后不超过10分钟即自表格430移除该链接)，其可增加交易安全性)。除此之外或作为另外一种选择，在步骤622，介于该验证数据与验证会话标识符及商家标识符的者或两者之间的所存储连结也可与任何合适的特定潜在交易识别信息(在步骤614，可由商家子系统200或PSP子系统310使潜在交易识别信息可供商业实体子系统400使用)相关联(例如，作为质询请求数据664的一部分)，诸如待共享于装置100与商家子系统200或PSP子系统310之间的特定类型安全数据的识别(例如，用于金融交易的货币及数额及付款类型，及也可由电子装置100使相似特定潜在交易识别信息可供商业实体子系统400使用，作为步骤628的装置事务数据678的一部分，使得步骤630也可包括商业实体子系统400确认目前对照在步骤614所接收的验证数据所存储的特定潜在交易识别信息(例如，如在步骤616存储在表格430中者)至少相似于在步骤628所接收的特定潜在交易识别信息。

接下来，在步骤631，程序600可包括商业实体子系统400识别与商家子系统200或PSP子系统310相关联的商家密钥(例如，商家密钥157)(例如，在步骤606，该子系统可已产生用于密钥的该第一CSR，以用于验证会话的在线资源)。即，在步骤629使用合适的存取信息来解密装置事务数据678的至少一部分后(例如，在解密安全装置数据677以具现化装置付款凭据数据676及可已在安全装置数据677中加密的任何其他信息之后)，接着，在步骤631，商业实体子系统400可用商家子系统200的适当的商家密钥157(例如，对于第一商家构型)或用PSP子系统310的适当的商家密钥157(例如，对于第二商家构型及第三商家构型)来重新加密装置事务数据678的至少一部分(例如，装置付款凭据数据676的符记数据和/或密码编译数据)作为经加密商家凭据数据681，其中可在商业实体子系统400处使用可包括在数据678中的验证数据的任何合适的标识符数据及使用与那个标识符数据相关联的任何预先存储关联性(例如，在表格430中，如可在步骤606期间定义)来识别那个适当的商家密钥157。例如，经加密商家凭据数据681可至少包括来自装置事务数据678的经加密装置付款凭据数据676以及任何合适的事务数据，诸如来自或基于装置事务数据678和/或潜在事务数据660的购买总额数据或其他合适的事务数据。可由商业实体子系统400来签署经加密商家凭据数据681使得当由商家子系统200或PSP子系统310接收时，那子系统可确立商业实体子系统400为此类经加密商家凭据数据681的建立者并且/或者可使那个子系统能够确保此类经加密商家凭据数据681在经签署后未经修改。在步骤631可产生此类经加密商家凭据数据681，并且接着在步骤632传输此类经加密商家凭据数据681连同任何其他合适的数据至装置100，作为经保护安全的事务数据682(例如，经由图1A的路径65自商业实体子系统400的服务器410传输至装置100的通信部件106)。

步骤631及632可操作以确保自商业实体子系统400经传输作为图1A的经保护安全的事务数据682的部分的凭据数据(例如，经加密商家凭据数据681的符记数据和/或密码编译数据)可经加密使得装置100除安全元件145外无一部分可解密该凭据数据。即，可用可未暴露于装置100的任何部分(在一些实施例中，包括安全元件145)或以其他方式不可由该任何部分存取的商家密钥(例如，商家密钥157)来加密经保护安全的事务数据682的凭据数据(例如，经加密商家凭据数据681的符记数据和/或密码编译数据)。另外，可用可未暴露于装置100的安全元件145的外的任何部分或以其他方式不可由该任何部分存取的凭据密钥155a'来加密经保护安全的事务数据682的凭据数据(例如，经加密商家凭据数据681的符记数据和/或密码编译数据)。

在第一商家构型及第二商家构型中，在步骤634可接着由装置100转递经保护安全的事务数据682至商家子系统200作为经保护安全的事务数据684(例如，经由通信路径15或作为非接触式的以接近性为基础的通信5)，或替代地，商家凭据数据681可从商业实体子系统400传送至商家子系统200而无需经由装置100被传送(图中未展示)。可透过装置100和/或商业实体子系统400传输潜在事务数据660的一部分、一些部分或所有部分至经保护安全的事务数据682和/或至经保护安全的事务数据684，使得在程序600期间可由实体的各自来识别潜在交易的某些标识符。

一旦由商家子系统200接收包括付款凭据数据675/676的商家凭据数据681(例如，作为经保护安全的事务数据684，在步骤634)，程序600也可包括步骤636，在此步骤，商家子系统200可被配置为产生并传输付款数据686。在第一商家构型中，例如，在步骤636，商家子系统200可充分利用其已知的商家密钥157以至少部分解密经保护安全的事务数据684的商家凭据数据681，使得付款数据686可包括经用其凭据密钥155a'(而非用不可供金融机构子系统350使用的密钥)加密的凭据SSD 154a的经保护安全的付款凭据数据(例如，数据676)，并且接着可由商家子系统200将此类数据686传送至任何合适的子系统(例如，收单银行子系统300和/或PSP子系统310)。替代地，在第二商家构型中，例如，在步骤636，商家子系统200可转递经保护安全的事务数据684的经重新加密商家凭据数据681至PSP子系统310而作为付款数据686，且接着PSP子系统310可充分利用其已知的商家密钥157以至少部分解密付款数据686的那个经重新加密商家凭据数据681。替代地，在第三商家构型中，可由装置100转递经保护安全的事务数据682至PSP子系统310(例如，使用目前可由装置100存取的PSP在线资源)，且接着PSP子系统310可充分利用其已知的商家密钥157以至少部分解密那个经转递的经保护安全的事务数据的经重新加密商家凭据数据681。可如上文关于步骤638至644所描述进行程序600的其余者，其中根据适用的商家构型，商家子系统200及PSP子系统310的一个或多个适当者与装置100进行数据通信。

图7的说明

图7是用于使用实体子系统以进行经由在电子装置上执行的在线资源的介于处理子系统与通信耦接至该处理子系统的该电子装置之间的安全交易的阐释性程序700的步骤的流程图。在程序700的步骤702，该管理实体子系统可接收对于该在线资源的验证请求，其中该验证请求可包括验证请求数据(例如，在程序600的步骤614，商业实体子系统400可接收质询请求数据664，和/或在步骤620，商业实体子系统400可接收质询响应数据670)。在程序700的步骤704，该管理实体子系统可使用该验证请求数据及注册数据来验证该在线资源，其中在一开始于接收该验证请求前已使该注册数据可供该管理实体子系统使用(例如，在程序600的步骤616，商业实体子系统400可使用来自步骤606的质询请求数据664及注册数据来验证在线资源113，和/或在程序600的步骤622，商业实体子系统400可使用来自步骤606的质询响应数据670及注册数据来验证在线资源113)。在程序700的步骤706，该管理实体子系统可使验证响应数据与该验证请求数据的至少一部分相关联(例如，在程序600的步骤616和/或在步骤622，商业实体子系统400可使验证数据与标识符数据相关联)。在程序700的步骤708，该管理实体子系统可将该验证响应数据传送至该电子装置(例如，在程序600的步骤624，商业实体子系统400可将验证数据(作为验证响应数据674的一部分)传送至电子装置100)。在程序700的步骤710，该管理实体子系统可接收来自该电子装置的装置事务数据(例如，在程序600的步骤628，商业实体子系统400可接收来自电子装置100的装置事务数据678)。在程序700的步骤712，该管理实体子系统可使用该验证响应数据来验证该装置事务数据(例如，在程序600的步骤630，商业实体子系统400可使用验证响应数据674来验证装置事务数据678的验证数据)。在程序700的步骤714，在已验证该装置事务数据后，该管理实体子系统可基于该装置事务数据来产生安全事务数据用于该处理子系统使用(例如，在程序600的步骤631，商业实体子系统400可基于装置事务数据678来产生商家凭据数据681)。

应理解，图7的程序700中展示的步骤仅是阐释性，且可修改或省略现有步骤、可新增附加步骤、并且可改变某些步骤的顺序。

图8的说明

图8是用于使用管理实体子系统以实现经由在电子装置上执行的在线资源的介于处理子系统与通信耦接至该处理子系统的该电子装置之间的安全交易的阐释性程序800的步骤的流程图。在程序800的步骤802，该管理实体子系统可通过建立介于该管理实体子系统与该处理子系统之间的处理共享秘密来注册该在线资源(例如，在程序600的步骤606，商业实体子系统400可通过建立与商家子系统200的共享秘密来注册在线资源113)。在程序800的步骤804，该管理实体子系统可接收对于该在线资源的验证请求，其中该验证请求可包括指示该在线资源的处理标识符，且其中该验证请求可还包括经由该在线资源的介于该电子装置与该处理子系统之间的潜在交易所独有的验证会话标识符(例如，在程序600的步骤614，商业实体子系统400可接收含商家标识符及会话标识符的质询请求数据664，和/或在程序600的步骤620，商业实体子系统400可接收含商家标识符及会话标识符的质询响应数据670)。在程序800的步骤806，该管理实体子系统可使用该验证会话标识符及该处理共享秘密来验证由该处理标识符所指示的该在线资源(例如，在程序600的步骤616，商业实体子系统400可使用来自步骤606的质询请求数据664及注册数据来验证在线资源113，和/或在程序600的步骤622，商业实体子系统400可使用来自步骤606的质询响应数据670及注册数据来验证在线资源113)。

应理解，图8的程序800中展示的步骤仅是阐释性的，且可修改或省略现有步骤、可新增附加步骤、并且可改变某些步骤的顺序。

图9的说明

图9是用于使用管理实体子系统以进行经由在电子装置上执行的在线资源的介于处理子系统与通信耦接至该处理子系统的该电子装置之间的安全交易的阐释性程序900的步骤的流程图。在程序900的步骤902，该管理实体子系统可接收对于该在线资源的验证请求，其中该验证请求可包括验证请求数据，且其中该验证请求数据可包括潜在交易识别信息，该潜在交易识别信息指示经由该在线资源的介于该电子装置与该处理子系统之间的潜在交易(例如，在程序600的步骤614，商业实体子系统400可接收质询请求数据664，和/或在步骤620，商业实体子系统400可接收质询响应数据670)。在程序900的步骤904，该管理实体子系统可使用该验证请求数据的至少一部分来验证该在线资源(例如，在程序600的步骤616，商业实体子系统400可使用质询请求数据664来验证在线资源113，和/或在程序600的步骤622，商业实体子系统400可使用质询响应数据670来验证在线资源113)。在程序900的步骤906，该管理实体子系统可使验证响应数据与至少该潜在交易识别信息相关联(例如，在程序600的步骤616和/或步骤622，商业实体子系统400可使验证数据与潜在交易识别信息相关联)。在程序900的步骤908，该管理实体子系统可将该验证响应数据传送至该电子装置(例如，在程序600的步骤624，商业实体子系统400可将验证数据(作为验证响应数据674的一部分)传送至电子装置100)。在程序900的步骤910，该管理实体子系统可接收来自该电子装置的装置事务数据(例如，在程序600的步骤628，商业实体子系统400可接收来自电子装置100的装置事务数据678)。在程序900的步骤912，该管理实体子系统可使用该验证响应数据及该潜在交易识别信息来验证该装置事务数据(例如，在程序600的步骤630，商业实体子系统400可使用验证响应数据674及潜在交易识别信息来验证装置事务数据678的验证数据)。在程序900的步骤914，在已验证该装置事务数据后，该管理实体子系统可基于该装置事务数据来产生安全事务数据用于该处理子系统使用(例如，在程序600的步骤631，商业实体子系统400可基于装置事务数据678来产生商家凭据数据681)。

应理解，图9的程序900中展示的步骤仅是阐释性的，且可修改或省略现有步骤、可新增附加步骤、并且可改变某些步骤的顺序。

实施例的进一步描述

当适当启用装置100的安全元件的凭据(例如，与凭据SSD 154a的经启用小应用程序153a相关联的商务凭据数据)以提供作为事务数据的付款凭据数据(例如，作为至商家终端机220的非接触式的以接近性为基础的通信和/或作为至商家服务器210的以在线为基础的通信)时，收单银行子系统300可利用此类付款凭据数据用于完成与金融机构子系统350的金融交易。例如，在电子装置100的用户已选择所要购买的产品且已适当地启用待用于付款的装置100的特定凭据后，商家子系统200可接收付款凭据数据，其指示用于该特定凭据的付款凭据资料。可由商家子系统200的任何合适的商家或商家代理来提供商家服务器210和/或商家终端机220，其可响应于装置100提供付款凭据数据而提供产品或服务给终端用户电子装置的用户。基于此类所接收的付款凭据数据(例如，作为数据684)，商家子系统200可被配置为产生及传输数据686至收单银行子系统300(例如，经由介于商家子系统200与收单银行子系统300之间的通信路径25)，其中数据686可包括付款凭据资料及授权请求，其可指示针对产品或服务的装置付款凭据及商家的购买价格。还名为付款处理器或收单方的收单银行子系统300可以是与商家子系统200相关联的商家的银行业务合作伙伴，且收单银行子系统300可被配置为与金融机构子系统350合作以用付款凭据数据来核准及结清(settle)尝试由装置100提供资金的凭据交易。接着，收单银行子系统300可转递来自付款数据686的授权请求至金融机构子系统350而作为授权请求数据688(例如，经由介于收单银行子系统300与金融机构子系统350之间的通信路径35)。

付款网络子系统360及发行银行子系统370可以是单一实体或分开的实体。例如，American Express可以是付款网络子系统360及发行银行子系统370两者。相比而言，Visa及MasterCard可以是付款网络360且可与发行银行370(诸如Chase、Wells Fargo、Bank ofAmerica及类似者)合作。金融机构子系统350也可包括一个或多个收单银行，诸如收单银行子系统300。例如，收单银行子系统300可以是与发行银行子系统370相同的实体。可使用下列各自来实施收单银行子系统300的部件、一些部件或全部部件：一个或多个处理器部件，其可相同于或相似于装置100的处理器部件102；一个或多个内存部件，其可相同于或相似于装置100的内存部件104；和/或一个或多个通信部件，其可相同于或相似于装置100的通信部件106。可使用下列各自来实施付款网络子系统360的部件、一些部件或全部部件：一个或多个处理器部件，其可相同于或相似于装置100的处理器部件102；一个或多个内存部件，其可相同于或相似于装置100的内存部件104；和/或一个或多个通信部件，其可相同于或相似于装置100的通信部件106。可使用下列各自来实施发行银行子系统370的部件、一些部件或全部部件：一个或多个处理器部件，其可相同于或相似于装置100的处理器部件102；一个或多个内存部件，其可相同于或相似于装置100的内存部件104；和/或一个或多个通信部件，其可相同于或相似于装置100的通信部件106。在付款网络子系统360及发行银行子系统370是分开的实体的情况中，付款网络子系统360可接收来自收单银行子系统300的数据690及接着可转递请求至发行银行子系统370，作为数据405(例如，经由介于付款网络子系统360与发行银行子系统370之间的通信路径45)。在付款网络子系统360及发行银行子系统370是同一实体的情况中，收单银行子系统300可直接提交数据690至发行银行子系统370。此外，付款网络子系统360可代表发行银行子系统370来响应收单银行子系统300(例如，根据付款网络子系统360与发行银行子系统370之间达成协议的条件)。通过于收单银行子系统300与发行银行子系统370之间介接，付款网络子系统360可减少各收单银行子系统300及各发行银行子系统370可能必须直接与的互动的实体的数目。即，为了使金融机构子系统350的直接整合点减至最少，付款网络子系统360可作为各种发行银行370和/或各种收单银行300的聚集者(aggregator)。金融机构子系统350也可包括一个或多个收单银行，诸如收单银行子系统300。例如，收单银行子系统300可以是与发行银行子系统370相同的实体。

当发行银行子系统370接收授权请求时(例如，直接从收单银行子系统300接收而作为数据688，或间接经由付款网络子系统360接收而作为数据405)，可分析包括在授权请求中的付款信息(例如，信息装置100的商务凭据)及购买量，以确定与商务凭据相关联的账户是否具有足以履行该购买量的信用。如果不存在足够资金，发行银行子系统370可通过传输否定授权响应至收单银行子系统300而拒绝所请求的交易。然而，如果存在足够资金，发行银行子系统370可通过传输肯定授权响应至收单银行子系统300而核准所请求的交易，而可完成金融交易。可由用户金融子系统350提供任何类型授权响应至收单银行子系统300作为授权响应数据或交易状态数据690(例如，可经由通信路径35从发行银行子系统370直接提供交易状态数据690至收单银行子系统300，或基于可经由通信路径45从发行银行子系统370提供至付款网络子系统360的授权响应数据或交易状态数据415，从付款网络子系统360提供交易状态数据690至收单银行子系统300)。

如所提及，及如图2中所展示，电子装置100可包括但不限于：音乐播放器(例如，可购自Apple Inc.(Cupertino,California)的iPod^TM)、视讯播放器、静态影像播放器、游戏机、其他媒体播放器、音乐记录器、电影或视讯摄影机或记录器、静态相机、其他媒体记录器、无线电、医疗设备、家用或商用器具、运输载具仪器、乐器、计算器、蜂巢式电话(例如，可购自Apple Inc.的iPhone^TM)、其他无线通信装置、个人数字助理、遥控器、传呼机、计算机(例如，桌面计算机、膝上型计算机、平板计算机(例如，可购自Apple Inc.的iPad^TM)、服务器等)、监测器、电视、立体音响设备、数字视频转换盒(set up box)、机顶盒、调制解调器、路由器、打印机或其任何组合。在一些实施例中，电子装置100可执行单一功能(例如，专用于进行安全数据交易的装置)，及在其他实施例中，电子装置100可执行多种功能(例如，进行安全数据交易、播放音乐及拨接电话通话的装置)。电子装置100可以是可被配置为无论使用者身在何处皆可进行金融交易的任何携带型、行动型、手持型或微型电子装置。一些微型电子装置可具有小于手持型电子装置(诸如，iPod^TM)的形状因子的形状因子。阐释性微型电子装置可整合至各种制品中，此类制品可包括但不限于：腕表(例如，Apple Inc.的AppleWatch^TM)、戒指、项链、皮带、皮带配件、耳机、鞋的配件、虚拟现实装置、眼镜、其他可佩带的电子器件、运动设备的配件、健身设备的配件、钥匙链或其任何组合。替代地，电子装置100可完全非携带型，反而可以是大致上固定的。

如图2中所展示，电子装置100可例如包括处理器102、内存104、通信部件106、电源供应器108、输入部件110、输出部件112、天线116、及近场通信(“NFC”)部件120。电子装置100也可包括总线118，该总线可提供一个或多个有线或无线通信链路或路径以用于传送数据和/或电力至装置100的各种其他部件、自该各种其他部件传送数据和/或电力、或在该各种其他部件之间传送数据和/或电力。在一些实施例中，可组合或省略电子装置100的一个或多个部件。另外，电子装置100可包括图2中未组合或未包括的其他部件。例如，电子装置100可包括任何其他合适的部件或图2中展示的部件的如果干例项。为简单起见，图2中展示此类部件中的各自的仅一者。

内存104可包括一个或多个存储媒体，例如包括硬盘机、闪存、诸如只读存储器(“ROM”)的永久性内存、诸如随机存取内存(“RAM”)的半永久性内存、任何其他合适类型的存储部件，或其任何组合。内存104可包括高速缓存，其可以是用于暂时存储电子装置应用程序的数据的一种或多种不同类型内存。内存104可固定地内嵌于电子装置100内或可并入于可被重复地插入至电子装置100中及自电子装置100移除的一种或多种合适类型的卡(例如，用户识别模块(“SIM”)卡或安全数字(“SD”)记忆卡)上。内存104可存储媒体数据(例如，音乐及图像文件案)、软件(例如，用于实施装置100上的功能)、固件、偏好信息(例如，媒体播放偏好)、生活型态信息(例如，食物偏好)、运动信息(例如，由运动监控设备获得的信息)、交易信息(例如，诸如信用卡信息的信息)、无线连接信息(例如，可使装置100能够建立无线连接的信息)、订阅信息(例如，追踪用户所订阅的播客(podcast)或电视节目或其他媒体的信息)、联系人信息(例如，电话号码及电子邮件地址)、行事历信息、任何其他合适数据或其任何组合。

可提供通信部件106以允许装置100使用任何合适的通信协议来与一个或多个其他电子装置或服务器或子系统(例如，系统1的一个或多个子系统或其他部件)通信。例如，通信部件106可支持Wi-Fi(例如，802.11协议)、ZigBee(例如，802.15.4协议)、WiDi^TM、以太网络、Bluetooth^TM、Bluetooth^TM低能量(Bluetooth^TMLow Energy；“BLE”)、高频系统(例如，900MHz、2.4GHz、及5.6GHz通信系统)、红外线、传输控制协议/因特网协议(“TCP/IP”)(例如，于TCP/IP层中的各自中使用的协议中的任一者)、串流控制传输协议(“SCTP”)、动态主机构型协议(“DHCP”)、超文本传送协议(“HTTP”)、BitTorrent^TM、档案传送协议(“FTP”)、实时输送协议(“RTP”)、实时串流协议(“RTSP”)、实时控制协议(“RTCP”)、远程音讯输出协议(“RAOP”)、实数据输送协议^TM(“RDTP”)、使用者数据包协议(“UDP”)、安全壳层协议(“SSH”)、无线分布系统(“WDS”)桥接、可由无线及蜂巢式电话与个人电子邮件装置使用的任何通信协议(例如，全球行动通信系统(“GSM”)、GSM+增强型数据速率GSM演进(“EDGE”)、分码多重存取(“CDMA”)、正交分频多重存取(“OFDMA”)、高速包存取(“HSPA”)、多频带等)、可由低功率无线个人局域网络(“6LoWPAN”)模块使用的任何通信协议、任何其他通信协议、或其任何组合。通信部件106也可包括或电耦接至可使装置100能够通信地耦接至另一装置(例如，主计算机或配件装置)且与那个另一装置无线地或经由有线连接(例如，使用连接器端口)通信的任何合适的收发器电路系统(例如，经由总线118的收发器电路系统或天线116)。通信部件106当操作以将任何合适的数据传送至任何远程服务器或其他合适的实体(例如，至任何合适的因特网连接)时可称为在线通信部件。通信部件106可被配置为确定电子装置100的地理位置。例如，通信部件106通信部件106可利用全球定位系统(“GPS”)或区域性或站点范围定位系统，其可使用小区塔定位技术或Wi Fi技术。

电源供应器108可包括用于接收和/或产生电力及用于将此电力提供至电子装置100的其他部件中的一者或多者的任何合适电路系统。例如，电源供应器108可耦接至电网(例如，当装置100不作为携带型装置时或当装置的电池是在具有由发电厂产生的电力的电插座处充电时)。举另一实例，电源供应器108可被配置为自天然来源产生电力(例如，使用太阳能电池自太阳能产生电力)。举另一实例，电源供应器108可包括用于提供电力的一个或多个电池(例如，当装置100作为携带型装置时)。例如，电源供应器108可包括以下各自中的一者或多者：电池(例如，凝胶体、镍金属氢化物、镍镉、镍氢、铅酸或锂离子电池)；不间断或连续电源供应器(“UPS”或“CPS”)；及用于处理自电力产生源接收的电力(例如，由发电厂产生且经由电插座或以其他方式而被递送至用户的电力)的电路系统。可由电源供应器108提供电力为交流电或直流电，且电力可经处理以变换电力或使接收的电力限于特定特性。例如，电力可变换至直流电或可变换自直流电，且被约束至下列的一个或多个值：平均功率、有效功率、峰值功率、每脉冲能量、电压、电流(以安培测量)或所接收的电力的任何其他特性。电源供应器108可操作以(例如)基于电子装置100或可耦接至电子装置100的周边装置的需要或需求而在不同时间请求或提供特定电力量(例如，在正对电池充电时请求多于在电池已充好电时的功率)。

可提供一个或多个输入部件110以准许用户与装置100互动或介接。例如，输入部件110可采用多种形式，包括但不限于：触摸板、拨号件、点选轮、滚轮、触控屏幕、一个或多个按钮(例如，键盘)、鼠标、操纵杆、轨迹球、麦克风、摄影机、扫描仪(例如，条形码扫描仪或可自诸如条形码、QR代码或相似者的代码获得产品识别信息的任何其他合适的扫描仪)、邻近性传感器、光检测器、运动传感器、生物特征传感器(例如，指纹读取器或其他特征识别传感器，其可结合电子装置100可存取的特征处理应用程序来操作以用于认证用户)、及其组合。各输入部件110可被配置为提供用于进行选择或发出命令(与操作装置100相关联)的一个或多个专用控制功能。

电子装置100也可包括一个或多个输出部件112，输出部件可呈现信息(例如，图形、听觉和/或触觉信息)给装置100的用户。例如，电子装置100的输出部件112可采取各种形式，包括但不限于：音频扬声器、头戴式耳机、音频线输出、视觉显示、天线、红外线端口、触感输出部件(例如，低频警报器(rumbler)、振动器等)或其组合。

举一具体实例，电子装置100可包括显示输出部件作为输出部件112。此显示输出部件可包括用于向用户呈现视觉数据的任何合适类型的显示器或接口。显示输出部件可包括可包括内嵌于装置100中或耦接至装置100的显示器(例如，可移除式显示器)。显示输出部件可包括(例如)液晶显示器(“LCD”)、发光二极管(“LED”)显示器、有机发光二极管(“OLED”)显示器、表面传导电子发射器显示器(“SED”)、碳纳米管显示器、纳米晶体显示器、任何其他合适的显示器类型或其组合。替代地，显示输出部件可包括可移动显示器或用于在距电子装置100遥远的表面上提供内容的显示的投影系统(例如，诸如视讯投影仪、抬头式显示器或三维(例如，全像)显示器)。举另一实例，显示输出部件可包括数字或机械取景器，诸如在小型数字相机、反射式相机或任何其他合适的静态相机或视讯摄影机中找到的取景器类型。显示输出部件可包括显示驱动器电路系统、用于驱动显示驱动器的电路系统或两者，且此显示输出部件可操作以显示可在处理器102的指导下的内容(例如，媒体播放信息、用于实施于电子装置100上的应用程序的应用程序画面、关于正在进行的通信操作的信息、关于传入的通信请求的信息、装置操作画面等)。

应注意，一个或多个输入部件及一个或多个输出部件有时候在本文中可统称为输入/输出(“I/O”)部件或I/O接口(例如，输入部件110及输出部件112统称为I/O部件或I/O接口114)。例如，输入部件110及输出部件112有时候可以是一单一I/O部件114(诸如一触控屏幕)，其可透过用户对显示屏幕的触摸来接收输入信息且也可经由那同一显示屏幕提供视觉信息给用户。

电子装置100的处理器102可包括可操作以控制电子装置100的一个或多个部件的操作及性能的任何处理电路系统。例如，处理器102可接收来自输入部件110的输入信号和/或透过输出部件112驱动输出信号。如图2中所展示，处理器102可用于执行一个或多个应用程序，诸如应用程序103、应用程序113和/或应用程序143。各应用程序103/113/143可包括但不限于：一个或多个操作系统应用程序、固件应用程序、媒体播放应用程序、媒体编辑应用程序、NFC低功率模式应用程序、生物特征处理应用程序或任何其他合适的应用程序。例如，处理器102可加载应用程序103/113/143作为用户接口程序，以确定经由输入部件110或装置100的其他部件所接收的指令或数据可如何操纵可存储信息和/或经由输出部件112将信息提供至用户的方式。可由处理器102自任何合适来源(诸如，自内存104(例如，经由总线118)或自另一装置或服务器(例如，经由通信部件106))来存取应用程序103/113/143。处理器102可包括单处理器或多个处理器。例如，处理器102可包括可包括至少一个“一般用途”微处理器、一般用途微处理器及特殊用途微处理器的组合、指令集处理器、图形处理器、视讯处理器和/或相关芯片组，和/或特殊用途微处理器。处理器102也可包括用于快取用途的板上(on board)内存。

电子装置100也可包括近场通信(“NFC”)部件120。NFC部件120可以是任何合适的基于接近性的通信机构，该以接近性为基础的通信机构可实现介于电子装置100与商家子系统200(例如，商家付款终端机220)之间的非接触式的以接近性为基础的交易或通信。NFC部件120可允许以相对低数据速率(例如，424kbps)进行近距离通信，且可遵照任何合适标准，诸如ISO/IEC 7816、ISO/IEC 18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443、和/或ISO 15693。替代地或此外，NFC部件120可允许以相对高数据速率(例如，370Mbps)进行近距离通信，且可遵照任何合适标准，诸如TransferJet^TM协议。介于NFC部件120与商家子系统200之间的通信可发生在介于NFC部件与商家子系统200之间的任何合适的近距离(例如，参见图1及图1A的介于NFC部件120与商家付款终端机220之间的距离D)内(诸如，近似2至4公分的范围)，且可在任何合适的频率(例如，13.56MHz)下操作。例如，NFC部件120的此近距离通信可经由磁场感应而发生，磁场感应可允许该NFC部件与其他NFC装置通信和/或自具有射频识别(“RFID”)电路系统的卷标撷取信息。此NFC部件可提供获取商品信息、传送付款信息及以其他方式与外部装置通信(例如，介于NFC部件120与商家终端机220之间的通信)的方式。

NFC部件120可包括用于实现介于电子装置100与商家子系统200之间的非接触式的以接近性为基础的通信的任何合适模块。如图2中所展示，NFC部件120可例如包括NFC装置模块130、NFC控制器模块140、及NFC内存模块150。

NFC装置模块130可包括NFC数据模块132、NFC天线134、及NFC加强器136。NFC数据模块132可被配置为含有、路由或以其他方式提供任何合适的数据，该数据可由NFC部件120传输至商家子系统200而作为非接触式的以接近性为基础或NFC通信5的部分。除此之外或作为另外一种选择，NFC数据模块132可被配置为含有、路由或以其他方式接收任何合适的数据，该数据可由NFC部件120接收自商家子系统200而作为非接触式的以接近性为基础的通信的部分(例如，NFC部件120与商家终端机220之间的通信5)。

NFC收发器或NFC天线134可以是大致上实现将通信自NFC数据模块132传送至商家子系统200和/或自商家子系统200传送至NFC数据模块132的任何合适天线或其他合适的收发器电路系统。因此，可提供NFC天线134(例如，环形天线)以具体地用于实现NFC部件120的非接触式的以接近性为基础的通信能力。

替代地或此外，NFC部件120可利用电子装置100的另一通信部件(例如，通信部件106)可利用的同一收发器电路系统或天线(例如，天线116)。例如，通信部件106可充分利用天线116以实现电子装置100与另一远程实体之间的Wi-Fi、Bluetooth^TM、蜂巢式或GPS通信，而NFC部件120可充分利用天线116以实现NFC装置模块130的NFC数据模块132与另一实体(例如，商家子系统200)之间的非接触式的以接近性为基础的通信或NFC通信。在这些实施例中，NFC装置模块130可包括NFC加强器136，NFC加强器可被配置为提供针对NFC部件120的数据(例如，NFC数据模块132内的数据)的适当信号放大，使得可通过共享天线116将此数据适当地作为通信而传输至子系统200。例如，在可恰当地启用天线116(例如，非环形天线)以在电子装置100与商家子系统200之间传送非接触式的以接近性为基础的通信或NFC通信前，共享天线116可能需要来自加强器136的放大(例如，使用天线116来传输NFC数据所需的功率可能多于使用天线116来传输其他类型的数据所需的功率)。

NFC控制器模块140可包括至少一个NFC处理器模块142。NFC处理器模块142可结合NFC装置模块130操作以启用、启动、允许和/或以其他方式控制NFC部件120，以用于传送介于电子装置100与商家子系统200之间的NFC通信。NFC处理器模块142可存在作为分开的部件、可整合至另一芯片组中，或可与处理器102整合(例如)以作为系统单芯片(“SoC”)的一部分。如图2中所展示，NFC控制器模块140的NFC处理器模块142可用于执行一个或多个应用程序，诸如可帮助规定NFC部件120的功能的NFC低功率模式或钱包应用程序143。应用程序143可包括但不限于：一个或多个操作系统应用程序、固件应用程序、NFC低功率应用程序、或可供NFC部件120存取的任何其他合适应用程序(例如，应用程序103/113)。NFC控制器模块140可包括一个或多个协议，诸如近场通信接口及协议(“NFCIP-1”)，以用于与另一NFC装置(例如，商家子系统200)通信。可使用此类协议来调适通信速度并将所连接装置中的一者指定为控制近场通信的起始者装置。

NFC控制器模块140可控制NFC部件120的近场通信模式。例如，NFC处理器模块142可被配置为在下列模式之间切换NFC装置模块130：用于将信息(例如，通信5)自NFC卷标(例如，自商家子系统200)读取至NFC数据模块132的读取器/写入器模式；用于与另一NFC启用装置(例如，商家子系统200)交换数据(例如，通信5)的同级间模式；及用于允许另一NFC启用装置(例如，商家子系统200)自NFC数据模块132读取信息(例如，通信5)的卡仿真模式。NFC控制器模块140也可被配置为使NFC部件120于主动模式与被动模式之间切换。例如，NFC处理器模块142可被配置为使NFC装置模块130(例如，结合NFC天线134或共享天线116)在主动模式(其中NFC装置模块130可产生其自身的RF场)与被动模式(其中NFC装置模块130可使用负载调变以将数据传送至产生RF场的另一装置(例如，商家子系统200))之间切换。与处于此主动模式的操作相比，处于此被动模式的操作可延长电子装置100的电池寿命。可基于使用者的偏好和/或基于装置100的制造商的偏好来控制NFC装置模块130的模式，可由在装置100上的执行应用程序(例如，应用程序103和/或应用程序143)来定义或以其他方式规定此类偏好。

NFC内存模块150可结合NFC装置模块130和/或NFC控制器模块140操作以允许介于电子装置100与商家子系统200之间的NFC通信。NFC内存模块150可内嵌在NFC装置硬件内或在一个NFC集成电路(“IC”)内。NFC内存模块150可防篡改且可提供安全元件的至少一部分。例如，NFC内存模块150可存储与NFC通信有关且可由NFC控制器模块140存取的一个或多个应用程序(例如，应用程序143)。例如，此类应用程序可包括可经加密的金融付款应用程序、安全存取系统应用程序、会员卡(loyalty card)应用程序及其他应用程序。在一些实施例中，NFC控制器模块140及NFC内存模块150可独立地或组合地提供专用微处理器系统，该专用微处理器系统可含有意欲被用来在电子装置100上存储及执行敏感应用程序的操作系统、内存、应用程序环境及安全性协议。NFC控制器模块140及NFC内存模块150可独立地或组合地提供可防篡改的安全元件145的至少一部分。例如，此安全元件145可被配置为提供防篡改平台(例如，作为单一芯片或多芯片安全微控制器)，其可能够根据可由一组经妥善识别的受信任授权单位(例如，金融机构子系统的授权单位和/或产业标准，诸如GlobalPlatform)所提出的规则及安全性要求来安全地寄存应用程序及其的机密及密码编译数据(例如，小应用程序153及密钥155)。NFC内存模块150可以是内存104的一部分或NFC部件120特定的至少一个专用芯片。NFC内存模块150可驻留于SIM上、电子装置100的主板上的专用芯片上、或作为外部插入式记忆卡。NFC内存模块150可完全独立于NFC控制器模块140且可由装置100的不同部件来提供和/或由不同的可移除式子系统而被提供至电子装置100。安全元件145可以是芯片内的高度安全的防篡改硬件部件，该部件可用于在电子装置100上存储敏感数据或应用程序。可在诸如通用集成电路卡(“UICC”)或用户识别模块(“SIM”)卡的可移除式电路卡中提供安全元件145的至少一部分，可于与全球行动通信系统(“GSM”)网络、通用行动电信系统(“UMTS”)和/或长期演进(“LTE”)标准网络兼容的电子装置100中使用该可移除式电路卡。替代地或此外，安全元件145的至少一部分可提供于可在装置100的制造期间内嵌至电子装置100中的集成电路中。替代地或此外，安全元件145的至少一部分可提供于可插塞至、插入至或以其他方式耦接至电子装置100的周边装置(诸如，微安全数字(“SD”)记忆卡)中。

如图2中所展示，NFC内存模块150可包括发行方安全性网域(“ISD”)152以及补充安全性网域(“SSD”)154的一者或多者(例如，服务提供商安全性网域(“SPSD”)、受信任服务管理员安全性网域(“TSMSD”)等)，此类安全性网域可由NFC规格标准(例如，GlobalPlatform)定义及管理。例如，ISD 152可系NFC内存模块150的一部分，其中受信任服务管理员(“TSM”)或发行金融机构(例如，商业实体子系统400和/或金融机构子系统350)可存储密钥和/或其他合适的信息以用于在电子装置100上(例如，经由通信部件106)建立或以其他方式配置一个或多个凭据(例如，与各种信用卡、银行卡、礼品卡、通行卡、交通票证、数字货币(例如，比特币(bitcoin)及相关联的付款网络)等相关联的商务凭据)，以用于凭据内容管理，和/或用于安全性网域管理。特定补充安全性网域(“SSD”)154(例如，SSD154a)可与可提供特定特殊权限或付款权给电子装置100的特定TSM及至少一个特定商务凭据(例如，特定信用卡凭据或特定公共交通卡凭据)相关联。例如，第一付款网络子系统360(例如，Visa)可为用于第一SSD 154a的TSM，且第一SSD 154a的小应用程序153a可与由第一付款网络子系统360管理的商务凭据相关联，而第二付款网络子系统360(例如，MasterCard)可为用于另一SSD 154的TSM。

可提供安全性特征以使得能够使用NFC部件120(例如，用于实现启动经配置在装置100上的商务凭据)，此在将机密付款信息(诸如，凭据的信用卡信息或银行帐户信息)从电子装置100传输至商家子系统200时可以是特别实用。此类安全性特征也可包括可具有受限制的存取的安全存储区域。例如，可能需要提供经由个人识别号码(“PIN”)输入项或经由用户与生物特征传感器的互动的用户认证，以存取安全存储区域(例如，用于用户更改安全元件的安全性网域元件的生命周期状态)。在某些实施例中，安全性特征的一些或全部可存储在NFC内存模块150内。进一步，用于与子系统200通信的安全性信息(诸如认证密钥)可存储在NFC内存模块150内。在某些实施例中，NFC内存模块150可包括内嵌在电子装置100内的微控制器。

图1A的商家子系统200的商家终端机220可包括用于检测、读取或以其他方式接收来自电子装置100的NFC通信(例如，当电子装置100在此商家终端机220的某一距离内或附近时的通信5)的读取器。因此，应注意，此商家终端机与电子装置100之间的NFC通信可以无线方式发生，且因而，可能不需要在相应装置之间的无障碍“视线(line of sight)”。如所提及，NFC装置模块130可以是被动式或主动式。当NFC装置模块130是被动式时，NFC装置模块130可仅在处于此商家终端机的合适读取器的回应范围内时启动。例如，此商家终端机的读取器可发射相对低功率无线电波场，该相对低功率无线电波场可用于对由NFC装置模块130所利用的天线(例如，共享天线116或NFC特定天线134)供电，且由此，使那个天线能够将合适的NFC通信信息(例如，信用卡凭据信息)自NFC数据模块132经由天线116或天线134传输至此商家终端机作为NFC通信。当NFC装置模块130是主动式时，NFC装置模块130可并有或以其他方式存取在电子装置100本端的电源(例如，电力供应器108)，其可使共享天线116或NFC特定天线134能够主动地将NFC通信信息(例如，信用卡凭据信息)从NFC数据模块132经由天线116或天线134传输至此商家终端机220作为NFC通信，而非反射射频信号，如在被动式NFC装置模块130的情况中。可由商家子系统200的商家提供商家终端机220(例如，在商家的商店中，用于向在该商店处的装置100的用户直接销售产品或服务)。虽然已关于近场通信描述NFC部件120，但应理解，部件120可被配置为在电子装置100与此商家终端机之间提供任何合适的非接触式的以接近性为基础的行动付款或任何其他合适类型的非接触式的以接近性为基础的通信。例如，NFC部件120可被配置为提供任何合适的短程通信，诸如，涉及电磁/静电耦合技术的短程通信。

虽然已关于近场通信描述NFC部件120，但应理解，部件120可被配置为在电子装置100与商家子系统200之间提供任何合适的非接触式的以接近性为基础的行动付款或任何其他合适类型的非接触式的以接近性为基础的通信。例如，NFC部件120可被配置为提供任何合适的短程通信，诸如，涉及电磁/静电耦合技术的短程通信。替代地，在一些实施例中，装置100的NFC部件120可被被配置为包括任何合适的部件，用于使可供处理器102或装置100的任何其他部件使用的数据能够被传送作为介于装置100的NFC部件120与商家子系统200的商家终端机220之间任何合适的非接触式的以接近性为基础的通信，但是NFC部件120可或可不包括可操作以安全地存储凭据小应用程序的安全元件，用于在装置100上产生安全凭据数据用于安全地为金融交易提供资金，如同程序600的凭据数据。

电子装置100也可具备外壳101，该外壳可至少部分地围封装置100的部件中的一者或多者以用于保护免受装置100外部的碎屑及其他降级力影响。在一些实施例中，此类部件中的一者或多者可提供于其自身外壳内(例如，输入部件110可为在其自身外壳内的独立键盘或鼠标，该独立键盘或鼠标可以无线方式或经由电线来与可提供于其自身外壳内的处理器102通信)。应理解，任何装置100可经提供为彼此结合运作的两个或更多装置的组合(例如，经由任何合适的接近式通信协议(例如，BlueTooth^TM)通信耦接的蜂巢式电话及智能表)。

如所提及，且如图3中所展示，电子装置100的特定实例可以是手持式电子装置，诸如iPhone^TM，其中外壳101可允许存取各种输入部件110a至110i、各种输出部件112a至112c、及各种I/O部件114a至114d，装置100及用户和/或周边环境可透过此类部件彼此介接。输入部件110a可包括按钮，当该按钮经按压时，可使装置100显示当前执行的应用程序的“首页(home)”画面或选单。输入部件110b可以是用于在睡眠模式与唤醒模式之间或在任何其他合适模式之间切换电子装置100的按钮。输入部件110c可包括双位置式滑动器，在电子装置100的某些模式中，该滑动器可停用一个或多个输出部件112。输入部件110d及110e可包括用于增加或减少电子装置100的输出部件112的音量输出(volume output)或任何其他特性输出的按钮。输入部件110a至110e的各自可系机械输入部件，诸如，由半球形开关支撑的按钮、滑动开关、控制垫、键、旋钮、滚轮或任何其他合适形式。

输出部件112a可以是显示器(其可用于显示视觉或图形用户接口(“GUI”)180，其可允许用户与电子装置100互动。GUI 180可包括可显示在显示输出部件112a的所有或一些区域中的目前执行中应用程序(例如，应用程序103和/或应用程序113和/或应用程序143)的各种层、窗口、画面、模板、元件、选单、和/或其他部件。例如，如图3中所展示，GUI 180可被配置为显示第一画面190。用户输入部件110a至110i的一者或多者可用于导览GUI 180。例如，用户输入部件110可包括滚轮，该滚轮可允许使用者选择GUI 180的一个或多个图形元素或图标182。图标182也可经由可包括显示输出部件112a及相关联的触控输入部件110f的触控屏幕I/O部件114a来选择。此触控屏幕I/O部件114a可采用任何合适类型的触控屏幕输入技术，诸如(但不限于)：电阻式、电容式、红外线、表面声波、电磁或近场成像。此外，触控屏幕I/O部件114a可采用单点或多点(例如，多点触控)输入感测。

图标182可表示在由用户选择后即可显示于显示部件112a的区域中的一些或全部中的各种图层、窗口、画面、模板、元件、和/或其他部件。此外，特定图示182的选择可导致阶层式导览程序。例如，特定图示182的选择可导致GUI 180的新画面，其可包括同一应用程序或那个图标182相关联的新应用程序的一个或多个附加图标或其他GUI元素。文字指示符181可显示于每一图标182上或附近以帮助用户解读每一图形元素图标182。应理解，GUI180可包括按阶层式和/或非阶层式结构配置的各种部件。选择特定图标182时，装置100可被配置为开启与那个图示182相关联的新应用程序，并显示GUI 180的与那个应用程序相关联的相对应的画面。例如，当选择标记有“商家应用程序”文字指示符181(即，特定图示183)的特定图标182时，装置100可启动或以其他方式存取特定商家应用程序且可显示特定用户接口的画面，该用户接口可包括用于以特定方式与装置100互动的一个或多个工具或特征。对于各应用程序，画面可显示在显示输出部件112a上，且可包括各种用户接口元素(例如，图3A至图3D的画面190a至190d)。除此之外或作为另外一种选择，对于各应用程序，可经由装置100的各种其他输出部件112提供各种其他类型的非视觉信息给用户。可使用广泛多样的图形元素及视觉方案来达成关于各种GUI 180所描述的操作。因此，所描述的实施例非意欲受限于本文采用的精确用户接口惯例。而是，实施例可包括广泛多样的用户接口样式。

电子装置100也可包括可允许装置100与其他装置之间的通信的各种其他I/O部件114。I/O部件114b可以是连接埠，其可被配置为从远程数据源传输及接收数据文件(诸如，媒体档案或客户订单档案)，和/或自外部电源传输及接收电力。例如，I/O部件114b可以是专属埠，诸如来自Apple Inc.(Cupertino,California)的Lightning^TM连接器或30针基座(30-pin dock)连接器。I/O部件114c可系用于收纳SIM卡或任何其他类型的可移除式部件的连接槽。I/O部件114d可以是用于连接可或可不包括麦克风部件的音频头戴式耳机的头戴式耳机插口。电子装置100也可包括诸如麦克风的至少一个音频输入部件110g及诸如音频扬声器的至少一个音频输出部件112b。

电子装置100也可包括至少一个触感或触觉输出部件112c(例如，低频警报器)、摄影机和/或扫描仪输入部件110h(例如，视讯或静态相机，和/或条形码扫描仪或可自诸如条形码、QR码或相似者获得产品识别信息的任何其他合适扫描仪)及生物特征输入部件110i(例如，指纹读取器或可结合可由电子装置100存取的特征处理应用程序来操作以用于认证用户的其他特征识别传感器)。如图3中所展示，生物特征输入部件110i的至少一部分可并入至输入部件110a或装置100的任何其他合适输入部件110内或以其他方式与输入部件110a或装置100的任何其他合适输入部件110组合。例如，生物特征输入部件110i可以是指纹读取器，其可被配置为当使用者通过用使用者的手指按压输入部件110a而与机械输入部件110a互动时扫描那个手指的指纹。举另一实例，生物特征输入部件110i可以是指纹读取器，其可与触控屏幕I/O部件114a的触控输入部件110f组合，使得生物特征输入部件110i可被配置为当使用者通过用使用者的手指按压触控屏幕输入部件110f或沿着触控屏幕输入部件110f滑动而与触控屏幕输入部件110f互动时扫描那个手指的指纹。另外，如所提及，电子装置100可进一步包括NFC部件120，其可由子系统200经由天线116和/或天线134(图3中未展示)以通信方式存取。NFC部件120可至少部分位于外壳101内，且可将标记或符号121提供于外壳101的外部上，该标记或符号121可识别与NFC部件120相关联的天线中的一者或多者的大致定位(例如，天线116和/或天线134的大致定位)。

关于图1至图9所描述的程序的一者、一些或全部可各由软件实施，但也可实施于硬件、固件或软件、硬件与固件的任何组合内。也可将用于执行这些程序的指令体现为记录于机器或计算机可读取媒体上的机器或计算机可读取程序代码。在一些实施例中，该计算机可读取媒体可系非暂时性计算机可读取媒体。此非暂时性计算机可读取媒体的实例包括但不限于：只读存储器、随机存取内存、闪存、CD-ROM、DVD、磁带、可移除式记忆卡及数据存储装置(例如，图2的内存104和/或内存模块150)。在其他实施例中，该计算机可读取媒体可以是暂时性计算机可读取媒体。在这些实施例中，暂时性计算机可读取媒体可分布于网络耦接式计算机系统上，以使得以分布式方式存储及执行计算机可读取程序代码。例如，可使用任何合适的通信协议将此暂时性计算机可读取媒体从电子装置传送至另一电子装置(例如，可经由通信部件106(例如，作为应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分)将计算机可读取媒体传送至电子装置100)。此暂时性计算机可读取媒体可以将计算机可读程序代码、指令、数据结构、程序模块或其他数据体现于经调变的数据信号(诸如，载波或其他输送机制)中，且可包括任何信息递送媒体。经调变的数据信号可以是具有其特性集的一者或多者的信号或以将信息编码于信号中的方式经变化的信号。

应理解，系统1的任何、每个或至少一模块或部件或子系统可提供为软件构造、固件构造、一个或多个硬件部件或其组合。例如，可于可由一个或多个计算机或其他装置执行的计算机可执行指令(诸如，程序模块)的大致内容脉络中描述系统1的任何、每个或至少一模块或部件或子系统。大致上而言，程序模块可包括可执行一个或多个特定任务或可实施一个或多个特定抽象数据类型的一个或多个例程、程序、制品，部件、和/或数据结构。还应理解，系统1的模块及部件及子系统的数目、构型、功能性及互连仅为阐释性，且可修改或省略现有模块、部件和/或子系统的数目、构型、功能性及互连，可新增附加模块、部件和/或子系统，且可更改某些模块、部件和/或子系统的互连。

系统1的模块或部件或子系统中的一者或多者的至少一部分可依任何合适方式存储于系统1的实体中或以其他方式可为系统1的实体所存取(例如，在装置100的内存104中(例如，作为应用程序应用程序103的至少一部分和/或作为应用程序113的至少一部分和/或作为应用程序143的至少一部分))。例如，NFC部件120的任何或各模块可使用任何合适的技术来实施(例如，作为一个或多个集成电路装置)，且不同模块在结构、能力及操作上可相同或可不相同。系统1的模块或其他部件中的任何者或全部可安装于扩充卡上，直接安装于系统主板上，或整合至系统芯片组部件中(例如，至“北桥”芯片中)。

系统1的任何或每一模块或部件(例如，NFC部件120的任何或每一模块)可以是使用经调适用于各种总线标准的一个或多个扩充卡所实施的专用系统。例如，所有模块可安装于不同的互连扩充卡上，或所有模块可安装于一扩充卡上。关于NFC部件120，仅举实例，可透过扩展槽(例如，周边部件互连(“PCI”)槽或快速周边部件互连(PCI Express)槽)使NFC部件120的模块与装置100的主板或处理器102介接。替代地，NFC部件120无需为可移除式，而是可包括一个或多个专用模块，该一个或多个专用模块可包括专用于模块的利用的内存(例如，RAM)。在其他实施例中，NFC部件120可整合至装置100中。例如，NFC部件120的模块可利用装置100的装置内存104的一部分。系统1的任何或每一模块或部件(例如，NFC部件120的任何或每一模块)可包括自己的处理电路系统和/或内存。替代地，系统1的任何或每一模块或部件(例如，NFC部件120的任何或每一模块)可与NFC部件120的任何其他模块和/或装置100的处理器102和/或内存104共享处理电路系统和/或内存。

本公开认知到，在本技术中，此类个人信息数据的使用可用来对使用者有益。例如，可使用个人信息数据来递送用户较关注的经定目标内容。因此，使用此类个人信息数据实现所递送的内容的经计算控制。进一步，本公开还设想有益于用户的个人信息数据的其他用途。

本公开进一步设想，负责此类个人信息数据的收集、分析、公开、传送、存储、或其他使用的实体将遵循经妥善制定的隐私权政策和/或隐私权作法。具体而言，此类实体应实施及一致地使用一般认知为符合或超过产业或政府对维持个人信息数据隐私及安全的要求的隐私权政策及隐私权作法。例如，应收集来自用户的个人信息用于实体合法且合理使用且不分享或出售而超过那等合法使用。进一步，此类收集应仅发生在接收到使用者的知情同意(informed consent)后。此外，此类实体将采取任何必要步骤来保障并保护存取此类个人信息数据的安全，并且确保可存取个人信息数据的其他者遵守其的隐私权政策及程序。进一步，可由第三方评鉴此类实体本身，以认证此类实体遵守广泛接受的隐私权政策及隐私权作法。

尽管有前述内文，本公开还设想其中使用者选择性封锁对个人信息数据的使用或存取的实施例。即，本公开设想，可提供硬件和/或软件部件以防止或封锁对此类个人信息数据的存取。例如，在广告递送服务的情况中，本技术可被配置为允许使用者在注册服务期间选择“加入”或“退出”参与个人信息数据的收集。在另一实例中，用户可选择不对经定目标的内容递送服务提供地点信息。在又另一实例中，用户可选择不提供精确地点信息，但是准许传送定位区(location zone)信息。

所描述概念的进一步应用

虽然已描述用于验证对安全装置功能性的在线存取的系统、方法及计算机可读取媒体，但应理解，可在不背离本文中所描述的目标的精神及范围的情况下以任何方式在其中作出许多改变。明确设想如由所属领域技术人员所见、现在已知或之后设计的对要求保护的主题物的非实质改变等效地属于权利要求书的范围内。因此，所属领域技术人员现在已知或之后已知的明显替代案系限定为属于所定义部件的范围内。

因此，所属领域技术人员应理解，本发明可通过不同于所描述实施例的实施例实践，所描述实施例出于说明而非限制的目的而呈现。

Claims (20)

1.一种用于促进商家子系统和计算装置之间的交易的方法，所述方法包括，在所述计算装置处：

与所述商家子系统对接以初始化所述交易；

确定是否已从商业实体子系统接收到第一验证数据，其中第一验证数据指示商业实体子系统已经认证了所述商家子系统；

响应于确定已从商业实体子系统接收到第一验证数据：

向商业实体子系统提供第二验证数据和安全数据，其中第二验证数据至少部分地基于第一验证数据，

确定是否响应于商业实体子系统对第二验证数据进行了认证而从商业实体子系统接收到加密的安全数据，以及

响应于确定已从商业实体子系统接收到所述加密的安全数据：

将所述加密的安全数据提供给所述商家子系统以完成所述交易。

2.根据权利要求1所述的方法，其中，在提供第一验证数据之前，商业实体子系统：

从所述商家子系统接收质询请求，该质询请求包括与（1）所述商家子系统以及（2）所述计算装置的商家在线资源相关联的商家标识符，其中所述质询请求包括使用与所述商家子系统相关联的商家密钥建立的签名，

基于所述商家标识符获得所述商家密钥，以及

使用所述商家密钥来验证所述签名。

3.根据权利要求2所述的方法，其中，在接收所述质询请求之前，商业实体子系统在针对所述商家子系统的注册过程期间接收（1）所述商家标识符以及（2）所述商家密钥。

4.根据权利要求2所述的方法，其中第二验证数据包括验证会话标识符，该验证会话标识符：

结合初始化所述交易而建立在所述计算装置和所述商家子系统之间，并且

由所述商家子系统在所述质询请求中提供给商业实体子系统。

5.根据权利要求4所述的方法，其中所述验证会话标识符与所述商家密钥关联达阈值时间量。

6.根据权利要求1所述的方法，其中所述安全数据包括：

要在金融交易中使用的支付凭证数据，或者

要在健康交易中使用的健康数据。

7.根据权利要求1所述的方法，其中所述加密的安全数据是使用与所述商家子系统关联的商家密钥来加密的。

8.根据权利要求1所述的方法，其中第二验证数据是使得商业实体子系统能够验证所述计算装置的验证数据。

9.一种计算装置，被配置为执行与商家子系统的交易，所述计算装置包括：

用于与所述商家子系统对接以初始化所述交易的装置；

用于确定是否已从商业实体子系统接收到第一验证数据的装置，其中第一验证数据指示商业实体子系统已经认证了所述商家子系统；以及

用于响应于确定已从商业实体子系统接收到第一验证数据而执行以下操作的装置：

向商业实体子系统提供第二验证数据和安全数据，其中第二验证数据至少部分地基于第一验证数据，

确定是否响应于商业实体子系统对第二验证数据进行了认证而从商业实体子系统接收到加密的安全数据，以及

响应于确定已从商业实体子系统接收到所述加密的安全数据：

将所述加密的安全数据提供给所述商家子系统以完成所述交易。

10.根据权利要求9所述的计算装置，其中，在提供第一验证数据之前，商业实体子系统：

从所述商家子系统接收质询请求，该质询请求包括与（1）所述商家子系统以及（2）所述计算装置的商家在线资源相关联的商家标识符，其中所述质询请求包括使用与所述商家子系统相关联的商家密钥建立的签名，

基于所述商家标识符获得所述商家密钥，以及

使用所述商家密钥来验证所述签名。

11.根据权利要求10所述的计算装置，其中，在接收所述质询请求之前，商业实体子系统在针对所述商家子系统的注册过程期间接收（1）所述商家标识符以及（2）所述商家密钥。

12.根据权利要求10所述的计算装置，其中第二验证数据包括验证会话标识符，该验证会话标识符：

结合初始化所述交易而建立在所述计算装置和所述商家子系统之间，并且

由所述商家子系统在所述质询请求中提供给商业实体子系统。

13.根据权利要求12所述的计算装置，其中所述验证会话标识符与所述商家密钥关联达阈值时间量。

14.根据权利要求9所述的计算装置，其中所述安全数据包括：

要在金融交易中使用的支付凭证数据，或者

要在健康交易中使用的健康数据。

15.一种计算装置，被配置为执行与商家子系统的交易，所述计算装置包括处理器，所述处理器被配置为使所述计算装置执行包括以下的步骤：

与所述商家子系统对接以初始化所述交易；

确定是否已从商业实体子系统接收到第一验证数据，其中第一验证数据指示商业实体子系统已经认证了所述商家子系统；以及

响应于确定已从商业实体子系统接收到第一验证数据：

向商业实体子系统提供第二验证数据和安全数据，其中第二验证数据至少部分地基于第一验证数据，

确定是否响应于商业实体子系统对第二验证数据进行了认证而从商业实体子系统接收到加密的安全数据，以及

响应于确定已从商业实体子系统接收到所述加密的安全数据：

将所述加密的安全数据提供给所述商家子系统以完成所述交易。

16.根据权利要求15所述的计算装置，其中，在提供第一验证数据之前，商业实体子系统：

从所述商家子系统接收质询请求，该质询请求包括与（1）所述商家子系统以及（2）所述计算装置的商家在线资源相关联的商家标识符，其中所述质询请求包括使用与所述商家子系统相关联的商家密钥建立的签名，

基于所述商家标识符获得所述商家密钥，以及

使用所述商家密钥来验证所述签名。

17.根据权利要求16所述的计算装置，其中，在接收所述质询请求之前，商业实体子系统在针对所述商家子系统的注册过程期间接收（1）所述商家标识符以及（2）所述商家密钥。

18.根据权利要求16所述的计算装置，其中第二验证数据包括验证会话标识符，该验证会话标识符：

结合初始化所述交易而建立在所述计算装置和所述商家子系统之间，并且

由所述商家子系统在所述质询请求中提供给商业实体子系统。

19.根据权利要求18所述的计算装置，其中所述验证会话标识符与所述商家密钥关联达阈值时间量。

20.根据权利要求15所述的计算装置，其中所述安全数据包括：

要在金融交易中使用的支付凭证数据，或者

要在健康交易中使用的健康数据。