KR20190029787A - 모바일 결제 거래를 수행하도록 휴대용 전자 디바이스를 운용하는 장치 및 방법 - Google Patents

Abstract

상점 단말기에서 모바일 결제 거래를 수행하도록 휴대용 전자 디바이스를 운용하는 방법이 제공된다. 전자 디바이스는 디바이스의 현재의 사용자에게 패스코드를 입력하도록 요구함으로써 현재의 사용자가 참으로 인가된 소유자인 것을 검증할 수 있다. 사용자가 정확한 패스코드를 제공할 수 있으면, 디바이스는 모바일 결제를 수행하도록 부분적으로만 준비된다. 사용자가 결제 기능을 완전히 활성화하기 위해서는, 사용자는 사용자가 곧 금융 거래를 수행하고자 한다는 것을 디바이스에게 통지하는 두번 버튼 누름과 같은 예정된 결제 활성화 입력을 공급해야 할 수 있다. 디바이스는 사용자가 근접장 통신 기반 모바일 결제 거래를 완료하기 위해 상점 단말기의 장 내에 디바이스를 유지할 수 있는 예정된 기간 동안 결제 애플릿을 후속적으로 활성화할 수 있다.

Description

모바일 결제 거래를 수행하도록 휴대용 전자 디바이스를 운용하는 장치 및 방법 {APPARATUSES AND METHODS FOR OPERATING A PORTABLE ELECTRONIC DEVICE TO CONDUCT MOBILE PAYMENT TRANSACTIONS}

이 출원은, 그 전체가 이 명세서에 참고로 포함되는, 2014년 9월 2일 출원된 미국 특허 출원 14/475,263호, 및 2014년 5월 29일 출원된 미국 가 특허 출원 62/004,840호에 대한 우선권을 주장한다.

이것은 일반적으로 전자 디바이스에 관한 것이며, 더 자세하게는, 모바일 결제 거래(mobile payment transaction)를 수행하도록 전자 디바이스를 운용하는 것에 관한 것이다.

셀룰러 전화(cellular telephone)와 같은 휴대용 전자 디바이스에는 전자 디바이스가 근접장 통신(near field communication, NFC) 판독기와 비접촉식 근접 기반 통신을 수행하게 하는 대응하는 NFC 회로가 종종 제공된다. 흔히, 사용자 디바이스에서의 NFC 회로는, 사용자 디바이스에게 신용 카드 자격증명(credit card credential)과 같은 상거래 자격증명을 검증하고 액세스(access) 할 것을 요구하는, 금융 거래 또는 다른 보안 데이터 거래(secure data transaction)를 수행하기 위해 이용된다. 그러한 모바일 금융 거래(mobile financial transaction)를 수행하기 위해 필요한 보안 데이터는 전형적으로 전자 디바이스 내의 보안 요소 상에 저장된다.

보안 요소가 주어진 신용 카드 자격증명에 대응하는 보안 데이터를 저장하는 시나리오를 고찰하자. 보안 요소는 인가된 모바일 결제 거래 동안에만 보안 데이터를 출력해야 한다(즉, 인가되지 않은 사용자는 디바이스 상의 결제 기능에 액세스할 수 없어야 한다). 그러므로, 인가된 사용자가 사용자 디바이스의 결제 기능의 일시적 활성화를 유발할 어떤 입력을 제공하기 위한 방식을 제공하는 것이 바람직할 수 있다.

모바일 결제 거래를 수행하도록 휴대용 전자 디바이스를 운용하는 장치 및 방법이 제공된다.

한 실시예에 따라, 전자 디바이스는 보안 요소 및 보안 요소와 통신하는 프로세서를 포함할 수 있다. 전자 디바이스는 사용자로부터 결제 개시 입력을 수신하도록 구성될 수 있다. 결제 개시 입력을 수신하는 것에 응답하여, 보안 요소는 사용자로부터 결제 개시 입력이 수신되었음을 나타내는 통지를 프로세서에 전송하도록 이용될 수 있다. 그 후, 보안 요소는 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 이용될 수 있다.

다른 한 실시예에 따라, 휴대용 전자 디바이스는 상거래 자격증명을 보안적으로 저장하는 보안 요소, 보안 채널(secure channel)을 통해 보안 요소와 통신하도록 구성되는 애플리케이션즈 프로세서(applications processor), 및 디바이스의 사용자와 인터페이스(interface)를 이루는 입출력 디바이스(input-output device)를 포함할 수 있다. 보안 요소는 관련 보안 요소 식별자(secure element identifier, SEID)를 가질 수 있다.

사용자는 디바이스에 의해 금융 거래를 수행하기 전에 디바이스 상의 패스코드 잠금 기능(passcode lock function)을 인에이블(enable) 할 것이 요구될 수 있다. 패스코드 잠금 기능이 인에이블 될 때, 디바이스가 아이들(idle) 상태일 때는 디바이스가 잠김 상태로 있을 수 있고, 사용자가 정확한 패스코드를 제공할 수 있을 때는 잠김 해제 상태로 있을 수 있다. 사용자로부터 정확한 패스코드를 수신하는 것에 응답하여, 애플리케이션즈 프로세서는 애플리케이션즈 프로세서 상에 유지된 사용자 키 체인(user keychain)(예컨대, 민감한 사용자 정보가 보안적으로 저장된 키 체인)으로부터 공인 난수(random authorization number) "AuthRand"를 검색할 수 있다.

입출력 디바이스는 모바일 결제 거래를 개시하기 위해 인가된 사용자로부터 어떤 예정된 입력 시퀀스(predetermined input sequence)를 수신하도록 이용될 수 있다. 예를 들어, 사용자는 상점 단말기에서 디바이스를 이용하여 NFC 기반 금융 거래를 수행하려는 의도의 신호를 디바이스에 보내기 위해 버튼 상에서 두번 누를 수 있다. 한 실시예에 따라, 보안 요소에는 예정된 사용자 입력 시퀀스(predetermined user input sequence)를 검출하는 것에 응답하여 "사용자 입력이 수신됨(user input received)" 플래그(flag)를 어써트하는, 비접촉식 레지스트리 서비스(contactless registry service, CRS) 애플릿(applet)이 제공될 수 있다.

전자 디바이스는, 사용자로부터의 예정된 입력 시퀀스를 검출하기 위해 이용되는, 전력 관리 유닛(power management unit, PMU)도 포함할 수 있다. PMU는 재구성 가능하지 않은 디지털 상태 머신(non-reconfigurable digital state machine)일 수 있다(한 예로서). PMU는 사용자로부터 예정된 입력 시퀀스를 수신할 때 입출력 디바이스로부터 트리거 신호(trigger signal)를 수신할 수 있다. 이 트리거 신호는, 애플리케이션즈 프로세서 및 보안 요소 둘 다에 경보를 발하도록(예컨대, 어써트된 인에이블 신호(asserted enable signal)를 애플리케이션즈 프로세서 및 보안 요소에 전송하도록), PMU에게 지시할 수 있다.

보안 요소는, 수신된 사용자 입력이 유효한 예정된 사용자 입력 시퀀스인 것을 확인하기 위해(예컨대, 전력 관리 유닛에 의해 출력되는 공인 신호의 상태를 감시함으로써) 이용될 수 있다. 전력 관리 유닛은, 유효한 사용자 결제 개시 입력 시퀀스를 검출하는 것에 응답하여, 예정된 기간 동안 공인 신호를 어써트할 수 있다. 사용자 입력이 승인되었으면, 보안 요소 상의 비접촉식 레지스트리 서비스(CRS) 애플릿은 "사용자 입력이 수신됨" 제어 플래그를 어써트할 수 있고, 보안 요소는 유효한 사용자 입력 시퀀스(이 명세서에서 종종 결제 개시 입력이라고도 지칭되는)가 수신되었음을 나타내는 통지를 애플리케이션즈 프로세서에 전송하도록 구성될 수 있다.

보안 요소로부터 통지를 수신하는 것에 응답하여, 애플리케이션즈 프로세서는 보안 요소의 SEID 및/또는 애플리케이션즈 프로세서의 고유 식별자에 기초한 인증 키(authentication key) "AuthKey"를 유도하도록 이용될 수 있다. 그 후, 보안 요소는 카드 암호를 애플리케이션즈 프로세서에 전송할 수 있다. 애플리케이션즈 프로세서는 유도된 AuthKey를 이용하여 카드 암호를 해독할 수 있고, 카드 암호의 적어도 일부를 검색된 AuthRand와 비교함으로써 보안 요소 상의 결제 애플릿(payment applet)을 활성화하는 것을 진행할 것인지를 판정하도록 이용될 수 있다. 카드 암호의 부분이 검색된 AuthRand와 일치하면, 애플리케이션즈 프로세서는 보안 요소에 호스트 암호(host cryptogram)를 전송하도록 진행할 수 있다. 호스트 암호는 한 예로서 암호 기반 메시지 인증 코드(cipher-based message authentication code, CMAC) 알고리즘(algorithm)을 이용하여 AuthKey를 이용하여 암호화될 수 있다.

보안 요소는 애플리케이션즈 프로세서로부터 호스트 암호를 수신할 수 있고, 수신된 호스트 암호의 적어도 일부를 분석함으로써 결제 애플릿을 활성화하는 것을 진행할 것인지를 판정하도록 이용될 수 있다. 호스트 암호의 부분이 설계 기준을 충족하면, CRS 애플릿은 결제 애플릿을 일시적으로 활성화하도록 이용될 수 있다. 이 시점에서, 사용자는 상점 단말기의 장(field) 내의 전자 디바이스가 모바일 결제 거래를 완료하게 할 수 있다.

본 발명의 내용은 단지 본 명세서에 설명된 요지의 일부 양태들에 대한 기본적인 이해를 제공하도록 일부 예시적인 실시예들을 요약하기 위한 목적으로 제공될 뿐이다. 따라서, 위에서 설명한 특징들은 단지 예시일 뿐이고 본 명세서에 설명된 요지의 범주 또는 기술 사상을 어떤 방식으로든 한정하여 해석되어서는 안 된다는 것을 이해할 것이다. 본 명세서에 설명된 요지의 다른 특징, 양태 및 이점은 다음의 상세한 설명, 도면 및 청구범위로부터 명백해질 것이다.

도 1은 한 실시예에 따라 하나 이상의 사용자 디바이스가 모바일 결제 거래를 수행하도록 이용될 수 있는 예시적 시스템의 도면이다.
도 2a는 한 실시예에 따른 예시적 주 사용자 디바이스의 사시도이다.
도 2b는 한 실시예에 따른 예시적 부 사용자 디바이스의 사시도이다.
도 3은 한 실시예에 따른 도 1의 주 사용자 디바이스에서의 예시적 회로의 개요도이다.
도 4는 한 실시예에 따른 도 1의 부 사용자 디바이스에서의 예시적 회로의 개요도이다.
도 5는 한 실시예에 따라 모바일 결제를 위해 사용자 디바이스를 활성화하는 것에 관련된 예시적 단계의 흐름도이다.
도 6은 한 실시예에 따라 결제 활성화 작동 중에 사용자 디바이스 내의 상이한 컴포넌트들 사이의 정보의 흐름을 예시하는 도면이다.
도 7은 한 실시예에 따라 예정된 사용자 입력에 의해 트리거 되는 이벤트들의 시퀀스를 예시하는 타이밍도이다.
도 8은 한 실시예에 따라 모바일 결제를 개시하기 위해 유효한 사용자 입력을 검출하도록 전력 관리 유닛을 이용하기 위한 예시적 단계의 흐름도이다.

도 1은 서비스 제공자 서브시스템(service provider subsystem)(112)을 이용하여 결제 네트워크 서브시스템(payment network subsystem)(122)으로부터 하나 이상의 전자 디바이스 상에 자격증명 정보가 프로비저닝될 수 있는 시스템(100)의 도면을 도시한다. 결제 네트워크 서브시스템(122)으로부터 상거래 자격증명이 프로비저닝된 사용자 디바이스는 상점 단말기(108)와 같은 상점 단말기에 의해 금융 거래를 수행하도록 이용될 수 있다. 사용자 디바이스는, 예를 들어, 비접촉식 근접 기반 통신에 의해(예컨대, 근접장 통신(NFC) 표준을 이용하여) 상점 단말기(108)와 통신할 수 있다. 단말기(108)(종종 "판매시점(point-of-sale)" 단말기라고도 지칭되는)는 인근의 전자 디바이스로부터 정보를 검출, 판독, 또는 다른 방식으로 수신하기 위한 NFC 판독기를 포함할 수 있다.

예를 들어, 사용자는 상거래를 개시하기 위해 상점 단말기(108)의 범위 내에 전자 디바이스를 유지할 수 있다. 사용자 디바이스와 상점 단말기 사이의 실제의 물리 접촉은 있을 필요가 없다. 전자 디바이스가 상점 단말기(108)의 범위 내에 있는 동안(예컨대, 사용자 디바이스는 단말기(108)로부터 10 cm 내에 있을 때, 사용자 디바이스가 단말기(108)로부터 5 cm 내에 있을 때, 사용자 디바이스가 단말기(108)로부터 1 cm 내에 있을 때, 또는 사용자 디바이스와 상점 단말기 사이의 거리가 다른 적합한 값을 가질 때), 전자 디바이스는 선택된 상거래 자격증명을 상점 단말기(108)에 전송할 수 있다. 선택된 상거래 자격증명을 수신하는 것에 응답하여, 상점 단말기(108)는 수신된 상거래 자격증명을 대응하는 결제 프로세서(도시 안됨)에 전달함으로써 결제를 완료할 수 있다. 결제 프로세서는 결제 네트워크 서브시스템(122)에 의해 거래를 완료하기 위해 사용자 상거래 자격증명을 활용할 수 있다. 결제 거래가 NFC를 통해 수행되는 이 예는 단지 예시일 뿐이며, 본 발명의 범위를 한정하지 않는다. 원한다면, 임의의 두개의 전자 디바이스 사이의 금융 거래가 Bluetooth® 통신 링크, 개인 영역 네트워크(personal area network, PAN) 통신 링크, 무선 근거리 네트워크(wireless local area network, WLAN) 통신 링크, 또는 다른 단거리 무선 통신 링크를 통해 수행될 수 있다.

결제 네트워크 서브시스템(122)은 다양한 발행 은행 및/또는 수령 은행(예컨대, 결제 프로세서)의 네트워크를 포함하는 금융 엔터티(financial entity)에 의해 운영될 수 있다. 결제 네트워크 서브시스템(122)에서의 금융 엔터티는 상이한 브랜드의 상거래 자격증명들과 관련이 있는 하나 이상의 발행/수령 은행들과 파트너가 되는 일반적인 결제 카드 협회(예컨대, 신용 카드 협회)로서의 역할을 할 수 있고, 종종 결제 네트워크 운영자(payment network operator)라고 지칭될 수 있다. 결제 네트워크 운영자 및 관련 발행/수령 은행은 단일 엔터티 또는 분리된 엔터티들일 수 있다.

예를 들어, 아메리칸 익스프레스(American Express)는 결제 네트워크 운영자 및 발행/수령 은행 둘 다일 수 있다. 다른 한 예로서, 비자(Visa) 및 마스터카드(MasterCard)는 뱅크 오브 아메리카(Bank of America), 웰스 파고(Wells Fargo), 및 체이스(Chase) 등과 같은 다른 발행/수령 은행과 파트너가 되는 결제 네트워크 운영자일 수 있다. 발행 은행은 특정한 브랜드의 결제 카드를 이용하여 발생된 빚을 청산할 각각의 사용자의 능력에 대한 제1차 책임을 맡는 금융 기관일 수 있다. 발행될 수 있는 다양한 유형의 결제 카드에는 신용 카드, 직불 카드, 충전 요금, 선불 카드, 플릿 카드(fleet card), 및 기프트 카드(gift card)가 포함될 수 있지만, 거기에 한정되지는 않는다.

서비스 제공자 서브시스템(112)과 같은 서비스 제공자 서브시스템을 이용하여 그러한 금융 엔터티로부터 사용자 디바이스 상에 사용자 결제 카드 자격증명이 프로비저닝될 수 있다. 서비스 제공자 서브시스템(112)은 한층 더 강화된 보안을 제공하도록 및/또는 더 최적의 사용자 경험을 제공하도록 구성될 수 있다. 예를 들어, 서비스 제공자 서브시스템(112)은 다양한 서비스를 사용자에게 제공하는 상업적 서비스 엔터티에 의해 운영될 수 있는데, 서비스는, 사용자 디바이스에 의해 플레이(play) 될 미디어를 판매/임대하는 온라인 스토어(online store), 사용자 디바이스 상에서 실행될 애플리케이션을 판매/임대하는 온라인 스토어, 다중 사용자 디바이스 사이에서 데이터를 백업하고 동기화하는 온라인 기억장치 서비스(online storage service), 사용자 디바이스의 위치를 추적하고 그 디바이스를 원격으로 제어하는 원격 디바이스 관리 서비스(remote device management service), 사용자가 추가적 사용자 디바이스 또는 제품(예컨대, 그 상업적 엔터티가 제조한 제품)을 구매하게 하는 온라인 스토어 등을 포함할 수 있다. 다른 한 예로서, 서비스 제공자 서브시스템(112)은 버라이즌(Verizon) 또는 에이티앤티(AT&T)와 같은 모바일 네트워크 운영자(mobile network operator)에 의해 운영될 수 있다.

어떤 시나리오에서든, 서비스 제공자 서브시스템(112)에서의 상업적 엔터티는 적어도 상이한 사용자들에게 그 상업적 엔터티에 의해 제공되는 서비스에 액세스하기 위한 그들 자신의 개인화 계정을 제공할 수 있다. 각각의 사용자 계정은 사용자가 자신의 계정으로 로그인(log in) 하기 위해 이용할 수 있는 개인화 사용자 신분증명(또는 계정 ID) 및 패스워드와 관련될 수 있다. 로그인 되면, 사용자에게는 상업적 엔터티에 의해 제공되는 서비스를 이용하여 아이템(item)을 구매하기 위해 및/또는 상점 단말기(108)에서 금융 거래를 수행하기 위해 사용자 디바이스를 인에이블 하도록 사용자 디바이스 상에 하나 이상의 상거래 자격증명(예컨대, 결제 카드)을 프로비저닝할 기회가 부여될 수 있다.

일반적으로, 서비스 제공자 서브시스템(112)에서의 상업적 엔터티 및 결제 네트워크 서브시스템(122)에서의 금융 엔터티는 분리된 엔터티들일 것으로 생각된다. 상업적 엔터티는 주어진 사용자 디바이스 상에 결제 네트워크 운영자에 의해 제공되는 특정한 자격증명이 프로비저닝되어야 하는지를 더 보안적으로 판정하기 위해 그것의 사용자 계정들의 각각과 관련된 임의의 알려진 자격증명 정보를 레버리지(leverage) 할 수 있다. 원한다면, 상업적 엔터티는 사용자가 결제 네트워크 운영자에 의해 제공되는 자격증명을 주어진 사용자 디바이스 상에 프로비저닝하고자 할 때 사용자에게 더 최적의 경험을 제공하기 위해 사용자 디바이스의 다양한 컴포넌트를 구성하거나 또는 제어하도록 그것의 능력을 레버리지 할 수도 있다(예컨대, 펌웨어 업데이트(firmware update)의 소프트웨어(software)에 의해).

도 1에 도시된 바와 같이, 서비스 제공자 서브시스템(112)은 브로커 모듈(broker module)(114), 신뢰된 서비스 관리자(trusted service manager, TSM) 모듈(116), 및 네트워크 기반 서비스 모듈(network-based service module)(118)을 포함할 수 있다. 브로커 모듈(114)은 상업적 엔터티 사용자 계정에 의한 사용자 인증을 관리하는 역할을 할 수 있고, 라이프 사이클(lifecycle) 및 사용자 디바이스 상에 자격증명의 프로비저닝을 관리하는 역할도 할 수 있다. 브로커 모듈(114)은 사용자 디바이스 상에 표시되는 사용자 인터페이스(예컨대, 그래픽 사용자 인터페이스(graphical user interface))를 제어하고 사용자 디바이스 상에 상거래 자격증명을 프로비저닝하는 것과 관련된 임의의 사용자 입력을 처리하도록 구성될 수도 있다. 사용자 디바이스 상에 카드를 프로비저닝하기를 원할 때, 브로커 모듈(114)은 경로(120)를 통해 결제 네트워크 서브시스템(122)에 통지를 전송할 수 있다.

브로커 모듈(114)로부터 통지를 수신하는 것에 응답하여, 결제 네트워크 서브시스템(122)은 사용자 디바이스 상에서 자격증명 프로비저닝 작동을 수행하기 위해 TSM 모듈(116)과 직접 통신할 수 있다. TSM(116)은 TSM(116)이 서비스 제공자 서브시스템(112)과 사용자 디바이스 내의 보안 요소 사이의 보안 채널을 설정할 수 있도록 글로벌플랫폼(GlobalPlatform) 또는 다른 보안 거래 기반 서비스를 제공하는 역할을 할 수 있다. 상거래 자격증명, 결제 카드 정보, 및/또는 다른 민감한 계정 데이터는 보안 채널에 의해 디바이스의 보안 요소에 전달될 수 있다. 일반적으로, TSM(116)은 서비스 제공자 서브시스템(112)과 사용자 디바이스 내의 보안 요소 사이의 통신이 보안적일 것을 보장하기 위해 공개 키/개인 키 또는 다른 암호 구성을 이용할 수 있다.

네트워크 기반 서비스 모듈(118)은 사용자가 음악, 사진, 비디오, 접촉, 멀티미디어 메시지, 전자메일, 캘린더, 노트, 리마인더, 애플리케이션, 문서, 디바이스 설정, 및 다른 정보와 같은 데이터를 컴퓨팅 서버 네트워크(network of computing servers) 상에 저장하게 하여 데이터가 다중 사용자 디바이스 사이에서 동기화될 수 있게 하는 역할을 할 수 있다(예컨대, 모듈(118)은 사용자가 자신의 디바이스 상에 저장된 데이터를 서비스 제공자 서브시스템과 관련된 서버 상에 백업하게 한다). 이 백업 데이터는 사용자 디바이스를 복구하기 위해 또는 새로운 사용자 디바이스를 설정하기 위해(예를 들어) 사용될 수 있다.

네트워크 기반 서비스 모듈(118)은 사용자가 분실된 디바이스를 찾거나(종종 "내 디바이스 찾기(Find My Device)" 특징요소라고 지칭됨), 상이한 디바이스들 사이에서 미디어를 공유하거나, 및/또는 상이한 사용자 디바이스들 사이에서 최신의 민감한 정보(예컨대, 상거래 자격증명 정보, 웹사이트 계정 로그인 정보, Wi-Fi® 계정 정보 등)를 유지하게 하도록 구성될 수도 있다. 임의의 민감한 사용자 정보는 사용자 디바이스 상 및/또는 네트워크 기반 서비스 모듈(118) 상에 저장될 수 있는 사용자 "키 체인"의 부분으로서 저장될 수 있다. 인가된 사용자만 키 체인에 대한 액세스(access)를 가져야 한다. 키 체인의 콘텐츠는 업계 표준 암호화 기법을 이용하여(예컨대, 적어도 128 비트 AES 암호화를 이용하여) 보호될 수 있다. 이 방식으로 구성된 모듈(118)은 종종 "클라우드(cloud)" 저장소 또는 클라우드 컴퓨팅 모듈(cloud computing module)이라고 지칭된다.

도 1을 또 보면, 사용자는 디바이스(10 및 102)와 같은 다중 디바이스를 소지하고 있을 수 있다. 디바이스(10)는 "주" 사용자 디바이스라고 지칭될 수 있고, 디바이스(102)는 "부" 사용자 디바이스라고 지칭될 수 있다. 일반적으로, 주 사용자 디바이스(10)에는 부 사용자 디바이스(102)보다 더 많은 기능이 제공될 수 있다. 예를 들어, 주 사용자 디바이스(10)는 전화 호(telephone call)를 발생시키고, 디바이스(10 및 102) 중 하나에 프로비저닝될 새로운 카드를 선택하고, 이미지(image)를 캡처하고, 인터넷에 액세스하기 위해 서비스 제공자 서브시스템(112)에 의해 제공되는 전체 서비스 어레이(entire array of services)에 액세스하는 데 이용하는 사용자의 주요 디바이스로서의 역할을 할 수 있고, 부 사용자 디바이스(102)는 서비스 제공자 서브시스템(112)에서 상업적 엔터티에 의해 제공되는 서브셋(subset)의 서비스에만 액세스하는 데 이용하는 보조 디바이스로서의 역할을 할 수 있다. 그러나, 용어 "주" 및 "부"는 설명의 편의를 위해 사용되며, 일부 경우에는, "부" 디바이스가 "주" 디바이스에 의해 구현되는 기능성과 동일하거나 또는 더 큰 기능성을 구현한다는 것을 알아야 한다.

주 사용자 디바이스(10) 또는 부 사용자 디바이스(102) 중 어느 하나든 상점 단말기(108)에서 모바일 결제 거래를 수행하기 위해 사용될 수 있다. 그러한 유형의 NFC 기반 금융 거래를 수행할 능력이 있는 각각의 디바이스에는 보안 요소가 제공될 수 있다. 보안 요소는 애플리케이션 및 그것의 비밀 및 암호 데이터를 글로벌플랫폼과 같은 잘 식별되고 신뢰된 기관에 의해 정해진 규칙 및 보안 요구조건에 따라 보안적으로 호스트(host) 할 수 있는 부정 조작 방지 컴포넌트(tamper-resistant component)(예컨대, 단일 칩 또는 멀티칩 보안 마이크로프로세서로서의)일 수 있다. 보안 요소(SE)는 일반적인 집적 회로 카드(universal integrated circuit card, UICC), 내장 SE, 스마트 보안 디지털(smart secure digital, SD) 카드, 마이크로 SD 카드 등으로서 제공될 수 있다. 신용 카드 정보 및 다른 상거래 자격증명과 같은 민감한 사용자 정보가 보안 요소 상에 저장될 수 있다. 보안 요소는 사용자의 자격증명을 보호하고 사용자의 데이터의 안전성을 훼손함이 없이 신뢰된 환경에서 원하는 결제 거래를 처리하는 보안 도메인(secure domain)을 제공한다. 일반적으로, 각각의 보안 요소는 이 명세서에서 종종 SEID라고 지칭되는 그것 자체의 고유 식별자를 가질 수 있다. 어떤 두개의 보안 요소도 동일한 SEID를 갖지 않아야 하며, SEID는 변경될 수 없다.

한 적합한 방식에서, 사용자는 하나 이상의 결제 카드를 주 사용자 디바이스 상에 직접 프로비저닝하도록 주 사용자 디바이스(10)를 운용할 수 있다. 그러한 방식에서, 자격증명 정보는 결제 네트워크 서브시스템(122) 및/또는 서비스 제공자 서브시스템(112)으로부터 검색될 수 있고, 경로(110)를 통해 디바이스(10) 내의 보안 요소에 다운로드(download) 될 수 있다. 서브시스템(112)과 디바이스(10) 사이의 경로(110)는 셀룰러 전화 무선 통신 프로토콜(cellular telephone radio communications protocol) 또는 다른 장거리 무선 통신 기술에 의하거나 및/또는 Bluetooth®, 종종 WiFi®라고 지칭되는 IEEE 802.11 프로토콜, 또는 다른 단거리 무선 통신 기술에 의해 지원될 수 있다.

다른 한 적합한 방식에서, 사용자는 하나 이상의 결제 카드를 부 사용자 디바이스(102) 상에 간접 프로비저닝하도록 주 사용자 디바이스(10)를 운용할 수 있다. 그러한 시나리오에서, 부 디바이스(102) 상에 자격증명을 프로비저닝하는 것은 주 사용자 디바이스(10) 상에서 실행되는 부 디바이스 자격증명 관리 애플리케이션(종종 "브리징(bridging)" 애플리케이션이라고 지칭되는)을 이용하여 관리될 수 있다. 그러한 방식에서, 결제 네트워크 서브시스템(122)은 원하는 결제 카드 정보를 제공할 수 있고, 그것은 그 후 주 사용자 디바이스(10) 및 경로(106)를 통해 부 디바이스(102) 상의 보안 요소 속에 보안적으로 기입된다. 주 사용자 디바이스(10)와 부 사용자 디바이스(102) 사이의 통신 경로(106)는 Bluetooth® (예컨대, 블루투스 로우 에너지(Bluetooth Low Energy) 및/또는 블루투스 "클래식(Classic)" 기술에 의해), 종종 WiFi®라고 지칭되는 IEEE 802.11 프로토콜, 또는 다른 단거리 무선 통신 기술(예를 들어)에 의해 지원될 수 있다. 또다른 적합한 방식에서, 부 디바이스(102)는 임의의 적합한 장거리 또는 단거리 무선 통신 표준을 이용하여 상거래 자격증명을 얻기 위해 서비스 제공자 서브시스템(112)과 직접 통신할 수 있다(경로(111)에 의해 나타낸 바와 같이).

도 2a는 주 사용자 디바이스(10)의 사시도를 도시한다. 디바이스(10)는 셀룰러 전화, 미디어 플레이어(media player), 태블릿 컴퓨터(tablet computer), 또는 다른 휴대용 컴퓨팅 디바이스(portable computing device)와 같은 휴대용 디바이스일 수 있다. 도 2a의 예는 단지 예시일 뿐이다. 원한다면, 디바이스(10)를 위한 다른 구성이 이용될 수 있다. 도 2a에 도시된 바와 같이, 디바이스(10)는 디스플레이(14)와 같은 디스플레이를 포함할 수 있다. 디스플레이(14)는 하우징(12)과 같은 하우징 속에 장착되었다. 종종 인클로저(enclosure) 또는 케이스(case)라고 지칭될 수 있는 하우징(12)은 플라스틱, 유리, 세라믹스, 섬유 복합체, 금속(예컨대, 스테인리스 스틸, 알루미늄 등), 다른 적합한 재료, 또는 이러한 재료의 임의의 둘 이상의 조합으로 형성될 수 있다. 하우징(12)은 하우징(12)의 일부 또는 전부가 단일 구조체로서 기계가공되거나 성형된 일체형 구성을 사용하여 형성될 수 있거나, 다수의 구조체(예컨대, 내부 프레임 구조체, 외부 하우징 표면을 형성하는 하나 이상의 구조체 등)를 사용하여 형성될 수 있다.

디스플레이(14)는 한 층의 전도성 용량성 터치 센서 전극(conductive capacitive touch sensor electrode) 또는 다른 터치 센서 컴포넌트(touch sensor component)(예컨대, 저항성 터치 센서 컴포넌트, 청각적 터치 센서 컴포넌트, 힘 기반 터치 센서 컴포넌트, 광 기반 터치 센서 컴포넌트 등)를 포함하는 터치 스크린 디스플레이(touch screen display)일 수 있거나 또는 터치 감응식이 아닌 디스플레이일 수 있다. 용량성 터치 스크린 전극은 인듐 주석 산화물 패드 어레이(array of indium tin oxide pads) 또는 다른 투명한 도체 구조체로 형성될 수 있다.

디스플레이(14)는 액정 디스플레이(liquid crystal display, LCD) 컴포넌트로 형성된 디스플레이 픽셀 어레이(array of display pixels), 전기 영동 디스플레이 픽셀 어레이(array of electrophoretic display pixels), 플라즈마 디스플레이 픽셀 어레이(array of plasma display pixels), 유기 발광 다이오드 디스플레이 픽셀 어레이(array of organic light-emitting diode display pixels), 전기습윤 디스플레이 픽셀 어레이(array of electrowetting display pixels), 또는 다른 디스플레이 기술에 기초한 디스플레이 픽셀을 포함할 수 있다.

디스플레이(14)는 투명한 유리 또는 투명한 플라스틱의 층과 같은 디스플레이 커버 층(display cover layer)을 이용하여 보호될 수 있다. 디스플레이 커버 층에 개구가 형성될 수 있다. 예를 들어, 버튼(16)과 같은 버튼을 수용하기 위해 디스플레이 커버 층에 개구가 형성될 수 있다. 스피커 포트(speaker port)(18)와 같은 포트를 수용하기 위해 디스플레이 커버 층에 개구가 형성될 수도 있다. 통신 포트(예컨대, 오디오 잭 포트, 디지털 데이터 포트 등)를 형성하기 위해 하우징(12)에 개구가 형성될 수 있다.

도 2b는 부 사용자 디바이스(102)의 사시도를 도시한다. 전자 디바이스(102)는, 랩톱 컴퓨터(laptop computer)와 같은 컴퓨팅 디바이스(computing device), 내장형 컴퓨터를 가진 컴퓨터 모니터(computer monitor), 태블릿 컴퓨터, 셀룰러 전화, 미디어 플레이어, 또는 다른 핸드헬드(handheld) 또는 휴대용 전자 디바이스, 손목시계 디바이스와 같은 더 작은 디바이스, 펜던트(pendant) 디바이스, 헤드폰(headphone) 또는 이어피스(earpiece) 디바이스, 안경 또는 사용자의 머리에 착용하는 다른 장비에 내장된 디바이스, 또는 다른 착용형 또는 소형 디바이스, 텔레비전, 내장형 컴퓨터를 갖지 않은 컴퓨터 디스플레이, 게임용 디바이스, 내비게이션 디바이스(navigation device), 디스플레이를 가진 전자 장비가 키오스크(kiosk) 또는 자동차 속에 장착되어 있는 시스템과 같은 내장형 시스템, 이러한 디바이스들 중 둘 이상의 기능을 구현하는 장비, 또는 다른 전자 장비일 수 있다. 적어도 일부 실시예에서는, 부 사용자 디바이스(102)가 주 디바이스(10)에 대한 보조 디바이스로서의 역할을 하며, 디바이스(102)는 사용자를 위해 전문화된 기능을 수행하기 위해 사용될 수 있다.

디바이스(102)가 끈(19)을 가진 손목시계 디바이스와 같은 착용형 디바이스로서 도시되어 있는 도 2b의 예는 단지 예시일 뿐이다. 도 2b에 도시된 바와 같이, 디바이스(102)는 디스플레이(15)와 같은 디스플레이를 포함할 수 있다. 디스플레이(15)는 하우징(13)과 같은 하우징 속에 장착되었다. 종종 인클로저 또는 케이스라고 지칭될 수 있는 하우징(13)은 플라스틱, 유리, 세라믹스, 섬유 복합체, 금속(예컨대, 스테인리스 스틸, 알루미늄 등), 다른 적합한 재료, 또는 이러한 재료의 임의의 둘 이상의 조합으로 형성될 수 있다. 하우징(13)은 하우징(13)의 일부 또는 전부가 단일 구조체로서 기계가공되거나 성형된 일체형 구성을 사용하여 형성될 수 있거나, 다수의 구조체(예컨대, 내부 프레임 구조체, 외부 하우징 표면을 형성하는 하나 이상의 구조체 등)를 사용하여 형성될 수 있다.

디스플레이(15)는 한 층의 전도성 용량성 터치 센서 전극 또는 다른 터치 센서 컴포넌트(예컨대, 저항성 터치 센서 컴포넌트, 청각적 터치 센서 컴포넌트, 힘 기반 터치 센서 컴포넌트, 광 기반 터치 센서 컴포넌트 등)를 포함하는 터치 스크린 디스플레이일 수 있거나 또는 터치 감응식이 아닌 디스플레이일 수 있다. 용량성 터치 스크린 전극은 인듐 주석 산화물 패드 어레이 또는 다른 투명한 도체 구조체로 형성될 수 있다.

디스플레이(15)는 액정 디스플레이(LCD) 컴포넌트로 형성된 디스플레이 픽셀 어레이, 전기 영동 디스플레이 픽셀 어레이, 플라즈마 디스플레이 픽셀 어레이, 유기 발광 다이오드 디스플레이 픽셀 어레이, 전기습윤 디스플레이 픽셀 어레이, 또는 다른 디스플레이 기술에 기초한 디스플레이 픽셀을 포함할 수 있다. 디스플레이(15)는 투명한 유리 또는 투명한 플라스틱의 층과 같은 디스플레이 커버 층을 이용하여 보호될 수 있다.

디바이스(102)는 사용자 입력을 받아들이기 위해 이용될 수 있는 하나 이상의 버튼(button)(17)을 가질 수 있다. 버튼(17)은 돔 스위치(dome switch) 또는 다른 스위치 회로에 기초할 수 있다. 버튼(17)은 푸시 버튼(push button)(예컨대, 순간 버튼), 슬라이더 스위치(slider switch), 로커 스위치(rocker switch) 등을 형성하는 버튼 부재를 포함할 수 있다. 디바이스(10)는, 원한다면, 추가적 버튼, 스피커 포트, 디지털 데이터 포트 및 오디오 커넥터 포트(audio connector port)와 같은 데이터 포트, 및/또는 다른 입출력 디바이스를 가질 수도 있다. 일부 실시예에서는, 부 사용자 디바이스(102) 상의 버튼(17) 중 적어도 하나는 보안 모바일 거래를 수행하도록 디바이스(102)를 인에이블 하기 위해 이용될 수 있다.

디바이스(10)에서 이용될 수 있는 예시적 컴포넌트를 도시하는 개요도가 도 3에 도시되어 있다. 도 3에 도시된 바와 같이, 디바이스(10)는 저장 및 처리 회로(28)와 같은 제어 회로를 포함할 수 있다. 저장 및 처리 회로(28)는 하드 디스크 드라이브 스토리지(hard disk drive storage), 비휘발성 메모리(예컨대, 플래시 메모리(flash memory) 또는 솔리드 스테이트 드라이브(solid state drive)를 형성하도록 구성된 다른 전기적으로 프로그램 가능한 판독 전용 메모리(electrically-programmable-read-only memory)), 휘발성 메모리(예컨대, 정적 또는 동적 랜덤 액세스 메모리(random-access-memory)) 등과 같은 기억장치를 포함할 수 있다. 저장 및 처리 회로(28)의 처리 회로는 디바이스(10)의 작동을 제어하기 위해 이용될 수 있다. 이 처리 회로는 하나 이상의 마이크로프로세서(microprocessor), 마이크로콘트롤러(microcontroller), 디지털 신호 프로세서(digital signal processor), 주문형 집적 회로(application specific integrated circuit) 등에 기초할 수 있다.

저장 및 처리 회로(28)는 인터넷 브라우징 애플리케이션(internet browsing application), 인터넷 전화 프로토콜(voice-over-internet-protocol, VOIP) 전화 호 애플리케이션, 전자메일 애플리케이션, 미디어 재생 애플리케이션, 운영 체제 기능, 부 디바이스 자격증명 관리 애플리케이션 등과 같은 디바이스(10) 상의 소프트웨어를 실행하기 위해 이용될 수 있다. 저장 및 처리 회로(28)가 통신 프로토콜을 구현함에 있어서 외부 장비와의 상호작용을 지원하도록 이용될 수 있다. 저장 및 처리 회로(28)를 사용하여 구현될 수 있는 통신 프로토콜은 인터넷 프로토콜, 무선 근거리 네트워크 프로토콜(예컨대, 종종 WiFi®라고 지칭되는 IEEE 802.11 프로토콜), Bluetooth® 프로토콜과 같은 다른 단거리 무선 통신 링크를 위한 프로토콜, 셀룰러 전화 프로토콜, MIMO 프로토콜, 안테나 다이버시티 프로토콜 등을 포함한다.

입출력 회로(44)는 입출력 디바이스(32)를 포함할 수 있다. 데이터가 디바이스(10)에 공급될 수 있도록 하기 위해 그리고 데이터가 디바이스(10)로부터 외부 디바이스들에 제공될 수 있도록 하기 위해, 입출력 디바이스들(32)이 사용될 수 있다. 입출력 디바이스들(32)은 사용자 인터페이스 디바이스, 데이터 포트 디바이스, 및 다른 입출력 컴포넌트를 포함할 수 있다. 예를 들어, 입출력 디바이스(32)는 터치 스크린(touch screen), 터치 센서 능력이 없는 디스플레이, 버튼, 조이스틱(joystick), 클릭 휠(click wheels), 스크롤링 휠(scrolling wheels), 터치 패드(touch pad), 키 패드(key pad), 키보드(keyboard), 마이크(microphone), 카메라(camera), 버튼, 스피커, 상태 표시기, 광원, 오디오 잭 및 다른 오디오 포트 컴포넌트, 디지털 데이터 포트 디바이스, 광 센서, 동작 센서(가속도계), 용량 센서, 근접 센서 등을 포함할 수 있다.

입출력 회로(44)는 외부 장비와 무선으로 통신하기 위한 무선 통신 회로(34)를 포함할 수 있다. 무선 통신 회로(34)는 하나 이상의 집적 회로로 형성된 무선 주파수(radio-frequency, RF) 송수신기 회로, 전력 증폭기 회로, 저잡음 입력 증폭기, 수동 RF 컴포넌트, 하나 이상의 안테나, 전송 라인, 및 RF 무선 신호를 처리하는 다른 회로를 포함할 수 있다. 무선 신호는 또한 광을 이용하여(예컨대, 적외선 통신을 이용하여) 전송될 수 있다.

무선 통신 회로(34)는 다양한 무선 주파수 통신 대역을 처리하기 위한 무선 주파수 송수신기 회로(90)를 포함할 수 있다. 예를 들어, 회로(34)는 송수신기 회로(36 및 38)를 포함할 수 있다. 송수신기 회로(36)는 WiFi® (IEEE 802.11) 통신을 위한 2.4 ㎓ 및 5 ㎓ 대역을 처리할 수 있고 2.4 ㎓ Bluetooth® 통신 대역을 처리할 수 있는 무선 근거리 네트워크 송수신기 회로일 수 있다. 회로(34)는, 700 내지 960 ㎒의 낮은 통신 대역, 1710 내지 2170 ㎒의 중간 대역, 및 2300 내지 2700 ㎒의 높은 대역 또는 700 ㎒과 2700 ㎒ 사이의 다른 통신 대역들과 같은 주파수 범위들, 또는 다른 적합한 주파수들(예로서)에서 무선 통신들을 처리하기 위한 셀룰러 전화 송수신기 회로(38)를 사용할 수 있다. 회로(38)는 음성 데이터 및 비음성 데이터를 처리할 수 있다.

무선 통신 회로(34)는 1575 ㎒의 글로벌 위치추적 시스템(global positioning system, GPS) 신호를 수신하거나 또는 다른 위성 위치추적 데이터를 처리하기 위한 GPS 수신기 회로(42)와 같은 위성 항법 시스템 회로를 포함할 수도 있다. 무선 통신 회로(34)는, 원한다면, 다른 단거리 및 장거리 무선 링크를 위한 회로를 포함할 수 있다. 예를 들어, 무선 통신 회로(34)는 60 ㎓ 송수신기 회로, 텔레비전 및 라디오 신호를 수신하는 회로, 페이징 시스템 송수신기(paging system transceiver) 등을 포함할 수 있다. WiFi® 및 Bluetooth® 링크 및 다른 단거리 무선 링크에서, 무선 신호는 전형적으로 수십 또는 수백 피트에 걸쳐 데이터를 전달하는 데 이용된다. 셀룰러 전화 링크 및 기타 장거리 링크에서, 무선 신호는 전형적으로 수천 피트 또는 마일에 걸쳐 데이터를 전달하는 데 이용된다.

무선 회로(34)는 근접장 통신 회로(50)를 포함할 수도 있다. 근접장 통신 회로(50)는 디바이스(10)와 근접장 통신 판독기 또는 다른 외부 근접장 통신 장비 사이의 통신을 지원하기 위해 근접장 통신 신호를 생성하고 수신할 수 있다. 근접장 통신은 루프 안테나(loop antenna)를 이용하여 지원될 수 있다(예컨대, 디바이스(10)의 루프 안테나가 근접장 통신 판독기의 대응하는 루프 안테나에 전자기적으로 근접장 연결되는 유도성 근접장 통신을 지원하기 위해). 근접장 통신 링크는 전형적으로 20 cm 이하의 거리에 걸쳐 일반적으로 형성된다(즉, 디바이스(10)는 유효한 통신을 위해 근접장 통신 판독기의 근처에 있어야 한다).

송수신기 회로(90) 및 NFC 회로(50)는 하나 이상의 기저대역 프로세서(48)에 연결될 수 있다. 기저대역 프로세서(48)는 회로(28)로부터 전송될 디지털 데이터를 수신할 수 있고, 무선 전송을 위해 무선 송수신기 회로(90) 중 적어도 하나에 대응하는 신호를 공급할 수 있다. 신호 수신 작동 중, 송수신기 회로(90) 및 NFC 회로(50)는 외부 소스(예컨대, 무선 기지국, 무선 액세스 포인트(wireless access point), GPS 위성, NFC 판독기 등)로부터 무선 주파수 신호를 수신할 수 있다. 기저대역 프로세서(48)는 회로(90 및 50)로부터 수신되는 신호를 회로(28)를 위한 대응하는 디지털 데이터로 변환할 수 있다. 기저대역 프로세서(48)의 기능은 하나 이상의 집적 회로에 의해 제공될 수 있다. 기저대역 프로세서(48)는 종종 저장 및 처리 회로(28)의 부분일 것으로 생각된다.

무선 통신 회로(34)는 안테나(40)를 포함할 수 있다. 안테나(40)는 임의의 적합한 안테나 유형을 이용하여 형성될 수 있다. 예를 들어, 안테나(40)는 루프 안테나 구조체, 패치 안테나(patch antenna) 구조체, 역 F 안테나 구조체, 슬롯 안테나(slot antenna) 구조체, 평판 역 F 안테나 구조체, 헬리컬 안테나(helical antenna) 구조체, 이러한 디자인들의 혼성체 등으로 형성된 공명 요소를 갖는 안테나를 포함할 수 있다. 상이한 유형의 안테나들이 상이한 대역 및 대역들의 조합을 위해 이용될 수 있다. 예를 들어, 한 유형의 안테나가 로컬 무선 링크 안테나를 형성하는 데 이용될 수 있고, 다른 한 유형의 안테나가 원격 무선 링크 안테나를 형성하는 데 이용될 수 있다. 셀룰러 전화 통신, 무선 근거리 네트워크 통신, 및 다른 원거리장 무선 통신(far-field wireless communication)을 지원하는 것 외에, 안테나 구조체(40)는 근접장 통신을 지원하는 데 이용될 수 있다. 안테나 구조체(40)는 근접 센서 신호(예컨대, 용량성 근접 센서 신호)를 받아들임에 있어서 이용될 수도 있다.

무선 주파수 송수신기 회로(90)는 근접장 통신 신호를 처리하지 않으며, 그러므로 종종 "원거리장" 통신 회로 또는 비근접장 통신 회로라고 지칭된다(예컨대, 송수신기 회로(90)는 700 ㎒ 초과 주파수 또는 다른 적합한 주파수와 같은 비근접장 통신 주파수를 처리할 수 있다). 근접장 통신 송수신기 회로(50)는 근접장 통신을 처리하는 데 이용될 수 있다. 한 적합한 방식에 의해, 13.56 ㎒ 주파수의 신호를 이용하여 근접장 통신이 지원될 수 있다. 원한다면, 안테나 구조체(40)를 이용하여 다른 근접장 통신 대역이 지원될 수 있다.

부 사용자 디바이스(102)에서 이용될 수 있는 예시적 컴포넌트를 도시하는 개요도가 도 4에 도시되어 있다. 도 4에 도시된 바와 같이, 디바이스(102)는 주요 프로세서(이 명세서에서 종종 애플리케이션즈 프로세서 또는 AP라고 지칭되는)(200)와 같은 제어 회로, 입출력 디바이스(210), 전력 관리 유닛(PMU)(220)과 같은 전력 관리 유닛, 보안 요소(202)와 같은 보안 요소, 및 NFC 제어기(222)를 포함할 수 있다. 애플리케이션즈 프로세서(200)는 디바이스(102)의 작동을 제어하도록 이용될 수 있고, 하드 디스크 드라이브 스토리지, 비휘발성 메모리(예컨대, 플래시 메모리 또는 솔리드 스테이트 드라이브를 형성하도록 구성된 다른 전기적으로 프로그램 가능한 판독 전용 메모리), 휘발성 메모리(예컨대, 정적 또는 동적 랜덤 액세스 메모리) 등과 같은 기억장치에 액세스할 수 있다. 일반적으로, 프로세서(200)는 인터넷 브라우징 애플리케이션, 인터넷 전화 프로토콜(VOIP) 전화 호 애플리케이션, 전자메일 애플리케이션, 미디어 재생 애플리케이션, 운영 체제 기능 등과 같은 디바이스(102) 상의 소프트웨어를 실행하도록 이용될 수 있다. 애플리케이션 처리 회로는 하나 이상의 마이크로프로세서, 마이크로콘트롤러, 디지털 신호 프로세서, 주문형 집적 회로 등에 기초할 수 있다.

애플리케이션즈 프로세서는 경로(250 및 252)를 통해 전력 관리 유닛(220)에 연결될 수 있다. PMU(220)는, 예를 들어, 디바이스(102)를 위한 전력 기능을 제어하는 마이크로콘트롤러일 수 있다. PMU(220)는 디바이스(102)의 잔부가 아이들 상태 또는 저전력 상태일 때에도 활성 상태를 유지해야 한다(예컨대, 백업 배터리 소스(backup battery source)를 이용하여). PMU(220)는, 전력 접속 및 배터리 충전을 감시하는 것, 디바이스(102) 내의 다른 회로 컴포넌트에 대한 전력을 제어하는 것, 불필요한 시스템 컴포넌트들이 아이들 상태로 남아 있을 때 그것들을 끄는 것, 슬립(sleep) 및 온/오프 전력 기능을 제어하는 것, 및/또는 최적의 사용자 퍼포먼스를 위해 전력 소모를 적극적으로 관리하는 것을 포함하지만, 거기에 한정되지는 않는, 기능들에 응답할 수 있다.

도 4의 예에서, PMU(220)는 애플리케이션즈 프로세서(200)(경로(250 및 252)를 통해) 및 보안 요소(202)(경로(260)를 통해)에 연결되고, 이러한 컴포넌트들을 선택적으로 슬립 상태로 두거나 또는 이러한 컴포넌트를 슬립 모드로부터 깨우도록 구성될 수 있다. 예로서, PMU(220)는 애플리케이션즈 프로세서를 깨우기 위해 경로(252) 상에 인에이블 신호 AP_EN을 어써트할 수 있고, 경로(250)를 통해 애플리케이션즈 프로세서와 정보를 교환할 수 있다. 경로(250)는 I²C 버스(bus) 또는 임의의 다른 적합한 버스 유형일 수 있다. 다른 한 예로서, PMU(220)는 보안 요소를 깨우기 위해 경로(260) 중 하나 상에 인에이블 신호 SE_EN을 어써트할 수 있고, 다른 경로(260)를 통해 보안 요소에 전력 및 다른 제어 신호(예컨대, 신호 PWR 및 Auth/)를 전송할 수도 있다. PMU(220)와 보안 요소(202) 사이의 통신은 범용 입출력(general-purpose input/output, GPIO) 인터페이스, 프로그램된 입출력(programmed input/output, PIO) 인터페이스, I²C 인터페이스, 직렬 주변기기 인터페이스(Serial Peripheral Interface, SPI), 및/또는 다른 유형의 통신 인터페이스를 이용하여 구현될 수 있다.

도 4에 도시된 바와 같이, PMU(220)는 경로(254)를 통해 입출력 디바이스(210)에 연결될 수도 있고, 디바이스(102)의 I/O 인터페이스를 관리하도록 구성될 수도 있다. 데이터가 디바이스(102)에 공급될 수 있도록 하기 위해 그리고 데이터가 디바이스(102)로부터 외부 디바이스들에 제공될 수 있도록 하기 위해, 입출력 디바이스들(210)이 사용될 수 있다. 예를 들어, 입출력 디바이스(210)는 사용자 인터페이스 디바이스, 데이터 포트 디바이스, 및 다른 입출력 컴포넌트를 포함할 수 있다. 입출력 디바이스(210)는 버튼, 생체 측정 센서(예컨대, 지문 센서, 망막 센서, 손바닥 센서, 서명-신분증명 센서 등), 터치 스크린, 터치 센서 능력이 없는 디스플레이, 조이스틱, 클릭 휠, 스크롤링 휠, 터치 패드, 키 패드, 키보드, 마이크, 카메라, 스피커, 상태 표시기, 광원, 오디오 잭 및 다른 오디오 포트 컴포넌트, 디지털 데이터 포트 디바이스, 광 센서, 동작 센서(가속도계), 용량 센서, 근접 센서 등을 포함할 수 있다.

디바이스(102)가 완전히 정지했을 때 디바이스(102)가 그것의 디스플레이(15)를 턴 오프(turn off) 하는 시나리오를 고찰하자. 디바이스(102)에서의 임의의 동작을 검출하는 것(예컨대, 디바이스(210)의 가속도계를 이용하여)에 응답하여, 가속도계는 경로(254)를 통해 대응하는 신호를 PMU(220)에 전송할 수 있다. 이 신호는 그 후, 디스플레이가 턴온 되어 현재의 시간과 같은 어떤 유용한 정보를 디바이스(102)의 사용자에게 출력하게 하는 것을 유발하는(예로서), 다른 한 신호를 애플리케이션즈 프로세서(200)에 전송할 것을 PMU(220)에게 지시할 수 있다.

보안 요소(202)가 보통 불활성 상태에 있는 다른 한 시나리오를 고찰하자. 사용자로부터의 금융 거래를 수행하려는 요구를 나타내는 입력(종종 "결제 활성화 입력" 또는 "결제 개시 입력"이라고 지칭되는)을 검출하는 것에 응답하여, 디바이스(210)의 하나 이상의 컴포넌트가 경로(254)를 통해 신호를 PMU(220)에 전송할 수 있고, 그것은 결과적으로 경로(260)를 통해 깨우기(wakeup) 신호를 보안 요소(202)에 전송할 것을 PMU(220)에게 지시한다. 보안 요소(202)가 깨워졌으면, 금융 거래를 완료하기 위해 다른 작동들이 후속적으로 수행될 수 있다. 이들 예들은 단지 예시일 뿐이다. 원한다면, PMU(220)는 디바이스(102)에게 최적의 전력 절감을 제공하기 위해 다른 유형의 사용자 입력을 처리하도록 구성될 수 있다.

도 4를 또 보면, NFC 제어기(222)는 애플리케이션즈 프로세서(200)와 보안 요소(202) 사이에 개입될 수 있다. NFC 제어기(222)는 애플리케이션즈 프로세서(200)를 보안 요소(202)에 링크시키기 위한(예컨대, 경로(240 및 270)를 통해) 인터페이스 회로(242)를 포함할 수 있다. 애플리케이션즈 프로세서(200)와 NFC 제어기(222)를 링크시키는 경로(240)는 범용 비동기 수신기/송신기(universal asynchronous receiver/transmitter, UART) 버스, 범용 직렬 버스(Universal Serial Bus, USB), 직렬 ATA(SATA) 버스, 및/또는 애플리케이션즈 프로세서를 무선 네트워크 제어기에 연결하기 위한 다른 적합한 유형의 컴퓨터 버스를 이용하여 구현될 수 있다. 다른 한편, 경로(270)는 싱글 와이어 프로토콜(Single Wire Protocol, SWP), NFC 유선 인터페이스(NFC wired interface, NFC-WI) 프로토콜, I²C 프로토콜, 또는 보안 요소를 근접장 통신 컴포넌트에 링크시키기 위한 다른 적합한 통신 프로토콜을 이용하여 보안 요소(202)와 NFC 제어기(222) 사이의 통신을 지원할 수 있다.

한 실시예에 따라, 애플리케이션즈 프로세서(200)는 보안 채널을 통해 보안 요소(202)와 통신하기 위한 "신뢰된 프로세서"로서의 역할을 할 수 있다. 모바일 결제 거래 중에, 보안 요소(202)는 보안 요소 상에 외부적으로 저장된 암호화된 버전의 상거래 자격증명을 제어기(222) 내의 NFC 송수신기(216) 및 안테나(들)(218)를 이용하여 상점 단말기(108)의 NFC 판독기(도 1)에 전달할 수 있다. 안테나(218)는 임의의 적합한 안테나 유형을 이용하여 형성될 수 있다. 예를 들어, 안테나(218)는 루프 안테나 구조체, 패치 안테나 구조체, 역 F 안테나 구조체, 슬롯 안테나 구조체, 평판 역 F 안테나 구조체, 헬리컬 안테나 구조체, 이러한 디자인들의 혼성체 등으로 형성된 공명 요소를 갖는 안테나를 포함할 수 있다.

이것은 단지 예시일 뿐이다. 일반적으로, 디바이스(102)는 NFC 프로토콜, 무선 근거리 네트워크 프로토콜(예컨대, 종종 WiFi®라고 지칭되는 IEEE 802.11 프로토콜), Bluetooth® 프로토콜, 셀룰러 전화 프로토콜, 인터넷 프로토콜, MIMO 프로토콜, 안테나 다이버시티 프로토콜 등과 같은 다른 단거리 무선 통신 링크를 위한 프로토콜을 처리하기 위한 하나 이상의 기저대역 프로세서도 포함할 수 있다. 기저대역 처리 회로는, 디바이스(10) 및/또는 근접장 통신 판독기 또는 다른 외부 근접장 통신 장비 사이의 통신을 지원하기 위해 13.56 ㎒의 근접장 통신 신호를 생성하고 수신하기 위한 근접장 통신 회로(216), WiFi®(IEEE 802.11) 통신을 위한 2.4 ㎓ 및 5 ㎓ 대역 및 2.4 ㎓ Bluetooth® 통신 대역을 처리하기 위한 무선 근거리 네트워크 송수신기 회로, 및/또는 단거리 무선 링크 및 장거리 무선 링크를 지원하기 위한 다른 적합한 유형의 무선 송신기/수신기에 연결될 수 있다. 원한다면, 디바이스(102)는 위성 항법 시스템 수신기, 셀룰러 전화 송수신기, 및/또는 임의의 원하는 무선 통신 프로토콜을 지원하도록 구성된 임의의 유형의 송신기 및 수신기 회로를 포함할 수도 있다.

도 4를 또 보면, 보안 요소(SE)(202)에는 보안 요소(202)의 운영 체제의 부분으로서 실행되는 하나 이상의 애플리케이션 또는 "애플릿"이 제공될 수 있다(예컨대, SE(202) 상에서 실행하는 자바 실행 환경(Java runtime environment)에 대한 플러그인(plug-in)으로서). 예를 들어, 보안 요소(202)는, 비접촉식 레지스트리 서비스(contactless registry service, CRS)를 제공하거나, 신뢰된 프로세서에 전송되고 그로부터 수신되는 데이터를 암호화/복호화하거나, 보안 요소(202)의 운영 체제의 하나 이상의 제어 플래그를 설정하거나, 및/또는 보안 요소(202) 상의 하나 이상의 관련 결제 애플릿(206)(예컨대, 결제 애플릿 206-1, 206-2 등)을 관리하는, 인증 애플릿(204)을 포함할 수 있다. 인증 애플릿(204)은 그러므로 종종 CRS 애플릿이라고 지칭된다. 주어진 결제 카드와 관련된 상업용 자격증명이 보안 요소(202) 상의 특정한 "컨테이너(container)"에 저장될 수 있고, 그것은 기본적으로, 인스턴스화(instantiation)를 위한 암호화된 결제 데이터와 조합된 결제 애플릿의 인스턴스화이다. 예를 들어, 두개의 비자 카드가 보안 요소에 프로비저닝되어야 하면, 비자 결제 애플릿은 보안 요소 상의 두개의 상이한 컨테이너 속에 2회 인스턴스화 될 것이다. 각각의 컨테이너는 애플리케이션 ID(또는 AID)라고 알려진 고유 식별자를 가질 수 있다.

CRS 애플릿(204)은 보안 요소(202)의 마스터 또는 "이슈어" 시큐리티 도메인(issuer security domain, ISD)에서 실행될 수 있는 반면에, 결제 애플릿(들)(206)은 보조 시큐리티 도메인(supplemental security domain, SSD)에서 실행될 수 있다. 예를 들어, 디바이스(102) 상에 하나 이상의 자격증명(예컨대, 다양한 신용 카드, 은행 카드, 기프트 카드, 액세스 카드(access card), 교통 패스(transit pass) 등과 관련된 자격증명)을 생성하거나 또는 다른 방식으로 프로비저닝하거나 및/또는 디바이스(102) 상의 자격증명 콘텐츠를 관리하기 위한 키(key) 및/또는 다른 적합한 정보가 CRS 애플릿(204) 상에 저장될 수 있다. 각각의 결제 애플릿(206)은 특정 권한 또는 결제 권한을 디바이스(102)에 제공하는 특정한 자격증명(예컨대, 특정한 신용 카드 자격증명, 특정한 대중 교통 패스 자격증명 등)에 관련될 수 있다. 이러한 시큐리티 도메인들 사이의 통신은 시큐리티 도메인 고유의 상이한 암호화/복호화 키를 이용하여 암호화될 수 있다(예컨대, 각각의 SSD는 상점 단말기(108)에서의 NFC 기반 거래 중에 이용하기 위해 그 SSD의 특정한 자격증명을 활성화/인에이블 하기 위해 사용되는 각각의 결제 애플릿(206)과 관련된 그것 자체의 관리자 키를 가질 수 있다).

한 적합한 방식에서, 부 사용자 디바이스(102) 상의 애플리케이션즈 프로세서(200)는 모바일 결제 애플리케이션을 실행하도록 구성될 수 있다. 이 결제 애플리케이션은 사용자가 신용 카드, 직불 카드, 소매 쿠폰(retail coupon), 탑승권, 이벤트 티켓(event ticket), 스토어 카드(store card), 기프트 카드, 로열티 카드(loyalty card), 일반 카드, 및/또는 다른 형태의 모바일 결제를 저장하게 할 수 있다. 이러한 디지털 카드, 쿠폰, 또는 티켓의 각각은 종종 "패스(pass)"라고 지칭된다. 결과적으로, 모바일 결제 애플리케이션은 종종 "패스북(passbook)" 애플리케이션 또는 디지털 지갑 애플리케이션이라고 지칭된다. 패스북 애플리케이션은 금융 거래를 수행하는 데 이용하기 위한 각각의 결제 애플릿(206)에 대응하는 패스를 포함할 수 있다. 패스북에서의 각각의 패스(이 명세서에서 종종 패스북 패스, 디지털 지갑 패스 등으로 지칭되는)는 활성화된(또는 개인화된) 상태일 수도 있고 또는 디세이블(disable) 된(개인화 되지 않은) 상태일 수도 있다. 개인화 패스는 대응하는 결제 애플릿(206)에 원하는 상거래 자격증명이 프로비저닝되었고 결제를 위해 준비되었음을 나타낼 수 있다. 개인화되지 않은 패스는 대응하는 결제 애플릿(206)에 아직 필요한 상거래 자격증명이 프로비저닝되지 않았고 그러므로 결제 준비되지 않았음을 나타낼 수 있다.

한 적합한 실시예에서, 보안 요소(202)는 공인 키(authorization key) 또는 "AuthKey"를 이용하여 프로세서(200)와 같은 하나의 대응하는 신뢰된 프로세서와 페어링될 수 있다. 보안 요소가 AuthKey를 이용하여 신뢰된 프로세서와 이렇게 짝지워지는 것은 이러한 컴포넌트의 제조 중에 한번만 수행되어야 한다. 주어진 보안 요소와 신뢰된 프로세서 쌍을 위한 AuthKey는 그러한 주어진 쌍의 보안 요소의 고유 SEID(225) 및/또는 그러한 주어진 쌍의 신뢰된 프로세서의 고유 식별자(UID)(224)에 기초해서 유도될 수 있다. AuthKey는 사용자에게 알려지지 않은 컴포넌트 레벨 비밀 키(component-level secret key)로서의 역할을 하고, 보안 요소를 대응하는 프로세서에 바인딩(binding)시켜 보안 요소가 신뢰할 자를 알게 하는 역할을 한다(예컨대, AuthKey는 보안 요소와 관련 애플리케이션즈 프로세서(200) 사이의 보안 채널을 설정하는 것을 돕는다).

AuthKey는 보안 요소 내에 저장될 수 있지만(예컨대, AuthKey는 CRS 애플릿(204)에 의해 관리될 수 있다), 애플리케이션즈 프로세서(200)에서 저장될 필요는 없다. 부 사용자 디바이스(102) 상의 애플리케이션즈 프로세서는 그것이 그것 자체의 UID(224) 및/또는 대응하는 보안 요소로부터 얻어진 SEID(225) 중 적어도 하나에 기초하여 짝지워진 보안 요소와 통신할 필요가 있을 때 AuthKey를 즉시적으로(on-the-fly) 다시 유도하는 것이 가능할 수 있다.

AuthKey가 보안 요소(202)를 신뢰된 프로세서(200)에 유효하게 바인딩시키는 동안, 공인 난수 "AuthRand"가 사용자를 신뢰된 프로세서(200)에 바인딩시키기 위해 이용될 수 있다. AuthRand는 사용자 키 체인 상에 저장된 무작위로 생성되는 숫자일 수 있다(예컨대, AuthRand(229)는 애플리케이션즈 프로세서(200)에서 유지된 키 체인(228)의 부분으로서 저장될 수 있다). 도 1과 관련하여 위에서 기술한 바와 같이, 사용자 키 체인(228)은 특정한 사용자에만 관련된 정보를 포함할 수 있다.

도 5에 도시된 바와 같이, AuthRand는 보안 요소 내에 저장될 수도 있다(예컨대, AuthRand(232)는 CRS 애플릿(204)에서 관리될 수 있다). 일반적으로, 신뢰된 프로세서는 사용자 디바이스에서 소유권 변화를 검출하는 것에 응답하여 새로운 AuthRand 값을 생성하고 새롭게 생성된 AuthRand 값을 대응하는 보안 요소(202) 속에 삽입하도록 구성될 수 있다(예컨대, 보안 요소 상의 구 AuthRand 값을 새롭게 생성된 AuthRand 값으로 겹쳐쓰기 함으로써). 이 방식으로 운용되면, 신뢰된 프로세서(예컨대, 애플리케이션즈 프로세서(200))는 사용자 키 체인의 상태를 감시함으로써(한 예로서) 사용자 디바이스(102)에서의 임의의 소유권 변화를 로컬로 추적하기 위한 역할을 한다. 보안 요소(202) 상의 임의의 현재 활성화된 결제 애플릿(260)은 새로운 AuthRand의 삽입을 검출하는 것에 응답하여 결제에 대해 즉시 비활성화되어야 한다. 이 방식으로 구성되면, 소유권 변화의 결과로서 디바이스(102)를 획득한 새로운 사용자(소유권 변화가 의도되었든 또는 아니든)가 오리지널 사용자와 관련된 상거래 자격증명으로 모바일 거래를 수행하기 위해 새롭게 획득된 디바이스를 이용할 수 없을 것임을 보장함으로써, 보안 요소에서의 민감한 사용자 자격증명의 보호가 향상된다. 일반적으로, 신뢰된 프로세서(200)에는 NFC 제어기(222)에 의해 보안 요소(202)와의 임의의 통신을 처리하는 보안 요소 데몬(secure element daemon, SEd)(226)이 제공될 수 있다.

도 4를 또 보면, CRS 애플릿(204)은 보안 요소(202) 상의 결제 애플릿(206)을 활성화하는 데 이용하기 위한 하나 이상의 제어 플래그를 포함할 수도 있다. 예를 들어, CRS 애플릿(204)은 "버튼이 눌러짐(button pressed)" 플래그(236)를 포함할 수 있다. 버튼이 눌러짐 플래그(236)는 사용자가 사용자 디바이스(102) 상의 버튼(17)을 눌렀는지를 나타내기 위해 이용될 수 있다(도 2b 참조). 예를 들어, 버튼이 눌러짐 플래그를 위한 디폴트 값(default value)은 '0'이다. 사용자가 버튼(17)을 눌렀음을 디바이스(102)가 검출했을 때, 버튼이 눌러짐 플래그는 '1'의 값으로 설정될 수 있다(즉, 버튼이 눌러짐 플래그가 어써트될 수 있다). 한 적합한 방식에서, 버튼이 눌러짐 플래그는 사용자가 버튼(17)을 두번 누른 경우에만 '1'로 설정될 수 있다. 다른 한 적합한 방식에서, 버튼이 눌러짐 플래그는 사용자가 버튼(17)을 세번 누른 경우에만 어써트될 수 있다. 또다른 한 적합한 방식에서, 버튼이 눌러짐 플래그는 사용자가 버튼(17)을 1초 초과 동안, 2초 초과 동안, 3초 초과 동안 등에 누르고 있는 경우에만 어써트될 수 있다.

일반적으로, 플래그(236)는 디바이스(102)가 모바일 결제 거래를 수행하기 위해 수행될 필요가 있는 작동을 개시하기 위한 어떤 예정된 사용자 입력 시퀀스를 검출하는 것에 응답하여 어써트되는 플래그로서의 역할을 한다. 버튼이 눌러짐 플래그(236)는 그러므로 예시이며, 본 발명의 범위를 한정하는 역할을 하지 않는다. 원한다면, 사용자가 상점 단말기에서 결제를 개시하게 하는 다른 방식들이 구현될 수 있다. 부가적으로 또는 대안적으로, CRS 애플릿(204)에는 디바이스(102) 상의 지문 센서가 인가된 사용자의 지문을 검출할 때 어써트되는 "지문이 검출됨(fingerprint detected)" 플래그, 디바이스(102) 상의 터치스크린이 인가된 사용자로부터의 특정한 스와이프 동작을 수신할 때 어써트되는 "스와이프가 검출됨(swipe detected)" 플래그, 디바이스(102) 상의 터치스크린이 인가된 사용자로부터의 두번 두드림을 수신할 때 어써트되는 "두드림이 검출됨(tap detected)" 플래그, 디바이스(102) 상의 다중 버튼들이 인가된 사용자에 의해 동시에 눌려질 때 어써트되는 "버튼들이 눌러짐(buttons pressed)" 플래그, 디바이스(102) 상의 마이크가 인가된 사용자로부터의 음성 커맨드를 검출할 때(예컨대, 사용자가 "지불"이라고 말하면) 어써트되는 "음성 커맨드가 수신됨(voice command received)" 플래그, 및/또는 다른 적합한 플래그가 제공될 수 있다. 플래그(236)는 그러므로 종종 일반적으로 "사용자 입력(user input)" 플래그 또는 "사용자 입력이 수신됨(user input received)" 플래그라고 지칭될 수 있다.

일반적으로, 새로운 사용자가 전자 디바이스를 획득할 때, 전자 디바이스는 새로운 사용자에게 서비스 제공자 서브시스템(예컨대, 도 1의 서브시스템(112))과의 계정을 설정할 것을 촉구할 수 있다. 예를 들어, 사용자에게 새로운 계정을 설정하기 위해 계정 식별자(ID) 및 대응하는 패스워드를 입력할 기회가 주어질 수 있다. 계정이 설정되었을 때, 디바이스는 그 사용자에게 개인화된 것으로 간주될 수 있고, 사용자는 이제, 음악을 재생하고, 사진/비디오를 캡처하며, 음성 메모를 녹음하고, 접촉 정보를 저장하며, 멀티미디어 메시지를 전송하거나/수신하고, 인터넷을 브라우징하며, 캘린더, 노트, 리마인더, 및 다른 문서를 보거나/편집하며, 디바이스 설정을 변경하고, 디바이스 상에 하나 이상의 결제 카드를 프로비저닝하며, 온라인 스토어로부터 미디어를 사거나/임대하고, 온라인 스토어로부터 애플리케이션을 사거나/임대하며, 및/또는 서비스 제공자 서브시스템에 의해 제공되는 다른 서비스에 액세스하기 위해, 디바이스를 운용할 수 있다. 적어도 일부 실시예에서는, 사용자 및 사용자 디바이스에 관련된 임의의 정보가 네트워크 기반 서비스 모듈(예컨대, 도 1의 모듈(118)) 상에 백업으로서 저장될 수 있다.

사용자가 사용자 디바이스 상에 결제 카드를 프로비저닝할 수 있기 위해서는, 사용자가 디바이스 상의 패스코드 잠금 기능을 인에이블 해야 할 수 있다. 패스코드 잠금 기능은, 인에이블 될 때, 디바이스를 완전하게 운용하기 위해 사용자가 4자리 숫자 패스코드를 입력할 것을 요구할 것이다(한 예로서). 이것은 단지 예시일 뿐이다. 사용자는 4자리 숫자보다 길이가 짧은 패스코드, 4자리 숫자보다 길이가 긴 패스코드, 또는 어떤 임의의 길이든지의 숫자, 알파벳 문자, 및/또는 부호를 포함하는 패스코드를 입력하도록 지시될 수 있다. 일반적으로, 임의의 형태의 인증 방법이 구현될 수 있다. 사용자가 정확한 패스코드를 제공할 수 없으면, 디바이스는 긴급 전화 기능과 같은 한정된 기능만 액세스할 수 있는 잠김 상태로 남아있을 것이다(한 예로서). 사용자가 정확한 패스코드를 제공할 수 있으면, 디바이스는 사용자가 디바이스의 보통의 기능들 전부에 액세스 가능한 잠김 해제 상태에 일시적으로 있을 것이다.

사용자가 디바이스에 의해 어떤 작업을 수행하는 것을 완료했을 때, 사용자는 잠김 상태로 복귀하라는 신호를 디바이스에 보낼 수 있다(예컨대, 디바이스 상의 버튼을 누름으로써). 디바이스가 예정된 기간 동안 아이들 상태에 있을 때, 디바이스는 잠김 상태로 자동으로 복귀할 수도 있다(예컨대, 디바이스가 30초 초과 동안, 1분 초과 동안, 2분 초과 동안 등에 아이들 상태에 있었으면, 디바이스는 자동으로 잠길 수 있다). 의도된 사용자만 자신의 디바이스를 잠김 해제할 수 있어야 하므로, 패스코드 기능은 디바이스를 통해 보통 액세스 가능한 임의의 사용자 정보를 보호하는 역할을 한다. 패스코드는 애플리케이션즈 프로세서에서 로컬로 유지될 수 있거나(예컨대, 애플리케이션즈 프로세서(200) 상의 키 체인(228) 속에) 및/또는 서비스 제공자 서브시스템에서 원격으로 저장될 수 있다.

사용자에게 패스코드를 입력하도록 요구하는 것은, 그러므로, 인가된 사용자만 정확한 패스코드에 대한 액세스를 갖는다면 현재의 사용자가 그 디바이스의 의도된 인가된 사용자인 것을 보장하게 하는 것을 도울 수 있다. 모바일 결제의 상황에서, 인가된 사용자만 자신의 상거래 자격증명이 프로비저닝되어 있는 디바이스에 의해 임의의 금융 거래를 수행할 수 있어야 한다. 그러므로, 도 2a의 디바이스(10) 또는 도 2b의 디바이스(102)와 같은 전자 디바이스가 사용자에게 디바이스를 이용할 때 적어도 한번 패스코드를 입력할 것을 요구하는 것이 바람직할 것이다.

도 5는 모바일 결제를 위해 사용자 디바이스(102)와 같은 사용자 디바이스를 활성화하는 데 관련된 예시적 단계의 흐름도이다. 단계 300에서, 사용자 디바이스(102)는 잠김 상태에 있을 수 있다. 인가된 사용자로부터 정확한 패스코드를 수신할 때, 사용자 디바이스는 잠김 해제 상태에 있을 수 있다(단계 302). 단계 302 동안, 디바이스(102)의 애플리케이션즈 프로세서(200)는 보안 요소로부터 SEID를 검색할 수 있고, 사용자 키 체인으로부터 공인 난수 값 AuthRand를 검색할 수 있다. 일반적으로, 단계 302는 결제 거래가 완료되기 전 임의의 시간에 형성될 수 있다.

단계 304에서, 디바이스(102)는 인가된 사용자로부터의 결제 활성화 트리거 이벤트(payment activation trigger event)를 기다리도록 구성될 수 있다(예컨대, 디바이스(102)는 결제를 개시하려는 사용자의 의도를 명확하게 나타내는 예정된 사용자 입력 시퀀스 또는 행위를 위해 감시하도록 구성될 수 있다). 예를 들어, 디바이스(102)는 사용자가 버튼(17) 중 하나에서 두번 누르기를 하거나(도 2b 참조), 터치스크린 디스플레이(15) 상에서 특정한 스와이프 동작을 하거나, 터치스크린 디스플레이(15) 상에서 두번 두드리기를 하거나, 음성 커맨드를 말하거나, 및/또는 디바이스(102)에서 사용자가 의도적으로 취할 수 있는 다른 적합한 행위를 하기를 기다리고 있을 수 있다.

디바이스(102)가 사용자로부터의 특정한 결제 개시 입력을 수신하라는 이 요구조건은 인가된 사용자로부터의 의도하지 않은 모바일 결제 거래의 발생을 방지하는 것을 도울 수 있다. 사용자가 디바이스를 이미 잠김 해제하였지만 실제로는 금융 거래를 수행하기를 원하지 않는 시나리오를 고찰하자. 그러한 사용자가 잠김 해제된 디바이스를 무심코 상점 단말기에 충분히 근접시키면, 의도하지 않은 모바일 결제 거래가 수행될 가능성이 있다. 사용자가 자신이 결제를 수행하기를 실제로 원한다는 것을 디바이스에 나타내기 위해 의도적 행위를 취할 필요가 있으면, 그러한 시나리오가 회피될 수 있다.

사용자로부터 원하는 결제 트리거 입력을 수신하는 것에 응답하여, 디바이스(102)는 보안 요소의 CRS 애플릿에서 트리거 이벤트를 승인하고 대응하는 제어 플래그를 설정하는 것을 진행할 수 있다(단계 306). 단계 308에서, CRS 애플릿은 결제를 위해 선택된 결제 애플릿(260)을 인증할 수 있고, 타이머(timer)를 시작할 수 있다. 타이머는 사용자 디바이스가 상점 단말기의 장 내로 가져와진 동안 모바일 결제 거래가 허용되는 기간을 제시하기 위해 이용될 수 있다. 예를 들어, 사용자에게 판독기 장 내로 디바이스를 가져가기 위해 활성화 트리거 이벤트 후 10 초가 주어질 수 있다. 다른 한 예로서, 사용자는 NFC 판독기 장 내로 디바이스를 가져가기 위해 활성화 트리거 이벤트 후 20 초가 주어질 수 있다. 일반적으로, 타이머는 임의의 적합한 기간의 시간 제한을 제공하도록 구성될 수 있다.

단계 308 동안, 보안 요소는 애플리케이션즈 프로세서에 카드 암호를 전송할 수 있고, 애플리케이션즈 프로세서는 호스트 암호에 의해 응답할 수 있다. 한 예로서, 카드 암호 및 호스트 암호는 애플리케이션즈 프로세서와 보안 요소 사이에 교환되는 데이터의 진정성을 보장하는 암호 기반 메시지 인증 코드(CMAC) 알고리즘을 이용하여 암호화될 수 있다. 카드 암호 및 호스트 암호는, 예를 들어, 보안 요소 및 대응하는 신뢰된 프로세서만 액세스할 수 있어야 하는 AuthKey를 이용하여 암호화된 데이터를 포함한다. 이 방식으로 운용되면, 암호의 교환은 애플리케이션즈 프로세서가 올바른 보안 요소에게 통신하고 있고, 보안 요소가 그것의 신뢰된 프로세서에게 통신하고 있다는 것을 검증하는 역할을 한다.

단계 310에서, 사용자 디바이스가 상점 단말기의 NFC 판독기에 의해 생성된 장 내에 있는 동안(타이머가 종료되지 않았다고 가정하면), 디바이스(102)는 원하는 거래를 수행하기 위해 이용될 수 있다. 그러나, 사용자가 디바이스를 판독기 장 속으로 가져갈 기회를 갖기 전에 타이머가 종료하면, 어떤 결제도 완료되지 않을 것이다. 어떤 시나리오에서든, 경로(312)에 의해 나타낸 바와 같이, 처리는 다른 한 결제 활성화/개시 트리거 이벤트를 기다리기 위해 단계 304로 복귀할 것이다.

도 6은 도 5의 단계를 수행할 때 디바이스(102)의 상이한 컴포넌트들 사이의 정보 흐름을 예시한다. 단계 400에서, 디바이스(102)는 인가된 사용자에 의해 잠김 해제될 수 있다(예컨대, 인가된 사용자가 정확한 패스코드를 입력할 수 있다). 패스코드는 애플리케이션즈 프로세서(AP) 상의 키 체인을 이용하여 검증될 수 있고, 응답하여, 애플리케이션즈 프로세서는 사용자 디바이스를 잠김 해제 상태로 둘 수 있다.

단계 402에서, 애플리케이션즈 프로세서는 보안 요소에 "SEID 획득(Get SEID)" 요청을 전송할 수 있다. 도 4와 관련하여 위에서 기술된 바와 같이, 애플리케이션즈 프로세서와 보안 요소 사이에서 전달되는 임의의 메시지는 보안 요소 데몬(SEd)에 의해 처리될 수 있고, NFC 제어기(222)를 통과할 수 있다. 애플리케이션즈 프로세서로부터 SEID 획득 요청을 수신하는 것에 응답하여, 보안 요소는 그것의 SEID를 암호화된 형식으로 회신할 수 있다.

단계 406에서, 디바이스(102) 상의 애플리케이션즈 프로세서는 그 후 사용자 키 체인으로부터 공인 난수 AuthRand를 검색할 수 있다. AuthRand가 사용자 키 체인에 의해 보호되므로, 단계 400에서 정확한 패스코드가 제공된 후에만 AuthRand가 액세스될 수 있다.

도 6에 도시된 바와 같이, 단계 400, 단계 402, 단계 404, 및 단계 406은 단계 399로서 함께 그룹화 된다. 일반적으로, 단계 399는 디바이스가 연장된 기간 동안 아이들 상태에 있는 어느 때든 수행될 수 있다. 예를 들어, 디바이스(102)가 하루가 끝날 무렵 사용자가 풀러놓고 하루가 시작할 무렵 사용자가 자신의 손목에 착용하는 손목시계 디바이스인 시나리오를 고찰하자. 이 예에서, 단계 399는 사용자가 디바이스를 착용할 때인 하루가 시작할 무렵에만 수행될 수 있다(예컨대, 디바이스가 손목에 머무는 한, 사용자는 하루 내내 패스코드를 반복적으로 입력할 필요가 없을 것이다).

패스코드를 하루에 여러 번 반복적으로 입력해야 하는 것이 지루할 수 있으므로, 하루 당 한번만 단계 399를 수행하는 것이 사용자를 위해 바람직할 수 있다. 다시 말해서, 단계 399는 사용자가 디바이스를 획득할 때 한번 수행될 수 있고, 디바이스의 소유권의 변화를 유발할 가능성이 있을 수 있는 이벤트가 발생할 때에만 다시 수행되어야 한다(예컨대, 디바이스가 오리지널 인가된 사용자가 아닌 다른 사용자가 소지하고 있을 가능성이 있는 임의의 시나리오는 디바이스가 잠김 상태로 되게 트리거 해야 한다).

임의의 시점에서, 디바이스(102)는 모바일 결제 거래를 수행하려는 사용자의 명확한 의도를 나타내는 의도적 사용자 입력을 I/O 디바이스(210)에서 수신할 수 있다. 단계 410에서, I/O 디바이스(210)는 대응하는 사용자 입력 트리거 신호를 전력 관리 유닛에 전송할 수 있다. 적어도 일부 실시예에서는, 의도적 사용자 입력이 두번 버튼 누름 이벤트(double button press event)와 같은 버튼 누름 이벤트일 수 있다. 이 명세서에서 결제 활성화를 트리거 하기 위한 버튼 누름 이벤트에 관한 어떤 기술이든 단지 예시일 뿐이며, 본 발명의 범위를 한정하는 역할을 하지 않는다. 위에 기술된 바와 같이, 보안 요소의 활성화를 트리거 하기 위해 임의의 다른 유형의 사용자 입력이 이용될 수 있다.

적절한 사용자 입력을 검출하는 것에 응답하여, 전력 관리 유닛은 경로(252) 상에 인에이블 신호 AP_EN을 어써트함으로써 애플리케이션즈 프로세서를 깨우는 것을 진행할 수 있다(도 4 참조). 애플리케이션즈 프로세서가 디바이스(102) 상에서 임의의 애플리케이션을 활성적으로 실행하고 있지 않을 때, 애플리케이션즈 프로세서는 보통 아이들 모드에 있을 수 있다. 단계 414에서, 전력 관리 유닛은 그 후 경로(260) 상의 보안 요소에 어써트된 사용자 입력 인증 신호 Auth/를 출력할 수 있다. Auth/가 어써트되는 것을 보안 요소가 알 때, 결제 활성화 트리거 이벤트가 검증되었고, 보안 요소는 그 후 버튼이 눌러짐 플래그를 하이(high)로 설정하는 것을 진행할 수 있다(단계 416에서). 버튼이 눌러짐 플래그가 하이로 설정되었으면(또는 다른 "사용자 입력이 수신됨" 제어 플래그가 CRS 애플릿을 이용하여 어써트되었으면), 보안 요소는 유효한 사용자 결제 활성화 입력이 수신되었음을 애플리케이션즈 프로세서에 통지하기 위해 버튼 누름 활성화 이벤트 상태어(button press activation event status word)(또는 "사용자 입력이 수신됨" 통지)를 애플리케이션즈 프로세서에 전송할 수 있다(단계 418에서).

도 6에 도시된 바와 같이, 단계 410, 단계 412, 단계 414, 단계 416, 및 단계 418은 단계 409로서 함께 그룹화 된다. 일반적으로, 단계 409는 디바이스가 사용자로부터 유효한 사용자 결제 활성화 입력을 수신하는 어느 때든 수행될 수 있다.

보안 요소로부터 버튼 누름 활성화 통지를 수신하는 것에 응답하여, 애플리케이션즈 프로세서는 그것 자체의 UID를 이용하거나 및/또는 단계 404 동안 수신된 SEID를 이용하여 AuthKey를 유도하는 것을 진행할 수 있다. 애플리케이션즈 프로세서는 보안 요소에 의해 보안 채널을 유효하게 설정하기 위해 이러한 유도된 AuthKey를 이용할 수 있다.

단계 422에서, 애플리케이션즈 프로세서는 보안 요소 내의 CRS 애플릿에 인증 초기화 커맨드를 전송할 수 있다. 이 단계 동안, 애플리케이션즈 프로세서는 보안 요소에 제1 난수를 전송할 수도 있다. 애플리케이션즈 프로세서는 종종 호스트 프로세서(host processor)라고 지칭되는데, 그러한 시나리오에서, 애플리케이션즈 프로세서에 의해 생성된 제1 난수는 종종 "호스트 챌린지(host challenge)"라고 지칭된다. 호스트 챌린지는 난수 AuthRand와 동일하지 않다.

애플리케이션즈 프로세서로부터 호스트 챌린지를 수신하는 것에 응답하여, 보안 요소는 애플리케이션즈 프로세서에 카드 암호를 전송함으로써 응답할 수 있다(단계 424에서). 한 적합한 방식에서, 카드 암호는 수신된 호스트 챌린지, 보안 요소에 의해 생성된 제2 난수(이 명세서에서 종종 "카드 챌린지(card challenge)" 또는 "보안 요소 챌린지(secure element challenge)"라고 지칭됨), 보안 요소에 로컬로 저장된 AuthRand(예컨대, 도 4의 CRS 애플릿(204)에서의 AuthRand(232)), 및 다른 적합한 제어 비트(control bit)를 포함할 수 있다. SE 챌린지는 난수 AuthRand와 동일하지 않다. 한 예로서, 카드 암호는 미국, 국가표준기술연구소(National Institute of Standards and Technology, NIST)에 의해 공표된 CMAC 알고리즘을 이용하여 암호화될 수 있다. 적어도 일부 방식에서는, CMAC 알고리즘은 카드 암호를 암호화하기 위해 적어도 AuthKey를 이용할 수 있다.

애플리케이션즈 프로세서가 보안 요소로부터 카드 암호를 수신할 때, 애플리케이션즈 프로세서는 그것 자체의 유도된 AuthKey(예컨대, 단계 420 동안 유도된 AuthKey)를 이용하여 카드 암호를 해독할 수 있고, 적어도 카드 암호의 AuthRand 값을 로컬로 검색된 AuthRand(예컨대, 단계 406 동안 사용자 키 체인으로부터 검색된 AuthRand 값)에 비교하도록 구성될 수 있다. AuthRand 값들이 일치하면, 애플리케이션즈 프로세서는 결제를 위해 보안 요소를 인증하는 것을 진행할 수 있을 것이다.

단계 426에서, 애플리케이션즈 프로세서는 보안 요소에 호스트 암호를 전송할 수 있다. 호스트 암호는, 예를 들어, 호스트 챌린지, 수신된 SE 챌린지, 그것의 로컬 AuthRand 값(예컨대, 단계 406 동안 검색된 AuthRand 값), 및 다른 적합한 제어 비트를 포함할 수 있다. 호스트 암호는 유도된 AuthKey를 이용하여 CMAC 알고리즘에 의해 암호화될 수도 있다.

보안 요소가 애플리케이션즈 프로세서로부터 호스트 암호를 수신할 때, 보안 요소는 CRS 애플릿에서의 AuthKey를 이용하여 호스트 암호를 해독할 수 있고, 호스트 암호의 수신된 AuthRand 값을 CRS 애플릿에 저장된 그것 자체의 AuthRand 값에 비교할 수 있다. AuthRand 값들이 일치하면, 보안 요소는 금융 거래를 위해 선택된 결제 애플릿을 일시적으로 활성화하는 것을 진행할 것이다(단계 428에서). 도 5와 관련하여 앞서 기술된 바와 같이, 사용자에게 판독기 장 내로 디바이스를 가져가서 활성화된 결제 애플릿에 의해 금융 거래를 수행할 기회를 주기 위해, 이 때 타이머가 시작될 수 있다. 호스트 암호는, 그러므로, 보안 요소에게 결제 애플릿을 인에이블 하도록 지시하는 인가된 NFC 활성화 요청으로서의 역할을 할 수 있다. 거래를 수행하기 위해 결제 애플릿을 인에이블 하는 행위는 종종 일시적인 활성화 작동이라고 지칭된다. 모바일 결제 거래가 완료될 때(또는 타이머가 종료될 때), 현재 활성화된 결제 애플릿은 CRS 애플릿(단계 430)을 이용하여 비활성화될 수 있다.

도 6에 도시된 바와 같이, 단계 420, 단계 422, 단계 424, 단계 426, 단계 428, 및 단계 430은 단계 419로서 함께 그룹화 된다. 일반적으로, 단계 419는 애플리케이션즈 프로세서가 보안 요소로부터 버튼 누름 활성화 통지(또는 다른 유효한 사용자 결제 활성화 입력 경보)를 수신하는 어느 때든 수행될 수 있다.

위에 기술된 바와 같이, 모바일 결제 거래를 수행하도록 사용자 디바이스(102)를 안내함에 있어서의 대부분은 전적으로 두번 버튼 누름과 같은 의도적 사용자 입력을 정확하게 검출하는 능력에 달려 있다(한 예로서). 그러한 사용자 입력의 검출은 전력 관리 유닛(예컨대, 도 4의 PMU(220))에 의해 처리될 수 있다. 일반적으로, 전력 관리 유닛은, 실제로 임의의 소프트웨어를 실행하지 않는, 재구성 가능하지 않은 디지털 상태 머신일 수 있다. 전력 관리 유닛이 실제로 임의의 소프트웨어를 실행하지 않기 때문에, 전력 관리 유닛은 쉽게 해킹 될(hacked) 수 없다. 결과적으로, 악성 소프트웨어(또는 "맬웨어(malware)")가 애플리케이션즈 프로세서에든 및/또는 보안 요소에든 거짓 통지를 전송하기 위해 PMU를 지배하기가 곤란하다.

도 7은 결제 활성화 사용자 입력에 의해 트리거 되는 이벤트들의 시퀀스를 예시하는 타이밍도이다. 이러한 이벤트는 도 6의 단계 409와 적어도 부분적으로 대응할 수 있다. 시간 t1에서, 전력 관리 유닛은 두번 버튼 누름을 검출할 수 있다(예컨대, 전력 관리 유닛은 경로(254)를 통해 입출력 디바이스(210)로부터 두번 버튼 누름 트리거 신호(double button press trigger signal)를 수신할 수 있다). 이 트리거를 수신하는 것에 응답하여, 전력 관리 유닛은 경로(252) 상에 신호 AP_EN을 일시적으로 어써트하여 애플리케이션즈 프로세서를 깨우고 Auth/를 어써트하게(예컨대, Auth/ 로우(low)를 구동하게) 할 수 있다. 신호 Auth/는 원하는 결제 활성화 사용자 입력이 PMU에 의해 검출되었을 때에만 어써트될 수 있다. 애플리케이션즈 프로세서가 깨어 있는 동안, 전력 관리 유닛은 I²C 버스(250)를 통해 애플리케이션즈 프로세서에 버튼 누름 이벤트 판독 커맨드(read button press event command)를 전송할 수 있다.

시간 t2에서, 애플리케이션즈 프로세서는 전력 관리 유닛에게 보안 요소를 턴온(turn on) 하라고 지시하는 대응하는 커맨드를 경로(250)를 통해 전력 관리 유닛에 전송할 수 있다. 이 커맨드는 전력 관리 유닛에게 보안 요소에 전력을 제공하고 슬립 모드로부터 깨우기 위해 전력 신호 PWR 및 인에이블 신호 SE_EN을 어써트하라고 지시할 수 있다.

보안 요소가 깨어난 후 어느 때(시간 t3에서), 보안 요소는 Auth/의 값을 검사함으로써 검출된 사용자 입력이 예정된 유효한 결제 활성화 사용자 입력인지를 판정할 수 있다. Auth/가 어써트되면, 보안 요소는 유효한 트리거 이벤트를 확인하고, 버튼이 눌러짐 플래그를 어써트하며, 대응하는 버튼 누름 활성화 통지를 애플리케이션즈 프로세서에 전송한다(도 6의 단계 418 참조). 보안 요소로부터 버튼 누름 활성화 통지를 실제로 수신하기 전에, 전력 관리 유닛은 애플리케이션즈 프로세서에 경보를 발하기 위해 Auth/ 및 AP_EN을 어써트할 수 있다(시간 t4에서). 제어 신호 Auth/를 선택적으로만 어써트함으로써, 전력 관리 유닛은 보안 요소가 버튼이 눌러짐 플래그를 설정하도록 허용되는 때 및 보안 요소가 버튼 누름 활성화 상태어를 애플리케이션즈 프로세서에 전송하도록 허용되는 때를 제어한다(예컨대, 시간 t3에서 Auth/가 어써트되지 않으면, 보안 요소가 버튼이 눌러짐 플래그가 어써트되지 않은 상태를 유지하도록 구성될 수 있다).

도 8은 도 7과 관련하여 기술된 이벤트들의 시퀀스를 간략하게 요약한 흐름도이다. 단계 500에서, 전력 관리 유닛은 두번 버튼 누름 이벤트(또는 다른 사용자 결제 활성화 입력)를 검출할 수 있다. 단계 502에서, 전력 관리 유닛은 애플리케이션즈 프로세서를 깨우고 예정된 기간 동안 Auth/를 어써트할 수 있다.

단계 504에서, 애플리케이션 프로세서는 전력 관리 유닛이 사용자로부터의 두번 버튼 누름 이벤트를 검출한 것을 인식할 수 있고, 전력 관리 유닛에게 보안 요소를 턴온 하라고 지시할 수 있다. 보안 요소가 턴온 된 후 보안 요소가 어써트된 Auth/를 수신하면, 보안 요소는 버튼이 눌러짐 플래그를 설정하고 버튼 누름 활성화 상태어를 애플리케이션즈 프로세서에 전송함으로써 버튼 누름 이벤트를 승인하는 것을 진행할 수 있으며, 그것은 결국 애플리케이션즈 프로세서에게 단계 419를 수행하라고 지시한다(도 6).

도 5 내지 도 8에서 기술된, 인가된 사용자가 전자 디바이스를 실제로 소지하고 있다는 것을 보장하고, 선택된 결제 애플릿의 일시적 활성화를 트리거 하는 유효한 사용자 입력을 검출하기 위한 작동은 단지 예시일 뿐이며, 본 발명의 범위를 한정하는 역할을 하지 않는다. 일반적으로, 이 명세서에 기술된 방식은 보안 요소를 갖는 임의의 디바이스로 확장될 수 있고, 임의의 다른 유형의 사용자 입력을 검출하기 위해 이용될 수 있다.

작동 방법이 특정한 순서로 기술되었을지라도, 기술된 작동들 사이에서 다른 작동이 수행될 수 있고, 오버레이(overlay) 작동의 처리가 원하는 방식으로 수행되는 한, 기술된 작동들은 그것들이 약간 상이한 시간에 발생하도록 조절될 수 있거나 또는 기술된 작동들은 처리와 관련된 다양한 간격의 처리 작동의 발생을 허용하는 시스템에 분포될 수 있음을 알아야 한다.

한 실시예에 따라, 보안 요소와 통신하는 프로세서도 포함하는 전자 디바이스 내의 보안 요소를 운용하는 방법으로서, 전자 디바이스가 결제 개시 입력을 수신하는 것에 응답하여, 결제 개시 입력이 수신되었음을 나타내는 통지를 프로세서에 전송하도록 보안 요소를 이용하는 단계, 및 프로세서가 보안 요소로부터 통지를 수신하는 것에 응답하여, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계를 포함하는 방법이 제공된다.

다른 한 실시예에 따라, 보안 요소는 관련 보안 요소 식별자(SEID)를 갖고, 방법은 보안 요소에 의해, 프로세서로부터 요청을 수신하는 단계, 및 프로세서로부터 요청을 수신하는 것에 응답하여, 프로세서에 보안 요소 식별자를 전송하도록 보안 요소를 이용하는 단계를 포함한다.

다른 한 실시예에 따라, 방법은 전자 디바이스가 결제 개시 입력을 수신하는 것에 응답하여, 제어 플래그를 어써트하도록 보안 요소 상의 비접촉식 레지스트리 서비스(CRS) 애플릿을 이용하는 단계를 포함한다.

다른 한 실시예에 따라, 방법은 전자 디바이스가 결제 개시 입력을 수신하는 것에 응답하여, 전자 디바이스 내의 전력 관리 유닛(PMU)으로부터 입력 경보를 수신하도록 보안 요소를 이용하는 단계를 포함한다.

다른 한 실시예에 따라, 방법은 전력 관리 유닛으로부터 입력 경보를 수신하는 것에 응답하여, 결제 개시 입력을 승인하도록 보안 요소를 이용하는 단계를 포함하고, 보안 요소가 결제 개시 입력을 성공적으로 승인할 수 있는 경우에만, 보안 요소로부터 프로세서로 통지가 전송된다.

다른 한 실시예에 따라, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계는, 보안 요소에 의해, 프로세서로부터 인증 초기화 요청을 수신하는 단계를 포함한다.

다른 한 실시예에 따라, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계는, 보안 요소에 의해, 프로세서로부터 제1 난수를 수신하는 단계를 포함한다.

다른 한 실시예에 따라, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계는, 보안 요소에 의해, 프로세서에 카드 암호를 전송하는 단계를 더 포함하고, 카드 암호는 제1 난수 및 제2 난수를 포함한다.

다른 한 실시예에 따라, 카드 암호는 보안 요소 상에 로컬로 저장된 공인 난수를 더 포함한다.

다른 한 실시예에 따라, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계는, 보안 요소에 의해, 프로세서로부터 호스트 암호를 수신하는 단계를 더 포함하고, 호스트 암호는 제1 난수, 제2 난수, 및 프로세서에서 사용자 키 체인 내에 저장된 공인 난수를 포함한다.

다른 한 실시예에 따라, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계는, 보안 요소에 의해, 수신된 호스트 암호의 적어도 일부를 분석함으로써 보안 요소 상의 결제 애플릿을 활성화하는 것을 진행할지를 판정하는 단계를 포함한다.

다른 한 실시예에 따라, 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 프로세서와 통신하도록 보안 요소를 이용하는 단계는, 호스트 암호의 부분이 설계 기준을 충족한다고 판정하는 것에 응답하여, 결제 애플릿을 예정된 기간 동안 활성화하도록 보안 요소 상의 비접촉식 레지스트리 서비스(CRS) 애플릿을 이용하는 단계를 포함한다.

한 실시예에 따라, 사용자 자격증명을 저장하는 보안 요소, 및 모바일 결제 거래를 개시하기 위해 전자 디바이스가 예정된 사용자 입력 시퀀스를 수신할 때 보안 요소로부터 통지를 수신하도록 구성되고 결제를 위해 보안 요소를 일시적으로 활성화하기 위해 보안 요소와 통신하도록 구성된 처리 회로를 포함하는, 휴대용 전자 디바이스가 제공된다.

다른 한 실시예에 따라, 휴대용 전자 디바이스는, 예정된 사용자 입력 시퀀스를 검출하고, 예정된 사용자 입력 시퀀스를 검출하는 것에 응답하여 보안 요소 및 프로세서에 경보를 발하도록 구성된 전력 관리 유닛을 포함한다.

다른 한 실시예에 따라, 보안 요소는 처리 회로에게 보안 요소 식별자 (SEID)를 제공하도록 구성되고, 처리 회로는 적어도 보안 요소 식별자를 이용하여 인증 키를 유도하도록 구성되며, 처리 회로는 인증 키를 이용하여 보안 요소에 의해 보안 채널을 설정하도록 구성된다.

다른 한 실시예에 따라, 처리 회로는 제1 공인 난수 값을 저장하도록 구성되고, 보안 요소는 제2 공인 난수 값을 저장하도록 구성된다.

다른 한 실시예에 따라, 보안 요소는 처리 회로에 카드 암호를 전송하도록 더 구성되고, 카드 암호는 제2 공인 난수 값을 포함한다.

다른 한 실시예에 따라, 보안 요소는 처리 회로로부터 호스트 암호를 수신하도록 더 구성되고, 호스트 암호는 제1 공인 난수 값을 포함한다.

다른 한 실시예에 따라, 휴대용 전자 디바이스는 손목시계 디바이스로 구성된다.

한 실시예에 따라, 입출력 디바이스, 전력 관리 유닛, 및 보안 요소를 포함하는 전자 디바이스를 운용하는 방법으로서, 입출력 디바이스에 의해 사용자 입력을 수신하는 단계, 입출력 디바이스에 의해 사용자 입력을 수신하는 것에 응답하여, 입출력 디바이스로부터 전력 관리 유닛으로 대응하는 트리거 신호를 전송하는 단계, 입출력 디바이스로부터 트리거 신호를 수신하는 것에 응답하여, 예정된 양의 시간 동안 인증 신호를 어써트하도록 전력 관리 유닛을 이용하는 단계, 및 보안 요소에 의해 인증 신호를 감시함으로써 사용자 입력이 유효한지를 판정하는 단계를 포함하는 방법이 제공된다.

다른 한 실시예에 따라, 전력 관리 유닛은 디지털 상태 머신을 포함한다.

다른 한 실시예에 따라, 입출력 디바이스는 버튼을 포함하고, 입출력 디바이스에 의해 사용자 입력을 수신하는 단계는, 버튼에 의해 복수의 연속 버튼 누름을 수신하는 단계를 포함한다.

다른 한 실시예에 따라, 전자 디바이스는 전력 관리 유닛에 연결된 애플리케이션즈 프로세서도 포함하고, 방법은, 입출력 디바이스로부터 트리거 신호를 수신하는 것에 응답하여, 어써트된 인에이블 신호를 애플리케이션즈 프로세서에 전송하도록 전력 관리 유닛을 이용하는 단계, 및 전력 관리 유닛으로부터 어써트된 인에이블 신호를 수신하는 것에 응답하여, 보안 요소를 턴온 하기 위해 대응하는 커맨드를 전력 관리 유닛에 전송하도록 애플리케이션즈 프로세서를 이용하는 단계를 더 포함한다.

다른 한 실시예에 따라, 방법은, 보안 요소가 턴온 된 후, 인증 신호가 보안 요소에 의해 판독되고 있을 때 인증 신호가 어써트되는 경우에만 사용자 입력이 유효하다는 것을 확인하도록 보안 요소를 이용하는 단계를 포함한다.

위 설명은 단지 본 발명의 원리의 예시일 뿐이며, 이 기술분야에서 숙련된 자에 의해 다양한 수정이 이루어질 수 있다. 상기의 실시예들은 개별적으로 또는 임의의 조합으로 구현될 수 있다.

본 발명이 명료함을 위해 일부 세부사항으로 기술되었을지라도, 첨부된 청구범위의 범위 내에서 어떤 변화 및 수정이 실시될 수 있음은 자명할 것이다. 첨부된 청구범위의 일부가 선행 청구항의 단일 종속항이거나 또는 일부만 인용할지라도, 그것들 각각의 특징요소는 임의의 다른 청구항의 특징요소와 조합될 수 있다.

Claims (1)

1. 제1항에 기재된 장치.

Images