数字交易处理单元的应用选择的制作方法

本发明涉及数字支付装置(Digital payment device，DPD)。在至少一些具体实施例中，本发明涉及建构或操作DPD的方法。

在至少一些具体实施例中，本发明可应用于能够托管(host)信用卡、转账(debit)卡、行动支付卡或非支付卡及/或文件(包括授权、身份身份证(ID cards)、护照、及其类似物)的DPD。在至少一些具体实施例中，本发明还可应用于结合数字辅助装置(Digital Assistance Device，DAD)(如智能型手机)操作的DPD。

背景技术

信用卡、转账卡、及其他类型的实体卡或实体文件通常包括一磁条，其储存关于以下内容的信息：

●该卡或文件；

●该实体卡/文件的持有人；

●已核发该实体卡/文件的机构；及

●其他信息，包括卡/文件ID(例如个人账号(Personal Account Number，PAN))、失效日期、及该卡/文件持有人的姓名。

实体信用/转账卡通常还具有该持卡人的姓名、该卡失效日期、及压印或印制在该卡上的PAN，并还可包括其他安全装置，例如全像图(hologram)。此实体信用/转账卡使得能够用于通过数字交易装置(Digital Transaction Device,DTD)的交易，例如自动柜员机(Automatic Teller Machine，ATM)、销售点(Point-Of-Sale，POS)终端机、及销售点电子资金传送(Electronic Funds Transfer at Point-Of-Sale，EFTPOS)终端机，其中该等数字交易装置能够在用户刷过该磁条或将该实体卡插入装置中时读取该磁条。

一些DTD可通过非支付实体卡或文件操作以实现非支付数字交易，包括护照读取机、年龄验证卡读取机、及其类似物。

近来，实体卡、实体文件、及其他装置(如手表和其他穿戴式装置)已具有集成电路芯片，其可储存一些与磁条相同(或相似)的信息，连同其他信息并强化安全，且具有编码在该芯片中的改良识别符。这些卡中的芯片可称为安全组件(Secure Element，SE)。储存在该SE中的卡信息可视为该卡或文件的数字表示，且有时称为数字卡。具备SE的实体卡可称为芯片卡。SE有时称为由金融机构核发的具有充分硬件安全的金融芯片。

SE通常包括一中央处理单元(Central Processing Unit，CPU)、只读存储器(Read Only Memory，ROM)、随机存取内存(Random Access Memory，RAM)、电子可抹除可程序化只读存储器(Electrically Erasable Programmable Read Only Memory，EEPROM)、一密码共处理器、及一输入/输出(Input/Output，I/O)系统的一或多者。在一些SE芯片中，内存(有时称为用户内存或防篡改用户内存)的一部分留用于储存特定于该持卡人和该数字卡所需该等操作的应用程序和数据。

芯片卡(及其上的SE)可能使得能够用于接触交易，并在该芯片卡的表面上包括接触片，其连接与该芯片卡上的SE进行通讯。接触交易涉及将该芯片卡插入(又被称为「引入(Dip)」)具有可与该等芯片卡接触片通讯的互补接点的DTD中。接触交易受到EMVCo标准规范。芯片卡还可在该SE连接到天线且该DTD具有对应天线情况下使得能够用于非接触交易，以使该SE和DTD可在该芯片卡足够靠近该DTD时，经由近距离无线通信(Near Field Communication，NFC)协议的一部分且与其兼容的ISO/IEC_14443通讯。一些支付装置为穿戴式支付装置的形式(如手表)，此支付装置将没有接触片且只能用于非接触支付交易。许多芯片卡(如信用或转账卡)可操作用于接触和非接触数字交易两者。一些芯片卡具有其上编码有支付信息、连同SE的磁条。

在许多情境下，该SE托管符合EMVCo标准的单一支付应用程序。此SE可能已知为欧陆卡/万事达卡/威士(Europay/Mastercard/Visa，EMV)芯片。在先前技术的此说明中，对芯片卡及配置用于支付交易的其他芯片装置而言，该用语SE应理解为包括SE，其可操作成托管一符合EMVCo标准的支付应用程序。支付应用程序还可称为小程序(Applet)、Java卡应用程序(Cardlet)、应用程序、或支付实例。支付应用程序通常托管在该SE的用户内存中，例如在该芯片的EEPROM中。

一些SE仅实施韧体层，其中所有所需卡和客户详细信息皆进行编码。近来，更多SE(或SE/EMV)被配置托管控制该SE的各种操作的操作系统。在一些此SE中，该操作系统符合称为GlobalPlatform(GP)卡规范标准的一组标准(其将称为GP或GP标准)，且此SE还可操作成托管符合EMVCo标准的支付应用程序。MULTOS系针对芯片信用和转账卡上的SE的另一操作系统标准。具有符合MULTOS的操作系统的SE还用于托管符合EMVCo的支付应用程序。

一些大众运输悠游卡(Travel card)包括一SE，其操作用于非接触数字交易。一些文件(如护照)可包括一SE，其可通过一非接触交易由一装置读取。此非支付交易SE通常不可操作用于托管符合EMVCo的应用程序。然而，此SE可托管符合GP标准或MULTOS标准的操作系统。

在建立芯片卡期间，特定于该持卡人的资料(如该持卡人的姓名、PAN、及其他详细信息)由已知为卡片个人化(或个人专属化)部门的代理在已知为个人专属化的程序中写入该SE中。该数据有时称为个人专属化资料。通常，该SE的个人专属化涉及将该个人专属化数据写入支付应用程序(其先前已在该SE中实例化)中。在其他情境下，该个人专属化数据写入该SE可通过支付应用程序存取的内存位置中。

个人专属化通常包括一或多种类型的个人专属化，其每种类型可以不同阶段完成。个人专属化的该等主要类型系：

●电气个人专属化：其在供应期间进行，并将应用程序代码、用户数据(如该持卡人的姓名、PAN、及其他详细信息)、及密码密钥(用于建立交易密码)加载该SE中，其在完成时锁定以使无法进行进一步变更，其中将该个人专属化的详细信息转送给该核发者。数据写入该磁条(若该卡具有一)；及

●图形个人专属化：该芯片卡和相关联载具产品上的文字或图片的印制或压印。

通常，已个人专属化的支付应用程序包含一数字卡，其在一芯片卡的SE中。

在许多SE中，当从支付方案(例如Mastercard、Visa、或美国运通(American Express))安装支付应用程序时使用GP命令/程序，连同数字卡的其他方面，例如从核发者到芯片卡的SE上分派给该客户的资料，包括该PAN，其具备核发者详细信息。

直到最近，芯片卡中的SE已可仅通过单一支付方案中的单一数字卡类型(且通常通过单一支付应用程序)操作，例如该数字交易卡(Digital Transaction Card，DTC)可操作为Mastercard信用卡、Mastercard转账卡、Visa信用卡、Visa转账卡、或American Express信用卡的一者，但无法通过两或多个数字卡类型及/或支付方案操作。

在包含符合金融的硬件(具有充分实体安全可满足标准)并托管符合GP标准的操作系统的SE中，该SE上的每个应用程序(包括支付应用程序)具有相关联独特应用程序识别符(Application IDentifier，AID)。每个AID由该ISO/IEC7816-5注册机构所核发的注册应用程序供货商识别符(Registered application provider IDentifier，RID)，以及使该应用程序供货商能够区分所提供该等不同应用程序的专属应用程序识别符扩充(Proprietary application Identifier eXtension，PIX)组成。该AID还可称为该应用程序定义档案(Application Definition File，ADF)名称。

与SE芯片进行通讯通过传送应用协议数据单元(Application Protocol Data Unit，APDU)的界面实现。该等APDU包括命令APDU和回应APDU。APDU用于与SE的符合GP标准的操作系统的通讯，其有时称为GP标准命令和GP标准回应、有时称为GP命令和GP回应、或有时简称为命令和回应。APDU还用于该SE与DTD之间的通讯(受到ISO 7816、EMVCo、及其他标准规范)，但不同于用于GP命令/回应的APDU。

对一些支付数字交易而言，该实体卡(无论芯片卡或仅磁条卡)无需出示，并仅提供来自该卡的所选定详细信息以能够交易。此交易包括因特网交易和邮购/电话订货(Mail Order/Telephone Order，MOTO)交易。举例来说，在支付交易中，持卡人通过该电话(经由自动化系统或对人员)或经由安全因特网入口网站提供详细信息，该等详细信息通常包括该芯片卡的PAN、该持卡人的姓名、该卡的失效日期、卡验证值(Card Verification Value，CVV)、及其他安全信息。

支付交易的安全是主要顾虑，因为已有许多通过盗窃实体卡/文件或盗窃实体或数字卡/文件详细信息的欺诈交易实例。信用/转账卡还可具有CVV(或该磁条上的CVC)，可使其更难以为了欺诈目的而复制卡。

对磁条卡(或具备磁条的芯片卡)而言，该CVC通常是基于该卡数据(例如包括该卡PAN和失效日期及一银行的主密钥)所建立的密码。该银行的授权主机通过该银行的密钥重新建立该CVC值，以决定其是否符合交易期间所传送的CVC。该CVC在将个人专属化数据输入在该卡上并储存在该磁条之后，印制在该卡上。

其后，对有时称为卡验证值2(CVV2)的另一CVC(其通常印制在该卡背面上的签名框中)采用相同原则。主要使用该CVV2协助确保电子商务(e-Commerce)和因特网或MOTO交易安全。这是从卡数据及该银行的主密钥建立的第二独特密码(尽管这与该磁条CVC相比是不同密码)。该CVV2未在该磁条上呈现。

通常，核发具备SE的芯片卡的卡核发者为了在该SE中产生对称密码密钥而在其上安装密码密钥，其在与DTD进行卡通讯期间使用以产生用于数字交易的密码(例如交易凭证(Transaction Certificate，TC))。该等密码(或TC)签署该交易源自与其上安装该密钥的SE进行互动的信息。

许多芯片卡通过持卡人验证方法(Cardholder Verification Method，CVM)操作，例如仅该(等)持卡人已知的个人标识号(Personal Identification Number，PIN)(如在许多地区所指定)，其必须保密，且必须在安全且经过认证终端机上输入，以验证该人员是该授权持卡人。依该核发者的配置而定，该PIN可能为了脱机验证而储存在该SE中。该PIN可本地储存在安全的防篡改内存(即该SE)中。具有CVM的其他芯片卡可具有生物特征安全构件(Means)，例如指纹读取机。

SE通常由制造商提供，具备用于不同支付方案的复数个容器(Container)。容器有时称为链接库、基本载入档案(Elementary Load File，ELF)、或套件(Package)。举例来说，可对SE供给包括Visa、Mastercard、及American Express的三个容器。这些容器通常在该SE的ROM中。通常，由于个人专属化期间的需要，除了正用于托管在该芯片卡的SE上的支付应用程序的容器以外，代表支付方案的容器在单一数字卡(该个人专属化支付应用程序)安装并变得有效之后，在该个人专属化程序期间禁止或变得无效。容器提供用于在通过DTD实现交易时呼叫的支付应用程序的一连串功能。在一些实施中，该容器是函式或类别的链接库(例如在JavaCard中)。

具备符合GP标准的操作系统的一些符合金融的SE采用依据针对该等SE的内容的管理的GP标准的安全层级结构。该安全层级结构(security hierarchy)包含安全域(security domain)的树形图，包括一核发者安全域(Issuer Security Domain，ISD)，其具有最高权限并控制该整个SE中的该等内容和操作。该安全层级结构还可包括一或多个辅助安全域(Supplementary Security Domain，SSD)，其每个具有附属权限并控制该ISD的该等内容和操作的一子集。该层级还可包括附属于一较高SSD的一或多个SSD。每个安全域使用具有其自己AID的应用程序实施。SE可具有数个层级，但仅有一ISD。

每个安全域皆可具有相关联密钥(通常是对称密钥)，其中该密钥的副本储存在该对应安全域应用程序中，且该密钥的另一副本由对该安全域拥有权限的实体(或代理)保存(或在其控制下)。

用于每个SE的ISD密钥皆可为核发机构所拥有的主密钥的独特衍生物(Derivative)，其中该核发机构的主密钥可用于确保许多SE安全。该ISD密钥由SE的核发机构产生并安装在其上，以使该核发机构对该SE的ISD具有控制。该ISD可能从该核发机构传递到另一实体，因此该实体对该SE中的ISD具有控制。在装置中此移动电话具备SE，该ISD密钥的拥有者将该ISD密钥传递到密钥管理服务器(Key Management Server，KMS)。该KMS所产生的SSD密钥安装在该SE上。具备用于特定SSD的密钥的代理对该SSD具有控制。

所有ISD密钥、SSD密钥、及特别是该主密钥皆安全保存为秘密。在该SE的外部，ISD密钥及/或SSD密钥由对该相关联SSD具有控制的实体(或代理)拥有或在其控制下。否则，则该ISD密钥和SSD密钥仅安全保存在该SE中(更特定而言，在该等安全域应用程序中)。密钥允许该拥有者在关联该密钥的安全域中并依据在安装时指定给该安全域的特权，通过符合GP标准的操作系统实现符合金融的SE上的一或多个操作。当容许密钥的拥有者在安全域中实现操作时，该拥有者视为能够对该安全域进行验证(Authenticate)。

对具备符合GP标准的操作系统的符合金融的SE而言，该SE上的操作通过指令集文文件(Script)实现。每个指令集文文件皆包含一或多个APDU。通常，指令集文文件将组成为实现该SE上的一或多个操作(一或多个命令)，并可包括一或多个APDU，用于实现该一或多个操作(或命令)。一些指令集文文件由于无需对安全域进行验证而不需要加密。其他指令集文文件需要通过用于安全域的密钥确保安全，以使该指令集文文件能够对该领域进行验证。有时该指令集文文件也加密，并通过用于对安全域进行验证的密钥确保安全。当指令集文文件使其命令(即其所有APDU)在SE上实现(无论是否在安全域中)时，此有时称为播放(Play)或执行该指令集文文件。指令集文文件的执行包括：建立与SE的安全对话(Session)(使用从该安全域密钥所衍生出的对话密钥)，以能够将该指令集文文件安全通讯或传输到该SE、对该SE中的目标安全域进行验证，且一旦传输就授权下一步骤。

每个密钥集还具有计数器，其在每个指令集文文件皆对该领域进行验证之后递增(成为下一所预期计数器值)。该计数器的目的在于防止相同指令集文文件在该领域中的重新播放(或重新执行)。该对话密钥的推衍包括该计数器值，以使当签署指令集文文件时，该签署包括该计数器值。若该计数器值不正确，则该所衍生出的对话密钥将不正确，且该安全对话的建置将失败。此外，若该指令集文文件加密，则不正确对话密钥将不允许解密。

有时，指令集文文件(如用于支付应用程序的个人专属化者)不在卡片个人化部门(Personalization Bureau,Perso Bureau)的外部提供。而是，用于实例化芯片卡的SE上的支付应用程序、及用于该支付应用程序的个人专属化(由此成为该芯片卡的SE上的数字卡)的所有指令集文文件操作皆在该卡片个人化部门进行(其可在方案认证安全区域中的芯片卡制造或后层压的层压阶段期间)。

SE及置于其上的该等芯片卡具有含有生命周期状态的生命周期，包括：

●操作就绪(OP_READY)：指示运行时间环境可用，且用作该所选定应用程序的ISD应就绪接收、执行、及响应APDU命令(指令集文文件)；

●初始化(INITIALIZED)：行政管理卡生产状态。从OP_READY至INITIALIZED的状态转变不可逆。

●确保安全(SECURED)：核发后预期操作卡(该实体芯片卡的SE中的实体/芯片卡和数字卡两者)生命周期状态。此状态可由安全域和应用程序用来强化其各自安全策略。从INITIALIZED至SECURED的状态转变不可逆。

●卡锁定(CARD_LOCKED)：存在以提供禁止选择安全域和应用程序的功能。从SECURED至CARD_LOCKED的转变可逆。将该卡设定成该CARD_LOCKED状态意指该卡仅应允许通过该最后应用程序特权选择该应用程序。处于此状态不允许卡内容变更，包括任何类型的数据管理(具体而言安全域密钥和资料)；及

●终止(TERMINATED)：发信该卡生命周期和该卡的结束。从任何其他状态至TERMINATED的状态转变皆不可逆。使用该状态TERMINATED永久禁止关于任何卡内容管理和任何生命周期变更的所有卡功能。此卡状态预期为供应用程序在逻辑上(或在数字上)「销毁」(Destroy)该卡的机制。

一些芯片卡已试图允许将一个以上的磁条个人专属特征(personality)安装在芯片(通常是非SE，且即使使用SE，但未被配置托管符合EMVCo标准的支付应用程序，也并非符合金融的硬件，也非被配置托管符合GP标准的操作系统的SE)上。在此建议中，用户将选择该芯片卡操作所通过的磁条卡(因将由符合金融的SE托管而与数字卡不同)。该等磁条卡「现用」(in the field)安装在从另一实体卡的磁条磁道1或磁道2数据复制的芯片卡上。多个磁条卡可包括来自相同支付方案(例如来自Mastercard的一信用卡和一转账卡)的一种以上的卡类型，或可包括不同支付方案(例如一Visa转账卡和一American Express信用卡)的卡类型。范例产品包括来自Plastc、Coin、Final、及Wocket的产品。然而，该Plastc解决方案具有操作限制，且该Wocket解决方案需要指定Wocket装置。这些解决方案皆尚未获得广泛市场接受性，且一些解决方案现在已结束或停止营运。造成此先前解决方案失败的一严重问题在于未取得组织认证(如EMVCo)，因此不适合通过需要EMVCo认证的该等对应支付方案以及还需要符合EMVCo标准的支付网络中的该等DTD操作。此建议所面临的另一问题在于该服务码包括一特定种类的芯片存在的一需要，且该DTD必须请求使用此类型的芯片，然而，由于这些卡仅具有该磁条之一副本(该磁条卡)，该所需类型芯片不存在，这将造成交易失败。此外，此建议行不通，因为核发者(其拥有该持卡人的数据)无法确信：

●该芯片的该等ISD密钥和SSD受到仅该核发者或该核发者的同意代理严格控制；

●该核发者可使用其SSD密钥(密钥旋转)；

●该卡符合所有该等金融标准；

●该卡能够持有该等核发者数据，并能够安全产生核发者密码；

●该等所建议卡能够具有安装在符合该核发者的规范的安全卡片个人化部门设施中的资料；及

●该SE由该在卡片个人化部门更改的生命周期锁定成任何其他变更。

进行支付交易的另一构件已知为数字钱包。数字钱包指称用于为了以数字方式购买而进行支付的电子装置和程序，而未出示实际信用卡、转账卡、或现金。数字钱包的一种类型是实施在例如智能型手机上的基于装置的数字钱包。数字钱包还可能实施在穿戴式支付装置上。基于装置的数字钱包的范例包括Apple Pay和Samsung Pay。Google Wallet(G Pay)和PayPal提供可在智能型手机上操作的应用程序(Apps)。实施在支持NFC装置(如智能型手机)上的基于装置的数字钱包，可用于通过适当所配置DTD(非接触终端机)的非接触出示卡交易。数字钱包的另一类型是基于因特网的数字钱包，其让用户能够新增信用卡/转账卡信息(即现成可从实体卡取得的信息)，从而允许该客户进行在线购买。GoogleWallet(用于同级间支付)和PayPal(用于在线支付)是基于因特网的数字钱包的范例。数字钱包由钱包服务供货商(Wallet Service Provider，WSP)提供给智能型手机用户(或另一装置或因特网的用户)。通常，该使用者将请求建立账户，然后对该使用者提供用于下载到其智能型手机上的数字钱包应用程序。

能够进行非接触支付及/或同级间支付的数字钱包可包含用于虚拟支付卡(例如Visa、Mastercard、American Express)或卡类型(信用卡、转账卡)的数个不同支付应用程序，其可称为行动支付卡(Mobile Payment Card，MPC)并可安全储存在该智能型手机的SE(通常是eSE或通用集成电路卡(Universal Integrated Circuit Card，UICC)芯片)中。还可使用一些数字钱包持有其他非支付卡，例如商店忠诚卡或礼物卡。该等MPC和非支付卡可统称为虚拟卡(Virtual Card，VC)，尽管非支付卡通常不会储存在数字钱包中或SE上的内存的该等更安全的区域(有时称为支付区域)中。

建构用于智能型手机或其他类似行动支付装置中的SE的MPC与如由实体(芯片)卡上的SE托管的数字卡之间有差异性。用于支付装置的SE(eSE/UICC芯片)(如在智能型手机上)通过方案容器操作，其中该容器可被配置用于仅通过限于非接触支付交易的MPC操作(用于实体/芯片卡的SE中的数字卡通常必须能够进行接触和非接触支付)。容器被配置实例化应用程序及/或建立实例，以适合将储存其的装置(如芯片卡或智能型手机)的实体外形尺寸。芯片卡上的容器可支持用于该容器的方案的接触和非接触卡的应用程序/实例，且用于如在例如智能型手机上使用的eSE/UICC芯片的容器可仅支持用于非接触虚拟卡(或MPC)的应用程序/实例。用于此eSE/UICC的容器能够通过一个以上的MPC操作，且此装置的eSE/UICC能够通过一以上的容器操作。相对而言，用于芯片卡的SE的方案容器限于将该单一数字卡的所核发方案与该方案的容器符合，其中安装在该SE上且未包含该经过符合数字卡的所有其他容器皆在该个人专属化程序之后禁止或锁定。

MPC(且有时是VC或其他应用程序和特征)通常由代理建立、管理、及分配给智能型手机，该代理包括信托服务管理平台(Trusted Service Manager，TSM)及/或支付凭证代码服务商(Token Service Provider，TSP)。该TSM/TSP通常受托拥有权限以传送MPC数据，包括用于使用到该使用者的智能型手机的安全信道经由行动网络营运商(Mobile Network Operator，MNO)空中传输(Over-The-Air，OTA)实例化该支付应用程序和持卡人个人专属化数据的说明(该实例化和个人专属化通常由不同实体进行，但可两者是TSM)。除了OTA通讯以外，该TSM/TSP可经由例如DTD通过因特网(Over The Internet，OTI)或通过有线(Over The Wire，OTW)传送数据。该安全通道依据GP标准协议建立，例如安全通道协议02(Secure Channel Protocol 02，SCP02)，是该智能型手机上的TSM/TSP与eSE/UICC芯片之间的安全专用且通常同步的通讯链路。

近来，已出现协助提供MPC的另一方法，称为安全组件管理服务(Secure Element Management Service，SEMS)，例如恩智浦加载器服务(NXP Loader Service)，其使用数字证书确保将数据从供货商代理安全传输到该智能型手机上的eSE/UICC芯片。

TSM还可接收来自支付凭证代码服务商(TSP)的符记，及来自各方的其他所需卡数据，并使用这些建立MPC，将其通过可下载到持卡人的智能型手机上的安全链路使该持卡人可用。

有用于发挥不同作用的不同TSM。安全组件核发者(Secure Element Issuer，SEI)TSM(也称为基础组件(Root)TSM)管理该使用者的智能型手机或其他类型的行动支付装置的SE上的操作，包括支付应用程序的实例化及SSD的建立；且服务供货商(Service Provider，SP)TSM管理将个人专属化指令集文文件建立递送到该使用者的智能型手机或其他类型的行动支付装置。SP TSM可为TSP，在这种情况下，所提供的个人专属化指令集文文件包含一支付凭证代码PAN。在一些情境下，SEI和SP TSM两者作用可由单一实体执行。

TSM/TSP操作通过使用由该TSM/TSP核发的一或多个指令集文文件(其由该TSM/TSP通过用于对该eSE/UICC上的特定安全域进行验证的密钥加密)完成。

卡片个人化部门和TSM可用的许多其他操作对其他人来说不可用。举例来说，当使用者希望变更其智能型手机上的主MPC时，该使用者必须与例如TSM连接以允许该TSM通过指令集文文件进行所需操作，以变更该数字钱包中的主MPC(然后将其安全通讯回到该用户的智能型手机)。若该使用者并非位于可建立到该TSM的通讯链路的地点，则此可能很困难。

如先前所提到，SE在离开卡片个人化部门之前处于CARD_LOCKED状态，且无法现用变更。在该SE芯片锁定之后，仅具备该适当SSD密钥的卡片个人化部门能够变更该状态。

一些智能型手机SE可能需要该安全层级结构中的控制机构安全域(Controlling Authority Security Domain，CASD)。该CASD存在以促成该SE的核发者与将托管在该SE上的MPC的核发者之间的信赖。该CASD促进这两方之间的密钥交换。尤其，芯片卡上的SE(或金融芯片)尚未安装CASD。

TSM还协助管理例如该TSM自身、银行(经营持卡人的卡账户及其他账户)、信用/转账卡供货商(核发该持卡人的卡)、电信公司(为该持卡人提供行动网络)、与(在该使用者的智能型手机包含eSE/UICC的情况下)该持卡人的智能型手机之间的端对端通讯及数据传输安全。

密钥仪式(Key ceremony)是进行以支持TSM的一些功能的任务。该密钥仪式是希望安全共享秘密的各方之间的标准流程。秘密(如ISD密钥及其类似物)一般来说保存在硬件安全模块(Hardware Security Module，HSM)中。在密钥仪式中，来自不同实体的密钥管理人将密钥的其部分输入该HSM中，这在该HSM中重建该密钥。密钥在该HSM内部建立和加密(该等密钥从未在该HSM外部未加密)。现在，两实体共享可用于加密与该SE进行通讯的安全信道的秘密。

对该SP TSM提供该帐户数据(个人专属化数据)并将其转换到格式化用于智能型手机中的eSE/UICC的APDU中，然后该TSM准备该个人专属化数据(转换成APDU)以供下载到该持卡人的智能型手机，并将此传送到其自己HSM以通过用于该SE上的各自SSD的该等对话密钥(例如SCP02对话密钥)加密该等APDU。该个人专属化数据写入支付应用程序中以成为MPC。

该TSM使用密钥管理系统(Key Management System，KMS)中的主密钥(常驻在该HSM中)针对该智能型手机或CDMA手机的SE中的指定SSD生成独特密钥，且该NFC数据报(包含APDU)通过该等独特密钥进行加密。该经过加密数据无线(OTA)传输到例如亦已进行密钥仪式的行动网络营运商(MNO)。或者，该数据可经由传输层安全(Transport Layer Security，TLS)传输。此外，该数据亦可为OTI或OTW传输，其中不涉及MNO。

在范例操作中，该MNO将该个人专属化指令集文文件(包括元资料以在该手机的显示屏上显示一具备该PAN的该等最后四个位数的卡影像)传输到该持卡人的智能型手机或其他行动支付装置。

可进行检查(checks)，包括该使用者的地点的检查、及装置指纹(例如一智能型手机内的一SE的该等指纹)的检查。此程序确保该银行和MNO可知道该数据可靠，并将其递送给该正确账户持有人。该数据解密和安装在该智能型手机上，其后该持卡人可使用其智能型手机进行卡支付。TSM/TSP的该等程序和产品，以及其合作银行和电信供货商到目前为止一直受限于在那些组织内操作。举例来说，通过该安全端对端程序在SE上实例化和个人专属化的该等MPC只能经由那些组织和程序可用。若持卡人希望取得新MPC或变更其行动装置上的操作卡，则通常需要通过该TSM/TSP和合作组织进行。

作为使用TSM/TSP的替代例是使用SEMS，例如恩智浦半导体公司(NXP Semiconductors N.V.)所开发出的加载器服务。SEMS的另一范例在GP标准的最近发布中实施为服务。SEMS在该SE上安装容器，但用于所实例化支付实例的个人专属化数据仍必须由SP TSM完成以建立MPC。

该NXP加载器服务为了使用物联网(Internet of Things，IoT)供应穿戴式支付装置和其他智能型装置而开发出。该NXP加载器服务需要安装有NXP应用程序的芯片。或者，若使用来自该等GP标准的SEMS，则将无需NXP特定应用程序。

SEMS在一系列NXP芯片中可用，且其自己作为小程序和客户端预先配置在该SE上。该加载器服务根本实体使用凭证委派内容管理权限。小程序可加载该SE上，而未使用安全组件核发者(SEI)TSM。对安卓(Android)装置而言，该等必要指令集文文件已嵌入Android应用程序包(Android application package，APK)中，并可触发卡内容管理服务。举例来说，该等指令集文文件可建立安全域并引入密钥、加载和更新小程序(包括支付应用程序)、实例化和自定义该小程序、并删除安全域。

尽管数字钱包的便利显而易见，但数字钱包中的每个MPC皆只能用于非接触支付(且在一些实例中，用于在线支付)。一些POS/EFTPOS终端机不支持所需类型的非接触支付，且ATM一般来说不支持非接触交易。此外，非所有智能型手机皆支持NFC或数字钱包，且无法用于与任何此DTD进行此交易。因此，数字钱包的建立和使用已经历有限商业成功。

因此，本领域市场持续亟需芯片卡，例如信用卡和转账卡(即具有传统信用或转账卡的形状，并具有用于接触和非接触交易的此芯片卡的该等接触片和NFC基础架构)。然而，具备SE的芯片卡的主要缺点在于无法在该SE中支持多张数字卡。每张芯片卡皆预安装供应具单一数字卡(其在该芯片卡的使用寿命期间固定)。用户必须针对其希望使用的每张数字卡携带个别的芯片卡。

一些现有及/或一些所建议芯片卡的又另一问题在于，其采用在SE上托管多张数字卡或磁条卡的构件及/或方法不符合该等现有(包括以往及/或所建议/未来)所需标准任一者，例如GP标准和EMVCo标准。如此，这些现有及/或所建议芯片卡将无法进入与DTD(需要只与符合的芯片卡互操作)的数字交易中。

此外，该等现有及/或所建议芯片卡(若如其指定实现数字卡变更)将在面临由于将向DTD呈现来自该芯片卡上的SE或其他芯片中的所有该等所安装数字卡或磁条卡的AID清单，而尝试实现直接选择的DTD时失败。

在数字钱包中使用MPC的一些智能型手机和其他类型的行动支付装置中，又另一缺点在于当使用者希望在MPC之间变更(例如从与Mastercard信用卡相关联的MPC变更成与Visa转账卡相关联的MPC)时，变更的程序通常需要该智能型手机与代理(如TSM)之间进行通讯。这对希望快速变更成其多MPC智能型手机的MPC的持卡人而言可能无效率。在一些情境下，智能型手机使用者将位于无法与该代理(TSM或其他代理)接触的地点，因此将无法变更该智能型手机的MPC。此外，由于TSM未管理接触MPC(或具有接触和非接触接口的数字卡)，持卡人无法使用该TSM变更接触MPC/数字卡。

传统芯片卡的又另一问题在于，其未提供用于针对该芯片上的支付系统环境(Payment System Environment，PSE)及/或近距离支付系统环境(Proximity Payment System Environment，PPSE)应用程序进行应用程序选择的构件或方法。此外，目前无法将支付应用程序的AID列表提供给DTD，其中该清单可在不同支付应用程序变得在该卡上操作时变化，因为其他支付应用程序变得无法在该卡上操作。

技术实现要素：

在一方面中，本发明提供一种用于可针对通过一数字交易装置(DTD)的数字交易而操作的一数字支付装置(DPD)的设备(Apparatus)，该设备可操作成提供用于在一数字交易中从该DPD到该DTD进行通讯的交易应用程序识别符信息，该设备包括：

应用程序选择模块；

在该DPD上的数字交易处理单元(Digital Transaction Processing Unit,DTPU)，其可操作成托管一或多个个人专属化数字交易包(Personalized Digital Transaction Package，PDTP)，每个PDTP是与具有一交易应用程序识别符的至少一交易应用程序相关联；

该DPD可操作成选择操作上针对通过该DTD的一数字交易而操作的至少一所托管PDTP；

其中该设备可操作成接收一或多个命令，以使该应用程序选择模块将针对与该所选定至少一PDTP相关联的每个交易应用程序，而通过一交易应用程序识别符设定，使得该应用程序选择模块可操作成在该交易应用程序识别符信息中包括该该用于与所选定至少一PDTP相关联的每个交易应用程序的交易应用程序识别符。

在进一步方面中，本发明提供一种可针对通过一数字交易装置(DTD)的数字交易而操作的数字支付装置(DPD)，该DPD可在一数字交易中操作成将交易应用程序识别符信息提供给该DTD，该DPD包括：

一数字交易处理单元(DTPU)，其可操作成托管一或多个个人专属化数字交易包(PDTP)，每个PDTP是与具有一交易应用程序识别符的至少一交易应用程序相关联；

该DPD可操作成选择将可针对通过该DTD的数字交易而操作的至少一所托管PDTP；

该DTPU可操作成托管一应用程序选择模块；

其中该DTPU可操作成接收一或多个命令，以使该应用程序选择模块将针对与该所选定至少一PDTP相关联的每个交易应用程序，而通过一交易应用程序识别符设定，使得该应用程序选择模块可操作成在该交易应用程序识别符信息中包括该用于与该所选定至少一PDTP相关联的每个交易应用程序的交易应用程序识别符。

在多个具体实施例中，每个交易应用程序识别符是一交易应用程序的应用程序识别符(Application ID，AID)。

在多个具体实施例中，该应用程序选择模块更可操作成将该所选定至少一PDTP可逆地置于一有效状态，其中处于该有效状态的每个PDTP是与解锁的至少一交易应用程序相关联，使该至少一交易应用程序可针对通过一数字交易装置(DTD)的数字交易而操作。在一些此具体实施例中，该应用程序选择模块更可操作成将每个其他PDTP可逆地置于一无效状态，其中与处于该无效状态的一PDTP相关联的每个交易应用程序皆锁定，使得每个锁定交易应用程序皆不可针对通过一DTD的数字交易而操作。

在多个具体实施例中，该DPD可操作成供使用者选择该至少一PDTP。

在多个具体实施例中，每个所托管PDTP是与由该DPD托管的一对应个人专属特征相关联。

在多个具体实施例中，该DPD包括一用于操作该DTPU以执行该一或多个命令的微控制器单元(Micro Controller Unit，MCU)。

在多个具体实施例中，该DPD包括一用于储存该一或多个命令的至少一者的操作安全组件(Operational Secure Element，OSE)。

在多个具体实施例中，该OSE可操作成储存一或多个模板命令，且该MCU可操作成将操作数据提供给该OSE，该OSE更可操作成通过该操作数据自定义该一或多个范本命令，以产生该一或多个命令。在一些此具体实施例中，该操作数据包括与将置于一有效状态的每个所选定PDTP皆相关联的每个交易应用程序的AID。

在多个具体实施例中，该一或多个命令的每一者是一指令集文文件。在其他具体实施例中，该一或多个命令的每一者包括在一或多个指令集文文件中。在其他具体实施例中，该一或多个命令的每一者是一模板指令集文文件。在其他具体实施例中，该一或多个命令的每一者包括在一或多个模板指令集文文件中。

在多个具体实施例中，该DTPU包括一含有所述一或多个安全域的安全层级结构。

在多个具体实施例中，该安全层级结构具有一树形图结构并包括至少一用于托管该应用程序选择模块的第一分支、及一用于托管与该一或多个所托管PDTP相关联的每个交易应用程序的第二分支，该第一分支是该第二分支的一同级分支(Sible)。

在又另一方面中，本发明提供一种用于可针对通过一数字交易装置(DTD)的数字交易而操作的一数字支付装置(DPD)的设备，该设备可操作成提供用于在一数字交易中从该DPD到该DTD进行通讯的交易应用程序识别符信息，该设备包括：

一应用程序选择模块；

在该DPD上，一数字交易处理单元(DTPU)，其可操作成托管一或多个交易应用程序，每个交易应用程序具有一交易应用程序识别符；

该DPD可操作成选择将可针对通过该DTD的数字交易而操作的该一或多个交易应用程序的至少一者；

其中该设备可操作成接收一或多个命令，以使该应用程序选择模块针对每个所选定交易应用程序，而通过一交易应用程序识别符设定，使得该应用程序选择模块可操作成在该交易应用程序识别符信息中包括该用于每个所选定交易应用程序的交易应用程序识别符。

在又另一方面中，本发明提供一种可针对通过一数字交易装置(DTD)的数字交易而操作的数字支付装置(DPD)，该DPD可在一数字交易中操作成将交易应用程序识别符信息提供给该DTD，该DPD包括：

数字交易处理单元(DTPU)，其可操作成托管一或多个交易应用程序，每个交易应用程序具有一交易应用程序识别符；

该DPD可操作成选择将可针对通过该DTD的数字交易而操作的该一或多个交易应用程序的至少一者；

该DTPU可操作成托管一应用程序选择模块；

其中该DTPU可操作成接收一或多个命令，以使该应用程序选择模块针对每个所选定交易应用程序，而通过一交易应用程序识别符设定，使得该应用程序选择模块可操作成在该交易应用程序识别符信息中包括该用于每个所选定交易应用程序的交易应用程序识别符。

在多个具体实施例中，每个交易应用程序识别符是一交易应用程序的应用程序ID(AID)。

在多个具体实施例中，该应用程序选择模块更可操作成将每个所选定交易应用程序可逆地置于一解锁状态，使得每个解锁所选定交易应用程序皆可针对通过一数字交易装置(DTD)的数字交易而操作。

在多个具体实施例中，该应用程序选择模块更可操作成将每个其他交易应用程序可逆地置于一锁定状态，使得每个锁定交易应用程序皆不可针对通过一DTD的数字交易而操作。

在多个具体实施例中，该DPD可操作成供用户选择该所选定交易应用程序。

在多个具体实施例中，该DPD包括一用于操作该DTPU以执行该一或多个命令的MCU。

在多个具体实施例中，该DPD包括一用于储存该一或多个命令的至少一者的OSE。

在多个具体实施例中，该OSE可操作成储存一或多个模板命令，且该MCU可操作成将操作数据提供给该OSE，该OSE更可操作成通过该操作数据自定义该一或多个范本命令，以准备该一或多个命令。

在多个具体实施例中，该操作数据包括将置于一有效状态的每个所选定交易应用程序的一AID。

在多个具体实施例中，该一或多个命令的每一者是一指令集文文件。在其他具体实施例中，该一或多个命令的每一者包括在一或多个指令集文文件中。在其他具体实施例中，该一或多个命令的每一者是一模板指令集文文件。在其他具体实施例中，该一或多个命令的每一者包括在一或多个模板指令集文文件中。

在多个具体实施例中，该DTPU包括一含有一或多个安全域的安全层级结构。

在多个具体实施例中，该安全层级结构具有一树形图结构并包括至少一用于托管该应用程序选择模块的第一分支、及一用于托管与该一或多个所托管PDTP相关联的每个交易应用程序的第二分支，该第一分支是该第二分支的一同级分支。

在又另一方面中，本发明提供一种用于从一数字支付装置(DPD)将交易应用程序识别符信息提供给一数字交易装置(DTD)的方法，该DPD包括一可操作成托管一或多个个人专属化数字交易包(PDTP)的数字交易处理单元(DTPU)，该DPD可操作成选择将可针对通过该DTD的数字交易而操作的一所托管PDTP，每个PDTP是与具有一交易应用程序识别符的至少一交易应用程序相关联，该DTPU更可操作成托管一应用程序选择模块，该方法包括：

该应用程序选择模块接收一或多个命令，以使该应用程序选择模块将针对与该所选定PDTP相关联的每个交易应用程序，而通过一交易应用程序识别符设定；

该应用程序选择模块在该交易应用程序识别符信息中包括该用于与该所选定PDTP相关联的每个交易应用程序的交易应用程序识别符。

在又另一方面中，本发明提供一种用于从一数字支付装置(DPD)将交易应用程序识别符信息提供给一数字交易装置(DTD)的方法，该DPD包括一可操作成托管一或多个交易应用程序的数字交易处理单元(DTPU)，每个交易应用程序具有一交易应用程序识别符，该DPD可操作成选择将可针对通过该DTD的数字交易而操作的该一或多个交易应用程序的至少一者，该DTPU更可操作成托管一应用程序选择模块，该方法包括：

该应用程序选择模块接收一或多个命令，以使该应用程序选择模块将针对每个所选定交易应用程序，而通过一交易应用程序识别符设定，

该应用程序选择模块可操作成在该交易应用程序识别符信息中包括该用于每个所选定交易应用程序的交易应用程序识别符。

附图说明

图1A为DTC的具体实施例的外观示意图。

图1B为DTC的具体实施例中的组件图式。

图2为有关个人专属特征的元数据的具体实施例。

图3为DTC的进一步具体实施例中的组件图式。

图4为DTC的具体实施例中的接触垫、MCU、及DTPU之间的电连接图式。

图5为供应基础架构、DAD、DTC、及支付网络的具体实施例的图式。

图6为DTPU中的安全层级结构的具体实施例的树形图。

图7为DTPU中的安全层级结构的具体实施例的树形图。

图8为DTPU中的安全层级结构的具体实施例的树形图。

图9为显示用于采用DTC上的个人专属特征的程序的具体实施例的一部分的循序图。

图10为显示用于采用DTC上的个人专属特征的程序的具体实施例的一部分的循序图。

图11为DTPU中的安全层级结构的进一步具体实施例的树形图。

图12为DTPU中的安全层级结构的进一步具体实施例的树形图。

图13为DTPU中的安全层级结构的进一步具体实施例的树形图。

图14为DTPU中的安全层级结构的进一步具体实施例的树形图。

图15为供应基础架构、DAD、及DTC的具体实施例的图式。

图16为供应基础架构、DAD、及DTC的具体实施例的图式。

图17为供应基础架构、DAD、及DTC的具体实施例的图式。

具体实施方式

技术平台及/或相关技术

本发明说明书的发明与包括技术及其具体实施例(其具有或可具有分开且独立创造力和可专利性)的技术平台及/或相关技术结合操作。下列说明该技术平台及/或相关技术，包括说明术语及说明技术平台及/或相关技术的一些具体实施例。

技术平台及/或相关技术的某些部分说明可包含及/或有助于本发明的各具体实施例。

技术平台及/或相关技术的某些部分说明，可包含及/或有助于分开可专利发明或那些分开可专利发明的各具体实施例。

技术平台及/或相关技术的说明不应自认为先前技术。

数字交易处理单元(DTPU)

在本发明说明书中使用该用语数字交易处理单元(DTPU)表示适合本发明的不同具体实施例，且在其相关技术的各具体实施例中的广泛安全组件(SE)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU被配置使用一支付个人专属化数字交易包(PDTP)和一非支付PDTP的至少一者托管数字交易、以操作及/或参与数字交易。然而，本发明的说明大部分着重在用于支付PDTP及相关操作和建构的各具体实施例。支付PDTP包括例如信用卡PDTP、转账卡PDTP、礼物卡PDTP、及旅行卡PDTP。非支付PDTP包括例如护照PDTP、年龄验证文件PDTP、及ID PDTP。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU是金融卡SE(有时称为EMV芯片)。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU是UICC或嵌入式UICC(embedded UICC，eUICC)。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DTPU是eSE。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DTPU是整合式安全组件(Integrated Secure Element，ISE)。在本发明的进一步各具体实施例中及/或在其相关技术的进一步多个具体实施例中，该DTPU实施在SIM上。在本发明的又进一步各具体实施例中及/或在其相关技术的又进一步多个具体实施例中，该DTPU实施在智能型microSD上。

将可理解，该DPD的形式将使该DTPU的一些形式成为比其他更适合该DPD。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，修改该DTPU以适合该DPD的形式。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU是经过修改或重新使用的传统金融卡SE或EMV芯片，被配置托管一个以上的DTP/PDTP，其中每个DTP/PDTP具有相关联的一或多个交易应用程序。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成托管符合EMVCo标准的至少一DTP/PDTP(及其相关联的一或多个交易应用程序)。通常，符合EMVCo标准的交易应用程序是支付应用程序(因此，该DTP/PDTP是支付DTP/PDTP)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU被配置托管一操作系统。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该操作系统符合GlobalPlaform(GP)标准。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该操作系统为符合GP标准的JavaCard。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该操作系统符合MULTOS。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DTPU(连同该DPD的其他组件)符合GP卡规范。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU符合支付卡产业(Payment Card Industry，PCI)标准。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU符合共通准则(Common Criteria，CC)保护规范。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成托管符合EMVCo标准的至少一DTP/PDTP(及其相关联一或多个交易应用程序)，且该DTPU被配置托管符合GP标准及/或符合JavaCard的操作系统。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU可操作成托管符合EMVCo标准的至少一DTP/PDTP(及其相关联的一或多个交易应用程序)，且该DTPU被配置托管符合MULTOS标准的操作系统。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DTPU可操作用于接触数字交易和非接触数字交易的至少一者。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DTPU是一通用集成电路卡(UICC)类型芯片或一eSE类型芯片(如通常在移动电话中所使用)，其中调适该DPD(特别是在该DPD是DTC情况下)和UICC/eSE以使具备UICC/eSE的DTC(或更普遍，在适当情况为该DPD)能够进行非接触及/或接触交易。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，对该DTC(或更普遍，在适当情况为该DPD)提供允许该UICC/eSE进行接触交易的组件，例如为了在该DTPU与该DTD之间进行通讯而用于接触DTD中的各自垫的外部接触垫，并对该DTC(或更普遍，在适当情况为该DPD)提供芯片及一或多个天线，或具备一或多个天线的芯片，从而允许该UICC/eSE进行非接触交易。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该芯片是可操作用于卡仿真模式的外部NFC芯片，并可为非接触前端(Contactless front end，CLF)，其中该CLF和eSE/UICC经由SWP连接通讯。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，UICC/eSE需要MCU通过NFC芯片操作以使该DTC(或更普遍，适当处是该DPD)在(卡)仿真模式下操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该NFC芯片包括一天线。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该DPD包括一安全处理模块(Secure Processing Module，SPM)，其是用于例如经由NFC及/或经由该等接触垫实现该DTPU与该DPU的外部之间的通讯的全整合式一模块解决方案。在本发明的又进一步此具体实施例中及/或在其相关技术的又进一步此具体实施例中，该SPM是SE内的MCU。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该SPM是包括一SE、一低功率MCU、及一功率管理集成电路(IC)的单一芯片。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对接触交易而言，对该DPD提供组件，例如为了在该DTPU与该DTD之间进行通讯而用于接触DTD中的各自电极的接触垫。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等接触垫及/或其在该DPD上的设置符合ISO7816-2。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，具备用于接触交易的接触垫的DPD是DTC。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTC具有实质上等同于传统信用/转账卡形式的形式。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTC包括6个接触垫。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DTC包括8个接触垫。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对非接触交易而言，对该DPD提供例如用于与DTD中的各自天线进行通讯的芯片和天线(或具备天线的芯片)的组件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，针对实体卡的外形尺寸调整该UICC/eSE，包括修改该UICC/eSE的高度。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，可将DTPU以所选定生命周期状态提供给持卡人。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该生命周期状态包括：INITIALIZED、SECURED、CARD_LOCKED、及TERMINATED。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTPU可操作用于LOCKED的应用程序生命周期状态。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成执行命令，包括下列各项的一或多者：选择(SELECT)、初始化更新(INITIALIZE UPDATE)、外部验证(EXTERNAL AUTHENTICATE)、储存数据(STORE DATA)、操作就绪(OP READY)。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，将该DTPU(在DPD中)以OP_READY状态提供。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，将该DTPU以OP_READY状态提供给该卡使用者。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，将该DTPU(在DPD中)以INITIALIZED状态提供。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，将该DTPU(在DPD中)以SECURED状态提供。在本发明的进一步各具体实施例中及/或在其相关技术的进一步多个具体实施例中，将该DTPU(在DPD中)以CARD_LOCKED状态提供，其中可将其根据操作需要选择性还原成SECURED状态并返回到CARD_LOCKED状态。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU包括充分内存(例如用户内存)，以允许每个支付方案容器是安装一应用程序选择模块、至少一支付方案容器、及一或多个DTP/PDTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该应用程序选择模块包括一PSE(或接触交易)选择应用程序及/或一PPSE(或非接触交易)选择应用程序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该应用程序选择模块可操作用于除了传统PSE及/或PPSE应用程序的功能以外及/或与其不同的功能。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该应用程序选择模块安装在该DTPU上，其中该DTPU具有现有PSE及/或PPSE应用程序，使该应用程序选择模块覆写该等现有PSE及/或PPSE应用程序。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该应用程序选择模块替代该等现有PSE及/或PPSE应用程序。在本发明的又一些其他此具体实施例中及/或在其相关技术的又一些其他此具体实施例中，调适该应用程序选择模块以与现有PSE及/或PPSE应用程序共同存在于该DTPU上，其中该应用程序选择模块具有比该等现有PSE及/或PPSE应用程序更高的优先级。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该应用程序选择模块安装在该DTPU上，其中调适该应用程序选择模块以与现有PSE及/或PPSE应用程序共同存在于该DTPU上，该应用程序选择模块具有与现有(包括现有标准)PSE及/或PPSE应用程序的该等应用程序识别符不同的用于其应用程序的应用程序识别符(AID)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成接受来自信托服务管理平台(TSM)的供应(远程或本机)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该TSM在供应网络中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该TSM供应可于该TSM与该DTPU之间的通讯而同步、异步或选择性同步和异步两者操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成接受来自支付凭证代码服务商(TSP)的供应(远程或本机)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该TSP在供应网络中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该TSP供应可于该TSP与该DTPU之间的通讯而同步、异步或选择性同步和异步两者操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成接受来自SEMS服务的供应(远程或本机)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该SEMS在供应网络中。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可通过NXP SEMS服务(加载器服务)和GP SEMS服务之一或两者操作。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DTPU可操作成接受来自以下的供应：

●供应网络中的混合TSM/SEMS服务，其中数据从该供应网络到该DTPU的供应来自该TSM和SEMS服务之一或两者；

●及/或供应网络中的混合TSP/SEMS服务，其中数据从该供应网络到该DTPU的供应来自该TSP和SEMS服务之一或两者；

●及/或供应网络中的混合TSM/TSP服务，其中数据从该供应网络到该DTPU的供应来自该TSM和TSP服务之一或两者；

●及/或供应网络中的混合TSM/TSP/SEMS服务，其中数据从该供应网络到该DTPU的供应来自该TSM、该TSP、及该SEMS服务的任一或多者。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在到该DTPU的供应来自TSP情况下，该TSP为了将DTP个人专属化为PDTP而仅提供一支付凭证代码PAN。将可理解，传统上，TSP被配置提供数个支付凭证代码PAN以代换主PAN。然而，在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该支付凭证代码PAN未在该DTP的个人专属化中代换主PAN，但可视为用于该DTP的个人专属化以成为该PDTP的主PAN。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU被配置托管每一者是与两或多个交易应用程序相关联的一或多个PDTP，且其中每个交易应用程序是通过不同支付凭证代码主识别符而个人专属化(对支付交易应用程序而言，该支付凭证代码主识别符是支付凭证代码个人账号或支付凭证代码PAN)。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，具备支付凭证代码交易应用程序的PDTP可称为支付凭证代码PDTP。在本发明的此具体实施例中及/或在其针对交易应用程序的相关技术的此具体实施例中，每个支付凭证代码主识别符(或支付凭证代码PAN)皆在该交易应用程序的个人专属化期间由TSP提供。在一些此具体实施例中，该等两或多个支付凭证代码PAN在该DTP的个人专属化期间由该TSP提供。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTPU被配置在选择该PDTP作为该DPD的有效PDTP时，自动选择用于该PDTP的该等相关联支付凭证代码PDTP交易应用程序之一者。在一些此具体实施例中，该自动选择从两或多个支付凭证代码PDTP交易应用程序的范围随机或伪随机。在其他此具体实施例中，该选择基于在两或多个支付凭证代码交易应用程序的范围内的该等支付凭证代码交易应用程序的默认顺序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等两或多个交易应用程序的至少一者通过主识别符个人专属化，而该等两或多个交易应用程序的其余部分通过支付凭证代码主识别符而个人专属化。

应可了解，在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在使用支付凭证代码交易应用程序情况下，此可为了强化隐私及/或安全而提供，因为例如通过支付交易应用程序，该交易应用程序的实际PAN(或该相关联PDTP和相关联个人专属特征的PAN)未为了数字交易而显露。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD(在视需要具有图形显示器情况下)的图形显示器可仅显示用于来自该所选定支付凭证代码PDTP的所选定符记个人专属化交易应用程序的PAN，但未显示该支付凭证代码PDTP的主PAN。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DPD的一些形式将不适用于接触交易(如穿戴式装置)，因此该DTPU可受限于非接触或通过因特网数字交易(例如支付数字交易)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成托管复数个PDTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTPU在该DPD上提供而未托管任何PDTP。在一些此具体实施例中，将DTPU未托管PDTP的DPD提供给第三方(如银行或卡核发者)，且该银行或卡核发者提供一或多个PDTP以供该DTPU在提供给持卡人使用之前托管。在其他此具体实施例中，将DTPU未托管PDTP的DPD提供给持卡人，并可能为了安装在该DTPU上而视需要已对该持卡人供应来自远程供应网络或代理的一或多个DTP/PDTP。在进一步此具体实施例中，该持卡人可接收该DTPU已为其托管一或多个PDTP的DPD，并可为了安装在该DTPU上而视需要已对该持卡人供应来自远程供应网络或代理的一或多个进一步DTP/PDTP。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU可操作成接受以供加载(或安装)每个是与支付方案相关联的一或多个容器。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个容器的安装能够在该DTPU(和该DPD)远离提供该一或多个容器的供应代理时实现。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在该DTPU上安装DTP/PDTP包括实例化与该DTPU上的DTP/PDTP相关联的一或多个交易应用程序，其中该一或多个交易应用程序与该DTPU上的一容器相关联。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该容器提供用于实现数字交易的该一或多个交易应用程序所需功能。

数字支付装置(DPD)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，数字支付装置(DPD)是可为了数字交易而通过DTPU操作的任何装置(且通常并入该DTPU)。尽管该用语DPD包括该用语「支付」(Payment)，但在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DPD仍可用于支付数字交易和非支付数字交易两者。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括用于允许从一供应网络供应到该DTPU的基础架构。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD包括用于在该DPD(和该DTPU)远离该供应网络时允许从一供应网络供应到该DTPU的基础架构。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD是具有像是传统信用或转账卡的形式或其形式的数字交易卡(DTC)。DTC(以卡形式)通常可操作用于通过DTD的接触和非接触交易两者，以及通过因特网类型交易。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD具有穿戴式装置的形式，例如戒指、手表、手镯、或项链。通常，此装置不可操作用于接触支付交易，并仅可操作用于通过DTD的非接触交易或通过因特网(未出示卡)类型交易。

在本发明的其他具体实施例中及/或在其相关技术之其他具体实施例中，该DPD是非便携设备，例如冰箱、洗碗机、洗衣机、及其他非可携式设备。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD并入该装置中。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该DPD远离该装置或在其外部，但链接到该装置。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD可为具备通过通讯电缆链接到该非便携设备的卡形式(或部分卡形式)部分的支付装置，其中该卡形式可操作成插入(引入)到用于接触支付的DTD中。然而，通常，此装置不可操作用于接触支付交易，并仅可操作用于通过DTD的非接触交易或通过因特网类型交易。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，DPD并入车辆中或是用于置于车辆中的标签。通常，此装置不可操作用于接触支付交易，并仅可操作用于通过DTD的非接触交易或通过因特网(未出示卡)类型交易。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DPD包括一DTPU及一用于保存信息的磁条(这通常将用于该DPD是DTC的具体实施例)两者。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该磁条是一动态磁条。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DPD包括一用户接口，其可操作成控制该DPD的操作(包括该DPD的一或多个组件，例如该DTPU的操作)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该用户接口包括一或多个按钮，用户可按下所述按钮以启用指定给该一或多个按钮的操作。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该用户接口包括一图形用户界面(Graphical User Interface，GUI)。该GUI可为低功率消耗的屏幕，例如电子纸显示器。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该GUI可由LCD显示器(包括一片段(Segment)显示器及/或一主动矩阵显示器)提供。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该GUI是调适成显示与所选定为该DPD的操作个人专属特征的个人专属特征相关联的支付方案的标志或标记(包括一商标)。就此点而言，可调适该GUI以显示多个不同标志或标记，其中变更该所显示标志或标记以符合与所选定为该DPD的操作个人专属特征的个人专属特征相关联的支付方案。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该用户接口包括一滑动传感器(或触控传感器)，用于感测一使用者的手指滑过该滑动传感器以实现该DPD上的一所选定操作。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该用户接口包括除了辅助键盘(Keypad)或替代其的触控屏幕显示器。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该用户接口可操作成供用户从来自该DPD的复数个个人专属特征(或该DTPU上的复数个PDTP)之中，选择来自该DPD的一个人专属特征(或该DTPU上的复数个PDTP)。

在本说明书中，本发明的许多具体实施例和变化例及/或其相关技术的各具体实施例是通过DTC说明为该DPD。然而，将可理解，在许多此具体实施例中，该说明应用于任何形式的DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括一接收器，用于接收无线通信。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括一用于传输无线通信的传输器。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DPD包括一耦合该接收器的传输器。此可称为该收发器。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，调适该收发器(或该传输器及/或该接收器)以实施蓝牙通讯协议。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，调适该收发器(或该传输器及/或该接收器)以实施WiFi通讯协议。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，调适该收发器(或该传输器及/或该接收器)以实施Zigbee通讯协议。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，调适该收发器(或该传输器及/或该接收器)以实施NFC通讯协议。在本发明的进一步此具体实施例中及/或在其相关技术的进一步此具体实施例中，调适该收发器(或该传输器及/或该接收器)以实施两或多个不同通讯协议。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可操作成链接用于互通(Intercommunication)的DAD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD与该DAD之间的链路经由蓝牙或蓝牙低功耗(Bluetooth Low Energy，BLE)。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该DPD与该DAD之间的链路经由WiFi。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，当该DAD链接到用于互通的至少一供应代理时，该DPD与该DAD之间的链路允许该DPD与来自供应网络中的一或多个供应代理的至少一供应代理之间的通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应代理是一DPD管理者。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可操作成链接到来自用于互通的供应网络中的一或多个供应代理的至少一供应代理。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD与该至少一供应代理之间的链路使用该DPD上的WiFi收发器经由该因特网。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应代理是DPD管理者。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DPD可操作成经由DPD管理者网关与该DPD管理者通讯，该DPD管理者网关提供用于在该DPD管理者与该DPD的各组件之间进行通讯的接口。在本发明的一些进一步此具体实施例中及/或在其相关技术的一些进一步此具体实施例中，该DPD管理者与该DPD之间的通讯是安全通讯链路。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该安全通讯链路采用传输层安全(TLS)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯链路采用安全信道协议的任一或多者，包括：SCP02和SCP03。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯链路采用用于确保该链路安全的SEMS安全凭证。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该安全通讯链路采用两或多个安全层。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，其中一层采用数据加密，包括SCP02(在多个具体实施例中，使用SCP02 i＝55设定)、SCP03(在多个具体实施例中，使用先进加密标准(AES)加密)的任一或多者，且其中另一层采用传输层加密(Transport Layer Encryption，TLE)(用于因特网TCP/IP)，其在一些具体实施例中，使用AES。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括一能量储存装置。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该能量储存装置包括一或多个电池。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在具有DTC的形式的DPD中，此电池是扁平形式电池。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该电池是挠性可印刷的薄型电池。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该能量储存装置包括一或多个电容，并可包括一或多个超级电容。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该能量储存装置包括一或多个电池和一或多个电容的组合。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个电池的至少一者是主电池。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个电池的至少一者是可充电电池。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD可操作成使用能量采集对该至少一可充电电池再充电，包括在通过该DTD的数字交易期间采集来自一DTD的能量。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在该DPD包括接触垫情况下，该等接触垫符合针对传统信用及/或转账卡上的接触垫的标准。如此，实体卡(如信用和转账卡)上的SE通常使用该卡的表面上的接触垫，在支付/交易网络中进行该SE与DTD之间的数据传输。每个接触片具有用于与DTD或其他装置中的对应电极进行电信号(数据)连接的数个接触垫。许多此接触垫的建构和操作皆受到标准ISO/IEC 7816规范，其使用接触垫包括：VCC、RESET、CLOCK、GROUND、及DATA接触垫，以在一DTD与该DPD的DTPU之间交换APDU命令。如此，有一些接触垫未用于此互动，包括接触垫#4和#8。接触垫#4和#8(或那些接触垫与该DTPU之间的该等数据连接信道)可在本发明及本发明的相关技术中，用于该DPD上与该DPD的外部的各组件之间的数据传输。举例来说，接触垫#4和#8(或那些垫与该DTPU之间的该等数据连接信道)可用于该MCU与该DPD的外部之间的数据通讯。举例来说，在一些此具体实施例中，可对该MCU供给来自该DPD已引入或插入其中的DTD的数字对象(包括指令集文文件、元数据、及其他DPD上档案)。

数字交易卡(DTC)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD是数位交易卡(DTC)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD(或DTC)具有卡形式，并调适以供插入(引入)DTD中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD(或DTC)具有卡形式，并调适以供与DTD进行无线(非接触)数字交易。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTC具有传统卡形式，例如传统信用卡或转账卡。

微控制器单元(MCU)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，本发明的DPD具有微控制器单元(MCU)，其控制该DPD的各种组件，例如用户接口、该用户接口的按钮、该用户接口的图形显示器、安全内存(例如OSE)、通讯模块(包括例如蓝牙及/或WiFi通讯)、及其他组件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU还可控制该DTPU的选择操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU可操作成接收来自该DPD的用户接口的信号(包括来自按钮或其他用户输入设备的信号)以实现该DPD上的操作。举例来说，当该DPD的使用者希望变更该DPD的操作个人专属特征时，该用户按下该DPD上的该(等)所需按钮以实现此变更，且该(等)按钮将信号传送到该MCU，其可操作成启动该DPD上的动作以变更该操作个人专属特征，包括(不必然按此顺序)更新该DPD上的一或多个注册表(Registry)(包括一MCU注册表)、锁定所有交易应用程序(经由该OSE和该DTPU的一MCU所管理操作)、解锁与该所选定个人专属特征相关联的PDTP中的该一或多个交易应用程序的至少一者(经由该OSE和该DTPU的一MCU所管理操作)、更新该应用程序选择模块中的该一或多个选择应用程序(经由该OSE和该DTPU的一MCU所管理操作)，以及经由该用户接口(该图形用户界面)显示该DPD的现在操作个人专属特征的适当指示符。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU符合下列认证、协议、及/或标准的任一或多者：CC PP-0084EAL4+和AVA_VAN.5(将明白，此MCU可视为SE)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，需要该符合以供通过具有所需安全等级的数据对象(如密码密钥和指令集文文件)进行储存及/或操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU通过低功率消耗操作以协助为该DPD(若具有视需要电池)提供较长电池使用寿命。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU可操作成接受来自DPD管理者、TSM、及TSP的一或多个的供应(同步、异步、或选择性同步和异步两者)。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该MCU可通过SEMS服务操作以接受供应。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可通过一NXP SEMS服务(加载器服务)和一GP SEMS服务之一或两者操作以接受供应。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU链接用于与该DTPU进行通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU包括一或多个通讯路径，其链接到该DTPU与该DPD(或DTC)的该等接触垫之间的各自通讯路径。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTPU与该DPD(或DTC)的该等接触垫之间的该等通讯路径包括下列各项的一或多者：1.VCC、2.RESET、3.CLOCK、5.GROUND、及7.DATA(根据ISO/IE 7816标准)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU链接用于经由该DPD(或DTC)的接触垫在该DPD(或DTC)的外部进行通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU链接用于经由该DTPU所未使用的接触垫进行外部通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU链接用于经由以下任一或多个进行外部通讯：接触垫4和接触垫8(根据ISO/IE 7816标准)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在使该MCU能够使用该DPD(或DTC)的接触垫在该DPD(或DTC)的外部进行通讯情况下，使该MCU能够在该DPD(或DTC)靠近供应源(并与其实体接触)时接受供应。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应源是DTD，且该DPD(或DTC)插入(或引入)该DTD中，其中使该DTD能够将数字对象提供给该MCU。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应源位于层压设施或一些其他此卡制造设施，其中使该DPD(或DTC)与该供应源接触(即使例如接触垫4和接触垫8(根据ISO/IE 7816标准)的该等各自接触垫与对应电极接触)，使该供应源能够将数字对象提供给该MCU。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等数字对象包括下列各项的一或多者：一或多个指令集文文件(包括经过加密和未经加密指令集文文件)、有关用于该DTPU的一或多个DTP/PDTP的元数据、MCU韧体、用于其他DPD组件的韧体、及其他DPD档案。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU可操作成安全储存用于在该DTPU上执行的一或多个指令集文文件，包括能够通过该DTPU上的SSD验证的一或多个指令集文文件。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该MCU可操作成安全储存一或多个指令集文文件模板，该一或多个指令集文文件模板(每个是通过进一步数据写入时)可操作用于在该DTPU上执行。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可操作成安全储存一或多个密码密钥，每个密码密钥皆用于加密(签署)一指令集文文件或一指令集文文件模板(在通过进一步数据写入时)，使该指令集文文件或指令集文文件模板(在通过进一步数据写入时)可通过用于在该DTPU上执行的SSD进行验证。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU可操作成从该DTPU接收来自一或多个各自安全域(例如SSD)的一或多个顺序计数器值(有时称为计数器)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可操作成请求来自该DTPU的该一或多个顺序计数器值。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可操作成储存一或多个指令集文文件以请求来自该DTPU的该一或多个顺序计数器值。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可操作成储存一或多个顺序计数器值指令集文文件及/或命令，其中每个指令集文文件及/或命令传送到该OSE，使该OSE将顺序计数器值请求指令集文文件及/或命令提供给该MCU，该MCU将其传送到该DTPU以取回(Retrieve)用于供给回到该MCU的顺序计数器值。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个顺序计数器值命令的每一者是未经验证(unauthenticated)命令。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该MCU储存该一或多个顺序计数器值指令集文文件及/或命令，在此情境下，该MCU无需从该OSE取回这些指令集文文件及/或命令。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，确保该MCU安全以供通过指令集文文件、指令集文文件模板、及密码密钥进行储存和操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU符合一或多个GP标准及/或共通准则(或按照其操作)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该MCU可操作成接收来自OSE的一或多个指令集文文件，该MCU将其传送到该DTPU以供执行。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该MCU可操作成接收来自OSE的一或多个经过加密指令集文文件，该MCU将其传送到该DTPU的SSD下的应用程序，其中该一或多个经过加密指令集文文件可对该SSD进行验证。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU更可操作成请求来自该OSE的一或多个指令集文文件，该等指令集文文件用于在用于SSD下的应用程序的DTPU上执行。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可操作成将参数传递到该OSE，使该OSE可将数据写入一或多个模板指令集文文件。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，该OSE在该MCU内。在本发明的进一步各具体实施例中及/或在其相关技术的进一步多个具体实施例中，该MCU和该DTPU在单一集成电路芯片(ICC)内。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该MCU、该OSE、及该DTPU在单一集成电路芯片(ICC)内。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该ICC包括一防火墙，用于防止该MCU与该DTPU之间的未授权通讯。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该ICC包括一用于防止MCU、OSE、与DTPU之间的未授权通讯的防火墙。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU可操作为用于在供应网络中的一或多个供应代理与该DTPU之间进行安全通讯的代理服务器。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯包括使用安全协议(包括SCP02、SCP03、及其他类似及/或相关安全通讯协议的任一或多者)的通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯协议包括使用SCP02 i＝55。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在该MCU可操作为代理服务器情况下，该MCU可操作成在该MCU与该一或多个供应代理之间的安全信道上，接收来自供应网络中的一或多个供应代理的数字对象，包括经过加密指令集文文件，其中该等数字对象已使用SCP02i＝55进行加密。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，已接收使用SCP02 i＝55进行加密的数字对象的MCU，可操作成在该安全信道断开连接之后留存该等所接收数字对象，该MCU更可操作成将该等数字对象传送到该DTPU以供执行。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU包括一用于MCU注册表元数据的MCU注册表，其中该元资料是有关托管在该DPD上的一或多个个人专属特征的数据(每个个人专属特征是与托管在该DTPU上的DTP/PDTP相关联)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU注册表包括一或多个元数据表。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，第一MCU注册元数据表包括多个用于下列各项的一或多者的各行：

●该表中每个项目的地址(用于指向该MCU中的内存位置的参考)；

●个人专属特征索引(用于促进参考该DPD上的每个个人专属特征的索引，每个个人专属特征是与托管在该DTPU中的DTP/PDTP相关联)；

●个人专属特征识别符(对支付卡个人专属特征而言，这将是PAN，包括其核发者标识符(Issuer Identification Number，IIN))；

●每个个人专属特征的支付方案名称(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的核发者名称；

●每个个人专属特征的失效日期；

●每个个人专属特征的昵称；

●与个人专属特征相关联的PDTP中的每个交易应用程序的CVV(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的标志索引(对将在其是该DPD的有效个人专属特征时显示在用于每个个人专属特征的DPD上的标志的参考)；

●该个人专属特征的持有人姓名(对支付卡或其类似物而言，这通常称为持卡人姓名)；

●个人专属特征启用状态，其显示每个个人专属特征的目前状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)；

●默认个人专属特征启用状态，显示在规定情境下针对每个个人专属特征的默认启用状态皆应是什么状态，例如若该个人专属特征启用状态有所失去(此可使用下列代码：0：未针对接触和非接触接口两者默认、1：针对接触接口的默认、2：针对非接触接口的默认、3：针对接触和非接触接口两者的默认)；

●指示每个个人专属特征的启用状态/预设启用状态是否皆已变更的旗标；及

●AID清单的表头(Head)(用于与有关该DTP的交易应用程序相关联的一或多个AID的第一AID的地址)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，第二MCU注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该MCU中的内存位置的参考)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，该MCU第一注册元数据表包括有关下列各项之一或多者的多行：

●交易类型列表的表头(用于每个是与用于有关该个人专属特征的交易类型的交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，一进一步MCU注册元数据表包括有关下列各项之一或多者的多行：

●该表中的每个项目的地址(用于指向该MCU中的内存位置的参考)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●该交易类型的名称；

●该交易类型的昵称(这可为显示在该DPD上指示哪种交易类型对个人专属特征为有效的名称，并亦可于该使用者在不同视需要交易类型之间进行选择的目的而显示在该DPD上)；

●该交易类型的关联(即所关联的交易类型包括：一银行账户，用于不同于该个人专属特征的其他该等交易类型的购买类型；一货币账户，用于不同于该个人专属特征的其他该等交易类型的货币类型；及其他关联)；

●指示方法(在数字交易期间，必须有用于向处理该交易的银行或其他机构指示正在使用哪种交易类型的构件。该等指示符可包括：一序号(通常用于指示主或副持卡人)，或有关该交易类型的交易应用程序的AID)。

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在该DPD(及/或DTPU)被配置托管一或多个支付凭证代码个人专属特征(即其中个人专属特征具有一或多个相关联支付凭证代码交易应用程序，且其中每个支付凭证代码交易应用程序具有支付凭证代码识别符(对支付卡个人专属特征而言，这将是支付凭证代码PAN))情况下，该第一MCU注册元数据表包括有关下列各项之一或多者的多行：

●支付凭证代码交易应用程序列表的表头(用于每个与有关该个人专属特征的支付凭证代码交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括一或多个支付凭证代码交易应用程序情况下，一进一步MCU注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该MCU中的内存位置的参考)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●指示如何从与个人专属特征(其由该用户为了作为该有效个人专属特征而选择)相关联的该一或多个支付凭证代码交易应用程序选择支付凭证代码交易应用程序的选择方法，该等方法包括：随机或伪随机选择(由该DPD自动实现而无该用户的输入)、顺序选择(其中该DPD自动选择该所选定个人专属特征的列表上的下一支付凭证代码交易应用程序的AID)，以及用户选择(其中该使用者选择将针对启用该所选定个人专属特征而启用的支付凭证代码交易应用程序)。

●该支付凭证代码交易应用程序的名称(这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●该支付凭证代码交易应用程序的昵称(这可为显示在该DPD上以指示哪一者支付凭证代码交易应用程序对个人专属特征为有效的名称，并亦可于该使用者在不同视需要支付凭证代码交易应用程序的间进行选择的目的而显示在该DPD上。这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

操作安全组件(OSE)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括一在DTPU的外部的操作安全组件(OSE)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE可操作成安全储存用于在该DTPU上执行的一或多个命令及/或通过其操作，包括为了对该DTPU上的SSD进行验证而加密的一或多个命令。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该OSE可操作成安全储存一或多个命令模板及/或通过其操作，该一或多个命令范本(每个皆在通过进一步数据写入时)可操作用于在该DTPU上执行。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成从该一或多个命令范本的每一者皆产生一或多个命令。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成安全储存一或多个密码密钥及/或通过其操作，每个密码密钥皆用于加密命令或命令范本(在通过进一步数据写入时)，使该命令或命令范本(在通过进一步数据写入时)可对用于在该DTPU上执行的SSD进行验证。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE可操作成通过用于在该DTPU上执行的一或多个指令集文文件安全储存及/或操作，包括为了对该DTPU上的SSD进行验证而加密的一或多个指令集文文件。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该OSE可操作成通过一或多个指令集文文件模板安全储存及/或其操作，该一或多个指令集文文件模板(每个皆在通过进一步数据写入时)可操作用于在该DTPU上执行。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成从该一或多个指令集文文件模板的每一者皆产生一或多个指令集文文件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成通过一或多个密码密钥安全储存及/或操作，每个密码密钥皆用于加密指令集文文件或指令集文文件模板(在通过进一步数据写入时)，使该指令集文文件或指令集文文件模板(在通过进一步资料写入时)可对用于在该DTPU上执行的SSD进行验证。将明白，此指令集文文件传统上由TSM、卡片个人化部门、及其类似物等实体用于操作(如个人专属化)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该OSE可操作成通过除了指令集文文件和密码密钥以外的数字对象储存及/或操作，例如用于该DPD上的其他组件的韧体及/或档案(例如MCU韧体及/或档案)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE位于该MCU上，或位于与该DPD上的MCU进行通讯的另一芯片上。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE符合下列认证、协议、及/或标准的任一或多者：CC PP-0084EAL4+和AVA_VAN.5。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，需要该符合以供通过具有所需安全等级的数据对象(如用于该DTPU上的卡管理或SE管理的密码密钥和指令集文文件)进行储存及/或操作。在一些此具体实施例中，该分开的OSE包括安全韧体/架构，以能够储存一或多个安全密钥，使该等密钥的储存和使用及其他OSE操作至少满足共通准则或PCI的需要。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE只能由该MCU存取以取回数据、档案、及其他数字对象，包括指令集文文件和经过加密的指令集文文件。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE可操作成接收来自该MCU的请求以提供一或多个指令集文文件、一或多个经过加密指令集文文件、及一或多个其他数字对象，并将该等所请求一或多个指令集文文件、一或多个经过加密指令集文文件、及一或多个其他数字对象提供给该MCU。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成通过每个请求接收来自该MCU的识别符，以识别需要哪一或多个指令集文文件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该识别符是用于该DTPU中的应用程序(包括选择应用程序和交易应用程序)的AID。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，在该MCU请求由该OSE从模板指令集文文件或模板命令分别产生来自该OSE的指令集文文件或命令情况下，该MCU可操作成通过该请求传送识别符，以识别该模板指令集文文件或将由该OSE使用的模板命令。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该OSE可操作成为了参数化(或将一或多个参数写入)该OSE中的一或多个模板指令集文文件或模板命令的每一者中，而从该MCU接收来自该MCU的一或多个参数。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个参数在该DTPU中包括一应用程序(包括选择应用程序和交易应用程序)的AID。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该OSE可操作成接收来自该MCU代表用于该DTPU的安全域(例如SSD)中的密钥集的下一所预期计数器值的一或多个计数器。

在本发明的进一步各具体实施例中及/或在其相关技术的进一步多个具体实施例中，该OSE可操作成通过储存在该OSE中的该一或多个密码密钥的一加密一或多个指令集文文件，使该一或多个经过加密指令集文文件对该DTPU的安全域(例如SSD)进行验证。

在本发明的又进一步各具体实施例中及/或在其相关技术的又进一步多个具体实施例中，该OSE可操作成通过储存在该OSE中的该一或多个密码密钥的一者及计数器加密一或多个指令集文文件，使该一或多个经过加密指令集文文件对该DTPU的安全域(例如SSD)进行验证，其中该加密包括该计数器，其代表用于该安全域的下一所预期计数器值。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该OSE可操作成参数化(或将一或多个参数写入)一或多个模板指令集文文件的每一者中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个参数在该DTPU中包括一应用程序(包括选择应用程序和交易应用程序)的一AID。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成通过储存在该OSE中的该一或多个密码密钥的一加密每个参数化模板指令集文文件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE可操作成通过储存在该OSE中的该一或多个密码密钥的一者及计数器以加密每个参数化模板指令集文文件，其中来自用于该加密的密码密钥的对话密钥的衍生物包括该计数器，其代表用于该安全域的下一所预期计数器值。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该OSE包括一用于储存元数据的OSE注册表，其中该元数据是与托管在该DPD上的一或多个个人专属特征相关的数据(每个个人专属特征是与托管在该DTPU上的DTP/PDTP相关联)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE注册表包括一或多个元数据表。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，一第一注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该OSE中的内存位置的参考)；

●个人专属特征索引(用于促进参考该DPD上的每个个人专属特征的索引，每个个人专属特征是与托管在该DTPU中的DTP/PDTP相关联)；

●个人专属特征识别符(对支付卡个人专属特征而言，这将是PAN，包括其IIN)；

●每个个人专属特征的支付方案名称(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的核发者名称；

●每个个人专属特征的失效日期；

●每个个人专属特征的昵称；

●与个人专属特征相关联的PDTP中的每个交易应用程序的CVV(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的标志索引(将在其是该DPD的有效个人专属特征时显示在用于每个个人专属特征的DPD上的标志的参考)；

●该个人专属特征的持有人姓名(对支付卡或其类似物而言，这通常称为持卡人姓名)；

●个人专属特征启用状态，其显示每个个人专属特征的目前状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)；

●默认个人专属特征启用状态，显示在规定情境下针对每个个人专属特征的启用应为何种预设状态，例如若该个人专属特征启用状态有所失去(此可使用下列代码：0：未针对接触和非接触接口两者的默认、1：针对接触接口的默认、2：针对非接触接口的默认、3：针对接触和非接触接口两者的默认)；

●指示每个个人专属特征的启用状态/预设启用状态是否皆已变更的旗标；及

●AID清单的表头(用于与有关该DTP的交易应用程序相关联的一或多个AID的第一AID的地址)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，一第二注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该OSE中的内存位置的参考)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，该第一OSE注册元数据表包括有关下列各项的一或多者的多行：

●交易类型列表的表头(用于每个是与用于有关该个人专属特征的交易类型的交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，一进一步OSE注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该OSE中的内存位置的参考)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●该交易类型的名称；

●该交易类型的昵称(这可为显示在该DPD上以指示哪种交易类型对个人专属特征为有效的名称，并亦可于该使用者在不同视需要交易类型之间进行选择的目的而显示在该DPD上)；

●该交易类型的关联(即所关联的交易类型包括：一银行账户，用于与针对该个人专属特征的其他该等交易类型不同的购买类型；一货币账户，用于与针对该个人专属特征的其他该等交易类型不同的货币类型；及其他关联)；

●指示方法(在数字交易期间，必须有用于向处理该交易的银行或其他机构指示正在使用哪种交易类型的构件。该等指示符可包括：一序号(通常用于指示主或副持卡人)，或有关该交易类型的交易应用程序的AID)。

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在该DPD(及/或DTPU)被配置托管一或多个支付凭证代码个人专属特征(即其中个人专属特征具有一或多个相关联支付凭证代码交易应用程序，且其中每个支付凭证代码交易应用程序具有支付凭证代码识别符(对支付卡个人专属特征而言，这将是支付凭证代码PAN))情况下，该第一注册元数据表包括有关下列各项的一或多者的多行：

●支付凭证代码交易应用程序列表的表头(用于每个是与关联该个人专属特征的支付凭证代码交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括一或多个支付凭证代码交易应用程序情况下，一进一步OSE注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该OSE中的内存位置的参考)(在其他具体实施例中，该DAD可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●指示如何从与个人专属特征(其由该用户为了作为该有效个人专属特征而选择)相关联的该一或多个支付凭证代码交易应用程序选择支付凭证代码交易应用程序的选择方法，该等方法包括：随机或伪随机选择(由该DPD自动实现而无该用户的输入)、顺序选择(其中该DPD自动选择该所选定个人专属特征的列表上的下一支付凭证代码交易应用程序的AID)，以及用户选择(其中该使用者选择将针对启用该所选定个人专属特征而启用的支付凭证代码交易应用程序)。

●该支付凭证代码交易应用程序的名称(这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●该支付凭证代码交易应用程序的昵称(这可为显示在该DPD上以指示哪一者支付凭证代码交易应用程序对个人专属特征为有效的名称，并亦可于该使用者在不同视需要支付凭证代码交易应用程序之间进行选择的目的而显示在该DPD上。这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

DPD硬件安全架构

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括一DTPU、一MCU、及一OSE，其中该DTPU为了其间数据通讯而连接到该MCU，且该MCU为了其间数据通讯而连接到该OSE。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该OSE足够符合针对通过密码密钥和指令集文文件(包括模板指令集文文件)安全储存和操作的标准。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可操作成管理该DTPU和该OSE的一些操作，其中该MCU通过请求储存在该OSE上的一或多个指令集文文件指示该DTPU上的此操作。该一或多个指令集文文件通过该MCU传递，以在安全域(通常是SSD)中的DTPU上执行(或播放)，其中该一或多个指令集文文件对照(Against)该SSD进行验证，且其中该等指令集文文件在该安全域中的应用程序上执行。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，指令集文文件可对照安全域直接执行。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该MCU可请求来自用于在该DTPU上执行(或播放)的OSE的用于多个不同域(通常是多个不同SSD)的多个指令集文文件。

将可理解，储存在该OSE上的该等指令集文文件(是经过加密指令集文文件)若无法更改，则为了防止重新播放安全而必须使其计数器设定成符合该DTPU(或该DTPU操作系统)的目标安全域所预期的计数器。实施实际上，若需要在该DTPU上重复操作，则此可能导致需要该OSE储存大量指令集文文件。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，取代储存大量指令集文文件，可将该DTPU所预期的计数器重新设定为例如「0」，且储存在该OSE上的该等指令集文文件可使其计数器从「0」向上设定，因此可重复重新播放相同指令集文文件。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该OSE可储存用于签署(加密)一或多个模板指令集文文件的一或多个密码密钥。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，使用每个密码密钥衍生出对话密钥，该推生物包括该计数器，并使用该所衍生出的对话密钥加密模板指令集文文件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，除了通过用于对该DTPU上的SSD进行验证的对话密钥加密以外，该一或多个模板指令集文文件完整。当该MCU请求一或多个指令集文文件时，该OSE可操作加密该一或多个模板指令集文文件，每个皆具备用于衍生出用于该加密的对话密钥的各自密码密钥和计数器。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU可请求用于在该DTPU的多个各自安全域中执行(或播放)的多个指令集文文件，因此使用用于该等多个各自领域的多个各自密码密钥和各自计数器加密该等多个指令集文文件。然后，该等经过加密指令集文文件传送到该MCU，以为了在该DTPU的该等各自安全域中执行而传递到该DTPU。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，计数器关联密钥集(其关联SSD)。SSD可具有多个密钥集，并因此具有多个计数器。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，除了具有一些所需信息以外，该一或多个模板指令集文文件完整，并进行加密(通过从该加密密钥和计数器所衍生出的对话密钥)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个模板指令集文文件皆需要与目标应用程序(包括选择应用程序或交易应用程序)相关联的AID作为参数传递到该模板指令集文文件，并需要使该计数器设定并进行加密。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，当该MCU请求一或多个指令集文文件时，其传递用于各自应用程序的一或多个AID的一或多个参数，以使该等指令集文文件的每一者可接收AID，然后通过用于该各自应用程序的安全域的各自密码密钥和计数器加密。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该计数器在请求来自该OSE的指令集文文件时作为参数从该MCU传递。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该计数器可通过将请求(其是指令集文文件)传送到该DTPU由该MCU取得。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该请求可通过指令集文文件进行，以使该MCU初始请求来自该OSE的所预期计数器请求指令集文文件、将该所预期计数器请求指令集文文件传送到该DTPU、该MCU接收来自该DTPU的所预期计数器，然后该MCU为了在后续指令集文文件请求中设定模板指令集文文件的计数器(用于加密该等指令集文文件)，而将该所预期计数器作为参数传送到该OSE。

此架构的一项优势在于指令集文文件在通过该MCU传递时维持安全，这是符合一些安全标准(如PCI标准)所需。

密码密钥安全内存(CRYPTOGRAPHIC KEY SECURE MEMORY，CKSM)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD包括一安全内存，用于储存用于在该DPD的外部建立安全信道或安全通讯对话的至少一密码密钥。此安全内存可称为密码密钥安全内存(CKSM)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该CKSM可操作成从每个至少一密码密钥皆产生或衍生出一或多个对话密钥。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该CKSM可操作成从每个至少一密码密钥皆产生或衍生出一或多个对话密钥，并从该DTPU产生或衍生出计数器。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该CKSM可操作成安全储存用于建立安全通讯对话的单一对称密码密钥，其中该安全通讯对话允许对该DPD提供包括下列各项的一或多者的进一步数字对象：一或多个指令集文文件、用于建立后续安全通讯的一或多个密码密钥、及进一步韧体(包括对该MCU和其他DPD组件的韧体升级)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，初始对称密码密钥可在该DPD的制造或层压(仅用于DTC)期间储存在(引入或写入)该CKSM中。

在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，该CKSM可操作成安全储存用于建立一安全通讯对话的单一不对称密码密钥对的一部分，其中该安全通讯对话允许对该DPD提供包括下列各项的一或多者的进一步数字对象：一或多个指令集文文件、用于建立后续安全通讯的一或多个密码密钥、一或多个凭证、及进一步韧体(包括该MCU和其他DPD组件的韧体升级)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该CKSM可操作成储存用于该DPD的韧体(例如用于在该DPD现用(即在远离供应网络的用户手中)时首先启用该DPD时在该MCU上实施)。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，用于该DPD的初始基本韧体储存在该MCU上。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该初始基本韧体允许该DPD的基本操作(由该MCU管理的操作)，使得在首先供应该DPD后，该MCU立即存取该CKSM中的所储存单一对称密码密钥及/或单一不对称密码密钥对的所储存部分以建立安全通讯对话，并使该DPD可操作成通过来自供应网络中的一或多个供应代理的远程供应取得用于在该MCU上实施的进一步韧体。该进一步韧体(包括对该MCU和其他DPD组件的韧体升级)安全提供给该MCU，并允许该MCU(和该DPD)参与比通过该初始基本韧体所可能者更复杂的操作，例如对该DPD供应包括一或多个指令集文文件、一或多个模板指令集文文件、及一或多个密码密钥的数字对象。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该等数字对象包括指令集文文件及/或模板指令集文文件(以及若需要则包括密码密钥)，用于在该DTPU上构建(实例化)应用程序，包括下列各项的一或多者：一或多个安全域应用程序(包括SSD)、一或多个容器(包括程序包或ELF)、一或多个选择应用程序(包括一PSE选择应用程序及/或一PPSE选择应用程序)、及一或多个交易应用程序(每个皆属于或有关于一或多个DTP/PDTP的一者)。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该CKSM具有用于元数据的储存的CKSM注册表，其中该元数据是与托管在该DPD上的一或多个个人专属特征相关的数据(每个个人专属特征是与托管在该DTPU上的DTP/PDTP相关联)。此一注册表是类似或相同于前述用于该MCU及/或该OSE的该等注册表。

数据辅助装置(DATA ASSISTANCE DEVICE，DAD)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，调适该DPD以通过数据辅助装置(DAD)操作。在本发明的各具体实施例中及/或在其该系统的相关技术的多个具体实施例中，该系统包括一DAD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD和该DAD的每一者具有用于链接该DPD和该DAD以允许其间通讯的收发器。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，使用者通过操作该DAD上的用户接口及操作该DPD上的用户接口，将该DAD链接到该DPD。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD包括一智能型手机、一平板计算机、或任何其他合适行动运算装置的一或多者。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD包括非行动装置，例如一人计算机。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DAD包括一DTD，其调适用于经由其接收器及/或传输器以与该DPD通讯。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD可例如通过蓝牙/蓝牙低功耗(BLE)、通过近距离无线通信(NFC)、或通过WiFi链接到该DPD，并可例如经由因特网建立到远程代理的通讯对话。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可操作成实现该DPD(经由该DAD)与远程代理(如供应代理)之间的通讯。举例来说，可使用该DAD经由该DAD实现DPD与信托服务管理平台(TSM)之间的通讯。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可操作成仅链接一所指定DPD，且该DPD可通过下列各项的一或多者进行独特识别：该DTPU的ID、该MCU的ID、及其他DPD组件的ID。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD可操作成链接多个DPD，其每一者可通过下列各项的一或多者进行独特识别：该DTPU的ID、该MCU的ID、及其他DPD组件的ID。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DPD可操作成仅链接一DAD，且该DAD可通过其装置指纹进行独特识别，这可包括其国际移动设备识别(International Mobile Equipment Identity，IMEI)码。在又进一步多个具体实施例中，该DPD可操作成链接一个以上的DAD，其每一者可通过其装置指纹进行独特识别。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD可操作成与供应网络中的一或多个供应代理的至少一者通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD可操作成与该供应网络中的DPD管理者通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD可操作成经由该DPD管理者与TSM、TSP、及SEMS的任一或多者通讯。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DAD可操作成经由DPD管理者网关与该DPD管理者通讯，该DPD管理者网关提供用于在该DPD管理者与该DAD的各组件之间进行通讯的接口。在本发明的一些进一步此具体实施例中及/或在其相关技术的一些进一步此具体实施例中，该DPD管理者与该DAD之间的通讯是安全通讯链路。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，该安全通讯链路采用传输层安全(TLS)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯链路采用安全信道协议的任一或多者，包括：SCP02和SCP03。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯链路采用用于确保该链路安全的SEMS安全凭证。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯链路针对一些通讯采用TLS及该等安全通道协议的任一或多者、针对其他通讯采用AES加密、并针对又其他通讯采用具备进一步加密的TLS。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可使用下列各项的一或多者实现供应网络中的DPD与一或多个供应代理的至少一者之间的通讯：行动网络营运商(MNO)(作为动作者)、卡应用程序工具包传输协议(Card Application Toolkit Transport Protocol，CAT-TP)、HTTP、SMS、无线(OTA)、及通过因特网(OTI)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DAD可为DTD。将明白，DTD或其软件将很可能为了此目的而需要修改。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可操作成建置用于该DPD的参数，以在该DPD上共享或配置因特网通讯，并直接连接到供应网络中的一或多个供应代理的至少一者。该因特网连接可能：

●经由BLE共享DAD的因特网存取；

●在该DPD上具有WiFi芯片，并通过在该手机上共享该WiFi热点或连接到WiFi路由器直接连接到该供应代理(例如经由MNO的TSM)(可视为在该DPD上具有该DAD，但是不需要用于因特网连接的分开的DAD的方式)；

●Wifi2BLE桥接(bridge)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD可操作成托管DAD网关软件，其中该DAD网关使该DAD能够成为该供应基础架构(包括具有一或多个供应代理的供应网络)与该DPD之间的桥接。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DAD可操作成托管用于与该DAD的使用者(亦是该DPD的使用者)互动的DAD应用程序(有时称为行动应用程序)，该DAD应用程序允许用户能够在该DAD上进行操作，其一些操作是同步(当该DAD和DPD链接用于互通时)或异步(其中该DAD和DPD稍后在操作进入该DAD应用程序中之后链接用于互通)对该DPD实现。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD可操作成从该供应网络的行动应用程序入口网站取得(下载)该DAD应用程序。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DAD可操作成从供货商(如Google Play和Apple App Store)取得(下载)该DAD应用程序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该行动应用程序入口网站是该DPD管理者的组件。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DAD可操作成从该行动应用程序入口网站取回用于该DAD的组态档案，包括蓝牙密钥以供该DAD链接指定DPD(与其配对)。在本发明的一些进一步此具体实施例中及/或在其相关技术的一些进一步此具体实施例中，此组态档案将只能在该指定DPD已通过该行动应用程序入口网站注册并核准为有资格下载到该DAD的后提供。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可操作为用于在供应网络中的一或多个供应代理与该DPD上的DTPU之间进行安全通讯的代理服务器。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯包括使用安全协议(包括SCP02、SCP03、及其他类似及/或相关安全通讯协议的任一或多者)的通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯协议包括使用SCP02 i＝55。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在该DAD可操作为代理服务器情况下，该DAD可操作成在该DAD与该一或多个供应代理之间的安全信道上，接收来自供应网络中的一或多个供应代理的数字对象，包括经过加密指令集文文件，其中该等数字对象已使用SCP02i＝55进行加密。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，已接收使用SCP02 i＝55进行加密的数字对象的DAD，可操作成在该安全信道断开连接之后留存该等所接收数字对象，该DAD更可操作成将该等数字对象传送到该DPD以供在该DTPU上执行。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD包括一DAD注册表，用于元数据的储存，其中该元数据是与托管在该DPD上的一或多个个人专属特征相关的数据(每个个人专属特征是与托管在该DTPU上的DTP/PDTP相关联)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD注册表托管在该DAD中的安全内存芯片上。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该内存芯片是安全内存，例如安全组件。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD注册表包括一或多个元数据表。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，第一DAD注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DAD中的内存位置的参考)(在其他具体实施例中，该DAD可将该元数据储存在表中，因此不需要该等地址)；

●个人专属特征索引(用于促进参考该DPD上的每个个人专属特征的索引，每个个人专属特征是与托管在该DTPU中的DTP/PDTP相关联)；

●个人专属特征识别符(对支付卡个人专属特征而言，这将是PAN，包括其IIN)；

●每个个人专属特征的支付方案名称(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的核发者名称；

●每个个人专属特征的失效日期；

●每个个人专属特征的昵称；

●与个人专属特征相关联的PDTP中的每个交易应用程序的CVV(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的标志索引(对将在其是该DPD的有效个人专属特征时显示在用于每个个人专属特征的DPD上的标志的参考)；

●该个人专属特征的持有人姓名(对支付卡或其类似物而言，这通常称为持卡人姓名)；

●个人专属特征启用状态，其显示每个个人专属特征的目前状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)；

●默认个人专属特征启用状态，显示在规定情境下针对每个个人专属特征的默认启用状态皆应是什么状态，例如若该个人专属特征启用状态有所失去(此可使用下列代码：0：未针对接触和非接触接口两者的默认、1：针对接触接口的默认、2：针对非接触接口的默认、3：针对接触和非接触接口两者的默认)；

●指示每个个人专属特征的启用状态/预设启用状态是否皆已变更的旗标；及

●AID清单的表头(用于与关联该DTP的交易应用程序相关联的一或多个AID的第一AID的地址)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，第二DAD注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DAD中的内存位置的参考)(在其他具体实施例中，该DAD可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，该DAD第一注册元数据表包括有关下列各项的一或多者的多行：

●交易类型列表的表头(用于每个是与用于有关该个人专属特征的交易类型的交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，一进一步DAD注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DAD中的内存位置的参考)(在其他具体实施例中，该DAD可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●该交易类型的名称；

●该交易类型的昵称(这可为显示在该DPD上以指示哪种交易类型对个人专属特征为有效的名称，并亦可于该使用者在不同视需要交易类型之间进行选择的目的而显示在该DPD上)；

●该交易类型的关联(即所关联的交易类型包括：一银行账户，用于与针对该个人专属特征的其他该等交易类型不同的购买类型；一货币账户，用于与针对该个人专属特征的其他该等交易类型不同的货币类型；及其他关联)；

●指示方法(在数字交易期间，必须有用于向处理该交易的银行或其他机构指示正在使用哪种交易类型的构件。该等指示符可包括：一序号(通常用于指示主或副持卡人)，或有关该交易类型的交易应用程序的AID)。

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在该DPD(及/或DTPU)被配置托管一或多个支付凭证代码个人专属特征(即其中个人专属特征具有一或多个相关联支付凭证代码交易应用程序，且其中每个支付凭证代码交易应用程序具有支付凭证代码识别符(对支付卡个人专属特征而言，这将是支付凭证代码PAN))情况下，该第一DAD注册元数据表包括有关下列各项的一或多者的多行：

●支付凭证代码交易应用程序列表的表头(用于每个是与关联该个人专属特征的支付凭证代码交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括一或多个支付凭证代码交易应用程序情况下，一进一步DAD注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DAD中的内存位置的参考)(在其他具体实施例中，该DAD可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●指示如何从与个人专属特征(其由该用户为了作为该有效个人专属特征而选择)相关联的该一或多个支付凭证代码交易应用程序选择支付凭证代码交易应用程序的选择方法，该等方法包括：随机或伪随机选择(由该DPD自动实现而无该用户的输入)、顺序选择(其中该DPD自动选择该所选定个人专属特征的列表上的下一支付凭证代码交易应用程序的AID)，以及用户选择(其中该使用者选择将针对启用该所选定个人专属特征而启用的支付凭证代码交易应用程序)。

●该支付凭证代码交易应用程序的名称(这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●该支付凭证代码交易应用程序的昵称(这可为显示在该DPD上以指示哪一者支付凭证代码交易应用程序对个人专属特征为有效的名称，并亦可于该使用者在不同视需要支付凭证代码交易应用程序的间进行选择的目的而显示在该DPD上。这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD注册表是该DPD上的注册表(如该MCU或OSE注册表)的副本。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该MCU或OSE注册表是对该DAD注册表的主注册表。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DAD注册表是该DPD上的注册表(如该MCU或OSE注册表)的子集。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD注册表操作为该DPD上的注册表(如该MCU或OSE注册表)的备份。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，当该DAD和DPD链接用于互通时，该DAD注册表与该DPD上的注册表(如该MCU或OSE注册表)同步，其中该DPD上的注册表是该主注册表。

支付方案

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU被配置通过一种或多种支付方案操作。范例支付方案包括Visa、Mastercard、American Express、还有许多其他方案。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在DTPU上操作的每个支付方案具有用于在该DTPU上建立和安装DTP的相关联容器，其中该DTP(和该PDTP，当该DTP已个人专属化时)连同该DTP/PDTP的所有该一或多个交易应用程序，是与建立其的容器的支付方案相关联。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个容器皆托管在分开的安全域下。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，用于各容器的该等安全域是实用程序安全域(Utility Security Domain，USD)，每个USD是具备相关联AID的应用程序，该USD在其安全域中托管容器，每个容装置有AID。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在国内和国际网络存在用于相同PDTP(或该DPD的相关联的个人专属特征)情况下，两容器可为PDTP的基础组件(Base)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在从TSP将DTP/PDTP供应到DTPU情况下，支付方案具有对安全域(SSD)的控制。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，TSP具有对SSD(及其相关安全域)的控制。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，来自不同核发者的交易应用程序(或相关联PDTP)在该支付方案SSD下具有分开的SSD(子域)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在从TSM将DTP/PDTP供应到DTPU情况下，该等核发者TSM具有对安全域(SSD)的控制。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，来自不同支付方案的交易应用程序(或相关联PDTP)在该核发者的TSM SSD下具有分开的SSD(子域)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在有一种以上的支付方案同时托管在该DTPU上情况下，该DTPU可操作成通过该一种或多种支付方案的一种或多种的子集选择性操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，用于与该子集中的支付方案相关联的容器的每个USD皆处于解锁状态，且用于与该子集外部的支付方案相关联的容器的每个USD皆处于锁定状态。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，其USD处于锁定状态的容器无法将通过该容器实例化的交易应用程序引渡(Extradite)到该安全层级结构托管交易应用程序的部分中的SSD中。如此，容器的USD的锁定有效禁止该容器及其相关联支付方案无法在该DTPU上安装任何交易应用程序。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，其USD处于锁定状态的容器无法实例化交易应用程序。在本发明的又其他此具体实施例中及/或在其相关技术的又其他此具体实施例中，在该USD锁定的前实例化的交易应用程序能够持续操作，但在该USD锁定之后，不需实例化及/或引入进一步应用程序。

供应基础架构

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个DPD皆通过供应基础架构供应。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应基础架构被配置在该DPD远离该供应基础架构时供应到每个DPD。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该供应网络被配置在该DPD靠近该供应网络时供应到每个DPD(即可使该DPD与该供应网络将供应的至少一部分直接实体接触)。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该供应基础架构包括一或多个实体、服务、及供货商，用于发挥如供应DPD(包括该DPD的任一或多个组件，例如该MCU、该OSE、该CKSM、及该DTPU)所需的作用。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构更包括其他实体、服务、及供货商，用于发挥如供应DAD所需的作用。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个供应网络。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应网络包括一或多个实体、服务、及供货商，用于发挥如供应DPD(包括该DPD的各组件，例如该MCU和该DTPU)所需的作用。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应网络包括一或多个供应代理。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应网络包括一或多个DPD管理者。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个DPD管理者的每一者可操作成管理一或多个DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个核发者。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，至少一核发者授权向使用者核发DPD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个此核发者是卡核发者或金融机构。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个核发者授权核发用于安装在该DPD上的一或多个数字卡或一或多个数字文件，其中每个数字卡或每个数字文件由托管在DPD的DTPU上的PDTP所表示或包括在其中。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个DAD应用程序入口网站(亦称为行动应用程序入口网站)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个DAD应用程序入口网站可操作成将数字对象提供给每个DAD，此数字对象包括数字档案、韧体、软件、及DAD应用程序(有时称为行动应用程序或App)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个DAD应用程序入口网站可操作成将DAD应用程序(有时称为行动应用程序)提供给每个DAD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个DAD应用程序入口网站可操作成将DAD网关提供给每个DAD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个工厂。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，至少一工厂可操作成进行下列各项的一或多者：制造DPD的组件、组装DPD、层压DPD(以DTC的形式)、及测试DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个密钥引入合作伙伴，每个密钥引入合作伙伴可操作成将一或多个密码密钥引入一DPD中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个密码密钥的至少一者引入该DTPU中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个密码密钥的至少一者直接引入该DTPU中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个密码密钥的至少一者经由该MCU引入该DTPU中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个密码密钥的至少一者引入该MCU中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个密码密钥的至少一者引入该OSE中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个密码密钥的至少一者引入该SKSM中。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个卡片个人化部门，每个卡片个人化部门可操作用于个人专属化托管在DPD的DTPU上的一或多个DTP，其中每个DTP具有一或多个相关联交易应用程序，其每一者通过该卡片个人化部门所提供的一或多个指令集文文件个人专属化。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该卡片个人化部门可操作用于密钥引入以供SSD的个人专属化。

将明白，该供应基础架构的该一或多个工厂、该一或多个密钥引入合作伙伴、该一或多个层压工厂、该一或多个卡片个人化部门、及其他实体被配置提供该等实体DPD(例如以DTC的形式)，并视需要在将该等DPD传送给其各自使用者之前预供应该等DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应基础架构包括一或多个供应网络，其互连用于与一或多个核发者(包括金融机构核发者)进行通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，核发者与多个供应网络之间有一对多关系。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，供应网络与多个核发者之间有一对多关系。在本发明的又一些其他此具体实施例中及/或在其相关技术的又一些其他此具体实施例中，多个核发者与多个供应网络之间有多对多关系。在本发明的进一步此具体实施例中及/或在其相关技术的进一步此具体实施例中，核发者与供应网络之间有一对一关系。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该核发者是该供应网络的一部分。

供应网络

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个DPD皆通过供应网络供应。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应网络被配置在该DPD远离该供应网络时供应到该DPD。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该供应网络被配置在该DPD靠近该供应网络时供应到该DPD(即可使该DPD与该供应网络将供应的至少一部分直接实体接触)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应网络包括一或多个实体、服务、及供货商，用于发挥如供应DPD(包括该DPD的任一或多个组件，例如该MCU、该OSE、该CKSM、及该DTPU)所需的作用。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应网络更包括其他实体、服务、及供货商，用于发挥如供应DAD所需的作用。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应网络包括一或多个供应代理。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该供应网络包括一DPD管理者，用于管理一或多个DPD上的一或多个操作。

供应代理

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，供应网络包括一或多个供应代理。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应代理是用于将服务和数字对象提供给一或多个DPD(包括DTC)的实体或组织。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，每个供应代理是用于将服务和数字对象提供给一或多个DAD的实体或组织。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个供应代理是信托服务管理平台(TSM)、支付凭证代码服务商(TSP)、安全组件管理服务(SEMS)、及DPD管理者的一者。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应代理所供应的数字对象包括下列各项的一或多者：一或多个命令(包括GP命令)、一或多个指令集文文件、一或多个指令集文文件模板、一或多个密码密钥、一或多个档案、及/或其他数据对象，例如数据封包(Packet)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应代理皆在该等DPD远离该供应代理时(即在该DPD和DAD现用时，通常由DPD/DAD使用者拥有)提供给一或多个DPD。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，每个供应代理皆在该等DPD靠近该供应代理时提供给一或多个DPD(其中该等DPD尚未由DPD使用者拥有)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个供应代理可操作成接收来自核发者用于一或多个交易应用程序的个人专属化数据。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应代理可操作成将用于每个交易应用程序的个人专属化数据皆转换到一或多个APDU中，其中该一或多个APDU写入一或多个个人专属化指令集文文件中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个供应代理可操作成将用于每个交易应用程序的该一或多个个人专属化指令集文文件传送到该DPD管理者。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者将用于每个交易应用程序的该一或多个个人专属化指令集文文件传送到用于在该DTPU上执行且用于已在该DTPU中实例化的交易应用程序的个人专属化的DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对配置用于支付数字交易的交易应用程序而言，该个人专属化数据包括但不限于下列各项的一或多者：一PAN、一交易密钥、一持卡人的姓名、一失效日期、一PIN、一CVV、及用于风险管理的其他数据。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，对配置用于非支付数字交易的交易应用程序而言，该个人专属化数据包括但不限于下列各项的一或多者：一独特识别符、该相关人员的一姓名、一失效日期、一PIN、及用于风险管理的其他数据。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在DPD具有托管在该DTPU上的DTP，且该DTP具有与其相关联的一或多个交易应用程序情况下，每个供应代理可操作成提供用于其在该DTPU上执行的一或多个交易应用程序的每一者的至少一个人专属化指令集文文件，使得当每个交易应用程序是个人专属化时，其成为个人专属化交易应用程序且该DTP成为PDTP。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在DPD具有托管在该DTPU上的DTP，且该DTP具有与其相关联的一或多个交易应用程序，且每个交易应用程序皆将与不同交易类型相关联情况下，每个供应代理可操作成提供用于该一或多个交易应用程序的每一者的至少一个人专属化指令集文文件，用于每个交易应用程序的至少一个人专属化指令集文文件皆能够在该DTPU上执行，其中用于每个交易应用程序的至少一个人专属化指令集文文件包括用于其交易类型的个人专属化数据，使得当每个交易应用程序是个人专属化时，其成为用于交易类型的个人专属化交易应用程序且该DTP成为PDTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，用于个人专属化交易应用程序的交易类型的进一步个人专属化数据包括一序号，其是不同用于该PDTP中的该等个人专属化交易应用程序的一或多个其他该等交易类型的每个其他序号。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在DPD具有托管在该DTPU上的DTP，且该DTP具有与其相关联的一或多个交易应用程序，且每个交易应用程序皆将通过支付凭证代码识别符个人专属化情况下，每个供应代理可操作成提供用于在该DTPU上执行的该一或多个交易应用程序的每一者的至少一个人专属化指令集文文件，其中用于每个交易应用程序的至少一个人专属化指令集文文件包括用于将一支付凭证代码识别符提供给该交易应用程序的数据，使得当每个交易应用程序皆个人专属化时，其成为支付凭证代码个人专属化交易应用程序且该DTP成为PDTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，用于提供用于每个交易应用程序(包括用于提供一支付凭证代码识别符的数据)的至少一个人专属化指令集文文件的每个供应代理是TSP。

DPD管理者

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该供应网络包括一DPD管理者，用于管理该DPD上的一或多个操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个操作包括用于实例化该DPD的DTPU上的一或多个DTP的操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个操作包括用于将元数据递送到该DPD的操作。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成产生除了该等传统供应代理(如TSM和TSP)所提供者以外的数字对象，并将此数字对象传输到DPD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成经由DAD将该等数字对象传输到DPD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成例如经由WiFi连接(即无DAD)将数字对象直接传输到DPD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成将数字对象提供给DPD的MCU、OSE、CKSM、及DTPU的至少一者。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成接收一或多个供应代理所提供的数字对象，并将那些数字对象传输到DPD。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者亦可操作成维护DPD状态的记录，包括安装在该DPD上的每个个人专属特征的一记录，及该DPD的特征件，例如该装置型号。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成在该DPD现用时(即远离该供应网络或该供应基础架构)，为了将安装在该使用者的DPD上的新个人专属特征而接收来自持卡人(DPD使用者)的请求，其中个人专属特征的安装包括以下该等动作：建立一或多个SSD(若需要)、实例化该DTPU中的一或多个交易应用程序(其中该一或多个交易应用程序可与DTP相关联)、个人专属化该DTPU上的该一或多个交易应用程序的每一者(其中该一或多个个人专属化交易应用程序可与PDTP相关联)，并在该DPD上(在具体实施例中，在该MCU上)安装元数据，该元数据与该等交易应用程序(和或DTP/PDTP)相关联，连同将元数据安装在该DPD上别处、连同将元数据安装在该DAD上(若需要)、及连同将元数据安装在该供应网络中(如在该DPD管理者上)或在该供应基础架构中。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，DAD可操作成将每个此持卡人(DPD使用者)请求皆传输到该DPD管理者，且该DPD管理者可操作成将每个此持卡人(DPD使用者)请求皆转送到供应代理，其进而可操作成将每个此持卡人(DPD使用者)请求皆转送给核发者(其中该核发者是与该个人专属特征附加请求相关的核发者)。在此具体实施例中，若该核发者核准该请求，则该核发者启动其中DPD管理者和至少一供应代理提供用于安装在该DPD上的数字对象的程序。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD管理者包括一DPD管理者注册表，用于元数据的储存，其中该元数据是与托管在该DPD上的一或多个个人专属特征相关的数据(每个个人专属特征是与托管在该DTPU上的DTP/PDTP相关联)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者注册表包括一或多个元数据表。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，一第一DPD管理者注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DPD管理者中的内存位置的参考)(在其他具体实施例中，该DPD管理者可将该元数据储存在表中，因此不需要该等地址)；

●个人专属特征索引(用于促进参考该DPD上的每个个人专属特征的索引，每个个人专属特征是与托管在该DTPU中的DTP/PDTP相关联)；

●个人专属特征识别符(对支付卡个人专属特征而言，这将是PAN，包括其IIN)；

●每个个人专属特征的支付方案名称(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的核发者名称；

●每个个人专属特征的失效日期；

●每个个人专属特征的昵称；

●有关个人专属特征的PDTP中的每个交易应用程序的CVV(在该个人专属特征用于支付卡或其类似物情况下)；

●每个个人专属特征的标志索引(将在其是该DPD的有效个人专属特征时显示在用于每个个人专属特征的DPD上的标志的参考)；

●该个人专属特征的持有人姓名(对支付卡或其类似物而言，这通常称为持卡人姓名)；

●个人专属特征启用状态，其显示每个个人专属特征的目前状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)；

●默认个人专属特征启用状态，显示在规定情境下针对每个个人专属特征的默认启用状态皆应是什么状态，例如若该个人专属特征启用状态有所失去(此可使用下列代码：0：未针对接触和非接触接口两者默认、1：针对接触接口默认、2：针对非接触接口默认、3：针对接触和非接触接口两者默认)；

●指示每个个人专属特征的启用状态/预设启用状态是否皆已变更的旗标；及

●AID清单的表头(用于与关联该DTP的交易应用程序相关联的一或多个AID的第一AID的地址)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，第二DPD管理者注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DPD管理者中的内存位置的参考)(在其他具体实施例中，该DPD管理者可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，该DPD管理者第一注册元数据表包括有关下列各项的一或多者的多行：

●交易类型列表的表头(用于每个是与用于有关该个人专属特征的交易类型的交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括两或多个交易类型情况下，一进一步MCU注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DPD管理者中的内存位置的参考)(在其他具体实施例中，该DPD管理者可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●该交易类型的名称；

●该交易类型的昵称(这可为显示在该DPD上以指示哪种交易类型对个人专属特征为有效的名称，并亦可于该使用者在不同视需要交易类型之间进行选择的目的而显示在该DPD上)；

●该交易类型的关联(即所关联的交易类型包括：一银行账户，用于不同于该个人专属特征的其他该等交易类型的购买类型；一货币账户，用于不同用于该个人专属特征的其他该等交易类型的货币类型；及其他关联)；

●指示方法(在数字交易期间，必须有用于向处理该交易的银行或其他机构指示正在使用哪种交易类型的构件。该等指示符可包括：一序号(通常用于指示主或副持卡人)，或有关该交易类型的交易应用程序的AID)。

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，在该DPD(及/或DTPU)被配置托管一或多个支付凭证代码个人专属特征(即其中个人专属特征具有一或多个相关联支付凭证代码交易应用程序，且其中每个支付凭证代码交易应用程序具有支付凭证代码识别符(对支付卡个人专属特征而言，这将是支付凭证代码PAN))情况下，该第一DPD管理者注册元数据表包括有关下列各项的一或多者的多行：

●支付凭证代码交易应用程序列表的表头(用于每个是与关联该个人专属特征的支付凭证代码交易应用程序相关联的两或多个AID的第一AID的地址，其中每个交易应用程序皆关联托管在该DTPU上的DTP/PDTP)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在每个个人专属特征包括一或多个支付凭证代码交易应用程序情况下，一进一步DPD管理者注册元数据表包括有关下列各项的一或多者的多行：

●该表中的每个项目的地址(用于指向该DPD管理者中的内存位置的参考)(在其他具体实施例中，该DPD管理者可将该元数据储存在表中，因此不需要该等地址)；

●下一AID的地址；

●该相关联(拥有)个人专属特征的地址；

●指示如何从与个人专属特征(其由该用户为了作为该有效个人专属特征而选择)相关联的该一或多个支付凭证代码交易应用程序选择支付凭证代码交易应用程序的选择方法，该等方法包括：随机或伪随机选择(由该DPD自动实现而无该用户的输入)、顺序选择(其中该DPD自动选择该所选定个人专属特征的列表上的下一支付凭证代码交易应用程序的AID)，以及用户选择(其中该使用者选择将针对启用该所选定个人专属特征而启用的支付凭证代码交易应用程序)。

●该支付凭证代码交易应用程序的名称(这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●该支付凭证代码交易应用程序的昵称(这可为显示在该DPD上以指示哪一者支付凭证代码交易应用程序对个人专属特征为有效的名称，并亦可于该使用者在不同视需要支付凭证代码交易应用程序之间进行选择的目的而显示在该DPD上。这通常在容许该支付凭证代码交易应用程序的用户选择情况下才有意义)；

●接口代码(包括0：无(既不是接触亦不是非接触接口)、1：接触接口、2：非接触接口、3：接触和非接触接口两者)；

●启用状态(此可使用下列代码：0：在所有接口(接触和非接触)上皆停用、1：在接触接口上启用、2：在非接触接口上启用、3：在接触和非接触接口两者上启用)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD管理者包括一DAD应用程序服务器(有时称为一行动应用程序服务器)，用于将各应用程序提供给一DAD(如可管理该DAD通过一DPD的操作的App，其中该DPD将链接该DAD)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DAD应用程序服务器可操作为该DPD管理者网关与该DPD管理者的该等其他组件(例如该DPD内容管理系统、该DPD应用程序管理系统、及该DPD密钥管理者)之间的接口。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该DAD应用程序服务器亦可操作成储存用于安装在该DAD上的DAD应用程序(行动应用程序)的组态档案。

数字交易装置(DTD)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD(通常在此具体实施例中是DTC)可操作成参与进行数字交易所通过的该等DTD是POS终端机或EFTPOS终端机(如澳洲的用词)。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该等DTD是ATM。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该等DTD是可具有DTC读取机的个人计算机。在本发明的又进一步具体实施例中及/或在其相关技术的又进一步具体实施例中，该等DTD是可具有DPD读取机的行动装置(如智能型手机)。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对包括非金融(或非支付)个人专属特征的DPD而言，DTD可包括下列各项的一或多者：一护照读取机、驾照读取机、及一中继代理验证器(Transit agency validator)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，亦调适该DPD可操作成参与进行数字交易所通过的该等DTD，以操作为可为了其间通讯而链接到该DPD的数据辅助装置(DAD)，并在该DPD与该DTD(当用作DAD时)之间提供数据、命令、档案、及其他数字对象和信息。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，在该DPD的DTPU可操作成托管与PDTP及/或支付凭证代码PDTP相关联的一种或多种交易类型情况下，该DPD参与进行数字交易所通过的一些DTD，可操作成显示可用交易类型的列表，即该DPD用户或该DTD的操作者可从其选择，以决定该DTD将针对该数字交易而呼叫与该所选定交易类型相关联的哪些交易应用程序。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，在该DPD的DTPU可操作成托管与PDTP及/或支付凭证代码PDTP相关联的一种或多种交易类型情况下，该DPD参与进行数字交易所通过的一些DTD，可操作成自动选择交易类型。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，向该DTD呈现具备针对每个交易应用程序识别符的优先级指示符的交易应用程序识别符(AID)的候选清单(candidate list)，其中该DTD可操作成选择具备针对该数字交易的最高优先级的交易应用程序识别符。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，在该DPD的DTPU可操作成托管与PDTP及/或支付凭证代码PDTP相关联的一种或多种交易类型情况下，在针对数字交易而向该DTD呈现该DPD之前，在该DPD上或经由该DAD选择该交易类型，在这种情况下，通过通过该等相关一或多个交易应用程序的该等识别符设定的该等选择应用程序，或通过直接选择(其中锁定所有其他交易应用程序)，仅向该DTD提供与该所选定交易类型相关联的该等相关联一或多个交易应用程序。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DPD可操作成参与进行数字交易所通过的该等DTD，可操作成在呈现来自数字交易期间所选定该一或多个选择应用程序的一的该等交易应用程序识别符时，构建交易应用程序识别符的候选列表。

核发者

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，核发者是授权将由DPD提供的支付服务的一方。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，核发者是授权将由该DPD提供的非支付服务的一方，例如护照核发者。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，核发者可为具备银行授权的金融机构或一方。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该核发者授权该供应网络在现用时供应该DPD。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个核发者的至少一核发者授权向使用者核发DPD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个核发者授权核发用于安装在该DPD上的一或多个数字卡或一或多个数字文件。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该核发者向持卡人(或DPD使用者)核发该DPD。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DPD由另一授权提供者(有时称为附加卡核发者或经销者)核发。然而，在本说明书中，该系统将通过初始卡核发者例示。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该供应基础架构可通过多个核发者(例如许多不同银行及/或金融机构的核发者)操作。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该供应网络可与单一核发者相关联。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，核发者将留存权限以通过托管在DPD上的PDTP处理。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该核发者对该DTPU的至少一部分具有安全控制。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，此控制可通过允许该核发者通过具有用于该等SSD的每一者的SSD密钥，对该DTPU中的一或多个SSD具有权限实施。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，核发者可操作成委派权限以通过托管在DPD上的PDTP处理(包括对该DTPU的至少一部分的安全控制)，并通过具有用于该等SSD的每一者的SSD密钥，对该DTPU中的一或多个SSD具有权限。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，此委派是针对TSP。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该核发者亦可具有对用于PDTP的个人专属化的交易密钥的控制(作为该拥有者)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，核发者可具有除了金融以外的主要目的，但关注于向客户核发金融工具(包括信用和转账卡)。举例来说，乘车共享供货商可为核发用于乘车的支付的卡的核发者。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，核发者可为提供非金融文件(如ID、护照、及年龄验证卡)的实体或组织。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，核发者在该供应网络的外部，但与该供应网络进行通讯以提供所需数字对象，例如个人专属化数据及/或个人专属化指令集文文件。

在本发明的进一步具体实施例中及/或在其技术的进一步具体实施例中，核发者包括一TSM和一TSP的一或多者。

安全层级结构

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对该DTPU提供安全层级结构，其中最高权限分配到该核发者安全域(ISD)，且低于该ISD的每个安全域皆称为辅助安全域(SSD)。在该层级中，该等SSD或该等SSD下的该等安全域亦可称为节点。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，DTPU可包括多个安全层级结构。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对该DTPU提供安全层级结构，其中所安装的第一应用程序分配到该核发者安全域(ISD)。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全层级结构中的每个领域是通过密码密钥(在各具体实施例中是对称密钥)确保安全，该密码密钥允许仅由具有(或拥有)相同密码密钥的访问权限的一或多方为了其中操作而存取该安全域。当一方具有对安全域的权限或控制时，这通常意指该方拥有或控制用于该安全域的密码密钥，使该方能够通过该密码密钥加密(或签署)指令集文文件，因此该等经过加密指令集文文件将以该安全域(或直接在该安全域下的任一或多个应用程序)为目标，并对将允许在该安全域下执行操作的SSD进行验证。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，存在该DPD上(或该DTPU上)的每家银行(或金融机构)、或核发机构、或非银行/核发机构(Non-Bank/Issuing Authority，NBIA)第三方在该DTPU安全层级结构中可具有不同SSD。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该安全层级结构被配置允许一或多个第三方(其每个皆非银行或核发机构)个人专属化该DTPU上的应用程序。此第三方可称为非银行/核发机构(NBIA)第三方。

通常，银行或核发机构、或NBIA第三方、SSD将常驻在该ISD下。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每家银行、核发机构、或NBIA可能够在数个不同支付方案或数个不同非支付方案内托管PDTP或交易应用程序。举例来说，「银行A」可能能够使用Visa和Mastercard托管PDTP或交易应用程序，「银行B」可能能够使用Visa、Mastercard、及American Express托管PDTP或交易应用程序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，由银行或核发机构托管的每个支付或非支付方案皆可在其自己分开的SSD下，其中该等支付或非支付方案SSD的每一者皆直接在该银行或核发机构的SSD下。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，在DTPU上可有一用于「银行A」的SSD，且「银行A」的领域包括一在「支付方案A1」(例如Visa)下的「PDTP A1」(例如一信用卡PDTP)；「银行A」的领域亦包括一在「支付方案A2」(例如Mastercard)下的「PDTP A2」(例如一转账卡PDTP)。该DTPU可更包括一用于「银行B」的SSD；且「银行B」的领域包括一在「支付方式B1」(例如American Express)下的「PDTP B1」(例如一信用卡PDTP)；「银行B」的领域亦包括一在「支付方案B2」(例如Visa)下的「PDTP B2」(例如一转账卡PDTP)。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，并非银行的第三方亦可在DTPU上具有SSD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该安全层级结构配置成适合通过TSM操作。在此层级中，有该层级(或子层级)的较低部分，其中在该子层级的顶部的SSD受到核发者及该顶部SSD(每个皆托管PDTP)下方的一或多个较低SSD控制。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个较低SSD皆可用于不同支付方案(例如Mastercard、Visa、American Express)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个DTP/PDTP具有一或多个SSD，该等DTP/PDTP SSD的每一者是与至少一交易应用程序相关联(每个交易应用程序是与该DTP/PDTP相关联)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该安全层级结构配置成适合通过TSP操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，在此层级中，有该层级(或子层级)的较低部分，其中在该子层级的顶部的SSD受到支付方案(例如用于Visa的VTS、用于Mastercard的MDES、或用于American Express的AETS)及该顶部SSD下方的一或多个较低SSD控制。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等较低SSD的每一者皆用于一或多个核发者以托管一或多个PDTP(其中该等SSD可由TSP拥有)，其中每个PDTP皆用于相同支付方案。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个DTP/PDTP具有一或多个SSD，该等DTP/PDTP SSD的每一者是与至少一交易应用程序相关联(每个交易应用程序是与该DTP/PDTP相关联)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该安全层级结构配置成适合通过TSM和TSP两者操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全层级结构包括构成用于如以上所说明TSM和TSP操作两者的子层级。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该安全层级结构包括一锁定SSD，其可操作并用于锁定其下方的所有SSD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该锁定SSD可实施连锁性锁定(Cascade lock)(此可操作成将所有直接和间接相关SSD锁定在该锁定SSD下方)，这是由单一锁定命令引起并具有在个别锁定的锁定SSD下方的该层级中不需要每个SSD的优势。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该安全层级结构包括一应用程序选择模块SSD，其是下方有一或多个选择应用程序的SSD，包括一用于接触数字交易的PSE选择应用程序及一用于非接触数字交易的PPSE选择应用程序的一或两者。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该安全层级结构包括一或多个效用安全域(USD)，并将可理解，在本说明书中使用该用语「USD」表示用于容器的SSD。使用每个USD托管用于支付方案的一或多个容器。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，有三个USD，其中第一USD托管用于Visa的容器、第二USD托管用于Mastercard的ELF，且第三USD托管用于American Express的ELF。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，配置该安全层级结构中的安全域(在ISD、USD、或SSD下)以使其密钥仅存取该ISD、USD、或SSD的立即安全域。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，被配置该安全域以使其密钥存取该立即安全域下的所有安全域。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，银行或核发机构(例如核发该DPD的银行或核发机构)将管理用于DTPU的ISD(包括通过该ISD持有和操作)。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，可委任第三方管理代理(与核发该DPD的银行或核发机构分开)管理用于DTPU的ISD(包括通过该ISD持有和操作)。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，银行或核发机构及第三方管理代理可管理用于DTPU的ISD。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DTPU具有作为用于银行或其他类型的核发机构的领域的一SSD。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该DTPU具有作为用于不同银行或其他类型的核发机构的领域的复数个SSD。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，该一或复数个SSD的至少一SSD托管至少一PDTP或至少一交易应用程序。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，尽管用于银行或其他类型的核发机构的SSD可安装在该DTPU上，但该特定SSD可能未托管任何DTP/PDTP或交易应用程序。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，每个DTP/PDTP是与支付方案相关联。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，在用于银行或其他类型的核发机构的特定SSD下，仅允许用于每个支付方案的一DTP/PDTP或一交易应用程序。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，在用于银行或其他类型的核发机构的特定SSD下，允许用于每个支付方案的一个以上的DTP/PDTP或一个以上的交易应用程序。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DTPU可操作成已在其上安装用于不同银行或其他类型的核发机构的复数个SSD，但该DTPU限于允许DTP/PDTP或托管在其上的交易应用程序将仅与一种支付方案相关联。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，该DTPU限于允许DTP/PDTP或托管在其上的交易应用程序将仅与有限范围的支付方案相关联。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DTPU可操作成在那些SSD下托管用于不同银行或其他类型的核发机构的多种SSD、多种PDTP、或交易应用程序(有时用于多种支付方案)，其中一些PDTP或交易应用程序具有相关联支付凭证代码PDTP或支付凭证代码交易应用程序，且该等PDTP或交易应用程序的一些没有相关联支付凭证代码PDTP或支付凭证代码交易应用程序，其中一些PDTP或交易应用程序及/或一些支付凭证代码PDTP或支付凭证代码交易应用程序具有相关联多种交易类型，且一些PDTP或交易应用程序及/或一些支付凭证代码PDTP或支付凭证代码交易应用程序没有相关联交易类型，其中每个PDTP或交易应用程序、支付凭证代码PDTP或支付凭证代码交易应用程序、及/或交易类型具有一或多个相关联交易应用程序，且其中该一或多个相关联交易应用程序包括一单一双重接触/非接触接口交易应用程序，两交易应用程序的每一者具有接触或非接触接口，或双重接口和单一接口交易应用程序的混合。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DTPU托管一些或所有该等多种银行/核发机构SSD、PDTP、或交易应用程序、支付凭证代码PDTP或支付凭证代码交易应用程序、交易类型、及交易应用程序。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DTPU仅托管单一银行/核发机构SSD，其中单一PDTP具有一或多个相关联交易应用程序或单一交易应用程序。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU可操作成仅托管以上所提到有限范围的该等多种银行/核发机构SSD、个人专属特征、支付凭证代码PDTP或支付凭证代码交易应用程序、交易类型、及交易应用程序。

控制机构安全域(CASD)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU包括一领域，其称为一控制机构安全域(CASD)。CASD是通常在UICC或eSE芯片上的行动装置应用程序中可用的附加安全域。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该CASD用于促成在该DPD管理者与其他方(如核发者或NBIA)之间的信赖。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DPD管理者可操作用于安装SSD并实例化那些SSD下的交易应用程序，在这种情况下，该DPD管理者具有对用于其已安装的每个SSD的密码密钥的控制。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者将对该等安全域的一者的控制传递给另一方(如核发者或NBIA)，因此另一方可在该安全域中的该一或多个交易应用程序上进行操作，但所需并非该DPD管理者直接将用于该SSD的密码密钥提供给另一方。受到相互信赖第三方控制的CASD可操作成协助在该SSD上进行密钥旋转，以使对该SSD的控制传递给另一方，其中该SSD现在受到另一方的密码密钥控制，而潜在尚未向该DPD管理者显露此密钥。然后，另一方能够通过其密码密钥对该SSD进行验证，以使其可在该安全域中的该一或多个交易应用程序上进行操作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，另一方可个人专属化该一或多个交易应用程序。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该CASD提供给用作该DTPU的「金融」(Finance)核准芯片(如通常在信用和转账卡中所使用)。将明白，由于先前未对此「金融」芯片提供下列各项的一或多者，因此其尚未需要CASD：来自供应代理的新的个人专属特征、新DTP/PDTP、或新交易应用程序。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU是UICC/eSE类型芯片，其中调适该DTC(或更普遍，适当处是该DPD)以允许该UICC类型芯片操作用于接触和非接触交易两者，且其中该DTPU已安装CASD。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该CASD在由芯片制造商或供货商核发时在DTPU上。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，CASD可在其远离供应代理或供应网络时提供给该DTPU。

密码密钥

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，安全层级结构中的每个安全域(例如包括ISD或SSD安全域)具有相关联密码密钥或密钥集，有时简称为密钥或密钥集。若操作将在特定安全域下进行，则需要密码密钥以产生用于加密指令集文文件或命令的对话密钥，以使该指令集文文件或命令能够对该安全域的SSD进行验证。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，配置一或多个安全域以使其密钥仅存取该SSD的直接相关联应用程序，或可被配置以使其密钥存取该立即SSD下的SSD的所有安全域。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在安全层级结构中，可能有数个不同类型的领域，包括ISD、SSD、CASS、及USD(其所有是具备设定成为其提供某些特权的旗标的SSD)。

交易密钥

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在通过DTD的交易中，当参与通过该DTD的数字交易时，在该DTPU与该核发银行之间需要安全。部分地，该安全由包括在DTP的个人专属化(以成为PDTP)中的密码密钥提供。该交易密钥通常由该PDTP的核发者(其可为银行或其他此机构)拥有且仅对其而言已知。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，使用用于PDTP(或用于与该PDTP相关联的该等交易应用程序任一者)的交易密钥及用于该DPD(或其上的DTPU)与DTD的间的每个数字交易的其他输入产生交易对话密钥。

交易应用程序

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可操作用于支付数字交易。用于支付交易的交易应用程序可称为支付应用程序。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DPD可操作用于非支付数字交易(如识别交易)，其中该DPD可采用护照或驾照的个人专属特征。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个交易应用程序具有交易应用程序识别符。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该交易应用程序识别符是应用程序ID(AID)。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，例如在JavaCard上(或在使用JavaCard或类似JavaCard技术的DPD上)，交易应用程序在该DTPU上实施为Java小程序，且这些有时称为交易app、支付app、或简称为app。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个交易应用程序皆在该DTPU上实例化，并在个人专属化时包括数据，例如该交易应用程序相关联所通过的PDTP的PAN。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该个人专属特征的PAN和其他数据位于亦与该个人专属特征相关联的另一应用程序中。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该个人专属特征的PAN和其他数据位于该DTPU的另一内存区域(对其该交易应用程序具有读取该PAN访问权限)中。该个人专属特征的其他数据可包括该个人专属特征的失效日期、用于该个人专属特征的拥有者的姓名(持卡人的姓名)、及该个人专属特征的支付凭证代码PAN。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD管理者可操作成将指令集文文件提供给该DTPU以供实例化该DTPU上的交易应用程序。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，其他供应代理(如TSM和TSP)可操作成将指令集文文件提供给该DTPU以供个人专属化交易应用程序。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DTP具有一或多个相关联交易应用程序。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该一或多个交易应用程序与该DTP相关联(假设该一或多个交易应用程序尚未个人专属化)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，PDTP具有一或多个相关联交易应用程序。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该一或多个交易应用程序在该一或多个交易应用程序的个人专属化之后与该PDTP相关联。

交易接口

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，交易应用程序可具有一或多个界面，其有时称为数字交易接口或数字交易信道。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，提供具有用于接触和非接触交易两者的双重接口的单一交易应用程序，因此对用于接触交易应用程序识别的PSE(接触选择应用程序)及用于非接触交易应用程序识别的PPSE(非接触选择应用程序)的应用程序选择模块供给相同AID。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，提供两交易应用程序，一是具备接触交易接口的接触交易应用程序，且另一是具备非接触交易接口的非接触交易应用程序。在此实施中，对用于该PSE及用于该PPSE的应用程序选择模块供给不同AID。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，可能提供双重接触/非接触接口交易应用程序两者，且该等两交易应用程序的每一者具有单一接触或非接触接口。

数字交易

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，数字交易在交易网络中的DPD的DTPU与DTD之间发生。在多个具体实施例中，该DPD的数字交易受到针对该DTPU与该DTD之间的数据传输和安全的EMVCo标准规范。尽管本发明(及其相关创造性技术)设想为了金融和非金融两者目的的数字交易，但大部分说明和具体实施例皆针对金融数字交易(有时称为支付交易或简称为支付)。

交易类型

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个PDTP/个人专属特征皆可具有与其相关联的一种或多种交易类型(或数字交易类型)。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，交易类型可为帐户，且若PDTP/个人专属特征具有两种相关联交易类型，则一种交易类型可为用于美元(USD)货币交易的帐户，且另一交易类型可为欧元(Euro)货币账户。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，卡用户能够选择在数字交易期间哪种交易类型将用于该PDTP/个人专属特征，并可例如在链接到相同PDTP/个人专属特征(或链接到相同主识别符或PAN)的不同货币账户之中进行选择。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，与单一PDTP/个人专属特征相关联的不同交易类型亦可包括用于相同帐户的交易类型，但具备注册用于帐户记录或对账单(Statement)的不同信息。

在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每种交易类型是与PDTP的一交易应用程序相关联。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，与交易类型相关联的每个交易应用程序皆将通过数据个人专属化，使该相关联交易将以数字交易操作成将该数字交易与该交易类型相关联。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，可与单一PDTP/个人专属特征相关联的不同交易类型的范例包括：

●两或多个不同货币账户；

●不同家庭成员(伴侣、孩子、兄弟姊妹、父母等)的多个账户；

●企业中的不同支出类别的多个账户(或可为在账户对账单中具备不同注册的相同账户)；

●企业/个人支出(可为相同账户，但不同注册在账户对账单上)；

●多个忠诚奖励方案的不同交易类型(亦许每个皆链接到相同账户)。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，卡使用者(或DPD用户)能够选择在数字交易期间哪种交易类型将用于该PDTP/个人专属特征，并可例如在链接到相同个人专属特征(或链接到用于该相关联PDPD中的该等交易应用程序的每一者的相同主识别符或PAN)的不同货币账户之中进行选择。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DPD可操作成自动选择哪种交易类型用于该DPD的目前操作个人专属特征。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD使用者将该DPD编程为无论选择哪一者个人专属特征作为该DPD的可操作个人专属特征皆始终使用美国(US)货币账户，只要美国货币账户对该所选定操作个人专属特征而言是可用交易类型选项。针对该自动交易类型选择的编程可在该DAD为了其间通讯而链接到该DPD时，通过该DPD用户接口或通过DAD用户接口实现。在针对此具体实施例的又一使用范例中，该DPD用户可能正在欧洲旅行并可将该DPD编程为使用欧元帐户交易类型(或支付类型)，其中此交易类型可用于该所选定个人专属特征。在一些此具体实施例中及在用于个人专属特征的特定货币帐户交易类型较佳但不可用的情境下，该DPD可操作成默认为所选定默认交易类型。

数字交易包(DIGITAL TRANSACTION PACKAGE，DTP)/个人专属化数字交易包(PDTP)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，数字交易包(DTP)是一或多个交易应用程序的分组，每个交易应用程序具有用于参与通过交易网络中的DTD的数字交易的接触和非接触接口或两者。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DTP使用容器在DTPU上实例化，并引入该DTPU的安全层级结构中别处的SSD。一旦引入其目标SSD，该DTP随后就个人专属化以成为个人专属化DTP(PDTP)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTP所引入的SSD在建立和引渡该DTP之前，安装在该安全层级结构中的所选定位置上的DTPU上。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该SSD通过由该DPD管理者提供给该DTPU的一或多个指令集文文件建立。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DTP通过参考用于特定支付方案的容器在该DTPU上建立，该特定支付方案提供用于与该DTP相关联的该一或多个交易应用程序的功能的链接库，以在用于交易的DTPU上操作。举例来说，用于Visa信用卡的DTP通过将各命令的指令集文文件传送到用于该Visa信用卡的ELF(容器)在该DTPU上建立，其中该容器建立与该DTPU的内存的一部分中的DTP相关联的该一或多个交易应用程序。在此阶段，该DTP尚未个人专属化，因此其一或多个相关联交易应用程序没有相关联主识别符(PAN)、失效日期、交易密钥、及其他个人专属化数据的任一或多者，但该DTP仅具有该一或多个相关联交易应用程序和交易接口，其皆尚未个人专属化。

在本说明书中，除非另外指示或在该上下文需要或有益情况下，否则DTP仅包括该等交易应用程序及/或相关联支付界面。DTP不包括个人专属化数据，其与该指定卡相关联。举例来说，用于信用卡的DTP不包括该PAN、持卡人姓名、失效日期、及其他个人专属化数据。DTP可能个人专属化以成为个人专属化数字交易包(PDTP)，在这种情况下，个人专属化数据提供给该DTP或通过其提供。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，个人专属化资料写入该DTP以成为PDTP。在一些具体实施例中，个人专属化数据提供给该DTPU(在其上DTP以指令集文文件的形式安装)，以使该DTPU可将该DTP变换成PDTP。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DTP/PDTP可操作用于接触和非接触交易两者(或具有可操作用于接触及/或非接触交易两者的一或多个相关联交易应用程序)。在其他具体实施例中，DTP/PDTP可仅可操作用于接触或非接触交易之一(或具有可操作用于仅接触或非接触交易的一或多个相关联交易应用程序)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，一些DTP/PDTP适合支付交易，且一些适合非支付交易，例如安全储存和展示(或安全展示)个人ID、年龄验证、及其他非支付功能。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，可建立该DTP/PDTP的该等指令集文文件亦可能通过其他DPD档案和数据(包括元数据)提供给该DPD，包括：

●可提供用于与该DTP/PDTP(将显示在该DPD的图形用户界面上)相关联的支付方案的标志或标记的档案；

●包含与该一或多个交易应用程序(其提供给用于更新该应用程序选择模块的DTPU)相关联的一或多个AID的档案，在将该DTPU(或该DPD)的操作个人专属特征变更成与该PDTP相关联者时包括该等PSE和PPSE选择应用程序。在替代性多个具体实施例中，可连同一或多个经过修改应用程序选择模块档案(包括用于对其提供该DTP/PDTP的该一或多个交易应用程序的AID)提供该DTP/PDTP，其中该经过修改应用程序选择模块档案安装到该DTPU上，以覆写或替代该等先前所安装的经过修改应用程序选择模块档案；

●包含用于在该PDTP是用于该DTPU的操作PDTP时显示在该图形用户界面上的PDTP的PAN的档案，与该DPD的操作个人专属特征(有时称为元数据)相关联。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个PDTP是个人专属特征的方面，该PDTP安装在该DTPU上，且个人专属特征的其他方面是与该PDTP相关联的元数据。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，与该PDTP相关联并构成该个人专属特征的元数据由以下任一者或多者储存：该DPD、该DAD、及该DPD管理者。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，与该PDTP相关联并构成该个人专属特征的元数据由以下任一者或多者储存：TSM、TSP、及核发者。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，若该支付方案在该DTPU上没有容器，或是若对该DTPU上的现有支付方案而言需要替代容器，则可对该DTPU提供用于新支付方案的容器。若将新支付方案容器加载该DTPU上，则建立新USD安全域且该新容器加载(或安装)其中。在多个具体实施例中，可建立该USD的该(等)指令集文文件可由一方(如该DPD管理者)提供，且可在该USD下建立该容器的该(等)指令集文文件可由该支付方案或该DPD管理者提供。在一些此具体实施例中，用于该USD的密钥旋转可在该容器通过该支付方案安装在该USD中之前需要。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，每个DTP/PDTP是与分开的安全域相关联。在此具体实施例中，用于该DTP/PDTP或与其相关联的所有命令(作为APDU)必须对该DTP/PDTP的安全域进行验证。通常，该安全域是SSD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DTP/PDTP的SSD可将接触和非接触实例(应用程序)托管在一起或将其保存在分开的子安全域(子SSD)中。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，与DTP/PDTP相关联(如与该DPD的个人专属特征相关联)的安全域可通过将用于该安全域的密钥集(密码密钥集，例如用于OTA通讯的SCP02密钥集或用于OTI通讯的SCP80/81)代换为新密钥集重新个人专属化。在此具体实施例中，且特别是在该等实例(应用程序)在分开的子域中情况下，变更该密钥集将不会影响关联该安全域的该等ELF(容器)或应用程序/实例。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，DTP/PDTP具有复数个相关联交易应用程序，其中该等复数个交易应用程序的一或多个用于第一交易类型，且该等复数个交易应用程序的一或多个用于第二交易类型。在此具体实施例中，该第一交易类型用于与该PDTP的PAN相关联的第一账户，且该第二交易类型用于与该PDTP的PAN相关联的第二账户。在多个具体实施例中，在个人专属化中，与该第一交易类型相关联的该一或多个交易应用程序通过包括一第一序号的数据个人专属化，且与该第二交易类型相关联的该一或多个交易应用程序通过包括一第二序号的数据个人专属化。

在此具体实施例的范例使用中，DPD用户可能从安装在该DPD的DTPU上的数个可选择PDTP之中选择具备不同交易类型交易应用程序的PDTP，然后该DPD使用者可能从用于该PDTP的数个可选择账户之中选择用于该PDTP的账户，该DPD的MCU请求来自该OSE的该等指令集文文件以(通过以该锁定SSD为目标)将所有PDTP锁定(或将与其相关联的所有该等交易应用程序锁定)在该DTPD中。然后，该MCU请求仅以与该所选定交易类型(所选定帐户)相关联的所选定PDTP中的该一或多个交易应用程序为目标的解锁指令集文文件，该MCU将该解锁指令集文文件传送到该DTPU以供执行。在一些此具体实施例中，该解锁指令集文文件以该应用程序选择模块为目标(通过以该应用程序选择模块中的该等PSE或PPSE选择应用程序之一为目标)，以首先更新该应用程序选择模块的注册表以包括将解锁的该一或多个交易应用程序的该(等)AID，然后该应用程序选择模块以将解锁的该一或多个交易应用程序为目标(在一些情境下，该等针对性交易应用程序的SSD可在该等交易应用程序以将锁定或解锁为目标时维持锁定)。然后，可为了数字交易而通过接触(引入)或非接触(摆动或轻点)向DTD呈现该DPD。该应用程序选择模块将对该DTD提供该等AID(在候选清单中)，且该等解锁交易应用程序将可用于通过该DTD的数字交易(若该DTD参与直接选择，而非使用该PSE进行接触交易，则非所选定交易应用程序的锁定很重要)。在此数字交易期间，该交易应用程序将该PAN和该序号(及其他信息)提供给该DTD，其中该所提供序号允许该核发者(如银行)以该所需相关联用于转账的PAN的该一或多个帐户之一为目标。

个人专属特征

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，个人专属特征包括一PDTP(托管在该DTPU上)，连同与该PDTP相关联的元数据。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该元数据由以下任一者或多者托管：该DPD(例如在该MCU上)、该DAD、及该DPD管理者。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，个人专属特征或数字交易个人专属特征包括PDTP的外观和操作的各方面(如该PDTP的使用者所观察到)。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该个人专属特征亦与持卡人姓名、失效日期、CVV、及各种其他数据相关联，然而，在多个具体实施例中，每个个人专属特征的主要关联是其PAN或其独特识别符(对PAN而言，每个核发者具有该等前六个PAN位数的不同组合，且每个持卡人账号(该等PAN位数的其余部分)皆不同)。对支付交易个人专属特征(如信用或转账卡)而言，该PAN始终是数字。其他类型的交易卡或文件(如护照、驾照、及年龄证明卡)可具有文数字的特别识别符。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，DTPU可具有一或多个个人专属特征(PDTP)，其中每个个人专属特征是与至少一PAN或另一独特识别符相关联。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个个人专属特征(或相关联DTP/PDTP)是与一或多个交易应用程序相关联。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可同时具有一个以上的有效个人专属特征。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD具有有效金融个人专属特征(例如信用卡)及有效非金融个人专属特征(如驾照)。这两不同类型的个人专属特征在与该等个人专属特征相关联的DTPU上具有不同交易应用程序，且该等不同交易应用程序可通过不同类型的DTD操作。因此，该等个人专属特征在该DPD(和该DTPU)两者上皆有效时，将在用于该等不同DTD时没有冲突。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，在该DPD上同时可有两金融个人专属特征有效，然而，一个人专属特征将受限于仅接触交易，且另一个人专属特征将受限于仅非接触交易，若非如此则该等两金融个人专属特征将在该DTD性能上造成冲突。

支付凭证代码PDTP

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个PDTP可与一或多个支付凭证代码交易应用程序相关联，其中用于每个相关联交易应用程序的主识别符具有不同支付凭证代码值(对金融PDTP而言，该主识别符是PAN)。在使用符记PDTP情况下，为了强化安全，该DPD的图形显示可仅显示用于该符记PDTP的PAN，但未显示该PDTP的主PAN。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，当通过个人专属化与该DTP相关联的该一或多个交易应用程序的每一者个人专属化DTP时，该一或多个交易应用程序的每一者是通过与该一主识别符相关联的不同支付凭证代码识别符个人专属化。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，具备相关联支付凭证代码交易应用程序的支付凭证代码PDTP可能为了强化安全而提供，因为该PDTP的实际主识别符(或PAN)未为了交易而显露，而是使用该支付凭证代码主识别符。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该DPD的图形显示(在视需要具有图形显示器情况下)可仅显示用于该解锁支付凭证代码交易应用程序的支付凭证代码主识别符(或PAN)，但未显示该解锁交易应用程序的主识别符(或主PAN)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，使用与个人专属特征相关联的支付凭证代码PDTP的该一或多个支付凭证代码交易应用程序的一者进行数字交易，而不是该未支付凭证代码交易应用程序。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在一或多个支付凭证代码交易应用程序可用(每个支付凭证代码交易应用程序是与一或多个支付凭证代码PDTP的一相关联，且每个支付凭证代码PDTP是与个人专属特征或支付凭证代码个人专属特征相关联)情况下，该DPD可操作以供DPD使用者(有时称为DPD持有者、DTC使用者、或持卡人)从支付凭证代码交易应用程序进行选择，且未支付凭证代码交易应用程序用于数字交易。在本发明的进一步各具体实施例中及/或在其相关技术的进一步多个具体实施例中，该DPD可操作以供DPD用户选择用于数字交易的复数个支付凭证代码交易应用程序的一者。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DPD被配置使用支付凭证代码交易应用程序，其中至少一可用支付凭证代码交易应用程序用于与该DPD的操作个人专属特征相关联的有效PDTP。在本发明的进一步各具体实施例中及/或在其相关技术的进一步多个具体实施例中，若有用于与该DPD的操作个人专属特征相关联的有效PDTP的可用支付凭证代码交易应用程序的范围，则该DPD被配置自动选择该等支付凭证代码交易应用程序的一者。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该自动选择从该范围随机或伪随机。在其他此具体实施例中，该选择基于该范围内的该等支付凭证代码交易应用程序的默认顺序。

尽管可在一些具体实施例中使用支付凭证代码服务商(TSP)将一或多个DTP/PDTP(每个PDTP是与该DPD的个人专属特征相关联)供应到该DTPU，但应注意，此供应可能只能使用如该TSP所提供用于每个PDTP的单一PAN(即用于个人专属化与该DTP/PDTP相关联的一或多个交易应用程序的单一PAN)，而非与PDTP的主PAN相关的复数个支付凭证代码PAN。

应用程序选择模块和选择应用程序

当为了数字交易而向DTD提供DPD时，必须决定将使用可能多个PDTP的哪一者及/或有关该一PDTP的该等交易应用程序的哪一者以实现该支付交易。世界不同地区的不同DTD将可能通过不同支付网络(交易供货商)操作，因此可具有数个所安装PDTP(具备与每个PDTP皆相关联的一或多个交易应用程序)的DTPU可通过仅该等数个交易应用程序的子集实现该交易。用于在DPD上选择能够通过该DTD可用的支付网络实现支付交易的该一或多个支付应用程序的程序称为应用程序选择。每个交易供货商是远离该DTD的代理，并皆能够为了将实现的交易而造成所需动作。针对支付DTC与支付DTD之间的支付交易，可通过该DTD操作的每个交易供货商是支付网络，并能够授权从该持卡人的账户到该DTD的拥有者的账户的支付。

应用选择可以三种方式之一发生：直接选择、通过该支付系统环境(PSE)进行选择、或通过该近距离支付系统环境(PPSE)进行选择。采用直接选择和PSE进行通过DTD的接触数字交易。采用PPSE进行非接触数字交易。

在直接选择中，该DTD直接讯问该SE/EMV+GP芯片以找出用于该等支付应用程序的该等独特AID。然后，该DTD将决定其能够操作该等可用应用程序的哪一者(如有)，以通过该DTD可用的支付网络实现支付交易。此程序可具有一些不确定性，因为DTD以不同方式操作。该DTD可能简单选择其可操作或可能浏览该SE/EMV+GP芯片上的所有该等可用AID所通过的第一AID。该DTC无法控制该直接选择程序。

PSE藉助具有相关联独特AID并可称为选择应用程序、PSE选择应用程序、或PSE应用程序的应用程序操作。该PSE方法对用于接触交易的DTC和DTD两者而言皆视需要而定，其中直接选择是后降(fall-back)选项。依该地区、该网络、建置和配置、或该DTD的供货商而定，使用PSE或直接选择方法。针对具有单一个人专属特征的标准信用或转账卡，该PSE应用程序选择方法如下操作：

●该DTD选择该PSE；

●该PSE所传回的档案控制信息(File Control Information，FCI)包含该支付系统目录的AID；

●该DTD选择该支付系统目录ADF；

●针对该ADF中的每个记录，该DTD读取该支付应用程序AID；

●若该AID符合其能够进行交易的支付应用程序的DTD列表上的AID(或更可能RID)，则该AID输入到该DTD所建立的候选清单上；

●在处理最后记录之后，该DTD基于该PSE所保存的优先级选择支付应用程序AID；

●然后，该DTD使用该所选定支付应用程序处理该支付交易。

对PSE而言，若该候选清单(有时称为PSE清单)上的AID不符合该DTD被配置操作的AID，则该DTD能够还原成直接选择。

PPSE亦藉助具备独特AID的应用程序操作。该PPSE方法对用于非接触交易的DTC和DTD两者而言皆必备。与PSE不同，该PPSE应用程序在其FCI中返回可用支付应用程序AID的列表。针对具有单一个人专属特征的标准信用或转账卡，该PPSE应用程序选择方法如下操作：

●该DTD选择该PPSE；

●所传回的PPSE FCI具有AID和元信息(例如支付应用程序优先级)的列表，以供通过该DTD进行选择；

●若该AID符合其能够进行交易所通过的DTD的支付应用程序列表上的AID，则该AID输入到该DTD所建立的候选清单上；

●在处理最后记录之后，该DTD基于该PPSE FCI中的优先级选择支付应用程序AID；

●然后，该DTD使用该所选定支付应用程序处理该支付交易。

该SE/EMV+GP芯片上的PSE应用程序和PPSE应用程序静态，因为用于这些选择应用程序的AID列表(通常在传统支付卡的个人专属化期间填充)在该DTC的可操作寿命内未变更。此外，调适传统PSE和PPSE应用程序，以通过具有安装在其上的单一个人专属特征的SE/EMV+GP芯片作用。在行动支付装置(如智能型手机(在eSE上))上实施PPSE与在DTC上实施用于SE/EMV+GP的PPSE不同。在行动装置上，PPSE动态调适该装置上的该等个人专属特征上的变更，然而DTC上的PPSE无需调适此变更，因为通过传统DTC，该等个人专属特征在向持卡人核发该DTC之后仍然维持固定。

在以下所讨论该等选择应用程序具体实施例的一些中，在该一或多个选择应用程序中所设定的该一或多个交易应用程序识别符，将理解为是一或多个解锁交易应用程序的识别符(与该DTPU的有效(或启用)PDTP相关联，该DTPU与所选定作为该DPD的可操作个人专属特征的DPD的个人专属特征相关联)。在以下所讨论的一些其他具体实施例选择应用程序具体实施例中，在该一或多个选择应用程序中所设定的该一或多个交易应用程序识别符，将理解为是一或多个解锁支付凭证代码交易应用程序的识别符(与该DTPU的有效(或启用)支付凭证代码PDTP相关联，该DTPU与所选定作为该DPD的可操作个人专属特征的DPD的个人专属特征(或支付凭证代码个人专属特征)相关联)。在以下所讨论的一些其他具体实施例选择应用程序具体实施例中，在该一或多个选择应用程序中所设定的该一或多个交易应用程序识别符，将理解为是与所选定交易类型自身相关联的一或多个交易应用程序的识别符(与该DTPU的有效(或启用)PDTP相关联，该DTPU与所选定作为该DPD的可操作个人专属特征的DPD的个人专属特征相关联)。在以下所讨论的一些其他应用程序选择模块具体实施例中，在该一或多个选择应用程序中所设定的该一或多个交易应用程序识别符，将理解为是与所选定交易类型自身相关联的一或多个支付凭证代码交易应用程序的识别符(与该DTPU的有效(或启用)支付凭证代码PDTP相关联，该DTPU与所选定作为该DPD的可操作个人专属特征的DPD的个人专属特征(或支付凭证代码个人专属特征)相关联)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU包括一应用程序选择模块，其中该应用程序选择模块包括一用于接触数字交易(PSE应用程序)的选择应用程序及一用于非接触数字交易(PPSE应用程序)的选择应用程序的一或两者。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该应用程序选择模块可操作成通过一或多个交易应用程序识别符设定。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该交易应用程序识别符是应用程序ID(AID)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，当选择个人专属特征作为该DPD的有效个人专属特征时，该应用程序选择模块通过与该PDTP(与所选定作为该有效个人专属特征的个人专属特征相关联)的该等交易应用程序相关联的一或多个交易应用程序识别符设定。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，个人专属特征的PDTP具有单一相关联交易应用程序(具备双重接触/非接触界面)，且该单一相关联交易应用程序具有识别符(其在一些具体实施例中是AID)。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该PSE和该PPSE选择应用程序的每一者是通过相同识别符设定。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，PDTP具有两相关联交易应用程序，一具备接触接口且另一具备非接触接口，且该等相关联交易应用程序具有彼此不同的交易应用程序识别符。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该PSE选择应用程序通过具有该接触接口的交易应用程序的识别符设定，且该PPSE选择应用程序通过具有该非接触接口的交易应用程序的识别符设定。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，在支付凭证代码PDTP包括一或多个支付凭证代码交易应用程序情况下，且在选择该PDTP作为该DTPU上的有效PDTP(或作为该等有效PDTP的一者)时选择该等支付凭证代码交易应用程序的一者作为该解锁交易应用程序情况下，且在该解锁交易应用程序是用于接触和非接触交易两者的双重接口情况下，将用于该解锁交易应用程序的交易应用程序识别符(AID)提供给该应用程序选择模块，以通过相同交易应用程序识别符设定该接触选择应用程序和该非接触选择应用程序两者。

在本发明的又其他具体实施例中及/或在其相关技术的其他具体实施例中，在支付凭证代码PDTP包括两或多个支付凭证代码交易应用程序情况下，且在选择该PDTP作为该DTPU上的有效PDTP(或作为该等有效PDTP的一者)时选择该等支付凭证代码交易应用程序(每一者具有相同支付凭证代码PAN)的两者作为该等解锁交易应用程序情况下，且在该等解锁交易应用程序的每一者具有接触接口和非接触接口之一情况下，将用于该解锁交易应用程序的每一者的该等交易应用程序识别符(AID)提供给该应用程序选择模块，以通过用于该等两解锁支付凭证代码交易应用程序的各自交易应用程序识别符，设定该接触选择应用程序和该非接触选择应用程序的每一者。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，在PDTP包括两或多个交易类型交易应用程序情况下，且在选择该PDTP作为该DTPU上的有效PDTP(或作为该等有效PDTP的一者)时选择该等交易类型交易应用程序的一者作为该解锁交易应用程序情况下，且在该解锁交易应用程序是用于接触和非接触交易两者的双重接口情况下，将用于该解锁交易应用程序的交易应用程序识别符(AID)提供给该应用程序选择模块，以通过相同交易应用程序识别符设定该接触选择应用程序和该非接触选择应用程序两者。

在本发明的又其他具体实施例中及/或在其相关技术的其他具体实施例中，在PDTP包括两或多个交易类型交易应用程序情况下，且在选择该PDTP作为该DTPU上的有效PDTP(或作为该等有效PDTP的一者)时选择该等交易应用程序(每个具有相同交易类型识别符)的二作为该等解锁交易应用程序情况下，且在该等解锁交易应用程序的每一者具有接触接口和非接触接口之一情况下，将用于该解锁交易应用程序的每一者的该等交易应用程序识别符(AID)提供给该应用程序选择模块，以通过用于该等两解锁支付凭证代码交易应用程序的各自交易应用程序识别符，设定该接触选择应用程序和该非接触选择应用程序的每一者。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU在那些SSD下托管用于不同银行或其他类型的核发机构的多种SSD、多种PDTP(有时用于多种支付方案)，其中一些PDTP具有相关联支付凭证代码交易应用程序(支付凭证代码PDTP)，且一些PDTP没有相关联支付凭证代码交易应用程序，其中一些PDTP及/或一些支付凭证代码PDTP具有相关联多种交易类型，且一些PDTP及/或一些支付凭证代码PDTP没有相关联交易类型，其中每个PDTP、支付凭证代码PDTP、及/或交易类型PDTP具有一或多个相关联交易应用程序，且其中该一或多个相关联交易应用程序包括双重接触/非接触接口交易应用程序，两交易应用程序的每一者具有接触或非接触接口，或双重接口和单一接口交易应用程序的混合。在此具体实施例中，如何设定用于该一或多个选择应用程序的该(等)交易应用程序识别符，将依该所选定PDTP、支付凭证代码PDTP、或交易类型PDTP是否与单一双重接口交易应用程序或两单一接口交易应用程序相关联而定。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该一或多个选择应用程序通过将与所选定操作PDTP、支付凭证代码PDTP、及/或交易类型PDTP(与该DPD的操作个人专属特征相关联)相关联的一或多个交易应用程序的该(等)交易应用程序识别符置于该应用程序选择模块的注册表中，通过识别符设定。在一些此具体实施例中，该等选择应用程序的至少一者可操作成在该交易应用程序识别符置于该应用程序选择模块注册表中时，自动设定其交易应用程序识别符。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该等选择应用程序的至少一者使其识别符在该识别符置于该注册表中时设定，并对该选择应用程序提供命令以从该注册表取回该识别符。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该命令提供为从该MCU递送的指令集文文件或命令。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该PPSE选择应用程序在该交易应用程序识别符置于该注册表中时自动设定其交易应用程序识别符，然后PSE选择应用程序使其交易应用程序识别符在该交易应用程序识别符置于该注册表中时设定，并对该PSE选择应用程序提供命令以从该注册表取回该交易应用程序识别符。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该一或多个选择应用程序通过将该(等)识别符作为参数传递到该一或多个选择应用程序，通过交易应用程序识别符设定，其中该一或多个选择应用程序的每一者可操作成通过该所传递交易应用程序识别符参数重新设定其本身。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，在有每个是与个人专属特征、支付凭证代码PDTP、及/或交易类型PDTP相关联的相同种类(双重接口接触和非接触，或单一接口接触或非接触)的复数个交易应用程序，且相同种类的该等交易应用程序的每一者具有具备优先级指示符的不同交易应用程序识别符(在一些具体实施例中是AID)情况下，该一或多个选择应用程序可操作成将通过相同种类的该等交易应用程序的该等复数个交易应用程序识别符设定，并将通过该等相关优先级指示符设定。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在数字交易期间呼叫该一或多个选择应用程序，并使用在该一或多个选择应用程序的每一者中皆设定的交易应用程序识别符构建交易应用程序识别符的候选列表。该候选列表在数字交易中由DTD使用，以决定该DTD能够通过托管在该DTPU上的该等交易应用程序的哪一者操作，以实现该数字交易。在选择应用程序提供多个交易应用程序识别符(每个皆用于不同交易应用程序)的多个具体实施例中，该候选清单可包括该选择应用程序所提供的优先级指示符，其协助该DTD决定将针对数字交易，在该候选列表中所识别的该等交易应用程序的哪一者最好由该DTD呼叫。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTD可操作成构建交易应用程序识别符(在一些具体实施例中是AID)的候选列表，其在数字交易期间传递到DTD，以使该DTD能够决定其能够进行数字交易所通过的DPD上的解锁交易应用程序的身份。在一些此具体实施例中，该候选清单在DPD用户选择新个人专属特征(包括选择与该个人专属特征的PDTP相关联的一支付凭证代码交易应用程序，及/或选择具有一特定交易类型的一交易应用程序)作为该DPD的操作个人专属特征时构建。在一些其他此具体实施例中，该候选列表在针对数字交易而向DTD提供DPD时由该DTD构建。

将可理解，数字交易是接触交易或非接触交易，但绝非两者，因此在该数字交易期间呼叫PSE选择应用程序提供接触接口交易应用程序的该等识别符，或是在该数字交易期间呼叫PPSE选择应用程序提供非接触接口交易应用程序的该等识别符。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DPD可操作用于通过由该DPD显示QR码的QR码支付，该QR码代表该一或多个解锁交易应用程序(或代表与该一或多个解锁交易应用程序相关联的PDTP/个人专属特征)。

容器(CONTAINER)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，基本加载档案(ELF)或程序包称为容器。将确认是，该术语可互换并如用于实施本发明的各具体实施例的技术所需而应用。举例来说，若该具体实施例在JavaCard上实施(或使用类似JavaCard技术)，则该DTPU托管用于将基本或通用功能提供给在支付方案下实例化的交易应用程序的程序包。在本说明书中，该用语容器是意欲作为对ELF和程序包的一般化参考。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，用于本发明的容器在实体卡(DTC)的DTPU上或在DPD上实施，并可能可通过用于接触和非接触数字交易两者的DTP/PDTP(参见以下)操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个容器(例如包含该容器的一或多个ELF)是与支付方案相关联。在该安全层级结构中，每个容器是安装(或托管)在相关联USD下方。举例来说，用于该Visa支付方案的USD托管用于在该DTPU上建立Visa DTP的一或多个ELF。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，使用容器建立该DTP，然后将其从该容器的USD下方引入该安全层级结构中别处的SSD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个USD可锁定或解锁。容器USD(或SSD)的锁定或解锁分别使其下的容器成为有效(解锁)或无效(锁定)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，可限制哪些支付方案可在该DTPU上操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，举例来说，支付方案(如该Visa支付方案)可能所需不使用该DPD托管其他支付方案的任何DTP/PDTP，例如Mastercard和American Express。该Visa支付方案组织可能为了将锁定的Visa支付方案而请求用于除了该USD以外的支付方案的所有USD。然后，该DPD将仅可操作成建立和安装用于该Visa支付方案的DTP/PDTP。可理解，实施实际上，哪些DTP/PDTP在DTPU上建立和安装可通过简单不提供用于除了从所需(或从多个所需)支付方案以外从支付方案建立和安装DTP/PDTP的构件受到该供应网络控制。然而，允许容器USD的锁定/解锁提供额外保证，即该DPD可控制成仅允许从一或多个所需支付方案建立和安装DTP/PDTP。尽管该以上对容器的说明着重于用于支付方案者，但将明白，其他类型的容器可托管在DTPU上，包括用于建立和托管用于ID卡、护照、及其他非金融电子文件的链接库功能的容器。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU包括所安装的至少一些容器(ELF)，其可操作成实例化用于通过一TSP和一TSM两者所提供的指令集文文件进一步供应(个人专属化)的交易应用程序。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU包括至少一些容器，其可操作成实例化用于通过仅一TSM所提供的指令集文文件进一步供应(个人专属化)的交易应用程序。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DTPU包括至少一些容器，其可操作成实例化用于通过仅一TSP所提供的指令集文文件进一步供应(个人专属化)的交易应用程序。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在容器可操作成实例化用于通过仅TSM所提供的指令集文文件进一步供应(个人专属化)的交易应用程序情况下，该DTPU可操作成使另一容器安装，其可操作成实例化用于通过仅TSP所提供的指令集文文件进一步供应(个人专属化)的交易应用程序。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在容器可操作成实例化用于通过仅TSP所提供的指令集文文件进一步供应(个人专属化)的交易应用程序情况下，该DTPU可操作成使另一容器安装，其可操作成实例化用于通过仅TSM所提供的指令集文文件进一步供应(个人专属化)的交易应用程序。

数字对象

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应网络可操作成将数字对象传送到该DPD和该DAD、经由该DAD到该DPD，并经由该DPD到该DAD。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该等数字对象包括命令、指令集文文件、指令集文文件模板、元数据、韧体、及其他档案，其在该DPD及/或该DAD上使用。

指令集文文件和命令

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，命令传送到该DTPU以实现该DTPU上的动作。在各种情境下，命令可称为APDU。在其他情境下，命令可拆解为APDU。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在符合GP标准的DTPU中，传送到DTPU的所有命令是一或多个指令集文文件的形式。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，一些指令集文文件需要通过从用于将对用于授权到该SSD的安全域的命令的SSD进行验证的SSD的密码密钥所衍生出的对话密钥进行加密。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，一些指令集文文件不需要加密。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，一些指令集文文件需要加密，该DPD可操作成通过模板指令集文文件储存和操作，其中该模板指令集文文件需要一或多个参数，且当该一或多个参数写入该模板指令集文文件中时，该指令集文文件通过从密码密钥和计数器所衍生出的对话密钥进行加密。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，一些指令集文文件需要加密，指令集文文件包括命令指令集文文件和响应指令集文文件，其中响应指令集文文件在该DTPU已执行命令指令集文文件时由其产生，且该响应指令集文文件经由该DPD由该DTPU传送并回到该相关供应代理。

元数据(METADATA)和其他DPD端档案

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，每个个人专属特征是与该DTPU上的单一PDTP相关联。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，每个个人专属特征亦是与元数据(与该DTPU上的PDTP相关)相关联，其中该元数据记录在以下任一或多个上的注册表中：该DPD(例如在该MCU中)、该DAD、该DPD管理者、及别处。就此点而言，个人专属特征包括该PDTP及其相关联元数据。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对该DPD提供用于该DPD的所选定组件的操作的档案(有时称为DPD档案和数据)，其中该等档案及/或数据未与该DTPU上的数据和操作相关联(或未直接相关联)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该等DPD档案和数据包括韧体指令，用于组件的操作，例如DPD按钮、该DPD通讯模块、该DPD图形显示、及其他此档案及/或资料。

供应

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应网络可操作成核发用于将与至少一DTP/PDTP相关联的供应数据提供给该DPD的一或多个供应实体。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该一或多个供应实体包括数据、数字对象、软件、或发信实体，其由用于建立通讯对话的至少一供应代理产生或接收。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，供应包括从该供应网络及/或该供应基础架构将该一或多个供应实体提供给该DTPU，包括数据、数字对象、软件、或发信实体，其由该至少一供应代理产生。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，供应包括从该DTPU回到该供应网络的一或多个响应，该等响应包括数据和数字对象的一或多者。

在本发明的一些进一步具体实施例中及/或在其相关技术的一些进一步具体实施例中，供应包括从该供应网络及/或该供应基础架构将该一或多个供应实体提供给该DTPU外部的MCU或DPD的某个其他组件，包括数据、数字对象、软件、或发信实体，其由该至少一供应代理产生。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，供应包括从该DTPU外部的MCU或DPD的某个其他组件回到该供应网络的一或多个响应，该等响应包括数据和数字对象的一或多者。

供应数据(用于该DTPU)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应数据包括与至少一DTP相关联的数据。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，有关至少一DTP的数据包括指令集文文件及/或命令，用于将一或多个SSD安装在该DTPU上。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，有关该DTP的数据包括指令集文文件及/或命令，用于实例化每一者在该一或多个SSD的一者下的一或多个交易应用程序。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，与至少一DTP相关联的数据包括指令集文文件及/或命令，用于个人专属化以使该DTP成为PDTP。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，通过从该供应网络(或从该供应网络中的至少一供应代理)将一或多个指令集文文件及/或命令提供给该DTPU以指示该DTPU建立或安装该DTP，在该DTPU上安装或建立DTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该指令集文文件指示该DTPU参考与支付方案(例如Visa、Mastercard、American Express)相关联的容器(例如ELF)建立该DTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该至少一供应代理是该DPD管理者。

在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，该供应数据包括指令集文文件及/或命令，用于实例化该DTPU上的一应用程序选择模块，包括一用于PSE的选择应用程序及一用于PPSE的选择应用程序的一或两者，该等PSE和PPSE选择应用程序的每一者可操作成将与该一或多个交易应用程序(与该至少一DTP/PDTP相关联)相关联的一或多个交易应用程序识别符提供给一DTD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，用于实例化该应用程序选择模块的供应数据从该DPD管理者提供。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，与至少一DTP/PDTP相关联的数据包括一PSE选择应用程序和一PPSE选择应用程序的一列表、或该应用程序选择模块的一列表之一或两者，每个清单皆用于修改其各自选择应用程序以包括一或多个交易应用程序识别符，其与该至少一DTP/PDTP相关联。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，PSE选择应用程序和PPSE选择应用程序的列表用于在该DTPU外部的MCU、OSE、或DPD的某个其他组件上安装或储存，该MCU、该OSE、或其他组件可操作成通过来自每个或两者列表的数据修改该DTPU上的PSE和PPSE选择应用程序。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，以一或多个指令集文文件及/或命令的形式提供该至少一清单。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，以一或多个模板指令集文文件及/或范本命令的形式提供该至少一清单。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，有关该至少一DTP/PDTP的该一或多个交易应用程序识别符(AID)在该元数据(例如该MCU上的元数据)中，并在选择该个人专属特征(及/或支付凭证代码交易应用程序、及/或交易类型)作为该DPD的操作个人专属特征时提供给该PSE选择应用程序和该PPSE选择应用程序，或提供给该应用程序选择模块。

在本发明的又一些其他具体实施例中及/或在其相关技术的又一些其他具体实施例中，有关至少一DTP的数据包括个人专属化资料，包括用于将在该DTPU上个人专属化的至少一DTP的一或多个命令及/或指令集文文件，因此成为一PDTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该个人专属化数据由该供应网络中的TSM及/或TSP提供。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该个人专属化数据提供给该TSM及/或该TSP并由该TSM及/或该TSP转换为一或多个指令集文文件及/或命令。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等个人专属化指令集文文件及/或命令从该TSM及/或该TSP提供给该DPD管理者，以供递送到该DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，有关至少一DTP/PDTP的数据包括一用于提供有关该至少一DTP/PDTP的功能的容器，该容器用于安装在该DTPU上，其中该容器与用于该DTP/PDTP的支付方案相关联。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该容器可操作成实例化用于该DTP/PDTP(用于接触和非接触支付)的一或多个交易应用程序，以提供可操作用于接触和非接触支付的DTP/PDTP所需的功能。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，通过该供应网络提供给该DTPU的数字对象包括该应用程序选择模块(包括一或多个PSE和PPSE选择应用程序)、该容器、该DTP/PDTP、及用于该DTP的个人专属化数据(若分开提供)的任一或多者。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，用于该DTPU的该等数字对象通过该供应网络建立为APDU，或通过该供应网络从数字对象档案转换成APDU以供安装在该DTPU上。

供应数据(用于该DTPU外部的MCU或其他DPD组件)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，与至少一DTP/PDTP相关联的数据包括至少一密码密钥，其与一各自至少一安全域相关联，每个至少一安全域是与该各自至少一DTP/PDTP相关联。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该至少一密码密钥用于安装或储存在该DTPU外部的MCU、OSE或DPD的某个其他组件上。在一些具体实施例中，该MCU、该CKSM、该OSE、及/或该其他组件可操作成使用该密钥加密(验证)模板指令集文文件及/或范本命令，以成为用于在该DTPU上执行的指令集文文件及/或命令。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该至少一密码密钥包括至少一密钥，用于与该DTP/PDTP相关联的一附属安全域(Subsidiary Security Domain，SSD)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该SSD密钥用于加密/验证该MCU与该DTPU之间的通讯。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该SSD密钥储存在该DTC上的安全内存中，其中该安全内存在该DTPU的外部。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全内存是该MCU的组件。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全内存在该OSE内。

在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，与至少一DTP/PDTP相关联的数据包括至少一指令集文文件，用于执行与该至少一DTP/PDTP相关联的DTPU上的命令。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该至少一指令集文文件用于安装或储存在该DTPU外部的MCU、OSE、或DPD的某个其他组件上。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该MCU、该OSE、及/或该其他组件可操作成使用该指令集文文件执行该DTPU上的动作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该至少一指令集文文件是通过与该安全域(其中该DTP/PDTP将在该DTPU上执行)相关联的SSD密钥加密/验证的符合标准的指令集文文件。该指令集文文件可包括一或多个命令，用于实现该DTPU上的一或多个动作。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该一或多个动作包括个人专属化该一或多个DTP的一或多个交易应用程序。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该一或多个动作包括锁定及/或解锁交易应用程序。

在本发明的又一些其他具体实施例中及/或在其相关技术的又一些其他具体实施例中，与至少一DTP/PDTP相关联的数据包括元数据，用于操作该DTPU的外部的DPD组件，其中该操作与该至少一PDTP相关联。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，该元数据用于安装或储存在该DTPU外部的MCU或DPD的某个其他组件上。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该MCU及/或其他组件可操作成为了在用户接口上显示DTP/PDTP详细信息而使用该元数据。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，有关至少一PDTP的数据由该DPD使用，以供显示与该PDTP相关联的主识别符(用于支付卡PDTP的PAN)、卡影像、持卡人姓名、失效日期、CVV、及其他此详细信息。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，由该供应网络提供给该DTPU外部的MCU、OSE、或DPD的某个其他组件的数字对象包括该一或多个指令集文文件、该一或多个安全密钥、及该元数据。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，用于该DTPU外部的MCU、OSE、或DPD的某个其他组件的该等数字对象通过该供应网络建立为数字对象，以供储存或安装在该MCU及/或该其他组件上。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，由该供应网络提供给该DTPU外部的MCU、OSE、或DPD的某个其他组件的数字对象包括一经过更新应用程序选择模块列表，其是包括有关安装或将安装到该DTPU中的DTP/PDTP的交易应用程序识别符(如AID)的一档案。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU外部的MCU、OSE、或DPD的某个其他组件可操作成通过该经过更新应用程序选择模块列表中的该等交易应用程序识别符更新该应用程序选择模块。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，由该供应网络提供给该DTPU外部的MCU、OSE、或DPD的某个其他组件的该等数字对象是一或多个指令集文文件及/或命令、及/或一或多个模板指令集文文件及/或范本命令的形式。

供应(递送到该DTPU)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，从该供应网络到该DTPU的该等数字实体、数据、及/或数字对象经由安全通讯对话提供给该DTPU。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该安全通讯对话依据SCP01、SCP02、SCP03、SCP80、及SCP81通讯协议的一者。在一些此具体实施例中，该安全通讯对话是同步安全通讯对话(Communication session)。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该安全通讯对话依据SCP02 i＝55。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该安全通讯对话是异步安全通讯对话。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该供应网络可选择性操作用于同步和异步对话两者。

供应(递送到该DTPU外部的MCU或其他DPD组件)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，从该供应网络到该DTPU外部的MCU、CKSM、OSE、或DPD的某个其他组件的该等数字实体、数据、及/或数字对象经由安全通讯对话提供给该MCU。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该安全通讯对话依据GP SCP11通讯协议。在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，该对话是同步对话。在其他此具体实施例中，该对话是异步对话。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该供应网络可选择性操作用于同步和异步对话两者。

在本发明的一些具体实施例中及/或在其相关技术的一些具体实施例中，从该供应网络到该DTPU外部的MCU、CKSM、OSE、或DPD的某个其他组件的该等数字实体、数据、及/或数字对象经由使用TLS的通讯提供。

在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，从该供应网络到该DTPU外部的MCU或DPD的某个其他组件的该等数字实体、数据、及/或数字对象经由SEMS或类似SEMS通讯提供。

交易应用程序实例化

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该供应网络包括一DPD管理者。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成将一或多个指令集文文件及/或命令提供给该DPD的DTPU，以在该DTPU上安装一或多个交易应用程序(每个交易应用程序是与DTP相关联)。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成将一或多个指令集文文件及/或命令提供给该DPD的DTPU，以在该DTPU上安装用于一或多个DTP每个的一或多个SSD。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该DPD管理者可操作成将一或多个指令集文文件及/或命令提供给该DPD的DTPU，以实例化用于该DTPU上的一或多个DTP每一或多个交易应用程序。

本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD管理者可操作成实现用于该一或多个SSD的每一者的密钥旋转。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该密钥旋转将对每个SSD的控制皆传递到该供应网络中的另一供应代理，包括一TSM、一TSP、或一SEMS，用于该DTP中的该一或多个交易应用程序的个人专属化。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该密钥旋转通过从该DPD管理者将一或多个密钥旋转指令集文文件及/或命令供应到该DTPU实现。在本发明的其他此具体实施例中及/或在其相关技术的其他此具体实施例中，该密钥旋转通过该DTPU上的CASD实现。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，密钥旋转由该TSM及/或TSP完成，但并非由该DPD管理者。

个人专属化

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，通过数据个人专属化DTP的程序指定于该特定卡或其他数字文件，使该DTP成为PDTP。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该个人专属化资料可包括下列各项的一或多者：一主识别符(如用于一信用或转账卡的一PAN)、一持卡人的姓名、失效日期、一PIN、一CVV、及其他数据。

本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，在DTP与单一交易应用程序相关联情况下，该个人专属化数据(或个人专属化详细信息)将写入该单一交易应用程序中(或与其相关联)。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，在DTP与一个以上的交易应用程序相关联情况下，该个人专属化数据(或个人专属化详细信息)将分开写入该一个以上的交易应用程序的每一者中(或与其相关联)。在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，在DTP与一个以上的交易应用程序相关联情况下，相同个人专属化数据(或个人专属化详细信息)的子集将分开写入该一个以上的交易应用程序的每一者中(或与其相关联)，其中用于该PDTP的每个交易应用程序的个人专属化数据(或个人专属化详细信息)的子集是不同于该一个以上的交易应用程序的其他部分。

在本发明的一些其他具体实施例中及/或在其相关技术的一些其他具体实施例中，在DTP与一或多个交易应用程序相关联情况下，该个人专属化数据(或个人专属化详细信息)包括一支付凭证代码主识别符(或支付凭证代码PAN)，用于该一或多个交易应用程序的每一者，其中每个支付凭证代码主识别符是与其他该等支付凭证代码主识别符不同，使得在个人专属化后，该PDTP是具有一或多个相关联支付凭证代码交易应用程序的支付凭证代码PDTP。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该支付凭证代码PDTP包括一交易应用程序，其通过该主识别符(一非支付凭证代码交易应用程序)个人专属化。在本发明的一些其他此具体实施例中及/或在其相关技术的一些其他此具体实施例中，该支付凭证代码PDTP仅包括支付凭证代码交易应用程序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该支付凭证代码个人专属化数据由该供应网络中的TSP提供。

在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，在该PDTP可通过交易类型操作情况下，其中每个交易类型是与交易应用程序(与相同主识别符相关联)相关联，该DTP通过用于每个交易应用程序的交易类型识别符(或识别信息)个人专属化。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等交易类型识别符包括一序号，用于每个相关联交易应用程序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等交易类型识别符包括通过一不同支付凭证代码主识别符个人专属化每个相关联交易应用程序。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，该等交易类型识别符包括每个交易应用程序的交易应用程序识别符(AID)(将明白，每个交易应用程序的AID是在该交易应用程序初始实例化并引入其相关联DTP及/或该DTP的SSD时提供)。

将DPD链接到DAD(使用DTPU)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可操作成仅链接一所指定DPD，且该DPD可通过该DTPU的ID进行独特识别。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD可操作成链接多个DPD，其每一者可通过其DTPU的ID进行独特识别。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DPD可操作成仅链接一DAD，且该DAD可通过其装置指纹进行独特识别，这可包括其国际移动设备识别(IMEI)码。在本发明的又进一步具体实施例中及/或在其相关技术的又进一步具体实施例中，该DPD可操作成链接一个以上的DAD，其每个可通过其装置指纹进行独特识别。

将DPD链接到DAD(使用该DTPU外部的MCU或其他DPD组件)

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DAD可操作成仅链接一所指定DPD，且该DPD可通过该DTPU外部的MCU或其他DPD组件的ID进行独特识别。在本发明的其他具体实施例中及/或在其相关技术的其他具体实施例中，该DAD可操作成链接多个DPD，其每一者可通过其在该DTPU外部的MCU或其他DPD组件的ID进行独特识别。在本发明的又其他具体实施例中及/或在其相关技术的又其他具体实施例中，该DPD可操作成仅链接一DAD，且该DAD可通过其装置指纹进行独特识别，这可包括其国际移动设备识别(IMEI)码。在本发明的又进一步具体实施例中及/或在其相关技术的又进一步具体实施例中，该DPD可操作成链接一个以上的DAD，其每一者可通过其装置指纹进行独特识别。

锁定/解锁/有效/无效/可操作/不可操作术语

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可操作成储存或产生用于锁定和解锁该DTPU中的交易应用程序(和其他应用程序)的指令集文文件及/或命令。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，解锁交易应用程序可为了数字交易而由DTD存取，而锁定交易应用程序无法为了数字交易而由DTD存取。在本发明的一些此具体实施例中及/或在其相关技术的一些此具体实施例中，用于锁定/解锁的该等指令集文文件及/或命令、及/或用于锁定/解锁的该等模板指令集文文件及/或模板命令储存在该OSE上及/或由其产生。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，PDTP在其所有相关联交易应用程序锁定时无效。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，PDTP在其的一或多个相关联交易应用程序的至少一者解锁时有效。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，个人专属特征在其相关联PDTP有效时有效或可操作。在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，个人专属特征在其相关联PDTP无效时是无效或不可操作。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可操作成具有一个以上的个人专属特征有效或可操作。在本发明的此具体实施例中及/或在其相关技术的此具体实施例中，若有两或多个可操作个人专属特征，则每个个人专属特征皆用于不同功能，例如用于支付的一个人专属特征及用于识别的另一个人专属特征。将明白，用于支付的个人专属特征使用与用于识别的个人专属特征不同类型的DTD，以使该等不同DTD中的该等个人专属特征的操作不会冲突。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD可操作成具有两支付个人专属特征有效或可操作(该DTPU具有两支付PDTP有效)，然而，该等个人专属特征的一(及其相关联PDTP)必须仅用于接触交易，而其他个人专属特征(及其相关联PDTP)必须仅用于非接触交易。将明白，用于接触支付的个人专属特征(及其相关联PDTP)使用与用于非接触支付的个人专属特征(及其相关联PDTP)不同方面的DTD，以使该等不同DTD中的该等个人专属特征(及其各自PDTP)的操作不会冲突。

针对交易应用程序(或非交易应用程序)的操作，所使用的其他用语包括有效/无效(Activating/Inactivating)、阻挡/开放(Blocking/Unblocking)、启用/停用(Activating/Deactivating)、及使得能够/禁止(Enabling/Disabling)。在本说明书中，该等用语锁定/解锁(Lock/Unlock)将较佳。该等用语亦可称应用程序的状态，即处于锁定状态或解锁状态。有时，取代指定与PDTP/个人专属特征相关联的一或多个交易应用程序的每一者皆已锁定/解锁(如如适用于本案背景)，该PDTP/个人专属特征将说明为锁定/解锁或有效/无效(如适用于本案背景)。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DTPU的安全层级结构被配置允许单一命令(单一指令集文文件)传送到该DTPU以锁定用于该DTPU上的所有PDTP的所有交易应用程序。在多个具体实施例中，这通过来自位于该安全层级结构中所有交易应用程序和PDTP上方(且在与那些交易应用程序和PDTP相关联的该等SSD上方)的SSD的连锁性锁定例程提供。

DPD变化例

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对使用者提供预安装一或多个PDTP/个人专属特征的DPD，其中该DPD不可操作用于PDTP/个人专属特征的进一步供应。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对使用者提供预安装一或多个PDTP/个人专属特征的DPD，其中该DPD可操作用于PDTP/个人专属特征(包括个人专属特征元数据)的进一步供应。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对使用者提供未预安装PDTP/个人专属特征的DPD，其中该DPD可操作用于PDTP/个人专属特征(包括个人专属特征元数据)的供应。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对使用者提供预安装一或多个容器的DPD，其中该DPD可操作用于一或多个容器的进一步供应。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对使用者提供未预安装容器的DPD，其中该DPD可操作用于一或多个容器的进一步供应。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对用户提供安装应用程序选择模块的DPD。

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，对用户提供未安装应用程序选择模块的DPD，其中该DPD可操作用于应用程序选择模块的进一步供应。

认证、协议、及/或标准

在本发明的各具体实施例中及/或在其相关技术的多个具体实施例中，该DPD或其组件之一(包括该DPD上的DTPU、MCU、OSE、CKSM、及其他组件)符合下列认证、协议、及/或标准的一项或多项：

GlobalPlatform产业构型认证：

●金融构型规范v1.0；

●UICC构型规范v2.0；

●UICC构型规范v1.0.1。

GlobalPlatform功能和特征：

●安全讯息传送(如SCP 02选项i＝'55')；

●安全讯息传送(如SCP 03选项i＝'10'、'30'、及'70')；

●安全讯息传送(如具备带有所有PSK加密套件的TLS 1.0-1.2的SCP81)；

●GlobalPlatform卡规范v2.1.1或2.3；

●GlobalPlatform卡v2.2.1或2.3Amd.A；

●GlobalPlatform卡v2.2.1或2.3Amd.B(SCP81)；

●GlobalPlatform卡v2.2.1或2.3Amd.C；

●GlobalPlatform卡v2.2.1或2.3Amd.D；

●GlobalPlatform卡v2.1.1(在卡GP小程序API上)；

●用于3DES的密钥管理(包括置放(Put)密钥和储存数据GP命令)，并亦可包括DES、AES、RSA(1024和2048位)、及ECC密钥；

●数据储存(用于DGI对象的储存和取回等操作)；

●用于3DES的卡内容管理(用于加载、安装、及删除应用程序等操作)，并亦可包括AES、RSA(1024和2048位)、及ECC算法；

●安全域树形图(用于通过该安全域层级的删除和引渡等操作)；

●机密卡内容管理(如使用控制机构安全域(CASD)的安全域个人专属化)；

●逻辑信道管理。

GlobalPlatform特权：

●安全域；

●信赖路径；

●总体(Global)注册表；

●总体删除；

●全局锁定(Global Lock)；

●许可证管理。.

金融认证：

●接触L1 EMVCo协议和电气；

●非接触L1 EMVCo模拟和数字；

●接触L2 EMVCo CPA和CCD；

●接触L2 VISA集成电路卡规范(VIS)；

●非接触L2 VISA非接触支付规范(VCPS)；

●非接触L2 VISA行动支付应用程序(VMPA)；

●接触L2 MasterCard M/芯片；

●非接触L2 MasterCard PayPass M/芯片预支付(advance)；

●非接触L2行动MasterCard PayPass(MMPP)；

●接触L1 AEIPS芯片卡规范；

●非接触L2 ExpressPay卡规范；

●非接触L2 Express行动功能(AEMF)；

传输层协议：

●NFC-P1 ISO 18092和NFC-P2 ISO 21481；

●ETSI 102 613(SWP)和ETSI 102 622(HCI)。

交易接口协议：

●ISO 7816；

●ISO 14443。

该等以上所列出认证、协议、及/或标准的每一者皆并入本说明书供参考。

图1A和图1B显示依据本发明的数字支付装置(DPD)12的具体实施例的该等主要组件。在该等图示中所例示该等具体实施例中，该数字支付装置(DPD)例示为DTC。在至少一些具体实施例中，该DTC具有符合适用于自动柜员机或接触支付终端机的传统塑料交易卡(例如信用卡)规格的尺寸和形状。举例来说，该DTC可依据ISO 7816-1(物理特性)、ISO 14443-1(物理特性)、及ISO 7816-2(接触位置)的至少一者。将明白，在其他具体实施例中，该DPD可具有不同形状及/或尺寸，并可例如被配置用于穿戴式应用(例如戒指、垂饰、或手表)、非穿戴式物品(例如冰箱或车辆)、非支付应用(例如身份文件)、及运输支付装置。

在先前技术中，塑料信用卡或转账卡具有由单一核发者(例如单一银行)提供的单一可操作个人专属特征。先前技术中的一些卡可操作成通过由单一国内支付方案(例如澳洲的EFTPOS、加拿大的Interac、或印度的RuPay)和单一国际支付方案(例如Visa或Mastercard)组成的两支付方案(亦已知为支付网络)路由交易。此卡包括一用于每个支付方案的不同交易应用程序，但仅包括用于一单一国际支付方案和一单一国内支付方案的交易应用程序。此先前技术卡不包括用于两不同国际支付方案的交易应用程序，且不包括用于两不同国内支付方案的交易应用程序。每当该卡通过数字交易装置(DTD)(例如POS终端机)进行交易时，使用该卡上的一交易应用程序。该DTD选择要使用的适当交易应用程序，例如国内交易应用程序或国际交易应用程序。一些卡具有用于接触和非接触交易的分开交易应用程序。再者，该DTD选择要使用的适当交易应用程序。

由于先前技术的交易卡仅具有一可操作的个人专属特征，因此不可能从该卡所托管的一或多个个人专属特征选择个人专属特征。在卡具有复数个交易应用程序情况下，该卡自身上没有设施可选择用于交易的一特定交易应用程序。

在本发明的多个具体实施例中，DTC 12可操作成托管一或多个个人专属特征，且该DTC可操作成采用选自一或多个所托管个人专属特征的个人专属特征。该一或多个所托管个人专属特征可与至少一核发者相关联。在一具体实施例中，DTC 12可操作成托管包括有关一第一核发者的至少一个人专属特征及有关一第二核发者的至少一个人专属特征的复数个个人专属特征。在一具体实施例中，该DTC可操作成托管与相同核发者相关联的一或多个个人专属特征。

在具体实施例中，DTC 12可操作成托管与至少一国内支付方案相关联的一或多个交易应用程序。在一具体实施例中，DTC 12可操作成托管与至少一国际支付方案相关联的一或多个交易应用程序。在一具体实施例中，DTC 12可操作成托管包括与一第一国内支付方案相关联的至少一交易应用程序及与一第二国内支付方案相关联的至少一交易应用程序的复数个交易应用程序。在一具体实施例中，DTC 12可操作成托管包括与一第一国际支付方案相关联的至少一交易应用程序及与一第二国际支付方案相关联的至少一交易应用程序的复数个交易应用程序。

「所托管」(hosted)个人专属特征是安装在该DTC上的个人专属特征。所安装个人专属特征处于有效状态或不可操作状态。处于有效状态的个人专属特征(「有效」(Active)个人专属特征)能够在通过DTD的交易中由该DTC使用。处于不可操作状态的个人专属特征(「不可操作」(Inoperable)个人专属特征)无法在通过DTD的交易中由该DTC使用。不可操作个人专属特征可供在该DTC现用时变得有效(启用)，而有效个人专属特征可在该DTC现用时变得不可操作(停用)。该DTC可操作成让持卡人能够在该DTC现用时启动个人专属特征的启用或停用。

启用个人专属特征亦称为采用个人专属特征。变更该/该等有效个人专属特征亦简称为变更该个人专属特征。用于启用/采用个人专属特征的程序的具体实施例，以下参考图7至图10进行说明。

参考图1A，显示DTC 12的范例，其中三个个人专属特征7、8、9安装在DTC 12上(由其托管)。该等三个个人专属特征7、8、9对应于由各种支付方案和银行核发的三个交易帐户：

●个人专属特征7：Visa信用账户(由银行1核发)；

●个人专属特征8：Mastercard转账账户(由银行1核发)；及

●个人专属特征9：American Express信用账户(由银行2核发)。

每个个人专属特征7、8、9代表不同交易帐户，并使该DTC能够通过一指定交易帐户进行交易。若要通过交易帐户进行交易，必须由该DTC采用与该交易帐户相关联的个人专属特征。该采用由持卡人触发。

每个所托管个人专属特征7、8、9是与单一个人专属化数字交易包(PDTP)相关联。有效个人专属特征是与有效PDTP相关联，而不可操作个人专属特征是与不可操作PDTP相关联。

每个PDTP是与至少一交易应用程序相关联，因此每个个人专属特征亦是与至少一交易应用程序相关联。不可针对通过该DTC的交易而操作的交易应用程序称为「锁定」(Locked)，而可针对通过该DTC的交易而操作的交易应用程序称为「解锁」(Unlocked)。即使通过直接选择，在通过DTD的交易中仍无法选择锁定交易应用程序。

DTC 12包括一用户界面83A、83B，其可由一持卡人使用以为了在交易中使用而选择该等个人专属特征或交易应用程序的一者。在此具体实施例中，该用户接口包括一显示屏83A(例如一点矩阵显示器)和一按钮辅助键盘83B。在另一具体实施例中，该用户接口包括一触控屏幕显示器而不是辅助键盘。

在有效PDTP是与复数个交易应用程序相关联情况下，该PDTP可与一或多个解锁交易应用程序和一或多个锁定相关联交易应用程序相关联。此PDTP(和相关联个人专属特征)可操作成在至少一些交易中使用，因此视为有效。

在具体实施例中，个人专属特征通过将各种数字对象提供给该DTC安装在DTC 12上。在本发明的至少一些具体实施例中，DTC 12包括安全设置，其仅接受来自一授权提供者的数字对象。此安全设置包括可操作成检查将安装的任何数字对象的真实性(Authenticity)。在一具体实施例中，与个人专属特征安装相关联的数字对象通过具备合适加密和验证协议的供应基础架构10提供。供应基础架构10的具体实施例在以下进行说明。

在下列本发明的各具体实施例的说明中，该DTC可操作成托管一或多个个人专属特征并采用来自该一或多个个人专属特征的个人专属特征。本发明亦包括该DTC可操作成托管与一或多个交易应用程序相关联的一个人专属特征的多个具体实施例。

参考图1B，该DTC包括一DTPU 30，其可操作成托管至少一PDTP及有关每个PDTP的至少一交易应用程序。该DTC可操作成可逆地解锁该DTPU上的至少一交易应用程序，并可逆地锁定该DTPU上的任何其他交易应用程序。

此具体实施例中的DTC 12具有用于进行接触和非接触交易两者的接口。在一替代性具体实施例中，DTC 12可操作成仅进行非接触交易，且在一进一步替代性具体实施例中，DTC 12可操作成仅进行接触交易。在图1B所示具体实施例中，如在先前技术中已习知，接触交易经由接触片34进行且非接触交易经由NFC天线92进行。接触片34具有用于DTPU 30和MCU 32的外部接口，并使得能够在DTPU 30与MCU 32之间进行数据通讯。MCU 32亦用于与操作安全组件(OSE)80、安全内存84、通讯模块86、及用户接口83A、83B的数据通讯。

MCU 32可操作成在DTC 12上进行各种操作，包括：将数字对象路由到DTC 12上的其他组件、产生用于持卡人所选定个人专属特征的AID列表、请求来自OSE 80上的指令集文文件小程序81的指令集文文件，并将指令集文文件转送到DTPU 30、读取和写入信息来回于安全内存84、及管理用户接口83A、83B。MCU 32亦在供应DTC 12的程序期间使用，其中个人专属特征或其他功能安装在DTC 12上。供应可在分配给该持卡人之前在DTC 12出厂时，或在至少一些具体实施例中，在该DTC在实体上远离供应基础架构10(在图5中显示)时发生。远离供应基础架构10在此称为「现用」。

在该所描绘出具体实施例中，DTPU 30是适合进行金融交易并能够依据该等相关规则和安全需要安全托管应用程序及其机密和密码数据(例如密码密钥)的防篡改安全组件。DTPU 30具有安装在其上的符合GlobalPlatform(符合GP)的操作系统，以及充分用户内存以安装多个个人专属特征，其包括可操作成安装多个支付方案容器、多个PDTP、及具备多个附属安全域(SSD)的安全层级结构。该安全层级结构中的该等SSD包括有关PDTP的至少一SSD 94，以有关一应用程序选择模块的至少一SSD 96。DTPU 30储存包括用于该DTPU之一ISD的至少一ISD密钥98、用于有关PDTP的每个SSD 94的至少一SSD密钥100、及用于有关该应用程序选择模块的SSD 96的一SSD密钥102的多个密码密钥。该等密钥98、100、102由DTPU 30用于验证将在其上执行的指令集文文件。

在具体实施例中，DTPU 30在出厂时处于OP_READY或INITIALIZED状态，且必须在分配给持卡人之前将该状态变更成SECURED(使用用于验证的适当密钥)。

DTPU 30上的符合GP的操作系统包括一「全局锁定」(Global Lock)特权，其使得能够锁定和解锁该DTPU上的交易应用程序。当PDTP的所有交易应用程序皆锁定时，该PDTP和相关联个人专属特征不可操作。当PDTP的一或多个交易应用程序解锁时，该PDTP和相关联个人专属特征视为有效。由于每个PDTP是与个人专属特征相关联，因此停用PDTP有效停用该相关联个人专属特征，且启用PDTP启用该相关联个人专属特征。交易应用程序的锁定和解锁以及PDTP的启用和停用以下进行说明。

在至少一些具体实施例中，该DTC可操作成同时具有多个有效个人专属特征。然而，较佳为该等同时有效个人专属特征是将在交易期间没有彼此竞争或冲突的潜力者。举例来说，当进行非接触支付时，仅与接触交易应用程序相关联的第一个人专属特征将不会与仅与非接触交易应用程序相关联的第二个人专属特征竞争，因此不会有冲突。同样地，用于文件(如驾照)的个人专属特征可能未参与金融交易，因此该文件个人专属特征可通过用于金融交易的任何个人专属特征同时有效。在一具体实施例中，该MCU控制该等个人专属特征的哪些可操作成同时有效。该MCU可参考储存在该DTC上的规则，例如在MCU缓存器(Register)中。此规则可记录在与个人专属特征相关联的元数据中。

在具体实施例中，DTPU 30可操作成使用该全局锁定特权以锁定安装在该DTPU上的所有交易应用程序，然后解锁与PDTP(其与该持卡人所选定的个人专属特征相关联)相关联的一或多个交易应用程序，在该DTC现用时而该DTC未与供应基础架构10通讯。在一具体实施例中，交易应用程序的此锁定和解锁可由与用户接口83A、83B互动并进行个人专属特征选择的持卡人触发。在一替代性具体实施例中，交易应用程序的锁定和解锁可由与DAD 14互动并进行个人专属特征选择的持卡人触发，且该DAD可操作成与DTC 12进行该持卡人的个人专属特征选择通讯。交易应用程序的锁定和解锁、及PDTP的启用和停用以下进行说明。

如将说明，该全局锁定动作通过在DTPU 30中执行一或多个经过验证(authenticated)指令集文文件实施。MCU 32可操作成启动产生此经过验证指令集文文件的程序。经过验证指令集文文件由命令产生单元(其在此具体实施例中是称为指令集文文件小程序81的小程序)产生。指令集文文件小程序81使用来自模板储存82的指令集文文件模板及密钥104产生包括命令的经过验证指令集文文件。模板储存82储存一或多个指令集文文件模板，其在填入某些值(例如该DTPU中的目标应用程序的AID)之前并未使指令集文文件发生作用。在图1B中的具体实施例中，指令集文文件小程序81、模板储存82、及SSD密钥104皆储存在OSE 80中。产生经过验证指令集文文件的程序在以下参考图7至图10更详细进行说明。

先前技术中的塑料信用或转账卡和数字钱包没有产生经过验证指令集文文件的能力。在先前技术中的塑料卡的情况下，经过验证指令集文文件在外部准备(例如由卡片个人化部门进行)，并在该卡处于安全环境(如卡片个人化部门)时提供给该卡。在先前技术中的数字钱包的情况下，经过验证指令集文文件在外部准备(通常由TSM进行)，并传输到用于执行的数字钱包。

在该所描绘出具体实施例中，OSE 80是防篡改安全组件。在一具体实施例中，符合GP的操作系统安装在OSE 80上，且在另一具体实施例中，OSE80不包括一符合GP的操作系统。在一具体实施例中，具备至少一SSD的安全层级结构安装在OSE 80上。

在图1B所示具体实施例中，安全内存84是不包括一符合GP的操作系统的防篡改储存区域。举例来说，安全内存84可包括超安全基于硬件的密码密钥储存和密码对策，其设计成减少或消除链接到软件弱点的潜在后门。MCU 32具有对安全内存84的读取和写入访问权限，并可操作成将数字对象(例如有关个人专属特征的蓝牙密钥和元数据)储存在不需要符合GP的操作系统的安全内存84中。在一替代性具体实施例中，该DTC不包括一安全内存，而是数字对象(如蓝牙密钥和元数据)储存在MCU 32中。

参考图3，显示DTC 12的替代性具体实施例，其中指令集文文件小程序81、模板储存82、SSD密钥104、及MCU注册表35包括在安全MCU 33上。在此具体实施例中，OSE 80(在图1B中显示)的功能由安全MCU 33进行。此外，DTPU 30和安全MCU 33并入到单一集成电路芯片37(在图3中由虚线37指示)中。指令集文文件小程序81、模板储存82、及SSD密钥104应始终安全储存，因为其使得能够产生能够在DTPU 30上执行的指令集文文件。因此，安全MCU 33应具有依据该等相关规则和安全需要的安全等级。在一替代性具体实施例(未显示)中，安全MCU 33和DTPU 30是以分开的芯片提供。

该DTC的该等通讯模块

有时候，可能需要从远离该DTC的供应基础架构10(以下参考图15至图17进行说明)对该DTC供应数字对象。该DTC可操作成通过与数据辅助装置(DAD)(其进而可操作成与该供应基础架构通讯)通讯与该供应基础架构无线通信。举例来说，该DAD可为行动装置，例如智能型手机。此具体实施例中的DTC亦可操作成通过WiFi(而未使用DAD)直接与该供应基础架构通讯。针对此无线通信(具备该DAD并使用WiFi)，该DTC包括一通讯模块86。在此具体实施例中，通讯模块86包括一WiFi模块88(其包括一WiFi芯片和天线)、一蓝牙模块90(其包括一蓝牙芯片和天线)、及NFC天线92。在蓝牙和NFC通讯的情况下，该通讯模块允许DTC 12链接到(有时称为配对)该DAD以供相互通讯。

NFC天线92直接连接到DTPU 30，然而蓝牙模块90和WiFi模块88连接到MCU 32。WiFi模块88、蓝牙模块90、及NFC天线92可为分立组件，但统称为通讯模块86。在DTC 12的其他具体实施例中，通讯模块86没有所有三个项目88、90、92，但包括一WiFi模块、一蓝牙模块、及一NFC天线的至少一者。在一具体实施例中，通讯模块86由蓝牙模块90组成。在另一具体实施例中，通讯模块86由WiFi模块88组成。在另一具体实施例中，通讯模块86由WiFi模块88和蓝牙模块90两者组成。或者，用于无线通信的任何其他合适设备可包括在通讯模块86中。

MCU、OSE、及DTPU连接

在具体实施例中，MCU 32与OSE 80之间的通讯链路106使用串行通讯协议。如在先前技术中已习知，DTPU 30与接触片34之间的通讯链路108依据该ISO 7816标准。与先前技术不同，该所描绘出具体实施例例示MCU 32与接触片34之间的通讯链路110。在一具体实施例中，链路110依据该ISO 7816标准。在另一具体实施例中，链路110使用串行通讯协议。链路108、110使命令APDU(C-APDU)能够从该MCU传输到DTPU 30，并使响应APDU(R-APDU)能够从该DTPU传输到该MCU。

图4显示接触片34与DTPU 30和MCU 32之间的该等通讯链路(在图1B中显示)的进一步详细信息。如在先前技术中已知，DTPU 30连接到接触片34内的五个图案化金属接触垫(具有标准功能)：VCC(接触垫122)、RESET(接触垫124)、CLOCK(接触垫126)、GROUND(接触垫128)、及DATA(接触垫130)。这五个接触垫(122、124、126、128、130)在习知上用于金融交易，以在DTD(例如POS终端机)与DTPU 30之间交换APDU。在图4中的具体实施例中，该等五个接触垫(122、124、126、128、130)亦连接到MCU 32。如图1B中所指示，该MCU亦具有与该DTC上的该等其他组件(OSE 80、用户接口83A、83B、安全内存84、蓝牙模块90、及NFC天线92)的通讯链路，且这些链路在图4中通过线136指示。

图4所示的接触片34亦包括两接触垫132、134，其连接到MCU 32但未连接到DTPU 30。该等接触垫132、134由ISO 7816指定将用于自定义应用程序，且在此具体实施例中，提供垫132、134以能够与MCU 32进行串行通讯。在此具体实施例中，接触垫132可操作成将数据传输到MCU 32，且接触垫134可操作成接收来自该MCU的数据。接触垫132、134将很可能需要自定义接触针脚(pins)。预期接触垫132、134可针对在该DTC分配给持卡人之前为该MCU供应数字对象，而在出厂时或处于类似环境(例如卡片个人化部门)时使用。举例来说，经由垫132、134供应的数字对象可包括预期用于MCU 32的数字对象或用于(由该MCU)再定位(relocation)到OSE 80、安全内存84、或通讯模块86的数字对象。该等五个接触垫(122、124、126、128、130)使DTPU 30能够直接供应而未使用MCU32将数字对象路由到该DTPU，例如在该DTC出厂或处于与DTD的接触模式时将指令集文文件传输到该DTPU时。

在至少一些具体实施例中，包括开关(未显示)以在不使用这些接触垫时将MCU 32与接触垫132、134断开连接，以避免非必要的电压无意中影响该MCU以及黑客经由接触垫132、134入侵的风险。

图4所示的相同通讯链路亦用于图3所示具体实施例的接触片34、DTPU 30、及安全MCU 33(代替MCU 32)之间。

元资料

DTC 12和DAD 14储存与该DTC所托管的每个个人专属特征皆相关联的元资料。此元数据在变更该DTC上的有效个人专属特征时由该MCU使用。该元数据使该MCU能够查找与所选定个人专属特征相关联的每个交易应用程序的AID，然后请求指令集文文件小程序81产生关于该(等)AID的一或多个指令集文文件。在一具体实施例中，该元数据的至少一些显示在显示屏83A上以指示该/该等有效个人专属特征。

图2显示用于一个人专属特征的元数据的具体实施例。在此具体实施例中，将该元数据储存为表，其中第一行888包含方案名称、核发者名称、持卡人姓名、及AID清单，第二行890包含该完整PAN(个人账号或主账号)、该完整PAN的后四个位数、失效日期、及CVV，且第三行892包含一用于该个人专属特征的昵称(由该持卡人产生)。在此具体实施例中，此元数据储存在MCU注册表35(在图1B中显示)中的MCU 32上。在替代性多个具体实施例中，该元数据储存在MCU 32外部。在一具体实施例中，该元数据储存在安全内存84中，且在另一具体实施例中，该元数据储存在OSE 80中。

在PDTP与复数个交易应用程序相关联且DTC 12可操作成解锁至少一交易应用程序(来自该等复数个交易应用程序)并锁定所有其他该等复数个交易应用程序的具体实施例中，DTC 12储存关于该等复数个交易应用程序的附加元数据。在一具体实施例中，针对每个交易应用程序而皆储存元数据，且该元数据的至少一些可显示在显示屏83A上。该元数据使该MCU能够查找与每个所选定交易应用程序皆相关联的每个AID，然后请求指令集文文件小程序81产生关于该(等)AID的一或多个指令集文文件。在一具体实施例中，用于每个交易应用程序的元数据包括至少下列信息：主PAN、AID、识别信息、昵称、操作模式(接触或非接触)。在一具体实施例中，该元数据中的识别信息是支付凭证代码PAN。在另一具体实施例中，该识别信息是序号。该识别信息的目的在于使得核发者能够识别已在交易中使用的交易应用程序。

供应该DTC

供应的目的在于将数字对象提供给DTC 12，例如以将操作功能给予该DTC或安装个人专属特征。此数字对象的范例包括数据，用于安装该DTC的操作所需要的韧体(例如MCU韧体)并用于提供指令集文文件、密钥、支付方案容器、元数据、及应用程序(包括交易应用程序、PDTP、及选择应用程序)。指令集文文件可提供给该DTC以在该DTC上进行许多功能，尤其包括安装一支付方案容器、安装来自一支付方案容器的一DTP、个人专属化一DTP、及在该OSE或DTPU中安装一安全层级结构。

在具体实施例中，该DTC在出厂时至少部分「预供应(Pre-provisioned)」，这意指在将该DTC分配给现用持卡人之前处于工厂环境时供应数字对象。此具体实施例中的DTC可操作成通过供应基础架构10在现用时进一步供应。出厂时的预供应包括涉及一组件制造商、装置组装操作、装置测试操作、密钥引入合作伙伴、层压工厂、卡片个人化部门、或在该DTC到达该现场之前涉及其制造或准备的任何其他方的供应。将供应该DTC所需该等数字对象的至少一些通过供应基础架构10提供给该工厂。

在一版本中，对出厂时的DTC预供应韧体、符合GP的安全层级结构、密码密钥、支付方案容器、PDTP、及选择应用程序的至少一者。举例来说，可对该DTC预供应数字对象以安装数个个人专属特征，并可操作成对现用时的DTC供应(通过供应基础架构10)，以在该DTC上安装至少多一个人专属特征。或者，可对该DTC预供应一或多个支付方案容器，并可操作成对现用时的DTC供应(通过供应基础架构10)，以安装来自该一或多个所安装支付方案容器的PDTP。

在一替代性具体实施例中，该DTC在出厂时在没有预供应之后分配给持卡人，并可操作成在现用时通过供应基础架构10大幅供应。在此具体实施例中，对该DTC预供应基本开机启动(Rudimentary bootstrap)韧体(安装在该MCU上)和密钥(例如TLS凭证)、用于解密后续韧体更新的密钥(例如PKI密钥)、及DTPU密钥，以使该DTPU能够在SECURED状态下供给。

在一替代性具体实施例中，出厂时对DTC预供应复数个个人专属特征，而现用无法供应DTC。该DTC的此具体实施例亦能够托管复数个个人专属特征，并用于在该DTC现用时采用来自该等复数个个人专属特征的一个人专属特征。

与支付网络的互动

请即参考图5，DTC 12的至少一些具体实施例可操作成通过习知支付网络进行金融交易，该习知支付网络包括一DTC 70(例如一POS终端机)，其与DTC 12通讯；一收单机构(Acquirer)72、一支付方案74、及核发者18。在图5所示具体实施例中，供应网络16(以下说明)未涉及进行交易的程序。然而，供应网络16连同核发者18可操作成为DTC 12供应数字对象，以使DTC 12能够与习知支付网络进行交易。

安全层级结构的具体实施例

图6例示该DTPU上的安全层级结构201的具体实施例，其适合托管复数个个人专属特征且适合在该DTC现用时从该等复数个个人专属特征采用一个人专属特征。

安全层级结构201具有树形图结构。该安全层级结构的最高等级是核发者安全域(ISD)200。此具体实施例中的ISD是三个SSD(202、96、206)的父层(Parent)，其每一者是该树形图结构的三个同级分支的父层并在以下进行说明。该层级中的每个SSD持有可操作成验证针对该SSD的指令集文文件的至少一密码密钥。举例来说，SSD 206持有可操作成验证针对SSD 206的任何指令集文文件的密钥。仅拥有用于指定SSD的适当密钥的副本的一方可验证针对该SSD的指令集文文件。

SSD 96是该树形图结构的第一分支的父层。该第一分支包括一PSE选择应用程序222、一PPSE选择应用程序224、及一容器226。由SSD 96持有的密钥的副本亦由OSE 80(在图1B中显示)和供应网络16(具体而言是DPD管理者36，如图15至图17所示。因此，OSE 80和DPD管理者36的每一者可操作成验证针对SSD 96的指令集文文件，及有关SSD 96的该等应用程序222、224(在树形图结构的术语中，应用程序222、224的每一者为SSD 96的「子层」(Child))。该等PSE和PPSE选择应用程序从容器226(其是至少一基本加载档案(ELF)的形式)安装。

SSD 206是该树形图结构的一第二分支的父层。该第二分支是该第一分支的同级分支。SSD 206是SSD 228和SSD 236的父层，其的每一者是在不同方(例如银行)的控制下。受到「银行1」控制的SSD 228为三个进一步SSD 242、244、246的父层，且这些进一步SSD的每一者为用于单一个人专属特征的一PDTP(其包括至少一交易应用程序)的父层：

●SSD 242为用于银行1Visa个人专属特征的PDTP 230的父层；

●SSD 244为用于银行1Mastercard个人专属特征的PDTP 232的父层；

●SSD 246为用于银行1American Express个人专属特征的PDTP 234的父层。

仅银行1具有由SSD 228、242、244、246持有的该等密钥的副本。银行1将使用其自己SP-TSM进行SSD 228、242、244、246上的操作。

「银行2」控制是两进一步SSD 248、250的父层的SSD 236，且这些进一步SSD的每一者为用于单一个人专属特征的PDTP(其包括至少一交易应用程序)的父层：

●SSD 248为用于银行2Visa个人专属特征的PDTP 238的父层；

●SSD 250为用于银行2Mastercard个人专属特征的PDTP 240的父层。

仅银行2具有由SSD 236、248、250持有的密钥的副本。银行2将使用其自己SP-TSM进行SSD 236、248、250上的操作。

SSD 202是该树形图结构的第三分支的父层。该第三分支是该等第一和第二分支的同级分支。SSD 202是三个SSD的父层：SSD 210(其是用于Visa的支付方案容器216的父层)、SSD 212(其是用于Mastercard的支付方案容器218的父层)、及SSD 214(其是用于American Express的支付方案容器220的父层。每个支付方案容器皆用于产生(实例化)未个人专属化交易应用程序，其(在与个人专属化数据组合时)用于建立交易应用程序。举例来说，图6中用于Visa的容器216将已用于产生用于银行1和银行2的未个人专属化Visa交易应用程序，后续将其个人专属化以建立包括在Visa PDTP 230中的每个交易应用程序及包括在Visa PDTP 238中的每个交易应用程序。

该DTPU内是已知为控制机构安全域(CASD)的附加安全域208。此具体实施例中的CASD 208是受到该DPD管理者及该DTPU上的PDTP的该等管理者皆信赖的领域。此具体实施例、银行1、及银行2是该DTPU上的该等PDTP的该等管理者。该CASD可用于进行密钥旋转，即将一方(例如该DPD管理者)所提供的密钥调换为另一方(例如PDTP管理者)所提供的密钥。密钥旋转可在该DPD管理者安装SSD(例如与新个人专属特征相关联的SSD)之后使用，以将对该SSD的控制给予该相关PDTP管理者(例如银行1或银行2)。在一些具体实施例中，该CASD在由芯片制造商或供货商核发时在该DTPU上呈现。在另一具体实施例中，CASD在该DTC处于安全工厂环境时且核发者18对该DTC具有访问权限之前安装(以避免由该核发者篡改的可能性)。在该DPD管理者与每个PDTP的管理者之间存在信赖的多个具体实施例中，可不需要CASD。在一些此具体实施例中，该DTPU不包括一CASD。

应用程序选择模块的具体实施例

应用程序选择模块225的功能在于使得DTC 12能够提供用于解锁且因此可用于与DTD 70(例如图5所示POS终端机70)进行交易的DTPU 30上的每个交易应用程序的识别符。在此处所说明该等具体实施例中，该识别符是先前技术中已知的AID(应用程序识别符)，但该识别符或者可为能够识别交易应用程序并可由DTD 70辨识和处理且符合针对支付网络、支付处理方法、及用于此支付网络的DPD的相关标准和协议的任何信息。

在至少一些具体实施例中，DTC 12可操作成解锁所选定交易应用程序并锁定DTPU 30上的任何其他交易应用程序。每个所选定交易应用程序可与一或多个PDTP相关联。DTC 12的此具体实施例(在通过DTD 70进行交易时)可操作成将用于DTPU 30上的每个解锁交易应用程序的AID提供给该DTD，而未提供用于任何锁定交易应用程序的AID。由DTC 12提供给DTD 70的AID集在此称为「候选清单」(Candidate list)。在交易期间，DTD 70从该候选清单选择AID，且该所选定AID后续在该交易中使用。

在本发明的具体实施例中，应用程序选择模块225可操作成在交易期间产生该候选列表，且DTPU 30可操作成将该候选清单提供给DTD 70。该候选列表必须仅包括目前解锁的交易应用程序。若个人专属特征后续启用或停用(且交易应用程序因此分别解锁或锁定)，则此状态变更必须在后续交易期间反映在该候选清单中。

在一具体实施例中，应用程序选择模块225可操作成产生用于多种交易应用程序的候选列表，包括一有关支付方案(例如一信用或转账帐户个人专属特征)的交易应用程序、一有关非支付个人专属特征(例如一身份文件)的交易应用程序、一有关传输智能卡个人专属特征的交易应用程序、一用于接触交易的交易应用程序、一用于非接触交易的交易应用程序、及一具备用于接触和非接触交易两者的接口的交易应用程序。此交易应用程序包括具备不同主PAN的交易应用程序、具备相同主PAN的交易应用程序、具备不同支付凭证代码PAN的交易应用程序、及具备不同序号的交易应用程序。

在DTC 12托管用于支付方案的至少一交易应用程序的具体实施例中，应用程序选择模块225包括PSE选择应用程序222和PPSE选择应用程序224。在由DTC 12托管的每个交易应用程序是接触交易应用程序(仅可操作用于接触交易)的具体实施例中，应用程序选择模块225可不包括PPSE选择应用程序224。在由DTC 12托管的每个交易应用程序是非接触交易应用程序(仅可操作用于非接触交易)的具体实施例中，应用程序选择模块225可不包括PSE选择应用程序222。在所有此具体实施例中，应用程序选择模块225可操作成进行其中该PSE选择应用程序(若包括)通过每个解锁接触交易应用程序的AID设定，且PPSE选择应用程序224通过每个解锁非接触交易应用程序的AID设定的程序。当任何交易应用程序的状态有变更时(从锁定变更成解锁或反过来)，DTC 12可操作成重复通过每个解锁接触交易应用程序的AID设定PSE选择应用程序222并通过每个解锁接触交易应用程序的AID设定PPSE选择应用程序224的程序。

尽管该目前所说明的应用程序选择模块225的具体实施例包括PSE选择应用程序222和PPSE选择应用程序224，但应用程序选择模块225不限于这些选择应用程序。举例来说，应用程序选择模块225可包括一选择应用程序，用于选择与一非支付个人专属特征相关联的一交易应用程序。此一选择应用程序可以类似于该等PSE和PPSE选择应用程序的方式操作。

在先前技术中的DTC中，该PSE选择应用程序和PPSE选择应用程序在出厂时设定，且一旦该DTC现用时就永不变更。一旦该DTC现用时，就没有设施可重新设定该PSE选择应用程序和PPSE选择应用程序。

在本发明的具体实施例中，DTC 12可操作成通过将包含一或多个命令的至少一指令集文文件203(指令集文文件203在图6中显示)传送到DTPU 30中的应用程序选择模块225，以设定或重新设定PSE选择应用程序222和PPSE选择应用程序224。在一具体实施例中，指令集文文件203包括适当经过验证APDU，其包括依据该SCP02协议的一经过加密酬载(payload)。为了安全目的，指令集文文件203必须验证为将由应用程序选择模块225执行的先决条件。指令集文文件203对照SSD 96(其在图6中的层级中是应用程序选择模块225的父层)进行验证，并通过PSE选择应用程序222及/或PPSE选择应用程序224执行。指令集文文件203在执行时，通过每个解锁接触交易应用程序的AID设定该PSE选择应用程序，并通过每个解锁非接触交易应用程序的AID设定PPSE选择应用程序224。

在一具体实施例中，指令集文文件203通过指令集文文件小程序81(在OSE 80中)在DTC 12上产生。通过指令集文文件小程序81用于产生该指令集文文件的输入包括：一指令集文文件模板，其由模板储存82(在OSE 80中)提供；每个解锁交易应用程序的一AID(每个AID由MCU 32提供，例如来自图2所示元数据)；一密钥104(储存在OSE 80中)；及一计数器值，其与DTPU 30中的一针对性SCP02密钥集相关联。密钥104是由SSD 96持有的SSD密钥的副本。如图6所示，SSD 96是该安全层级结构中的应用程序选择模块225的父层。指令集文文件小程序81使用密钥104和计数器值产生用于对照SSD 96验证指令集文文件203的对话密钥，以使该指令集文文件可通过应用程序选择模块225执行。作为用于变更该(等)有效个人专属特征的程序的一部分，用于产生指令集文文件203的程序的范例以下参考图9和图10进行说明。

在一替代性具体实施例中，指令集文文件203在供应程序中由供应基础架构10(在图5中显示)提供。可操作适合在DTC 12现用时(远离供应基础架构10)供应DTC 12的供应基础架构10的具体实施例，以下参考图15至图17进行说明。在一具体实施例中，指令集文文件203由供应基础架构10(具体而言DPD管理者36)提供，并在需要之前皆储存在MCU 32中。在另一具体实施例中，指令集文文件203储存在OSE 80中，并在需要时由MCU 32取回。在另一具体实施例中，指令集文文件203储存在安全内存84中，并在需要时由MCU 32取回。多种类型的指令集文文件203可供应和储存，以在由供应基础架构10供应之前满足DTC 12的该等未来需要。

在一替代性具体实施例中，指令集文文件203在被需要之前皆预供应(在DTC 12出厂时安装)和储存。再者，此指令集文文件203可在需要之前储存在MCU 32、OSE 80、或安全内存84中。在此一具体实施例中，多个指令集文文件203储存以满足DTC 12的该等未来需要或在其由供应基础架构10供应之前满足其未来需要。

在具体实施例中，指令集文文件203包括将设定的每个AID。在一替代性具体实施例中，PSE选择应用程序222及/或PPSE选择应用程序224包括一缓存器，其可操作成储存由DTPU 30托管的各自交易应用程序的AID。在此一具体实施例中，指令集文文件203包括可识别一交易应用程序的信息(例如「05」表示一指定交易应用程序)，且PSE选择应用程序222及/或PPSE选择应用程序224意指该缓存器以查找对应于交易应用程序「05」的AID。当新个人专属特征安装在该DTC上时，该缓存器通过与该新个人专属特征相关联的每个AID进行更新。

停用PDTP

在具体实施例中，变更该DTC上的有效个人专属特征涉及锁定由该DTPU托管的所有交易应用程序，然后解锁与所选定PDTP相关联的每个交易应用程序，这让任何其他交易应用程序皆锁定。每个锁定交易应用程序皆不可在交易期间操作，且无法由DTD直接选择。

在图7所例示的锁定程序(其显示图6所示的相同层级201)的一具体实施例中，通过适当经过验证「锁定且相关联」(Lock and Associated)命令(其进行下列操作)以针对SSD 206，所述命令进行下列工作：

a)锁定(使其无效)SSD 206；

b)锁定与该层级中的SSD 206相关联(其子代)的所有SSD；及

c)锁定与该等锁定SSD相关联(其子代)的所有交易应用程序。

因此，在此具体实施例中，该锁定且相关联命令具有：a)锁定SSD206、b)锁定SSD 228、236、242、244、246、248、250、及c)停用PDTP 230、232、234、238、240的效应。每个挂锁211指示锁定SSD或不可操作PDTP。

有关SSD 206的所有SSD的锁定(以及该后继所有PDTP的停用)在此皆称为「连锁性锁定」(Cascade locking)程序。在连锁性锁定程序中，SSD 206称为用于PDTP的锁定SSD。将连锁性锁定应用于锁定SSD 206使所有PDTP皆不可操作。从该持卡人的观点来看，连锁性锁定停用所有个人专属特征(使其不可操作)。在一具体实施例中，该DTC可操作成在变更该DTC上的有效个人专属特征时进行连锁性锁定。

该连锁性锁定程序在该DTPU接收APDU形式的至少一经过验证指令集文文件207时触发。在一具体实施例中，该等APDU包括一依据该SCP02协议的经过加密酬载并对照SSD 96(应用程序选择模块225的父层SSD)进行验证。

在此范例中，指令集文文件207命令应用程序选择模块225是通过连锁性锁定命令以针对锁定SSD 206(如箭头209所指示)。在一具体实施例中，应用程序选择模块225可操作成使用该全局锁定特权通过该连锁性锁定命令以针对锁定SSD 206。

在具体实施例中，指令集文文件207以PSE选择应用程序222为目标以进行该连锁性锁定程序。在一替代性具体实施例中，指令集文文件207是针对PPSE选择应用程序224以进行该连锁性锁定程序。在一替代性具体实施例中，指令集文文件207是针对不同解锁应用程序以进行该连锁性锁定程序或委派该PSE或PPSE应用程序，以进行该连锁性锁定程序。

在一替代性具体实施例(未显示)中，未使用单一连锁性锁定命令停用PDTP。而是，多个较低等级SSD每个是通过分开的锁定命令作为目标。举例来说，通过锁定SSD 228和SSD 236，所有较低等级SSD皆将锁定。在图7所示范例中，通过锁定命令以SSD 228为目标使得SSD 242、244、246将锁定且PDTP 230、232、234将停用。同样地，通过锁定命令以针对SSD 236使SSD 248、250将锁定且PDTP 238、240将停用。或者，SSD 242、244、246、248、250的每一者可针对分开的锁定命令以停用所有PDTP。在一种版本中，应用程序选择模块225使用该全局锁定特权以将锁定的每个SSD为目标。在另一模式中，未使用全局锁定特权和应用程序选择模块225。相反地，由包括在提供给DTPU 30的指令集文文件中的锁定命令直接针对将锁定的每个SSD(例如SSD 242)。该指令集文文件是APDU的形式，并对照将针对性SSD进行验证。在一具体实施例中，该MCU中的注册表保存每个SSD的锁定状态的记录，并使得DTC 12能够避免为了无需变更锁定状态的SSD而产生指令集文文件。

在具体实施例中，可锁定所有PDTP的每个经过验证指令集文文件(如指令集文文件207)皆在DTC 12上产生。在一具体实施例中，MCU 32命令指令集文文件小程序81(在OSE 80中)产生每个经过验证指令集文文件。通过指令集文文件小程序81用于产生该指令集文文件的输入包括：一指令集文文件模板(由OSE 80中的模板储存82提供)；识别符，例如可识别将停用的每个PDTP的AID(该等识别符包括在由MCU 32提供的元数据中)；一密钥104(储存在OSE 80中)；及一计数器值，其与在DTPU 30中的一针对性SCP02密钥集相关联。密钥104为由针对性SSD持有的密钥的副本。在该指令集文文件以应用程序选择模块225为目标情况下，该密钥为由父层SSD 96持有的密钥的副本。用于产生指令集文文件207的程序的范例，以下参考图9和图10进行说明。在该指令集文文件以PDTP的父层SSD为目标情况下，密钥104为由该针对性SSD持有的密钥的副本。

指令集文文件小程序81使用密钥104和计数器值产生用于对照该针对性SSD验证该指令集文文件的对话密钥。一旦经过验证指令集文文件已通过指令集文文件小程序81产生，MCU 32就将该经过验证指令集文文件转送到DTPU30以供执行。

启用针对性PDTP

在具体实施例中，变更在该DTC上的有效个人专属特征包括启用一针对性PDTP。在连锁性锁定程序之后直接启用一针对性PDTP，导致仅该针对性PDTP有效。因此，仅启用与该针对性PDTP相关联的个人专属特征。参考图8(其显示图6和图7所示的相同层级201)，不可操作PDTP可通过解锁与该PDTP相关联的至少一交易应用程序启用。举例来说，PDTP 230可通过解锁与PDTP 230相关联的至少一交易应用程序启用。

在此范例中，指令集文文件213命令应用程序选择模块225(其具有该全局锁定特权)通过应用程序解锁命令以与Visa PDTP 230相关联的至少一交易应用程序为目标(如箭头215所指示)。在一具体实施例中，该应用程序解锁命令是设定状态(SET STATUS)命令，其使得与Visa PDTP 230相关联的一或多个交易应用程序还原成其先前状态(其是解锁状态)。一旦指令集文文件213执行，Visa PDTP 230变成有效，此意指与PDTP 230相关联的交易应用程序可在交易中使用，且与PDTP 230相关联的个人专属特征有效(可由该持卡人使用)。

在一替代性具体实施例中，指令集文文件213是针对在DTPU 30上的不同解锁应用程序(而不是应用程序选择模块225)，以通过一解锁命令以针对每个交易应用程序，或委派该PSE或PPSE应用程序以通过一解锁命令以针对每个交易应用程序。

在一进一步替代性具体实施例(未显示)中，未使用全局锁定特权和应用程序选择模块225。相反地，对DTPU 30提供指令集文文件以命令DTPU 30上的另一应用程序以针对所要针对的每个PDTP。此应用程序可为解锁SSD。在一具体实施例中，提供在此称为应用程序解锁SSD的附加SSD，其是为了启用PDTP的目的的SSD 206的父层。该应用程序解锁SSD是该层级中的锁定SSD 206的父层，因此不会在连锁性锁定程序中受到锁定。在图8所示范例中，将提供指令集文文件以命令该应用程序解锁SSD启用PDTP 230，而未在该解锁程序中涉及应用程序选择模块225。

在具体实施例中，用于启用PDTP的每个经过验证指令集文文件(如指令集文文件213)皆在DTC 12上产生。在一具体实施例中，MCU 32命令指令集文文件小程序81(在OSE 80中)产生每个经过验证指令集文文件。通过指令集文文件小程序81用于产生该指令集文文件的输入包括：一指令集文文件模板(由OSE 80中的模板储存82提供)；识别符，例如可识别将启用的每个PDTP的AID(识别符包括在由MCU 32提供的元数据中)；一密钥104(储存在OSE 80中)；及一计数器值，其与DTPU 30中的一针对性SCP02密钥集相关联。密钥104为由针对性SSD持有的密钥的副本。在该指令集文文件以应用程序选择模块225为目标情况下，密钥104为由父层SSD 96持有的密钥的副本。用于产生指令集文文件213的此程序的范例以下参考图9和图10进行说明。在该指令集文文件以PDTP的父层SSD为目标情况下，密钥104为由该父层SSD持有的密钥的副本(例如在该指令集文文件以PDTP 230为目标情况下，该密钥为由SSD 242持有的密钥的副本)。

指令集文文件小程序81使用密钥104和计数器值产生用于对照该针对性SSD以验证该指令集文文件的对话密钥。一旦经过验证指令集文文件已通过指令集文文件小程序81产生，MCU 32就将该经过验证指令集文文件转送到DTPU 30以供执行。

指令集文文件213可包括为连锁性锁定指令集文文件207的一部分或可为分开的指令集文文件。在此具体实施例中，指令集文文件213以可包括接触及/或非接触功能两者的PDTP 230为目标。指令集文文件213可操作成针对PDTP(例如接触交易应用程序或非接触交易应用程序，或接触和非接触交易应用程序两者)内的单一交易应用程序或多个交易应用程序。

PSE选择应用程序222和PPSE选择应用程序224每个可操作成解锁该DTPU上的任何交易应用程序。在一具体实施例中，PSE选择应用程序222用于解锁针对性PDTP内的每个接触交易应用程序，而PPSE选择应用程序224用于解锁针对性PDTP内的每个非接触交易应用程序。在一具体实施例中，PSE选择应用程序222可操作成管理PPSE选择应用程序224(以减少处理负担)。在此具体实施例中，指令集文文件213是针对委派PPSE选择应用程序224以解锁所针对性任何非接触应用程序的PSE选择应用程序222。在另一具体实施例中，PPSE选择应用程序224可操作成管理PSE选择应用程序222。在此一具体实施例中，指令集文文件213是针对委派PSE选择应用程序222以解锁所针对性任何接触应用程序的PPSE选择应用程序222。在一替代性具体实施例中，有管理该等PSE和PPSE选择应用程序222、224两者的附加应用程序(未显示，但其是应用程序选择模块225的一部分)。在此一具体实施例中，指令集文文件213是针对委派该等PSE和PPSE选择应用程序222、224给如适当所将针对性解锁交易应用程序的此附加应用程序。

解锁针对性交易应用程序

在具体实施例中，用于解锁针对性交易应用程序的程序与以上所说明用于启用作为针对性PDTP的程序相同(取代与PDTP相关联的一组交易应用程序以个别交易应用程序为目标除外)。在连锁性锁定程序之后直接解锁针对性交易应用程序导致仅该针对性交易应用程序可在交易中选择。

在现用时针对采用个人专属特征的循序图

图9和图10例示使该DTC的持卡人(在现用时)能够选择和启用安装在该DTC上的复数个个人专属特征的一或多者，而该DTC未与供应基础架构10或供应网络16通讯的程序的具体实施例。图9的程序包含图10所例示的子程序920。

请即参考图9，用于选择和启用个人专属特征的程序始于步骤900(当时持卡人674使用用户界面83A、83B(在图1A中显示)浏览目前安装在该DTC上的该等个人专属特征)。该等可用个人专属特征通过与每个个人专属特征相关联的元数据的一项或多项在显示屏83A上表示。有关个人专属特征的元数据的具体实施例显示在图2。在一具体实施例中，显示在显示屏83A上的元资料是该PAN的支付方案名称、银行名称、及后四个位数、及用于该支付方案的标志(该标志未包括在图2所示元数据的具体实施例中)。

在步骤902，持卡人674选择将启用的一(或多个)个人专属特征，且该选择由MCU 32记录。在此具体实施例中，DTC 12可操作成同时具有多个有效个人专属特征。该MCU注册表储存有关容许哪些个人专属特征同时有效的规则，且该MCU在继续进行个人专属特征变更之前参考这些规则。若该等规则不容许该所请求个人专属特征变更，则MCU 32在图形显示屏83A上显示讯息以指示该个人专属特征变更无法继续进行。在另一具体实施例中，当持卡人请求将启用的新个人专属特征时，DTC 12可操作成停用该等规则不容许与该所选定个人专属特征同时启用的任何其他个人专属特征。在此具体实施例中，MCU 32可操作成在继续停用个人专属特征之前请求来自该持卡人的确认。在另一具体实施例中，该等规则指定仅一个人专属特征可随时有效。

在步骤904，若该等规则容许该所请求个人专属特征变更，则MCU32查找储存在MCU注册表35中的元数据，并识别与每个所选定个人专属特征皆相关联的元数据。用于每个个人专属特征的元数据皆包含AID信息，其指定用于与每个所选定个人专属特征相关联的PDTP的每个交易应用程序的AID。MCU 32使用该元数据产生与每个所选定个人专属特征皆相关联的AID清单。

在步骤906，MCU 32将命令(其包含用于该所选定个人专属特征的AID列表)传送到指令集文文件小程序81以产生至少一指令集文文件，其在由DTPU 30上的应用程序选择模块225执行时，停用该DTPU上的所有PDTP、启用与该所选定个人专属特征相关联的PDTP，并通过用于该所选定个人专属特征的AID设定应用程序选择模块225(在未来交易中，应用程序选择模块225将这些AID提供给DTD)。在步骤906中产生的指令集文文件包括指令集文文件207，其显示在图7(用于连锁性锁定)；及指令集文文件213，其显示在图8(用于针对性锁定)。

在步骤908，指令集文文件小程序81请求来自模板储存82(其储存在该OSE上)的指令集文文件模板，且在步骤910，模板储存82将该所请求指令集文文件模板返回到指令集文文件小程序81。在步骤912，指令集文文件小程序81通过值填入该指令集文文件模板以建立指令集文文件。该所建立指令集文文件是APDU的形式并从以下内容所衍生出：用于与该(等)所选定PDTP相关联的接触交易应用程序的AID；及用于与该(等)所选定PDTP相关联的非接触交易应用程序的AID。

在步骤914，指令集文文件小程序81使用SSD密钥104(其储存在OSE 80中)以及与DTPU 30中的针对性SCP02密钥集相关联的计数器值产生对话密钥。储存在OSE 80中的SSD密钥104为由DTPU 30中的SSD 96持有的密钥的副本。如图7至图8所示，SSD 96是该安全层级结构中的应用程序选择模块225的父层。该对话密钥的目的在于对照SSD 96验证该指令集文文件，使得该指令集文文件可由应用程序选择模块225执行。指令集文文件小程序81使用该对话密钥加密该等APDU的该等酬载，例如依据SCP02。

在步骤916，指令集文文件小程序81将该经过验证指令集文文件转送到MCU 32，其在步骤918中将该经过验证指令集文文件转送到该DTPU中的应用程序选择模块225。下一步骤(子程序920)发生在该DTPU上并显示在图10。

请即参考图10，在步骤948，该经过验证指令集文文件对照SSD 96(即图10的组件204)进行验证。在步骤950，该指令集文文件传递到应用程序选择模块225的一部分的PSE选择应用程序222。在步骤952，PSE选择应用程序222使用GlobalPlatform全局锁定特权对照锁定SSD 206(其使该DTPU上的所有PDTP皆将不可操作)执行「锁定且相关联」命令(如图7所示)。在步骤954，确认锁定SSD 206是否已锁定。

步骤958和步骤960是回路956，其中PSE选择应用程序222处理该指令集文文件(在步骤912、914中产生)、读取用于接触交易应用程序的该等AID，并使用GlobalPlatform全局锁定特权解锁(如图8所示)与该等AID相关联的每个接触交易应用程序940。步骤960是确认所解锁的每个交易应用程序940。回路956在与该指令集文文件中的AID相关联的所有接触交易应用程序皆解锁之前重复。

步骤964和步骤966是回路962，其中PSE选择应用程序222处理该指令集文文件(在步骤912、914中产生)、读取用于非接触交易应用程序的该等AID，并使用GlobalPlatform全局锁定特权解锁(如图8所示)与该等AID相关联的每个非接触交易应用程序942。步骤966是确认所解锁的每个交易应用程序940。回路962在与该指令集文文件中的AID相关联的所有非接触交易应用程序皆解锁之前重复。

在步骤968，若用于接触交易应用程序的AID列表空白，则禁止PSE选择应用程序222。否则，若用于接触交易应用程序的AID列表不是空白，则在步骤770中，PSE选择应用程序222通过已成功解锁的接触交易应用程序的该等AID设定(如图6所示)。

在步骤972，PSE选择应用程序222启动PPSE选择应用程序224更新。在步骤974，若用于非接触交易应用程序的AID列表空白，则禁止PPSE选择应用程序224。否则，若用于接触交易应用程序的AID列表不是空白，则在步骤976，PPSE选择应用程序224通过已成功解锁的非接触交易应用程序的该等AID设定(如图6所示)。在步骤978，确认返回到PSE选择应用程序222。

在步骤980，PSE选择应用程序222使用GlobalPlatform全局锁定特权将锁定SSD 206解锁，且在步骤982，确认返回到PSE选择应用程序222。

请即参考图9，该程序从步骤922继续，其中应用程序选择模块225将确认传送(以R-APDU的形式)到MCU 32。在步骤924，MCU 32检查该等R-APDU中的该等状态字(亦称为状态字节)。若发生需要该持卡人采用动作的错误，则MCU 32在显示屏83A上显示适当错误讯息。在步骤926，若该等状态字未指示错误，则MCU 32通过用于接触和非接触交易应用程序的AID的该等启用状态更新MCU注册表35(在图9中未显示)。在步骤928，MCU 32通过信息更新显示屏83A，以指示该新个人专属特征已启用。最后，在步骤930，该持卡人检查该显示器以确认已如预期启用该新个人专属特征。

用于在现用时采用交易应用程序的循序图

请即重新参考图9至图10，现将说明用于从与个人专属特征相关联的复数个交易应用程序选择和采用至少一交易应用程序的程序的具体实施例。该等步骤与用于采用以上所说明个人专属特征相同，但应用于个别交易应用程序而不是PDTP。

请即参考图9，用于选择和启用交易应用程序的程序始于步骤900(当时持卡人674使用图形用户界面83A、83B(图1A)浏览目前安装在用于所选定个人专属特征的DTC上的交易应用程序)。该等可用交易应用程序通过与每个个人专属特征皆相关联的元资料的一项或多项在显示屏83A上表示。在一具体实施例中，显示在显示屏83A上的元数据是该PAN的交易类型、支付方案名称、银行名称、后四个位数、及用于该支付方案的标志。交易类型的范例包括货币、费用类型、预算类别、地点、项目、或享有该费用的个人或组织。该交易类型可能已由该持卡人定义。

在步骤902，持卡人674选择将解锁的一或多个交易应用程序，且该选择由MCU 32记录。在此具体实施例中，DTC 12可操作成同时具有多个解锁交易应用程序。该MCU注册表储存有关容许哪些交易应用程序同时解锁的规则，且该MCU在继续进行解锁交易应用程序之前参考这些规则。若该等规则不容许该所请求交易应用程序的解锁，则MCU在显示屏83A上显示讯息以指示该请求无法继续进行。

在步骤904，若该等规则容许一或多个交易应用程序的请求解锁，则MCU 32查找储存在MCU注册表35中的元数据，并识别与每个所选定交易应用程序皆相关联的元数据。该元数据报含用于每个所选定交易应用程序的AID。MCU 32使用该元数据产生与该(等)所选定交易应用程序相关联的AID列表。

在步骤906，MCU 32将命令(其包含用于该所选定个人专属特征的AID列表)传送到指令集文文件小程序81以产生至少一指令集文文件，其在由DTPU 30上的应用程序选择模块225执行时：停用该DTPU上的所有PDTP、启用与该所选定个人专属特征相关联的PDTP，并通过用于该所选定个人专属特征的AID设定应用程序选择模块225。在步骤906产生的指令集文文件等同于先前所说明的三个指令集文文件：在图7显示的指令集文文件207(用于连锁性锁定)、在图8显示的指令集文文件213(用于针对性锁定)、及在图6中显示的指令集文文件203(用于设定应用程序选择模块225上的AID)。

在步骤914，指令集文文件小程序81使用SSD密钥104(储存在OSE80中，如图1B所示)以及与DTPU 30中的针对性SCP02密钥集相关联的计数器值产生对话密钥，并使用该对话密钥加密该等APDU的该等酬载，例如依据SCP02。该对话密钥的目的在于对照应用程序选择模块225验证该指令集文文件。储存在OSE 80中的SSD密钥为由与DTPU 30中的应用程序选择模块225相关联的SSD 96持有的密钥的副本。在步骤916，指令集文文件小程序81将该指令集文文件转送到MCU 32，其将该指令集文文件转送(在步骤918)到该DTPU中的应用程序选择模块225。下一步骤(子程序920)在该DTPU上发生并在图10中显示。

请即参考图10，在步骤948，该指令集文文件对照应用程序选择模块225的SSD 96(即图10的组件204)进行验证。在步骤950，该指令集文文件传递到应用程序选择模块225的一部分的PSE选择应用程序222。在步骤952，PSE选择应用程序222使用GlobalPlatform全局锁定特权对照锁定SSD 206(锁定SSD206的范例在图6至图8显示)执行「锁定且相关联」命令，其使该DTPU上的所有交易应用程序皆锁定。在步骤954，有锁定SSD 206已锁定的确认。

步骤958和步骤960是回路956，其中PSE选择应用程序222处理该指令集文文件(在步骤912、914产生)、读取用于接触交易应用程序的该等AID，并使用GlobalPlatform全局锁定特权解锁与该等AID相关联的每个接触交易应用程序940。步骤960是对所解锁的每个交易应用程序940的确认。回路956在与该指令集文文件中的AID相关联的所有接触交易应用程序皆解锁之前重复。

步骤964和步骤966是回路962，其中PSE选择应用程序222处理该指令集文文件(在步骤912、914中产生)、读取用于非接触交易应用程序的该等AID，并使用GlobalPlatform全局锁定特权解锁与该等AID相关联的每个非接触交易应用程序942。步骤966是对所解锁的每个交易应用程序940的确认。回路962在与该指令集文文件中的AID相关联的所有非接触交易应用程序皆解锁之前重复。

在步骤968，若用于接触交易应用程序的AID列表空白，则禁止PSE选择应用程序222。否则，若用于接触交易应用程序的AID列表不是空白，则在步骤770，PSE选择应用程序222通过已成功解锁的接触交易应用程序的该等AID设定(如图6所示)。

在步骤972，PSE选择应用程序222启动PPSE选择应用程序224的更新。在步骤974，若用于非接触交易应用程序的AID列表空白，则禁止PPSE选择应用程序224。否则，若用于非接触交易应用程序的AID列表不是空白，则在步骤976，PPSE选择应用程序224通过已成功解锁的非接触交易应用程序的该等AID设定。在步骤978，确认返回到PSE选择应用程序222。

在步骤980，PSE选择应用程序222使用GlobalPlatform全局锁定特权将锁定SSD 206解锁，且在步骤982，确认返回到PSE选择应用程序222。

请即参考图9，该程序是从步骤922继续，其中应用程序选择模块225将确认传送(以R-APDU的形式)到MCU 32。在步骤924，MCU 32检查该等R-APDU中的该等状态字(亦称为状态字节)。若发生需要该持卡人采用动作的错误，则MCU 32在显示屏83A上显示适当错误讯息。在步骤926，若该等状态字未指示错误，则MCU 32通过用于接触和非接触交易应用程序的AID的该等启用状态更新MCU注册表35(在图9中未显示)。在步骤928，MCU 32通过信息更新显示屏83A，以指示每个所选定交易应用程序皆已启用。最后，在步骤930，该持卡人检查该显示器以确认是否如预期启用。

该DTPU上的安全层级结构的进一步具体实施例

图11例示适合托管复数个个人专属特征且适合在该DTC现用时从该等复数个个人专属特征采用个人专属特征的安全层级结构241的另一具体实施例。在该等特征与图6相同情况下，已使用相同参考号码。在图11的具体实施例中，银行1仅具有一SSD 228，且此SSD是三个PDTP(230、232、234)的父层。银行2亦仅具有一SSD 236，其是两个PDTP(238、240)的父层。此具体实施例具有比图6更少的SSD，但该等PDTP可使用图7至图8所例示的相同程序锁定和解锁。锁定SSD 206的连锁性锁定使所有相关联SSD(228、236)皆将锁定，且所有相关联PDTP(230、232、234、238、240)皆将不可操作。应用程序选择模块225可操作成启用一针对性PDTP，如以上参考图7至图8所说明。

图12例示适合托管复数个个人专属特征且适合在该DTC现用时从该等复数个个人专属特征采用个人专属特征的安全层级结构251的另一具体实施例。在此具体实施例中，该等PDTP和相关联SSD以比图6至图8及图11中的该等具体实施例中更平坦的层级设置。每个PDTP是SSD(其是该安全层级结构中的锁定SSD 206的子代)的子代。「银行1」具有与锁定SSD 206相关联(或是其「子代」)的三个SSD 252、254、256，且「银行2」具有与锁定SSD 206相关联的两个SSD 258、260。银行1和银行2的每一者将使用其自己SP-TSM进行该DTPU上的操作。

银行1的每一者SSD是单一PDTP 262、264、266的父层，且银行2的每一者SSD是单一PDTP 268、270的父层。(锁定SSD 206的)连锁性锁定使得所有子代SSD(252、254、256、258、260)皆将锁定，且所有相关联PDTP(262、264、266、268、270)皆将不可操作。应用程序选择模块225可操作成启用一针对性PDTP，如以上参考图7至图8所说明。

图13例示适合托管复数个个人专属特征且适合在该DTC现用时从该等复数个个人专属特征采用一个人专属特征的安全层级结构281的另一具体实施例。在此具体实施例中，该DTC托管与三家银行(银行1、银行2、银行3)和三种支付方案(Visa、Mastercard、American Express)相关联的七个个人专属特征，且每家银行使用TSP的该等服务进行该DTPU上的操作：

●用于Visa账户的TSP具有对SSD 280和相关联SSD(286、290、294)及相关联PDTP(288、292、296)的控制；

●用于Mastercard账户的TSP具有对SSD 282和相关联SSD(298、302)及相关联PDTP(300、304)的控制；及

●用于American Express账户的TSP具有对SSD 284和相关联SSD(306、310)及相关联PDTP(308、312)的控制。

如在图6至图8及图11至图12所示该等具体实施例中，图13中的锁定SSD 206的连锁性锁定使所有相关联SSD(280、286、290、294、282、298、302、284、306、310)将锁定，且所有相关联PDTP(288、292、296、300、304、308、312)将不可操作。图13中的应用程序选择模块225可操作成启用一针对性PDTP，如以上参考图7至图8所说明。

图14例示适合托管复数个个人专属特征且适合在该DTC现用时从该等复数个个人专属特征采用个人专属特征的安全层级结构313的另一具体实施例。在此具体实施例中，该DTC托管与四家银行(银行1、银行2、银行3、银行4)和三个支付方案(Visa、Mastercard、American Express)相关联的十个个人专属特征。银行1、银行2、及银行3使用TSP的该等服务进行该DTPU上的操作，而银行4将使用其自己SP-TSM进行该DTPU上的操作：

●用于Visa账户的TSP具有对SSD 280和相关联SSD(286、290、294)及相关联PDTP(288、292、296)的控制；

●用于Mastercard账户的TSP具有对SSD 282和相关联SSD(298、302)及相关联PDTP(300、304)的控制；

●用于American Express账户的TSP具有对SSD 284和相关联SSD(306、310)及相关联PDTP(308、312)的控制；及

●用于银行4的SP-TSM具有对SSD 314和相关联SSD(316、320、324)及相关联PDTP(318、322、326)的控制。

锁定SSD 206的连锁性锁定使得所有相关联SSD(280、286、290、294、282、298、302、284、306、310、314、316、320、324)皆将锁定，且所有相关联PDTP(288、292、296、300、304、308、312、318、322、326)皆将不可操作。应用程序选择模块225再次可操作成启动一针对性PDTP，如以上参考图7至图8所说明。

供应基础架构

图15显示配置成在该DTC和DAD两者在实体上远离供应基础架构10时，经由数据辅助装置(DAD)14(例如智能型手机)供应DTC 12的供应基础架构10的具体实施例。供应基础架构10包括一供应网络16、至少一核发者18(有时称为初始卡核发者)、一远程通知服务22、一无线通信网络24、及一行动应用程序入口网站62。

各支付具体实施例中的核发者18可为授权由DTC 12提供支付服务的任何一方(在至少一些非支付具体实施例中，该核发者可为核发护照或护照等文件的一方。举例来说，核发者18可为金融机构或拥有银行执照的一方。核发者18亦授权供应网络16在该DTC现用时供应DTC 12。在各种具体实施例中，核发者18核发DTC 12给持卡人。亦在其他具体实施例中设想，DTC 12可由另一授权提供者(有时称为附加卡核发者或经销者)核发。然而，在本说明书中，该系统将通过初始卡核发者18例示。显示供应基础架构10通过仅一核发者18操作，然而，在各种具体实施例中，该供应基础架构可通过多个核发者(例如许多不同银行及/或金融机构的核发者)操作。在其他具体实施例中，该供应网络可结合单一核发者。

供应网络16可操作成藉助无线通信服务24(建立通讯链路20)与DAD 14通讯，并经由DAD 14(使用无线通信链路26)与DTC 12通讯。核发者18或其代理可操作成经由供应网络16和链路20与DAD 14通讯。无线通信网络24可为能够往返DAD 14传输充分数据的任何无线网络，并可包括例如一因特网服务供货商或一行动网络营运商。

在该等所例示具体实施例中，供应基础架构10可操作成经由DAD14和无线通信网络24与DTC 12通讯。然而，在其他具体实施例中，与DTC 12进行通讯可通过DTD(如POS终端机)有线(Over The Wire，OTW)发生，该DTD经由接触链路(例如通过将该DTC引入该DTD中)或通过该DTD与该DTC之间的非接触通讯链路(例如经由该DTD与该DTC之间的NFC或蓝牙)直接到该DTC。在其他具体实施例中，该OTW通讯可能经由非接触通讯链路(例如NFC或蓝牙)到DAD14，然后从该DAD到DTC 12(例如经由蓝牙)。

在图15所示具体实施例中，DAD 14和DTC 12经由用于互通的链路26所链接。在一范例中，链路26使用蓝牙(包括蓝牙低功耗BLE)。在其他范例中，链路26使用近距离无线通信(NFC)。在又另一范例(以下参考图17进行说明)中，DTC 12包括WiFi功能，其使该DTC能够直接连接到无线通信网络24，而无需用于其间互通的DAD 14。然而，初始建置该DTC与该无线通信网络之间的WiFi通讯时，可采用该DAD。

在多个替代性具体实施例中，DAD 14与DTC 12之间的链路26是非无线通信链路。在一此具体实施例中，链路26是DTC 12与DAD 14之间的电缆连接。在另一此具体实施例中，链路26包括电接点，其可操作成被带入与DTC 12上的电接点(例如图1B所示接触片34)进行数据通讯。在一模式中，DAD 14包括此电接点。在另一模式中，DAD 14可操作成经由电缆连接到设备，所述设备包括可操作成被带入与DTC 12上的电接点进行数据通讯的电接点。在其他替代性具体实施例中，链路26包括无线和非无线通信链路两者。在一此具体实施例中，DAD 14可操作成无线连接到设备，所述装置包括电接点并可操作成被带入与DTC 12上的电接点进行数据通讯。

图15亦例示远程通知服务22，其可操作成向DAD 14(例如智能型手机)上的行动应用程序60提供推送通知。举例来说，推送通知可能请求该持卡人将供应数据下载到该DTC或DAD，例如安装新个人专属特征或韧体更新的数字对象。此一推送通知可包括针对持卡人的通知，以在展开下载数字对象之前检查该DTC是否已供电并配对该DAD。此供应将使用以下所说明该等程序，通过供应基础架构10进行。

图15亦例示行动应用程序入口网站62。在一具体实施例中，行动应用程序入口网站62可操作成将行动应用程序60下载到DAD 14上。在另一具体实施例中，行动应用程序入口网站62可操作成将组态档案下载到DAD 14上。此一组态档案可包括针对指定DTC的蓝牙密钥以使DAD 14能够与DTC 12配对。在一具体实施例中，此组态档案只能在已确认该指定DTC有资格接收该下载(例如通过行动应用程序入口网站62注册该DTC)之后提供。

图16显示图15所示相同具体实施例，但例示供应网络16和DAD 14的进一步详细信息。为了简化，仅在DTC 12内显示MCU 32，并省略该DTC的其他组件。供应网络16包括一第一供应代理36和至少一第二供应代理38。供应代理36包括一TSM的功能，但提供已知TSM不提供的功能，包括支持DTC 12的操作的管理功能。在下列多个具体实施例中，供应代理36将称为DPD管理者36。

在多个具体实施例中，每个供应代理38是信托服务管理平台(TSM)或支付凭证代码服务供货商(Tokenised Service Provider，TSP)，其两者在先前技术中皆已知。在下列多个具体实施例中，至少一第二供应代理38将称为TSM/TSP38。

TSM/TSP 38受到核发者18信赖或由其管理。DPD管理者36与DAD14和TSM/TSP 38进行数据通讯，且TSM/TSP与核发者18进行数据通讯。在一些具体实施例中，供应网络16的该等组件和功能可由单一代理(供应代理)、单一服务器、及/或单一站点提供，然而，设想在大多数具体实施例中，该等各种组件和功能将由不同代理提供，尽管其中一些组件和功能组合在单一代理或单一服务器中。亦可能是，核发者18和供应网络16是组合代理(组合供应代理)，或该供应网络的多个部分与该核发者组合。

DPD管理者36提供与DTC 12的供应和操作相关的数个重要功能。DPD管理者36可操作成产生除了由传统TSM/TSP 38提供者以外的数字对象，并将此数字对象传输到DTC12。

DPD管理者36亦可操作成将代表TSM/TSP 38的数字对象传输到DTC 12。特别是，DPD管理者36可操作成接收由TSM/TSP 38提供的数字对象，并将此数字对象传输到DTC 12。DPD管理者36提供此项功能(代表TSM/TSP 38的数字对象传输)，因为先前技术的供应代理(如TSM/TSP 38)不适合供应数字支付装置(如DTC 12)。其中一项原因在于先前技术TSM/TSP 38配置成与行动装置上的数字钱包直接通讯，而未通过中介装置(如DAD 14)通讯。此外，先前技术TSM/TSP 38未提供路由信息指示MCU 32将该等数字对象提供给该DTC上的合适组件。此外，仅已知先前技术TSM/TSP 38供应非接触支付实例。此外，仅已知先前技术TSM/TSP 38将元资料(如该PAN的支付方案名称、品牌、账户名称、后四个位数)提供给单一装置(行动装置上的钱包)，然而本发明信息的各具体实施例为两装置(即DTC 12和DAD 14)供应元数据。

在图15至图16的具体实施例中，DPD管理者36可操作成经由链路26(例如使用蓝牙进行DTC 12与DAD 14之间的通讯)经由DAD 14将数字对象传输到DTC 12，且在图17所示具体实施例中，DPD管理者36可操作成经由WiFi通讯链路64将数字对象直接传输到DTC 12。此数字对象提供给DTC 12的MCU 32和DTPU 30的至少一者。在图15至图16的具体实施例中，该等数字对象提供给该MCU及/或DTPU涉及经由DAD 14建立与DTC 12的该等通讯链路20、26。在图17的具体实施例中，将该等数字对象提供给该MCU及/或DTPU涉及建立与DTC 12的通讯链路64。

在一具体实施例中，DPD管理者36包括路由信息(例如标头(header))，其中每个数字对象皆经由链路20、链路26、或链路64传输到该DTC。在一具体实施例中，该路由信息包括指示该数字对象的预期目的地的信息。在一具体实施例中，指示该数字对象的预期目的地的信息指定该DTC的组件，例如该DTPU。该MCU可操作成读取该路由信息，并将该数字对象提供给该DTC的所指定组件(如该路由信息中所指定)。举例来说，该路由信息可操作成指示该MCU将数字对象转送到该DTPU，或在另一范例中，将该数字对象储存在该MCU中。DPD管理者36亦包括路由信息，其具有由TSM/TSP 38提供的任何数字对象，并将此数字对象与该路由信息一起传输到DTC 12。

在一具体实施例中，DPD管理者36亦可操作成维护DTC 12的状态的记录，包括安装在DTC 12上(由其托管)的每个个人专属特征的记录，及DTC 12的特征件，例如该装置型号。在一具体实施例中，DPD管理者36可操作成请求DTC 12提供指示该DTC的状态的信息。DPD管理者36亦可操作成为了将在DTC12现用时安装在DTC 12上的新个人专属特征，而接收来自该持卡人的请求。DAD14可操作成将每个此持卡人请求皆传输给DPD管理者36，且DPD管理者36可操作成将每个此持卡人请求皆转送到TSM/TSP 38，其进而可操作成将每个此持卡人请求皆转送给核发者18。在一具体实施例中，DPD管理者36可操作成在给核发者18的请求中包括附加信息，例如指定将安装的个人专属特征的各方面的信息，包括有关该个人专属特征的所需操作模式(接触、非接触、或两者)的信息。在另一具体实施例中，核发者18提供可供该持卡人直接提交该请求而未使用DAD 14的在线设施。若核发者18核准该持卡人对将安装的新个人专属特征的请求，则核发者18启动由DPD管理者36和TSM/TSP 38两者提供用于安装在DTC 12上的数字对象的程序。

在图15至图17所示该等具体实施例中，在供应基础架构10中仅描绘出一核发者18和一TSM/TSP 38，但应可理解，供应基础架构10可包括复数个核发者，且供应网络16可包括复数个供应代理。在一具体实施例中，供应网络16包括复数个TSM。在另一具体实施例中，供应网络16包括复数个TSP。在另一具体实施例中，供应网络16包括至少一TSM和至少一TSP。每个TSM(其亦可称为服务供货商TSM或SP-TSM)通常由分开的核发者18直接管理。TSP一般来说是由另一方提供的服务，例如代表核发者18的支付方案(例如Visa或Mastercard)。在一具体实施例中，供应基础架构10包括至少一核发者，用于每个TSP，并包括一分开的TSP，用于由该供应基础架构支持的每个支付方案。

TSM/TSP 38包括一密钥管理者42，并可操作(在其他功能之中)成在代表核发者18的DTC 12上协商SSD密码密钥管理。每个密钥管理者42可操作成核发SSD密钥44给DTC 12。密钥管理者42有时可称为安全域管理者，或密钥管理者的该等功能可并入其中。

一些DAD组件详细信息及行动应用程序建置

在图15至图17所示具体实施例中，DAD 14是智能型手机，然而，在其他具体实施例中，该DAD可为任何合适装置，例如个人计算机(PC)、平板PC、或其他类型的行动运算装置。在又其他具体实施例中，该DAD可为一数字交易装置(DTD)，例如自动柜员机(ATM)，其已适当调适成提供本发明的多个具体实施例中的DAD所需的功能。

在其他具体实施例中，设想若通过与供应网络16通讯的功能(可能使用WiFi或类似技术)配置，则本发明中的DAD 14所需的该等功能可在DTC上进行。此DTC亦将需要配备合适处理、内存、及电源，以进行如由本发明的各具体实施例中的DAD进行的该等所需功能。因此，DAD 14是用于实施本发明的各具体实施例的视需要组件。

DAD具有称为DAD网关48的安装软件，其使DAD 14能够用作供应基础架构10与DTC 12之间的桥接。DAD网关48可操作成经由链路20与供应基础架构10通讯，并经由链路26与DTC 12通讯。不同于持卡人可见的行动应用程序60，DAD网关48提供对DAD 14的持卡人无法看见的功能。DAD网关48和行动应用程序60可为相同软件安装的一部分，但由于其提供不同类型的功能，因此在本说明书将其说明为像似分开的软件项目。

DAD网关48和行动应用程序60可由另一授权方请求和分配。在一些具体实施例中，只能在确认该DAD的使用者(或该DAD自身)获得授权接收该行动应用程序后立即将DAD网关48和行动应用程序60提供给DAD 14，其中该DAD提供对该DAD身份(例如若为智能型手机，则是该DAD的国际移动设备识别(IMEI))的确认。通常，该DAD使用者将与该DTC持卡人为同一人。在其他具体实施例中，对授权的确认包括确认DTC 12身份，其可包括用于该DTC的一独特序号、一蓝牙ID、用于该DTC上的一DTPU的一独特识别符的一或多个，以及单独或组合独特识别该DTC或其上组件的其他独特识别符。在一些具体实施例中，授权的确认包括一DAD识别符与一或多个DTC识别符的组合。

在至少一些具体实施例中，DTC 12可操作成参与个人专属特征安装程序，其可操作成在该DTC现用时，在该DTC上安装新个人专属特征。在此程序中，DPD管理者36将数字对象传输到DAD 14和DTC 12，该等数字对象包括与该个人专属特征相关联的指令集文文件和元数据。与个人专属特征相关联的元数据的范例包括该方案名称、该核发者名称、该持卡人的姓名、该完整PAN、该PAN的该等后四个位数、该失效日期、及该CVV。在多个具体实施例中，至少一些元数据储存在DAD 14和DTC 12两者上。

在图15至图16所示具体实施例中，DPD管理者36可操作成将用于安装新个人专属特征的数字对象转送到DAD 14，且DAD 14可操作成将该等数字对象转送到DTC 12。在处理该等数字对象之后，DTC 12可操作成将至少一些元数据(包含在该等所接收数字对象内)转送回到DAD 14(供其上安装)。

在图17所示具体实施例中，DTC 12包括一WiFi通讯模块88(在图1B中显示)，且该DTC可操作成经由使用无线通信网络24的链路64与DPD管理者36通讯。DPD管理者36可操作成转送数字对象，以绕过DAD 14经由链路64将新个人专属特征直接安装到DTC 12。在一具体实施例中，该持卡人触发将此数字对象下载到该DTC，例如通过按下在该DTC上的按钮。图17中的DTC 12和DAD 14亦可操作成经由链路26(如在图15至图16中)(例如经由蓝牙或NFC)通讯。在处理该等所接收数字对象之后，DTC 12可操作成将至少一些元数据(包含在该等所接收数字对象内)转送回到DAD 14(供其上安装)。

在DTC 12上安装新个人专属特征的程序可以不同方式触发。在个人专属特征安装程序的具体实施例中，该程序在持卡人使用DAD 14上的行动应用程序60选择新个人专属特征并请求在该DTC上安装该个人专属特征时触发。在一具体实施例中，该个人专属特征选自可供下载给该持卡人的个人专属特征列表。此个人专属特征列表可由核发者18基于该持卡人所持有的账户决定。

DAD 14上的DAD网关48可操作成将该个人专属特征安装请求传输给核发者18及/或DPD管理者36。在个人专属特征安装程序的替代性具体实施例中，在DTC 12上安装新个人专属特征的程序，在持卡人参与DTC 12上的用户接口(未显示)以选择新个人专属特征并请求在该DTC上安装该个人专属特征时开始。DTC 12可操作成将该个人专属特征安装请求传输到DAD 14上的DAD网关48，且DAD网关48可操作成将该安装请求传输给核发者18及/或DPD管理者36。若持卡人的个人专属特征安装请求由供应基础架构10核准(通常由核发者18及/或DPD管理者36核准)，则DPD管理者36可操作成开始该安装程序。

在整个本说明书及文后申请专利范围中，除非背景内容需要，否则用词「包括」、和如「包含」和「含有」等的变化将理解为意味着包括所述整数或步骤或一组整数或步骤，但不排除任何其他整数或步骤或一组整数或步骤。

本说明书对任何现有技术的引用不是，也不应被认为是对这样一种情况的确认或者任何形式的建议，即该现有技术构成了普通、一般知识的一部分。