[0151]所述第三方支付应用用于在确认从所述生物信息识别应用获取的所述生物信息识别结果指示所述生物信息验证通过的情况下,向所述通用支付TA发送所述调用请求。
[0152]可选地,所述第三方支付应用为运行在REE中的CA。
[0153]图4是本发明另一实施例提供的一种基于生物识别技术的移动支付方法的流程图。该方法可包括如下步骤。
[0154]在步骤402中,第三方支付应用的CA调用生物信息识别应用的CA,请求生物信息识别应用的CA调用生物信息识别应用的TA以采集、识别和验证生物信息。
[0155]在步骤404中,第三方支付应用的CA调用通用支付TA。
[0156]在步骤406中,通用支付TA接收第三方支付应用的调用请求,根据调用请求确定需要加密的目标内容和执行加密所需的加密参数,从生物信息识别应用的TA获取生物信息识别结果,通用支付TA根据加密参数和生物信息识别结果对目标内容进行加密,向第三方支付应用的CA返回加密结果,使得第三方支付应用的CA根据加密结果执行支付相关操作。
[0157]综上所述,本实施例提供的移动支付方法,通过在TEE中安装运行可供多个第三方支付应用的CA调用的通用支付TA;解决了相关技术在移动终端需要支持多款第三方支付应用时,因在TEE中安装多个相应的TA而导致成本增加,且导致TEE存在较高的安全风险的问题;实现了多个第三方支付应用的CA共用一个通用支付TA,无需在TEE中安装多个TA,一方面有助于减少签名费用,降低成本,另一方面能够有效避免移动终端安装到恶意的第三方支付应用的TA,降低TEE的安全风险。
[0158]下面,通过图5和图6所示的两个方法实施例,分别从开通流程和支付流程两个方面进行介绍和说明。
[0159]在图5所示实施例中,以第三方支付应用中的目标用户帐号的开通流程为例。如图5所示,该开通流程可包括如下几个步骤。
[0160]在步骤501中,第三方支付应用的CA调用通用支付TA,请求通用支付TA生成第三方支付应用所对应的应用密钥。
[0161]其中,调用请求中携带有第一请求参数,该第一请求参数用于指示通用支付TA生成应用密钥的方式。依据JCA(Java Cryptography Architecture,Java加密体系结构)的规定,在一种可能的实施方式中,第一请求参数包括provider参数、alias参数和algorithm参数。其中,provider参数用于指示调用通用支付TA;alias参数用于指示生成应用密钥的方式,可以是第三方支付应用的标识,此时,通过第三方支付应用的标识,能够确定出生成密钥的方式;algorithm参数用于指示生成应用密钥所采用的算法。
[0162]在步骤502中,通用支付TA检测是否已存储有第三方支付应用所对应的应用密钥。若否,则执行下述步骤503;若是,则向第三方支付应用的CA反馈已经有应用密钥的指示信息。
[0163]在步骤503中,通用支付TA采用第一密钥生成算法生成应用密钥。
[0164]在步骤504中,通用支付TA采用第一数据加密算法和设备密钥对应用密钥进行加密,得到加密后的应用密钥。
[0165]可选地,若设备密钥为非对称密钥,通用支付TA采用第一数据加密算法和设备密钥的私钥对应用密钥进行加密,得到加密后的应用密钥。
[0166]可选地,当第一数据加密算法为数字签名算法时,通用支付TA采用数字签名算法和设备密钥对应用密钥进行签名,得到应用密钥的签名结果。
[0167]在步骤505中,通用支付TA将加密后的应用密钥反馈给第三方支付应用的CA。
[0168]在步骤506中,第三方支付应用的CA将加密后的应用密钥发送给后台服务器。
[0169]在步骤507中,后台服务器存储应用密钥。
[0170]后台服务器从第三方支付应用的CA接收加密后的应用密钥之后,采用设备密钥进行解密,获取并存储应用密钥。
[0171]可选地,若设备密钥为非对称密钥,后台服务器采用设备密钥的公钥进行解密,获取并存储应用密钥。
[0172]此外,第三方支付应用的CA接收到通用支付TA反馈的应用密钥之后,还执行如下步骤508。
[0173]在步骤508中,第三方支付应用的CA调用通用支付TA,请求通用支付TA生成目标用户帐号所对应的用户密钥。
[0174]其中,调用请求中携带有第二请求参数,该第二请求参数用于指示通用支付TA生成用户密钥的方式。在一种可能的实施方式中,第二请求参数包括provider参数、alias参数和algorithm参数。其中,provider参数用于指示调用通用支付TA;alias参数用于指示生成用户密钥的方式,例如可以是第三方支付应用的标识和目标用户帐号;algorithm参数用于指示生成用户密钥所采用的算法。
[0175]在步骤509中,通用支付TA采用第二密钥生成算法生成用户密钥。
[0176]在步骤510中,通用支付ΤΑ采用第二数据加密算法和应用密钥对用户密钥进行加密,得到加密后的用户密钥。
[0177]可选地,若应用密钥为非对称密钥,通用支付ΤΑ采用第二数据加密算法和应用密钥的私钥对用户密钥进行加密,得到加密后的用户密钥。
[0178]可选地,当第二数据加密算法为数字签名算法时,通用支付ΤΑ采用数字签名算法和应用密钥对用户密钥进行签名,得到用户密钥的签名结果。
[0179]在步骤511中,通用支付ΤΑ将加密后的用户密钥反馈给第三方支付应用的CA。
[0180]在步骤512中,第三方支付应用的CA将加密后的用户密钥发送给后台服务器。
[0181]在步骤513中,后台服务器存储用户密钥。
[0182]后台服务器从第三方支付应用的CA接收加密后的用户密钥之后,采用应用密钥进行解密,获取并存储用户密钥。
[0183]可选地,若应用密钥为非对称密钥,后台服务器采用应用密钥的公钥进行解密,获取并存储用户密钥。
[0184]在图6所示实施例中,以第三方支付应用中的目标用户帐号的支付流程为例。如图6所示,该支付流程可包括如下几个步骤。
[0185]在步骤601中,第三方支付应用的CA调用生物信息识别应用的CA,请求生物信息识别应用的CA调用生物信息识别应用的ΤΑ。
[0186]在支付流程中,第三方支付应用的CA从后台服务器请求获取订单之后,调用生物信息识别应用的CA,请求生物信息识别应用的CA调用生物信息识别应用的ΤΑ,发起生物信息验证。
[0187]在步骤602中,生物信息识别应用的CA调用生物信息识别应用的ΤΑ。
[0188]在步骤603中,生物信息识别应用的ΤΑ采集、识别和验证生物信息。
[0189]在步骤604中,生物信息识别应用的ΤΑ将生物信息识别结果反馈给生物信息识别应用的CA。
[0190]在步骤605中,生物信息识别应用的CA将生物信息识别结果反馈给第三方支付应用的CA。
[0191]在步骤606中,第三方支付应用的CA检测生物信息识别结果是否指示生物信息验证通过。若是,则执行下述步骤607;若否,则结束流程。
[0192]在步骤607中,第三方支付应用的CA调用通用支付ΤΑ,请求通用支付ΤΑ对目标内容进行加密。
[0193]其中,目标内容是第三方支付应用的CA与后台服务器协商的在支付流程中所需校验的内容。调用请求中携带有请求参数,该请求参数用于指示通用支付ΤΑ对目标内容进行加密的方式。在一种可能的实施方式中,请求参数包括provider参数、alias参数和algorithm参数。其中,provider参数用于指示调用通用支付TA;alias参数可以是第三方支付应用的标识和目标用户帐号,alias参数可作为密钥的索引,用于指示加密所采用的用户密钥;algorithm参数用于指示所采用的数据加密算法。
[0194]在步骤608中,通用支付TA从生物信息识别应用的TA获取生物信息识别结果。
[0195]在步骤609中,在生物信息识别结果指示生物信息验证通过的情况下,通用支付TA采用指定的数据加密算法和登录第三方支付应用的目标用户帐号所对应的用户密钥对目标内容进行加密,得到加密结果。
[0196]可选地,若用户密钥为非对称密钥,则通用支付TA采用预定的数据加密算法和用户密钥的私钥对目标内容进行加密,得到加密结果。
[0197]可选地,当数据加密算法为数字签名算法时,通用支付TA采用数字签名算法和用户密钥对目标内容进行数字签名,得到签名结果。
[0198]在步骤610中,通用支付TA将加密结果提供给第三方支付应用的CA。
[0199]在步骤611中,第三方支付应用的CA将加密结果发送给后台服务器。
[0200]在步骤612中,后台服务器采用目标用户帐号所对应的用户密钥对加密结果进行解密,得到解密内容,并在解密内容与目标内容相符的情况下,完成支付流程。
[0201]可选地,若用户密钥为非对称密钥,后台服务器采用用户密钥的公钥对加密结果进行解密,得到解密内容。
[0202]本公开一示例性实施例还提供了一种基于生物识别技术的移动支付装置,能够实现本公开提供的移动支付方法。所述装置包括:
[0203]生物信息识别应用以及运行在可信执行环境TEE中的通用支付可信应用ΤΑ;
[0204]所述装置还包括:处理器;
[0205]用于存储所述处理器的可执行指令的存储器;
[0206]其中,所述处理器被配置为:
[0207]接收第三方支付应用的调用请求;
[0208]根据所述调用请求确定需要加密的目标内容和执行加密所需的加密参数;
[0209]从所述生物信息识别应用获取生物信息识别结果;
[0210]根据所述加密参数和所述生物信息识别结果对所述目标内容进行加密;
[0211]向所述第三方支付应用返回加密结果,使得所述第三方支付应用根据所述加密结果执行支付相关操作。
[0212]图7是根据一示例性实施例示出的一种移动支付设备700的框图。例如,移动支付设备700可以是手机、平板电脑、移动PC以及PDA等。如图7所示,移动支付设备700包括:系统级芯片(System-on-a-Chip,SoC)702、存储器704、电源组件706、输入/输出(I/O)接口 708以及传感器组件710。
[0213]系统级芯片702为移动支付设备700主要的处理部件,用于控制移动支付设备700的整体操作。在本实施例中,系统级芯片702包括REE和TEE AEE中运行有生物信息识别应用的CA3EE中运行有通用支付TA和生物信息识别应用的TA。其中,通用支付TA供多个第三方支付应用的CA调用。生物信息识别应用的CA用于在被第三方支付应用的CA调用后,调用生物信息识别应用的TA,生物信息识别应用的TA用于采集、识别和验证生物信息。通用支付TA用于在被第三方支付应用的CA调用后,根据调用请求确定需要加密的目标内容和执行加密所需的加密参数,从生物信息识别应用的TA获取生物信息识别结果,根据加密参数和生物信息识别结果对目标内容进行加密,向第三方支付应用的CA返回加密结果,使得第三方支付应用的CA根据加密结果执行支付相关操作。系统级芯片702可以包括一个或多个处理器来执行指令,以完成上述方法的全部或部分步骤。
[021