基于hce的移动支付方法及装置、移动终端的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,具体而言,涉及一种基于HCE的移动支付方法、一种基于HCE的移动支付装置和一种移动终端。
【背景技术】
[0002]随着移动支付在生活中越来越普及,基于HCE (Host-based Card Emulat1n,基于主机的卡模拟)技术的支付方案也在Android 5.0操作系统中被Google设置成了 Android平台移动支付的默认支持方式,以及VISA、Bankinter、Privatbank等银行也已经开始支持使用HCE技术进行移动支付,HCE技术的安全性也已经显得越来越重要。
[0003]目前,现有的基于HCE的移动支付方案包括:(I)基于HCE的云端支付技术方案,通过云端技术的密钥系统,为基于HCE的移动支付提供安全保证;(2)基于HCE的前端支付技术方案,通过移动终端(比如,手机)的APP提供密钥系统,为基于HCE的移动支付提供安全保证。
[0004]但是,上述基于HCE的移动支付方案存在以下缺陷:(I)基于HCE的云端支付技术方案,需要实时联网才可以进行移动支付,在没有网络的情况下,将不能正常进行移动支付;(2)基于HCE的前端支付技术方案,密钥系统保存在移动终端中的APP中,很容易被跟踪和篡改,给移动支付的安全带来很大隐患,不利于用户体验。
[0005]因此,如何有效地防止密钥系统被跟踪和篡改,以提供安全可靠的支付环境的同时在不联网的情况也可以正常进行基于HCE的移动支付,从而提升用户体验,成为亟待解决的技术问题。
【发明内容】
[0006]本发明正是基于上述问题,提出了一种新的技术方案,可以有效地防止密钥系统被跟踪和篡改,以提供安全可靠的支付环境的同时在不联网的情况也可以正常进行基于HCE的移动支付,从而提升用户体验。
[0007]有鉴于此,本发明的第一方面,提出了一种基于HCE的移动支付方法,用于移动终端,包括:建立所述移动终端与当前结算终端的通信连接,并提醒用户输入支付验证信息;将接收到的所述支付验证信息加密后发送至所述移动终端的可信域;通过所述可信域中的密钥验证系统对加密后的所述支付验证信息进行验证,以根据验证结果确定是否进行所述移动支付。
[0008]在该技术方案中,首先建立移动终端与当前结算终端(比如POS机)的通信连接,并在建立完成后提醒用户输入支付验证信息,以及在接收到用户输入的支付验证信息进行加密处理后再发送至终端的可信域Trustzone中,以确保支付验证信息在传输过程的安全性,避免因支付验证信息泄漏而造成不必要的损失,然后,通过可信域Trustzone中存储的密钥验证系统对加密后的支付验证信息进行验证,从而确定是否继续完成此次移动支付过程,如此,通过将基于HCE的移动支付方案的密钥系统存储在移动终端的可信域中,支付时调用可信域的密钥系统对支付验证信息进行确认,可以有效地防止密钥系统被跟踪和篡改,以提供安全可靠的支付环境的同时在不联网的情况也可以正常进行基于HCE的移动支付,从而提升用户体验。
[0009]在上述技术方案中,优选地,所述通过所述可信域中的密钥验证系统对加密后的所述支付验证信息进行验证,以根据验证结果确定是否进行所述移动支付,具体包括:通过所述密钥验证系统对加密后的所述支付验证信息进行解密;将所述支付验证信息与所述密钥验证系统中的预设验证信息进行匹配;根据匹配结果确定是否进行所述移动支付。
[0010]在该技术方案中,当将经过加密处理的支付验证信息发送至移动终端的可信域Trustzone后,首先通过可信域Trustzone中存储的密钥验证系统对其进行解密,进而将解密后的支付验证信息与密钥验证系统中的预设验证信息(可以有一个或多个)进行匹配,并进一步根据匹配结果确定是否继续完成此次移动支付过程,其中,Trustzone是ARM针对消费电子设备安全提出的一种架构,提供了一种低成本的方案,在此架构下可以避免资讯从较可信的核心领域泄漏至较不安全的领域,如此,既可以有效地防止密钥系统被跟踪和篡改,也可以确保产品的生产成本,以进一步提升用户体验。
[0011]在上述技术方案中,优选地,所述根据匹配结果确定是否进行所述移动支付,具体包括:当所述支付验证信息与所述密钥验证系统中的所述预设验证信息匹配成功时,控制进行所述移动支付;当所述支付验证信息与所述密钥验证系统中的所述预设验证信息匹配失败时,控制终止所述移动支付。
[0012]在该技术方案中,当用户输入的支付验证信息与存储在移动终端的可信域Trustzone中的密钥验证系统中的预设验证信息匹配成功时,则控制完成此次支付,否则终止交易,在有效提高移动支付安全性和可靠性的同时,也确保了移动支付不受是否联网的影响,可见,解决了现有的基于HCE的前端或云端支付技术方案中存在的问题,更利于用户体验。
[0013]在上述技术方案中,优选地,所述支付验证信息和所述预设验证信息包括:PIN码、指纹验证信息和人脸验证信息。
[0014]在该技术方案中,用户输入的支付验证信息和可信域中的密钥验证系统中的预设验证信息包括但不限于PIN码(Personal Identificat1n Number,个人识别密码,比如数字密码、图形密码等)、指纹验证信息和人脸验证信息,当然也可以包括虹膜验证信息等可以保证本申请的技术方案顺利实施的验证信息。
[0015]在上述技术方案中,优选地,在所述建立所述移动终端与当前结算终端的通信连接,并提醒用户输入支付验证信息之前,还包括:接收来自所述当前结算终端的应用选择APDU指令,以根据所述应用选择APDU指令和所述移动终端中的AID默认路由值建立与所述当前结算终端的通信连接。
[0016]在该技术方案中,通过接收来自当前结算终端的用于应用选择的APDU(Applicat1n Protocol Data Unit,应用协议数据单元)指令,并根据该应用选择APDU指令在移动终端中的AID默认路由值中查找确定与该当前结算终端相匹配的支付路由值(支付路径),以进一步建立与当前结算终端的通信连接,即一个设备匹配识别的过程,为该技术方案的实现提供了必要的前提保障。
[0017]根据本发明的第二方面,提出了一种基于HCE的移动支付装置,用于移动终端,包括:通信模块,用于建立所述移动终端与当前结算终端的通信连接,并提醒用户输入支付验证信息;加密模块,用于将接收到的所述支付验证信息加密后发送至所述移动终端的可信域;验证模块,用于通过所述可信域中的密钥验证系统对加密后的所述支付验证信息进行验证,以根据验证结果确定是否进行所述移动支付。
[0018]在该技术方案中,首先建立移动终端与当前结算终端(比如,POS机)的通信连接,并在建立完成后提醒用户输入支付验证信息,以及在接收到用户输入的支付验证信息进行加密处理后再发送至终端的可信域Trustzone中,以确保支付验证信息在传输过程的安全性,避免因支付验证信息泄漏而造成不必要的损失,然后,通过可信域Trustzone中存储的密钥验证系统对加密后的