或设备,此处不做限定。
[0047] 在实际应用中,支付数据为支付请求发送的交易数据,具体可以包括:交易单号、 商品名称、交易金额等信息,具体此处不做限定。
[0048] 102、移动设备中的支付处理单元从移动设备中的RF-SIM卡中获取支付数据;
[0049] 在移动设备中的RF-SIM卡接收到支付请求方发送的支付请求后,移动设备中的 支付处理单元从RF-SIM卡获取该支付请求中的支付数据。支付处理单元为运行在移动设 备TEE环境中的与支付相关的应用程序。
[0050] 103、移动设备中的支付处理单元根据支付数据和用户信息进行支付处理得到支 付处理数据;
[0051] 移动设备中的支付处理单元获取到支付数据后,从TEE中读取预先存储在TEE内 存中的用户信息,再将获取到的支付数据和用户信息进行支付处理,处理后得到支付处理 数据。
[0052] 需要说明的是,此处预先存储在TEE中的用户信息是指在交易过程中需要的个人 信息,可以包括:移动用户信息(例如:国际移动用户识别码(MSI,International Mobile Subscriber Identification Number)),银行账户信息(例如:银行卡账号、支付密码)等, 具体此处不做限定。
[0053] 在实际应用中,支付处理单元进行支付处理时所使用到的数据不一定只包含上述 描述的支付数据和用户信息,还可以包含更多其他数据,具体此处不做限定。
[0054] 104、移动设备中的RF-SM卡从移动设备中支付处理单元获取支付处理数据;
[0055] 在移动设备中的支付处理单元对支付数据和用户数据进行支付处理得到支付处 理数据后,RF-SM卡获取该支付处理数据。
[0056] 105、移动设备中的RF-SM卡向支付请求方发送支付处理数据。
[0057] 移动设备中的RF-SM卡在获取到支付处理数据后,向支付请求方发送该支付处 理数据。
[0058] 本发明实施例中,移动设备中的RF-SIM卡接收支付请求方发送的支付请求后,并 不是将全部数据和支付运算放在SIM卡的CPU中运行,而是由移动设备中的支付处理单元 从RF-SIM卡中获取支付请求中的支付数据,该支付处理单元为运行在TEE中的支付应用程 序,之后,移动设备中的支付处理单元根据支付数据和用户信息进行支付处理得到支付处 理数据,其中用户信息从TEE的内存中获取,之后,移动设备中的RF-SM卡从支付处理单元 中获取该支付处理数据,并向支付请求方发送该支付处理数据。从而实现将RF-SIM卡的一 些存储和运算能力放到移动设备的安全的TEE环境中,在保证高安全性的基础上,有效地 增强了安全支付的存储和运算能力。
[0059] 在移动设备中,RF-S頂卡和TEE之间并不是直接通信,而是采用安全共享内存通 信,下面对基于安全共享内存的RF-SIM卡和TEE结合的移动支付方法进行详细说明。
[0060] 请结合图2,本发明实施例移动支付方法提供的另一实施例,包括:
[0061] 201、移动设备中的RF-SIM卡接收支付请求方发送的支付请求;
[0062] 在有近场支付交易发生时,用户会先打开移动设备中的支付应用,通过近场接触, 移动设备中的RF-SIM卡和支付请求方建立连接,支付请求方向移动设备中的RF-SIM卡发 送支付请求,该支付请求中包含支付数据。
[0063] 需要说明的是,具体的,本发明实施例中的支付请求方可以为发送支付请求的某 个近场支付服务,也可以是能发送支付请求的其他服务或设备,此处不做限定。
[0064] 在实际应用中,支付数据为支付请求发送的交易数据,具体可以包括:交易单号、 商品名称、交易金额等信息,具体此处不做限定。
[0065] 202、移动设备中的RF-SIM卡将支付数据保存至安全共享内存;
[0066] 移动设备中的RF-SIM卡在接收到支付请求方发送的支付请求后,将支付请求中 的支付数据保存至移动设备的安全共享内存中。
[0067] 安全共享内存是移动设备中的一块存储,该内存在移动设备的访问控制单元的控 制下,只能被TEE和与RF-SM卡连接的特定单元访问。在安全共享内存的支持下,RF-SM 卡和TEE之间可以在REE不介入的情况下实现数据交互,保证支付过程核心数据安全。
[0068] 在实际应用中,该安全共享内存可以采用ARM TrustZone技术实现的安全共享内 存,也可以采用其他技术实现,具体此处不做限定。
[0069] 203、移动设备中的支付处理单元从安全共享内存中读取支付数据;
[0070] 在移动设备中的RF-SIM卡将支付数据保存至移动设备的安全共享内存之后,支 付处理单元从安全共享内存中读取支付数据,支付处理单元为在TEE中执行的支付应用程 序。
[0071] 204、移动设备中的支付处理单元根据支付数据和用户信息进行支付处理得到支 付处理数据;
[0072] 移动设备中的支付处理单元从安全共享内存中读取支付数据后,再从TEE的内存 中读取RF-SIM卡初始化时存储在TEE内存中的RF-SIM卡私钥和用户信息,再根据支付数 据和用户信息进行支付处理得到支付处理数据。
[0073] 需要说明的是,此处预先存储在TEE内存中的用户信息是指在交易过程中需要的 个人信息,可以包括:移动用户信息(例如:国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)),银行账户信息(例如:银行卡账号、支付密 码)等,具体此处不做限定。
[0074] 在实际应用中,支付处理单元进行支付处理时所使用到的数据不一定只包含上述 描述的支付数据和用户信息,还可以包含更多其他数据,具体此处不做限定。
[0075] 205、移动设备中的支付处理单元将支付处理数据保存至安全共享内存;
[0076] 移动设备中的支付处理单元根据支付数据和用户信息进行支付处理得到支付处 理数据后,将支付处理数据保存至移动设备的安全共享内存。
[0077] 206、移动设备中的RF-SM卡从安全共享内存中获取支付处理数据;
[0078] 移动设备中的支付处理单元将支付处理数据保存至移动设备的安全共享内存后, 移动设备中的RF-SIM卡从安全共享内存中获取到该支付处理数据。
[0079] 207、移动设备中的RF-SIM卡向支付请求方发送支付处理数据。
[0080] 移动设备中的RF-SM卡从安全共享内存中获取支付处理数据后,向支付请求方 发送该支付处理数据。
[0081] 支付请求方接收到该支付处理数据后,可以根据该支付处理数据进行扣款等支付 操作,并将支付结果返回给REE中的支付应用程序,以告知用户支付结果,从而完成整个支 付过程。
[0082] 本发明实施例中,为了保证支付过程的高安全性,在移动设备中,RF-S頂卡和TEE 之间采用安全共享内存通信,在安全共享内存的支持下,RF-SIM卡和TEE之间可以在REE不 介入的情况下实现数据交互,保证支付过程核心数据安全。从而使得将RF-S頂卡的一些存 储和运算能力放到移动设备的TEE中后,在有效的增强了支付的存储和运算能力的同时, 保证了支付过程的高安全性。
[0083] 在基于RF-SM卡和TEE的方案中,RF-SM卡在使用前,需要进行安全初始化,下 面对RF-SIM卡进行初始化的过程进行详细说明。
[0084] 结合图3,本发明实施例中的移动支付方法提供的另一实施例,包括:
[0085] 301、移动设备中的RF-SM卡将私钥和用户信息保存至安全共享内存中;
[0086] 在用户初次使用某台移动设备,将RF-SIM卡插入该移动设备时,移动设备的REE 中的应用程序会探测到插入的RF-SIM卡,从而触发RF-SIM卡初始化流程,RF-SIM卡的初 始化流程如下:
[0087] 移动设备中的RF-S頂卡将预置在RF-S頂卡中的私钥和用户信息保存至安全共享 内存中。
[0088] 其中,私钥可以为RF-SIM卡内部生成的非对称密钥的私钥,用来防止数据在传输 和存储过程被窃取或篡改,也可以是其他方式预置的私钥,具体此处不做限定。
[0089] 需要说明的是,RF-SM卡中的用户信息是指在支付过程中需要的个人信息, 可以包括:移动用户信息(例如:国际移动用户识别码(MSI,International Mobile Subscriber Identification Number)),银行账户信息(例如:银行卡账号、支付密码)等, 具体此处不做限定。
[0090] 安全共享内存是移动设备中的一块存储,该内存在移动设备的访问控制单元的控 制下,只能被TEE和与RF-SM卡连接的特定单元访问。在安全共享内存的支持下,RF-SM 卡和TEE之间可以在REE不介入的情况下实现数据交互,保证支付过程核心数据安全。
[0091] 在实际应用中,该安全共享内存可以采用ARM TrustZone技术实现的安全共享内 存,也可以采用其他技术实现,具体此处不做限定。
[0092] 302、移动设备中的支付处理单元从安全共享内存中读取私钥和用户信息;
[0093] 在移动设备中的RF-S頂卡将预置在RF-S頂卡中的私钥和用户信息保存至安全共 享内存中之后,移动设备中的支付处理单元从安全共享内存中读取私钥和用户信息,支付 处理单元为在TEE中执行的支付应用程序。
[0094] 303、移动设备中的支付处理单元将私钥和用户信息保存至TEE的内存中;
[0095] 移动设备中的支付处理单元从安全共享内存中读取私钥和用户信息之后,支付处 理单元将私钥和用户信息保存至TEE的内存中,从而完成RF-SM卡的初始化过程。
[0096] 以上步骤301至步骤303是RF-SM卡安全初始化的过程,需要说明的是,RF-SM 卡初始化时,除了读取RF-SIM卡的私钥和用户信息以外,还可以读取其他支付过程中需要 的RF-SM卡信息,具体此处不做限定。
[0097] 另外,需要说明的是,步骤301至步骤303只是一种比较通用的RF-S頂卡安全初 始化过程,在实际应用中,可能有多种初始化RF-SIM卡的方法,只要是能保证RF-SIM卡中 的私钥和用户信息在不接触REE环境的基础上,存储到TEE中即可,具体初始化的方法,此 处不做限定。
[0098] 本实施例中,步骤304至步骤306与图2所示实施例中的步骤201至步骤203相 同,此处不做赘述。
[0099] 307、移动设备中的支付处理单元使用私钥对支付数据和用户信息进行加密处理 得到支付处理数据;
[0100] 移动设备中的支付处理单元从安全共享内存中读取支付数据后,再从TEE的内存 中读取RF-SIM卡初始化时存储在TEE内存中的RF-SIM卡私钥和用户信息,之后,支付处理 单元使用私钥对支付数据和用户信息进行加密,从而生成加密的支付处理数据。
[0101] 需要说明的是,在实际应用中,支付处理单元读取的信息不一定只包含私钥、支付 数据、用户信息,还可以包括其他类型的支付所需的信息;支付处理过程中使用私钥加密的 数据不一定只包括支付数据和用户信息,还可以包括其他类型的支付所需的信息,具体此 处不做限定。
[0102] 另外,在实际应用中,对数据进行支付处理的方式不一定是使用私钥对支付数据 和用户信息进行加密,还可以采用其他方式对数据进行处理,具体此处不做限定。
[0103] 可选的,在步骤307之前,可以进行生物特征识别认证,具体过程如下:
[0104]当用户打开支付应用时,移动设备中的生物特征采集器采集用户的第一生物特 征信息,生物特征采集器成功采集到第一生物特征信息后,运行在TEE中的生物识别可信 应用程序将采集到的第一生物特征信息和预先存储在TEE中第二生物特征信息进行比 对。若第一生物特征信息和第二生物特征信息一致时,说明支付操作的用户是合法的,则让 RF-SM卡初始化过程中TEE获得的RF-SM卡的私钥处于可用状态,从而使得TEE中的支付 处理单元能够使用RF-SIM卡的私钥对支付数据和用户信息进行支付处理。例如:用户打开 REE中的支付应用进行支付时,支付应用程序会提示用户进行指纹识别认证,用户将手指放 至手机指纹采集器上,指纹感应器就会采集用户的