指纹信息,与TEE中存储的生物特征信 息进行比对。其中生物特征信息包括指纹、人脸、虹膜、视网膜、声音、脉搏、耳廓等人体生理 特征,除此之外,还可以包括其他人体的生理特征,具体此处不做限定。
[0105] 需要说明的是,生物特征识别认证技术与本方案的结合,需要移动设备支持生物 特征信息采集、用户有开启生物识别认证功能等条件的支持。所以,生物识别认证步骤在 RF-SIM卡和TEE结合的支付方法中是可选的执行步骤。
[0106] 本实施例中,步骤308至步骤310与图2所示实施例中的步骤205至步骤207相 同,此处不做赘述。
[0107] 本发明实施例中,RF-SM卡在使用前,将RF-SM卡中支付所需的私钥和用户信息 保存至TEE的内存中,以确保存储在RF-SM卡中的信息在不接触REE环境的基础上,存储 到TEE中,以完成RF-SM卡的初始化,给TEE中的支付处理单元提供安全的支付信息。从 而使得将RF-SIM卡的一些存储和运算能力放到移动设备的TEE环境中后,在有效的增强了 支付的存储和运算能力的同时,保证了支付过程的高安全性。
[0108] 其次,本本发明实施例中,支付处理单元使用私钥对支付数据和用户信息进行加 密来进行支付处理,提高了方案的可实现性。
[0109] 另外,在本发明实施例中,作为可选的实施步骤,在TEE中的支付处理单元对支付 数据进行处理之前,与生物识别技术结合进行生物识别认证,将生物特征的存储和认证过 程放在TEE安全环境中完成,使其有足够的存储和计算能力来实现生物特征识别认证,改 变了传统的RF-SIM卡中没有足够的存储和运算能力来支持生物识别认证的状况,且极大 的提高了移动支付的安全性。
[0110] 在移动设备中,RF-S頂卡和安全共享内存之间是通过Modem来进行通信的, RF-SIM卡与运行在TEE中的支付处理单元之间的数据传输需要先通过Modem转发至安全共 享内存,支付处理单元再与安全共享内存进行通信。下面对本发明实施例中移动支付方法 的信息交互进行详细说明。
[0111] 请结合图4,本发明实施例移动支付方法提供的另一实施例,包括:
[0112] 401、Modem接收初始化RF-SM卡命令;
[0113] 在用户初次使用某台移动支付设备,将RF-SIM卡插入该移动设备时,移动设备的 REE中的应用程序会探测到插入的RF-SIM卡,触发初始化流程,从而发出RF-SIM卡初始化 命令给Modem,Modem接收到此命令。
[0114] 其中,Modem是RF-SM卡与移动设备中的其他单元之间的通信的调制解调器。
[0115] 402、Modem从RF-S頂卡中读取RF-S頂卡的私钥和用户信息;
[0116] Modem接收到RF-SM卡初始化命令后,Modem中的程序从RF-SM卡中读取RF-SM 卡中支付认证用的私钥和存储在RF-SIM卡中的用户信息。
[0117] 需要说明的是,此处读取的RF-SIM卡中的用户信息是指在支付过程中需要的 个人信息,可以包括:移动用户信息(例如:国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)),银行账户信息(例如:银行卡账号、支付密 码)等,具体此处不做限定。
[0118] 403、Modem将私钥和用户信息保存至安全共享内存;
[0119] Modem在读取RF-S頂卡的私钥和用户信息后,将RF-S頂卡的私钥和用户信息保存 至安全共享内存中。
[0120] 其中,安全共享内存是移动设备中的一块存储,该内存在移动设备的访问控制单 元的控制下,只能被TEE和与RF-SIM卡连接的Modem访问。在安全共享内存的支持下, RF-SM卡和TEE的应用程序之间可以在REE不介入的情况下实现数据交互,保证支付过程 核心数据安全。
[0121] 在实际应用中,该安全共享内存可以采用ARM TrustZone技术实现的安全共享内 存,也可以采用其他技术实现,具体此处不做限定。
[0122] 404、支付处理单元从安全共享内存中读取RF-S頂卡的私钥和用户信息;
[0123] Modem将RF-S頂卡的私钥和用户信息保存至安全共享内存之后,支付处理单元从 安全共享内存中读取RF-SM卡的私钥和用户信息,支付处理单元为在TEE中执行的支付应 用程序。
[0124] 405、支付处理单元将私钥和用户信息保存至TEE的内存中;
[0125] 支付处理单元从安全共享内存中读取RF-SM卡的私钥和用户信息后,将其保存 至TEE的内存中,完成RF-S頂卡的初始化过程。
[0126] 以上步骤401至步骤405是RF-SM卡安全初始化的过程,需要说明的是,RF-SM 卡初始化时,除了读取RF-SIM卡的私钥和用户信息以外,还可以读取其他支付过程中需要 的RF-SM卡信息,具体此处不做限定。
[0127] 另外,需要说明的是,步骤401至步骤405只是一种比较通用的RF-S頂卡安全初 始化过程,在实际应用中,可能有多种初始化RF-SIM卡的方法,只要是能保证RF-SIM卡中 的私钥和用户信息在不接触REE环境的基础上,存储到TEE中即可,具体初始化的方法,此 处不做限定。
[0128] 406、RF-S頂卡接收支付请求;
[0129] 在有近场支付交易发生时,用户会先打开移动设备中的支付应用,通过近场接触, 移动设备中的RF-SM卡和支付请求方建立连接,支付请求方向RF-SM卡发送支付请求,该 支付请求中包含支付请求命令和支付数据。实际上,RF-SIM卡接收到的是载波,该载波携 带了支付请求。
[0130] 需要说明的是,具体的,本发明实施例中的支付请求方可以为发送支付请求的某 个近场支付服务,也可以是能发送支付请求的其他服务或设备,此处不做限定。
[0131] 在实际应用中,支付数据为支付请求发送的交易数据,具体可以包括:交易单号、 商品名称、交易金额等信息,具体此处不做限定。
[0132] 407、RF-SM卡将支付请求发送给Modem ;
[0133] RF-S頂卡在接收到支付请求后,将该支付请求发送给Modem。
[0134] 408、Modem将支付请求中的支付数据保存至安全共享内存;
[0135] Modem接收到RF-SIM卡发送的支付请求后,将其中的支付数据保存至安全共享内 存。
[0136] 409、Modem将支付请求命令转发给支付处理单元;
[0137] Modem接收到RF-SM卡发送的支付请求后,将其中的支付请求命令转发给REE中 的应用程序,之后,移动设备从REE模式切换到TEE模式,同时移动设备再将该支付请求命 令发送给运行在TEE中的支付处理单元,支付处理单元为运行在TEE中的支付应用程序。
[0138] 410、支付处理单元从安全共享内存中读取支付数据;
[0139] 支付处理单元接收到支付请求命令之后,从安全共享内存中读取支付数据。
[0140] 411、支付处理单元从TEE中读取RF-S頂卡的私钥和用户信息;
[0141] 支付处理单元在接收到支付请求命令后,从TEE内存中读取RF-SIM卡初始化时存 储在TEE内存中的RF-SM卡私钥和用户信息。
[0142] 412、支付处理单元使用私钥对支付数据和用户信息进行加密处理以生成支付处 理数据;
[0143] 在支付处理单元从安全共享内存中读取支付数据,从TEE的内存中读取RF-SM卡 的私钥和用户信息后,使用私钥对支付数据和用户信息进行加密,从而生成加密的支付处 理数据。
[0144] 需要说明的是,在实际应用中,支付处理单元读取的信息不一定只包含私钥、支付 数据、用户信息,还可以包括其他类型的支付所需的信息;支付处理过程中使用私钥加密的 数据不一定只包括支付数据和用户信息,还可以包括其他类型的支付所需的信息,具体此 处不做限定。
[0145] 另外,在实际应用中,对数据进行支付处理的方式不一定是使用私钥对支付数据 和用户信息进行加密,还可以采用其他方式对数据进行处理,具体此处不做限定。
[0146] 413、支付处理单元将支付处理数据保存至安全共享内存;
[0147] 支付处理单元在对支付数据和用户信息进行加密得到支付处理数据后,将支付处 理数据保存至安全共享内存。
[0148] 414、Modem从安全共享内存中读取支付处理数据;
[0149] 支付处理数据保存至安全共享内存后,Modem从安全共享内存中读取该支付处理 数据。
[0150] 415、Modem将支付处理数据发送给RF-SM卡;
[0151] Modem从安全共享内存中读取支付处理数据后,将该支付处理数据发送给RF-SM 卡。
[0152] 416、RF-SM卡向支付请求发送方发送支付处理数据。
[0153] RF-S頂卡接收到Modem发送的支付处理数据,通过RF-S頂卡自身的RF模块将该 支付处理数据发送给支付请求方。
[0154] 支付请求方接收到该支付处理数据后,根据该支付处理数据进行扣款等支付操 作,并将支付结果返回给REE中的支付应用程序,以告知用户支付结果,从而完成整个支付 过程。
[0155] 本发明实施例中,RF-SM卡与安全共享内存之间通过Modem进行通信,将RF-SM 卡接收的支付数据、RF-SM卡的私钥和用户信息通过Modem存储至安全共享内存,且 RF-SM卡通过Modem从安全共享内存中读取支付处理数据,从而提升了方案的可实现性。
[0156] 以上是对移动设备中RF-S頂卡和TEE的结合的移动支付方法进行了描述,下面对 RF-SIM卡和TEE结合的移动设备进行描述。
[0157] 结合图5,本发明实施例提供的一种移动设备,包括:
[0158] RF-SIM卡501,用于接收支付请求方发送的支付请求,该支付请求中包含支付数 据;
[0159] 可信任执行环境TEE中的内存502 ;
[0160] 支付处理单元503,用于从RF-S頂卡中获取支付数据,根据支付数据和用户信息 进行支付处理得到支付处理数据,支付处理单元为运行在TEE中的支付应用程序,用户信 息从TEE的内存中获取;
[0161] RF-S頂卡504,还用于从支付处理单元中获取支付处理数据,向支付请求方发送 支付处理数据。
[0162] 本发明实施例中,移动设备中的RF-SIM卡501接收支付请求方发送的支付请求 后,并不是将全部数据和支付运算放在SIM卡的CPU中运行,而是由移动设备中的支付处 理单元503从RF-SM卡501中获取支付请求中的支付数据,该支付处理单元503为运行 在TEE中的支付应用程序,之后,移动设备中的支付处理单元503根据支付数据和用户信息 进行支付处理得到支付处理数据,其中用户信息从TEE的内存中获取,之后,移动设备中的 RF-SIM卡501从支付处理单元503中获取该支付处理数据,并向支付请求方发送该支付处 理数据。从而实现将RF-SM卡的一些存储和运算能力放到移动设备的安全的TEE环境中, 在保证高安全性的基础上,有效地增强了安全支付的存储和运算能力。
[0163] 以下对RF-S頂卡和支付处理单元中的结构进行详细说明。
[0164] 结合图6,本发明实施例提供的一种移动设备,包括:
[0165] RF-SIM卡601,用于接收支付请求方发送的支付请求,该支付请求中包含支付数 据;
[0166] 可信任执行环境TEE中的内存602 ;
[0167] 支付处理单元603,用于从RF-S頂卡中获取支付数据,根据支付数据和用户信息 进行支付处理得到支付处理数据,支付处理单元为运行在TEE中的支付应用程序,用户信 息从TEE的内存中获取;
[0168] RF-SIM卡604,还用于从支付处理单元中获取支付处理数据,向支付请求方发送 支付处理数据。
[0169] 其中,RF-SIM 卡 601 包括:
[0170] 第一接收模块6011,用于接收支付请求;
[0171] 第一获取模块6012,用于从支付处理单元中获取支付处理数据;
[0172] 发送模块6013,用于向支付请求方发送支付处理数据;