[0173] 其中,支付处理单元603包括:
[0174] 第二获取模块6031,用于从RF-SM卡中获取支付数据;
[0175] 第三获取模块6032,用于从TEE的内存中获取用户信息;
[0176] 处理模块6033,用于根据支付数据和用户信息进行支付处理得到支付处理数据。
[0177] 另外,移动设备还包括:安全共享内存604 ;
[0178] RF-SM卡601还包括:第一保存模块6014,用于将支付数据保存至安全共享内存 604 ;第二获取模块6031具体用于从安全共享内存604中获取支付数据。
[0179] 支付处理单元603还包括:第二保存模块6034,用于将支付处理数据保存至安全 共享内存604 ;第一获取模块6012具体用于从安全共享内存604中获取支付处理数据。
[0180] 下面以一个具体的应用场景对本发明移动设备各模块之间的交互进行描述:
[0181] 在有近场支付交易发生时,用户会先打开移动设备中的支付应用,通过近场接触, 移动设备中的RF-SIM卡601和支付请求方建立连接,支付请求方向移动设备中的RF-SIM 卡601发送支付请求,该支付请求中包含支付数据。
[0182] 需要说明的是,具体的,本发明实施例中的支付请求方可以为发送支付请求的某 个近场支付服务,也可以是能发送支付请求的其他服务或设备,此处不做限定。
[0183] 在实际应用中,支付数据为支付请求发送的交易数据,具体可以包括:交易单号、 商品名称、交易金额等信息,具体此处不做限定。
[0184] 移动设备中的RF-SIM卡601中的第一接收模块6011在接收到支付请求方发送的 支付请求后,RF-SIM卡601中的第一保存模块6014将支付请求中的支付数据保存至移动 设备的安全共享内存604中。
[0185] 安全共享内存604是移动设备中的一块存储,该内存在移动设备的访问控制单元 的控制下,只能被TEE和与RF-SM卡连接的特定单元访问。在安全共享内存604的支持下, RF-SM卡和TEE之间可以在REE不介入的情况下实现数据交互,保证支付过程核心数据安 全。
[0186] 在实际应用中,安全共享内存604可以采用ARM TrustZone技术实现的安全共享 内存,也可以采用其他技术实现,具体此处不做限定。
[0187] 在移动设备中的RF-SIM卡601将支付数据保存至移动设备的安全共享内存604 之后,支付处理单元603中的第一获取模块6031从安全共享内存604中读取支付数据,支 付处理单元603为在TEE中执行的支付应用程序。
[0188] 支付处理单元603中的第一获取模块6031从安全共享内存604中读取支付数据 后,第二获取模块6032再从TEE的内存602中读取RF-SM卡初始化时存储在TEE内存602 中的RF-S頂卡私钥和用户信息,处理模块6033再根据支付数据和用户信息进行支付处理 得到支付处理数据。
[0189] 需要说明的是,此处预先存储在TEE的内存602中的用户信息是指在交易过 程中需要的个人信息,可以包括:移动用户信息(例如:国际移动用户识别码(IMSI, International Mobile Subscriber Identification Number)),银行账户信息(例如:银 行卡账号、支付密码)等,具体此处不做限定。
[0190] 在实际应用中,处理模块6033进行支付处理时所使用到的数据不一定只包含上 述描述的支付数据和用户信息,还可以包含更多其他数据,具体此处不做限定。
[0191] 支付处理单元603中的处理模块6033根据支付数据和用户信息进行支付处理得 到支付处理数据后,支付处理单元603中的第二保存模块6034将支付处理数据保存至移动 设备的安全共享内存。
[0192] 支付处理单元603中的第二保存模块6034将支付处理数据保存至移动设备的安 全共享内存604后,RF-S頂卡601中的第一获取模块6012从安全共享内存604中获取到 该支付处理数据。
[0193] RF-S頂卡601中的第一获取模块6012从安全共享内存604中获取支付处理数据 后,发送模块6013向支付请求方发送该支付处理数据。
[0194] 支付请求方接收到该支付处理数据后,可以根据该支付处理数据进行扣款等支付 操作,并将支付结果返回给REE中的支付应用程序,以告知用户支付结果,从而完成整个支 付过程。
[0195] 本发明实施例中,为了保证支付过程的高安全性,在移动设备中,RF-S頂卡601和 TEE中的支付处理单元603采用安全共享内存通信,在安全共享内存的支持下,RF-SM卡 601和TEE中的支付处理单元603在REE不介入的情况下实现数据交互,保证支付过程核心 数据安全。从而使得将RF-SM卡601的一些存储和运算能力放到移动设备的TEE中后,在 有效的增强了支付的存储和运算能力的同时,保证了支付过程的高安全性。
[0196] 结合图7,本发明实施例提供的一种移动设备,包括:
[0197] RF-SIM卡701,用于接收支付请求方发送的支付请求,该支付请求中包含支付数 据;
[0198] 可信任执行环境TEE中的内存702 ;
[0199] 支付处理单元703,用于从RF-S頂卡中获取支付数据,根据支付数据和用户信息 进行支付处理得到支付处理数据,支付处理单元为运行在TEE中的支付应用程序,用户信 息从TEE的内存中获取;
[0200] RF-S頂卡704,还用于从支付处理单元中获取支付处理数据,向支付请求方发送 支付处理数据。
[0201] 其中,RF-SIM 卡 701 包括:
[0202] 第一接收模块7011,用于接收支付请求;
[0203] 第一获取模块7012,用于从支付处理单元中获取支付处理数据;
[0204] 发送模块7013,用于向支付请求方发送支付处理数据;
[0205] 其中,支付处理单元703包括:
[0206] 第二获取模块7031,用于从RF-SM卡中获取支付数据;
[0207] 第三获取模块7032,用于从TEE的内存中获取用户信息;
[0208] 处理模块7033,用于根据支付数据和用户信息进行支付处理得到支付处理数据。
[0209] 另外,移动设备还包括:安全共享内存704;
[0210] RF-SM卡701还包括:第一保存模块7014,用于将支付数据保存至安全共享内存 704 ;第二获取模块7031具体用于从安全共享内存704中获取支付数据。
[0211] 支付处理单元703还包括:第二保存模块7034,用于将支付处理数据保存至安全 共享内存704 ;第一获取模块7012具体用于从安全共享内存704中获取支付处理数据。
[0212] 支付处理单元703还包括:第四获取模块7035,用于从RF-S頂卡701中获取私钥 和用户信息;第三保存模块7036,用于将私钥和用户信息保存至TEE的内存702中。
[0213] 处理模块7033具体用于使用私钥对支付数据和用户信息进行加密处理得到支付 处理数据。
[0214] RF-S頂卡701还包括:第四保存模块7015,用于将私钥和所述用户信息保存至安 全共享内存704 ;第三获取模块7035具体用于从所述安全共享内存704中读取所述私钥和 所述用户信息。
[0215] 下面以一个具体的应用场景对本发明移动设备各模块之间的交互进行描述:
[0216] 在用户初次使用某台移动设备,将RF-SIM卡701插入该移动设备时,移动设备的 REE中的应用程序会探测到插入的RF-S頂卡701,从而触发RF-S頂卡初始化流程,RF-SM 卡的初始化流程如下:
[0217] RF-S頂卡701中的第四保存模块7015将预置在RF-S頂卡中的私钥和用户信息保 存至安全共享内存704中。
[0218] 其中,私钥可以为RF-SIM卡701内部生成的非对称密钥的私钥,用来防止数据在 传输和存储过程被窃取或篡改,也可以是其他方式预置的私钥,具体此处不做限定。
[0219] 需要说明的是,RF-SM卡701中的用户信息是指在支付过程中需要的个人信 息,可以包括:移动用户信息(例如:国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)),银行账户信息(例如:银行卡账号、支付密码)等, 具体此处不做限定。
[0220] 安全共享内存704是移动设备中的一块存储,该内存在移动设备的访问控制单元 的控制下,只能被TEE和与RF-SM卡连接的特定单元访问。在安全共享内存704的支持下, RF-S頂卡701和TEE中的应用程序可以在REE不介入的情况下实现数据交互,保证支付过 程核心数据安全。
[0221] 在实际应用中,该安全共享内存704可以采用ARM TrustZone技术实现的安全共 享内存,也可以采用其他技术实现,具体此处不做限定。
[0222] 在RF-S頂卡701中的第四保存模块7015将预置在RF-SM卡中的私钥和用户信 息保存至安全共享内存704中之后,支付处理单元703中的第四获取模块7035从安全共享 内存704中读取私钥和用户信息,支付处理单元703为在TEE中执行的支付应用程序。
[0223] 支付处理单元703中的第四获取模块7035从安全共享内存中读取私钥和用户信 息之后,第三保存模块7036将私钥和用户信息保存至TEE的内存702中,从而完成RF-SM 卡的初始化过程。
[0224] 以上步骤是RF-SM卡安全初始化的过程,需要说明的是,RF-S頂卡701初始化时, 除了读取RF-SIM卡的私钥和用户信息以外,还可以读取其他支付过程中需要的RF-SIM卡 信息,具体此处不做限定。
[0225] 另外,需要说明的是,以上只是一种比较通用的RF-S頂卡安全初始化过程,在实 际应用中,可能有多种初始化RF-SIM卡的方法,只要是能保证RF-SIM卡中的私钥和用户信 息在不接触REE环境的基础上,存储到TEE中即可,具体初始化的方法,此处不做限定。
[0226] 在有近场支付交易发生时,用户会先打开移动设备中的支付应用,通过近场接触, 移动设备中的RF-SIM卡701和支付请求方建立连接,支付请求方向移动设备中的RF-SIM 卡701发送支付请求,该支付请求中包含支付数据。
[0227] 需要说明的是,具体的,本发明实施例中的支付请求方可以为发送支付请求的某 个近场支付服务,也可以是能发送支付请求的其他服务或设备,此处不做限定。
[0228] 在实际应用中,支付数据为支付请求发送的交易数据,具体可以包括:交易单号、 商品名称、交易金额等信息,具体此处不做限定。
[0229] 移动设备中的RF-SIM卡701中的第一接收模块7011在接收到支付请求方发送的 支付请求后,RF-SIM卡701中的第一保存模块7014将支付请求中的支付数据保存至移动 设备的安全共享内存704中。
[0230] 在移动设备中的RF-SIM卡701将支付数据保存至移动设备的安全共享内存704 之后,支付处理单元703中的第一获取模块7031从安全共享内存704中读取支付数据,支 付处理单元703为在TEE中执行的支付应用程序。
[0231] 支付处理单元中的第二获取模块7031从安全共享内存704中读取支付数据后,第 三获取模块7032再从TEE的内存702中读取RF-SM卡初始化时存储在TEE的内存704中 的RF-SIM卡的私钥和用户信息,之后,处理模块7033使用私钥对支付数据和用户信息进行 加密,从而生成加密的支付处理数据。
[0232] 需要说明的是,在实际应用中,支付处理单元703读取的信息不一定只包含私钥、 支付数据、用户信息,还可以包括其他类型的支付所需的信息;处理模块7033在支付处理 过程中使用私钥加密的数据不一定只包括支付数据和用户信息,还可以包括其他类型的支 付所需的信息,具体此处不做限定。
[0233] 另外,在实际应用中,处理模块7033对数据进行支付处理的方式不一定是使用私 钥对支付数据和用户信息进行加密,还可以采用其他方式对数据进行处理,具体此处不做 限定。
[023