4] 可选的,在支付处理单元703中的处理模块7033使用私钥对支付数据和用户信息 进行加密之前,生物识别单元可以进行生物特征识别认证,具体过程如下:
[0235] 当用户打开支付应用时,移动设备中的生物特征采集器采集用户的第一生物特 征信息,生物特征采集器成功采集到第一生物特征信息后,运行在TEE中的生物识别可信 应用程序将采集到的第一生物特征信息和预先存储在TEE中第二生物特征信息进行比 对。若第一生物特征信息和第二生物特征信息一致时,说明支付操作的用户是合法的,则让 RF-SM卡初始化过程中TEE获得的RF-SM卡的私钥处于可用状态,从而使得TEE中的支付 处理单元能够使用RF-SIM卡的私钥对支付数据和用户信息进行支付处理。例如:用户打开 REE中的支付应用进行支付时,支付应用程序会提示用户进行指纹识别认证,用户将手指放 至手机指纹采集器上,指纹感应器就会采集用户的指纹信息,与TEE中存储的生物特征信 息进行比对。其中生物特征信息包括指纹、人脸、虹膜、视网膜、声音、脉搏、耳廓等人体生理 特征,除此之外,还可以包括其他人体的生理特征,具体此处不做限定。
[0236] 需要说明的是,生物特征识别认证技术与本方案的结合,需要移动设备支持生物 特征信息采集、用户有开启生物识别认证功能等条件的支持。所以,生物识别认证步骤在 RF-SIM卡和TEE结合的支付方法中是可选的执行步骤。
[0237] 支付处理单元703中的处理模块7033使用私钥对支付数据和用户信息进行加密 得到支付处理数据后,支付处理单元703中的第二保存模块7034将支付处理数据保存至移 动设备的安全共享内存704。
[0238] 支付处理单元703中的第二保存模块7034将支付处理数据保存至移动设备的安 全共享内存704后,RF-S頂卡701中的第一获取模块7012从安全共享内存704中获取到 该支付处理数据。
[0239] RF-S頂卡701中的第一获取模块7012从安全共享内存704中获取支付处理数据 后,发送模块7013向支付请求方发送该支付处理数据。
[0240] 支付请求方接收到该支付处理数据后,可以根据该支付处理数据进行扣款等支付 操作,并将支付结果返回给REE中的支付应用程序,以告知用户支付结果,从而完成整个支 付过程。
[0241] 可选的,作为另一个实施例,在支付处理单元中的第二获取模块7031读取支付数 据之前,可以进行生物特征识别认证,具体过程如下:
[0242] 本发明实施例中,RF-S頂卡701在使用前,将RF-S頂卡701中支付所需的私钥和 用户信息保存至TEE的内存702中,以确保存储在RF-S頂卡701中的信息在不接触REE环 境的基础上,存储到TEE的内存702中,以完成RF-S頂卡的初始化,给TEE中的支付处理单 元703提供安全的支付信息。从而使得将RF-SM卡701的一些存储和运算能力放到移动 设备的TEE环境中后,在有效的增强了支付的存储和运算能力的同时,保证了支付过程的 高安全性。
[0243] 其次,本本发明实施例中,支付处理单元703中的处理模块7033使用私钥对支付 数据和用户信息进行加密来进行支付处理,提高了方案的可实现性。
[0244] 另外,在本发明实施例中,作为移动设备可选的结构组成部分,生物识别单元在 TEE中的支付处理单元对支付数据进行处理之前利用生物识别技术进行生物识别认证,将 生物特征的存储和认证过程放在TEE安全环境中完成,使其有足够的存储和计算能力来实 现生物特征识别认证,改变了传统的RF-SIM卡中没有足够的存储和运算能力来支持生物 识别认证的状况,且极大的提高了移动支付的安全性。
[0245] 结合图8,本发明实施例提供的一种移动设备,包括:
[0246] RF-SIM卡801,用于接收支付请求方发送的支付请求,该支付请求中包含支付数 据;
[0247] 可信任执行环境TEE中的内存802 ;
[0248] 支付处理单元803,用于从RF-S頂卡中获取支付数据,根据支付数据和用户信息 进行支付处理得到支付处理数据,支付处理单元为运行在TEE中的支付应用程序,用户信 息从TEE的内存中获取;
[0249] RF-S頂卡804,还用于从支付处理单元中获取支付处理数据,向支付请求方发送 支付处理数据。
[0250] 其中,RF-SIM 卡 801 包括:
[0251] 第一接收模块8011,用于接收支付请求;
[0252] 第一获取模块8012,用于从支付处理单元中获取支付处理数据;
[0253] 发送模块8013,用于向支付请求方发送支付处理数据;
[0254] 其中,支付处理单元803包括:
[0255] 第二获取模块8031,用于从RF-SM卡中获取支付数据;
[0256] 第三获取模块8032,用于从TEE的内存中获取用户信息;
[0257] 处理模块8033,用于根据支付数据和用户信息进行支付处理得到支付处理数据。
[0258] 另外,移动设备还包括:安全共享内存804 ;
[0259] RF-SM卡801还包括:第一保存模块8014,用于将支付数据保存至安全共享内存 804 ;第二获取模块8031具体用于从安全共享内存804中获取支付数据。
[0260] 支付处理单元803还包括:第二保存模块8034,用于将支付处理数据保存至安全 共享内存804 ;第一获取模块8012具体用于从安全共享内存804中获取支付处理数据。
[0261] 支付处理单元803还包括:第四获取模块8035,用于从RF-S頂卡801中获取私钥 和用户信息;第三保存模块8036,用于将私钥和用户信息保存至TEE的内存802中。
[0262] 处理模块8033具体用于使用私钥对支付数据和用户信息进行加密处理得到支付 处理数据。
[0263] RF-S頂卡801还包括:第四保存模块8015,用于将私钥和所述用户信息保存至安 全共享内存804 ;第三获取模块8035具体用于从所述安全共享内存804中读取所述私钥和 所述用户信息。
[0264] 另外,移动设备还包括:Modem 805,用于与RF-SM卡连接,RF-SM卡通过Modem 805与移动设备中的其他模块进行通信。
[0265] 下面以一个具体的应用场景对本发明移动设备各模块之间的交互进行描述:
[0266] 在用户初次使用某台移动支付设备,将RF-SIM卡801插入该移动设备时,移动设 备的REE中的应用程序会探测到插入的RF-SIM卡801,触发初始化流程,从而发出RF-SIM 卡初始化命令给Modem 805, Modem 805接收到此命令。
[0267] Modem 805接收到RF-S頂卡初始化命令后,RF-SM卡中的第四保存模块8015通 过Modem 805从RF-SM卡801中读取RF-SM卡801中支付认证用的私钥和存储在RF-SM 卡801中的用户信息。
[0268] 需要说明的是,此处读取的RF-SIM卡801中的用户信息是指在支付过程中需要 的个人信息,可以包括:移动用户信息(例如:国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)),银行账户信息(例如:银行卡账号、支付密 码)等,具体此处不做限定。
[0269] RF-SM卡中的第四保存模块8015通过Modem 805读取RF-S頂卡801的私钥和用 户信息之后,通过Modem 805将RF-S頂卡801的私钥和用户信息保存至安全共享内存804 中。
[0270] 其中,安全共享内存804是移动设备中的一块存储,该内存在移动设备的访问控 制单元的控制下,只能被TEE中的应用程序和与RF-S頂卡连接的Modem 805访问。在安全 共享内存804的支持下,RF-SIM卡801和TEE的应用程序之间可以在REE不介入的情况下 实现数据交互,保证支付过程核心数据安全。
[0271] 在实际应用中,该安全共享内存804可以采用ARM TrustZone技术实现的安全共 享内存,也可以采用其他技术实现,具体此处不做限定。
[0272] RF-SM卡中的第四保存模块8015通过Modem 805将RF-S頂卡801的私钥和用户 信息保存至安全共享内存804之后,支付处理单元803中的第四获取模块8035从安全共享 内存804中读取RF-S頂卡801的私钥和用户信息,支付处理单元803为在TEE中执行的支 付应用程序。
[0273] 第四获取模块8035从安全共享内存804中读取RF-S頂卡801的私钥和用户信息 后,第三保存模块8036将其保存至TEE的内存802中,完成RF-SM卡的初始化过程。
[0274] 以上步骤是RF-S頂卡801安全初始化的过程,需要说明的是,RF-SM801卡初始 化时,除了读取RF-SIM卡801的私钥和用户信息以外,还可以读取其他支付过程中需要的 RF-SM卡信息,具体此处不做限定。
[0275] 另外,需要说明的是,以上步骤只是一种比较通用的RF-SM卡安全初始化过程, 在实际应用中,可能有多种初始化RF-SIM卡的方法,只要是能保证RF-SIM卡中的私钥和用 户信息在不接触REE环境的基础上,存储到TEE中即可,具体初始化的方法,此处不做限定。
[0276] 在有近场支付交易发生时,用户会先打开移动设备中的支付应用,通过近场接触, 移动设备中的RF-SIM卡801的第一接收模块8011和支付请求方建立连接,支付请求方向 第一接收模块8011发送支付请求,该支付请求中包含支付请求命令和支付数据。实际上, 第一接收模块8011接收到的是载波,该载波携带了支付请求。
[0277] 需要说明的是,具体的,本发明实施例中的支付请求方可以为发送支付请求的某 个近场支付服务,也可以是能发送支付请求的其他服务或设备,此处不做限定。
[0278] 在实际应用中,支付数据为支付请求发送的交易数据,具体可以包括:交易单号、 商品名称、交易金额等信息,具体此处不做限定。
[0279] RF-SM卡801在接收到支付请求后,RF-SM卡801中的第一保存模块8014会将 该支付请求发送给Modem 805。
[0280] Modem 805接收到支付请求后,将其中的支付数据保存至安全共享内存804。
[0281] Modem 805接收到支付请求后,将其中的支付请求命令转发给REE中的应用程序, 之后,移动设备从REE模式切换到TEE模式,同时移动设备再将该支付请求命令发送给运行 在TEE中的支付处理单元803,支付处理单元803为运行在TEE中的支付应用程序。
[0282] 支付处理单元803接收到支付请求命令之后,第二获取模块8031从安全共享内存 804中读取支付数据。
[0283] 第二获取模块8031在接收到支付请求命令后,第三获取模块8032从TEE内存802 中读取RF-S頂卡801初始化时存储在TEE内存802中的RF-SM卡私钥和用户信息。
[0284] 第二获取模块8031从安全共享内存804中读取支付数据,第三获取模块8032从 TEE的内存802中读取RF-SIM卡的私钥和用户信息后,处理模块8033使用私钥对支付数据 和用户信息进行加密,从而生成加密的支付处理数据。
[0285] 需要说明的是,在实际应用中,支付处理单元803读取的信息不一定只包含私钥、 支付数据、用户信息,还可以包括其他类型的支付所需的信息;支付处理过程中使用私钥加 密的数据不一定只包括支付数据和用户信息,还可以包括其他类型的支付所需的信息,具 体此处不做限定。
[0286] 另外,在实际应用中,处理模块8033对数据进行支付处理的方式不一定是使用私 钥对支付数据和用户信息进行加密,还可以采用其他方式对数据进行处理,具体此处不做 限定。
[0287] 处理模块8033在对支付数据和用户信息进行加密得到支付处理数据后,第二保 存模块8034将支付处理数据保存至安全共享内存804。
[0288] 第二保存模块8034将支付处理数据保存至安全共享内存804后,Modem805从安 全共享内存804中读取该支付处理数据。
[0289] Modem 805从安全共享内存804中读取支付处理数据后,将该支