基于生物识别技术的移动支付设备、方法和装置的制造方法

基于生物识别技术的移动支付设备、方法和装置的制造方法
【专利说明】基于生物识别技术的移动支付设备、方法和装置
[0001 ] 本申请要求于2015年11月23日提交中国专利局、申请号为201510821881.8、发明名称为“基于生物识别技术的移动支付设备、方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。
技术领域
[0002]本公开涉及移动支付技术领域，特别涉及一种基于生物识别技术的移动支付设备、方法和装置。
【背景技术】
[0003]移动支付是近年来发展和普及的在线支付方式。传统的移动支付方式，需要用户输入较多位数的支付密码以完成支付流程。为了简化用户操作，出现了基于生物识别技术的移动支付方式，如指纹支付。通过采集、识别和验证用户的生物信息，并在生物信息验证通过的情况下直接完成支付流程，从而使得用户免于输入支付密码。
[0004]由于涉及资金交易，移动支付对支付环境的安全性具有较高要求。目前而言，采用英国ARM(Advanced RISC Machines)公司提供的TrustZone技术，能够为移动支付的安全性提供较为可靠的解决方案。根据TrustZone技术的规定，移动终端分为REE(Rich Execut1nEnvironment，富执行环境)和TEE (Trusted Execut1n Environment，可信执行环境)。其中，REE是普通的非保密执行环境，移动终端的操作系统运行于REE中，TEE是安全的保密执行环境。REE中运行有CA(Client Applicat1n，客户应用)，而TEE中运行有TA(TrustedApplicat1n，可信应用)。与REE中的CA所不同的是，TEE为ΤΑ提供一系列的安全服务，包括应用执行的完整性、安全存储、与输入输出设备的安全交互、密钥管理、加密算法以及与REE中的CA进行安全通信等。以指纹支付为例，指纹识别应用包括CA和ΤΑ两部分，指纹识别应用的ΤΑ用于采集、识别和验证指纹信息，并将指纹信息的验证结果提供给指纹识别应用的CA。如果第三方支付应用直接从指纹识别应用的CA获取验证结果，由于指纹识别应用的CA运行于REE中，第三方支付应用获取的验证结果是不可信的。因此，第三方支付应用也相应包括CA和ΤΑ两部分，第三方支付应用的ΤΑ直接从指纹识别应用的ΤΑ获取可信的验证结果，并提供给第三方支付应用的CA，从而确保获取的验证结果真实可靠。
[0005]在实际应用中，用户有在一台移动终端中安装使用多款不同的第三方支付应用的需求。例如，一台移动终端同时支持支付宝和微信支付两款第三方支付应用。目前，移动终端中安装第三方支付应用的ΤΑ包括如下两种方式:第一，在移动终端出厂之前，即将第三方支付应用的ΤΑ预先安装在移动终端的TEE中；第二，第三方支付应用的ΤΑ以SP(ServiceProvider，服务提供商)ΤΑ的形式进行开发和签名，后期通过下载的方式载入至移动终端的TEE中。然而，不论通过上述何种安装方式，若移动终端需要同时支持多款第三方支付应用，则会带来如下问题:
[0006]第一，由于ΤΑ只有在被正式地数字签名过之后，才能顺利通过TEE中的Trusted OS(Trusted Operating System，可信的操作系统)对其的身份验证，进而在TEE中正常运行，而对ΤΑ进行数字签名需要向提供TrustZone技术的公司支付一定的费用，因此若移动终端同时支持多款第三方支付应用，则需支付多项签名费用，造成成本增加；
[0007]第二，由于TEE中存储有诸如联系人信息、IMEI (Internat 1nal MobileEquipment Identity，移动设备国际身份码)等重要私密信息，这些重要私密信息对于TEE中运行的ΤΑ来说是可见的，若移动终端安装了恶意的第三方支付应用，则TEE中存储的重要私密信息可能会被肆意读取，TEE存在较高的安全风险。

【发明内容】

[0008]为了克服相关技术存在的问题，本公开实施例提供了一种基于生物识别技术的移动支付设备、方法和装置。所述技术方案如下:
[0009]根据本公开实施例的第一方面，提供了一种基于生物识别技术的移动支付设备，所述移动支付设备包括:
[0010]生物信息识别应用、以及运行在TEE中的通用支付ΤΑ;
[0011]所述通用支付ΤΑ，用于供多个第三方支付应用调用，接收第三方支付应用的调用请求，根据所述调用请求确定需要加密的目标内容和执行加密所需的加密参数，从所述生物信息识别应用获取生物信息识别结果，根据所述加密参数和所述生物信息识别结果对所述目标内容进行加密，向所述第三方支付应用返回加密结果，使得所述第三方支付应用根据所述加密结果执行支付相关操作。
[0012]可选地，所述通用支付ΤΑ，用于在第三方支付应用开通基于生物识别技术的支付功能时，在所述通用支付ΤΑ未存储有所述第三方支付应用所对应的应用密钥的情况下，采用第一密钥生成算法生成所述第三方支付应用的应用密钥，采用第一数据加密算法和设备密钥对所述应用密钥进行加密；
[0013]以及，所述通用支付ΤΑ，还用于采用第二密钥生成算法生成目标用户帐号所对应的用户密钥，采用第二数据加密算法和所述应用密钥对所述用户密钥进行加密；
[0014]其中，所述通用支付ΤΑ将加密后的应用密钥和用户密钥返回给所述第三方支付应用，以通过所述第三方支付应用提供给后台服务器；
[0015]其中，所述加密参数包括所述第一密钥生成算法、所述第一数据加密算法、所述第二密钥生成算法和所述第二数据加密算法，由所述第三方支付应用调用所述通用支付ΤΑ时通过所述调用请求指示。
[0016]可选地，所述通用支付ΤΑ，用于在第三方支付应用开通基于生物识别技术的支付功能时，在所述通用支付ΤΑ已存储有所述第三方支付应用所对应的应用密钥的情况下，采用第二密钥生成算法生成目标用户帐号所对应的用户密钥，采用第二数据加密算法和所述应用密钥对所述用户密钥进行加密；
[0017]其中，所述通用支付ΤΑ将加密后的用户密钥返回给所述第三方支付应用，以通过所述第三方支付应用提供给后台服务器；
[0018]其中，所述加密参数包括所述第二密钥生成算法和所述第二数据加密算法，由所述第三方支付应用调用所述通用支付ΤΑ时通过所述调用请求指示。
[0019]可选地，所述通用支付ΤΑ，用于在第三方支付应用针对目标用户帐号执行支付操作时，在所述生物信息识别结果指示所述生物信息验证通过的情况下，通过所述加密参数和所述目标用户帐号所对应的用户密钥对所述目标内容进行加密，得到加密结果；
[0020]其中，所述通用支付TA将所述加密结果返回给所述第三方支付应用，以通过所述第三方支付应用提供给后台服务器。
[0021]可选地，所述生物信息识别结果由所述生物信息识别应用在接收到所述第三方支付应用的调用请求之后，采集、识别和验证所述生物信息之后得到，并由所述生物信息识别应用发送给所述第三方支付应用；
[0022]所述第三方支付应用用于在确认从所述生物信息识别应用获取的所述生物信息识别结果指示所述生物信息验证通过的情况下，向所述通用支付TA发送所述调用请求。
[0023]可选地，所述通用支付TA包括:算法管理模块、密钥管理模块、数据加密模块、结果获取模块和密钥存储模块；
[0024]所述算法管理模块，用于管理基于生物识别技术的第三方支付应用所采用的算法;其中，所述算法包括:至少一种密钥生成算法和至少一种数据加密算法；
[0025]所述密钥管理模块，用于采用所述密钥生成算法生成执行支付相关操作所需的密钥；
[0026]所述数据加密模块，用于采用所述数据加密算法对需要加密的目标内容进行加密；
[0027]所述结果获取模块，用于从所述生物信息识别应用获取所述生物信息识别结果；
[0028]所述密钥存储模块，用于存储所述密钥管理模块生成的所述密钥。
[0029 ]可选地，所述第三方支付应用为运行在REE中的CA。
[0030]根据本公开实施例的第二方面，提供了一种基于生物识别技术的移动支付方法，应用于运行在TEE中的通用支付TA中，所述通用支付TA用于供多个第三方支付应用调用；
[0031]所述方法包括:
[0032]接收第三方支付应用的调用请求；
[0033]根据所述调用请求确定需要加密的目标内容和执行加密所需的加密参数；
[0034]从所述生物信息识别应用获取生物信息识别结果；
[0035]根据所述加密参数和所述生物信息识别结果对所述目标内容进行加密；
[0036]向所述第三方支付应用返回加密结果，使得所述第三方支付应用根据所述加密结果执行支付相关操作。
[0037]可选地，在第三方支付应用开通基于生物识别技术的支付功能时，所述方法还包括:
[0038]在所述通用支付TA未存储有所述第三方支付应用所对应的应用密钥的情况下，采用第一密钥生成算法生成所述第三方支付应用的应用密钥，采用第一数据加密算法和设备密钥对所述应用密钥进行加密；
[0039]采用第二密钥生成算法生成目标用户帐号所对应的用户密钥，采用第二数据加密算法和所述应用密钥对所述用户密钥进行加密；
[0040]将加密后的应用密钥和用户密钥返回给所述第三方支付应用，以通过所述第三方支付应用提供给后台服务器；
[0041]其中，所述加密参数包括所述第一密钥生成算法、所述第一数据加密算法、所述第二密钥生成算法和所述第二数据加密算法，由所述第三方支付应用调用所述通用支付TA时通过所述调用请求指示。
[0042]可选地，在第三方支付应用开通基于生物识别技术的支付功能时，所述方法还包括:
[0043]在所述通用支付TA已存储有所述第三方支付应用所对应的应用密钥的情况下，采用第二密钥生成算法生成目标用户帐号所对应的用户密钥，采用第二数据加密算法和所述应用密钥对所述用户密钥进行加密；
[0044]将加密后的用户密钥返回给所述第三方支付应用，以通过所述第三方支付应用提供给后台服务器；
[0045]其中，所述加密参数包括所述第二密钥生成算法和所述第二数据加密算法，由所述第三方支付应用调用所述通用支付TA时通过所述调用请求指示。
[0046]可选地，在第三方支付应用针对目标用户帐号执行支付操作时，所述根据所述加密参数和所述生物信息识别结果对所述目标内容进行加密，包括:
[0047]在所述生物信息识别结果指示所述生物信息验证通过的情况下，通过所述加密参数和所述目标用户帐号所对应的用户密钥对所述目标内容进行加密，得到加密结果，将所述加密结果返回给所述第三方支付应用，以通过所述第三方支付应用提供给后台服务器。
[0048]可选地，所述生物信息识别结果由所述生物信息识别应用在接收到所述第三方支付应用的调用请求之后，采集、识别和验证所述生物信息之后得到，并由所述生物信息识别应用发送给所述第三方支付应用；
[0049]所述第三方支付应用在确认从所述生物信息识别应用获取的所述生物信息识别结果指示所述生物信息验证通过的情况下，向所述通用支付TA发送所述调用请求。
[0050]可选地，所述第三方支付应用为运行在REE中的CA。
[0051]根据本公开实施例的第三方面，提供了一种基于生物识别技术的移动支付装置，所述装置包括: