识别技术的第三方支付应用所采用的算法。上述算法包括:至少一种密钥生成算法和至少一种数据加密算法。其中,密钥生成算法是指用于生成执行支付相关操作所需的密钥的算法。在本实施例中,密钥生成算法用于生成第三方支付应用所对应的应用密钥,以及登录第三方支付应用的用户帐号所对应的用户密钥。数据加密算法是指用于对需要加密的目标内容进行加密的算法。在支付流程中,目标内容可包括由第三方支付应用的CA14与后台服务器协商确定的内容,如订单号。在开通流程(即指开通基于生物识别技术的支付功能的流程)中,目标内容可包括生成的应用密钥或者用户密钥。考虑到在本公开实施例中,通用支付TA24供多个第三方支付应用的CA14共用,而不同的第三方支付应用对于密钥生成算法和数据加密算法可能具有不同的要求,即使同一款第三方支付应用在生成不同的密钥时或者在对不同的内容进行加密时,也有可能采用不同的密钥生成算法或者采用不同的数据加密算法,因此算法管理模块241管理有至少一种密钥生成算法和至少一种数据加密算法,例如在算法管理模块241中预配置若干种常用的密钥生成算法和若干种常用的数据加密算法。另外,数据加密算法可以是数字签名算法。
[0112]可选地,上述算法还包括:至少一种数据散列算法。其中,数据散列算法是指用于提取需要加密的目标内容的散列值的算法。采用数据加密算法对提取到的散列值进行加密。基于同样的理由,由于通用支付TA24供多个第三方支付应用的CA14共用,因此算法管理模块241管理有至少一种数据散列算法,例如在算法管理模块241中预配置若干种常用的数据散列算法。
[0113]密钥管理模块242,用于采用密钥生成算法生成执行支付相关操作所需的密钥。其中,所采用的密钥生成算法由第三方支付应用的CA14在调用通用支付TA24时的调用请求中用参数进行指示。
[0114]数据加密模块243,用于采用数据加密算法对需要加密的目标内容进行加密。其中,所采用的数据加密算法由第三方支付应用的CA14在调用通用支付TA24时的调用请求中用参数进行指示。可选地,当数据加密算法为数字签名算法时,数据加密模块243被配置为采用数字加密算法对目标内容进行数字签名。
[0115]结果获取模块244,用于从生物信息识别应用的TA22获取生物信息识别结果。在本公开实施例中,生物信息识别应用用于对下列一项或者多项生物信息进行识别:指纹、虹膜、视网膜、基因、声音、人脸、手掌几何、静脉、步态和笔迹等。结合参考图2,生物信息识别应用的TA22包括:采集模块221、算法模块222、识别模块223和存储模块224。采集模块221被配置为获取用于采集生物信息的传感器采集得到的生物信息的原始数据。以指纹为例,当指纹传感器为摄像头时,采集模块221被配置为获取摄像头采集得到的指纹图像。算法模块222被配置为将生物信息的原始数据转换为数字数据。一方面,能够有效减少生物信息所需占用的存储空间;另一方面,由于直接存储生物信息的原始数据存在被复制的风险,将生物信息的原始数据转换为数字数据之后,能够提高生物信息的安全性。识别模块223被配置为将当前采集的生物信息与预先存储的生物信息进行匹配验证,得到识别结果。存储模块224被配置为存储生物信息和识别结果。
[0116]密钥存储模块245,用于存储密钥管理模块242生成的密钥。在本公开实施例中,密钥存储模块245用于存储应用密钥和用户密钥。
[0117]可选地,密钥管理模块242,还用于采用安全性保护算法对密钥进行处理,并将处理后的密钥存储至密钥存储模块245中。其中,安全性保护算法是指用于对密钥进行安全性保护的算法,包括但不限于数据加密算法、数据分割与拼装算法等。
[0118]下面,分别从开通流程(即指开通基于生物识别技术的支付功能的流程)和支付流程两个方面,对本实施例提供的系统进行介绍和说明。
[0119]1、开通流程(以第三方支付应用中的目标用户帐号为例)
[0120]第三方支付应用的CA14,用于调用通用支付TA24,请求通用支付TA24生成目标用户帐号所对应的用户密钥。
[0121]在密钥存储模块245中未存储有第三方支付应用所对应的应用密钥的情况下,通用支付TA24,用于采用第一密钥生成算法生成第三方支付应用的应用密钥;通过数据加密模块243采用第一数据加密算法和设备密钥对应用密钥进行加密;将加密后的应用密钥返回给第三方支付应用的CA14,以通过第三方支付应用的CA14提供给后台服务器;以及,通用支付TA24,还用于采用第二密钥生成算法生成目标用户帐号所对应的用户密钥;通过数据加密模块243采用第二数据加密算法和应用密钥对用户密钥进行加密;将加密后的用户密钥返回给第三方支付应用的CA14,以通过第三方支付应用的CA14提供给后台服务器。其中,所采用的第一密钥生成算法、第一数据加密算法、第二密钥生成算法和第二数据加密算法,由第三方支付应用的CA14调用通用支付TA24时通过调用请求指示。
[0122]在密钥存储模块245中已存储有第三方支付应用所对应的应用密钥的情况下,通用支付TA24,用于采用第二密钥生成算法生成目标用户帐号所对应的用户密钥;通过数据加密模块243采用第二数据加密算法和应用密钥对用户密钥进行加密;将加密后的用户密钥返回给第三方支付应用的CA14,以通过第三方支付应用的CA14提供给后台服务器。其中,所采用的第二密钥生成算法和第二数据加密算法,由第三方支付应用的CA14调用通用支付TA24时通过调用请求指示。
[0123]可选地,设备密钥、应用密钥和用户密钥中的任意一项或者多项为非对称密钥。
[0124]2、支付流程(以第三方支付应用中的目标用户帐号为例)
[0125]第三方支付应用的CA14,用于调用生物信息识别应用的CA12,请求生物信息识别应用的CA12调用生物信息识别应用的TA22以采集、识别和验证生物信息。
[0126]第三方支付应用的CA14,还用于与后台服务器协商支付流程中所需校验的目标内容;在生物信息识别应用的CA12获取到生物信息识别结果之后,调用通用支付TA24,请求通用支付TA24对目标内容进行加密。
[0127]通用支付TA24,用于通过结果获取模块244从生物信息识别应用的TA22获取生物信息识别结果;在生物信息识别结果指示生物信息验证通过的情况下,通过数据加密模块243采用指定的数据加密算法和目标用户帐号所对应的用户密钥对目标内容进行加密,得到加密结果。
[0128]第三方支付应用的CA14,还用于从通用支付TA24获取加密结果;将加密结果发送给后台服务器;其中,后台服务器用于采用目标用户帐号所对应的用户密钥对加密结果进行解密,得到解密内容,并在解密内容与目标内容相符的情况下,完成支付流程。
[0129]综上所述,本实施例提供的移动支付设备,通过在TEE中安装运行可供多个第三方支付应用调用的通用支付TA;解决了相关技术在移动终端需要支持多款第三方支付应用时,因在TEE中安装多个相应的TA而导致成本增加,且导致TEE存在较高的安全风险的问题;实现了多个第三方支付应用共用一个通用支付TA,无需在TEE中安装多个TA,一方面有助于减少签名费用,降低成本,另一方面能够有效避免移动终端安装到恶意的第三方支付应用的TA,降低TEE的安全风险。
[0130]此外,考虑到不同的第三方支付应用对密钥生成算法、数据加密算法等算法可能具有不同的要求,通过在通用支付TA中预配置若干种常用的算法,使得通用支付TA能够支持多款用户常用的不同第三方支付应用。此外,由于通用支付TA中存储的算法是可以在后续设备升级的过程中进行更新的,因此通用支付TA有能力兼容更多的第三方支付应用。
[0131]需要说明的一点是,上述实施例中涉及的通用支付TA在实现其功能时,仅以上述各个功能模块的划分进行举例说明,实际应用中,可以根据实际需要而将上述功能分配由不同的功能模块完成,以完成以上描述的全部或者部分功能。
[0132]图3是本发明一个实施例提供的一种基于生物识别技术的移动支付方法的流程图。该方法可应用于上述图1或者图2所示实施例提供的移动支付设备中运行的通用支付TA中。该方法可包括如下步骤。
[0133]在步骤302中,接收第三方支付应用的调用请求。
[0134]在步骤304中,根据调用请求确定需要加密的目标内容和执行加密所需的加密参数。
[0135]在步骤306中,从生物信息识别应用获取生物信息识别结果。
[0136]在步骤308中,根据加密参数和生物信息识别结果对目标内容进行加密。
[0137]在步骤310中,向第三方支付应用返回加密结果,使得第三方支付应用根据加密结果执行支付相关操作。
[0138]综上所述,本实施例提供的移动支付方法,通过在TEE中安装运行可供多个第三方支付应用调用的通用支付TA;解决了相关技术在移动终端需要支持多款第三方支付应用时,因在TEE中安装多个相应的TA而导致成本增加,且导致TEE存在较高的安全风险的问题;实现了多个第三方支付应用共用一个通用支付TA,无需在TEE中安装多个TA,一方面有助于减少签名费用,降低成本,另一方面能够有效避免移动终端安装到恶意的第三方支付应用的TA,降低TEE的安全风险。
[0139]可选地,在第三方支付应用开通基于生物识别技术的支付功能时,所述方法还包括:
[0140]在所述通用支付TA未存储有所述第三方支付应用所对应的应用密钥的情况下,采用第一密钥生成算法生成所述第三方支付应用的应用密钥,采用第一数据加密算法和设备密钥对所述应用密钥进行加密;
[0141]采用第二密钥生成算法生成目标用户帐号所对应的用户密钥,采用第二数据加密算法和所述应用密钥对所述用户密钥进行加密;
[0142]将加密后的应用密钥和用户密钥返回给所述第三方支付应用,以通过所述第三方支付应用提供给后台服务器;
[0143 ]其中,所述加密参数包括所述第一密钥生成算法、所述第一数据加密算法、所述第二密钥生成算法和所述第二数据加密算法,由所述第三方支付应用调用所述通用支付TA时通过所述调用请求指示。
[0144]可选地,在第三方支付应用开通基于生物识别技术的支付功能时,所述方法还包括:
[0145]在所述通用支付TA已存储有所述第三方支付应用所对应的应用密钥的情况下,采用第二密钥生成算法生成目标用户帐号所对应的用户密钥,采用第二数据加密算法和所述应用密钥对所述用户密钥进行加密;
[0146]将加密后的用户密钥返回给所述第三方支付应用,以通过所述第三方支付应用提供给后台服务器;
[0147]其中,所述加密参数包括所述第二密钥生成算法和所述第二数据加密算法,由所述第三方支付应用调用所述通用支付TA时通过所述调用请求指示。
[0148]可选地,在第三方支付应用针对目标用户帐号执行支付操作时,所述根据所述加密参数和所述生物信息识别结果对所述目标内容进行加密,包括:
[0149]在所述生物信息识别结果指示所述生物信息验证通过的情况下,通过所述加密参数和所述目标用户帐号所对应的用户密钥对所述目标内容进行加密,得到加密结果,将所述加密结果返回给所述第三方支付应用,以通过所述第三方支付应用提供给后台服务器。
[0150]可选地,所述生物信息识别结果由所述生物信息识别应用在接收到所述第三方支付应用的调用请求之后,采集、识别和验证所述生物信息之后得到,并由所述生物信息识别应用发送给所述第三方支付应用;