基于生物識別技術(shù)的移動支付設(shè)備、方法和裝置的制造方法
【專利說明】基于生物識別技術(shù)的移動支付設(shè)備���、方法和裝置
[0001 ] 本申請要求于2015年11月23日提交中國專利局���、申請?zhí)枮?01510821881.8、發(fā)明名稱為“基于生物識別技術(shù)的移動支付設(shè)備����、方法和裝置”的中國專利申請的優(yōu)先權(quán),其全部內(nèi)容通過引用結(jié)合在本申請中�。
技術(shù)領(lǐng)域
[0002]本公開涉及移動支付技術(shù)領(lǐng)域,特別涉及一種基于生物識別技術(shù)的移動支付設(shè)備����、方法和裝置。
【背景技術(shù)】
[0003]移動支付是近年來發(fā)展和普及的在線支付方式���。傳統(tǒng)的移動支付方式,需要用戶輸入較多位數(shù)的支付密碼以完成支付流程���。為了簡化用戶操作�,出現(xiàn)了基于生物識別技術(shù)的移動支付方式����,如指紋支付����。通過采集��、識別和驗(yàn)證用戶的生物信息�����,并在生物信息驗(yàn)證通過的情況下直接完成支付流程�����,從而使得用戶免于輸入支付密碼�。
[0004]由于涉及資金交易,移動支付對支付環(huán)境的安全性具有較高要求�����。目前而言���,采用英國ARM(Advanced RISC Machines)公司提供的TrustZone技術(shù)�����,能夠?yàn)橐苿又Ц兜陌踩蕴峁┹^為可靠的解決方案��。根據(jù)TrustZone技術(shù)的規(guī)定���,移動終端分為REE(Rich Execut1nEnvironment�,富執(zhí)行環(huán)境)和TEE (Trusted Execut1n Environment���,可信執(zhí)行環(huán)境)�����。其中����,REE是普通的非保密執(zhí)行環(huán)境����,移動終端的操作系統(tǒng)運(yùn)行于REE中,TEE是安全的保密執(zhí)行環(huán)境�。REE中運(yùn)行有CA(Client Applicat1n,客戶應(yīng)用)����,而TEE中運(yùn)行有TA(TrustedApplicat1n,可信應(yīng)用)���。與REE中的CA所不同的是����,TEE為ΤΑ提供一系列的安全服務(wù)�,包括應(yīng)用執(zhí)行的完整性、安全存儲���、與輸入輸出設(shè)備的安全交互�����、密鑰管理���、加密算法以及與REE中的CA進(jìn)行安全通信等。以指紋支付為例�,指紋識別應(yīng)用包括CA和ΤΑ兩部分,指紋識別應(yīng)用的ΤΑ用于采集�、識別和驗(yàn)證指紋信息,并將指紋信息的驗(yàn)證結(jié)果提供給指紋識別應(yīng)用的CA���。如果第三方支付應(yīng)用直接從指紋識別應(yīng)用的CA獲取驗(yàn)證結(jié)果�����,由于指紋識別應(yīng)用的CA運(yùn)行于REE中���,第三方支付應(yīng)用獲取的驗(yàn)證結(jié)果是不可信的���。因此,第三方支付應(yīng)用也相應(yīng)包括CA和ΤΑ兩部分�����,第三方支付應(yīng)用的ΤΑ直接從指紋識別應(yīng)用的ΤΑ獲取可信的驗(yàn)證結(jié)果�����,并提供給第三方支付應(yīng)用的CA����,從而確保獲取的驗(yàn)證結(jié)果真實(shí)可靠。
[0005]在實(shí)際應(yīng)用中���,用戶有在一臺移動終端中安裝使用多款不同的第三方支付應(yīng)用的需求���。例如�����,一臺移動終端同時支持支付寶和微信支付兩款第三方支付應(yīng)用。目前����,移動終端中安裝第三方支付應(yīng)用的ΤΑ包括如下兩種方式:第一,在移動終端出廠之前����,即將第三方支付應(yīng)用的ΤΑ預(yù)先安裝在移動終端的TEE中;第二��,第三方支付應(yīng)用的ΤΑ以SP(ServiceProvider����,服務(wù)提供商)ΤΑ的形式進(jìn)行開發(fā)和簽名,后期通過下載的方式載入至移動終端的TEE中���。然而��,不論通過上述何種安裝方式�,若移動終端需要同時支持多款第三方支付應(yīng)用,則會帶來如下問題:
[0006]第一�,由于ΤΑ只有在被正式地數(shù)字簽名過之后,才能順利通過TEE中的Trusted OS(Trusted Operating System��,可信的操作系統(tǒng))對其的身份驗(yàn)證�,進(jìn)而在TEE中正常運(yùn)行,而對ΤΑ進(jìn)行數(shù)字簽名需要向提供TrustZone技術(shù)的公司支付一定的費(fèi)用�,因此若移動終端同時支持多款第三方支付應(yīng)用,則需支付多項(xiàng)簽名費(fèi)用����,造成成本增加;
[0007]第二�����,由于TEE中存儲有諸如聯(lián)系人信息��、IMEI (Internat 1nal MobileEquipment Identity����,移動設(shè)備國際身份碼)等重要私密信息,這些重要私密信息對于TEE中運(yùn)行的ΤΑ來說是可見的�,若移動終端安裝了惡意的第三方支付應(yīng)用,則TEE中存儲的重要私密信息可能會被肆意讀取�,TEE存在較高的安全風(fēng)險�����。
【發(fā)明內(nèi)容】
[0008]為了克服相關(guān)技術(shù)存在的問題����,本公開實(shí)施例提供了一種基于生物識別技術(shù)的移動支付設(shè)備�����、方法和裝置����。所述技術(shù)方案如下:
[0009]根據(jù)本公開實(shí)施例的第一方面��,提供了一種基于生物識別技術(shù)的移動支付設(shè)備���,所述移動支付設(shè)備包括:
[0010]生物信息識別應(yīng)用���、以及運(yùn)行在TEE中的通用支付ΤΑ;
[0011]所述通用支付ΤΑ,用于供多個第三方支付應(yīng)用調(diào)用�,接收第三方支付應(yīng)用的調(diào)用請求,根據(jù)所述調(diào)用請求確定需要加密的目標(biāo)內(nèi)容和執(zhí)行加密所需的加密參數(shù)�,從所述生物信息識別應(yīng)用獲取生物信息識別結(jié)果,根據(jù)所述加密參數(shù)和所述生物信息識別結(jié)果對所述目標(biāo)內(nèi)容進(jìn)行加密,向所述第三方支付應(yīng)用返回加密結(jié)果�,使得所述第三方支付應(yīng)用根據(jù)所述加密結(jié)果執(zhí)行支付相關(guān)操作。
[0012]可選地�,所述通用支付ΤΑ,用于在第三方支付應(yīng)用開通基于生物識別技術(shù)的支付功能時��,在所述通用支付ΤΑ未存儲有所述第三方支付應(yīng)用所對應(yīng)的應(yīng)用密鑰的情況下��,采用第一密鑰生成算法生成所述第三方支付應(yīng)用的應(yīng)用密鑰����,采用第一數(shù)據(jù)加密算法和設(shè)備密鑰對所述應(yīng)用密鑰進(jìn)行加密;
[0013]以及��,所述通用支付ΤΑ����,還用于采用第二密鑰生成算法生成目標(biāo)用戶帳號所對應(yīng)的用戶密鑰,采用第二數(shù)據(jù)加密算法和所述應(yīng)用密鑰對所述用戶密鑰進(jìn)行加密���;
[0014]其中����,所述通用支付ΤΑ將加密后的應(yīng)用密鑰和用戶密鑰返回給所述第三方支付應(yīng)用��,以通過所述第三方支付應(yīng)用提供給后臺服務(wù)器;
[0015]其中�,所述加密參數(shù)包括所述第一密鑰生成算法、所述第一數(shù)據(jù)加密算法�����、所述第二密鑰生成算法和所述第二數(shù)據(jù)加密算法�����,由所述第三方支付應(yīng)用調(diào)用所述通用支付ΤΑ時通過所述調(diào)用請求指示�。
[0016]可選地��,所述通用支付ΤΑ�,用于在第三方支付應(yīng)用開通基于生物識別技術(shù)的支付功能時,在所述通用支付ΤΑ已存儲有所述第三方支付應(yīng)用所對應(yīng)的應(yīng)用密鑰的情況下���,采用第二密鑰生成算法生成目標(biāo)用戶帳號所對應(yīng)的用戶密鑰�,采用第二數(shù)據(jù)加密算法和所述應(yīng)用密鑰對所述用戶密鑰進(jìn)行加密�;
[0017]其中,所述通用支付ΤΑ將加密后的用戶密鑰返回給所述第三方支付應(yīng)用�,以通過所述第三方支付應(yīng)用提供給后臺服務(wù)器;
[0018]其中�����,所述加密參數(shù)包括所述第二密鑰生成算法和所述第二數(shù)據(jù)加密算法,由所述第三方支付應(yīng)用調(diào)用所述通用支付ΤΑ時通過所述調(diào)用請求指示�。
[0019]可選地,所述通用支付ΤΑ��,用于在第三方支付應(yīng)用針對目標(biāo)用戶帳號執(zhí)行支付操作時����,在所述生物信息識別結(jié)果指示所述生物信息驗(yàn)證通過的情況下,通過所述加密參數(shù)和所述目標(biāo)用戶帳號所對應(yīng)的用戶密鑰對所述目標(biāo)內(nèi)容進(jìn)行加密���,得到加密結(jié)果����;
[0020]其中���,所述通用支付TA將所述加密結(jié)果返回給所述第三方支付應(yīng)用���,以通過所述第三方支付應(yīng)用提供給后臺服務(wù)器。
[0021]可選地��,所述生物信息識別結(jié)果由所述生物信息識別應(yīng)用在接收到所述第三方支付應(yīng)用的調(diào)用請求之后���,采集����、識別和驗(yàn)證所述生物信息之后得到,并由所述生物信息識別應(yīng)用發(fā)送給所述第三方支付應(yīng)用����;
[0022]所述第三方支付應(yīng)用用于在確認(rèn)從所述生物信息識別應(yīng)用獲取的所述生物信息識別結(jié)果指示所述生物信息驗(yàn)證通過的情況下,向所述通用支付TA發(fā)送所述調(diào)用請求�。
[0023]可選地,所述通用支付TA包括:算法管理模塊���、密鑰管理模塊����、數(shù)據(jù)加密模塊��、結(jié)果獲取模塊和密鑰存儲模塊�����;
[0024]所述算法管理模塊�����,用于管理基于生物識別技術(shù)的第三方支付應(yīng)用所采用的算法;其中���,所述算法包括:至少一種密鑰生成算法和至少一種數(shù)據(jù)加密算法��;
[0025]所述密鑰管理模塊�����,用于采用所述密鑰生成算法生成執(zhí)行支付相關(guān)操作所需的密鑰�����;
[0026]所述數(shù)據(jù)加密模塊����,用于采用所述數(shù)據(jù)加密算法對需要加密的目標(biāo)內(nèi)容進(jìn)行加密��;
[0027]所述結(jié)果獲取模塊��,用于從所述生物信息識別應(yīng)用獲取所述生物信息識別結(jié)果���;
[0028]所述密鑰存儲模塊�����,用于存儲所述密鑰管理模塊生成的所述密鑰��。
[0029 ]可選地��,所述第三方支付應(yīng)用為運(yùn)行在REE中的CA��。
[0030]根據(jù)本公開實(shí)施例的第二方面��,提供了一種基于生物識別技術(shù)的移動支付方法�,應(yīng)用于運(yùn)行在TEE中的通用支付TA中,所述通用支付TA用于供多個第三方支付應(yīng)用調(diào)用�����;
[0031]所述方法包括:
[0032]接收第三方支付應(yīng)用的調(diào)用請求��;
[0033]根據(jù)所述調(diào)用請求確定需要加密的目標(biāo)內(nèi)容和執(zhí)行加密所需的加密參數(shù)���;
[0034]從所述生物信息識別應(yīng)用獲取生物信息識別結(jié)果��;
[0035]根據(jù)所述加密參數(shù)和所述生物信息識別結(jié)果對所述目標(biāo)內(nèi)容進(jìn)行加密;
[0036]向所述第三方支付應(yīng)用返回加密結(jié)果����,使得所述第三方支付應(yīng)用根據(jù)所述加密結(jié)果執(zhí)行支付相關(guān)操作����。
[0037]可選地����,在第三方支付應(yīng)用開通基于生物識別技術(shù)的支付功能時,所述方法還包括:
[0038]在所述通用支付TA未存儲有所述第三方支付應(yīng)用所對應(yīng)的應(yīng)用密鑰的情況下�����,采用第一密鑰生成算法生成所述第三方支付應(yīng)用的應(yīng)用密鑰�����,采用第一數(shù)據(jù)加密算法和設(shè)備密鑰對所述應(yīng)用密鑰進(jìn)行加密�;
[0039]采用第二密鑰生成算法生成目標(biāo)用戶帳號所對應(yīng)的用戶密鑰,采用第二數(shù)據(jù)加密算法和所述應(yīng)用密鑰對所述用戶密鑰進(jìn)行加密�����;
[0040]將加密后的應(yīng)用密鑰和用戶密鑰返回給所述第三方支付應(yīng)用����,以通過所述第三方支付應(yīng)用提供給后臺服務(wù)器;
[0041]其中,所述加密參數(shù)包括所述第一密鑰生成算法����、所述第一數(shù)據(jù)加密算法、所述第二密鑰生成算法和所述第二數(shù)據(jù)加密算法�,由所述第三方支付應(yīng)用調(diào)用所述通用支付TA時通過所述調(diào)用請求指示。
[0042]可選地�����,在第三方支付應(yīng)用開通基于生物識別技術(shù)的支付功能時��,所述方法還包括:
[0043]在所述通用支付TA已存儲有所述第三方支付應(yīng)用所對應(yīng)的應(yīng)用密鑰的情況下�,采用第二密鑰生成算法生成目標(biāo)用戶帳號所對應(yīng)的用戶密鑰,采用第二數(shù)據(jù)加密算法和所述應(yīng)用密鑰對所述用戶密鑰進(jìn)行加密����;
[0044]將加密后的用戶密鑰返回給所述第三方支付應(yīng)用,以通過所述第三方支付應(yīng)用提供給后臺服務(wù)器����;
[0045]其中,所述加密參數(shù)包括所述第二密鑰生成算法和所述第二數(shù)據(jù)加密算法��,由所述第三方支付應(yīng)用調(diào)用所述通用支付TA時通過所述調(diào)用請求指示����。
[0046]可選地,在第三方支付應(yīng)用針對目標(biāo)用戶帳號執(zhí)行支付操作時����,所述根據(jù)所述加密參數(shù)和所述生物信息識別結(jié)果對所述目標(biāo)內(nèi)容進(jìn)行加密,包括:
[0047]在所述生物信息識別結(jié)果指示所述生物信息驗(yàn)證通過的情況下�����,通過所述加密參數(shù)和所述目標(biāo)用戶帳號所對應(yīng)的用戶密鑰對所述目標(biāo)內(nèi)容進(jìn)行加密�,得到加密結(jié)果,將所述加密結(jié)果返回給所述第三方支付應(yīng)用�,以通過所述第三方支付應(yīng)用提供給后臺服務(wù)器。
[0048]可選地�,所述生物信息識別結(jié)果由所述生物信息識別應(yīng)用在接收到所述第三方支付應(yīng)用的調(diào)用請求之后,采集���、識別和驗(yàn)證所述生物信息之后得到���,并由所述生物信息識別應(yīng)用發(fā)送給所述第三方支付應(yīng)用;
[0049]所述第三方支付應(yīng)用在確認(rèn)從所述生物信息識別應(yīng)用獲取的所述生物信息識別結(jié)果指示所述生物信息驗(yàn)證通過的情況下��,向所述通用支付TA發(fā)送所述調(diào)用請求�。
[0050]可選地�,所述第三方支付應(yīng)用為運(yùn)行在REE中的CA�����。
[0051]根據(jù)本公開實(shí)施例的第三方面��,提供了一種基于生物識別技術(shù)的移動支付裝置����,所述裝置包括: