CN107430729A - 用于移动支付应用的安全性 - Google Patents
用于移动支付应用的安全性 Download PDFInfo
- Publication number
- CN107430729A CN107430729A CN201580076678.0A CN201580076678A CN107430729A CN 107430729 A CN107430729 A CN 107430729A CN 201580076678 A CN201580076678 A CN 201580076678A CN 107430729 A CN107430729 A CN 107430729A
- Authority
- CN
- China
- Prior art keywords
- application
- data
- performing environment
- transaction
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3227—Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/405—Establishing or using transaction specific rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3226—Use of secure elements separate from M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3574—Multiple applications on card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
- G06Q20/35765—Access rights to memory zones
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
一种具有至少一个处理器和至少一个存储器的移动计算设备,至少一个处理器和至少一个存储器一起提供第一执行环境和与第一执行环境逻辑隔离的第二执行环境,移动计算设备包括:可在第一执行环境内执行的第一应用;可在第二执行环境内执行的第二可信应用;以及第一应用和第二可信应用之间的安全通信信道,其中,第二可信应用配置为生成一个或多个数据项,并经由安全通信信道向第一应用提供一个或多个数据项。
Description
技术领域
本发明涉及用于执行应用的移动计算设备,特别地但不排它地涉及用于执行移动支付应用的移动计算设备。本发明的方面涉及用于管理前述移动计算设备中的数据项的方法。
背景技术
支付卡(例如信用卡和借记卡)被广泛用于所有形式的金融交易。近年来支付卡的使用随着技术发展而显著的进展。许多支付是在零售地点进行的,通常是用与销售点(POI)终端进行交互的实体交易卡进行交易。这些交易卡可以通过刷过磁条读取器与POI交互,或者对于“芯片卡”或“智能卡”可以通过与智能卡读取器直接接触(按照标准ISO/IEC 7816)或通过利用本地短距离无线通信的非接触式交互(按照标准ISO/IEC 14443)。
本申请人已经开发了一种专有系统,称为非接触式系统,用于执行非接触式交易。本申请人还已经认识到可以使用计算设备(例如移动电话)作为支付卡的代理。他们还已经开发了移动支付应用M/Chip Mobile,可以将其下载到移动蜂窝电话手机(以下称为“移动电话”),以作为使用近场通信(NFC)技术标准的支付卡的代理,这些都是建立在目前大多数手机上的。NFC是对RFID的发展,并且使能NFC的设备能够以与RFID设备相同的方式运行-尽管NFC设备是主动的而不是被动的,因为它由手机电池供电,而不是依赖于从读取器设备感应拾取。使用M/Chip Mobile,用户可以使用接近读取器进行基于敲击的交易,并且通过适当网络(蜂窝式、本地无线网络)在与用户的账户提供商接口的在线银行中执行账户管理操作。
存在其它移动支付应用和相关服务,通常具有类似的功能并可能并入相似的解决方案。例子是Apple Pay(在iOS设备上运行)和Google钱包(在Android设备上运行)。
移动支付应用需要访问敏感数据才能进行它们的操作。存在用于保存安全数据并在移动设备上执行安全操作的已知机制。一种方法是在移动设备中使用安全元件(SE)。传统的SE是防篡改的物理设备,通常在物理和逻辑上被保护,以允许其中发生的操作和数据被其它系统元件信任。另一种方法是使用可信的执行环境(TEE)-这是由移动设备的主处理器提供的隔离的执行环境,主处理器被调整使得其中加载的代码和数据是保密的和完整保护的。TEE与移动设备的主操作系统并行运行,并且在TEE中执行支付处理的某些方面以增加安全性。对于Android设备,已经引入了一种称为主机卡模拟(HCE)的软件架构(从Android 4.4起),以单独使用软件提供电子身份表示,而不使用安全元件-这已被用于实现使用近场通信(NFC)协议的交易。
通常,在移动设备中不使用安全元件的那些解决方案需要从由卡发行方拥有的安全的基于云的服务器定期提供会话密钥。当执行大量交易时可能会有问题,因为可用的会话密钥数量有限。
在此背景下,本发明旨在提供一种使用移动电话(或其它移动设备)安全地执行支付交易的方法,而不需要基于芯片的SE或使用基于云的解决方案周期性提供会话密钥。
发明内容
根据本发明的一个方面,提供了一种具有至少一个处理器和至少一个存储器的移动计算设备,至少一个处理器和至少一个存储器一起提供第一执行环境和与第一执行环境逻辑隔离的第二执行环境。移动计算设备包括在第一执行环境内可执行的第一应用。移动计算设备包括在第二执行环境内可执行的第二可信应用。移动计算设备包括第一应用和第二可信应用之间的安全通信信道。第二可信应用配置为生成一个或多个数据项并且经由安全通信信道将一个或多个数据项提供给第一应用。
与上述配置相关联的优点是其提供了一种高度灵活、简单和安全的装置,以用于通过利用用户的移动设备内的可信执行环境(TEE)和富执行环境(REE)的性能来执行安全处理。在上述配置中,在主处理步骤中不需要使用任何外部系统元件。上述配置还具有这样的优点:其允许最敏感的信息被安全地保留在TEE内(并且从未向REE泄露),同时使得在移动设备内能够执行大多数(如果不是全部)的处理。
可选地,第二可信应用配置为经由安全通信信道从第一应用接收配置数据,配置数据包括用于生成一个或多个数据项的指令。
有利地,在上述配置中,第一应用可以包括执行处理所需的所有软件库和逻辑,并且能够在适当的时间简单地调用第二应用以安全地生成数据项。因此,本发明有效地分离了REE和TEE之间的处理步骤,并提高了系统的灵活性和安全性。
可选地,一个或多个数据项中的第一数据项包括验证码,所述验证码用于验证由第一执行环境中的第一应用执行的处理。
有利的是,由安全的TEE内的第二应用生成验证码以及随后向第一应用发送验证码以验证由第一应用执行的处理(在相对较不安全的REE中)增加了系统的安全性,原因在于敏感数据没有离开TEE。
可选地,第二可信应用配置为通过组合多个数据元素来生成验证码,并且要组合的多个数据元素取决于要执行的处理的类型。
第二可信应用能够定制生成的验证码的属性,以满足第一应用执行的特定处理的需要。本发明的这种功能是有利的,因为其提供了具有与使用TEE的安全环境相关联的所有益处的高度灵活的验证系统。
可选地,多个数据元素中的至少一个由第二可信应用从第一应用经由安全通信信道接收。
第二可信应用能够经由安全通信信道接收来自第一应用的附加数据或信息,以生成验证码。这意味着第二可信应用不需要最初或随后由附加的外部源提供的所有必需的信息,并且当执行处理时能够灵活地将由第一应用从用户获得的信息合并。这增加了系统的灵活性和安全性,并且在执行交易处理时可能特别有用,其中在生成验证码时将用户在交易期间提供的信息用作输入的一部分。
可选地,多个数据元素中的至少一个由第二可信应用存储在第二执行环境中。
本发明允许第二可信应用将生成验证码所需的数据预存储在TEE中。这有利地增加了系统的安全性,因为其确保了可以将生成验证码所需的某些敏感数据元素提供给第二可信应用以被安全地保留在TEE内,并且不直接输出到相对较不安全的REE。
可选地,第一应用是移动支付应用,并且配置为执行支付交易。支付交易可以对应于以下任何一种:远程支付交易、启用NFC的交易和磁条交易。
有利地,本发明确保了可以为移动计算设备配置来执行的多种不同类型的支付交易维持高水平的安全性。
可选地,一个或多个数据项包括以下中的至少一个:支付交易的唯一表示以及用于验证支付交易的验证码。
有利地,第二可信应用可以在安全的TEE内生成ATC(应用交易计数器)或交易的其它类型的唯一表示,从而增加了支付处理的安全性,因为敏感数据仅在TEE内被处理和保留。另外,在安全的TEE中生成交易验证码(例如密码或消息验证码MAC),该码用于校验特定交易已成功执行并且持卡人校验已成功执行,确保了维护交易的安全性,并且不需要对交易进行外部(或额外)的校验。
第二可信应用可以配置为通过组合多个数据元素来生成验证码,其中要组合的多个数据元素取决于要执行的支付交易的类型。
可选地,多个数据元素中的至少一个可以由第二可信应用存储在第二执行环境内。
第二可信应用能够生成不同类型的密码,定制生成为验证特定交易类型所需类型的每个密码。例如,与MST交易相关联的密码不同于与远程或互联网交易相关联的密码。本发明的这种功能是有利的,因为其提供了一种高度灵活的验证系统,其主要包含在TEE的安全环境内。
可选地,移动计算设备进一步包括用于验证设备的用户的生物测定传感器。
有利地,这允许设备使用生物特征来安全地校验用户的身份。虽然使用生物特征校验确实增加了处理的安全性,但是应当注意,校验用户身份的其它方法也可以应用于本发明中(例如,用户密码输入)。
可选地,移动计算设备进一步包括与第一应用的提供商的外部服务器连接的安全数据连接。
有利地,这允许移动计算设备(以及因此第一应用)与支付提供商或卡发行方的外部服务器进行通信,并且从而接收与由第一应用执行的处理相关的信息的数据。在支付交易的上下文中,该接收到的数据可以用于生成MAC和第二可信应用对交易的验证。
根据本发明的另一方面,提供了一种管理移动计算设备中的数据项的方法,移动计算设备具有至少一个处理器和至少一个存储器,所述至少一个处理器和所述至少一个存储器一起提供第一执行环境和与第一执行环境逻辑隔离的第二执行环境。该方法包括在第一执行环境中的第一应用和第二执行环境中的第二可信应用之间建立安全通信信道。该方法包括由第二可信应用生成一个或多个数据项,并经由安全通信信道将一个或多个数据项提供给第一应用。该方法包括在第一执行环境中执行第一应用。
可选地,该方法进一步包括经由安全通信信道在第二可信应用接收来自第一应用的配置数据,配置数据接收包括用于生成一个或多个数据项的指令。
可选地,该方法进一步包括验证由第一执行环境中的第一应用执行的处理,并且其中一个或多个数据项中的第一数据项包括用于验证处理的验证码。
可选地,该方法进一步包括通过组合多个数据元素来生成验证码,其中要组合的多个数据元素取决于要执行的处理的类型。
应当注意,先前已经描述的当以系统或装置的方式表示时与本发明的方面有关的优点,同样适用于当以方法表示时本发明的优点。
可选地,该方法进一步包括通过接收从远程可信方发送到第一应用和第二可信应用的设置数据来初始化第一应用和第二可信应用。
有利地,本发明允许在初始化或个性化步骤中设置两个应用的功能,其中在执行处理之前,将用于执行处理的指令经由安全通信信道从应用服务提供商提供给应用。当处理和执行不同的处理时,这增加了方法的灵活性,因为应用使用执行所有处理所需的所有数据和指令进行预编程。
可选地,设置数据由第二可信应用接收,而不被第一应用处理。
有利地,这允许将敏感数据直接发送到第二可信应用,并且随后在TEE内处理和存储,绕过相对较不安全的REE中的第一应用。这增加了本方法的安全性,同时仍然允许在执行任何处理之前将所有必要的供应数据提供给移动计算设备。
可选地,设置数据包括多个数据元素中的至少一个,并且初始化第二可信应用进一步包括在第二执行环境内由第二可信应用存储多个数据元素中的至少一个。
可选地,该方法进一步包括基于形成至少一部分设置数据的一组指令来确定要组合多个数据元素中的哪些以生成验证码。
有利地,上述方法确保在初始化和设置期间,第二可信应用使用的用于生成特定处理的验证码的一些或所有数据元素可以经由一个安全的通信渠道被提供给第二可信应用并由第二可信应用存储。当处理被执行并且第二可信应用被第一应用调用时,第二可信应用能够访问所有必要的数据,并且还提供了必要的指令以确定哪些数据元素应被组合以生成对于执行的处理类型是唯一的验证码。这增加了方法的安全性,因为在执行处理期间不需要来自外部服务器的任何额外的数据或指令传输。这在执行支付交易处理时尤其重要,其中数据的安全性是至关重要的,并且在需要生成验证码时可能没有容易获得的安全的通信信道。
可选地,该方法进一步包括由第二可信应用处理设置数据;并且识别(a)包括在设置数据内的任何敏感数据元素和(b)包括在仅与第一应用相关的设置数据内的任何数据元素。
可选地,该方法进一步包括由第二可信应用保留第二执行环境内的敏感数据元素;以及经由安全通信信道从第二可信应用向第一应用发送仅与第一应用相关的数据元素。
对于所有将首先发送到第二可信应用并由第二可信应用处理的设置数据(即使是针对第一应用)可能是有利的,第二可信应用位于安全TEE内。在上述方法中,第二可信应用能够识别特别敏感且不应离开TEE的数据元素以及应该发送到第一应用以完成其设置的任何数据元素。因此,仅向第一应用(在相对较不安全的REE中)执行其功能所需的数据,并且敏感数据绝不会离开安全环境。数据提供和存储的这种隔离允许通过实现上述方法的移动计算设备原地执行大多数(如果不是全部)处理和认证,而不需要在处理执行期间对敏感数据进行任何外部认证或传输。因此,系统的灵活性和安全性得到提高。
可选地,第一应用是移动支付应用,并且执行第一应用对应于执行支付交易。该方法可以进一步包括通过生成以下中的至少一个来生成一个或多个数据项:支付交易的唯一表示以及用于验证支付交易的验证码。
当应用于支付交易处理时,上述方法特别有利,当生成验证码(例如密码)时,支付交易处理必须需要灵活性和高度的安全性。
可选地,该方法包括通过组合多个数据元素来生成验证码,并且要组合的多个数据元素取决于要执行的支付交易的类型。
可选地,该方法包括由第二可信应用在第二执行环境存储多个数据元素中的至少一个。
在本申请的范围内,明确地意图在前述段落中阐述的权利要求和/或以下说明书和附图,并且特别是其各个特征中的各个方面、实施例、示例和替代方案可以独立或以任何组合采用。也就是说,任何实施例或权利要求的所有实施例和/或特征可以以任何方式和/或组合被组合,除非这些特征不兼容。申请人保留更改任何原始提出的权利要求或相应地提交任何新的权利要求的权利,包括修改任何原始提交的权利要求的权利,以取决于和/或并入任何其它权利要求的任何特征,尽管并非最初以该方式声明。
附图说明
现在将参考附图仅通过示例的方式详细描述本发明,其中:
图1示出了其中可以使用本发明的实施例的示例性交易系统;
图2示出了提供根据图1的实施例的移动设备、POI终端和卡发行系统的更多明细的示意框图;
图3是根据图2的系统实施例的使用磁条感应技术(MST)执行交易的处理的示意图;
图4是根据图2的系统实施例的执行远程支付交易的处理的示意图;
图5是根据图2的系统实施例的使用磁条和非接触式技术执行交易的处理的示意图;
图6是示出根据本发明的实施例的密码生成的示意性框图;和
图7是示出根据本发明的另一实施例的密码生成的示意性框图。
在本文公开的图示出本发明的实施例的情况下,这些不应被解释为对本发明的范围的限制。在适当的情况下,相同的附图标记将用于不同的附图中以涉及所示实施例的相同的结构特征。
具体实施方式
下面参考附图描述具体实施例。
图1示出了可以使用本发明的实施例的示例性交易系统。
用户(未示出)设置有支付设备-这可以是例如用作支付卡1a的代理的移动计算设备(例如移动电话1)。如下面进一步描述的,移动设备具有一起提供至少一个执行环境的至少一个处理器101和至少一个存储器102一起提供至少一个执行环境。这些设备具有在至少一个具有操作系统(例如iOS、Android或Windows)的富执行环境(REE)中运行的固件和应用。支付设备通常将配备有与支付基础设施的其它元件通信的装置。这些通信装置可以包括天线和相关联的硬件和软件,以使得能够通过NFC和相关联的非接触式卡协议(例如根据ISO/IEC 14443定义的协议)进行通信,或者它们可以包括天线和相关联的硬件和软件,以允许使用802.11协议的本地无线网络或上述的任何组合。
常规基础设施中的其它计算机设备通常是固定的,但是在感兴趣的交互点(POI)的情况下,终端2也可以是移动的。示出的示例是由与用户交互的商户使用的移动销售点(MPOS)终端2。这种类型的POI终端可以支持支持支持启用NFC的交易和/或涉及使用磁条技术的交易。这样的设备通常以安全的方式(通过专用信道或通过公共或不安全信道上的安全通信机制)-这里的连接被显示为通过公共互联网8)连接或可连接到收单银行6或其它系统。备选地,支付可以由代理商户的支付网关3介入-这可以是代理在线商户的因特网支付网关,例如,从而使远程支付被实现。
该系统中显示的另一个元件是在线验证服务4,其提供在线验证。在线验证服务的作用是不同专利申请的主题(EP15167761),并在该文件中更详细地描述;这不在本发明的范围内,并且不在此进一步考虑。
还示出了允许移动设备和卡发行银行5或系统之间的连接的机制。银行基础设施7还将连接卡发行方5和收单银行6,允许在它们之间执行交易。
图2更详细地示出了适用于实现本发明的实施例的图1的系统的功能元件,即,移动设备1、POI终端2和卡发行系统5。
移动设备1具有至少一个处理器和至少一个存储器-这些在图2中未示出,但是在它们之间它们提供至少两个执行环境。
第一执行环境(富执行环境或REE)运行主操作系统,并且是用于在移动手持终端上运行的常规应用的环境。第二执行环境(可信执行环境或TEE)与第一执行环境在逻辑上是隔离的-这并不意味着两个执行环境之间没有交互,而是两个环境之间的用于交互的通道受到限制,从而数据可以被保存并且代码可以在TEE中安全运行,而没有泄露给REE中的处理或被REE中的处理颠覆的风险。TEE可以拥有自己的适用于维护该逻辑隔离的可信操作系统,并且还包含适用于在该可信执行环境中运行的一个或多个可信应用。在本公开中在TEE中运行的那些应用由图2中的对角线表示。
移动设备1包括适于在交易处理期间用于用户交互的附加用户接口(未示出)和生物测定传感器10。传感器10和用户接口连接到可信共享CVM(卡校验方法)应用12(以下称为可信CVM应用),其操作和编程专用于移动设备1的操作系统(例如IOS、Android等)。
移动设备中的通常主动参与与支付交易相关联的数据处理的主要元件是在REE中运行的移动支付应用(MPA)14以及在TEE中运行的万事达可信支付应用(MTPA)16。
如下面将要讨论的,可以通过分离REE和TEE中的应用之间的交易的处理步骤来实现支付应用的特别有效的实施和与支付应用的用户交互。
具体地,根据本发明的实施例,REE中的MPA 14提供移动支付功能,并且可以包括多个子模块(图2中未示出,但在图3-5中指示),每个子模块执行不同的任务。MPA 14可以包括子模块(在图中随后称为MTBP卡20),其负责数字化卡的管理并且按“业务逻辑”需要来编程以指导交易处理的步骤。MPA 14还可以包括子模块(在图中随后称为MCMLite 22)以生成交易数据并提供移动SE应用的简化实施。MPA 14可以进一步包括包含实现交易处理步骤(例如,模拟POI终端,在利用MST接口的情况下建立跟踪数据,或在远程支付交易的情况下计算芯片数据)所需的软件库的子模块(在图中随后称为移动内核24)。
根据本发明的实施例,TEE中的MTPA 16包括通用密码生成引擎,并提供向MPA 14提供加密服务以支持MPA的支付处理功能。MTPA 16生成密码形式的消息验证码(MAC),消息验证码(MAC)用于校验特定交易已成功执行并且还指示可信CVM应用12是否成功执行了CVM。
在REE中运行的MPA 14和在TEE中运行的MTPA 16之间的功能的分离提供了任务和数据存储的高效且有效的分区,而不需要两个环境之间的大量通信。这确保敏感信息能够安全地保留在TEE中,而大多数处理可以由REE中的MPA 14进行。
为了执行交易,移动设备必须与商户POI终端2进行操作性通信。POI终端2包括非接触式(CL)读取器30和磁条读取器32,提供功能来实现非接触式(启用NFC)交易以及磁条(MST)交易。为了实现与POI终端的通信,移动设备中的MPA 14包括HCE API 34和MST API36,它们分别连接到NFC控制器38和磁条感应元件40(位于MPA 14外部但位于移动设备内)。API允许MPA 14将指令传送到NFC控制器38和MST元件40,并且根据所需的交易类型促进在POI终端和移动设备之间的交易相关数据的传送。
附加地或备选地,移动设备可以通过因特网使用代理商户的在线支付网关(未示出)来执行远程交易。这通过在MPA 14中提供远程支付API来实现,MPA 14用于通过例如因特网来传送指令。
卡发行系统5包括万事达数字启用服务(MDES 42),一个数字化和令牌化平台,其通过支付网络(未示出)与POI终端进行操作性通信。卡发行系统还包括与移动设备和MDES42进行操作性通信的钱包服务提供商(以下称为KMS(密钥管理服务)钱包44),并且MDES 42经由该钱包服务提供商与MPA 14和MTPA 16通信并向MPA 14和MTPA 16传送数据。具体地,KMS钱包44经由SSL/TLS接口与移动设备进行通信,SSL/TLS接口提供与MPA 14和MTPA 16通信的安全通信信道。
MDES 42进一步包括交易通知服务模块48、令牌化模块50和账户启用系统52,其中的账户启用系统52执行进入MPA 14和MTPA 16的账户凭证、加密密钥和关联数据的个性化和提供。
为了执行其功能,MPA 14和MTPA 16都必须通过供应数据进行个性化,所述供应数据由MDES 42经由KES钱包44提供。特别地,在设置期间,向MTPA 16提供与数字化卡相关的供应数据。数据在MTPA 16的安全环境中进行处理,以确定哪些部分是敏感的并且应保留在TEE内,以及哪些部分对于MPA 14进行交易是必需的并因此必须提供给REE。之后,在交易期间,MPA 14最初将与MTPA 16进行通信,以通知它正在执行的交易类型;随后的通信将涉及MPA 14请求来自MTPA 16的密码形式的验证码(MAC),其用于校验交易成功。
然后将参考图6和7,提供对MTPA 16和MPA 14的供应和个性化以及生成密码(MAC)的不同方法的更详细的描述。
图3是使用图2的系统组件执行MST交易的处理的示意图,包括MPA 14(及其相关联的子模块)、MTPA 16、MDES 42和可信CVM应用12。
如图所示,当用户通过在移动设备上打开支付应用来启动交易时,处理100开始。在步骤105,用户通过向传感器提供生物特征数据来验证自己,并且随后将该数据传递给可信CVM应用12以进行验证。
同时,MPA 14识别出用户正尝试发起MST交易,并开始执行其子模块的设置和初始化,以利用正确的业务逻辑和软件算法来促进MST交易。一旦MPA 14被正确设置,其在步骤110输出数据给MTPA 16,以提示以以“MST模式”设置MTPA 16。该数据对应于图中所示的“setContext”命令,并指示MTPA 16随后需要的密码类型以及生成密码将需要的数据位置。响应于该命令,MTPA 16在步骤115返回ATC(应用交易计数器-每次执行应用以进行交易就递增的顺序计数器,并且因此对特定交易是唯一的。接收ATC后,MPA 14在步骤120根据ATC以及在其间发起交易的时间窗口生成不可预知的号码(UN)。
MPA 14接下来在步骤125、125a输出一个或多个命令给MTPA 16以生成校验交易的密码;这些对应于图中所示的“generateMAC”命令。在接收到每个generateMAC命令后,MTPA16在步骤130、130a生成密码(或MAC)并返回到MPA 14。密码的生成可能需要使用一个或多个加密密钥,这些密钥被提供给由TEE内的MTPA 16并由其保留。因此,优选的是密码或MAC由TEE内的MTPA 16生成,然而应该注意的是,MTPA 16还可以向MPA 14返回对于由MPA 1 4生成密码所需的加密密钥。用于生成MAC的数据根据交易的类型而变化,并且用于生成用于MST交易的MAC的方法和数据输入将在后面参照图6进行描述。
为了完成与POI终端的交易,MPA 14在步骤135生成跟踪数据并提供给POI终端(包括由MTPA 16生成的MAC)。当商户希望向卡发行方证明交易的真实性时,为了验证的目的而提供MAC。因此,提供给MPA 14的MAC用作跨接UN的“加密签名”、在其期间进行交易的时间窗口的明细和(可选地)该特定交易的交易量,并且允许卡发行系统对后续的交易的验证(通过验证交易的唯一性以及交易信息的最新情况)。
一旦所有交易数据被交换和处理,则在步骤140(通过移动设备用户接口)通知用户交易已被执行并且它们可以退出支付应用。单独地,MDES 42在步骤145向MPA 14返回指示成功处理的的通知。
应当注意,虽然从MPA 14到MTPA 16的功能调用(例如,setContext、generateMAC命令)在上面描述为分别发送到MTPA 16,但是也可以由MPA 14在MTPA 16的单个调用中同时发送多个命令。然后,MTPA 16按照它们的制造顺序处理命令。在与其中一个命令相关联的错误的情况下,将不被处理相同调用中的后续命令。
图4是利用图2的密钥系统组件执行DSRP(数字安全远程支付)(例如,基于互联网的支付)的处理的示意图。再一次,这些包括MPA 14、MTPA 16和可信CVM应用12。
当用户尝试完成远程交易并且在步骤205从支付网关向MPA 14发送允许该交易的请求时,交易处理200开始。该请求提示MPA 14打开虚拟钱包,并请求用户确认交易明细。
在步骤210,用户确认支付明细并选择要使用的数字化卡,通过MPA 14发起DSRP交易的处理;用户还在步骤215以与上面参考图3所述相似的方式验证自己。可信CVM应用12确认用户已成功验证,并且MPA 14/MTPA 16的DSRP处理开始。
MPA 14的子模块在步骤220交换多个APDU(应用协议数据单元),以便从数字化卡读取数据,并为交易执行必要的处理步骤。特别地,生成(或检索)执行远程交易所需的DSRP数据,并经由远程API接口提供给远程支付处理网关。
以与之前针对MST交易描述相似的方式,MPA 14在步骤225向MTPA 16发送setContext命令,以初始化MTPA 16的设置,尽管此时为“DSRP模式”;响应于该命令,由MTPA16在步骤23将ATC返回到MPA 14。随后,MPA 14在步骤235a(通过generateMAC命令)从MTPA16请求密码,密码稍后将用于校验交易。参考图7更详细地描述用于在步骤240为DSRP交易生成密码的方法和数据输入。
MPA 14随后完成处理的最后阶段,并且在步骤245通过远程支付API向支付网关提供必要的DSRP交易数据(包括密码)。一旦这样做了,MPA 14在步骤250(经由用户接口)通知用户交易状态,并且在步骤255接收到来自远程支付API的关于交易成功/失败的确认后,还在步骤250a提供更新,从而使用户随时了解交易进度。
在步骤240返回给MPA 14的密码与MST交易中返回的密码基本上服务于相同的目的,因为其允许卡发行方在由商户进行的在线授权和结算中验证和确认交易的合法性。
图5是使用图2的系统的密钥组件来执行使用NFC交易链接的MST交易的处理的示意图。与前面描述的处理一样,使用的密钥系统组件是MPA 14、MTPA 16和可信CVM应用12。此外,MPA 14在此过程中特别使用了HCE API和MST接口。
图5的处理300包括用户最初请求执行MST交易,但是随后使用NFC技术完成交易,这是由于移动设备与启用NFC的POI终端的接近。因此,移动设备的MST接口通过向POI终端广播信号开始,然而当进行NFC交易的可能性变得可用时,MST接口被阻止广播任何进一步的数据,并且HCE API和NFC控制器完成交易。
该处理以与在图3中描述的简单的MST交易的情况下描述的类似的方式开始。所有先前描述的步骤(标记为305)从用户通过打开移动电话上的支付应用启动MST交易开始,直到并包括移动设备的MST接口开始向POI端子的磁条接口广播数据的点,所有先前描述的步骤(标记为305)基本上如先前参考图3所描述的那样表现,但具有一个主要区别。在这种情况下,由MPA 14从MTPA 16接收的ATC由MPA 14缓存,以供稍后在启用NFC的交易期间使用。
虽然移动设备的MST接口正在向POI终端广播数据,但是如果使移动设备足够接近POI终端以允许在移动设备和POI终端之间交换NFC信号,则启动图5中所示的处理,并且MPA14随后开始配置自身以执行非接触式支付。该配置步骤要求在MPA 14的子模块之间交换消息,以确保实现正确的业务逻辑和软件算法来实施启用NFC的交易。一旦正确设置了MPA 14来执行启用NFC的交易,则MPA 14在步骤310经由HCE API向移动设备MST接口发送命令,以有效地关闭接口,并阻止其向POI终端广播任何进一步的数据。
一旦在MPA 14内完成了必要的处理,使得其能够执行非接触式交易,则处理的下一步骤通常是MPA 14向MTPA 16发送命令以请求进一步的ATC进行非接触式交易。然而,在这种情况下,取代这样做法,MPA 14在步骤320重新使用先前从MTPA 16获得的关于中止的MST交易的缓存的ATC。完成启用NFC的交易所需的剩余步骤将不在此进一步描述(除了随后对其的说明),当MPA 14使用generateMAC命令从MTPA 16请求密码时,是将缓存的ATC提供给MTPA 16以用于生成密码。
先前ATC的这种重新使用确保在不可能将中止的MST交易和成功的非接触式交易的交易记录分开提交给卡发行方的交易处理系统的情况下,可以识别出两个记录涉及相同的交易。这有助于防止诈骗。
现在转到MTPA 16的功能的更详细的说明。
通常,MTPA 16是高度灵活的密码生成引擎,其可以被个性化,以生成为特定交易类型定制的支付密码(MAC)。
MTPA 16的功能是通过在设置期间执行预定的供应和个性化处理来实现的(在发生任何交易之前)。具体来说,个人化数据(以DGI或数据分组标识符的形式)由MDES 42中的账户启用系统生成;然后通过KMS钱包和SSL/TLS接口将该数据提供给MPA 14(并且从而提供给MTPA 16)。个性化数据包含在MTPA 16中保留的以下密钥信息:
·一组密钥,索引为1...k(对应于DGI C401)
·一组ATC,索引为1...n(对应于DGI C402)
·一组“固定数据值”,索引为1...a(对应于DGI C403)
·一组简档,索引为1...p(对应于DGI C404)
DGI C401识别哪些密钥MTPA 16需要解密/破译并保留在MTPA 16内,并且包含将被安全地存储在MTPA 16中的密钥(当定位后)的参考列表。因此,在该DGI由MTPA 16接收并正确处理之前,没有个性化数据从MTPA 16返回到MPA 14。在接收和处理C401之后,C401中具体列出的所有DGI被解密,但它们的内容保留在MTPA 16中并且只有DGI已经被正确处理的指示由MTPA 16返回给MPA 14。在C401中未列出的所有数据被认为是安全的(即不包含敏感信息)以返回到MPA 14。
其它适用于MPA 14的DGI也首先传递给MTPA 16;因为它们没有在DGI C401中具体列出,它们被MTPA 16验证和解密,并且其内容返回给MPA 14。从MTPA 16返回给MPA 14的DGI中的一个定义了在调用MTPA 16时由MPA 14使用的简档。多个简档可用于生成单个MAC中,因为每个简档涉及需要由MTPA 16执行的特定操作(例如,由MTPA 16生成的ATC的位置和值)。
DGI C402中的每个ATC包括计数器和限制,其中计数器被初始化为“0000”(或由该DGI或另一个DGI提供的另一值),并且典型限制涉及最大交易数(例如20,000或65535)。每当使用来自MPA 14的setContext命令调用MTPA 16时,ATC计数器递增,并使用该DGI。
包含在DGI C403中的固定数据值是需要时包含在MAC计算中的硬编码数据的元素。特定固定数据值的不同部分(或字节)对应于用于为特定交易类型生成MAC的单独的信息片段。要在每个MAC生成中使用的固定数据值的性质在简档中指示给MTPA 16。
DGI C404中的每个简档都包含个性化数据的汇编。例如,每个简档可以涉及用于为特定交易类型生成MAC的方法的特定操作或部分。因此,简档包含有关生成MAC时要遵循的规则的信息;例如,是否使用ATC,以及使用什么类型的密钥和/或哪个固定数据值。
当MPA 14使用setContext命令初始调用MTPA 16时,生成MAC的处理开始-该命令将简档标识符传送到MTPA 16,指示MTPA 16如何根据该标识的简档配置自身接收和执行后续命令。
MPA 14对MTPA 16的后续调用涉及传送一个或多个generateMAC命令,该命令提供允许MTPA 16生成特定类型的MAC的信息。
图6和7是示出根据本发明的实施例的MTPA 16如何使用来自REE和TEE的数据输入的组合来生成用于提供给MPA 14的MAC的示意性框图。具体地,图6示出了其中相对于MST交易生成对应于动态CVC的MAC的实施例,而图7示出了其中生成与用于DSRP交易的应用密码相对应的MAC的实施例。
应当注意,在每个图中,示出了可以从REE和TEE获得的所有可能的输入数据类型;然而,只有与箭头相关联的数据类型实际上用于生成特定交易类型的密码中。
可用于生成密码的数据包括来自MPA 14的数据的混合以及由MTPA16提供的ATC和某些固定数据值。简档标识符定义了特定密码需要这些数据中的哪个和它们的大小的限制。具体到该示例中,可以由MTPA 16最多提供三个固定数据值(以及ATC值),而MPA 14可以提供最多两个输入数据值。所有相关输入数据元素串联(并加密)。在一些实施例中,这些串联的数据输入与由MTPA 16存储在TEE中的密钥组合,或者从这样的密钥导出。通过构建定义在每个受支持的情况中包含哪些数据的简档,可以构造非常灵活的加密引擎,这允许其被应用于MPA 14的大量情况,同时在TEE内保持关键值的控制(例如指示成功的CVM、ATC和AIP)。
参考图6,其中MTPA 16从MPA 14接收到指定要使用的简档对应于MST交易所需的简档的generateMAC命令,MTPA 16需要以下输入来生成动态CVC 400:
·提供初始向量405(IV)作为固定数据1 410-这是可以与秘密密钥一起用于数据加密的任意数字
·提供不可预测的数字415(UN)作为输入数据1 420
·ATC 425(响应于setContext命令最初提供给MPA 14)
可以看出,在该情况下,固定数据2和3 430、435和输入数据2 440不被填充;进一步,没有使用会话密钥450。输入数据1 420从在REE内运行的MPA 14导出,而固定数据1 410和ATC 425从在TEE内运行的MTPA 16导出。
上述数据输入串联在一起(并加密)以生成动态CVC 400。然后由MTPA 16将其返回给MPA 14,并且随后在交易期间转发到POI终端2,以允许在以后的日期的交易验证。
参考图7,其中MTPA 16从MPA 14接收指定要使用的对应于DSRP交易所需的简档的generateMAC命令,MTPA 16需要以下输入来生成密码500:
·提供来自远程终端且已经由用户输入的的数据505作为输入数据1 510
·提供AIP 515(应用交换简档)作为固定数据2 520-这提供了在处理交易数据时要执行的功能列表
·提供包含密码类型和CVM结果525(如从可信CVM应用12获得的)的卡校验结果(CVR)的一部分(特别是第一个字节)作为固定数据3 530
·提供CVR535的其余部分作为输入数据2 540
·ATC 545(响应于setContext命令最初提供给MPA 14)
从这里可以看出,在该情况下固定数据1 550未被填充。输入数据1和输入数据2510、540从在REE内操作的MPA 14导出,而固定数据2 520、固定数据3 530和ATC 545从在TEE内操作的MTPA 16导出。上述数据输入被串联(并被加密),并且与由TEE中的MTPA 16保存的主密钥导出的会话密钥555一起被用于生成应用密码500。然后将所得到的应用密码500传送到MPA 14,并且随后提供给卡发行系统5,在其中其被用作卡发行方的交易校验手段。
可以看出,本发明的上述实施例提供了用于通过利用用户移动设备内的TEE和REE的性能来执行移动支付交易的高度灵活、简单和安全的手段。在本发明中,在主要交易处理步骤中不必需要任何外部系统元件。
通过确保最敏感的信息安全地保存在TEE中(并且永远不会释放到REE中的MPA14),同时允许大部分支付处理在移动设备内执行,本发明因而允许移动设备的元件的个性化以支持多个不同的支付处理,同时允许TEE中的处理被限制为所需的最小功能。
如本领域技术人员将理解的,可以提供对上述实施例的修改和变化,并且在不脱离本发明的精神和范围的情况下,可以开发进一步的实施例。
本发明的进一步方面在以下系列的编号条目中列出:
1.一种具有至少一个处理器和至少一个存储器的移动计算设备,所述至少一个处理器和所述至少一个存储器一起提供第一执行环境和与所述第一执行环境逻辑隔离的第二执行环境,所述移动计算设备包括:
在所述第一执行环境内可执行的第一应用;
在所述第二执行环境内可执行的第二可信应用;和
在所述第一应用和所述第二可信应用之间的安全通信信道,
其中,所述第二可信应用配置为生成一个或多个数据项并且经由所述安全通信信道将所述一个或多个数据项提供给所述第一应用。
2.根据条目1所述的移动计算设备,其中,所述第二可信应用配置为经由所述安全通信信道从所述第一应用接收配置数据,所述配置数据包括用于生成所述一个或多个数据项的指令。
3.根据条目1或2所述的移动计算设备,其中,所述一个或多个数据项中的第一数据项包括验证码,所述验证码用于验证由所述第一执行环境中的所述第一应用执行的处理。
4.根据条目3所述的移动计算设备,其中,所述第二可信应用配置为通过组合多个数据元素生成所述验证码,并且要组合的所述多个数据元素取决于要执行的处理的类型。
5.根据条目4所述的移动计算设备,其中,所述多个数据元素中的至少一个由所述第二可信应用从所述第一应用经由所述安全通信信道接收。
6.根据条目4所述的移动计算设备,其中,所述多个数据元素中的至少一个由所述第二执行环境中的所述第二可信应用存储。
7.根据任何在前条目所述的移动计算设备,其中,所述第一应用是移动支付应用并且配置为执行支付交易。
8.根据条目7所述的移动计算设备,其中,所述支付交易对应于以下任何一个:远程支付交易、启用NFC的交易和磁条(MST)交易。
9.根据条目8所述的移动计算设备,其中,所述一个或多个数据项包括以下至少一个:所述支付交易的唯一表示以及用于验证所述支付交易的验证码。
10.根据任何在前条目所述的移动计算设备,进一步包括用于验证所述设备的用户的生物测定传感器。
11.根据任何在前条目所述的移动计算设备,进一步包括与第一应用的提供商的外部服务器连接的安全数据连接。
12.一种管理移动计算设备中的数据项的方法,所述移动计算设备具有至少一个处理器和至少一个存储器,所述至少一个处理器和所述至少一个存储器一起提供第一执行环境和与所述第一执行环境逻辑隔离的第二执行环境,该方法包括:
在所述第一执行环境中的第一应用和所述第二执行环境中的第二可信应用之间建立安全通信通道;
通过所述第二可信应用生成一个或多个数据项,并且经由所述安全通信信道将所述一个或多个数据项提供给所述第一应用;和
在所述第一执行环境中执行所述第一应用。
13.根据条目12所述的方法,进一步包括在所述第二可信应用处经由所述安全通信信道接收来自所述第一应用的配置数据,所述配置数据包括用于生成所述一个或多个数据项的指令。
14.根据条目12或13所述的方法,进一步包括验证由所述第一执行环境中的所述第一应用执行的处理,并且其中,生成所述一个或多个数据项中的第一数据项包括生成用于验证所述处理的验证码。
15.根据条目14所述的方法,其中,生成所述验证码包括组合多个数据元素,并且要组合的所述多个数据元素取决于要执行的处理的类型。
16.根据条目15所述的方法,进一步包括通过接收从远程可信方发送到所述第一应用和所述第二可信应用的设置数据来初始化所述第一应用和所述第二可信应用。
17.根据条目16所述的方法,其中,所述设置数据由所述第二可信应用接收,而不被所述第一应用处理。
18.根据条目16或17所述的方法,其中,所述设置数据包括所述多个数据元素中的至少一个,并且初始化所述第二可信应用进一步包括由所述第二执行环境中的所述第二可信应用存储所述多个数据元素中的所述至少一个。
19.根据条目16或17所述的方法,进一步包括基于形成所述设置数据的至少一部分的一组指令来确定要组合所述多个数据元素中的哪些数据元素以生成所述验证码。
20.根据条目16至19中任一项所述的方法,进一步包括:
由所述第二可信应用处理所述设置数据;和
识别(a)包括在所述设置数据内的任何敏感数据元素和(b)包括在仅与所述第一应用相关的所述设置数据内的任何数据元素。
21.根据条目20所述的方法,进一步包括:
通过所述第二可信应用将所述敏感数据元素保留在所述第二执行环境中;和
经由所述安全通信信道将仅与所述第一应用相关的所述数据元素从所述第二可信应用发送到所述第一应用。
22.根据条目12至21中任一项所述的方法,其中,所述第一应用是移动支付应用,并且执行所述第一应用对应于执行支付交易。
23.根据条目22所述的方法,其中,生成所述一个或多个数据项包括生成以下至少一个:所述支付交易的唯一表示和用于验证所述支付交易的验证码。
Claims (22)
1.一种具有至少一个处理器(101)和至少一个存储器(102)的移动计算设备(1),所述至少一个处理器(101)和所述至少一个存储器(102)一起提供第一执行环境和与所述第一执行环境在逻辑上隔离的第二执行环境,所述移动计算设备包括:
在所述第一执行环境中可执行的第一应用(14);
在所述第二执行环境中可执行的第二可信应用(16);和
在所述第一应用和所述第二可信应用之间的安全通信信道,
其中,所述第二可信应用配置为生成一个或多个数据项并且经由所述安全通信信道将所述一个或多个数据项提供给所述第一应用(14)。
2.根据权利要求1所述的移动计算设备,其中,所述第二可信应用(16)配置为经由所述安全通信信道从所述第一应用(14)接收配置数据,所述配置数据包括用于生成所述一个或多个数据项的指令。
3.根据权利要求1所述的移动计算设备,其中,所述一个或多个数据项中的第一数据项包括验证码(400),所述验证码(400)用于验证在所述第一执行环境中由所述第一应用(14)执行的处理。
4.根据权利要求3所述的移动计算设备,其中,所述第二可信应用(16)配置为通过组合多个数据元素(405、415、425)来生成所述验证码(400),并且要组合的所述多个数据元素取决于要执行的处理的类型。
5.根据权利要求4所述的移动计算设备,其中,所述多个数据元素(405、415、425)中的至少一个由所述第二可信应用(16)经由所述安全通信信道从所述第一应用(14)接收。
6.根据权利要求4所述的移动计算设备,其中,所述多个数据元素(405、415、425)中的至少一个由所述第二可信应用(16)存储在所述第二执行环境内。
7.根据权利要求1所述的移动计算设备,其中,所述第一应用(14)是移动支付应用并且配置为执行支付交易。
8.根据权利要求7所述的移动计算设备,其中,所述支付交易对应于以下任何一个:远程支付交易、启用NFC的交易和磁条交易。
9.根据权利要求8所述的移动计算设备,其中,所述一个或多个数据项包括以下至少一个:所述支付交易的唯一表示(425、540)以及用于验证所述支付交易的验证码(400、500)。
10.根据权利要求1所述的移动计算设备,进一步包括用于验证所述设备(1)的用户的生物测定传感器(10)。
11.一种管理移动计算设备(1)中的数据项的方法,所述移动计算设备具有至少一个处理器(101)和至少一个存储器(102),所述至少一个处理器(101)和所述至少一个存储器(102)一起提供第一执行环境和与所述第一执行环境在逻辑上隔离的第二执行环境,该方法包括:
在所述第一执行环境中的第一应用(14)和所述第二执行环境中的第二可信应用(16)之间建立安全通信通道;
通过所述第二可信应用(16)生成一个或多个数据项,并且经由所述安全通信信道将所述一个或多个数据项提供给所述第一应用(14);和
在所述第一执行环境中执行所述第一应用(14)。
12.根据权利要求11所述的方法,进一步包括在所述第二可信应用(16)处经由所述安全通信信道接收来自所述第一应用(14)的配置数据,所述配置数据包括用于生成所述一个或多个数据项的指令。
13.根据权利要求11所述的方法,进一步包括验证所述第一应用(14)在所述第一执行环境中执行的处理,并且其中,所述一个或多个数据项中的第一数据项包括用于验证所述处理的验证码(400)。
14.根据权利要求13所述的方法,其中,生成所述验证码(400)包括组合多个数据元素(405、415、425),并且要组合的所述多个数据元素取决于要执行的处理的类型。
15.根据权利要求14所述的方法,进一步包括通过接收从远程可信方(44)发送到所述第一应用(14)和所述第二可信应用(16)的设置数据来初始化所述第一应用(14)和所述第二可信应用(16)。
16.根据权利要求15所述的方法,其中,所述设置数据由所述第二可信应用(16)接收,而不被所述第一应用(14)处理。
17.根据权利要求15所述的方法,其中,所述设置数据包括所述多个数据元素(405、415、425)中的至少一个,并且初始化所述第二可信应用(16)进一步包括由所述第二可信应用(16)将所述多个数据元素中的所述至少一个存储在所述第二执行环境内。
18.根据权利要求15所述的方法,进一步包括基于形成所述设置数据的至少一部分的一组指令来确定要组合所述多个数据元素中的哪些数据元素以生成所述验证码(400)。
19.根据权利要求15所述的方法,进一步包括:
由所述第二可信应用(16)处理所述设置数据;和
识别(a)包括在所述设置数据内的任何敏感数据元素和(b)包括在所述设置数据内的仅与所述第一应用(14)相关的任何数据元素。
20.根据权利要求19所述的方法,进一步包括:
通过所述第二可信应用(16)将所述敏感数据元素保留在所述第二执行环境内;和
经由所述安全通信信道将仅与所述第一应用相关的所述数据元素从所述第二可信应用(16)发送到所述第一应用(14)。
21.根据权利要求11所述的方法,其中,所述第一应用(14)是移动支付应用,并且执行所述第一应用对应于执行支付交易。
22.根据权利要求21所述的方法,其中,生成所述一个或多个数据项包括生成以下至少一个:所述支付交易的唯一表示和用于验证所述支付交易的验证码(400、500)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1423362.1 | 2014-12-30 | ||
| GBGB1423362.1A GB201423362D0 (en) | 2014-12-30 | 2014-12-30 | Trusted execution enviroment (TEE) based payment application |
| PCT/US2015/068024 WO2016109643A1 (en) | 2014-12-30 | 2015-12-30 | Security for mobile payment applications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107430729A true CN107430729A (zh) | 2017-12-01 |
Family
ID=52471642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580076678.0A Pending CN107430729A (zh) | 2014-12-30 | 2015-12-30 | 用于移动支付应用的安全性 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US10699277B2 (zh) |
| EP (1) | EP3241161A1 (zh) |
| CN (1) | CN107430729A (zh) |
| AU (1) | AU2015374037A1 (zh) |
| BR (1) | BR112017014076A2 (zh) |
| CA (1) | CA2972895C (zh) |
| GB (1) | GB201423362D0 (zh) |
| SG (1) | SG11201705430TA (zh) |
| WO (1) | WO2016109643A1 (zh) |
| ZA (1) | ZA201704707B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109308406A (zh) * | 2018-07-09 | 2019-02-05 | 中国银联股份有限公司 | 用户终端及可信应用管理系统 |
| CN111935122A (zh) * | 2020-07-31 | 2020-11-13 | 重庆小雨点小额贷款有限公司 | 数据的安全处理方法及装置 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3767877B1 (en) * | 2015-02-17 | 2022-05-11 | Visa International Service Association | Token and cryptogram using transaction specific information |
| EP3185194A1 (en) * | 2015-12-24 | 2017-06-28 | Gemalto Sa | Method and system for enhancing the security of a transaction |
| CN106997530B (zh) | 2016-01-25 | 2022-10-14 | 创新先进技术有限公司 | 基于移动终端卡模拟的信用支付方法及装置 |
| CN106997527A (zh) | 2016-01-25 | 2017-08-01 | 阿里巴巴集团控股有限公司 | 基于移动终端p2p的信用支付方法及装置 |
| US10861019B2 (en) | 2016-03-18 | 2020-12-08 | Visa International Service Association | Location verification during dynamic data transactions |
| CN105704332B (zh) * | 2016-04-27 | 2020-02-28 | 中国银联股份有限公司 | 移动支付方法和装置 |
| US10284551B2 (en) * | 2016-06-01 | 2019-05-07 | Paypal, Inc. | Electronic mechanism to self-authenticate and automate actions |
| KR102644983B1 (ko) * | 2017-01-03 | 2024-03-08 | 삼성전자주식회사 | 모바일 결제 방법 및 이를 수행하는 장치 |
| US10956905B2 (en) | 2017-10-05 | 2021-03-23 | The Toronto-Dominion Bank | System and method of session key generation and exchange |
| US11164188B2 (en) * | 2017-11-14 | 2021-11-02 | Intel Corporation | Methods and apparatus to securely handle chip cards |
| US10963871B2 (en) | 2017-11-22 | 2021-03-30 | Mastercard International Incorporated | Bin-conserving tokenization techniques generating tokens in reverse order and employing common device pan with differing pan sequence number values across token instances |
| US11544781B2 (en) | 2017-12-23 | 2023-01-03 | Mastercard International Incorporated | Leveraging a network “positive card” list to inform risk management decisions |
| US11443323B2 (en) * | 2018-03-07 | 2022-09-13 | Samsung Electronics Co., Ltd. | System and method for secure transactions with a trusted execution environment (TEE) |
| EP3660766A1 (en) * | 2018-11-28 | 2020-06-03 | Mastercard International Incorporated | Improvements relating to security and authentication of interaction data |
| CN111383015B (zh) | 2018-12-29 | 2023-11-03 | 华为技术有限公司 | 交易安全处理方法、装置及终端设备 |
| EP3907683B1 (en) * | 2020-02-24 | 2024-01-03 | SSenStone Inc. | Method and program for authentication between apparatuses based on virtual authentication code |
| EP3872733A1 (en) * | 2020-02-26 | 2021-09-01 | Mastercard International Incorporated | Communication of sensitive data in restricted data channel |
| CN111523832B (zh) * | 2020-07-03 | 2021-02-26 | 支付宝(杭州)信息技术有限公司 | 商户风险巡检方法、装置、电子设备及存储介质 |
| CN112134777B (zh) * | 2020-09-09 | 2022-02-01 | 中国科学院信息工程研究所 | 一种可信IPSec模组与VPN隧道构建方法 |
| US11783055B2 (en) * | 2020-10-26 | 2023-10-10 | Nxp B.V. | Secure application execution in a data processing system |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080120236A1 (en) * | 2006-11-16 | 2008-05-22 | Patrick Faith | Dynamic magnetic stripe |
| CN103544599A (zh) * | 2012-07-09 | 2014-01-29 | 马克西姆综合产品公司 | 用于在移动终端内认证、存储和交易的嵌入式安全元件 |
| WO2014027859A1 (en) * | 2012-08-16 | 2014-02-20 | Samsung Electronics Co., Ltd. | Device and method for processing transaction request in processing environment of trust zone |
| WO2014048744A1 (en) * | 2012-09-28 | 2014-04-03 | St-Ericsson Sa | Method and apparatus for maintaining secure time |
| US8694795B1 (en) * | 2012-06-15 | 2014-04-08 | Visa International Service Association | Method and apparatus for secure application execution |
| CN103745155A (zh) * | 2014-01-03 | 2014-04-23 | 东信和平科技股份有限公司 | 一种可信Key及其安全操作方法 |
| US20140172721A1 (en) * | 2011-07-19 | 2014-06-19 | Giesecke & Devrient Gmbh | Method for Securing a Transaction |
| CN104010044A (zh) * | 2014-06-12 | 2014-08-27 | 北京握奇数据系统有限公司 | 基于可信执行环境技术的应用受限安装方法、管理器和终端 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2577333C (en) * | 2004-08-18 | 2016-05-17 | Mastercard International Incorporated | Method and system for authorizing a transaction using a dynamic authorization code |
| US10089607B2 (en) * | 2014-09-02 | 2018-10-02 | Apple Inc. | Mobile merchant proximity solution for financial transactions |
| US9684775B2 (en) * | 2014-10-15 | 2017-06-20 | Qualcomm Incorporated | Methods and systems for using behavioral analysis towards efficient continuous authentication |
-
2014
- 2014-12-30 GB GBGB1423362.1A patent/GB201423362D0/en not_active Ceased
-
2015
- 2015-12-30 AU AU2015374037A patent/AU2015374037A1/en not_active Abandoned
- 2015-12-30 BR BR112017014076-4A patent/BR112017014076A2/pt not_active Application Discontinuation
- 2015-12-30 CN CN201580076678.0A patent/CN107430729A/zh active Pending
- 2015-12-30 WO PCT/US2015/068024 patent/WO2016109643A1/en active Application Filing
- 2015-12-30 SG SG11201705430TA patent/SG11201705430TA/en unknown
- 2015-12-30 CA CA2972895A patent/CA2972895C/en not_active Expired - Fee Related
- 2015-12-30 US US14/983,973 patent/US10699277B2/en active Active
- 2015-12-30 EP EP15825755.0A patent/EP3241161A1/en not_active Ceased
-
2017
- 2017-07-12 ZA ZA2017/04707A patent/ZA201704707B/en unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080120236A1 (en) * | 2006-11-16 | 2008-05-22 | Patrick Faith | Dynamic magnetic stripe |
| US20140172721A1 (en) * | 2011-07-19 | 2014-06-19 | Giesecke & Devrient Gmbh | Method for Securing a Transaction |
| US8694795B1 (en) * | 2012-06-15 | 2014-04-08 | Visa International Service Association | Method and apparatus for secure application execution |
| CN103544599A (zh) * | 2012-07-09 | 2014-01-29 | 马克西姆综合产品公司 | 用于在移动终端内认证、存储和交易的嵌入式安全元件 |
| WO2014027859A1 (en) * | 2012-08-16 | 2014-02-20 | Samsung Electronics Co., Ltd. | Device and method for processing transaction request in processing environment of trust zone |
| WO2014048744A1 (en) * | 2012-09-28 | 2014-04-03 | St-Ericsson Sa | Method and apparatus for maintaining secure time |
| CN103745155A (zh) * | 2014-01-03 | 2014-04-23 | 东信和平科技股份有限公司 | 一种可信Key及其安全操作方法 |
| CN104010044A (zh) * | 2014-06-12 | 2014-08-27 | 北京握奇数据系统有限公司 | 基于可信执行环境技术的应用受限安装方法、管理器和终端 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109308406A (zh) * | 2018-07-09 | 2019-02-05 | 中国银联股份有限公司 | 用户终端及可信应用管理系统 |
| CN109308406B (zh) * | 2018-07-09 | 2021-10-22 | 中国银联股份有限公司 | 用户终端及可信应用管理系统 |
| CN111935122A (zh) * | 2020-07-31 | 2020-11-13 | 重庆小雨点小额贷款有限公司 | 数据的安全处理方法及装置 |
| CN111935122B (zh) * | 2020-07-31 | 2022-09-20 | 重庆小雨点小额贷款有限公司 | 数据的安全处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3241161A1 (en) | 2017-11-08 |
| US20160217467A1 (en) | 2016-07-28 |
| SG11201705430TA (en) | 2017-08-30 |
| AU2015374037A1 (en) | 2017-07-20 |
| CA2972895A1 (en) | 2016-07-07 |
| US10699277B2 (en) | 2020-06-30 |
| GB201423362D0 (en) | 2015-02-11 |
| CA2972895C (en) | 2019-06-18 |
| BR112017014076A2 (pt) | 2018-01-16 |
| ZA201704707B (en) | 2018-12-19 |
| WO2016109643A1 (en) | 2016-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107430729A (zh) | 用于移动支付应用的安全性 | |
| EP3050247B1 (en) | Method for securing over-the-air communication between a mobile application and a gateway | |
| CN101809633B (zh) | 与不同的企业无线地执行交易 | |
| FI125071B (fi) | Maksujärjestelmä | |
| JP6704919B2 (ja) | 支払いトークンのセキュリティを確保する方法 | |
| JP2022504072A (ja) | 非接触カードの暗号化認証のためのシステムおよび方法 | |
| CN112823335A (zh) | 用于非接触卡的密码认证的系统和方法 | |
| JP7483688B2 (ja) | 非接触カードの暗号化認証のためのシステムおよび方法 | |
| EP3895462B1 (en) | Provisioning initiated from a contactless device | |
| CA3117817A1 (en) | Systems and methods for cryptographic authentication of contactless cards | |
| US11750368B2 (en) | Provisioning method and system with message conversion | |
| CN113168631A (zh) | 用于非接触卡的密码认证的系统和方法 | |
| WO2020181161A1 (en) | Security for contactless transactions | |
| KR20150144361A (ko) | 종단 간 매체 소유 인증과 일회용 인증코드 인증을 이중 결합한 2채널 인증을 이용한 결제 처리 방법 | |
| CN116097686A (zh) | 安全元件与移动设备的安全端到端配对 | |
| CN118300876A (zh) | 从非接触式装置发起的预配 | |
| KR20150144365A (ko) | 종단 간 매체 소유 인증과 일회용 인증코드 인증을 결합한 결제 처리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171201 |
|
| WD01 | Invention patent application deemed withdrawn after publication |