CN113383527A - 在可信设备上进行终端用户认证的方法 - Google Patents

Abstract

一种用于在可信设备上进行终端用户认证的方法，所述方法使得终端用户能够借助与终端用户相关联的个性化安全指示器(例如文本字符串、图片或其他视觉上可呈现的信息)可靠地识别在未知设备(例如第三方的移动POS终端)上显示的可信用户界面。

Description

在可信设备上进行终端用户认证的方法

技术领域

本发明涉及数据安全领域，更具体地，涉及用于在可信设备(尤其是移动POS终端)上进行终端用户认证的方法和系统。

背景技术

销售点(Point of Sale，简称POS)终端会经过标准化、测试和评估，然后才可以投入商用。POS终端通常是一个独立的产品，配备有读卡器(接触式和非接触式)、用户界面(显示屏和小键盘)以及与支付终端(如收银机)的通信接口。在注册到支付基础设施期间，每个POS终端都配备有终端专有的密钥和证书。因此，支付基础设施能够唯一地识别和认证每个POS终端，并确保它是经批准的设备。终端用户习惯于使用这些POS终端，他们觉得将自己的卡的PIN输入设备是安全的。

在移动POS终端的情况下，现有设备(如手机或平板电脑)充当POS终端，其中通过安装使用可信执行环境(Trusted Execution Environment，简称TEE)来满足所需安全标准的应用来将POS功能添加到设备中。对这种移动POS终端技术的需求越来越大，因为独立的POS终端会产生大量的支出，尤其是对于规模较小的企业。然而，如果能够获得使用用于此用途的移动设备所需的技术，则这些商家可能拥有可以使用的移动设备。

当前的移动POS方案使用单独的通过USB线或其他方式连接到移动设备的读卡器(接触式读卡器和非接触式读卡器)。支付卡由读卡器读取，读卡器本身负责与卡的通信。移动设备仅仅通过从卡上发送要收费的金额来触发读卡器。读卡器可以包含用户界面(显示屏和小键盘)，在这种情况下，在读卡器中输入PIN。如果读卡器不包含用户界面，则移动设备需要为支付卡所有者提供用于输入PIN的用户界面。在这种情况下，支付卡所有者不得不盲目地信任移动设备的用户界面。

然而，问题在于，试图进行支付的终端用户并不熟悉这些移动POS终端。特别是，当终端用户被要求在第三方的移动设备(例如手机或平板电脑)中输入其PIN时，有些终端用户可能会感到不自在和不安全，因为他们无法确定移动设备上显示的PIN输入UI是否可信。换句话说，终端用户无法确定是否正在使用可信用户界面，因为他们不知道TUI和普通UI之间的区别。

因此，希望提供一个直观的方式，让持卡人安全地使用他们的卡。换句话说，持卡人应该有区分合法移动POS终端和欺诈终端的机制。

即使流氓POS终端无法直接允许攻击者使用支付基础设施清算某笔支付，但流氓POS终端能够窃取终端用户的PIN并将其转发给攻击者。一旦攻击者也获得了实体支付卡的访问权，他就可以使用有效的POS终端进行支付，因为他已经知道终端用户的PIN。在基于磁条的支付卡仍然被广泛使用的某些国家(如美国)，窃取PIN尤其是个问题，因为这些磁条上的信息相对容易复制。因此，欺诈商户可能窃取PIN并制作磁条卡。

一个现有的方案是使用可信用户界面(Trusted User Interface，简称TUI)来向设备所有者保证UI是可信的。TUI是在设备针对所有者进行个性化设置时使用——这通常发生在设备的第一次启动时。通过指示器来保证TUI正在被使用的事实。该指示器可以是正在显示的某个背景图像，或正在点亮的专用LED，其让设备所有者知道设备中当前正在显示的UI确实是可信用户界面。然而，该方案不适用于终端用户不是设备所有者的情况，因为设备所有者设置的指示器与另一个终端用户没有任何意义或关联。

另一个类似的方案存在于网络浏览器中，其中登录屏幕将向终端用户显示指示器图像。该指示器通常在终端用户登录到浏览器并希望获得登录屏幕确实有效的额外保证时设置。然而，该方案具有以下缺点：浏览器需要被信任(例如在TEE中运行)，但通常情况并非如此，同时需要安装额外的硬件或软件；设计的用户界面不意味着是可信用户界面。如果终端用户正在使用的是流氓浏览器，或者设备中有恶意软件，那么安全指示器可能容易被窃取并在后续被滥用。

发明内容

本发明的目的在于提供一种改进的终端用户认证方法，以克服或至少减少上述问题。

上述目的和其他目的通过独立权利要求的特征来实现。进一步的实现方式在从属权利要求、具体说明和附图中显而易见。

根据第一方面，提供了一种用于在设备上进行终端用户认证的方法，其中所述方法包括：

在所述设备上提供安全执行环境(Secure Execution Environment，简称SEE)和与所述SEE连接的显示模块；

提供包括安全指示器的电子存储单元，其中所述安全指示器与所述终端用户相关联；

在所述电子存储单元与所述SEE之间建立安全数据信道；

通过所述安全数据信道将所述安全指示器从所述电子存储单元发送到所述SEE；

所述SEE建立对所述显示模块的互斥控制；以及

在所述显示模块上向所述终端用户显示所述安全指示器。

所提出的方法通过在未知设备(例如移动POS终端)的显示屏上显示与所述终端用户相关联(因此对所述终端用户是已知的)的个性化安全指示器，使得所述终端用户能够信任所述未知设备。这种视觉反馈是一种确保任何设备的可信任性的即时且用户友好的方式，并且只需要为所述终端用户呈现电子存储单元(例如支付卡的芯片)。这样所需的空间通常是最小的，并且在大多数情况下所述电子存储单元是潜在终端用户通常会随身携带的物体(例如支付卡、智能卡或智能手机)的一部分。

所述方法还能够在具有显示单元的几乎任何设备上验证所述设备正在运行安全执行环境，从而确保安全地输入任何类型的敏感信息。

在一实施例中，所述电子存储单元的容量在1kB到256kB之间，更优选地，在1kB到8kB之间。这个范围能够实现将传统支付卡用于所述方法，尽管在所述安全指示器的类型和数据大小方面有更多的限制选项。

在另一实施例中，所述电子存储单元的容量更大，介于256kB到10MB之间。这个范围能够实现将更现代的智能卡用于所述方法，在所述安全指示器的数据大小方面的限制更少。

在另一实施例中，所述电子存储单元的容量大于10MB。这个范围能够实现将带有内置数据存储的其他物体(优选地，移动物体)用于所述方法，例如智能手机。

在一实施例中，所述安全指示器专门与所述终端用户相关联，从而确保更高级别的设备安全和信任。

在第一方面的一种可能实现方式中，所述安全执行环境(Secure ExecutionEnvironment，简称SEE)是作为所述设备的处理器的安全区域而建立的可信执行环境(Trusted Execution Environment，简称TEE)。

TEE作为一个隔离执行环境，提供诸如隔离执行、与所述TEE一起执行的应用的完整性以及其资产的机密性等安全特征。因此，所述TEE提供的执行空间比开放式富操作系统(例如移动操作系统)提供更高的安全级别，并且比例如安全元件(Secure Element，简称SE)提供更多的功能。

在第一方面的一种可能实现方式中，所述TEE用于在建立所述互斥控制之后在所述显示模块上呈现可信用户界面(Trusted User Interface，简称TUI)，其中所述TUI包括用于向所述终端用户呈现所述安全指示器的专用区域。

可信用户界面特征允许可信应用通过所述显示模块直接与所述终端用户交互。TEE和TUI的结合通常通过使用内置在所述设备中的硬件隔离来保护来自所述操作系统的可信应用与用户之间交换的信息的机密性和完整性。通过所述TUI显示的信息不能被所述操作系统内的任何软件或其他未经授权的可信应用访问、修改或隐藏。

在第一方面的一种可能实现方式中，所述方法还包括在所述设备上提供连接到所述显示模块的富执行环境(Rich Execution Environment，简称REE)，其中所述REE被配置为与所述TEE并行运行的隔离环境，并且所述设备被配置成在所述REE运行移动受理客户端(Mobile Acceptance Client，简称MAC)应用的同时，所述TEE可以运行相应的MAC可信应用(MAC Trusted Application，简称MAC TA)。

所述MAC应用和所述MAC TA并行运行，但彼此隔离，这样确保了良好的用户体验和较高的安全级别。这样一来，可以运行更复杂的MAC应用，引导所述终端用户完成授权过程，同时还可确保任何敏感数据的输入都发生在所述MAC TA中，因此在所述TEE中受到保护，使所述REE无法访问这些数据。

在第一方面的一种可能实现方式中，建立所述安全数据信道包括：在所述电子存储单元与在所述TEE中运行的所述MAC TA之间建立相互认证；其中

所述安全指示器通过所述安全数据信道从所述电子存储单元发送到在所述TEE中运行的所述MAC TA。

在第一方面的一种可能实现方式中，建立所述安全数据信道包括：在所述电子存储单元与所述设备之间建立物理接触。

该实现方式使得能够使用包括电子存储单元的各种现有物体，所述电子存储单元可以通过与读卡器设备的物理接触来发送数据，例如传统支付卡。

在第一方面的一种可能实现方式中，建立所述安全数据信道包括：优选地使用近场通信(Near Field Communication，简称NFC)协议在所述电子存储单元与所述设备之间建立非接触式通信。

该实现方式使得信息的简单和快速交换不需要在所述电子存储单元与所述设备之间建立物理接触。通过该实现方式，包括电子存储单元的多种现有物体可用于用户认证，只要它们可以通过无线连接将数据发送到读卡器设备(例如更现代的支付卡和其他智能卡)。使用NFC协议进一步使得具有电子存储单元的支持NFC的设备能够被使用，例如支持NFC的智能手机。

在第一方面的一种可能实现方式中，所述方法还包括在所述设备上提供输入模块，其中所述输入模块用于供所述终端用户输入用户认证信息。

通过提供专用的输入模块，用户可以输入诸如PIN之类的信息，这些信息可供所述设备用于认证。

在一实施例中，所述输入模块是独立于所述显示模块的模块。所述输入模块可以是与所述显示模块相同的设备的一部分，也可以是连接到所述设备的外部模块的一部分，以使得用户能够输入信息。

在另一实施例中，所述输入模块和所述显示模块是同一个模块，体现为一个触摸屏模块。

在第一方面的一种可能实现方式中，所述设备用于通过确定所述用户认证信息是否与经认证的用户相关联的已存储信息相匹配来对所述终端用户进行认证。在一实施例中，从所述电子存储单元中获取所述已存储信息。在另一实施例中，从所述设备中获取所述已存储信息，例如从所述设备内的存储模块中读取所述已存储信息。在另一实施例中，从通过局域网或通过因特网电连接到所述设备的远程服务器中获取所述已存储信息。

在第一方面的一种可能实现方式中，所述设备为以下各项中的一项：销售点(point-of-sale，简称POS)终端；移动销售点(mobile point-of-sale，简称mPOS)终端；运行POS应用的移动智能手机；或自动柜员机(Automated Teller Machine，简称ATM)；

其中所述方法还包括：在所述显示模块上向所述终端用户显示与所述安全指示器并排放置的支付授权屏幕。

显示与所述安全指示器并排放置的支付授权屏幕使得设备(例如移动POS终端)能够显示可信用户界面(例如TUI)，以便在需要时输入终端用户的PIN，例如用于进行购物。

当终端用户正在进行支付时，在输入PIN的同时，所述安全指示器会显示在所述用户界面(TUI)中，这将在视觉上增强了对所述设备的信任。所述安全指示器可以只在输入PIN时显示，或在所述存储单元(例如作为所述支付卡的一部分)和所述POS终端进行相互认证后一直显示，同时显示所请求的支付金额等信息。

在第一方面的一种可能实现方式中，所述电子存储单元是连接到支付卡或包含在支付卡中的电子芯片的一部分；其中所述电子存储单元还包括与所述支付卡链接的支付账户相对应的支付账户信息；其中所述电子芯片用于通过所述安全数据信道向所述设备提供所述支付账户信息。

本实施例使得能够进行安全交易，其中所述终端用户仅需要通过呈现将个性化安全指示器加载到其存储单元中的支付卡来在移动POS终端上输入PIN。由于呈现支付卡已经是交易程序的一部分，因此所述方法不要求所述终端用户付出额外的努力。此外，由于所述安全指示器存储在所述支付卡本地，因此在所述设备中进行的认证和信任的建立瞬间发生，而不需要连接到因特网或远程服务器。

在第一方面的一种可能实现方式中，所述设备属于与所述终端用户不同的实体。

在另一种可能实现方式中，所述设备属于所述终端用户。

这些实施例使得能够进行安全交易，其中所述终端用户需要在第三方(例如小企业的代表)的移动POS终端或在属于所述终端用户的设备(例如智能手机)上运行的POS应用中输入诸如PIN之类的敏感信息。

在第一方面的一种可能实现方式中，所述安全指示器定义为以下各项中的一项：

文本字符串；

数字图像；

动画数字图像；或

数字视频。

使用文本字符串作为安全指示器所需的存储空间是最小的，因此尤其在所述电子存储单元的数据存储容量有限(例如传统支付卡)的场景中具有优势。

使用数字图像、动画数字图像或数字视频使得安全指示器更难复制，从而实现更高的安全级别。然而，它需要更多的存储空间，因此在所述电子存储单元的数据存储容量较大的场景中(例如现代支付卡、智能卡或智能手机)更具优势。

根据第二方面，提供了一种系统，包括：

设备，其中所述设备包括处理器和显示模块，所述处理器包括与所述显示模块连接的安全执行环境(Secure Execution Environment，简称SEE)；以及

电子存储单元，其中所述电子存储单元包括安全指示器，所述安全指示器与所述终端用户相关联；

其中所述设备用于：

在所述电子存储单元与所述SEE之间建立安全数据信道；

通过所述安全数据信道将所述安全指示器从所述电子存储单元发送到所述SEE；

所述SEE建立对所述显示模块的互斥控制；以及

在所述显示模块上向所述终端用户显示所述安全指示器。

所提出的系统通过在未知设备(例如移动POS终端)的显示屏上显示与所述终端用户相关联(因此对所述终端用户是已知的)的个性化安全指示器，使得所述终端用户能够建立对所述未知设备的信任。这种视觉反馈是一种确保任何设备的可信任性的即时且用户友好的方式，并且只需要为所述终端用户呈现电子存储单元(例如支付卡的芯片)。这样所需的空间通常是最小的，并且在大多数情况下所述电子存储单元是潜在终端用户通常会随身携带的物体(例如支付卡、智能卡或智能手机)的一部分。

所述方法还能够在具有显示单元的几乎任何设备上验证所述设备正在运行安全执行环境，从而确保安全地输入任何类型的敏感信息。

在一实施例中，所述电子存储单元的容量在1kB到256kB之间，更优选地，在1kB到8kB之间。这个范围能够实现将传统支付卡用于所述方法，尽管在所述安全指示器的类型和数据大小方面有更多的限制选项。

在另一实施例中，所述电子存储单元的容量更大，介于256kB到10MB之间。这个范围能够实现将更现代的智能卡用于所述方法，在所述安全指示器的数据大小方面的限制更少。

在另一实施例中，所述电子存储单元的容量大于10MB。这个范围能够实现将带有内置数据存储的其他物体(优选地，移动物体)用于所述方法，例如智能手机。

在第二方面的一种可能实现方式中，所述安全执行环境(Secure ExecutionEnvironment，简称SEE)是作为所述处理器的安全区域而建立的可信执行环境(TrustedExecution Environment，简称TEE)。

TEE作为一个隔离执行环境，提供诸如隔离执行、与所述TEE一起执行的应用的完整性以及其资产的机密性等安全特征。因此，所述TEE提供的执行空间比开放式富操作系统(例如移动操作系统)提供更高的安全级别，并且比例如安全元件(Secure Element，简称SE)提供更多的功能。

在第二方面的一种可能实现方式中，所述TEE用于在建立所述互斥控制之后在所述显示模块上呈现可信用户界面(Trusted User Interface，简称TUI)，其中所述TUI包括用于向所述终端用户呈现所述安全指示器的专用区域。

可信用户界面特征允许可信应用通过所述显示模块直接与所述终端用户交互。TEE和TUI的结合通常通过使用内置在所述设备中的硬件隔离来保护来自所述操作系统的可信应用与用户之间交换的信息的机密性和完整性。通过所述TUI显示的信息不能被所述操作系统内的任何软件或其他未经授权的可信应用访问、修改或隐藏。

在第二方面的一种可能实现方式中，所述设备还包括连接到所述显示模块的富执行环境(Rich Execution Environment，简称REE)，

其中所述REE被配置为与所述TEE并行运行的隔离环境，并且所述设备被配置成在所述REE运行移动受理客户端(Mobile Acceptance Client，简称MAC)应用的同时，所述TEE可以运行相应的MAC可信应用(Trusted Application，简称TA)。

所述MAC应用和所述MAC TA并行运行，但彼此隔离，这样确保了良好的用户体验和较高的安全级别。这样一来，可以运行更复杂的MAC应用，引导所述终端用户完成授权过程，同时还可确保任何敏感数据的输入都发生在所述MAC TA中，因此在所述TEE中受到保护，使所述REE无法访问这些数据。

在第二方面的一种可能实现方式中，所述电子存储单元和所述TEE用于：在所述电子存储单元与在所述TEE中运行的所述MAC TA之间建立相互认证；以及通过所述安全数据信道将所述安全指示器从所述电子存储单元发送到在所述TEE中运行的所述MAC TA。

在第二方面的一种可能实现方式中，所述设备还包括交互点(point-of-interaction，简称POI)模块，其中所述POI模块用于通过以下方式建立所述安全数据信道：在所述电子存储单元与所述设备之间建立物理接触。

所述系统的该实现方式使得能够使用包括电子存储单元的各种现有物体，所述电子存储单元通过与POI模块的物理接触来发送数据，例如传统支付卡。

在第二方面的一种可能实现方式中，所述设备还包括近场通信(Near FieldCommunication，简称NFC)模块，其中所述NFC模块用于通过以下方式建立所述安全数据信道：使用NFC协议在所述电子存储单元与所述设备之间建立非接触式通信。

该实现方式使得信息的简单和快速交换不需要在所述电子存储单元与所述设备之间建立物理接触。通过该实现方式，包括电子存储单元的多种支持NFC的现有物体可用于用户认证(例如智能手机和智能卡)。

在第二方面的一种可能实现方式中，所述设备还包括输入模块，其中所述输入模块用于供所述终端用户输入用户认证信息。

通过提供专用的输入模块，用户可以输入诸如PIN或密码之类的信息，这些信息供所述设备用于认证。

在一实施例中，所述输入模块是独立于所述显示模块的模块。所述输入模块可以是与所述显示模块相同的设备的一部分，也可以是连接到所述设备的外部模块的一部分，以使得用户能够输入信息。

在另一实施例中，所述输入模块和所述显示模块是同一个模块，体现为一个触摸屏模块。

在第二方面的一种可能实现方式中，所述设备用于通过确定所述用户认证信息是否与经认证的用户相关联的已存储信息相匹配来对所述终端用户进行认证，其中所述已存储信息从所述电子存储单元、所述设备或电连接到所述设备的远程服务器中的一个获取。

在第二方面的一种可能实现方式中，所述设备为以下各项中的一项：销售点(point-of-sale，简称POS)终端；移动销售点(mobile point-of-sale，简称mPOS)终端；运行POS应用的移动智能手机；或自动柜员机(Automated Teller Machine，简称ATM)；其中所述显示模块还用于向所述终端用户显示与所述安全指示器并排放置的支付授权屏幕。

显示与所述安全指示器并排放置的支付授权屏幕使得设备(例如移动POS终端)能够显示可信用户界面(例如TUI)，以便在需要时输入终端用户的PIN，例如用于进行购物。

当终端用户正在进行支付时，在输入PIN的同时，所述安全指示器会显示在所述用户界面(TUI)中，这将在视觉上增强了对所述设备的信任。所述安全指示器只在输入PIN时显示，或在所述存储单元(例如作为所述支付卡的一部分)和所述POS终端进行相互认证后一直显示，同时显示所请求的支付金额等信息。

在第二方面的一种可能实现方式中，所述电子存储单元是连接到支付卡或包含在支付卡中的电子芯片的一部分；其中所述电子存储单元还包括与所述支付卡链接的支付账户相对应的支付账户信息；其中所述电子芯片用于通过所述安全数据信道向所述设备提供所述支付账户信息。

本实施例使得能够进行安全交易，其中所述终端用户仅需要通过呈现将个性化安全指示器加载到其存储单元中的支付卡来在移动POS终端上输入PIN。由于呈现支付卡已经是交易程序的一部分，因此所述系统不要求所述终端用户付出额外的努力。此外，由于所述安全指示器存储在所述支付卡本地，因此在所述设备中进行的认证和信任的建立可瞬间发生，而不需要连接到因特网或远程服务器。

在第二方面的一种可能实现方式中，所述设备属于与所述终端用户不同的实体。

在另一种可能实现方式中，所述设备属于所述终端用户。

这些实施例使得能够进行安全交易，其中所述终端用户需要在第三方(例如小企业的代表)的移动POS终端或在属于所述终端用户的设备(例如智能手机)上运行的POS应用中输入诸如PIN之类的敏感信息。

在第二方面的一种可能实现方式中，所述安全指示器定义为以下各项中的一项：文本字符串、数字图像、动画数字图像，或数字视频。

使用文本字符串作为安全指示器所需的存储空间是最小的，因此尤其在所述电子存储单元的数据存储容量有限(例如传统支付卡)的场景中具有优势。

使用数字图像、动画数字图像或数字视频使得安全指示器更难复制，从而实现更高的安全级别。然而，动画数字图像或数字视频需要更多的存储空间，因此在所述电子存储单元的数据存储容量较大的场景中(例如现代支付卡、智能卡或智能手机)更具优势。

这些和其他方面将在下面描述的实施例中显而易见。

附图说明

在本发明的以下详细描述部分中，将结合附图中所示的示例性实施例更详细地解释各个方面、实施例和实现方式，其中：

图1为第一方面的实施例提供的用户认证方法的步骤的逻辑流程图；

图2示出了第一方面和第二方面的更多对应实施例提供的用户认证方法和系统的元件；

图3A和图3B示出了第一方面和第二方面的更多对应实施例提供的在电子存储单元与设备之间建立安全数据信道的两种替代方案；

图4示出了第一方面和第二方面的更多对应实施例提供的用户认证方法和系统的不同元件之间进行数据交换的连接；

图5示出了第一方面和第二方面的更多对应实施例提供的支付卡与远程服务器之间的关系；

图6为示出第二方面的实施例提供的基于计算机的系统的硬件配置示例的框图。

具体实施方式

图1为第一方面的实施例提供的用户认证方法的步骤的逻辑流程图。

在初始步骤100中，在步骤101之前，将与终端用户8相关联的安全指示器7存储在电子存储单元6上。安全指示器7可以是选定的文本字符串、数字图像、动画数字图像或数字视频。使用文本字符串所需的存储空间是最小的，因此在数据存储容量在1kB到256kB这个有限范围内的电子存储单元6(例如传统支付卡)的情况下是理想的，而数字图像、动画数字图像或数字视频可以使安全指示器更难复制，但是需要更多的存储空间，因此仅当电子存储单元6的数据存储容量在256kB到10MB这个较大范围内或甚至更大时才适用(例如现代支付卡、智能卡或智能手机)。

安全指示器7以不同的方式与终端用户8相关联。在一个可能的实施例中，终端用户8可以通过直接访问电子存储单元6来设置安全指示器7，例如当电子存储单元6是终端用户8的智能手机的一部分时。

在另一可能的实施例中，安全指示器7只能由第三方在电子存储单元6上设置，无论是否有来自终端用户8的输入。该场景可应用于例如新的支付卡请求的情况，其中安全指示器7可由发行支付卡22的银行24使用终端用户8随请求提供的信息或先前在设置支付账户期间提供的信息来自动设置。安全指示器7也可以在支付卡个性化过程中手动设置。

在另一可能的实施例中，终端用户8可以通过可信服务器9在线设置安全指示器7，所述可信服务器9由能够对终端用户进行认证的实体(例如银行24、支付卡制造商或参与支付基础设施的某个其他可信实体)控制。例如，当客户从某家银行订购新卡时，客户可以将安全指示器7附着到应用并将其一起提交给服务器9。

设置过程只需执行一次。但是，它可以多次执行，以允许终端用户8更改其安全指示器7。

在一实施例中，安全指示器7对终端用户8是唯一的，并且专门与终端用户8相关联，从而确保更高级别的设备安全和信任。

在另一可能的实施例中，设备1属于与终端用户8不同的实体。

在下一步骤101中，在电子存储单元6与在认证设备1上提供的安全执行环境(Secure Execution Environment，简称SEE)2之间建立安全数据信道。

SEE为终端用户8确保向设备1输入任何类型的敏感信息是安全的，并且在设备1上运行的攻击者或流氓应用(例如恶意软件)无法访问敏感信息。

在下一步骤102中，一旦建立了安全数据信道，安全指示器7会通过安全数据信道从电子存储单元6发送到SEE 2。这确保了在安全指示器7发送到SEE 2时，任何攻击者或第三方设备都无法窃取安全指示器7。

在下一步骤103中，SEE 2建立对设备1的显示模块11的互斥控制。这确保了只有SEE2使用显示模块11，在设备1上运行但不在SEE 2中运行的其余进程(例如富操作系统和不安全的应用)无权访问所述显示模块11。

在下一步骤104中，在显示模块11上向终端用户8显示安全指示器7，从而为终端用户8验证设备1实际上正在运行可信任的安全执行环境2。一旦建立信任，用户将敏感信息输入设备1，如下所述。

图2示出了第一方面和第二方面的更多对应实施例提供的用户认证方法和系统的元件；与本文先前描述或示出的相应步骤和特征相同或类似的步骤和特征由先前为简单起见使用的相同标号表示。

所示出的设备1与作为安全执行环境的可信执行环境(Trusted ExecutionEnvironment，简称TEE)3并行运行富执行环境(Rich Execution Environment，简称REE)4。TEE 3作为设备1的处理器10的安全区域建立，其中所述设备1被配置为与REE 4相隔离的执行环境。尽管REE 4通常用于运行不处理敏感数据的操作系统(Operating System，简称OS)和应用，TEE 3提供诸如隔离执行、与所述TEE 3一起执行的应用的完整性以及其资产的机密性等安全特征。因此，TEE 3提供的执行空间提供了更高的安全级别。

设备1还被配置成在REE 4运行移动受理客户端(Mobile Acceptance Client，简称MAC)应用19的同时，TEE 3可以运行相应的MAC可信应用(MAC Trusted Application，简称MAC TA)20。在该场景中，MAC应用充当客户端应用，并调用可信应用(MAC TA)的功能。因此，MAC应用与MAC TA同时运行。

在本实施例中，在电子存储单元6与SEE 2之间建立安全数据信道包括在电子存储单元6与在TEE 3中运行的MAC TA 20之间建立相互认证，之后安全指示器7(通过安全数据信道)从电子存储单元6发送到MAC TA 20。

所示出的设备1还包括显示模块11，其中所述显示模块11显示了可信用户界面(Trusted User Interface，简称TUI)5。TUI允许诸如MAC TA之类的可信应用通过显示模块11直接与终端用户8交互。

TUI可包括用于向终端用户8呈现安全指示器7的专用区域。

TEE 3和TUI 5的结合通常通过使用内置在设备1中的硬件隔离来保护来自OS的MAC TA 20与终端用户8之间交换的信息的机密性和完整性。通过TUI 5显示的信息不能被OS内的任何软件或任何其他未经授权的可信应用访问、修改或隐藏。

图3A和图3B示出了第一方面和第二方面的更多对应实施例提供的在电子存储单元与设备之间建立安全数据信道的两种替代方案；与本文先前描述或示出的相应步骤和特征相同或类似的步骤和特征由先前为简单起见使用的相同标号表示。

根据图3A所示的实施例，在电子存储单元6与设备1之间建立物理接触。在一实施例中，设备1包括专用的交互点(point-of-interaction，简称POI)模块17，其中所述POI模块17用于在电子存储单元6与设备1之间建立安全数据信道。一旦建立了安全数据信道，安全指示器7从电子存储单元6发送到设备1，并通过显示模块11显示给终端用户8。

根据图3B所示的实施例，当通过非接触式通信建立安全数据信道时，不需要在电子存储单元6与设备1之间建立物理接触，从而能够简单而快速地交换信息。

在一实施例中，设备1包括专用的近场通信(Near Field Communication，简称NFC)模块18，其中所述NFC模块18用于通过NFC协议建立安全数据信道，从而使得能够使用具有电子存储单元的支持NFC的设备。类似于图3A的实施例，一旦建立了安全数据信道，安全指示器7从电子存储单元6无线发送到设备1，并通过显示模块11显示给终端用户8。

图4示出了第一方面和第二方面的更多对应实施例提供的用户认证方法和系统的不同元件之间进行数据交换的连接；与本文先前描述或示出的相应步骤和特征相同或类似的步骤和特征由先前为简单起见使用的相同标号表示。

本实施例中的设备1还包括输入模块12，其中所述输入模块12用于输入可供设备1用于对终端用户8进行认证的信息，例如PIN。在该示例性实施例中，输入模块12是与显示模块11相同的设备1的一部分，并且它们是同一个模块，体现为一个触摸屏模块。

在另一可能的实施例中，输入模块12可以是独立于显示模块11的模块。

在另一可能的实施例中，输入模块12可以是连接到设备1的外部模块的一部分，以使得用户8能够输入信息。

显示模块11还可用于向终端用户8显示与安全指示器7并排放置的支付授权屏幕23。支付授权屏幕23可以包括显示所请求的支付金额的字段和PIN输入字段。在触摸屏输入的情况下，屏幕23还可包括用于供用户8输入PIN的数字输入字段。

当终端用户8正在进行支付时，在输入PIN的同时，安全指示器7会通过TUI 5进行显示，这将在视觉上增强了对设备1的信任。安全指示器7可以只在输入PIN时显示，或在存储单元6和设备1进行相互认证后一直显示。

在一实施例中，设备1还用于通过确定终端用户8输入的用户认证信息是否与经认证的用户相关联的已存储信息相匹配来对终端用户8进行认证。已存储信息通过所建立的安全信道从电子存储单元6中获取，或者从设备1内的存储模块14中获取。在另一可能的实施例中，已存储信息从电连接到设备1的远程服务器9中获取。

虽然在本特定实施例中，设备1显示为移动销售点(mobile point-of-sale，简称mPOS)终端，但在更多可能的实施例中，它还可以是标准销售点(point-of-sale，简称POS)终端、运行POS应用的移动智能手机或自动柜员机(Automated Teller Machine，简称ATM)。

在更多可能的实施例中，所述设备用作门禁访问模块，其中钥匙卡(智能卡)包括电子存储单元6，并且存储在其中的安全指示器7确保输入访问模块可信任的进入码的用户8不会对数据进行未经授权的访问。

图5示出了第一方面和第二方面的更多对应实施例提供的支付卡与远程服务器之间的关系；与本文先前描述或示出的相应步骤和特征相同或类似的步骤和特征由先前为简单起见使用的相同标号表示。

在本实施例中，电子存储单元6是连接到支付卡22或包含在支付卡22中的电子芯片21的一部分，并且电子存储单元6还包括与支付卡22链接的支付账户相对应的支付账户信息。支付账户信息由直接或间接通过远程服务器9发行支付卡22的银行24加载到电子芯片21。

电子芯片21还可用于通过所建立的安全数据信道向设备1提供支付账户信息。

终端用户8仅通过呈现将个性化安全指示器7加载到其存储单元6中的支付卡22来在移动POS终端上安全地输入PIN或密码，所述PIN或密码随后被发送到设备1的SEE 2，并且后续由显示模块11显示给终端用户8。

图6为示出第二方面的实施例提供的系统的硬件配置示例的框图。与本文先前描述或示出的相应步骤和特征相同或类似的步骤和特征由先前为简单起见使用的相同标号表示。

所述系统可以连接到远程服务器9，其中所述远程服务器9用于存储诸如安全指示器7的数据、与经认证的用户相关联的信息，或与支付账户相对应的支付账户信息。两者之间的连接类型可以是直接连接或间接连接，如下所述。

设备1可包括POI模块17，其中所述POI模块17用于在电子存储单元6(可以嵌入支付卡22的电子芯片21中)与设备1之间建立安全数据信道。

可替代地或附加地，设备1包括NFC模块18，其中所述NFC模块18用于通过NFC协议建立安全数据信道。所述安全数据信道随后可用于将安全指示器7从电子存储单元6发送到设备1。

设备1还可以包括处理器(CPU)10，其中所述处理器(CPU)10用于执行指令，使得系统执行上述任何可能的实施例所述的方法。

处理器可包括用于并行运行的富执行环境(Rich Execution Environment，简称REE)4以及安全执行环境(Secure Execution Environment，简称SEE)2的专用区域。在一实施例中，SEE被配置为可信执行环境(Trusted Execution Environment，简称TEE)3，并作为与REE 4相隔离的处理器10的安全区域建立。

设备1还可包括存储介质(HDD)14，用于存储将由CPU 19执行的基于软件的指令，以及与经认证的用户相关联的已存储信息。

设备1还可包括存储器(RAM)13，其中所述存储器(RAM)13用于(暂时地)存储在设备1上运行的应用和进程的数据。

设备1还可包括输入模块12，其中所述输入模块12用于接收来自终端用户8的输入，其形式为设备1的内置模块，或者是连接到设备1的外部模块的一部分，以使得用户8能够输入信息。作为设备1中的内置模块，输入模块12可以是独立于显示模块11的模块，或者它们是同一个模块，体现为一个触摸屏模块。

设备1还可包括显示模块11，其中所述显示模块11用于以安全指示器7的形式向终端用户8发送信息。显示模块11还可用于向终端用户8显示与安全指示器7并排放置的支付授权屏幕23。显示模块可以作为由SEE 2或TEE 3互斥控制的可信用户界面(Trusted UserInterface，简称TUI)5的元件来发送所有视觉信息。

设备1还可包括通信接口15，其中所述通信接口15用于通过计算机网络直接或间接地与诸如远程服务器9的外部设备进行通信。

所提到的设备1内的硬件元件可通过内部总线16相连，其中所述内部总线16用于处理数据通信和处理操作。

在一实施例中，设备1和服务器9都包含在同一实体中，并通过内部总线16相连。

已经结合本文中的各种实施例描述了各个方面和实现方式。但本领域技术人员通过实践本主题，研究附图、本发明以及所附的权利要求，能够理解并获得公开实施例的其他变体。在权利要求书中，词语“包括”不排除其他元素或步骤，不定冠词“a”或者“an”不排除多个。单个处理器或其他单元可满足权利要求中描述的几项的功能。在仅凭某些措施被记载在相互不同的从属权利要求书中这个单纯的事实并不意味着这些措施的结合不能被有效地使用。计算机程序可存储或分发到合适的介质上，例如与其他硬件一起或者作为其他硬件的部分提供的光存储介质或者固态介质，还可以以其他形式例如通过因特网或者其他有线或无线电信系统分发。

权利要求书中使用的标号不得解释为对范围的限制。

Claims (26)

1.一种用于在设备(1)上进行终端用户(8)认证的方法，其特征在于，所述方法包括：

在所述设备(1)上提供安全执行环境(Secure Execution Environment，简称SEE)(2)和与所述SEE(2)连接的显示模块(11)；

提供包括安全指示器(7)的电子存储单元(6)，其中所述安全指示器(7)与所述终端用户(8)相关联(100)；

在所述电子存储单元(6)与所述SEE(2)之间建立(101)安全数据信道；

通过所述安全数据信道将所述安全指示器(7)从所述电子存储单元(6)发送(102)到所述SEE(2)；

所述SEE(2)建立(103)对所述显示模块(11)的互斥控制；以及

在所述显示模块(11)上向所述终端用户(8)显示(104)所述安全指示器(7)。

2.根据权利要求1所述的方法，其特征在于，所述安全执行环境(Secure ExecutionEnvironment，简称SEE)(2)是作为所述设备(1)的处理器(10)的安全区域而建立的可信执行环境(Trusted Execution Environment，简称TEE)(3)。

3.根据权利要求2所述的方法，其特征在于，所述TEE(3)用于在建立所述互斥控制之后在所述显示模块(11)上呈现可信用户界面(Trusted User Interface，简称TUI)(5)，其中所述TUI(5)包括用于向所述终端用户(8)呈现所述安全指示器(7)的专用区域。

4.根据权利要求2或3中任一项所述的方法，其特征在于，还包括：

在所述设备(1)上提供连接到所述显示模块(11)的富执行环境(Rich ExecutionEnvironment，简称REE)(4)，

其中所述REE(4)被配置为与所述TEE(3)并行运行的隔离环境，以及

所述设备(1)被配置成在所述REE(4)运行移动受理客户端(Mobile AcceptanceClient，简称MAC)应用(19)的同时，所述TEE(3)可以运行相应的MAC可信应用(MAC TrustedApplication，简称MAC TA)(20)。

5.根据权利要求4所述的方法，其特征在于，

建立所述安全数据信道包括：

在所述电子存储单元(6)与在所述TEE(3)中运行的所述MAC TA之间建立相互认证；

其中所述安全指示器(7)通过所述安全数据信道从所述电子存储单元(6)发送到在所述TEE(3)中运行的所述MAC TA。

6.根据权利要求1至5中任一项所述的方法，其特征在于，建立所述安全数据信道包括：

在所述电子存储单元(6)与所述设备(1)之间建立物理接触。

7.根据权利要求1至5中任一项所述的方法，其特征在于，建立所述安全数据信道包括：

优选地使用近场通信(Near Field Communication，简称NFC)协议在所述电子存储单元(6)与所述设备(1)之间建立非接触式通信。

8.根据权利要求1至7中任一项所述的方法，其特征在于，还包括：

在所述设备(1)上提供输入模块(12)，其中所述输入模块(12)用于供所述终端用户(8)输入用户认证信息。

9.根据权利要求8所述的方法，其特征在于，所述设备(1)用于通过确定所述用户认证信息是否与经认证的用户相关联的已存储信息相匹配来对所述终端用户(8)进行认证，其中所述已存储信息从以下各项中的一项获取：

所述电子存储单元(6)；

所述设备(1)；或

与所述设备(1)电连接的远程服务器(9)。

10.根据权利要求1至9中任一项所述的方法，其特征在于，所述设备(1)为以下各项中的一项：

销售点(point-of-sale，简称POS)终端；

移动销售点(mobile point-of-sale，简称mPOS)终端；

运行POS应用的移动智能手机；或

自动柜员机(Automated Teller Machine，简称ATM)；

其中所述方法还包括：在所述显示模块(11)上向所述终端用户(8)显示与所述安全指示器(7)并排放置的支付授权屏幕(23)。

11.根据权利要求1至10中任一项所述的方法，其特征在于，所述电子存储单元(6)是连接到支付卡(22)或包含在支付卡(22)中的电子芯片(21)的一部分，

其中所述电子存储单元(6)还包括与所述支付卡(22)链接的支付账户相对应的支付账户信息；

其中所述电子芯片(21)用于通过所述安全数据信道向所述设备(1)提供所述支付账户信息。

12.根据权利要求1至11中任一项所述的方法，其特征在于，所述设备(1)属于与所述终端用户(8)不同的实体。

13.根据权利要求1至12中任一项所述的方法，其特征在于，所述安全指示器(7)定义为以下各项中的一项：

文本字符串；

数字图像；

动画数字图像；或

数字视频。

14.一种用于进行终端用户(8)认证的系统，其特征在于，所述系统包括：

设备(1)，其中所述设备(1)包括处理器(10)和显示模块(11)，所述处理器(10)包括与所述显示模块(11)连接的安全执行环境(Secure Execution Environment，简称SEE)(2)；以及

电子存储单元(6)，其中所述电子存储单元(6)包括安全指示器(7)，所述安全指示器(7)与所述终端用户(8)相关联；

其中所述设备(1)用于：

在所述电子存储单元(6)与所述SEE(2)之间建立安全数据信道；

通过所述安全数据信道将所述安全指示器(7)从所述电子存储单元(6)发送到所述SEE(2)；

所述SEE(2)建立对所述显示模块(11)的互斥控制；以及

在所述显示模块(11)上向所述终端用户(8)显示所述安全指示器(7)。

15.根据权利要求14所述的系统，其特征在于，所述安全执行环境(Secure ExecutionEnvironment，简称SEE)(2)是作为所述处理器(10)的安全区域而建立的可信执行环境(Trusted Execution Environment，简称TEE)(3)。

16.根据权利要求15所述的系统，其特征在于，所述TEE(3)用于在建立所述互斥控制之后在所述显示模块(11)上呈现可信用户界面(Trusted User Interface，简称TUI)(5)，其中所述TUI(5)包括用于向所述终端用户(8)呈现所述安全指示器(7)的专用区域。

17.根据权利要求15或16中任一项所述的系统，其特征在于，所述设备(1)还包括连接到所述显示模块(11)的富执行环境(Rich Execution Environment，简称REE)(4)，

其中所述REE(4)被配置为与所述TEE(3)并行运行的隔离环境，以及

所述设备(1)被配置成在所述REE(4)运行移动受理客户端(Mobile AcceptanceClient，简称MAC)应用的同时，所述TEE(3)可以运行相应的MAC可信应用(TrustedApplication，简称TA)。

18.根据权利要求17所述的系统，其特征在于，所述电子存储单元(6)和所述TEE(3)用于：

在所述电子存储单元(6)与在所述TEE(3)中运行的所述MAC TA之间建立相互认证；以及

通过所述安全数据信道将所述安全指示器(7)从所述电子存储单元(6)发送到在所述TEE(3)中运行的所述MAC TA。

19.根据权利要求14至18中任一项所述的系统，其特征在于，所述设备(1)还包括交互点(point-of-interaction，简称POI)模块(17)，其中所述POI模块(17)用于通过以下方式建立所述安全数据信道：

在所述电子存储单元(6)与所述设备(1)之间建立物理接触。

20.根据权利要求14至18中任一项所述的系统，其特征在于，所述设备(1)还包括近场通信(Near Field Communication，简称NFC)模块(18)，其中所述NFC模块(18)用于通过以下方式建立所述安全数据信道：

使用NFC协议在所述电子存储单元(6)与所述设备(1)之间建立非接触式通信。

21.根据权利要求14至20中任一项所述的系统，其特征在于，所述设备(1)还包括输入模块(12)，其中所述输入模块(12)用于供所述终端用户(8)输入用户认证信息。

22.根据权利要求21所述的系统，其特征在于，所述设备(1)用于通过确定所述用户认证信息是否与经认证的用户相关联的已存储信息相匹配来对所述终端用户(8)进行认证，其中所述已存储信息从以下各项中的一项获取：

所述电子存储单元(6)；

所述设备(1)；或

与所述设备(1)电连接的远程服务器(9)。

23.根据权利要求14至22中任一项所述的系统，其特征在于，所述设备(1)为以下各项中的一项：

销售点(point-of-sale，简称POS)终端；

移动销售点(mobile point-of-sale，简称mPOS)终端；

运行POS应用的移动智能手机；或

自动柜员机(Automated Teller Machine，简称ATM)；

其中所述显示模块(11)还用于向所述终端用户(8)显示与所述安全指示器(7)并排放置的支付授权屏幕(23)。

24.根据权利要求14至23中任一项所述的系统，其特征在于，所述电子存储单元(6)是连接到支付卡(22)或包含在支付卡(22)中的电子芯片(21)的一部分，

其中所述电子存储单元(6)还包括与所述支付卡(22)链接的支付账户相对应的支付账户信息；

其中所述电子芯片(21)用于通过所述安全数据信道向所述设备(1)提供所述支付账户信息。

25.根据权利要求14至24中任一项所述的系统，其特征在于，所述设备(1)属于与所述终端用户(8)不同的实体。

26.根据权利要求14至25中任一项所述的系统，其特征在于，所述安全指示器(7)定义为以下各项中的一项：

文本字符串；

数字图像；

动画数字图像；或

数字视频。

Images