CN114331399A - 数据处理方法、装置、设备和系统 - Google Patents
数据处理方法、装置、设备和系统 Download PDFInfo
- Publication number
- CN114331399A CN114331399A CN202111644297.1A CN202111644297A CN114331399A CN 114331399 A CN114331399 A CN 114331399A CN 202111644297 A CN202111644297 A CN 202111644297A CN 114331399 A CN114331399 A CN 114331399A
- Authority
- CN
- China
- Prior art keywords
- ifaa
- request message
- unit
- party application
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请实施例提供一种数据处理方法、装置、设备和系统,方法包括:第三方应用接收到电子支付请求,生成交易动态数据,并获得第一请求报文;第三方应用将第一请求报文和交易动态数据发送至IFAA TA;IFAA TA验证第一请求报文合法时,将交易动态数据发送至SE;IFAA TA接收SE返回的签名结果,签名结果由SE使用第一数字证书对交易动态数据签名得到;IFAA TA根据签名结果生成第一响应报文,将第一响应报文发送给第三方应用;第三方应用根据第一响应报文发起电子支付。本申请实施例能够提高用户使用电子设备中的支付客户端进行电子支付的安全性,进而提升用户体验。
Description
技术领域
本申请涉及通信领域,特别涉及一种数据处理方法、装置、设备和系统。
背景技术
目前,电子支付日益普及,使用电子设备(例如,手机)上的应用进行电子支付成为人们日常支付的主要方式之一。
但是,用户使用电子设备上的应用进行电子支付时,支付数据的安全性较差,容易出现支付数据泄露,影响用户体验。
发明内容
本申请提供了一种数据处理方法、装置、设备和系统,能够提高用户使用电子设备中的应用进行电子支付的安全性,进而提升用户体验。
第一方面,本申请实施例提供一种数据处理方法,应用于电子设备,所述电子设备包括REE系统和TEE系统,所述REE系统包括:第三方应用,所述TEE系统包括:IFAA TA,所述电子设备还包括:SE,所述SE中预先存储有第一数字证书;包括:
所述第三方应用接收到电子支付请求,生成交易动态数据,并获得第一请求报文,所述第一请求报文用于请求使用所述第一数字证书对所述交易动态数据进行签名;
所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA TA;
所述IFAA TA验证所述第一请求报文合法时,将所述交易动态数据发送至所述SE;
所述IFAA TA接收所述SE返回的签名结果,所述签名结果由所述SE使用所述第一数字证书对所述交易动态数据签名得到;
所述IFAA TA根据所述签名结果生成第一响应报文,将所述第一响应报文发送给所述第三方应用;
所述第三方应用根据所述第一响应报文发起电子支付。
该方法中由SE进行数字证书管理,并对交易动态数据进行签名,从而能够提高用户使用电子设备中的应用进行电子支付的安全性,进而提升用户体验。
在一种可能的实现方式中,所述获得第一请求报文,包括:
所述第三方应用向第三方服务器发送第一请求消息,所述第一请求消息用于请求所述第一请求报文;
所述第三方应用接收所述第三方服务器发送的所述第一请求报文,所述第三方服务器在将所述第一请求消息发送至IFAA服务器,接收所述IFAA服务器返回的所述第一请求报文后向所述第三方应用发送所述第一请求报文。
在一种可能的实现方式中,所述IFAA TA验证所述第一请求报文合法,包括:
所述IFAA TA使用预设的第二数字证书对所述第一请求报文进行合法性验证,得到验证结果为所述第一请求报文合法。
在一种可能的实现方式中,所述IFAA TA根据所述签名结果生成第一响应报文,包括:
所述IFAA TA使用预设的第二数字证书对所述签名结果进行签名,使用签名得到的数据生成第一响应报文。
在一种可能的实现方式中,所述REE系统还包括:IFAA应用;
所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA TA,包括:
所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA应用;
所述IFAA应用将所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA TA。
在一种可能的实现方式中,所述TEE系统还包括:生物特征验证TA;
所述IFAA TA将所述交易动态数据发送至所述SE之前,还包括:
所述IFAA TA向所述生物特征验证TA发送生物特征验证请求;
所述IFAATA接收所述生物特征验证TA发送的验证结果,所述验证结果在所述生物特征验证TA完成生物特征验证后发送;
所述IFAA TA确定所述验证结果为验证通过。
在一种可能的实现方式中,所述第三方应用根据所述第一响应报文发起电子支付,包括:
所述第三方应用向所述第三方服务器发送第一响应报文;
所述第三方应用接收所述第三方服务器发送的电子支付结果,所述第三方服务器在将所述第一响应报文发送至第一IFAA服务器、接收到所述IFAA服务器返回的电子支付结果后发送所述电子支付结果。
第二方面,本申请实施例提供一种数据处理装置,应用于电子设备,所述电子设备包括:REE模块和TEE模块,所述电子设备还包括:SE,所述SE中预先存储有第一数字证书;所述装置包括:设置于所述REE模块中的第三方应用单元,设置于所述TEE模块中的IFAA TA单元;其中,
所述第三方应用单元用于:接收到电子支付请求,生成交易动态数据,并获得第一请求报文,所述第一请求报文用于请求使用所述第一数字证书对所述交易动态数据进行签名;将所述第一请求报文和所述交易动态数据发送至所述IFAA TA单元;
所述IFAA TA单元用于:验证所述第一请求报文合法时,将所述交易动态数据发送至所述SE;接收所述SE返回的签名结果,所述签名结果由所述SE使用所述第一数字证书对所述交易动态数据签名得到;根据所述签名结果生成第一响应报文,将所述第一响应报文发送给所述第三方应用单元;
所述第三方应用单元还用于:根据所述第一响应报文发起电子支付。
在一种可能的实现方式中,所述第三方应用单元用于:获得第一请求报文,包括:
所述第三方应用单元用于:向第三方服务器发送第一请求消息,所述第一请求消息用于请求所述第一请求报文;接收所述第三方服务器发送的所述第一请求报文,所述第三方服务器在将所述第一请求消息发送至IFAA服务器,接收所述IFAA服务器返回的所述第一请求报文后向所述第三方应用发送所述第一请求报文。
在一种可能的实现方式中,所述IFAA TA单元用于:验证所述第一请求报文合法,包括:
所述IFAA TA单元用于:使用预设的第二数字证书对所述第一请求报文进行合法性验证,得到验证结果为所述第一请求报文合法。
在一种可能的实现方式中,所述IFAA TA单元用于:根据所述签名结果生成第一响应报文,包括:
所述IFAA TA单元用于:使用预设的第二数字证书对所述签名结果进行签名,使用签名得到的数据生成第一响应报文。
在一种可能的实现方式中,所述装置还包括:设置于所述REE模块中的IFAA应用单元;所述IFAA应用单元与所述第三方应用单元和所述IFAA TA单元分别连接;
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据发送至所述IFAA TA单元,包括:
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据经由所述IFAA应用单元发送至所述IFAA TA单元。
在一种可能的实现方式中,所述装置还包括:设置于所述REE模块中的IFAA管理模块,设置于TEE模块中的TA入口模块;
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据经由所述IFAA应用单元发送至所述IFAA TA单元,包括:
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据经由所述IFAA应用单元、所述IFAA管理模块以及所述TA入口模块发送至所述IFAA TA单元。
在一种可能的实现方式中,所述装置还包括:设置于所述TEE模块中的生物特征验证单元;
所述IFAA TA单元还用于:向所述生物特征验证单元发送生物特征验证请求;
所述生物特征验证单元用于:进行生物特征验证,完成生物特征验证后向IFAA TA单元发送验证结果;
所述IFAA TA单元还用于:确定所述验证结果为验证通过。
在一种可能的实现方式中,所述第三方应用单元用于:根据所述第一响应报文发起电子支付,包括:
所述第三方应用单元用于:向所述第三方服务器发送第一响应报文,接收所述第三方服务器发送的电子支付结果,所述第三方服务器在将所述第一响应报文发送至第一IFAA服务器、接收到所述IFAA服务器返回的电子支付结果后发送所述电子支付结果。
第三方面,本申请实施例提供一种数据处理系统,包括:第二方面任一项所述的数据处理装置,还包括:第三方服务器和IFAA服务器。
第四方面,本申请实施例提供一种电子设备,包括:
一个或多个处理器;存储器;以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述设备执行时,使得所述设备执行第一方面任一项所述的方法。
第五方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行第一方面任一项所述的方法。
第六方面,本申请提供一种计算机程序,当所述计算机程序被计算机执行时,用于执行第一方面所述的方法。
在一种可能的设计中,第六方面中的程序可以全部或者部分存储在与处理器封装在一起的存储介质上,也可以部分或者全部存储在不与处理器封装在一起的存储器上。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为现有技术电子支付方法的流程示意图;
图2为本申请实施例提供的电子设备的一种结构示意图;
图3为本申请实施例提供的SE的一种结构示意图;
图4为本申请实施例提供的REE系统的一种软件结构示意图;
图5为本申请实施例提供的TEE系统的一种软件结构示意图;
图6为本申请实施例提供的一种系统架构示意图;
图7为本申请数据处理方法一个实施例的流程示意图;
图8为本申请数据处理方法另一个实施例的流程示意图;
图9为本申请数据处理装置一个实施例的结构示意图;
图10为本申请数据处理装置另一个实施例的结构示意图。
具体实施方式
本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。
图1提供一种电子支付方法,具体的,第三方客户端(3rd Part Client)接收到用户发起的电子支付时,向互联网金融身份认证联盟(Internet Finance AuthenticationAlliance,IFAA)客户端发送支付请求,IFAA客户端将支付请求经由IFAA系统框架层、TA入口、IFAA验证模块(IFAA Authenticator)、TA底层接口发送至指纹可信应用(TrustedApplication,TA),由指纹TA获取用户指纹并验证,得到验证结果,指纹TA将验证结果和指纹ID信息发送至IFAA验证模块,IFAA验证模块对验证结果进行加密处理,将得到的加密数据依次经过TA入口、IFAA系统框架层、IFAA客户端发送至第三方客户端,第三方客户端将支付数据和加密数据发送至第三方服务器,第三方服务器将加密数据发送至IFAA服务器进行校验,如果IFAA服务器返回的结果是校验通过,那么第三方客户端与第三方服务器之间进行支付操作。
可见,上述电子支付中支付数据传输至第三方服务器时安全性较低,容易出现支付数据泄露,影响用户体验。
为此,本申请提出一种数据处理方法,提高电子支付的安全性,进而提升用户体验。
本申请实施例的电子设备可以是手机、PAD、可穿戴设备(例如,手表、眼镜等)等。
图2为本申请实施例电子设备的一种结构示意图,如图2所示,电子设备200包括处理器210和收发器220。可选地,该电子设备200还可以包括存储器230。其中,处理器210、收发器220和存储器230之间可以通过内部连接通路互相通信,传递控制和/或数据信号,该存储器230用于存储计算机程序,该处理器210用于从该存储器230中调用并运行该计算机程序。
上述存储器230可以是只读存储器(read-only memory,ROM)、可存储静态信息和指令的其它类型的静态存储设备、随机存取存储器(random access memory,RAM)或可存储信息和指令的其它类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备,或者还可以是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质等。
可选地,电子设备200还可以包括天线240,用于将收发器220输出的无线信号发送出去。
上述处理器210可以和存储器230可以合成一个处理装置,更常见的是彼此独立的部件,处理器210用于执行存储器230中存储的程序代码来实现上述功能。具体实现时,该存储器230也可以集成在处理器210中,或者,独立于处理器210。
除此之外,为了使得电子设备200的功能更加完善,该电子设备200还可以包括输入单元260、显示单元270、指纹采集单元250、SE280等。其中,显示单元270可以包括显示屏。
SE280可封装成各种形式,常见的有智能卡和嵌入式安全模块(eSE)等。SE280用于存储预设数字证书,使用数字证书对电子支付的交易动态数据进行签名,为了后续便于区分,本申请实施例中将SE280中预设的数字证书称为第一数字证书。
如图3所示,SE中可以设置IFAA辅助安全域(IFAA Supplementary SecurityDomain,IFAA SSD),IFAA SSD中运行有IFAA安全应用(IFAA Applet),IFAA安全应用用于使用预设的第一数字证书对电子支付的交易动态数据进行签名。
本申请实施例的电子设备中可以运行有2种软件系统,分别称为富执行环境(RichExecution Environment,REE)系统和可信执行环境(Trusted Execution Environment,TEE)系统,REE系统和TEE系统逻辑隔离,REE系统和TEE系统可以同时运行,且两者之间可以进行数据交互。以下分别对上述两种软件系统的实现进行示例性说明。
REE系统可以是通用操作系统,例如安卓(Android)系统、iOS系统等,以分层架构的Android系统为例,示例性说明REE系统的软件结构。
在一个实施例中,如图4所示,可以将Android系统分为四层,从上至下分别为应用程序层,应用程序框架层,硬件抽象层(HAL),以及内核层(Kernel)。
应用程序层可以包括若干应用程序。本申请实施例的应用程序层包括:第三方支付应用以及IFAA应用。第三方支付应用是请求电子支付的应用,例如点餐应用、购物应用等。IFAA应用是用于完成电子支付的应用。
应用程序框架层为应用程序层的应用提供应用编程接口(ApplicationProgramming Interface,API)和编程框架,包括各种组件和服务来支持开发者的安卓开发。本申请实施例应用程序框架层包括IFAA管理器,作为REE系统中的应用访问TEE系统中应用的接口。
HAL层为位于操作系统内核与硬件电路之间的接口层。例如可以包括音频硬件抽象层(Audio HAL)。
内核层是硬件和软件之间的层。内核层可以包括:显示驱动等。
TEE系统处于安全环境(trust zone)下,在一个实施例中,如图5所示,TEE系统以分层架构实现,包括:应用层和内核层;其中,
应用层可以包括若干应用程序,TEE系统中的应用程序可以称为可信应用(Trusted Application,TA)。本申请实施例中TEE系统的应用层包括:TA入口、指纹TA以及IFAA TA。
TA入口作为TEE系统中的应用访问接口,可以与图3中所示的IFAA管理器之间进行数据交互,从而实现REE系统中应用与TEE系统中应用间的数据传输。
指纹TA用于实现用户指纹的采集和验证。
IFAA TA用于与指纹TA交互信息,还可以用于使用预设的数字证书对信息进行加密或者解密,为了与SE中预设的数字证书进行区分,将IFAA TA中使用的数字证书称为第二数字证书;IFAA TA还可以访问上述电子设备中的SE,与SE进行数据交互。
内核层是硬件和软件之间的层。本申请实施例中TEE系统的内核层可以包括:TA底层接口、指纹采集驱动和指纹库访问驱动。其中,
TA底层接口,用于与应用层的TA对接,实现2个TA之间的数据传输。TEE系统中的2个TA之间无法在应用层进行数据交互,需要通过TA底层接口实现数据交互。可选地,TA底层接口可以采用BIO通信方式封装或者解析数据。
指纹采集驱动用于驱动上述的指纹采集单元250,获取指纹采集单元250采集到的用户的指纹信息。
电子设备的存储器中可以预先存储有指纹库,指纹库中包括若干个指纹模板,指纹模板是具有支付权限的用户的指纹信息。指纹库访问驱动用于读取上述指纹库中的指纹模板。
指纹TA在进行指纹验证时,可以从指纹采集驱动获取用户的指纹信息,从指纹库访问驱动获取指纹库中的指纹模板,将用户的指纹信息与指纹模块一一进行比对,如果用户的指纹信息与某一指纹模板的相似度超过预设阈值,则指纹验证成功,否则,指纹验证失败。
需要说明的是,上述指纹验证仅为举例,TEE系统还可以支持其他生物特征验证,例如脸部特征验证等等,此时,应用层可以设置脸部特征验证TA,内核层可以设置对应的脸部特征采集驱动(摄像头驱动)、以及脸部特征库访问驱动等,这里不再一一列举赘述。
上述TEE端可以提供安全特性性能,并保证在可信环境下进行敏感操作。
结合上述电子设备的结构以及软件架构,本申请实施例提供本申请数据处理方法适用的一种系统架构示意图,如图6所示,包括:
电子设备61、第三方服务器62、IFAA服务器63、IFAA认证中心64、证书签发认证机构(Certification Authority,CA)65、服务提供商可信服务管理平台(SP-TSM)66、SE提供商可信服务管理平台(SEI-TSM)67。其中,
电子设备61中包括:REE端、TEE端以及SE,其中,
REE端对应REE系统,REE端包括:第三方应用、IFAA应用以及IFAA管理器;
TEE端对应TEE系统,TEE端包括:TA入口、IFAA TA、TA底层接口、指纹TA;
SE可以与IFAA TA进行数据交互。
第三方服务器62:电子设备中第三方应用的提供商设置的、用于支持第三方应用业务的服务器。
IFAA服务器63:电子设备中IFAA应用的提供商设置的、用于支持IFAA应用业务的服务器。
IFAA认证中心64用于为电子设备中的IFAA TA下发数字证书,从而使得电子设备中的IFAA TA可以使用数字证书。IFAA认证中心可以分别与证书签发CA和IFAA SP-TSM通信。
证书签发CA65是一个电子商务认证中心,是负责发送和管理数字证书的权威机构提供的服务器。可以用于对用户在SE中IFAA Applet中生成的CSR进行签发并管理公钥证书。
证书签发CA65可以下发根证书,IFAA认证中心根据根证书为电子设备中的IFAATA生成对应的第二数字证书,为SE中的IFAA安全应用生成第一数字证书,等等。
IFAA SP-TSM66是SE中IFAA安全应用的提供方,负责管理IFAA安全应用的生命周期。具体的,IFAA SP-TSM66可以对IFAA安全应用的生命周期进行更新等,上述更新数据可以经由IFAA认证中心、IFAA服务器、IFAA应用、IFAA TA传输至IFAA安全应用。
SEI-TSM67是用于对电子设备中SE的生命周期进行可信服务管理的平台。
以下结合上述系统架构、以及电子设备的结构对本申请实施例数据处理方法进行更为详细的说明。
图7为本申请数据处理方法一个实施例的流程示意图,如图6所示,该方法可以包括:
步骤701:第三方应用接收到电子支付请求,生成交易动态数据,并获得第一请求报文,第一请求报文用于请求使用第一数字证书对交易动态数据进行签名;
步骤702:第三方应用将第一请求报文和交易动态数据发送至IFAA TA;
步骤703:IFAA TA验证第一请求报文合法时,将交易动态数据发送至SE;
步骤704:IFAA TA接收SE返回的签名结果,签名结果由SE使用第一数字证书对交易动态数据签名得到;
步骤705:IFAA TA根据签名结果生成第一响应报文,将第一响应报文发送给第三方应用;
步骤706:第三方应用根据第一响应报文发起电子支付。
图7所示的方法中,由SE对交易动态数据进行签名,再由IFAA TA根据签名结果生成第一响应报文,从而第三方应用根据第一响应报文发起电子支付,从而保证交易动态数据的安全性,提高用户使用电子设备中的第三方应用进行电子支付的安全性,进而提升用户体验。
以下结合图6对本申请数据处理方法进行更为详细的说明。如图8所示,数据处理方法包括:
步骤801:第三方应用生成交易动态数据。
用户在第三方应用中进入电子支付界面,点击界面中显示的“确定支付”控件,第三方应用接收到支付请求,响应于支付请求生成交易动态数据。
交易动态数据可以包括但不限于:支付金额,付款使用的IFAA应用的标识,付款方的用户标识,收款方的用户标识。
步骤802:申请使用IFAA SE数字证书签名。
第三方应用向第三方服务器发送请求消息,请求消息用于申请使用IFAA SE数字证书签名,请求消息可以包括:上述付款使用的IFAA应用的标识。
步骤803:第三方服务器向IFAA服务器转发请求消息。
第三方服务器可以根据IFAA应用的标识向IFAA应用对应的IFAA服务器转发上述请求消息。
步骤804:IFAA服务器生成IFAA SE数字证书签名请求报文。
IFAA SE数字证书签名请求报文用于请求IFAA SE进行数字证书签名。
可选地,IFAA服务器中可以存储有IFAA TA中第二数字证书对应的公钥,根据公钥生成IFAA SE数字证书签名请求报文。
步骤805:IFAA服务器向第三方服务器返回上述IFAA SE数字证书签名请求报文。
步骤806:第三方服务器向第三方应用返回上述IFAA SE数字证书签名请求报文。
步骤807:第三方应用向IFAA应用发送上述IFAA SE数字证书签名请求报文、交易动态数据和应用指令。
应用指令用于请求IFAA TA进行指纹验证以及交易动态数据的签名。
步骤808:IFAA应用向IFAA TA发送IFAA SE数字证书签名请求报文、交易动态数据和应用指令。
IFAA SE数字证书签名请求报文和交易动态数据可以依次通过IFAA管理器、TA入口传输至IFAA TA。
步骤809:IFAA TA验证IFAA SE数字证书签名请求报文的合法性,并且获得交易动态数据和应用指令。
IFAA TA可以使用第二数字证书中的私钥对IFAA SE数字证书签名请求报文的合法性进行验证。
步骤810:IFAA TA向指纹TA发送指纹验证请求消息,指纹验证请求消息用于请求指纹TA进行指纹验证。
步骤811:指纹TA进行指纹验证。
IFAA TA可以通过TEE端的指纹采集驱动采集用户的指纹信息,并且,通过指纹库访问驱动获取指纹库中预先存储的指纹模板,根据指纹模板对用户的指纹信息进行指纹验证,得到指纹验证结果。指纹验证结果可以包括:验证通过、验证不通过。
步骤812:指纹TA向IFAA TA发送指纹验证结果。
步骤813:IFAA TA向IFAA安全应用发送签名指令和交易动态数据。
本申请实施例中以指纹验证结果是验证通过为例,指纹验证通过,IFAA TA向IFAA安全应用发送签名指令和交易动态数据。
需要说明的是,如果指纹验证结果是验证不通过,IFAA TA可以直接向IFAA应用反馈指纹验证不通过的信息,IFAA应用可以向第三方应用反馈指纹验证不通过的信息,从而结束当前的电子支付,这里不赘述。
步骤814:IFAA安全应用响应于签名指令,根据第一数字证书对交易动态数据进行签名,得到签名结果。
步骤815:IFAA安全应用向IFAA TA返回签名结果。
步骤816:IFAA TA向IFAA应用返回IFAA SE数字证书签名响应报文。
IFAA TA接收到签名结果,根据签名结果生成IFAA SE数字证书签名响应报文,向IFAA应用返回IFAA SE数字证书签名响应报文。
可选地,IFAA TA可以使用第二数字证书中的私钥对签名结果进行签名,得到上述IFAA SE数字证书签名响应报文。
步骤817:IFAA应用向第三方应用返回IFAA SE数字证书签名响应报文。
步骤818:第三方应用向第三方服务器发送IFAA SE数字证书签名响应报文。
步骤819:第三方服务器向IFAA服务器发送IFAA SE数字证书签名响应报文。
步骤820:IFAA服务器对IFAA SE数字证书签名响应报文的合法性进行验证,如果验证结果是合法,根据交易动态数据完成电子支付。
具体的,IFAA服务器可以使用第二数字证书对应的公钥对IFAA SE数字证书签名响应报文进行解密,得到签名结果,再使用第一数字证书对应的公钥对上述签名结果进行解密,从而得到交易动态数据,进而根据交易动态数据完成电子支付。
步骤821:IFAA服务器向第三方服务器返回支付结果。
支付结果可以包括:支付成功、支付失败。
步骤822:第三方服务器接收支付结果。
可以理解的是,上述实施例中的部分或全部步骤或操作仅是示例,本申请实施例还可以执行其它操作或者各种操作的变形。此外,各个步骤可以按照上述实施例呈现的不同的顺序来执行,并且有可能并非要执行上述实施例中的全部操作。
图9为本申请数据处理装置一个实施例的结构示意图,应用于电子设备,电子设备包括:REE模块和TEE模块,电子设备还包括:SE,SE中预先存储有第一数字证书;该装置900包括:设置于REE模块中的第三方应用单元910,设置于TEE模块中的IFAA TA单元920;其中,
第三方应用单元910用于:接收到电子支付请求,生成交易动态数据,并获得第一请求报文,第一请求报文用于请求使用第一数字证书对交易动态数据进行签名;将第一请求报文和交易动态数据发送至IFAA TA单元;
IFAA TA单元920用于:验证第一请求报文合法时,将交易动态数据发送至SE;接收SE返回的签名结果,签名结果由SE使用第一数字证书对交易动态数据签名得到;根据签名结果生成第一响应报文,将第一响应报文发送给第三方应用单元;
第三方应用单元910还用于:根据第一响应报文发起电子支付。
可选地,如图10所示,SE中可以设置有IFAA安全应用单元980,用于对交易动态数据进行签名。
可选地,第三方应用单元910用于:获得第一请求报文,可以包括:
第三方应用单元910用于:向第三方服务器发送第一请求消息,第一请求消息用于请求第一请求报文;接收第三方服务器发送的第一请求报文,第三方服务器在将第一请求消息发送至IFAA 服务器,接收IFAA服务器返回的第一请求报文后向第三方应用发送第一请求报文。
可选地,IFAA TA单元920用于:验证第一请求报文合法,包括:
IFAA TA单元用于:使用预设的第二数字证书对第一请求报文进行合法性验证,得到验证结果为第一请求报文合法。
可选地,IFAA TA单元920用于:根据签名结果生成第一响应报文,包括:
IFAA TA单元920用于:使用预设的第二数字证书对签名结果进行签名,使用签名得到的数据生成第一响应报文。
可选地,如图10所示,数据处理装置还可以包括:设置于REE模块中的IFAA应用单元930;IFAA应用单元930与第三方应用单元910和IFAA TA单元920分别连接;
第三方应用单元910用于:将第一请求报文和交易动态数据发送至IFAA TA单元,可以包括:
第三方应用单元910用于:将第一请求报文和交易动态数据经由IFAA应用单元发送至IFAA TA单元。
可选地,装置还包括:设置于REE模块中的IFAA管理模块940,设置于TEE模块中的TA入口模块950;
第三方应用单元910用于:将第一请求报文和交易动态数据经由IFAA应用单元发送至IFAA TA单元,包括:
第三方应用单元910用于:将第一请求报文和交易动态数据经由IFAA应用单元930、IFAA管理模块940以及TA入口模块950发送至IFAA TA单元920。
可选地,如图9所示,该装置还可以包括:设置于TEE模块中的生物特征验证单元960;
IFAA TA单元920还用于:向生物特征验证单元发送生物特征验证请求;
生物特征验证单元960用于:进行生物特征验证,完成生物特征验证后向IFAA TA单元发送验证结果;
IFAA TA单元920还用于:确定验证结果为验证通过。
可选地,如图9所示,该装置还可以包括:TA底层接口单元970,分别连接生物特征验证单元960以及IFAA TA单元920,从而实现生物特征验证单元960与IFAA TA单元920之间的通信。
可选地,第三方应用单元910用于:根据第一响应报文发起电子支付,可以包括:
第三方应用单元910用于:向第三方服务器发送第一响应报文,接收第三方服务器发送的电子支付结果,第三方服务器在将第一响应报文发送至第一IFAA服务器、接收到IFAA服务器返回的电子支付结果后发送电子支付结果。
图9所示实施例提供的装置可用于执行本申请图3~图5所示方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
应理解以上图6~图7所示的装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块以软件通过处理元件调用的形式实现,部分模块通过硬件的形式实现。例如,第三方应用单元可以为单独设立的处理元件,也可以集成在电子设备的某一个芯片中实现。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。例如,上述数据处理装置可以是芯片或者芯片模组,或者,上述数据传输装置可以是芯片或者芯片模组的一部分。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit;以下简称:ASIC),或,一个或多个微处理器(Digital Singnal Processor;以下简称:DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array;以下简称:FPGA)等。再如,这些模块可以集成在一起,以片上系统(System-On-a-Chip;以下简称:SOC)的形式实现。
本申请还提供一种数据处理系统,包括:上述实施例所述的数据处理装置,还包括:第三方服务器和IFAA服务器。
本申请还提供一种电子设备,包括:一个或多个处理器;存储器;以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述设备执行时,使得所述设备执行上述任一实施例所述的方法。
本申请还提供一种电子设备,所述设备包括存储介质和中央处理器,所述存储介质可以是非易失性存储介质,所述存储介质中存储有计算机可执行程序,所述中央处理器与所述非易失性存储介质连接,并执行所述计算机可执行程序以实现本申请图1~图5所示实施例提供的方法。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行本申请图1~图5所示实施例提供的方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序,当其在计算机上运行时,使得计算机执行本申请图1~图5所示实施例提供的方法。
本申请实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项”及其类似表达,是指的这些项中的任意组合,包括单项或复数项的任意组合。例如,a,b和c中的至少一项可以表示:a,b,c,a和b,a和c,b和c或a和b和c,其中a,b,c可以是单个,也可以是多个。
本领域普通技术人员可以意识到,本文中公开的实施例中描述的各单元及算法步骤,能够以电子硬件、计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,任一功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory;以下简称:ROM)、随机存取存储器(Random Access Memory;以下简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。本申请的保护范围应以所述权利要求的保护范围为准。
Claims (18)
1.一种数据处理方法,应用于电子设备,所述电子设备包括REE系统和TEE系统,所述REE系统包括:第三方应用,所述TEE系统包括:IFAA TA,所述电子设备还包括:SE,所述SE中预先存储有第一数字证书;其特征在于,包括:
所述第三方应用接收到电子支付请求,生成交易动态数据,并获得第一请求报文,所述第一请求报文用于请求使用所述第一数字证书对所述交易动态数据进行签名;
所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA TA;
所述IFAA TA验证所述第一请求报文合法时,将所述交易动态数据发送至所述SE;
所述IFAA TA接收所述SE返回的签名结果,所述签名结果由所述SE使用所述第一数字证书对所述交易动态数据签名得到;
所述IFAA TA根据所述签名结果生成第一响应报文,将所述第一响应报文发送给所述第三方应用;
所述第三方应用根据所述第一响应报文发起电子支付。
2.根据权利要求1所述的方法,其特征在于,所述获得第一请求报文,包括:
所述第三方应用向第三方服务器发送第一请求消息,所述第一请求消息用于请求所述第一请求报文;
所述第三方应用接收所述第三方服务器发送的所述第一请求报文,所述第三方服务器在将所述第一请求消息发送至IFAA服务器,接收所述IFAA服务器返回的所述第一请求报文后向所述第三方应用发送所述第一请求报文。
3.根据权利要求1或2所述的方法,其特征在于,所述IFAA TA验证所述第一请求报文合法,包括:
所述IFAA TA使用预设的第二数字证书对所述第一请求报文进行合法性验证,得到验证结果为所述第一请求报文合法。
4.根据权利要求1或2所述的方法,其特征在于,所述IFAA TA根据所述签名结果生成第一响应报文,包括:
所述IFAA TA使用预设的第二数字证书对所述签名结果进行签名,使用签名得到的数据生成第一响应报文。
5.根据权利要求1或2所述的方法,其特征在于,所述REE系统还包括:IFAA应用;
所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA TA,包括:
所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA应用;
所述IFAA应用将所述第三方应用将所述第一请求报文和所述交易动态数据发送至所述IFAA TA。
6.根据权利要求1或2所述的方法,其特征在于,所述TEE系统还包括:生物特征验证TA;
所述IFAA TA将所述交易动态数据发送至所述SE之前,还包括:
所述IFAA TA向所述生物特征验证TA发送生物特征验证请求;
所述IFAA TA接收所述生物特征验证TA发送的验证结果,所述验证结果在所述生物特征验证TA完成生物特征验证后发送;
所述IFAA TA确定所述验证结果为验证通过。
7.根据权利要求1或2所述的方法,其特征在于,所述第三方应用根据所述第一响应报文发起电子支付,包括:
所述第三方应用向所述第三方服务器发送第一响应报文;
所述第三方应用接收所述第三方服务器发送的电子支付结果,所述第三方服务器在将所述第一响应报文发送至第一IFAA服务器、接收到所述IFAA服务器返回的电子支付结果后发送所述电子支付结果。
8.一种数据处理装置,应用于电子设备,所述电子设备包括:REE模块和TEE模块,所述电子设备还包括:SE,所述SE中预先存储有第一数字证书;其特征在于,所述装置包括:设置于所述REE模块中的第三方应用单元,设置于所述TEE模块中的IFAA TA单元;其中,
所述第三方应用单元用于:接收到电子支付请求,生成交易动态数据,并获得第一请求报文,所述第一请求报文用于请求使用所述第一数字证书对所述交易动态数据进行签名;将所述第一请求报文和所述交易动态数据发送至所述IFAA TA单元;
所述IFAA TA单元用于:验证所述第一请求报文合法时,将所述交易动态数据发送至所述SE;接收所述SE返回的签名结果,所述签名结果由所述SE使用所述第一数字证书对所述交易动态数据签名得到;根据所述签名结果生成第一响应报文,将所述第一响应报文发送给所述第三方应用单元;
所述第三方应用单元还用于:根据所述第一响应报文发起电子支付。
9.根据权利要求8所述的装置,其特征在于,所述第三方应用单元用于:获得第一请求报文,包括:
所述第三方应用单元用于:向第三方服务器发送第一请求消息,所述第一请求消息用于请求所述第一请求报文;接收所述第三方服务器发送的所述第一请求报文,所述第三方服务器在将所述第一请求消息发送至IFAA服务器,接收所述IFAA服务器返回的所述第一请求报文后向所述第三方应用发送所述第一请求报文。
10.根据权利要求8或9所述的装置,其特征在于,所述IFAA TA单元用于:验证所述第一请求报文合法,包括:
所述IFAA TA单元用于:使用预设的第二数字证书对所述第一请求报文进行合法性验证,得到验证结果为所述第一请求报文合法。
11.根据权利要求8或9所述的装置,其特征在于,所述IFAA TA单元用于:根据所述签名结果生成第一响应报文,包括:
所述IFAA TA单元用于:使用预设的第二数字证书对所述签名结果进行签名,使用签名得到的数据生成第一响应报文。
12.根据权利要求8或9所述的装置,其特征在于,所述装置还包括:设置于所述REE模块中的IFAA应用单元;所述IFAA应用单元与所述第三方应用单元和所述IFAA TA单元分别连接;
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据发送至所述IFAATA单元,包括:
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据经由所述IFAA应用单元发送至所述IFAA TA单元。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:设置于所述REE模块中的IFAA管理模块,设置于TEE模块中的TA入口模块;
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据经由所述IFAA应用单元发送至所述IFAA TA单元,包括:
所述第三方应用单元用于:将所述第一请求报文和所述交易动态数据经由所述IFAA应用单元、所述IFAA管理模块以及所述TA入口模块发送至所述IFAA TA单元。
14.根据权利要求8或9所述的装置,其特征在于,所述装置还包括:设置于所述TEE模块中的生物特征验证单元;
所述IFAA TA单元还用于:向所述生物特征验证单元发送生物特征验证请求;
所述生物特征验证单元用于:进行生物特征验证,完成生物特征验证后向IFAA TA单元发送验证结果;
所述IFAA TA单元还用于:确定所述验证结果为验证通过。
15.根据权利要求8或9所述的装置,其特征在于,所述第三方应用单元用于:根据所述第一响应报文发起电子支付,包括:
所述第三方应用单元用于:向所述第三方服务器发送第一响应报文,接收所述第三方服务器发送的电子支付结果,所述第三方服务器在将所述第一响应报文发送至第一IFAA服务器、接收到所述IFAA服务器返回的电子支付结果后发送所述电子支付结果。
16.一种数据处理系统,其特征在于,包括:权利要求8至15任一项所述的数据处理装置,还包括:第三方服务器和IFAA服务器。
17.一种电子设备,其特征在于,包括:
一个或多个处理器;存储器;以及一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述设备执行时,使得所述设备执行权利要求1至7任一项所述的方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111644297.1A CN114331399A (zh) | 2021-12-30 | 2021-12-30 | 数据处理方法、装置、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111644297.1A CN114331399A (zh) | 2021-12-30 | 2021-12-30 | 数据处理方法、装置、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114331399A true CN114331399A (zh) | 2022-04-12 |
Family
ID=81016635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111644297.1A Pending CN114331399A (zh) | 2021-12-30 | 2021-12-30 | 数据处理方法、装置、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114331399A (zh) |
-
2021
- 2021-12-30 CN CN202111644297.1A patent/CN114331399A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11106476B2 (en) | Helper software developer kit for native device hybrid applications | |
| CN109691014B (zh) | 物联网装置和应用程序之间的生物计量识别和验证 | |
| US11157905B2 (en) | Secure on device cardholder authentication using biometric data | |
| US20190287109A1 (en) | Method and apparatus for facilitating performing payment option aggregation utilizing an automated authentication engine | |
| CN110826043B (zh) | 一种数字身份申请系统及方法、身份认证系统及方法 | |
| US20140149294A1 (en) | Method and system for providing secure end-to-end authentication and authorization of electronic transactions | |
| US20120284195A1 (en) | Method and system for secure user registration | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| US20220094678A1 (en) | Systems and methods for user authentication based on multiple devices | |
| US20130054473A1 (en) | Secure Payment Method, Mobile Device and Secure Payment System | |
| EP3610433B1 (en) | Data security | |
| JP2017537421A (ja) | 支払いトークンのセキュリティを確保する方法 | |
| RU2724351C2 (ru) | Универсальный доступ к электронному бумажнику | |
| US11617081B1 (en) | Passive authentication during mobile application registration | |
| US20180225671A1 (en) | Method and apparatus for facilitating performing payment option aggregation utilizing an automated authentication engine | |
| US20190149541A1 (en) | Systems and methods for performing biometric registration and authentication of a user to provide access to a secure network | |
| CN114513373B (zh) | 可信数据交换方法、装置、系统、电子设备和存储介质 | |
| US20180268476A1 (en) | Method and apparatus for facilitating multi-element bidding for influencing a position on a payment list generated by an automated authentication engine | |
| US20180232718A1 (en) | Method and apparatus for facilitating payment option aggregation to complete a transaction initiated at a third party payment apparatus, utilizing an automated authentication engine | |
| CN114331399A (zh) | 数据处理方法、装置、设备和系统 | |
| KR101505847B1 (ko) | 결제 처리를 위한 제휴사 앱 인증 방법 | |
| US20220114585A1 (en) | System, method, and computer program product for secure, remote transaction authentication and settlement | |
| JP6515080B2 (ja) | 情報処理システム、情報処理方法、及びプログラム | |
| WO2019191365A1 (en) | Method and apparatus for facilitating performing payment option aggregation utilizing an automated authentication engine | |
| US20230237172A1 (en) | Data broker |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |