CN116485403A - 一种支付方法及电子设备 - Google Patents

Abstract

本申请提供的一种支付方法及电子设备，通过将支付业务分为身份认证流程和支付流程，由第二TEE执行身份认证流程得到身份认证结果，由第一TEE根据该身份认证结果去进行支付操作，且由于第一TEE与第二TEE相互隔离，使得支付流程和身份认证流程同时被恶意破解的风险被降低，能够提升支付业务的安全性。该方法包括：第一TA接收TUI显示请求，调用TUI模块绘制并显示第一界面，响应于用户在第一界面的第一操作，第一TA获取交易信息，响应于用户确认交易信息无误的操作，第一TA向第二TA发送第一请求，第二TA接收第一请求，进行身份认证，得到身份认证结果，第二TA向第一TA发送身份认证结果，若身份认证结果为成功，第一TA根据交易信息进行支付操作。

Description

一种支付方法及电子设备

技术领域

本申请涉及终端技术领域，尤其涉及一种支付方法及电子设备。

背景技术

随着移动互联网高速发展，移动应用的种类和数量越来越多。移动终端中处理的业务、存储的数据的安全性也受到越来越多的威胁，尤其是支付、办公、版权保护等高安全需求的行业应用。然而智能终端的操作系统的设计侧重于功能性，同时具备开放性，且庞大复杂而存在许多的系统漏洞，使得恶意应用不断出现，威胁用户的数据安全。

目前，应用厂商为了提升支付业务的安全性，将支付业务的相关流程在可信执行环境(trusted execution environment，TEE)中完成，但这同样存在安全漏洞，支付业务存在安全风险。

发明内容

本申请实施例提供一种支付方法及电子设备，将支付业务的支付流程和身份认证流程运行于两个不同的TEE中，从物理上隔绝支付流程和身份认证流程，可提升支付业务的安全性。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供了一种支付方法，应用于包括富执行环境REE、第一可信执行环境TEE及第二TEE的电子设备，REE包括客户端应用CA，第一TEE包括第一可信应用TA及可信用户界面TUI模块，第二TEE包括第二TA，方法包括：

响应于检测到用户的支付操作，CA向第一TA发送TUI显示请求，TUI显示请求携带TUI标识；第一TA接收TUI显示请求，调用TUI模块绘制并显示第一界面，第一界面为TUI标识对应的界面；响应于用户在第一界面的第一操作，第一TA获取交易信息；响应于用户确认交易信息无误的操作，第一TA向第二TA发送第一请求；第二TA接收第一请求，进行身份认证，得到身份认证结果；第二TA向第一TA发送身份认证结果；若身份认证结果为成功，第一TA根据交易信息进行支付操作。

可见，本申请将支付业务分为身份认证流程和支付流程，先由第二TEE执行身份认证流程得到身份认证结果，第一TEE再根据该身份认证结果去进行支付操作。且由于第一TEE与第二TEE相互隔离，使得支付流程和身份认证流程同时被恶意破解的风险被降低，能够提升支付业务的安全性。

在一种可能的设计中，第二TA接收第一请求，进行身份认证，得到身份认证结果，包括：响应于接收到第一请求，第二TA获取生物数据，生物数据包括人脸数据或指纹数据；第二TA将生物数据与预设的数据模板进行比对，得到身份认证结果。

也即，第二TA可以获取人脸或者指纹，并根据人脸或者指纹验证用户的身份。

在一种可能的设计中，电子设备还包括摄像头，第二TEE还包括第一驱动，第二TA获取生物数据包括：第二TA通过第一驱动调用摄像头，采集人脸数据。

可见，第二TA可根据集成于第二TEE内的第一驱动采集人脸数据，也即采集人脸数据的过程也与REE隔离，可避免REE内的恶意攻击，有效保证用户的隐私。

在一种可能的设计中，电子设备还包括指纹传感器，第二TEE还包括第二驱动，第二TA获取生物数据包括：第二TA通过第二驱动调用指纹传感器，采集指纹数据。

可见，第二TA可根据集成于第二TEE内的第二驱动采集指纹数据，也即采集指纹数据的过程也与REE隔离，可避免REE内的恶意攻击，有效保证用户的隐私。

在一种可能的设计中，方法还包括：响应于用户确认交易信息无误的操作，第一TA调用TUI模块绘制并显示第一标识或第二标识，其中，第一标识用于指示电子设备正在采集指纹数据，第二标识用于指示电子设备正在采集人脸数据。也即，电子设备在采集用户的人脸数据时，可以显示第一标识，或者在采集用户的指纹数据时显示第二标识，通过及时告知用户电子设备的采集动作，能提升数据采集效率。

在一种可能的设计中，第一界面包括第一选项，响应于用户确认交易信息无误的操作，第一TA向第二TA发送第一请求，包括：响应于用户对第一选项的操作，第一TA在第一界面显示第一弹窗，第一弹窗包括交易信息及第二选项；响应于用户对第二选项的操作，第一TA向第二TA发送第一请求。

在一种可能的设计中，第一TA根据交易信息进行支付操作，包括：第一TA根据身份认证结果及交易信息生成支付请求；第一TA向服务器发送支付请求；服务器接收支付请求，服务器验证身份认证结果；若身份认证结果有效，服务器根据交易信息进行支付操作。也即，服务器在接收到支付请求后，可验证身份认证结果的有效，例如服务器可判断生成身份认证结果的时间与当前时间的时间差是否大于或等于预设时间，若时间差大于预设时间，则该身份认证结果有效，服务器根据交易信息进行支付操作。通过限制身份认证结果的时效，可以一定程度避免身份认证结果泄露后被恶意利用。

在一种可能的设计中，方法还包括：第一TA调用TUI模块绘制并显示身份认证结果。通过显示身份认证结果，可及时告知用户身份认证是否成功，提高人机交互的效率。

第二方面，本申请提供了一种电子设备，电子设备上集成有REE、第一TEE、第二TEE，REE包括CA，第一TEE包括第一TA及TUI模块，第二TEE包括第二TA，电子设备包括：无线通信模块、存储器和一个或多个处理器；无线通信模块、存储器与处理器耦合；

其中，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令；当计算机指令被处理器执行时，使得电子设备执行如第一方面中任一项的支付方法。

第三方面，本申请提供了一种计算机可读存储介质，包括计算机指令；

当计算机指令在电子设备上运行时，使得电子设备执行如第一方面中任一项的支付方法。

第四方面，本申请提供一种芯片系统，该芯片系统包括一个或多个接口电路和一个或多个处理器。该接口电路和处理器通过线路互联。该芯片系统可以应用于包括通信模块和存储器的电子设备。该接口电路可以读取电子设备中存储器中存储的指令，并将该指令发送给处理器。当所述指令被处理器执行时，可使得电子设备执行如第一方面中任一项的支付方法。

第五方面，本申请提供一种计算机程序产品，当计算机程序产品在电子设备上运行时，使得电子设备执行如第一方面中任一项所述的支付方法。

可以理解地，上述提供的第二方面所述的电子设备、第三方面所述的计算机可读存储介质、第四方面所述的芯片系统，以及第五方面所述的计算机程序产品均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

附图说明

图1为本申请实施例提供的一种电子设备的架构示意图；

图2为本申请实施例提供的一种电子设备的结构示意图；

图3为本申请实施例提供的支付方法的流程图；

图4为本申请实施例提供的界面图；

图5为本申请实施例提供的界面图；

图6为本申请实施例提供的界面图；

图7A-图7B为本申请实施例提供的界面图；

图8A-图8B为本申请实施例提供的界面图；

图9为本申请实施例提供的芯片系统的结构示意图。

具体实施方式

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

下面将结合附图对本实施例的实施方式进行详细描述。

REE，即富执行环境，也可以称为普通执行环境。REE泛指不具备特定安全功能的运行环境，比如安卓(Android)、IOS操作系统。REE的开放和扩展性好但安全性不高。需要说明的是，REE除了被称为“富执行环境”之外，还可以被称为“不可信执行环境”、“普通执行环境”、“不安全执行环境”等等，本申请实施例对此不作限定。

TEE，即可信执行环境，也可以称为安全侧或安全区，是需要授权才能访问的区域。TEE与REE是共存于电子设备中的运行环境，其通过硬件的支撑，实现与REE的隔离，具有安全能力并且能够抵御常规REE侧易遭受的软件攻击。TEE有自身的运行空间，定义了严格的保护措施，因此，比REE的安全级别更高，能够保护TEE中的资产，如数据，软件等，免受软件攻击，抵抗特定类型的安全威胁。

其中，TEE的实现方式至少包括以下两种：

1.基于信任区(TrustZone)技术实现TEE。TrustZone技术可以隔离所有系统级芯片(system on chip，SoC)硬件和软件资源，使它们分别位于两个区域(即正常世界和安全世界)中。正常世界(例如：REE)中的组件无法访问安全世界(例如：TEE)内的资源，从而实现两个世界的隔离。在这种场景下，安全世界即可以作为一个TEE。

2.基于虚拟化技术实现TEE。虚拟化技术是指在同一台终端设备上通过hypervisor(又称虚拟机监视器(virtual machine monitor，VMM))虚拟出多个相互隔离的完整计算机系统(即虚拟机(virtual machine，VM))，每个虚拟机拥有独立的操作系统和硬件资源。在这种场景下，虚拟机即可以作为一个TEE。

hypervisor，是一种运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。hypervisor也可叫做VMM，其可以访问电子设备上包括磁盘和内存在内的所有物理设备。hypervisor不但协调着这些硬件资源的访问，也同时在各个虚拟机之间施加防护。当电子设备启动并执行hypervisor时，它可以加载所有虚拟机客户端的操作系统，并给每一台虚拟机分配适量的内存，网络和磁盘。

可信应用(trusted application，TA)，是运行在TEE中的应用，能够为其他应用(例如运行在TEE外的客户端应用)提供安全服务，如输入密码，生成交易签名，人脸识别等。

客户端应用(client application，CA)，可指运行在REE中的应用，但在某些TA调用TA的情况下，主动发起调用的TA也可作为CA。CA可以通过客户端应用程序编程接口(application programming interface，API)对TA进行调用并指示TA执行相应的安全操作。

可信用户界面(trusted user interface，TUI)是TEE操作系统(operatingsystems，OS)提供的一项安全功能，能够为在TEE中运行的各TA提供可信的与用户安全交互的界面，保证TA与用户交互的敏感数据免受其他应用或恶意软件的攻击(例如，恶意截图)，进而提升业务的安全性。

本申请提供一种支付方法，可应用于部署有多个TEE(例如第一TEE1、第二TEE)的电子设备。在该方法中，支付业务包括支付流程和身份认证流程，第一TEE执行支付流程，第二TEE执行身份认证流程。可见，本申请通过构建第一TEE1、第二TEE来实现支付流程和身份认证流程的物理隔离，降低支付流程和身份认证流程同时被恶意破解的风险，能够提升支付业务的安全性。

请参阅图1，为本申请提供的一种电子设备的架构示意图。

如图1所示，电子设备100包括硬件设备，以及运行在硬件设备上的相互隔离的三个运行环境，即REE、TEE1和TEE2，三个运行环境分别有独立的硬件资源和操作系统。在一些实现方式中，REE与TEE2可通过硬件隔离技术，例如Trust Zone机制，可以实现REE与TEE2的硬件资源的隔离。REE与TEE1可通过虚拟化技术实现隔离，例如hypervisor机制可以实现REE与TEE1的硬件资源的隔离。这样，TEE1、TEE2和REE所能访问的软硬件资源都是分离的。当然，在其他实施方式中，REE与TEE2也可以通过虚拟化技术实现隔离。可选的，REE与TEE2也可以通过硬件隔离技术实现隔离。换言之，本申请中对REE与TEE2之间，REE与TEE1之间采用的隔离技术不做限定。

其中，REE、TEE1、TEE2中的操作系统能够控制和访问电子设备100的硬件设备，例如可以包括Trust Zone Firmware、摄像头、指纹传感器等。在上述架构中，REE可通过hypervisor与TEE1交互，REE可通过/>Trust Zone Firmware与TEE2交互，TEE1与TEE2可通过hypervisor及/>Trust Zone Firmware进行交互。

在TEE1及TEE2中，TA的数量可以有一个或多个(图1中仅以TEE1包括支付TA，TEE2包括身份认证TA作为示例)。TEE1中还包括TUI模块，支付TA可调用该TUI模块绘制该支付TA的TUI。在REE中，CA的数量可以有一个或多个(图2中仅以包括支付CA作为示例)。CA的界面可称为用户界面(User Interface，UI)。举例来说，支付CA具体可以是荣耀支付应用、银行客户端、手机盾应用、电子身份证、手机POS或其他等涉及账号、密码等敏感信息输入的应用软件；TA是与CA对应的安全应用，用于进行CA中涉及的敏感信息的输入操作和验证操作。

REE中的支付CA可向支付TA发送TUI访问请求。响应于接收到TUI访问请求，支付TA可调用TUI模块绘制并显示可信用户界面，以及通过TUI模块接收用户针对该可信用户界面输入的敏感信息或操作。支付TA还可响应于用户在可信用户界面上的操作，向身份认证TA发送身份认证请求。或者，CA也可直接向身份认证TA发送该身份认证请求。响应于接收到该身份认证请求，身份认证TA可执行身份认证的流程。

其中，支付CA可以通过hypervisor调用支付TA，实现支付CA对支付TA的访问、签名、确认等以及在显示屏中显示支付TA的TUI。支付TA可通过驱动切换硬件设备的工作模式(例如使硬件设备退出非安全模式，进入安全模式)，调用对应的身份认证TA，实现支付TA对身份认证TA的访问、签名、确认等。

需要说明的是，上述TEE1也可称为第一TEE，TEE2也可称为第二TEE，支付TA也可称为第一TA，身份认证TA也可称为第二TA。

需要说明的是，本申请实施例涉及的电子设备，可以是任何部署有多个TEE的电子设备，例如便携式计算机(如手机)、平板电脑、桌面型、膝上型、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本，以及蜂窝电话、个人数字助理(personal digital assistant，PDA)、增强现实(augmented reality，AR)\虚拟现实(virtual reality，VR)设备、媒体播放器、智能门锁等设备。本申请实施例对该电子设备的具体形态不作特殊限制。

在本申请实施例中，以电子设备为手机为例，对本申请实施例提供的电子设备的结构进行举例说明。请参阅图2，为本申请实施例提供的手机的电路结构图。

如图2所示，手机200可以包括：处理器210，外部存储器接口220，内部存储器221，通用串行总线(universal serial bus，USB)接口230，充电管理模块240，电源管理模块241，电池242，天线1，天线2，移动通信模块250，无线通信模块260，音频模块270，扬声器270A，受话器270B，麦克风270C，耳机接口270D，传感器模块280，按键290，马达291，指示器292，摄像头293，显示屏294，以及用户标识模块(subscriber identification module，SIM)卡接口295等。

其中，上述传感器模块280可以包括压力传感器，陀螺仪传感器，气压传感器，磁传感器，加速度传感器，距离传感器，接近光传感器，指纹传感器，温度传感器，触摸传感器，环境光传感器和骨传导传感器等传感器。

可以理解的是，本实施例示意的结构并不构成对手机200的具体限定。在另一些实施例中，手机200可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器210可以包括一个或多个处理单元，例如：处理器210可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processingunit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

控制器可以是手机200的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器210中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器210中的存储器为高速缓冲存储器。该存储器可以保存处理器210刚用过或循环使用的指令或数据。如果处理器210需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器210的等待时间，因而提高了系统的效率。

在一些实施例中，处理器210可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuitsound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purposeinput/output，GPIO)接口，用户标识模块(subscriber identity module，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口等。

可以理解的是，本实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对手机200的结构限定。在另一些实施例中，手机200也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。

充电管理模块240用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。充电管理模块240为电池242充电的同时，还可以通过电源管理模块241为终端设备供电。

电源管理模块241用于连接电池242，充电管理模块240与处理器210。电源管理模块241接收电池242和/或充电管理模块240的输入，为处理器210，内部存储器221，外部存储器，显示屏294，摄像头293，和无线通信模块260等供电。在一些实施例中，电源管理模块241和充电管理模块240也可以设置于同一个器件中。

手机200的无线通信功能可以通过天线1，天线2，移动通信模块250，无线通信模块260，调制解调处理器以及基带处理器等实现。在一些实施例中，手机200的天线1和移动通信模块250耦合，天线2和无线通信模块260耦合，使得手机200可以通过无线通信技术与网络以及其他设备通信。

天线1和天线2用于发射和接收电磁波信号。手机200中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块250可以提供应用在手机200上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块250可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(lownoise amplifier，LNA)等。移动通信模块250可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。

移动通信模块250还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块250的至少部分功能模块可以被设置于处理器210中。在一些实施例中，移动通信模块250的至少部分功能模块可以与处理器210的至少部分模块被设置在同一个器件中。

无线通信模块260可以提供应用在手机200上的包括WLAN(如(wirelessfidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigationsatellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(nearfield communication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。

无线通信模块260可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块260经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器210。无线通信模块260还可以从处理器210接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

手机200通过GPU，显示屏294，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏294和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器210可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏294用于显示图像，视频等。该显示屏294包括显示面板。

手机200可以通过ISP，摄像头293，视频编解码器，GPU，显示屏294以及应用处理器等实现拍摄功能。ISP用于处理摄像头293反馈的数据。摄像头293用于捕获静态图像或视频。在一些实施例中，手机200可以包括1个或N个摄像头293，N为大于1的正整数。

外部存储器接口220可以用于连接外部存储卡，例如Micro SD卡，实现扩展手机200的存储能力。外部存储卡通过外部存储器接口220与处理器210通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器221可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器210通过运行存储在内部存储器221的指令，从而执行手机200的各种功能应用以及数据处理。例如，在本申请实施例中，处理器210可以通过执行存储在内部存储器221中的指令，内部存储器221可以包括存储程序区和存储数据区。

其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储手机200使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器221可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flashstorage，UFS)等。

手机200可以通过音频模块270，扬声器270A，受话器270B，麦克风270C，耳机接口270D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

按键290包括开机键，音量键等。按键290可以是机械按键。也可以是触摸式按键。马达291可以产生振动提示。马达291可以用于来电振动提示，也可以用于触摸振动反馈。指示器292可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。SIM卡接口295用于连接SIM卡。SIM卡可以通过插入SIM卡接口295，或从SIM卡接口295拔出，实现和手机200的接触和分离。手机200可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口295可以支持Nano SIM卡，Micro SIM卡，SIM卡等。

接下来，将结合图1所示的系统架构，对本申请实施例提供的支付方法进行详细介绍。请参阅图3，为本申请实施例提供的支付方法的流程图。该支付方法可包括以下步骤。

S301，支付CA向支付TA发送TUI显示请求。

其中，该支付CA可以为REE中具备支付功能的应用，例如钱包、银行客户端等应用软件。该支付TA为TEE1中可给支付CA提供支付业务的安全应用。

检测到用户的支付操作时，支付CA可向支付TA发送TUI显示请求。其中，用户的支付操作可包括用户在支付CA提供的应用界面上点击特定控件的操作。示例性的，以该CA可为银行客户端为例，说明支付CA向支付TA发送TUI显示请求的过程。如图4所示，手机可显示银行客户端的界面401，该界面401包括转账选项402。当检测到用户点击该转账选项402时，支付CA可向支付TA发送TUI显示请求。

TUI显示请求可携带所需显示的TUI的标识(也可称为TUI标识)等，该TUI的标识可用于指示支付TA所请求的具体界面。该TUI的标识与TUI存在对应关系，接收到该TUI显示请求后，支付TA可根据TUI显示请求中携带的TUI的标识查找到对应的TUI界面。

需要说明的是，在支付CA向支付TA发送TUI显示请求前，支付CA可先通过hypervisor向支付TA发送会话请求，该会话请求包括支付TA的通用唯一识别码(universally unique identifier，UUID)，该UUID可用于创建与支付TA的会话(session)。响应于接收到该会话请求，支付TA根据支付CA的UUID创建会话，并向支付CA发送创建会话结果，该创建会话结果用于指示是否成功创建会话。例如，该创建会话结果可包括会话标识，若会话标识为第一参数(例如为1)，则表明成功创建session；若会话标识为第二参数(例如为0)，则表明未创建session。在一种可选的实施方式中，支付CA可利用TEEC_OpenSession函数创建会话，支付TA可利用TA_CreateEntryPoint函数创建会话。

其中，成功创建session后，支付CA可通过该session向支付TA发送TUI显示请求及其他请求。

S302，响应于接收到TUI显示请求，支付TA调用TUI模块绘制并显示支付界面。

支付TA可读取TUI显示请求中携带的TUI标识，根据TUI显示请求中携带的TUI的标识查找到对应的TUI界面，调用TUI模块绘制该TUI标识对应的TUI(即支付界面)。举例来说，该支付界面可以为如图5所示的界面403，界面403可包括收款人名称、收款人账号、银行、金额等页面内容。该支付界面可供用户输入交易信息，交易信息可包括银行名称、收款人姓名、收款账号、金额等选项的具体内容。

也即，电子设备打开支付CA后，该电子设备可呈现该支付CA的用户界面(例如图4所示的界面401)，当检测到用户的支付操作(例如用户点击转账选项402的操作)后，支付CA向支付TA发送TUI显示请求，使得支付TA调用TUI模块绘制支付界面(例如图5所示的界面403)，并呈现在电子设备的显示屏上。如此，用户可在TEE1(即安全环境)内输入交易信息，REE侧的非安全应用(例如可进行恶意截图的软件)无法盗取用户在支付界面中输入的敏感信息，避免敏感信息被泄露，提高了用户输入操作的安全性。需要说明的是，上述支付界面也可称为第一界面。

S303，响应于用户在支付界面上的输入操作，支付TA获得交易信息。

可以理解地，该支付界面可包括虚拟键盘(也可称为安全键盘)，当检测到用户对虚拟键盘的操作(也可称为第一操作)后，支付TA可获得交易信息。具体的，在用户通过虚拟键盘进行输入操作的过程中，TEE1可以记录用户触摸虚拟按键的顺序，以及每个虚拟按键的位置，然后每个虚拟按键的位置查找到对应的虚拟按键，根据用户触摸虚拟按键的顺序对虚拟按键排序，结合输入法规则得到交易信息。由于该虚拟键盘部署于TEE1内，整个输入过程在TEE1内执行，可避免用户输入的敏感信息被泄露，提高了用户输入操作的安全性。

需要说明的是，该虚拟键盘可包括虚拟拼音键盘、虚拟数字键盘等，且虚拟拼音键盘与虚拟数字键盘间可以相互切换。

交易信息的具体内容可以参考S302中的描述，在此不做赘述。示例性的，如图5所示，该交易信息可以为“收款人：小艺，收款账号：6214********1005，收款银行：XX银行，转账金额：￥100000.00，付款卡：XX银行(0023)”。

S304，响应于用户在支付界面上的确认操作，支付TA调用TUI模块绘制并显示支付弹窗。

可以理解地，上述用户在支付界面上的确认操作，也可理解为用户确认交易信息无误的操作。示例性的，如图5所示，支付界面403还可包括“下一步”的选项404。检测到用户点击该“下一步”的选项404(也可称为第一选项)的操作时，如图6所示，电子设备可在该支付界面403上显示支付弹窗405，供用户确认交易信息是否正确。该支付弹窗405可包括交易信息405a、确认选项405b(也可称为第二选项)及取消选项等。若用户确认交易信息405a无误，则可点击该确认选项405b；若用户发现交易信息405a有误，则可点击该取消选项。

可以理解地，该支付弹窗405同样为支付TA调用TUI模块绘制并显示的，具备较高的安全性，可避免交易信息泄露。

S305，响应于用户在支付弹窗上的确认操作，支付TA向身份认证TA发送身份认证请求。

其中，用户在支付弹窗上的确认操作，可以为用户在支付弹窗405上点击、触摸确认选项405b(也可称为第二选项)的操作。在一种可能的设计中，支付TA向身份认证TA发送身份认证请求前，可通过hypervisor及硬件设备向身份认证TA发送会话请求，该会话请求包括身份认证TA的UUID，用于创建与身份认证TA的session。其中，关于身份认证TA与支付TA创建session的过程，参见S301中支付CA与支付TA创建session的过程，在此不予赘述。成功创建session后，支付TA可通过该session向身份认证TA发送身份认证请求。其中，该身份认证TA运行于TEE2内。

需要说明的是，上述身份认证请求，也可称为第一请求。

S306，响应于接收到身份认证请求，身份认证TA获取生物数据。

该生物数据指可用于标识用户身份的生物信息，例如用户的指纹数据或人脸数据等。具体的，支付CA可支持指纹支付和面容支付。指纹支付指通过指纹验证用户身份，并在身份验证成功后进行支付的功能。面容支付指通过人脸验证用户身份，并在身份验证成功后进行支付的功能。响应于用户的操作，支付CA可开启指纹支付功能或面容支付功能，或者同时开启指纹支付功能和面容支付功能。若支付CA仅开启指纹支付功能，则生物数据包括指纹数据(即身份认证TA可获取指纹数据)；若支付CA仅开启面容支付功能，则生物数据包括人脸数据(即身份认证TA可获取人脸数据)；若支付CA同时开启指纹支付功能和面容支付功能，支付CA可根据预设的支付方式优先级确认支付方式，并获取该支付方式对应的生物数据。例如面容支付和指纹支付同时开启时，面容支付优先级更高，这种情况下，生物数据包括人脸数据(即身份认证TA可获取人脸数据)。

TEE2内可包括前置摄像头的驱动(也可称为第一驱动)和指纹传感器的驱动(也可称为第二驱动)。若支付CA开启面容支付功能，或者支付CA同时开启指纹支付功能和面容支付功能(面容支付的优先级高于指纹支付的优先级)，则身份认证TA接收到身份认证请求后，可向前置摄像头的驱动发送调用前置摄像头的请求，以驱动前置摄像头采集人脸数据。若支付CA开启指纹支付功能，或者支付CA同时开启指纹支付功能和面容支付功能(指纹支付的优先级高于面容支付的优先级)则身份认证TA接收到身份认证请求后，可向指纹传感器的驱动发送调用指纹传感器的请求，以驱动指纹传感器采集指纹数据。

需要说明的是，在身份认证TA获取生物数据的同时，电子设备可在显示屏上显示图7A所示的图标406a(也可称为第一标识)或图7B所示的图标406b(也可称为第二标识)。其中，图标406a用于指示电子设备正在进行人脸识别，用户可调整脸部位置以便于电子设备采集人脸数据。图标406b用于指示电子设备正在进行指纹识别，用户可调整手部位置以便于电子设备采集指纹数据。具体的，在身份认证TA获取人脸数据时，显示器可显示图7A所示的图标406a；在身份认证TA获取指纹数据时，显示器可显示图7B所示的图标406b。

TEE1内还可包括显示驱动，支付TA可向显示驱动发送调用显示器的请求，以驱动显示器显示图标406a或图标406b。

身份认证TA获得生物数据后，可对生物数据进行相应处理，便于后续进行比对。例如，身份认证TA可以对采集到的人脸图像/指纹图像进行光线处理、切割、旋转、降噪、过滤、放大或缩小等一系列处理，通过这些处理使人脸图像/指纹图像达到人脸图像/指纹图像特征提取的标准要求。

S307，身份认证TA比对生物数据和预设的数据模板，得到身份认证结果。

该预设的数据模板可预存储于安全存储芯片中，在接收到身份认证请求后，身份认证TA可从安全存储芯片中读取该数据模板。身份认证TA可以比对生物数据与数据模板，若生物数据与数据模板匹配，则得到认证成功的身份认证结果；若生物数据与数据模板不匹配，则得到认证失败的身份认证结果。

具体的，该数据模板可包括多个人脸模板和多个指纹模板。其中，多个人脸模板分别指示多个用户的人脸，多个指纹模板可以为不同用户的指纹，也可以为同一用户不同手指的指纹。若该生物数据为人脸数据，则身份认证TA可查询多个人脸模板中是否存在与该人脸数据相同或者相似的人脸模板。若存在，则可认为该生物数据与数据模板匹配；否则，认为该生物数据与数据模板不匹配。若该生物数据为指纹数据，则身份认证TA可查询多个指纹模板中是否存在与该指纹数据相同或者相似的指纹模板。若存在，则可认为该生物数据与数据模板匹配；否则，认为该生物数据与数据模板不匹配。例如，预设的数据模板包括用户A的指纹数据1、用户B的指纹数据2和用户C的指纹数据3，则若生物数据为指纹数据1、指纹数据2、指纹数据3中的任意一个，则可以得到认证成功的结果；否则，得到认证失败的结果。

S308，身份认证TA向支付TA发送身份认证结果。

身份认证TA得到身份认证结果后，可向支付TA反馈该身份认证结果，以确认用户是否具备支付权限。同样地，身份认证TA可通过hypervisor及硬件设备向支付TA发送身份认证结果。

S309，支付TA调用TUI模块绘制并显示身份认证结果。

可以理解地，在支付TA获取的生物数据为人脸数据的情况下，若身份认证结果指示人脸数据与人脸模板匹配(即得到认证成功的身份认证结果)，则支付TA可调用TUI模块绘制并显示如图8A中的(a)所示的图标406a和提示信息407a，该提示信息407a用于指示人脸识别成功。若身份认证结果为人脸数据与人脸模板不匹配(即得到认证失败的身份认证结果)，则支付TA可调用TUI模块绘制并显示如图8A中的(b)所示的图标406a和提示信息407b，该提示信息407b用于指示未能成功识别到人脸。

在支付TA获取的生物数据为指纹数据的情况下，若身份认证结果为指纹数据与指纹模板匹配，则支付TA可调用TUI模块显示如图8B中的(a)所示的图标406b和提示信息407c，该提示信息407c用于指示指纹识别成功。若身份认证结果为指纹数据与指纹模板不匹配，则支付TA可调用TUI模块显示如图8B中的(b)所示的图标406b和提示信息407d，该提示信息407d用于指示未能成功识别到指纹。

S310，支付TA根据身份认证结果(为认证成功)和交易信息生成支付请求。

当身份认证结果为认证成功时，支付TA可生成支付请求。该支付请求可包括身份认证结果、生成身份认证结果的时间戳和交易信息。为了降低交易信息和身份认证结果被泄露的风险，支付TA可对身份认证结果和交易信息进行加密操作。

S311，支付TA向服务器发送支付请求。

S312，响应于接收到支付请求，服务器进行支付操作，得到支付结果。

服务器可从支付请求中解析得到身份认证结果和交易信息。服务器还可验证身份认证结果的有效性，若该身份认证结果有效，则根据交易信息进行支付；若该身份认证结果无效，则服务器将不会执行支付操作。可以理解地，服务器可判断生成身份认证结果的时间与当前时间的时间差是否大于或等于预设时间，若时间差大于预设时间，则该身份认证结果有效；若时间差小于预设时间，则该身份认证结果无效。如此一来，每个身份认证结果都具备时效性，避免身份认证结果泄露后被恶意利用。

S313，服务器向支付CA发送支付结果。

服务器可向支付CA发送支付结果，以告知用户是否支付成功。

S314，支付CA在支付界面上显示与支付结果对应的信息。

也即，根据支付结果，支付CA可在支付界面上显示不同的信息。例如，若支付结果为支付成功，则电子设备可显示支付成功的提示信息，以告知用户已支付成功。若支付结果为支付失败，则电子设备可显示支付失败的提示信息，以告知用户身份认证失败，未成功支付。

综合上述内容可知，本申请实施例提供的支付方法可将支付业务的支付流程交由TEE1执行，将身份认证流程交由TEE2执行，实现支付流程和身份认证流程的物理隔离，降低支付流程和身份认证流程同时被恶意破解的风险，能够提升支付业务的安全性。

本申请还提供一种芯片系统900，如图9所示，该芯片系统900包括至少一个处理器901和至少一个接口电路902。处理器901和接口电路902可通过线路互联。例如，接口电路902可用于从其它装置(例如，电子设备的存储器)接收信号。又例如，接口电路902可用于向其它装置(例如处理器901)发送信号。

例如，接口电路902可读取电子设备中存储器中存储的指令，并将该指令发送给处理器901。当所述指令被处理器901执行时，可使得电子设备执行上述各实施例中的各个步骤。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请实施例各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请实施例的具体实施方式，但本申请实施例的保护范围并不局限于此，任何在本申请实施例揭露的技术范围内的变化或替换，都应涵盖在本申请实施例的保护范围之内。因此，本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种支付方法，其特征在于，应用于包括富执行环境REE、第一可信执行环境TEE及第二TEE的电子设备，所述REE包括客户端应用CA，所述第一TEE包括第一可信应用TA及可信用户界面TUI模块，所述第二TEE包括第二TA，所述方法包括：

响应于检测到用户的支付操作，所述CA向所述第一TA发送TUI显示请求，所述TUI显示请求携带TUI标识；

所述第一TA接收所述TUI显示请求，调用所述TUI模块绘制并显示第一界面，所述第一界面为所述TUI标识对应的界面；

响应于用户在所述第一界面的第一操作，所述第一TA获取交易信息；

响应于用户确认所述交易信息无误的操作，所述第一TA向所述第二TA发送第一请求；

所述第二TA接收所述第一请求，进行身份认证，得到身份认证结果；

所述第二TA向所述第一TA发送所述身份认证结果；

若所述身份认证结果为成功，所述第一TA根据所述交易信息进行支付操作。

2.根据权利要求1所述的方法，其特征在于，所述第二TA接收所述第一请求，进行身份认证，得到身份认证结果，包括：

响应于接收到所述第一请求，所述第二TA获取生物数据，所述生物数据包括人脸数据或指纹数据；

所述第二TA将所述生物数据与预设的数据模板进行比对，得到所述身份认证结果。

3.根据权利要求2所述的方法，其特征在于，所述电子设备还包括摄像头，所述第二TEE还包括第一驱动，所述第二TA获取生物数据包括：

所述第二TA通过所述第一驱动调用所述摄像头，采集所述人脸数据。

4.根据权利要求2所述的方法，其特征在于，所述电子设备还包括指纹传感器，所述第二TEE还包括第二驱动，所述第二TA获取生物数据包括：

所述第二TA通过所述第二驱动调用所述指纹传感器，采集所述指纹数据。

5.根据权利要求1-4中任意一项所述的方法，其特征在于，所述方法还包括：

响应于用户确认所述交易信息无误的操作，所述第一TA调用所述TUI模块绘制并显示第一标识或第二标识，其中，所述第一标识用于指示所述电子设备正在采集指纹数据，所述第二标识用于指示所述电子设备正在采集人脸数据。

6.根据权利要求1-4中任意一项所述的方法，其特征在于，所述第一界面包括第一选项，所述响应于用户确认所述交易信息无误的操作，所述第一TA向所述第二TA发送第一请求，包括：

响应于用户对所述第一选项的操作，所述第一TA在所述第一界面显示第一弹窗，所述第一弹窗包括所述交易信息及第二选项；

响应于用户对所述第二选项的操作，所述第一TA向所述第二TA发送所述第一请求。

7.根据权利要求1-4中任意一项所述的方法，其特征在于，所述第一TA根据所述交易信息进行支付操作，包括：

所述第一TA根据所述身份认证结果及所述交易信息生成支付请求；

所述第一TA向服务器发送所述支付请求；

所述服务器接收所述支付请求，所述服务器验证所述身份认证结果；

若所述身份认证结果有效，所述服务器根据所述交易信息进行支付操作。

8.根据权利要求1-7中任意一项所述的方法，其特征在于，所述方法还包括：

所述第一TA调用所述TUI模块绘制并显示所述身份认证结果。

9.一种电子设备，其特征在于，所述电子设备上集成有REE、第一TEE、第二TEE，所述REE包括CA，所述第一TEE包括第一TA及TUI模块，所述第二TEE包括第二TA，所述电子设备包括：无线通信模块、存储器和一个或多个处理器；所述无线通信模块、所述存储器与所述处理器耦合；

其中，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；当所述计算机指令被所述处理器执行时，使得所述电子设备执行如权利要求1-8中任一项所述的支付方法。

10.一种计算机可读存储介质，其特征在于，包括计算机指令；

当所述计算机指令在所述电子设备上运行时，使得所述电子设备执行如权利要求1-8中任一项所述的支付方法。