TW201702951A

TW201702951A - 移動支付裝置及移動支付系統

Info

Publication number: TW201702951A
Application number: TW105111865A
Authority: TW
Inventors: Si-Shuang Wan; hong-feng Chai; zhi-jun Lu; Shuo He; ya-wei Yin; Guo-Bao Liu; Wei Guo
Original assignee: China Unionpay Co Ltd
Priority date: 2015-04-23
Filing date: 2016-04-15
Publication date: 2017-01-16
Also published as: CN105590201A; US20180089690A1; KR102622185B1; JP2018513494A; CN105590201B; WO2016169430A1; EP3287969A4; JP6892391B2; KR20180005660A; EP3287969A1

Abstract

本發明涉及一種移動支付裝置，包括：數據交互模塊，用於與外部進行數據交互；安全管理模塊，用於安裝並管理用於電子交易的應用，安全管理模塊包括安全晶片，安全晶片用於存儲用戶的交易帳戶信息；以及身份驗證模塊，用於驗證用戶身份信息；其中安全管理模塊、身份驗證模塊工作於可信執行環境下，數據交互模塊工作於富媒體執行環境下，可信執行環境與富媒體執行環境不同時運行。其提供全流程的安全交易保護。

Description

移動支付裝置及移動支付系統

本發明涉及移動支付技術領域，更具體地說，涉及一種移動支付裝置及移動支付系統。

隨著智慧移動設備(如智慧手機)逐步“支付工具”化，現有的注重用戶優質體驗的智慧操作系統已無法滿足支付應用對其所處的運行環境的安全性要求。由於系統資源所限，若提高智慧操作系統的安全性，幾乎肯定會使功能及用戶體驗有所降低。

對此，GlobalPlatform所提出的可信執行環境(Trusted execution environment，簡稱TEE)作為該方案的一個技術實現平臺，得到了廣泛應用。根據該平臺，如圖1所示，在移動設備中部署有富媒體執行環境(Rich execution environment，簡稱REE)11以及可信執行環境12；富媒體執行環境11中包括客戶端應用111和富媒體執行環境操作系統110，可信執行環境12中包括可信應用121和可信執行環境操作系統120。同時，REE運行於移動設備的硬件設備10之上，該硬體中包含一個可信區域101，其中TEE運行在硬件設備的可信區域101，該可信區域101不能被REE訪問，通過該可信區域101可以管理可信資源102，REE可以訪問硬件設備10中的公共資源100。通過以上方式，REE操作系統執行數據輸入輸出、信息交互等功能，TEE操作系統則執行與保護可信資源或敏感性數據相關的功能。

然而，即使存在可信執行環境這樣一種技術實現，現有技術中的移動支付裝置仍存在諸多安全隱患，其沒有將交易的各個環節全部考慮在內，從而在交易安全方面仍需要進一步的改進。

本發明的一個目的在於提供一種更利於保護交易安全的移動支付裝置。

為實現上述目的，本發明提供一種技術方案如下：

一種移動支付裝置，用於實現用戶與POS機之間的電子交易，其包括：數據交互模塊，用於與外部進行數據交互；安全管理模塊，其與數據交互模塊進行通信，用於安裝並管理用於電子交易的應用，安全管理模塊包括安全晶片，安全晶片用於存儲用戶的交易帳戶信息；以及身份驗證模塊，其與安全管理模塊、數據交互模塊進行通信，用於驗證用戶身份信息；其中安全管理模塊、身份驗證模塊工作於可信執行環境下，數據交互模塊工作於富媒體執行環境下，可信執行環境與富媒體執行環境不同時運行。

優選地，數據交互模塊包括NFC通信單元，NFC通信單元用於在移動支付裝置與POS機之間進行數據交換。

優選地，NFC通信單元與安全晶片之間設有通信通道，通信通道配置成：通信通道默認為關閉狀態；在身份驗證模塊對用戶的身份信息驗證通過後，通信通道打開以使POS機通過NFC通信單元以及通信通道與安全晶片進行交易數據通信；在交易數據通信完成後，通信通道重設為關閉狀態。

本發明另一目的在於提供一種更利於保護交易安全的移動支付系統。

為實現上述目的，本發明提供另一技術方案如下：

一種移動支付系統，包括：移動支付裝置，其包括安全晶片，安全晶片用於存儲用戶的交易帳戶信息，移動支付裝置運行富媒體執行環境操作系統或可信執行環境操作系統；POS機，用於發起與移動支付裝置之間的電子交易；以及可信服務平臺，其與移動支付裝置進行通信，用於創建交易帳戶信息；其中，富媒體執行環境操作系統操控移動支付裝置與POS機以及用戶進行數據交互，可信執行環境操作系統操控移動支付裝置使用交易帳戶信息來實現電子交易，以及對用戶身份信息進行驗證。

優選地，創建交易帳戶信息包括：用戶通過富媒體執行環境操作系統向可信服務平臺發出創建交易帳戶的申請，可信服務平臺應答申請並發出創建指令，富媒體執行環境操作系統將指令轉發至可信執行環境操作系統，可信執行環境操作系統指示安全晶片設立並存儲交易帳戶信息。

優選地，移動支付裝置還包括NFC通信單元，用於在移動支付裝置與POS機之間進行數據交換，NFC通信單元與安全晶片之間設有通信通道，通信通道配置成：通信通道默認為關閉狀態；在對用戶身份信息的驗證通過後，通信通道打開以使POS機通過NFC通信單元以及通信通道與安全晶片進行交易數據通信；在交易數據通信完成後，通信通道重設為關閉狀態。

本發明還提供一種移動支付方法，用於實現電子交易，該方法包括如下步驟：a)、提供上述移動支付裝置；b)、用戶使用移動支付裝置向可信服務平臺申請建立交易帳戶；c)、在感測到POS機發出的射頻信號後，移動支付裝置啟用身份驗證模塊對用戶身份信息進行驗證；d)、在驗證通過後，移動支付裝置在可信執行環境下與POS機進行交易數據通信；e)、在交易數據通信完成後，移動支付裝置在富媒體執行環境下向用戶反饋交易結果。

本發明各實施例提供的移動支付裝置、移動支付系統以及移動支付方法，將申請交易帳戶、身份信息驗證、交易數據通信這三個操作置於可信執行環境下，其餘操作置於富媒體執行環境下，從而在提供優秀用戶體驗的同時，也提供全流程的安全交易保護。此外，將安全晶片與NFC通信單元之間的通信通道設置為常閉狀態，其僅在通過身份驗證後暫時性打開來進行交易數據通信，有利於遮罩可能存在的安全性漏洞，從而進一步提升了交易保護能力。

10‧‧‧硬件設備

11‧‧‧REE

12‧‧‧TEE

100‧‧‧公共資源

101‧‧‧可信區域

102‧‧‧可信資源

110‧‧‧富媒體執行環境操作系統

111‧‧‧客戶端應用

120‧‧‧可信執行環境操作系統

121‧‧‧可信應用

20‧‧‧硬件設備

200‧‧‧可信區域

201‧‧‧安全管理模塊

202‧‧‧身份驗證模塊

203‧‧‧數據交互模塊

S01~S05‧‧‧步驟

S1~S5‧‧‧步驟

S20~S24‧‧‧步驟

S30~S35‧‧‧步驟

S40~S43‧‧‧步驟

圖1示出現有技術中部署有富媒體執行環境以及可信執行環境的移動設備的概念性示意圖。

圖2示出本發明第一實施例提供的移動支付裝置的模組結構示意圖。

圖3為移動支付裝置顯示幕上所顯示的電子交易各種狀態間的切換流程圖。

圖4為本發明第三實施例提供的移動支付方法的流程示意圖。

圖5示出用戶通過移動支付裝置向可信服務平臺申請建立交易帳戶的具體流程。

圖6示出移動支付裝置讀取帳戶信息後啟用身份驗證模塊對用戶身份信息進行驗證的具體流程。

圖7示出用戶身份信息驗證通過後移動支付裝置與POS機進行交易數據通信的具體流程。

需要說明的是，本文所指安全管理模塊或身份驗證模塊與數據交互模塊所進行的通信，需要經過富媒體執行環境與可信執行環境之間的切換。富媒體執行環境與可信執行環境不同時運行。

本文所指客戶端應用、富媒體執行環境操作系統以及安全應用、可信執行環境操作系統通常以軟體形式安裝並運行在移動支付裝置的相關模組/單元上。

如圖2所示，本發明第一實施例提供一種移動支付裝置，其硬件設備20中包括可信區域200，可信區域200僅可由可信執行環境12訪問，而不能由富媒體執行環境11訪問，換言之，可信區域200對富媒體執行環境11為不可見。

具體地，硬件設備20中包括數據交互模塊203，其用於與外部(例如用戶、POS機)進行數據交互。數據交互模塊203可包括：輸入、輸出子模組，其是與外部進行數據交互的界面，其具體包括用戶界面設備、數據埠設備以及其他類型的輸入輸出設備，例如觸控式螢幕、顯示幕、按鍵等；以及無線通訊子模組，其具體包括NFC通信單元、和/或基帶處理器、GPS單元。

其中，當移動支付裝置接近POS機，NFC通信單元可在移動支付裝置與POS機之間進行數據交換。

可信區域200中包括安全管理模塊201和身份驗證模塊202。可信區域200僅對可信執行環境12為可見。

安全管理模塊201與數據交互模塊203通信，其包括實現安全管理功能所需的硬體，其上可安裝能夠用於離線交易的安全應用，比如銀行卡交易的電子現金應用等。

其中，安全管理模塊201還包括安全晶片，安全晶片用於存儲用戶的交易帳戶信息。

身份驗證模塊202分別與安全管理模塊201、數據交互模塊203通信，其用於驗證用戶身份信息，如指紋、虹膜、心跳、聲紋、面部圖像等。

優選情況下，數據交互模塊包括指紋收集裝置，相應地，身份驗證模塊包括指紋識別單元，用戶通過指紋收集裝置輸入指紋信息，供身份驗證模塊在可信執行環境下進行驗證。

可以理解，移動支付裝置還可包括其他模組，例如：存儲模組(未示出)，其包括磁片存儲、flash存儲等，用於存儲數據；數據處理模組(未示出)，其包括微處理器、微控制器、數位訊號處理器、和/或專用積體電路等，為了使移動支付裝置能夠與外部設備經由數據交互模塊203進行通信，數據處理模組需要支援多個無線通訊協定。

富媒體執行環境11包括客戶端應用111、富媒體執行環境操作系統110，其安裝並運行在移動支付裝置中除可信區域之外的相關模組上。可信執行環境12包括可信應用121和可信執行環境操作系統120，其安裝並運行在可信區域200中。

根據上述實施例進一步改進的實施方式，NFC通信單元與安全晶片之間設有通信通道，該通信通道配置成：A、通信通道默認為關閉狀態；B、在身份驗證模塊對用戶的身份信息驗證通過後，通信通道打開以使POS機通過NFC通信單元以及通信通道與安全晶片進行交易數據通信；C、在交易數據通信完成後，通信通道重設為關閉狀態。

上述第一實施例提供的移動支付裝置，將與用戶的交易帳戶信息相關的操作、以及驗證用戶身份信息的操作全部置於可信執行環境下，將電子交易的各個環節全部考慮在內，因而能夠提供更安全的交易保護。

此外，相比於現有技術中提供的移動支付裝置，本發明將安全晶片與NFC通信單元之間的通信通道設置為常閉狀態，其僅在通過身份驗證後暫時性打開來進行交易數據通信，以便遮罩可能存在的漏洞，從而進一步提升了交易保護能力。

本發明所提供的移動支付裝置可在顯示幕上向用戶顯示各種提示信息，這些指示信息分別對應於電子交易的不同狀態。圖3示出移動支付裝置顯示幕上所顯示的電子交易各種狀態間的切換流程。

狀態S01、用戶移動設備處於初始狀態，例如鎖屏界面；狀態S02、當用戶所持移動支付裝置接近POS 機，彈出默認卡支付界面，並提示用戶進行身份驗證；狀態S03、如果用戶進行身份驗證並通過，則提示用戶將移動支付裝置靠近POS機；狀態S04、如果用戶選擇使用其他銀行卡，則不進行身份驗證，而進入銀行卡列表界面；狀態S02、當用戶選中使用的銀行卡後，重新進入默認卡支付界面；狀態S05、當用戶的移動支付裝置與POS機完成交易後，進入提示交易完成界面。

本發明第二實施例提供一種移動支付系統，其包括移動支付裝置、POS機以及可信服務平臺(Trust Service Management，簡稱TSM)。移動支付裝置中設有安全晶片(Secure Element，簡稱SE)，安全晶片用於存儲用戶的交易帳戶信息，移動支付裝置運行富媒體執行環境操作系統或可信執行環境操作系統，任何時刻只有一種操作系統處於運行狀態，另一種可處於休眠狀態。

POS機設置於商戶中，用於發起與用戶所持移動支付裝置之間的電子交易。

用戶通過移動支付裝置向可信服務平臺申請創建交易帳戶，創建好的交易帳戶信息將存儲於安全晶片中。

其中，富媒體執行環境操作系統操控移動支付裝置與POS機以及用戶進行數據交互，可信執行環境操作系統操控移動支付裝置使用交易帳戶信息來實現電子交易，以及對用戶身份信息進行驗證。

創建交易帳戶信息的過程具體包括：用戶通過富媒體執行環境操作系統向可信服務平臺發出創建交易帳戶的申請，可信服務平臺應答申請並發出創建指令，富媒體執行環境操作系統將指令轉發至可信執行環境操作系統，可信執行環境操作系統指示安全晶片設立並存儲交易帳戶信息。

上述移動支付系統中的移動支付裝置還包括NFC通信單元，用於在移動支付裝置與POS機之間進行數據交換，NFC通信單元與安全晶片之間設有通信通道。為遮罩可能存在的安全性漏洞，作為進一步改進，該通信通道配置成：通信通道默認為關閉狀態；在對用戶身份信息的驗證通過後，通信通道打開以使POS機通過NFC通信單元以及通信通道與安全晶片進行交易數據通信；在交易數據通信完成後，通信通道重設為關閉狀態。

上述支付系統在進行電子交易時，交易信息和/或敏感性數據能得到更完善的保護。即使在創建交易帳戶的過程中，安全晶片設立並存儲交易帳戶信息的這一過程也是在可信執行環境下進行的，從而確保電子交易的各環節都具有較佳的數據保護能力。NFC通信單元與安全晶片之間的通信通道默認為常閉狀態，僅在進行交易數據通信時暫時性打開，也有助於遮罩安全性漏洞，實現全方位的交易保護。

本發明第三實施例提供一種移動支付方法，用於實現用戶通過如權利要求1的移動支付裝置與POS 機進行的電子交易，如圖4所示，該方法包括如下步驟：步驟S1、提供本發明上述第一實施例所提供的移動支付裝置。

該移動支付裝置包括數據交互模塊、安全管理模塊以及身份驗證模塊。數據交互模塊用於與外部進行數據交互。安全管理模塊與數據交互模塊進行通信，用於安裝並管理用於電子交易的應用，安全管理模塊包括安全晶片，安全晶片用於存儲用戶的交易帳戶信息。身份驗證模塊與安全管理模塊、數據交互模塊進行通信，用於驗證用戶身份信息。其中安全管理模塊、身份驗證模塊工作於可信執行環境下，數據交互模塊工作於富媒體執行環境下，可信執行環境與富媒體執行環境不同時運行。

步驟S2、用戶使用移動支付裝置向可信服務平臺申請建立交易帳戶。

圖5示出步驟S2的具體流程，該步驟S2具體包括如下分步驟：分步驟S20、用戶提交身份信息，向可信支付平臺申請用於移動支付的帳戶；分步驟S21、可信服務平臺驗證用戶身份信息，組織創建帳戶指令；分步驟S22、可信服務平臺向REE下發創建帳戶的指令；分步驟S23、REE將指令轉發到TEE；分步驟S24、TEE將創建指令寫到SE中；隨後，從SE向TEE返回創建指令執行結果，再從TEE向REE返回執行結果，最後從REE向可信服務平臺返回執行結果。

步驟S3、在感測到POS機發出的射頻(RF)信號後，移動支付裝置啟用身份驗證模塊對用戶身份信息進行驗證。

圖6示出步驟S3的具體流程，該步驟S3具體包括如下分步驟：分步驟S30、移動支付裝置靠近POS機；優選情況下，移動支付裝置中設有NFC通信單元，POS機感測到移動支付裝置的NFC通信單元時，即可判斷出移動支付裝置靠近POS機。

分步驟S31、POS機發出RF信號，移動支付裝置經由NFC通信單元接收；可以理解，在分步驟S30之前，POS機可能已發出RF信號，而在移動支付裝置靠近POS機後才接收到RF信號。因此也可認為上述分步驟S30、分步驟S31沒有先後之分，而是可以並存執行。

分步驟S32、REE向TEE請求讀取帳戶信息，以用於對用戶身份進行驗證；分步驟S33、TEE從SE中讀取帳戶信息；隨後，從SE向TEE返回帳戶信息，再從TEE向REE返回；分步驟S34、REE收到帳戶信息後，向TEE 請求進行身份驗證；分步驟S35、TEE啟用身份驗證模塊，對用戶身份進行驗證；具體地，身份驗證模塊判斷用戶身份信息與帳戶信息是否相符；如果相符則驗證通過，REE會彈出支付頁面，提示身份驗證通過。

步驟S4、在驗證通過後，移動支付裝置在可信執行環境下與POS機進行交易數據通信。

圖7示出步驟S4的具體流程，該步驟S4具體包括如下分步驟：分步驟S40、身份驗證模塊向TEE返回用戶身份驗證結果；該分步驟作為分步驟S35的執行結果，緊接其執行。

分步驟S41、TEE打開NFC通信單元與SE之間的通信通道；隨後，TEE可返回打開通信通道的結果，並關閉身份驗證模塊，以及繼續提示用戶將移動支付裝置靠近或保持靠近POS機。

分步驟S42、POS機與SE通過NFC通信單元以及該秘密頻道直接進行交易數據通信。

具體地，POS機向SE發出交易指令，SE將交易數據上送至POS機，SE通過NFC通信單元向REE返回交易結果。

分步驟S43、關閉NFC通信單元與SE之間的通信通道。

步驟S5、在交易數據通信完成後，移動支付裝置在富媒體執行環境下向用戶反饋交易結果。

按照上述實施例的改進實施方式，在步驟S3中，結合圖3所示，當用戶不使用默認卡(默認交易帳戶)進行交易，而選擇使用其他銀行卡(其他交易帳戶)時，類似地，REE可請求TEE讀取用戶所有銀行卡的信息，TEE從SE中讀出所有銀行卡的信息後再向REE返回。當用戶通過REE選中某一銀行卡時，REE可指示TEE切換交易帳戶，TEE將被選中的銀行卡設置為默認交易帳戶，隨後向REE返回切換結果，REE將向用戶顯示新的支付界面。

上述第三實施例提供的移動支付方法，將申請交易帳戶、身份信息驗證、交易數據通信這三個操作置於可信執行環境下，其餘操作置於富媒體執行環境下，從而在提供優秀用戶體驗的同時，也提供全流程的安全交易保護。

此外，相比於現有技術中提供的移動支付方法，本發明將安全晶片與NFC通信單元之間的通信通道設置為常閉狀態，其僅在通過身份驗證後暫時性打開來進行交易數據通信，進一步提升了安全性。

上述說明僅針對於本發明的優選實施例，並不在於限制本發明的保護範圍。本領域技術人員可作出各種變形設計，而不脫離本發明的思想及附隨的權利要求。