WO2016169430A1

WO2016169430A1 - 移动支付装置及移动支付系统

Info

Publication number: WO2016169430A1
Application number: PCT/CN2016/079237
Authority: WO
Inventors: 万四爽; 柴洪峰; 鲁志军; 何朔; 尹亚伟; 刘国宝; 郭伟
Original assignee: 中国银联股份有限公司
Priority date: 2015-04-23
Filing date: 2016-04-14
Publication date: 2016-10-27
Also published as: CN105590201B; TW201702951A; JP6892391B2; KR20180005660A; CN105590201A; US20180089690A1; JP2018513494A; EP3287969A4; EP3287969A1; KR102622185B1

Abstract

一种移动支付装置，包括：数据交互模块（203），用于与外部进行数据交互；安全管理模块（201），用于安装并管理用于电子交易的应用，安全管理模块包括安全芯片，安全芯片用于存储用户的交易帐户信息；以及身份验证模块（202），用于验证用户身份信息；其中安全管理模块（201）、身份验证模块（202）工作于可信执行环境（12）下，数据交互模块（203）工作于富媒体执行环境（11）下，可信执行环境（12）与富媒体执行环境（11）不同时运行。其提供全流程的安全交易保护。

Description

移动支付装置及移动支付系统

技术领域

本发明涉及移动支付技术领域，更具体地说，涉及一种移动支付装置及移动支付系统。

背景技术

随着智能移动设备(如智能手机)逐步“支付工具”化，现有的注重用户优质体验的智能操作系统已无法满足支付应用对其所处的运行环境的安全性要求。由于系统资源所限，若提高智能操作系统的安全性，几乎肯定会使功能及用户体验有所降低。

对此，GlobalPlatform所提出的可信执行环境(Trusted execution environment，简称TEE)作为该方案的一个技术实现平台，得到了广泛应用。根据该平台，如图1所示，在移动设备中部署有富媒体执行环境(Rich execution environment，简称REE)11以及可信执行环境12；富媒体执行环境11中包括客户端应用111和富媒体执行环境操作系统110，可信执行环境12中包括可信应用121和可信执行环境操作系统120。同时，REE运行于移动设备的硬件设备10之上，该硬件中包含一个可信区域101，其中TEE运行在硬件设备的可信区域101，该可信区域101不能被REE访问，通过该可信区域101可以管理可信资源102，REE可以访问硬件设备10中的公共资源100。通过以上方式，REE操作系统执行数据输入输出、信息交互等功能，TEE操作系统则执行与保护可信资源或敏感数据相关的功能。

然而，即使存在可信执行环境这样一种技术实现，现有技术中的移动支付装置仍存在诸多安全隐患，其没有将交易的各个环节全部考虑在内，从而在交易安全方面仍需要进一步的改进。

发明内容

本发明的一个目的在于提供一种更利于保护交易安全的移动支付装置。

为实现上述目的，本发明提供一种技术方案如下：

一种移动支付装置，用于实现用户与POS机之间的电子交易，其包括：数据交互模块，用于与外部进行数据交互；安全管理模块，其与数据交互模块进行通信，用于安装并管理用于电子交易的应用，安全管理模块包括安全芯片，安全芯片用于存储用户的交易帐户信息；以及身份验证模块，其与安全管理模块、数据交互模块进行通信，用于验证用户身份信息；其中安全管理模块、身份验证模块工作于可信执行环境下，数据交互模块工作于富媒体执行环境下，可信执行环境与富媒体执行环境不同时运行。

优选地，数据交互模块包括NFC通信单元，NFC通信单元用于在移动支付装置与POS机之间进行数据交换。

优选地，NFC通信单元与安全芯片之间设有通信通道，通信通道配置成：通信通道默认为关闭状态；在身份验证模块对用户的身份信息验证通过后，通信通道打开以使POS机通过NFC通信单元以及通信通道与安全芯片进行交易数据通信；在交易数据通信完成后，通信通道重设为关闭状态。

本发明另一目的在于提供一种更利于保护交易安全的移动支付系统。

为实现上述目的，本发明提供另一技术方案如下：

一种移动支付系统，包括：移动支付装置，其包括安全芯片，安全芯片用于存储用户的交易帐户信息，移动支付装置运行富媒体执行环境操作系统或可信执行环境操作系统；POS机，用于发起与移动支付装置之间的电子交易；以及可信服务平台，其与移动支付装置进行通信，用于创建交易帐户信息；其中，富媒体执行环境操作系统操控移动支付装置与POS机以及用户进行数据交互，可信执行环境操作系统操控移动支付装置使用交易帐户信息来实现电子交易，以及对用户身份信息进行验证。

优选地，创建交易帐户信息包括：用户通过富媒体执行环境操作系统向可信服务平台发出创建交易帐户的申请，可信服务平台应答申请并发出创建指令，富媒体执行环境操作系统将指令转发至可信执行环境操作系统，可信执行环境操作系统指示安全芯片设立并存储交易帐户信息。

优选地，移动支付装置还包括NFC通信单元，用于在移动支付装置与POS机之间进行数据交换，NFC通信单元与安全芯片之间设有通信通道，通信通道配置成：通信通道默认为关闭状态；在对用户身份信息的验证通过后，通信通道打开以使POS机通过NFC通信单元以及通信通道与安全芯片进行交易数据通信；在交易数据通信完成后，通信通道重设为关闭状态。

本发明还提供一种移动支付方法，用于实现电子交易，该方法包括如下步骤：a)、提供上述移动支付装置；b)、用户使用移动支付装置向可信服务平台申请建立交易帐户；c)、在感测到POS机发出的射频信号后，移动支付装置启用身份验证模块对用户身份信息进行验证；d)、在验证通过后，移动支付装置在可信执行环境下与POS机进行交易数据通信；e)、在交易数据通信完成后，移动支付装置在富媒体执行环境下向用户反馈交易结果。

本发明各实施例提供的移动支付装置、移动支付系统以及移动支付方法，将申请交易帐户、身份信息验证、交易数据通信这三个操作置于可信执行环境下，其余操作置于富媒体执行环境下，从而在提供优秀用户体验的同时，也提供全流程的安全交易保护。此外，将安全芯片与NFC通信单元之间的通信通道设置为常闭状态，其仅在通过身份验证后暂时性打开来进行交易数据通信，有利于屏蔽可能存在的安全漏洞，从而进一步提升了交易保护能力。

附图说明

图1示出现有技术中部署有富媒体执行环境以及可信执行环境的移动设备的概念性示意图。

图2示出本发明第一实施例提供的移动支付装置的模块结构示意图。

图3为移动支付装置显示屏上所显示的电子交易各种状态间的切换流程图。

图4为本发明第三实施例提供的移动支付方法的流程示意图。

图5示出用户通过移动支付装置向可信服务平台申请建立交易帐户的具体流程。

图6示出移动支付装置读取帐户信息后启用身份验证模块对用户身份信息进行验证的具体流程。

图7示出用户身份信息验证通过后移动支付装置与POS机进行交易数据通信的具体流程。

具体实施方式

需要说明的是，本文所指安全管理模块或身份验证模块与数据交互模块所进行的通信，需要经过富媒体执行环境与可信执行环境之间的切换。富媒体执行环境与可信执行环境不同时运行。

本文所指客户端应用、富媒体执行环境操作系统以及安全应用、可信执行环境操作系统通常以软件形式安装并运行在移动支付装置的相关模块/单元上。

如图2所示，本发明第一实施例提供一种移动支付装置，其硬件设备20中包括可信区域200，可信区域200仅可由可信执行环境12访问，而不能由富媒体执行环境11访问，换言之，可信区域200对富媒体执行环境11为不可见。

具体地，硬件设备20中包括数据交互模块203，其用于与外部(例如用户、POS机)进行数据交互。数据交互模块203可包括：输入、输出子模块，其是与外部进行数据交互的接口，其具体包括用户界面设备、数据端口设备以及其他类型的输入输出设备，例如触摸屏、显示屏、按键等；以及无线通信子模块，其具体包括NFC通信单元、和/或基带处理器、GPS单元。

其中，当移动支付装置接近POS机，NFC通信单元可在移动支付装置与POS机之间进行数据交换。

可信区域200中包括安全管理模块201和身份验证模块202。可信区域200仅对可信执行环境12为可见。

安全管理模块201与数据交互模块203通信，其包括实现安全管理功能所需的硬件，其上可安装能够用于脱机交易的安全应用，比如银行卡交易的电子现金应用等。

其中，安全管理模块201还包括安全芯片，安全芯片用于存储用户的交易帐户信息。

身份验证模块202分别与安全管理模块201、数据交互模块203通信，其用于验证用户身份信息，如指纹、虹膜、心跳、声纹、面部图像等。

优选情况下，数据交互模块包括指纹收集装置，相应地，身份验证模块包括指纹识别单元，用户通过指纹收集装置输入指纹信息，供身份验证模块在可信执行环境下进行验证。

可以理解，移动支付装置还可包括其他模块，例如：存储模块(未示出)，其包括磁盘存储、flash存储等，用于存储数据；数据处理模块(未示出)，其包括微处理器、微控制器、数字信号处理器、和/或专用集成电路等，为了使移动支付装置能够与外部设备经由数据交互模块203进行通信，数据处理模块需要支持多个无线通信协议。

富媒体执行环境11包括客户端应用111、富媒体执行环境操作系统110，其安装并运行在移动支付装置中除可信区域之外的相关模块上。可信执行环境12包括可信应用121和可信执行环境操作系统120，其安装并运行在可信区域200中。

根据上述实施例进一步改进的实施方式，NFC通信单元与安全芯片之间设有通信通道，该通信通道配置成：A、通信通道默认为关闭状态；B、在身份验证模块对用户的身份信息验证通过后，通信通道打开以使POS机通过NFC通信单元以及通信通道与安全芯片进行交易数据通信；C、在交易数据通信完成后，通信通道重设为关闭状态。

上述第一实施例提供的移动支付装置，将与用户的交易帐户信息相关的操作、以及验证用户身份信息的操作全部置于可信执行环境下，将电子交易的各个环节全部考虑在内，因而能够提供更安全的交易保护。

此外，相比于现有技术中提供的移动支付装置，本发明将安全芯片与NFC通信单元之间的通信通道设置为常闭状态，其仅在通过身份验证后暂时性打开来进行交易数据通信，以便屏蔽可能存在的漏洞，从而进一步提升了交易保护能力。

本发明所提供的移动支付装置可在显示屏上向用户显示各种提示信息，这些指示信息分别对应于电子交易的不同状态。图3示出移动支付装置显示屏上所显示的电子交易各种状态间的切换流程。

状态S01、用户移动设备处于初始状态，例如锁屏界面；

状态S02、当用户所持移动支付装置接近POS机，弹出默认卡支付界面，并提示用户进行身份验证；

状态S03、如果用户进行身份验证并通过，则提示用户将移动支付装置靠近POS机；

状态S04、如果用户选择使用其他银行卡，则不进行身份验证，而进入银行卡列表界面；

状态S02、当用户选中使用的银行卡后，重新进入默认卡支付界面；

状态S05、当用户的移动支付装置与POS机完成交易后，进入提示交易完成界面。

本发明第二实施例提供一种移动支付系统，其包括移动支付装置、POS机以及可信服务平台(Trust Service Management，简称TSM)。移动支付装置中设有安全芯片(Secure Element，简称SE)，安全芯片用于存储用户的交易帐户信息，移动支付装置运行富媒体执行环境操作系统或可信执行环境操作系统，任何时刻只有一种操作系统处于运行状态，另一种可处于休眠状态。

POS机设置于商户中，用于发起与用户所持移动支付装置之间的电子交易。

用户通过移动支付装置向可信服务平台申请创建交易帐户，创建好的交易帐户信息将存储于安全芯片中。

其中，富媒体执行环境操作系统操控移动支付装置与POS机以及用户进行数据交互，可信执行环境操作系统操控移动支付装置使用交易帐户信息来实现电子交易，以及对用户身份信息进行验证。

创建交易帐户信息的过程具体包括：用户通过富媒体执行环境操作系统向可信服务平台发出创建交易帐户的申请，可信服务平台应答申请并发出创建指令，富媒体执行环境操作系统将指令转发至可信执行环境操作系统，可信执行环境操作系统指示安全芯片设立并存储交易帐户信息。

上述移动支付系统中的移动支付装置还包括NFC通信单元，用于在移动支付装置与POS机之间进行数据交换，NFC通信单元与安全芯片之间设有通信通道。为屏蔽可能存在的安全漏洞，作为进一步改进，该通信通道配置成：通信通道默认为关闭状态；在对用户身份信息的验证通过后，通信通道打开以使POS机通过NFC通信单元以及通信通道与安全芯片进行交易数据通信；在交易数据通信完成后，通信通道重设为关闭状态。

上述支付系统在进行电子交易时，交易信息和/或敏感数据能得到更完善的保护。即使在创建交易帐户的过程中，安全芯片设立并存储交易帐户信息的这一过程也是在可信执行环境下进行的，从而确保电子交易的各环节都具有较佳的数据保护能力。NFC通信单元与安全芯片之间的通信通道默认为常闭状态，仅在进行交易数据通信时暂时性打开，也有助于屏蔽安全漏洞，实现全方位的交易保护。

本发明第三实施例提供一种移动支付方法，用于实现用户通过如权利要求1的移动支付装置与POS机进行的电子交易，如图4所示，该方法包括如下步骤：

步骤S1、提供本发明上述第一实施例所提供的移动支付装置。

该移动支付装置包括数据交互模块、安全管理模块以及身份验证模块。数据交互模块用于与外部进行数据交互。安全管理模块与数据交互模块进行通信，用于安装并管理用于电子交易的应用，安全管理模块包括安全芯片，安全芯片用于存储用户的交易帐户信息。身份验证模块与安全管理模块、数据交互模块进行通信，用于验证用户身份信息。其中安全管理模块、身份验证模块工作于可信执行环境下，数据交互模块工作于富媒体执行环境下，可信执行环境与富媒体执行环境不同时运行。

步骤S2、用户使用移动支付装置向可信服务平台申请建立交易帐户。

图5示出步骤S2的具体流程，该步骤S2具体包括如下分步骤：

分步骤S20、用户提交身份信息，向可信支付平台申请用于移动支付的帐户；

分步骤S21、可信服务平台验证用户身份信息，组织创建帐户指令；

分步骤S22、可信服务平台向REE下发创建帐户的指令；

分步骤S23、REE将指令转发到TEE；

分步骤S24、TEE将创建指令写到SE中；

随后，从SE向TEE返回创建指令执行结果，再从TEE向REE返回执行结果，最后从REE向可信服务平台返回执行结果。

步骤S3、在感测到POS机发出的射频(RF)信号后，移动支付装置启用身份验证模块对用户身份信息进行验证。

图6示出步骤S3的具体流程，该步骤S3具体包括如下分步骤：

分步骤S30、移动支付装置靠近POS机；

优选情况下，移动支付装置中设有NFC通信单元，POS机感测到移动支付装置的NFC通信单元时，即可判断出移动支付装置靠近POS机。

分步骤S31、POS机发出RF信号，移动支付装置经由NFC通信单元接收；

可以理解，在分步骤S30之前，POS机可能已发出RF信号，而在移动支付装置靠近POS机后才接收到RF信号。因此也可认为上述分步骤S30、分步骤S31没有先后之分，而是可以并行执行。

分步骤S32、REE向TEE请求读取帐户信息，以用于对用户身份进行验证；

分步骤S33、TEE从SE中读取帐户信息；

随后，从SE向TEE返回帐户信息，再从TEE向REE返回；

分步骤S34、REE收到帐户信息后，向TEE请求进行身份验证；

分步骤S35、TEE启用身份验证模块，对用户身份进行验证；

具体地，身份验证模块判断用户身份信息与帐户信息是否相符；如果相符则验证通过，REE会弹出支付页面，提示身份验证通过。

步骤S4、在验证通过后，移动支付装置在可信执行环境下与POS机进行交易数据通信。

图7示出步骤S4的具体流程，该步骤S4具体包括如下分步骤：

分步骤S40、身份验证模块向TEE返回用户身份验证结果；

该分步骤作为分步骤S35的执行结果，紧接其执行。

分步骤S41、TEE打开NFC通信单元与SE之间的通信通道；

随后，TEE可返回打开通信通道的结果，并关闭身份验证模块，以及继续提示用户将移动支付装置靠近或保持靠近POS机。

分步骤S42、POS机与SE通过NFC通信单元以及该安全通道直接进行交易数据通信。

具体地，POS机向SE发出交易指令，SE将交易数据上送至POS机，SE通过NFC通信单元向REE返回交易结果。

分步骤S43、关闭NFC通信单元与SE之间的通信通道。

步骤S5、在交易数据通信完成后，移动支付装置在富媒体执行环境下向用户反馈交易结果。

按照上述实施例的改进实施方式，在步骤S3中，结合图3所示，当用户不使用默认卡(默认交易帐户)进行交易，而选择使用其他银行卡(其他交易帐户)时，类似地，REE可请求TEE读取用户所有银行卡的信息，TEE从SE中读出所有银行卡的信息后再向REE返回。当用户通过REE选中某一银行卡时，REE可指示TEE切换交易帐户，TEE将被选中的银行卡设置为默认交易帐户，随后向REE返回切换结果，REE将向用户显示新的支付界面。

上述第三实施例提供的移动支付方法，将申请交易帐户、身份信息验证、交易数据通信这三个操作置于可信执行环境下，其余操作置于富媒体执行环境下，从而在提供优秀用户体验的同时，也提供全流程的安全交易保护。

此外，相比于现有技术中提供的移动支付方法，本发明将安全芯片与NFC通信单元之间的通信通道设置为常闭状态，其仅在通过身份验证后暂时性打开来进行交易数据通信，进一步提升了安全性。

上述说明仅针对于本发明的优选实施例，并不在于限制本发明的保护范围。本领域技术人员可作出各种变形设计，而不脱离本发明的思想及附随的权利要求。

Claims

一种移动支付装置，用于实现用户与POS机之间的电子交易，其包括：

数据交互模块，用于与外部进行数据交互；

安全管理模块，其与所述数据交互模块进行通信，用于安装并管理用于电子交易的应用，所述安全管理模块包括安全芯片，所述安全芯片用于存储用户的交易帐户信息；以及

身份验证模块，其与所述安全管理模块、数据交互模块进行通信，用于验证用户身份信息；

其中所述安全管理模块、身份验证模块工作于可信执行环境下，所述数据交互模块工作于富媒体执行环境下，所述可信执行环境与所述富媒体执行环境不同时运行。
根据权利要求1所述的移动支付装置，其特征在于，所述数据交互模块包括NFC通信单元，所述NFC通信单元用于在所述移动支付装置与POS机之间进行数据交换。
根据权利要求2所述的移动支付装置，其特征在于，所述数据交互模块包括指纹收集装置，所述身份验证模块包括指纹识别单元，用户通过所述指纹收集装置输入指纹信息，供所述身份验证模块在所述可信执行环境下进行验证。
根据权利要求2所述的移动支付装置，其特征在于，所述NFC通信单元与所述安全芯片之间设有通信通道，所述通信通道配置成：

所述通信通道默认为关闭状态；

在所述身份验证模块对用户的身份信息验证通过后，所述通信通道打开以使所述POS机通过所述NFC通信单元以及所述通信通道与所述安全芯片进行交易数据通信；

在所述交易数据通信完成后，所述通信通道重设为关闭状态。
根据权利要求1至4中任一项所述的移动支付装置，其特征在于，所述移动支付装置为智能手机。
一种移动支付系统，包括：

移动支付装置，其包括安全芯片，所述安全芯片用于存储用户的交易帐户信息，所述移动支付装置运行富媒体执行环境操作系统或可信执行环境操作系统；

POS机，用于发起与所述移动支付装置之间的电子交易；以及

可信服务平台，其与所述移动支付装置进行通信，用于创建所述交易帐户信息；

其中，所述富媒体执行环境操作系统操控所述移动支付装置与所述POS机以及用户进行数据交互，所述可信执行环境操作系统操控所述移动支付装置使用所述交易帐户信息来实现所述电子交易，以及对用户身份信息进行验证。
如权利要求6所述的移动支付系统，其特征在于，所述创建交易帐户信息包括：

用户通过所述富媒体执行环境操作系统向所述可信服务平台发出创建所述交易帐户的申请，所述可信服务平台应答所述申请并发出创建指令，所述富媒体执行环境操作系统将所述指令转发至所述可信执行环境操作系统，所述可信执行环境操作系统指示所述安全芯片设立并存储所述交易帐户信息。
如权利要求6或7所述的移动支付系统，其特征在于，所述移动支付装置还包括NFC通信单元，用于在所述移动支付装置与POS机之间进行数据交换，所述NFC通信单元与所述安全芯片之间设有通信通道，所述通信通道配置成：

所述通信通道默认为关闭状态；

在所述对用户身份信息的验证通过后，所述通信通道打开以使所述POS机通过所述NFC通信单元以及所述通信通道与所述安全芯片进行交易数据通信；

在所述交易数据通信完成后，所述通信通道重设为关闭状态。
一种移动支付方法，用于实现电子交易，所述方法包括如下步骤：

a)、提供如权利要求1所述的移动支付装置；

b)、用户使用所述移动支付装置向可信服务平台申请建立交易帐户；

c)、在感测到POS机发出的射频信号后，所述移动支付装置启用身份验证模块对用户身份信息进行验证；

d)、在所述验证通过后，所述移动支付装置在所述可信执行环境下与所述POS机进行交易数据通信；

e)、在所述交易数据通信完成后，所述移动支付装置在所述富媒体执行环境下向用户反馈交易结果。
如权利要求9所述的方法，其特征在于，所述移动支付装置还包括NFC通信单元，用于在所述移动支付装置与所述POS机之间进行数据交换，所述NFC通信单元与所述安全芯片之间设有通信通道，所述步骤d)具体包括：

d1)、在所述用户身份信息通过验证后，打开所述通信通道；

d2)、所述POS机与所述安全芯片通过所述NFC通信单元以及所述安全通道进行所述交易数据通信；

d3)、在所述交易数据通信完成后，关闭所述通信信道。