本發(fā)明涉及通信技術(shù)領(lǐng)域，具體而言，涉及一種ifaa指紋支付裝置、系統(tǒng)、方法和移動(dòng)終端。

背景技術(shù)：

隨著網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，電子支付已迅速普及，并成為人們的日常支付方式之一，人們通常會(huì)在移動(dòng)終端上安裝諸如支付寶、銀行客戶(hù)端等支付客戶(hù)端，并利用該支付客戶(hù)端進(jìn)行電子支付。

由于電子支付直接關(guān)系到人們的資金財(cái)產(chǎn)安全，因此支付安全性是當(dāng)今人們最為關(guān)注的重點(diǎn)，而支付過(guò)程中的身份認(rèn)證則對(duì)支付安全性起著關(guān)鍵性作用?，F(xiàn)有的支付客戶(hù)端大多在支付過(guò)程中采用固定的電子密碼驗(yàn)證方式實(shí)現(xiàn)身份認(rèn)證，即由使用者輸入預(yù)設(shè)的電子密碼，支付客戶(hù)端與支付服務(wù)器協(xié)同驗(yàn)證該電子密碼的合法性，進(jìn)而決定是否繼續(xù)執(zhí)行支付操作。然而，這種密碼驗(yàn)證方式無(wú)法真正的確認(rèn)使用者的身份信息，因?yàn)榉欠ㄊ褂谜咭部赡芡ㄟ^(guò)盜取密碼等方式執(zhí)行支付操作，支付安全性較差。同時(shí)，這種密碼驗(yàn)證方式還需要用戶(hù)記憶密碼或攜帶專(zhuān)用的密碼生成器，使用不方便。

針對(duì)上述電子支付中的密碼驗(yàn)證身份的方式，存在支付安全性較差且使用不方便的問(wèn)題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明實(shí)施例的目的在于提供一種ifaa指紋支付裝置、系統(tǒng)、方法和移動(dòng)終端，以提升電子支付的安全性和可靠性，同時(shí)利用指紋認(rèn)證身份的方式使電子支付的操作簡(jiǎn)單易行。

為了實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例采用的技術(shù)方案如下：

第一方面，本發(fā)明實(shí)施例提供了一種ifaa指紋支付裝置，應(yīng)用于移動(dòng)終端，包括：tee模塊，用于在安全操作系統(tǒng)下運(yùn)行指紋應(yīng)用和ifaa應(yīng)用；ree模塊，用于在通用操作系統(tǒng)下運(yùn)行ifaa客戶(hù)端，ifaa客戶(hù)端包括：支付應(yīng)用客戶(hù)端，或者與支付應(yīng)用客戶(hù)端建立有支付鏈接的應(yīng)用客戶(hù)端；其中，ifaa應(yīng)用配置有ta底層接口，用于訪問(wèn)emmc的rpmb分區(qū)，以及還用于與指紋應(yīng)用對(duì)接，以傳輸ifaa應(yīng)用與指紋應(yīng)用間的數(shù)據(jù)；ree模塊配置有ifaa系統(tǒng)框架層，ifaa系統(tǒng)框架層與ifaa客戶(hù)端對(duì)接；ifaa應(yīng)用還配置有與ifaa系統(tǒng)框架層對(duì)接的ta入口，ta入口和ifaa系統(tǒng)框架層用于傳輸ifaa客戶(hù)端與ifaa應(yīng)用間的數(shù)據(jù)。

在本發(fā)明較佳的實(shí)施例中，上述ifaa系統(tǒng)框架層包括：依次連接的ifaa框架管理模塊、ifaad模塊和ca模塊；ifaa框架管理模塊與ifaa客戶(hù)端連接，并采用binder機(jī)制與ifaad模塊通信；ca模塊與ifaa應(yīng)用的ta入口連接，ca模塊和ta入口均采用qsee接口封裝和解析傳輸?shù)臄?shù)據(jù)。

在本發(fā)明較佳的實(shí)施例中，上述ifaad模塊配置有通用操作系統(tǒng)的本地服務(wù)接口，以使ifaa客戶(hù)端通過(guò)ifaad模塊訪問(wèn)通用操作系統(tǒng)的本地系統(tǒng)庫(kù)。

在本發(fā)明較佳的實(shí)施例中，上述ta入口用于將ca模塊傳輸?shù)臄?shù)據(jù)，按照ifaa應(yīng)用的消息格式進(jìn)行提取，將提取出的數(shù)據(jù)傳遞至ifaa應(yīng)用的lib庫(kù)；并將ifaa應(yīng)用返回的數(shù)據(jù)封裝后，返回給ca模塊。

在本發(fā)明較佳的實(shí)施例中，上述ifaa應(yīng)用用于接收來(lái)自ree模塊的支付請(qǐng)求，以及將支付請(qǐng)求通過(guò)ta底層接口發(fā)送給指紋應(yīng)用，以觸發(fā)指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)用戶(hù)指紋進(jìn)行認(rèn)證，得到認(rèn)證結(jié)果；ifaa應(yīng)用還用于通過(guò)ta底層接口讀取rpmb分區(qū)內(nèi)預(yù)存的移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰，使用秘鑰對(duì)認(rèn)證結(jié)果和用戶(hù)指紋加密，通過(guò)ta入口向ree模塊返回認(rèn)證消息，其中，認(rèn)證消息攜帶有加密后的認(rèn)證結(jié)果和用戶(hù)指紋。

在本發(fā)明較佳的實(shí)施例中，上述ifaa客戶(hù)端用于接收用戶(hù)的支付請(qǐng)求，并將支付請(qǐng)求轉(zhuǎn)發(fā)給tee模塊；ifaa客戶(hù)端還用于通過(guò)ifaa系統(tǒng)框架層接收認(rèn)證消息，將認(rèn)證消息轉(zhuǎn)發(fā)給ifaa客戶(hù)端的服務(wù)器進(jìn)行校驗(yàn)；以及當(dāng)接收到服務(wù)器返回的校驗(yàn)通過(guò)指示時(shí)，與服務(wù)器進(jìn)行支付操作，其中，服務(wù)器預(yù)先存儲(chǔ)有移動(dòng)終端機(jī)型對(duì)應(yīng)的公鑰，以及移動(dòng)終端注冊(cè)ifaa客戶(hù)端時(shí)發(fā)送的注冊(cè)指紋。

第二方面，本發(fā)明實(shí)施例提供了一種ifaa指紋支付系統(tǒng)，包括：移動(dòng)終端和服務(wù)器；移動(dòng)終端包括第一方面任一項(xiàng)實(shí)施例提供的裝置；服務(wù)器預(yù)先存儲(chǔ)有移動(dòng)終端機(jī)型對(duì)應(yīng)的公鑰，以及移動(dòng)終端發(fā)送的注冊(cè)指紋；服務(wù)器用于使用公鑰對(duì)認(rèn)證消息進(jìn)行解密，比對(duì)認(rèn)證消息中的用戶(hù)指紋與注冊(cè)指紋是否一致，如果一致，向移動(dòng)終端返回校驗(yàn)通過(guò)的指示，以及與ifaa客戶(hù)端進(jìn)行支付操作。

第三方面，本發(fā)明實(shí)施例提供了一種ifaa指紋支付方法，應(yīng)用于移動(dòng)終端，移動(dòng)終端包括第一方面任一項(xiàng)實(shí)施例提供的裝置；該方法包括：當(dāng)ifaa客戶(hù)端接收到用戶(hù)的支付請(qǐng)求時(shí)，將支付請(qǐng)求轉(zhuǎn)發(fā)給ifaa應(yīng)用，以使ifaa應(yīng)用觸發(fā)指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)用戶(hù)指紋進(jìn)行認(rèn)證，得到認(rèn)證結(jié)果；通過(guò)ifaa應(yīng)用讀取rpmb分區(qū)內(nèi)預(yù)存的移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰，使用秘鑰對(duì)認(rèn)證結(jié)果和用戶(hù)指紋加密，生成攜帶有加密后的認(rèn)證結(jié)果和用戶(hù)指紋的認(rèn)證消息；通過(guò)ifaa客戶(hù)端將認(rèn)證消息發(fā)送至ifaa客戶(hù)端的服務(wù)器，以使服務(wù)器對(duì)用戶(hù)指紋進(jìn)行校驗(yàn)，并返回校驗(yàn)結(jié)果；當(dāng)接收到服務(wù)器返回校驗(yàn)通過(guò)指示時(shí)，觸發(fā)ifaa客戶(hù)端與服務(wù)器進(jìn)行支付操作。

在本發(fā)明較佳的實(shí)施例中，上述方法還包括：當(dāng)注冊(cè)ifaa客戶(hù)端時(shí)，讀取移動(dòng)終端的解鎖指紋，將解鎖指紋作為ifaa客戶(hù)端的注冊(cè)指紋；通過(guò)ifaa客戶(hù)端將注冊(cè)指紋和移動(dòng)終端的設(shè)備標(biāo)識(shí)符傳輸至服務(wù)器，以使服務(wù)器綁定保存注冊(cè)指紋和移動(dòng)終端的設(shè)備標(biāo)識(shí)符。

第四方面，本發(fā)明實(shí)施例提供了一種移動(dòng)終端。在一個(gè)可能的設(shè)計(jì)中，該移動(dòng)終端的結(jié)構(gòu)中包括處理器和存儲(chǔ)器，存儲(chǔ)器用于存儲(chǔ)支持處理器執(zhí)行上述方法的程序，處理器被配置為用于執(zhí)行存儲(chǔ)器中存儲(chǔ)的程序。該移動(dòng)終端還可以包括通信接口，用于與其他設(shè)備或通信網(wǎng)絡(luò)通信。

第五方面，本發(fā)明實(shí)施例提供了一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，用于儲(chǔ)存為上述ifaa指紋支付裝置所用的計(jì)算機(jī)軟件指令，其包含用于執(zhí)行上述方面為ifaa指紋支付裝置所設(shè)計(jì)的程序。

與現(xiàn)有技術(shù)相比，本發(fā)明實(shí)施例提供的一種ifaa指紋支付裝置、系統(tǒng)、方法和移動(dòng)終端，該ifaa指紋支付裝置，通過(guò)在tee端和ree端進(jìn)行相關(guān)配置，使指紋應(yīng)用和ifaa應(yīng)用通過(guò)ta底層接口對(duì)接，ifaa客戶(hù)端通過(guò)ifaa系統(tǒng)框架層與ifaa應(yīng)用對(duì)接，且ifaa應(yīng)用還可以通過(guò)ta底層接口訪問(wèn)emmc的rpmb分區(qū)等，進(jìn)而能夠使ifaa客戶(hù)端、ifaa應(yīng)用以及指紋應(yīng)用之間進(jìn)行交互，完成電子支付過(guò)程中的指紋身份驗(yàn)證，以實(shí)現(xiàn)ifaa指紋支付，較好地提升了電子支付的安全性和可靠性，同時(shí)，指紋認(rèn)證身份的方式，操作簡(jiǎn)單易行，增強(qiáng)了用戶(hù)使用移動(dòng)終端的體驗(yàn)度。

為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能更明顯易懂，下文特舉較佳實(shí)施例，并配合所附附圖，作詳細(xì)說(shuō)明如下。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，應(yīng)當(dāng)理解，以下附圖僅示出了本發(fā)明的某些實(shí)施例，因此不應(yīng)被看作是對(duì)范圍的限定，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。

圖1是本發(fā)明實(shí)施例提供的ifaa支付架構(gòu)示意圖。

圖2是本發(fā)明實(shí)施例提供的配置有ta底層接口的ifaa應(yīng)用的數(shù)據(jù)交互示意圖。

圖3是本發(fā)明實(shí)施例提供的ifaa系統(tǒng)框架層的具體結(jié)構(gòu)示意圖。

圖4是本發(fā)明實(shí)施例提供的ifaa指紋支付方法流程圖。

圖5是本發(fā)明實(shí)施例提供移動(dòng)終端的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來(lái)布置和設(shè)計(jì)。因此，以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實(shí)施例?；诒景l(fā)明的實(shí)施例，本領(lǐng)域技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

實(shí)施例一：

為了提升移動(dòng)支付的安全性，由螞蟻金服發(fā)起網(wǎng)絡(luò)可信身份認(rèn)證產(chǎn)業(yè)聯(lián)盟互聯(lián)網(wǎng)金融分會(huì)(ifaa，internetfinanceauthenticationalliance)，基于該分會(huì)對(duì)移動(dòng)支付的構(gòu)想，本發(fā)明實(shí)施例提供了圖1所示的ifaa支付架構(gòu)示意圖，包括：移動(dòng)終端100和服務(wù)端200，其中，本發(fā)明實(shí)施例提供的ifaa指紋支付裝置應(yīng)用于移動(dòng)終端上，圖1的移動(dòng)終端以手機(jī)為例，該裝置劃分為ree端(richexecutionenvironment，富執(zhí)行環(huán)境，也可以稱(chēng)為ree模塊)和tee端(trustedexecutionenvironment,可信執(zhí)行環(huán)境，也可以稱(chēng)為tee模塊)。

ree端：運(yùn)行通用操作系統(tǒng)(例如安卓操作系統(tǒng)等)，在通用操作系統(tǒng)下可以運(yùn)行ifaa客戶(hù)端(ifaaclient)，該ifaa客戶(hù)端既可以包括支付應(yīng)用客戶(hù)端，還可以包括與該支付應(yīng)用客戶(hù)端建立有支付鏈接的應(yīng)用客戶(hù)端，也即，第三方客戶(hù)端(3rdpartclient)。其中，3rdpartclient和ifaaclient之間可通過(guò)clientapis進(jìn)行交互。具體的，支付應(yīng)用客戶(hù)端可以為支付寶客戶(hù)端、微信客戶(hù)端和銀行客戶(hù)端等。以支付寶客戶(hù)端作為支付應(yīng)用客戶(hù)端為例，第三方客戶(hù)端(3rdpartclient)可以是淘寶、美團(tuán)等依靠支付寶付款的第三方軟件。

本實(shí)施例中，ree端的通用操作系統(tǒng)中還設(shè)置有ifaa系統(tǒng)框架層，該ifaa系統(tǒng)框架層與ifaa客戶(hù)端對(duì)接，為上述ifaa客戶(hù)端(如支付寶客戶(hù)端)增加框架層代碼。

tee端：處于安全環(huán)境(trustzone)中，在安全操作系統(tǒng)下運(yùn)行指紋應(yīng)用(指紋tzapp)和ifaa應(yīng)用，ifaa應(yīng)用包括圖1中的ta(trustedapplication，可信應(yīng)用)底層接口、ifaaauthenticator(ifaa身份鑒別)和ta入口。

其中，ta底層接口，用于訪問(wèn)emmc(embeddedmultimediacard,嵌入式多介質(zhì)卡)的rpmb(replayprotectedmemoryblock，重放保護(hù)內(nèi)存塊)，以及還用于與指紋應(yīng)用對(duì)接，以傳輸ifaa應(yīng)用與指紋應(yīng)用間的數(shù)據(jù)；在具體實(shí)現(xiàn)時(shí)，ta底層接口可以采用高通平臺(tái)中的bio(binaryinputoutput，二進(jìn)制輸入輸出)通信方式封裝或解析傳輸?shù)臄?shù)據(jù)。該ta底層接口和上述ifaa系統(tǒng)框架層為廠商需要實(shí)現(xiàn)的主要部分。

ifaaauthenticator，用于通過(guò)ta底層接口與指紋應(yīng)用交互指紋消息、獲取存儲(chǔ)于rpmb的秘鑰，并利用該秘鑰對(duì)消息進(jìn)行加密；還用于通過(guò)ta入口與ifaa客戶(hù)端傳輸數(shù)據(jù)。此外，ifaaauthenticator也包括了實(shí)現(xiàn)ifaata定義的接口，包含測(cè)試ta的額外接口。ifaaauthenticator與ta底層接口之間可采用ifaa_sha256、ifaa_rsasigndigest、ifaa_rsaverifydigest等進(jìn)行交互。

ta入口和ifaa系統(tǒng)框架層用于傳輸ifaa客戶(hù)端與ifaa應(yīng)用間的數(shù)據(jù)。

上述tee端可以提供安全特性功能，并保證在可信環(huán)境下進(jìn)行敏感操作。其中，ree端和tee端邏輯隔離。通常情況下，tee端上運(yùn)行有ta(trustedapplication，可信應(yīng)用)。

此外，上述服務(wù)端配置有ifaa服務(wù)器(ifaaserver)和第三方應(yīng)用服務(wù)器(3rdpartserver)，例如支付寶的服務(wù)端和美團(tuán)等服務(wù)端。其中，移動(dòng)終端通過(guò)https以及ifafprotocol等協(xié)議與服務(wù)端交互。

應(yīng)當(dāng)注意的是，上述移動(dòng)終端還遵從ifaa(internetfinanceauthenticationalliance，互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟)的相關(guān)支付架構(gòu)的規(guī)定，以確保電子支付的安全性。

上述ifaa指紋支付裝置，通過(guò)在tee端和ree端進(jìn)行相關(guān)配置，使指紋應(yīng)用和ifaa應(yīng)用通過(guò)ta底層接口對(duì)接，ifaa客戶(hù)端通過(guò)ifaa系統(tǒng)框架層與ifaa應(yīng)用對(duì)接，且ifaa應(yīng)用還可以通過(guò)ta底層接口訪問(wèn)emmc的rpmb分區(qū)等，進(jìn)而能夠使ifaa客戶(hù)端、ifaa應(yīng)用以及指紋應(yīng)用之間進(jìn)行交互，完成電子支付過(guò)程中的指紋身份驗(yàn)證，以實(shí)現(xiàn)ifaa指紋支付，較好地提升了電子支付的安全性和可靠性，同時(shí)，指紋認(rèn)證身份的方式，操作簡(jiǎn)單易行，增強(qiáng)了用戶(hù)使用移動(dòng)終端的體驗(yàn)度。

為了便于理解，以下對(duì)上述系統(tǒng)中的部分結(jié)構(gòu)進(jìn)行詳細(xì)說(shuō)明。

(一)關(guān)于tee端的ta底層接口：

該ta底層接口即為ifaa應(yīng)用為實(shí)現(xiàn)與指紋應(yīng)用進(jìn)行交互、以及獲取秘鑰等功能所需要配置的接口，具體可參見(jiàn)圖2所示的配置有ta底層接口的ifaa應(yīng)用的數(shù)據(jù)交互示意圖，如圖2所示，該接口能夠從指紋tzapp中獲取最后認(rèn)證成功指紋id、獲取錄入的指紋列表、獲取指紋驗(yàn)證器版本以及兩組指紋列表的比較結(jié)果，并將獲取到的上述數(shù)據(jù)均轉(zhuǎn)發(fā)至ifaa應(yīng)用，還可以從保存有本移動(dòng)終端機(jī)型的秘鑰的rpmb中讀取該秘鑰，并將該秘鑰轉(zhuǎn)發(fā)至ifaa應(yīng)用。此外，該接口還可以讀取設(shè)備標(biāo)識(shí)符(圖2中并未示出)。為便于理解，以下對(duì)該接口的具體作用進(jìn)行詳細(xì)闡述；

1)用于實(shí)現(xiàn)ifaa應(yīng)用和指紋應(yīng)用之間的信息交互。即通過(guò)該ta底層接口，ifaa應(yīng)用可以與指紋應(yīng)用進(jìn)行通信，并獲取指紋應(yīng)用中的信息。具體的，在指紋應(yīng)用上需要實(shí)現(xiàn)bio的服務(wù)端，在ifaa應(yīng)用中需要實(shí)現(xiàn)bio的客戶(hù)端，以實(shí)現(xiàn)通過(guò)bio通信方式封裝或解析數(shù)據(jù)。

2)用于讀取emmc中的rpmb分區(qū)內(nèi)預(yù)先寫(xiě)入的移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰。該秘鑰可以通過(guò)rsa-2048算法實(shí)現(xiàn)。應(yīng)當(dāng)注意的是，在移動(dòng)終端中僅有rpmb分區(qū)存儲(chǔ)有該秘鑰。

3)用于讀取設(shè)備標(biāo)識(shí)符，即對(duì)外提供一個(gè)唯一的設(shè)備id，以使得服務(wù)器通過(guò)該id匹配到移動(dòng)終端。也即，該設(shè)備標(biāo)識(shí)符為ifaa應(yīng)用通過(guò)ta底層接口讀取到，并通過(guò)ta入口和ifaa系統(tǒng)框架層發(fā)送給ifaa客戶(hù)端。以使得ifaa客戶(hù)端與服務(wù)器通信過(guò)程中，以移動(dòng)終端的設(shè)備標(biāo)識(shí)符作為移動(dòng)終端的身份標(biāo)識(shí)碼。具體的，設(shè)備標(biāo)識(shí)符為對(duì)移動(dòng)終端的產(chǎn)品序列號(hào)，進(jìn)行移位和組合操作后得到的至少40個(gè)字符的字符串。

(二)關(guān)于tee端的ta入口：

ta入口是本實(shí)施例中tee端中的ifaa應(yīng)用與ree端中的ca(clientapplication，客戶(hù)應(yīng)用)模塊的接口；又可稱(chēng)為移動(dòng)終端的可信空間內(nèi)的ifaa應(yīng)用與android空間的程序ca之間進(jìn)行通信的接口。該ta入口用于將ca模塊傳輸?shù)臄?shù)據(jù)，按照ifaa應(yīng)用的消息格式進(jìn)行提取，將提取出的數(shù)據(jù)傳遞至ifaa應(yīng)用的lib庫(kù)；并將ifaa應(yīng)用返回的數(shù)據(jù)封裝后，返回給ca模塊。

具體的，相關(guān)技術(shù)已為ifaa應(yīng)用提供的lib庫(kù)中大多采用gptee接口實(shí)現(xiàn)，而基于效率和穩(wěn)定性方面的原因，本實(shí)施例采用qsee接口實(shí)現(xiàn)，即ca模塊和ta入口均采用qsee接口封裝和解析傳輸?shù)臄?shù)據(jù)，以提升信息傳輸效率和穩(wěn)定性。本實(shí)施例的上述ta入口為qsee的接口，具體為實(shí)現(xiàn)表1所示的ta入口中的如下3個(gè)接口。

表1

為了便于理解，在此給出ta入口的工作過(guò)程：ta入口(主要是通過(guò)上表中的第三個(gè)tz_app_cmd_handler接口)將ca模塊傳遞過(guò)來(lái)的消息，按照ifaa應(yīng)用需要的消息格式提取出來(lái)，然后調(diào)用ifaa的相關(guān)函數(shù)(諸如ifaa_talnvokecmd)傳遞至ifaa應(yīng)用的lib庫(kù)中。在消息處理完畢后，ta入口需要將返回消息封裝好，并將封裝好的消息返回到ca模塊，從而較好的實(shí)現(xiàn)ca模塊與ifaa應(yīng)用之間的數(shù)據(jù)交互。

(三)關(guān)于ree端的ifaa系統(tǒng)框架層：

參見(jiàn)圖3所示的一種ifaa系統(tǒng)框架層的具體結(jié)構(gòu)示意圖，位于ree端的ifaa系統(tǒng)框架層具體包括：依次連接的ifaa框架管理模塊(frameworkifaa-manager)、ifaad模塊和ca模塊；

其中，ifaa框架管理模塊與ifaaclient進(jìn)行信息交互，并采用binder機(jī)制與ifaad模塊通信；ca模塊與ifaa應(yīng)用進(jìn)行信息交互，具體為與ifaa應(yīng)用的ta入口連接。其中，ca模塊和ta入口均采用qsee接口封裝和解析傳輸?shù)臄?shù)據(jù)。也即，ree模塊和tee模塊之間的交互是通過(guò)qsee的接口完成。

具體的，該ta入口用于將ca模塊傳輸?shù)臄?shù)據(jù)，按照ifaa應(yīng)用的消息格式進(jìn)行提取，將提取出的數(shù)據(jù)傳遞至ifaa應(yīng)用的lib庫(kù)；并將ifaa應(yīng)用返回的數(shù)據(jù)封裝后，返回給ca模塊。

出于安全的原因，android升級(jí)到androidn之后，限制了第三方應(yīng)用(也即，ifaa客戶(hù)端)直接使用系統(tǒng)庫(kù)。因此ifaa2.0中定義的processcmd的native方法，將無(wú)法使用jni方式，調(diào)用ca庫(kù)中的方法。為了應(yīng)對(duì)這個(gè)限制，最新的ifaa方案中，擴(kuò)展了ifaamanagerv2類(lèi)，該類(lèi)繼承自ifaamanager類(lèi)，里面需要實(shí)現(xiàn):

publicabstractbyte[]processcmdv2(contextcontext,byte[]param)；

上述方法和native的processcmd方法參數(shù)一樣，但是需要oem廠商自己在java層實(shí)現(xiàn)。而本實(shí)施例則進(jìn)一步提供了ifaad模塊，該ifaad模塊配置有通用操作系統(tǒng)的本地服務(wù)接口，以使ifaa客戶(hù)端通過(guò)ifaad模塊訪問(wèn)通用操作系統(tǒng)的本地系統(tǒng)庫(kù)。

上述ifaad模塊具體為移動(dòng)終端的安卓系統(tǒng)中所添加的一個(gè)常駐系統(tǒng)的本地服務(wù)，該服務(wù)能夠接收ifaa框架管理模塊的請(qǐng)求，并將該請(qǐng)求轉(zhuǎn)發(fā)至ifaa應(yīng)用，在ifaa應(yīng)用將該請(qǐng)求處理完畢并生成結(jié)果后，接收該結(jié)果，并將結(jié)果反饋至ifaa框架管理模塊。

ifaa框架管理模塊采用binder機(jī)制與ifaad模塊進(jìn)行通信的方式，不僅可以規(guī)避第三方應(yīng)用不能在androidn上面調(diào)用本地系統(tǒng)庫(kù)的問(wèn)題；而且還可以讀取ifaa需要的model類(lèi)型，以保證之后移植到其它機(jī)型時(shí)，只需修改model類(lèi)型的系統(tǒng)屬性，而不需要修改代碼。

基于上述(一)至(三)的配置，ree端的ifaa客戶(hù)端主要用于接收用戶(hù)的支付請(qǐng)求，并將支付請(qǐng)求轉(zhuǎn)發(fā)給tee端，還用于接收來(lái)自tee端的認(rèn)證消息，將該認(rèn)證消息轉(zhuǎn)發(fā)給ifaa客戶(hù)端的服務(wù)器進(jìn)行校驗(yàn)；以及當(dāng)接收到服務(wù)器返回的校驗(yàn)通過(guò)指示時(shí)，與服務(wù)器進(jìn)行支付操作，其中，該服務(wù)器預(yù)先存儲(chǔ)有移動(dòng)終端機(jī)型對(duì)應(yīng)的公鑰，以及移動(dòng)終端注冊(cè)ifaa客戶(hù)端時(shí)發(fā)送的注冊(cè)指紋。

tee端的ifaa應(yīng)用主要實(shí)現(xiàn)消息的簽名、加解密、文件的讀寫(xiě)以及與指紋應(yīng)用的交互，例如獲取最后一次認(rèn)證成功的指紋的id等。相關(guān)技術(shù)中已為ifaa應(yīng)用提供了一個(gè)lib庫(kù)，可通過(guò)該lib庫(kù)實(shí)現(xiàn)消息簽名、讀寫(xiě)文件等功能。為了讓ifaa應(yīng)用與指紋應(yīng)用進(jìn)行交互，本實(shí)施例專(zhuān)為ifaa應(yīng)用配置有上述ta底層接口，使得ifaa應(yīng)用在接收來(lái)自ree端的支付請(qǐng)求時(shí)，將支付請(qǐng)求通過(guò)ta底層接口發(fā)送給指紋應(yīng)用，以觸發(fā)指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)用戶(hù)指紋進(jìn)行認(rèn)證，得到認(rèn)證結(jié)果；ifaa應(yīng)用還用于通過(guò)ta底層接口讀取rpmb分區(qū)內(nèi)預(yù)存的移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰，使用秘鑰對(duì)該認(rèn)證結(jié)果和用戶(hù)指紋加密，通過(guò)ta入口向ree模塊返回認(rèn)證消息，其中，認(rèn)證消息攜帶有加密后的認(rèn)證結(jié)果和用戶(hù)指紋。

tee端的指紋應(yīng)用主要用于在ifaa應(yīng)用的觸發(fā)下獲取用戶(hù)指紋，并將獲取到的最后認(rèn)證成功指紋id、錄入的指紋列表、指紋驗(yàn)證器版本、兩組指紋列表的比較結(jié)果等信息發(fā)送給ifaa應(yīng)用。該指紋應(yīng)用可以通過(guò)ta底層接口與ifaa應(yīng)用通信。

進(jìn)一步，為了增強(qiáng)ifaa指紋支付的安全性，需要ifaa應(yīng)用利用秘鑰對(duì)用戶(hù)指紋以及認(rèn)證結(jié)果進(jìn)行加密。為了便于理解，在此首先介紹秘鑰寫(xiě)入的相關(guān)背景：通常情況下，需要將ifaa應(yīng)用對(duì)消息進(jìn)行加密的秘鑰寫(xiě)入到emmc的rpmb分區(qū)。即先要給rpmb分區(qū)寫(xiě)入一個(gè)32byte的秘鑰，該秘鑰可以由hmacsha256算法生成，且該秘鑰是每部移動(dòng)終端唯一的。常用的高通平臺(tái)有一套機(jī)制，在手機(jī)熔絲時(shí)就會(huì)生成該秘鑰，并寫(xiě)入到emmc的秘鑰寄存器。熔絲是在第一個(gè)工位，也即燒寫(xiě)貼片軟件的時(shí)候完成的，在這種情況下，手機(jī)只要升級(jí)了軟件，rpmb就是可以正常訪問(wèn)的，因此可以在除升級(jí)工位的其余任何工位完成ifaa秘鑰的寫(xiě)入。

基于以上背景，本實(shí)施例中給出了一種優(yōu)選的rpmb分區(qū)內(nèi)秘鑰的預(yù)存過(guò)程，具體可參照如下步驟所示：

1)將寫(xiě)有秘鑰的原始文件集成到移動(dòng)終端的userdata分區(qū)；

2)在fastmii工位，從userdata分區(qū)的原始文件中提取秘鑰，將秘鑰寫(xiě)入emmc的rpmb分區(qū)內(nèi)；

3)在移動(dòng)終端測(cè)試過(guò)程，恢復(fù)出廠設(shè)置，以刪除userdata分區(qū)的原始文件。

其中，上述rpmb分區(qū)的秘鑰包含有寫(xiě)入成功標(biāo)識(shí)，用以在移動(dòng)終端的工廠模式中，檢查rpmb分區(qū)的秘鑰是否寫(xiě)入成功。

在此給出執(zhí)行上述步驟的具體實(shí)現(xiàn)方式：將秘鑰先以文件的形式集成到移動(dòng)終端版本的userdata分區(qū)中，移動(dòng)終端的fastmii模式提供了秘鑰寫(xiě)入的命令，該命令通過(guò)讀取userdata的秘鑰文件，在將該秘鑰寫(xiě)入到rpmb中，此操作是在fqcmii工位完成的。寫(xiě)入秘鑰時(shí)，我們可以在秘鑰后追加一個(gè)magicnum(魔數(shù))，一遍通過(guò)讀取該magicnum來(lái)判斷秘鑰是否寫(xiě)入成功。在執(zhí)行完秘鑰寫(xiě)入操作后，且對(duì)移動(dòng)終端進(jìn)行恢復(fù)出廠設(shè)置的操作后，會(huì)刪除userdata(用戶(hù)數(shù)據(jù))分區(qū)的秘鑰文件，不使該文件外流，從而進(jìn)一步確保了秘鑰的安全性。最后，在移動(dòng)終端的工程模式中，可以再集成一個(gè)檢查秘鑰是否寫(xiě)入成功的標(biāo)志位檢查工位。以上步驟可以保證秘鑰快速、安全的寫(xiě)入到移動(dòng)終端。

與相關(guān)技術(shù)相比，本實(shí)施例提供的ifaa指紋支付裝置的獨(dú)特之處在于：

1)在tee端運(yùn)行的指紋應(yīng)用和ifaa應(yīng)用采用bio通信方式交互信息；

2)采用qsee接口替換相關(guān)技術(shù)中常用的gptee接口來(lái)實(shí)現(xiàn)ree端與tee端之間的通信，以提高數(shù)據(jù)交互的效率和穩(wěn)定性；

3)專(zhuān)門(mén)為ree端添加了ifaad模塊，該ifaad模塊配置有通用操作系統(tǒng)的本地服務(wù)接口，以使ifaa客戶(hù)端通過(guò)ifaad模塊訪問(wèn)通用操作系統(tǒng)的本地系統(tǒng)庫(kù)，從而較好解決了androidn上的第三方應(yīng)用不能訪問(wèn)本地系統(tǒng)庫(kù)的問(wèn)題。

4)對(duì)ifaa應(yīng)用所需的通信秘鑰的寫(xiě)入進(jìn)行了改進(jìn)，通過(guò)將秘鑰的原始文件集成到userdata分區(qū)，且在fastmii工位將該秘鑰寫(xiě)入到rpmb，并在后續(xù)測(cè)試中恢復(fù)出廠設(shè)置以清空該秘鑰，從而確保該秘鑰不會(huì)外泄，提高了秘鑰存儲(chǔ)的安全性。

5)在移動(dòng)終端的工廠模式提供接口，以便查詢(xún)秘鑰是否成功寫(xiě)入。

6)為指紋支付提供了移動(dòng)終端唯一的設(shè)備標(biāo)識(shí)符，以將該設(shè)備標(biāo)識(shí)符作為移動(dòng)終端的身份標(biāo)識(shí)碼。設(shè)備標(biāo)識(shí)符的生成方式為：采用產(chǎn)品序列號(hào)經(jīng)過(guò)移位運(yùn)算操作組合成ifaa要求的至少40個(gè)字符。

綜上所述，本實(shí)施例提供的ifaa指紋支付裝置，能夠使ifaa客戶(hù)端、ifaa應(yīng)用以及指紋應(yīng)用之間進(jìn)行交互，完成電子支付過(guò)程中的指紋身份驗(yàn)證，以實(shí)現(xiàn)ifaa指紋支付，較好地提升了電子支付的安全性和可靠性，同時(shí)，指紋認(rèn)證身份的方式，操作簡(jiǎn)單易行，增強(qiáng)了用戶(hù)使用移動(dòng)終端的體驗(yàn)度。

實(shí)施例二：

為了便于理解上述ifaa指紋支付裝置的使用過(guò)程，參見(jiàn)圖4所示的一種ifaa指紋支付方法流程圖，其中，該方法應(yīng)用于包括該裝置的移動(dòng)終端，主要利用上述ifaa指紋支付裝置實(shí)現(xiàn)如下步驟：

步驟s402，當(dāng)ifaa客戶(hù)端接收到用戶(hù)的支付請(qǐng)求時(shí)，將該支付請(qǐng)求轉(zhuǎn)發(fā)給ifaa應(yīng)用，以使ifaa應(yīng)用觸發(fā)指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)該用戶(hù)指紋進(jìn)行認(rèn)證，得到認(rèn)證結(jié)果；

步驟s404，通過(guò)ifaa應(yīng)用讀取rpmb分區(qū)內(nèi)預(yù)存的移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰，使用該秘鑰對(duì)認(rèn)證結(jié)果和用戶(hù)指紋加密，生成攜帶有加密后的認(rèn)證結(jié)果和用戶(hù)指紋的認(rèn)證消息；

步驟s406，通過(guò)ifaa客戶(hù)端將上述認(rèn)證消息發(fā)送至ifaa客戶(hù)端的服務(wù)器，以使該服務(wù)器對(duì)用戶(hù)指紋進(jìn)行校驗(yàn)，并返回校驗(yàn)結(jié)果；

步驟s408，當(dāng)接收到該服務(wù)器返回校驗(yàn)通過(guò)指示時(shí)，觸發(fā)ifaa客戶(hù)端與該服務(wù)器進(jìn)行支付操作。

上述ifaa指紋支付方法能夠較好的實(shí)現(xiàn)ifaa客戶(hù)端、ifaa應(yīng)用以及指紋應(yīng)用之間的交互，以獲得攜帶有加密后的認(rèn)證結(jié)果和用戶(hù)指紋的認(rèn)證消息，再通過(guò)ifaa客戶(hù)端與服務(wù)器進(jìn)行交互，以獲得服務(wù)器對(duì)指紋的校驗(yàn)結(jié)果，在校驗(yàn)通過(guò)時(shí)觸發(fā)ifaa客戶(hù)端與服務(wù)器進(jìn)行支付操作，從而較好的提高了使用移動(dòng)終端進(jìn)行電子支付的安全性。

進(jìn)一步，上述方法還包括：

當(dāng)注冊(cè)ifaa客戶(hù)端時(shí)，讀取移動(dòng)終端的解鎖指紋，將解鎖指紋作為ifaa客戶(hù)端的注冊(cè)指紋；

通過(guò)ifaa客戶(hù)端將注冊(cè)指紋和移動(dòng)終端的設(shè)備標(biāo)識(shí)符傳輸至服務(wù)器，以使服務(wù)器綁定保存注冊(cè)指紋和移動(dòng)終端的設(shè)備標(biāo)識(shí)符。

通過(guò)上述方式，便于在ifaa指紋支付過(guò)程中，移動(dòng)終端與服務(wù)器協(xié)同根據(jù)注冊(cè)指紋驗(yàn)證指紋的合法性。

在具體實(shí)現(xiàn)時(shí)，移動(dòng)終端與服務(wù)器通信過(guò)程中，以移動(dòng)終端的設(shè)備標(biāo)識(shí)符作為移動(dòng)終端的身份標(biāo)識(shí)碼，從而確定移動(dòng)終端的身份。其中，該設(shè)備標(biāo)識(shí)符為對(duì)移動(dòng)終端的產(chǎn)品序列號(hào)，進(jìn)行移位和組合操作后得到的至少40個(gè)字符的字符串。其中，ifaa客戶(hù)端可以通過(guò)ifaa應(yīng)用讀取設(shè)備標(biāo)識(shí)符。

本實(shí)施例給出了一種觸發(fā)指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)用戶(hù)指紋進(jìn)行認(rèn)證的具體實(shí)現(xiàn)方式，可參照如下步驟：

1)顯示指紋應(yīng)用的指紋采集界面，以使指紋應(yīng)用接收到用戶(hù)指紋；

2)通過(guò)指紋應(yīng)用讀取ifaa客戶(hù)端的注冊(cè)指紋，并使用注冊(cè)指紋對(duì)用戶(hù)指紋進(jìn)行認(rèn)證。

通過(guò)上述方式，能夠簡(jiǎn)單便捷的采集用戶(hù)指紋，并通過(guò)注冊(cè)指紋對(duì)采集到的用戶(hù)指紋進(jìn)行認(rèn)證，以便確定該用戶(hù)指紋是否合法，相比于數(shù)字密碼驗(yàn)證支付者身份的方式，采用指紋驗(yàn)證的方式更加安全可靠。

在實(shí)際應(yīng)用中，支付請(qǐng)求的來(lái)源通常為以下兩種：

一種為用戶(hù)操作支付應(yīng)用客戶(hù)端觸發(fā)；另一種為支付請(qǐng)求為用戶(hù)操作與支付應(yīng)用客戶(hù)端建立有支付鏈接的應(yīng)用客戶(hù)端觸發(fā)。

其中，ifaa客戶(hù)端可以包括：支付寶客戶(hù)端、微信客戶(hù)端和銀行客戶(hù)端。以支付應(yīng)用客戶(hù)端是支付寶為例進(jìn)行說(shuō)明，可以由用戶(hù)通過(guò)支付寶直接發(fā)起支付請(qǐng)求，也可以由借助支付寶的支付功能的第三方應(yīng)用(諸如美團(tuán)、餓了么等)通過(guò)支付寶發(fā)起支付請(qǐng)求。

本實(shí)施例所提供的方法，其實(shí)現(xiàn)原理及產(chǎn)生的技術(shù)效果和前述實(shí)施例相同，為簡(jiǎn)要描述，方法實(shí)施例部分未提及之處，諸如秘鑰的預(yù)存過(guò)程等，可參考前述裝置實(shí)施例中相應(yīng)內(nèi)容。

本發(fā)明實(shí)施例還提供了一種ifaa指紋支付系統(tǒng)，其結(jié)構(gòu)可參見(jiàn)圖1，包括移動(dòng)終端和服務(wù)器；其中，該移動(dòng)終端包括上述ifaa指紋支付裝置，在服務(wù)器中預(yù)先存儲(chǔ)有移動(dòng)終端機(jī)型對(duì)應(yīng)的公鑰，以及移動(dòng)終端發(fā)送的注冊(cè)指紋；該服務(wù)器用于使用公鑰對(duì)認(rèn)證消息進(jìn)行解密，比對(duì)認(rèn)證消息中的用戶(hù)指紋與注冊(cè)指紋是否一致，如果一致，向移動(dòng)終端返回校驗(yàn)通過(guò)的指示，以及與ifaa客戶(hù)端進(jìn)行支付操作。

綜上所述，本實(shí)施例提供的一種ifaa指紋支付裝置、系統(tǒng)、方法和移動(dòng)終端，首先由ifaa指紋支付裝置中的ifaa客戶(hù)端接收支付請(qǐng)求，通過(guò)ifaa應(yīng)用轉(zhuǎn)發(fā)該支付請(qǐng)求至指紋應(yīng)用，由指紋應(yīng)用獲取用戶(hù)指紋并驗(yàn)證，得到認(rèn)證結(jié)果。進(jìn)一步，為了確保認(rèn)證結(jié)果的準(zhǔn)確性和安全性，還會(huì)由ifaa應(yīng)用對(duì)認(rèn)證結(jié)果和用戶(hù)指紋進(jìn)行加密，并先后通過(guò)ta入口、ifaa系統(tǒng)框架層將攜帶有加密后的認(rèn)證結(jié)果和用戶(hù)指紋的認(rèn)證消息發(fā)送至ifaa客戶(hù)端。為了進(jìn)一步提高電子支付的安全性，還會(huì)由ifaa客戶(hù)端的服務(wù)器對(duì)認(rèn)證消息進(jìn)行校驗(yàn)，在校驗(yàn)通過(guò)時(shí)，ifaa客戶(hù)端與服務(wù)器進(jìn)行支付操作。通過(guò)本實(shí)施例提供的ifaa指紋支付裝置，能夠較好地提升電子支付的安全性和可靠性。同時(shí)，指紋認(rèn)證身份的方式，操作簡(jiǎn)單易行，增強(qiáng)了用戶(hù)使用移動(dòng)終端的體驗(yàn)度。

本發(fā)明實(shí)施例還提供了一種移動(dòng)終端，一個(gè)可能的設(shè)計(jì)中，該移動(dòng)終端的結(jié)構(gòu)中包括處理器和存儲(chǔ)器，存儲(chǔ)器用于存儲(chǔ)支持處理器執(zhí)行上述方法的程序，處理器被配置為用于執(zhí)行存儲(chǔ)器中存儲(chǔ)的程序。該移動(dòng)終端還可以包括通信接口，用于與其他設(shè)備或通信網(wǎng)絡(luò)通信。該移動(dòng)終端可以為包括手機(jī)、平板電腦、pda(personaldigitalassistant，個(gè)人數(shù)字助理)、車(chē)載電腦等任意終端設(shè)備。如圖5所示的本發(fā)明實(shí)施例提供的移動(dòng)終端的結(jié)構(gòu)框圖。參考圖5，該移動(dòng)終端包括：射頻(radiofrequency，rf)電路1510、存儲(chǔ)器1520、輸入單元1530、顯示單元1540、傳感器1550、音頻電路1560、無(wú)線保真(wirelessfidelity，wifi)模塊1570、處理器1580、以及電源1590等部件。本領(lǐng)域技術(shù)人員可以理解，圖5中示出的移動(dòng)終端結(jié)構(gòu)并不構(gòu)成對(duì)移動(dòng)終端的限定，可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。下面結(jié)合圖5對(duì)本實(shí)施例的移動(dòng)終端的各個(gè)構(gòu)成部件進(jìn)行具體的介紹：

rf電路1510可用于收發(fā)信息過(guò)程中，信號(hào)的接收和發(fā)送，特別地，將基站的下行信息接收后，給處理器1580處理；另外，將設(shè)計(jì)上行的數(shù)據(jù)發(fā)送給基站。通常，rf電路1510包括但不限于天線、至少一個(gè)放大器、收發(fā)信機(jī)、耦合器、低噪聲放大器(lownoiseamplifier，lna)、雙工器等。此外，rf電路1510還可以通過(guò)無(wú)線通信與網(wǎng)絡(luò)和其他設(shè)備通信。上述無(wú)線通信可以使用任一通信標(biāo)準(zhǔn)或協(xié)議，包括但不限于全球移動(dòng)通訊系統(tǒng)(globalsystemofmobilecommunication，gsm)、通用分組無(wú)線服務(wù)(generalpacketradioservice，gprs)、碼分多址(codedivisionmultipleaccess，cdma)、寬帶碼分多址(widebandcodedivisionmultipleaccess,wcdma)、長(zhǎng)期演進(jìn)(longtermevolution，lte)、電子郵件、短消息服務(wù)(shortmessagingservice，sms)等。

存儲(chǔ)器1520可用于存儲(chǔ)軟件程序以及模塊，處理器1580通過(guò)運(yùn)行存儲(chǔ)在存儲(chǔ)器1520的軟件程序以及模塊，從而執(zhí)行手機(jī)的各種功能應(yīng)用以及數(shù)據(jù)處理。存儲(chǔ)器1520可主要包括存儲(chǔ)程序區(qū)和存儲(chǔ)數(shù)據(jù)區(qū)，其中，存儲(chǔ)程序區(qū)可存儲(chǔ)操作系統(tǒng)、至少一個(gè)功能所需的應(yīng)用程序(比如聲音播放功能、圖像播放功能等)等；存儲(chǔ)數(shù)據(jù)區(qū)可存儲(chǔ)根據(jù)手機(jī)的使用所創(chuàng)建的數(shù)據(jù)(比如音頻數(shù)據(jù)、電話本等)等。此外，存儲(chǔ)器1520可以包括高速隨機(jī)存取存儲(chǔ)器，還可以包括非易失性存儲(chǔ)器，例如至少一個(gè)磁盤(pán)存儲(chǔ)器件、閃存器件、或其他易失性固態(tài)存儲(chǔ)器件。

輸入單元1530可用于接收輸入的數(shù)字或字符信息，以及產(chǎn)生與移動(dòng)終端的用戶(hù)設(shè)置以及功能控制有關(guān)的鍵信號(hào)輸入。具體地，輸入單元1530可包括觸控面板1531以及其他輸入設(shè)備1532。觸控面板1531，也稱(chēng)為觸摸屏，可收集用戶(hù)在其上或附近的觸摸操作(比如用戶(hù)使用手指、觸筆等任何適合的物體或附件在觸控面板1531上或在觸控面板1531附近的操作)，并根據(jù)預(yù)先設(shè)定的程式驅(qū)動(dòng)相應(yīng)的連接裝置。可選的，觸控面板1531可包括觸摸檢測(cè)裝置和觸摸控制器兩個(gè)部分。其中，觸摸檢測(cè)裝置檢測(cè)用戶(hù)的觸摸方位，并檢測(cè)觸摸操作帶來(lái)的信號(hào)，將信號(hào)傳送給觸摸控制器；觸摸控制器從觸摸檢測(cè)裝置上接收觸摸信息，并將它轉(zhuǎn)換成觸點(diǎn)坐標(biāo)，再送給處理器1580，并能接收處理器1580發(fā)來(lái)的命令并加以執(zhí)行。此外，可以采用電阻式、電容式、紅外線以及表面聲波等多種類(lèi)型實(shí)現(xiàn)觸控面板1531。除了觸控面板1531，輸入單元1530還可以包括其他輸入設(shè)備1532。具體地，其他輸入設(shè)備1532可以包括但不限于物理鍵盤(pán)、功能鍵(比如音量控制按鍵、開(kāi)關(guān)按鍵等)、軌跡球、鼠標(biāo)、操作桿等中的一種或多種。

顯示單元1540可用于顯示由用戶(hù)輸入的信息或提供給用戶(hù)的信息以及手機(jī)的各種菜單。顯示單元1540可包括顯示面板1541，可選的，可以采用液晶顯示器(liquidcrystaldisplay，lcd)、有機(jī)發(fā)光二極管(organiclight-emittingdiode,oled)等形式來(lái)配置顯示面板1541。進(jìn)一步的，觸控面板1531可覆蓋顯示面板1541，當(dāng)觸控面板1531檢測(cè)到在其上或附近的觸摸操作后，傳送給處理器1580以確定觸摸事件的類(lèi)型，隨后處理器1580根據(jù)觸摸事件的類(lèi)型在顯示面板1541上提供相應(yīng)的視覺(jué)輸出。雖然在圖5中，觸控面板1531與顯示面板1541是作為兩個(gè)獨(dú)立的部件來(lái)實(shí)現(xiàn)手機(jī)的輸入和輸入功能，但是在某些實(shí)施例中，可以將觸控面板1531與顯示面板1541集成而實(shí)現(xiàn)手機(jī)的輸入和輸出功能。

移動(dòng)終端還可包括至少一種傳感器1550，比如光傳感器、運(yùn)動(dòng)傳感器以及其他傳感器。具體地，光傳感器可包括環(huán)境光傳感器及接近傳感器，其中，環(huán)境光傳感器可根據(jù)環(huán)境光線的明暗來(lái)調(diào)節(jié)顯示面板1541的亮度。音頻電路1560、揚(yáng)聲器1561，傳聲器1562可提供用戶(hù)與移動(dòng)終端之間的音頻接口。音頻電路1560可將接收到的音頻數(shù)據(jù)轉(zhuǎn)換后的電信號(hào)，傳輸?shù)綋P(yáng)聲器1561，由揚(yáng)聲器1561轉(zhuǎn)換為聲音信號(hào)輸出；另一方面，傳聲器1562將收集的聲音信號(hào)轉(zhuǎn)換為電信號(hào)，由音頻電路1560接收后轉(zhuǎn)換為音頻數(shù)據(jù)，再將音頻數(shù)據(jù)輸出處理器1580處理后，經(jīng)rf電路1510以發(fā)送給比如另一手機(jī)，或者將音頻數(shù)據(jù)輸出至存儲(chǔ)器1520以便進(jìn)一步處理。

wifi屬于短距離無(wú)線傳輸技術(shù)，移動(dòng)終端通過(guò)wifi模塊1570可以為用戶(hù)提供了無(wú)線的寬帶互聯(lián)網(wǎng)訪問(wèn)。雖然圖5示出了wifi模塊1570，但是可以理解的是，其并不屬于移動(dòng)終端的必須構(gòu)成，完全可以根據(jù)需要在不改變發(fā)明的本質(zhì)的范圍內(nèi)而省略。

處理器1580是移動(dòng)終端的控制中心，利用各種接口和線路連接整個(gè)手機(jī)的各個(gè)部分，通過(guò)運(yùn)行或執(zhí)行存儲(chǔ)在存儲(chǔ)器1520內(nèi)的軟件程序和/或模塊，以及調(diào)用存儲(chǔ)在存儲(chǔ)器1520內(nèi)的數(shù)據(jù)，執(zhí)行移動(dòng)終端的各種功能和處理數(shù)據(jù)，從而對(duì)移動(dòng)終端進(jìn)行整體監(jiān)控。可選的，處理器1580可包括一個(gè)或多個(gè)處理單元；優(yōu)選的，處理器1580可集成應(yīng)用處理器，應(yīng)用處理器主要處理操作系統(tǒng)、用戶(hù)界面和應(yīng)用程序等。處理器1580可以集成調(diào)制解調(diào)處理器，調(diào)制解調(diào)處理器也可以不集成到處理器1580中。

移動(dòng)終端還包括給各個(gè)部件供電的電源1590(比如電池)，優(yōu)選的，電源可以通過(guò)電源管理系統(tǒng)與處理器1580邏輯相連，從而通過(guò)電源管理系統(tǒng)實(shí)現(xiàn)管理充電、放電、以及功耗管理等功能。盡管未示出，移動(dòng)終端還可以包括攝像頭、藍(lán)牙模塊等，在此不再贅述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的裝置和方法，也可以通過(guò)其它的方式實(shí)現(xiàn)。以上所描述的裝置實(shí)施例僅僅是示意性的，例如，附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個(gè)實(shí)施例的裝置、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作。在這點(diǎn)上，流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意，在有些作為替換的實(shí)現(xiàn)方式中，方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生。例如，兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行，它們有時(shí)也可以按相反的順序執(zhí)行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個(gè)方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或動(dòng)作的專(zhuān)用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn)，或者可以用專(zhuān)用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能模塊或單元可以集成在一起形成一個(gè)獨(dú)立的部分，也可以是各個(gè)模塊單獨(dú)存在，也可以?xún)蓚€(gè)或兩個(gè)以上模塊集成形成一個(gè)獨(dú)立的部分。

所述功能如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤(pán)、移動(dòng)硬盤(pán)、只讀存儲(chǔ)器(rom，read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram，randomaccessmemory)、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類(lèi)似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。

本發(fā)明實(shí)施例還揭示了：

a1.一種ifaa指紋支付裝置，應(yīng)用于移動(dòng)終端，包括：

tee模塊，用于在安全操作系統(tǒng)下運(yùn)行指紋應(yīng)用和ifaa應(yīng)用；

ree模塊，用于在通用操作系統(tǒng)下運(yùn)行ifaa客戶(hù)端，所述ifaa客戶(hù)端包括：支付應(yīng)用客戶(hù)端，或者與所述支付應(yīng)用客戶(hù)端建立有支付鏈接的應(yīng)用客戶(hù)端；

其中，所述ifaa應(yīng)用配置有ta底層接口，用于訪問(wèn)emmc的rpmb分區(qū)，以及還用于與所述指紋應(yīng)用對(duì)接，以傳輸所述ifaa應(yīng)用與所述指紋應(yīng)用間的數(shù)據(jù)；

所述ree模塊配置有ifaa系統(tǒng)框架層，所述ifaa系統(tǒng)框架層與所述ifaa客戶(hù)端對(duì)接；

所述ifaa應(yīng)用還配置有與所述ifaa系統(tǒng)框架層對(duì)接的ta入口，所述ta入口和所述ifaa系統(tǒng)框架層用于傳輸所述ifaa客戶(hù)端與所述ifaa應(yīng)用間的數(shù)據(jù)。

a2.根據(jù)a1所述的裝置，所述ifaa系統(tǒng)框架層包括：依次連接的ifaa框架管理模塊、ifaad模塊和ca模塊；

所述ifaa框架管理模塊與所述ifaa客戶(hù)端連接，并采用binder機(jī)制與所述ifaad模塊通信；

所述ca模塊與所述ifaa應(yīng)用的ta入口連接，所述ca模塊和所述ta入口均采用qsee接口封裝和解析傳輸?shù)臄?shù)據(jù)。

a3.根據(jù)a2所述的裝置，所述ifaad模塊配置有所述通用操作系統(tǒng)的本地服務(wù)接口，以使所述ifaa客戶(hù)端通過(guò)所述ifaad模塊訪問(wèn)所述通用操作系統(tǒng)的本地系統(tǒng)庫(kù)。

a4.根據(jù)a2所述的裝置，所述ta入口用于將所述ca模塊傳輸?shù)臄?shù)據(jù)，按照所述ifaa應(yīng)用的消息格式進(jìn)行提取，將提取出的數(shù)據(jù)傳遞至所述ifaa應(yīng)用的lib庫(kù)；并將所述ifaa應(yīng)用返回的數(shù)據(jù)封裝后，返回給所述ca模塊。

a5.根據(jù)a1所述的裝置，所述ta底層接口采用高通平臺(tái)中的bio通信方式封裝或解析傳輸?shù)臄?shù)據(jù)。

a6.根據(jù)a1所述的裝置，所述ifaa應(yīng)用用于接收來(lái)自所述ree模塊的支付請(qǐng)求，以及將所述支付請(qǐng)求通過(guò)所述ta底層接口發(fā)送給所述指紋應(yīng)用，以觸發(fā)所述指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)所述用戶(hù)指紋進(jìn)行認(rèn)證，得到認(rèn)證結(jié)果；

所述ifaa應(yīng)用還用于通過(guò)所述ta底層接口讀取所述rpmb分區(qū)內(nèi)預(yù)存的所述移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰，使用所述秘鑰對(duì)所述認(rèn)證結(jié)果和所述用戶(hù)指紋加密，通過(guò)所述ta入口向所述ree模塊返回認(rèn)證消息，其中，所述認(rèn)證消息攜帶有加密后的所述認(rèn)證結(jié)果和所述用戶(hù)指紋。

a7.根據(jù)a6所述的裝置，所述ifaa客戶(hù)端用于接收用戶(hù)的支付請(qǐng)求，并將所述支付請(qǐng)求轉(zhuǎn)發(fā)給所述tee模塊；

所述ifaa客戶(hù)端還用于通過(guò)所述ifaa系統(tǒng)框架層接收所述認(rèn)證消息，將所述認(rèn)證消息轉(zhuǎn)發(fā)給所述ifaa客戶(hù)端的服務(wù)器進(jìn)行校驗(yàn)；以及當(dāng)接收到所述服務(wù)器返回的校驗(yàn)通過(guò)指示時(shí)，與所述服務(wù)器進(jìn)行支付操作，其中，所述服務(wù)器預(yù)先存儲(chǔ)有所述移動(dòng)終端機(jī)型對(duì)應(yīng)的公鑰，以及所述移動(dòng)終端注冊(cè)所述ifaa客戶(hù)端時(shí)發(fā)送的注冊(cè)指紋。

a8.根據(jù)a7所述的裝置，所述ifaa客戶(hù)端與所述服務(wù)器通信過(guò)程中，以所述移動(dòng)終端的設(shè)備標(biāo)識(shí)符作為所述移動(dòng)終端的身份標(biāo)識(shí)碼。

a9.根據(jù)a8所述的裝置，所述設(shè)備標(biāo)識(shí)符為對(duì)所述移動(dòng)終端的產(chǎn)品序列號(hào)，進(jìn)行移位和組合操作后得到的至少40個(gè)字符的字符串。

a10.根據(jù)a8所述的裝置，所述設(shè)備標(biāo)識(shí)符為所述ifaa應(yīng)用通過(guò)所述ta底層接口讀取到，并通過(guò)所述ta入口和所述ifaa系統(tǒng)框架層發(fā)送給所述ifaa客戶(hù)端。

a11.根據(jù)a6所述的裝置，所述rpmb分區(qū)內(nèi)的所述秘鑰的預(yù)存過(guò)程包括：

將寫(xiě)有秘鑰的原始文件集成到所述移動(dòng)終端的userdata分區(qū)；

在fastmii工位，從所述userdata分區(qū)的所述原始文件中提取所述秘鑰，將所述秘鑰寫(xiě)入所述emmc的rpmb分區(qū)內(nèi)；

在所述移動(dòng)終端測(cè)試過(guò)程，恢復(fù)出廠設(shè)置，以刪除所述userdata分區(qū)的所述原始文件。

a12.根據(jù)a11所述的裝置，所述rpmb分區(qū)的秘鑰包含有寫(xiě)入成功標(biāo)識(shí)，用以在所述移動(dòng)終端的工廠模式中，檢查所述rpmb分區(qū)的秘鑰是否寫(xiě)入成功。

a13.根據(jù)a1-a12任一項(xiàng)所述的裝置，所述支付應(yīng)用客戶(hù)端包括：支付寶客戶(hù)端、微信客戶(hù)端和銀行客戶(hù)端。

b14.一種ifaa指紋支付系統(tǒng)，包括：移動(dòng)終端和服務(wù)器；所述移動(dòng)終端包括a1-a13任一項(xiàng)所述的裝置；

所述服務(wù)器預(yù)先存儲(chǔ)有所述移動(dòng)終端機(jī)型對(duì)應(yīng)的公鑰，以及所述移動(dòng)終端發(fā)送的注冊(cè)指紋；

所述服務(wù)器用于使用所述公鑰對(duì)所述認(rèn)證消息進(jìn)行解密，比對(duì)所述認(rèn)證消息中的用戶(hù)指紋與所述注冊(cè)指紋是否一致，如果一致，向所述移動(dòng)終端返回校驗(yàn)通過(guò)的指示，以及與所述ifaa客戶(hù)端進(jìn)行支付操作。

b15.一種ifaa指紋支付方法，應(yīng)用于移動(dòng)終端，所述移動(dòng)終端包括a1-a13任一項(xiàng)所述的裝置；所述方法包括：

當(dāng)所述ifaa客戶(hù)端接收到用戶(hù)的支付請(qǐng)求時(shí)，將所述支付請(qǐng)求轉(zhuǎn)發(fā)給所述ifaa應(yīng)用，以使所述ifaa應(yīng)用觸發(fā)所述指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)所述用戶(hù)指紋進(jìn)行認(rèn)證，得到認(rèn)證結(jié)果；

通過(guò)所述ifaa應(yīng)用讀取所述rpmb分區(qū)內(nèi)預(yù)存的所述移動(dòng)終端機(jī)型對(duì)應(yīng)的秘鑰，使用所述秘鑰對(duì)所述認(rèn)證結(jié)果和所述用戶(hù)指紋加密，生成攜帶有加密后的所述認(rèn)證結(jié)果和所述用戶(hù)指紋的所述認(rèn)證消息；

通過(guò)所述ifaa客戶(hù)端將所述認(rèn)證消息發(fā)送至所述ifaa客戶(hù)端的服務(wù)器，以使所述服務(wù)器對(duì)所述用戶(hù)指紋進(jìn)行校驗(yàn)，并返回校驗(yàn)結(jié)果；

當(dāng)接收到所述服務(wù)器返回校驗(yàn)通過(guò)指示時(shí)，觸發(fā)所述ifaa客戶(hù)端與所述服務(wù)器進(jìn)行支付操作。

b16.根據(jù)b15所述的方法，所述方法還包括：

當(dāng)注冊(cè)所述ifaa客戶(hù)端時(shí)，讀取所述移動(dòng)終端的解鎖指紋，將所述解鎖指紋作為所述ifaa客戶(hù)端的注冊(cè)指紋；

通過(guò)所述ifaa客戶(hù)端將所述注冊(cè)指紋和所述移動(dòng)終端的設(shè)備標(biāo)識(shí)符傳輸至所述服務(wù)器，以使所述服務(wù)器綁定保存所述注冊(cè)指紋和所述移動(dòng)終端的設(shè)備標(biāo)識(shí)符。

b17.根據(jù)b16所述的方法，所述移動(dòng)終端與所述服務(wù)器通信過(guò)程中，以所述移動(dòng)終端的設(shè)備標(biāo)識(shí)符作為所述移動(dòng)終端的身份標(biāo)識(shí)碼。

b18.根據(jù)b16所述的方法，所述設(shè)備標(biāo)識(shí)符為對(duì)所述移動(dòng)終端的產(chǎn)品序列號(hào)，進(jìn)行移位和組合操作后得到的至少40個(gè)字符的字符串。

b19.根據(jù)b16所述的方法，所述ifaa客戶(hù)端通過(guò)所述ifaa應(yīng)用讀取所述設(shè)備標(biāo)識(shí)符。

b20.根據(jù)b15所述的方法，觸發(fā)所述指紋應(yīng)用獲取用戶(hù)指紋，以及對(duì)所述用戶(hù)指紋進(jìn)行認(rèn)證包括：

顯示所述指紋應(yīng)用的指紋采集界面，以使所述指紋應(yīng)用接收到用戶(hù)指紋；

通過(guò)所述指紋應(yīng)用讀取所述ifaa客戶(hù)端的注冊(cè)指紋，并使用所述注冊(cè)指紋對(duì)所述用戶(hù)指紋進(jìn)行認(rèn)證。

b21.根據(jù)b15所述的方法，所述支付請(qǐng)求為用戶(hù)操作所述支付應(yīng)用客戶(hù)端觸發(fā)，或者，所述支付請(qǐng)求為用戶(hù)操作與所述支付應(yīng)用客戶(hù)端建立有支付鏈接的應(yīng)用客戶(hù)端觸發(fā)。

b22.根據(jù)b15所述的方法，所述rpmb分區(qū)內(nèi)的所述秘鑰的預(yù)存過(guò)程包括：

將寫(xiě)有秘鑰的原始文件集成到所述移動(dòng)終端的userdata分區(qū)；

在fastmii工位，從所述userdata分區(qū)的所述原始文件中提取所述秘鑰，將所述秘鑰寫(xiě)入所述emmc的rpmb分區(qū)內(nèi)；

在所述移動(dòng)終端測(cè)試過(guò)程，恢復(fù)出廠設(shè)置，以刪除所述userdata分區(qū)的所述原始文件。

b23.根據(jù)b15所述的方法，所述rpmb分區(qū)的秘鑰包含有寫(xiě)入成功標(biāo)識(shí)，用以在所述移動(dòng)終端的工廠模式中，檢查所述rpmb分區(qū)的秘鑰是否寫(xiě)入成功。

b24.根據(jù)b15-b23任一項(xiàng)所述的方法，所述ifaa客戶(hù)端包括：支付寶客戶(hù)端、微信客戶(hù)端和銀行客戶(hù)端。

c25.一種移動(dòng)終端，所述移動(dòng)終端包括處理器和存儲(chǔ)器，所述存儲(chǔ)器用于存儲(chǔ)支持處理器執(zhí)行b15至b24中任一項(xiàng)所述方法的程序，所述處理器被配置為用于執(zhí)行所述存儲(chǔ)器中存儲(chǔ)的程序。