技術領域

本發明涉及計算機技術領域，尤其是涉及一種基于安全環境或可信執行環境的支付方法以及支付系統。

背景技術

隨著智能終端的普及，越來越多的便捷的支付方式已經出現。其中，利用二維碼進行支付是最常見的支付方法。

關于二維碼，目前在二維碼行業沒有統一的安全標準，絕大部分二維碼是沒有任何安全保護的，非常容易被釣魚攻擊，被導向下載惡意軟件，甚至信息泄露。即使存儲了加密數據的二維碼，因為使用的加密技術比較分散、不統一，容易被找出漏洞攻擊，而這種方式也是可以被導向釣魚頁面或惡意軟件下載頁面的。

關于二維碼支付，當前二維碼支付隨著支付寶、微信、銀聯等大型的支付公司的推廣，其二維碼支付的安全性得到了較好的保障，其保障的基礎是基于服務器的安全以及基于手機客戶端內集成的部分安全代碼來實現。這樣帶來的問題：支付時需安裝一個較重量級的客戶端，打開掃碼時需要較長的等待時間用戶體驗一般；且其安全級別是基于Android系統的安全，若系統被Root則支付容易被攻擊。

發明內容

鑒于上述問題，本發明旨在提供一種能夠有效提高基于安全環境或可信執行環境的支付方法、支付系統以及移動終端。

本發明的一方面的基于安全環境或可信執行環境的支付方法，該支付方法由用戶終端、商戶終端以及支付平臺實現，其特征在于，包括下述步驟：

初始化步驟，從用戶終端將與用戶私鑰對應的用戶公鑰發送到支付平臺以申請用戶證書，在用戶終端的安全環境或可信執行環境中存儲所述用戶私鑰以及從支付平臺返回的用戶證書和支付根證書；

二維碼信息提供步驟，商戶終端提供包含訂單信息的二維碼信息并對二維碼信息用商戶私鑰進行簽名；

二維碼信息驗證步驟，用戶終端獲取所述二維碼信息并驗證二維碼信息的有效性；以及

訂單信息上傳步驟，用戶終端在驗證二維碼信息有效的情況下，將所述訂單信息在用戶終端的安全環境或可信執行環境中利用用戶私鑰進行簽名并將簽名后的訂單信息上傳到支付平臺。

可選地，在所述初始化步驟包括下述子步驟：

由用戶終端產生用戶私鑰；

將與該用戶私鑰對應的用戶公鑰發送到支付平臺以申請用戶證書；

從支付平臺返回用戶證書和支付根證書給用戶終端；

在用戶終端的安全環境或可信執行環境中存儲用戶證書、支付根證書以及用戶私鑰。

可選地，在所述二維碼信息驗證步驟包括下述子步驟：

用戶終端獲取所述二維碼信息；

將所述二維碼信息送到用戶終端的安全環境或可信執行環境中，并利用已存儲的支付根證書驗證所述二維碼信息的有效性（加密的使用的是商戶私鑰，驗證的時候使用的支付根證書）；

在用戶終端的界面顯示所述二維碼信息中包含的訂單信息。

優選地，在所述二維碼信息驗證步驟中，用戶終端通過自帶的相機模塊掃描獲取所述二維碼信息。

本發明的基于安全環境或可信執行環境的支付系統，其特征在于，該系統具備：

用戶終端，用于將與用戶私鑰對應的用戶公鑰發送到下述支付平臺以申請用戶證書，在用戶終端的安全環境或可信執行環境中存儲用戶私鑰以及從支付平臺返回的用戶證書和支付根證書，另一方面，用于獲取下述商戶終端提供的二維碼信息并驗證二維碼信息的有效性并且在驗證成功的情況下將訂單信息利用用戶證書進行簽名并將簽名后的訂單信息上傳到下述支付平臺；

商戶終端，用于提供包含訂單信息的二維碼信息并用支付根證書對訂單信息進行簽名；

支付平臺，用于根據用戶終端提供的用戶公鑰產生并存儲用戶證書，將用戶證書和支付根證書下發到用戶終端的安全環境或可信執行環境中，另一方面將商戶證書下發到商戶終端，并且，用于對從用戶終端接收到的簽名后的訂單信息進行驗證并在驗證成功的情況下完成支付動作。

可選地，所述用戶終端具備：

相機模塊，用戶掃描獲取二維碼信息并送至下述安全模塊；以及

安全模塊，用于將與用戶私鑰對應的用戶公鑰發送到支付平臺以申請用戶證書，用于存儲用戶私鑰、以及從支付平臺返回的用戶證書和支付根證書，用于驗證所述相機模塊獲取的二維碼信息的有效性并且在驗證成功的情況下將訂單信息利用用戶證書進行簽名并將簽名后的訂單信息上傳到支付平臺。

可選地，所述安全模塊為安全環境或可信執行環境。

可選地，所述支付平臺具備：

支付證書系統，用于提供支付根證書，并且根據用戶終端提供的用戶公鑰產生用戶證書；