[发明专利]支付方法及装置

权利要求书

1.一种支付方法，其特征在于，应用于终端，所述终端包括：第三方应用、安全芯片中的代理程序、运行在可信执行环境TEE中的身份认证可信应用TA和支付TA；

所述支付TA接收所述第三方支付应用发送的交易数据；

所述支付TA在从所述身份认证TA中查询到所述交易数据对应的身份信息通过认证后，使用从所述代理程序获取的密钥对所述交易数据进行加密，得到密文和校验值；

所述支付TA将所述密文和所述校验值发送给所述代理程序；

所述代理程序在根据所述校验值确定所述密文是所述支付TA发送的后，对所述密文进行解密获取所述交易数据；

所述支付TA使用从所述代理程序获取的密钥对所述交易数据进行加密，得到密文和校验值包括：

所述支付TA从所述代理程序获取第一会话密钥和第二会话密钥；

所述支付TA应用第一加密算法使用所述第一会话密钥对交易数据进行加密，生成密文，所述第一加密算法为所述支付TA与所述代理程序协商的加密算法；

所述支付TA应用第二加密算法根据所述第二会话密钥和所述密文计算校验值，所述第二加密算法为所述支付TA与所述代理程序协商的加密算法。

2.根据权利要求1所述的方法，其特征在于，所述代理程序根据所述校验值确定所述密文是所述支付TA发送的，包括：

所述代理程序应用所述第二加密算法根据所述第二会话密钥和所述密文计算验证值；

所述代理程序在所述验证值与所述校验值相同时，确定所述密文是所述支付TA发送的。

3.根据权利要求2所述的方法，其特征在于，所述支付TA从所述代理程序获取第一会话密钥和第二会话密钥，包括：

所述支付TA生成一对公钥和私钥；

所述支付TA将所述私钥发送给所述代理程序；

所述支付TA生成随机码并将所述随机码携带在所述会话密钥请求中发送给所述代理程序；

所述代理程序响应所述会话密钥请求，生成第一会话密钥和第二会话密钥；

所述代理程序使用所述私钥将所述第一会话密钥、所述第二会话密钥和所述随机码加密后发送给所述支付TA；

所述支付TA使用所述公钥解密出所述随机码后，使用所述公钥解密出所述第一会话密钥和所述第二会话密钥。

4.根据权利要求3所述的方法，其特征在于，所述支付TA将所述私钥发送给所述安全芯片，包括：

所述支付TA将所述私钥用TEE出厂密钥签名后，发送安全服务器，以便所述安全服务器在验签通过后将所述私钥发送给所述代理程序；

所述代理程序通过安全通道接收所述安全服务器发送的所述私钥。

5.根据权利要求1所述的方法，其特征在于，所述终端还包括安全芯片中的支付程序，所述方法还包括：

所述代理程序将所述交易数据发送给所述支付程序；

所述支付程序对所述交易数据进行加密，向所述第三方支付应用返回加密结果，使得所述第三方支付应用根据所述加密结果执行支付相关操作。

6.一种支付装置，其特征在于，应用于终端，所述装置包括：安全芯片中的代理程序、运行在可信执行环境TEE中的身份认证可信应用TA和支付TA，其中：

所述支付TA，用于接收所述第三方支付应用发送的交易数据；

所述支付TA，用于在从所述身份认证TA中查询到所述交易数据对应的身份信息通过认证后，使用从所述代理程序获取的密钥对所述交易数据进行加密，得到密文和校验值；

所述支付TA，用于将所述密文和所述校验值发送给所述代理程序；

所述支付TA，用于从所述代理程序获取第一会话密钥和第二会话密钥；

所述支付TA，用于应用第一加密算法使用所述第一会话密钥对交易数据进行加密，生成密文，所述第一加密算法为所述支付TA与所述代理程序协商的加密算法；

所述支付TA，用于应用第二加密算法根据所述第二会话密钥和所述密文计算校验值，所述第二加密算法为所述支付TA与所述代理程序协商的加密算法；

所述代理程序，用于在根据所述校验值确定所述密文是所述支付TA发送的后，对所述密文进行解密获取所述交易数据。