特許 6892391 モバイル決済装置及びモバイル決済システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6892391

(24)【登録日】2021年5月31日

(45)【発行日】2021年6月23日

(54)【発明の名称】モバイル決済装置及びモバイル決済システム

(51)【国際特許分類】

   G06Q 20/32 20120101AFI20210614BHJP

   G06F 21/32 20130101ALI20210614BHJP

   G06F 21/35 20130101ALI20210614BHJP

   G06F 21/71 20130101ALI20210614BHJP

【ＦＩ】

   G06Q20/32 300

   G06F21/32

   G06F21/35

   G06F21/71

【請求項の数】6

【全頁数】14

(21)【出願番号】特願2017-554595(P2017-554595)

(86)(22)【出願日】2016年4月14日

(65)【公表番号】特表2018-513494(P2018-513494A)

(43)【公表日】2018年5月24日

(86)【国際出願番号】CN2016079237

(87)【国際公開番号】WO2016169430

(87)【国際公開日】20161027

【審査請求日】2017年11月22日

【審判番号】不服2019-9791(P2019-9791/J1)

【審判請求日】2019年7月24日

(31)【優先権主張番号】201510194852.3

(32)【優先日】2015年4月23日

(33)【優先権主張国】CN

(73)【特許権者】

【識別番号】513278998

【氏名又は名称】中国▲銀▼▲聯▼股▲ふん▼有限公司

(74)【代理人】

【識別番号】100108453

【弁理士】

【氏名又は名称】村山 靖彦

(74)【代理人】

【識別番号】100110364

【弁理士】

【氏名又は名称】実広 信哉

(74)【代理人】

【識別番号】100133400

【弁理士】

【氏名又は名称】阿部 達彦

(72)【発明者】

【氏名】万 四爽

(72)【発明者】

【氏名】柴 洪峰

(72)【発明者】

【氏名】▲魯▼ 志▲軍▼

(72)【発明者】

【氏名】何 朔

(72)【発明者】

【氏名】尹 ▲亜▼▲偉▼

(72)【発明者】

【氏名】▲劉▼ 国宝

(72)【発明者】

【氏名】郭 ▲偉▼

【合議体】

【審判長】 佐藤 聡史

【審判官】 渡邊 聡

【審判官】 松田 直也

(56)【参考文献】

【文献】 特開２００３−１６３９８（ＪＰ，Ａ）

【文献】 特開２０１０−５５３３２（ＪＰ，Ａ）

【文献】 特開２００５−１１７１１６（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

G06F21/32

G06F21/35

G06F21/71

G06Q20/32

(57)【特許請求の範囲】

【請求項1】

外部とデータを交換するためのデータ交換モジュールと、
前記データ交換モジュールと通信し、電子取引用アプリケーションの装着及び管理に用いられ、ユーザの取引アカウント情報を保存するためのセキュリティチップを含むセキュリティ管理モジュールと、
前記セキュリティ管理モジュール、前記データ交換モジュールと通信し、ユーザ身分情報を検証するための身分検証モジュールとを備えるユーザとＰＯＳ端末との間の電子取引を実現するためのモバイル決済装置であって、
前記セキュリティ管理モジュールおよび前記身分検証モジュールは、安全実行環境において動作し、前記データ交換モジュールはリッチ実行環境において動作し、前記安全実行環境と前記リッチ実行環境とは同時に運行しなく、
前記データ交換モジュールは、前記モバイル決済装置とＰＯＳ端末との間でデータ交換を行うためのＮＦＣ通信ユニットを含み、
前記ＮＦＣ通信ユニットと前記セキュリティチップとの間には、通信通路が設けられ、前記通信通路は、
前記通信通路の初期設定がオフ状態であり、
前記身分検証モジュールによるユーザ身分情報の検証が通った後、前記通信通路をオンすることにより、前記ＰＯＳ端末が前記ＮＦＣ通信ユニット及び前記通信通路を通して前記セキュリティチップと取引データの通信を行い、
前記取引データの通信が完成した後、前記通信通路を改めてオフ状態に設定するように配置され、
前記セキュリティ管理モジュール又は前記身分検証モジュールと前記データ交換モジュールが行われた通信は、リッチ実行環境と安全実行環境の間の切り替えを通すものとする
ことを特徴とするモバイル決済装置。

【請求項2】

前記データ交換モジュールは、指紋收集装置を含み、前記身分検証モジュールは、指紋識別ユニットを含み、ユーザは前記指紋收集装置によって指紋情報を入力することによって、前記身分検証モジュールが前記安全実行環境において指紋情報の検証を行うものである
ことを特徴とする請求項１に記載のモバイル決済装置。

【請求項3】

前記モバイル決済装置はスマートフォンである
ことを特徴とする請求項１或いは２に記載のモバイル決済装置。

【請求項4】

ユーザの取引アカウント情報を保存するためのセキュリティチップを含み、リッチ実行環境操作システム又は安全実行環境操作システムが実行されるモバイル決済装置と、
前記モバイル決済装置との間の電子取引を起動するためのＰＯＳ端末と、
前記モバイル決済装置と通信し、前記取引アカウント情報を設立するための安全サービスプラットフォームとを備えるモバイル決済システムであって、
前記リッチ実行環境操作システムは、前記モバイル決済装置が前記ＰＯＳ端末及びユーザとデータ交換を行うように制御し、前記安全実行環境操作システムは、前記モバイル決済装置が前記取引アカウント情報を使用して前記電子取引を実現し、またユーザ身分情報を検証するように制御し、
前記モバイル決済装置は、前記モバイル決済装置とＰＯＳ端末とのデータ交換に用いられるＮＦＣ通信ユニットをさらに含み、前記ＮＦＣ通信ユニットと前記セキュリティチップとの間には通信通路が設けられ、前記通信通路は、
前記通信通路の初期設定がオフ状態であり、
前記ユーザ身分情報に対する検証が通った後、前記通信通路をオンにすることにより、前記ＰＯＳ端末が前記ＮＦＣ通信ユニット及び前記通信通路を通して前記セキュリティチップと取引データの通信を行い、
前記取引データの通信が完成した後、前記通信通路を改めてオフ状態に設定するように配置される
ことを特徴とするモバイル決済システム。

【請求項5】

前記取引アカウント情報を設立するのは、
ユーザが前記リッチ実行環境操作システムを通して前記安全サービスプラットフォームに前記取引アカウントの設立申請を提出し、前記安全サービスプラットフォームが前記申請に対して応答しかつ設立指令を下し、前記リッチ実行環境操作システムが前記指令を前記安全実行環境操作システムに転送し、前記安全実行環境操作システムが前記セキュリティチップに前記取引アカウント情報を設立しかつ保存するように指示することを含む
ことを特徴とする請求項４に記載のモバイル決済システム。

【請求項6】

ａ）請求項１に記載のモバイル決済装置を提供するステップと、
ｂ）ユーザが前記モバイル決済装置を利用して安全サービスプラットフォームに対して取引アカウントの設立を申請するステップと、
ｃ）ＰＯＳ端末から発射される無線周波数信号を検出した後、前記モバイル決済装置は、身分検証モジュールを起動してユーザ身分情報に対して検証するステップと、
ｄ）前記検証が通った後、前記モバイル決済装置は、前記安全実行環境で前記ＰＯＳ端末と取引データの通信を行うステップと、
ｅ）前記取引データの通信が完成した後、前記モバイル決済装置は、前記リッチ実行環境でユーザに取引結果をフィードバックするステップとを含み、
前記モバイル決済装置は、前記モバイル決済装置とＰＯＳ端末とのデータ交換に用いられるＮＦＣ通信ユニットをさらに含み、前記ＮＦＣ通信ユニットと前記セキュリティチップとの間には通信通路が設けられ、前記ステップｄ）は、具体的には、
ｄ１）前記ユーザ身分情報が検証を通った後、前記通信通路をオンにすることと、
ｄ２）前記ＰＯＳ端末と前記セキュリティチップは、前記ＮＦＣ通信ユニット及び前記通信通路を通して前記取引データの通信を行うことと、
ｄ３）前記取引データの通信が完成した後、前記通信通路をオフにすることを含む
ことを特徴とする電子取引実現用モバイル決済方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、モバイル決済技術分野に関し、より具体的にはモバイル決済装置及びモバイル決済システムに関する。

【背景技術】

【0002】

スマートモバイルデバイス（例えば、スマートフォン）は、徐々に「決済道具」化され、良質なユーザ体験を重視する従来のスマート操作システムは、決済アプリケーションの位置する運行環境のセキュリティーに対する要求を満たせなくなる。システム資源が限られているので、スマート操作システムの安全性を高めると、機能及びユーザ体験が下がることはほぼ確定である。

【0003】

これに対し、GlobalPlatformにより提出された安全実行環境（Trusted execution environment、略称TEE）は、該方案の一つの技術実現プラットフォームとして、広く適用されている。該プラットフォームによると、図1に示すように、モバイルデバイスにおいてリッチ実行環境（Rich execution environment、略称REE）11及び安全実行環境12が配置され、リッチ実行環境11には、クライアントサイドアプリケーション111及びリッチ実行環境操作システム110が含まれ、安全実行環境12には、安全アプリケーション121及び安全実行環境操作システム120が含まれる。同時に、REEはモバイルデバイスのハードウェアデバイス10で実行され、該ハードウェアには一つの安全エリア101が含まれ、TEEはハードウェアデバイスの安全エリア101で実行され、該安全エリア101はREEによってアクセスできず、該安全エリア101によって安全資源102を管理でき、REEはハードウェアデバイス10における公共資源100をアクセスできる。以上の方法により、REE操作システムはデータの入出力、情報交換などの機能を実行し、TEE操作システムは安全資源又は機密データに関する機能を実行しかつそれらを保護する。

【0004】

しかし、安全実行環境という技術実現案が存在していても、公知技術におけるモバイル決済装置は依然として安全上の不備を多く有し、取引の各部分をすべて考慮しているわけではないので、取引の安全性の面において更なる改良が望まれる。

【発明の概要】

【0005】

本発明の目的は、取引安全を一層保護できることに資するモバイル決済装置を提供することにある。

【課題を解決するための手段】

【0006】

上記目的を実現するために、本発明は以下の技術案を提供する。

【0007】

ユーザとPOS端末との間の電子取引を実現するためのモバイル決済装置であり、
外部とデータを交換するためのデータ交換モジュールと、
データ交換モジュールと通信し、電子取引用のアプリケーションの装着及び管理に用いられ、ユーザの取引アカウント情報を保存するためのセキュリティチップを含むセキュリティ管理モジュールと、
前記セキュリティ管理モジュール、前記データ交換モジュールと通信し、ユーザ身分情報を検証するための身分検証モジュールとを備え、
前記セキュリティ管理モジュールおよび前記身分検証モジュールは、安全実行環境で動作し、前記データ交換モジュールはリッチ実行環境で動作し、安全実行環境とリッチ実行環境とは同時に運行しない。

【0008】

好ましくは、データ交換モジュールは、モバイル決済装置とPOS端末との間でデータ交換を行うためのNFC通信ユニットを含む。

【0009】

好ましくは、NFC通信ユニットとセキュリティチップとの間には通信通路が設けられ、通信通路は、
通信通路の初期設定がオフ状態であり、身分検証モジュールによるユーザ身分情報の検証が通った後、通信通路をオンすることにより、POS端末がNFC通信ユニット及び通信通路を通してセキュリティチップと取引データの通信を行い、取引データの通信が完成した後、通信通路を改めてオフ状態に設定するように配置される。

【0010】

本発明は、取引安全を一層保護できることに資するモバイル決済システムの提供をもう一つの目的とする。

【0011】

上記目的を実現するために、本発明はもう一つの技術案を提供する。

【0012】

ユーザの取引アカウント情報を保存するためのセキュリティチップを含み、リッチ実行環境操作システム又は安全実行環境操作システムが実行されるモバイル決済装置と、
モバイル決済装置との間の電子取引を起動するためのPOS端末と、
モバイル決済装置と通信し、取引アカウント情報を設立するための安全サービスプラットフォームとを備え、
リッチ実行環境操作システムは、モバイル決済装置がPOS端末及びユーザとデータ交換を行うように制御し、安全実行環境操作システムは、モバイル決済装置が取引アカウント情報を使用して電子取引を実現し、またユーザ身分情報を検証するように制御するモバイル決済システムを提供する。

【0013】

好ましくは、取引アカウント情報を設立するのは、ユーザがリッチ実行環境操作システムを通して安全サービスプラットフォームに取引アカウントの設立申請を提出し、安全サービスプラットフォームが申請に応答しかつ設立指令を下し、リッチ実行環境操作システムが指令を安全実行環境操作システムに転送し、安全実行環境操作システムがセキュリティチップに取引アカウント情報を設立しかつ保存するように指示することを含む。

【0014】

好ましくは、モバイル決済装置は、モバイル決済装置とPOS端末とのデータ交換に用いられるNFC通信ユニットをさらに含み、NFC通信ユニットとセキュリティチップとの間には通信通路が設けられ、通信通路は、通信通路の初期設定がオフ状態であり、ユーザ身分情報に対する検証が通った後、通信通路をオンにすることにより、POS端末がNFC通信ユニット及び通信通路を通してセキュリティチップと取引データの通信を行い、前記取引データの通信が完成した後、通信通路を改めてオフ状態に設定するように配置される。

【0015】

本発明は、さらに電子取引実現用モバイル決済方法を提供する。該方法は、
a)上述のモバイル決済装置を提供するステップと、
b)ユーザがモバイル決済装置を使用して安全サービスプラットフォームに取引アカウントの設立を申請するステップと、
c)POS端末から発射される無線周波数信号を検出した後、モバイル決済装置は、身分検証モジュールを起動してユーザ身分情報に対して検証するステップと、
d)検証が通った後、モバイル決済装置は、安全実行環境でPOS端末と取引データの通信を行うステップと、
e)取引データの通信が完成した後、モバイル決済装置は、リッチ実行環境でユーザに取引結果をフィードバックするスッテプと、を含む。

【0016】

本発明の各実施例が提供するモバイル決済装置、モバイル決済システム及びモバイル決済方法は、取引アカウントの申請、身分情報の検証、取引データの通信という三つの操作を安全実行環境に置き、他の操作をリッチ実行環境に置くことにより、素晴らしいユーザ体験を提供すると同時に、プロセス全体の取引安全保護を提供する。また、セキュリティチップとNFC通信ユニットとの間の通信通路を常閉状態にし、身分検証が通った後のみ暫時的にオンにして取引データの通信を行うことで、存在可能なセキュリティーホールを回避した結果、取引保護能力をさらに高めた。

【図面の簡単な説明】

【0017】

【図1】図1には、既存技術ではリッチ実行環境及び安全実行環境が配置されるモバイルデバイスの概念図が示される。

【図2】図2には、本発明の第1実施例によるモバイル決済装置のモジュール構造の概念図が示される。

【図3】図3は、モバイル決済装置のモニタに示される電子取引の各状態同士の切り替えのフローチャートである。

【図4】図4は、本発明の第3実施例によるモバイル決済方法のプロセスの概念図。

【図5】図5には、ユーザがモバイル決済装置を通して安全サービスプラットフォームに取引アカウントの設立を申請する具体的なプロセスが示される。

【図6】図6には、モバイル決済装置がアカウント情報を読み取った後、身分検証モジュールを起動してユーザ身分情報に対して検証する具体的なプロセスが示される。

【図7】図7には、ユーザ身分情報の検証が通った後、モバイル決済装置とPOS端末が取引データの通信を行う具体的なプロセスが示される。

【発明を実施するための形態】

【0018】

ただし、本文が言及するセキュリティ管理モジュール又は身分検証モジュールとデータ交換モジュールが行われた通信は、リッチ実行環境と安全実行環境の間の切り替えを通さなければならない。リッチ実行環境と安全実行環境は同時に運行しない。

【0019】

本文が言及するクライアントサイド・アプリケーション、リッチ実行環境操作システム及び安全アプリケーション、安全実行環境操作システムは、通常ソフトウェアの形でモバイル決済装置の関連するモジュール/ユニットに装着かつ運行される。

【0020】

図2に示すように、本発明の第1実施例はモバイル決済装置を提供し、そのハードウェアデバイス20には、安全エリア200が含まれ、安全エリア200は安全実行環境12のみがアクセスでき、リッチ実行環境11がアクセスすることはできない。言い換えれば、安全エリア200はリッチ実行環境11からすれば可視できない。

【0021】

具体的には、ハードウェアデバイス20には、データ交換モジュール203が含まれ、外部（例えば、ユーザ、POS端末）とデータ交換するためでのものである。データ交換モジュール203は、入力・出力サブモジュールと、無線通信サブモジュールとを含み、前記入力・出力サブモジュールは外部とデータを交換するインターフェースであり、具体的には、ユーザインターフェース装置と、データポート装置と他の種類の入出力装置、例えば、タッチパネル、モニタ、ボタンなどの装置とを含み、前記無線通信サブモジュールが、具体的にはNFC通信ユニット、及び/又はベースバンドプロセッサ、GPSユニットを含む。

【0022】

モバイル決済装置がPOS端末に近づけば、NFC通信ユニットは、モバイル決済装置とPOS端末との間でデータを交換することができる。

【0023】

安全エリア200には、セキュリティ管理モジュール201及び身分検証モジュール202が含まれる。安全エリア200は、安全実行環境12のみにとって可視である。

【0024】

セキュリティ管理モジュール201は、データ交換モジュール203と通信し、セキュリティ管理機能を実現するために必要とするハードウェアを含み、その中にはオフライン取引用安全アプリケーション、例えば、銀行カード取引の電子現金アプリケーションなどが装着できる。

【0025】

セキュリティ管理モジュール201は、ユーザの取引アカウント情報を保存するためのセキュリティチップをさらに含む。

【0026】

身分検証モジュール202は、セキュリティ管理モジュール201、データ交換モジュール203とそれぞれ通信し、ユーザ身分情報、例えば指紋、アイリス、心拍数、声紋、顔面像などを検証するためのものである。

【0027】

好ましくは、データ交換モジュールは、指紋收集装置を含み、対応的には、身分検証モジュールは指紋識別ユニットを含み、ユーザは指紋收集装置によって指紋情報を入力し、身分検証モジュールが安全実行環境においてそれを検証を行うためである。

【0028】

モバイル決済装置は、さらに他のモジュールを含むと理解できり、例えば、データ保存に用いられるディスク保存、flash保存などを含む保存モジュール（未表示）と、マイクロプロセッサ、マイクロコントローラー、デジタル信号プロセッサ、及び/又は専用集積回路などを含むデータ処理モジュール（未表示）とが挙げられ、モバイル決済装置と外部設備がデータ交換モジュール203を通して通信できるように、データ処理モジュールは、複数の無線通信プロトコルを支持する必要がある。

【0029】

リッチ実行環境11は、クライアントサイド・アプリケーション111、リッチ実行環境操作システム110を含み、モバイル決済装置では安全エリア以外の関連するモジュールに装着かつ運行される。安全実行環境12は安全アプリケーション121及び安全実行環境操作システム120を含み、安全エリア200に装着かつ運行される。

【0030】

上述の実施例をさらに改良した実施の形態によると、NFC通信ユニットとセキュリティチップとの間には、通信通路が設けられ、該通信通路は、A．通信通路の初期設定がオフ状態であり、B．身分検証モジュールによるユーザ身分情報の検証が通った後、通信通路をオンすることにより、POS端末がNFC通信ユニット及び通信通路を通してセキュリティチップと取引データの通信を行い、C．取引データの通信が完成した後、通信通路を改めてオフ状態に設定するように配置される。

【0031】

上述の第1実施例によるモバイル決済装置では、ユーザとの取引アカウント情報に関する操作、及びユーザ身分情報検証の操作を全て安全実行環境に置き、電子取引の各ステップを全部考慮したので、より安全な取引保護を提供できる。

【0032】

また、既存技術で提供されたモバイル決済装置に比べて、本発明はセキュリティチップとNFC通信ユニットとの間の通信通路を常閉状態にし、身分検証が通った後のみ暫時的にオンにして取引データの通信を行うことで、存在可能なセキュリティーホールを回避した結果、取引保護能力をさらに高めた。

【0033】

本発明が提供するモバイル決済装置は、モニタにおいてユーザに各種の提示情報を示し、これらの指示情報はそれぞれ電子取引の異なる状態に対応する。図3には、モバイル決済装置のモニタに表示される電子取引の各種状態同士での切り替えの流れが示される。

【0034】

状態S01：ユーザモバイルデバイスは初期状態にあり、例えば、ロック画面にある。

【0035】

状態S02：ユーザの所持するモバイル決済装置がPOS端末に近づけば、初期設定されるカード決済画面がポップアップされ、かつユーザに身分検証するように提示する。

【0036】

状態S03：ユーザが身分検証を行って通ったら、ユーザにモバイル決済装置をPOS端末近づけるように提示する。

【0037】

状態S04：ユーザが他の銀行カードを使用する場合、身分検証を行わず、銀行カードリスト画面に進む。

【0038】

状態S02：ユーザが使用する銀行カードを選択した後、初期設定されるカード決済画面に改めて戻る。

【0039】

状態S05：ユーザのモバイル決済装置がPOS端末と取引を終えた後、取引完成の提示画面に進む。

【0040】

本発明の第2実施例は、モバイル決済装置と、POS端末と安全サービスプラットフォーム（Trust Service Management、略称TSM）とを含むモバイル決済システムを提供する。モバイル決済装置には、セキュリティチップ（Secure Element、略称SE）が設けられ、セキュリティチップは、ユーザの取引アカウント情報の保存に用いられ、モバイル決済装置は、リッチ実行環境操作システム又は安全実行環境操作システムを実行し、如何なる時でも一つの操作システムのみが運行状態にあり、もう一つの操作システムが睡眠状態にある。

【0041】

POS端末は、マーチャントに配置され、ユーザの所持するモバイル決済装置との電子取引を起動する。

【0042】

ユーザは、モバイル決済装置を通して安全サービスプラットフォームに取引アカウントの設立を申請し、設立された取引アカウント情報は、セキュリティチップに保存される。

【0043】

リッチ実行環境操作システムは、モバイル決済装置がPOS端末及びユーザとデータ交換を行うように制御し、安全実行環境操作システムは、モバイル決済装置が取引アカウント情報を使用して電子取引を実現し、及びユーザ身分情報を検証するように制御する。

【0044】

取引アカウント情報の設立過程は、具体的には、ユーザがリッチ実行環境操作システムを通して安全サービスプラットフォームに取引アカウントの設立申請を提出し、安全サービスプラットフォームが申請に対して応答しかつ設立指令を下し、リッチ実行環境操作システムが指令を安全実行環境操作システムに転送し、安全実行環境操作システムがセキュリティチップに取引アカウント情報を設立かつ保存するように指示することを含む。

【0045】

上述のモバイル決済装置は、モバイル決済装置とPOS端末とのデータ交換に用いられるNFC通信ユニットをさらに含み、NFC通信ユニットとセキュリティチップとの間には通信通路が設けられる。存在可能なセキュリティーホールを回避するために、更なる改善として、該通信通路は、通信通路の初期設定がオフ状態であり、ユーザ身分情報に対する検証が通った後、通信通路をオンにすることにより、POS端末がNFC通信ユニット及び通信通路を通してセキュリティチップと取引データの通信を行い、取引データの通信が完成した後、通信通路を改めてオフ状態に設定するように配置される。

【0046】

上述の決済システムが電子取引を行う際に、取引情報及び/又は機密データがより良く保護されることができる。取引アカウントの設立過程では、セキュリティチップが取引アカウント情報を設立かつ保存するという過程も安全実行環境で行われるので、電子取引の各ステップとも優れるデータ保護能力を有する。NFC通信ユニットとセキュリティチップとの間の通信通路の初期設定は、常閉状態であり、取引データの通信を行う時のみ暫時的にオンにすることも、セキュリティーホールを回避し、全方位にわたる取引保護の実現に資する。

【0047】

本発明の第3実施例は、ユーザが本願の第１方面に記載のモバイル決済装置を通してPOS端末と行われる電子取引を実現するためのモバイル決済方法を提供する。図4に示すように、該方法は以下のステップを含む。

【0048】

ステップS1：本発明に記載の第1実施例によるモバイル決済装置を提供する。

【0049】

該モバイル決済装置は、データ交換モジュールと、セキュリティ管理モジュールと、身分検証モジュールとを含む。データ交換モジュールは、外部とのデータ交換に用いられる。セキュリティ管理モジュールは、データ交換モジュールと通信し、電子取引用アプリケーションの装着かつ管理に用いられ、セキュリティ管理モジュールは、ユーザの取引アカウント情報を保存するためのセキュリティチップを含む。身分検証モジュールは、セキュリティ管理モジュール、データ交換モジュールと通信し、ユーザ身分情報の検証に用いられる。セキュリティ管理モジュールおよび身分検証モジュールは、安全実行環境で動作し、データ交換モジュールは、リッチ実行環境で動作し、また、安全実行環境とリッチ実行環境は同時に運行しない。

【0050】

ステップS2：ユーザはモバイル決済装置を使用して安全サービスプラットフォームに取引アカウントの設立を申請する。

【0051】

図5には、ステップS2の具体的なプロセスが示される。該ステップS2は具体的には以下のサブステップを含む。

【0052】

サブステップS20：ユーザが身分情報を提供し、安全決済プラットフォームにモバイル決済用アカウントを申請する。

【0053】

サブステップS21：安全サービスプラットフォームがユーザ身分情報を検証し、アカウント設立の指令を編成する。

【0054】

サブステップS22：安全サービスプラットフォームがREEにアカウント設立の指令を下す。

【0055】

サブステップS23：REEが指令をTEEに転送する。

【0056】

サブステップS24：TEEが設立指令をSEに書き込む。

【0057】

次に、SEからTEEに設立指令の実行結果を返し、さらにTEEからREEに実行結果を返し、最後にREEから安全サービスプラットフォームに実行結果を返す。

【0058】

ステップS3：POS端末から発射される無線周波数（RF）信号を検出した後、モバイル決済装置は、身分検証モジュールを起動してユーザ身分情報に対して検証する。

【0059】

図6には、ステップS3の具体的なプロセスが示される。該ステップS3は具体的には、以下のサブステップを含む。

【0060】

サブステップS30：モバイル決済装置をPOS端末に近づかせる。

【0061】

好ましくは、モバイル決済装置には、NFC通信ユニットが設けられ、POS端末がモバイル決済装置のNFC通信ユニットを検出したら、モバイル決済装置がPOS端末近づいたと判断できる。

【0062】

サブステップS31：POS端末からRF信号を発射し、モバイル決済装置は、NFC通信ユニットを通して受信する。

【0063】

サブステップS30の前に、POS端末は、RF信号を発射したが、モバイル決済装置がPOS端末に近づいてからRF信号を受信したと理解できる。したがって、前記サブステップS30およびサブステップS31は前後の順序がなく、並行に実行されることが可能であると判断できる。

【0064】

サブステップS32：ユーザ身分を検証するために、REEがTEEにアカウント情報の読み込みを請求する。

【0065】

サブステップS33：TEEがSEからアカウント情報を読み取る。

【0066】

次に、SEからTEEにアカウント情報を返し、さらにTEEからREEに返す。

【0067】

サブステップS34：REEがアカウント情報を受け取った後、TEEに身分検証を請求する。

【0068】

サブステップS35：TEEが身分検証モジュールを起動し、ユーザ身分に対して検証する。

【0069】

具体的には、身分検証モジュールは、ユーザ身分情報とアカウント情報が一致するか否かを検証し、一致であれば検証が通り、REEは、決済ページをポップアップし、身分検証が通過することを提示する。

【0070】

ステップS4：検証が通った後、モバイル決済装置は、安全実行環境においてPOS端末と取引データの通信を行う。

【0071】

図7には、ステップS4の具体的なプロセスが示される。該ステップS4は具体的には以下のサブステップを含む。

【0072】

サブステップS40：身分検証モジュールがTEEにユーザ身分検証の結果を返す。

【0073】

該サブステップは、サブステップS35の実行結果として、すぐに実行される。

【0074】

サブステップS41：TEEはNFC通信ユニットとSEとの間の通信通路をオンにする。

【0075】

次に、TEEは、通信通路をオンにする結果を返し、かつ身分検証モジュールをオフにし、また、モバイル決済装置がPOS端末に近づいていくか又は近づくことを保持するということを、引き続きユーザに提示することができる。

【0076】

サブステップS42：POS端末とSEは、NFC通信ユニット及び該安全通路を通して取引データの通信を直接に行う。

【0077】

具体的には、POS端末は、SEに取引指令を下し、SEは取引データをPOS端末に送信し、SEは、NFC通信ユニットを通してREEに取引結果を返す。

【0078】

サブステップS43： NFC通信ユニットとSEとの間の通信通路をオフにする。

【0079】

ステップS5：取引データの通信が完成した後、モバイル決済装置は、リッチ実行環境でユーザに取引結果をフィードバックする。

【0080】

上記実施例を改良した実施の形態によると、ステップS3では、図3に示されることを参照すると、ユーザが初期設定されるカード（初期設定される取引アカウント）で取引を行わず、他の銀行カード（他の取引アカウント）を使用する場合、類似的に、REEは、TEEにユーザの全ての銀行カード情報への読み込みを申請でき、TEEはSEから全ての銀行カードの情報を読み取った後REEに返す。ユーザがREEを通してある銀行カードを選択した場合、REEは取引アカウントの切り替えをTEEに指示することができ、TEEは選択された銀行カードを初期設定される取引アカウントとして設定し、次にREEに切り替えた結果を返し、REEは、ユーザに新しい決済画面を提示する。

【0081】

上述の第3実施例によるモバイル決済方法は、取引アカウントの申請、身分情報の検証、取引データの通信という三つの操作を安全実行環境に置き、他の操作をリッチ実行環境に置いたので、素晴らしいユーザ体験を提供すると同時に、プロセス全体の取引安全への保護を提供する。

【0082】

また、既存技術で提供したモバイル決済方法に比べて、本発明では、セキュリティチップとNFC通信ユニットとの間の通信通路を常閉状態にし、身分検証が通った後のみ暫時的にオンにして取引データの通信を行うことで、安全性をさらに高めた。

【0083】

上記説明は、本発明の好ましい実施例を説明するために過ぎず、本発明の保護範囲を制限するためのものではない。当業者は、本発明の精神及び請求項から離れない限り、各種の変形設計を行うことができる。

【符号の説明】

【0084】

１０ ハードウェアデバイス
１１ リッチ実行環境
１２ 安全実行環境
２０ ハードウェアデバイス
１００ 公共資源
１０１ 安全エリア
１０２ 安全資源
１１０ リッチ実行環境操作システム
１１１ クライアントサイド・アプリケーション
１２０ 及び安全実行環境操作システム
１２１ 安全アプリケーション
２００ 安全エリア
２０１ セキュリティ管理モジュール
２０２ 身分検証モジュール
２０３ データ交換モジュール

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】