WO2016169229A1 - 移动支付装置和方法 - Google Patents

Abstract

一种移动支付装置和方法，涉及移动通信领域。该移动支付装置包括：通信单元，用于通过无线链路与通信对端交互支付信息；存储器，用于存储移动支付软件；安全元件，包括第一存储模块和处理器；至少一个中央处理单元，用于运行通用操作系统软件，并在通用操作系统软件的作用下控制所述通信单元、存储器和所述安全元件中的至少一个；所述处理器用于将所述移动支付软件从所述存储器加载到所述第一存储模块中，在所述移动支付软件的作用下与所述通信单元交互所述支付信息；第一存储模块，用于为所述处理器提供运行所述移动支付软件所需的内存空间；其中，所述安全元件与所述至少一个中央处理单元位于移动支付装置中的第一半导体芯片内。

Description

移动支付装置和方法

本申请要求于2015年4月24日提交中国专利局、申请号为201510201343.9、发明名称为“移动支付装置和方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及移动通信领域，尤其涉及一种移动支付装置和方法。

背景技术

移动支付(Mobile Payment)是指允许用户使用其移动终端，例如手机或平板电脑，对所消费的商品或服务进行账务支付的一种服务方式。通过移动终端实现移动支付目前有三种方式，分别是安全数据(Secure Digital，SD)卡方案、用户识别模块(Subscriber Identity Module，SIM)方案、或近场通信(Near Field Communication，NFC)结合安全元件(Secure Element，SE)的全终端解决方案。目前近场通信结合安全元件的全终端解决方案越来越成为实现移动支付方案的主流。

一种现有的全终端解决方案如图1所示，移动终端10通过其内部的近场通信单元101与销售点(Point of sales，POS)机11通信，近场通信单元101和POS机11间的近距离无线通信连路12为双向通路，可采用各类合适的短距离无线通信协议实现，以实现移动支付中的基本无线通信功能。例如，通信连路12可用于从POS机11向移动终端10内部的近场通信单元101传输POS指令数据等。安全元件102则可以是与一个独立的中央处理单元(Central Processing Unit，CPU)103相耦合的部件，用于对运行金融支付业务相关的各类功能，并存储与银行业务相关的密钥、证书等数据。在交易时，安全元件102从近场通信单元101收到POS指令数据，解析指令数据并根据金融交易协议进行相应回应。所述回应被近场通信单元101反馈给POS机11以完成移动支付中的数据传输，以实现移动终端10作为交易验证卡的功能。中央处理单 元103则运行有操作系统软件1031，例如安卓(Android)系统软件，其用于对近场通信单元101和安全元件102进行控制，例如控制打开或关闭近场通信单元101和安全元件102。此外，移动终端10可包括输入单元104，输入单元104可以是触摸屏，用于通过一个用户界面(User Interface，UI)来与用户交互消息，使得用户可以通过UI在输入单元104上输入操作指令，以便指示操作系统软件1031和相关应用软件执行相关操作，如交易的确认、或个人交易密码的输入等。POS机11作为一个交易的终端设备通过互联网接入网络侧的云服务器14，以实现通过服务器14计算并完成支付业务。位于网络侧的服务器14通常由银行运营。

全终端的解决方案可包括线上支付和线下支付。在线下支付时，如图1所示，移动终端10与POS机11进行非接触式刷卡，即刷手机，近场通信单元101和安全元件102共同作用完成支付交易。在采用线上支付时，则可以不通过近场通信单元10实现，中央处理单元103和安全元件102此时可通过移动通信网络接入互联网实现线上支付，此时安全元件102相当于银行U盾的作用，用于存储并验证银行的证书，因此上述图1中近场通信单元101是可选的。具体地，请参见图1，在线上支付时，移动终端10可进一步包括一个移动通信单元105，用于代替线下支付时近场通信单元101的作用，其接入无线接入网(Radio Access Network，RAN)15，具体可以是无线接入网15中的基站，并通过该无线接入网15接入互联网，所述互联网与位于互联网中的服务器14连接，以实现服务器14接收指令数据或传输信息给安全元件102。安全元件102解析指令数据并根据金融交易协议进行相应回应，以便通过移动通信单元105将数据通过移动互联网传输给网络侧服务器14。此时移动通信单元105可以是一个运行无线蜂窝通信协议的单元，用于将移动终端10通过蜂窝无线通信链路13接入互联网。移动通信单元105具体可运行全球移动通信(Global System for Mobile，GSM)、通用移动通信系统(Universal Mobile  Telecommunications System，UMTS)、全球微波互联接入(Worldwide Interoperability for Microwave Access，WiMAX)或长期演进(Long Term Evolution，LTE)等蜂窝无线通信协议以实现移动终端10的移动互联网功能。

目前的各类移动终端采用的方案都是将安全元件102外置于主系统之外，如图1所示，中央处理单元103和移动通信单元105可以位于一个集成电路衬底上，即成为一块主芯片106上。安全元件102则具体是一个独立于主芯片106外的芯片。安全元件102具体通过串行外设接口(Serial Peripheral Interface，SPI)与主芯片106中的中央处理单元103通信。然而，安全元件102外置于主芯片106之外会导致安全元件102和主芯片106在移动终端10的主板上占用大的面积，并且会消耗更多成本。

发明内容

本发明实施例提供了一种移动支付装置和方法，以降低移动支付的硬件实现成本和面积。

第一方面，本发明实施例提供了一种移动支付装置，包括：通信单元，用于通过无线链路与通信对端交互支付信息；存储器，用于存储移动支付软件；安全元件，包括第一存储模块和处理器；至少一个中央处理单元，用于运行通用操作系统软件，并在通用操作系统软件的作用下控制所述通信单元、存储器和所述安全元件中的至少一个；所述处理器用于将所述移动支付软件从所述存储器加载到所述第一存储模块中，运行所述移动支付软件，并在所述移动支付软件的作用下与所述通信单元交互所述支付信息；第一存储模块，用于为所述处理器提供运行所述移动支付软件所需的内存空间；其中，所述安全元件与所述至少一个中央处理单元位于所述移动支付装置中的第一半导体芯片内。通过使用同一个第一半导体芯片集成所述安全元件与所述至少一个中央处理单元，移动支付的硬件实现成本和面积将被降低。可选地，所述通信单元可包括基带 单元。所述通信单元还可进一步包括射频单元。

根据第一方面，在第一方面的第一种可能的实现方式中，所述存储器位于所述移动支付装置中的第二半导体芯片内。由于第一半导体芯片独立于第二半导体芯片，存储移动支付软件的所述存储单元不必与执行所述移动支付软件的所述安全元件集成在一起，降低了硬件实现的难度和复杂度。特别是目前的存储器由于工艺、面积等原因难以与包括CPU的第一芯片集成，所述方案通过仅将安全元件与CPU集成，而采用片外存储器，更适合于移动支付方案。

根据第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述存储器包括互相隔离的安全存储区域和普通存储区域；所述安全存储区域用于存储所述移动支付软件；所述普通存储区域用于存储所述通用操作系统软件；所述处理器具体用于将所述移动支付软件从所述存储器中的所述安全存储区加载到所述第一存储模块中；所述至少一个中央处理单元具体用于从所述存储器中的所述普通存储区读取并运行所述通用操作系统软件。该实现方式等价于复用了所述存储器，使得所述通用操作系统软件和所述移动支付软件共存在一个存储器中且实现彼此安全隔离，在保证安全性的前提下节省存储器资源。

根据第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述存储器专用于存储所述移动支付软件；所述移动支付装置还包括普通存储单元，所述普通存储单元位于所述移动支付装置中的第三半导体芯片内，该普通存储单元用于存储所述通用操作系统软件；所述至少一个中央处理单元具体用于从所述普通存储单元中读取并运行所述通用操作系统软件。所述实现方式可让专用于存储所述移动支付软件的专用存储器与普通存储单元在物理上隔离，使得操作安全性进一步提高。

根据第一方面、或第一方面的第一种至第三种可能的实现方式中的任一方式，在第一方面的第四种可能的实现方式中，所述移动支付软件包括移动支付 操作系统软件。在移动支付软件中采用一个安全可靠的移动支付操作系统软件，可保证操作安全性，且也有利于以该移动支付操作系统软件为平台实现更多的移动支付应用软件，如支持不同银行的业务。可选地，所述移动支付操作系统软件为COS镜像。

根据第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述移动支付软件还包括至少一个移动支付应用软件。移动支付应用软件的数量越多将有利于移动支付业务扩展到更多不同的服务提供商，如不同的银行或商业机构。

根据第一方面的第四种或第五种可能的实现方式，在第一方面的第六种可能的实现方式中，所述安全元件还包括：第二存储模块，用于存储所述处理器启动所需的启动程序；当所述安全元件上电时，所述处理器用于从所述第二存储模块读取所述启动程序，在所述启动程序的作用下将所述移动支付操作系统软件从所述存储器加载到所述第一存储模块中，并运行所述移动支付操作系统软件。由于所述安全元件启动所需的启动程序位于安全元件内部的一个独立的第二存储模块中，可以保证所述安全元件启动的安全性。

根据第一方面的第五种可能的实现方式，在第一方面的第七种可能的实现方式中，所述处理器用于在与所述通信单元交互所述支付信息时受所述支付信息触发，将所述至少一个移动支付应用软件中的一个或多个移动支付应用软件从所述存储器加载到所述第一存储模块中，并运行所述一个或多个移动支付应用软件。由于移动支付应用软件的加载和运行是受到交互所述支付信息的触发，当没有支付服务时，相关移动支付应用软件可不被开启，能够节省第一存储模块的内存空间。特别是在安全元件高度集成的情况下，第一存储模块的空间很有限，相关方案能达到很好节约效果。

根据第一方面、或第一方面的第一种至第七种可能的实现方式中的任一方式，在第一方面的第八种可能的实现方式中，所述支付信息包括：从所述通信 对端经由所述通信单元传输至所述处理器的移动支付指令、以及响应所述移动支付指令从所述处理器经由所述通信单元传输至所述通信对端的移动支付数据。因此，所述支付信息包括了移动支付中双向通信过程。

根据第一方面的第八种可能的实现方式，在第一方面的第九种可能的实现方式中，所述移动支付数据包括经过安全处理的数据，所述安全处理包括如下至少一项：数据加密或数据完整性保护。由于移动支付数据经过了安全处理，使得在采用移动支付装置进行移动支付的时候，送给通信对端的所述移动支付数据安全性更有保障。

根据第一方面的第九种可能的实现方式，在第一方面的第十种可能的实现方式中，所述处理器还用于生成所述经过安全处理的数据。所述处理器由于具有安全处理过程，使得安全处理过程更集中于所述处理器上，无需额外的安全硬件，可节约成本。

根据第一方面的第九种可能的实现方式，在第一方面的第十一种可能的实现方式中，所述处理器还用于生成原始数据；所述安全元件还包括：安全处理模块，用于对所述原始数据进行所述安全处理以生成所述经过安全处理的数据。由于采用独立于处理器的安全处理模块进行安全处理，实现了安全处理的加速，处理实现更加优化。可选地，所述安全处理模块可以是一个硬件加速器。

根据第一方面、或第一方面的第一种至第十一种可能的实现方式中的任一方式，在第一方面的第十二种可能的实现方式中，所述至少一个中央处理单元对所述通信单元、存储器和所述安全元件中的至少一个的控制包括：控制开启、控制关闭或控制进入或退出低功耗状态或控制工作状态。可选地，所述至少一个中央处理单元可以是进阶精简指令集机器(Advanced RISC Machine，ARM)处理器。通过该至少一个中央处理单元可以在总体上方便地控制系统内其他单元的运行。

根据第一方面、或第一方面的第一种至第十二种可能的实现方式中的任一 方式，在第一方面的第十三种可能的实现方式中，所述通信单元为近场通信单元，所述通信对端为支付终端，所述近场通信单元具体用于通过运行短距离无线通信协议与所述支付终端交互所述支付信息。本方案便于通过近场通信单元与支付终端，例如POS机，进行方便的移动支付。可选地，所述近场通信单元包括用于运行短距离无线通信协议的近场通信基带单元。进一步地，所述近场通信单元还包括用于接收或发送射频信号的近场通信射频单元，所述射频信号被所述近场通信射频单元转化为近场通信基带单元能够处理的基带信号，所述射频信号包括所述支付信息。

根据第一方面的第十三种可能的实现方式，在第一方面的第十四种可能的实现方式中，所述近场通信单元位于所述第一半导体芯片内或者位于移动支付装置中的第四半导体芯片内。当所述近场通信单元位于所述第一半导体芯片内时，可以实现所述近场通信单元与安全元件和所述至少一个中央处理单元的高度集成，降低实现成本。当所述近场通信单元位于另一第四半导体芯片内时，可降低由于需要集成近场通信单元带来的设计难度。

根据第一方面、或第一方面的第一种至第十二种可能的实现方式中的任一方式，在第一方面的第十五种可能的实现方式中，所述通信单元为移动通信单元，所述通信对端为无线接入网，所述移动通信单元用于通过运行蜂窝无线通信协议与所述无线接入网交互所述支付信息。该方案有利于通过移动通信实现安全支付功能。可选地，所述移动通信单元包括用于蜂窝无线通信协议的移动通信基带单元。进一步地，所述移动通信单元还包括用于接收或发送射频信号的移动通信射频单元，所述射频信号被所述移动通信射频单元转化为移动通信基带单元能够处理的基带信号，所述射频信号包括所述支付信息。

根据第一方面的第十五种可能的实现方式，在第一方面的第十六种可能的实现方式中，所述移动通信单元位于所述第一半导体芯片内或者移动支付装置中的第五半导体芯片内。当所述移动通信单元位于所述第一半导体芯片内时， 可以实现高度集成，降低实现成本。当所述移动通信单元位于另一第五半导体芯片内时，可降低由于集成带来的设计难度。

根据第一方面、或第一方面的第一种至第十六种可能的实现方式中的任一方式，在第一方面的第十七种可能的实现方式中，所述安全元件还包括：加解密引擎，用于在所述处理器将所述移动支付软件从所述存储器加载到所述第一存储模块中后对所述移动支付软件进行安全验证，并在安全验证成功后指示所述处理器运行所述移动支付软件，所述安全验证包括安全解密或哈希(Hash)校验中的至少一项。可选地，该加解密引擎可以是一个硬件加速器。由于加解密引擎独立于所述安全元件中的处理器，专用于实现安全验证功能，可在验证成功后运行移动支付软件，确保移动支付软件在运行前不会被篡改，有利于提高安全验证时的处理性能。

根据第一方面的第十七种可能的实现方式，在第一方面的第十八种可能的实现方式中，所述加解密引擎，还用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理得到处理后的更新数据；所述处理器还用于将所述处理后的更新数据写入到所述存储器以更新所述移动支付软件。当移动支付软件需要更新时，通过加解密引擎的处理，便于后续再一次读出该更新后的移动支付软件时对相关软件进行验证，确保移动支付软件不会被篡改，更好保证需要更新的软件的安全性。

根据第一方面、或第一方面的第一种至第十六种可能的实现方式中的任一方式，在第一方面的第十九种可能的实现方式中，所述处理器还用于在将所述移动支付软件从所述存储器加载到所述第一存储模块中后对所述移动支付软件进行安全验证，并在安全验证成功后运行所述移动支付软件，所述安全验证包括安全解密或第一哈希校验中的至少一项。由于所述处理器自身已经具有上述安全验证功能，因此无需其他额外单元实现该功能，降低设计难度。

根据第一方面的第十九种可能的实现方式，在第一方面的第二十种可能的 实现方式中，所述处理器还用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理得到处理后的更新数据，并将所述处理后的更新数据写入到所述存储器以更新所述移动支付软件。当移动支付软件需要更新时，处理器可进一步对需要更新的软件做安全处理，以便于后续再一次读出该更新后的移动支付软件时对相关软件进行验证，实现了在处理器中的更多功能集成。

根据第一方面的第十八种或第二十种可能的实现方式，在第一方面的第二十一种可能的实现方式中，所述处理器在将所述处理后的更新数据写入到所述存储器时还用于利用密钥对所述处理后的更新数据做第二哈希运算处理得到待存储数据；所述存储器还用于对所述待存储数据做第二哈希校验，在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件。由于处理器具有如上所述的能力，使得被写入所述存储器的数据都需经过存储器的校验，保证存储器写入数据的安全性。

根据第一方面的第十八种或第二十种可能的实现方式，在第一方面的第二十二种可能的实现方式中，所述处理器在将所述处理后的更新数据写入到所述存储器时还用于将所述处理后的更新数据发送给所述至少一个中央处理单元；所述至少一个中央处理单元还用于在可信执行环境中利用密钥对所述处理后的更新数据做第二哈希运算处理得到待存储数据，并将所述待存储数据发送给所述存储器；所述可信执行环境与所述被运行的通用操作系统软件间存在安全隔离；所述存储器还用于对所述待存储数据做第二哈希校验，在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件。本方案中的更新数据从处理器写入存储器时，需要通过至少一个中央处理单元的可信执行环境来传递，且在可信执行环境中经过哈希处理，以使得存储器执行相应哈希校验，由于所述可信执行环境比通用操作系统软件更加可信，可提高存储器写入数据的安全性。

根据第一方面的第二十二种可能的实现方式，在第一方面的第二十三种可 能的实现方式中，所述安全元件还包括第三存储模块；处理器还用于将所述处理后的更新数据写入所述第三存储模块中，并向所述至少一个中央处理单元发送第一中断请求；所述至少一个中央处理单元还用于在可信执行环境中响应所述第一中断请求从第三存储模块中读取所述处理后的更新数据。

根据第一方面、或第一方面的第一种至第二十三种可能的实现方式中的任一方式，在第一方面的第二十四种可能的实现方式中，所述至少一个中央处理单元，还用于运行除所述移动支付软件外的普通应用软件。至少一个中央处理单元是移动终端内常用的通用中央处理单元，有利于该方案在普通移动终端上的扩展。

根据第一方面、或第一方面的第一种至第二十四种可能的实现方式中的任一方式，在第一方面的第二十五种可能的实现方式中，所述至少一个中央处理单元所运行的通用操作系统软件与所述安全元件存在安全隔离。由于所述隔离的存在，通用操作系统软件并不能随意对所述安全元件进行访问，可提高移动支付安全性。

根据第一方面、或第一方面的第一种至第十七种、第十九种、第二十四种和第二十五种可能的实现方式中的任一方式，在第一方面的第二十六种可能的实现方式中，所述处理器还用于利用密钥对更新数据或擦除指令做第二哈希运算处理得到处理结果；所述存储器还用于对所述处理结果做第二哈希校验，在第二哈希校验成功后得到所述更新数据或擦除指令，并利用更新数据更新所述移动支付软件或根据擦除指令擦除所述存储器中的与擦除指令对应的数据。该方案提高了移动支付中数据擦除的安全性。

根据第一方面、或第一方面的第一种至第十七种、第十九种、第二十四种和第二十五种可能的实现方式中的任一方式，在第一方面的第二十七种可能的实现方式中，所述处理器还用于将更新数据或擦除指令发送给所述至少一个中央处理单元；所述至少一个中央处理单元还用于在可信执行环境中利用密钥对 更新数据或擦除指令做第二哈希运算处理得到处理结果，并将该处理结果发送给所述存储器；所述可信执行环境与所述被运行的通用操作系统软件间存在安全隔离；所述存储器还用于对所述处理结果做第二哈希校验，在第二哈希校验成功后得到所述更新数据或擦除指令，并利用更新数据更新所述移动支付软件或根据擦除指令擦除所述存储器中的与擦除指令对应的数据。该方案提高了移动支付中数据擦除的安全性，且由中央处理单元实现安全处理，简化了处理器的设计。

第二方面，本发明实施例提供了一种通过移动支付装置实现移动支付的方法，包括：通过至少一个中央处理单元运行通用操作系统软件，并在通用操作系统软件的作用下控制通信单元和安全元件中的至少一个；将移动支付软件从存储器加载到所述安全元件中；在所述安全元件内运行移动支付软件；在所述移动支付软件的作用下，所述安全元件与所述通信单元交互支付信息，其中所述通信单元通过无线链路与通信对端交互支付信息；其中，所述安全元件与所述至少一个中央处理单元位于所述移动支付装置中的第一半导体芯片内。通过使用同一个半导体芯片集成了所述安全元件与所述至少一个中央处理单元，移动支付的硬件实现成本和面积将被降低。

第三方面，本发明实施例提供了一种半导体芯片，用于移动支付装置，所述半导体芯片包括安全元件与至少一个中央处理单元，所述安全元件包括第一存储模块和处理器，所述第一存储模块，用于为所述处理器提供运行移动支付软件所需的内存空间；所述至少一个中央处理单元，用于运行通用操作系统软件；所述处理器用于将所述移动支付软件从所述移动支付装置的存储器中加载到所述第一存储模块中，运行所述移动支付软件，并在所述移动支付软件的作用下与移动支付装置中的通信单元交互支付信息；所述至少一个中央处理单元，还用于在通用操作系统软件的作用下控制所述通信单元、存储器和所述安全模块中的至少一个。

根据第三方面，在第三方面的第一种可能的实现方式中，所述移动支付软件包括移动支付操作系统软件。

根据第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述移动支付软件还包括至少一个移动支付应用软件。

根据第三方面的第一种或第二种可能的实现方式，在第三方面的第三种可能的实现方式中，所述安全元件还包括：第二存储模块，用于存储所述处理器启动所需的启动程序；当所述安全元件上电时，所述处理器用于从所述第二存储模块读取所述启动程序，在所述启动程序的作用下将所述移动支付操作系统软件从所述存储器加载到所述第一存储模块中，并运行所述移动支付操作系统软件。

根据第三方面的第二种可能的实现方式，在第三方面的第四种可能的实现方式中，所述处理器用于在与所述通信单元交互所述支付信息时受所述支付信息触发，将所述至少一个移动支付应用软件中的一个或多个移动支付应用软件从所述存储器加载到所述第一存储模块中，并运行所述一个或多个移动支付应用软件。

根据第三方面、或第三方面的第一种至第四种可能的实现方式中的任一方式，在第三方面的第五种可能的实现方式中，所述支付信息包括：从所述通信对端经由所述通信单元传输至所述处理器的移动支付指令、以及响应所述移动支付指令从所述处理器经由所述通信单元传输至所述通信对端的移动支付数据。

根据第三方面的第五种可能的实现方式，在第三方面的第六种可能的实现方式中，所述移动支付数据包括经过安全处理的数据，所述安全处理包括如下至少一项：数据加密或数据完整性保护。

根据第三方面的第六种可能的实现方式，在第三方面的第七种可能的实现方式中，所述处理器还用于生成所述经过安全处理的数据。

根据第三方面的第六种可能的实现方式，在第三方面的第八种可能的实现方式中，所述处理器还用于生成原始数据；所述安全元件还包括：安全处理模块，用于对所述原始数据进行所述安全处理以生成所述经过安全处理的数据。

根据第三方面、或第三方面的第一种至第八种可能的实现方式中的任一方式，在第三方面的第九种可能的实现方式中，所述至少一个中央处理单元对所述通信单元、存储器和所述安全元件中的至少一个的控制包括：控制开启、控制关闭或控制进入或退出低功耗状态或控制工作状态。

根据第三方面、或第三方面的第一种至第十种可能的实现方式中的任一方式，在第三方面的第十一种可能的实现方式中，所述安全元件还包括：加解密引擎，用于在所述处理器将所述移动支付软件从所述存储器加载到所述第一存储模块中后对所述移动支付软件进行安全验证，并在安全验证成功后指示所述处理器运行所述移动支付软件，所述安全验证包括安全解密或哈希(Hash)校验中的至少一项。

根据第三方面的第十一种可能的实现方式，在第三方面的第十二种可能的实现方式中，所述加解密引擎，还用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理得到处理后的更新数据；所述处理器还用于将所述处理后的更新数据写入到所述存储器以更新所述移动支付软件。

根据第三方面、或第三方面的第一种至第十种可能的实现方式中的任一方式，在第三方面的第十三种可能的实现方式中，所述处理器还用于在将所述移动支付软件从所述存储器加载到所述第一存储模块中后对所述移动支付软件进行安全验证，并在安全验证成功后运行所述移动支付软件，所述安全验证包括安全解密或第一哈希校验中的至少一项。

根据第三方面的第十三种可能的实现方式，在第三方面的第十四种可能的实现方式中，所述处理器还用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理得到处理后的更新数据，并将所述处理后的更新数据写入到所 述存储器以更新所述移动支付软件。

根据第三方面的第十二种或第十四种可能的实现方式，在第一方面的第二十五种可能的实现方式中，所述处理器在将所述处理后的更新数据写入到所述存储器时还用于利用密钥对所述处理后的更新数据做第二哈希运算处理得到待存储数据；所述存储器还用于对所述待存储数据做第二哈希校验，在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件。

根据第三方面的第十二种或第十四种可能的实现方式，在第三方面的第十六种可能的实现方式中，所述处理器在将所述处理后的更新数据写入到所述存储器时还用于将所述处理后的更新数据发送给所述至少一个中央处理单元；所述至少一个中央处理单元还用于在可信执行环境中利用密钥对所述处理后的更新数据做第二哈希运算处理得到待存储数据，并将所述待存储数据发送给所述存储器；所述可信执行环境与所述被运行的通用操作系统软件间存在安全隔离；所述存储器还用于对所述待存储数据做第二哈希校验，在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件。

根据第三方面的第十六种可能的实现方式，在第三方面的第十七种可能的实现方式中，所述安全元件还包括第三存储模块；处理器还用于将所述处理后的更新数据写入所述第三存储模块中，并向所述至少一个中央处理单元发送第一中断请求；所述至少一个中央处理单元还用于在可信执行环境中响应所述第一中断请求从第三存储模块中读取所述处理后的更新数据。

根据第三方面、或第三方面的第一种至第十七种可能的实现方式中的任一方式，在第三方面的第十八种可能的实现方式中，所述至少一个中央处理单元，还用于运行除所述移动支付软件外的普通应用软件。

根据第三方面、或第三方面的第一种至第十八种可能的实现方式中的任一 方式，在第三方面的第十九种可能的实现方式中，所述至少一个中央处理单元所运行的通用操作系统软件与所述安全元件存在安全隔离。

根据第三方面、或第三方面的第一种至第十一种、第十三种、第十八种和第十九种可能的实现方式中的任一方式，在第三方面的第二十种可能的实现方式中，所述处理器还用于利用密钥对更新数据或擦除指令做第二哈希运算处理得到处理结果；所述存储器还用于对所述处理结果做第二哈希校验，在第二哈希校验成功后得到所述更新数据或擦除指令，并利用更新数据更新所述移动支付软件或根据擦除指令擦除所述存储器中的与擦除指令对应的数据。

根据第三方面、或第三方面的第一种至第十一种、第十三种、第十八种和第十九种可能的实现方式中的任一方式，在第三方面的第二十一种可能的实现方式中，所述处理器还用于将更新数据或擦除指令发送给所述至少一个中央处理单元；所述至少一个中央处理单元还用于在可信执行环境中利用密钥对更新数据或擦除指令做第二哈希运算处理得到处理结果，并将该处理结果发送给所述存储器；所述可信执行环境与所述被运行的通用操作系统软件间存在安全隔离；所述存储器还用于对所述处理结果做第二哈希校验，在第二哈希校验成功后得到所述更新数据或擦除指令，并利用更新数据更新所述移动支付软件或根据擦除指令擦除所述存储器中的与擦除指令对应的数据。

本发明实施例提供的技术方案可在确保移动支付安全性的情况下降低硬件实现成本和面积，更好地适应移动支付中移动终端小型化的需求，方便了移动支付的普及和扩展。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例或现有技术的简化示意图，对于本领域普 通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术提供的一种简化的用于移动支付的移动终端结构的简化示意图；

图2为本发明实施例提供的一种移动支付装置结构的简化示意图；

图3为本发明实施例提供的一种移动支付流程的简化示意图；

图4为本发明实施例提供的一种移动支付软件对存储器的安全存储区域进行安全访问操作的简化示意图；

图5为本发明实施例提供的另一种移动支付软件对存储器的安全存储区域进行安全访问操作的简化示意图；

图6为本发明实施例提供的一种移动支付装置内用于移动支付的系统结构的简化示意图；

图7为本发明实施例提供的一种用于移动支付的存储器的简化结构示意图；

图8为本发明实施例提供的一种用于移动支付的软件系统架构的简化示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图2为本发明实施例提供的一种移动支付装置20的示意图。该移动支付 装置20可以位于一个移动终端21内。该移动终端21可以是一个用户设备(User Equipment，UE)，如手机、平板电脑等各种类型的便携式终端设备。该移动支付装置21具体可以是芯片或芯片组或搭载有芯片或芯片组的电路板。该芯片或芯片组或搭载有芯片或芯片组的电路板可在必要的软件驱动下工作。移动支付装置20可包括：近场通信单元201，通过运行短距离无线通信协议与位于移动终端21外的用于接入互联网以实现移动支付功能的支付终端，例如POS机，交互支付信息，以实现线下支付。移动通信单元202，通过运行蜂窝无线通信协议与无线接入网，具体如无线接入网中的基站交互支付信息，以便通过包括该基站的无线接入网接入互联网，以最终实现移动通信单元202与互联网中具有支付功能的服务器交互支付信息，从而实现线上支付。可以理解，该移动支付装置20可以包括近场通信单元201或移动通信单元202之一，即可实现线下支付或线上支付的任一种。其中，近场通信单元201运行的短距离无线通信协议可以采用射频识别(Radio Frequency Identification，RFID)技术，具体可支持各种类型的RFID协议，例如欧洲计算机制造联合会(European Computer Manufactures Association，ECMA)标准协议，此外也不排除蓝牙通信、红外通信、无线保真(WiFi)协议等其他类型的短距离通信协议。移动通信单元202运行的蜂窝无线通信协议可以是GSM、UMTS、WiMAX或LTE等任一种或多种蜂窝无线通信协议，以实现通过该移动通信单元202与蜂窝移动通信网络中无线接入网的通信。可以理解，无线接入网中的基站是一种实现上述通信功能的无线接入网中的网元，基站的形态可以有多种，如NodeB、eNodeB等。包括所述基站的无线接入网最终将连接到网络中的服务器，即云侧服务器，实现服务器与移动支付装置20的支付信息交互。近场通信单元201或移动通信单元202可以包括运行通信协议的基带单元。可选地，近场通信单元201或移动通信单元202可以进一步包括射频单元。与现有技术类似，射频单元可用于进行射频信号接收并将射频信号转化为基带信号以供上 述基带单元处理。支付信息被包括在射频信号内，从而被近场通信单元201或移动通信单元202获取。

图2中的移动支付装置20中还包括可用于存储移动支付软件的存储器203、安全元件204和至少一个中央处理单元205。至少一个中央处理单元205，用于运行通用操作系统软件，如安卓操作系统、Windows操作系统或iOS操作系统等通用的操作系统，这些操作系统可以用来支持一般的非移动支付类应用软件。中央处理单元205的数量越多，能够处理数据的能力越强。通用操作系统软件则是运行各种应用软件的通用软件平台。中央处理单元205可以基于ARM架构或英特尔X86架构或单字长定点指令平均执行速度(Million Instructions Per Second，MIPS)架构等来实现，本实施例对此不作限制。至少一个中央处理单元205在该用操作系统软件的作用下控制近场通信单元201、移动通信单元202、存储器203和所述安全元件204。具体的控制过程可以包括：控制开启、控制关闭或控制进入或退出低功耗状态。因此，运行通用操作系统的中央处理单元205可以实现对移动支付装置20中其他各个部分的统一控制，使得这些部分正常上下电，进入或退出低功耗状态，如进入或退出睡眠状态等。通信单元、存储器或安全元件中的任一部件在低功耗状态时的功耗低于该部件工作时的功耗。此外，对任意部件的所述控制过程还可以包括其他控制操作，如控制工作状态。控制工作状态可以是调整该部件工作时的工作电压、时钟频率或处理速率等，本实施例对此不作限定。具体的控制过程可参见现有技术中通用中央处理单元对其他部件的控制操作。

可参考图6的系统结构，其是在图2基础上对部分部件的进一步细化，其中安全元件204可包括第一存储模块2041和处理器2042。关于图6中存储器203所包括的具体内容，可参考图7，存储器203可存有移动支付软件2030。结合图6和图7，所述处理器2042用于将所述移动支付软件2030从所述存储器203加载到所述第一存储模块2041中，运行所述移动支付软件2030，并在 所述移动支付软件2030的作用下与近场通信单元201或移动通信单元202中的至少一个交互支付信息。第一存储模块2041为所述处理器2042提供运行所述移动支付软件2030所需的内存空间。该第一存储模块2041可以是一个随机存取存储器(Random Access Memory，RAM)。存储器203则可以是一个只读存储器(Read-Only Memory，ROM)。具体如图7所示，存储器203内存有的所述移动支付软件2030可以包括移动支付操作系统软件2031，该移动支付操作系统软件2031不同于普通的操作系统软件，其仅仅是一个用于运行移动支付应用软件2032的操作系统平台，使得该移动支付可靠性更高。

在一种可选的实现方式中，移动支付操作系统软件2031可以是片内操作系统(Chip Operating System，COS)。该COS也叫COS镜像，可以等效为是驻留智能卡或金融集成电路(Integrated Circuit，IC)卡内的操作系统软件，此时的安全元件204等效为是具有驻留智能卡或金融卡的功能，其用于向外界的POS机、读卡器或云侧的金融服务器提供刷卡等移动支付服务所需的数据，如银行金融业务相关的数据或用户个人的账户数据，例如个人账号、密码、银行服务器对个人账户进行验证所需的各类验证信息等。此外，COS镜像也是接收和处理外界支付信息，如金融服务器或者读卡器、POS机发给安全元件204的各种支付信息的操作平台，可用于执行外界发送的各种指令，比如鉴权运算等操作，并管理安全元件204内的第一存储模块2041的空间，以及向外界回送应答信息等。安全元件204一般采用基于JAVA计算机程序语言的COS作为安全系统，COS不仅能够在安全元件204中被预置，而且移动支付装置20还能基于该COS动态下载和安装各类移动支付应用软件2032，如各类金融应用软件。COS的具体设计属于现有技术的内容，不在本申请讨论范围内。

在图7中，所述移动支付软件2030除了所述移动支付操作系统软件2031外还包括多个移动支付应用软件2032。一个移动支付应用软件2032用于一类移动支付功能。例如，每个移动支付应用软件2032可以是一个银行的相关应 用软件，用于实现与该银行相关的软件功能，如包括与该银行相关的账号、密码、鉴权和认证相关信息，以及与该银行特色服务相关的功能。当然，移动支付的应用不仅限于银行的业务，也包括但不限于借记卡或信用卡服务、或其他类型的移动支付，比如社保卡、交通卡或某个单位内部的IC卡支付业务，本实施例对此不作限制。

在图2或图6中，所述安全元件204与所述至少一个中央处理单元205位于所述移动支付装置20中的第一半导体芯片IC1内，该IC1也叫做移动支付装置20的主芯片。通过使用同一个半导体主芯片IC1集成了所述安全元件204与所述至少一个中央处理单元205，移动支付的硬件实现成本和面积将被降低，而不必像现有技术一样将安全支付相关的硬件功能单元与主芯片分别做成2个独立的芯片，使得集成度更高的主芯片IC1在移动支付装置20的主板上的排布也更加简单。可选地，如图2或图6所示，所述近场通信单元201可位于移动支付装置20中的另一第四半导体芯片IC4内。可以理解，除了采用图2或图6所示的第四半导体芯片IC4来实现近场通信单元201外，近场通信单元201也可位于所述第一半导体芯片IC1内(图中未示出)，以便进一步实现对主芯片IC1的集成度，降低实现成本。类似地，所述移动通信单元202也可如图6所示位于所述第一半导体芯片IC1内，或者如图2所示独自位于移动支付装置20中的另一第五半导体芯片IC5内。是否将近场通信单元201或移动通信单元202集成进入主芯片IC1取决于本领域技术人员的具体设计。

在本发明的各个实施例中，半导体芯片也简称为芯片，其可以是利用集成电路工艺制作在集成电路衬底(通常是例如硅一类的半导体材料)上的集成电路的集合，其外层通常被半导体封装材料封装。所述集成电路可以包括金属氧化物半导体(Metal-Oxide-Semiconductor，MOS)晶体管、双极晶体管或二极管等。半导体芯片可以独立工作或者在必要的驱动软件的作用下工作，实现通信、计算、或存储等各类功能。

关于移动支付装置20内各部分如何在不同芯片上分部，请继续参见图2，除了将近场通信单元201和移动通信单元202置于主芯片IC1之外的其他芯片上，所述存储器203可具体位于所述移动支付装置20中的第二半导体芯片IC2内。可替换地，所述存储器203也可以与近场通信单元201或移动通信单元202一起被集成进主芯片IC1内(图中未示出)，此时该存储器203和安全元件204可以视为是一个实现安全支付的系统。但是通常的，类似图2或图6的方案，本领域中更多采用独立于主芯片IC1的第二半导体芯片IC2来实现存储器203。这是由于存储器203如果集成于主芯片IC1内时通常以闪速(flash)存储器的形式存在，但flash存储器存储空间通常非常有限，如果要实现大的存储空间会导致成本有较大上升且实现复杂。如果采用独立的第二半导体芯片IC2实现flash存储器203，将使得实现成本有一定下降且设计更简单、且更能满足存储大容量的要求。特别是目前的存储器由于生产工艺、面积等原因难以与主芯片IC1集成，仅将安全元件204与至少一个中央处理单元205集成，而采用主芯片外独立的存储器203，更适合于现有移动支付方案。

当采用类似图2或图6中的片外存储器203时，所述存储器203还可被移动支付软件2030和其他软件复用。在此种实现方式下，存储器203包括互相隔离的安全存储区域203A和普通存储区域203B，具体请参考图7。所述安全存储区域203A用于存储所述移动支付软件2030，所述普通存储区域203B用于存储之前提到的通用操作系统软件。所述至少一个中央处理单元205具体用于从所述存储器203中的所述普通存储区域203B读取并运行所述通用操作系统软件，而所述处理器2042具体用于将所述移动支付软件2030从所述安全存储区域203A加载到所述第一存储模块2041中。所述隔离表明所述通用操作系统软件和所述移动支付软件2030不会混合在一起，而是共存在一个存储器203中但彼此被各自执行主体所独立访问，在保证安全性的前提下节省存储器资源。此时的存储器203可以是嵌入式多媒体卡(Embedded Multi Media Card， eMMC)，安全存储区域203A可以是所述eMMC存储器203的回环保护存储分区(Replay Protect Memory Block，RPMB)。当然，存储器203也可以是其他类型的存储设备，本实施例对此不作限制。

在另一种可选的实现方式中，所述存储器203可以专用于存储所述移动支付软件2030，即存储器203此时不会存储包括通用操作系统软件在内的其他与移动支付不相关的软件。所述移动支付装置20此时还包括一个普通存储单元206。如图2所示，所述普通存储单元206位于所述移动支付装置20中的第三半导体芯片IC3内，该普通存储单元206用于存储所述通用操作系统软件。所述至少一个中央处理单元205具体用于从所述普通存储单元206中读取并运行所述通用操作系统软件。此时专用存储器203与普通存储单元205在物理上隔离，使得操作安全性进一步提高。普通存储单元205可以是如前所述的eMMC。所述专用存储器203可以是一个独立于主芯片IC1的Flash存储器。不过对于普通存储单元205和专用存储器203的具体存储类型，本实施例不作限定。

具体参见图6，在一种可选的实现方式内，所述安全元件204还包括：第二存储模块2043，用于存储所述处理器2042启动所需的启动程序，如启动时的引导代码；当所述安全元件204上电时，所述处理器用于从所述第二存储模块2043读取所述启动程序，在所述启动程序的作用下将所述移动支付操作系统软件2031，如COS镜像，从所述存储器203加载到所述第一存储模块2041中，并运行所述移动支付操作系统软件2031。由于所述安全元件204启动所需的启动程序位于安全元件204内部的第二存储模块2043中，该第二存储模块2043是所述安全元件204启动专用的，不会被其他任何安全元件204外的软件运行程序或硬件所随意访问，保证了安全性。

在一种可选的实现方式中，所述处理器2042可以在与所述近场通信单元201或移动通信单元202交互所述支付信息时受所述支付信息触发，将所述至 少一个移动支付应用软件2032中的一个或多个移动支付应用软件2032从所述存储器203加载到所述第一存储模块2041中，并运行所述一个或多个移动支付应用软件2032。由于移动支付应用软件2032的加载和运行是受到交互所述支付信息的触发，当没有支付服务时相关移动支付应用软件2032可不被开启，能够节省第一存储模块2041的内存空间。也就是说，移动支付应用软件2032是以动态加载的方式被载入的，即只有被选择的应用软件会被从外部存储器203加载到对应的第一存储模块2041，即RAM中。其他不需要使用的应用软件则不被加载到该RAM中，保证让RAM中被占用的空间只用来容纳COS镜像和1至2个应用软件的程序文件，而不会导致该RAM被占用过多。

处理器2042通过通信单元(如近场通信单元201或移动通信单元202)与通信对端(如支付终端或无线接入网)交互所述支付信息的方案属于移动支付协议的内容，其方案在现有技术中已有很多种，流程上可能类似于信用卡的刷卡过程。每个不同的服务提供商，如银行、公共交通部门等，都可以拥有自身的移动支付握手通信协议，用于实现安全元件204中处理器2042经由通信单元至通信对端的支付握手，如个人保密信息的传递、安全数据的发送等。

为便于说明，本实施例给出了一个如图3所示的一个移动支付流程图。在相关流程中，通过无线链路(包括蜂窝无线通信链路或短距离无线通信链路)在移动支付装置20和支付终端之间传递的各类与移动支付有关的信息都可以认为是支付信息。所述支付流程的简要步骤可包括：S31，中央处理单元205运行通用操作系统软件，并在通用操作系统软件的作用下控制通信单元和安全元件204。所述控制可以是控制开启、关闭、进入或退出低功耗状态。S32，安全元件204从存储器203中载入并运行移动支付软件2030。S33，通信单元从通信对端经由无线通信链路接收移动支付指令。该指令可以是请求移动支付装置20进行移动支付的请求消息，该消息可以包括在一个空口信令中，该空口信令的具体实现和信令结构可参照现有无线通信协议的内容。所述移动支付 指令除了用于请求发起支付业务外，还可包括必要的认证、鉴权请求，其具体内容可参考移动支付领域的现有技术，不在本申请讨论之内。S34，通信单元通过运行无线通信协议软件解析空口信令得到移动支付指令，并将移动支付指令传输至所述安全元件204中处理器2042。S35，处理器2042在所述移动支付软件2030的驱动下，响应所述移动支付指令向通信单元发送移动支付数据。具体地，所述移动支付数据可以包括用户身份的证明数据，如银行卡号、账号、个人保密信息、或各类银行交易所需的密文等，其类似于信用卡支付的信用卡信息，用于被通信对端所读取。S36，通信单元运行无线通信协议将移动支付数据打包为空口信令传输给通信对端。S37，通信对端将移动支付数据传输至服务器。所述服务器对移动支付数据进行处理以完成支付业务。

可选地，在采用线下支付时，通信对端是POS机一类的支付终端，支付终端将通过互联网将移动支付数据传输给云侧服务器。或者可替换地，在采用线上支付时，移动通信单元202作为通信单元，将通过无线接入网将移动支付数据传递给服务器。服务器的具体操作可以参见现有的支付方案，如现有的银行网上支付业务，本申请对此不作说明。当服务器完成交易后，可以返回交易成功的信息给采用线下支付的POS机并在POS机上显示，或者在采用线上支付时服务器直接将交易成功的信息返回给移动支付装置20的移动通信单元202，以便移动支付装置20内能够显示该信息。可选地，在交易不成功时，服务器可通过返回支付失败信息来代替所述交易成功的信息，本实施例对此不做限制。所述支付信息包括了双向的通信过程，用于实现网络侧的云服务器和移动支付装置20的移动支付握手通信，其双向通信的握手过程根据不同的服务提供商和处理器2042所运行的不同移动支付应用软件2032而有所不同，通常取决于不同服务提供商。

参考图6所示，对于线下支付，当处理器2042与近场通信单元201交互所述支付信息时，处理器2042可经由安全元件204内包括的一个通信接口 2044与主芯片IC1外的近场通信单元201(位于IC4中)交互所述支付信息。具体地，该通信接口2044可遵循单线协议(Single Wire Protocol，SWP)。当然，通信接口2044也可以使用其他的接口协议来实现数据或信息的传输。如果近场通信单元201同样集成于主芯片IC1中，则处理器2042可以通过一个片内连接线，如图6中的片内总线207，与近场通信单元201实现信息交互。通信接口2044由于是标准SWP接口，其可采用标准的SWP协议实现。近场通信单元201如何基于SWP协议将从POS机获取的数据传输到安全元件204已是现有的成熟方案，不在本申请讨论范围内。此外近场通信单元201与所述至少一个中央处理单元205可采用内部集成电路(Inter-Integrated Circuit，I2C)接口连接，以传递其他数据，当然其他接口也可实现类似作用且不应被排除在实现方案外。近场通信单元201内部可以存储有路由表，近场通信单元201可识别通信对端发起的通信属于何种类型，如果发起的业务是的支付业务，则通过查询路由表将相关支付业务相关数据通过SWP接口转发至安全元件204，以便安全元件204中的处理器2042进行处理。如果近场通信单元201发现发起的业务是非支付类业务，近场通信单元201通过查询路由表将相关非支付类业务的数据通过I2C接口转发至述至少一个中央处理单元205。例如，如果被发起的业务属于业务企业内的工卡与统计工时的刷卡机接触时，近场通信单元201可以将数据通过I2C接口送往至少一个中央处理单元205，并在通用操作系统，如安卓环境下，做刷卡模拟应用。

对于线上支付，假设采用移动通信单元202集成在主芯片IC1内的实现方式，则参见图6，处理器2042也可通过一个片上总线207与移动通信单元202实现交互支付信息。片上总线207还可连接至中央处理单元205和存储接口208。存储接口208被主芯片IC1用于和第二芯片IC2中的存储器203交互数据。

在一种可选的实现方式中，处理器2042提供给通信对端的所述移动支付 数据可以是经过安全处理的，所述安全处理可以包括如下至少一项：数据加密或数据完整性保护。具体地，所述处理器2042还可以在所述移动支付软件2030的驱动下生成所述经过安全处理的数据，即处理器通过软件驱动可以执行安全处理，保证经过处理的移动支付数据被传输给服务器。服务器可以相应地对移动支付数据做解密和解完整性保护，以验证移动支付数据是否被篡改。如果所述移动支付数据被篡改过，服务器可以返回之前提到的支付失败信息，从而保证移动支付过程的安全性。可替换地，所述处理器2042可以仅生成原始数据，该原始数据时未经过安全处理的移动支付数据。由所述安全元件204中的一个独立的安全处理模块2045对所述原始数据进行所述安全处理以生成所述经过安全处理的数据。安全处理模块2045在硬件上可独立于所述处理器2042，具体可以是一个包括电路结构的硬件加速器，用于实现安全处理的加速，使得处理实现更加优化。

除了与通信对端所交互的数据需要经过安全处理外，处理器2042还需要从所述存储器203读取所述移动支付软件2030，所述移动支付软件2030的读取和写入也可以经过安全保护，以实现更好的安全性。例如，所述安全元件204还包括：加解密引擎2046，用于在所述处理器2042将所述移动支付软件2030从所述存储器203加载到所述第一存储模块2041中后对所述移动支付软件2030进行安全验证，并在安全验证成功后指示所述处理器2042运行所述移动支付软件2030，所述安全验证包括安全解密或第一哈希校验中的至少一项。可选地，该加解密引擎可以是一个包括电路结构的硬件加速器。由于硬件形式的加解密引擎独2046立于所述处理器2042，专用于实现安全验证功能，可确保移动支付软件2030仅在验证成功后被运行，避免移动支付软件2030中的移动支付操作系统软件2031或移动支付应用软件2032被篡改，有利于提高安全验证时的处理性能。

除了将移动支付软件2030读出后对移动支付软件2030做验证，所述加解 密引擎2046还可用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理。所述处理器2042还用于将处理后的更新数据写入到所述存储器203以更新所述移动支付软件2030。例如，数据更新可以是COS镜像的更新或任一种移动支付应用软件2032的更新。更新数据的内容可以包括对COS镜像或移动支付应用软件2032的升级文件，也可以包括用于对所述移动支付数据做数据加密或数据完整性保护的信息的更新，如密钥的升级，还可以包括移动支付的记录文件，如个人信息更改、交易日志等，本实施例对更新数据的内容不作限定。

可替换地，所述加解密引擎2046的功能也可以被所述处理器2042所代替，此时将不需要独立的硬件加解密引擎2046来对从存储器203读出的或向存储器203写入的移动支付软件2030做安全处理，而是由处理器2042自身集成该安全功能。更近一步地，所述处理器2042在将所述处理后的更新数据写入到所述存储器时还可利用密钥Krpmb对所述处理后的更新数据做第二哈希运算处理得到待存储数据。该第二哈希运算处理可以和之前提到的第一哈希运算处理过程类似，但具体做这两种哈希处理时所采用的密钥通常不同。例如，可在第二哈希运算处理中利用密钥Krpmb对更新数据加密得到一个摘要值，并将摘要值与更新数据合并生成所述待存储数据，该摘要值也可以是信息鉴别码(Messape Authenticator Code，MAC)签名。所述存储器203还用于对所述待存储数据做第二哈希校验，第二哈希校验是与第二哈希运算处理相对应的过程，用于校验经过第二哈希运算处理的待存储数据是否被篡改过，具体可以参照校验MAC签名的现有技术。存储器203在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件2030。

以存储器203是一个eMMC为例，参见图7，其安全存储区域203A用于存储移动支付软件2030。所述处理器2042在对安全存储区域203A做写入或擦除等操作都需要验证命令的签名，该验证命令也就是密钥Krpmb。eMMC 存储器203会根据预置的密钥Krpmb校验处理器2042送过来的写入命令数据包是否正确，每个写入命令数据包可包括全部更新数据的部分数据包。具体的利用密钥Krpmb所做的哈希校验处理算法可以是哈希运算消息认证码安全散列算法(Hash-based Message Authentication Code Secure Hash Algorithm，HMAC SHA)256算法。在一种可选的实现方式下，可以在eMMC存储器203生产时将每个eMMC存储器203唯一的密钥Krpmb烧写到eMMC存储器203中，该密钥Krpmb也被可以烧写或记录到安全元件204中，具体可以通过电子熔丝(eFuse)技术烧写在安全元件204的处理器2042中或烧写处理器2042外的其他硬件电路中，并由安全元件204来管理和使用该密钥Krpmb。

除了由安全元件204来管理和使用密钥Krpmb，在另一种可选的实现方式中，在中央处理单元205的安全域(Trustzone，TZ)中管理和使用密钥Krpmb是一种更为常见的实现形式。该TZ为一个可信执行环境(Trust Execute Environment，TEE)。具体地，由一种软件运行所形成一个环境也就是一个软件系统，其可与外界其他的软件或硬件系统交互数据。如图8所示，该被中央处理单元205执行的可信执行环境与同样被中央处理单元205运行的通用操作系统软件(如安卓系统环境)间存在安全隔离，分别是两个独立的软件系统，虽然由同一个中央处理单元205运行，但可信执行环境与通用操作系统软件之间的安全隔离性很好，通用操作系统软件和基于该操作系统的的普通应用软件的运行程序不能随意访问该可信执行环境。可信执行环境则可以与由处理器2042运行移动支付软件2030所形成的环境，即与安全元件204之间传输数据。因此，通用操作系统软件与可信执行环境和安全元件204之间均存在安全隔离，使得通用操作系统软件或基于该软件的普通应用软件的运行程序对可信执行环境和安全元件204的访问不是随意的，即便所述访问被执行需要经过特定的软件或硬件的安全接口，但可信执行环境和安全元件204之间的安全隔离度相对更低，操作相对方便。所述普通应用软件可以包括各类非安全支付相关的 软件，如即时通信软件、游戏、办公软件、电子书软件或音视频流媒体播放器等。

在一种可选的实现方式，可在可信执行环境中来实现对密钥Krpmb的管理。具体地，密钥Krpmb可以烧写在中央处理单元205相关的硬件电路中，这样中央处理单元205的通用操作系统软件(如安卓系统)下的各类非安全软件不知道该Krpmb，故不能对该eMMC存储器203的安全存储区域203A进行写操作。而对eMMC存储器203内其他普通存储区域203B，中央处理单元205的通用操作系统软件和基于该操作系统的各类普通应用软件的运行程序是完全都能够访问的。由于通用操作系统软件与所述安全元件204存在安全隔离，通用操作系统软件并不能随意对所述安全元件进行访问，可提高移动支付安全性。

可选地，可信执行环境可以提供可视化的银行支付或其他金融业务的用户界面(User interface，UI)，以便用户通过该UI输入指令，使得所述指令通过可信执行环境传输至安全元件204，实现用户通过该UI完成与安全元件204的信息交互。该UI是一个可信UI，其区别于通用操作系统软件提供的普通UI，可以使得用户输入的移动支付密码通过相对安全的可信执行环境送到安全元件204中，之后这些包括了移动支付密码的信息被做数据加密后通过近场通信单元201或移动通信单元202传输至网络侧的服务器。

在一种具体实施方式下，以存储器203的类型是eMMC为例，如图4所示，给出了本发明实施例的一种对eMMC存储器203的安全存储区域203A进行访问操作的软件架构示意图。所述访问可以包括从安全存储区域203A读取数据或者向安全存储区域203A写入数据(安全数据更新或升级)，读取或写入的单位可以是固定的长度单位。所述软件架构包括移动支付软件2030，由安全元件204执行，移动支付软件2030提供类似驻留智能卡或IC卡的刷卡操作相关功能，可包括之前提到的移动支付操作系统软件2031和移动支付应 用软件2032。

在图4中，对于eMMC存储器203的写入过程而言，在处理器2042运行移动支付软件2030所提供的安全环境内部，数据410就是待更新或升级的数据，数据410经过哈希计算处理得到处理后的数据411，数据411包括作为明文数据的数据410和该明文数据410的哈希值(也可以叫数据410的摘要)410A。数据411随后在该安全环境内部被做安全加密，可以具体由Kse密钥来加密该数据411，得到密文数据412。Kse密钥可以是一组或多组密钥，安全加密的加密算法可以是任意的对称加密算法或非对称加密算法。例如，一种可用的加密算法可以是高级加密算法(Advanced Encryption Standard，AES)，本实施例对此不作限定。随后安全元件204可通过如图6所示的系统总线207将密文数据412和写入地址传输给中央处理单元205，即密文数据412和其写入地址被从移动支付软件2030环境转移到中央处理单元205生成的可信执行环境2051中。由中央处理单元205在生成的可信执行环境2051对密文数据412和其写入地址做第二哈希运算处理，具体可以是使用密钥Krpmb加密密文数据412或密文数据412的一部分得到哈希处理的摘要值，即MAC签名，加密算法可以是如前实施例所述的哈希算法，如HMAC SHA 256算法。该第二哈希运算处理也可以是满足eMMC存储器203的安全存储区域203A对数据安全的需求的其他处理算法。具体地，在可信执行环境2051中，密文数据412和其写入地址作为数据可以被分为多个部分，每个部分被并行处理。如图4所示，可信执行环境2051中包括多个队列L1，……，LN，其中每个队列，如队列L1包括一部分分包L11和检验部分L12，其中检验部分L12是采用密钥Krpmb对分包L11做第二哈希运算处理得到的摘要值。随后每个队列被从可信执行环境2051转移到通用操作系统软件2052，通常是具体转移到通用操作系统软件2052的内核(Kernel)，该转移的过程通常是透传，即通用操作系统软件2052不会对数据内容进行修改。在通用操作系统软件2052环境下，每 个队列L1，……，LN被转化为能够被eMMC存储器203读取的RPMB数据D，D也可分为多个分段或队列，如D1，……DN，并通过如图2或图6所示的存储接口208传输给eMMC存储器203。具体地，在通用操作系统软件2052环境下，队列L1被经过eMMC协议命令处理得到符合存储接口208规范的数据D1，……DN，但原数据内容不会经过任何加工或改造。如前所述，eMMC存储器203持有密钥Krpmb，会基于数据D1得到队列L1，并采用密钥Krpmb对队列L1中的检验部分L12做MAC签名的校验。具体地，密钥Krpmb被用于加密队列L1中的分包L11得到摘要值，该摘要值被与检验部分L12比对以得到校验结果。如果检验通过，则基于多个分包L11得到密文数据412或其部分，以及相应写入地址，并将按照写入地址将密文数据412或其部分写入eMMC存储器203的安全存储区域203A，例如RPMB中。

参见图4，对于eMMC存储器203的读出过程，其和之前的写入过程是相反的流程，本实施例对此不作详细描述。其中eMMC存储器203发送给通用操作系统软件2052且经由该通用操作系统软件2052传递至可信执行环境2051的数据队列经过密钥Krpmb的加密，包括携带有数据内容的分包L11和加密生成的检验部分L12。在可信执行环境2051中，中央处理单元205采用密钥Krpmb对缓存的队列L1中的分包L11做加密处理得到摘要值，所述摘要值被与检验部分L12做比对以校验数据是否被篡改过。安全元件204，具体可以是如前所述的加解密引擎2046或所述处理器2042，在移动支付软件2030提供的环境下通过系统总线207或其他接口得到密文数据412，并利用Kse密钥安全解密得到的数据410和数据410的哈希值410A。安全元件204进一步对哈希值410A进行哈希校验并在校验成功后确认相关数据没有被篡改，从而实现成功读取。如果哈希校验和安全解密中的任一个没有成功，则可以认为相关数据被篡改，本次读出的数据不可信，那么安全元件204中的所述处理器2042可以决定丢弃这些数据。可选地，在数据不可信时所述处理器2042可以 向中央处理单元205报错或报警，本实施例对此不作限制。对eMMC存储器203的操作来说，无论是移动支付操作系统软件2031，如COS镜像，还是移动支付应用软件2032的读出和写入流程可以是与图4类似的。

在图4对应的实施例中，以对存储器203写入数据为例做说明，实际上，在所述处理器2042需要擦除存储器203的数据时，处理器2042也可以生成一个擦除指令，所述指令中携带有需要擦除的数据的地址。该指令被处理器2042传输给中央处理单元205，即由移动支付软件环境2030传输给可信执行环境2051。该指令可在可信执行环境2051中被中央处理单元205利用密钥Krpmb加密(哈希处理)得到摘要值，该摘要值和指令一起经由通用操作系统软件2052传递给存储器203。此时存储器203采用如前所述类似的校验方法，即采用同样的密钥Krpmb加密(哈希处理)所述指令，并将得到的结果与摘要值做比较以确定该指令是否通过验证。当所述验证通过时，存储器203可根据该指令中的地址对相应数据做擦除。可替换地，在擦除操作中，所述密钥Krpmb加密(哈希处理)也可由安全元件204中的处理器2042处理，而不是由中央处理单元205在可信执行环境2051中执行。由于擦除操作的过程需经过哈希处理，基于通用操作系统软件2052的其他非安全类软件不能掌握密钥Krpmb，因此不能随意擦除存储器203中的数据，提高了安全性。被擦除的数据可以是存储器203中存有的移动支付软件2030的部分数据。例如，存储器203可响应指令并依照指令中的地址擦除移动支付操作系统软件2031的部分数据，或者移动支付应用软件2032的全部或部分数据。

需要说明的是，以上方案可针对eMMC存储器203被移动支付软件2030和通用操作系统软件2052复用的情形，可以看到，除非密钥Krpmb和Kse均被破解，否则非安全软件很难访问eMMC存储器203的安全存储区域203A，使得数据的私密性和完整性可以得到更好保证。其中密钥Kse则是安全元件204中生成密文并防止侵入最重要的手段。通过片内总线207在安全元件204、 中央处理单元205和存储接口208之间交互数据的安全性则高于现有技术的其他接口传输技术，如SPI传输，以提高安全元件204与eMMC存储器203交互数据的安全性。因此，相对于通过SPI在主芯片的CPU和位于主芯片外的安全元件之间交互数据的方案，本发明实施例可以将安全元件204集成在主芯IC1片中，通过总线207在安全元件204和中央处理单元205的可信执行环境2051之间实现数据转移，安全性更好。

进一步地，如图6所示，在安全元件204中，可以包括第三存储模块2047。当采用图4的处理流程将数据从移动支付软件环境2030发送至可信执行环境2051时，处理器2042可先将数据写入第三存储模块2047，并在总线207上向中央处理单元205发送一个中断请求，以请求中央处理单元205读取该第三存储模块2047中的数据。具体地，该中断请求中可以包括被读取的数据在第三存储模块2047中的地址。这样中央处理单元205可以响应该中断请求来从第三存储模块2047中读取相应数据。当中央处理单元205向安全元件204发送数据时，也可以将数据写入第三存储模块2047，并通过发送中断请求来请求安全元件204中的处理器2042或其他部件读取该数据。本实施例中的中断请求是一个用于请求读取数据的指示消息。第三存储模块2047可以是一个RAM，例如进程间通信(Inter-Process Communication，IPC)RAM。可替换地，第三存储模块2047也可以是缓存等其他类型的存储器。通过该第三存储模块2047，相对于通过片外SPI进行通信的方式，安全元件204与中央处理单元205的通信和数据交互都是通过主芯片IC1内部的存储器2047和总线207执行的，安全性得到提高。

在另一种可选的实现方式中，存储移动支付软件2030和通用操作系统软件2052的存储器可以在物理上隔离，此时数据的写入或读出基本流程会得到简化。如图5所示，此时存储器203位于第二半导体芯片IC2，具体可以是异或(Nor)Flash存储器，在移动支付软件2030提供的安全环境内部中，数据 410就是待更新或升级的数据，数据410经过哈希计算处理得到处理后的数据411，数据411包括作为明文数据的数据410和数据410的哈希值410A。数据411随后在该安全环境内部被做安全加密，可以具体由Kse密钥来加密该数据411，得到密文数据412。随后密文数据412被直接写入存储器203。数据读出过程则与数据写入过程相反，本实施例不再赘述。在本实现方案中，存储器203是一个专用于移动支付的存储装置，此时无需经过可信执行环境2051的转发，可以直接由安全元件204对存储器203写入或读出各类数据，包括COS镜像或应用软件数据等。当执行擦除操作时，安全元件204中处理器2042可向存储器203发送擦除指令，所述指令中携带有需要擦除的数据的地址，存储器203可在收到指令后直接对相关地址的数据做擦除，以提高安全性。

通过以上技术方案，本发明实施例可以实现安全的移动支付，同时降低移动支付的成本和设计难度。需要说明的是，移动支付是一个广义上的定义，其不仅包括商业、金融上的移动支付业务，也包括公共交通、身份证、社保卡等其他类型的支付业务。也就是说，通过移动支付，移动终端可以与通信对端连接最终实现与服务器的交互支付信息，并实现与该移动终端内一个或多个账户相关联的数据交易、数据兑换或数据结算。数据交易、兑换或数据结算的单位可以不仅包括货币，也可以是虚拟货币、各类积分或信用额度等其他能够用于实现支付、兑换或交易结算的单位，本实施例对此不做限定。所述账户包括但不限于个人账户、团体账户或组织账户。相对于仅在固定终端上实施的支付行为，移动支付实现更加灵活，其执行主体为移动终端，可以更好满足随时随地执行支付的需求。

需要说明的是，在本发明实施例中，中央处理单元205的数量可以是多个。多个中央处理单元205与移动支付装置20中其他部件，如安全元件204，交 互数据可以是指多个中央处理单元205中的任何一个或多个与该其他部件的数据交互。当移动支付装置20处于工作状态时，多个中央处理单元205可以同时开启或部分开启，并且互相分工协作实现所述可信执行环境2051、通用操作系统软件2052和其他应用软件。

此外，所述移动支付装置20还可包括图像处理单元(GPU)、音频处理单元、功耗管理单元(PMU)或全球定位系统(GPS)等。此外在移动终端21内，除了主要包括各类电路的移动支付装置20外，还可以包括用于输入的触摸屏、显示器以及其他必要的传感器，例如重力加速计、陀螺仪、或光传感器等。

以上所述仅为本发明的几个实施例，本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。例如本发明实施例的附图中的各个部件具体形状或结构是可以根据实际应用场景进行调整的。

Claims (30)

1. 一种移动支付装置，其特征在于，包括：

   通信单元，用于通过无线链路与通信对端交互支付信息；

   存储器，用于存储移动支付软件；

   安全元件，包括第一存储模块和处理器；

   至少一个中央处理单元，用于运行通用操作系统软件，并在通用操作系统软件的作用下控制所述通信单元、存储器和所述安全元件中的至少一个；

   所述处理器用于将所述移动支付软件从所述存储器加载到所述第一存储模块中，运行所述移动支付软件，并在所述移动支付软件的作用下与所述通信单元交互所述支付信息；

   第一存储模块，用于为所述处理器提供运行所述移动支付软件所需的内存空间；

   其中，所述安全元件与所述至少一个中央处理单元位于所述移动支付装置中的第一半导体芯片内。
2. 根据权利要求1所述移动支付装置，其特征在于，所述存储器位于所述移动支付装置中的第二半导体芯片内。
3. 根据权利要求2所述移动支付装置，其特征在于，所述存储器包括互相隔离的安全存储区域和普通存储区域；

   所述安全存储区域用于存储所述移动支付软件；

   所述普通存储区域用于存储所述通用操作系统软件；

   所述处理器具体用于将所述移动支付软件从所述存储器中的所述安全存储区加载到所述第一存储模块中；

   所述至少一个中央处理单元具体用于从所述存储器中的所述普通存储区读取并运行所述通用操作系统软件。
4. 根据权利要求2所述移动支付装置，其特征在于，所述存储器专用于存储所述移动支付软件；

   所述移动支付装置还包括普通存储单元，所述普通存储单元位于所述移动支付装置中的第三半导体芯片内，该普通存储单元用于存储所述通用操作系统软件；

   所述至少一个中央处理单元具体用于从所述普通存储单元中读取并运行所述通用操作系统软件。
5. 根据权利要求1至4中任一项所述移动支付装置，其特征在于，所述移动支付软件包括移动支付操作系统软件。
6. 根据权利要求5所述移动支付装置，其特征在于，所述移动支付软件还包括至少一个移动支付应用软件。
7. 根据权利要求5或6所述移动支付装置，其特征在于，所述安全元件还包括：第二存储模块，用于存储所述处理器启动所需的启动程序；

   当所述安全元件上电时，所述处理器用于从所述第二存储模块读取所述启动程序，在所述启动程序的作用下将所述移动支付操作系统软件从所述存储器加载到所述第一存储模块中，并运行所述移动支付操作系统软件。
8. 根据权利要求6所述移动支付装置，其特征在于，所述处理器用于在与所述通信单元交互所述支付信息时受所述支付信息触发，将所述至少一个移动支付应用软件中的一个或多个移动支付应用软件从所述存储器加载到所述第一存储模块中，并运行所述一个或多个移动支付应用软件。
9. 根据权利要求1至8中任一项所述移动支付装置，其特征在于，所述支付信息包括：从所述通信对端经由所述通信单元传输至所述处理器的移动支付指令、以及响应所述移动支付指令从所述处理器经由所述通信单元传输至所述通信对端的移动支付数据。
10. 根据权利要求9所述移动支付装置，其特征在于，所述移动支付数据包括经过安全处理的数据，所述安全处理包括如下至少一项：数据加密或数据完整性保护。
11. 根据权利要求10所述移动支付装置，其特征在于，所述处理器还用于生成所述经过安全处理的数据。
12. 根据权利要求10所述移动支付装置，其特征在于，所述处理器还用于生成原始数据；

    所述安全元件还包括：安全处理模块，用于对所述原始数据进行所述安全处理以生成所述经过安全处理的数据。
13. 根据权利要求1至12中任一项所述移动支付装置，其特征在于，所述至少一个中央处理单元对所述通信单元、存储器和所述安全元件中的至少一个的控制包括：控制开启、控制关闭、控制进入或退出低功耗状态或控制工作状态。
14. 根据权利要求1至13中任一项所述移动支付装置，其特征在于，所述通信单元为近场通信单元，所述通信对端为支付终端，所述近场通信单元具体用于通过运行短距离无线通信协议与所述支付终端交互所述支付信息。
15. 根据权利要求14所述移动支付装置，其特征在于，所述近场通信单元位于所述第一半导体芯片内或者位于移动支付装置中的第四半导体芯片内。
16. 根据权利要求1至13中任一项所述移动支付装置，其特征在于，所述通信单元为移动通信单元，所述通信对端为无线接入网，所述移动通信单元用于通过运行蜂窝无线通信协议与所述无线接入网交互所述支付信息。
17. 根据权利要求16所述移动支付装置，其特征在于，所述移动通信单元位于所述第一半导体芯片内或者移动支付装置中的第五半导体芯片内。
18. 根据权利要求1至17中的任一项所述移动支付装置，其特征在于，所述安全元件还包括：加解密引擎，用于在所述处理器将所述移动支付软件从所述存储器加载到所述第一存储模块中后对所述移动支付软件进行安全验证，并在安全验证成功后指示所述处理器运行所述移动支付软件，所述安全验证包括安全解密或第一哈希校验中的至少一项。
19. 根据权利要求18所述移动支付装置，其特征在于，所述加解密引擎，还用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理得到处理后的更新数据；

    所述处理器还用于将所述处理后的更新数据写入到所述存储器以更新所述移动支付软件。
20. 根据权利要求1至17中的任一项所述移动支付装置，其特征在于，所述处理器还用于在将所述移动支付软件从所述存储器加载到所述第一存储模块中后对所述移动支付软件进行安全验证，并在安全验证成功后运行所述移动支付软件，所述安全验证包括安全解密或第一哈希校验中的至少一项。
21. 根据权利要求20所述移动支付装置，其特征在于，所述处理器还用于对更新数据做安全加密或第一哈希运算处理中的至少一种处理得到处理后的更新数据，并将所述处理后的更新数据写入到所述存储器以更新所述移动支付软件。
22. 根据权利要求19或21所述移动支付装置，其特征在于，所述处理器在将所述处理后的更新数据写入到所述存储器时还用于利用密钥对所述处理后的更新数据做第二哈希运算处理得到待存储数据；

    所述存储器还用于对所述待存储数据做第二哈希校验，在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件。
23. 根据权利要求19或21所述移动支付装置，其特征在于，所述处理器在将所述处理后的更新数据写入到所述存储器时还用于将所述处理后的更新数据发送给所述至少一个中央处理单元；

    所述至少一个中央处理单元还用于在可信执行环境中利用密钥对所述处理后的更新数据做第二哈希运算处理得到待存储数据，并将所述待存储数据发送给所述存储器；所述可信执行环境与所述被运行的通用操作系统软件间存在 安全隔离；

    所述存储器还用于对所述待存储数据做第二哈希校验，在第二哈希校验成功后得到所述处理后的更新数据，并利用所述处理后的更新数据更新所述移动支付软件。
24. 根据权利要求23所述移动支付装置，其特征在于，所述安全元件还包括第三存储模块；

    处理器还用于将所述处理后的更新数据写入所述第三存储模块中，并向所述至少一个中央处理单元发送第一中断请求；

    所述至少一个中央处理单元还用于在可信执行环境中响应所述第一中断请求从第三存储模块中读取所述处理后的更新数据。
25. 根据权利要求1至24中的任一项所述移动支付装置，其特征在于，所述至少一个中央处理单元，还用于运行除所述移动支付软件外的普通应用软件。
26. 根据权利要求1至25中的任一项所述移动支付装置，其特征在于，所述至少一个中央处理单元所运行的通用操作系统软件与所述安全元件存在安全隔离。
27. 根据权利要求1至18、20、25和26中的任一项所述移动支付装置，其特征在于，所述处理器还用于利用密钥对更新数据或擦除指令做第二哈希运算处理得到处理结果；

    所述存储器还用于对所述处理结果做第二哈希校验，在第二哈希校验成功后得到所述更新数据或擦除指令，并利用更新数据更新所述移动支付软件或根据擦除指令擦除所述存储器中的与擦除指令对应的数据。
28. 根据权利要求1至18、20、25和26中的任一项所述移动支付装置，其特征在于，所述处理器还用于将更新数据或擦除指令发送给所述至少一个中央处理单元；

    所述至少一个中央处理单元还用于在可信执行环境中利用密钥对更新数据或擦除指令做第二哈希运算处理得到处理结果，并将该处理结果发送给所述存储器；所述可信执行环境与所述被运行的通用操作系统软件间存在安全隔离；

    所述存储器还用于对所述处理结果做第二哈希校验，在第二哈希校验成功后得到所述更新数据或擦除指令，并利用更新数据更新所述移动支付软件或根据擦除指令擦除所述存储器中的与擦除指令对应的数据。
29. 一种通过移动支付装置实现移动支付的方法，其特征在于，包括：

    通过至少一个中央处理单元运行通用操作系统软件，并在通用操作系统软件的作用下控制通信单元、存储器和安全元件中的至少一个；

    将移动支付软件从存储器加载到所述安全元件中；

    在所述安全元件内运行移动支付软件；

    在所述移动支付软件的作用下，所述安全元件与所述通信单元交互支付信息，其中所述通信单元通过无线链路与通信对端交互所述支付信息；

    其中，所述安全元件与所述至少一个中央处理单元位于所述移动支付装置中的第一半导体芯片内。
30. 一种半导体芯片，用于移动支付装置，其特征在于，所述半导体芯片包括安全元件与至少一个中央处理单元，所述安全元件包括第一存储模块和处理器，所述第一存储模块，用于为所述处理器提供运行移动支付软件所需的内存空间；所述至少一个中央处理单元，用于运行通用操作系统软件；

    所述处理器用于将所述移动支付软件从所述移动支付装置的存储器中加载到所述第一存储模块中，运行所述移动支付软件，并在所述移动支付软件的作用下与移动支付装置中的通信单元交互支付信息；

    所述至少一个中央处理单元，还用于在通用操作系统软件的作用下控制所述通信单元、存储器和所述安全模块中的至少一个。

Images