CN105228088A - 移动支付近场通信的自更新公钥密钥交换方法 - Google Patents

Abstract

本发明涉及移动支付近场通信的自更新公钥密钥交换方法，第一NFC终端、第二NFC终端分别将各自真实ID存储在第三方可信机构且第三方可信机构存储两个NFC终端的匿名身份；当两个NFC终端近场通信时，第一NFC终端向第三方可信机构请求使用其匿名身份、获取其匿名身份集合，计算其自更新公钥和密钥验证标签，发送自更新公钥和密钥验证标签给第二NFC终端验证；第二NFC终端同样地发送其自更新公钥、密钥验证标签给第一NFC终端验证；当第一NFC终端、第二NFC终端的密钥验证标签均被对方验证通过且自更新公钥均相同时，第一NFC终端、第二NFC终端以其相同的自更新公钥为双方的共享公钥，完成近场通信中数据的安全加密过程。

Description

移动支付近场通信的自更新公钥密钥交换方法

技术领域

本发明涉及移动支付领域，尤其涉及一种移动支付近场通信的自更新公钥密钥交换方法。

背景技术

移动支付也称为手机支付，就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付主要分为近场支付和远程支付两种。所谓近场支付，就是用移动终端刷卡的方式坐车、买东西等实现的便利支付方式。远程支付是指通过发送支付指令(如网银、电话银行、手机支付等)或借助支付工具(如通过邮寄、汇款)进行的支付方式。

随着移动终端的不断普及，近场支付因其支付更为便利的优势，逐渐取代远程支付，成为现代消费中新兴的付款方式。近场支付是借助于终端技术和近场通信(NearFieldCommunication，简称NFC)技术的发展而兴起的。近场通信作为快速、低功耗的近距离通信技术，其与智能移动终端的结合，可以使人们获得更便捷、安全的线下移动支付体验。NFC移动近场支付是未来移动支付的发展趋势。然而，安全性是移动近场支付通信面临的重大挑战。

在移动支付中，密钥的协商与认证是移动支付安全的关键。标准NFC安全协议中，近场通信双方使用的公钥是一个固定值，并且通信者发送的消息具有相关性。攻击者一旦获得用户的公钥，便可窃取用户的隐私信息，并且攻击者确切地知道消息是由哪个用户发出的，造成交易极大的安全隐患。

发明内容

本发明所要解决的技术问题是针对上述现有技术提供一种在近场通信中，通信双方之间既使用动态公钥密钥进行交易，又使用匿名身份对通信双方身份进行保密的移动支付近场通信的自更新公钥密钥交换方法。

本发明解决上述技术问题所采用的技术方案为：移动支付近场通信的自更新公钥密钥交换方法，其特征在于，依次包括如下步骤：

(1)设定第一NFC终端的全球身份标识号为ID_First，第二NFC终端的全球身份标识号为ID_Second，第三方可信机构为TSM；其中，第三方可信机构TSM用于存储第一NFC终端的匿名身份、第二NFC终端的匿名身份、第一NFC终端的真实ID_First以及第二NFC终端的真实ID_Second；匿名身份由公钥、私钥、第三方可信机构TSM的全球身份标识号ID_TSM以及TSM的签名组成；

(2)第一NFC终端向第三方可信机构TSM请求使用其匿名身份时，由第三方可信机构TSM产生第一NFC终端的匿名身份集合PS_First，并将此匿名身份集合PS_First发送给第一NFC终端；第三方可信机构TSM则存储发送给第一NFC终端的匿名身份集合PS_First以及第一NFC终端的真实ID_First；其中，第三方可信机构TSM生成第一NFC终端的匿名身份过程包括：

(2-1)在第三方可信机构TSM接收到第一NFC终端的匿名身份请求时，第三方可信机构TSM产生n个随机值其中，表示第一NFC终端的第i个匿名身份的私钥；

(2-2)第三方可信机构TSM将其产生的各随机值与椭圆曲线基点G相乘，得到n个公钥其中，表示第一NFC终端的第i个匿名身份的公钥，基点G在椭圆曲线上，椭圆曲线为：E:y²＝x³+ax+bmodn₁，E为椭圆曲线，a,b为椭圆曲线E的系数，(x,y)是椭圆曲线E上的点，n₁是椭圆曲线E的阶；

(2-3)第三方可信机构TSM根据第一NFC终端的第i个匿名身份的私钥以及对应该私钥的公钥产生得到对应第一NFC终端的第i个匿名身份的第三方可信机构TSM签名

$S_{TSM}^i={\mathrm{Sig}}_{k_{TSM}}(Q_{First}^i||{\mathrm{Enc}}_{Q_{First}}\left(k_{First}^i\right)||{\mathrm{ID}}_{TSM});$

其中，Enc_K(m)表示用密钥K对信息m加密，Sig_k(m)表示用密钥k对信息m签名，||为连接符号；

(2-4)第三方可信机构TSM根据其所产生的第一NFC终端的第i个匿名身份的签名得到第一NFC终端的匿名身份集合PS_First，其中：

${\mathrm{PS}}_{First}=\left(Q_{First}^i\right|\left|{\mathrm{Enc}}_{Q_{First}}\right(k_{First}^i\left)\right|\left|{\mathrm{ID}}_{TSM}\right|\left|S_{TSM}^i\right);$

(3)第一NFC终端接收到第三方可信机构TSM发送的匿名身份集合PS_First后，断开其与第三方可信机构TSM的通信，并对第一NFC终端与第二NFC终端之间的NFC安全协议进行激活：

(3-1)第一NFC终端产生随机数NFirst和随机整数RFirst，并计算、得到其自更新公钥和然后将和NFirst压缩后发送给第二NFC终端，其中经压缩分别变成QFirst”ⁱ、QFirst'ⁱ；是基点为G的椭圆曲线E上的点，

${Q^{\′}}_{First}^i=RFirst\·Q_{First}^i=RFirst\·k_{First}^{i}G,$

${Q^{\′\′}}_{First}^i=RFirst\·k_{First}^i{Q}_{TSM}+Q_{First}^i=RFirst\·k_{First}^i\·k_{TSM}G+k_{First}^{i}G;$

(3-2)第二NFC终端产生随机数NSecond和随机整数RSecond，并计算、得到其自更新公钥和然后将和NSecond压缩后发送给第一NFC终端，其中经压缩分别变成QSecond”ⁱ、QSecond'ⁱ：

${Q^{\′}}_{Second}^i=RSecond\·Q_{Second}^i=RSecond\·k_{Second}^{i}G,$

${Q^{\′\′}}_{Second}^i=RSecond\·k_{Second}^i{Q}_{TSM}+Q_{Second}^i=RSecond\·k_{Second}^i\·k_{TSM}G+k_{Second}^{i}G;$

(3-3)根据第一NFC终端与第二NFC终端互相交换的公钥及随机数，分别计算其共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_SSE：

(a)第一NFC终端计算得到共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_{SSE_First}，计算得到第一NFC终端发送的密钥验证标签MacTag_First，并发送密钥验证标签MacTag_First给第二NFC终端验证：

$P=RSecond\·k_{Second}^i{Q^{\′}}_{First}^i,$

z＝P_x，

Q_{SSE_First}＝KDF(NFirst,NSecond,ID_First,ID_Second,Z)，

${\mathrm{MacTag}}_{First}=f(Q_{SSE\_First},{\mathrm{ID}}_{First},{\mathrm{ID}}_{Second},{Q^{\′\′}}_{First}^i,{Q^{\′\′}}_{Second}^i);$

其中，Z为共享秘值z转换后得到的对应的8比特字符串，共享秘值z与8比特字符串Z之间的转换公式为：

$z=\underset{i=1}{\overset{k}{\Σ}}{2}^{8(k-1)}{M}_i;$

z是非负整数，字符串预期长度K满足2^8K>z，输出的M₁,M₂,…,M_k是字符串Z从左到右的位值；

验证标签MacTag_First计算使用ISO/IEC11770-3定义的密钥验证机制：

MacTag_First＝MAC-KC(Q_{SSE_First},0x03,ID_First,ID_Second,QFirst,QSecond)；

该密钥验证机制使用AES加密XCBC-MAC-96模式，计算得：

MacTag_First＝AES-XCBC-MAC-96Q_{SSE_First}(0x03||ID_First||ID_Second||QFirst||QSecond)；

(b)第二NFC终端计算得到共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_{SSE_second}，验证第一NFC终端发送的密钥验证标签MacTag_First，并计算得到第二NFC终端的密钥验证标签MacTag_Second，发送密钥验证标签MacTag_Second给第一NFC终端验证：

$P=RFirst\·k_{First}^i{Q^{\′}}_{Second}^i,$

z＝P_x，

Q_{SSE_second}＝KDF(NFirst,NSecond,ID_First,ID_Second,Z)，

${\mathrm{MacTag}}_{Second}=f(Q_{SSE\_second},{\mathrm{ID}}_{Second},{\mathrm{ID}}_{First},{Q^{\′\′}}_{Second}^i,{Q^{\′\′}}_{First}^i);$

验证标签MacTag_Second计算使用ISO/IEC11770-3定义的密钥验证机制：

MacTag_Second＝MAC-KC(Q_{SSE_Second},0x03,ID_Second,ID_First,QSecond,QFirst)；

该密钥验证机制使用AES加密XCBC-MAC-96模式，计算得：

MacTag_Second＝AES-XCBC-MAC

-96Q_{SSE_Second}(0x03||ID_Second||ID_First||QSecond||QFirst)；

(3-4)当第一NFC终端的密钥验证标签MacTag_First被第二NFC终端验证通过，且第二NFC终端的密钥验证标签MacTag_Second被第一NFC终端验证通过时，则第一NFC终端、第二NFC终端均以Q_SSE作为共享秘钥，并进行数据通信连接，其中Q_SSE＝Q_{SSE_First}＝Q_{SSE_second}；否则，则中断第一NFC终端与第二NFC终端之间的通信连接；其中，

第二NFC终端验证第一NFC终端的密钥验证标签MacTag_First过程包括：第二NFC终端根据其计算得到的共享秘钥Q_{SSE_second}，计算第一NFC终端的密钥验证标签MacTag'_First，其中 ${{\mathrm{MacTag}}^{\′}}_{First}=f(Q_{SSE\_second},{\mathrm{ID}}_{First},{\mathrm{ID}}_{Second},{Q^{\′\′}}_{First}^i,{Q^{\′\′}}_{Second}^i);$ 若MacTag'_First＝MacTag_First，则表示第一NFC终端的密钥验证标签MacTag_First被第二NFC终端验证通过，否则，表示验证未通过；

第一NFC终端验证第二NFC终端的密钥验证标签MacTag_Second过程包括：第一NFC终端根据其计算得到的共享秘钥Q_{SSE_First}，计算第二NFC终端的密钥验证标签MacTag'_Second，其中 ${{\mathrm{MacTag}}^{\′}}_{Second}=f(Q_{SSE\_First},{\mathrm{ID}}_{Second},{\mathrm{ID}}_{First},{Q^{\′\′}}_{Second}^i,{Q^{\′\′}}_{First}^i);$ 若MacTag'_Second＝MacTag_Second，则表示第二NFC终端的密钥验证标签MacTag_Second被第一NFC终端验证通过，否则，表示验证未通过；

其中，密钥验证标签MacTag'_First、MacTag'_Second的计算均使用ISO/IEC11770-3定义的密钥验证机制，密钥验证机制均使用AES加密XCBC-MAC-96模式。

进一步地，所述步骤(2-2)中的椭圆曲线E中：

a＝-3，

b＝64210519e59c80e70fa7e9ab72243049feb8deecc146b9b1，

n₁＝6277101735386680763835789423176059013767194773182842284081。

与现有技术相比，本发明的优点在于：在移动支付的近场通信中，通信双方中的第一NFC终端、第二NFC终端首先分别将各自的真实ID存储在第三方可信机构中，同时第三方可信机构存储两个NFC终端的匿名身份；当两个NFC终端需要进行近场通信时，则由第一NFC终端向第三方可信机构请求使用其匿名身份，并在获得其匿名身份集合后，计算得到自身的自更新公钥和密钥验证标签，并发送自更新公钥和密钥验证标签给第二NFC终端进行验证；而第二NFC终端也同样的发送其计算的自更新公钥、密钥验证标签给第一NFC终端进行验证；当第一NFC终端、第二NFC终端的密钥验证标签均被对方验证通过，且自更新公钥均相同时，则第一NFC终端、第二NFC终端以其相同的自更新公钥为双方的共享公钥，从而完成近场通信中的数据交互过程。

附图说明

图1为本发明实施例中移动支付近场通信的自更新公钥密钥交换方法的流程示意图。

具体实施方式

以下结合附图实施例对本发明作进一步详细描述。

如图1所示，本实施例中移动支付近场通信的自更新公钥密钥交换方法，依次包括如下步骤：

(1)设定第一NFC终端的全球身份标识号为ID_First，第二NFC终端的全球身份标识号为ID_Second，第三方可信机构为TSM；其中，第三方可信机构TSM用于存储第一NFC终端的匿名身份、第二NFC终端的匿名身份、第一NFC终端的真实ID_First以及第二NFC终端的真实ID_Second；匿名身份由公钥、私钥、第三方可信机构TSM的全球身份标识号ID_TSM以及TSM的签名组成；第二NFC终端和第一NFC终端在交易的过程中，使用第三方可信机构TSM中对应的匿名身份，以防止潜藏NFC终端对公钥的非法截获；而在第二NFC终端持有者与第一NFC终端持有者出现交易纠纷时，则可以由该第三方可信机构TSM出具第一NFC终端、第二NFC终端对应的真实ID_First和真实ID_Second，以为解决交易纠纷提供第三方证明；

(2)第一NFC终端向第三方可信机构TSM请求使用其匿名身份时，由第三方可信机构TSM产生第一NFC终端的匿名身份集合PS_First，并将此匿名身份集合PS_First发送给第一NFC终端；第三方可信机构TSM则存储发送给第一NFC终端的匿名身份集合PS_First以及第一NFC终端的真实ID_First；其中，第三方可信机构TSM生成第一NFC终端的匿名身份过程包括：

(2-1)在第三方可信机构TSM接收到第一NFC终端的匿名身份请求时，第三方可信机构TSM产生n个随机值其中，表示第一NFC终端的第i个匿名身份的私钥；

(2-2)第三方可信机构TSM将其产生的各随机值与椭圆曲线基点G相乘，得到n个公钥其中，表示第一NFC终端的第i个匿名身份的公钥，基点G在椭圆曲线上，椭圆曲线为：E:y²＝x³+ax+bmodn₁，E为椭圆曲线，a,b为椭圆曲线E的系数，(x,y)是椭圆曲线E上的点，n₁是椭圆曲线E的阶；其中，在本实施例的椭圆曲线E中，

a＝-3，

b＝64210519e59c80e70fa7e9ab72243049feb8deecc146b9b1，

n₁＝6277101735386680763835789423176059013767194773182842284081；

(2-3)第三方可信机构TSM根据第一NFC终端的第i个匿名身份的私钥以及对应该私钥的公钥产生得到对应第一NFC终端的第i个匿名身份的第三方可信机构TSM签名签名表示第三方可信机构TSM对第一NFC终端的第i个匿名身份进行了认证：

$S_{TSM}^i={\mathrm{Sig}}_{k_{TSM}}(Q_{First}^i||{\mathrm{Enc}}_{Q_{First}}\left(k_{First}^i\right)||{\mathrm{ID}}_{TSM});$

其中，Enc_K(m)表示用密钥K对信息m加密，Sig_k(m)表示用密钥k对信息m签名，||为连接符号；

(2-4)第三方可信机构TSM根据其所产生的第一NFC终端的第i个匿名身份的签名得到第一NFC终端的匿名身份集合PS_First，其中：

${\mathrm{PS}}_{First}=\left(Q_{First}^i\right|\left|{\mathrm{Enc}}_{Q_{First}}\right(k_{First}^i\left)\right|\left|{\mathrm{ID}}_{TSM}\right|\left|S_{TSM}^i\right);$

(3)第一NFC终端接收到第三方可信机构TSM发送的匿名身份集合PS_First后，断开其与第三方可信机构TSM的通信，并对第一NFC终端与第二NFC终端之间的NFC安全协议进行激活；激活NFC安全协议的过程包括以下几步：

(3-1)第一NFC终端产生随机数NFirst和随机整数RFirst，并计算、得到其自更新公钥和然后将和NFirst压缩后发送给第二NFC终端，其中经压缩分别变成QFirst”ⁱ、QFirst'ⁱ；是基点为G的椭圆曲线E上的点，

${Q^{\′}}_{First}^i=RFirst\·Q_{First}^i=RFirst\·k_{First}^{i}G,$

${Q^{\′\′}}_{First}^i=RFirst\·k_{First}^i{Q}_{TSM}+Q_{First}^i=RFirst\·k_{First}^i\·k_{TSM}G+k_{First}^{i}G;$

(3-2)第二NFC终端产生随机数NSecond和随机整数RSecond，并计算、得到其自更新公钥和然后将和NSecond压缩后发送给第一NFC终端，其中经压缩分别变成QSecond”ⁱ、QSecond'ⁱ：

${Q^{\′}}_{Second}^i=RSecond\·Q_{Second}^i=RSecond\·k_{Second}^{i}G,$

${Q^{\′\′}}_{Second}^i=RSecond\·k_{Second}^i{Q}_{TSM}+Q_{Second}^i=RSecond\·k_{Second}^i\·k_{TSM}G+k_{Second}^{i}G;$

(3-3)根据第一NFC终端与第二NFC终端互相交换的公钥及随机数，分别计算其共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_SSE；该过程包括以下步骤(a)和步骤(b)：

(a)第一NFC终端计算得到共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_{SSE_First}，计算得到第一NFC终端发送的密钥验证标签MacTag_First，并发送密钥验证标签MacTag_First给第二NFC终端验证：

$P=RSecond\·k_{Second}^i{Q^{\′}}_{First}^i,$

z＝P_x，

Q_{SSE_First}＝KDF(NFirst,NSecond,ID_First,ID_Second,Z)，

${\mathrm{MacTag}}_{First}=f(Q_{SSE\_First},{\mathrm{ID}}_{First},{\mathrm{ID}}_{Second},{Q^{\′\′}}_{First}^i,{Q^{\′\′}}_{Second}^i);$

其中，Q_{SSE_First}表示第一NFC终端自身根据已有参数得到的共享秘钥，该共享秘钥Q_{SSE_First}与第一NFC终端、第二NFC终端之间的真实共享秘钥Q_SSE未必相同；Z为共享秘值z转换后得到的对应的8比特字符串，共享秘值z与8比特字符串Z之间的转换公式为：

$z=\underset{i=1}{\overset{k}{\Σ}}{2}^{8(k-1)}{M}_i;$

z是非负整数，字符串预期长度K满足2^8K>z，输出的M₁,M₂,K,M_k是字符串Z从左到右的位值；

验证标签MacTag_First计算使用ISO/IEC11770-3定义的密钥验证机制，其计算公式：

MacTag_First＝MAC-KC(Q_{SSE_First},0x03,ID_First,ID_Second,QFirst,QSecond)；

该密钥验证机制使用AES加密XCBC-MAC-96模式计算，计算公式为：

MacTag_First＝AES-XCBC-MAC-96Q_{SSE_First}(0x03||ID_First||ID_Second||QFirst||QSecond)；

(b)第二NFC终端计算得到共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_{SSE_second}，验证第一NFC终端发送的密钥验证标签MacTag_First，并计算得到第二NFC终端的密钥验证标签MacTag_Second，发送密钥验证标签MacTag_Second给第一NFC终端验证：

$P=RFirst\·k_{First}^i{Q^{\′}}_{Second}^i,$

z＝P_x，

Q_{SSE_second}＝KDF(NFirst,NSecond,ID_First,ID_Second,Z)，

${\mathrm{MacTag}}_{Second}=f(Q_{SSE\_second},{\mathrm{ID}}_{Second},{\mathrm{ID}}_{First},{Q^{\′\′}}_{Second}^i,{Q^{\′\′}}_{First}^i);$

验证标签MacTag_Second计算使用ISO/IEC11770-3定义的密钥验证机制：

MacTag_Second＝MAC-KC(Q_{SSE_Second},0x03,ID_Second,ID_First,QSecond,QFirst)；

该密钥验证机制使用AES加密XCBC-MAC-96模式，计算得：

MacTag_Second＝AES-XCBC-MAC

-96Q_{SSE_Second}(0x03||ID_Second||ID_First||QSecond||QFirst)；

(3-4)当第一NFC终端的密钥验证标签MacTag_First被第二NFC终端验证通过，且第二NFC终端的密钥验证标签MacTag_Second被第一NFC终端验证通过时，表示第一NFC终端与第二NFC终端之间的数据传送没有受到攻击者的攻击，此时第一NFC终端与第二NFC终端通信上安全的，则第一NFC终端、第二NFC终端均以Q_SSE作为共享秘钥，并进行数据通信连接，其中Q_SSE＝Q_{SSE_First}＝Q_{SSE_second}；否则，则中断第一NFC终端与第二NFC终端之间的通信连接；其中，

第二NFC终端验证第一NFC终端的密钥验证标签MacTag_First过程包括：第二NFC终端根据其计算得到的共享秘钥Q_{SSE_second}，计算第一NFC终端的密钥验证标签 ${{\mathrm{MacTag}}^{\′}}_{First},$ 其中 ${{\mathrm{MacTag}}^{\′}}_{First}=f(Q_{SSE\_second},{\mathrm{ID}}_{First},{\mathrm{ID}}_{Second},{Q^{\′\′}}_{First}^i,{Q^{\′\′}}_{Second}^i);$ 若则表示第一NFC终端的密钥验证标签MacTag_First被第二NFC终端验证通过，否则，表示验证未通过；

第一NFC终端验证第二NFC终端的密钥验证标签MacTag_Second过程包括：第一NFC终端根据其计算得到的共享秘钥Q_{SSE_First}，计算第二NFC终端的密钥验证标签 ${{\mathrm{MacTag}}^{\′}}_{Second},$ 其中 ${{\mathrm{MacTag}}^{\′}}_{Second}=f(Q_{SSE\_First},{\mathrm{ID}}_{Second},{\mathrm{ID}}_{First},{Q^{\′\′}}_{Second}^i,{Q^{\′\′}}_{First}^i);$ 若则表示第二NFC终端的密钥验证标签MacTag_Second被第一NFC终端验证通过，否则，表示验证未通过；

其中，密钥验证标签的计算均使用ISO/IEC11770-3定义的密钥验证机制，密钥验证机制均使用AES加密XCBC-MAC-96模式。

可知，在移动支付近场通信中，第一NFC终端与第二NFC终端之间既使用动态公钥密钥进行交易，又使用第三方可信机构产生的匿名身份对通信双方的身份进行保密，从而保证了移动支付近场通信双方之间数据的安全加密交互，保证了移动支付交易的安全。

Claims (2)

1.移动支付近场通信的自更新公钥密钥交换方法，其特征在于，依次包括如下步骤：

(1)设定第一NFC终端的全球身份标识号为ID_First，第二NFC终端的全球身份标识号为ID_Second，第三方可信机构为TSM；其中，第三方可信机构TSM用于存储第一NFC终端的匿名身份、第二NFC终端的匿名身份、第一NFC终端的真实ID_First以及第二NFC终端的真实ID_Second；匿名身份由公钥、私钥、第三方可信机构TSM的全球身份标识号ID_TSM以及TSM的签名组成；

(2)第一NFC终端向第三方可信机构TSM请求使用其匿名身份时，由第三方可信机构TSM产生第一NFC终端的匿名身份集合PS_First，并将此匿名身份集合PS_First发送给第一NFC终端；第三方可信机构TSM则存储发送给第一NFC终端的匿名身份集合PS_First以及第一NFC终端的真实ID_First；其中，第三方可信机构TSM生成第一NFC终端的匿名身份过程包括：

(2-1)在第三方可信机构TSM接收到第一NFC终端的匿名身份请求时，第三方可信机构TSM产生n个随机值其中，表示第一NFC终端的第i个匿名身份的私钥；

(2-2)第三方可信机构TSM将其产生的各随机值与椭圆曲线基点G相乘，得到n个公钥其中，表示第一NFC终端的第i个匿名身份的公钥，基点G在椭圆曲线上，椭圆曲线为：E:y²＝x³+ax+bmodn₁，E为椭圆曲线，a,b为椭圆曲线E的系数，(x,y)是椭圆曲线E上的点，n₁是椭圆曲线E的阶；

(2-3)第三方可信机构TSM根据第一NFC终端的第i个匿名身份的私钥以及对应该私钥的公钥产生得到对应第一NFC终端的第i个匿名身份的第三方可信机构TSM签名

$S_{TSM}^i={\mathrm{Sig}}_{k_{TSM}}(Q_{First}^i||{\mathrm{Enc}}_{Q_{First}}\left(k_{First}^i\right)||{\mathrm{ID}}_{TSM});$

其中，Enc_K(m)表示用密钥K对信息m加密，Sig_k(m)表示用密钥k对信息m签名，||为连接符号；

(2-4)第三方可信机构TSM根据其所产生的第一NFC终端的第i个匿名身份的签名得到第一NFC终端的匿名身份集合PS_First，其中：

${\mathrm{PS}}_{First}=\left(Q_{First}^i\right|\left|{\mathrm{Enc}}_{Q_{First}}\right(k_{First}^i\left)\right|\left|{\mathrm{ID}}_{TSM}\right|\left|S_{TSM}^i\right);$

(3)第一NFC终端接收到第三方可信机构TSM发送的匿名身份集合PS_First后，断开其与第三方可信机构TSM的通信，并对第一NFC终端与第二NFC终端之间的NFC安全协议进行激活：

(3-1)第一NFC终端产生随机数NFirst和随机整数RFirst，并计算、得到其自更新公钥和然后将和NFirst压缩后发送给第二NFC终端，其中经压缩分别变成QFirst”ⁱ、QFirst'ⁱ；是基点为G的椭圆曲线E上的点，

${Q^{\′}}_{First}^i=RFirst\·Q_{First}^i=RFirst\·k_{First}^{i}G,$

${Q^{\′\′}}_{First}^i=RFirst\·k_{First}^i{Q}_{TSM}+Q_{First}^i=RFirst\·k_{First}^i\·k_{TSM}G+k_{First}^{i}G;$

(3-2)第二NFC终端产生随机数NSecond和随机整数RSecond，并计算、得到其自更新公钥和然后将和NSecond压缩后发送给第一NFC终端，其中经压缩分别变成QSecond”ⁱ、QSecond'ⁱ：

${Q^{\′}}_{Second}^i=RSecond\·Q_{Second}^i=RSecond\·k_{Second}^{i}G,$

${Q^{\′\′}}_{Second}^i=RSecond\·k_{Second}^i{Q}_{TSM}+Q_{Second}^i=RSecond\·k_{Second}^i\·k_{TSM}G+k_{Second}^{i}G;$

(3-3)根据第一NFC终端与第二NFC终端互相交换的公钥及随机数，分别计算其共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_SSE：

(a)第一NFC终端计算得到共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_{SSE_First}，计算得到第一NFC终端发送的密钥验证标签MacTag_First，并发送密钥验证标签MacTag_First给第二NFC终端验证：

$P=RSecond\·k_{Second}^i{Q^{\′}}_{First}^i,$

z＝P_x，

Q_{SSE_First}＝KDF(NFirst,NSecond,ID_First,ID_Second,Z)，

${\mathrm{MacTag}}_{First}=f(Q_{SSE\_First},{\mathrm{ID}}_{First},{\mathrm{ID}}_{Second},{Q^{\′\′}}_{First}^i,{Q^{\′\′}}_{Second}^i);$

其中，Z为共享秘值z转换后得到的对应的8比特字符串，共享秘值z与8比特字符串Z之间的转换公式为：

$z=\underset{i=1}{\overset{k}{\Σ}}{2}^{8(k-1)}{M}_i;$

z是非负整数，字符串预期长度K满足2^8K>z，输出的M₁,M₂,...,M_k是字符串Z从左到右的位值；

验证标签MacTag_First计算使用ISO/IEC11770-3定义的密钥验证机制：

MacTag_First＝MAC-KC(Q_{SSE_First},0x03,ID_First,ID_Second,QFirst,QSecond)；

该密钥验证机制使用AES加密XCBC-MAC-96模式，计算得：

MacTag_First＝AES-XCBC-MAC-96Q_{SSE_First}(0x03||ID_First||ID_Second||QFirst||QSecond)；

(b)第二NFC终端计算得到共同点P(P_x,P_y)、共享秘值z及共享秘钥Q_{SSE_second}，验证第一NFC终端发送的密钥验证标签MacTag_First，并计算得到第二NFC终端的密钥验证标签MacTag_Second，发送密钥验证标签MacTag_Second给第一NFC终端验证：

$P=RFirst\·k_{First}^i{Q^{\′}}_{Second}^i,$

z＝P_x，

Q_{SSE_second}＝KDF(NFirst,NSecond,ID_First,ID_Second,Z)，

${\mathrm{MacTag}}_{Second}=f(Q_{SSE\_second},{\mathrm{ID}}_{Second},{\mathrm{ID}}_{First},{Q^{\′\′}}_{Second}^i,{Q^{\′\′}}_{First}^i);$

验证标签MacTag_Second计算使用ISO/IEC11770-3定义的密钥验证机制：

MacTag_Second＝MAC-KC(Q_{SSE_Second},0x03,ID_Second,ID_First,QSecond,QFirst)；

该密钥验证机制使用AES加密XCBC-MAC-96模式，计算得：

MacTag_Second＝AES-XCBC-MAC

-96Q_{SSE_Second}(0x03||ID_Second||ID_First||QSecond||QFirst)；

(3-4)当第一NFC终端的密钥验证标签MacTag_First被第二NFC终端验证通过，且第二NFC终端的密钥验证标签MacTag_Second被第一NFC终端验证通过时，则第一NFC终端、第二NFC终端均以Q_SSE作为共享秘钥，并进行数据通信连接，其中Q_SSE＝Q_{SSE_First}＝Q_{SSE_second}；否则，则中断第一NFC终端与第二NFC终端之间的通信连接；其中，

第二NFC终端验证第一NFC终端的密钥验证标签MacTag_First过程包括：第二NFC终端根据其计算得到的共享秘钥Q_{SSE_second}，计算第一NFC终端的密钥验证标签MacTag'_First，其中 ${{\mathrm{MacTag}}^{\′}}_{First}=f(Q_{SSE\_second},{\mathrm{ID}}_{First},{\mathrm{ID}}_{Second},{Q^{\′\′}}_{First}^i,{Q^{\′\′}}_{Second}^i);$ 若MacTag'_First＝MacTag_First，则表示第一NFC终端的密钥验证标签MacTag_First被第二NFC终端验证通过，否则，表示验证未通过；

第一NFC终端验证第二NFC终端的密钥验证标签MacTag_Second过程包括：第一NFC终端根据其计算得到的共享秘钥Q_{SSE_First}，计算第二NFC终端的密钥验证标签MacTag'_Second，其中 ${{\mathrm{MacTag}}^{\′}}_{Second}=f(Q_{SSE\_First},{\mathrm{ID}}_{Second},{\mathrm{ID}}_{First},{Q^{\′\′}}_{Second}^i,{Q^{\′\′}}_{First}^i);$ 若MacTag'_Second＝MacTag_Second，则表示第二NFC终端的密钥验证标签MacTag_Second被第一NFC终端验证通过，否则，表示验证未通过；

其中，密钥验证标签MacTag'_First、MacTag'_Second的计算均使用ISO/IEC11770-3定义的密钥验证机制，密钥验证机制均使用AES加密XCBC-MAC-96模式。

2.根据权利要求1所述的自更新公钥密钥交换方法，其特征在于，所述步骤(2-2)中的椭圆曲线E中：

a＝-3，

b＝64210519e59c80e70fa7e9ab72243049feb8deecc146b9b1，

n₁＝6277101735386680763835789423176059013767194773182842284081。