CN107888376A - 基于量子通信网络的nfc认证系统 - Google Patents
基于量子通信网络的nfc认证系统 Download PDFInfo
- Publication number
- CN107888376A CN107888376A CN201710993062.0A CN201710993062A CN107888376A CN 107888376 A CN107888376 A CN 107888376A CN 201710993062 A CN201710993062 A CN 201710993062A CN 107888376 A CN107888376 A CN 107888376A
- Authority
- CN
- China
- Prior art keywords
- nfc
- quantum
- authentication
- certification
- communications service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种基于量子通信网络的NFC认证系统,包括应用服务器、应用终端、以及移动终端,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;进行NFC认证时,移动终端所匹配的量子密钥卡生成NFC认证应答值,量子通信服务站生成NFC认证预期应答值;应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果并执行相关业务。本发明NFC认证系统,利用移动终端的NFC认证,使用者操作快速便捷,体验优于动态密码。另外用于认证的密钥存储于量子密钥卡中,量子密钥卡是特制的隔离硬件,难以被移动终端内的恶意软件或恶意操作窃取。
Description
技术领域
本发明涉及网络安全通信领域,特别涉及一种基于量子通信网络的 NFC认证系统。
背景技术
身份认证时,静态密码容易被恶意软件所窃取,或者因为固定不变 被暴力破解。为了解决静态密码的安全性问题,动态令牌技术已经大行 其道。
动态令牌采用基于时间、事件和密钥三个变量产生的一次性密码代 替传统的静态密码。每个动态令牌卡都有一个唯一的密钥,该密钥同时 存放在服务器端,每次认证时动态令牌卡与服务器分别根据同样的密 钥,同样的随机参数(时间、事件)和同样的算法计算待认证的动态令牌, 从而双边确保密码的一致性,实现身份认证。因每次认证时的随机参数 不同,所以每次产生的动态令牌也不同,而参数的随机性保证了每次密 码的不可预测性,从而在最基本也是最重要的密码认证环节保证了系统 的安全性。动态令牌从终端来分类包含硬件令牌和手机令牌。手机令牌 是安装在手机上的客户端软件,用来生成动态令牌。
国际上动态令牌有2大主流算法,一个是RSA的SecurID(使用AES 对称算法),一个是OATH组织使用的HMAC算法。国内使用的动态令 牌算法使用国密SM1和SM3。
近场通信(NearFieldCommunication,NFC)是一种短距高频的无线 电技术,其传输范围比射频识别技术(RadioFrequencyIdentification, RFID)小,但由于NFC采取了独特的信号衰减技术,相对于RFID来说 NFC具有距离近、带宽高、能耗低等特点,可提供各种设备间安全、迅 速而自动的通信。
目前NFC已经成为越来越多主要手机厂商支持的正式标准,各个 手机厂商也推出了具有NFC支付功能的智能终端。
量子通信是量子论和信息论相结合的新兴交叉领域,以其高度安全 的信息传输能力日益受到人们的关注。
例如中国专利申请201510513004.4公开了基于量子密码网络的手 机令牌身份认证系统,其中介绍了量子通信网络的动态令牌认证。但未 考虑移动终端的安全性,而且需要在应用终端手动输入动态密码,操作 不便。
中国专利申请201610843356.0公开了用户身份认证系统和方法,其 中介绍了一种量子通信服务站和量子密钥卡及其相互之间认证的实现 方法。但仅介绍了量子通信服务站对配备有量子密钥卡的量子通信用户 设备的认证,并未介绍量子通信网络中的应用系统的内部认证,即应用 服务器对应用终端的认证。
现有技术存在的问题
1.现有技术中,在使用动态令牌进行身份认证过程中,需要应用终 端使用者手动输入动态令牌,操作过于繁琐,并且存在安全隐患。
2.现有技术中,手机令牌的密钥存储于手机存储器中,可以被恶意 软件或恶意操作窃取。
3.现有技术中,手机令牌的种子密钥是不变的,安全性不够高。
4.现有技术中,每一个应用服务器的动态口令系统都是独立的,使 用者需要维护多个动态令牌或者动态令牌软件,管理不便。
发明内容
本发明提供一种基于量子通信网络的NFC认证系统,利用移动终 端的NFC认证,使用者操作快速便捷,体验优于动态密码。另外用于 认证的密钥存储于量子密钥卡中,量子密钥卡是特制的隔离硬件,难以 被移动终端内的恶意软件或恶意操作窃取。
一种基于量子通信网络的NFC认证系统,包括应用服务器、应用 终端、以及移动终端,还设有量子通信服务站以及与所述移动终端相匹 配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的 量子密钥;
进行NFC认证时,所述移动终端从应用终端申请并获得NFC认证 信息,移动终端所匹配的量子密钥卡根据该NFC认证信息并利用所存 储的量子密钥生成NFC认证应答值,再将该NFC认证应答值发送至应 用终端;
所述应用终端还向应用服务器发送相应认证请求,该认证请求经由 应用服务器发送至量子通信服务站并返回相应的NFC认证预期应答值; 应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果 并执行相关业务。
本发明中所述NFC认证信息中包含NFC挑战值,应用终端向应用 服务器发送的认证请求中也包含该NFC挑战值,即NFC认证信息与认 证请求中有相应的NFC挑战值。由于移动终端所匹配的量子密钥卡与 量子通信服务站之间存储有相应的量子密钥,因此可分别计算生成NFC 认证应答值以及NFC认证预期应答值,在应用终端进行比较,两者一 致视为认证成功。
本发明中NFC应答值在移动终端匹配的量子密钥卡内并利用量子 密钥生成,由于量子密钥卡中的密钥可变,甚至能做到一次认证一个密 钥,安全性高于动态密码。多个应用服务器的动态口令系统都可以用同 样的量子通信系统进行认证,使用者管理方便。
同一应用服务器下可以配置多个应用终端,参与认证过程的量子通 信服务站也不限于一个,涉及多个量子节点相互通信时,可利用QKD 方式获得的站间量子密钥加密通信,或采用量子密钥卡的形式与所属的 (即该量子密钥卡由所属量子通信服务站颁发,两者之间存储有相应的 量子密钥)量子通信服务站加密通信。
本发明NFC认证系统可以应用于各类需要身份认证的系统,应用服 务器和应用终端可根据需要以及场景配置多台,应用服务器运行业务服务 程序,应用终端运行业务客户端程序。
可选的,所述应用服务器为门禁系统后台服务器;智能楼宇后台控制 中心或考勤系统后台服务器;所述应用终端相应的为门禁装置;智能楼宇 受控终端或考勤机终端。
可选的,使用者通过移动终端向应用终端申请发送访问请求以获取 所述NFC认证信息时,访问请求中携带或不携带应用服务器预先分配 给该使用者的身份识别号。
相对于携带身份识别号,若不携带身份识别号则使用者不需要输入任 何信息给应用终端,应用终端向应用服务器发送空的使用者访问请求, 可进一步方便使用者操作。
可选的,应用终端接收来自移动终端且带有所述NFC认证应答值的 认证应答,从该认证应答中提取相应信息并进行合法性判断;判断合法后 再向应用服务器发送所述认证请求。
移动终端计算NFC认证应答值后向应用终端发送认证应答,其不仅 包含有NFC认证应答值,还包含其他识别信息,如NFC挑战ID、使用者 的身份识别号、所使用的量子密钥卡的身份识别号等;根据判断需要,还 可以通过移动终端采集的使用者生物学信息,如指纹信息、虹膜信息、人 脸信息、静脉信息、掌纹信息等,并携带在认证应答中。
可选的,所述应用终端进行的合法性判断包括身份信息合法性判断和 时间合法性判断。
可选的,应用终端向应用服务器发送认证请求后,应用服务器对该 认证请求进行合法性判断,判断合法后再发送至量子通信服务站进行认 证。
即涉及的合法性判断有两次,一次是在应用终端中依据来自移动终 端的认证应答进行判断,另一次是在应用服务器中依据来自应用终端的 认证请求进行判断。
可选的,所述应用服务器也配置有相应的量子密钥卡,该量子密钥 卡与量子通信服务站之间存储有相应的量子密钥,用以在应用服务器与 量子通信服务站之间加密通信。
通信时,若有多个量子通信服务站参与,在量子通信服务站之间采 用站间量子密钥进行通信;移动终端与所属的量子通信服务站之间、应 用服务器与所属的量子通信服务站之间采用所属量子通信服务站颁发 的量子密钥进行通信。
可选的,应用服务器的量子密钥卡颁发自第一量子通信服务站,移 动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站 接收来自应用终端发送的认证请求后,将该认证请求转发至第二量子通 信服务站进行认证,并将来自第二量子通信服务站的NFC认证预期应答 值转发至应用终端。
由于应用服务器的量子密钥卡颁发自第一量子通信服务站,因此两 者可以利用量子密钥加密通信,但移动终端的量子密钥卡颁发自第二量 子通信服务站,因此NFC认证预期应答值需要由第二量子通信服务站 生成,第一量子通信服务站和第二量子通信服务站之间可通过站间量子 密钥相互通信。
可选的,移动终端和应用服务器两者的量子密钥卡颁发自同一量子 通信服务站,该量子通信服务站中存储有与两者的量子密钥卡分别对应 的量子密钥。
此时,该量子通信服务站利用所存储的量子密钥一方面可以与应用 服务器直接加密通信接收认证请求,也可以生成NFC认证预期应答值并 经由应用服务器返回给应用终端,在流程上相对简化。
可选的,应用终端得到认证结果后,还将该认证结果发送至移动终 端和/或应用服务器。
应用终端得到认证结果后一方面可以根据认证通过与否执行相关 业务,另外还可以将认证结果通过NFC传输发送至移动终端,或通过 量子网络发给应用服务器,或通过量子网络经由应用服务器发送至移动 终端。
本发明的有益效果:
1.采用NFC验证方便快捷,解决了现有技术中,在使用动态令牌进 行身份认证过程中,操作过于繁琐的问题。
2.基于独立硬件形式的量子密钥卡,解决了现有技术中,手机令牌的 密钥存储于手机存储器中,可以被恶意软件或恶意操作窃取的问题。
3.量子密钥卡中量子密钥可变,解决了现有技术中,手机令牌的种子 密钥不变导致的安全性不够高的问题。
4.多个应用服务器可采用同一量子通信系统验证,解决了现有技术 中,每一个应用服务器的动态口令系统互相独立而导致的管理不便问题。
附图说明
图1为本发明NFC认证系统的组网图;
图2为本发明实施例1的流程图;
图3为本发明实施例2的流程图;
图4为本发明实施例3的流程图;
图5为本发明实施例4的流程图。
具体实施方式
见图1,本发明基于量子通信网络的NFC认证系统,在量子通信网 络中,若干量子通信城域网接入量子通信干线,而每个量子通信城域网可 让多个量子通信服务站接入。
量子通信服务站内部配置有多个服务器,例如供认证服务、量子密钥 分发服务、量子随机数服务。
认证服务用于对量子通信服务站的用户设备进行身份认证。
量子密钥分发服务用于通过量子通信城域网和量子通信干线,与另一 个量子通信服务站进行量子密钥分发并产生成对密钥,密钥分发协议优选 为BB84。
量子随机数服务用于为量子密钥卡和量子通信服务站颁发成对的量 子随机数密钥集,此颁发过程可以参考中国专利申请201610843210.6中 有关量子密钥卡的颁发。
量子随机数服务为量子密钥卡和量子通信服务站颁发成对的量子随 机数密钥集后,量子通信服务站将量子密钥卡颁发给量子通信服务站的用 户设备,在实际使用时量子密钥卡与量子通信服务站的用户设备存在一一 对应的关系。量子通信服务站的用户设备可以以固定用户设备和移动用户 设备的形式接入量子通信服务站。固定用户设备可以是普通PC/MAC电 脑,嵌入式设备,也可以是各类服务器,如本发明所述的应用服务器。移 动用户设备可以是手机/PAD等各类移动终端。不论是哪类量子通信服务 站的设备,均留有接口对接量子密钥卡,并能与其进行通信。当用户设备 接入量子通信服务站时,与特定的量子密钥卡发生一一对应的绑定关系, 否则无法接入量子通信服务站。
关于量子密钥卡的实现方式可以参考中国专利申请201610843210.6, 其中公开了一种量子通信服务站、量子密钥管理装置以及密钥配置网络 和方法,也介绍了有关量子密钥卡的颁发。
应用系统可以是各类需要身份认证的系统,包括应用服务器和若干应 用终端,应用服务器运行业务服务程序,应用终端运行业务客户端程序。 本发明的应用系统可以但不限于是:门禁系统;智能楼宇控制系统;考勤 系统;等等。前述三种应用系统的情况下,其应用服务器分别为:门禁系 统后台服务器;智能楼宇后台控制中心;考勤系统后台服务器;其应用终 端分别为:门禁装置;智能楼宇受控终端;考勤机终端。
应用服务器是量子通信服务站的用户设备。应用终端使用者必须同时 拥有量子通信服务站的移动用户设备,每个移动用户设备对应一或多个量 子密钥卡。
应用终端不需要是但也可以是量子通信服务站的用户设备。当应用终 端是量子通信服务站的用户设备时,与应用服务器通过量子通信网络进行 通信。当应用终端不是量子通信服务站的用户设备时,应用终端和应用服 务器之间还有安全的认证通信网络。安全的认证通信网络的可能性有:由 静态密钥、预分配密钥、动态令牌密钥、手机动态令牌密钥、短信密钥等 密钥或CA证书来保障安全的通信网络;专用安全通信网络等。
每个应用终端均带有NFC通信的能力。
本发明所述需要NFC通信的移动终端均带有NFC通信模块,该模块 使用的是本领域技术人员所周知的技术,因此实现方式不在本发明讨论。
实施例1
NFC认证流程QRA_FLOW
QRA_FLOW的直接涉及方有移动终端MT(当前量子密钥卡为MTK, 其身份识别号为MTKID)、应用终端AT、应用服务器AS(当前量子密钥卡 为ASK,其身份识别号为ASKID)、MTK当前密钥所对应的量子通信服 务站的认证服务模块QMT(其身份识别号为QMTID)、ASK当前密钥所对 应的量子通信服务站的认证服务模块QAS(其身份识别号为QASID)。AT 使用者持有MT,MT当前和MTK配对,因此AT使用者持有MTK。
AT使用者持有MTK向AS进行登记注册。AS为AT使用者分配的身 份识别号为UID;其绑定的量子密钥卡的身份识别号为MTKID。AS存储 UID及其对应的MTKID至账户数据库。AS还可以存储UID对应的使用 者生物学特征至账户数据库,如指纹特征、虹膜特征、人脸特征、静脉特 征、掌纹特征等。
见图2,QRA_FLOW如下:
3.1MT向AT发送使用者访问请求
MT与AT建立NFC连接。使用者在MT的APP界面输入UID,并发 送使用者访问请求。
访问请求类型有:显示AT相关业务界面;执行AT控制的门禁开关 操作;执行AT控制的智能楼宇电气开关操作;执行AT所在位置的人员 考勤;等等。
访问请求中带有UID、MTKID。
该数据传输由NFC实现。
3.2AT形成NFC认证相关信息
AT生成并记录NFC认证相关信息到AT的认证存储单元。当应用终 端是量子通信服务站的用户设备时,认证存储单元是量子密钥卡的内部存 储单元。当应用终端不是量子通信服务站的用户设备时,认证存储单元是 主板芯片、UKEY、SDKEY等硬件隔离装置的内部存储单元,或者是AT 自带的内部存储单元。
NFC认证相关信息包括NFC认证信息和NFC认证附加信息,见下表。
NFC认证信息包括NFC挑战ID、NFC挑战值。NFC挑战ID是代表 该NFC认证信息唯一身份的数字或字符串。NFC挑战值为真随机数。
NFC认证附加信息包括NFC认证信息生成时间、NFC认证信息申请 者ID、NFC认证信息申请者的量子密钥卡ID。NFC认证信息生成时间是 生成NFC认证信息的时间。NFC认证信息申请者ID即UID。NFC认证 信息申请者的量子密钥卡ID即MTKID。
AT记录的NFC认证相关信息有其认证有效的时间范围,称为NFC 认证最大时间差。超过此认证有效的时间范围后,该NFC认证相关信息 被视为无效信息,将不定期从AT的认证存储单元中删除。优选为,NFC 认证最大时间差为60秒。也可以设置NFC认证最大时间差为无穷大。当 NFC认证最大时间差尚未到达,但NFC连接断开时,则该NFC认证相关 信息也将被视为无效信息。
3.3AT向MT发送NFC认证信息
该数据传输由NFC实现。
3.4MT生成NFC认证应答值
MT将NFC认证信息传入MTK,MTK取出当前认证密钥,结合NFC 认证信息中的NFC挑战值,根据约定的认证算法计算得到NFC认证应答 值。优选为,认证算法为挑战应答算法,且应答方式为带密钥的哈希算法 (如HMAC)。
3.5MT向AT发送认证应答
MT向AT发送的认证应答包括NFC挑战ID、UID、MTKID、NFC 认证应答值。
除上述信息,还可以带上MT采集的使用者生物学信息,如指纹信息、 虹膜信息、人脸信息、静脉信息、掌纹信息等。为防止使用者生物学信息 后续被用于重放攻击,事先在MTK中使用密钥对使用者生物学信息进行 加密算法计算,得到使用者生物学信息的加密值。
该数据传输由NFC实现。
3.6AT对MT应答合法性进行判断
3.6.1身份信息合法性判断
AT判断MT发来的NFC挑战ID、UID、MTKID与认证存储单元中 NFC认证相关信息中的NFC挑战ID、UID、MTKID是否一致,如果不一 致则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
3.6.2时间合法性判断
AT记录当前时间,即NFC认证时间。AT在NFC认证相关信息中找 出NFC认证信息生成时间。NFC认证时间差等于NFC认证时间和NFC 认证信息生成时间之差。如果NFC认证时间差大于NFC认证最大时间差, 则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
3.7AT向AS发送认证请求
AT向AS发送的认证请求包含NFC挑战值、UID、MTKID。如MT 的认证应答包含使用者生物学信息的加密值,则AT向AS发送的认证请 求也包含该使用者生物学信息的加密值。
AT与AS可以利用各自匹配的量子密钥卡通过与所属的量子通信服 务站间接通信,该过程也可以参考中国专利申请201610845826.7,以及 201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和 消息认证方法保证其安全性和可靠性。
3.8AS对AT认证请求的合法性进行判断
AS在账户数据库中找出UID,并根据账户数据库判断MTKID是否 属于该UID,如果不是则判断为AT认证请求不合法,向AT返回失败的 认证应答;否则继续。
如AT的认证请求包含使用者生物学信息的加密值,则AS从账户数 据库中获得使用者生物学信息,以备后续计算。如获取失败,则向AT返 回失败的认证应答;否则继续。
3.9AS向QAS发送认证请求
AS向QAS发送的认证请求包括MTKID、NFC挑战值。
如AT的认证请求包含使用者生物学信息的加密值,则AS向QAS发 送的认证请求包含该使用者生物学信息的加密值。
3.10QAS向QMT发送认证请求
QAS根据MTKID找到其对应的QMT,然后发送认证请求。
QAS向QMT发送的认证请求与AS向QAS发送认证请求所包含内容 相同。
3.11QMT生成NFC认证预期应答值
QMT根据MTKID搜索到MTK对应的量子随机数密钥,结合NFC 挑战值,进行认证算法计算,得到NFC认证预期应答值。
如QAS向QMT发送的认证请求包含使用者生物学信息的加密值,则 使用与MTK对应的密钥,对使用者生物学信息的加密值进行解密算法计 算,得到MT采集的使用者生物学信息。
3.12QMT向QAS发送认证预期值
QMT向QAS发送的认证预期值包含NFC认证预期应答值。
如QAS向QMT发送的认证请求包含使用者生物学信息的加密值,则 认证预期值还包含MT采集的使用者生物学信息。
3.13QAS向AS发送认证预期值
QAS向AS发送的认证预期值与QMT向QAS发送的认证预期值包含 内容相同。
在步骤3.9、3.10、3.12和3.13中涉及不同量子通信服务站之间,以 及应用服务器与量子通信服务站之间的数据传输,不同量子通信服务站之 间可以利用站间量子密钥进行数据的加密传输以及相互认证,而应用服务 器则可以通过量子密钥卡与所属的量子通信服务站之间进行数据的加密 传输以及相互认证,该过程也可以参考中国专利申请201610845826.7, 以及201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和消息认证方法保证其安全性和可靠性。
3.14AS向AT发送NFC认证预期应答值
如QAS向AS发送的认证预期值中包含MT采集的使用者生物学信 息,则AS取出来自账户数据库的使用者生物学信息,对二者进行对比。 如果二者不符,则向AT返回失败的认证应答;否则继续。
AS向AT发送NFC认证预期应答值。
该数据传输由量子通信网络或者安全的认证通信网络的加解密方法 和消息认证方法保证其安全性和可靠性。
3.15AT判断NFC认证结果并执行相关业务
AT对比NFC认证应答值和NFC认证预期应答值,得到NFC认证结 果。如果NFC认证应答值和NFC认证预期应答值相等,则认证成功;否 则认证失败。
如果NFC认证结果为成功,AT的相关业务可以包括但不限于:显示 使用者认证成功及相关业务界面;执行门禁开关操作;执行智能楼宇电气 开关操作;执行考勤成功操作;记录认证成功信息至日志模块;等等。
如果NFC认证结果为失败,AT的相关业务可以包括但不限于:显示 使用者认证失败及相关业务界面;记录认证失败信息至日志模块;等等。
3.16AT向MT发送NFC认证结果
可有以下几种情况。
情况1:AT向MT发送NFC认证结果。该数据传输由NFC实现。
情况2:AT向AS发送认证结果。
情况3:AT向AS发送认证结果,然后由AS向MT发送认证结果。
AT与AS可以利用各自匹配的量子密钥卡通过对应的量子通信服务 站通信,该过程也可以参考中国专利申请201610845826.7,以及 201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和 消息认证方法保证其安全性和可靠性。
AS与MT既可以采用AT与AS之间的经由量子通信网络的方式,还 可以采用安全的认证通信网络的加解密方法和消息认证方法保证其安全 性和可靠性。
至此QRA_FLOW结束。
实施例2
NFC认证简化流程QRA_SFLOW
QRA_FLOW的特殊情况是,当应用服务器和移动终端所使用的量子 密钥卡对应的量子通信服务站是同一个时,即只存在QAS且不存在QMT 时,流程发生适当简化。其具体过程类似于实施例1的QRA_FLOW,仅 仅是省略了QAS与QMT通信的几个步骤。
见图3,QRA_SFLOW如下:
4.1MT向AT发送使用者访问请求
4.2AT形成NFC认证相关信息
4.3AT向MT发送NFC认证信息
4.4MT生成NFC认证应答值
4.5MT向AT发送认证应答
4.6AT对MT应答合法性进行判断
4.6.1身份信息合法性判断
4.6.2时间合法性判断
4.7AT向AS发送认证请求
4.8AS对AT认证请求的合法性进行判断
4.9AS向QAS发送认证请求
4.10QAS生成NFC认证预期应答值
4.11QAS向AS发送认证预期值
4.12AS向AT发送NFC认证预期应答值
4.13AT判断NFC认证结果并执行相关业务
4.14AT向MT发送NFC认证结果
至此QRA_SFLOW结束。
实施例3
简化操作的NFC认证流程SQRA_FLOW
前述QRA_FLOW和QRA_SFLOW,第一步均需要向MT输入UID, 如果输入UID较复杂则操作不便。为进一步方便使用者操作,可以使用以 下无需输入UID的流程SQRA_FLOW。
SQRA_FLOW的直接涉及方与QRA_FLOW相同。
AT使用者持有MTK向AS进行登记注册,AS将MTKID记录到AS 的账户数据库,该情况记为SQRA_FLOW_REG;或者不注册,该情况记 为SQRA_FLOW_UNREG。SQRA_FLOW_REG情况下,AS还可以存储 MTKID对应的使用者生物学特征至账户数据库,如指纹特征、虹膜特征、 人脸特征、静脉特征、掌纹特征等。
见图4,SQRA_FLOW如下:
5.1MT向AT发送使用者访问请求
MT与AT建立NFC连接。使用者在MT的APP界面无需输入UID, 直接发送使用者访问请求。
访问请求类型有:显示AT相关业务界面;执行AT控制的门禁开关 操作;执行AT控制的智能楼宇电气开关操作;执行AT所在位置的人员 考勤;等等。
访问请求中带有MTKID。
该数据传输由NFC实现。
5.2AT形成NFC认证相关信息
AT生成并记录NFC认证相关信息到AT的认证存储单元。当应用终 端是量子通信服务站的用户设备时,认证存储单元是量子密钥卡的内部存 储单元。当应用终端不是量子通信服务站的用户设备时,认证存储单元是 主板芯片、UKEY、SDKEY等硬件隔离装置的内部存储单元,或者是AT 自带的内部存储单元。
NFC认证相关信息包括NFC认证信息和NFC认证附加信息,见下表。
NFC认证信息包括NFC挑战ID、NFC挑战值。NFC挑战ID是代表 该NFC认证信息唯一身份的数字或字符串。NFC挑战值为真随机数。
NFC认证附加信息包括NFC认证信息生成时间、NFC认证信息申请 者的量子密钥卡ID。NFC认证信息生成时间是生成NFC认证信息的时间。 NFC认证信息申请者的量子密钥卡ID即MTKID。
AT记录的NFC认证相关信息有其认证有效的时间范围,称为NFC 认证最大时间差。超过此认证有效的时间范围后,该NFC认证相关信息 被视为无效信息,将不定期从AT的认证存储单元中删除。优选为,NFC 认证最大时间差为60秒。也可以设置NFC认证最大时间差为无穷大。当 NFC认证最大时间差尚未到达,但NFC连接断开时,则该NFC认证相关 信息也将被视为无效信息。
5.3AT向MT发送NFC认证信息
该数据传输由NFC实现。
5.4MT生成NFC认证应答值
MT将NFC认证信息传入MTK,MTK取出当前认证密钥,结合NFC 认证信息中的NFC挑战值,根据约定的认证算法计算得到NFC认证应答 值。优选为,认证算法为挑战应答算法,且应答方式为带密钥的哈希算法 (如HMAC)。
5.5MT向AT发送认证应答
T向AT发送的认证应答包括NFC挑战ID、MTKID、NFC认证应答 值。
除上述信息,还可以带上MT采集的使用者生物学信息,如指纹信息、 虹膜信息、人脸信息、静脉信息、掌纹信息等。为防止使用者生物学信息 后续被用于重放攻击,事先在MTK中使用密钥对使用者生物学信息进行 加密算法计算,得到使用者生物学信息的加密值。
该数据传输由NFC实现。
5.6AT对MT应答合法性进行判断
5.6.1身份信息合法性判断
AT判断MT发来的NFC挑战ID、MTKID与认证存储单元中NFC认 证相关信息中的NFC挑战ID、MTKID是否一致,如果不一致则判断为不 合法,向MT返回失败消息及错误码,流程结束;否则继续。
5.6.2时间合法性判断
AT记录当前时间,即NFC认证时间。AT在NFC认证相关信息中找 出NFC认证信息生成时间。NFC认证时间差等于NFC认证时间和NFC 认证信息生成时间之差。如果NFC认证时间差大于NFC认证最大时间差, 则判断为不合法,向MT返回失败消息及错误码,流程结束;否则继续。
5.7AT向AS发送认证请求
AT向AS发送的认证请求包含NFC挑战值、MTKID。
如MT的认证应答包含使用者生物学信息的加密值,则AT向AS发 送的认证请求也包含该使用者生物学信息的加密值。
AT与AS可以利用各自匹配的量子密钥卡通过与所属的量子通信服 务站间接通信,该过程也可以参考中国专利申请201610845826.7,以及 201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和 消息认证方法保证其安全性和可靠性。
5.8AS对AT认证请求的合法性进行判断
(仅SQRA_FLOW_REG情况下)AS根据账户数据库判断MTKID是否 存在,如果不存在则判断为AT认证请求不合法,向AT返回失败的认证 应答;否则继续。
如AT的认证请求包含使用者生物学信息的加密值,则AS从账户数 据库中获得使用者生物学信息,以备后续计算。如获取失败,则向AT返 回失败的认证应答;否则继续。
5.9AS向QAS发送认证请求
AS向QAS发送的认证请求包括MTKID、NFC挑战值。
如AT的认证请求包含使用者生物学信息的加密值,则AS向QAS发 送的认证请求包含该使用者生物学信息的加密值。
5.10QAS向QMT发送认证请求
QAS根据MTKID找到其对应的QMT,然后发送认证请求。
QAS向QMT发送的认证请求与AS向QAS发送认证请求所包含内容 相同。
5.11QMT生成NFC认证预期应答值
QMT根据MTKID搜索到MTK对应的量子随机数密钥,结合NFC 挑战值,进行认证算法计算,得到NFC认证预期应答值。
如QAS向QMT发送的认证请求包含使用者生物学信息的加密值,则 使用与MTK对应的密钥,对使用者生物学信息的加密值进行解密算法计 算,得到MT采集的使用者生物学信息。
5.12QMT向QAS发送认证预期值
QMT向QAS发送的认证预期值包含NFC认证预期应答值。
如QAS向QMT发送的认证请求包含使用者生物学信息的加密值,则 认证预期值还包含MT采集的使用者生物学信息。
5.13QAS向AS发送认证预期值
QAS向AS发送的认证预期值与QMT向QAS发送的认证预期值包含 内容相同。
在步骤5.9、5.10、5.12和5.13中涉及不同量子通信服务站之间,以 及应用服务器与量子通信服务站之间的数据传输,不同量子通信服务站之 间可以利用站间量子密钥进行数据的加密传输以及相互认证,而应用服务 器则可以通过量子密钥卡与所属的量子通信服务站之间进行数据的加密 传输以及相互认证,该过程也可以参考中国专利申请201610845826.7, 以及201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和消息认证方法保证其安全性和可靠性。
5.14AS向AT发送NFC认证预期应答值
如QAS向AS发送的认证预期值中包含MT采集的使用者生物学信 息,则AS取出来自账户数据库的使用者生物学信息,对二者进行对比。 如果二者不符,则向AT返回失败的认证应答;否则继续。
AS向AT发送NFC认证预期应答值。
该数据传输由量子通信网络或者安全的认证通信网络的加解密方法 和消息认证方法保证其安全性和可靠性。
5.15AT判断NFC认证结果并执行相关业务
AT对比NFC认证应答值和NFC认证预期应答值,得到NFC认证结 果。如果NFC认证应答值和NFC认证预期应答值相等,则认证成功;否 则认证失败。
如果NFC认证结果为成功,AT的相关业务可以包括但不限于:显示 使用者认证成功及相关业务界面;执行门禁开关操作;执行智能楼宇电气 开关操作;执行考勤成功操作;记录认证成功信息至日志模块;等等。
如果NFC认证结果为失败,AT的相关业务可以包括但不限于:显示 使用者认证失败及相关业务界面;记录认证失败信息至日志模块;等等。
5.16AT向MT发送NFC认证结果
可有以下几种情况。
情况1:AT向MT发送NFC认证结果。该数据传输由NFC实现。
情况2:AT向AS发送认证结果。
情况3:AT向AS发送认证结果,然后由AS向MT发送认证结果。
AT与AS可以利用各自匹配的量子密钥卡通过对应的量子通信服务 站通信,该过程也可以参考中国专利申请201610845826.7,以及 201610842873.6的相关内容,数据传输由量子通信网络的加解密方法和 消息认证方法保证其安全性和可靠性。
AS与MT既可以采用AT与AS之间的经由量子通信网络的方式,还 可以采用安全的认证通信网络的加解密方法和消息认证方法保证其安全 性和可靠性。
至此SQRA_FLOW结束。
实施例4
简化操作的NFC认证简化流程SQRA_SFLOW
SQRA_FLOW的特殊情况是,当应用服务器和移动终端所使用的量子 密钥卡对应的量子通信服务站是同一个时,即只存在QAS且不存在QMT 时,流程发生适当简化。其具体过程类似于实施例3的SQRA_FLOW,仅 仅是省略了QAS与QMT通信的几个步骤。
见图5,SQRA_SFLOW如下:
6.1MT向AT发送使用者访问请求
6.2AT形成NFC认证相关信息
6.3AT向MT发送NFC认证信息
6.4MT生成NFC认证应答值
6.5MT向AT发送认证应答
6.6AT对MT应答合法性进行判断
6.6.1身份信息合法性判断
6.6.2时间合法性判断
6.7AT向AS发送认证请求
6.8AS对AT认证请求的合法性进行判断
6.9AS向QAS发送认证请求
6.10QAS生成NFC认证预期应答值
6.11QAS向AS发送认证预期值
6.12AS向AT发送NFC认证预期应答值
6.13AT判断NFC认证结果并执行相关业务
6.14AT向MT发送NFC认证结果
至此SQRA_SFLOW结束。
以上公开的仅为本发明的具体实施例,但是本发明并非局限于此,本 领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。例如NFC传输数据的步骤,也可以替换为任意其他短距离通 信技术,例如:蓝牙、WIFI、红外线、ZigBee、UWB等。显然这些改动 和变型均应属于本发明要求的保护范围保护内。此外,尽管本说明书中使 用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成 任何特殊限制。
Claims (10)
1.一种基于量子通信网络的NFC认证系统,包括应用服务器、应用终端、以及移动终端,其特征在于,还设有量子通信服务站以及与所述移动终端相匹配的量子密钥卡,所述量子密钥卡与量子通信服务站之间存储有相应的量子密钥;
进行NFC认证时,所述移动终端从应用终端申请并获得NFC认证信息,移动终端所匹配的量子密钥卡根据该NFC认证信息并利用所存储的量子密钥生成NFC认证应答值,再将该NFC认证应答值发送至应用终端;
所述应用终端还向应用服务器发送相应认证请求,该认证请求经由应用服务器发送至量子通信服务站并返回相应的NFC认证预期应答值;应用终端比较NFC认证应答值以及NFC认证预期应答值获得认证结果并执行相关业务。
2.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,所述应用服务器为门禁系统后台服务器;智能楼宇后台控制中心或考勤系统后台服务器;所述应用终端相应的为门禁装置;智能楼宇受控终端或考勤机终端。
3.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,使用者通过移动终端向应用终端申请发送访问请求以获取所述NFC认证信息时,访问请求中携带或不携带应用服务器预先分配给该使用者的身份识别号。
4.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,应用终端接收来自移动终端且带有所述NFC认证应答值的认证应答,从该认证应答中提取相应信息并进行合法性判断;判断合法后再向应用服务器发送所述认证请求。
5.如权利要求4所述的基于量子通信网络的NFC认证系统,其特征在于,所述应用终端进行的合法性判断包括身份信息合法性判断和时间合法性判断。
6.如权利要求5所述的基于量子通信网络的NFC认证系统,其特征在于,应用终端向应用服务器发送认证请求后,应用服务器对该认证请求进行合法性判断,判断合法后再发送至量子通信服务站进行认证。
7.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,所述应用服务器也配置有相应的量子密钥卡,该量子密钥卡与量子通信服务站之间存储有相应的量子密钥,用以在应用服务器与量子通信服务站之间加密通信。
8.如权利要求7所述的基于量子通信网络的NFC认证系统,其特征在于,应用服务器的量子密钥卡颁发自第一量子通信服务站,移动终端的量子密钥卡颁发自第二量子通信服务站,第一量子通信服务站接收来自应用终端发送的认证请求后,将该认证请求转发至第二量子通信服务站进行认证,并将来自第二量子通信服务站的NFC认证预期应答值转发至应用终端。
9.如权利要求7所述的基于量子通信网络的NFC认证系统,其特征在于,移动终端和应用服务器两者的量子密钥卡颁发自同一量子通信服务站,该量子通信服务站中存储有与两者的量子密钥卡分别对应的量子密钥。
10.如权利要求1所述的基于量子通信网络的NFC认证系统,其特征在于,应用终端得到认证结果后,还将该认证结果发送至移动终端和/或应用服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710993062.0A CN107888376B (zh) | 2017-10-23 | 2017-10-23 | 基于量子通信网络的nfc认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710993062.0A CN107888376B (zh) | 2017-10-23 | 2017-10-23 | 基于量子通信网络的nfc认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107888376A true CN107888376A (zh) | 2018-04-06 |
| CN107888376B CN107888376B (zh) | 2020-08-11 |
Family
ID=61782055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710993062.0A Active CN107888376B (zh) | 2017-10-23 | 2017-10-23 | 基于量子通信网络的nfc认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107888376B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525390A (zh) * | 2018-11-20 | 2019-03-26 | 江苏亨通问天量子信息研究院有限公司 | 用于终端设备保密通信的量子密钥无线分发方法及系统 |
| CN111934853A (zh) * | 2019-05-13 | 2020-11-13 | 科大国盾量子技术股份有限公司 | 基于生物识别技术的个人身份认证方法、系统及可穿戴设备 |
| CN112733191A (zh) * | 2021-01-21 | 2021-04-30 | 广西师范大学 | 一种基于区块链技术的nfc安全设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330440A (zh) * | 2016-11-23 | 2017-01-11 | 长春大学 | 一种基于近场通信的移动网络量子密钥分发系统及其分发方法 |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证系统和方法 |
| CN106357396A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
| CN106683245A (zh) * | 2016-12-22 | 2017-05-17 | 贵州航天计量测试技术研究所 | Nfc移动智能终端安全门禁系统及其控制方法 |
| CN106712931A (zh) * | 2015-08-20 | 2017-05-24 | 上海国盾量子信息技术有限公司 | 基于量子密码网络的手机令牌身份认证系统及方法 |
-
2017
- 2017-10-23 CN CN201710993062.0A patent/CN107888376B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106712931A (zh) * | 2015-08-20 | 2017-05-24 | 上海国盾量子信息技术有限公司 | 基于量子密码网络的手机令牌身份认证系统及方法 |
| CN106357649A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 用户身份认证系统和方法 |
| CN106357396A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
| CN106330440A (zh) * | 2016-11-23 | 2017-01-11 | 长春大学 | 一种基于近场通信的移动网络量子密钥分发系统及其分发方法 |
| CN106683245A (zh) * | 2016-12-22 | 2017-05-17 | 贵州航天计量测试技术研究所 | Nfc移动智能终端安全门禁系统及其控制方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525390A (zh) * | 2018-11-20 | 2019-03-26 | 江苏亨通问天量子信息研究院有限公司 | 用于终端设备保密通信的量子密钥无线分发方法及系统 |
| CN111934853A (zh) * | 2019-05-13 | 2020-11-13 | 科大国盾量子技术股份有限公司 | 基于生物识别技术的个人身份认证方法、系统及可穿戴设备 |
| CN111934853B (zh) * | 2019-05-13 | 2023-08-01 | 科大国盾量子技术股份有限公司 | 基于生物识别技术的个人身份认证方法、系统及可穿戴设备 |
| CN112733191A (zh) * | 2021-01-21 | 2021-04-30 | 广西师范大学 | 一种基于区块链技术的nfc安全设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107888376B (zh) | 2020-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104994114B (zh) | 一种基于电子身份证的身份认证系统和方法 | |
| US9384338B2 (en) | Architectures for privacy protection of biometric templates | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN107038777A (zh) | 一种基于智能门锁系统的安全通信方法及其智能门锁系统 | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| WO2016128906A1 (en) | Systems and methods for securely managing biometric data | |
| CN109151820A (zh) | 一种基于“一人一机一卡一号”的安全认证方法和装置 | |
| CN107592308A (zh) | 一种面向移动支付场景的双服务器多因子认证方法 | |
| CN109889669A (zh) | 一种基于安全加密算法的手机开锁方法及系统 | |
| CN105164689A (zh) | 用户认证 | |
| CN105868975B (zh) | 电子金融账户的管理方法、管理系统和移动终端 | |
| US20130179944A1 (en) | Personal area network (PAN) ID-authenticating systems, apparatus, method | |
| CN106850680A (zh) | 一种用于轨道交通设备的智能身份认证方法及装置 | |
| CN106850201A (zh) | 智能终端多因子认证方法、智能终端、认证服务器及系统 | |
| CN104935441A (zh) | 一种认证方法及相关装置、系统 | |
| CN110322600B (zh) | 电子锁的控制方法和电子锁 | |
| JP2015525409A (ja) | 高安全性生体認証アクセス制御のためのシステム及び方法 | |
| CN107911211B (zh) | 基于量子通信网络的二维码认证系统 | |
| CN107888376A (zh) | 基于量子通信网络的nfc认证系统 | |
| CN105205944A (zh) | 一种基于智能终端的自助存取系统 | |
| CN102892102A (zh) | 一种在移动网络中实现机卡绑定的方法、系统和设备 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN103957521B (zh) | 一种基于nfc技术的小区访客认证方法和系统 | |
| CN110738764A (zh) | 基于智能门锁的安全控制系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |