CN112118110B - 一种基于nfc的证件防伪方法及系统 - Google Patents

Abstract

本发明涉及一种基于NFC的证件防伪方法及系统，属于证件防伪技术领域。本发明包括注册绑定和验证两个过程，在注册绑定过程中，证件中心生成附有证件识别码信息的证件，并对NFC芯片进行初始化，可利用随机数等多因素生成NFC防伪芯片私钥，进一步生成第二证书等，NFC防伪芯片可贴置于证件表面亦可内置于证件内。由此构成了由第一证书、第二证书、证件识别码构成的防伪体系。在验证过程中，验证设备进逐次对第一证书、第二证书等的验证。由于结合使用了NFC防伪芯片，公钥密码算法，证书等多因素，因此提高了证件防伪的强度和方法安全性。

Description

一种基于NFC的证件防伪方法及系统

技术领域

本发明涉及一种基于NFC的证件防伪方法及系统，属于证件防伪技术领域。

背景技术

证件在人们的生活中使用越来越频繁，人们也拥有越来越多的证件。由于证件上携带了大量的信息，因此对证件的安全性、真实性以及不可复制性有了更高的要求。目前证件防伪技术主要分为两大类：一类是视觉防伪技术，另一类是机读防伪技术，典型的第二代居民身份证的防伪，它结合了数字防伪技术、射频防伪技术、印刷防伪技术等技术，极大的提高了居民身份证的安全系数。然而，并不是所有的证件都能像第二代居民身份证经过精心设计和采用多重防伪技术保证其安全性。

目前，近距离无线通讯(以下简称NFC)芯片技术已经很成熟，并且可用于证件防伪领域中，将NFC安全芯片与公钥密码技术结合起来是一种安全、可靠的防伪方法。采用NFC安全芯片可更容易在移动终端实现证件的防伪，通过用签名来为NFC芯片生成证书，并与证件绑定起来，验证设备通过验签来对证件进行防伪验证，通常需要在待验证证件中内置或表面放置一个防伪芯片来生成密钥、发送一些响应信息等。而私钥存储在芯片中是不安全的，攻击者可以有很多方式从芯片中导出，因此，保证私钥得安全性也是需要考虑得。发明名称为“一种基于公钥密码的多因素防伪方法和系统”，专利申请号201410698853.7的中国专利提出的防伪方法仅使用了公钥密码技术，方法结构上稍显复杂，不易在移动终端上部署实施。

发明内容

本发明的目的是提出一种基于NFC的证件防伪方法及系统，利用NFC安全芯片提供一种更为简单易在移动终端部署实施的证件防伪方法，以提高证件防伪的能力和安全性，并更容易在移动终端上部署实施。

本发明提出的基于NFC的证件防伪方法，包括以下步骤：

(1)证件注册，生成初始证件，并将初始证件与NFC防伪芯片进行绑定，步骤如下：

(1-1)证件中心生成一个证件中心私钥和一个证件中心公钥；

(1-2)证件中心根据证件中心公钥生成一个第一证书，并将该第一证书发送至验证设备；

(1-3)证件中心生成一个证件识别码，将该证件识别码印制在初始证件表面，并将该初始证件识别码发送至NFC防伪芯片；

(1-4)NFC防伪芯片生成并存储一个随机数，NFC防伪芯片根据该随机数和接收的初始证件识别码，通过运算生成一个NFC防伪芯片私钥和NFC防伪芯片公钥，并将该NFC防伪芯片公钥发送至证件中心；

(1-5)证件中心根据接收的NFC防伪芯片公钥和证件中心私钥，生成一个第二证书，并将该第二证书送至NFC防伪芯片；

(1-6)证件中心使用初始证件、步骤(1-3)的初始证件识别码和步骤(1-5)的NFC防伪芯片，制作一个附有识别码和NFC防伪芯片的待验证证件；

(2)验证设备对待验证证件进行验证，确定待验证证件的真伪，步骤如下：

(2-1)验证设备扫描步骤(1-6)的待验证证件表面的识别码，并将该识别码发送至NFC防伪芯片；

(2-2)NFC防伪芯片根据步骤(1-4)中的随机数以及接收自验证设备的识别码生成一个NFC防伪芯片私钥；

(2-3)验证设备利用随机数信息，生成第一随机挑战信息，并将该第一随机挑战信息发送至NFC防伪芯片；

(2-4)NFC防伪芯片利用步骤(2-2)的NFC芯片私钥和步骤(2-3)的第一随机挑战信息，生成随机挑战响应信息，并将该随机挑战响应信息和步骤(1-5)的第二证书发送至验证设备；

(2-5)验证设备依次对步骤(1-2)的第一证书、步骤(1-5)的第二证书以及步骤(2-4)的随机挑战响应信息进行验证，包括以下步骤：

(2-5-1)验证设备对步骤(1-2)的第一证书进行验证，获得证件中心公钥；

(2-5-2)验证设备利用证件中心公钥对步骤(1-5)的第二证书进行验证，获得NFC防伪芯片公钥；

(2-5-3)验证设备利用步骤(2-5-2)的NFC防伪芯片公钥对步骤(2-4)的随机挑战响应信息进行签名验证，获得第二随机挑战信息；

(2-5-4)验证设备对第一随机挑战信息与第二随机挑战信息进行比对，若第一随机挑战信息与第二随机挑战信息相互一致，则证明该待验证证件为合法证件，若第一随机挑战信息与第二随机挑战信息相互不一致，则证明该证件为伪造证件。

上述基于NFC的证件防伪方法中，所述的步骤(1-3)中证件中心生成的证件识别码，由证件中心将证件上的信息进行不可逆变换生成，或证件中心依据证件序列号或随机生成的字符串生成。所述的识别码为二维码、条形码或图形中的任何一种，该识别码通过扫描识别。

上述基于NFC的证件防伪方法中，所述的步骤(1-4)中，NFC防伪芯片对随机数与识别码的运算方法为异或运算方法，并根据NFC防伪芯片私钥和公钥密码算法生成NFC防伪芯片公钥。

上述基于NFC的证件防伪方法中，所述的步骤(2-4)中，NFC防伪芯片利用NFC防伪芯片私钥对随机挑战信息进行数字签名，生成所述随机挑战响应信息。

本发明提出的基于NFC证件防伪系统，包括：证件中心、NFC防伪芯片和验证设备，NFC防伪芯片内置于证件内或贴在证件表面，所述的证件中心、NFC防伪芯片和验证设备通过NFC实现通信；其中：

所述的证件中心包括证件中心密钥生成模块、证书生成模块、证件识别码生成模块和证件制作模块，证件中心密钥生成模块用于在注册绑定阶段生成证件中心私钥，并通过公钥密码算法生成证件中心公钥；所述证书生成模块用于在注册绑定阶段利用所述证件中心公钥生成第一证书，并将第一证书发送至所述验证设备，以及利用所述NFC防伪芯片的公钥生成第二证书，将所述第二证书发送至NFC防伪芯片；所述证件中心证件识别码生成模块用于在注册绑定阶段生成证件识别码，并将所述证件识别码发送至NFC防伪芯片；所述证件生成模块用于在注册绑定阶段制作印有证件识别码的证件；

所述的NFC防伪芯片内置于证件内或贴在证件表面，NFC防伪芯片包括随机数生成单元、存储单元、密钥生成单元和随机挑战响应信息生成单元；所述随机数生成单元用于在注册绑定阶段生成随机数；所述的存储单元用于存储在注册绑定阶段生成的随机数；所述的密钥生成单元用于生成在注册绑定阶段利用生成的随机数和识别码生成NFC防伪芯片私钥和公钥，将NFC防伪芯片公钥发送至所述证件中心，以及用于在验证阶段利用存储单元中的所述随机数和所述验证设备发送的识别码生成用于生成随机挑战响应信息的私钥；所述的随机挑战响应信息生成单元用于在验证阶段利用NFC防伪芯片私钥对验证设备发送的随机挑战信息生成随机挑战响应信息，并将所述随机挑战响应信息发送至所述验证设备；

所述的验证设备包括扫描模块、随机挑战信息生成单元和验证模块；所述的扫描模块用于在验证阶段扫描注册绑定阶段证件上的识别码，并将证件识别码信息发送至NFC防伪芯片；所述随机挑战信息生成单元用于生成随机挑战信息并将随机挑战信息发送至NFC防伪芯片；所述验证模块依次用于验证中心证书，第二证书和随机挑战响应信息。

本发明提出的基于NFC的证件防伪方法及系统，其优点是：

本发明的基于NFC的证件防伪方法及系统，在证件上附有证件识别码，该识别码是由证件中心生成颁发，每个识别码唯一标识证件，不同证件识别码信息不同。在NFC防伪芯片的私钥不存储于芯片内部，仅在使用时被计算出，此外私钥的生成是利用随机数或是结合不可隆响应以及证件识别码等多因素生成，保证了私钥的安全性。将证件与NFC防伪芯片进行绑定，提高了证件的防伪能力。在验证步骤中生成随机挑战信息与NFC防伪芯片私钥相关的随机挑战响应信息，进行验证，由此提高了整个过程的安全性。

附图说明

图1为本发明提出的NFC证件的防伪方法流程框图。

具体实施方法

本发明提出的基于NFC的证件防伪方法，其流程框图如图1所示，包括以下步骤：

(1)证件注册，生成初始证件，并将初始证件与NFC防伪芯片进行绑定，步骤如下：

(1-1)证件中心生成一个证件中心私钥和一个证件中心公钥；

(1-2)证件中心根据证件中心公钥生成一个第一证书，并将该第一证书发送至验证设备；

(1-3)证件中心生成一个证件识别码，将该证件识别码印制在初始证件表面，并将该初始证件识别码发送至NFC防伪芯片；

(1-4)NFC防伪芯片生成并存储一个随机数，NFC防伪芯片根据该随机数和接收的初始证件识别码，通过运算生成一个NFC防伪芯片私钥和NFC防伪芯片公钥，并将该NFC防伪芯片公钥发送至证件中心；

(1-5)证件中心根据接收的NFC防伪芯片公钥和证件中心私钥，生成一个第二证书，并将该第二证书送至NFC防伪芯片；

(1-6)证件中心使用初始证件、步骤(1-3)的初始证件识别码和步骤(1-5)的NFC防伪芯片，制作一个附有识别码和NFC防伪芯片的待验证证件；

(2)验证设备对待验证证件进行验证，确定待验证证件的真伪，步骤如下：

(2-1)验证设备扫描步骤(1-6)的待验证证件表面的识别码，并将该识别码发送至NFC防伪芯片；

(2-2)NFC防伪芯片根据步骤(1-4)中的随机数以及接收自验证设备的识别码生成一个NFC防伪芯片私钥；

(2-3)验证设备利用随机数信息，生成第一随机挑战信息，并将该第一随机挑战信息发送至NFC防伪芯片；

(2-4)NFC防伪芯片利用步骤(2-2)的NFC芯片私钥和步骤(2-3)的第一随机挑战信息，生成随机挑战响应信息，并将该随机挑战响应信息和步骤(1-5)的第二证书发送至验证设备；

(2-5)验证设备依次对步骤(1-2)的第一证书、步骤(1-5)的第二证书以及步骤(2-4)的随机挑战响应信息进行验证，包括以下步骤：

(2-5-1)验证设备对步骤(1-2)的第一证书进行验证，获得证件中心公钥；

(2-5-2)验证设备利用证件中心公钥对步骤(1-5)的第二证书进行验证，获得NFC防伪芯片公钥；

(2-5-3)验证设备利用步骤(2-5-2)的NFC防伪芯片公钥对步骤(2-4)的随机挑战响应信息进行签名验证，获得第二随机挑战信息；

(2-5-4)验证设备对第一随机挑战信息与第二随机挑战信息进行比对，若第一随机挑战信息与第二随机挑战信息相互一致，则证明该待验证证件为合法证件，若第一随机挑战信息与第二随机挑战信息相互不一致，则证明该证件为伪造证件。

上述基于NFC的证件防伪方法中，所述的步骤(1-3)中证件中心生成的证件识别码，由证件中心将证件上的信息进行不可逆变换生成，或证件中心依据证件序列号或随机生成的字符串生成。所述的识别码为二维码、条形码或图形中的任何一种，该识别码通过扫描识别。

上述基于NFC的证件防伪方法中，所述的步骤(1-4)中，NFC防伪芯片对随机数与识别码的运算方法为异或运算方法，并根据NFC防伪芯片私钥和公钥密码算法生成NFC防伪芯片公钥。

上述基于NFC的证件防伪方法中，所述的步骤(2-4)中，NFC防伪芯片利用NFC防伪芯片私钥对随机挑战信息进行数字签名，生成所述随机挑战响应信息。

本发明提出的基于NFC证件的防伪系统，包括：证件中心、NFC防伪芯片和验证设备，NFC防伪芯片内置于证件内或贴在证件表面，所述的证件中心、NFC防伪芯片和验证设备通过NFC实现通信；其中：

所述的证件中心包括证件中心密钥生成模块、证书生成模块、证件识别码生成模块和证件制作模块，证件中心密钥生成模块用于在注册绑定阶段生成证件中心私钥，并通过公钥密码算法生成证件中心公钥；所述证书生成模块用于在注册绑定阶段利用所述证件中心公钥生成第一证书，并将第一证书发送至所述验证设备，以及利用所述NFC防伪芯片的公钥生成第二证书，将所述第二证书发送至NFC防伪芯片；所述证件中心证件识别码生成模块用于在注册绑定阶段生成证件识别码，并将所述证件识别码发送至NFC防伪芯片；所述证件生成模块用于在注册绑定阶段制作印有证件识别码的证件；

所述的NFC防伪芯片内置于证件内或贴在证件表面，NFC防伪芯片包括随机数生成单元、存储单元、密钥生成单元和随机挑战响应信息生成单元；所述随机数生成单元用于在注册绑定阶段生成随机数；所述的存储单元用于存储在注册绑定阶段生成的随机数；所述的密钥生成单元用于生成在注册绑定阶段利用生成的随机数和识别码生成NFC防伪芯片私钥和公钥，将NFC防伪芯片公钥发送至所述证件中心，以及用于在验证阶段利用存储单元中的所述随机数和所述验证设备发送的识别码生成用于生成随机挑战响应信息的私钥；所述的随机挑战响应信息生成单元用于在验证阶段利用NFC防伪芯片私钥对验证设备发送的随机挑战信息生成随机挑战响应信息，并将所述随机挑战响应信息发送至所述验证设备；

所述的验证设备包括扫描模块、随机挑战信息生成单元和验证模块；所述的扫描模块用于在验证阶段扫描注册绑定阶段证件上的识别码，并将证件识别码信息发送至NFC防伪芯片；所述随机挑战信息生成单元用于生成随机挑战信息并将随机挑战信息发送至NFC防伪芯片；所述验证模块依次用于验证中心证书，第二证书和随机挑战响应信息。

以下结合附图1对本发明的典型实施例进行详细说明：

1、证件注册，生成初始证件，并将初始证件与NFC防伪芯片进行绑定，步骤如下：

步骤1.1证件中心生成证件私钥和公钥

步骤1.2证件中心利用证件中心私钥对证件中心公钥进行签名，生成第一证书；

步骤1.3证件中心将第一证书发送至验证设备；

步骤1.4证件中心为证件生成证件识别码；在本实施例中，证件识别码可以是由证件信息经过不可逆变换或是附加证件中心生成的随机数等与证件信息经过不可逆变换生成；在本实施例中，可以不仅限于证件识别码形式，识别码作为识别码的一种，识别码可以是条形码、图片等可被验证设备扫描识别的可识别形式；

步骤1.5证件中心发送证件识别码至NFC防伪芯片；

步骤1.6NFC防伪芯片进行初始化操作，生成随机数并存储随机数；在本实施例中，随机数的生成可结合不可隆响应等其他因素生成；

步骤1.7NFC防伪芯片利用随机数和证件识别码信息生成NFC防伪芯片私钥；在本实施例中，NFC防伪芯片将随机数和识别码可进行异或运算，将运算结果作为NFC防伪芯片私钥；

步骤1.8NFC防伪芯片根据NFC防伪芯片私钥和公钥密码算法生成NFC防伪芯片公钥；

步骤1.9NFC防伪芯片将NFC防伪芯片公钥发送至证件中心；

步骤1.10证件中心利用证件中心私钥对NFC防伪芯片公钥签名，生成第二证书；

步骤1.11证件中心将第二证书发送至NFC防伪芯片。

步骤1.12证件中心制作印有证件识别码的证件，并与NFC防伪芯片进行绑定。绑定操作可以是将NFC防伪芯片置于证件表面或是已经内置于证件内。

2、验证设备对待验证证件进行验证，确定待验证证件的真伪，步骤如下：

步骤2.1验证设备扫描形成于证件上的证件识别码，获得证件识别码信息；

步骤2.2验证设备发送证件识别码至NFC防伪芯片；

步骤2.3NFC防伪芯片利用注册绑定步骤存储的随机数和证件识别码采用同样得运算方法，生成NFC防伪芯片私钥；

步骤2.4验证设备生成并存储第一随机挑战信息；

步骤2.5验证设备将第一随机挑战信息发送至NFC防伪芯片；

步骤2.6NFC防伪芯片利用步骤2.3生成的私钥对随机挑战信息进行签名生成随机挑战响应信息；

步骤2.7NFC防伪芯片将步骤2.6生成的随机挑战响应信息和第二证书发送至验证设备；

步骤2.8验证设备验证第一证书，获得证件中心公钥；

步骤2.9验证设备利用证件中心公钥对第二证书进行签名验证，由此获得NFC防伪芯片公钥；

步骤2.10验证设备利用NFC防伪芯片公钥对随机挑战响应信息进行签名验证，由此得到第二随机挑战信息；

步骤2.11验证设备对第一随机挑战信息和步骤2.10得到的第二随机挑战信息进行比对；

步骤2.12判断步骤2.11比对结果，若一致，则证件为合法证件，否则证件为伪造证件。

在本实施例中，在注绑定步骤及验证步骤中所进行的签名操作，可采用现有的签名算法进行，例如SM2签名算法，签名的具体步骤为本领域公知常识，在此不再进行赘述。进一步，在注册绑定步骤中，证件识别码可以是由证件信息经过不可逆变换或是附加证件中心生成的随机数等与证件信息经过不可逆变换生成。在本实施例中，可以不仅限于证件识别码形式，可以是条形码、图片等可被验证设备扫描识别的可识别形式。证件与NFC防伪芯片的绑定，可也是将NFC防伪芯片贴于证件表面，也可以是内置于证件内。

Claims (6)

1.一种基于NFC的证件防伪方法，其特征在于，该方法包括以下步骤：

(1)证件注册，生成初始证件，并将初始证件与NFC防伪芯片进行绑定，步骤如下：

(1-1)证件中心生成一个证件中心私钥和一个证件中心公钥；

(1-2)证件中心根据证件中心公钥生成一个第一证书，并将该第一证书发送至验证设备；

(1-3)证件中心生成一个证件识别码，将该证件识别码印制在初始证件表面，并将该初始证件识别码发送至NFC防伪芯片；

(1-4)NFC防伪芯片生成并存储一个随机数，NFC防伪芯片根据该随机数和接收的初始证件识别码，通过运算生成一个NFC防伪芯片私钥和NFC防伪芯片公钥，并将该NFC防伪芯片公钥发送至证件中心；

(1-5)证件中心根据接收的NFC防伪芯片公钥和证件中心私钥，生成一个第二证书，并将该第二证书送至NFC防伪芯片；

(1-6)证件中心使用初始证件、步骤(1-3)的初始证件识别码和步骤(1-5)的NFC防伪芯片，制作一个附有识别码和NFC防伪芯片的待验证证件；

(2)验证设备对待验证证件进行验证，确定待验证证件的真伪，步骤如下：

(2-1)验证设备扫描步骤(1-6)的待验证证件表面的识别码，并将该识别码发送至NFC防伪芯片；

(2-2)NFC防伪芯片根据步骤(1-4)中的随机数以及接收自验证设备的识别码生成一个NFC防伪芯片私钥；

(2-3)验证设备利用随机数信息，生成第一随机挑战信息，并将该第一随机挑战信息发送至NFC防伪芯片；

(2-4)NFC防伪芯片利用步骤(2-2)的NFC芯片私钥和步骤(2-3)的第一随机挑战信息，生成随机挑战响应信息，并将该随机挑战响应信息和步骤(1-5)的第二证书发送至验证设备；

(2-5)验证设备依次对步骤(1-2)的第一证书、步骤(1-5)的第二证书以及步骤(2-4)的随机挑战响应信息进行验证，包括以下步骤：

(2-5-1)验证设备对步骤(1-2)的第一证书进行验证，获得证件中心公钥；

(2-5-2)验证设备利用证件中心公钥对步骤(1-5)的第二证书进行验证，获得NFC防伪芯片公钥；

(2-5-3)验证设备利用步骤(2-5-2)的NFC防伪芯片公钥对步骤(2-4)的随机挑战响应信息进行签名验证，获得第二随机挑战信息；

(2-5-4)验证设备对第一随机挑战信息与第二随机挑战信息进行比对，若第一随机挑战信息与第二随机挑战信息相互一致，则证明该待验证证件为合法证件，若第一随机挑战信息与第二随机挑战信息相互不一致，则证明该证件为伪造证件。

2.如权利要求1所述的方法，其特征在于，所述的步骤(1-3)中证件中心生成的证件识别码，由证件中心将证件上的信息进行不可逆变换生成，或证件中心依据证件序列号或随机生成的字符串生成。

3.如权利要求2所述的方法，其特征在于，所述的识别码为二维码、条形码或图形中的任何一种，该识别码通过扫描识别。

4.根据权利要求1所述的方法，其特征在于，所述的步骤(1-4)中，NFC防伪芯片对随机数与识别码的运算方法为异或运算方法，并根据NFC防伪芯片私钥和公钥密码算法生成NFC防伪芯片公钥。

5.根据权利要求1所述的方法，其特征在于，所述的步骤(2-4)中，NFC防伪芯片利用NFC防伪芯片私钥对随机挑战信息进行数字签名，生成所述随机挑战响应信息。

6.一种基于NFC证件的防伪系统，其特征在于，该系统包括：证件中心、NFC防伪芯片和验证设备，NFC防伪芯片内置于证件内或贴在证件表面，所述的证件中心、NFC防伪芯片和验证设备通过NFC实现通信；

所述的证件中心包括证件中心密钥生成模块、证书生成模块、证件识别码生成模块和证件制作模块，证件中心密钥生成模块用于在注册绑定阶段生成证件中心私钥，并通过公钥密码算法生成证件中心公钥；所述证书生成模块用于在注册绑定阶段利用所述证件中心公钥生成第一证书，并将第一证书发送至所述验证设备，以及利用所述NFC防伪芯片的公钥生成第二证书，将所述第二证书发送至NFC防伪芯片；所述证件中心证件识别码生成模块用于在注册绑定阶段生成证件识别码，并将所述证件识别码发送至NFC防伪芯片；所述证件生成模块用于在注册绑定阶段制作印有证件识别码的证件；

所述的NFC防伪芯片内置于证件内或贴在证件表面，NFC防伪芯片包括随机数生成单元、存储单元、密钥生成单元和随机挑战响应信息生成单元；所述随机数生成单元用于在注册绑定阶段生成随机数；所述的存储单元用于存储在注册绑定阶段生成的随机数；所述的密钥生成单元用于生成在注册绑定阶段利用生成的随机数和识别码生成NFC防伪芯片私钥和公钥，将NFC防伪芯片公钥发送至所述证件中心，以及用于在验证阶段利用存储单元中的所述随机数和所述验证设备发送的识别码生成用于生成随机挑战响应信息的私钥；所述的随机挑战响应信息生成单元用于在验证阶段利用NFC防伪芯片私钥对验证设备发送的随机挑战信息生成随机挑战响应信息，并将所述随机挑战响应信息发送至所述验证设备；

所述的验证设备包括扫描模块、随机挑战信息生成单元和验证模块；所述的扫描模块用于在验证阶段扫描注册绑定阶段证件上的识别码，并将证件识别码信息发送至NFC防伪芯片；所述随机挑战信息生成单元用于生成随机挑战信息并将随机挑战信息发送至NFC防伪芯片；所述验证模块依次用于验证中心证书，第二证书和随机挑战响应信息。