CN116033419A - 一种基于外置nfc芯片的手机安全认证方法 - Google Patents
一种基于外置nfc芯片的手机安全认证方法 Download PDFInfo
- Publication number
- CN116033419A CN116033419A CN202211575293.7A CN202211575293A CN116033419A CN 116033419 A CN116033419 A CN 116033419A CN 202211575293 A CN202211575293 A CN 202211575293A CN 116033419 A CN116033419 A CN 116033419A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- key
- authentication
- nfc chip
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于外置NFC芯片的手机安全认证方法,利用放置于手机外部、粘贴在手机壳上的NFC芯片,实现了将认证密钥在手机之外的独立存储,加密通信系统部署在手机内部,实现了加密通信算法与密钥的分离存储;整个认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成。对手机终端通过基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证的双重认证,保证了手机终端为合法授权用户,密钥存储在独立的介质中,比传统的软件盾方式更为安全,为基于手机的移动支付、模拟电子身份证件等各类场景的认证应用提供了安全保证。
Description
技术领域
本发明属于移动通信安全认证领域,特别是涉及一种基于外置NFC芯片的手机安全认证方法。
背景技术
移动互联网能够将网络技术与移动通信技术结合在一起,借助移动终端的携带和使用便利性,近些年移动互联网应用得到了迅猛地发展。特别是移动支付、即时通信、基于手机终端的模拟电子身份认证等应用迅速得到普及。与传统的互联网相比,手机等移动终端在安全方面存在着非常大的挑战。在互联网领域,形成了以PKI为代表的通信安全体系,借助CA数字证书,可以实现数字应用中身份认证、数字签名、加密等完整的安全机制。通过U盾方式,可以实现在线支付等金融业务安全认证,以及各类对安全要求较高的认证。然而这种成熟的安全认证方式,移植到移动互联网领域,在手机上外插一个U盾,严重影响了手机便携性的优势。所以很多安全认证,往往采用软件方式模拟U盾,称为软件盾的方式,提供一定程度的安全保障。
密钥的存储与保护是加密通信系统中一项重要内容,也是商用密码测评中的一项重要内容。在基于密码学的应用实践中,对密钥存储的要求也越来越高。应CA/B论坛要求,为加强对代码签名证书私钥的保护,自2022年11月15日起,所有普通代码签名证书的私钥需要在安全加密设备上生成和存储。CA/B论坛是由国际性电子认证机构(CA)与操作系统、浏览器厂商于2005年联合成立的非营利性公共组织,专注CA和浏览器的安全技术与标准的讨论与制定,其成员包括谷歌、微软、苹果、火狐、DigiCert、GlobalSign、CFCA等国际知名操作系统/浏览器及CA厂商。CA/B论坛作为数字证书行业的监管机构,从发展之初主要讨论浏览器网站SSL证书的技术标准与验证审计标准,拓展至讨论SSL证书、代码签名证书、移动互联网加密与算法选择、审计验证、客户端加密标准等多个标准组。根据这一要求,探索独立于手机的密钥存储具有重要的应用价值。
发明内容
本发明提出了一种基于外置NFC芯片的手机安全认证方法,基于放置于手机外部、粘贴在手机壳上的NFC芯片,实现对认证密钥的独立存储;加密通信系统部署在手机内部,密钥存储在独立于手机的外部NFC芯片中,从而实现了加密通信系统与密钥的分离存储,弥补了当前移动通信认证领域密钥未独立存储的缺陷,与传统的手机软件盾方式相比,提供了手机通信认证的安全性。
认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成;具体包括如下步骤:
步骤1、利用密钥管理KMC模块生成各终端的公私钥对(或者CA数字证书)KEYi,用于后续的身份认证、会话密钥协商、及数字签名;
步骤2、将密钥KEYi通过安全方式分发给对应手机终端,包括线下分发和在线分发两种方式:
(1)线下分发:利用专用程序将密钥KEYi加密写入外置NFC芯片,并将该NFC芯片通过线下方式分发给手机终端使用者;数据存储加密算法为国密SM4算法,加解密密钥为NFC芯片的UID序号号;
(2)在线分发:以加密方式将密钥KEYi传递到手机终端的外置NFC芯片;手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商,并使用协商确定的会话密钥SK1,实现对密钥对KEYi的加密传输,加密算法采用国密SM4算法;
步骤3、手机端根据通信应用需求,向服务端发起通信请求;
步骤4、服务端接到通信请求后,调用认证管理模块对手机端进行认证,认证成功,协商生成通信的会话密钥SK2;
步骤5、手机端和服务器端利用协商生成的会话密钥SK2,利用国密SM4算法进行加密通信。
1、利用密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi,用于后续的身份认证、会话密钥协商、及数字签名;密钥管理KMC模块是认证系统中负责密钥生成、分发与管理的模块,根据需要参与通信的手机终端的数量、分布、应用等具体需求,为各终端生成一个国密SM2算法公私钥对(或者CA数字证书)KEYi,SM2算法是非对称加密算法,私钥长度为32字节(256位),公钥长度64字节(512位)。
2、将密钥KEYi通过安全方式分发给对应手机终端,包括线下分发和在线分发两种方式:
(1)线下分发:利用专用程序将密钥KEYi加密写入外置NFC芯片,并将该NFC芯片通过线下方式分发给手机终端使用者;数据存储加密算法为国密SM4算法,加解密密钥为NFC芯片的UID序号号,UID长度为7个字节,每个芯片的UID均不相同,从出厂即写死,不可更改,保证UID号唯一;
(2)在线分发:以加密方式将密钥KEYi传递到手机终端的外置NFC芯片;手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商,并使用协商确定的会话密钥SK1,实现对密钥对KEYI的加密传输至手机终端,加密算法采用国密SM4算法。
3、手机端根据通信应用需求,向服务端发起通信请求;常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。
4、服务端接到通信请求后,调用认证管理模块对手机端进行认证,认证成功,协商生成通信的会话密钥SK2;认证过程首先对手机端的UID进行查询,如果在服务端库中,则基于SM2密钥进行认证,如果手机端的UID不服务端库中,则为非授权的NFC芯片,不允许进行下一步通信。
5、手机端和服务器端利用协商生成的会话密钥SK2,利用进行加密通信;服务端通过认证管理模块对手机端进行UID认证、基于SM2的密钥认证之后,确认为合法授权用户,双方后续进行正常的加密通信;加密算法采用国密SM4算法,会话密钥为双方协商生成的会话密钥SK2。
基于外置NFC芯片的手机安全认证方法中,服务端通过认证管理模块,对手机终端进行了基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证,双重认证有效保证了手机终端为合法授权用户,为基于手机的移动支付、模拟电子身份证件、模块门禁卡等各类场景的应用提供了技术保证。
附图说明
图1为本发明基于外置NFC芯片的手机安全认证方法流程图;
图2为本发明基于外置NFC芯片的手机安全认证方法组成结构图;
图3为本发明手机与KMC基于对称密钥的认证及会话密钥协商流程图。
具体实施方式
下面根据附图举例对本发明做进一步解释:
一种基于外置NFC芯片的手机安全认证方法,工作流程如图1所示,包括密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi、将密钥KEYi通过线下分发和在线分发两种方式安全分发给对应手机终端、手机端根据通信应用需求向服务端发起通信请求、服务端根据通信请求调用认证管理模块对手机端进行认证、认证及协商生成通信会话密钥、利用该会话密钥进行加密通信等过程。整个认证系统组成如图2所示,由认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成。
1、利用密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi,用于后续的身份认证、会话密钥协商、及数字签名。在该实施例中以KMC模块生成各终端的公私钥对KEYi进行说明。密钥管理KMC模块是认证系统中负责密钥生成、分发与管理的模块,首先为通信的服务器端生成一个公私钥对KEYs,其次根据需要参与通信的手机终端的数量、分布、应用等具体需求,为各终端生成一个国密SM2算法公私钥对KEYi,SM2算法是非对称加密算法,私钥长度为32字节(256位),公钥长度64字节(512位)。
2、将密钥KEYi通过安全方式分发给对应手机终端,包括线下分发和在线分发两种方式:
(1)线下分发:利用专用程序将密钥KEYi加密写入外置NFC芯片,并将该NFC芯片通过线下方式分发给手机终端使用者;数据存储加密算法为国密SM4算法,加解密密钥为NFC芯片的UID序号号,UID长度为7个字节,每个芯片的UID均不相同,从出厂即写死,不可更改,保证UID号唯一。
(2)在线分发:以加密方式将密钥KEYi传递到手机终端的外置NFC芯片。手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商,并使用协商确定的会话密钥SK1,实现对密钥对KEYi的加密传输至手机终端,加密算法采用国密SM4算法。手机端在安装APP时,到KMC进行注册,KMC为手机端生成一个初始密钥K。在密钥对分发环节,手机端和KMC利用此初始密钥完成双方身份认证及会话密钥协商,认证有密钥协商过程如图3所示。
记R0,Rt,Rr,Rt’,Rr’,Rt”为认证及密钥协商过程临时产生的随机数,SK1为协商生成的会话密钥,手机端与KMC设备认证及会话密钥协商过程如下:
①手机端产生随机数R0,与UID合并,由初始密钥K加密发送给KMC;
②KMC解密得到随机值R0,产生随机数据Rt,用随机值R0加发给手机端;
③手机端用解密得到Rt,产生Rr,将Rt、Rr合作后加密发送给KMC;
④KMC解密得到Rt'、Rr',若Rt'=Rt,产生随机数Rt”,将Rr'、Rt”加密发送给手机端;
⑤手机端解密得到Rr'、Rt”,若Rr'=Rr,此时手机端和KMC互传了各自生成的随机数Rt和Rr,将这两个随机数合并Rt||Rr,并经过一个函数变换F生成生成会话密钥SK1,即SK1=F(Rt||Rr),将会话密钥SK1用K加密发送给KMC,KMC解密得到SK1。至此完成了双方的身份认证及密钥协商过程。
利用协商出的会话密钥SK1,KMC将为该手机端生成的公私钥对KEYi加密传输给手机端,手机端收到此密钥对KEYi后,加密存储到对应的NFC芯片中,算法为国密SM4算法,加密密钥为NFC芯片的UID序号号。
3、手机端根据通信应用需求,向服务端发起通信请求。常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。
4、服务端接到通信请求后,调用认证管理模块对手机端进行认证,认证过程首先对手机端的UID进行查询,如果在服务端库中,则基于SM2密钥对进行认证,如果手机端的UID不服务端库中,则为非授权的NFC芯片,不允许进行下一步通信。如果认证成功,协商生成通信的会话密钥SK2。由于手机端和服务端均有各自的SM2公私钥对,会话密钥的协商非常简单,手机端生成一个随机数R,用服务端的公钥Ps进行加密,得到ER=SM2(R,Ps),将ER传递给服务端,服务端收到后,用自己的私钥Ks进行解密,得到R=SM2(ER,Ks),用此随机数作为会话密钥SK2,即完成了会话密钥的协商与传递。
5、手机端和服务器端利用协商生成的会话密钥SK2,利用SM4算法进行加密通信。服务端通过认证管理模块对手机端进行UID认证、基于SM2的密钥认证之后,确认手机端为合法授权用户,双方后续利用协商生成的会话密钥SK2进行加密通信,加密算法采用国密SM4算法。
基于外置NFC芯片的手机安全认证方法中,服务端通过认证管理模块,对手机终端进行了基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证,双重认证有效保证了手机终端为合法授权用户,为基于手机的移动支付、模拟电子身份证件、模块门禁卡等各类场景的应用提供了技术保证。
Claims (6)
1.一种基于外置NFC芯片的手机安全认证方法,其特征在于:该方法基于放置于手机外部、粘贴在手机壳上的NFC芯片,实现对认证密钥的安全存储;加密通信系统安装在手机内部,密钥存储在独立于手机的外部NFC芯片中,从而实现了加密通信系统与密钥的分离存储,保证了手机通信的安全认证;整体认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成;具体包括如下步骤:
步骤1、利用密钥管理KMC模块生成各终端的公私钥对(或者CA数字证书)KEYi,用于后续的身份认证、会话密钥协商、及数字签名;
步骤2、将密钥KEYi通过安全方式分发给对应手机终端,包括线下分发和在线分发两种方式:
(1)线下分发:利用专用程序将密钥KEYi加密写入外置NFC芯片,并将该NFC芯片通过线下方式分发给手机终端使用者;数据存储加密算法为国密SM4算法,加解密密钥为NFC芯片的UID序号号;
(2)在线分发:以加密方式将密钥KEYi传递到手机终端的外置NFC芯片;手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商,并使用协商确定的会话密钥SK1,实现对密钥对KEYi的加密传输,加密算法采用国密SM4算法;
步骤3、手机端根据通信应用需求,向服务端发起通信请求;
步骤4、服务端接到通信请求后,调用认证管理模块对手机端进行认证,认证成功,协商生成通信的会话密钥SK2;
步骤5、手机端和服务器端利用协商生成的会话密钥SK2,利用国密SM4算法进行加密通信。
2.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法,其特征在于,所述步骤1中,利用密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi,用于后续的身份认证、会话密钥协商、及数字签名;密钥管理KMC模块是认证系统中负责密钥生成、分发与管理的模块,根据需要参与通信的手机终端的数量、分布、应用等具体需求,为各终端生成一个国密SM2算法公私钥对(或者CA数字证书)KEYi,SM2算法是非对称加密算法,私钥长度为32字节(256位),公钥长度64字节(512位)。
3.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法,其特征在于,所述步骤2中,将密钥KEYi通过安全方式分发给对应手机终端,包括线下分发和在线分发两种方式:
(1)线下分发:利用专用程序将密钥KEYi加密写入外置NFC芯片,并将该NFC芯片通过线下方式分发给手机终端使用者;数据存储加密算法为国密SM4算法,加解密密钥为NFC芯片的UID序号号,UID长度为7个字节,每个芯片的UID均不相同,从出厂即写死,不可更改,保证UID号唯一;
(2)在线分发:以加密方式将密钥KEYi传递到手机终端的外置NFC芯片;手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商,并使用协商确定的会话密钥SK1,实现对密钥对KEYi的加密传输至手机终端,加密算法采用国密SM4算法。
4.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法,其特征在于,所述步骤3中,手机端根据通信应用需求,向服务端发起通信请求;常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。
5.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法,其特征在于,所述步骤4中,服务端接到通信请求后,调用认证管理模块对手机端进行认证,认证成功,协商生成通信的会话密钥SK2;认证过程首先对手机端的UID进行查询,如果在服务端库中,则基于SM2密钥进行认证;如果手机端的UID不服务端库中,则为非授权的NFC芯片,不允许进行下一步通信。
6.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法,其特征在于,所述步骤5中,手机端和服务器端利用协商生成的会话密钥SK2,利用进行加密通信;服务端通过认证管理模块对手机端进行UID认证、基于SM2的密钥认证之后,确认为合法授权用户,双方后续进行正常的加密通信;加密算法采用国密SM4算法,会话密钥为双方协商生成的会话密钥SK2。
基于外置NFC芯片的手机安全认证方法中,服务端通过认证管理模块,对手机终端进行了基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证,双重认证有效保证了手机终端为合法授权用户,为基于手机的移动支付、模拟电子身份证件、模块门禁卡等各类场景的应用提供了技术保证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211575293.7A CN116033419A (zh) | 2022-12-08 | 2022-12-08 | 一种基于外置nfc芯片的手机安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211575293.7A CN116033419A (zh) | 2022-12-08 | 2022-12-08 | 一种基于外置nfc芯片的手机安全认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116033419A true CN116033419A (zh) | 2023-04-28 |
Family
ID=86078549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211575293.7A Pending CN116033419A (zh) | 2022-12-08 | 2022-12-08 | 一种基于外置nfc芯片的手机安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116033419A (zh) |
-
2022
- 2022-12-08 CN CN202211575293.7A patent/CN116033419A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| EP4040717B1 (en) | Method and device for secure communications over a network using a hardware security engine | |
| AU2011309758B2 (en) | Mobile handset identification and communication authentication | |
| CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| US20150128243A1 (en) | Method of authenticating a device and encrypting data transmitted between the device and a server | |
| EP1277299A1 (en) | Method for securing communications between a terminal and an additional user equipment | |
| CN101631305B (zh) | 一种加密方法及系统 | |
| JPH113033A (ja) | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN101964805B (zh) | 一种数据安全发送与接收的方法、设备及系统 | |
| CN112564906A (zh) | 一种基于区块链的数据安全交互方法及系统 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN108632042A (zh) | 一种基于对称密钥池的类aka身份认证系统和方法 | |
| JP2008535427A (ja) | データ処理デバイスとセキュリティモジュールとの間のセキュア通信 | |
| CN113507372A (zh) | 一种接口请求的双向认证方法 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| CN114331456A (zh) | 一种通信方法、装置、系统以及可读存储介质 | |
| CN114139176A (zh) | 一种基于国密的工业互联网核心数据的保护方法及系统 | |
| KR100456624B1 (ko) | 이동 통신망에서의 인증 및 키 합의 방법 | |
| CN111368271A (zh) | 一种基于多重加密的密码管理的实现方法及系统 | |
| CN111062029A (zh) | 一种基于标识密码的多因子认证协议 | |
| CN116132986A (zh) | 一种数据传输方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |