一种基于近场通信双向身份认证的移动交易隐私保护方法技术

本发明专利技术公开了一种基于近场通信双向身份认证的移动交易隐私保护方法，包括步骤：第一步，初始化注册阶段。NFC手机和POS终端都通过发送自己的身份信息给认证中心AS请求注册，从而获得自身的公私钥对和相关可信证书。第二步，NFC手机设备和POS终端之间的双向身份认证。NFC手机设备和POS终端之间使用由AS生成的共享密钥进行身份认证，通信双方只有经过身份认证才可以进行支付交易，保证了双方身份的合法性。本发明专利技术极大地保证了双方通信数据的隐私。

A mobile transaction privacy protection method based on two-way identity authentication of near-field communication

【技术实现步骤摘要】
一种基于近场通信双向身份认证的移动交易隐私保护方法
本专利技术涉及近场通信
，特别涉及一种通过第三方认证中心来实现NFC手机设备和POS终端之间的双向身份认证的方法。
技术介绍
NFC(NearFieldCommunication)即近场通信，是一种非接触式的近距离无线通信技术，工作频率是13.56MHz，工作范围在20cm以内。随着近场通信技术的发展，NFC移动支付的应用带来了很多商业机会。具有NFC功能的手机，可以在公交、地铁、手机支付、门禁等很多场合使用，为人们的生活提供极大的便利，具有广阔的前景。与此同时，近场通信受到的安全威胁也越多越来，主要包括系统安全威胁、通信安全威胁、应用安全威胁和终端安全威胁。在双方通信的过程中，可能会发生数据窃听、数据篡改、中间人攻击、交易抵赖等能损害到用户隐私信息的恶意行为。由于移动支付涉及到用户账户信息和资金账户等敏感数据，所以保护用户的隐私信息，防止用户隐私信息被修改或者泄露，是非常重要的。在NFC在线通信的过程中，POS终端无法确保用户付款设备的真实性，并且用户的付款设备与POS终端之间交换的银行数据消息没有被加密，从而会造成用户隐私信息等敏感数据泄露。基于以上所述，在近场支付交易过程中，为了防止上述安全威胁，保证这些敏感信息的安全传输，设计一种安全性高、运算开销低的身份认证方案是具有研究意义的。
技术实现思路
本专利技术提出一种基于近场通信双向身份认证的移动交易隐私保护方法，目的是为了解决NFC手机设备和POS终端之间的双向身份认证问题，并且提高通信过程中NFC手机设备和POS终端之间密钥生成的安全性。本专利技术提出的基于近场通信双向身份认证的移动交易隐私保护方法，在现有的基于密码学的NFC安全通信系统中，通信双方在通信建立时采用双向身份认证机制，引入认证中心AS来实现NFC手机和POS终端之间身份认证的目的，通信双方只有经过身份认证才可以进行支付交易，保证了双方身份的合法性。NFC手机设备和POS终端之间使用由AS生成的共享密钥进行身份认证。首先，NFC手机和POS终端都通过发送自己的身份信息给AS请求注册，从而获得自身的公私钥对和相关可信证书。然后，POS终端向NFC手机发送请求消息，包括由POS终端生成的当前唯一交易时间戳T，POS终端对NFC手机的身份认证请求，POS终端的可信安全证书，收单银行可信安全证书，以及POS终端的签名。POS终端将这些经过私钥签名加密的消息发送给NFC手机设备。POS终端的签名以及可信安全证书允许对POS终端进行身份验证，保证了消息的完整性传输，并且可以确保POS终端无法否认其自身发送的签名，实现了POS终端的不可抵赖性。NFC手机接收到POS终端发来的消息，通过计算自身的身份ID和时间戳的哈希值，生成一个随机数NN。POS终端可以直接与AS通信，但是NFC手机只能通过POS终端与AS进行通信。所以NFC手机通过自身的私钥对本身的可信安全证书和一个支付会话请求签名后，将其发送给POS终端。NFC手机的签名以及可信安全证书允许对NFC手机进行身份验证，保证了消息的完整性传输，并且可以确保NFC手机无法否认其自身发送的签名，实现了NFC手机的不可抵赖性。POS终端接收到NFC手机发送的消息后，使用POS终端与认证中心AS之间的会话密钥将消息加密之后发送给认证中心AS。认证服务器AS收到POS终端发来的消息，用会话密钥对其进行解密，并且生成一个新的会话密钥，用于在NFC手机和POS终端之间开始一个新的安全支付交易。AS对NFC手机和POS终端分别进行身份认证并生成认证消息，并且使用会话密钥加密消息之后将其发送给POS终端。POS终端收到来自认证中心AS的消息，使用会话密钥解密得到认证消息和会话密钥。POS终端利用得到的认证消息可以验证NFC手机设备的合法性，若合法则可以进一步通信，若不合法，则会话取消。POS终端通过计算自身的身份IDP和时间戳的哈希值，生成一个随机数NP。POS终端利用NFC手机和POS终端之间的会话密钥加密消息后将其发送给NFC手机。NFC手机收到POS终端发来的消息，利用它自身的私钥解密消息，获得会话密钥、认证消息和AS的签名。NFC手机信任认证中心AS，并存储了AS的证书，它利用AS的公钥来验证AS的签名，保证了消息的完整性传输，并且确保AS无法否认它发送的签名信息。NFC手机通过认证消息可以验证POS终端的合法性，若合法则可以进一步通信，若不合法，则会话取消。如果NFC手机成功验证了POS终端的合法性，就把包含了支付信息的消息数据包通过会话密钥加密后将其发送给POS终端。POS终端收到NFC手机发来的消息，利用会话密钥解密，并用NFC手机的公钥来验证签名，并且验证随机数的正确性，若正确，则获得支付信息，进行交易应答。与现有技术相比，本专利技术具有如下优点：1、NFC手机设备和POS终端之间发送的身份认证消息使用公钥加密私钥签名的方法，并且认证中心AS通过生成会话密钥来加密发送给POS终端的认证消息。混合加密的方法加强了信息的保密性，实现对双方的相互身份认证，保证了双方通信数据的隐私。2、NFC手机设备和POS终端都不需要随机数发生器，只需要进行简单的哈希运算就可以生成随机数，有效地降低了对NFC手机设备和POS终端的硬件要求，从而进一步降低了硬件的成本。由于NFC手机交易时处于无线网络之中，所以非法攻击者可以通过某种特殊方法从通信信道中获得NFC手机和POS终端之间的通信信息，然而用户的真实身份ID和POS终端的真实身份IDP隐藏在随机数NN和NP中，NN和NP是随机产生的，并且根据时间戳的的变化而变化，所以攻击者无法获得用户的真实身份，从而实现了用户身份的匿名性。3、本专利技术提出的基于近场通信双向身份认证的移动交易隐私保护方法中使用两个对称会话密钥，分别是POS终端和AS之间的会话密钥与NFC手机和POS终端之间的会话密钥，减轻了通信双方维护密钥的负担。认证中心AS响应NFC手机设备和POS终端对对方身份进行认证的请求，通过TLS协议传输数据，每次会话都会即时动态更新两者之间的会话密钥，避免了因初始会话密钥泄露而产生的一些安全问题，保证了会话密钥的安全性。4、由于公私钥加密的高难度推算性，就算攻击者通过窃听得到加密的通信内容，在一定的时间内也无法逆向破解得到明文数据内容；并且，即使攻击者在通信设备附近截获到加密的消息数据包，然后将该数据包伪装成合法POS终端重放给NFC手机，从NFC手机中返回的消息应答包也是经过签名加密的，攻击者在有限的时间内仍然无法破解获得任何有用数据，实现了对通信内容的隐私保护。NFC手机和POS终端都需要进行注册才能得到AS系统分配的密钥，经过注册的设备之间才能相互通信。本专利技术能够有效抵抗窃听、重放攻击、交易抵赖、数据破坏等多种恶意攻击，实现了NFC身份认证系统的保密性、完整性、认证性和不可抵赖性。附图说明图1是本专利技术中NFC手机支付身份认证流程图图2是本专利技术实施例2中使用的双向身份认证方法图具体实施方式本文档来自技高网...

【技术保护点】
1.一种基于近场通信双向身份认证的移动交易隐私保护方法，其用于NFC手机设备与POS终端之间的身份认证，其特征在于：/n1)初始化注册:NFC手机和POS终端都通过发送自己的身份信息给认证中心AS请求注册，从而获得自身的公私钥对和相关可信证书；/n2)NFC手机设备和POS终端之间的双向身份认证:NFC手机设备和POS终端之间使用由AS生成的共享密钥进行身份认证，通信双方只有经过身份认证才可以进行支付交易，通信过程中，使用公钥加密私钥签名以及动态会话密钥混合加密的方法加强了信息的保密性，并且利用AS对POS终端的认证消息AuthP和AS对NFC设备的认证消息AuthN以及NFC手机和POS终端生成的随机数来实现双方的相互身份认证。/n

【技术特征摘要】
1.一种基于近场通信双向身份认证的移动交易隐私保护方法，其用于NFC手机设备与POS终端之间的身份认证，其特征在于：
1)初始化注册:NFC手机和POS终端都通过发送自己的身份信息给认证中心AS请求注册，从而获得自身的公私钥对和相关可信证书；
2)NFC手机设备和POS终端之间的双向身份认证:NFC手机设备和POS终端之间使用由AS生成的共享密钥进行身份认证，通信双方只有经过身份认证才可以进行支付交易，通信过程中，使用公钥加密私钥签名以及动态会话密钥混合加密的方法加强了信息的保密性，并且利用AS对POS终端的认证消息AuthP和AS对NFC设备的认证消息AuthN以及NFC手机和POS终端生成的随机数来实现双方的相互身份认证。


2.根据权利要求1所述的基于近场通信双向身份认证的移动交易隐私保护方法，其特征在于：所述AS产生系统公私钥对PKAS||SKAS，AS公开自身的公钥，保密自身的私钥；用户的NFC手机通过发送自己的身份ID给AS请求注册，用户通过对ID执行哈希算法，生成的H(ID)作为公钥，然后将公钥发送给AS生成NFC手机的私钥，从而获得NFC手机的公私钥对PKN||SKN；商家的POS终端通过发送自己的身份IDP给AS请求注册，POS终端通过对IDP执行哈希算法，生成的H(IDP)作为公钥，然后将公钥发送给AS生成POS终端的私钥，从而获得POS终端的公私钥对PKP||SKP，同时AS会生成与POS终端之间通信的会话密钥K(POS,AS)；认证中心AS把这些密钥通过安全信道分别发回给注册的NFC手机设备和POS终端设备，每个设备公开自身的公钥，保密自身的私钥；POS终端可以直接与AS通信，但是NFC手机只能通过POS终端与AS进行通信，NFC手机只在初始化注册阶段与AS通信获得密钥。


3.根据权利要求1所述的基于近场通信双向身份认证的移动交易隐私保护方法，其特征在于：所述AS负责生成通信过程中NFC手机和POS终端之间的会话密钥K(a,b)，AS对POS终端的认证消息AuthP以及AS对NFC设备的认证消息AuthN。并且AS包含了一个允许验证数字签名的安全应用程序，存储了可信证书的列表以及通信过程中需要用到的哈希函数H。


4.根据权利要求1所述的基于近场通信双向身份认证的移动交易隐私保护方法，其特征在于：
(1)POS→NFC：POS终端向NFC手机发送请求消息，包括由POS终端生成的当前唯一交易时间戳T，POS终端对NFC手机的身份认证请求RN，POS终端的可信安全证书CEP，收单银行可信安全证书CEB，以及POS终端的签名SIGP。SIGP是利用POS终端的私钥SKP对消息POS、TD和RN的哈希值签名得到的，SIGP＝Sig(SKP,H(POS||T||RN))；消息数据包DataP1包括SIGP、CEP和CEB，DataP1＝SIGP||CEP||CEB；POS终端将DataP1发送给NFC手机设备；SIGP、CEP和CEP允许对POS终端进行身份验证，保证了T和RN消息的完整性传输，并且可以确保POS终端无法否认其自身发送的签名SIGP，实现了POS终端的不可抵赖性；
(2)NFC→POS：NFC手机接收到POS终端发来的消息DataP1，获得验证POS终端身份的证据SIGP、CEP和CEB；NFC手机通过计算自身的身份ID和T的哈希值H(ID||T)，生成一个随机数NN；POS终端可以直接与AS通信，但是NFC手机只能通过POS终端与AS进行通信；NFC手机通过自身的私钥SKN对消息NFC、随机数NN以及对POS终端的身份认证请求RP签名得到SIGN1，SIGN1＝Sig(SKN,H(NFC||NN||RP))；DataN1是利用AS的公钥PKAS加密签名SIGN1，NFC手机的可信安全证书CEN和一个支付会话请求Rpay得到的，DataN1＝E(PKAS,(DataP1||SIGN1||CEN||Rpay))；NFC手机将DataN1发送给POS终端；CEN和SIGN1允许对NFC手机进行身份验证，保证了RP和Rpay的完整性传输，并且可以确保NFC手机无法否认其自身发送的签名SIGN1，实现了NFC手机的不可抵赖性；
(3)POS→AS：POS终端接收到NFC手机发送的消息DataN1后，使用POS终端与认证中心AS之间的会话密钥K(POS,AS)将T和DataN1加密之后得到DataP2，DataP2＝Q(K(POS,AS),(T||DataN1))，并将DataP2发送给认证中心AS；
(4)AS→POS：认证服务器AS收到POS终端发来的消息DataP2，AS用会话密钥K(POS,AS)对其进行解密，并且生成一个新的会话密钥K(POS,N)，用于在NFC手机和POS终端之间开始一个新的安全支付交易；AS对NFC手机和POS终端分别进行身份认证并生...

【专利技术属性】
技术研发人员：杨晨曦，刘晓玲，
申请(专利权)人：杨晨曦，
类型：发明
国别省市：湖南;43