一种基于外置NFC芯片的手机安全认证方法技术

本发明专利技术涉及一种基于外置NFC芯片的手机安全认证方法，利用放置于手机外部、粘贴在手机壳上的NFC芯片，实现了将认证密钥在手机之外的独立存储，加密通信系统部署在手机内部，实现了加密通信算法与密钥的分离存储；整个认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成。对手机终端通过基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证的双重认证，保证了手机终端为合法授权用户，密钥存储在独立的介质中，比传统的软件盾方式更为安全，为基于手机的移动支付、模拟电子身份证件等各类场景的认证应用提供了安全保证。份证件等各类场景的认证应用提供了安全保证。份证件等各类场景的认证应用提供了安全保证。

【技术实现步骤摘要】
一种基于外置NFC芯片的手机安全认证方法


[0001]本专利技术属于移动通信安全认证领域，特别是涉及一种基于外置NFC芯片的手机安全认证方法。

技术介绍

[0002]移动互联网能够将网络技术与移动通信技术结合在一起，借助移动终端的携带和使用便利性，近些年移动互联网应用得到了迅猛地发展。特别是移动支付、即时通信、基于手机终端的模拟电子身份认证等应用迅速得到普及。与传统的互联网相比，手机等移动终端在安全方面存在着非常大的挑战。在互联网领域，形成了以PKI为代表的通信安全体系，借助CA数字证书，可以实现数字应用中身份认证、数字签名、加密等完整的安全机制。通过U盾方式，可以实现在线支付等金融业务安全认证，以及各类对安全要求较高的认证。然而这种成熟的安全认证方式，移植到移动互联网领域，在手机上外插一个U盾，严重影响了手机便携性的优势。所以很多安全认证，往往采用软件方式模拟U盾，称为软件盾的方式，提供一定程度的安全保障。
[0003]密钥的存储与保护是加密通信系统中一项重要内容，也是商用密码测评中的一项重要内容。在基于密码学的应用实践中，对密钥存储的要求也越来越高。应CA/B论坛要求，为加强对代码签名证书私钥的保护，自2022年11月15日起，所有普通代码签名证书的私钥需要在安全加密设备上生成和存储。CA/B论坛是由国际性电子认证机构(CA)与操作系统、浏览器厂商于2005年联合成立的非营利性公共组织，专注CA和浏览器的安全技术与标准的讨论与制定，其成员包括谷歌、微软、苹果、火狐、DigiCert、GlobalSign、CFCA等国际知名操作系统/浏览器及CA厂商。CA/B论坛作为数字证书行业的监管机构，从发展之初主要讨论浏览器网站SSL证书的技术标准与验证审计标准，拓展至讨论SSL证书、代码签名证书、移动互联网加密与算法选择、审计验证、客户端加密标准等多个标准组。根据这一要求，探索独立于手机的密钥存储具有重要的应用价值。

技术实现思路

[0004]本专利技术提出了一种基于外置NFC芯片的手机安全认证方法，基于放置于手机外部、粘贴在手机壳上的NFC芯片，实现对认证密钥的独立存储；加密通信系统部署在手机内部，密钥存储在独立于手机的外部NFC芯片中，从而实现了加密通信系统与密钥的分离存储，弥补了当前移动通信认证领域密钥未独立存储的缺陷，与传统的手机软件盾方式相比，提供了手机通信认证的安全性。
[0005]认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成；具体包括如下步骤：
[0006]步骤1、利用密钥管理KMC模块生成各终端的公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；
[0007]步骤2、将密钥KEYi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：
[0008](1)线下分发：利用专用程序将密钥KEYi加密写入外置NFC芯片，并将该NFC芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密SM4算法，加解密密钥为NFC芯片的UID序号号；
[0009](2)在线分发：以加密方式将密钥KEYi传递到手机终端的外置NFC芯片；手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥SK1，实现对密钥对KEYi的加密传输，加密算法采用国密SM4算法；
[0010]步骤3、手机端根据通信应用需求，向服务端发起通信请求；
[0011]步骤4、服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥SK2；
[0012]步骤5、手机端和服务器端利用协商生成的会话密钥SK2，利用国密SM4算法进行加密通信。
[0013]1、利用密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；密钥管理KMC模块是认证系统中负责密钥生成、分发与管理的模块，根据需要参与通信的手机终端的数量、分布、应用等具体需求，为各终端生成一个国密SM2算法公私钥对(或者CA数字证书)KEYi，SM2算法是非对称加密算法，私钥长度为32字节(256位)，公钥长度64字节(512位)。
[0014]2、将密钥KEYi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：
[0015](1)线下分发：利用专用程序将密钥KEYi加密写入外置NFC芯片，并将该NFC芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密SM4算法，加解密密钥为NFC芯片的UID序号号，UID长度为7个字节，每个芯片的UID均不相同，从出厂即写死，不可更改，保证UID号唯一；
[0016](2)在线分发：以加密方式将密钥KEYi传递到手机终端的外置NFC芯片；手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥SK1，实现对密钥对KEYI的加密传输至手机终端，加密算法采用国密SM4算法。
[0017]3、手机端根据通信应用需求，向服务端发起通信请求；常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。
[0018]4、服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥SK2；认证过程首先对手机端的UID进行查询，如果在服务端库中，则基于SM2密钥进行认证，如果手机端的UID不服务端库中，则为非授权的NFC芯片，不允许进行下一步通信。
[0019]5、手机端和服务器端利用协商生成的会话密钥SK2，利用进行加密通信；服务端通过认证管理模块对手机端进行UID认证、基于SM2的密钥认证之后，确认为合法授权用户，双方后续进行正常的加密通信；加密算法采用国密SM4算法，会话密钥为双方协商生成的会话密钥SK2。
[0020]基于外置NFC芯片的手机安全认证方法中，服务端通过认证管理模块，对手机终端进行了基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证，双重认证有效保
证了手机终端为合法授权用户，为基于手机的移动支付、模拟电子身份证件、模块门禁卡等各类场景的应用提供了技术保证。
附图说明
[0021]图1为本专利技术基于外置NFC芯片的手机安全认证方法流程图；
[0022]图2为本专利技术基于外置NFC芯片的手机安全认证方法组成结构图；
[0023]图3为本专利技术手机与KMC基于对称密钥的认证及会话密钥协商流程图。
具体实施方式
[0024]下面根据附图举例对本专利技术做进一步解释：
[0025]一种基于外置NFC芯片的手机安全认证方法，工作流程如图1所示，包括密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi、将密钥KEYi通过线下分发和在线分发两种方式安全分发给对应手机终端、手机端根据通信应用需求向服务端发本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于外置NFC芯片的手机安全认证方法，其特征在于：该方法基于放置于手机外部、粘贴在手机壳上的NFC芯片，实现对认证密钥的安全存储；加密通信系统安装在手机内部，密钥存储在独立于手机的外部NFC芯片中，从而实现了加密通信系统与密钥的分离存储，保证了手机通信的安全认证；整体认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成；具体包括如下步骤：步骤1、利用密钥管理KMC模块生成各终端的公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；步骤2、将密钥KEYi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：(1)线下分发：利用专用程序将密钥KEYi加密写入外置NFC芯片，并将该NFC芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密SM4算法，加解密密钥为NFC芯片的UID序号号；(2)在线分发：以加密方式将密钥KEYi传递到手机终端的外置NFC芯片；手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥SK1，实现对密钥对KEYi的加密传输，加密算法采用国密SM4算法；步骤3、手机端根据通信应用需求，向服务端发起通信请求；步骤4、服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥SK2；步骤5、手机端和服务器端利用协商生成的会话密钥SK2，利用国密SM4算法进行加密通信。2.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法，其特征在于，所述步骤1中，利用密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；密钥管理KMC模块是认证系统中负责密钥生成、分发与管理的模块，根据需要参与通信的手机终端的数量、分布、应用等具体需求，为各终端生成一个国密SM2算法公私钥对(或者CA数字证书)KEYi，SM2算法是非对称加密算法，私钥长度为32字节(256位)，公钥长度64字节(512位)。3.如权利要求1所述的一种基于...

【专利技术属性】
技术研发人员：晏培，高峻，张军，杨强浩，王彦丰，王忠超，郝金波，郭晓云，
申请(专利权)人：中京天裕科技杭州有限公司，
类型：发明
国别省市：