空中接口安全方法及设备技术

本发明专利技术提供了一种空中接口安全方法，其在传输协议过程中执行：1)近程耦合设备向近程卡发送安全参数请求消息；2)近程卡收到安全参数请求消息后，向近程耦合设备进行安全参数反馈；3)近程耦合设备与近程卡根据安全参数建立安全链路。另外，本发明专利技术还提供了实现上述方法的近程耦合设备及近程卡等设备。本发明专利技术通过引入安全机制，提供了空中接口的安全防护能力，能够为近程耦合设备和近程卡提供身份鉴别功能，确保通信双方身份的合法性和真实性。同时不会为近程耦合设备和近程卡带来额外的硬件开销。

【技术实现步骤摘要】
空中接口安全方法及设备
本专利技术属信息安全技术中的网络安全领域，尤其涉及一种针对空中接口安全的方法及设备。
技术介绍
ISO/IEC14443标准包括物理特性、射频接口能量与信号接口、初始化与防冲突、传输协议共4个部分，并分为TypeA和TypeB两种模式，该标准解决了无源(卡中无电源)和非接触这两项通信领域的技术难题，具有通信更加方便、快捷的特点。目前，ISO/IEC14443TypeA已被大量应用于移动支付、通道控制、公交收费、考勤和门禁等领域，TypeB在国内主要用于第二代居民身份证，应用前景都非常广阔。ISO/IEC14443标准通过空中接口进行通信，不需要任何物理或可见接触，这一特点使其获得广泛应用的同时，也导致其面临着多种安全威胁，如攻击者通过监听或非法截获近程卡与近程耦合设备的交互信息；通过复制或伪造对合法的近程卡进行假冒；通过大射频功率的近程耦合设备远程读取近程卡内的保密信息，然后利用后台服务器进行破解以达到非法获取近程卡内信息的目的等，各类攻击层出不穷。由于ISO/IEC14443标准在空中接口方面缺乏安全防护机制，随着各类采用该标准的产品的规模化应用，各类用卡不安全事件，包括伪造、信息窃听与篡改等逐渐增多，在给个人财产带来危害的同时，将引起社会的不稳定，进而影响公共安全。
技术实现思路
为了解决
技术介绍
中存在的各种技术问题，本专利技术提供一种空中接口安全方法，是在传输协议过程中执行以下步骤：1)近程耦合设备向近程卡发送安全参数请求消息；2)近程卡收到安全参数请求消息后，向近程耦合设备进行安全参数反馈；3)近程耦合设备与近程卡根据安全参数建立安全链路。一种实现上述方法的近程耦合设备，可执行传输协议过程，近程耦合设备包括：发送单元，用于向近程卡发送安全参数请求消息；接收单元，用于接收近程卡发来的安全参数反馈；链路建立单元，用于根据安全参数建立与近程卡之间的安全链路。一种实现上述方法的近程卡，可执行传输协议过程，近程卡包括：接收单元，用于接收近程耦合设备发来的安全参数请求消息；发送单元，用于向近程耦合设备发送安全参数反馈；链路建立单元，用于根据安全参数建立与近程耦合设备之间的安全链路。本专利技术通过引入安全机制，提供了空中接口的安全防护能力，能够为近程耦合设备和近程卡提供身份鉴别功能，确保通信双方身份的合法性和真实性。同时不会为近程耦合设备和近程卡带来额外的硬件开销。具体实施方式本专利技术空中接口安全方法在传输协议中，引入安全参数协商、身份鉴别以及保密通信等安全机制，增强传输协议的空中接口安全防护能力。本专利技术空中接口安全方法实施过程包括：步骤1近程耦合设备向近程卡发送安全参数请求消息；步骤2近程卡收到安全参数请求消息后，向近程耦合设备进行安全参数反馈；步骤3近程耦合设备与近程卡根据安全参数建立安全链路。上述步骤1的具体实施方式可以为：在近程耦合设备与近程卡执行ISO/IEC14443传输协议过程中，近程耦合设备在向近程卡发送的选择应答请求RATS(RequestforAnswerToSelect)中包含安全参数请求消息，用于发起与近程卡的安全参数协商。上述步骤2的具体实施方式可以为：在近程耦合设备与近程卡执行ISO/IEC14443传输协议过程中，近程卡在收到近程耦合设备的选择应答请求RATS后，向近程耦合设备返回选择应答ATS(AnswerToSelect)，选择应答ATS中包括近程卡对鉴别机制和密码算法等安全参数的支持情况的信息。上述步骤3的具体实施方式可以为：在近程耦合设备与近程卡协商完安全参数(即，按照步骤1、2完成安全参数的请求及反馈)后，双方按照协商的安全参数中的鉴别机制进行身份鉴别。身份鉴别成功后，即建立了近程耦合设备与近程卡之间的安全链路。在其他实施例中，上述步骤3还可以进一步包括：近程耦合设备与近程卡可在身份鉴别时协商产生会话密钥，近程耦合设备与近程卡利用会话密钥对数据进行加密传输，实现保密通信。会话密钥也可通过其他方式产生，例如，利用密钥预分发的方式，即在保密通信之前将会话密钥预分发给近程耦合设备与近程卡。在步骤1之前，还可以包括步骤0，用于近程卡向近程耦合设备通告其安全能力，具体为：步骤0在通信初始化和防冲突过程中，近程卡向近程耦合设备通告其具备空中接口安全防护能力。步骤0的具体实施方式为：步骤01ISO/IEC14443协议初始化和防冲突过程中，近程耦合设备向近程卡发送选择命令；步骤02近程卡收到近程耦合设备发送的选择命令后，在近程卡返回的响应中包含其支持空中接口安全防护能力的信息。上述步骤02的具体实施方式可以为：在ISO/IEC14443协议初始化和防冲突过程中，近程卡收到近程耦合设备发送的选择命令后，近程卡在其向近程耦合设备发送的选择确认SAK(SelectAcKnowledge)中包含其支持空中接口安全防护能力的信息，该信息可通过在原有SAK取值基础上新增取值来承载，用于告知选择该近程卡的近程耦合设备其具备空中接口安全防护能力。上述步骤1及步骤2的具体实施例可为：例1，上述步骤1中，在近程耦合设备与近程卡执行ISO/IEC14443传输协议过程中，近程耦合设备向近程卡发送选择应答请求RATS，选择应答请求RATS中包含安全参数请求消息，该消息中包含近程耦合设备支持的所有鉴别机制和近程耦合设备支持的所有密码算法；上述步骤2中，近程卡在收到选择应答请求RATS后，首先根据本地策略从近程耦合设备支持的所有鉴别机制和近程耦合设备支持的所有密码算法中选择一种鉴别机制和密码算法的组合，然后向近程耦合设备返回选择应答ATS，选择应答ATS中包括所述鉴别机制和密码算法的组合；例2，上述步骤1中，在近程耦合设备与近程卡执行ISO/IEC14443传输协议过程中，近程耦合设备向近程卡发送选择应答请求RATS，选择应答请求RATS中包含安全参数请求消息；上述步骤2中，近程卡收到选择应答请求RATS后，向近程耦合设备返回选择应答ATS，选择应答ATS中包含近程卡支持的所有鉴别机制和近程卡支持的所有密码算法，从而使近程耦合设备可根据其本地策略从近程卡支持的所有鉴别机制和近程卡支持的所有密码算法中选择一种鉴别机制与密码算法的组合，作为与近程卡协商产生的安全参数；例3，上述步骤1中，在近程耦合设备与近程卡执行ISO/IEC14443传输协议过程中，近程耦合设备向近程卡发送选择应答请求RATS，选择应答请求RATS中包含安全参数请求消息；上述步骤2中，近程卡收到选择应答请求RATS后，在自己所支持的所有鉴别机制和自己支持的所有密码算法中选择一种鉴别机制与密码算法组合包含在ATS中返回给近程耦合设备，作为与近程耦合设备协商产生的安全参数；例4，上述步骤1中，在近程耦合设备与近程卡执行ISO/IEC14443传输协议过程中，近程耦合设备向近程卡发送选择应答请求RATS，选择应答请求RATS中包含安全参数请求消息，该消息中包含近程耦合设备在自己所支持的所有鉴别机制和支持的所有密码算法组合中选择的一种鉴别机制与密码算法组合；上述步骤2中，近程卡收到RATS后，根据本地策略判断自己是否支持RATS中的所述鉴别机制与密码算法组合，并将判断结果通过ATS返回给近程耦合设备。本专利技术还提供了用于实施上述空中接本文档来自技高网...

【技术保护点】
一种空中接口安全方法，其特征在于，在传输协议过程中执行以下步骤：1)近程耦合设备向近程卡发送安全参数请求消息；2)近程卡收到安全参数请求消息后，向近程耦合设备进行安全参数反馈；3)近程耦合设备与近程卡根据安全参数建立安全链路。

【技术特征摘要】
1.一种空中接口安全方法，其特征在于，在传输协议过程中执行以下步骤：1)近程耦合设备向近程卡发送安全参数请求消息；2)近程卡收到安全参数请求消息后，向近程耦合设备进行安全参数反馈；3)近程耦合设备与近程卡根据安全参数建立安全链路；所述步骤1)包括近程耦合设备向近程卡发送选择应答请求RATS(RequestforAnswerToSelect)，选择应答请求RATS中包含安全参数请求消息，用于发起与近程卡的安全参数协商；所述步骤2)包括近程卡在收到近程耦合设备的选择应答请求RATS后，向近程耦合设备返回选择应答ATS(AnswerToSelect)，选择应答ATS中包括近程卡对鉴别机制和密码算法的支持情况的信息；所述传输协议过程为ISO/IEC14443协议的传输协议过程；所述步骤1)之前还包括步骤0)在通信初始化和防冲突过程中，近程卡向近程耦合设备通告近程卡具备空中接口安全防护能力；具体的，近程卡向近程耦合设备发送选择确认SAK(SelectAcKnowledge)时通告近程卡所具备的空中接口安全防护能力。2.根据权利要求1所述的空中接口安全方法，其特征在于：所述步骤3)包括在近程耦合设备与近程卡协商完安全参数后，双方按照协商的鉴别机制进行身份鉴别，身份鉴别成功后，即建立了近程耦合设备与近程卡之间的安全链路。3.根据权利要求2所述的空中接口安全方法，其特征在于：所述步骤3)还包括近程耦合设备与近程卡产生会话密钥，近程耦合设备与近程卡利用会话密钥对数据进行加密传输，实现保密通信。4.根据权利要求1-3中的任意一项所述的空中接口安全方法，其特征在于：所述步骤0)包括步骤01)近程耦合设备向近程卡发送选择命令；步骤02)近程卡收到近程耦合设备发送的选择命令后向近程耦合设备返回响应，所述响应中包含近程卡支持空中接口安全防护能力的信息。5.根据权利要求4所述的空中接口安全方法，其特征在于：所述步骤02)包括近程卡收到近程耦合设备发送的选择命令后，近程卡向近程耦合设备发送选择确认SAK(SelectAcKnowledge)，选择确认SAK中包含近程卡支持空中接口安全防护能力的信息，该信息可通过在原有SAK取值基础上新增取值来承载，用于告知选择该近程卡的近程耦合设备其具备空中接口安全防护能力。6.根据权利要求1-3中的任意一项所述的空中接口安全方法，其特征在于：所述通信初始化和防冲突过程为ISO/IEC14443协议的通信初始化和防冲突过程。7.根据权利要求1-3中任意一项所述的空中接口安全方法，其特征在于：所述步骤1)及步骤2)的具体实施方式为所述步骤1)中，近程耦合设备向近程卡发送选择应答请求RATS，选择应答请求RATS中包含安全参数请求消息，安全参数请求消息中包含近程耦合设备支持的所有鉴别机制和近程耦合设备支持的所有密码算法；所述步骤2)中，近程卡在收到选择应答请求RATS后，首先根据本地策略从近程耦合设备支持的所有鉴别机制和近程耦合设备支持的所有密码算法中选择一种鉴别机制和密码算法的组合，然后向近程耦合设备返回选择应答ATS，选择应答ATS中包括所述鉴别机制和密码算法的组合。8.根据权利要求1-3中任意一项所述的空中接口安全方法，其特征在于：所述步骤1)及步骤2)的具体实施方式为所述步骤1)中，近程耦合设备向近程卡发送选择应答请求RATS，选择应答请求RATS中包含安全参数请求消息；所述...

【专利技术属性】
技术研发人员：杜志强，铁满霞，张国强，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：