一种基于外置NFC芯片的手机安全认证方法与流程

本发明属于移动通信安全认证领域，特别是涉及一种基于外置nfc芯片的手机安全认证方法。

背景技术：

1、移动互联网能够将网络技术与移动通信技术结合在一起，借助移动终端的携带和使用便利性，近些年移动互联网应用得到了迅猛地发展。特别是移动支付、即时通信、基于手机终端的模拟电子身份认证等应用迅速得到普及。与传统的互联网相比，手机等移动终端在安全方面存在着非常大的挑战。在互联网领域，形成了以pki为代表的通信安全体系，借助ca数字证书，可以实现数字应用中身份认证、数字签名、加密等完整的安全机制。通过u盾方式，可以实现在线支付等金融业务安全认证，以及各类对安全要求较高的认证。然而这种成熟的安全认证方式，移植到移动互联网领域，在手机上外插一个u盾，严重影响了手机便携性的优势。所以很多安全认证，往往采用软件方式模拟u盾，称为软件盾的方式，提供一定程度的安全保障。

2、密钥的存储与保护是加密通信系统中一项重要内容，也是商用密码测评中的一项重要内容。在基于密码学的应用实践中，对密钥存储的要求也越来越高。应ca/b论坛要求，为加强对代码签名证书私钥的保护，自2022年11月15日起，所有普通代码签名证书的私钥需要在安全加密设备上生成和存储。ca/b论坛是由国际性电子认证机构(ca)与操作系统、浏览器厂商于2005年联合成立的非营利性公共组织，专注ca和浏览器的安全技术与标准的讨论与制定，其成员包括谷歌、微软、苹果、火狐、digicert、globalsign、cfca等国际知名操作系统/浏览器及ca厂商。ca/b论坛作为数字证书行业的监管机构，从发展之初主要讨论浏览器网站ssl证书的技术标准与验证审计标准，拓展至讨论ssl证书、代码签名证书、移动互联网加密与算法选择、审计验证、客户端加密标准等多个标准组。根据这一要求，探索独立于手机的密钥存储具有重要的应用价值。

技术实现思路

1、本发明提出了一种基于外置nfc芯片的手机安全认证方法，基于放置于手机外部、粘贴在手机壳上的nfc芯片，实现对认证密钥的独立存储；加密通信系统部署在手机内部，密钥存储在独立于手机的外部nfc芯片中，从而实现了加密通信系统与密钥的分离存储，弥补了当前移动通信认证领域密钥未独立存储的缺陷，与传统的手机软件盾方式相比，提供了手机通信认证的安全性。

2、认证系统由外置nfc芯片、手机端app模块、服务端模块、密钥管理kmc模块、手机端与密钥管理kmc的认证管理模块、手机端与服务端的认证管理模块等部分组成；具体包括如下步骤：

3、步骤1、利用密钥管理kmc模块生成各终端的公私钥对(或者ca数字证书)keyi，用于后续的身份认证、会话密钥协商、及数字签名；

4、步骤2、将密钥keyi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：

5、(1)线下分发：利用专用程序将密钥keyi加密写入外置nfc芯片，并将该nfc芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密sm4算法，加解密密钥为nfc芯片的uid序号号；

6、(2)在线分发：以加密方式将密钥keyi传递到手机终端的外置nfc芯片；手机端与kmc之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥sk1，实现对密钥对keyi的加密传输，加密算法采用国密sm4算法；

7、步骤3、手机端根据通信应用需求，向服务端发起通信请求；

8、步骤4、服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥sk2；

9、步骤5、手机端和服务器端利用协商生成的会话密钥sk2，利用国密sm4算法进行加密通信。

10、1、利用密钥管理kmc模块生成各终端的sm2算法公私钥对(或者ca数字证书)keyi，用于后续的身份认证、会话密钥协商、及数字签名；密钥管理kmc模块是认证系统中负责密钥生成、分发与管理的模块，根据需要参与通信的手机终端的数量、分布、应用等具体需求，为各终端生成一个国密sm2算法公私钥对(或者ca数字证书)keyi，sm2算法是非对称加密算法，私钥长度为32字节(256位)，公钥长度64字节(512位)。

11、2、将密钥keyi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：

12、(1)线下分发：利用专用程序将密钥keyi加密写入外置nfc芯片，并将该nfc芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密sm4算法，加解密密钥为nfc芯片的uid序号号，uid长度为7个字节，每个芯片的uid均不相同，从出厂即写死，不可更改，保证uid号唯一；

13、(2)在线分发：以加密方式将密钥keyi传递到手机终端的外置nfc芯片；手机端与kmc之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥sk1，实现对密钥对keyi的加密传输至手机终端，加密算法采用国密sm4算法。

14、3、手机端根据通信应用需求，向服务端发起通信请求；常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。

15、4、服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥sk2；认证过程首先对手机端的uid进行查询，如果在服务端库中，则基于sm2密钥进行认证，如果手机端的uid不服务端库中，则为非授权的nfc芯片，不允许进行下一步通信。

16、5、手机端和服务器端利用协商生成的会话密钥sk2，利用进行加密通信；服务端通过认证管理模块对手机端进行uid认证、基于sm2的密钥认证之后，确认为合法授权用户，双方后续进行正常的加密通信；加密算法采用国密sm4算法，会话密钥为双方协商生成的会话密钥sk2。

17、基于外置nfc芯片的手机安全认证方法中，服务端通过认证管理模块，对手机终端进行了基于硬件nfc编号的uid认证、基于非对称国密算法sm2的密钥认证，双重认证有效保证了手机终端为合法授权用户，为基于手机的移动支付、模拟电子身份证件、模块门禁卡等各类场景的应用提供了技术保证。

技术特征：

1.一种基于外置nfc芯片的手机安全认证方法，其特征在于：该方法基于放置于手机外部、粘贴在手机壳上的nfc芯片，实现对认证密钥的安全存储；加密通信系统安装在手机内部，密钥存储在独立于手机的外部nfc芯片中，从而实现了加密通信系统与密钥的分离存储，保证了手机通信的安全认证；整体认证系统由外置nfc芯片、手机端app模块、服务端模块、密钥管理kmc模块、手机端与密钥管理kmc的认证管理模块、手机端与服务端的认证管理模块等部分组成；具体包括如下步骤：

2.如权利要求1所述的一种基于外置nfc芯片的手机安全认证方法，其特征在于，所述步骤1中，利用密钥管理kmc模块生成各终端的sm2算法公私钥对(或者ca数字证书)keyi，用于后续的身份认证、会话密钥协商、及数字签名；密钥管理kmc模块是认证系统中负责密钥生成、分发与管理的模块，根据需要参与通信的手机终端的数量、分布、应用等具体需求，为各终端生成一个国密sm2算法公私钥对(或者ca数字证书)keyi，sm2算法是非对称加密算法，私钥长度为32字节(256位)，公钥长度64字节(512位)。

3.如权利要求1所述的一种基于外置nfc芯片的手机安全认证方法，其特征在于，所述步骤2中，将密钥keyi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：

4.如权利要求1所述的一种基于外置nfc芯片的手机安全认证方法，其特征在于，所述步骤3中，手机端根据通信应用需求，向服务端发起通信请求；常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。

5.如权利要求1所述的一种基于外置nfc芯片的手机安全认证方法，其特征在于，所述步骤4中，服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥sk2；认证过程首先对手机端的uid进行查询，如果在服务端库中，则基于sm2密钥进行认证；如果手机端的uid不服务端库中，则为非授权的nfc芯片，不允许进行下一步通信。

6.如权利要求1所述的一种基于外置nfc芯片的手机安全认证方法，其特征在于，所述步骤5中，手机端和服务器端利用协商生成的会话密钥sk2，利用进行加密通信；服务端通过认证管理模块对手机端进行uid认证、基于sm2的密钥认证之后，确认为合法授权用户，双方后续进行正常的加密通信；加密算法采用国密sm4算法，会话密钥为双方协商生成的会话密钥sk2。

技术总结
本发明涉及一种基于外置NFC芯片的手机安全认证方法，利用放置于手机外部、粘贴在手机壳上的NFC芯片，实现了将认证密钥在手机之外的独立存储，加密通信系统部署在手机内部，实现了加密通信算法与密钥的分离存储；整个认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成。对手机终端通过基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证的双重认证，保证了手机终端为合法授权用户，密钥存储在独立的介质中，比传统的软件盾方式更为安全，为基于手机的移动支付、模拟电子身份证件等各类场景的认证应用提供了安全保证。

技术研发人员：晏培,高峻,张军,杨强浩,王彦丰,王忠超,郝金波,郭晓云
受保护的技术使用者：中京天裕科技（北京）有限公司
技术研发日：
技术公布日：2024/1/11