技術領域

本發明涉及一種點對點模式可信認證方法。

背景技術

隨著無線通訊技術的不斷發展，NFC技術自出現以來，憑借自身傳輸帶寬高、能耗低等優勢而被應用到各行業中。可以說作為RFID技術的一個延伸，NFC突破了RFID只能實現信息的讀取及判定的局限，強調雙方可以近距離滴交互信息。而在NFC產業鏈中的應用，主要是支付產業及數據傳輸。因此，其安全性問題也逐漸成為了關注的熱點。

目前業界普遍看好NFC技術，最主要的是該技術的卡模擬模式與讀卡器模式的安全性已然趨于成熟，因此逐步開始廣泛應用。而點對點模式作為第三種重要的工作模式，其認證過程卻存在著嚴重的簡化及明文傳輸等安全風險。在認證過程中，僅依靠設備ID來授予設備訪問權限的認證方式，因簡化而帶來的安全性問題在日常生活中比比皆是，NFC認證過程也不例外。相比于另兩種方式，點對點模式下移動設備間近距離直接身份認證以獲取權限進行其他相關操作的場景(例如解鎖、訪問局域網等方面)的安全性就顯得尤為薄弱；并且由于僅依靠ID作為解鎖認證的依據，其訪問過程功能的多樣性也受到局限。故而，完善NFC點對點模式認證環節成為迫切需要改進的問題。

發明內容

本發明的目的是改進現有的NFC點對點模式身份認證方法的缺陷，提出一種能夠保證通信過程的安全性、真實性、可靠性、完整性以及不可抵賴性的基于NFC的點對點可信認證方法。本發明的技術方案如下：

一種基于NFC的點對點可信認證方法，包括步驟如下：

1)客戶端NFC設備首先產生自己的密鑰對，并將自身公鑰、設備自身信息及個人身份信息傳送給認證中心CA；CA核實身份后，頒發給該設備一個用于同NFC服務器端進行身份認證的證書，該證書內包含NFC客戶端的基本信息，包括NFC設備編號ID、版本號、公鑰信息和證書有效期，同時附有CA中心的發行者數字簽名信息；將頒發的數字證書導入到客戶端NFC設備，這樣該設備就可以使用自己的證書進行相關的訪問；

2)當需要訪問NFC服務器端進行身份認證時，客戶端NFC設備在已建立好的保密通道中向NFC服務器端傳遞自己的證書；NFC服務器端收到證書后進行拆封，要驗證簽發NFC設備證書的CA是否是權威可信的CA，進而驗證此CA的公鑰能否正確解開客戶端證書中發行者的數字簽名。如果不能正確解開，則該證書視為不合法，身份認證過程失敗；如果能正確解開，則從中提取證書有效期、設備的ID、版本號和公鑰信息進行進一步的認證；

3)對于全部驗證都通過的證書，該客戶端NFC設備將允許訪問NFC服務器端，兩者可在保密通道中交互信息。

作為優選實施方式，在CA頒發的證書中：

a、添加時間與隨機數混合生成的數字時間戳，利用這一參數標識該證書的唯一性；

b、證書中添加有用戶標識，同一客戶端NFC設備同時存放不同張證書，在同一時間實現多用戶訪問；

c、根據用戶群體的不同分別對每類人設置不同的訪問權限，在證書中添加權限字段，用于在用戶登錄客戶端設備并且與NFC服務器端建立可信認證后，依據其身份獲得NFC服務器提供的不同服務；

d、證書的自動更新協議：證書中設定每日訪問次數這一參數，限制每張證書每日可訪問NFC服務器端的次數，CA中心根據用戶身份及權限標識決定不同用戶每日可訪問的次數；NFC服務器端每日自動吊銷后臺所有客戶證書列表，CA中心每日負責向NFC服務器端發送新的可訪問的列表，實現證書更新的即時性與訪問的可控性。

步驟3)中，客戶端NFC設備與NFC服務器端之間在保密通道中交互信息的方法如下：對于每次發送的信息M，客戶端使用MD5算法計算出摘要值md₀，并使用自身私鑰加密摘要md₀以創建其簽名sm，將簽名附在原文之后(M+sm)一同發送至NFC服務器端；NFC服務器端使用證書拆分后得到的客戶端公鑰解密簽名得到消息摘要md₁，并使用MD5算法對接收到的原文進行哈希處理得到消息摘要md₂，比較兩個消息摘要md₁、md₂，如果完全一致，則可確定該信息來自唯一持有私鑰的客戶端NFC設備，并且數據未被篡改和偽造。

本發明具有下列特點：