国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于nfc的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法

      文檔序號(hào):7813857閱讀:334來源:國(guó)知局
      一種基于nfc的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法
      【專利摘要】本發(fā)明提供一種基于對(duì)NFC點(diǎn)對(duì)點(diǎn)工作模式可信認(rèn)證方法,包括客戶端NFC設(shè)備首先產(chǎn)生自己的密鑰對(duì),并將自身公鑰、設(shè)備自身信息及個(gè)人身份信息傳送給認(rèn)證中心CA;CA核實(shí)身份后,頒發(fā)給該設(shè)備一個(gè)用于同NFC服務(wù)器端進(jìn)行身份認(rèn)證的證書,同時(shí)附有CA中心的發(fā)行者數(shù)字簽名信息;將頒發(fā)的數(shù)字證書導(dǎo)入到客戶端NFC設(shè)備,這樣該設(shè)備就可以使用自己的證書進(jìn)行相關(guān)的訪問;當(dāng)需要訪問NFC服務(wù)器端進(jìn)行身份認(rèn)證時(shí),客戶端NFC設(shè)備在已建立好的保密通道中向NFC服務(wù)器端傳遞自己的證書。本發(fā)明可在NFC點(diǎn)對(duì)點(diǎn)傳輸過程中建立安全可信、靈活便利、資源節(jié)約、功能多樣的認(rèn)證。
      【專利說明】-種基于NFC的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法

      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明涉及一種點(diǎn)對(duì)點(diǎn)模式可信認(rèn)證方法。

      【背景技術(shù)】
      [0002] 隨著無線通訊技術(shù)的不斷發(fā)展,NFC技術(shù)自出現(xiàn)以來,憑借自身傳輸帶寬高、能耗 低等優(yōu)勢(shì)而被應(yīng)用到各行業(yè)中??梢哉f作為RFID技術(shù)的一個(gè)延伸,NFC突破了 RFID只能 實(shí)現(xiàn)信息的讀取及判定的局限,強(qiáng)調(diào)雙方可以近距離滴交互信息。而在NFC產(chǎn)業(yè)鏈中的應(yīng) 用,主要是支付產(chǎn)業(yè)及數(shù)據(jù)傳輸。因此,其安全性問題也逐漸成為了關(guān)注的熱點(diǎn)。
      [0003] 目前業(yè)界普遍看好NFC技術(shù),最主要的是該技術(shù)的卡模擬模式與讀卡器模式的安 全性已然趨于成熟,因此逐步開始廣泛應(yīng)用。而點(diǎn)對(duì)點(diǎn)模式作為第三種重要的工作模式,其 認(rèn)證過程卻存在著嚴(yán)重的簡(jiǎn)化及明文傳輸?shù)劝踩L(fēng)險(xiǎn)。在認(rèn)證過程中,僅依靠設(shè)備ID來授 予設(shè)備訪問權(quán)限的認(rèn)證方式,因簡(jiǎn)化而帶來的安全性問題在日常生活中比比皆是,NFC認(rèn)證 過程也不例外。相比于另兩種方式,點(diǎn)對(duì)點(diǎn)模式下移動(dòng)設(shè)備間近距離直接身份認(rèn)證以獲取 權(quán)限進(jìn)行其他相關(guān)操作的場(chǎng)景(例如解鎖、訪問局域網(wǎng)等方面)的安全性就顯得尤為薄弱; 并且由于僅依靠 ID作為解鎖認(rèn)證的依據(jù),其訪問過程功能的多樣性也受到局限。故而,完 善NFC點(diǎn)對(duì)點(diǎn)模式認(rèn)證環(huán)節(jié)成為迫切需要改進(jìn)的問題。


      【發(fā)明內(nèi)容】

      [0004] 本發(fā)明的目的是改進(jìn)現(xiàn)有的NFC點(diǎn)對(duì)點(diǎn)模式身份認(rèn)證方法的缺陷,提出一種能夠 保證通信過程的安全性、真實(shí)性、可靠性、完整性以及不可抵賴性的基于NFC的點(diǎn)對(duì)點(diǎn)可信 認(rèn)證方法。本發(fā)明的技術(shù)方案如下:
      [0005] -種基于NFC的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法,包括步驟如下:
      [0006] 1)客戶端NFC設(shè)備首先產(chǎn)生自己的密鑰對(duì),并將自身公鑰、設(shè)備自身信息及個(gè)人 身份信息傳送給認(rèn)證中心CA ;CA核實(shí)身份后,頒發(fā)給該設(shè)備一個(gè)用于同NFC服務(wù)器端進(jìn)行 身份認(rèn)證的證書,該證書內(nèi)包含NFC客戶端的基本信息,包括NFC設(shè)備編號(hào)ID、版本號(hào)、公鑰 信息和證書有效期,同時(shí)附有CA中心的發(fā)行者數(shù)字簽名信息;將頒發(fā)的數(shù)字證書導(dǎo)入到客 戶端NFC設(shè)備,這樣該設(shè)備就可以使用自己的證書進(jìn)行相關(guān)的訪問;
      [0007] 2)當(dāng)需要訪問NFC服務(wù)器端進(jìn)行身份認(rèn)證時(shí),客戶端NFC設(shè)備在已建立好的保密 通道中向NFC服務(wù)器端傳遞自己的證書;NFC服務(wù)器端收到證書后進(jìn)行拆封,要驗(yàn)證簽發(fā) NFC設(shè)備證書的CA是否是權(quán)威可信的CA,進(jìn)而驗(yàn)證此CA的公鑰能否正確解開客戶端證書 中發(fā)行者的數(shù)字簽名。如果不能正確解開,則該證書視為不合法,身份認(rèn)證過程失敗;如果 能正確解開,則從中提取證書有效期、設(shè)備的ID、版本號(hào)和公鑰信息進(jìn)行進(jìn)一步的認(rèn)證;
      [0008] 3)對(duì)于全部驗(yàn)證都通過的證書,該客戶端NFC設(shè)備將允許訪問NFC服務(wù)器端,兩者 可在保密通道中交互信息。
      [0009] 作為優(yōu)選實(shí)施方式,在CA頒發(fā)的證書中:
      [0010] a、添加時(shí)間與隨機(jī)數(shù)混合生成的數(shù)字時(shí)間戳,利用這一參數(shù)標(biāo)識(shí)該證書的唯一 性;
      [0011] b、證書中添加有用戶標(biāo)識(shí),同一客戶端NFC設(shè)備同時(shí)存放不同張證書,在同一時(shí) 間實(shí)現(xiàn)多用戶訪問;
      [0012] c、根據(jù)用戶群體的不同分別對(duì)每類人設(shè)置不同的訪問權(quán)限,在證書中添加權(quán)限字 段,用于在用戶登錄客戶端設(shè)備并且與NFC服務(wù)器端建立可信認(rèn)證后,依據(jù)其身份獲得NFC 服務(wù)器提供的不同服務(wù);
      [0013] d、證書的自動(dòng)更新協(xié)議:證書中設(shè)定每日訪問次數(shù)這一參數(shù),限制每張證書每日 可訪問NFC服務(wù)器端的次數(shù),CA中心根據(jù)用戶身份及權(quán)限標(biāo)識(shí)決定不同用戶每日可訪問的 次數(shù);NFC服務(wù)器端每日自動(dòng)吊銷后臺(tái)所有客戶證書列表,CA中心每日負(fù)責(zé)向NFC服務(wù)器端 發(fā)送新的可訪問的列表,實(shí)現(xiàn)證書更新的即時(shí)性與訪問的可控性。
      [0014] 步驟3)中,客戶端NFC設(shè)備與NFC服務(wù)器端之間在保密通道中交互信息的方法如 下:對(duì)于每次發(fā)送的信息M,客戶端使用MD5算法計(jì)算出摘要值mc^,并使用自身私鑰加密摘 要md Q以創(chuàng)建其簽名sm,將簽名附在原文之后(M+sm) -同發(fā)送至NFC服務(wù)器端;NFC服務(wù) 器端使用證書拆分后得到的客戶端公鑰解密簽名得到消息摘要mdi,并使用MD5算法對(duì)接收 到的原文進(jìn)行哈希處理得到消息摘要md 2,比較兩個(gè)消息摘要rndp md2,如果完全一致,則可 確定該信息來自唯一持有私鑰的客戶端NFC設(shè)備,并且數(shù)據(jù)未被篡改和偽造。
      [0015] 本發(fā)明具有下列特點(diǎn):
      [0016] (1)安全可靠:采用數(shù)字證書認(rèn)證取代單一通過NFCID認(rèn)證的方式,消除了 ID作 為NFC設(shè)備單一屬性極易被仿制從而造成虛假認(rèn)證的弊端。通過依靠第三方機(jī)構(gòu)--CA證 書授權(quán)中心權(quán)威性、公正性和可信賴性的數(shù)字簽名,使得其他人無法偽造和篡改證書,不僅 保證了可信認(rèn)證的建立,同時(shí)證明了證書中列出的NFC設(shè)備合法擁有證書中列出的公開密 鑰,為進(jìn)一步實(shí)現(xiàn)加密傳遞數(shù)據(jù)等其他環(huán)節(jié)起到了便利。同時(shí)利用私鑰簽名的唯一性,進(jìn)一 步確保認(rèn)證后每次數(shù)據(jù)傳遞過程中,NFC服務(wù)器端接收到的數(shù)據(jù)均為認(rèn)證的客戶端所發(fā)送 而非其他方偽造。
      [0017] (2)靈活多變的證書控制:通過在數(shù)字證書中添加特殊的字段的方式,可以靈活 控制認(rèn)證后客戶端的訪問。比如:添加用戶字段區(qū)分證書的屬主,可以使一臺(tái)NFC設(shè)備同時(shí) 被多用戶使用,提高資源利用,節(jié)約成本;添加訪問權(quán)限字段,可以設(shè)置不同證書允許訪問 服務(wù)器的權(quán)限(讀、寫以及應(yīng)用的使用權(quán)等),實(shí)現(xiàn)多樣化需求;添加訪問次數(shù)字段,可控制 每張證書對(duì)應(yīng)的用戶一定時(shí)間段內(nèi)允許訪問服務(wù)器端的次數(shù),有效防止惡意無限次訪問及 保證用戶使用上的公平;時(shí)間戳的添加也標(biāo)識(shí)了每張證書生成的任意性與唯一性。
      [0018] (3)實(shí)時(shí)性強(qiáng):證書的有效期及自動(dòng)更新協(xié)議的設(shè)定,使得每張證書的生命周期 一定。通過CA中心及時(shí)更新與吊銷證書,使得通訊、認(rèn)證及訪問的過程具有明顯的實(shí)時(shí)性 與動(dòng)態(tài)性。
      [0019] (4)改動(dòng)最小原則:對(duì)于NFC點(diǎn)對(duì)點(diǎn)過程的認(rèn)證,僅需要通過添加證書并采用證書 驗(yàn)證取代ID驗(yàn)證的方式,平滑升級(jí)而不需要過多改變已有的函數(shù)接口,從而達(dá)成建立可信 認(rèn)證這一目標(biāo)與改動(dòng)最小的雙重優(yōu)勢(shì)。

      【專利附圖】

      【附圖說明】
      [0020] 圖1是本發(fā)明中NFC點(diǎn)對(duì)點(diǎn)工作模式中CA中心頒發(fā)給客戶端設(shè)備的證書結(jié)構(gòu)示 意圖(簡(jiǎn)圖)。
      [0021] 圖2是本發(fā)明中NFC點(diǎn)對(duì)點(diǎn)工作模式實(shí)現(xiàn)可信認(rèn)證的整體運(yùn)作流程圖。

      【具體實(shí)施方式】
      [0022] 為使本發(fā)明的目的、實(shí)現(xiàn)方案和優(yōu)點(diǎn)更為清晰,下面對(duì)本發(fā)明的具體實(shí)施作進(jìn)一 步的詳細(xì)描述,本發(fā)明的具體圖解參見圖1和圖2所示。
      [0023] (1)用兩臺(tái)NFC設(shè)備直接相互感應(yīng)認(rèn)證身份時(shí),由于只通過ID進(jìn)行認(rèn)證的方式過 于簡(jiǎn)單,安全性無法保證,故而采用可信賴的第三方權(quán)威機(jī)構(gòu)CA頒發(fā)的數(shù)字證書取代ID進(jìn) 行驗(yàn)證??尚耪J(rèn)證建立后,通過設(shè)置證書中相關(guān)的字段即可靈活控制訪問,實(shí)現(xiàn)多重功能需 求。下圖1為CA中心頒發(fā)給客戶端設(shè)備的數(shù)字證書結(jié)構(gòu)示意圖簡(jiǎn)圖,列舉了證書中的主要 參數(shù)。
      [0024] (2)具體實(shí)施上,依據(jù)只有私鑰持有者可以對(duì)要發(fā)送的數(shù)據(jù)進(jìn)行數(shù)字簽名,而其他 人無法模擬的原理,采用證書成功進(jìn)行身份驗(yàn)證后,客戶端每次發(fā)送至服務(wù)器的數(shù)據(jù)均可 以通過附帶其簽名的方式,讓服務(wù)器端接收到有來源、有依據(jù)、可驗(yàn)證的數(shù)據(jù),簽名的不可 偽造及不可抵賴性確保了后續(xù)通信的可信性。
      [0025] (3)針對(duì)上述分析,設(shè)計(jì)具體的認(rèn)證方法,步驟如下:
      [0026] 1)客戶端NFC設(shè)備首先產(chǎn)生自己的密鑰對(duì),并將自身公鑰、設(shè)備自身信息及個(gè)人 身份信息傳送給認(rèn)證中心CA。CA核實(shí)身份后,頒發(fā)給該設(shè)備一個(gè)可以同NFC服務(wù)器端進(jìn)行 身份認(rèn)證的數(shù)字證書。該證書內(nèi)包含NFC客戶端的基本信息(NFC設(shè)備編號(hào)ID、版本號(hào)等)、 公鑰信息、同時(shí)附有CA中心的簽名信息。將頒發(fā)的數(shù)字證書導(dǎo)入到客戶端NFC設(shè)備,這樣 該設(shè)備就可以使用自己的證書進(jìn)行相關(guān)的訪問;
      [0027] 2)當(dāng)需要訪問服務(wù)器端進(jìn)行身份認(rèn)證時(shí),客戶端NFC設(shè)備在已建立好的保密通道 中向服務(wù)器端傳遞自己的數(shù)字證書。服務(wù)器端收到證書后進(jìn)行證書的拆封,要驗(yàn)證簽發(fā)客 戶端NFC設(shè)備證書的CA是否是權(quán)威可信的CA,進(jìn)而驗(yàn)證發(fā)行者CA的公鑰能否正確解開客 戶端證書中發(fā)行者的數(shù)字簽名。如果不能正確解開,則該證書視為不合法,身份認(rèn)證過程失 敗;如果能正確解開,則從中提取證書有效期、設(shè)備的ID、版本號(hào)、公鑰等信息進(jìn)行進(jìn)一步 的認(rèn)證;
      [0028] 3)對(duì)于全部驗(yàn)證都通過的證書,該客戶端設(shè)備將允許訪問服務(wù)器,兩者可在保密 通道中交互信息。對(duì)于每次發(fā)送的信息M,客戶端要使用MD5算法計(jì)算出摘要值mc^,并使 用自身私鑰加密摘要mc^以創(chuàng)建其簽名sm,將簽名附在原文之后(M+sm) -同發(fā)送至服務(wù)器 端。服務(wù)器端使用證書拆分后得到的客戶端公鑰解密簽名得到消息摘要mdi,并使用MD5算 法對(duì)接收到的原文進(jìn)行哈希處理得到消息摘要md 2,比較兩個(gè)消息摘要mdpmc^,如果完全一 致,則可確定該信息來自唯一持有私鑰的客戶端設(shè)備,并且數(shù)據(jù)未被篡改和偽造;
      [0029] 4)為了使認(rèn)證后兩臺(tái)NFC設(shè)備間通訊具有多樣化功能,CA頒發(fā)的數(shù)字證書可做如 下設(shè)計(jì):
      [0030] a、除了證書有效期這一參數(shù)之外,添加時(shí)間與隨機(jī)數(shù)混合生成的數(shù)字時(shí)間戳,利 用這一參數(shù)標(biāo)識(shí)該證書的唯一'I"生;
      [0031] b、證書中添加用戶標(biāo)識(shí),同一客戶端設(shè)備可以同時(shí)存放不同張證書,這樣不僅可 以實(shí)現(xiàn)單用戶訪問需求,而且僅依靠一個(gè)終端就可以在同一時(shí)間實(shí)現(xiàn)多用戶訪問,方便快 捷地提高了資源的利用率,節(jié)約成本;
      [0032] c、證書中添加權(quán)限字段,根據(jù)用戶群體的不同分別對(duì)每類人設(shè)置不同的訪問權(quán) 限,在用戶登錄客戶端設(shè)備并且與服務(wù)器端建立可信認(rèn)證后,可依據(jù)其身份獲得服務(wù)器提 供的不同服務(wù)(使用哪些應(yīng)用、訪問哪些存儲(chǔ)空間等),實(shí)現(xiàn)了需求的多樣化。
      [0033] d、證書的自動(dòng)更新協(xié)議:證書中設(shè)定每日訪問次數(shù)這一參數(shù),限制每張證書每日 可訪問服務(wù)器的次數(shù),CA中心可根據(jù)用戶身份及權(quán)限標(biāo)識(shí)決定不同用戶每日可訪問的次 數(shù)。一次申請(qǐng)證書成功后,當(dāng)日每使用一次,通訊結(jié)束前均需要服務(wù)器向CA中心發(fā)出請(qǐng)求 修改可訪問次數(shù)-1 (達(dá)到〇時(shí)將不可訪問),CA將證書傳遞給服務(wù)器后,再由服務(wù)器轉(zhuǎn)給客 戶端設(shè)備,設(shè)備更新證書并用于之后的認(rèn)證。NFC服務(wù)器端每日自動(dòng)吊銷后臺(tái)所有客戶證書 列表,CA中心每日負(fù)責(zé)向服務(wù)器端發(fā)送新的可訪問的列表。實(shí)現(xiàn)更新的即時(shí)性與訪問的可 控性。
      [0034] 圖2給出了 NFC點(diǎn)對(duì)點(diǎn)工作模式實(shí)現(xiàn)可信認(rèn)證的整體運(yùn)作流程圖。
      【權(quán)利要求】
      1. 一種基于NFC的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法,包括步驟如下: 1) 客戶端NFC設(shè)備首先產(chǎn)生自己的密鑰對(duì),并將自身公鑰、設(shè)備自身信息及個(gè)人身份 信息傳送給認(rèn)證中心CA ;CA核實(shí)身份后,頒發(fā)給該設(shè)備一個(gè)用于同NFC服務(wù)器端進(jìn)行身份 認(rèn)證的證書,該證書內(nèi)包含NFC客戶端的基本信息,包括NFC設(shè)備編號(hào)ID、版本號(hào)、公鑰信息 和證書有效期,同時(shí)附有CA中心的發(fā)行者數(shù)字簽名信息;將頒發(fā)的數(shù)字證書導(dǎo)入到客戶端 NFC設(shè)備,這樣該設(shè)備就可以使用自己的證書進(jìn)行相關(guān)的訪問; 2) 當(dāng)需要訪問NFC服務(wù)器端進(jìn)行身份認(rèn)證時(shí),客戶端NFC設(shè)備在已建立好的保密通道 中向NFC服務(wù)器端傳遞自己的證書;NFC服務(wù)器端收到證書后進(jìn)行拆封,要驗(yàn)證簽發(fā)NFC設(shè) 備證書的CA是否是權(quán)威可信的CA,進(jìn)而驗(yàn)證此CA的公鑰能否正確解開客戶端證書中發(fā)行 者的數(shù)字簽名。如果不能正確解開,則該證書視為不合法,身份認(rèn)證過程失??;如果能正確 解開,則從中提取證書有效期、設(shè)備的ID、版本號(hào)和公鑰信息進(jìn)行進(jìn)一步的認(rèn)證; 3) 對(duì)于全部驗(yàn)證都通過的證書,該客戶端NFC設(shè)備將允許訪問NFC服務(wù)器端,兩者可在 保密通道中交互信息。
      2. 根據(jù)權(quán)利要求1所述的基于NFC的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法,其特征在于,在CA頒發(fā)的 證書中: a、 添加時(shí)間與隨機(jī)數(shù)混合生成的數(shù)字時(shí)間戳,利用這一參數(shù)標(biāo)識(shí)該證書的唯一性; b、 證書中添加有用戶標(biāo)識(shí),同一客戶端NFC設(shè)備同時(shí)存放不同張證書,在同一時(shí)間實(shí) 現(xiàn)多用戶訪問; c、 根據(jù)用戶群體的不同分別對(duì)每類人設(shè)置不同的訪問權(quán)限,在證書中添加權(quán)限字段, 用于在用戶登錄客戶端設(shè)備并且與NFC服務(wù)器端建立可信認(rèn)證后,依據(jù)其身份獲得NFC服 務(wù)器提供的不同服務(wù); d、 證書的自動(dòng)更新協(xié)議:證書中設(shè)定每日訪問次數(shù)這一參數(shù),限制每張證書每日可訪 問NFC服務(wù)器端的次數(shù),CA中心根據(jù)用戶身份及權(quán)限標(biāo)識(shí)決定不同用戶每日可訪問的次 數(shù);NFC服務(wù)器端每日自動(dòng)吊銷后臺(tái)所有客戶證書列表,CA中心每日負(fù)責(zé)向NFC服務(wù)器端發(fā) 送新的可訪問的列表,實(shí)現(xiàn)證書更新的即時(shí)性與訪問的可控性。
      3. 根據(jù)權(quán)利要求1所述的基于NFC的點(diǎn)對(duì)點(diǎn)可信認(rèn)證方法,其特征在于,步驟3)中, 客戶端NFC設(shè)備與NFC服務(wù)器端之間在保密通道中交互信息的方法如下:對(duì)于每次發(fā)送的 信息M,客戶端使用MD5算法計(jì)算出摘要值mc^,并使用自身私鑰加密摘要mc^以創(chuàng)建其簽名 sm,將簽名附在原文之后(M+sm) -同發(fā)送至NFC服務(wù)器端;NFC服務(wù)器端使用證書拆分后 得到的客戶端公鑰解密簽名得到消息摘要mdi,并使用MD5算法對(duì)接收到的原文進(jìn)行哈希處 理得到消息摘要md 2,比較兩個(gè)消息摘要rndp md2,如果完全一致,則可確定該信息來自唯一 持有私鑰的客戶端NFC設(shè)備,并且數(shù)據(jù)未被篡改和偽造。
      【文檔編號(hào)】H04L9/32GK104219055SQ201410456819
      【公開日】2014年12月17日 申請(qǐng)日期:2014年9月10日 優(yōu)先權(quán)日:2014年9月10日
      【發(fā)明者】鄒佳偉, 金志剛 申請(qǐng)人:天津大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1