[发明专利]一种基于外置NFC芯片的手机安全认证方法

权利要求书

1.一种基于外置NFC芯片的手机安全认证方法，其特征在于：该方法基于放置于手机外部、粘贴在手机壳上的NFC芯片，实现对认证密钥的安全存储；加密通信系统安装在手机内部，密钥存储在独立于手机的外部NFC芯片中，从而实现了加密通信系统与密钥的分离存储，保证了手机通信的安全认证；整体认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成；具体包括如下步骤：

步骤1、利用密钥管理KMC模块生成各终端的公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；

步骤2、将密钥KEYi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：

(1)线下分发：利用专用程序将密钥KEYi加密写入外置NFC芯片，并将该NFC芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密SM4算法，加解密密钥为NFC芯片的UID序号号；

(2)在线分发：以加密方式将密钥KEYi传递到手机终端的外置NFC芯片；手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥SK1，实现对密钥对KEYi的加密传输，加密算法采用国密SM4算法；

步骤3、手机端根据通信应用需求，向服务端发起通信请求；

步骤4、服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥SK2；

步骤5、手机端和服务器端利用协商生成的会话密钥SK2，利用国密SM4算法进行加密通信。

2.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法，其特征在于，所述步骤1中，利用密钥管理KMC模块生成各终端的SM2算法公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；密钥管理KMC模块是认证系统中负责密钥生成、分发与管理的模块，根据需要参与通信的手机终端的数量、分布、应用等具体需求，为各终端生成一个国密SM2算法公私钥对(或者CA数字证书)KEYi，SM2算法是非对称加密算法，私钥长度为32字节(256位)，公钥长度64字节(512位)。

3.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法，其特征在于，所述步骤2中，将密钥KEYi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：

(1)线下分发：利用专用程序将密钥KEYi加密写入外置NFC芯片，并将该NFC芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密SM4算法，加解密密钥为NFC芯片的UID序号号，UID长度为7个字节，每个芯片的UID均不相同，从出厂即写死，不可更改，保证UID号唯一；

(2)在线分发：以加密方式将密钥KEYi传递到手机终端的外置NFC芯片；手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥SK1，实现对密钥对KEYi的加密传输至手机终端，加密算法采用国密SM4算法。

4.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法，其特征在于，所述步骤3中，手机端根据通信应用需求，向服务端发起通信请求；常用的通信应用包括移动支付、模拟门禁卡、模拟电子身份证件等应用场景。

5.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法，其特征在于，所述步骤4中，服务端接到通信请求后，调用认证管理模块对手机端进行认证，认证成功，协商生成通信的会话密钥SK2；认证过程首先对手机端的UID进行查询，如果在服务端库中，则基于SM2密钥进行认证；如果手机端的UID不服务端库中，则为非授权的NFC芯片，不允许进行下一步通信。

6.如权利要求1所述的一种基于外置NFC芯片的手机安全认证方法，其特征在于，所述步骤5中，手机端和服务器端利用协商生成的会话密钥SK2，利用进行加密通信；服务端通过认证管理模块对手机端进行UID认证、基于SM2的密钥认证之后，确认为合法授权用户，双方后续进行正常的加密通信；加密算法采用国密SM4算法，会话密钥为双方协商生成的会话密钥SK2。

基于外置NFC芯片的手机安全认证方法中，服务端通过认证管理模块，对手机终端进行了基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证，双重认证有效保证了手机终端为合法授权用户，为基于手机的移动支付、模拟电子身份证件、模块门禁卡等各类场景的应用提供了技术保证。