[发明专利]一种基于外置NFC芯片的手机安全认证方法

说明书

本发明涉及一种基于外置NFC芯片的手机安全认证方法，利用放置于手机外部、粘贴在手机壳上的NFC芯片，实现了将认证密钥在手机之外的独立存储，加密通信系统部署在手机内部，实现了加密通信算法与密钥的分离存储；整个认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成。对手机终端通过基于硬件NFC编号的UID认证、基于非对称国密算法SM2的密钥认证的双重认证，保证了手机终端为合法授权用户，密钥存储在独立的介质中，比传统的软件盾方式更为安全，为基于手机的移动支付、模拟电子身份证件等各类场景的认证应用提供了安全保证。

技术领域

本发明属于移动通信安全认证领域，特别是涉及一种基于外置NFC芯片的手机安全认证方法。

背景技术

移动互联网能够将网络技术与移动通信技术结合在一起，借助移动终端的携带和使用便利性，近些年移动互联网应用得到了迅猛地发展。特别是移动支付、即时通信、基于手机终端的模拟电子身份认证等应用迅速得到普及。与传统的互联网相比，手机等移动终端在安全方面存在着非常大的挑战。在互联网领域，形成了以PKI为代表的通信安全体系，借助CA数字证书，可以实现数字应用中身份认证、数字签名、加密等完整的安全机制。通过U盾方式，可以实现在线支付等金融业务安全认证，以及各类对安全要求较高的认证。然而这种成熟的安全认证方式，移植到移动互联网领域，在手机上外插一个U盾，严重影响了手机便携性的优势。所以很多安全认证，往往采用软件方式模拟U盾，称为软件盾的方式，提供一定程度的安全保障。

密钥的存储与保护是加密通信系统中一项重要内容，也是商用密码测评中的一项重要内容。在基于密码学的应用实践中，对密钥存储的要求也越来越高。应CA/B论坛要求，为加强对代码签名证书私钥的保护，自2022年11月15日起，所有普通代码签名证书的私钥需要在安全加密设备上生成和存储。CA/B论坛是由国际性电子认证机构(CA)与操作系统、浏览器厂商于2005年联合成立的非营利性公共组织，专注CA和浏览器的安全技术与标准的讨论与制定，其成员包括谷歌、微软、苹果、火狐、DigiCert、GlobalSign、CFCA等国际知名操作系统/浏览器及CA厂商。CA/B论坛作为数字证书行业的监管机构，从发展之初主要讨论浏览器网站SSL证书的技术标准与验证审计标准，拓展至讨论SSL证书、代码签名证书、移动互联网加密与算法选择、审计验证、客户端加密标准等多个标准组。根据这一要求，探索独立于手机的密钥存储具有重要的应用价值。

发明内容

本发明提出了一种基于外置NFC芯片的手机安全认证方法，基于放置于手机外部、粘贴在手机壳上的NFC芯片，实现对认证密钥的独立存储；加密通信系统部署在手机内部，密钥存储在独立于手机的外部NFC芯片中，从而实现了加密通信系统与密钥的分离存储，弥补了当前移动通信认证领域密钥未独立存储的缺陷，与传统的手机软件盾方式相比，提供了手机通信认证的安全性。

认证系统由外置NFC芯片、手机端APP模块、服务端模块、密钥管理KMC模块、手机端与密钥管理KMC的认证管理模块、手机端与服务端的认证管理模块等部分组成；具体包括如下步骤：

步骤1、利用密钥管理KMC模块生成各终端的公私钥对(或者CA数字证书)KEYi，用于后续的身份认证、会话密钥协商、及数字签名；

步骤2、将密钥KEYi通过安全方式分发给对应手机终端，包括线下分发和在线分发两种方式：

(1)线下分发：利用专用程序将密钥KEYi加密写入外置NFC芯片，并将该NFC芯片通过线下方式分发给手机终端使用者；数据存储加密算法为国密SM4算法，加解密密钥为NFC芯片的UID序号号；

(2)在线分发：以加密方式将密钥KEYi传递到手机终端的外置NFC芯片；手机端与KMC之间采用对称加密算法进行身份认证、以及会话密钥协商，并使用协商确定的会话密钥SK1，实现对密钥对KEYi的加密传输，加密算法采用国密SM4算法；