近場(chǎng)通信設(shè)備間的點(diǎn)對(duì)點(diǎn)支付通信方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域���,尤其涉及一種近場(chǎng)通信設(shè)備間的點(diǎn)對(duì)點(diǎn)支付通信方法���。
【背景技術(shù)】
[0002] 近場(chǎng)通信(Near Field Communication,簡(jiǎn)稱NFC)是一種短距高頻的無(wú)線電技術(shù)�, 是由非接觸式射頻識(shí)別技術(shù)和點(diǎn)對(duì)點(diǎn)通信技術(shù)融合演變而來(lái),其在〇到20cm距離內(nèi)�,工作 在13. 56MHz頻率,傳輸速度有106Kbit/秒����、212Kbit/秒或者424Kbit/秒三種��,并可以在不 同的傳輸速度之間自動(dòng)切換��。
[0003] NFC具有三種使用模式:卡模式��、點(diǎn)對(duì)點(diǎn)通信模式�、讀/寫(xiě)卡器模式���。其中����,點(diǎn)對(duì)點(diǎn) 通信模式用于實(shí)現(xiàn)不同的NFC終端之間的數(shù)據(jù)交互�����,從而將多個(gè)具備N(xiāo)FC功能的設(shè)備通信 連接起來(lái)�����,并通過(guò)鏈路層通信協(xié)議實(shí)現(xiàn)數(shù)據(jù)的點(diǎn)對(duì)點(diǎn)傳輸���。可知,具有NFC功能的近場(chǎng)通信 設(shè)備之間可以進(jìn)行無(wú)線數(shù)據(jù)傳輸���。例如��,消費(fèi)者在利用NFC通信設(shè)備購(gòu)物����、完成支付的交易 活動(dòng)中�,消費(fèi)者的NFC通信設(shè)備需要與商家的NFC通信設(shè)備進(jìn)行配對(duì)通信,才能完成整個(gè)點(diǎn) 對(duì)點(diǎn)支付過(guò)程��。
[0004] 然而�,利用現(xiàn)有的NFC通信設(shè)備與另一 NFC通信設(shè)備進(jìn)行點(diǎn)對(duì)點(diǎn)支付通信時(shí),由于 近場(chǎng)通信較短的通信距離�����,且不采用安全校驗(yàn)�,使得點(diǎn)對(duì)點(diǎn)支付過(guò)程存在較大的安全隱患, 容易被其他設(shè)備進(jìn)行攻擊�。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明所要解決的技術(shù)問(wèn)題是針對(duì)上述現(xiàn)有技術(shù)提供一種在近場(chǎng)通信的點(diǎn)對(duì)點(diǎn) 通信模式中,使用動(dòng)態(tài)公鑰密鑰和匿名身份進(jìn)行安全通信的近場(chǎng)通信設(shè)備間的點(diǎn)對(duì)點(diǎn)支付 通?目方法�。
[0006] 本發(fā)明解決上述技術(shù)問(wèn)題所采用的技術(shù)方案為:近場(chǎng)通信設(shè)備間的點(diǎn)對(duì)點(diǎn)支付通 信方法,其特征在于���,依次包括如下步驟:
[0007] (1)設(shè)定第一 NFC終端的全球身份標(biāo)識(shí)號(hào)為IDFl"t��,第二NFC終端的全球身份標(biāo)識(shí) 號(hào)為ID serand�����,第三方可信機(jī)構(gòu)為T(mén)SM ;其中��,第三方可信機(jī)構(gòu)TSM用于存儲(chǔ)第一 NFC終端的 匿名身份�、第二NFC終端的匿名身份、第一 NFC終端的真實(shí)IDFl"tW及第二NFC終端的真實(shí) IDserand;匿名身份由公鑰����、私鑰、第三方可信機(jī)構(gòu)TSM的全球身份標(biāo)識(shí)號(hào)ID TSM以及TSM的簽 名組成����;
[0008] 利用第一 NFC終端在第三方支付平臺(tái)注冊(cè)對(duì)應(yīng)支付賬戶�,并由第三方支付平臺(tái)存 儲(chǔ)第一 NFC終端的全球身份標(biāo)識(shí)號(hào)IDFl"t、支付密碼�;
[0009] 利用第二NFC終端在第三方支付平臺(tái)注冊(cè)對(duì)應(yīng)收款賬戶,并由第三方支付平臺(tái)存 儲(chǔ)第二NFC終端的全球身份標(biāo)識(shí)號(hào)ID serand;
[0010] (2)第一 NFC終端向第三方可信機(jī)構(gòu)TSM請(qǐng)求使用其匿名身份時(shí)�,由第三方可信 機(jī)構(gòu)TSM產(chǎn)生第一 NFC終端的匿名身份集合PSFl"t,并將此匿名身份集合PSFl" t發(fā)送給第一 NFC終端�;第三方可信機(jī)構(gòu)TSM則存儲(chǔ)發(fā)送給第一 NFC終端的匿名身份集合PSFl"t以及第 一 NFC終端的真實(shí)IDFl"t;其中,第三方可信機(jī)構(gòu)TSM生成第一 NFC終端的匿名身份過(guò)程包 括:
[0011] (2-1)在第三方可信機(jī)構(gòu)TSM接收到第一NFC終端的匿名身份請(qǐng)求時(shí),第三方可信 機(jī)構(gòu)TSM產(chǎn)生η個(gè)隨機(jī)值輪 w��,其中����,%w表示第一 NFC終端的第i個(gè)匿名身份的私鑰;
[0012] (2-2)第三方可信機(jī)構(gòu)TSM將其產(chǎn)生的各隨機(jī)值心與橢圓曲線基點(diǎn)G相乘����,得 到η個(gè)公鑰
表示第一 NFC終端的第i個(gè)匿名身份的公鑰,
基點(diǎn)G在橢圓曲線上�����,橢圓曲線為:E:y2= X 3+ax+b mod叫�,E為橢圓曲線,a, b為橢圓曲線 E的系數(shù)����,(X,y)是橢圓曲線E上的點(diǎn)����,Ii1是橢圓曲線E的階;
[0013] (2-3)第三方可信機(jī)構(gòu)TSM根據(jù)第一 NFC終端的第i個(gè)匿名身份的私鑰仏以及 對(duì)應(yīng)該私鑰的公鑰���,產(chǎn)生得到對(duì)應(yīng)第一 NFC終端的第i個(gè)匿名身份的第三方可信 機(jī)構(gòu)TSM簽名::
[0015] 其中���,EncK(m)表示用密鑰K對(duì)信息m加密����,Sigk(m)表示用密鑰k對(duì)信息m簽名��, I為連接符號(hào)���;
[0016] (2-4)第三方可信機(jī)構(gòu)TSM根據(jù)其所產(chǎn)生的第一 NFC終端的第i個(gè)匿名身份的簽 名離》?�����,得到第一 NFC終端的匿名身份集合PSFl"t�����,其中:
[0018] (3)第一 NFC終端接收到第三方可信機(jī)構(gòu)TSM發(fā)送的匿名身份集合PSfiJ^����,斷開(kāi) 其與第三方可信機(jī)構(gòu)TSM的通信��,并對(duì)第一 NFC終端與第二NFC終端之間的NFC安全協(xié)議 進(jìn)行激活:
[0019] (3-1)第一 NFC終端產(chǎn)生隨機(jī)數(shù)NFirst和隨機(jī)整數(shù)RFirst�,并計(jì)算、得到其自 更新公鑰
然后將
和NFirst壓縮后發(fā)送給第二NFC終端��,其中
經(jīng)壓縮分別變成QFirst" \ QFirst' �����、泛k,是基點(diǎn)為G的橢圓曲 線E上的點(diǎn)���,其中��,
[0022] (3-2)第二NFC終端產(chǎn)生隨機(jī)數(shù)NSecond和隨機(jī)整數(shù)RSecond�����,并計(jì)算����、得到其自 更新公鑰
和NSecond壓縮后發(fā)送給第一 NFC終 端��,其中
經(jīng)壓縮分別變成QSecond" \ QSecond' S
[0025] (3-3)根據(jù)第一NFC終端與第二NFC終端互相交換的公鑰及隨機(jī)數(shù)�����,分別計(jì)算其共 同點(diǎn)P (Px�����,Py)、共享秘值z(mì)及共享秘鑰Qsse:
[0026] (a)第一 NFC終端計(jì)算得到共同點(diǎn)P (Px���,Py)���、共享秘值z(mì)及共享秘鑰QSSE First,計(jì)算 得到第一 NFC終端發(fā)送的密鑰驗(yàn)證標(biāo)簽MacTagFl"t�,并發(fā)送密鑰驗(yàn)證標(biāo)簽MacTagFl" t給第二 NFC終端驗(yàn)證:
[0031] 其中,Z為共享秘值z(mì)轉(zhuǎn)換后得到的對(duì)應(yīng)的8比特字符串����,共享秘值z(mì)與8比特字 符串Z之間的轉(zhuǎn)換公式為:
[0033] z是非負(fù)整數(shù),字符串預(yù)期長(zhǎng)度K滿足2SK> z���,輸出的M �����,1^是字符串Z從 左到右的位值��;
[0034] 驗(yàn)證標(biāo)簽MacTagp^sJ+算使用IS0/IEC 11770-3定義的密鑰驗(yàn)證機(jī)制:
[0035] MacTagFirst= MAC-KC (Q SSE-First�,0x03, IDFirst���,IDseccind, QFirst�����,QSecond);
[0036] 該密鑰驗(yàn)證機(jī)制使用AES加密XCBC-MAC-96模式�����,計(jì)算得:
[0037] MacTagFirst= AES-XCBC-MAC-96Q SSE-First (0x03 I I IDFirst I I IDseccind I I QFirst I I QSecond);
[0038] (b)第二NFC終端計(jì)算得到共同點(diǎn)P (Px���,Py)、共享秘值z(mì)及共享秘鑰QSSE s_nd�,驗(yàn) 證第一 NFC終端發(fā)送的密鑰驗(yàn)證標(biāo)簽MacTagFl"t,并計(jì)算得到第二NFC終端的密鑰驗(yàn)證標(biāo)簽 MacTagsf3txind���,發(fā)送密鑰驗(yàn)證標(biāo)簽MacTagsf3txind給第一 NFC終端驗(yàn)證:
[0043] 驗(yàn)證標(biāo)簽MacTagseran^算使用IS0/IEC 11770-3定義的密鑰驗(yàn)證機(jī)制:
[0044] MacTagsecond= MAC-KC (Q SSE Second��,0x03, IDsecond, IDFirst����,QSecond���,QFirst);
[0045] 該密鑰驗(yàn)證機(jī)制使用AES加密XCBC-MAC-96模式���,計(jì)算得:
[0049] (3-4)當(dāng)?shù)谝?NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagFirst被第二NFC終端驗(yàn)證通過(guò)���,且第 二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTag serand被第一 NFC終端驗(yàn)證通過(guò)時(shí),則第一 NFC終端��、第二 NFC終端均以Qsse作為共享秘鑰��,并進(jìn)行數(shù)據(jù)通信連接�,然后執(zhí)行步驟(4),其中Q SSE= Q SSE_ &st= Q SSE_se_d;否則����,則中斷第一 NFC終端與第二NFC終端之間的通信連接;其中��,
[0050] 第二NFC終端驗(yàn)證第一 NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagFl"t過(guò)程包括:第 二NFC終端根據(jù)其計(jì)算得到的共享秘鑰QSSE_serand�����,計(jì)算第一 NFC終端的密鑰驗(yàn)證標(biāo)簽 MacTag ' First��,其中
1:若 MacTag ' First =MacTagFl"t�,則表示第一 NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagFl"t被第二NFC終端驗(yàn)證通過(guò), 否則,表示驗(yàn)證未通過(guò)����;
[0051 ] 第一 NFC終端驗(yàn)證第二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagserand過(guò)程包括:第 一 NFC終端根據(jù)其計(jì)算得到的共享秘鑰QSSE Fl"t�,計(jì)算第二NFC終端的密鑰驗(yàn)證標(biāo) 簽
;若 MacTag^ Serand= MacTag Se_d�����,則表示第二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagserand被第一 NFC 終端驗(yàn)證通過(guò)�����,否則����,表示驗(yàn)證未通過(guò);
[0052] 其中���,密鑰驗(yàn)證標(biāo)簽MacTag' First����、MacTag' Serand的計(jì)算均使用 IS0/IEC 11770-3 定義的密鑰驗(yàn)證機(jī)制�,密鑰驗(yàn)證機(jī)制均使用AES加密XCBC-MAC-96模式;
[0053] (4)第一 NFC終端獲取自身的GPS定位數(shù)據(jù)并接收第二NFC終端發(fā)送來(lái)的GPS定 位數(shù)據(jù),第一 NFC終端根據(jù)自身GPS定位數(shù)據(jù)以及接收的GPS定位數(shù)據(jù)�,計(jì)算第一 NFC終端 與第二NFC終端之間的物理距離d :
[0054] 若兩者間的物理距離d大于第一 NFC終端的預(yù)設(shè)距離d。��,表示第二NFC終端為潛 在攻擊用戶���,則第一 NFC終端中斷與第二NFC終端的通信連接�����;否則��,第一 NFC終端繼續(xù)保 持與第二NFC終端的通信連接�����,并執(zhí)行步驟(5);
[0055] (5)利用第一 NFC終端生成虛擬鍵盤(pán)����,并通過(guò)虛擬鍵盤(pán)輸入支付密碼��,然后由第一 NFC終端將支付密碼�、全球身份標(biāo)識(shí)號(hào)ID' Fl"t&送給第三方支付平臺(tái),其中���,所述虛擬鍵 盤(pán)的界面為動(dòng)態(tài)界面���,且動(dòng)態(tài)界面上具有0~9十個(gè)數(shù)字���,所述數(shù)字在動(dòng)態(tài)界面上的布局上 隨機(jī)的;
[0056] (6)第三方支付平臺(tái)接收第一 NFC終端發(fā)送的支付密碼和全球身份標(biāo)識(shí)號(hào) IN Fl"t���,且判斷接收的支付密碼、全球身份標(biāo)識(shí)號(hào)IN 第三方支付平臺(tái)內(nèi)存儲(chǔ)的預(yù) 設(shè)支付密碼���、全球身份標(biāo)識(shí)號(hào)IDFl"t-致時(shí)����,則將第一 NFC終端對(duì)應(yīng)支付賬戶的款項(xiàng)轉(zhuǎn)入給 第二NFC終端對(duì)應(yīng)的收款賬戶�,并發(fā)送成功支付