] (4)第一 NFC終端獲取自身的GPS定位數(shù)據(jù)并接收第二NFC終端發(fā)送來(lái)的GPS定 位數(shù)據(jù)��,第一 NFC終端根據(jù)自身GPS定位數(shù)據(jù)以及接收的GPS定位數(shù)據(jù)����,計(jì)算第一 NFC終端 與第二NFC終端之間的物理距離d :
[0116] 若兩者間的物理距離d大于第一 NFC終端的預(yù)設(shè)距離d。��,表示第二NFC終端為潛在 攻擊用戶�,則第一 NFC終端中斷與第二NFC終端的通信連接,例如���,NFC的通信距離在20cm 以內(nèi)�����,第一 NFC終端內(nèi)的預(yù)設(shè)距離d����?����?梢栽O(shè)置成20cm ;否則,第一 NFC終端繼續(xù)保持與第二 NFC終端的通信連接�����,并執(zhí)行步驟(5);
[0117] (5)利用第一 NFC終端生成虛擬鍵盤(pán)��,并通過(guò)虛擬鍵盤(pán)輸入支付密碼�,然后由第一 NFC終端將支付密碼、全球身份標(biāo)識(shí)號(hào)IN Fl"t&送給第三方支付平臺(tái)����,其中����,虛擬鍵盤(pán)的 界面為動(dòng)態(tài)界面,且動(dòng)態(tài)界面上具有〇~9十個(gè)數(shù)字��,數(shù)字在動(dòng)態(tài)界面上的布局是隨機(jī)的��; 圖2給出了虛擬鍵盤(pán)上0~9十個(gè)數(shù)字的隨機(jī)布局情況�;另外,虛擬鍵盤(pán)上也可以是字母或 者字母�、數(shù)字的組合;
[0118] (6)第三方支付平臺(tái)接收第一 NFC終端發(fā)送的支付密碼和全球身份標(biāo)識(shí)號(hào) IN Fl"t����,且判斷接收的支付密碼����、全球身份標(biāo)識(shí)號(hào)IN 第三方支付平臺(tái)內(nèi)存儲(chǔ)的預(yù) 設(shè)支付密碼����、全球身份標(biāo)識(shí)號(hào)IDFl"t-致時(shí),則將第一 NFC終端對(duì)應(yīng)支付賬戶的款項(xiàng)轉(zhuǎn)入給 第二NFC終端對(duì)應(yīng)的收款賬戶�����,并發(fā)送成功支付通知給第一 NFC終端����,以提示第一 NFC終端 與第二NFC終端之間安全地完成了點(diǎn)對(duì)點(diǎn)通信。
【主權(quán)項(xiàng)】
1.近場(chǎng)通信設(shè)備間的點(diǎn)對(duì)點(diǎn)支付通信方法��,其特征在于�����,依次包括如下步驟: (1) 設(shè)定第一NFC終端的全球身份標(biāo)識(shí)號(hào)為IDplut���,第二NFC終端的全球身份標(biāo)識(shí)號(hào)為 1化��。�。。�。4,第Ξ方可信機(jī)構(gòu)為T(mén)SM;其中,第Ξ方可信機(jī)構(gòu)TSM用于存儲(chǔ)第一NFC終端的匿名身 份����、第二NFC終端的匿名身份、第一NFC終端的真實(shí)及第二NFC終端的真實(shí)化���。����。����。����。4; 匿名身份由公鑰、私鑰���、第Ξ方可信機(jī)構(gòu)TSM的全球身份標(biāo)識(shí)號(hào)IDtsmW及TSM的簽名組成�; 利用第一NFC終端在第Ξ方支付平臺(tái)注冊(cè)對(duì)應(yīng)支付賬戶,并由第Ξ方支付平臺(tái)存儲(chǔ)第 一NFC終端的全球身份標(biāo)識(shí)號(hào)IDpiut���、支付密碼����; 利用第二NFC終端在第Ξ方支付平臺(tái)注冊(cè)對(duì)應(yīng)收款賬戶���,并由第Ξ方支付平臺(tái)存儲(chǔ)第 二NFC終端的全球身份標(biāo)識(shí)號(hào)1化��。�����。���。。4; (2) 第一NFC終端向第Ξ方可信機(jī)構(gòu)TSM請(qǐng)求使用其匿名身份時(shí)��,由第Ξ方可信機(jī)構(gòu) TSM產(chǎn)生第一NFC終端的匿名身份集合PSpiut���,并將此匿名身份集合PSpiut發(fā)送給第一NFC 終端�����;第Ξ方可信機(jī)構(gòu)TSM則存儲(chǔ)發(fā)送給第一NFC終端的匿名身份集合PSpustW及第一NFC 終端的真實(shí)IDpiut;其中�,第Ξ方可信機(jī)構(gòu)TSM生成第一NFC終端的匿名身份過(guò)程包括: (2-1)在第Ξ方可信機(jī)構(gòu)TSM接收到第一NFC終端的匿名身份請(qǐng)求時(shí),第Ξ方可信機(jī)構(gòu) TSM產(chǎn)生η個(gè)隨機(jī)值松��,其中��,表示第一NFC終端的第i個(gè)匿名身份的私鑰��; (2-2)第Ξ方可信機(jī)構(gòu)TSM將其產(chǎn)生的各隨機(jī)值搖W與楠圓曲線基點(diǎn)G相乘��,得到η個(gè) 公鑰茲,�,,,其中���,盛表示第一NFC終端的第i個(gè)匿名身份的公鑰�����,化=枉心;基點(diǎn)G 在楠圓曲線上,楠圓曲線為:E:y2=x3+ax+bmodni��,E為楠圓曲線��,a�,b為楠圓曲線E的系 數(shù)�����,(x�����,y)是楠圓曲線E上的點(diǎn)����,叫是楠圓曲線E的階���; (2-3)第Ξ方可信機(jī)構(gòu)TSM根據(jù)第一NFC終端的第i個(gè)匿名身份的私鑰W及對(duì)應(yīng) 該私鑰片"����、,的公鑰這,����。.,,產(chǎn)生得到對(duì)應(yīng)第一NFC終端的第i個(gè)匿名身份的第Ξ方可信機(jī)構(gòu)TSM簽么式��、��,,;其中��,EncK(m)表示用密鑰K對(duì)信息m加密�,Sigk(m)表示用密鑰k對(duì)信息m簽名,II為 連接符號(hào)�; (2-4)第Ξ方可信機(jī)構(gòu)TSM根據(jù)其所產(chǎn)生的第一NFC終端的第i個(gè)匿名身份的簽名 .得到第一NFC終端的匿名身份集合PSpust,其中:(3) 第一NFC終端接收到第Ξ方可信機(jī)構(gòu)TSM發(fā)送的匿名身份集合PSpiut后�,斷開(kāi)其與 第Ξ方可信機(jī)構(gòu)TSM的通信,并對(duì)第一NFC終端與第二NFC終端之間的NFC安全協(xié)議進(jìn)行 激活: (3-1)第一NFC終端產(chǎn)生隨機(jī)數(shù)NFirst和隨機(jī)整數(shù)RFirst����,并計(jì)算、得到其自更 新公鑰公k,,和0k�����、,���,:然后將0k,���、0'k,和NFirst壓縮后發(fā)送給第二NFC終端,其中 經(jīng)壓縮分別變成QFirst1���、QFirst1; 0^,,,;、公心,,是基點(diǎn)為G的楠圓曲線E 上的點(diǎn),其中����,(3-2)第二NFC終端產(chǎn)生隨機(jī)數(shù)NSecond和隨機(jī)整數(shù)RSecond,并計(jì)算����、得到其自更新 公鑰公和谷,然后將�、夢(mèng)和NSecond壓縮后發(fā)送給第一NFC終端,其中 0L���。,》/����、經(jīng)壓縮分別變成QSecond1���、QSecond1:(3-3)根據(jù)第一NFC終端與第二NFC終端互相交換的公鑰及隨機(jī)數(shù)����,分別計(jì)算其共同點(diǎn)P(Ρχ��,Py)��、共享秘值Z及共享秘鑰Qsse: (a) 第一NFC終端計(jì)算得到共同點(diǎn)P化,Py)����、共享秘值Z及共享秘鑰Qssejust,計(jì)算得到 第一NFC終端發(fā)送的密鑰驗(yàn)證標(biāo)簽Mac化扣ust����,并發(fā)送密鑰驗(yàn)證標(biāo)簽Mac化扣ust給第二NFC 終端驗(yàn)證:其中,Z為共享秘值Z轉(zhuǎn)換后得到的對(duì)應(yīng)的8比特字符串�����,共享秘值Z與8比特字符串Z之間的轉(zhuǎn)換公式為:Z是非負(fù)整數(shù)���,字符串預(yù)期長(zhǎng)度K滿足28k〉z(mì)���,輸出的Ml,M2,. . .,Mk是字符串Z從左到右 的位值���; 驗(yàn)證標(biāo)簽MacTa扣…t計(jì)算使用IS0/IEC11770-3定義的密鑰驗(yàn)證機(jī)制: MacTagFirst=MAC-KC(QssE_First�,〇x〇3,IDpirst�,IDsecond,QFirst,QSecond); 該密鑰驗(yàn)證機(jī)制使用AES加密XCBC-MAC-96模式����,計(jì)算得: MacTag化"=AES-XCBC-MAC-96Q ssE_First(〇x〇3I IID化J IIDsecwdIIQFirstIIQSecond); (b) 第二NFC終端計(jì)算得到共同點(diǎn)P(Py���,Py)�、共享秘值z(mì)及共享秘鑰驗(yàn)證 第一NFC終端發(fā)送的密鑰驗(yàn)證標(biāo)簽MacTa扣,并計(jì)算得到第二NFC終端的密鑰驗(yàn)證標(biāo)簽 MacTagswDnd�,發(fā)送密鑰驗(yàn)證標(biāo)簽MacTagswDnd給第一NFC終端驗(yàn)證:驗(yàn)證標(biāo)簽MacTagsw^d計(jì)算使用ISO/IEC11770-3定義的密鑰驗(yàn)證機(jī)制: MacTagsec〇nd=MAC-KC(QssE_sec〇nd,0x03,IDsecond�,IDf"…QSecond,QFirsI:); 該密鑰驗(yàn)證機(jī)制使用AES加密XCBC-MAC-96模式,計(jì)算得:(3-4)當(dāng)?shù)谝籒FC終端的密鑰驗(yàn)證標(biāo)簽MacTa扣UJ皮第二NFC終端驗(yàn)證通過(guò)���,且第二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagsw""d被第一NFC終端驗(yàn)證通過(guò)時(shí)���,則第一NFC終端、第二 NFC終端均WQsse作為共享秘鑰���,并進(jìn)行數(shù)據(jù)通信連接����,然后執(zhí)行步驟(4)����,其中Qsse=Q First二QSSE_secDtid;否則���,則中斷束一NFC終3而與束一NFC終3而之間的通f目連接;其中��, 第二NFC終端驗(yàn)證第一NFC終端的密鑰驗(yàn)證標(biāo)簽MacTa扣ust過(guò)程包括:第二NFC終端 根據(jù)其計(jì)算得到的共享秘鑰Qsse_see?d����,計(jì)算第一NFC終端的密鑰驗(yàn)證標(biāo)簽MacTag' 其中;若MacTag' 化"=MacTagFirst,則表 示第一NFC終端的密鑰驗(yàn)證標(biāo)簽Mac化扣ust被第二NFC終端驗(yàn)證通過(guò)����,否則,表示驗(yàn)證未通 過(guò)�����; 第一NFC終端驗(yàn)證第二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagsw""d過(guò)程包括:第一NFC終端 根據(jù)其計(jì)算得到的共享秘鑰Qssejust����,計(jì)算第二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTag' 其中:若MacTag'Second=MacTagSecond,則表 示第二NFC終端的密鑰驗(yàn)證標(biāo)簽MacTagsw^d被第一NFC終端驗(yàn)證通過(guò)�,否則,表示驗(yàn)證未通 過(guò)���; 其中��,密鑰驗(yàn)證標(biāo)簽MacTag'nrst�����、MacTag'seewd的計(jì)算均使用IS0/IEC11770-3定義的 密鑰驗(yàn)證機(jī)制�,密鑰驗(yàn)證機(jī)制均使用AES加密XCBC-MAC-96模式; (4) 第一NFC終端獲取自身的GPS定位數(shù)據(jù)并接收第二NFC終端發(fā)送來(lái)的GPS定位數(shù) 據(jù)���,第一NFC終端根據(jù)自身GI^定位數(shù)據(jù)W及接收的GI^定位數(shù)據(jù),計(jì)算第一NFC終端與第 二NFC終端之間的物理距離d: 若兩者間的物理距離d大于第一NFC終端的預(yù)設(shè)距離d�����。�,表示第二NFC終端為潛在攻 擊用戶,則第一NFC終端中斷與第二NFC終端的通信連接����;否則,第一NFC終端繼續(xù)保持與 第二NFC終端的通信連接�,并執(zhí)行步驟巧); (5) 利用第一NFC終端生成虛擬鍵盤(pán)���,并通過(guò)虛擬鍵盤(pán)輸入支付密碼����,然后由第一NFC 終端將支付密碼、全球身份標(biāo)識(shí)號(hào)ID'發(fā)送給第Ξ方支付平臺(tái)��,其中�����,所述虛擬鍵盤(pán)的界 面為動(dòng)態(tài)界面�,且動(dòng)態(tài)界面上具有0~9十個(gè)數(shù)字,所述數(shù)字在動(dòng)態(tài)界面上的布局上隨機(jī) 的����; (6) 第Ξ方支付平臺(tái)接收第一NFC終端發(fā)送的支付密碼和全球身份標(biāo)識(shí)號(hào)ID'pugt,且 判斷接收的支付密碼�����、全球身份標(biāo)識(shí)號(hào)ID'pu.t與第Ξ方支付平臺(tái)內(nèi)存儲(chǔ)的預(yù)設(shè)支付密碼�、 全球身份標(biāo)識(shí)號(hào)IDpust-致時(shí),則將第一NFC終端對(duì)應(yīng)支付賬戶的款項(xiàng)轉(zhuǎn)入給第二NFC終 端對(duì)應(yīng)的收款賬戶���,并發(fā)送成功支付通知給第一NFC終端���。2.根據(jù)權(quán)利要求1所述的點(diǎn)對(duì)點(diǎn)支付通信方法���,其特征在于,所述步驟(2-2)中的楠圓 曲線E中:
【專利摘要】本發(fā)明涉及近場(chǎng)通信設(shè)備間的點(diǎn)對(duì)點(diǎn)支付通信方法��,通信雙方中的第一NFC終端����、第二NFC終端分別將各自真實(shí)ID存儲(chǔ)在第三方可信機(jī)構(gòu),第三方可信機(jī)構(gòu)存儲(chǔ)兩個(gè)NFC終端的匿名身份����;當(dāng)點(diǎn)對(duì)點(diǎn)支付通信時(shí)�����,第一NFC終端向第三方可信機(jī)構(gòu)請(qǐng)求使用其匿名身份����,并計(jì)算、發(fā)送自身的自更新公鑰和密鑰驗(yàn)證標(biāo)簽給第二NFC終端驗(yàn)證�����;第二NFC終端同樣發(fā)送其自更新公鑰、密鑰驗(yàn)證標(biāo)簽給第一NFC終端驗(yàn)證���;當(dāng)?shù)谝籒FC終端�、第二NFC終端的密鑰驗(yàn)證標(biāo)簽均被對(duì)方驗(yàn)證通過(guò)且自更新公鑰均相同時(shí)�����,判斷兩個(gè)NFC終端間物理距離大于預(yù)設(shè)距離時(shí)�����,則第一NFC終端����、第二NFC終端以其相同的自更新公鑰為雙方的共享公鑰,完成點(diǎn)對(duì)點(diǎn)通信�。
【IPC分類】G06Q20/32, G06Q20/02, G06Q20/38, H04B5/00, H04L9/32
【公開(kāi)號(hào)】CN105245257
【申請(qǐng)?zhí)枴緾N201510559940
【發(fā)明人】鄭紫微, 何晨暉
【申請(qǐng)人】寧波大學(xué)
【公開(kāi)日】2016年1月13日
【申請(qǐng)日】2015年9月6日