近场通信设备间的点对点支付通信方法
【技术领域】
[0001] 本发明涉及通信领域,尤其涉及一种近场通信设备间的点对点支付通信方法。
【背景技术】
[0002] 近场通信(Near Field Communication,简称NFC)是一种短距高频的无线电技术, 是由非接触式射频识别技术和点对点通信技术融合演变而来,其在〇到20cm距离内,工作 在13. 56MHz频率,传输速度有106Kbit/秒、212Kbit/秒或者424Kbit/秒三种,并可以在不 同的传输速度之间自动切换。
[0003] NFC具有三种使用模式:卡模式、点对点通信模式、读/写卡器模式。其中,点对点 通信模式用于实现不同的NFC终端之间的数据交互,从而将多个具备NFC功能的设备通信 连接起来,并通过链路层通信协议实现数据的点对点传输。可知,具有NFC功能的近场通信 设备之间可以进行无线数据传输。例如,消费者在利用NFC通信设备购物、完成支付的交易 活动中,消费者的NFC通信设备需要与商家的NFC通信设备进行配对通信,才能完成整个点 对点支付过程。
[0004] 然而,利用现有的NFC通信设备与另一 NFC通信设备进行点对点支付通信时,由于 近场通信较短的通信距离,且不采用安全校验,使得点对点支付过程存在较大的安全隐患, 容易被其他设备进行攻击。
【发明内容】
[0005] 本发明所要解决的技术问题是针对上述现有技术提供一种在近场通信的点对点 通信模式中,使用动态公钥密钥和匿名身份进行安全通信的近场通信设备间的点对点支付 通?目方法。
[0006] 本发明解决上述技术问题所采用的技术方案为:近场通信设备间的点对点支付通 信方法,其特征在于,依次包括如下步骤:
[0007] (1)设定第一 NFC终端的全球身份标识号为IDFl"t,第二NFC终端的全球身份标识 号为ID serand,第三方可信机构为TSM ;其中,第三方可信机构TSM用于存储第一 NFC终端的 匿名身份、第二NFC终端的匿名身份、第一 NFC终端的真实IDFl"tW及第二NFC终端的真实 IDserand;匿名身份由公钥、私钥、第三方可信机构TSM的全球身份标识号ID TSM以及TSM的签 名组成;
[0008] 利用第一 NFC终端在第三方支付平台注册对应支付账户,并由第三方支付平台存 储第一 NFC终端的全球身份标识号IDFl"t、支付密码;
[0009] 利用第二NFC终端在第三方支付平台注册对应收款账户,并由第三方支付平台存 储第二NFC终端的全球身份标识号ID serand;
[0010] (2)第一 NFC终端向第三方可信机构TSM请求使用其匿名身份时,由第三方可信 机构TSM产生第一 NFC终端的匿名身份集合PSFl"t,并将此匿名身份集合PSFl" t发送给第一 NFC终端;第三方可信机构TSM则存储发送给第一 NFC终端的匿名身份集合PSFl"t以及第 一 NFC终端的真实IDFl"t;其中,第三方可信机构TSM生成第一 NFC终端的匿名身份过程包 括:
[0011] (2-1)在第三方可信机构TSM接收到第一NFC终端的匿名身份请求时,第三方可信 机构TSM产生η个随机值輪 w,其中,%w表示第一 NFC终端的第i个匿名身份的私钥;
[0012] (2-2)第三方可信机构TSM将其产生的各随机值心与椭圆曲线基点G相乘,得 到η个公钥
表示第一 NFC终端的第i个匿名身份的公钥,
基点G在椭圆曲线上,椭圆曲线为:E:y2= X 3+ax+b mod叫,E为椭圆曲线,a, b为椭圆曲线 E的系数,(X,y)是椭圆曲线E上的点,Ii1是椭圆曲线E的阶;
[0013] (2-3)第三方可信机构TSM根据第一 NFC终端的第i个匿名身份的私钥仏以及 对应该私钥的公钥,产生得到对应第一 NFC终端的第i个匿名身份的第三方可信 机构TSM签名::
[0015] 其中,EncK(m)表示用密钥K对信息m加密,Sigk(m)表示用密钥k对信息m签名, I为连接符号;
[0016] (2-4)第三方可信机构TSM根据其所产生的第一 NFC终端的第i个匿名身份的签 名离》?,得到第一 NFC终端的匿名身份集合PSFl"t,其中:
[0018] (3)第一 NFC终端接收到第三方可信机构TSM发送的匿名身份集合PSfiJ^,断开 其与第三方可信机构TSM的通信,并对第一 NFC终端与第二NFC终端之间的NFC安全协议 进行激活:
[0019] (3-1)第一 NFC终端产生随机数NFirst和随机整数RFirst,并计算、得到其自 更新公钥
然后将
和NFirst压缩后发送给第二NFC终端,其中
经压缩分别变成QFirst" \ QFirst' 、泛k,是基点为G的椭圆曲 线E上的点,其中,
[0022] (3-2)第二NFC终端产生随机数NSecond和随机整数RSecond,并计算、得到其自 更新公钥
和NSecond压缩后发送给第一 NFC终 端,其中
经压缩分别变成QSecond" \ QSecond' S
[0025] (3-3)根据第一NFC终端与第二NFC终端互相交换的公钥及随机数,分别计算其共 同点P (Px,Py)、共享秘值z及共享秘钥Qsse:
[0026] (a)第一 NFC终端计算得到共同点P (Px,Py)、共享秘值z及共享秘钥QSSE First,计算 得到第一 NFC终端发送的密钥验证标签MacTagFl"t,并发送密钥验证标签MacTagFl" t给第二 NFC终端验证:
[0031] 其中,Z为共享秘值z转换后得到的对应的8比特字符串,共享秘值z与8比特字 符串Z之间的转换公式为:
[0033] z是非负整数,字符串预期长度K满足2SK> z,输出的M ,1^是字符串Z从 左到右的位值;
[0034] 验证标签MacTagp^sJ+算使用IS0/IEC 11770-3定义的密钥验证机制:
[0035] MacTagFirst= MAC-KC (Q SSE-First,0x03, IDFirst,IDseccind, QFirst,QSecond);
[0036] 该密钥验证机制使用AES加密XCBC-MAC-96模式,计算得:
[0037] MacTagFirst= AES-XCBC-MAC-96Q SSE-First (0x03 I I IDFirst I I IDseccind I I QFirst I I QSecond);
[0038] (b)第二NFC终端计算得到共同点P (Px,Py)、共享秘值z及共享秘钥QSSE s_nd,验 证第一 NFC终端发送的密钥验证标签MacTagFl"t,并计算得到第二NFC终端的密钥验证标签 MacTagsf3txind,发送密钥验证标签MacTagsf3txind给第一 NFC终端验证:
[0043] 验证标签MacTagseran^算使用IS0/IEC 11770-3定义的密钥验证机制:
[0044] MacTagsecond= MAC-KC (Q SSE Second,0x03, IDsecond, IDFirst,QSecond,QFirst);
[0045] 该密钥验证机制使用AES加密XCBC-MAC-96模式,计算得:
[0049] (3-4)当第一 NFC终端的密钥验证标签MacTagFirst被第二NFC终端验证通过,且第 二NFC终端的密钥验证标签MacTag serand被第一 NFC终端验证通过时,则第一 NFC终端、第二 NFC终端均以Qsse作为共享秘钥,并进行数据通信连接,然后执行步骤(4),其中Q SSE= Q SSE_ &st= Q SSE_se_d;否则,则中断第一 NFC终端与第二NFC终端之间的通信连接;其中,
[0050] 第二NFC终端验证第一 NFC终端的密钥验证标签MacTagFl"t过程包括:第 二NFC终端根据其计算得到的共享秘钥QSSE_serand,计算第一 NFC终端的密钥验证标签 MacTag ' First,其中
1:若 MacTag ' First =MacTagFl"t,则表示第一 NFC终端的密钥验证标签MacTagFl"t被第二NFC终端验证通过, 否则,表示验证未通过;
[0051 ] 第一 NFC终端验证第二NFC终端的密钥验证标签MacTagserand过程包括:第 一 NFC终端根据其计算得到的共享秘钥QSSE Fl"t,计算第二NFC终端的密钥验证标 签
;若 MacTag^ Serand= MacTag Se_d,则表示第二NFC终端的密钥验证标签MacTagserand被第一 NFC 终端验证通过,否则,表示验证未通过;
[0052] 其中,密钥验证标签MacTag' First、MacTag' Serand的计算均使用 IS0/IEC 11770-3 定义的密钥验证机制,密钥验证机制均使用AES加密XCBC-MAC-96模式;
[0053] (4)第一 NFC终端获取自身的GPS定位数据并接收第二NFC终端发送来的GPS定 位数据,第一 NFC终端根据自身GPS定位数据以及接收的GPS定位数据,计算第一 NFC终端 与第二NFC终端之间的物理距离d :
[0054] 若两者间的物理距离d大于第一 NFC终端的预设距离d。,表示第二NFC终端为潜 在攻击用户,则第一 NFC终端中断与第二NFC终端的通信连接;否则,第一 NFC终端继续保 持与第二NFC终端的通信连接,并执行步骤(5);
[0055] (5)利用第一 NFC终端生成虚拟键盘,并通过虚拟键盘输入支付密码,然后由第一 NFC终端将支付密码、全球身份标识号ID' Fl"t&送给第三方支付平台,其中,所述虚拟键 盘的界面为动态界面,且动态界面上具有0~9十个数字,所述数字在动态界面上的布局上 随机的;
[0056] (6)第三方支付平台接收第一 NFC终端发送的支付密码和全球身份标识号 IN Fl"t,且判断接收的支付密码、全球身份标识号IN 第三方支付平台内存储的预 设支付密码、全球身份标识号IDFl"t-致时,则将第一 NFC终端对应支付账户的款项转入给 第二NFC终端对应的收款账户,并发送成功支付