[发明专利]一种基于NFC的点对点可信认证方法

权利要求书

1.一种基于NFC的点对点可信认证方法，包括步骤如下：

1)客户端NFC设备首先产生自己的密钥对，并将自身公钥、设备自身信息及个人身份信息传送给认证中心CA；CA核实身份后，颁发给该设备一个用于同NFC服务器端进行身份认证的证书，该证书内包含NFC客户端的基本信息，包括NFC设备编号ID、版本号、公钥信息和证书有效期，同时附有CA中心的发行者数字签名信息；将颁发的数字证书导入到客户端NFC设备，这样该设备就可以使用自己的证书进行相关的访问；

2)当需要访问NFC服务器端进行身份认证时，客户端NFC设备在已建立好的保密通道中向NFC服务器端传递自己的证书；NFC服务器端收到证书后进行拆封，要验证签发NFC设备证书的CA是否是权威可信的CA，进而验证此CA的公钥能否正确解开客户端证书中发行者的数字签名。如果不能正确解开，则该证书视为不合法，身份认证过程失败；如果能正确解开，则从中提取证书有效期、设备的ID、版本号和公钥信息进行进一步的认证；

3)对于全部验证都通过的证书，该客户端NFC设备将允许访问NFC服务器端，两者可在保密通道中交互信息。

2.根据权利要求1所述的基于NFC的点对点可信认证方法，其特征在于，在CA颁发的证书中：

a、添加时间与随机数混合生成的数字时间戳，利用这一参数标识该证书的唯一性；

b、证书中添加有用户标识，同一客户端NFC设备同时存放不同张证书，在同一时间实现多用户访问；

c、根据用户群体的不同分别对每类人设置不同的访问权限，在证书中添加权限字段，用于在用户登录客户端设备并且与NFC服务器端建立可信认证后，依据其身份获得NFC服务器提供的不同服务；

d、证书的自动更新协议：证书中设定每日访问次数这一参数，限制每张证书每日可访问NFC服务器端的次数，CA中心根据用户身份及权限标识决定不同用户每日可访问的次数；NFC服务器端每日自动吊销后台所有客户证书列表，CA中心每日负责向NFC服务器端发送新的可访问的列表，实现证书更新的即时性与访问的可控性。

3.根据权利要求1所述的基于NFC的点对点可信认证方法，其特征在于，步骤3)中，客户端NFC设备与NFC服务器端之间在保密通道中交互信息的方法如下：对于每次发送的信息M，客户端使用MD5算法计算出摘要值md₀，并使用自身私钥加密摘要md₀以创建其签名sm，将签名附在原文之后(M+sm)一同发送至NFC服务器端；NFC服务器端使用证书拆分后得到的客户端公钥解密签名得到消息摘要md₁，并使用MD5算法对接收到的原文进行哈希处理得到消息摘要md₂，比较两个消息摘要md₁、md₂，如果完全一致，则可确定该信息来自唯一持有私钥的客户端NFC设备，并且数据未被篡改和伪造。