[go: up one dir, main page]

CN115085911A - 一种基于门禁的安全增强方法和系统 - Google Patents

一种基于门禁的安全增强方法和系统 Download PDF

Info

Publication number
CN115085911A
CN115085911A CN202210527673.7A CN202210527673A CN115085911A CN 115085911 A CN115085911 A CN 115085911A CN 202210527673 A CN202210527673 A CN 202210527673A CN 115085911 A CN115085911 A CN 115085911A
Authority
CN
China
Prior art keywords
access control
mobile terminal
key
information
pointer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210527673.7A
Other languages
English (en)
Other versions
CN115085911B (zh
Inventor
梁松涛
彭金辉
李鑫
李顶占
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202210527673.7A priority Critical patent/CN115085911B/zh
Publication of CN115085911A publication Critical patent/CN115085911A/zh
Application granted granted Critical
Publication of CN115085911B publication Critical patent/CN115085911B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/23Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/32Individual registration on entry or exit not involving the use of a pass in combination with an identity check
    • G07C9/37Individual registration on entry or exit not involving the use of a pass in combination with an identity check using biometric data, e.g. fingerprints, iris scans or voice recognition
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/38Individual registration on entry or exit not involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Lock And Its Accessories (AREA)

Abstract

本发明提出了一种基于门禁的安全增强方法和系统,所述方法包括以下步骤:由门禁读卡设备根据同步密钥指针从本地的n个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密随机数得到密文信息,将密文信息通过NFC通信链路发送给移动终端的门禁APP;门禁APP根据同步密钥指针从卡应用中的n个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密所述密文信息,得到明文信息并返回给门禁读卡设备;门禁读卡设备比对明文信息是否与随机数一致,如一致,继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁。本发明能够有效提升用户的便携性及门禁系统的安全性。

Description

一种基于门禁的安全增强方法和系统
技术领域
本发明涉及智能门锁技术领域,尤其涉及一种基于门禁的安全增强方法和系统。
背景技术
目前住户小区或办公场所的门禁系统种类繁多,包括简单的打卡系统,即用户随身携带内部具有用户标识的门卡,在进门时将门卡接近读卡器,若该门卡已被授权访问,则后台服务器将允许进入的信息发送给门禁系统,该门禁系统将安装有读卡器的门打开,以供用户进入,该方式存在的优点在于设备简单,用户进门的步骤也相对简单,缺点非常明显,那就是若门卡丢失,则任何捡到该门卡的人员都可以随意进入,对住户和办公安全都是很大的挑战。
基于上述,人们提出了采用手机来复制门禁卡的信息,并以复制卡的形式保存在手机钱包中,当需要打开门禁时,由手机与门禁读卡器进行NFC通信,由门禁读卡器读取手机钱包中的复制卡信息是否授权,如果是,则进行开启门禁。这种方式,虽然用户无需携带门卡,但是由于任何人均可以复制获取门卡信息,安全系数不高。
发明内容
基于上述,有必要提供一种基于门禁的安全增强方法和系统,不仅能够提升了用户的便携性,而且能够有效提升了门禁系统的安全性。
本发明第一方面提出一种基于门禁的安全增强方法,所述方法包括以下步骤:
步骤1,在移动终端下载安装门禁APP,并通过所述门禁APP向云平台注册登记用户信息,由门禁读卡设备向所述云平台登记自身的设备标识信息;
步骤2,由所述云平台建立所述用户信息与所述设备标识信息之间的绑定关系,并基于绑定关系生成AID和PIN码,并将所述AID和所述PIN码分别发送给所述移动终端的门禁APP和所述门禁读卡设备,由所述移动终端的门禁APP基于接收到的AID生成卡应用,并将PIN码存储在卡应用中;
步骤3,由所述云平台生成种子密钥,并根据管理需求设定所述种子密钥的有效时间,同时拟定同步密钥指针;
步骤4,由所述云平台将所述种子密钥、所述种子密钥的有效时间和所述同步密钥指针发送给所述门禁读卡设备,并将所述种子密钥和所述同步密钥指针发送给所述移动终端的卡应用;
步骤5,所述移动终端的门禁APP和所述门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法,产生n个派生密钥,并进行本地存储;
步骤6,当所述移动终端靠近所述门禁读卡设备时,所述门禁读卡设备与所述移动终端基于相同的AID和PIN码建立NFC通信链路;
步骤7,由所述门禁读卡设备根据所述同步密钥指针从本地预存的n 个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过所述NFC通信链路发送给所述移动终端的门禁APP;
步骤8,所述移动终端的门禁APP根据所述同步密钥指针从卡应用中的n 个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密所述密文信息,得到明文信息并经所述NFC通信链路返回给所述门禁读卡设备;
步骤9,所述门禁读卡设备比对所述明文信息是否与随机数一致,如一致,则继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁操作。
本发明第二方面提供提出一种基于门禁的安全增强系统,所述系统包括移动终端、门禁读卡设备以及云平台,所述移动终端、所述门禁读卡设备分别与所述云平台进行网络通信,所述移动终端与所述门禁读卡设备进行近端通信;
所述移动终端,用于下载安装门禁APP,并通过门禁APP向云平台注册登记用户信息;
所述云平台,用于建立所述用户信息与所述门禁读卡设备的设备标识信息之间的绑定关系,并基于绑定关系生成AID和PIN码,并将所述AID和所述PIN码分别发送给所述移动终端的门禁APP和所述门禁读卡设备,由所述移动终端的门禁APP基于AID生成卡应用,并将PIN码存储在卡应用中;还用于生成种子密钥,并根据管理需求设定所述种子密钥的有效时间,同时拟定同步密钥指针;还用于将所述种子密钥、所述种子密钥的有效时间和所述同步密钥指针发送给所述门禁读卡设备,并将所述种子密钥和所述同步密钥指针发送给所述移动终端的卡应用;以使移动终端的门禁APP和门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法,产生n个派生密钥,并进行本地存储;
所述移动终端的门禁APP,用于根据所述同步密钥指针从卡应用中的n个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密来自所述门禁读卡设备的密文信息,得到明文信息并经所述NFC通信链路返回给门禁读卡设备;
所述门禁读卡设备,用于向所述云平台登记自身的设备标识信息;还用于当所述移动终端靠近时,与所述移动终端基于相同的AID和PIN码建立NFC通信链路;还用于在建立NFC通信链路后,根据所述同步密钥指针从本地的n个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过所述NFC通信链路发送给所述移动终端的门禁APP;还用于比对来自所述移动终端的明文信息是否与所述随机数一致,如一致,则继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁操作。
本发明通过将多个派生密钥基于同步指针方式在移动终端与门禁读卡设备之间进行密钥同步,进而基于同步的密钥进行门禁操作,整个操作过程中,用户无需携带传统的门禁卡,从而提升了用户的便携性。另外,本发明在相近时间内门禁操作的密钥不相同,即使他人窃取了全部的派生密钥,但由于缺乏同步指针或者指针不同步,无法实现正常门禁操作,有效防止他人通过窃取密钥进行重放攻击,进一步提升了门禁系统的安全性。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明一种基于门禁的安全增强方法的流程图;
图2示出了本发明一种基于门禁的安全增强系统的框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
实施例1
如图1所示,本发明提出一种基于门禁的安全增强方法,所述方法包括以下步骤:
步骤1,在移动终端下载安装门禁APP,并通过所述门禁APP向云平台注册登记用户信息,由门禁读卡设备向所述云平台登记自身的设备标识信息;
步骤2,由所述云平台建立所述用户信息与所述设备标识信息之间的绑定关系,并基于绑定关系生成AID和PIN码,并将所述AID和所述PIN码分别发送给所述移动终端的门禁APP和所述门禁读卡设备,由所述移动终端的门禁APP基于接收到的AID生成卡应用,并将PIN码存储在卡应用中;
步骤3,由所述云平台生成种子密钥,并根据管理需求设定所述种子密钥的有效时间,同时拟定同步密钥指针;
步骤4,由所述云平台将所述种子密钥、所述种子密钥的有效时间和所述同步密钥指针发送给所述门禁读卡设备,并将所述种子密钥和所述同步密钥指针发送给所述移动终端的卡应用;
步骤5,所述移动终端的门禁APP和所述门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法,产生n个派生密钥,并进行本地存储;
步骤6,当移动终端靠近所述门禁读卡设备时,所述门禁读卡设备与所述移动终端基于相同的AID和PIN码建立NFC通信链路;
步骤7,由所述门禁读卡设备根据所述同步密钥指针从本地的n 个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过所述NFC通信链路发送给所述移动终端的门禁APP;
步骤8,所述移动终端的门禁APP根据所述同步密钥指针从卡应用中的n 个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密所述密文信息,得到明文信息并返回给门禁读卡设备;
步骤9,所述门禁读卡设备比对接收到的明文信息是否与所述随机数(步骤7生成的随机数)一致,如一致,则继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁操作。
通常,门禁读卡设备在出厂或交付客户时,则需要向云平台登记自己的设备标识信息;如果用户需要请求打开门禁,则由用户向云平台发送请求信息,所述请求信息至少包括用户信息以及需要打开的门禁读卡设备标识信息,稍后由云平台进行审核,如果审核通过,则建立二者的绑定关系。
可以理解,在酒店、宾馆、公寓等场所,根据需求只需要对用户开启有效时间的门禁权限,如在入住期间内有效,因此,本发明通过设定种子密钥的有效时间,以实现门禁在时间维度的安全管理。
需要说明的是,由于所述云平台是基于用户信息与设备标识信息建立绑定关系,并基于绑定关系生成AID和PIN码的;那么,不同的用户信息与同一设备标识信息能够建立多对一的绑定关系,在多个用户共同管理使用同一门禁读卡设备的情况下,由所述云平台对应生成多组AID、PIN码、种子密钥、种子密钥的有效时间和同步密钥指针,将每组AID、PIN码、种子密钥和同步密钥指针发送给(与用户信息对应的)对应移动终端的门禁APP,并将多组AID、PIN码、种子密钥、种子密钥的有效时间和同步密钥指针发送给同一门禁读卡设备;
因此,本发明通过设置不同的用户信息与同一设备标识信息之间多对一的绑定关系,能够实现同一门禁在不同移动终端的门禁APP之间的安全管理。
可以理解,在建立多对一的绑定关系后,门禁读卡设备内预存多组门禁管理信息:AID、PIN码、种子密钥、种子密钥的有效时间和同步密钥指针,多组门禁管理信息对应多个移动终端的门禁APP,不同组的门禁管理信息中的种子密钥、种子密钥的有效时间和同步密钥指针可以不同,以保证不同移动终端的门禁APP在共同管理使用同一门禁时,互不影响。
进一步的,所述步骤6中,所述门禁读卡设备与所述移动终端基于AID和PIN码建立NFC通信链路时,执行:
所述门禁读卡设备基于AID生成适配请求信息,并传输至所述移动终端;其中,所述适配请求信息包括AID;
所述移动终端遍历本地卡包,找寻与所述适配请求信息中的AID相一致的卡应用;
在接收到所述移动终端找寻到对应卡应用的响应消息后,所述门禁读卡设备向所述移动终端发送PIN验证指令;其中,所述PIN验证指令包括PIN码;
在所述移动终端对应卡应用接收到PIN验证指令后,比对所述PIN验证指令中的PIN码与预存的PIN码是否一致,如果一致,则返回验证通过信息。
可以理解,所述AID为卡应用的标识ID,由于移动终端的卡包中可能存储有多个卡应用,不同卡应用持有不同的AID,基于当前的门禁读卡设备去移动终端遍历读取相同AID的卡应用,如果读取到,则继续进行后续PIN码验证,如果未读取到,则反馈读取失败信息。
需要说明的是,在不同移动终端的门禁APP在共同管理使用同一门禁时,不同组的门禁管理信息中的AID和PIN码是不同的;
由于所述门禁读卡设备中可能预先存储多个AID,在所述门禁读卡设备基于AID生成适配请求信息时,所述门禁读卡设备可根据以下方式获得所需的AID:
当移动终端靠近所述门禁读卡设备时,所述移动终端基于NFC通信功能与所述门禁读卡设备近场通信,所述门禁读卡设备读取来自移动终端的设备标识(或者NFC标识),基于预存的移动终端的设备标识(或者NFC标识)与门禁管理信息之间的映射关系,查找对应AID。
进一步的,在所述步骤9之后,所述方法还包括以下步骤:
所述门禁读卡设备发送门禁成功打开信息给所述移动终端后,更新本地的同步密钥指针到下一个指针;
在所述移动终端接收到所述门禁成功打开信息后,更新本地的同步密钥指针到下一个指针,以使所述门禁读卡设备更新后的同步密钥指针与所述移动终端更新后的同步密钥指针保持一致。
需要说明的是,在不同移动终端的门禁APP在共同管理使用同一门禁时,不同组的门禁管理信息中的同步密钥指针可以是不同的,保证同一移动终端的门禁APP与门禁读卡设备对应的门禁管理信息中的同步密钥指针,在更新前保持一致,并更新后保持一致即可。
进一步的,所述同步密钥指针呈现钟表状,且移动终端与门禁读卡设备的初始指针位置相同;预设指针数量为m个,m个指针分别对应不同的派生密钥,且m小于等于n,m个指针周期性轮询n个派生密钥。
可以理解,所述同步密钥指针用于指向某个派生密钥的存储位置。
需要说明的是,所述移动终端的门禁APP和所述门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法(或者密钥派生函数),派生n个相同的派生密钥;在双方同步密钥指针相同时,步骤7中的第一实时开锁密钥与步骤8中的第二实时开锁密钥相同;因此,本发明在移动终端靠近门禁读卡设备时,能够快速且安全地实现离线门禁认证,提升用户体验。
进一步的,所述步骤9,还包括以下步骤:
如果判定对应的种子密钥超出有效时间,则反馈门禁失效信息给移动终端。
具体的,所述移动终端可以为手机端、智能手表或者其他可安装门禁APP、具备NFC通信功能的便携式设备。
实施例2
在实施例1的基础上,本实施例给出一种基于门禁的安全增强系统的具体实施方式,如图2所示;
所述基于门禁的安全增强系统包括移动终端、门禁读卡设备以及云平台,所述移动终端、所述门禁读卡设备分别与所述云平台进行网络通信,所述移动终端与所述门禁读卡设备进行近端通信;
所述移动终端,用于下载安装门禁APP,并通过门禁APP向云平台注册登记用户信息;
所述云平台,用于建立所述用户信息与所述门禁读卡设备的设备标识信息之间的绑定关系,并基于绑定关系生成AID和PIN码,并将所述AID和PIN码分别发送给所述移动终端的门禁APP和所述门禁读卡设备,由所述移动终端的门禁APP基于AID生成卡应用,并将PIN码存储在卡应用中;还用于生成种子密钥,并根据管理需求设定所述种子密钥的有效时间,同时拟定同步密钥指针;还用于将所述种子密钥、所述种子密钥的有效时间和所述同步密钥指针发送给所述门禁读卡设备,并将所述种子密钥和所述同步密钥指针发送给所述移动终端的卡应用;以使所述移动终端的门禁APP和所述门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法,产生n个相同的派生密钥,并进行本地存储;
所述移动终端的门禁APP,用于根据所述同步密钥指针从卡应用中的n个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密来自所述门禁读卡设备的密文信息,得到明文信息并经所述NFC通信链路返回给门禁读卡设备;
所述门禁读卡设备,用于向所述云平台登记自身的设备标识信息;还用于当所述移动终端靠近时,与所述移动终端基于相同的AID和PIN码建立NFC通信链路;还用于根据所述同步密钥指针从本地的n个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过所述NFC通信链路发送给所述移动终端的门禁APP;还用于比对来自所述移动终端的明文信息是否与所述随机数一致,如一致,则继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁操作。
需要说明的是,当移动终端靠近门禁读卡设备,门禁读卡设备与移动终端基于相同的AID和PIN码建立移动终端与门禁读卡设备之前的NFC通信链路;由门禁读卡设备根据所述同步密钥指针从本地的n个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用所述第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过NFC通信链路发送给移动终端的门禁APP;移动终端的门禁APP根据相同的同步密钥指针从卡应用中的n个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用所述第二实时开锁密钥解密所述密文信息,得到明文信息并返回给门禁读卡设备;门禁读卡设备比对所述明文信息是否与所述随机数一致,如一致,继续判断对应的种子密钥是否超出有效时间,如果否,则打开门禁。
进一步的,在所述门禁读卡设备与所述移动终端基于相同的AID和PIN码建立NFC通信链路时,
所述门禁读卡设备,具体用于:基于AID生成适配请求信息,并传输至所述移动终端;在接收到所述移动终端找寻到对应卡应用的响应消息后,向所述移动终端发送PIN验证指令;其中,所述适配请求信息包括AID,所述PIN验证指令包括PIN;
所述移动终端,具体用于:遍历本地卡包,找寻与适配请求信息中的AID相一致的卡应用;在移动终端对应卡应用接收到PIN验证指令后,比对所述PIN验证指令中的PIN码与预存的PIN码是否一致,如果一致,则返回验证通过信息。
进一步的,在执行打开门禁操作之后,
所述门禁读卡设备,还用于:发送门禁成功打开信息给移动终端,并更新本地的同步密钥指针到下一个指针;
所述移动终端,还用于:在接收到所述门禁成功打开信息后,更新本地的同步密钥指针到下一个指针,以使所述门禁读卡设备更新后的同步密钥指针与所述移动终端更新后的同步密钥指针保持一致。
进一步的,所述同步密钥指针呈现钟表状,且移动终端与门禁读卡设备的初始指针位置相同;预设指针数量为m个,m个指针分别对应不同的派生密钥,且m小于等于n,m个指针周期性轮询n个派生密钥。
本发明通过将多个派生密钥基于同步指针方式在移动终端与门禁读卡设备之间进行密钥同步,进而基于同步的密钥进行门禁操作,整个操作过程中,用户无需携带传统的门禁卡,从而提升了用户的便携性。另外,本发明一次一密,即使在相近时间内进行门禁操作所采用的实时开锁密钥也不相同,即使他人窃取了全部的派生密钥,但由于缺乏了同步指针或者指针不同步,也无法实现正常门禁操作,能够有效防止他人通过窃取密钥进行重放攻击,进一步提升了门禁系统的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (9)

1.一种基于门禁的安全增强方法,其特征在于,包括以下步骤:
步骤1,在移动终端下载安装门禁APP,并通过所述门禁APP向云平台注册登记用户信息,由门禁读卡设备向所述云平台登记自身的设备标识信息;
步骤2,由所述云平台建立所述用户信息与所述设备标识信息之间的绑定关系,并基于绑定关系生成AID和PIN码,并将所述AID和所述PIN码分别发送给所述移动终端的门禁APP和所述门禁读卡设备,由所述移动终端的门禁APP基于AID生成卡应用,并将PIN码存储在卡应用中;
步骤3,由所述云平台生成种子密钥,并根据管理需求设定所述种子密钥的有效时间,同时拟定同步密钥指针;
步骤4,由所述云平台将所述种子密钥、所述种子密钥的有效时间和所述同步密钥指针发送给所述门禁读卡设备,并将所述种子密钥和所述同步密钥指针发送给所述移动终端的卡应用;
步骤5,所述移动终端的门禁APP和所述门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法,产生n个派生密钥,并进行本地存储;
步骤6,当所述移动终端靠近所述门禁读卡设备时,所述门禁读卡设备与所述移动终端基于AID和PIN码建立NFC通信链路;
步骤7,由所述门禁读卡设备根据所述同步密钥指针从本地预存的n个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过所述NFC通信链路发送给所述移动终端的门禁APP;
步骤8,所述移动终端的门禁APP根据所述同步密钥指针从卡应用中的n个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密所述密文信息,得到明文信息并经所述NFC通信链路返回给所述门禁读卡设备;
步骤9,所述门禁读卡设备比对所述明文信息是否与随机数一致,如一致,则继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁操作。
2.根据权利要求1所述的基于门禁的安全增强方法,其特征在于,所述步骤6中,所述门禁读卡设备与所述移动终端基于AID和PIN码建立NFC通信链路时,执行:
所述门禁读卡设备基于AID生成适配请求信息,并传输至所述移动终端;
所述移动终端遍历本地卡包,找寻与所述适配请求信息中的AID相一致的卡应用;
在接收到所述移动终端找寻到对应卡应用的响应消息后,所述门禁读卡设备向所述移动终端发送PIN验证指令;
在所述移动终端对应卡应用接收到PIN验证指令后,比对所述PIN验证指令中的PIN码与预存的PIN码是否一致,如果一致,则返回验证通过信息。
3.根据权利要求1所述的基于门禁的安全增强方法,其特征在于,在所述步骤9之后,所述方法还包括以下步骤:
所述门禁读卡设备发送门禁成功打开信息给所述移动终端后,更新本地的同步密钥指针到下一个指针;
在所述移动终端接收到所述门禁成功打开信息后,更新本地的同步密钥指针到下一个指针,以使所述门禁读卡设备更新后的同步密钥指针与所述移动终端更新后的同步密钥指针保持一致。
4.根据权利要求1所述的基于门禁的安全增强方法,其特征在于,所述同步密钥指针呈现钟表状,且所述移动终端与所述门禁读卡设备的初始指针位置相同;预设指针数量为m个,m个指针分别对应不同的派生密钥,且m小于等于n,m个指针周期性轮询n个派生密钥。
5.根据权利要求1所述的基于门禁的安全增强方法,其特征在于,所述步骤9,还包括以下步骤:
如果判定对应的种子密钥超出有效时间,则反馈门禁失效信息给所述移动终端。
6.一种基于门禁的安全增强系统,其特征在于,包括移动终端、门禁读卡设备以及云平台,所述移动终端、所述门禁读卡设备分别与所述云平台进行网络通信,所述移动终端与所述门禁读卡设备进行近端通信;
所述移动终端,用于下载安装门禁APP,并通过门禁APP向云平台注册登记用户信息;
所述云平台,用于建立所述用户信息与所述门禁读卡设备的设备标识信息之间的绑定关系,并基于绑定关系生成AID和PIN码,并将所述AID和所述PIN码分别发送给所述移动终端的门禁APP和所述门禁读卡设备,由所述移动终端的门禁APP基于AID生成卡应用,并将PIN码存储在卡应用中;还用于生成种子密钥,并根据管理需求设定所述种子密钥的有效时间,同时拟定同步密钥指针;还用于将所述种子密钥、所述种子密钥的有效时间和所述同步密钥指针发送给所述门禁读卡设备,并将所述种子密钥和所述同步密钥指针发送给所述移动终端的卡应用;以使移动终端的门禁APP和门禁读卡设备分别基于相同的种子密钥和相同的密钥派生算法,产生n个派生密钥,并进行本地存储;
所述移动终端的门禁APP,用于根据所述同步密钥指针从卡应用中的n个派生密钥中提取出一个派生密钥作为第二实时开锁密钥,采用第二实时开锁密钥解密来自所述门禁读卡设备的密文信息,得到明文信息并经所述NFC通信链路返回给门禁读卡设备;
所述门禁读卡设备,用于向所述云平台登记自身的设备标识信息;还用于当所述移动终端靠近时,与所述移动终端基于相同的AID和PIN码建立NFC通信链路;还用于根据所述同步密钥指针从本地的n个派生密钥中提取出一个派生密钥作为第一实时开锁密钥,产生随机数,并采用第一实时开锁密钥加密所述随机数得到密文信息,然后将所述密文信息通过所述NFC通信链路发送给所述移动终端的门禁APP;还用于比对来自所述移动终端的明文信息是否与所述随机数一致,如一致,则继续判断对应的种子密钥是否超出有效时间,如果否,则执行打开门禁操作。
7.根据权利要求6所述的基于门禁的安全增强系统,其特征在于,在所述门禁读卡设备与移动终端基于AID和PIN码建立NFC通信链路时,
所述门禁读卡设备,具体用于:基于AID生成适配请求信息,并传输至所述移动终端;在接收到所述移动终端找寻到对应卡应用的响应消息后,向所述移动终端发送PIN验证指令;
所述移动终端,具体用于:遍历本地卡包,找寻与适配请求信息中的AID相一致的卡应用;在移动终端对应卡应用接收到PIN验证指令后,比对所述PIN验证指令中的PIN码与预存的PIN码是否一致,如果一致,则返回验证通过信息。
8.根据权利要求6所述的基于门禁的安全增强系统,其特征在于,在执行打开门禁操作之后,
所述门禁读卡设备,还用于:发送门禁成功打开信息给移动终端,并更新本地的同步密钥指针到下一个指针;
所述移动终端,还用于:在接收到所述门禁成功打开信息后,更新本地的同步密钥指针到下一个指针,以使所述门禁读卡设备更新后的同步密钥指针与所述移动终端更新后的同步密钥指针保持一致。
9.根据权利要求6所述的基于门禁的安全增强系统,其特征在于,所述同步密钥指针呈现钟表状,且移动终端与门禁读卡设备的初始指针位置相同;预设指针数量为m个,m个指针分别对应不同的派生密钥,且m小于等于n,m个指针周期性轮询n个派生密钥。
CN202210527673.7A 2022-05-16 2022-05-16 一种基于门禁的安全增强方法和系统 Active CN115085911B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210527673.7A CN115085911B (zh) 2022-05-16 2022-05-16 一种基于门禁的安全增强方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210527673.7A CN115085911B (zh) 2022-05-16 2022-05-16 一种基于门禁的安全增强方法和系统

Publications (2)

Publication Number Publication Date
CN115085911A true CN115085911A (zh) 2022-09-20
CN115085911B CN115085911B (zh) 2025-01-14

Family

ID=83248155

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210527673.7A Active CN115085911B (zh) 2022-05-16 2022-05-16 一种基于门禁的安全增强方法和系统

Country Status (1)

Country Link
CN (1) CN115085911B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116994364A (zh) * 2023-08-29 2023-11-03 深圳市亲邻科技有限公司 一种门禁无卡数据载入交互方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102415103A (zh) * 2009-02-24 2012-04-11 超越宽带技术有限公司 用于单向受限接入的有线电视安全通信系统
CN109272609A (zh) * 2018-08-19 2019-01-25 天津新泰基业电子股份有限公司 一种cpu安全门禁控制方法及系统
US20190260589A1 (en) * 2017-07-13 2019-08-22 Shenzhen GOODIX Technology Co., Ltd. Identity validity verification method, apparatus and system
CA3122951A1 (en) * 2020-06-18 2021-12-18 Royal Bank Of Canada System and method for electronic credential tokenization
CN113821835A (zh) * 2021-11-24 2021-12-21 飞腾信息技术有限公司 密钥管理方法、密钥管理装置和计算设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102415103A (zh) * 2009-02-24 2012-04-11 超越宽带技术有限公司 用于单向受限接入的有线电视安全通信系统
US20190260589A1 (en) * 2017-07-13 2019-08-22 Shenzhen GOODIX Technology Co., Ltd. Identity validity verification method, apparatus and system
CN109272609A (zh) * 2018-08-19 2019-01-25 天津新泰基业电子股份有限公司 一种cpu安全门禁控制方法及系统
CA3122951A1 (en) * 2020-06-18 2021-12-18 Royal Bank Of Canada System and method for electronic credential tokenization
CN113821835A (zh) * 2021-11-24 2021-12-21 飞腾信息技术有限公司 密钥管理方法、密钥管理装置和计算设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116994364A (zh) * 2023-08-29 2023-11-03 深圳市亲邻科技有限公司 一种门禁无卡数据载入交互方法

Also Published As

Publication number Publication date
CN115085911B (zh) 2025-01-14

Similar Documents

Publication Publication Date Title
US11070364B2 (en) Secure communication method and smart lock system based thereof
CN109272606B (zh) 一种基于区块链的智能锁监管设备、方法及存储介质
US8559642B2 (en) Cryptographic communication with mobile devices
CN1323538C (zh) 一种动态身份认证方法和系统
KR101242122B1 (ko) 스마트 폰을 이용하여 원격으로 도어락 장치를 제어하는 방법 및 그 도어락 장치
US20180359635A1 (en) Securitization of Temporal Digital Communications Via Authentication and Validation for Wireless User and Access Devices
CN103227776A (zh) 配置方法、配置设备、计算机程序产品和控制系统
CN106504391A (zh) 一种智能门禁的控制方法、装置及系统
CN105099690A (zh) 一种移动云计算环境下基于otp和用户行为的认证授权方法
CN110992532B (zh) 一种智能门锁临时授权开锁方法及系统
CN104052817A (zh) 一种智能门以及一种智能门控制方法和系统
CN107146307A (zh) 一种智能锁系统的安全开锁方法
CN103886661A (zh) 门禁管理方法及系统
CN107221061A (zh) 一种智能锁的密码管理方法
CN108460862A (zh) 用掌纹认证和手机控制锁具的方法及电子锁具、锁具系统
CN109035515A (zh) 智能锁的控制方法及门锁系统
Liao et al. Toward authenticating the master in the modbus protocol
CN112102524A (zh) 开锁方法和开锁系统
CN114170709B (zh) 基于物联网的款箱管理方法和系统
JP3139483B2 (ja) パーソナル通信システム及びその通信方法
CN112037383B (zh) 一种智能门锁及其权限判定方法和应用系统
CN116783633A (zh) 具有安全中继的物理访问控制系统
CN115085911A (zh) 一种基于门禁的安全增强方法和系统
KR20080087917A (ko) 일회용 비밀번호 생성방법과 키 발급 시스템 및 일회용비밀번호 인증 시스템
CN114827998B (zh) 一种基于加密芯片的卫星终端入网鉴权装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant