CN104376631B - 一种基于商用密码算法的安全门禁系统的实现方法 - Google Patents
一种基于商用密码算法的安全门禁系统的实现方法 Download PDFInfo
- Publication number
- CN104376631B CN104376631B CN201410751444.9A CN201410751444A CN104376631B CN 104376631 B CN104376631 B CN 104376631B CN 201410751444 A CN201410751444 A CN 201410751444A CN 104376631 B CN104376631 B CN 104376631B
- Authority
- CN
- China
- Prior art keywords
- module
- card
- business
- close
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000005764 inhibitory process Effects 0.000 claims abstract description 145
- 230000008569 process Effects 0.000 claims abstract description 30
- 238000012795 verification Methods 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 24
- 238000007726 management method Methods 0.000 claims description 24
- 239000006185 dispersion Substances 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013073 enabling process Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Lock And Its Accessories (AREA)
Abstract
本发明公开了一种基于商用密码算法的安全门禁系统及其实现方法,通过在门禁系统控制中实现安全的发卡过程和三级双向刷卡认证过程,从根本上解决了现有门禁系统存在的容易被破解和复制的安全隐患,满足了国内重要门禁安全安全保密性的需要,可以广泛应用于政府机关、军事、金融、电信等各个行业中的重要部门部位。
Description
技术领域
本发明涉及门禁系统领域,具体涉及一种基于商用密码算法的安全门禁系统及其实现方法。
背景技术
目前我国90%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号来制作门禁卡,采用ID和IC卡的只读特性进行身份识别使用,没有进行加密认证或开发专用的密钥,很少关注门禁卡片与门禁读卡器间的加密认证,缺少安全密钥体系的设计,而逻辑加密卡是很容易复制的载体,导致此类门禁很容易在极短时间内被破解和复制。非法破解的人士只需采用“门禁复制器”花几秒钟就能完成破解、复制甚至可以修改数据,安全防护能力完全丧失!
面对门禁市场,如此严峻的形式国家出台了相关政策加强门禁安全市场的政策引导,2009年国家工信部下发《关于做好应对部分IC卡出现严重安全漏洞工作的通知》对于日后门禁系统及一卡通系统在关键部门和机关禁止使用IC卡作为识别卡、计费卡,必须采用更高安全的CPU卡来实现。将带有密码算法的CPU卡应用到门禁系统中是当务之急。而且现在已有的市场上应用的CPU卡的密码门禁产品,在发卡环节无加密或是固定密钥加密,刷卡认证环节只有简单认证机制,还存在着较大的安全隐患。
有鉴于此,寻求一种基于商用密码算法的安全门禁系统成为该领域技术人员的追求目标,实现了门禁系统数据存储和传输的安全可靠性,满足重要部门对门禁高安全加密应用的需求,为门禁系统提供可靠性与安全性方面的保障,是解决现有门禁安全隐患的根本途径。
发明内容
本发明提供了一种基于商用密码算法的安全门禁系统及其实现方法,通过在门禁系统控制中实现安全的发卡过程和三级双向刷卡认证过程,从根本上解决了现有门禁系统存在的容易被破解和复制的安全隐患,满足了国内重要门禁安全安全保密性的需要,可以广泛应用于政府机关、军事、金融、电信等各个行业中的重要部门部位。
一种基于商用密码算法的安全门禁系统,所述安全门禁系统包括:门禁应用系统和密钥管理及发卡系统,所述门禁应用系统包括:商密安全门禁读卡器、商密安全门禁控制器和商密CPU卡;所述密钥管理及发卡系统包括:商密发卡器。
所述商密安全门禁读卡器包括:第一安全存取模块;所述商密安全门禁控制器包括:第二安全存取模块;所用商密CPU卡包括:第一密码模块;所述商密发卡器包括:第二密码模块。
所述第二密码模块将读卡器密钥注入到所述第一安全存取模块中;所述第二密码模块将控制器密钥注入到所述第二安全存取模块中;所述第二密码模块将卡片密钥注入到所述第一密码模块中。
所述第一密码模块与所述第一安全存取模块完成数据加密通信,所述第一安全存取模块将加密后的数据传输至所述第二安全存取模块,所述第二安全存取模块进行解密,将应答结果传输至所述第一安全存取模块,所述第一安全存取模块解密所述应答结果。
所述安全门禁系统还包括:商密门禁管理软件。所述商密门禁管理软件用于存储所述第二安全存取模块解密后的数据信息。
所述密钥管理及发卡系统还包括:门禁密钥管理系统。所述门禁密钥管理系统用于控制第二密码模块将相应的密钥注入到第一密码模块、第一安全存取模块和第二安全存取模块中。
所述第一安全存取模块、所述第二安全存取模块、所述第一密码模块和所述第二密码模块采用多种商用密码算法。
一种基于商用密码算法的安全门禁系统的实现方法,包括:所述商密安全门禁读卡器中的所述第一安全存取模块的发卡过程;所述商密安全门禁控制器中的所述第二安全存取模块的发卡过程;所述商密CPU卡中的所述第一密码模块的发卡过程,以及刷卡认证开门过程。
所述商密安全门禁读卡器中的所述第一安全存取模块发卡过程为:校验所述第二密码模块的PIN码,校验成功后,所述商密发卡器向所述第一安全存取模块获取模块标识和ID信息,并采用系统根密钥对所述模块标识和ID信息进行密钥分散,生成读卡器密钥,通过密码算法将所述读卡器密钥传输至所述第一安全存取模块。
所述商密门禁CPU卡的第一密码模块发卡过程为:校验所述第二密码模块的PIN码,校验成功后,所述商密发卡器向所述第一密码模块获取模块标识和ID信息,并采用系统根密钥对模块标识和ID信息进行密钥分散,生成卡片密钥,通过密码算法将所述卡片密钥安全传输至所述第一密码模块。
所述安全门禁系统的刷卡过程为:
(1)所述商密安全门禁读卡器读取所述第一密码模块的模块标识和ID信息,即为UID;
(2)所述商密安全门禁读卡器发送认证命令和随机数Ra至商密门禁CPU卡,所述商密门禁CPU卡验证认证命令成功后通过卡片密钥对随机数Ra进行加密运算,将加密的数据Ra'传输至商密安全门禁读卡器;
(3)商密安全门禁读卡器通过读卡器密钥分别对数据Ra'和UID进行加密运算,得到加密数据Rb和UID',并将Rb,UID'和DUID传输至商密安全门禁控制器;其中,DUID为所述第一安全存取模块的模块标识和ID信息;
(4)商密安全门禁控制器通过系统根密钥对DUID进行分散得到读卡器密钥,通过所述读卡器密钥对Rb和UID'进行解密,获取数据Rb'和UID,然后通过所述系统根密钥对UID分散得到卡片密钥,通过所述卡片密钥对数据Rb'进行解密,得到数据Rb'',比较数据Rb''与随机数Ra,如果一致,执行下一步,否则刷卡失败;
(5)商密安全门禁控制器对比UID是否为黑名单,如不是,则卡片合法。
本发明提供的技术方案的有益效果是:本发明安全门禁系统内部包含国家密码管理局指定SM1、SM2和SM3加密算法的密码模块,具有较高的商密安全等级,彻底解决现有门禁系统的安全隐患,可以有效保证重要门禁的安全;本安全门禁系统的商用密码模块采用模块化方式,实现了密码模块和门禁设备的分离存放和运输,便于对密码模块进行管理,有利于商用密码安全;本安全门禁系统在发卡过程采用非对称算法标准体制进行安全保护,实现了发卡环节的高安全性,保证了商用密码模块密钥的安全生成;在发卡阶段采用了密钥分散机制,实现了一卡一密,保证了商密门禁CPU卡的安全;本安全门禁系统在刷卡阶段采用了三级双向认证安全机制,提高了门禁卡到门禁读卡器和门禁控制器全线路的加密传输的安全等级。
附图说明
图1是本发明的一种基于商用密码算法的安全门禁系统的安全门禁系统组成框图;
图2是本发明中安全门禁系统的商密安全读卡器中的SAM模块发放流程图;
图3是本发明中安全门禁系统的商密安全控制器中的SAM模块发放流程图;
图4是本发明中安全门禁系统的商密门禁CPU卡发卡流程图;
图5是本发明中安全门禁系统的刷卡认证工作流程图。
附图中,各标号所代表的部件列表如下:
1:门禁应用系统; 2:密钥管理及发卡系统;
11:商密安全门禁读卡器; 12:商密安全门禁控制器;
13:商密CPU卡; 14:商密门禁管理软件;
21:商密发卡器; 22:门禁密钥管理系统;
111:第一天线模块; 112:第一射频接口模块:
113:第一主控芯片; 114:第一SAM模块;
115:第一通信接口模块; 121:第二主控芯片;
122:第二SAM模块; 123:门禁执行模块;
124:第二通信接口模块; 125:第一数据接口模块;
131:第二天线模块; 132:第二射频接口模块;
133:第三主控芯片; 134:第一密码模块;
211:第三天线模块; 212:第三射频接口模块;
213:第四主控芯片; 214:第二密码模块;
215:第三通信接口模块; 216:第二数据接口模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面对本发明实施方式作进一步地详细描述。
实施例1
为了保证门禁系统的安全可靠,本发明实施例提供了一种基于商用密码算法的安全门禁系统,参见图1,该安全门禁系统包括:门禁应用系统1和密钥管理及发卡系统2。
门禁应用系统1包括:商密安全门禁读卡器11、商密安全门禁控制器12、商密CPU卡13和商密门禁管理软件14。
密钥管理及发卡系统2包括:商密发卡器21和门禁密钥管理系统22。
商密安全门禁读卡器11包括:第一天线模块111、第一射频接口模块112、第一主控芯片113、第一SAM(安全存取)模块114和第一通信接口模块115。
第一主控芯片113分别与第一射频接口模块112、第一SAM模块114和第一通信接口模块115相连。第一SAM模块114具有多种商用密码算法(例如:SM1/SM2/SM3算法);第一通信接口模块115与商密安全门禁控制器12通信;第一射频接口模块112连接第一天线模块111。第一射频接口模块112负责第一主控芯片113和商密CPU卡13之间射频通信。第一通信接口模块115接口方式不限,本方案中采用RS485实现。
商密安全门禁控制器12包括:第二主控芯片121、第二SAM模块122、门禁执行模块123、第二通信接口模块124和第一数据接口模块125。
第二主控芯片121分别与第二SAM模块122、门禁执行模块123、第二通信接口模块124和第一数据接口模块125相连。第二SAM模块122具有多种商用密码算法(例如:SM1/SM2/SM3算法);第二通信接口模块124与商密安全门禁读卡器11通信;第一数据接口模块125与商密门禁管理软件14数据通信;第二通信接口模块124连接商密安全门禁读卡器11的第一通信接口模块115,第二通信接口模块124接口方式不限,本方案中采用RS485实现。第一数据接口模块125接口方式不限,本方案中采用RJ45接口实现。门禁执行模块123包括门锁控制部分、联动控制部分、声光告警部分和防拆保护部分(该四部分为本领域技术人员所公知,在此不再赘述)。
商密CPU卡13,它是一种非接触式CPU卡,包括:第二天线模块131、第二射频接口模块132、第三主控芯片133和第一密码模块134。第三主控芯片133分别与第二射频接口模块132和第一密码模块134相连。第一密码模块134具有多种商用密码算法(例如:SM1/SM2/SM3算法);第二射频接口模块132连接第二天线模块131。卡内存放发行信息及采用国家密码管理局制定的SM1、SM2和SM3商用密码算法进行密钥分散产生的卡片密钥,实现一卡一密。
商密发卡器21包括:第三天线模块211、第三射频接口模块212、第四主控芯片213、第二密码模块214、第三通信接口模块215和第二数据接口模块216。
第四主控芯片213分别与第三射频接口模块212、第二密码模块214和第三通信接口模块215相连。第二密码模块214具有多种商用密码算法(例如:SM1/SM2/SM3算法);第三通信接口模块215与商密安全门禁读卡器11的第一SAM模块114通信或商密安全门禁控制器12的第二SAM模块122通信;第二数据接口模块216与门禁密钥管理系统22数据通信;第三射频接口模块212连接第三天线模块211。第三射频接口模块212负责第四主控芯片213和商密CPU卡13之间射频通信。
对于商密安全门禁读卡器11、商密安全门禁控制器12和商密安全门禁发卡器21中最重要的核心模块就是第一主控芯片113、第二主控芯片121和第四主控芯片213。芯片是核心器件,选用ARM7芯片完成,具有512K Falsh/256KRAM,内置多种多路通信接口,装载开发的门禁系统相关程序,在这些程序的控制下,管理门禁系统的各个部件。
上面所提及的第一密码模块134、第二密码模块214、第一SAM模块114和第二SAM模块122都包含商用密码算法,含有国家密码管理局指定SM1、SM2和SM3商用密码算法,SM1密码算法是国家密码管理局审批的对称密码算法,分组长度为128比特,密钥长度为128比特。SM2密码算法是国家密码管理局审批的非对称密码算法,密钥长度为256比特。SM3密码算法是国家密码管理局审批的杂凑算法。
具有商用密码算法的第一SAM模块114和第二SAM模块122都采用模块化结构形式,可以方便地安装和拆卸,使商用密码安全存取模块便于和门禁终端分离存放和运输,有利于保护商用密码安全。
所有的加密运算及认证都是由安装在商密安全门禁读卡器11的第一SAM模块114和商密安全门禁控制器12的第二SAM模块122中进行运算的。第一SAM模块114和第二SAM模块122都支持标准国密SM1算法,并可以根据密钥长度自动选择算法,具有明文与校验和、密文、密文加校验和三种方式的数据和密钥线路保护功能。
第二密码模块214将读卡器密钥注入到第一SAM模块114中;第二密码模块214将控制器密钥注入到第二SAM模块122中;第二密码模块214将卡片密钥注入到第一密码模块134中。
第一密码模块134与第一SAM模块114完成数据加密通信,第一SAM模块114将加密后的数据传输至第二SAM模块122,第二SAM模块122进行解密,将应答结果传输至第一SAM模块114,第一SAM模块114解密应答结果。
商密门禁管理软件14用于存储第二SAM模块122解密后的数据信息。
门禁执行模块123是门禁终端各种控制功能的实施部件,在MCU程序的控制下,根据预定的条件,通过MCU的输入、输出接口驱动各种输入输出部件完成各种门禁功能,包括门禁开关、信号输入功能、蜂鸣器告警功能、消防联动功能等等。
门禁密钥管理系统22用于控制第二密码模块214将相应的密钥注入到第一密码模块134、第一SAM模块114和第二SAM模块122。
实施例2
为了解决安全门禁系统的实现,本发明实施例提供了一种基于商用密码算法的安全门禁系统的实现方法,详见下文描述:
参看图1和图2,商密安全门禁读卡器11中的第一SAM模块114发卡过程为:门禁密钥管理系统22使用商密发卡器21对商密安全门禁读卡器11中第一SAM模块114进行发卡。发卡时,首先需要校验商密发卡器21中第二密码模块214的PIN码,校验PIN码成功后,商密发卡器21向商密安全门禁读卡器11中第一SAM模块114获取模块标识和ID信息(下文统一将商密安全门禁读卡器11相应的模块标示和ID信息用符号DUID表示),并采用系统根密钥对其进行密钥分散,生成读卡器密钥,最后在SM2和SM3算法安全保护下将读卡器密钥安全传送到商密安全门禁读卡器11中第一SAM模块114中。
本发明的安全门禁系统实现方法中的商密安全门禁读卡器11中第一SAM模块114发卡流程步骤如下:
(1)发卡操作人员给商密发卡器21上电,连接商密发卡器21的第二密码模块214,如果连接成功继续下一步,否则继续执行步骤(1);
(2)连接商密安全门禁读卡器11中使用的第一SAM模块114,如果连接成功继续下一步,否则继续执行步骤(1);
(3)发卡操作人员进行第一SAM模块114的初始化,如果初始化成功继续下一步,否则发卡过程结束,退出发卡;
(4)发卡操作人员校验商密发卡器21中第二密码模块214的PIN码,验证正确则继续下一步,否则发卡过程结束,退出发卡;
(5)商密发卡器21获取商密安全门禁读卡器11中第一SAM模块114中的模块标识和ID信息;
(6)DUID在商用密码算法安全保护下安全导入到商密发卡器21的第二密码模块214中;
(7)商密发卡器21对DUID进行密钥分散,生成读卡器密钥;
(8)商密发卡器21在商用密码算法安全保护下将读卡器密钥安全传送到商密安全门禁读卡器11中第一SAM模块114中;
(9)发卡流程结束,退出发卡。
参看图1和图3,商密安全门禁控制器12中的第二SAM模块122发卡过程与商密安全门禁读卡器11中的第一SAM模块114发卡过程类似,在此不予赘述。
参看图1和图4,商密门禁CPU卡13的第一密码模块134发卡过程为:门禁密钥管理系统22使用商密发卡器14对商密门禁CPU卡13的第一密码模块134进行发卡。发卡时,首先需要校验商密发卡器21中第二密码模块214的PIN码,校验PIN码成功后,商密发卡器21向商密门禁CPU卡13的第一密码模块134获取模块标识和ID信息(下文统一将商密门禁CPU卡13的第一密码模块134相应的模块标示和ID信息用符号UID表示),并采用系统根密钥对其进行密钥分散,生成卡片密钥,最后在商用密码算法安全保护下将卡片密钥安全传送到商密门禁CPU卡13的第一密码模块134中。
本发明的安全门禁系统实现方法中的商密门禁CPU卡13的第一密码模块134发卡流程如下:
(1)发卡操作人员给商密发卡器21上电,连接商密发卡器21的第二密码模块214,如果成功继续下一步,否则继续执行步骤(1);
(2)在商密发卡器21的射频感应区放上商密门禁CPU卡13的第一密码模块134,如果连接成功继续下一步,否则继续执行步骤(1);
(3)对商密门禁CPU卡13的第一密码模块134进行卡片初始化,如果初始化成功继续下一步,否则发卡过程结束,退出发卡;
(4)发卡操作人员校验商密发卡器21中第二密码模块214的PIN码,验证正确则继续下一步,否则发卡过程结束,退出发卡;
(5)商密发卡器21获取商密门禁CPU卡13的第一密码模块134的模块标识和ID信息;
(6)UID在商用密码算法安全保护下安全导入到商密发卡器21的第二密码模块214中;
(7)商密发卡器21对UID进行密钥分散,生成卡片密钥;
(8)商密发卡器21在商用密码算法安全保护下将卡片密钥安全传送到商密门禁CPU卡13的第一密码模块134中;
(9)发卡流程结束,退出发卡。
参看图1和图5,安全门禁系统的刷卡过程为:系统上电后,设备完成相应的初始化动作,包括商密安全门禁控制器12项向商密安全门禁读卡器11发送刷卡认证中需要使用的随机数Ra。在用户在商密安全门禁读卡器11上完成刷卡后,商密安全门禁控制器12接收到商密安全门禁读卡器11的传输的商密门禁CPU卡13的信息,判断产生该信息的商密门禁CPU卡13是否合法,如合法,商密安全门禁控制器12将触发控制电锁的继电器,打开门,否则判断为非法,拒绝开门。
本发明的安全门禁系统实现方法中的刷卡认证开门流程步骤如下:
(1)商密安全门禁读卡器11读取商密门禁CPU卡13的第一密码模块的模块标识和ID信息,即为UID;
(2)商密安全门禁读卡器11发送认证命令给商密门禁CPU卡13,将随机数Ra发送给商密门禁CPU卡13,商密门禁CPU卡13验证认证命令成功后,用存在卡片内的卡片密钥Keyc对该随机数Ra用SM1密码算法做加密运算,得到加密之后的数据Ra'并传输至商密安全门禁读卡器11;
(3)商密安全门禁读卡器11内部用存在商密安全门禁读卡器11中第一SAM模块114内的读卡器密钥Keyd分别对数据Ra'和UID用SM1密码算法做加密运算,得到加密数据Rb,UID',并将Rb,UID'和DUID上传给商密安全门禁控制器12,其中DUID为商密安全门禁读卡器11的第一SAM模块114的模块标识和ID信息;
(4)商密安全门禁控制器12首先利用商密安全门禁读卡器11的DUID作为分散因子,利用保存在商密安全门禁控制器12中第二SAM模块122内的系统根密钥Keyr用SM1密码算法进行分散操作,得到商密安全门禁读卡器11的读卡器密钥Keyd,用读卡器密钥keyd对商密安全门禁读卡器11传输过来的加密数据Rb和UID'进行解密运算,得到数据Rb'和UID,然后利用商密门禁CPU卡13的UID作为分散因子,利用保存在商密安全门禁控制器12中第二SAM模块122卡内的系统根密钥Keyr用SM1密码算法分散得到门禁卡的卡片密钥Keyc,用卡片密钥keyc对数据Rb'进行解密运算,得到数据Rb'',比较数据Rb''与随机数Ra,如果一致,继续执行下一步,否则刷卡失败;
(5)商密安全门禁控制器12对比商密门禁CPU卡13的UID是否为黑名单,如不是,则卡片为系统内合法商密门禁CPU卡13,发出开门信息到门禁执行模块123,开门并将刷卡信息传送至门禁应用管理系统14。同时使用商密安全门禁控制器12中第二SAM模块122产生下一次用于身份鉴别的随机数Ra+1,用读卡器密钥Keyd对随机数Ra+1用SM1密码算法进行加密运算,得到数据Ra+1',将数据Ra+1'连同本次鉴别结果(无论本次身份鉴别结果是否合法)发送至商密安全门禁读卡器11,商密安全门禁读卡器11用存在商密安全门禁读卡器11中第一SAM模块114内的读卡器密钥Keyd对数据Ra+1'用SM1密码算法进行解密运算,得到数据Ra+1作为下一次发送给商密门禁CPU卡13的随机数。
综上所述,本发明的基于商用SM1/SM2/SM3密码算法的安全门禁系统及其实现方法所具有的功能和优点为:在发卡阶段采用了密钥分散机制,实现了一卡一密;在刷卡阶段采用了三级双向认证安全机制,从门禁卡到门禁读卡器和门禁控制器全线路的安全加密传输,有效保证重要门禁的安全;商用密码模块采用模块化结构方式,有利于商用密码安全;门禁系统具有事件记录和告警报告存储功能。本发明的门禁终端具备商用密码安全认证机制,具有多种安全保护功能,适合在安全等级要求高的重要门禁场合使用。
当然,本技术领域内的一般技术人员应当认识到,上述实施例仅是用来说明本发明,而并非用作对本发明的限定,只要在本发明的实质精神范围内,对上述实施例的变化、变型等都将落在本发明权利要求的范围内。
Claims (5)
1.一种基于商用密码算法的安全门禁系统的实现方法,所述安全门禁系统包括:门禁应用系统和密钥管理及发卡系统,所述门禁应用系统包括:商密安全门禁读卡器、商密安全门禁控制器和商密门禁CPU卡;
所述密钥管理及发卡系统包括:商密发卡器;
所述商密安全门禁读卡器包括:第一安全存取模块;所述商密安全门禁控制器包括:第二安全存取模块;所用商密门禁CPU卡包括:第一密码模块;所述商密发卡器包括:第二密码模块;
所述第二密码模块将读卡器密钥注入到所述第一安全存取模块中;所述第二密码模块将控制器密钥注入到所述第二安全存取模块中;所述第二密码模块将卡片密钥注入到所述第一密码模块中;
所述第一密码模块与所述第一安全存取模块完成数据加密通信,所述第一安全存取模块将加密后的数据传输至所述第二安全存取模块,所述第二安全存取模块进行解密,将应答结果传输至所述第一安全存取模块,所述第一安全存取模块解密所述应答结果;
其特征在于,所述实现方法包括以下步骤:
所述商密安全门禁读卡器中的所述第一安全存取模块的发卡过程;所述商密安全门禁控制器中的所述第二安全存取模块的发卡过程;所述商密门禁CPU卡中的所述第一密码模块的发卡过程,以及刷卡认证开门过程;
其中,
所述商密安全门禁读卡器中的所述第一安全存取模块发卡过程为:
校验所述第二密码模块的PIN码,校验成功后,所述商密发卡器向所述第一安全存取模块获取模块标识和ID信息,并采用系统根密钥对所述模块标识和ID信息进行密钥分散,生成读卡器密钥,通过密码算法将所述读卡器密钥传输至所述第一安全存取模块;
所述安全门禁系统的刷卡过程为:
(1)所述商密安全门禁读卡器读取所述第一密码模块的模块标识和ID信息,即为UID;
(2)所述商密安全门禁读卡器发送认证命令和随机数Ra至商密门禁CPU卡,所述商密门禁CPU卡验证认证命令成功后通过卡片密钥对随机数Ra进行加密运算,将加密的数据Ra'传输至商密安全门禁读卡器;
(3)商密安全门禁读卡器通过读卡器密钥分别对数据Ra'和UID进行加密运算,得到加密数据Rb和UID',并将Rb、UID'和DUID传输至商密安全门禁控制器;其中,DUID为所述第一安全存取模块的模块标识和ID信息;
(4)商密安全门禁控制器通过系统根密钥对DUID进行分散得到读卡器密钥,通过所述读卡器密钥对Rb和UID'进行解密,获取数据Rb'和UID,然后通过所述系统根密钥对UID分散得到卡片密钥,通过所述卡片密钥对数据Rb'进行解密,得到数据Rb'',比较数据Rb''与随机数Ra,如果一致,执行下一步,否则刷卡失败;
(5)商密安全门禁控制器对比UID是否为黑名单,如不是,则卡片合法。
2.根据权利要求1所述的实现方法,其特征在于,所述商密门禁CPU卡的第一密码模块发卡过程为:
校验所述第二密码模块的PIN码,校验成功后,所述商密发卡器向所述第一密码模块获取模块标识和ID信息,并采用系统根密钥对模块标识和ID信息进行密钥分散,生成卡片密钥,通过密码算法将所述卡片密钥安全传输至所述第一密码模块。
3.根据权利要求1所述的实现方法,其特征在于,所述安全门禁系统还包括:商密门禁管理软件,
所述商密门禁管理软件用于存储所述第二安全存取模块解密后的数据信息。
4.根据权利要求1所述的实现方法,其特征在于,所述密钥管理及发卡系统还包括:门禁密钥管理系统,
所述门禁密钥管理系统用于控制所述第二密码模块将相应的密钥注入到所述第一密码模块、所述第一安全存取模块和所述第二安全存取模块中。
5.根据权利要求1所述的实现方法,其特征在于,所述第一安全存取模块、所述第二安全存取模块、所述第一密码模块和所述第二密码模块采用多种商用密码算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410751444.9A CN104376631B (zh) | 2014-12-09 | 2014-12-09 | 一种基于商用密码算法的安全门禁系统的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410751444.9A CN104376631B (zh) | 2014-12-09 | 2014-12-09 | 一种基于商用密码算法的安全门禁系统的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104376631A CN104376631A (zh) | 2015-02-25 |
| CN104376631B true CN104376631B (zh) | 2017-01-04 |
Family
ID=52555519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410751444.9A Active CN104376631B (zh) | 2014-12-09 | 2014-12-09 | 一种基于商用密码算法的安全门禁系统的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104376631B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107578511A (zh) * | 2017-09-15 | 2018-01-12 | 林海航 | 一种智能锁及其智能钥匙 |
| CN108230522B (zh) * | 2018-03-16 | 2023-05-12 | 深圳市欣横纵技术股份有限公司 | 一种高安保门禁读卡器及其加密保护系统和方法 |
| CN109272609A (zh) * | 2018-08-19 | 2019-01-25 | 天津新泰基业电子股份有限公司 | 一种cpu安全门禁控制方法及系统 |
| CN109493488B (zh) * | 2018-11-23 | 2020-11-10 | 北京小米移动软件有限公司 | 智能卡认证方法、智能锁、智能卡、系统及装置 |
| CN116844266B (zh) * | 2023-09-01 | 2023-11-24 | 鼎铉商用密码测评技术(深圳)有限公司 | 门禁管理方法、门禁管理系统及存储介质 |
| CN117612280A (zh) * | 2023-11-22 | 2024-02-27 | 深圳联恒智控科技有限公司 | 应用于智能门锁的cpu卡安全算法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN203386254U (zh) * | 2013-03-27 | 2014-01-08 | 天津光电安辰信息技术有限公司 | 一种基于nfc技术的高安全门禁系统 |
| CN103971426A (zh) * | 2013-01-31 | 2014-08-06 | 北京同方微电子有限公司 | 一种基于psam安全控制的门禁系统及其安全门禁方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6963267B2 (en) * | 2002-03-15 | 2005-11-08 | Wayne-Dalton Corporation | Operator for a movable barrier and method of use |
| CN102129730A (zh) * | 2010-01-14 | 2011-07-20 | 上海峥创电子有限公司 | 非接触cpu卡门禁读卡器 |
| CN101840592B (zh) * | 2010-05-18 | 2013-06-19 | 上海集成通信设备有限公司 | 采用商用密码的ic卡门禁终端及其操作方法 |
| CN102750557B (zh) * | 2011-04-19 | 2015-07-15 | 航天信息股份有限公司 | 一种射频卡读写系统 |
-
2014
- 2014-12-09 CN CN201410751444.9A patent/CN104376631B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103971426A (zh) * | 2013-01-31 | 2014-08-06 | 北京同方微电子有限公司 | 一种基于psam安全控制的门禁系统及其安全门禁方法 |
| CN203386254U (zh) * | 2013-03-27 | 2014-01-08 | 天津光电安辰信息技术有限公司 | 一种基于nfc技术的高安全门禁系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104376631A (zh) | 2015-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104376631B (zh) | 一种基于商用密码算法的安全门禁系统的实现方法 | |
| CN103701610B (zh) | 一种传输密钥tk的采集方法及系统 | |
| CN105871558B (zh) | 一种基于u盘物理序列号的数控系统权限管理方法 | |
| CN103679062A (zh) | 智能电表主控芯片和安全加密方法 | |
| CN101840592B (zh) | 采用商用密码的ic卡门禁终端及其操作方法 | |
| CN107172056A (zh) | 一种信道安全确定方法、装置、系统、客户端及服务器 | |
| CN101262349A (zh) | 基于短消息的身份认证方法和装置 | |
| CN107563213A (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| CN107967605B (zh) | 一种轨道交通自动售检票二维码信用支付加密方法 | |
| CN103326864A (zh) | 一种电子标签防伪认证方法 | |
| CN104574652B (zh) | Ic卡排污数据增加、扣减的方法和ic卡 | |
| CN107784207A (zh) | 金融app界面的显示方法、装置、设备及存储介质 | |
| CN105991650A (zh) | 一种密钥获取方法、身份证信息的传输方法及系统 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
| CN106027475A (zh) | 一种密钥获取方法、身份证信息的传输方法及系统 | |
| CN106296177A (zh) | 基于银行移动应用的数据处理方法和设备 | |
| CN106973035A (zh) | 一种文档外发控制系统 | |
| CN104123777A (zh) | 一种门禁远程授权方法 | |
| CN102984125B (zh) | 一种移动数据隔离的系统及方法 | |
| CN104363090A (zh) | 一种增强银行终端设备安全性的密钥分发装置和方法 | |
| CN102868521B (zh) | 一种增强对称密钥体系的密钥传输方法 | |
| CN103310159A (zh) | 一种移动智能终端安全带出电子文件的方法及系统 | |
| CN106027256B (zh) | 一种身份证读卡响应系统 | |
| CN104134294B (zh) | 一种基于营业厅自助终端的授权认证方法 | |
| CN107633177A (zh) | 一种分级加密的文件管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 300211 Meijiang Road, Tianjin, No. 4, No. Patentee after: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY CO.,LTD. Address before: 300211 Meijiang Road, Tianjin, No. 4, No. Patentee before: TOEC ANCHEN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Implementation method of commercial cipher algorithm based security access control system Effective date of registration: 20180125 Granted publication date: 20170104 Pledgee: Credit Guarantee Center of small and medium enterprises in Tianjin Pledgor: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY CO.,LTD. Registration number: 2018120000002 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Implementation method of commercial cipher algorithm based security access control system Effective date of registration: 20200303 Granted publication date: 20170104 Pledgee: Tianjin Kerong Financing Guarantee Co.,Ltd. Pledgor: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY CO.,LTD. Registration number: Y2020980000428 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20200326 Granted publication date: 20170104 Pledgee: Credit Guarantee Center of small and medium enterprises in Tianjin Pledgor: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: 2018120000002 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20220811 Granted publication date: 20170104 Pledgee: Tianjin Kerong Financing Guarantee Co.,Ltd. Pledgor: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY CO.,LTD. Registration number: Y2020980000428 |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 300457 room 5703, building 5, No. 19, Xinhuan West Road, Binhai New Area, Tianjin (multiple address information exists) Patentee after: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY CO.,LTD. Address before: 300211 Meijiang Road, Hexi District, Hexi District, Tianjin Patentee before: TIANJIN OPTOELECTRONICS ANCHEN INFORMATION TECHNOLOGY CO.,LTD. |