CN104700479B - 基于带外认证的门禁方法 - Google Patents
基于带外认证的门禁方法 Download PDFInfo
- Publication number
- CN104700479B CN104700479B CN201510103783.0A CN201510103783A CN104700479B CN 104700479 B CN104700479 B CN 104700479B CN 201510103783 A CN201510103783 A CN 201510103783A CN 104700479 B CN104700479 B CN 104700479B
- Authority
- CN
- China
- Prior art keywords
- yards
- trusted devices
- identity authorization
- authorization system
- gate inhibition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于带外认证的门禁方法,主要解决了现有技术中门禁系统安全性能欠佳的问题。本发明采用带外认证的方式,注册用户通过信任设备输入预先设定的密码从信任设备中获得加密的私钥,信任设备再根据私钥生成QR码,在生成QR码时,设备处于断网状态,从而避免了QR码被窃取,QR码中包含有一次性凭证OTA,由门禁QR码识别仪扫描后发送至身份认证系统,再经身份认证系统验证后发送至门禁控制器进行后续操作,门禁系统只为注册的用户开启门,极大地提高了门禁系统的安全性能;另一方面,即使信任设备不小心遗失,捡到的人也无法登陆并正常的打开信任设备。
Description
技术领域
本发明涉及一种门禁方法,具体地说,是一种基于带外认证的门禁方法。
背景技术
出入口门禁安全管理系统是新型现代化安全管理系统,是解决重要部门出入口实现安全防范管理的有效措施,它集微机自动识别技术和现代安全管理措施为一体,涉及电子,机械,光学,计算机技术,通讯技术,生物技术等诸多新技术。现有技术中,门禁系统的大多是刷卡、输入密码这两种常见的方式,然而,卡容易遗失,密码可能被别人偷窥到,即目前的门禁依旧存在着不安全的缺陷。
发明内容
本发明的目的在于克服上述缺陷,提供一种实现更安全、简单的基于带外认证的门禁方法。
为了实现上述目的,本发明采用的技术方案如下:
基于带外认证的门禁方法,包括以下步骤:
(1)门禁QR码识别仪接入的步骤
(11)门禁QR码识别仪接入带内操作
(111)管理者登陆配置服务器并设置门禁QR码识别仪的配置信息;
(112)配置服务器生成含门禁QR码识别仪的配置信息的激活码;
(113)配置服务器发送设置的配置信息至应用接入系统;
(114)注册用户通过门禁QR码识别仪配置身份认证系统的地址;
(115)注册用户输入激活码并通过门禁QR码识别仪发送驱动请求和输入的激活码至身份认证系统;
(116)关闭服务请求网段;
(12)门禁QR码识别仪接入带外操作
(121)身份认证系统将接收到的激活码发送至应用接入系统;
(122)应用接入系统验证身份认证系统发送的激活码是否正确,若是,则执行下一步;若否,返回错误结果;
(123)身份认证系统设置激活码为代理标识号,并设置门禁QR码识别仪为合法硬件;
(2)实现门禁操作的步骤
(21)实现门禁的带外操作
(211)注册用户通过信任设备输入预先设定的密码从信任设备中获得加密的私钥;
(212)注册用户根据私钥及输入信息完成基于信任设备的本地登录验证,若验证成功,则完成本地登录;
(213)信任设备根据私钥生成一次性凭证OTA,一次性凭证OTA包含有:设备信息、用户信息及对应的权限信息;
(214)信任设备生成包含有一次性凭证OTA的QR码;
(215)开启身份认证网段,门禁QR码识别仪扫描并解析QR码,然后将QR码中包含的一次性凭证OTA发送至身份认证系统;
(216)身份认证系统对一次性凭证OTA进行解密,获得设备信息、用户信息及对应的权限信息;
(217)身份认证系统判定设备信息、用户信息及对应的权限信息是否满足身份认证要求,若是,则判定通过并将判定结果发送至门禁控制器,若否,则判定身份认证失败,结束认证;
(22)实现门禁的带内操作
(221)门禁控制器接收到身份认证系统发送的判定结果后,控制门禁驱动进行后续操作;
(222)服务请求网段自动关闭。
所述注册用户是指注册成功的用户,注册流程如下:
(I)用户通过信任设备扫描注册QR码;用户注册的流程,是由系统管理员在权限系统配置的,配置的内容包含用户的真实姓名,账号,角色和账号的权限等。由身份认证系统将上述信息生成QR码,发送至用户的邮箱。用户扫描后,是为了实现注册流程;
(II)用户设置登陆密码;
(III)信任设备按照策略读取信任设备的硬件信息,形成含有设备信息和硬件信息的加密的信息包;策略为随机的一种算法,其用于选择读取哪种的硬件信息;
(IV)信任设备生成注册信息并将注册信息发送至身份认证系统;
(V)身份认证系统解密注册信息,并判定注册信息是否正确,若是,则根据注册信息生成验证码;若否,返回错误结果;
(VI)身份认证系统加密形成包含有验证码的私钥;
(VII)身份认证系统预存私钥,同时,发送私钥给信任设备;
(VIII)信任设备保存私钥并使用私钥生成确认注册的一次性凭证OTA,一次性凭证OTA包含有:设备信息、用户信息及对应的权限信息;
(IX)信任设备将确认注册信息连同一次性凭证OTA发送到身份认证系统;
(X)身份认证系统接收确认注册信息并判断确认注册信息是否正确,若是,则执行下一步,若否,则返回错误结果;
(XI)身份认证系统转存对应的设备信息、用户信息及对应的权限信息到正式注册表,返回注册成功。
其中,信任设备是指通过注册认证的智能设备,该智能设备在管理者处具有唯一识别的信息和硬件的信息,而唯一识别的信息和硬件的信息成为了每次都需要认证的授权信息的一个部分。用户在使用智能设备欲实现门禁操作时,身份认证系统首先会对该智能设备进行判断,确实其是否为信任设备。身份认证系统可以由一个服务器提供身份认证。
与现有技术相比,本发明具有以下有益效果:
本发明采用带外认证的方式,注册用户通过信任设备输入预先设定的密码从信任设备中获得加密的私钥,信任设备再根据私钥生成QR码,在生成QR码时,设备处于断网状态,从而避免了QR码被窃取,QR码中包含有一次性凭证OTA,由门禁QR码识别仪扫描后发送至身份认证系统,再经身份认证系统验证后发送至门禁控制器进行后续操作,门禁系统只为注册的用户开启门,极大地提高了门禁系统的安全性能;另一方面,即使信任设备不小心遗失,捡到的人也无法登陆并正常的打开信任设备。
具体实施方式
下面结合实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例
本实施例提供了一种基于带外认证的门禁方法,该门禁方法基于双通道带外认证模式,提高了门禁系统的安全性能,具体的说,双通道带外认证模式含义如下:定义服务请求网段为带内网段,相对于服务请求网段,身份认证网段就被称之为带外网段,这种通过两个网段或者通过两个独立的网络的身份认证模式就是双通道带外认证。
本实施例中,基于带外认证的门禁方法,主要包括两个流程:门禁QR码识别仪接入流程和门禁操作流程,上述两个流程操作均是基于注册用户而言,故首先披露本发明申请的注册流程:
(I)用户通过信任设备扫描注册QR码;
(II)用户设置登陆密码;
(III)信任设备按照策略读取信任设备的硬件信息,形成含有设备信息和硬件信息的加密的信息包;
(IV)信任设备生成注册信息并将注册信息发送至身份认证系统;
(V)身份认证系统解密注册信息,并判定注册信息是否正确,若是,则根据注册信息生成验证码;若否,返回错误结果;
(VI)身份认证系统加密形成包含有验证码的私钥;
(VII)身份认证系统预存私钥,同时,发送私钥给信任设备;
(VIII)信任设备保存私钥并使用私钥生成确认注册的一次性凭证OTA,一次性凭证OTA包含有:设备信息、用户信息及对应的权限信息;
(IX)信任设备将确认注册信息连同一次性凭证OTA发送到身份认证系统;
(X)身份认证系统接收确认注册信息并判断确认注册信息是否正确,若是,则执行下一步,若否,则返回错误结果;
(XI)身份认证系统转存对应的设备信息、用户信息及对应的权限信息到正式注册表,返回注册成功。注册成功的用户在使用到信任设备时,会使用到相关的注册信息、登陆信息。
本实施例中的门禁QR码识别仪接入流程和门禁操作流程均是基于注册成功的用户,二者流程分别如下:
门禁QR码识别仪接入的步骤,该步骤又包括带内操作和带外操作两部分,其中,带内操作是指在服务请求网段的操作,该操作使用联网操作;带外操作,是指身份认证网段的操作。
一、硬件接入
1、门禁QR码识别仪接入带内操作步骤如下:
(111)管理者登陆配置服务器并设置门禁QR码识别仪的配置信息;
(112)配置服务器生成含门禁QR码识别仪的配置信息的激活码;
(113)配置服务器发送设置的配置信息至应用接入系统;
(114)注册用户通过门禁QR码识别仪配置身份认证系统的地址;
(115)注册用户输入激活码并通过门禁QR码识别仪发送驱动请求和输入的激活码至身份认证系统;
(116)关闭服务请求网段。
2、门禁QR码识别仪接入带外操作步骤如下:
(121)身份认证系统将接收到的激活码发送至应用接入系统;
(122)应用接入系统验证身份认证系统发送的激活码是否正确,若是,则执行下一步;若否,返回错误结果;
(123)身份认证系统设置激活码为代理标识号,并设置门禁QR码识别仪为合法硬件。
二、实现门禁操作的步骤如下:
1、实现门禁的带外操作
(211)注册用户通过信任设备输入预先设定的密码从信任设备中获得加密的私钥;
(212)注册用户根据私钥及输入信息完成基于信任设备的本地登录验证,若验证成功,则完成本地登录;
(213)信任设备根据私钥生成一次性凭证OTA,一次性凭证OTA包含有:设备信息、用户信息及对应的权限信息;
(214)信任设备生成包含有一次性凭证OTA的QR码;步骤(211)至(214)中的操作是基于断网状态,从而避免了QR码被窃取;
(215)开启身份认证网段,门禁QR码识别仪扫描并解析QR码,然后将QR码中包含的一次性凭证OTA发送至身份认证系统;
(216)身份认证系统对一次性凭证OTA进行解密,获得设备信息、用户信息及对应的权限信息;
(217)身份认证系统判定设备信息、用户信息及对应的权限信息是否正确,若是,则判定通过并将判定结果发送至门禁控制器,若否,则判定身份认证失败,结束认证;判定结果包括有设备信息是否匹配、用户信息是否匹配及对应的权限。验证完成后,身份认证网段自动关闭。
2、实现门禁的带内操作
(221)门禁控制器接收到身份认证系统发送的判定结果后,控制门禁驱动进行后续操作;
(222)服务请求网段自动关闭。
通过上述设置,用户首先在信任设备上登陆成功后,方能获取信任设备中存储的私钥,然后,再根据私钥生成QR码,在生成QR码时,设备处于断网状态,从而避免了QR码被窃取,QR码中包含有一次性凭证OTA,由门禁QR码识别仪扫描后发送至身份认证系统,再经身份认证系统验证后发送至门禁控制器进行后续操作,基于上述,门禁系统只为注册的用户开启门,极大地提高了门禁系统的安全性能。
按照上述实施例,便可很好地实现本发明。值得说明的是,基于上述设计原理的前提下,为解决同样的技术问题,即使在本发明所公开的结构基础上做出的一些无实质性的改动或润色,所采用的技术方案的实质仍然与本发明一样,故其也应当在本发明的保护范围内。
Claims (3)
1.基于带外认证的门禁方法,其特征在于,包括以下步骤:
(1)门禁QR码识别仪接入的步骤
(11)门禁QR码识别仪接入带内操作,本方法中带内操作是指在服务请求网段的操作
(111)管理者登陆配置服务器并设置门禁QR码识别仪的配置信息;
(112)配置服务器生成含门禁QR码识别仪的配置信息的激活码;
(113)配置服务器发送设置的配置信息至应用接入系统;
(114)注册用户通过门禁QR码识别仪配置身份认证系统的地址;
(115)注册用户输入激活码并通过门禁QR码识别仪发送驱动请求和输入的激活码至身份认证系统;
(116)关闭服务请求网段;
(12)门禁QR码识别仪接入带外操作,本方法中带外操作是指在身份认证网段的操作
(121)身份认证系统将接收到的激活码发送至应用接入系统;
(122)应用接入系统验证身份认证系统发送的激活码是否正确,若是,则执行下一步;若否,返回错误结果;
(123)身份认证系统设置激活码为代理标识号,并设置门禁QR码识别仪为合法硬件;
(2)实现门禁操作的步骤
(21)实现门禁的带外操作
(211)注册用户通过信任设备输入预先设定的密码从信任设备中获得加密的私钥;
(212)注册用户根据私钥及输入信息完成基于信任设备的本地登录验证,若验证成功,则完成本地登录;
(213)信任设备根据私钥生成一次性凭证,一次性凭证包含有:设备硬件信息、用户信息及对应的权限信息;
(214)信任设备生成包含有一次性凭证的QR码;
(215)开启身份认证网段,门禁QR码识别仪扫描并解析QR码,然后将QR码中包含的一次性凭证发送至身份认证系统;
(216)身份认证系统对一次性凭证进行解密,获得设备硬件信息、用户信息及对应的权限信息;
(217)身份认证系统对获得的设备硬件信息、用户信息及对应的权限信息进行验证,判定设备硬件信息、用户信息及对应的权限信息是否正确,若是,则判定通过并将判定结果发送至门禁控制器,若否,则判定身份认证失败,结束认证;验证完成后,身份认证网段自动关闭;
(22)实现门禁的带内操作
(221)门禁控制器接收到身份认证系统发送的判定结果后,控制门禁驱动进行后续操作;
(222)服务请求网段自动关闭。
2.根据权利要求1所述的基于带外认证的门禁方法,其特征在于,所述注册用户是指注册成功的用户,注册流程如下:
(I)用户通过信任设备扫描注册QR码;
(II)用户设置登陆密码;
(III)信任设备按照策略读取信任设备的硬件信息,形成含有设备硬件信息的加密的信息包;
(IV)信任设备生成注册信息并将注册信息发送至身份认证系统;
(V)身份认证系统解密注册信息,并判定注册信息是否正确,若是,则根据注册信息生成验证码;若否,返回错误结果;
(VI)身份认证系统加密形成包含有验证码的私钥;
(VII)身份认证系统预存私钥,同时,发送私钥给信任设备;
(VIII)信任设备保存私钥并使用私钥生成确认注册的一次性凭证,一次性凭证包含有:设备硬件信息、用户信息及对应的权限信息;
(IX)信任设备将确认注册信息连同一次性凭证发送到身份认证系统;
(X)身份认证系统接收确认注册信息并判断确认注册信息是否正确,若是,则执行下一步,若否,则返回错误结果;
(XI)身份认证系统转存对应的设备硬件信息、用户信息及对应的权限信息到正式注册表,返回注册成功的结果。
3.根据权利要求2所述的基于带外认证的门禁方法,其特征在于,所述信任设备为在身份认证系统中存储有与之对应的唯一的识别码信息和硬件信息的智能设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510103783.0A CN104700479B (zh) | 2015-03-10 | 2015-03-10 | 基于带外认证的门禁方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510103783.0A CN104700479B (zh) | 2015-03-10 | 2015-03-10 | 基于带外认证的门禁方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104700479A CN104700479A (zh) | 2015-06-10 |
| CN104700479B true CN104700479B (zh) | 2017-06-13 |
Family
ID=53347559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510103783.0A Expired - Fee Related CN104700479B (zh) | 2015-03-10 | 2015-03-10 | 基于带外认证的门禁方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104700479B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106340087B (zh) * | 2015-07-16 | 2019-09-13 | 黄月平 | 基于智能移动终端的智能开关锁系统 |
| CN105337741A (zh) * | 2015-10-14 | 2016-02-17 | 四川省宁潮科技有限公司 | 基于非对称算法的信任设备自主注册方法 |
| WO2017070412A1 (en) * | 2015-10-23 | 2017-04-27 | Oracle International Corporation | Password-less authentication for access management |
| CN105389870A (zh) * | 2015-10-28 | 2016-03-09 | 广州畅联信息科技有限公司 | 一种门禁管理方法和系统 |
| CN106056720A (zh) * | 2016-06-29 | 2016-10-26 | 上海救要救信息科技有限公司 | 一种急救物资的存放装置解锁的方法及系统 |
| US11238681B2 (en) * | 2017-01-09 | 2022-02-01 | Carrier Corporation | Access control system with local mobile key distribution |
| CN109285252B (zh) * | 2018-09-29 | 2021-08-10 | 百度在线网络技术(北京)有限公司 | 车锁控制方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5889474A (en) * | 1992-05-18 | 1999-03-30 | Aeris Communications, Inc. | Method and apparatus for transmitting subject status information over a wireless communications network |
| CN101370059A (zh) * | 2008-09-02 | 2009-02-18 | 华为技术有限公司 | 一种实现门禁方法、通信系统及装置 |
| CN103617659A (zh) * | 2013-11-01 | 2014-03-05 | 南京物联传感技术有限公司 | 一种无线开锁方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9031712B2 (en) * | 2012-06-30 | 2015-05-12 | Intel Corporation | Remote management and control of vehicular functions via multiple networks |
-
2015
- 2015-03-10 CN CN201510103783.0A patent/CN104700479B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5889474A (en) * | 1992-05-18 | 1999-03-30 | Aeris Communications, Inc. | Method and apparatus for transmitting subject status information over a wireless communications network |
| CN101370059A (zh) * | 2008-09-02 | 2009-02-18 | 华为技术有限公司 | 一种实现门禁方法、通信系统及装置 |
| CN103617659A (zh) * | 2013-11-01 | 2014-03-05 | 南京物联传感技术有限公司 | 一种无线开锁方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104700479A (zh) | 2015-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104700479B (zh) | 基于带外认证的门禁方法 | |
| CN103517273B (zh) | 认证方法、管理平台和物联网设备 | |
| CN105516195B (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
| CN106875515B (zh) | 门禁验证系统及其门禁验证方法 | |
| US5497421A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
| CN105827573B (zh) | 物联网设备强认证的系统、方法及相关装置 | |
| EP2579220A1 (en) | Entrance guard control method and system thereof | |
| CN107026874A (zh) | 一种指令签名与验证方法及系统 | |
| CN109618326A (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
| CN109963282A (zh) | 在ip支持的无线传感网络中的隐私保护访问控制方法 | |
| CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
| CN108769007A (zh) | 网关安全认证方法、服务器及网关 | |
| CN106559408A (zh) | 一种基于信任管理的sdn认证方法 | |
| CN106921663A (zh) | 基于智能终端软件/智能终端的身份持续认证系统及方法 | |
| CN107846414A (zh) | 一种单点登录方法及系统、统一认证系统 | |
| CN105100102A (zh) | 一种权限配置以及信息配置方法和装置 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
| CN106027473A (zh) | 身份证读卡终端与云认证平台数据传输方法和系统 | |
| CN104618402A (zh) | 基于带外认证的虚拟桌面云连接方法 | |
| CN105245338B (zh) | 一种认证方法及装置系统 | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及系统 | |
| CN104734856A (zh) | 一种抗服务器端信息泄露的口令认证方法 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| KR20120134942A (ko) | 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160608 Address after: 200000, Room 305, 1501-6 Ying Ying Road, Shanghai, Zhabei District Applicant after: Shanghai Financial Cloud Service Group Security Technology Co., Ltd. Address before: 610000, No. 1, North 78, purple North Street, Chengdu hi tech Zone, Sichuan, 2 Applicant before: Sichuan Ningchao Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170613 Termination date: 20180310 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |