CN106067205B - 一种门禁鉴权方法和装置 - Google Patents
一种门禁鉴权方法和装置 Download PDFInfo
- Publication number
- CN106067205B CN106067205B CN201610524461.8A CN201610524461A CN106067205B CN 106067205 B CN106067205 B CN 106067205B CN 201610524461 A CN201610524461 A CN 201610524461A CN 106067205 B CN106067205 B CN 106067205B
- Authority
- CN
- China
- Prior art keywords
- card
- secure access
- subscriber card
- sent
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/23—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/28—Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明公开了一种门禁鉴权方法和装置,应用于门禁终端,该方法通过在SAM卡内产生的密钥对中的私钥对用户卡发送的第一随机数进行签名,并通过在SAM卡内采用认证机构根证书验证用户卡的数字证书和签名。由于私钥不能被读出且认证机构根证书不易被篡改,从而提高了门禁系统的安全性。
Description
技术领域
本发明涉及门禁技术领域,尤指一种门禁鉴权方法和装置。
背景技术
目前,门禁卡是用于门禁系统中的卡,如出入证、门禁卡、停车卡、会员卡等,经由系统管理员设置,确定可使用区域及用户权限,用户使用门禁卡进入管理区域,从而达到一个安全管理的作用。
现有技术中,我国80%左右的门禁卡采用的是身份识别卡(IdentificationCard,简称:ID卡)或M1卡(菲利浦下属子公司恩智浦出品的芯片缩写,全称为NXP Mifare1系列)的惟一标识符号(unique identifier,简称:UID),再稍先进一些的是采用M1卡的扇区进行数据操作,利用每个扇区独立的密钥进行读写校验,随着智能处理器(CPU)卡技术的发展,一些高安全要求的门禁卡已经选择CPU卡,这些CPU卡通过文件读写权限控制,内外部认证等方法可以杜绝被篡改、复制的风险,更复杂的会采用基于对称密钥算法实现双向认证的门禁卡。
但是,对于采用ID卡或M1卡的UID号均是读取卡片的一个固定号作为身份识别数据,其中没有对数据进行加工或加密认证等,非常容易被复制;对于采用M1卡的扇区进行数据操作,利用每个扇区独立的密钥进行读写校验,但其个人化包括敏感数据和各扇区密钥的更新,都是直接以明文的形式更新的,存在被窃取的风险,另外M1卡的校验机制只能解决卡片对终端的认证,而无法解决终端对卡片的认证,即存在有“伪卡”的风险;对于采用CPU卡,也会存在漏洞风险,如:通过特殊设备采集交互数据,再定制特殊卡片,响应终端的指令,并返回某些特定数据,进而达到冒充某些高权限门禁卡的“假卡”。对于采用基于对称密钥算法实现双向认证的门禁卡,会由于对称密钥需要在密码机、用户卡、SAM卡等不同设备之间传输,仍有被窃取的风险。综上所述,现有技术中的门禁卡均容易被复制篡改或者密钥被窃取,而导致降低了门禁系统的安全性。
发明内容
为了解决上述技术问题,本发明提供了一种门禁鉴权方法和装置,能够在卡内生成公私钥对,采用非对称密钥,由于私钥不能被读出,使得门禁卡的私钥无法被复制篡改或者被窃取,从而提高了门禁系统的安全性。
为了达到本发明目的,第一方面,本发明提供了一种门禁鉴权方法,应用于门禁终端,所述方法包括:
获取用户卡生成的第一随机数,对所述第一随机数进行签名;
将第一数字证书和签名后的第一签名值发送给所述用户卡进行验证,并生成第二随机数发送给所述用户卡进行签名;
在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值;
确定验证成功后,解密所述用户卡发送的加密用户卡识别码。
本发明提供的一种门禁鉴权方法,该方法通过在SAM卡内产生的密钥对中的私钥对用户卡发送的第一随机数进行签名,并通过在SAM卡内采用认证机构根证书验证用户卡的数字证书和签名。由于私钥不能被读出且认证机构根证书不易被篡改,从而提高了门禁系统的安全性。
在一个实施例中,对所述第一随机数进行签名,包括:
对所述第一随机数采用安全存取模块SAM卡私钥进行签名。
通过在SAM卡内采用私钥对第一随机数进行签名,且由于该私钥不能被读出,提高了门禁系统的安全性。
在一个实施例中,在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值,包括:
在所述用户卡验证成功后,使用认证机构根证书验证所述第二数字证书,并使用所述第二数字证书中的公钥验证第二签名值。
通过在门禁终端的SAM卡中采用认证机构根证书校验用户卡的数字证书,并在校验后使用用户卡的公钥来验证用户卡的签名,由于认证机构根证书不易被篡改,提高了门禁系统的安全性。
在一个实施例中,确定验证成功后,解密所述用户卡发送的加密用户卡识别码,包括:
确定验证成功后,采用安全存取模块SAM卡私钥解密出所述用户卡的用户卡识别码。
通过在SAM卡内采用私钥来获取最终的用户卡ID,由于私钥不能被读出,提高了门禁系统的安全性。
第二方面,本发明提供了一种门禁鉴权方法,应用于用户终端,所述方法包括:
生成第一随机数发送给所述安全存取模块SAM卡;
分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值;
在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,并发送第二数字证书和所述用户卡签名后的第二签名值给所述安全存取模块SAM卡进行验证;
确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡。
本发明提供的一种门禁鉴权方法,应用于用户终端,该方法通过在用户卡内产生的密钥对中的私钥对安全存取模块SAM卡发送的第二随机数进行签名,由于私钥不能被读出,从而提高了门禁系统的安全性。
在一个实施例中,分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值,包括:
采用认证机构根证书验证所述第一数字证书,并采用所述第一数字证书中的公钥验证所述第一签名值。
通过在用户卡中采用认证机构根证书校验所述安全存取模块SAM卡的数字证书,并在校验后使用SAM卡的公钥来验证该所述安全存取模块SAM卡的签名,由于认证机构根证书不易被篡改,提高了门禁系统的安全性。
在一个实施例中,在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,包括:
在分别验证成功后,使用所述用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数进行签名。
通过在用户卡内采用私钥对第二随机数进行签名,由于私钥不能被读出,提高了门禁系统的安全性。
在一个实施例中,确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡,包括:
确定所述安全存取模块SAM卡验证成功后,采用所述第一数字证书中的公钥加密用户卡识别码后发送给所述安全存取模块SAM卡。
通过在用户卡内对用户卡识别码进行公钥加密,提高了门禁系统的安全性。
第三方面,本发明提供了一种门禁鉴权装置,应用于门禁终端,该装置包括:签名模块、通信模块、验证模块和解密模块;
所述签名模块,设置为获取用户卡生成的第一随机数,对所述第一随机数进行签名;
所述通信模块,设置为将第一数字证书和签名后的第一签名值发送给所述用户卡进行验证,并生成第二随机数发送给所述用户卡进行签名;
所述验证模块,设置为在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值;
所述解密模块,设置为确定验证成功后,解密所述用户卡发送的加密用户卡识别码。
本发明提供的一种门禁鉴权装置,设置在门禁终端内,该装置通过在SAM卡内产生的密钥对中的私钥对用户卡的第一随机数进行签名,并通过在SAM卡内采用认证机构根证书验证用户卡的数字证书和签名,由于私钥不能被读出且认证机构根证书不易被篡改,从而提高了该门禁系统的安全性。
在一个实施例中,所述签名模块对所述第一随机数进行签名,是指:
所述签名模块对所述第一随机数采用安全存取模块SAM卡私钥进行签名。
通过签名模块在SAM卡内采用私钥对第一随机数进行签名,由于私钥不能被读出,提高了门禁系统的安全性。
在一个实施例中,所述验证模块设置为在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值,是指:
所述验证模块设置为在所述用户卡验证成功后,使用认证机构根证书验证所述第二数字证书,并使用所述第二数字证书中的公钥验证第二签名值。
通过验证模块在门禁终端的SAM卡中采用认证机构根证书校验用户卡的数字证书,并在校验后使用用户卡的公钥来验证用户卡的签名,由于认证机构根证书不易被篡改,提高了门禁系统的安全性。
在一个实施例中,所述解密模块设置为确定验证成功后,解密所述用户卡发送的加密用户卡识别码,是指:
所述解密模块设置为确定验证成功后,采用安全存取模块SAM卡私钥解密出所述用户卡的用户卡识别码。
通过解密模块在SAM卡内采用私钥来获取最终的用户卡ID,由于私钥不能被读出,提高了门禁系统的安全性。
第四方面,本发明提供了一种门禁鉴权装置,设置在用户终端内,该装置包括:
通信模块、验证模块、签名模块和加密模块;
所述通信模块设置为生成第一随机数发送给安全存取模块SAM卡;
所述验证模块设置为分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值;
所述签名模块设置为在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,并发送第二数字证书和所述用户卡签名后的第二签名值给所述安全存取模块SAM卡进行验证;
所述加密模块设置为确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡。
本发明提供的一种门禁鉴权装置,设置在用户终端内,该方法通过在用户卡内产生的密钥对中的私钥对安全存取模块SAM卡发送的第二随机数进行签名,由于私钥不能被读出,从而提高了门禁系统的安全性。
在一个实施例中,所述验证模块设置为分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值,是指:
所述验证模块设置为采用认证机构根证书验证所述第一数字证书,并采用所述第一数字证书中的公钥验证所述第一签名值。
通过验证模块在用户卡中采用认证机构根证书校验所述安全存取模块SAM卡的数字证书,并在校验后使用SAM卡的公钥来验证该所述安全存取模块SAM卡的签名,由于认证机构根证书不易被篡改,提高了门禁系统的安全性
在一个实施例中,所述签名模块设置为在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,是指:
所述签名模块设置为在分别验证成功后,使用所述用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数进行签名。
通过签名模块在用户卡内采用私钥对第二随机数进行签名,由于私钥不能被读出,提高了门禁系统的安全性。
在一个实施例中,所述加密模块设置为确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡,是指:
所述加密模块设置为确定所述安全存取模块SAM卡验证成功后,采用所述第一数字证书中的公钥加密用户卡识别码后发送给所述安全存取模块SAM卡。
通过加密模块在用户卡内对用户卡识别码进行公钥加密,提高了门禁系统的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的一种门禁鉴权方法应用于门禁终端的实施例一的流程示意图;
图2为本发明提供的一种门禁鉴权方法实施例一的安全存取模块SAM卡和用户卡交互示意图;
图3为本发明提供的一种门禁鉴权方法应用于用户终端的实施例一的流程示意图;
图4为本发明提供的一种门禁鉴权装置设置在门禁终端的实施例一结构示意图;
图5为本发明提供的一种门禁鉴权装置设置在用户终端的实施例一结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例涉及的所述安全存取模块SAM卡是门禁系统中核心部分,包括智能卡(CPU卡),该智能卡内的集成电路中带有微处理器CPU、存储单元以及芯片操作系统COS,其中,存储单元可以包括随机存储器RAM、程序存储器ROM(Flash)、用户数据存储器EEPROM,而COS就相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
该智能卡内部具有CPU芯片,在具有数据判断能力的同时,也具备了数据分析处理能力,因此,智能卡可以随时区分合法和非法读写设备,并且由于有了CPU芯片,具备数据运算能力,还可以对数据进行加密解密处理,因此具有非常高的安全性。CPU卡是在将EEPROM芯片封装在卡片上的同时,将微处理器芯片(CPU)也封装在里面。这样,EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。外部读写设备只能通过CPU与IC卡内的EEP-ROM进行数据交换,在任何情况下都不能再访问到EEP-ROM中的任何一个单元。
采用CPU卡作为门禁卡,可以应用到安全级别高的场景,如:基于某些行业标准(如PBOC,社保卡、公交一卡通等)的应用规范,将其内外部认证流程应用到门禁方案中,通过控制文件的读写权限来实现门禁的控制,但并不限于此。
本发明实施例涉及的方法,旨在解决现有技术中门禁卡均容易被复制篡改或者密钥被窃取,而导致降低了门禁系统的安全性的技术问题。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明提供的一种门禁鉴权方法应用于门禁终端的实施例一的流程示意图,图2为本发明提供的一种门禁鉴权方法实施例一的安全存取模块SAM卡和用户卡交互示意图;本实施例涉及的是所述安全存取模块SAM卡鉴定用户卡的权限的具体过程,应用于门禁终端,如图1、图2所示,该方法包括:
S101、获取用户卡生成的第一随机数,对所述第一随机数进行签名。
具体的,门禁终端对用户终端的鉴权可以通过安全存取模块SAM卡来实现,该SAM卡是一种智能卡,可以从用户卡获取根据实际情况设置的任意字节的第一随机数R1,该第一随机数R1可以是8字节的随机数R1,在本实施例中,该智能卡可以采用带有COS的安全存取模块(Securue AccessModule,简称:SAM卡),可以将密钥安全的存储在卡内,在某种认可的权限下,能被用于运算,但是不能被直接读出,SAM卡获取到用户卡的第一随机数R1,可以用私钥对第一随机数R1进行数字签名获得第一签名值S2,但并不以此为限。
S102、将第一数字证书和签名后的第一签名值发送给所述用户卡进行验证,并生成第二随机数发送给所述用户卡进行签名。
具体的,SAM卡在对R1进行数字签名后得到第一签名值S2,会将该SAM卡的第一数字证书C2和签名后的第一签名值S2一起发送给用户卡进行验证,并根据实际情况也会产生一个第二随机数R2,并将该第二随机数R2发送给用户卡进行签名,该第二随机数R2可以是8字节的,但并不以此为限。
S103、在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值。
具体的,如果发送给用户卡的第一数字证书C2和签名后的第一签名值S2可以被用户卡验证成功,即用户卡验证第一数字证书C2的有效性,并可以采用第一数字证书C2中的SAM卡公钥对第一签名值S2进行验签,验签之后,用户卡的私钥会对第二随机数R2进行签名而获得第二签名值S1,还会用第一数字证书中的公钥对用户卡的识别号(ID)进行加密获得一个加密EID发送给门禁终端的SAM卡,该门禁终端的SAM卡收到后,会先验证用户卡的第二数字证书C1和签名后的第二签名值S1,即验证用户卡第二数字证书C1的有效性,并可以采用第二数字证书C1中的用户卡公钥对第二签名值S1进行验签,这样通过用户卡和SAM卡之间双向交互,并在各自的卡内进行认证,从而提高了安全性。
S104、确定验证成功后,解密所述用户卡发送的加密用户卡识别码。
具体的,门禁终端的SAM卡验证成功后,采用SAM卡私钥对加密后的用户卡的识别码EID进行解密,解密出该用户卡的识别码ID,从而将该ID发送给门禁系统,由门禁系统进行授权来控制对门禁的操作。
本发明实施例提供的一种门禁鉴权方法,应用于门禁终端,该方法通过在SAM卡内产生的密钥对中的私钥对用户卡发送的随机数进行签名,并通过在SAM卡内采用认证机构根证书验证用户卡的数字证书和签名,由于私钥不能被读出且认证机构根证书不易被篡改,从而提高了该门禁系统的安全性。
进一步地,在一个实施例中,对所述第一随机数进行签名,包括:
对所述第一随机数采用私钥进行签名。
具体的,在上述实施例的基础上,门禁终端的SAM卡会对获取的用户卡的第一随机数采用SAM卡私钥进行签名。
通过在SAM卡内采用私钥对第一随机数进行签名,由于私钥不能被读出,提高了门禁系统的安全性。
进一步地,在一个实施例中,在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值,包括:
在所述用户卡验证成功后,使用认证机构根证书验证所述第二数字证书,并使用所述第二数字证书中的公钥验证第二签名值。
具体的,门禁终端的SAM卡在用户卡验证自己的信息成功后,也会获取该用户卡发送过来的第二数字证书C1和第二签名值S1,可以使用认证机构根证书即CA证书来对第二数字证书C1校验它的有效性,待校验有效后,会用该第二数字证书C1中的用户卡公钥对该第二签名S1值进行验签。
在门禁终端的SAM卡中采用认证机构根证书校验用户卡的数字证书,并在校验后使用用户卡的公钥来验证用户卡的签名,由于认证机构根证书不易被篡改,提高了门禁系统的安全性。
进一步地,在一个实施例中,确定验证成功后,解密所述用户卡发送的加密用户卡识别码,包括:
确定验证成功后,采用私钥解密出所述用户卡的用户卡识别码。
具体的,门禁终端的SAM卡在验证完用户卡的信息后,并确定验证成功,就可以通过SAM卡的私钥来解密出该用户卡的识别码ID,门禁终端可以对该用户卡的ID进行加工处理,获得可用ID值,并将此数据传递给门禁系统,进行后续门禁控制操作。
通过在SAM卡内采用私钥来获取最终的用户卡ID,由于私钥不能被读出,提高了门禁系统的安全性。
图3为本发明提供的一种门禁鉴权方法应用于用户终端的实施例一的流程示意图,如图2和图3所示,本实施例涉及的是用户终端的用户卡鉴定门禁终端的SAM卡的权限的具体过程,该方法包括:
S301、生成第一随机数发送给安全存取模块SAM卡进行签名。
具体的,该用户终端可以是手机、手持机等,可以内设与门禁终端对应的鉴权装置,该装置也可以直接是用户卡、门卡等,在本实施例采用用户卡,在用户卡需要进入门禁系统时,需要生成第一随机数R1,该第一随机数R1可以根据实际情况设置的任意字节的第一随机数,例如:可以是8字节的随机数R1,将所述第一随机数R1发送给安全存取模块SAM卡进行签名,但并不以此为限。
S302、分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值。
具体的,用户卡会获取所述安全存取模块SAM卡的SAM卡对所述第一随机数R1签名后的第一签名值S2和该SAM卡的第一数字证书C2分别验证,即使用认证机构根证书(CA证书)验证第一数字证书C2的有效性,确定校验有效后,采用第一数字证书C2中的SAM卡公钥对第一签名值S2进行验签。
S303、在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,并发送第二数字证书和所述用户卡签名后的第二签名值给所述安全存取模块SAM卡进行验证。
具体的,用户卡验证成功后,采用私钥对第二随机数R2进行签名而获得第二签名值S1,并将该第二签名值S1和用户卡的第二数字证书C1一起给所述安全存取模块SAM卡进行验证。
S304、确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡。
用户卡在确定所述安全存取模块SAM卡验证成功后,会用第一数字证书C2的公钥对用户卡的识别号(ID)进行加密获得一个加密EID,将该EID发送给个该所述安全存取模块SAM卡去解密。
本发明实施例提供的一种门禁鉴权方法,应用于用户终端,该方法通过在用户卡内产生的密钥对中的私钥对安全存取模块SAM卡的第二随机数进行签名,由于私钥不能被读出,从而提高了门禁系统的安全性。
进一步地,在一个实施例中,分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值,包括:
采用认证机构根证书验证所述第一数字证书,并采用所述第一数字证书中的公钥验证所述第一签名值。
具体的,用户卡可以采用认证机构根证书(CA证书)验证安全存取模块SAM卡的第一数字证书C2的有效性,并采用该第一数字证书中的公钥验证该安全存取模块SAM卡的第一签名值S2。
通过在用户卡中采用认证机构根证书校验所述安全存取模块SAM卡的数字证书,并在校验后使用SAM卡的公钥来验证该所述安全存取模块SAM卡的签名,由于认证机构根证书不易被篡改,提高了门禁系统的安全性。
进一步地,在一个实施例中,在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,包括:
在分别验证成功后,使用所述用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数进行签名。
具体的,用户卡在分别验证成功后,可以使用该用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数R2进行签名获得第二签名值S1。
通过在用户卡内采用私钥对第二随机数进行签名,由于私钥不能被读出,提高了门禁系统的安全性。
进一步地,在一个实施例中,确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡,包括:
确定所述安全存取模块SAM卡验证成功后,采用所述第一数字证书中的公钥加密用户卡识别码后发送给所述安全存取模块SAM卡。
具体的,用户卡在确定所述安全存取模块SAM卡验证成功后,可以采用验证后的所述第一数字证书C2中的公钥对所述用户卡识别码进行加密获得加密值EID。
通过在用户卡内对用户卡识别码进行公钥加密,提高了门禁系统的安全性。
需要说明的是,如果有在上述任一实施例中有返回错误的时候,则鉴权失败。
图4为本发明提供的一种门禁鉴权装置设置在门禁终端的实施例一结构示意图,如图4所示,该装置包括:签名模块10、通信模块20、验证模块30和解密模块40;
所述签名模块10,设置为获取用户卡生成的第一随机数,对所述第一随机数进行签名;
所述通信模块20,设置为将第一数字证书和签名后的第一签名值发送给所述用户卡进行验证,并生成第二随机数发送给所述用户卡进行签名;
所述验证模块30,设置为在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值;
所述解密模块40,设置为确定验证成功后,解密所述用户卡发送的加密用户卡识别码。
本发明实施例提供的一种门禁鉴权装置,设置在门禁终端内,该装置通过在SAM卡内产生的密钥对中的私钥对用户卡的第一随机数进行签名,并通过在SAM卡内采用认证机构根证书验证用户卡的数字证书和签名,由于私钥不能被读出且认证机构根证书不易被篡改,从而提高了该门禁系统的安全性。
进一步地,在一个实施例中,所述签名模块10对所述第一随机数进行签名,是指:
所述签名模块10对所述第一随机数采用私钥进行签名。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在一个实施例中,所述验证模块30设置为在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值,是指:
所述验证模块30设置为在所述用户卡验证成功后,使用认证机构根证书验证所述第二数字证书,并使用所述第二数字证书中的公钥验证第二签名值。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在一个实施例中,所述解密模块40设置为确定验证成功后,解密所述用户卡发送的加密用户卡识别码,是指:
所述解密模块40设置为确定验证成功后,采用SAM卡私钥解密出所述用户卡的用户卡识别码。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图5为本发明提供的一种门禁鉴权装置设置在用户终端的实施例一结构示意图,如图5所示,该装置包括:通信模块100、验证模块200、签名模块300和加密模块400;
所述通信模块100设置为生成第一随机数发送给安全存取模块SAM卡;
所述验证模块200设置为分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值;
所述签名模块300设置为在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,并发送第二数字证书和所述用户卡签名后的第二签名值给所述安全存取模块SAM卡进行验证;
所述加密模块400设置为确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡。
本发明实施例提供的一种门禁鉴权装置,设置在用户终端内,该装置通过在用户卡内产生的密钥对中的私钥对所述安全存取模块SAM卡的第二随机数进行签名,由于私钥不能被读出,从而提高了门禁系统的安全性。
进一步地,在一个实施例中,所述验证模块200设置为分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值,是指:
所述验证模块200设置为采用认证机构根证书验证所述第一数字证书,并采用所述第一数字证书中的公钥验证所述第一签名值。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在一个实施例中,所述签名模块300设置为在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,是指:
所述签名模块300设置为在分别验证成功后,使用所述用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数进行签名。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在一个实施例中,所述加密模块400设置为确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡,是指:
所述加密模块400设置为确定所述安全存取模块SAM卡验证成功后,采用所述第一数字证书中的公钥加密用户卡识别码后发送给所述安全存取模块SAM卡。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (16)
1.一种门禁鉴权方法,应用于门禁终端,其特征在于,所述方法包括:
获取用户卡生成的第一随机数,对所述第一随机数进行签名;
将第一数字证书和签名后的第一签名值发送给所述用户卡进行验证,并生成第二随机数发送给所述用户卡进行签名;
在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值;
确定验证成功后,解密所述用户卡发送的加密用户卡识别码。
2.根据所述权利要求1所述的方法,其特征在于,对所述第一随机数进行签名,包括:
对所述第一随机数采用安全存取模块SAM卡私钥进行签名。
3.根据权利要求1所述的方法,其特征在于,在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值,包括:
在所述用户卡验证成功后,使用认证机构根证书验证所述第二数字证书,并使用所述第二数字证书中的公钥验证第二签名值。
4.根据权利要求1所述的方法,其特征在于,确定验证成功后,解密所述用户卡发送的加密用户卡识别码,包括:
确定验证成功后,采用安全存取模块SAM卡私钥解密出所述用户卡的用户卡识别码。
5.一种门禁鉴权方法,应用于用户终端,其特征在于,所述方法包括:
生成第一随机数发送给安全存取模块SAM卡;
分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值;
在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,并发送第二数字证书和用户卡签名后的第二签名值给所述安全存取模块SAM卡进行验证;
确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡。
6.根据权利要求5所述的方法,其特征在于,分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值,包括:
采用认证机构根证书验证所述第一数字证书,并采用所述第一数字证书中的公钥验证所述第一签名值。
7.根据权利要求5所述的方法,其特征在于,在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,包括:
在分别验证成功后,使用所述用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数进行签名。
8.根据权利要求5所述的方法,其特征在于,确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡,包括:
确定所述安全存取模块SAM卡验证成功后,采用所述第一数字证书中的公钥加密用户卡识别码后发送给所述安全存取模块SAM卡。
9.一种门禁鉴权装置,设置在门禁终端内,其特征在于,该装置包括:签名模块、通信模块、验证模块和解密模块;
所述签名模块,设置为获取用户卡生成的第一随机数,对所述第一随机数进行签名;
所述通信模块,设置为将第一数字证书和签名后的第一签名值发送给所述用户卡进行验证,并生成第二随机数发送给所述用户卡进行签名;
所述验证模块,设置为在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值;
所述解密模块,设置为确定验证成功后,解密所述用户卡发送的加密用户卡识别码。
10.根据权利要求9所述的装置,其特征在于,所述签名模块对所述第一随机数进行签名,是指:
所述签名模块对所述第一随机数采用安全存取模块SAM卡私钥进行签名。
11.根据权利要求9所述的装置,其特征在于,所述验证模块设置为在所述用户卡验证成功后,分别验证所述用户卡发送的第二数字证书和所述用户卡签名后的第二签名值,是指:
所述验证模块设置为在所述用户卡验证成功后,使用认证机构根证书验证所述第二数字证书,并使用所述第二数字证书中的公钥验证第二签名值。
12.根据权利要求9所述的装置,其特征在于,所述解密模块设置为确定验证成功后,解密所述用户卡发送的加密用户卡识别码,是指:
所述解密模块设置为确定验证成功后,采用安全存取模块SAM卡私钥解密出所述用户卡的用户卡识别码。
13.一种门禁鉴权装置,设置在用户终端内,该装置包括:通信模块、验证模块、签名模块和加密模块;
所述通信模块设置为生成第一随机数发送给安全存取模块SAM卡;
所述验证模块设置为分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值;
所述签名模块设置为在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,并发送第二数字证书和用户卡签名后的第二签名值给所述安全存取模块SAM卡进行验证;
所述加密模块设置为确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡。
14.根据权利要求13所述的装置,其特征在于,所述验证模块设置为分别验证所述安全存取模块SAM卡发送的第一数字证书和对所述第一随机数签名后的第一签名值,是指:
所述验证模块设置为采用认证机构根证书验证所述第一数字证书,并采用所述第一数字证书中的公钥验证所述第一签名值。
15.根据权利要求13所述的装置,其特征在于,所述签名模块设置为在分别验证成功后,对所述安全存取模块SAM卡发送的第二随机数进行签名,是指:
所述签名模块设置为在分别验证成功后,使用所述用户卡的私钥对所述安全存取模块SAM卡发送的第二随机数进行签名。
16.根据权利要求13所述的装置,其特征在于,所述加密模块设置为确定所述安全存取模块SAM卡验证成功后,加密用户卡识别码发送给所述安全存取模块SAM卡,是指:
所述加密模块设置为确定所述安全存取模块SAM卡验证成功后,采用所述第一数字证书中的公钥加密用户卡识别码后发送给所述安全存取模块SAM卡。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610524461.8A CN106067205B (zh) | 2016-07-05 | 2016-07-05 | 一种门禁鉴权方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610524461.8A CN106067205B (zh) | 2016-07-05 | 2016-07-05 | 一种门禁鉴权方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106067205A CN106067205A (zh) | 2016-11-02 |
CN106067205B true CN106067205B (zh) | 2018-10-09 |
Family
ID=57207500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610524461.8A Active CN106067205B (zh) | 2016-07-05 | 2016-07-05 | 一种门禁鉴权方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106067205B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107578511A (zh) * | 2017-09-15 | 2018-01-12 | 林海航 | 一种智能锁及其智能钥匙 |
CN108449317B (zh) * | 2018-02-08 | 2020-07-07 | 湘潭大学 | 一种基于sgx与同态加密进行安全验证的门禁系统及其实现方法 |
CN108551455B (zh) * | 2018-04-24 | 2021-02-26 | 北京小米移动软件有限公司 | 智能卡的配置方法及装置 |
CN109741506A (zh) * | 2019-02-28 | 2019-05-10 | 北京中金国信科技有限公司 | 一种开锁方法、装置及设备 |
CN112712623A (zh) * | 2020-12-29 | 2021-04-27 | 北京深思数盾科技股份有限公司 | 门禁系统及其处理方法以及终端子系统 |
CN112735005A (zh) * | 2020-12-29 | 2021-04-30 | 北京深思数盾科技股份有限公司 | 门禁卡及其授权和验证的方法、终端子系统和门禁系统 |
CN113506390B (zh) * | 2021-06-11 | 2022-08-05 | 武汉天喻信息产业股份有限公司 | 访问控制方法、装置、设备及可读存储介质 |
CN115471952B (zh) * | 2022-09-29 | 2024-04-05 | 石家庄科林电气股份有限公司 | 充电桩刷卡认证方法、充电桩及充电管理系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB1165989A (en) * | 1968-06-24 | 1969-10-01 | Sam Shiao-Ming Hsu | Safety Lock Mechanism |
JPH01190884A (ja) * | 1988-01-26 | 1989-07-31 | Matsushita Electric Works Ltd | 電気施解錠装置 |
CN101583124B (zh) * | 2009-06-10 | 2011-06-15 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
CN102800141B (zh) * | 2012-07-24 | 2015-10-28 | 东信和平科技股份有限公司 | 一种基于双向认证的门禁控制方法及系统 |
CN103971426A (zh) * | 2013-01-31 | 2014-08-06 | 北京同方微电子有限公司 | 一种基于psam安全控制的门禁系统及其安全门禁方法 |
CN105160242B (zh) * | 2015-08-07 | 2018-01-05 | 北京亿速码数据处理有限责任公司 | 一种读卡器的证书加载方法、证书更新方法及读卡器 |
CN105608775B (zh) * | 2016-01-27 | 2018-12-28 | 大唐微电子技术有限公司 | 一种鉴权的方法、终端、门禁卡及sam卡 |
-
2016
- 2016-07-05 CN CN201610524461.8A patent/CN106067205B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN106067205A (zh) | 2016-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106067205B (zh) | 一种门禁鉴权方法和装置 | |
ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
CN110677418B (zh) | 可信声纹认证方法、装置、电子设备及存储介质 | |
AU2015334634B2 (en) | Transaction messaging | |
ES2632795T3 (es) | Sistema de pago | |
ES2881873T3 (es) | Procedimiento de protección de una ficha de pago | |
CN107844946A (zh) | 一种电子合同签署的方法、装置及服务器 | |
CN106953732B (zh) | 芯片卡的密钥管理系统及方法 | |
CN106161350A (zh) | 一种管理应用标识的方法及装置 | |
KR20010022724A (ko) | 데이타 매체의 인증을 검증하는 방법 | |
CN110598429B (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
CN103326864A (zh) | 一种电子标签防伪认证方法 | |
CN106792669A (zh) | 基于混合加密算法的移动终端信息加密方法及装置 | |
CN105608775B (zh) | 一种鉴权的方法、终端、门禁卡及sam卡 | |
CN106953731A (zh) | 一种终端管理员的认证方法及系统 | |
CN106056726B (zh) | 一种可双向认证的cpu卡门禁读卡器的安全认证方法 | |
CN106027254A (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
KR102519828B1 (ko) | 회로 칩 및 그 동작 방법 | |
KR100408890B1 (ko) | 다중 인증경로를 이용한 신용거래 인증방법 및 이를이용한 시스템 | |
CN106027256A (zh) | 一种身份证读卡响应系统 | |
CN106027474A (zh) | 一种身份证认证系统中的身份证读卡终端 | |
CN111815821B (zh) | 一种应用于智能门锁的ic卡安全算法 | |
CN107994998A (zh) | 一种身份认证信息加密方法及系统 | |
WO2018014103A1 (pt) | Sistema de provisionamento, assinatura e verificação de documento eletrônico, método de provisionamento e assinatura de documento eletrônico e método de verificação de autenticidade de documento eletrônico | |
CN106487796A (zh) | 身份证阅读机具中的安全加密单元及其应用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |