CN112598827A - 智能锁认证方法、安全芯片、智能锁及其管理系统 - Google Patents
智能锁认证方法、安全芯片、智能锁及其管理系统 Download PDFInfo
- Publication number
- CN112598827A CN112598827A CN202011563351.5A CN202011563351A CN112598827A CN 112598827 A CN112598827 A CN 112598827A CN 202011563351 A CN202011563351 A CN 202011563351A CN 112598827 A CN112598827 A CN 112598827A
- Authority
- CN
- China
- Prior art keywords
- unlocking
- authentication
- lock
- key
- intelligent lock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明实施方式涉及安全技术领域,特别涉及一种智能锁认证方法、安全芯片、智能锁及其管理系统。所述智能锁认证方法包括:解析获取到的开锁认证数据,所述开锁认证数据包括命令码和密文部分;基于所述命令码确定所述密文部分的解密密钥和认证规则;所述解密密钥与所述密文部分的加密密钥为对称关系或分散关系;基于确定得到的解密密钥解密所述密文部分,得到开锁参数;将所述开锁参数基于确定得到的认证规则进行认证。同时还提供了对应的安全芯片、智能锁及其管理系统。本发明提供的实施方式能够提升安全芯片及智能锁的数据安全性。
Description
技术领域
本发明涉及安全技术领域,特别涉及一种智能锁认证方法、一种安全芯片、一种智能锁及一种智能锁管理系统。
背景技术
在智慧城市、物联网建设的大背景下电子化智能锁应用开始普及,目前市场上常见智能锁大都缺乏安全防护机制,或安全机制相对薄弱。智能锁现有的技术存在较大的安全隐患:
1、智能锁的属性信息存在非法修改问题;
2、存在非授权的电子钥匙非法获得其他钥匙的授权信息后开锁问题;
3、锁具开锁数据交互时,锁具授权码未使用硬件加密算法保护、授权
码和算法易被厂家开发人员破解泄露问题;
4、当需要严控开锁次数场景时,无开锁次数保护认证机制,存在一次授权信息多次使用问题。
5、锁具开锁认证交易复杂,功耗大问题。
密钥分散技术;密钥分散是上级的密钥与本级的特征相结合形成本级的密钥,其中本级的特征在密钥学称之为分散因子。
发明内容
有鉴于此,本发明旨在提出一种智能锁认证方法、安全芯片、智能锁及其管理系统,以至少部分地解决以上问题。
为达到上述目的,本发明的第一方面提供了一种智能锁认证方法,所述认证方法包括:解析获取到的开锁认证数据,所述开锁认证数据包括命令码和密文部分;基于所述命令码确定所述密文部分的解密密钥和认证规则;所述解密密钥与所述密文部分的加密密钥为对称关系或分散关系;基于确定得到的解密密钥解密所述密文部分,得到开锁参数;将所述开锁参数基于确定得到的认证规则进行认证。
优选的,所述开锁认证数据还包括第一标识ID,所述开锁参数包括:第二标识ID、授权码和开锁次数。
优选的,所述认证规则包括:第一认证规则:若所述第一标识ID与所述第二标识ID相匹配,且所述开锁参数中的授权码与所述智能锁的本地授权码相匹配,且所述开锁参数中的开锁次数大于所述智能锁的本地开锁次数,则认证成功;以及第二认证规则:若所述第一标识ID与所述第二标识ID相匹配,则认证成功。
优选的,所述认证方法还包括,通过以下步骤设置所述智能锁的本地授权码和本地开锁次数:接收系统内外部认证请求和随机数R1;对所述随机数R1加密得到随机数R1密文,向所述系统内外部认证请求的发送端返回所述智能锁的锁ID、所述随机数R1密文和生成的随机数R2;获取所述系统内外部认证请求的发送端返回的对所述随机数R2加密得到随机数R2密文;确定返回的随机数R2密文与本地对所述随机数R2加密得到随机数R2密文一致,则接受授权码和开锁次数的设置;将获取的授权码和开锁次数分别设置为本地授权码和本地开锁次数;所述本地开锁次数在每次开锁成功后更新。
优选的,基于所述命令码确定所述密文部分的解密密钥和认证规则,包括:若所述命令码为第一类型,则确定所述解密密钥为第一锁具属性保护密钥分散后的子密钥,认证规则为所述第一认证规则;若所述命令码为第二类型,则确定所述解密密钥为第二锁具属性保护密钥,认证规则为所述第二认证规则。
优选的,所述第一锁具属性保护密钥分散后的子密钥,包括:将所述第一锁具属性保护密钥经过所述智能锁的锁ID分散后得到所述子密钥。
优选的,所述开锁认证数据中还包括所述开锁认证数据的验证信息;所述验证信息用于基于所述命令码确定的验证密钥进行验证。
优选的,所述验证信息基于所述命令码确定的验证密钥进行验证,包括:若所述命令码为第一类型,则确定以第一开锁认证密钥经所述智能锁的锁ID分散后得到的子密钥为验证密钥进行验证;若所述命令码为第二类型,则确定以第二开锁认证密钥为验证密钥进行验证。
优选的,所述认证方法中的加密和解密均采用国密SM1算法。
在本发明的第二方面,还提供了一种安全芯片,所述安全芯片被配置为执行前述的智能锁认证方法。
优选的,所述安全芯片还被配置为存储有国密SM1算法、密钥分散算法以及第一锁具属性保护密钥、第二锁具属性保护密钥、第一开锁认证密钥、第二开锁认证密钥。
在本发明的第三方面,还提供了一种智能锁,所述智能锁包括前述的安全芯片。
优选的,所述智能锁被配置为:接收包括锁ID和开锁认证数据的开锁指令;响应于所述开锁指令,确定所述开锁指令中的锁ID等于所述智能锁的锁ID;发送所述开锁认证数据至所述安全芯片。
优选的,所述智能锁还被配置为:基于所述安全芯片返回的认证结果执行开锁动作;以及将所述开锁动作的执行结果反馈至所述开锁指令的发送端。
在本发明的第四方面,还提供了一种智能锁管理系统,所述管理系统包括若干前述的智能锁,以及与所述智能锁存在通信联系的管理平台,所述管理平台被配置为:通过密码机以及接口程序,对所述智能锁进行管理和维护;以及生成开锁指令或开锁认证数据。
优选的,所述管理平台被配置为,通过以下步骤对所述智能锁的本地授权码和本地开锁次数进行设置:向被设置的智能锁下发系统内外部认证请求和随机数R1;获取所述智能锁发送的锁ID、随机数R1密文和随机数R2,所述随机数R1密文通过对所述随机数R1加密得到;确定返回的随机数R1密文与本地对所述随机数R1加密得到随机数R1密文一致;向所述智能锁下发对所述随机数R2加密得到随机数R2密文;确定接收到所述智能锁的系统内外部认证结果;向所述智能锁下发包括授权码和开锁次数的设置指令;所述设置指令中的授权码和开锁次数被所述智能锁分别设置为本地授权码和本地开锁次数。
优选的,所述生成开锁指令或开锁认证数据,包括:基于开锁场景确定命令码,并基于确定的命令码确定加密密钥;采用确定所得的加密密钥加密开锁参数,得到开锁认证数据中的密文部分;将所述命令码和所述密文部分组合成为所述开锁认证数据;或者还包括:将所述开锁认证数据和所述开锁认证数据对应的锁ID组合成为所述开锁指令。
优选的,所述开锁认证数据中还包括所述开锁认证数据的验证信息;所述验证信息用于基于确定的命令码确定的验证密钥生成.
本发明还提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的智能锁认证方法。
本发明所述的智能锁认证方法、安全芯片、智能锁及其管理系统,具有以下有益效果:
(1)通过对不同密钥的安全设置,防止属性信息被恶意修改,提升数据安全性能;
(2)能防止系统或者电子钥匙非法从主站管理平台获取到其他设备的授权数据的行为发生,提升多场景应用的安防力度;
(3)通过安全芯片内的硬件加密对称算法SM1算法进行保护,算法不掌握在开发人员手中,比较软算法更安全,同时具有开锁次数管理;智能锁安全芯片具有通过一条指令同时实现多功能特点;
(4)对智能锁进行开锁认证时,只需要2次数据交互,交易更简洁,降低安全芯片功耗。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施方式及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明一实施方式中的智能锁认证方法的步骤示意图;
图2为本发明一实施方式中的双向身份认证流程的流程示意图;
图3为本发明一实施方式中的智能锁认证方法中智能锁和安全芯片侧的流程示意图;
图4为本发明一实施方式中的智能锁管理系统的结构示意图;
图5为本发明一实施方式中的智能锁认证方法中管理平台侧的流程示意图。
具体实施方式
以下结合附图对本发明实施方式的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施方式,并不用于限制本发明实施方式。
图1为本发明一实施方式中的智能锁认证方法的步骤示意图,如图1所示,一种智能锁认证方法,所述认证方法包括:
S01、解析获取到的开锁认证数据,所述开锁认证数据包括命令码和密文部分;本实施方式根据是否需要严控开锁次数等不同场景,设置不同权限数据组织方法,使用不同级别的密钥对数据进行防篡改保护。其中命令码就是用于标识开锁数据的组织方法,密文部分用于存储开锁参数。
S02、基于所述命令码确定所述密文部分的解密密钥和认证规则;所述解密密钥与所述密文部分的加密密钥为对称关系或分散关系;基于命令码的不同,密文部分的解密密钥也不同,密文中的内容的认证规则也不同。其中在不需要严控开锁次数场景使用主密钥,需要严控开锁次数场景使用分散后的密钥,以实现对密钥的区分和安全管理。
S03、基于确定得到的解密密钥解密所述密文部分,得到开锁参数;通过正确的解密密钥解密得到的开锁参数,根据使用场景的不同,可能会仅包括开锁密钥等简单数据,也可能包括标识ID、授权码、开锁次数和其他参数等。这些开锁参数也不一定会被全部使用,会根据认证规则进行选择。
S04、将所述开锁参数基于确定得到的认证规则进行认证;智能锁安全芯片使用不同的解密密钥进行授权数据的密文部分的解密后,可以支持对开锁参数中多个条件的合法性判断,也可以由用户进行任意的组合。这些认证规则可以是多个,基于命令码进行选择使用,以此增加认证规则的灵活性,降低了被攻击的风险。
通过以上实施方式,能够提供多种场合下的开锁信息的数据组织方式,该数据组织方式包括:命令码、密钥使用和认证规则,从而实现更加安全和更加灵活的开锁认证方法。
在本发明提供的一种实施方式中,所述开锁认证数据还包括第一标识ID,所述开锁参数包括:第二标识ID、授权码和开锁次数。此处的标识ID有两个,在明文部分的可称为第一标识ID,在密文部分的可称为第二标识ID。本实施方式中的解密后的第二标识ID与输入命令中的第一标识ID可以用于一致性判断,防止非法使用管理平台给锁具的授权数据。授权码用于用户需要设定单独授权的场合;开锁次数用于在需要限定智能锁开锁次数的场合。当不需要严控开锁次数场景时,即第二命令码(类型02)的开锁认证时,不进行开锁次数判断和更新;当需要严控开锁次数场景时,即第一命令码(类型为01)的开锁认证时,需验证解密出的授权码和芯片内存储的授权码是否一致、解密出的开锁次数是否比芯片内存储的开锁次数大,如合法再更新芯片内的开锁次数通过对于开锁参数的规划和设定,能够使本认证方式适用于多种场合,实现功能丰富的开锁管控。
在本发明提供的一种实施方式中,所述认证规则包括:第一认证规则:若所述第一标识ID与所述第二标识ID相匹配,且所述开锁参数中的授权码与所述智能锁的本地授权码相匹配,且所述开锁参数中的开锁次数大于所述智能锁的本地开锁次数,则认证成功;以及第二认证规则:若所述第一标识ID与所述第二标识ID相匹配,则认证成功。第一认证规则是基于开锁参数中的三个参数均用于比较,适用于需要开锁次数管控的场合,第二认证规则适用于一般场合。实际场合中的认证规则可以大于两种,其选择也是基于命令码进行映射的。
上一实施方式中的本地授权码和本地开锁次数均存储于智能锁中,并在该智能锁投入正式使用之前或挂装之前进行设置的。该设置流程包括双向认证流程和智能锁参数配置。
智能锁在投入正式使用之前,通过管理平台的密码机和智能锁用安全芯片进行系统内、外部认证,才允许进行相关参数的配置。认证流程如下:图2为本发明一实施方式中的双向身份认证流程的流程示意图,如图2所示。接收系统内外部认证请求和随机数R1;对所述随机数R1加密得到随机数R1密文,向所述系统内外部认证请求的发送端返回所述智能锁的锁ID、所述随机数R1密文和生成的随机数R2;获取所述系统内外部认证请求的发送端返回的对所述随机数R2加密得到随机数R2密文;确定返回的随机数R2密文与本地对所述随机数R2加密得到随机数R2密文一致,则接受授权码和开锁次数的设置。
智能锁参数配置的流程如下:智能锁在挂装之前,通过管理平台的密码机和智能锁用安全芯片进行系统内、外部认证,认证通过后配置智能锁相关内容,包含授权码、允许开锁次数等。其中开锁验证证书的更新,需要系统内、外部认证通过后才可执行,否则安全芯片报错;授权码、允许开锁次数使用第一锁具属性保护密钥保护。所述本地开锁次数在每次开锁成功后更新。设置智能锁属性命令输入内容包含:密文+MAC,密文对应的明文信息为:0C(长度)+8字节授权码+4字节开锁次数+800000。
本实施方式中提供了命令码、解密密钥和认证规则之间的一种对应关系。基于所述命令码确定所述密文部分的解密密钥和认证规则,包括:若所述命令码为第一类型,则确定所述解密密钥为第一锁具属性保护密钥分散后的子密钥,认证规则为所述第一认证规则;若所述命令码为第二类型,则确定所述解密密钥为第二锁具属性保护密钥,认证规则为所述第二认证规则。用户可以根据实际场景进行自定义的设置。
其中,将所述第一锁具属性保护密钥经过所述智能锁的锁ID分散后得到所述子密钥。通过智能锁的锁ID作为分散因子进行密钥分散,能够保证子密钥之间的差异性,同时保留了与智能锁相关的身份信息。
在本发明提供的一种实施方式中,所述开锁认证数据中还包括所述开锁认证数据的验证信息;所述验证信息用于基于所述命令码确定的验证密钥进行验证。此处的验证信息优选为MAC(Message Authentication Codes)。保证通过系统或者电子钥匙进行MAC保护后指定的锁授权信息只有对应锁才能验证MAC,而通过系统或者电子钥匙进行MAC保护的通用锁授权信息多个锁具安全芯片均能验证MAC,保证加密后的指定锁授权信息只有对应锁才能解密,而加密后的通用锁授权信息多个锁具安全芯片均能解密,能防止系统或者电子钥匙非法从管理平台获取到其他设备的授权数据的行为发生,提升多场景应用的安防力度。
在本发明提供的一种实施方式中,MAC的计算密钥也可以根据不同的场景进行选择。具体的,根据所述验证信息基于所述命令码确定的验证密钥进行验证,包括:若所述命令码为第一类型,则确定以第一开锁认证密钥经所述智能锁的锁ID分散后得到的子密钥为验证密钥进行验证;若所述命令码为第二类型,则确定以第二开锁认证密钥为验证密钥进行验证。以此保护开锁认证数据在不同场景中的信息安全,提升安全性。
在本发明提供的一种实施方式中,所述认证方法中的加密和解密均采用国密SM1算法。在认证方法中采用的国密SM1算法,是国家密码管理局编制的一种商用密码分组标准对称算法,该算法并不公开,保密性高,而且能够易于与其他采用此算法的部件或芯片配合使用,利于标准化生产。
为了使本领域技术人员容易理解和实施本发明提供的认证方式,特通过附图3对本发明实施方式提供的智能锁认证方式进行说明。图3为本发明一实施方式中的智能锁认证方法中智能锁和安全芯片侧的流程示意图,其中图中的
等标识用于与附图5中流程的衔接,图中的用于区分的1和2等同与前述的“第一”和“第二”。如图3所示:
(1)智能锁收到开锁请求后,从安全芯片取随机数R3并反馈R3和锁ID1给发起请求端。
(2)系统或者电子钥匙根据开锁命令码组织授权数据,其具体步骤如附图5所示,将在后文详述。
(3)智能锁收到开锁认证数据后,根据命令码判断是指定锁授权信息类型(01)开锁还是通用锁授权信息类型(02)开锁,使用对应的开锁验证密钥及随机数R3进行验证MAC(其中指定类型01时,使用芯片预存的锁ID分散后子密钥验证,通用类型02时,使用芯片预存的主密钥对标识ID分散后的密钥验证),通过后使用对应的锁具属性保护密钥解密DATA1获得标识ID、授权码、开锁次数;如果是02类型命令码,只验证解密出的标识ID和命令中的明文标识ID是否一致(授权码、开锁次数部分为全FF),一致则返回认证成功结果,否则报错,跳转到步骤(5);如果是01类型命令码,还需判断解密出的授权码和芯片内存储的授权码是否一致、解密出的开锁次数是否比芯片内存储的开锁次数大,如合法则更新芯片内的开锁次数,返回认证成功结果,如果不合法则报错。智能锁安全芯片开锁认证命令输入信息包含:标识ID+命令码+锁具属性保护密钥KID+开锁权限密文DATA1(明文包含标识ID‖8字节授权码||4字节开锁次数)+MAC。
(4)智能锁驱动开锁,并根据开锁结果返回系统或电子钥匙。
(5)系统或者电子钥匙获得开锁的结果。
在本发明提供的一种实施方式中,还提供了一种安全芯片,所述安全芯片被配置为执行前述的智能锁认证方法。该安全芯片是一款基于SPI接口的、硬件实现国密SM1算法的芯片,使得管理平台对智能锁的参数设置、管理平台或者电子钥匙对智能锁之间的开锁认证都均有硬件安全芯片保护。
一种可选的实施方式,所述安全芯片还被配置为存储有国密SM1算法、密钥分散算法以及第一锁具属性保护密钥、第二锁具属性保护密钥、第一开锁认证密钥、第二开锁认证密钥。以上存储的算法和密钥均用于实现前述的智能锁认证方法,其中安全芯片中还可以存储其他流程所需的密钥,并与密码机配合使用,将在后文详述。
在本发明提供的一种实施方式中,还提供了一种智能锁,所述智能锁包括前述的安全芯片。通过智能锁内置的安全芯片,使该智能锁能够实施前述的智能锁认证方法,丰富智能锁的使用场景,并提升智能锁的安全性。
在本发明提供的一种实施方式中,所述智能锁被配置为:响应于开锁指令,所述开锁指令包括锁ID和开锁认证数据;确定所述开锁指令中的锁ID等于所述智能锁的锁ID,发送所述开锁认证数据至所述安全芯片。通过在开锁指令中增加锁ID,能够前置滤除非目标的开锁认证数据。仅当锁ID匹配时,该智能锁才将开锁认证数据发送至安全芯片,让安全芯片执行前述的智能锁认证方法。
在本发明提供的一种实施方式中,所述智能锁还被配置为:基于所述安全芯片返回的认证结果执行开锁动作;以及将所述开锁动作的执行结果反馈至所述开锁指令的发送端。智能锁中除了安全芯片外,还具有锁具部件等机械装置,当认证结果为“通过”时,智能锁控制机械部分执行具体的开锁动作。当开锁动作执行完毕时,更新本地的开锁次数,并将此结果反馈至所述开锁指令的发送端,使发送端进行记录或其他操作。
图4为本发明一实施方式中的智能锁管理系统的结构示意图,如图4所示。在该实施方式中,还提供了一种智能锁管理系统,所述管理系统包括若干前述的智能锁,以及与所述智能锁存在通信联系的管理平台,所述管理平台被配置为:通过密码机以及接口程序,对所述智能锁进行管理和维护;以及生成开锁指令或开锁认证数据。此处的通信联系可以通过4G\5G等蜂窝数据方式,也可以通过家用路由器等无线方式,或者物联网方式。在该智能锁的管理平台中通过带国密SM1算法的密码机以及接口程序,进行智能锁的属性信息、开锁授权数据的管理维护。并通过以下两种途径将授权信息(开锁指令或开锁认证数据)下发智能锁进行认证,保障整个锁具应用系统的安全:(1)管理平台的密码机直接与智能锁安全芯片进行认证;(2)管理平台将开锁授权数据下发电子钥匙后,由电子钥匙内安全芯片与智能锁安全芯片进行认证。其中,管理平台侧的密码机、智能锁配备的安全芯片均预置对称密钥,用来保护数据交互的机密性和完整性,对称密钥部署和分散层级关系如下:
表1
在本发明提供的一种实施方式中,所述管理平台被配置为,通过以下步骤对所述智能锁的本地授权码和本地开锁次数进行设置:向被设置的智能锁下发系统内外部认证请求和随机数R1;获取所述智能锁发送的锁ID、随机数R1密文和随机数R2,所述随机数R1密文通过对所述随机数R1加密得到;确定返回的随机数R1密文与本地对所述随机数R1加密得到随机数R1密文一致;向所述智能锁下发对所述随机数R2加密得到随机数R2密文;确定接收到所述智能锁的系统内外部认证结果;向所述智能锁下发包括授权码和开锁次数的设置指令;所述设置指令中的授权码和开锁次数被所述智能锁分别设置为本地授权码和本地开锁次数。本实施方式中的管理平台的双向认证流程和智能锁参数配置的技术细节和有益效果参见前述和附图2,此处不再赘述。
在本发明提供的一种实施方式中,所述管理平台被配置为生成开锁指令或开锁认证数据,包括:基于开锁场景确定命令码,并基于确定的命令码确定加密密钥;采用确定所得的加密密钥加密开锁参数,得到开锁认证数据中的密文部分;将所述命令码和所述密文部分组合成为所述开锁认证数据;或者还包括:将所述开锁认证数据和所述开锁认证数据对应的锁ID组合成为所述开锁指令。以及可选的,所述开锁认证数据中还包括所述开锁认证数据的验证信息;所述验证信息用于基于确定的命令码确定的验证密钥生成。以上开锁认证数据、开锁指令、验证信息的在管理平台的生成步骤与前述的智能锁认证方法相对应,其技术细节和有益效果参见前述,此处不再赘述。图5为本发明一实施方式中的智能锁认证方法中管理平台侧的流程示意图,如图5所示。其中图中的
等标识用于与附图3中流程的衔接,图中的用于区分的1和2等同与前述的“第一”和“第二”。其步骤的位置对应于对附图3的描述中的步骤(2),即系统或者电子钥匙根据开锁命令码组织授权数据,具体描述如下:
当需要严控开锁次数场景时,即开锁命令码为指定锁授权信息类型(如01类型)时,使用第一锁具属性保护密钥采用锁ID1分散后的子密钥,即图中的锁具属性保护子密钥1对系统标识ID、授权码、开锁次数进行加密计算,获得Data1;使用锁ID1分散后的第一开锁认证子密钥,即图中的开锁认证子密钥1以及R3对系统标识ID+命令码+Data1进行MAC计算,组织开锁指令下发智能锁;当不需要严控开锁次数场景时,即开锁命令码为通用锁授权信息类型(如02类型)时,使用第二锁具属性保护子密钥,即锁具属性保护密钥2对系统标识ID、全FF填充授权码、全FF填充开锁次数进行加密计算,获得Data1;使用锁ID1分散后的第二开锁认证子密钥,即开锁认证子密钥2以及R3对系统标识ID+命令码+Data1进行MAC计算,组织开锁指令下发智能锁,内容包含:系统标识ID+命令码+Data1+MAC组包发送给智能锁。
本发明的实施方式还提供一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本实施方式所述的智能锁认证方法。
通过以上实施方式提供的智能锁认证方法、安全芯片、智能锁和智能锁管理系统,通过对不同密钥的使用管理,能够防止属性信息被恶意修改,提升数据安全性能。
根据是否需要严控开锁次数场景,设置两种权限数据组织方法,使用不同级别(不需要严控开锁次数场景使用主密钥,需要严控开锁次数场景使用分散后的密钥)的密钥对数据进行防篡改保护,智能锁使用不同的开锁认证密钥进行验证MAC,保证通过系统或者电子钥匙进行MAC保护后指定的锁授权信息只有对应锁才能验证MAC,而通过系统或者电子钥匙进行MAC保护的通用锁授权信息多个锁具安全芯片均能验证MAC,保证加密后的指定锁授权信息只有对应锁才能解密,而加密后的通用锁授权信息多个锁具安全芯片均能解密,能防止系统或者电子钥匙非法从主站管理平台获取到其他设备的授权数据的行为发生,提升多场景应用的安防力度。
智能锁安全芯片使用不同的密钥进行授权数据的解密获得标识ID后,与输入命令中标识ID明文做比较,能防止系统或者电子钥匙非法使用从合法主站管理平台获取的其他设备的授权数据,提升了密钥数据的安全管理。
智能锁安全芯片使用不同的密钥进行授权数据的解密后,01类型命令码认证时,还可以同时支持授权码、开锁次数的合法性判断,并将开锁次数同时更新成新的开锁次数。授权码通过安全芯片内的硬件加密对称算法SM1算法进行保护,算法不掌握在开发人员手中,比较软算法更安全,同时具有开锁次数管理;智能锁安全芯片具有通过一条指令同时实现多功能特点。
对智能锁进行开锁认证时,通过对称密钥进行数据传输保护和验证,数据传输量小,只需要两次数据交互,交易更简洁,降低安全芯片功耗。
以上结合附图详细描述了本发明实施方式的可选实施方式,但是,本发明实施方式并不限于上述实施方式中的具体细节,在本发明实施方式的技术构思范围内,可以对本发明实施方式的技术方案进行多种简单变型,这些简单变型均属于本发明实施方式的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施方式对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施方式方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本发明实施方式的不同实施方式之间也可以进行任意组合,只要其不违背本发明实施方式的思想,其同样应当视为本发明实施方式所公开的内容。
Claims (18)
1.一种智能锁认证方法,其特征在于,所述认证方法包括:
解析获取到的开锁认证数据,所述开锁认证数据包括命令码和密文部分;
基于所述命令码确定所述密文部分的解密密钥和认证规则;所述解密密钥与所述密文部分的加密密钥为对称关系或分散关系;
基于确定得到的解密密钥解密所述密文部分,得到开锁参数;
将所述开锁参数基于确定得到的认证规则进行认证。
2.根据权利要求1所述的认证方法,其特征在于,所述开锁认证数据还包括第一标识ID,所述开锁参数包括:第二标识ID、授权码和开锁次数。
3.根据权利要求2所述的认证方法,其特征在于,所述认证规则包括:
第一认证规则:若所述第一标识ID与所述第二标识ID相匹配,所述开锁参数中的授权码与所述智能锁的本地授权码相匹配,且所述开锁参数中的开锁次数大于所述智能锁的本地开锁次数,则认证成功;以及
第二认证规则:若所述第一标识ID与所述第二标识ID相匹配,则认证成功。
4.根据权利要求3所述的认证方法,其特征在于,所述认证方法还包括,通过以下步骤设置所述智能锁的本地授权码和本地开锁次数:
接收系统内外部认证请求和随机数R1;
对所述随机数R1加密得到随机数R1密文,向所述系统内外部认证请求的发送端返回所述智能锁的锁ID、所述随机数R1密文和生成的随机数R2;
获取所述系统内外部认证请求的发送端返回的对所述随机数R2加密得到随机数R2密文;
确定返回的随机数R2密文与本地对所述随机数R2加密得到随机数R2密文一致,则接受授权码和开锁次数的设置;
将获取的授权码和开锁次数分别设置为本地授权码和本地开锁次数;
所述本地开锁次数在每次开锁成功后更新。
5.根据权利要求3所述的认证方法,其特征在于,基于所述命令码确定所述密文部分的解密密钥和认证规则,包括:
若所述命令码为第一类型,则确定所述解密密钥为第一锁具属性保护密钥分散后的子密钥,认证规则为所述第一认证规则;
若所述命令码为第二类型,则确定所述解密密钥为第二锁具属性保护密钥,认证规则为所述第二认证规则。
6.根据权利要求5所述的认证方法,其特征在于,所述第一锁具属性保护密钥分散后的子密钥,包括:将所述第一锁具属性保护密钥经过所述智能锁的锁ID分散后得到的子密钥。
7.根据权利要求2所述的认证方法,其特征在于,所述开锁认证数据中还包括所述开锁认证数据的验证信息;所述验证信息用于对基于所述命令码确定的验证密钥进行验证。
8.根据权利要求7所述的认证方法,其特征在于,采用所述验证信息对基于所述命令码确定的验证密钥进行验证,包括:
若所述命令码为第一类型,则确定以第一开锁认证密钥经所述智能锁的锁ID分散后得到的子密钥为验证密钥进行验证;
若所述命令码为第二类型,则确定以第二开锁认证密钥为验证密钥进行验证。
9.根据权利要求1至8中任一项所述的认证方法,其特征在于,所述认证方法中的加密和解密均采用国密SM1算法。
10.一种安全芯片,其特征在于,所述安全芯片被配置为执行权利要求1至9中任一项所述的智能锁认证方法。
11.根据权利要求10所述的安全芯片,其特征在于,所述安全芯片还被配置为存储有国密SM1算法、密钥分散算法以及第一锁具属性保护密钥、第二锁具属性保护密钥、第一开锁认证密钥、第二开锁认证密钥。
12.一种智能锁,其特征在于,所述智能锁包括权利要求10或11所述的安全芯片。
13.根据权利要求12所述的智能锁,其特征在于,所述智能锁被配置为:
接收包括锁ID和开锁认证数据的开锁指令;
响应于所述开锁指令,确定所述开锁指令中的锁ID等于所述智能锁的锁ID;
发送所述开锁认证数据至所述安全芯片。
14.根据权利要求13所述的智能锁,其特征在于,所述智能锁还被配置为:
基于所述安全芯片返回的认证结果执行开锁动作;以及
将所述开锁动作的执行结果反馈至所述开锁指令的发送端。
15.一种智能锁管理系统,其特征在于,所述管理系统包括若干权利要求12至14中任一项所述的智能锁,以及与所述智能锁存在通信联系的管理平台,所述管理平台被配置为:
通过密码机以及接口程序,对所述智能锁进行管理和维护;以及
生成开锁指令或开锁认证数据。
16.根据权利要求15所述的智能锁管理系统,其特征在于,所述管理平台被配置为通过以下步骤对所述智能锁的本地授权码和本地开锁次数进行设置:
向被设置的智能锁下发系统内外部认证请求和随机数R1;
获取所述智能锁发送的锁ID、随机数R1密文和随机数R2,所述随机数R1密文通过对所述随机数R1加密得到;
确定返回的随机数R1密文与本地对所述随机数R1加密得到的随机数R1密文一致,向所述智能锁下发对所述随机数R2加密得到的随机数R2密文;
确定接收到所述智能锁的系统内外部认证结果,向所述智能锁下发包括授权码和开锁次数的设置指令;所述设置指令中的授权码和开锁次数被所述智能锁分别设置为本地授权码和本地开锁次数。
17.根据权利要求15所述的智能锁管理系统,其特征在于,所述生成开锁指令或开锁认证数据,包括:
基于开锁场景确定命令码,并基于确定的命令码确定加密密钥;
采用确定所得的加密密钥加密开锁参数,得到开锁认证数据中的密文部分;
将所述命令码和所述密文部分组合成为所述开锁认证数据;
或者还包括:将所述开锁认证数据和所述开锁认证数据对应的锁ID组合成为所述开锁指令。
18.根据权利要求17所述的智能锁管理系统,其特征在于,所述开锁认证数据中还包括所述开锁认证数据的验证信息;所述验证信息用于基于确定的命令码确定的验证密钥的生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011563351.5A CN112598827B (zh) | 2020-12-25 | 2020-12-25 | 智能锁认证方法、安全芯片、智能锁及其管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011563351.5A CN112598827B (zh) | 2020-12-25 | 2020-12-25 | 智能锁认证方法、安全芯片、智能锁及其管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112598827A true CN112598827A (zh) | 2021-04-02 |
| CN112598827B CN112598827B (zh) | 2023-01-20 |
Family
ID=75202267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011563351.5A Active CN112598827B (zh) | 2020-12-25 | 2020-12-25 | 智能锁认证方法、安全芯片、智能锁及其管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112598827B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113298983A (zh) * | 2021-05-24 | 2021-08-24 | 南方电网科学研究院有限责任公司 | 一种基于esam安全认证的电力智能锁具安全管控方法及装置 |
| CN114255530A (zh) * | 2021-12-06 | 2022-03-29 | 深圳供电局有限公司 | 一种用于供电设备的智能锁具的通信安全保障方法及系统 |
| CN114267100A (zh) * | 2021-11-11 | 2022-04-01 | 北京智芯微电子科技有限公司 | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 |
| CN114495343A (zh) * | 2021-12-31 | 2022-05-13 | 深圳亿达天下科技有限公司 | 门禁控制管理系统及门禁控制管理方法 |
| CN115147960A (zh) * | 2022-05-18 | 2022-10-04 | 阿里云计算有限公司 | 电子锁处理方法以及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104167040A (zh) * | 2014-09-02 | 2014-11-26 | 深圳攀多物联科技有限公司 | 一种电子锁的远程控制方法及系统 |
| CN105392134A (zh) * | 2014-09-02 | 2016-03-09 | 恩德莱斯和豪瑟尔测量及调节技术分析仪表两合公司 | 在至少一个第二单元上认证至少一个第一单元的方法 |
| CN106934882A (zh) * | 2015-12-30 | 2017-07-07 | 李平川 | 一种箱柜智能锁系统及开、关锁方法 |
| CN109300211A (zh) * | 2018-09-21 | 2019-02-01 | 腾讯科技(深圳)有限公司 | 一种门禁控制方法、装置及系统 |
| CN109448197A (zh) * | 2018-12-18 | 2019-03-08 | 杭州高锦科技有限公司 | 一种基于多重加密模式的云智能锁系统及密钥管理方法 |
| CN109493488A (zh) * | 2018-11-23 | 2019-03-19 | 北京小米移动软件有限公司 | 智能卡认证方法、智能锁、智能卡、系统及装置 |
| KR20190045491A (ko) * | 2017-10-24 | 2019-05-03 | 주식회사 비즈모델라인 | Nfc를 이용한 분산형 출퇴근 이력 관리 방법 |
| CN109774653A (zh) * | 2019-01-31 | 2019-05-21 | 上海小蓦智能科技有限公司 | 一种分级身份认证机制的动态调整方法及装置 |
| CN111612950A (zh) * | 2020-05-25 | 2020-09-01 | 歌尔科技有限公司 | 一种智能锁具及其开锁认证方法和装置 |
-
2020
- 2020-12-25 CN CN202011563351.5A patent/CN112598827B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104167040A (zh) * | 2014-09-02 | 2014-11-26 | 深圳攀多物联科技有限公司 | 一种电子锁的远程控制方法及系统 |
| CN105392134A (zh) * | 2014-09-02 | 2016-03-09 | 恩德莱斯和豪瑟尔测量及调节技术分析仪表两合公司 | 在至少一个第二单元上认证至少一个第一单元的方法 |
| CN106934882A (zh) * | 2015-12-30 | 2017-07-07 | 李平川 | 一种箱柜智能锁系统及开、关锁方法 |
| KR20190045491A (ko) * | 2017-10-24 | 2019-05-03 | 주식회사 비즈모델라인 | Nfc를 이용한 분산형 출퇴근 이력 관리 방법 |
| CN109300211A (zh) * | 2018-09-21 | 2019-02-01 | 腾讯科技(深圳)有限公司 | 一种门禁控制方法、装置及系统 |
| CN109493488A (zh) * | 2018-11-23 | 2019-03-19 | 北京小米移动软件有限公司 | 智能卡认证方法、智能锁、智能卡、系统及装置 |
| CN109448197A (zh) * | 2018-12-18 | 2019-03-08 | 杭州高锦科技有限公司 | 一种基于多重加密模式的云智能锁系统及密钥管理方法 |
| CN109774653A (zh) * | 2019-01-31 | 2019-05-21 | 上海小蓦智能科技有限公司 | 一种分级身份认证机制的动态调整方法及装置 |
| CN111612950A (zh) * | 2020-05-25 | 2020-09-01 | 歌尔科技有限公司 | 一种智能锁具及其开锁认证方法和装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113298983A (zh) * | 2021-05-24 | 2021-08-24 | 南方电网科学研究院有限责任公司 | 一种基于esam安全认证的电力智能锁具安全管控方法及装置 |
| CN114267100A (zh) * | 2021-11-11 | 2022-04-01 | 北京智芯微电子科技有限公司 | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 |
| CN114267100B (zh) * | 2021-11-11 | 2024-05-14 | 北京智芯微电子科技有限公司 | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 |
| CN114255530A (zh) * | 2021-12-06 | 2022-03-29 | 深圳供电局有限公司 | 一种用于供电设备的智能锁具的通信安全保障方法及系统 |
| CN114255530B (zh) * | 2021-12-06 | 2024-01-16 | 深圳供电局有限公司 | 一种用于供电设备的智能锁具的通信安全保障方法及系统 |
| CN114495343A (zh) * | 2021-12-31 | 2022-05-13 | 深圳亿达天下科技有限公司 | 门禁控制管理系统及门禁控制管理方法 |
| CN114495343B (zh) * | 2021-12-31 | 2024-02-13 | 深圳亿达天下科技有限公司 | 门禁安全控制管理系统及门禁安全控制管理方法 |
| CN115147960A (zh) * | 2022-05-18 | 2022-10-04 | 阿里云计算有限公司 | 电子锁处理方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112598827B (zh) | 2023-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112598827B (zh) | 智能锁认证方法、安全芯片、智能锁及其管理系统 | |
| EP1942430B1 (en) | Token Passing Technique for Media Playback Devices | |
| CN104639516B (zh) | 身份认证方法、设备及系统 | |
| KR100785715B1 (ko) | 로그인 시스템 및 방법 | |
| CN109361669A (zh) | 通信设备的身份认证方法、装置和设备 | |
| US20100138652A1 (en) | Content control method using certificate revocation lists | |
| US10652245B2 (en) | External accessibility for network devices | |
| CN108768963B (zh) | 可信应用与安全元件的通信方法和系统 | |
| CN108616504B (zh) | 一种基于物联网的传感器节点身份认证系统及方法 | |
| CN104868998B (zh) | 一种向电子设备供应加密数据的系统、设备和方法 | |
| CN109145562A (zh) | 一种通过指纹鼠标的持续认证身份方法及其设备 | |
| CN114267100B (zh) | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 | |
| JP2018035515A (ja) | 電子錠システム | |
| US20080189794A1 (en) | Secure Host Interface | |
| CN115021927B (zh) | 一种面向密码机集群的管理员身份管控方法及系统 | |
| CN111523127B (zh) | 一种用于密码设备的权限认证方法及系统 | |
| CN104899480A (zh) | 一种基于cpk标识认证技术的软件版权保护管理方法 | |
| CN101673328A (zh) | 一种数字电影制作系统认证方法 | |
| CN115051871A (zh) | 一种鉴权方法及设备、存储介质 | |
| CN110877340B (zh) | 机器人控制方法及机器人控制系统 | |
| CN108345801B (zh) | 一种面向密文数据库的中间件动态用户认证方法及系统 | |
| TWI725623B (zh) | 基於管理者自發行票券的點對點權限管理方法 | |
| CN113297563A (zh) | 访问片上系统特权资源的方法、装置及片上系统 | |
| EP4369210A2 (en) | Assuring external accessibility for devices on a network | |
| CN114036490B (zh) | 外挂软件接口调用安全认证方法、USBKey驱动装置及认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |