CN113506390B - 访问控制方法、装置、设备及可读存储介质 - Google Patents
访问控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113506390B CN113506390B CN202110654876.8A CN202110654876A CN113506390B CN 113506390 B CN113506390 B CN 113506390B CN 202110654876 A CN202110654876 A CN 202110654876A CN 113506390 B CN113506390 B CN 113506390B
- Authority
- CN
- China
- Prior art keywords
- access control
- control object
- random number
- judgment result
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/27—Individual registration on entry or exit involving the use of a pass with central registration
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/30—Individual registration on entry or exit not involving the use of a pass
- G07C9/32—Individual registration on entry or exit not involving the use of a pass in combination with an identity check
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/30—Individual registration on entry or exit not involving the use of a pass
- G07C9/38—Individual registration on entry or exit not involving the use of a pass with central registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种访问控制方法、装置、设备及可读存储介质,该方法包括:当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;当边缘装置接收到感应信息时,基于感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将第一判断结果发送给访问控制客体;若第一判断结果为非法,则不允许访问控制客体被访问控制主体访问,若第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;若第二判断结果为合法,则允许访问控制客体被访问控制主体访问,若第二判断结果为非法,则不允许访问控制客体被访问控制主体访问。通过本发明,当刷卡设备终端预留的安全认证卡槽较少,也可以增加刷卡设备适用的应用场景。
Description
技术领域
本发明涉及通信技术及数据安全领域,尤其涉及一种访问控制方法、装置、设备及可读存储介质。
背景技术
在生活中随处可以见到门禁刷卡,食堂消费刷卡等场景。都是刷卡设备终端内置安全认证卡槽,对用户卡片进行认证处理。因此刷卡终端设备需要预留至少一个安全认证卡槽,在某些业务场景下,可能还需要预置多个安全认证卡槽。
但是,当刷卡设备终端中预留的安全认证卡槽较少时,后期业务增加将导致安全认证卡槽不够用,就需要重新购买有更多安全认证卡槽的刷卡设备;当刷卡设备终端中预留的安全认证卡槽较多时,多余的卡槽将造成成本浪费。
发明内容
本发明的主要目的在于提供一种访问控制方法、装置、设备及可读存储介质,旨在解决刷卡设备终端预留的安全认证卡槽不够时,需要重新购买有更多安全认证卡槽的刷卡设备的问题。
第一方面,本发明提供一种访问控制方法,包括以下步骤:
当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;
当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将所述第一判断结果发送给访问控制客体;
所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;
若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。
可选的,所述当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置的步骤包括:
访问控制客体感应到访问控制主体时,所述访问控制客体向所述访问控制主体逐一发送识别命令,以供所述访问控制主体逐一对收到的识别命令进行响应;
当所述访问控制主体产生正确响应时,所述访问控制客体存储目标识别命令的ID,其中,所述正确响应基于所述目标识别命令产生;
所述访问控制主体生成第一随机数并缓存,且发送给所述访问控制客体;
所述访问控制客体收到所述第一随机数后,将所述第一随机数与ID发送给边缘装置。
可选的,所述当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果的步骤包括:
所述边缘装置接收到所述访问控制客体发送的第一随机数和ID后,检测是否存在所述ID对应的目标安全模块虚拟应用对应的目标明文密钥;
当不存在所述目标明文密钥时,通过安全模块对所述ID对应的目标安全模块虚拟应用对应的密文密钥进行解密,得到并保存所述目标明文密钥;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第一密文转发给所述访问控制主体;
所述访问控制主体对所述第一密文进行解密,将解密后的数据与缓存的所述第一随机数进行对比;
当对比结果为一致时,第一判断结果为合法;
当对比结果为不一致时,第一判断结果为非法。
可选的,所述若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果的步骤包括:
当所述第一判断结果为合法,所述ID对应的目标安全模块虚拟应用生成第二随机数并缓存第二随机数,将所述第二随机数发送给所述访问控制客体;
所述访问控制客体将收到的所述第二随机数转发给所述访问控制主体;
所述访问控制主体对所述第二随机数进行加密,得到第二密文,并将所述第二密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第二密文转发给所述ID对应的目标安全模块虚拟应用;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第二密文进行解密,将解密后的数据与缓存的所述第二随机数进行对比;
当对比结果为一致时,第二判断结果为合法;
当对比结果为不一致时,第二判断结果为非法。
可选的,在所述当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置的步骤之前,还包括:
从云端将安全模块虚拟应用下载到边缘装置;
边缘装置向云端发送获取安全模块虚拟应用对应的密钥的请求;
云端接收到所述请求后,对安全模块虚拟应用对应的密钥进行加密处理,得到安全模块虚拟应用对应的密文密钥,将安全模块虚拟应用对应的密文密钥发送给边缘装置;
边缘装置对收到安全模块虚拟应用对应的密文密钥后进行保存。
第二方面,本发明还提供一种访问控制装置,所述访问控制装置包括:
发送模块:用于当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;
第一判断模块:用于当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将所述第一判断结果发送给访问控制客体;
第二判断模块:用于所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;
执行模块:用于若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。
第三方面,本发明还提供一种访问控制设备,所述访问控制设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的访问控制程序,其中所述访问控制程序被所述处理器执行时,实现如上所述的访问控制方法的步骤。
第四方面,本发明还提供一种可读存储介质,所述可读存储介质上存储有访问控制程序,其中所述访问控制程序被处理器执行时,实现如上所述的访问控制方法的步骤。
本发明中,当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将所述第一判断结果发送给访问控制客体;所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。通过本发明,当刷卡设备终端预留的安全认证卡槽较少,刷卡设备终端所集成的安全认证芯片也较少,导致刷卡设备适用的应用场景也较少时,刷卡设备可以通过边缘装置判断访问控制主体的合法性,从而对访问控制主体进行安全认证,相当于增加了刷卡设备终端的安全认证芯片,进而增加刷卡设备适用的应用场景。
附图说明
图1为本发明实施例方案中涉及的访问控制设备的硬件结构示意图;
图2为本发明访问控制方法第一实施例的流程示意图;
图3为本发明访问控制装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
第一方面,本发明实施例提供一种访问控制设备。
参照图1,图1为本发明实施例方案中涉及的访问控制设备的硬件结构示意图。本发明实施例中,访问控制设备可以包括处理器1001(例如中央处理器CentralProcessingUnit,CPU),通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信;用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard);网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真WIreless-FIdelity,WI-FI接口);存储器1005可以是高速随机存取存储器(randomaccessmemory,RAM),也可以是稳定的存储器(non-volatile memory),例如磁盘存储器,存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解,图1中示出的硬件结构并不构成对本发明的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
继续参照图1,图1中作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及访问控制程序。其中,处理器1001可以调用存储器1005中存储的访问控制程序,并执行本发明实施例提供的访问控制方法。
第二方面,本发明实施例提供了一种访问控制方法。
一实施例中,参照图2,图2为本发明访问控制方法第一实施例的流程示意图。如图2所示,访问控制方法,包括以下步骤:
S10:当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;
本实施例中,访问控制主体在访问控制客体的感应范围内时,访问控制客体与访问控制主体就会发生感应。之后,访问控制客体向访问控制主体发送识别命令,访问控制主体基于识别命令进行响应。访问控制客体将使得访问控制主体产生正确响应的识别命令的ID发送给边缘装置。访问控制主体基于识别命令产生正确响应后,访问控制主体会生成一个随机数并将这个随机数发送给访问控制客体,再由访问控制客体发送给边缘装置。
进一步地,一实施例中,步骤S10还包括:
访问控制客体感应到访问控制主体时,所述访问控制客体向所述访问控制主体逐一发送识别命令,以供所述访问控制主体逐一对收到的识别命令进行响应;
当所述访问控制主体产生正确响应时,所述访问控制客体存储目标识别命令的ID,其中,所述正确响应基于所述目标识别命令产生;
所述访问控制主体生成第一随机数并缓存,且发送给所述访问控制客体;
所述访问控制客体收到所述第一随机数后,将所述第一随机数与ID发送给边缘装置。
本实施例中,当访问控制客体在感应范围内感应到访问控制主体B时,访问控制客体向访问控制主体B逐一发送A,B,C三种安全模块虚拟应用的识别命令,访问控制主体B收到识别命令A后,产生的响应码非9000,因此访问控制主体B基于识别命令A不能产生正确响应,访问控制客体继续向访问控制主体B发送识别命令B,访问控制主体B收到识别命令B后,产生的响应码为9000,因此访问控制主体B基于识别命令B产生正确响应,产生的正确响应结果将反馈给访问控制客体,访问控制客体收到正确响应结果后,存储识别命令B的ID。访问控制主体B生成第一随机数X并缓存,且发送给访问控制客体,由访问控制客体将识别命令B的ID和第一随机数X发送给边缘装置。访问控制主体基于识别命令产生正确响应后,访问控制客体不再向访问控制主体发送安全模块虚拟应用的识别命令。容易想到的是,产生正确响应的响应码的值在此仅供参考,并不做限制。
S20:当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将所述第一判断结果发送给访问控制客体;
本实施例中,边缘装置接收到访问控制客体发送的ID和第一随机数后,检测边缘装置中是否存在ID对应的目标安全模块虚拟应用对应的目标明文密钥,若存在目标明文密钥,则ID对应的目标安全模块虚拟应用通过目标明文密钥对第一随机数进行加密,访问控制主体对加密后的第一随机数进行解密,解密后得到的数据与步骤S10中缓存的第一随机数进行第一次合法性判断,得到第一判断结果再将第一判断结果发送给访问控制客体。若不存在目标明文密钥,则获取目标明文密钥后,再将第一随机数进行加密,访问控制主体对加密后的第一随机数进行解密,解密后得到的数据与步骤S10中缓存的第一随机数进行第一次合法性判断,得到第一判断结果再将第一判断结果发送给访问控制客体。
进一步地,一实施例中,步骤S20还包括:
所述边缘装置接收到所述访问控制客体发送的第一随机数和ID后,检测是否存在所述ID对应的目标安全模块虚拟应用对应的目标明文密钥;
当不存在所述目标明文密钥时,通过安全模块对所述ID对应的目标安全模块虚拟应用对应的密文密钥进行解密,得到并保存所述目标明文密钥;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第一密文转发给所述访问控制主体;
所述访问控制主体对所述第一密文进行解密,将解密后的数据与缓存的所述第一随机数进行对比;
当对比结果为一致时,第一判断结果为合法;
当对比结果为不一致时,第一判断结果为非法。
本实施例中,边缘装置内存储有安全模块虚拟应用对应的密文密钥。当访问控制客体在感应范围内感应到访问控制主体B时,边缘装置接收到访问控制客体发送的第一随机数X和识别命令B的ID后,检测边缘装置内是否存在识别命令B的ID对应的目标安全模块虚拟应用(应用B)对应的明文密钥B。当不存在明文密钥B时,边缘装置的安全模块对应用B对应的密文密钥b进行解密,得到并保存明文密钥B,应用B通过明文密钥B对第一随机数X进行加密,得到第一密文x,并将第一密文x发送给访问控制客体,访问控制客体将收到的第一密文x转发给访问控制主体B,访问控制主体B对第一密文x进行解密,将解密后的数据与缓存的第一随机数X进行对比。当存在明文密钥B时,应用B通过明文密钥B对第一随机数X进行加密,得到第一密文x,并将第一密文x发送给访问控制客体,访问控制客体将收到的第一密文x转发给访问控制主体B,访问控制主体B对第一密文x进行解密,将解密后的数据与缓存的第一随机数X进行对比。当解密后的数据与缓存的第一随机数X一致时,第一判断结果为合法,当解密后的数据与缓存的第一随机数X不一致时,第一判断结果为非法。边缘装置的安全模块可以内置在边缘装置内,也可以外置在边缘装置外。若访问控制客体第一次感应到访问控制主体B时,边缘装置内不存在明文密钥B,边缘装置的安全模块得到并保存明文密钥B后,当访问控制客体第二次感应到访问控制主体B时,边缘装置内存在明文密钥B。
S30:所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;
本实施例中,访问控制客体接收到访问控制主体发送的第一判断结果后,如果第一判断结果为非法,则访问控制主体为非法访问控制主体,将不允许访问控制客体被访问控制主体访问。如果第一判断结果为合法,则进行第二次合法性判断,继续判断访问控制主体的合法性。
进一步地,一实施例中,步骤S30还包括:
当所述第一判断结果为合法,所述ID对应的目标安全模块虚拟应用生成第二随机数并缓存第二随机数,将所述第二随机数发送给所述访问控制客体;
所述访问控制客体将收到的所述第二随机数转发给所述访问控制主体;
所述访问控制主体对所述第二随机数进行加密,得到第二密文,并将所述第二密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第二密文转发给所述ID对应的目标安全模块虚拟应用;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第二密文进行解密,将解密后的数据与缓存的所述第二随机数进行对比;
当对比结果为一致时,第二判断结果为合法;
当对比结果为不一致时,第二判断结果为非法。
本实施例中,当解密后的数据与缓存的第一随机数X一致时,第一判断结果为合法,应用B生成第二随机数M并缓存第二随机数M,将第二随机数M发送给访问控制客体,再由访问控制客体将第二随机数M转发给访问控制主体B后,访问控制主体B对第二随机数M进行加密,得到第二密文m,访问控制主体B再将第二密文m发送给访问控制客体,访问控制客体将收到的第二密文m,转发给应用B,应用B通过明文密钥B对收到的第二密文m进行解密,将解密后的数据与缓存的第二随机数M进行对比,当解密后的数据与缓存的第二随机数M一致时,第二判断结果为合法,当解密后的数据与缓存的第二随机数M不一致时,第二判断结果为非法。
S40:若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。
本实施例中,完成第二次合法性判断后,根据第二次判断结果,可以判断出访问控制主体是否合法,若第二判断结果为合法,则访问控制主体合法,允许访问控制客体被访问控制主体访问;若第二判断结果为非法,则访问控制主体非法,不允许访问控制客体被访问控制主体访问。
本实施例中,当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将所述第一判断结果发送给访问控制客体;所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。通过本实施例,当刷卡设备终端预留的安全认证卡槽较少,刷卡设备终端所集成的安全认证芯片也较少,导致刷卡设备适用的应用场景也较少时,刷卡设备可以通过边缘装置判断访问控制主体的合法性,从而对访问控制主体进行安全认证,相当于增加了刷卡设备终端的安全认证芯片,进而增加刷卡设备适用的应用场景。
进一步地,一实施例中,步骤S10之前还包括:
从云端将安全模块虚拟应用下载到边缘装置;
边缘装置向云端发送获取安全模块虚拟应用对应的密钥的请求;
云端接收到所述请求后,对安全模块虚拟应用对应的密钥进行加密处理,得到安全模块虚拟应用对应的密文密钥,将安全模块虚拟应用对应的密文密钥发送给边缘装置;
边缘装置对收到安全模块虚拟应用对应的密文密钥后进行保存。
本实施例中,从云端将多种安全模块虚拟应用下载到边缘装置中,例如安全模块虚拟应用A,安全模块虚拟应用B,安全模块虚拟应用C,安全模块虚拟应用D。边缘装置向云端逐一发送获取安全模块虚拟应用A,安全模块虚拟应用B,安全模块虚拟应用C,安全模块虚拟应用D对应的密钥的请求,或者边缘装置向云端一起发送获取四种安全模块虚拟应用对应的密钥的请求。云端收到边缘装置发送的获取安全模块虚拟应用A对应的密钥的请求后,先对安全模块虚拟应用A对应的密钥进行加密处理,得到安全模块虚拟应用A对应的密文密钥后,再将安全模块虚拟应用A对应的密文密钥发送给边缘装置。边缘装置收到云端发送的安全模块虚拟应用A,安全模块虚拟应用B,安全模块虚拟应用C,安全模块虚拟应用D对应的密文密钥后进行保存。云端可以通过云端连接的加密机对安全模块虚拟应用A对应的密钥进行加密处理,也可以通过云端内的加密算法对安全模块虚拟应用A对应的密钥进行加密处理。容易想到的是,本实施例中,以这四种安全模块虚拟应用为例,但不做限制。
第三方面,本发明实施例还提供一种访问控制装置。
一实施例中,参照图3,图3为本发明访问控制装置第一实施例的功能模块示意图。如图3所示,访问控制装置包括:
发送模块10:用于当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;
第一判断模块20:用于当所述边缘装置接收到所述感应信息时,基于所述感应信息对访问控制主体进行第一次合法性判断,得到第一判断结果,将所述第一判断结果发送给访问控制客体;
第二判断模块30:用于所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;
执行模块40:用于若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。
进一步地,一实施例中,发送模块10,具体用于:
访问控制客体感应到访问控制主体时,所述访问控制客体向所述访问控制主体逐一发送识别命令,以供所述访问控制主体逐一对收到的识别命令进行响应;
当所述访问控制主体产生正确响应时,所述访问控制客体存储目标识别命令的ID,其中,所述正确响应基于所述目标识别命令产生;
所述访问控制主体生成第一随机数并缓存,且发送给所述访问控制客体;
所述访问控制客体收到所述第一随机数后,将所述第一随机数与ID发送给边缘装置。
进一步地,一实施例中,第一判断模块20,具体用于:
所述边缘装置接收到所述访问控制客体发送的第一随机数和ID后,检测是否存在所述ID对应的目标安全模块虚拟应用对应的目标明文密钥;
当不存在所述目标明文密钥时,通过安全模块对所述ID对应的目标安全模块虚拟应用对应的密文密钥进行解密,得到并保存所述目标明文密钥;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第一密文转发给所述访问控制主体;
所述访问控制主体对所述第一密文进行解密,将解密后的数据与缓存的所述第一随机数进行对比;
当对比结果为一致时,第一判断结果为合法;
当对比结果为不一致时,第一判断结果为非法。
进一步地,一实施例中,第二判断模块30,具体用于:
当所述第一判断结果为合法,所述ID对应的目标安全模块虚拟应用生成第二随机数并缓存第二随机数,将所述第二随机数发送给所述访问控制客体;
所述访问控制客体将收到的所述第二随机数转发给所述访问控制主体;
所述访问控制主体对所述第二随机数进行加密,得到第二密文,并将所述第二密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第二密文转发给所述ID对应的目标安全模块虚拟应用;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第二密文进行解密,将解密后的数据与缓存的所述第二随机数进行对比;
当对比结果为一致时,第二判断结果为合法;
当对比结果为不一致时,第二判断结果为非法。
进一步地,一实施例中,访问控制装置还包括获取模块,用于:
从云端将安全模块虚拟应用下载到边缘装置;
边缘装置向云端发送获取安全模块虚拟应用对应的密钥的请求;
云端接收到所述请求后,对安全模块虚拟应用对应的密钥进行加密处理,得到安全模块虚拟应用对应的密文密钥,将安全模块虚拟应用对应的密文密钥发送给边缘装置;
边缘装置对收到安全模块虚拟应用对应的密文密钥后进行保存。
其中,上述访问控制装置中各个模块的功能实现与上述访问控制方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
第四方面,本发明实施例还提供一种可读存储介质。
本发明可读存储介质上存储有访问控制程序,其中所述访问控制程序被处理器执行时,实现如上述的访问控制方法的步骤。
其中,访问控制程序被执行时所实现的方法可参照本发明访问控制方法的各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种访问控制方法,其特征在于,所述访问控制方法包括:
当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置;
所述当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置的步骤包括:
访问控制客体感应到访问控制主体时,所述访问控制客体向所述访问控制主体逐一发送识别命令,以供所述访问控制主体逐一对收到的识别命令进行响应;
当所述访问控制主体产生正确响应时,所述访问控制客体存储目标识别命令的ID,其中,所述正确响应基于所述目标识别命令产生;
所述访问控制主体生成第一随机数并缓存,且发送给所述访问控制客体;
所述访问控制客体收到所述第一随机数后,将所述第一随机数与ID发送给边缘装置;
所述边缘装置接收到所述访问控制客体发送的第一随机数和ID后,检测是否存在所述ID对应的目标安全模块虚拟应用对应的目标明文密钥;
当不存在所述目标明文密钥时,通过安全模块对所述ID对应的目标安全模块虚拟应用对应的密文密钥进行解密,得到并保存所述目标明文密钥;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第一密文转发给所述访问控制主体;
所述访问控制主体对所述第一密文进行解密,将解密后的数据与缓存的所述第一随机数进行对比;
当对比结果为一致时,第一判断结果为合法;
当对比结果为不一致时,第一判断结果为非法,将所述第一判断结果发送给访问控制客体;
所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;
若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。
2.如权利要求1所述的访问控制方法,其特征在于,所述若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果的步骤包括:
当所述第一判断结果为合法,所述ID对应的目标安全模块虚拟应用生成第二随机数并缓存第二随机数,将所述第二随机数发送给所述访问控制客体;
所述访问控制客体将收到的所述第二随机数转发给所述访问控制主体;
所述访问控制主体对所述第二随机数进行加密,得到第二密文,并将所述第二密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第二密文转发给所述ID对应的目标安全模块虚拟应用;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第二密文进行解密,将解密后的数据与缓存的所述第二随机数进行对比;
当对比结果为一致时,第二判断结果为合法;
当对比结果为不一致时,第二判断结果为非法。
3.如权利要求2所述的访问控制方法,其特征在于,在所述当发生感应事件时,将所述感应事件对应的感应信息发送给边缘装置的步骤之前,还包括:
从云端将安全模块虚拟应用下载到边缘装置;
边缘装置向云端发送获取安全模块虚拟应用对应的密钥的请求;
云端接收到所述请求后,对安全模块虚拟应用对应的密钥进行加密处理,得到安全模块虚拟应用对应的密文密钥,将安全模块虚拟应用对应的密文密钥发送给边缘装置;
边缘装置对收到安全模块虚拟应用对应的密文密钥后进行保存。
4.一种访问控制装置,其特征在于,所述访问控制装置包括:
发送模块:用于访问控制客体感应到访问控制主体时,所述访问控制客体向所述访问控制主体逐一发送识别命令,以供所述访问控制主体逐一对收到的识别命令进行响应;
当所述访问控制主体产生正确响应时,所述访问控制客体存储目标识别命令的ID,其中,所述正确响应基于所述目标识别命令产生;
所述访问控制主体生成第一随机数并缓存,且发送给所述访问控制客体;
所述访问控制客体收到所述第一随机数后,将所述第一随机数与ID发送给边缘装置;
第一判断模块:用于所述边缘装置接收到所述访问控制客体发送的第一随机数和ID后,检测是否存在所述ID对应的目标安全模块虚拟应用对应的目标明文密钥;
当不存在所述目标明文密钥时,通过安全模块对所述ID对应的目标安全模块虚拟应用对应的密文密钥进行解密,得到并保存所述目标明文密钥;
所述ID对应的目标安全模块虚拟应用通过所述目标明文密钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送给所述访问控制客体;
所述访问控制客体将收到的所述第一密文转发给所述访问控制主体;
所述访问控制主体对所述第一密文进行解密,将解密后的数据与缓存的所述第一随机数进行对比;
当对比结果为一致时,第一判断结果为合法;
当对比结果为不一致时,第一判断结果为非法,将所述第一判断结果发送给访问控制客体;
第二判断模块:用于所述访问控制客体接收到所述第一判断结果后,若所述第一判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体,若所述第一判断结果为合法,则进行第二次合法性判断,得到第二判断结果;
执行模块:用于若所述第二判断结果为合法,则允许所述访问控制主体访问所述访问控制客体,若所述第二判断结果为非法,则不允许所述访问控制主体访问所述访问控制客体。
5.一种访问控制设备,其特征在于,所述访问控制设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的访问控制程序,其中所述访问控制程序被所述处理器执行时,实现如权利要求1至3中任一项所述的访问控制方法的步骤。
6.一种可读存储介质,其特征在于,所述可读存储介质上存储有访问控制程序,其中所述访问控制程序被处理器执行时,实现如权利要求1至3中任一项所述的访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110654876.8A CN113506390B (zh) | 2021-06-11 | 2021-06-11 | 访问控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110654876.8A CN113506390B (zh) | 2021-06-11 | 2021-06-11 | 访问控制方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113506390A CN113506390A (zh) | 2021-10-15 |
| CN113506390B true CN113506390B (zh) | 2022-08-05 |
Family
ID=78010154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110654876.8A Active CN113506390B (zh) | 2021-06-11 | 2021-06-11 | 访问控制方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113506390B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19523466C1 (de) * | 1995-06-28 | 1997-04-03 | Informatikzentrum Der Sparkass | Verfahren zur gegenseitigen Authentifikation von elektronischen Partnern mit einem Rechnersystem |
| CN102346945A (zh) * | 2011-10-28 | 2012-02-08 | 闵浩 | 基于双向加密认证技术和通信技术的电子锁控制管理系统和方法 |
| CN102800141A (zh) * | 2012-07-24 | 2012-11-28 | 东信和平科技股份有限公司 | 一种基于双向认证的门禁控制方法及系统 |
| CN103971426A (zh) * | 2013-01-31 | 2014-08-06 | 北京同方微电子有限公司 | 一种基于psam安全控制的门禁系统及其安全门禁方法 |
| CN106067205A (zh) * | 2016-07-05 | 2016-11-02 | 大唐微电子技术有限公司 | 一种门禁鉴权方法和装置 |
| CN109413648A (zh) * | 2018-10-26 | 2019-03-01 | 国民技术股份有限公司 | 访问控制方法、终端、智能卡、后台服务器及存储介质 |
-
2021
- 2021-06-11 CN CN202110654876.8A patent/CN113506390B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19523466C1 (de) * | 1995-06-28 | 1997-04-03 | Informatikzentrum Der Sparkass | Verfahren zur gegenseitigen Authentifikation von elektronischen Partnern mit einem Rechnersystem |
| CN102346945A (zh) * | 2011-10-28 | 2012-02-08 | 闵浩 | 基于双向加密认证技术和通信技术的电子锁控制管理系统和方法 |
| CN102800141A (zh) * | 2012-07-24 | 2012-11-28 | 东信和平科技股份有限公司 | 一种基于双向认证的门禁控制方法及系统 |
| CN103971426A (zh) * | 2013-01-31 | 2014-08-06 | 北京同方微电子有限公司 | 一种基于psam安全控制的门禁系统及其安全门禁方法 |
| CN106067205A (zh) * | 2016-07-05 | 2016-11-02 | 大唐微电子技术有限公司 | 一种门禁鉴权方法和装置 |
| CN109413648A (zh) * | 2018-10-26 | 2019-03-01 | 国民技术股份有限公司 | 访问控制方法、终端、智能卡、后台服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113506390A (zh) | 2021-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719173B (zh) | 一种信息处理方法及装置 | |
| CN107786331B (zh) | 数据处理方法、装置、系统及计算机可读存储介质 | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
| CN105577379A (zh) | 一种信息处理方法及装置 | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| CN109977039B (zh) | 硬盘加密密钥存储方法、装置、设备及可读存储介质 | |
| CN108462700B (zh) | 后台服务器、终端设备、适用于人脸识别的安全预警方法及存储介质 | |
| CN102946392A (zh) | 一种url数据加密传输方法及系统 | |
| CN111178884A (zh) | 信息处理方法、装置、设备及可读存储介质 | |
| CN107733652B (zh) | 用于共享交通工具的开锁方法和系统及车锁 | |
| CN112559991A (zh) | 系统安全登录方法、装置、设备及存储介质 | |
| US11128455B2 (en) | Data encryption method and system using device authentication key | |
| US20110154436A1 (en) | Provider Management Methods and Systems for a Portable Device Running Android Platform | |
| KR20130031435A (ko) | 휴대용 단말의 암호화 키 생성 및 관리 방법 및 그 장치 | |
| CN108667800B (zh) | 一种访问权限的认证方法及装置 | |
| KR20070059891A (ko) | 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 | |
| EP2689367B1 (en) | Data protection using distributed security key | |
| US20060272004A1 (en) | Granting an access to a computer-based object | |
| EP2985712B1 (en) | Application encryption processing method, apparatus, and terminal | |
| CN108574658B (zh) | 一种应用登录方法及其设备 | |
| CN110659474B (zh) | 应用间通信方法、装置、终端及存储介质 | |
| CN112348998A (zh) | 一次性密码的生成方法、装置、智能门锁及存储介质 | |
| CN114189862A (zh) | 无线终端及无线终端在Uboot模式下的接口访问鉴权方法 | |
| CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 | |
| CN113506390B (zh) | 访问控制方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |