CN116189340A - 基于pki安全鉴权的门禁管理方法、系统、装置及介质 - Google Patents

Abstract

本发明公开了基于PKI安全鉴权的门禁管理方法、系统、装置及介质，包括：用户终端发送第一随机数至门禁设备；门禁设备对第一随机数进行签名得到第一签名结果，并将第一签名结果、第二随机数以及第一时间戳返回至用户终端；用户终端对第一签名结果和第一时间戳进行校验，当校验成功，根据第一签名结果解析得到第一设备证书，并根据第一设备证书确定对应的第一用户证书；用户终端对第二随机数和第一时间戳进行签名得到第二签名结果，并将第二签名结果和第二设备证书发送至门禁设备；门禁设备对第二签名结果和第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。本发明提高了门禁的安全性，可广泛应用于门禁管理技术领域。

Description

基于PKI安全鉴权的门禁管理方法、系统、装置及介质

技术领域

本发明涉及门禁管理技术领域，尤其是一种基于PKI安全鉴权的门禁管理方法、系统、装置及介质。

背景技术

与传统门禁系统的粗放式管理不同，目前智慧社区、智慧园区、智慧工地等的建设，需要更精准的门禁鉴权，即需要知道开门的人是谁、有没有权限。目前常用的两种做法，一种是门禁联网鉴权，优点是门禁无需下发和存放大量用户权限，每次用户要开门的时候，门禁都向平台请求鉴权，缺点是一旦断网，门禁系统直接瘫痪；另一种是平台预先下发用户权限到门禁设备，这种做法优点是门禁离线依然可用，但是缺点是需要下发和管理大量用户权限。此外，目前鉴权方式一般都是采用直接对比用户权限标识的做法，但用户权限标识可以泄漏，也可以伪造，窃取、伪造的技术门槛与成本非常低，存在较大的安全隐患。

发明内容

本发明的目的在于至少一定程度上解决现有技术中存在的技术问题之一。

为此，本发明实施例的一个目的在于提供一种基于PKI安全鉴权的门禁管理方法，该方法在实现门禁离线鉴权的同时，降低了设备管理成本，提高了门禁的安全性。

本发明实施例的另一个目的在于提供一种基于PKI安全鉴权的门禁管理系统。

为了达到上述技术目的，本发明实施例所采取的技术方案包括：

第一方面，本发明实施例提供了一种基于PKI安全鉴权的门禁管理方法，包括以下步骤：

通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；

通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户终端；

通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验，当校验成功，根据所述第一签名结果解析得到所述第一设备证书，并根据所述第一设备证书确定所述门禁设备的设备标识，进而根据所述设备标识确定对应的第一用户证书；

通过所述用户终端利用所述第一用户证书和第一用户私钥对所述第二随机数和所述第一时间戳进行签名得到第二签名结果，并将所述第二签名结果和第二设备证书发送至所述门禁设备；

通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。

进一步地，在本发明的一个实施例中，所述门禁管理方法还包括以下步骤：

通过所述门禁设备生成第一PKI公私钥对，所述第一PKI公私钥对包括第一设备公钥和第一设备私钥，根据所述第一设备公钥生成第一证书请求并发送至系统平台，使得所述系统平台使用第一平台证书和第一平台私钥签发所述第一设备证书、所述第二设备证书、第二设备私钥以及用户证书吊销列表，并将所述第一设备证书、所述第二设备证书以及所述用户证书吊销列表返回至所述门禁设备；

通过所述用户终端生成第二PKI公私钥对，所述第二PKI公私钥对包括第一用户公钥和第一用户私钥，根据所述第一用户公钥生成第二证书请求并发送至所述系统平台，使得所述系统平台使用所述第二设备证书和所述第二设备私钥签发所述第一用户证书，并将所述第一平台证书、所述第一用户证书以及所述第二设备证书返回至所述用户终端。

进一步地，在本发明的一个实施例中，所述门禁管理方法还包括以下步骤：

通过所述门禁设备利用所述第一设备证书和所述第一设备私钥对所述第二随机数和所述第一时间戳进行签名得到第三签名结果，并根据所述第二签名结果和所述第三签名结果生成第四签名结果，进而将所述第四签名结果发送至所述系统平台；

通过所述系统平台对所述第四签名结果进行校验，当校验通过，根据所述第四签名结果解析得到所述第一设备证书、所述第一用户证书以及所述第一时间戳，进而根据所述第一设备证书、所述第一用户证书以及所述第一时间戳生成门禁事件记录。

进一步地，在本发明的一个实施例中，所述通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备这一步骤，其具体包括：

通过所述门禁设备使用近场通讯发送第一广播数据，所述第一广播数据包括所述第一平台证书的摘要；

通过所述用户终端使用近场通讯扫描所述第一广播数据，并根据所述第一平台证书的摘要建立与所述门禁设备的近场通讯连接；

通过所述用户终端将所述第一随机数发送至所述门禁设备。

进一步地，在本发明的一个实施例中，所述通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验这一步骤，其具体包括：

通过所述用户终端验证所述第一签名结果是否为所述第一设备证书签署；

通过所述用户终端验证所述第一设备证书是否为所述第一平台证书签发；

通过所述用户终端验证所述第一时间戳与当前时间的时间差是否小于等于预设的第一阈值；

当所述第一签名结果为所述第一设备证书签署，所述第一设备证书为所述第一平台证书签发，所述第一时间戳与当前时间的时间差小于等于所述第一阈值，确定校验成功。

进一步地，在本发明的一个实施例中，所述通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验这一步骤，其具体包括：

通过所述门禁设备验证所述第二签名结果是否为所述第一用户证书签署；

通过所述门禁设备验证所述第一用户证书是否在所述用户证书吊销列表内；

通过所述门禁设备验证所述第一用户证书是否为所述第二设备证书签发；

通过所述门禁设备验证所述第二设备证书是否为所述第一平台证书签发；

当所述第二签名结果为所述第一用户证书签署，所述第一用户证书不在所述用户证书吊销列表内，所述第一用户证书为所述第二设备证书签发，所述第二设备证书为所述第一平台证书签发，确定校验成功。

进一步地，在本发明的一个实施例中，所述门禁管理方法还包括以下步骤：

当所述用户证书吊销列表中的证书数量超过预设的第二阈值，或当次操作中需要吊销门禁权限的用户数量超过预设的第三阈值，通过所述系统平台使用第一平台证书和第一平台私钥更新所述第二设备证书和所述第二设备私钥，并将更新后的所述第二设备证书发送至所述门禁设备和所述用户终端。

第二方面，本发明实施例提供了一种基于PKI安全鉴权的门禁管理系统，包括：

通讯连接建立模块，用于通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；

第一签名模块，用于通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户终端；

第一校验模块，用于通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验，当校验成功，根据所述第一签名结果解析得到所述第一设备证书，并根据所述第一设备证书确定所述门禁设备的设备标识，进而根据所述设备标识确定对应的第一用户证书；

第二签名模块，用于通过所述用户终端利用所述第一用户证书和第一用户私钥对所述第二随机数和所述第一时间戳进行签名得到第二签名结果，并将所述第二签名结果和第二设备证书发送至所述门禁设备；

第二校验模块，用于通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。

第三方面，本发明实施例提供了一种基于PKI安全鉴权的门禁管理装置，包括：

至少一个处理器；

至少一个存储器，用于存储至少一个程序；

当所述至少一个程序被所述至少一个处理器执行时，使得所述至少一个处理器实现上述的一种基于PKI安全鉴权的门禁管理方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其中存储有处理器可执行的程序，所述处理器可执行的程序在由处理器执行时用于执行上述的一种基于PKI安全鉴权的门禁管理方法。

本发明的优点和有益效果将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到：

本发明实施例利用PKI安全鉴权技术实现门禁设备与用户终端的鉴权认证，只需下发少量鉴权信息给门禁设备，就可以对大量用户进行精准鉴权，整个鉴权过程安全可靠，同时门禁设备和用户终端不需要增加外设备，降低了设备管理成本；在门禁设备离线时，不仅可以继续对用户进行离线鉴权，并且可以安全的更新鉴权信息，提高了门禁的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面对本发明实施例中所需要使用的附图作以下介绍，应当理解的是，下面介绍中的附图仅仅为了方便清晰表述本发明的技术方案中的部分实施例，对于本领域的技术人员来说，在无需付出创造性劳动的前提下，还可以根据这些附图获取到其他附图。

图1为本发明实施例提供的一种基于PKI安全鉴权的门禁管理方法的步骤流程图；

图2为本发明实施例提供的一种基于PKI安全鉴权的门禁管理方法的数据交互示意图；

图3为本发明实施例提供的一种基于PKI安全鉴权的门禁管理系统的结构框图；

图4为本发明实施例提供的一种基于PKI安全鉴权的门禁管理装置的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。对于以下实施例中的步骤编号，其仅为了便于阐述说明而设置，对步骤之间的顺序不做任何限定，实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。

在本发明的描述中，多个的含义是两个或两个以上，如果有描述到第一、第二只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。此外，除非另有定义，本文所使用的所有的技术和科学术语与本技术领域的技术人员通常理解的含义相同。

首先对本发明实施例的PKI安全鉴权的原理进行说明。

平台有RA证书X0及其私钥U0。甲生成私钥U跟公钥V1，用私钥U对甲的名字N做数字签名S0，把N、S0跟V1以PKI技术的标准组合成证书请求R发给平台。平台首先从技术上可以验证S0是否由V1对应的私钥签署完成，如果验证成功，而且平台通过线下或者其他方法认证N确实属于请求人所有，则签发证书X1给甲，其中证书X1包括上级证书X0的标识、主体名称N、证书有效期、增强型密钥用法、公钥V1、签名S1等，其中S1为平台使用其私钥U0对证书X1其他信息的数字签名。乙需要验证甲身份时，会随机给出某信息M，甲可以使用私钥U对M做签名得到S2，乙可以从技术上使用证书X0去验证M与S2、证书X1的有效性。M、S2、X1中任一数据如果被改动，验证会失败。由于别人无从拿到U，因此无法伪装成甲，从而可以实现安全鉴权。

参照图1，本发明实施例提供了一种基于PKI安全鉴权的门禁管理方法，具体包括以下步骤：

S103、通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至门禁设备；

S104、通过门禁设备利用第一设备证书和第一设备私钥对第一随机数进行签名得到第一签名结果，并将第一签名结果、第二随机数以及第一时间戳返回至用户终端；

S105、通过用户终端对第一签名结果和第一时间戳进行校验，当校验成功，根据第一签名结果解析得到第一设备证书，并根据第一设备证书确定门禁设备的设备标识，进而根据设备标识确定对应的第一用户证书；

S106、通过用户终端利用第一用户证书和第一用户私钥对第二随机数和第一时间戳进行签名得到第二签名结果，并将第二签名结果和第二设备证书发送至门禁设备；

S107、通过门禁设备对第二签名结果和第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。

参照图1，进一步作为可选的实施方式，门禁管理方法还包括以下步骤：

S101、通过门禁设备生成第一PKI公私钥对，第一PKI公私钥对包括第一设备公钥和第一设备私钥，根据第一设备公钥生成第一证书请求并发送至系统平台，使得系统平台使用第一平台证书和第一平台私钥签发第一设备证书、第二设备证书、第二设备私钥以及用户证书吊销列表，并将第一设备证书、第二设备证书以及用户证书吊销列表返回至门禁设备；

S102、通过用户终端生成第二PKI公私钥对，第二PKI公私钥对包括第一用户公钥和第一用户私钥，根据第一用户公钥生成第二证书请求并发送至系统平台，使得系统平台使用第二设备证书和第二设备私钥签发第一用户证书，并将第一平台证书、第一用户证书以及第二设备证书返回至用户终端。

具体地，本发明实施例中的提及的数字证书符合PKCS#7:Cryptographic MessageSyntax Version 1.5(RFC2315)及其引用的标准或者GMT 0015-2012《基于SM2密码算法的数字证书格式》标准。

系统定义数字证书的四个增强型密钥用法OID，包括设备标识(1.3.6.1.5.5.7.3.2.13.1)、用户标识(1.3.6.1.5.5.7.3.2.13.2)、平台标识(1.3.6.1.5.5.7.3.1.13.1)以及门禁权限标识(1.3.6.1.5.5.7.3.1.13.2)，并将这些OID写入门禁设备的ROM里面。

如图2所示为本发明实施例提供的一种基于PKI安全鉴权的门禁管理方法的数据交互示意图，系统平台拥有鉴权根证书或RA证书(即第一平台证书，记为证书A)的私钥(即第一平台私钥)，用于签发设备证书、用户证书以及吊销列表。

门禁设备出厂安装第一平台证书，其增强型密钥用法包括OID(1.3.6.1.5.5.7.3.1.13.1)。在需要高安全级别的系统中，门禁设备需要满足国密标准GMT0008-2012《安全芯片密码检测准则》。

门禁设备生成PKI公私钥对，根据设备信息跟公钥生成第一证书请求(CSR)。设备信息中必须包括一个全球唯一的设备标识。设备信息可使用设备名、设备序列号、设备MAC、设备IMEI、设备iccid，设备位置等。门禁设备将第一证书请求通过平台网络链接或近场通讯终端提交门禁系统平台。

系统平台使用证书A及其私钥对第一证书请求签发设备证书B(即第一设备证书)，证书B的增强型密钥用法必须包括OID(1.3.6.1.5.5.7.3.2.13.1)。系统可通过平台网络链接或近场通讯终端下发/更新门禁设备的设备证书B。下发或者更新证书B时，门禁设备需要校验证书B的公钥是否等于自己生成的公钥，而且签名是否由证书A签发。

证书B的请求的签发，在第一次请求时使用刚生成的私钥签署，平台需要人工进行设备信息核验之后再颁发证书B；从第二次开始，请求时使用已有的证书B对应的私钥签署，平台无需人工核验，只需要校验签名成功即可颁发新证书B。

系统可通过平台网络链接或近场通讯终端下发/更新门禁设备的平台证书A。门禁设备更新平台证书A时系统必须附带新证书在旧证书上的签名，门禁设备必须检查该签名是否正常。

门禁设备第一次请求证书B时，如果人工核验通过，系统平台使用该设备信息生成带私钥的证书B2(即第二设备证书和对应的第二设备私钥)，B2证书用证书A的私钥签署，B2的增强型密钥用法为(1.3.6.1.5.5.7.3.1.13.2)。系统可以不下发或者不更新门禁设备的证书B2，也可通过平台网络链接或近场通讯终端下发/更新门禁设备的证书B2。

门禁设备更新证书A时，需要备份旧证书A供兼容验证，也就是需要用到证书A进行验签的时候，如果当前证书A验签失败，可以使用上一个版本的证书A验签。

用户在登录系统之后，在使用系统的过程中，以下情况会在用户终端下发或者更新一到多个用户终端证书C(即第一用户证书)：

1)用户登录之后；

2)用户终端需要更新其私钥；

3)用户拥有某个门禁设备的进出权限，但是本地还没有对应的证书；

4)用户拥有某个门禁设备的进出权限，但是本地的证书将要过期；

5)用户或者系统平台强制同步证书。

门禁用户经注册成功，会在用户终端下发或者更新用户证书C，其下发或者更新流程如下：

1)用户终端生成公私钥对，如果已有公私钥对而且较新可以复用已有的；

2)使用私钥签名生成证书请求发送系统平台；

3)系统平台收到用户终端的证书请求之后，进行鉴权；

4)鉴权成功之后，根据用户的一到多个门禁权限，颁发一到多个用户终端证书(C1、C2……)给用户终端。

每一个用户终端证书使用门禁设备对应的B2证书的私钥签发，并且下发时连同用户终端证书C跟门禁证书B2一起下发。用户终端证书C的增强型密钥用法必须包括OID(1.3.6.1.5.5.7.3.2.13.2)。用户证书的有效期不超过用户门禁权限的有效期，并且一般不超过一星期。

平台为每个用户终端生成唯一标识，绑定给用户，即可以通过终端标识识别出具体用户。每个证书C中都包括用户终端唯一标识。

如果需要收回用户在某个门禁设备的权限，则将证书C加到吊销列表。系统可通过平台网络链接或近场通讯终端下发/更新门禁设备的证书C吊销列表。

基于前述步骤得到的证书、密钥等数据，用户进行门禁设备开门的流程如下：

1)门禁设备在工作中使用近场通讯不断广播一组数据，这组数据包括证书A的摘要。

2)用户终端使用近场通讯扫描广播数据，如果发现包含证书A的摘要，就建立近场通讯连接，发送随机数R1给门禁设备。

3)门禁设备对随机数R1使用B证书及其私钥进行签名，将签名结果S1发送和随机数R2、当前时间T(即第一时间戳)通过近场通讯链接发送给用户终端。S1按PKCS#7标准，带有B证书。

4)用户终端校验S1确实为B证书签署，B证书的增强型密钥用法为(1.3.6.1.5.5.7.3.2.13.1)，而且B证书确实为证书A签发，如果校验失败，报错退出流程。如果时间T距离用户终端当前时间太大，报错要求校正门禁设备或者用户终端时间并退出流程。

5)用户终端解析使用签名S1中的B证书，得到设备标识。如果本地没有该设备标识的对应证书C，则按上述证书C的下发流程获取证书C。用户终端使用证书C及其私钥对随机数S2跟时间T签名得到签名S2。S2按PKCS#7标准，带有C证书。

6)用户终端将S2和证书B2通过近场通讯链接发送给门禁设备。

7)门禁设备验证签名S2，包括S2的签名有效性、证书C在有效期内，证书C没有在吊销列表，证书C的增强型密钥用法为(1.3.6.1.5.5.7.3.2.13.2)，证书C必须为证书B2所签发，证书B2在有效期内，证书B2的增强型密钥用法为(1.3.6.1.5.5.7.3.1.13.2)，证书B2必须为证书A所签发。如果验证失败，报错并退出流程。

8)如果验证成功，门禁设备调用门禁控制器打开门禁。

参照图1，进一步作为可选的实施方式，门禁管理方法还包括以下步骤：

S108、通过门禁设备利用第一设备证书和第一设备私钥对第二随机数和第一时间戳进行签名得到第三签名结果，并根据第二签名结果和第三签名结果生成第四签名结果，进而将第四签名结果发送至系统平台；

S109、通过系统平台对第四签名结果进行校验，当校验通过，根据第四签名结果解析得到第一设备证书、第一用户证书以及第一时间戳，进而根据第一设备证书、第一用户证书以及第一时间戳生成门禁事件记录。

具体地，当第二签名结果S2验证成功，门禁设备使用证书B及其私钥对随机数S2跟时间T签名得到签名S3，将S3合并到S2构成复合签名S4。门禁设备可通过网络链接或近场通讯终端将S4提交给系统平台，作为门禁进出记录。在没有网络链接也没有近场通讯终端时，门禁设备可缓存若干S4待有网络链接或者近场通讯终端时再提交。系统平台拿到S4之后，可根据其中的证书B确定设备标识、根据证书C确定用户终端标识、根据时间戳T确定开门时间，从而还原整个开门事件。

此外，门禁进出记录可根据S4进行有效性校验，校验包括以下若干点，如果核验失败，则说明本记录系伪造或者用户开门不合法。

1)时间T在该用户对该门禁设备的权限有效期内；

2)S2的签名有效性；

3)T在证书C有效期内；

4)证书C必须为证书B2所签发；

5)T在证书B2有效期内；

6)证书B2必须为证书A所签发；

7)S3的签名有效性、T在证书B在有效期内；

8)证书B必须为证书A所签发；

9)所有上述涉及的证书的增强型密钥用法符合其用法。

进一步作为可选的实施方式，通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至门禁设备这一步骤S103，其具体包括：

S1031、通过门禁设备使用近场通讯发送第一广播数据，第一广播数据包括第一平台证书的摘要；

S1032、通过用户终端使用近场通讯扫描第一广播数据，并根据第一平台证书的摘要建立与门禁设备的近场通讯连接；

S1033、通过用户终端将第一随机数发送至门禁设备。

进一步作为可选的实施方式，通过用户终端对第一签名结果和第一时间戳进行校验这一步骤，其具体包括：

A1、通过用户终端验证第一签名结果是否为第一设备证书签署；

A2、通过用户终端验证第一设备证书是否为第一平台证书签发；

A3、通过用户终端验证第一时间戳与当前时间的时间差是否小于等于预设的第一阈值；

A4、当第一签名结果为第一设备证书签署，第一设备证书为第一平台证书签发，第一时间戳与当前时间的时间差小于等于第一阈值，确定校验成功。

进一步作为可选的是是是方式，通过门禁设备对第二签名结果和第二设备证书进行校验这一步骤，其具体包括：

B1、通过门禁设备验证第二签名结果是否为第一用户证书签署；

B2、通过门禁设备验证第一用户证书是否在用户证书吊销列表内；

B3、通过门禁设备验证第一用户证书是否为第二设备证书签发；

B4、通过门禁设备验证第二设备证书是否为第一平台证书签发；

B5、当第二签名结果为第一用户证书签署，第一用户证书不在用户证书吊销列表内，第一用户证书为第二设备证书签发，第二设备证书为第一平台证书签发，确定校验成功。

进一步作为可选的实施方式，门禁管理方法还包括以下步骤：

当用户证书吊销列表中的证书数量超过预设的第二阈值，或当次操作中需要吊销门禁权限的用户数量超过预设的第三阈值，通过系统平台使用第一平台证书和第一平台私钥更新第二设备证书和第二设备私钥，并将更新后的第二设备证书发送至门禁设备和用户终端。

具体地，以下情况会重新生成证书B2及其私钥：

1)吊销列表长度超过一定阈值，一般为100个；

2)单次操作中需要撤销门禁权限的用户数超过一定阈值，一般为30个。

此外，更新证书B2需要备份旧证书供查验；更新证书B2需要将旧证书放到吊销列表通过网络连接或者近场通讯下发到门禁设备。

以上对本发明实施例的方法步骤进行了说明。下面结合一具体实施例对本发明的整体流程作进一步说明。

(1)平台拥有证书A及其私钥Ua，并且在证书A过期或者被威胁的情况下可以更新证书A乃至其私钥Ua。证书A可以由更高级别的RA证书或者根证书签发。

(2)门禁G上线，生成私钥Ug及其公钥Vg，根据Vg生成证书请求发送给平台。平台先从技术层面验证该请求数据未被篡改，然后再认证请求的实体有效之后，使用A和Ua签发包括Vg在内的证书Bg给门禁G。同时平台生成私钥U2g及其公钥V2g，并且使用A和Ua签发证书B2g。

(3)用户J注册到平台，平台管理员授予J进出门禁G的权限，则用户J可在其终端生成私钥Uj和公钥Vj，根据Vj生成证书请求发送给平台，平台使用U2g跟B2g对该证书请求签发证书Cj给用户J的该终端。

(4)门禁G通过近场通讯，如蓝牙BLE协议，反复广播证书A的MD5摘要，16个字节。

(5)用户J需要打开门禁G时，在其终端上启动开门流程，终端通过蓝牙BLE协议扫描周围的广播数据，当发现证书A的MD5摘要时，则与广播源，也即门禁G建立蓝牙链接，并且通过该链接发送随机数R1给G。

(6)门禁G与终端建立蓝牙链接之后，等待随机数R1，拿到之后，使用Ug对R1签名，把签名S1跟证书Bg按PKCS标准打包成签名S1，加上随机数R2和当前时间T发给用户J终端。

(7)用户J终端拿到S1之后，使用证书A对其进行数字签名和证书Bg的验证。如果验证失败，关闭链接并报错。如果验证成功，使用Uj对R2和T进行数字签名，签名结果加上证书Cj按PKCS标准打包为S2，加上证书B2g发回给门禁G。

(8)门禁G使用证书A结合R2、T对S2及其Cj、B2g进行验证，如果验证成功，打开门禁并使用Ug对随机数R2、T进行数字签名，追加到S2中构成S4，提交给平台。

(9)平台管理员要撤回J在G的开门权限，则平台把Cj加到吊销列表，用U2g签发之后发给门禁G，下次J再要开门时，上一步门禁G对Cj的验证就会失败。

(10)如果平台管理员要撤回许多用户在G的开门权限时，除了把这些用户的证书加到吊销列表外，还可以直接吊销现有的证书B2g，加到吊销列表发给门禁G，重新颁发新的B2g，这样被撤回的用户在第八步验证B2g时会失败。而拥有门禁G权限的用户可以连接平台更新自己终端的Cj，使得第八步通过认证。

(11)平台拿到S4后，可以解析出进出记录的各个要素，如人、时间、设备。并且如果出现抵赖的现象，如某用户不承认某一时刻通过某门禁时，可以验证S4里面的所有数字签名和涉及的证书的有效性，从而验证该进出记录的真实性。

可以理解的是，本发明实施例利用PKI安全鉴权技术实现门禁设备与用户终端的鉴权认证，只需下发少量鉴权信息给门禁设备，就可以对大量用户进行精准鉴权，整个鉴权过程安全可靠，同时门禁设备和用户终端不需要增加外设备，降低了设备管理成本；在门禁设备离线时，不仅可以继续对用户进行离线鉴权，并且可以安全的更新鉴权信息，提高了门禁的安全性。

现有技术中门禁系统的可离线鉴权方案中，平台预先下发用户权限到门禁设备，门禁设备需要管理大量用户权限，平台也需要反复跟门禁权限同步用户权限数据，因此存在以下缺点：

1)平台需要不断操作门禁设备，给平台带来很大负担；

2)门禁设备需要不断更新各个用户的权限，给设备侧带来很大负担。特别是权限变动频繁时，可能更新不够及时；

3)平台跟门禁设备频繁交换权限数据，带来各种安全风险；

4)门禁设备需要存储大量权限数据，增加成本；

5)门禁设备对用户鉴权时需要从大量权限数据中进行查找匹配，效率低下。

本发明实施例不需要下发大量用户权限，门禁设备离线也可以使用，而且鉴权方式非常安全，用户权限标识都使用数字签名进行保护，无法伪造、也不担心泄漏。此外，该鉴权方式以PKI算法为基础，实现了权限精准管控，使得事前鉴权足够安全、事后可安全审计日志。

和现有技术相比，本发明实施例主要优势在于：

1)门禁设备不需要一直在线，只需偶尔在线更新关键信息跟上报进出记录即可，所以对网络要求很低。

2)门禁设备不需要管理大量用户权限，设备成本大幅降低。

3)平台不需要与门禁设备同步所有用户权限数据，大大降低平台和门禁设备负担的同时，不存在数据泄漏等安全风险。

4)对于门禁权限变动频繁的区域，如大量临时工的工地，安全高效，无需频繁操作门禁设备的权限列表。

5)权限到期无需在门禁设备中进行清理。

6)由于集成电路技术的发展和ECC算法的出现，平台、门禁设备、用户终端进行PKI运算均有着成本低廉和运算迅速的她点，相较现有的门禁设备在非可随机读写存储上操作大量用户权限数据而言，提高了鉴权认证以及门禁管理的效率。

此外，本发明实施例通过PKI技术实现了鉴权的安全性，具有防篡改、不可抵赖和可追溯性；用户终端权限证书C采用证书B2进行签发，不使用证书A进行签发，大幅减少证书A的使用频率，有效保护最顶层的证书A的安全；每个门禁设备都独立一个证书B2，防止用户拿一个门禁的权限去开另一个门禁；通过签发有效期超短的数字证书，实现对门禁权限变动的控制，在权限比较稳定的情况下，B2证书有效性可以设置为1个月，在权限变动频繁的情况下，B2证书的有效性可以缩短到1星期；在需要撤销大量用户权限时无需下发一个很大的吊销列表，通过直接吊销原有B2证书，签发新B2证书；每个门禁设备都有一个独立的证书B，用户鉴权之前，门禁设备需要使用证书B的私钥对随机数R1签名，而且用户终端在被鉴权之前首先通过验证该签名及证书B去验证门禁设备的身份，防止第三方设备模拟门禁设备进行恶意攻击；通过证书C的吊销列表来控制门禁权限的撤销；通过近场通讯协议广播证书A的摘要，用于发现门禁设备；通过用户终端使用证书C及其私钥对随机数和时间T签名，有效验证用户的有效性跟时间的真实性；可通过提升系统中的证书密钥长度，提升具体场景的安全级别。本发明实施例使用的密码技术均符合国家密码标准，可以申请商密产品资质，而且证书的签发和管理完全可以依托第三方CA建设或者使用RA，与应用平台独立，从而达到对应用平台的门禁信息的安全审计。

参照图3，本发明实施例提供了一种基于PKI安全鉴权的门禁管理系统，包括：

通讯连接建立模块，用于通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至门禁设备；

第一签名模块，用于通过门禁设备利用第一设备证书和第一设备私钥对第一随机数进行签名得到第一签名结果，并将第一签名结果、第二随机数以及第一时间戳返回至用户终端；

第一校验模块，用于通过用户终端对第一签名结果和第一时间戳进行校验，当校验成功，根据第一签名结果解析得到第一设备证书，并根据第一设备证书确定门禁设备的设备标识，进而根据设备标识确定对应的第一用户证书；

第二签名模块，用于通过用户终端利用第一用户证书和第一用户私钥对第二随机数和第一时间戳进行签名得到第二签名结果，并将第二签名结果和第二设备证书发送至门禁设备；

第二校验模块，用于通过门禁设备对第二签名结果和第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。

上述方法实施例中的内容均适用于本系统实施例中，本系统实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法实施例所达到的有益效果也相同。

参照图4，本发明实施例提供了一种基于PKI安全鉴权的门禁管理装置，包括：

至少一个处理器；

至少一个存储器，用于存储至少一个程序；

当上述至少一个程序被上述至少一个处理器执行时，使得上述至少一个处理器实现上述的一种基于PKI安全鉴权的门禁管理方法。

上述方法实施例中的内容均适用于本装置实施例中，本装置实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法实施例所达到的有益效果也相同。

本发明实施例还提供了一种计算机可读存储介质，其中存储有处理器可执行的程序，该处理器可执行的程序在由处理器执行时用于执行上述一种基于PKI安全鉴权的门禁管理方法。

本发明实施例的一种计算机可读存储介质，可执行本发明方法实施例所提供的一种基于PKI安全鉴权的门禁管理方法，可执行方法实施例的任意组合实施步骤，具备该方法相应的功能和有益效果。

本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行图1所示的方法。

在一些可选择的实施例中，在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如，取决于所涉及的功能/操作，连续示出的两个方框实际上可以被大体上同时地执行或上述方框有时能以相反顺序被执行。此外，在本发明的流程图中所呈现和描述的实施例以示例的方式被提供，目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的，其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。

此外，虽然在功能性模块的背景下描述了本发明，但应当理解的是，除非另有相反说明，上述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中，或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是，有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说，考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下，在工程师的常规技术内将会了解该模块的实际实现。因此，本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是，所公开的特定概念仅仅是说明性的，并不意在限制本发明的范围，本发明的范围由所附权利要求书及其等同方案的全部范围来决定。

上述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印上述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得上述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的上述描述中，参考术语“一个实施方式/实施例”、“另一实施方式/实施例”或“某些实施方式/实施例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施方式，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施方式进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

以上是对本发明的较佳实施进行了具体说明，但本发明并不限于上述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (10)

1.一种基于PKI安全鉴权的门禁管理方法，其特征在于，包括以下步骤：

通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；

通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户终端；

通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验，当校验成功，根据所述第一签名结果解析得到所述第一设备证书，并根据所述第一设备证书确定所述门禁设备的设备标识，进而根据所述设备标识确定对应的第一用户证书；

通过所述用户终端利用所述第一用户证书和第一用户私钥对所述第二随机数和所述第一时间戳进行签名得到第二签名结果，并将所述第二签名结果和第二设备证书发送至所述门禁设备；

通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。

2.根据权利要求1所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述门禁管理方法还包括以下步骤：

通过所述门禁设备生成第一PKI公私钥对，所述第一PKI公私钥对包括第一设备公钥和第一设备私钥，根据所述第一设备公钥生成第一证书请求并发送至系统平台，使得所述系统平台使用第一平台证书和第一平台私钥签发所述第一设备证书、所述第二设备证书、第二设备私钥以及用户证书吊销列表，并将所述第一设备证书、所述第二设备证书以及所述用户证书吊销列表返回至所述门禁设备；

通过所述用户终端生成第二PKI公私钥对，所述第二PKI公私钥对包括第一用户公钥和第一用户私钥，根据所述第一用户公钥生成第二证书请求并发送至所述系统平台，使得所述系统平台使用所述第二设备证书和所述第二设备私钥签发所述第一用户证书，并将所述第一平台证书、所述第一用户证书以及所述第二设备证书返回至所述用户终端。

3.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述门禁管理方法还包括以下步骤：

通过所述门禁设备利用所述第一设备证书和所述第一设备私钥对所述第二随机数和所述第一时间戳进行签名得到第三签名结果，并根据所述第二签名结果和所述第三签名结果生成第四签名结果，进而将所述第四签名结果发送至所述系统平台；

通过所述系统平台对所述第四签名结果进行校验，当校验通过，根据所述第四签名结果解析得到所述第一设备证书、所述第一用户证书以及所述第一时间戳，进而根据所述第一设备证书、所述第一用户证书以及所述第一时间戳生成门禁事件记录。

4.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备这一步骤，其具体包括：

通过所述门禁设备使用近场通讯发送第一广播数据，所述第一广播数据包括所述第一平台证书的摘要；

通过所述用户终端使用近场通讯扫描所述第一广播数据，并根据所述第一平台证书的摘要建立与所述门禁设备的近场通讯连接；

通过所述用户终端将所述第一随机数发送至所述门禁设备。

5.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验这一步骤，其具体包括：

通过所述用户终端验证所述第一签名结果是否为所述第一设备证书签署；

通过所述用户终端验证所述第一设备证书是否为所述第一平台证书签发；

通过所述用户终端验证所述第一时间戳与当前时间的时间差是否小于等于预设的第一阈值；

当所述第一签名结果为所述第一设备证书签署，所述第一设备证书为所述第一平台证书签发，所述第一时间戳与当前时间的时间差小于等于所述第一阈值，确定校验成功。

6.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验这一步骤，其具体包括：

通过所述门禁设备验证所述第二签名结果是否为所述第一用户证书签署；

通过所述门禁设备验证所述第一用户证书是否在所述用户证书吊销列表内；

通过所述门禁设备验证所述第一用户证书是否为所述第二设备证书签发；

通过所述门禁设备验证所述第二设备证书是否为所述第一平台证书签发；

当所述第二签名结果为所述第一用户证书签署，所述第一用户证书不在所述用户证书吊销列表内，所述第一用户证书为所述第二设备证书签发，所述第二设备证书为所述第一平台证书签发，确定校验成功。

7.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述门禁管理方法还包括以下步骤：

当所述用户证书吊销列表中的证书数量超过预设的第二阈值，或当次操作中需要吊销门禁权限的用户数量超过预设的第三阈值，通过所述系统平台使用第一平台证书和第一平台私钥更新所述第二设备证书和所述第二设备私钥，并将更新后的所述第二设备证书发送至所述门禁设备和所述用户终端。

8.一种基于PKI安全鉴权的门禁管理系统，其特征在于，包括：

通讯连接建立模块，用于通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；

第一签名模块，用于通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户终端；

第一校验模块，用于通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验，当校验成功，根据所述第一签名结果解析得到所述第一设备证书，并根据所述第一设备证书确定所述门禁设备的设备标识，进而根据所述设备标识确定对应的第一用户证书；

第二签名模块，用于通过所述用户终端利用所述第一用户证书和第一用户私钥对所述第二随机数和所述第一时间戳进行签名得到第二签名结果，并将所述第二签名结果和第二设备证书发送至所述门禁设备；

第二校验模块，用于通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。

9.一种基于PKI安全鉴权的门禁管理装置，其特征在于，包括：

至少一个处理器；

至少一个存储器，用于存储至少一个程序；

当所述至少一个程序被所述至少一个处理器执行，使得所述至少一个处理器实现如权利要求1至7中任一项所述的一种基于PKI安全鉴权的门禁管理方法。

10.一种计算机可读存储介质，其中存储有处理器可执行的程序，其特征在于，所述处理器可执行的程序在由处理器执行时用于执行如权利要求1至7中任一项所述的一种基于PKI安全鉴权的门禁管理方法。

Images