CN116543488A - 门禁解锁方法、门禁系统以及可读存储介质 - Google Patents

门禁解锁方法、门禁系统以及可读存储介质 Download PDF

Info

Publication number
CN116543488A
CN116543488A CN202310821465.2A CN202310821465A CN116543488A CN 116543488 A CN116543488 A CN 116543488A CN 202310821465 A CN202310821465 A CN 202310821465A CN 116543488 A CN116543488 A CN 116543488A
Authority
CN
China
Prior art keywords
access control
unlocking
ciphertext
card reader
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310821465.2A
Other languages
English (en)
Inventor
蓝建春
凌杭
卢飞澎
吴谨妙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Original Assignee
Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd filed Critical Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Priority to CN202310821465.2A priority Critical patent/CN116543488A/zh
Publication of CN116543488A publication Critical patent/CN116543488A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/23Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Lock And Its Accessories (AREA)

Abstract

本发明公开了一种门禁解锁方法、门禁系统及可读存储介质,属于保密技术领域。本发明通过门禁读卡器在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID;生成随机数,并发送至所述解锁设备;基于所述设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥;根据所述设备密钥加密所述随机数,生成第一密文;基于所述第一密文确定是否执行解锁动作。可以实现对密钥的隐藏,进而防止门禁系统的密钥被窃取并破解。解决了如何提升密码安全性的同时兼顾使用成本的问题。

Description

门禁解锁方法、门禁系统以及可读存储介质
技术领域
本发明涉及保密技术领域,尤其涉及一种门禁解锁方法、门禁系统以及可读存储介质。
背景技术
在使用智能电子设备来作门禁系统解密的方案中,为了控制实施成本,通常是采用软件的形式来作为密钥解密。
然而,现有的软件中一般采用明文密码进行门禁解锁,而使用明文密码时,明文密码将出现在内存中,在安全保护措施能力不强的通用智能电子设备上存在被窃取的风险,如果使用安全措施能力强的智能电子设备,增加了消费者的成本。
因此,现有的门禁系统解密方案中存在密码安全性和使用成本难以兼顾的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种门禁解锁方法,旨在解决如何提升密码安全性的同时兼顾使用成本的问题。
为实现上述目的,本发明提供的一种门禁解锁方法,应用于门禁读卡器,所述门禁解锁方法包括以下步骤:
在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID;
生成随机数,并发送至所述解锁设备;
基于所述设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥;
根据所述设备密钥加密所述随机数,生成第一密文;
基于所述第一密文确定是否执行解锁动作。
可选地,所述基于所述第一密文确定是否执行解锁动作的步骤包括:
接收所述解锁设备反馈的第二密文;
在所述第一密文和所述第二密文匹配时,控制门禁执行机构执行解锁动作;或者,
将所述第一密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第一密文,与所述解锁设备发送的第二密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
可选地,所述在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID的步骤之前,还包括:
与门禁后台系统建立数据传输通道;
接收所述门禁后台系统发送的门禁白盒密码库。
此外,为实现上述目的,本发明提供的一种门禁解锁方法,应用于解锁设备,所述门禁解锁方法包括以下步骤:
在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID;
接收所述门禁读卡器反馈的随机数;
基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文;
将所述第二密文发送至所述门禁读卡器。
可选地,所述基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文的步骤之后,还包括:
将所述第二密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第二密文,与门禁读卡器发送的第一密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
可选地,所述在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID的步骤之前,还包括:
与门禁后台系统建立数据传输通道;
接收所述门禁后台系统发送的设备白盒密码库。
此外,为实现上述目的,本发明提供的一种门禁解锁方法,应用于门禁后台系统,所述门禁解锁方法包括以下步骤:
获取门禁读卡器对应的一级分散因子,以及解锁设备对应的设备ID,即二级分散因子;
基于所述一级分散因子生成读卡器密钥,并将所述读卡器密钥白盒化生成门禁白盒密码库后,与所述门禁读卡器建立数据传输通道,将所述门禁白盒密码库发送至所述门禁读卡器;
基于所述设备ID,即二级分散因子,分散所述读卡器密钥,生成设备密钥,并将所述设备密钥白盒化生成设备白盒密码库后,与所述解锁设备建立数据传输通道,将所述设备白盒密码库发送至所述解锁设备。
可选地,所述门禁解锁方法还包括以下步骤:
接收门禁读卡器发送的第一密文,以及解锁设备发送的第二密文;
确定所述第一密文和所述第二密文是否匹配;
若是,控制门禁执行机构执行解锁动作。
此外,为实现上述目的,本发明还提供一种门禁系统,所述门禁系统包括门禁读卡器、解锁设备、门禁后台系统、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的门禁解锁程序,所述门禁解锁程序被所述处理器执行时实现如上所述的门禁解锁方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有门禁解锁程序,所述门禁解锁程序被处理器执行时实现如上所述的门禁解锁方法的步骤。
本发明实施例提供门禁解锁方法、门禁系统以及可读存储介质,通过门禁读卡器根据解锁设备发送的设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥,再根据设备密钥加密由门禁读卡器生成的随机数得到第一密文,再基于第一密文和解锁设备反馈的第二密文确定是否执行解锁动作;即,通过将密钥融合进门禁白盒密码库以及读卡器白盒密码库进行传输和运算,进而实现对密钥的隐藏,可以防止门禁系统的密钥被窃取并破解。
附图说明
图1为本发明实施例涉及的门禁系统的硬件运行环境的架构示意图;
图2为本发明门禁解锁方法的第一实施例的流程示意图;
图3为本发明门禁解锁方法的第二实施例的流程示意图;
图4为本发明门禁解锁方法的第三实施例的流程示意图;
图5为本发明门禁解锁方法的第四实施例的流程示意图;
图6为本发明门禁解锁方法的第五实施例的流程示意图;
图7为本发明门禁解锁方法的第六实施例的流程示意图;
图8为本发明门禁解锁方法的系统架构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图作进一步说明。
具体实施方式
本申请门禁解锁方法,通过将密钥融合进门禁白盒密码库以及读卡器白盒密码库进行传输和运算,可以实现对密钥的隐藏,进而防止门禁系统的密钥被窃取并破解。
为了更好地理解上述技术方案,下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整地传达给本领域的技术人员。
作为一种实现方案,图1为本发明实施例方案涉及的门禁系统的硬件运行环境的架构示意图。
如图1所示,该门禁系统可以包括:处理器101,例如中央处理器(CentralProcessing Unit,CPU),存储器102,通信总线103。其中,存储器102可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器102可选的还可以是独立于前述处理器101的存储装置。通信总线103用于实现这些组件之间的连接通信。
本领域技术人员可以理解,图1中示出的结构并不构成对门禁系统的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器102中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及门禁解锁程序。
在图1所示的门禁系统中,处理器101、存储器102可以设置在门禁系统中,所述门禁系统通过处理器101调用存储器102中存储的门禁解锁程序,并执行以下操作:
在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID;
生成随机数,并发送至所述解锁设备;
基于所述设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥;
根据所述设备密钥加密所述随机数,生成第一密文;
基于所述第一密文确定是否执行解锁动作。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
接收所述解锁设备反馈的第二密文;
在所述第一密文和所述第二密文匹配时,控制门禁执行机构执行解锁动作;或者,
将所述第一密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第一密文,与所述解锁设备发送的第二密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
与门禁后台系统建立数据传输通道;
接收所述门禁后台系统发送的门禁白盒密码库。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID;
接收所述门禁读卡器反馈的随机数;
基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文;
将所述第二密文发送至所述门禁读卡器。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
将所述第二密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第二密文,与门禁读卡器发送的第一密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
与门禁后台系统建立数据传输通道;
接收所述门禁后台系统发送的设备白盒密码库。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
获取门禁读卡器对应的一级分散因子,以及解锁设备对应的设备ID;
基于所述一级分散因子生成读卡器密钥,并将所述读卡器密钥白盒化生成门禁白盒密码库后,与所述门禁读卡器建立数据传输通道,将所述门禁白盒密码库发送至所述门禁读卡器;
基于所述设备ID分散所述读卡器密钥,生成设备密钥,并将所述设备密钥白盒化生成设备白盒密码库后,与所述解锁设备建立数据传输通道,将所述设备白盒密码库发送至所述解锁设备。
在一实施例中,处理器101可以用于调用存储器102中存储的门禁解锁程序,并执行以下操作:
接收门禁读卡器发送的第一密文,以及解锁设备发送的第二密文;
确定所述第一密文和所述第二密文是否匹配;
若是,控制门禁执行机构执行解锁动作。
基于上述门禁解锁方法的门禁系统的硬件架构,提出本申请门禁解锁方法的实施例。
参照图2,在第一实施例中,所述门禁解锁方法应用于门禁读卡器,所述门禁解锁方法包括以下步骤:
步骤S100:在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID。
在本实施例中,当门禁读卡器与解锁设备建立通信连接后,才开始实施该门禁解锁方法;当门禁读卡器未与该解锁设备建立通信连接时,门禁读卡器以待机状态运行,可以降低门禁读卡器电量消耗,延长门禁读卡器的待机时长。
在本实施例中,门禁读卡器接收解锁设备发送的设备ID,用于生成设备密钥。
可选地,门禁读卡器与解锁设备建立通信连接的步骤可以是,门禁读卡器向解锁设备发送基于预设安全协议生成的身份验证请求;当在预设时间内接收到解锁设备反馈的身份验证响应时,基于安全协议建立通信连接。
可选地,在门禁读卡器与解锁设备建立通信连接之前,当接收到解锁设备发送的解锁请求后,确定解锁设备是否预存有设备白盒密码库;若是,与解锁设备建立通信连接;若否,不与解锁设备建立通信连接,并提示解锁设备不具有解锁权限。
可选地,门禁读卡器与解锁设备之间的信息传输,可以是近距离传输,也可以是远距离传输。
可选地,在门禁读卡器接收解锁设备发送的设备ID之前,门禁读卡器向解锁设备发送设备ID获取请求。
可选地,门禁读卡器可以设于各种门上,包括但不限于闸机、房门等需要身份验证通过才能开启的门。
步骤S200:生成随机数,并发送至所述解锁设备。
在本实施例中,门禁读卡器开始实施该门禁解锁方法后,生成随机数并发送至解锁设备;同时,向解锁设备发送设备ID获取请求,并接收解锁设备反馈的设备ID。
在本实施例中,生成的随机数用于生成第一密文;将该随机数发送至解锁设备,供解锁设备生成第二密文。
可选地,随机数为一串字符,可以包括数字和/或字母;可选地,随机数可以是二进制、十进制或者十六进制的数。可选地,可以基于随机数生成算法生成随机数。
在本实施例中,门禁读卡器设有信号接收模块,用于接收解锁设备发送的设备ID等信息;门禁读卡器设有信号发送模块,用于发送随机数、设备ID获取请求等信息。可选地,门禁读卡器的信号发送模块可以是蓝牙信号发送模块或者无线信号发送模块;门禁读卡器的信号接收模块可以是蓝牙信号接收模块、无线信号接收模块或者读卡模块。
可选地,在一具体实施方式中,门禁读卡器与解锁设备之间采用NFC(Near FieldCommunication,近距离无线通信)技术进行通信,门禁读卡器在与解锁设备建立通信连接后,生成随机数,并基于射频场,通过读卡模块将该随机数以及设备ID获取请求发送至解锁设备,同时,接收解锁设备反馈的设备ID。
步骤S300:基于所述设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥。
在本实施例中,基于所述设备ID分散门禁白盒密码库中的读卡器密钥,其中,白盒密码库中的读卡器密钥被隐藏,需要通过算法查找到该密钥。可选地,设备ID分散读卡器密钥得到设备密钥的方法可以是,读卡器密钥加密设备ID的一半字符,得到设备密钥的一半字符;对于设备ID的另一半字符取反后,再由读卡器密钥加密,得到设备密钥的另一半字符;将设备密钥的两半字符进行拼接,得到设备密钥。
可选地,门禁白盒密码库,可以是由门禁读卡器生成并预存于门禁读卡器之中,也可以是从门禁后台系统获取并预存与门禁读卡器之中。
步骤S400:根据所述设备密钥加密所述随机数,生成第一密文。
步骤S500:基于所述第一密文确定是否执行解锁动作。
可选地,根据设备密钥加密随机数所采用的加密算法,可以是对称加密算法、非对称加密算法或者Hash(哈希)算法。
可选地,在一具体实施方式中,采用对称加密算法加密随机数,具体的,将设备密钥作为共同密钥,加密随机数,生成第一密文;在解锁设备中,采用同样的设备密钥作为加密密钥,加密门禁读卡器发送的随机数,生成第二密文并反馈到门禁读卡器与第一密文进行匹配。
在本实施例中,若门禁读卡器基于第一密文可以确定解锁设备具有解锁权限,则可以执行解锁动作。
示例性地,在一具体实施方式中,作为解锁设备的手机请求解锁设于门上的门禁设备;首先是由手机向门禁设备发送解锁请求,门禁设备的门禁读卡器在接收到手机的解锁请求时,基于预设的随机数生成算法,生成随机数,并通读卡模块向手机发送该随机数,同时请求获取手机的设备ID;手机调用预存的设备白盒密码库中的目标设备密钥以及与该设备密钥关联的加密算法,加密门禁设备产生的随机数,形成第二密文;手机通过卡模拟模块向门禁设备的读卡模块发送第二密文以及设备ID;门禁设备基于设备ID,于预存的门禁白盒密码库中,确定目标读卡器密钥以及与目标读卡器密钥关联的目标加密算法,并根据设备ID以及目标加密算法对目标读卡器密钥进行分散,得到验证设备密钥;门禁读卡器再根据验证设备密钥,于设备白盒密码库中,确定与该验证设备密钥关联的加密算法,并基于该验证设备密钥和加密算法加密随机数,得到第一密文;门禁读卡器对第一密文和第二密文进行比对,若第一密文与第二密文一致,执行解锁动作。
示例性地,假设门禁设备接收到手机发送的解锁请求时,调用预设的随机数生成算法,生成一个为1234567的随机数,并发送至手机。假设手机的设备ID为id12345,手机基于id12345,于预存的设备白盒密码库中获取目标设备密钥以及与该设备密钥关联的对称加密算法,并根据目标设备密钥以及对称加密算法加密门禁设备发送的1234567,生成第一密文mw13579,将mw13579和id12345发送至门禁设备。门禁设备于预存的门禁白盒密码库中,调用读卡器密钥以及与该读卡器密钥对应的哈希算法,并使用接收到的id12345以及哈希算法对读卡器密钥进行分散,生成验证设备密钥,可以理解的,该验证设备密钥与设备白盒密码库中,与id12345相关的目标设备密钥是一致的,因此,可以通过验证设备密钥以及对称加密算法对随机数1234567进行加密,得到与第一密文一致的第二密文mw13579。
在本实施例提供的技术方案中,对第一密文和第二密文进行验证,相较于将接收到的密文进行解密后,对得到的明文与未经加密的随机数进行验证,由于将密文直接进行验证可以避免在解密过程中暴露敏感信息,并且,解密过程相较于加密过程,会涉及复杂的算法和大量计算。因此,对第一密文和第二密文进行验证,相较于将接收到的密文进行解密后,对得到的明文与未经加密的随机数进行验证,不仅具有更高的安全性,还能够提高验证的效率。
在本实施例提供的技术方案中,通过门禁读卡器根据解锁设备发送的设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥,再根据设备密钥加密由门禁读卡器生成的随机数得到第一密文,再基于第一密文和解锁设备反馈的第二密文确定是否执行解锁动作。实现对密钥的隐藏,提高了密钥以及密文的安全性,可以防止门禁系统的密钥和/或被窃取并破解。
参照图3,基于上述实施例,在第二实施例中,所述基于所述第一密文确定是否执行解锁动作的步骤包括:
步骤S501:接收所述解锁设备反馈的第二密文;
步骤S502:在所述第一密文和所述第二密文匹配时,控制门禁执行机构执行解锁动作;或者,
步骤S503:将所述第一密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第一密文,与所述解锁设备发送的第二密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
在本实施例中,门禁读卡器通过信号接收模块接收解锁设备反馈的第二密文;对第一密文和第二密文进行匹配,若第一密文与第二密文匹配,控制门禁执行机构执行解锁动作;或者,将第一密文通过信号发送模块发送至门禁后台系统,由门禁后台系统进行匹配和执行门禁解锁动作。
可选地,在对第一密文和第二密文进行匹配时,可以先采取奇偶校验的方式进行初步验证。可选地,对第一密文与第二密文逐位进行匹配,若在匹配的过程中出现至少一位不一致,即可以确定第一密文与第二密文不匹配;可选地,可以将第一密文与第二密文进行作差运算,若作差的结果不为零,即可以确定第一密文与第二密文不匹配。因此,只要第一密文与第二密文中有一位字符不匹配,则可以判定第一密文与第二密文不匹配,可以提高门禁系统的安全性,降低门禁系统出现误解锁的概率。
在本实施例中,由于第一密文、第二密文均与设备密钥以及设备ID相关,因此,若在进行数据传输的时候,未出现传输错误或者数据丢失的情况,第一密文与第二密文应当是匹配的,故可以在第一密文与第二密文匹配时,控制门禁执行机构执行解锁动作;若第一密文与第二密文不匹配,可以确定该解锁设备不具备解锁该门禁的权限。
在本实施例提供的技术方案中,门禁读卡器通过信号接收模块接收解锁设备反馈的第二密文;对第一密文和第二密文进行匹配,若第一密文与第二密文匹配,控制门禁执行机构执行解锁动作,或者,将第一密文通过信号发送模块发送至门禁后台系统,由门禁后台系统进行匹配和执行门禁解锁动作。由门禁读卡器控制门禁执行机构执行解锁动作,或者由门禁后台系统控制门禁执行机构执行解锁动作,可以根据具体应用情况进行选择,可以实现门禁系统适用性的提高。
参照图4,基于上述实施例,在第三实施例中,所述在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID的步骤之前,还包括:
步骤S101:与门禁后台系统建立数据传输通道;
步骤S102:接收所述门禁后台系统发送的门禁白盒密码库。
在本实施例中,与门禁后台系统建立的数据传输通道可以是有线的数据传输通道,或者是无线的数据传输通道,需要说明的是,门禁读卡器与门禁后台系统建立的数据传输通道应当是安全的,避免在进行数据传输中,出现门禁白盒密码库被窃取的情况。
在本实施例中,接收门禁后台系统发送的门禁白盒密码库后,将门禁白盒密码库进行存储。
在本实施例提供的技术方案中,通过与门禁后台系统建立数据传输通道;并接收门禁后台系统发送的门禁白盒密码库,可以确保门禁白盒密码库是未被篡改的,是未过期的。
参照图5,基于上述实施例,在第四实施例中,所述门禁解锁方法应用于解锁设备,所述门禁解锁方法包括以下步骤:
步骤S110:在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID;
步骤S210:接收所述门禁读卡器反馈的随机数;
步骤S310:基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文;
步骤S410:将所述第二密文发送至所述门禁读卡器。
在本实施例中,向门禁读卡器发送设备ID,用于门禁读卡器生成设备密钥。
在本实施例中,解锁设备设有信号发送模块,用于发送设备ID、第二密文等信息;设有信号接收模块,用于接收随机数、设备ID获取请求等信息。可选地,在与门禁读卡器建立通信连接之前,解锁设备的信号发送模块向门禁读卡器发送解锁请求。
在本实施例中,解锁设备通过信号发送模块向门禁读卡器的信号接收模块发送其自身的设备ID,以及将随机码进行加密后得到的第二密文。
在本实施例中,解锁设备基于白盒密码库获取的设备密钥与解锁设备的设备ID相关,因此,若解锁设备具备解锁权限,可以认为解锁设备发送至门禁读卡器的第二密文,与门禁读卡器基于门禁白盒密码库获取的加密算法,和基于设备ID获取的设备密钥,加密随机数得到的第一密文是匹配的。
可选地,解锁设备的信号接收模块可以是蓝牙信号接收模块或者无线信号接收模块;解锁设备的信号发送模块可以是蓝牙信号发送模块、无线信号发送模块或者卡模拟模块。
可选地,解锁设备可以是手机、智能穿戴设备、电子门禁卡等设备。
可选地,设备白盒密码库,可以是获取自门禁读卡器生成并发送的设备白盒密码库;也可以是获取自门禁后台系统生成并发送的设备白盒密码库。
可选地,基于设备白盒密码库中的设备密钥加密随机数所采用的加密算法,是从设备白盒密码库中查询获取的,可以是对称加密算法、非对称加密算法或者Hash(哈希)算法。其中,对称加密算法又称共享密钥加密算法,在对称加密算法中,使用的密钥只有一个,例如设备密钥;发送和接收双方,例如解锁设备和门禁读卡器,都使用这个密钥对数据,例如随机数,进行加密,这就要求解锁设备和门禁读卡器事先都必须知道密钥。非对称加密算法又称为公开密钥加密算法,它需要两个密钥,一个称为公开密钥,即公钥,另一个称为私有密钥,即私钥。Hash算法,又称为散列算法,可以把任意长度的输入,例如与随机数,通过散列算法变换成固定长度的输出,例如第二密文,该输出就是散列值。
在本实施例提供的技术方案中,解锁设备在与门禁读卡器建立通信连接后,向门禁读卡器发送设备ID,并接收门禁读卡器反馈的随机数,再基于设备白盒密码库中的设备密钥加密随机数,生成第二密文并发送至所述门禁读卡器。基于设备白盒密码库中的设备密钥和加密算法加密接收到的门禁读卡器发送的随机数,生成的第二密文,若该解锁设备具有解锁权限,该第二密文应当是与第一密文匹配的。因此,实现了解锁系统密文匹配的准确性以及可信度的提高。
进一步的,在一实施例中,所述基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文的步骤之后,还包括:
步骤S311:将所述第二密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第二密文,与门禁读卡器发送的第一密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
在本实施例提供的技术方案中,将第二密文发送至门禁后台系统,由门禁后台系统对第一密文、第二密文进行匹配,提高了门禁系统的适用性。
参照图6,基于上述实施例,在第五实施例中,所述在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID的步骤之前,还包括:
步骤S111:与门禁后台系统建立数据传输通道;
步骤S112:接收所述门禁后台系统发送的设备白盒密码库。
在本实施例中,与门禁后台系统建立的数据传输通道可以是有线的数据传输通道,或者是无线的数据传输通道,需要说明的是,解锁设备与门禁后台系统建立的数据传输通道应当是安全的,避免在进行数据传输中,出现设备白盒密码库被窃取的情况。
在本实施例中,接收门禁后台系统发送的设备白盒密码库后,将设备白盒密码库进行存储。
在本实施例提供的技术方案中,通过与门禁后台系统建立数据传输通道;并接收门禁后台系统发送的设备白盒密码库,可以确保设备白盒密码库是未被篡改的,是未过期的。
在一实施方式中,所述门禁解锁方法包括门禁后台系统,所述门禁后台系统用于生成门禁白盒密码库以及设备白盒密码库,还可以用于对第一密文和第二密文进行验证。
参照图7,基于上述实施例,在第六实施例中,所述门禁解锁方法应用于门禁后台系统,所述门禁解锁方法包括以下步骤:
步骤S600:获取门禁读卡器对应的一级分散因子,以及解锁设备对应的设备ID;
步骤S700:基于所述一级分散因子生成读卡器密钥,并将所述读卡器密钥白盒化生成门禁白盒密码库后,与所述门禁读卡器建立数据传输通道,将所述门禁白盒密码库发送至所述门禁读卡器;
步骤S800:基于所述设备ID分散所述读卡器密钥,生成设备密钥,并将所述设备密钥白盒化生成设备白盒密码库后,与所述解锁设备建立数据传输通道,将所述设备白盒密码库发送至所述解锁设备。
在本实施例中,调用预设的加密算法以及预存的根密钥,并确定一级分散因子;然后,根据该加密算法和该根密钥,对该一级分散因子进行加密,进而得到读卡器密钥。
在本实施例中,根密钥为最顶层的密钥,不以明文的形式存储。可选地,根密钥是由分别存储在多个地方的多段密钥生成的。
可选地,分散因子的长度可以是八个字节。示例性地,假设根密钥的长度为十六字节,选取八字节长度的分散因子;首先,对分散因子进行补位,使分散因子的字节数为八的倍数;然后,将补位后的分散因子,以八字节为单位进行拆分;然后,对拆分后的每段分散因子进行加密;最后,将加密后的每段分散因子进行连接,即可得到读卡器密钥。
在本实施例中,将读卡器密钥白盒化生成门禁白盒密码库,是指将读卡器密钥和加密算法关联存储,形成查询表,进而实现对读卡器密钥和所使用的加密算法的隐藏。
在本实施例中,将门禁白盒密码库发送至门禁读卡器,用于确定读卡器密钥及其对应的加密算法,并基于加密算法和读卡器密钥加密设备ID,获得设备密钥。
在本实施例中,将设备白盒密码库发送至所述解锁设备,用于确定设备密钥及其对应的加密算法,并基于加密算法和设备密钥加密随机数,获得第二密文。
可选地,数据传输通道可以是有线的数据传输通道,也可以是无线的数据传输通道。可选地,无线的数据传输通道的建立,可以是普通的无线的数据传输通道,也可以是基于安全协议建立的安全信道。其中,需要说明的是,若通过普通的无线的数据传输通道传输门禁白盒密码库和设备白盒密码库,需要在安全屋中进行,即需要确保进行传输时的网络环境是安全的,可以保证信息数据传输的安全性,可以防止遭遇数据信息被窃取的风险。
可选地,基于安全协议建立安全信道,可以基于SSH(Secure Shell,安全外壳)文件传输协议,示例性地,首先由解锁设备将SSH协议版本发送给门禁读卡器,门禁读卡器在预设时间内反馈SSH版本;解锁设备将自己的密钥交换算法、加密算法以及MAC(MessageAuthentication Codes,消息认证码)算法发送给门禁读卡器,同样地,门禁读卡器将自己的密钥交换算法、加密算法以及MAC算法发送至解锁设备;门禁读卡器和解锁设备各自按照算法协商规则获取密钥交换、加密、MAC对应的算法;然后按照算法进行密钥交换;门禁读卡器生成公钥,并将公钥发送给解锁设备;解锁设备验证门禁读卡器发送的公钥的真实性,并验证基于哈希值的签名,验证通过后,门禁读卡器与解锁设备之间完成安全信道的建立。
在本实施例提供的技术方案中,门禁后台系统与门禁读卡器和解锁设备进行通信,设备白盒密码库以及门禁白盒密码库均由门禁后台系统生成、存储并发送,相当于在门禁后台系统中存储有初始的门禁白盒密码库以及设备白盒密码库,当门禁白盒密码库或者设备白盒密码库过期或者遭到篡改或者丢失时,门禁读卡器和解锁设备均可以从门禁后台系统中获取最新的、正确的门禁白盒密码库和设备白盒密码库,进而可以保证身份验证的安全性与准确性。
在本实施例提供的技术方案中,采用门禁后台接替门禁读卡器的部分工作,即生成门禁白盒密码库和生成设备白盒密码库的工作,可以降低对门禁读卡器的硬件设备要求,进而降低采购和运维成本,并且,使用门禁后台可以更方便地管理和更新门禁白盒密码库和设备白盒密码库,进而可以简化门禁系统的维护工作。
进一步的,基于上述实施例,所述门禁解锁方法还包括以下步骤:
步骤S900:接收门禁读卡器发送的第一密文,以及解锁设备发送的第二密文;
步骤S901:确定所述第一密文和所述第二密文是否匹配;
步骤S902:若是,控制门禁执行机构执行解锁动作。
可选地,门禁系统设有门禁执行模块,当第一密文和第二密文匹配成功时,门禁执行模块接收到解锁指令,控制门禁解锁;当第一文和第二密文验证失败时,门禁执行模块接收到输出验证失败提示指令,作出验证失败提示动作。可选地,验证失败提示动作包括但不限于语音提示验证失败,或者是发出警报声,或者是提示验证失败并请求重新验证,可以根据实际应用情况进行设定。可选地,可以限制在预设时间内,重新进行身份验证的次数,当在预设时间内得的验证失败次数达到限制次数时,向门禁管理员发送警报提示。
在本实施例提供的技术方案中,由门禁后台系统接收并验证第一密文和第二密文是否匹配,确定解锁设备的解锁请求是否通过,进而确定是否解锁门禁,可以提高门禁系统的安全性,可以避免门禁被轻易破解。
此外,参照图8,本实施例还提出一种门禁系统,所述门禁系统包括:
门禁后台系统200,负责生成白盒密码库并发送至门禁读卡器,生成设备白盒密码库并发送至解锁设备。
门禁读卡器300,用于生成门禁白盒密码库,并鉴别解锁设备是否具有解锁权限,或者接收由门禁后台系统发送的门禁白盒密码库,以及将第一密文发送至门禁后台系统。
解锁设备400,负责发起解锁请求,以及生成用于解锁权限鉴别的第二密文。
此外,本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可以存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被门禁系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有门禁解锁程序,所述门禁解锁程序被处理器执行时实现如上实施例所述的门禁解锁方法的各个步骤。
其中,所述计算机可读存储介质可以是U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
需要说明的是,由于本申请实施例提供的存储介质,为实施本申请实施例的方法所采用的存储介质,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该存储介质的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的存储介质都属于本申请所欲保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种门禁解锁方法,其特征在于,应用于门禁读卡器,所述门禁解锁方法包括以下步骤:
在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID;
生成随机数,并发送至所述解锁设备;
基于所述设备ID分散门禁白盒密码库中的读卡器密钥,得到设备密钥;
根据所述设备密钥加密所述随机数,生成第一密文;
基于所述第一密文确定是否执行解锁动作。
2.如权利要求1所述的门禁解锁方法,其特征在于,所述基于所述第一密文确定是否执行解锁动作的步骤包括:
接收所述解锁设备反馈的第二密文;
在所述第一密文和所述第二密文匹配时,控制门禁执行机构执行解锁动作;或者,
将所述第一密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第一密文,与所述解锁设备发送的第二密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
3.如权利要求1所述的门禁解锁方法,其特征在于,所述在与解锁设备建立通信连接后,接收所述解锁设备发送的设备ID的步骤之前,还包括:
与门禁后台系统建立数据传输通道;
接收所述门禁后台系统发送的所述门禁白盒密码库。
4.一种门禁解锁方法,其特征在于,应用于解锁设备,所述门禁解锁方法包括以下步骤:
在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID;
接收所述门禁读卡器反馈的随机数;
基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文;
将所述第二密文发送至所述门禁读卡器。
5.如权利要求4所述的门禁解锁方法,其特征在于,所述基于设备白盒密码库中的设备密钥加密所述随机数,生成第二密文的步骤之后,还包括:
将所述第二密文发送至门禁后台系统,其中,所述门禁后台系统根据接收到的所述第二密文,与门禁读卡器发送的第一密文进行匹配,并在相匹配时控制门禁执行机构执行解锁动作。
6.如权利要求4所述的门禁解锁方法,其特征在于,所述在与门禁读卡器建立通信连接后,向所述门禁读卡器发送设备ID的步骤之前,还包括:
与门禁后台系统建立数据传输通道;
接收所述门禁后台系统发送的所述设备白盒密码库。
7.一种门禁解锁方法,其特征在于,应用于门禁后台系统,所述门禁解锁方法包括以下步骤:
获取门禁读卡器对应的一级分散因子,以及解锁设备对应的设备ID;
基于所述一级分散因子生成读卡器密钥,并将所述读卡器密钥白盒化生成门禁白盒密码库后,与所述门禁读卡器建立数据传输通道,将所述门禁白盒密码库发送至所述门禁读卡器;
基于所述设备ID分散所述读卡器密钥,生成设备密钥,并将所述设备密钥白盒化生成设备白盒密码库后,与所述解锁设备建立数据传输通道,将所述设备白盒密码库发送至所述解锁设备。
8.如权利要求7所述的门禁解锁方法,其特征在于,所述门禁解锁方法还包括以下步骤:
接收门禁读卡器发送的第一密文,以及解锁设备发送的第二密文;
确定所述第一密文和所述第二密文是否匹配;
若是,控制门禁执行机构执行解锁动作。
9.一种门禁系统,其特征在于,所述门禁系统包括:门禁读卡器、解锁设备、门禁后台系统、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的门禁解锁程序,所述门禁解锁程序配置为实现如权利要求1至8中任一项所述的门禁解锁方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有门禁解锁程序,所述门禁解锁程序被处理器执行时实现如权利要求1至8任一项所述的门禁解锁方法的步骤。
CN202310821465.2A 2023-07-06 2023-07-06 门禁解锁方法、门禁系统以及可读存储介质 Pending CN116543488A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310821465.2A CN116543488A (zh) 2023-07-06 2023-07-06 门禁解锁方法、门禁系统以及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310821465.2A CN116543488A (zh) 2023-07-06 2023-07-06 门禁解锁方法、门禁系统以及可读存储介质

Publications (1)

Publication Number Publication Date
CN116543488A true CN116543488A (zh) 2023-08-04

Family

ID=87447503

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310821465.2A Pending CN116543488A (zh) 2023-07-06 2023-07-06 门禁解锁方法、门禁系统以及可读存储介质

Country Status (1)

Country Link
CN (1) CN116543488A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102129730A (zh) * 2010-01-14 2011-07-20 上海峥创电子有限公司 非接触cpu卡门禁读卡器
CN102800141A (zh) * 2012-07-24 2012-11-28 东信和平科技股份有限公司 一种基于双向认证的门禁控制方法及系统
CN103971426A (zh) * 2013-01-31 2014-08-06 北京同方微电子有限公司 一种基于psam安全控制的门禁系统及其安全门禁方法
CN109272609A (zh) * 2018-08-19 2019-01-25 天津新泰基业电子股份有限公司 一种cpu安全门禁控制方法及系统
CN114448624A (zh) * 2022-01-27 2022-05-06 华南师范大学 基于白盒密码服务的透明化物联网安全传输方法及装置
CN114844688A (zh) * 2022-04-15 2022-08-02 浙江大华技术股份有限公司 数据传输方法、装置、设备及计算机存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102129730A (zh) * 2010-01-14 2011-07-20 上海峥创电子有限公司 非接触cpu卡门禁读卡器
CN102800141A (zh) * 2012-07-24 2012-11-28 东信和平科技股份有限公司 一种基于双向认证的门禁控制方法及系统
CN103971426A (zh) * 2013-01-31 2014-08-06 北京同方微电子有限公司 一种基于psam安全控制的门禁系统及其安全门禁方法
CN109272609A (zh) * 2018-08-19 2019-01-25 天津新泰基业电子股份有限公司 一种cpu安全门禁控制方法及系统
CN114448624A (zh) * 2022-01-27 2022-05-06 华南师范大学 基于白盒密码服务的透明化物联网安全传输方法及装置
CN114844688A (zh) * 2022-04-15 2022-08-02 浙江大华技术股份有限公司 数据传输方法、装置、设备及计算机存储介质

Similar Documents

Publication Publication Date Title
JP2823103B2 (ja) 通信ネットワークにおけるユーザを確認する方法および装置
CN1832394B (zh) 用于非对称密钥安全的方法和系统
US8239676B2 (en) Secure proximity verification of a node on a network
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US7783041B2 (en) System, method and computer program product for authenticating a data agreement between network entities
US6535980B1 (en) Keyless encryption of messages using challenge response
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US8793497B2 (en) Puzzle-based authentication between a token and verifiers
JP5138858B2 (ja) データ伝送のセキュリティを確保する方法、通信システム及び通信装置
US8775794B2 (en) System and method for end to end encryption
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
US8595501B2 (en) Network helper for authentication between a token and verifiers
CN111630811A (zh) 生成和寄存用于多点认证的密钥的系统和方法
KR101531662B1 (ko) 사용자 단말과 서버간 상호 인증 방법 및 시스템
CN106912046A (zh) 单向密钥卡和交通工具配对
CN104868998A (zh) 一种向电子设备供应加密数据的系统、设备和方法
US20230299981A1 (en) Method and System for Authentication of a Computing Device
CN112769789A (zh) 一种加密通信方法及系统
KR20010079161A (ko) 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법
JPH04247737A (ja) 暗号化装置
JPH10240826A (ja) 電子契約方法
CN116543488A (zh) 门禁解锁方法、门禁系统以及可读存储介质
JP2001285286A (ja) 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置
JP3078666B2 (ja) 相互認証/暗号鍵配送方式

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20230804