CN105635089A - 动态密码锁的鉴权方法、开锁方法和开锁*** - Google Patents
动态密码锁的鉴权方法、开锁方法和开锁*** Download PDFInfo
- Publication number
- CN105635089A CN105635089A CN201410714971.2A CN201410714971A CN105635089A CN 105635089 A CN105635089 A CN 105635089A CN 201410714971 A CN201410714971 A CN 201410714971A CN 105635089 A CN105635089 A CN 105635089A
- Authority
- CN
- China
- Prior art keywords
- lock
- dynamic puzzle
- key
- dynamic
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Lock And Its Accessories (AREA)
Abstract
本发明提供一种动态密码锁的鉴权方法、开锁方法和开锁***,鉴权方法包括:在对动态密码锁进行开锁的手持终端中设置与第一算法对应的第三算法、以及与第二算法对应的第四算法;在手持终端侧,其利用本侧的第一关键数集通过第三算法生成第一鉴权序列,并利用接收自动态密码锁的第二关键数集通过第四算法生成第二鉴权序列;在动态密码锁侧,其利用本侧的第二关键数集通过第二算法生成第四鉴权序列,并利用接收自手持终端的第一关键数集通过第一算法生成第三鉴权序列;进行对应步骤,在第一与第三鉴权序列对应,并且第二与第四鉴权序列对应的情况下,鉴权通过。本发明的技术方案能够提高动态密码锁的安全性能。
Description
技术领域
本发明涉及一种安防技术,尤其涉及一种锁具的开启方法,具体的说是一种基于手持终端设备的开锁方法。
背景技术
目前,金库、枪械库、自动柜员机、保险柜、保险箱、保密文件柜等都是安全性要求非常高的设备,是重点安防部分。作为该类安防措施的重点是门锁。现有门锁一般为密码锁,一般存在只要掌握了密码即可开启柜门。密码的泄露很容易引起严重盗抢事故。
发明内容
本发明所要解决的问题是现有动态密码锁安全性能差,持密码人很容易泄露密码导致非法开启柜门,使得安全隐患增加,提供一种动态密码锁的鉴权方法、开锁方法和开锁***。
为了解决上述问题,本发明提供一种动态密码锁的鉴权方法,该动态密码锁内预设有第一算法和第二算法,方法包括:
在对动态密码锁进行开锁的手持终端中设置与第一算法对应的第三算法、以及与第二算法对应的第四算法;
在手持终端侧,其利用本侧的第一关键数集通过第三算法生成第一鉴权序列,并利用接收自动态密码锁的第二关键数集通过第四算法生成第二鉴权序列;
在动态密码锁侧,其利用本侧的第二关键数集通过第二算法生成第四鉴权序列,并利用接收自手持终端的第一关键数集通过第一算法生成第三鉴权序列;
进行对应步骤,在第一鉴权序列与第三鉴权序列对应,并且第二鉴权序列与第四鉴权序列对应的情况下,鉴权通过。
作为优选,第一关键数集内的信息包括手持终端的设备信息和鉴权密钥。
作为优选,第二关键数集内的信息动态密码锁的设备信息及动态密码锁随机生成的第一随机数。
作为优选,第一算法和第二算法分别是以下至少之一:
3DES、DES、SM1、SM2、SM4、SHA、AES。
本发明还提供一种动态密码锁的开锁方法,该动态密码锁用于设备上,该设备具有对其进行唯一标识的设备信息,基于上述鉴权方法,开锁方法包括:
步骤S1,在服务器中预录入登录信息和设备的设备信息、动态密码锁的设备信息、鉴权密钥、动态密码锁密钥,并根据登录信息设置指定的手持终端的登录方式,并将登录信息、鉴权密钥、动态密码锁密钥发送至手持终端;
步骤S3,根据登录方式登录手持终端,登录后激活动态密码锁使其处于可开锁状态;
步骤S5,手持终端将登录信息和动态密码锁密钥发送至动态密码锁;
步骤S7,动态密码锁根据动态密码锁密钥通过第五算法生成第一动态密码,并将登录信息以及预存的设备的设备信息发送至服务器;
步骤S9,服务器将接收的登录信息与设备的设备信息,分别与服务器内部预录的登录信息与设备的设备信息进行一致性判定,在一致的情况下,根据动态密码锁密钥通过与第五算法对应的第六算法生成第二动态密码,并将该第二动态密码发送至动态密码锁;
步骤S11,在第一动态密码和第二动态密码一致的情况下,动态密码锁和手持终端之间基于动态密码锁的设备信息和鉴权密钥通过上述的鉴权方法进行鉴权,在鉴权通过的情况下,动态密码锁实现开锁。
作为优选,步骤S1还包括:在服务器中预录入主密钥,并且服务器将主密钥发送至手持终端;
则步骤S5还包括:手持终端将主密钥发送至动态密码锁;
此后,动态密码锁与手持终端之间的信息交互均基于主密钥进行加密传输。
作为优选,在步骤S3之后进一步包括步骤4,动态密码锁在被激活之后,生成工作密钥;
此后,动态密码锁与服务器之间的信息交互均基于工作密钥进行加密传输。
作为优选,登录信息包括指定的开锁人员的代码及其识别信息,识别信息包括密码验证、指纹验证和/或信息按钮验证。
作为优选,动态密码锁与服务器之间的信息交互均通过工控机进行。
作为优选,上述开锁方法还包括:
在手持终端接收到登录信息、鉴权密钥和动态密码锁密钥之后,如果第一预定时间内未登录,则进行自锁;从自锁到第二预定时间期间内,使用手持终端无法进行登录。
作为优选,主密钥和动态密码锁密钥的生成方法包括以下步骤:
步骤S01:密码生成主机基于其设备信息及第二随机数,以密码生成主机的设备信息为密钥通过第七算法生成主密钥;
步骤S02:密码生成主机基于其设备信息及第三随机数,以主密钥为密钥通过第八算法生成鉴权密钥,并将主密钥和鉴权密钥加载至密钥识别器;
步骤S05:密钥识别器基于其设备信息、当前时间及第四随机数,以主密钥为密钥通过第九算法生成动态密码锁密钥。
作为优选,步骤S02与步骤S05之间还包括:
步骤S03:密码生成主机将主密钥和鉴权密钥分别部分地加载至第一读写卡和第二读写卡,使得同时具备第一读写卡和第二读写卡才能获取主密钥和鉴权密钥;
步骤S04:通过在密钥识别器刷第一读写卡和第二读写卡使得主密钥和鉴权密钥加载到密钥识别器。
作为优选,步骤S05之后还包括:
步骤S06:密钥识别器将动态密码锁密钥加载至第三读写卡和第四读写卡,使得同时具备第三读写卡和第四读写卡才能获取动态密码锁密钥;
步骤S07:通过第一读写卡、第二读写卡、第三读写卡和第四读写卡将主密钥、鉴权密钥和动态密码锁密钥录入服务器。
作为优选,服务器与手持终端之间的信息交互通过服务器的第一通讯模块与手持终端的第一通讯模块进行;
服务器与动态密码锁之间的信息交互通过服务器的第二通讯模块与动态密码锁的第二通讯模块进行;
动态密码锁与手持终端之间的信息交互通过动态密码锁的第一通讯模块与手持终端的第二通讯模块进行。
作为优选,步骤S7进一步包括:动态密码锁将最近一次闭锁信息发送至服务器,最近一次闭锁信息包括闭锁时间和正常闭锁与否信息。
本发明还提供一种动态密码锁的开锁***,该动态密码锁用于设备上,开锁***包括服务器、手持终端、以及设置于动态密码锁上的密码生成模块和通讯模块,其中,
服务器配置为预录入有登录信息和设备的设备信息、动态密码锁的设备信息、鉴权密钥、动态密码锁密钥,并配置为根据登录信息设置指定的手持终端的登录方式,并配置为将登录信息、鉴权密钥、动态密码锁密钥发送至手持终端;
手持终端配置为根据登录方式进行登录,并配置为在登录后激活动态密码锁使其处于可开锁状态,并将登录信息和动态密码锁密钥发送至动态密码锁;
密码生成模块配置为根据动态密码锁密钥通过第五算法生成第一动态密码,通讯模块配置为将登录信息以及预存的设备的设备信息发送至服务器;并且
服务器还配置为将接收的登录信息与设备的设备信息和其内部预录的登录信息与设备的设备信息进行一致性判定,在一致的情况下,还配置为根据动态密码锁密钥通过与第五算法对应的第六算法生成第二动态密码,并配置为将该第二动态密码发送至动态密码锁;
在第一动态密码和第二动态密码一致的情况下,动态密码锁和手持终端还配置为基于鉴权密钥通过上述的鉴权方法进行鉴权,在鉴权通过的情况下,动态密码锁开锁。
本发明的鉴权方法的有益效果在于,通过动态密码锁和手持终端之间的双向鉴权,在鉴权成功之后才能开启动态密码锁,能够提高动态密码锁的安全性能;
本发明的开锁方法的有益效果在于,通过动态密码锁、服务器、手持终端之间的信息交互,使得真正有得到服务器授权的手持终端才具有开启动态密码锁的资格,提高了设备的安全等级;
本发明的开锁方法的有益效果在于,通过动态密码锁与手持终端之间的信息交互进行加密提高信息交互的安性度;
本发明的开锁方法的有益效果在于,通过动态密码锁与服务器之间的信息交互进行加密提高信息交互的安性度;
本发明的开锁方法的有益效果在于,通过工控机能够提高动态密码锁与服务器之间的信息交互的效率;
本发明的开锁方法的有益效果在于,通过将主密钥、鉴权密钥和动态密码锁密钥分别存储,能够提高密钥的存储安全性;
本发明的开锁方法的有益效果在于,服务器、手持终端和动态密码锁两两之间的信息交互通过专有的通讯模块进行,能够提高信息交互和处理的效率。
附图说明
图1为根据本发明实施例的动态密码锁的鉴权方法的步骤示意图;
图2为根据本发明的一个实施例的鉴权方法;
图3为根据本发明的一个实施例将开锁方法应用于ATM设备上时的流程图;
图4为根据本发明的一个实施例生成并存储主密钥、鉴权密钥和动态密码锁密钥的示图;
图5为根据本发明的一个实施例的开锁***。
具体实施方式
以下结合附图对本发明的进行详细描述。
文中所提及的手持终端可以包括手机、平板电脑、PDA(PersonalDigitalAssistant),手持终端优选为PDA。而动态密码锁可以设置于银行、枪械库、自动柜员机、保险柜、保险箱、保密文件柜等有保密需求的设备之上。
根据本发明的实施例,提供了一种动态密码锁的鉴权方法,该鉴权方法在动态密码锁和手持终端之间进行,其中,在需要对该类需保密的设备进行开启时,在动态密码锁内预设第一算法和第二算法,如图1所示,该方法可以包括:
步骤E1,在将对动态密码锁进行开锁的手持终端中设置与第一算法对应的第三算法、以及与第二算法对应的第四算法;
步骤E2,在手持终端侧,其利用本侧的第一关键数集通过第三算法生成第一鉴权序列,并利用接收自动态密码锁的第二关键数集通过第四算法生成第二鉴权序列;
步骤E3,在动态密码锁侧,其利用本侧的第二关键数集通过第二算法生成第四鉴权序列,并利用接收自所述手持终端的第一关键数集通过第一算法生成第三鉴权序列;
步骤E4,对应步骤,在第一鉴权序列与第三鉴权序列对应,并且第二鉴权序列与第四鉴权序列对应的情况下,鉴权通过。
应当理解,步骤E2和步骤E3之间不存在先后顺序,可以同时进行,或者任一者先进行,只要最终执行了这两个步骤从而能够执行步骤E4的对应步骤即可。
本发明的鉴权方法的本质在于,动态密码锁内的第一算法和第二算法通常是由服务器预设,在需要对设备进行操作时,即需要打开设备上的动态密码锁时,服务器将与第一算法和第二算法分别对应的第三算法和第四算法设置于将要去开锁的手持终端内,即,使得该手持终端与动态密码锁进行唯一对应,只有这个得到授权的手持终端才能打开,使得只有持有该手持终端的工作人员才有权打开动态密码锁,从而提高了设备的安全性。
第一关键数集内的信息可以包括手持终端的设备信息和鉴权密钥,其中手持终端的设备信息优选为手持终端的设备编号。
第二关键数集内的信息可以包括动态密码锁的设备信息(在实际应用中,该动态密码锁的设备信息可以是在鉴权过程中从动态密码锁内接收而得,也可以是预先设置于该手持终端内的,优选为预先由服务器设置于该手持终端内的)及动态密码锁随机生成的第一随机数,其中动态密码锁的设备信息优选为动态密码锁的设备编号。第一算法和第二算法(也包括文中提及的所有算法)可以分别是以下算法:3DES、DES、SM1、SM2、SM4、SHA、AES或者本领域人员所知的其它常用算法,而第一算法和第二算法可以相同,也可以不相同,而所谓“与第一算法对应的第三算法”可以指第三算法与第一算法相同,也可以指第三算法是与第一算法的对应关系能确定由第三算法所生成的第一鉴权序列和由第一算法所生成的第三鉴权序列之间的对应关系即可。即,例如,第一鉴权序列为1234时,第三鉴权序列也是1234属于对应关系中的其中一种特殊对应,即完全相同;当第三鉴权序列是5678,则第一鉴权序列和第三鉴权序列也存在一种对应关系,可以认为该对应关系是,第三鉴权序列的每位数均是第一鉴权序列的每位数加上4,当然也可以存在其它对应关系,在此不赘述。
如图2所示,为根据本发明的一个实施例的鉴权方法,也可以称为双向鉴权,即,仅在PDA和动态密码锁均一致通过后方可进行开锁,主要包括(1)PDA和动态密码锁均通过鉴权密钥AMK、PAD编号以鉴权密钥AMK为密钥分别生成鉴权序列,比较一致性;(2)PDA和动态密码锁还均通过鉴权密钥AMK、动态密码锁的设备编号ID3、由动态密码锁随机产生的随机数RAND4以AMK为密钥分别生成鉴权序列,比较一致性。
具体包括以下PDA和动态密码锁的以下信息交互步骤,其中,
PDA侧:
将PDA编号(即PDA的设备编号)以及鉴权密钥AMK(PDA编号和鉴权密钥AMK即对应于上文中的第一关键数集)发送至动态密码锁;
基于PDA编号、AMK通过约定算法(即对应上文中的第一算法)以AMK为密钥生成鉴权序列PUSN(即对应上文中的第一鉴权序列);
动态密码锁侧:
接收PDA编号以及AMK,基于PDA编号、AMK通过约定算法(即对应上文中的第三算法)以AMK为密钥生成鉴权序列RPUSN(即对应上文中的第三鉴权序列);
生成随机数RAND4(即上文中的第一随机数);
将RPUSN和RAND4发送至PDA;
PDA侧:
接收RPUSN和RAND4;
判断PUSN是否等于RPUSN,此即为PDA侧的鉴权,如果PUSN不等于RPUSN,则鉴权失败;
如果PUSN等于RPUSN,即,上文所述的如果第一鉴权序列与第三鉴权序列对应,则PDA侧的鉴权成功,基于RAND4、ID3(即动态密码锁的设备编号,该ID3由服务器预先设置于PDA内)、AMK通过约定算法(即对应上文中的第二算法)以AMK为密钥生成鉴权序列RLUSN(即对应上文中的第二鉴权序列);
将RLUSN发送至动态密码锁侧;
动态密码锁侧:
基于RAND4、ID3、AMK通过约定算法(即对应上文中的第二算法)以AMK为密钥生成鉴权序列LUSN(即对应上文中的第四鉴权序列);
接收RLUSN;
判断RLUSN是否等于LUSN,如果RLUSN不等于LUSN,则动态密码锁侧的鉴权失败;
如果RLUSN等于LUSN,即,上文所述的如果第二鉴权序列与第四鉴权序列对应的情况下,则动态密码锁侧的鉴权成功。
即,两边的鉴权均通过,则双向鉴权成功,此时动态密码锁打开。此外,动态密码锁可以设定有闭锁时间限制,在打开动态密码锁的同时启动闭锁时间倒计时,在规定时间内未关锁,则进行自动闭锁或报警通知。
根据本发明的实施例,提供了一种动态密码锁的开锁方法,动态密码锁用于设备上,该设备具有对其进行唯一标识的设备信息,基于上文所述的双向鉴权方法,该开锁方法包括:
步骤S1,在服务器中预录入登录信息和设备的设备信息、动态密码锁的设备信息、鉴权密钥、动态密码锁密钥,并根据登录信息设置指定的手持终端的登录方式(下文中将描述),并将登录信息、鉴权密钥、动态密码锁密钥发送至手持终端;
步骤S3,根据登录方式登录手持终端,登录后激活动态密码锁使其处于可开锁状态,动态密码锁平时处于不能操作的状态,只有激活以后才可以进行开锁动作,而在登录手持终端之后,可以通过射频等方式无线激活动态密码锁;
步骤S5,手持终端将登录信息和动态密码锁密钥发送至动态密码锁;
步骤S7,动态密码锁根据动态密码锁密钥通过第五算法生成第一动态密码,并将登录信息以及预存的设备的设备信息发送至服务器;
步骤S9,服务器将接收的登录信息与设备的设备信息,分别与服务器内部预录的登录信息与设备的设备信息进行一致性判定,如果两个设备的设备信息一致,则可以断定该设备是需要进行开启的设备,而通过登录信息的一致性可以判定该手持设备是经过授权的那个手持设备。在两者均一致的情况下,根据动态密码锁密钥通过与第五算法对应的第六算法生成第二动态密码,并将该第二动态密码发送至动态密码锁;
步骤S11,在第一动态密码和第二动态密码一致的情况下,动态密码锁和手持终端之间基于动态密码锁的设备信息和鉴权密钥通过上文中的鉴权方法进行,在鉴权通过的情况下,动态密码锁实现开锁。其中,可以通过无线方式进行鉴权方法,或者在手持终端有物理开锁头的情况下,可以通过将锁头***动态密码锁之后,进行直接连接的情况下进行鉴权,当然文中所涉及的动态密码锁和手持终端之间的信息交互均可基于该锁头进行。
根据本发明的一个优选实施例,开锁方法中的步骤S1还包括:在服务器中预录入主密钥,并且服务器将主密钥发送至手持终端;则步骤S5还包括:手持终端将主密钥发送至动态密码锁;此后,动态密码锁与手持终端之间的信息交互均基于主密钥进行加密传输。
根据本发明的一个优选实施例,开锁方法在步骤S3之后进一步包括步骤4,动态密码锁在被激活之后,生成工作密钥;此后,动态密码锁与服务器之间的信息交互均基于工作密钥进行加密传输,优选通过AES算法进行加密。
根据本发明的一个优选实施例,手持终端在登录后还具有密码验证、信息按钮验证或指纹验证等识别功能,需要通过登录信息进行登录,然后通过识别信息进行密码验证、指纹验证和/或信息按钮验证才能进行登陆和开锁操作。其中,登录信息包括指定的开锁人员的代码(优选为姓名、编号,也包括其它用户自定义的由字母、数字、字符等组成的用户名)及其识别信息,识别信息包括密码验证、指纹验证和/或信息按钮验证,而根据登录信息设置登录方式包括以开锁人员的代码(姓名和/或编号)作为用户名,然后以识别信息进行登录。此外,手持终端在还可以具有时间模块和自锁定模块,在接收到服务器的信息之后限定登录时间在5-30min,如超过时间未登录,将锁定,并在1-24h后方可再次激活操作。开锁任务下达时(所谓开锁任务是否表示在服务器将各种信息传达给手持终端的时候?)限定开锁时间(是否即限定的PDA的登录时间?),PDA登录时进行时间验证。
根据本发明的一个优选实施例,动态密码锁与服务器之间的信息交互均通过工控机进行,工控机即与设备配套的装置,可以提高信息交互的效率。
根据本发明的一个优选实施例,开锁方法还包括:
在手持终端接收到登录信息、鉴权密钥和动态密码锁密钥之后,如果第一预定时间内未登录,则进行自锁;从自锁到第二预定时间期间内,使用手持终端无法进行登录,因此可以防止非法使用手持终端。
根据本发明的一个优选实施例,服务器中具有密钥识别器,通过密码生成主机来生成各种密钥,而服务器与密码生成主机通过有线或无线通信连接,主密钥和动态密码锁密钥的生成方法包括以下步骤:
步骤S01:密码生成主机基于其设备信息及管理员自行输入的第二随机数,以密码生成主机的设备信息为密钥通过第七算法生成主密钥;
步骤S02:密码生成主机基于其设备信息及管理员自行输入的第三随机数,以主密钥为密钥通过第八算法生成鉴权密钥,并将主密钥和鉴权密钥加载至密钥识别器,其中,密钥识别器设置于与服务器网络连接的客户端,开锁任务由客户端负责,密码生成主机与服务器可以通过USB接口或串口形式连接;
步骤S05:密钥识别器基于其设备信息、当前时间及第四随机数,以主密钥为密钥通过第九算法生成动态密码锁密钥,其中,密钥识别器与服务器通过有线或无线方式连接。
根据本发明的一个优选实施例,开锁方法在步骤S02与步骤S05之间还包括:
步骤S03:密码生成主机将主密钥和鉴权密钥分别部分地加载至两张空白第一读写卡和第二读写卡内,使得同时具备第一读写卡和第二读写卡才能获取主密钥和鉴权密钥;
步骤S04:通过在密钥识别器刷第一读写卡和第二读写卡使得主密钥和鉴权密钥加载到密钥识别器。根据本发明的一个优选实施例,开锁方法在步骤S05之后还包括:
步骤S06:密钥识别器将动态密码锁密钥加载至第三读写卡和第四读写卡,使得同时具备第三读写卡和第四读写卡才能获取动态密码锁密钥;
步骤S07:通过第一读写卡、第二读写卡、第三读写卡和第四读写卡将主密钥、鉴权密钥和动态密码锁密钥录入服务器,并且,密码生成主机所生成的各种密钥只是经过服务器而传输到其它设备(例如动态密码锁等),可以理解为服务器本身并不存储各种密钥。此外,在其它情况下,也可以通过密钥识别器直接对手持终端进行授权,即通过在手持终端上刷写UkeyA2和UkeyB2来完成授权。
根据本发明的一个优选实施例,服务器与手持终端之间的信息交互通过服务器的第一通讯模块与手持终端的第一通讯模块进行;
服务器与动态密码锁之间的信息交互通过服务器的第二通讯模块与动态密码锁的第二通讯模块进行;
动态密码锁与手持终端之间的信息交互通过动态密码锁的第一通讯模块与手持终端的第二通讯模块进行。
根据本发明的一个优选实施例,开锁方法内步骤S7进一步包括:动态密码锁将最近一次闭锁信息发送至服务器,最近一次闭锁信息可以包括闭锁时间和正常闭锁与否信息,还可以包括诸如闭锁人员、闭锁时对应的手持终端的设备编号等信息。
在实际应用中,可以将本发明的开锁方法应用于银行的ATM设备上,在对ATM机有加钞任务时,如图3所示,具体可以通过以下步骤进行:
步骤U1:加钞员A、加钞员B在PDA上验证用户信息,即输入用户名,以及指纹或者数字字母等符号密码之类的识别信息,验证通过后将用户信息通过短距离无线通信(可以为频率通信)发送到动态密码锁;
步骤U2:动态密码锁将收到的用户信息,以及需要开启的设备(ATM)的设备信息通过USB接口发送至工控机ATMC,其中,设备与工控机通过USB连接;
步骤U3:ATMC通过网络把数据(用户信息和设备信息)发至后台应用服务器进行验证;
步骤U4:验证该台ATM设备是否有加钞任务,验证并且用户是否合法?
步骤U5:如果该台ATM设备没有加钞任务和/或用户不合法,则通过银行内部的ATM网络,发送失败信息至动态密码锁;
步骤U6:动态密码锁将失败信息以无线方式发送至PDA;
步骤U7:PDA提示操作失败,并显示失败原因;
步骤U8:如果步骤U4的验证通过,即,该台ATM设备有加钞任务并且用户合法,则通过ATM网络,发送开锁动态密码、待卸、待上钞箱信息至动态密码锁;
步骤U9:动态密码锁验证动态密码是否正确,验证过程详见步骤S7-S11;
步骤U10:动态密码锁把正确信息通过无线发送至PDA;
步骤U11:PDA提示请开锁;
步骤U12:把PDA***动态密码锁,双向鉴权后,转动PDA开锁。
此外,在开启锁具之后,还可以分别通过通信模块E和通信模块F来通知手持终端和服务器,锁具已开启。
根据本发明的一个实施例,在实际应用中可以基于以下方法生成并存储主密钥、鉴权密钥和动态密码锁密钥,如图4所示,为根据本发明的一个实施例生成并存储主密钥、鉴权密钥和动态密码锁密钥的示图,其中,
密码生成主机处包括以下步骤:
密钥注入,基于ID1(密码生成主机的设备编号)和随机数RAND1(即对应上文中的第二随机数)通过约定算法以ID1为密钥成生主密钥MK;
初始化,基于ID1和随机数RAND2(即对应上文中的第三随机数)通过约定算法(对应于文中的第八算法)以MK为密钥成生鉴权密钥AMK;
加载,将MK和AMK加载至UKeyA1(即对应于文中的第一读写卡)和UKeyB1(即对应于文中的第二读写卡),该加载并非简单地将MK和AMK分别单独存储至一张读写卡,而是例如将MK以一定分解方式分解开部分存至UKeyA1,另一部分存储至UKeyB1,可以在后续需加载该两个密码的装置内预设对应该分解方式的合并方式,可以避免其中一张读写卡遗失造成密码遗失造成的密码被盗的情况。
密钥识别器处包括以下步骤:
被授权,即通过UKeyA1和UKeyB1授权将密钥加载至密钥识别器(密码生成主机授权密钥识别器是通过刷写UkeyA1和UkeyB1授权完成的),从而使得密钥识别器接收到UKeyA1和UKeyB1,并进行识别后存储;
初始化,基于ID2(密钥识别器的设备编号)、当前时间、随机数RAND3(对应于文中的第四随机数)通过约定算法(对应于文中的第九算法)以MK为密钥生成动态密码锁密钥;
加载,将DMK以与MK和AMK类似的方法加载至UKeyA2和UKeyB2;
授权,通过UKeyA2和UKeyB2的授权发送MK、和AMK(请更改此处,以及图4是对哪些读写卡进行授权,对UKeyA2和UKeyB2的授权只能发送DMK)。
根据本发明的实施例,提供了一种动态密码锁的开锁***,动态密码锁用于设备上,开锁***包括服务器、手持终端、以及设置于动态密码锁上的密码生成模块和通讯模块,其中,
服务器配置为预录入有登录信息和设备的设备信息、动态密码锁的设备信息、鉴权密钥、动态密码锁密钥,并配置为根据登录信息设置指定的手持终端的登录方式,并配置为将登录信息、鉴权密钥、动态密码锁密钥发送至手持终端;
手持终端配置为根据登录方式进行登录,并配置为在登录后激活动态密码锁使其处于可开锁状态;并
将登录信息和动态密码锁密钥发送至动态密码锁;
密码生成模块配置为根据动态密码锁密钥通过第五算法生成第一动态密码,通讯模块配置为将登录信息以及预存的设备的设备信息发送至服务器;并且
服务器还配置为将接收的登录信息与设备的设备信息和其内部预录的登录信息与设备的设备信息进行一致性判定,在一致的情况下,还配置为根据动态密码锁密钥通过与第五算法对应的第六算法生成第二动态密码,并配置为将该第二动态密码发送至动态密码锁;
在第一动态密码和第二动态密码一致的情况下,动态密码锁和手持终端还配置为基于鉴权密钥通过上文中的鉴权方法进行,在鉴权通过的情况下,动态密码锁开锁。
以下参照图5描述根据本发明的一个实施例的开锁***内的各设备的连接方式,其中,手持终端可以包括通信模块C(对应于文中的第三通信模块)和通信模块E(对应于文中的第五通信模块),服务器包括通信模块A(对应于文中的第一通信模块)和通信模块B(对应于文中的第二通信模块),动态密码锁包括通信模块D(对应于文中的第四通信模块)和通信模块F(对应于文中的第六通信模块),工控机包括通信模块H(对应于文中的第七通信模块)和通信模块G(对应于文中的第八通信模块)。
通信模块C与通信模块A之间可以使用有线方式和/或无线方式进行通讯;通信模块B与通信模块H之间可以使用无线方式进行通讯;动态密码锁的通信模块G带有USB接口,可用于与通信模块D通过USB进行通讯;通过模块F和通讯模块E之间可以通过无线方式进行通讯连接,手持终端PDA还可以和动态密码锁通过短距离无线通信方式,可采用现有的Zigbee、蓝牙或其他专门的通信协议。
文中所提及的随机数,例如RAND1、RAND2、RAND3和/或RAND4可以根据需要自行确定,位数越多越安全,建议不少于6位数。
动态密码锁带有报警功能,动态密码锁与PDA双向鉴权错误时可接收到错误信息,接收到动态密码锁通信模块的错误信息不超过3次,启动报警。
服务器下达并对手持终端授权后,步骤7后,以短信形式通知手持终端有新的任务;
步骤7,以短信形式通知手持终端,短信是由服务器下任务时自动发出。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (16)
1.一种动态密码锁的鉴权方法,其特征在于,所述动态密码锁内预设有第一算法和第二算法,所述方法包括:
在对所述动态密码锁进行开锁的手持终端中设置与所述第一算法对应的第三算法、以及与所述第二算法对应的第四算法;
在所述手持终端侧,其利用本侧的第一关键数集通过所述第三算法生成第一鉴权序列,并利用接收自所述动态密码锁的第二关键数集通过所述第四算法生成第二鉴权序列;
在所述动态密码锁侧,其利用本侧的所述第二关键数集通过所述第二算法生成第四鉴权序列,并利用接收自所述手持终端的第一关键数集通过所述第一算法生成第三鉴权序列;
进行对应步骤,在所述第一鉴权序列与所述第三鉴权序列对应,并且所述第二鉴权序列与所述第四鉴权序列对应的情况下,鉴权通过。
2.根据权利要求1所述的方法,其特征在于,所述第一关键数集内的信息包括所述手持终端的设备信息和鉴权密钥。
3.根据权利要求1所述的方法,其特征在于,所述第二关键数集内的信息所述动态密码锁的设备信息及所述动态密码锁随机生成的第一随机数。
4.根据权利要求1所述的方法,其特征在于,所述第一算法和第二算法分别是以下至少之一:
3DES、DES、SM1、SM2、SM4、SHA、AES。
5.一种动态密码锁的开锁方法,所述动态密码锁用于设备上,该设备具有对其进行唯一标识的设备信息,其特征在于,基于权利要求1所述的鉴权方法,所述开锁方法包括:
步骤S1,在服务器中预录入登录信息和所述设备的设备信息、动态密码锁的设备信息、鉴权密钥、动态密码锁密钥,并根据所述登录信息设置指定的手持终端的登录方式,并将所述登录信息、所述鉴权密钥、动态密码锁密钥发送至所述手持终端;
步骤S3,根据所述登录方式登录所述手持终端,登录后激活所述动态密码锁使其处于可开锁状态;
步骤S5,所述手持终端将所述登录信息和动态密码锁密钥发送至所述动态密码锁;
步骤S7,所述动态密码锁根据所述动态密码锁密钥通过第五算法生成第一动态密码,并将所述登录信息以及预存的所述设备的设备信息发送至所述服务器;
步骤S9,所述服务器将接收的登录信息与设备的设备信息,分别与所述服务器内部预录的所述登录信息与所述设备的设备信息进行一致性判定,在一致的情况下,根据所述动态密码锁密钥通过与所述第五算法对应的第六算法生成第二动态密码,并将该第二动态密码发送至所述动态密码锁;
步骤S11,在所述第一动态密码和第二动态密码一致的情况下,所述动态密码锁和手持终端之间基于所述动态密码锁的设备信息和所述鉴权密钥通过如权利要求1所述的鉴权方法进行鉴权,在鉴权通过的情况下,所述动态密码锁实现开锁。
6.根据权利要求5所述的开锁方法,其特征在于,步骤S1还包括:在所述服务器中预录入主密钥,并且所述服务器将所述主密钥发送至所述手持终端;
则步骤S5还包括:所述手持终端将所述主密钥发送至所述动态密码锁;
此后,所述动态密码锁与所述手持终端之间的信息交互均基于所述主密钥进行加密传输。
7.根据权利要求5所述的开锁方法,其特征在于,在步骤S3之后进一步包括步骤4,所述动态密码锁在被激活之后,生成工作密钥;
此后,所述动态密码锁与所述服务器之间的信息交互均基于所述工作密钥进行加密传输。
8.根据权利要求5所述的开锁方法,其特征在于,所述登录信息包括指定的开锁人员的代码及其识别信息,所述识别信息包括密码验证、指纹验证和/或信息按钮验证。
9.根据权利要求5所述的开锁方法,其特征在于,所述动态密码锁与所述服务器之间的信息交互均通过工控机进行。
10.根据权利要求5所述的开锁方法,其特征在于,还包括:
在所述手持终端接收到所述登录信息、所述鉴权密钥和动态密码锁密钥之后,如果第一预定时间内未登录,则进行自锁;从自锁到第二预定时间期间内,使用所述手持终端无法进行登录。
11.根据权利要求6所述的开锁方法,其特征在于,所述主密钥和动态密码锁密钥的生成方法包括以下步骤:
步骤S01:密码生成主机基于其设备信息及第二随机数,以所述密码生成主机的设备信息为密钥通过第七算法生成所述主密钥;
步骤S02:所述密码生成主机基于其设备信息及第三随机数,以所述主密钥为密钥通过第八算法生成所述鉴权密钥,并将所述主密钥和所述鉴权密钥加载至密钥识别器;
步骤S05:所述密钥识别器基于其设备信息、当前时间及第四随机数,以所述主密钥为密钥通过第九算法生成所述动态密码锁密钥。
12.根据权利要求11所述的开锁方法,其特征在于,步骤S02与步骤S05之间还包括:
步骤S03:所述密码生成主机将所述主密钥和所述鉴权密钥分别部分地加载至第一读写卡和第二读写卡,使得同时具备所述第一读写卡和第二读写卡才能获取所述主密钥和所述鉴权密钥;
步骤S04:通过在所述密钥识别器刷所述第一读写卡和第二读写卡使得所述主密钥和所述鉴权密钥加载到所述密钥识别器。
13.根据权利要求12所述的开锁方法,其特征在于,步骤S05之后还包括:
步骤S06:所述密钥识别器将所述动态密码锁密钥加载至第三读写卡和第四读写卡,使得同时具备所述第三读写卡和第四读写卡才能获取所述动态密码锁密钥;
步骤S07:通过所述第一读写卡、第二读写卡、第三读写卡和第四读写卡将所述主密钥、鉴权密钥和动态密码锁密钥录入所述服务器。
14.根据权利要求5所述的开锁方法,其特征在于,所述服务器与所述手持终端之间的信息交互通过所述服务器的第一通讯模块与所述手持终端的第一通讯模块进行;
所述服务器与所述动态密码锁之间的信息交互通过所述服务器的第二通讯模块与所述动态密码锁的第二通讯模块进行;
所述动态密码锁与所述手持终端之间的信息交互通过所述动态密码锁的第一通讯模块与所述手持终端的第二通讯模块进行。
15.根据权利要求5所述的开锁方法,其特征在于,步骤S7进一步包括:所述动态密码锁将最近一次闭锁信息发送至所述服务器,所述最近一次闭锁信息包括闭锁时间和正常闭锁与否信息。
16.一种动态密码锁的开锁***,所述动态密码锁用于设备上,其特征在于,所述开锁***包括服务器、手持终端、以及设置于所述动态密码锁上的密码生成模块和通讯模块,其中,
所述服务器配置为预录入有登录信息和所述设备的设备信息、动态密码锁的设备信息、鉴权密钥、动态密码锁密钥,并配置为根据所述登录信息设置指定的手持终端的登录方式,并配置为将所述登录信息、所述鉴权密钥、动态密码锁密钥发送至所述手持终端;
所述手持终端配置为根据所述登录方式进行登录,并配置为在登录后激活所述动态密码锁使其处于可开锁状态,并将所述登录信息和动态密码锁密钥发送至所述动态密码锁;
所述密码生成模块配置为根据所述动态密码锁密钥通过第五算法生成第一动态密码,所述通讯模块配置为将所述登录信息以及预存的所述设备的设备信息发送至所述服务器;并且
所述服务器还配置为将接收的登录信息与设备的设备信息和其内部预录的所述登录信息与所述设备的设备信息进行一致性判定,在一致的情况下,还配置为根据所述动态密码锁密钥通过与所述第五算法对应的第六算法生成第二动态密码,并配置为将该第二动态密码发送至所述动态密码锁;
在所述第一动态密码和第二动态密码一致的情况下,所述动态密码锁和手持终端还配置为基于所述鉴权密钥通过如权利要求1所述的鉴权方法进行鉴权,在鉴权通过的情况下,所述动态密码锁开锁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410714971.2A CN105635089B (zh) | 2014-11-28 | 2014-11-28 | 动态密码锁的鉴权方法、开锁方法和开锁*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410714971.2A CN105635089B (zh) | 2014-11-28 | 2014-11-28 | 动态密码锁的鉴权方法、开锁方法和开锁*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105635089A true CN105635089A (zh) | 2016-06-01 |
CN105635089B CN105635089B (zh) | 2020-10-09 |
Family
ID=56049585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410714971.2A Active CN105635089B (zh) | 2014-11-28 | 2014-11-28 | 动态密码锁的鉴权方法、开锁方法和开锁*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105635089B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106780880A (zh) * | 2016-12-12 | 2017-05-31 | 国网北京市电力公司 | 密码生成方法、装置和智能锁 |
CN106920306A (zh) * | 2017-03-01 | 2017-07-04 | 成都优客智家信息科技有限公司 | 智能门卡加密*** |
CN107989514A (zh) * | 2018-01-02 | 2018-05-04 | 宁波耀龙软件科技有限公司 | 具有动态密码功能的保险箱 |
CN108055235A (zh) * | 2017-11-01 | 2018-05-18 | 华中科技大学 | 一种智能锁的控制方法、相关设备及*** |
CN109743159A (zh) * | 2018-01-09 | 2019-05-10 | 詹贯峰 | 一种使用双向动态密码实现鉴权与授权的相互认证方法 |
CN110415414A (zh) * | 2019-07-31 | 2019-11-05 | 中国工商银行股份有限公司 | 基于双方验证的动态密码锁的解锁方法及装置 |
CN112564894A (zh) * | 2020-11-11 | 2021-03-26 | 杭州浙程科技有限公司 | 一种智能钥匙动态秘钥开无源锁的方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030215114A1 (en) * | 2002-05-15 | 2003-11-20 | Biocom, Llc | Identity verification system |
CN1770682A (zh) * | 2004-11-02 | 2006-05-10 | 华为技术有限公司 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
CN101163326A (zh) * | 2006-10-12 | 2008-04-16 | 华为技术有限公司 | 一种抗重放攻击的方法、***及移动终端 |
WO2009052548A1 (en) * | 2007-10-22 | 2009-04-30 | Microlatch Pty Ltd | A transmitter for transmitting a secure access signal |
CN103530924A (zh) * | 2013-10-25 | 2014-01-22 | 北京金储自动化技术有限公司 | 一种用于自助设备网络管理的动态密码锁***与方法 |
CN103903319A (zh) * | 2014-02-10 | 2014-07-02 | 袁磊 | 基于互联网动态授权的电子锁*** |
-
2014
- 2014-11-28 CN CN201410714971.2A patent/CN105635089B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030215114A1 (en) * | 2002-05-15 | 2003-11-20 | Biocom, Llc | Identity verification system |
CN1770682A (zh) * | 2004-11-02 | 2006-05-10 | 华为技术有限公司 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
CN101163326A (zh) * | 2006-10-12 | 2008-04-16 | 华为技术有限公司 | 一种抗重放攻击的方法、***及移动终端 |
WO2009052548A1 (en) * | 2007-10-22 | 2009-04-30 | Microlatch Pty Ltd | A transmitter for transmitting a secure access signal |
CN103530924A (zh) * | 2013-10-25 | 2014-01-22 | 北京金储自动化技术有限公司 | 一种用于自助设备网络管理的动态密码锁***与方法 |
CN103903319A (zh) * | 2014-02-10 | 2014-07-02 | 袁磊 | 基于互联网动态授权的电子锁*** |
Non-Patent Citations (1)
Title |
---|
卿利: "安全子网的双向认证访问控制研究", 《全国优秀硕士学位论文》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106780880A (zh) * | 2016-12-12 | 2017-05-31 | 国网北京市电力公司 | 密码生成方法、装置和智能锁 |
CN106780880B (zh) * | 2016-12-12 | 2019-04-12 | 国网北京市电力公司 | 密码生成方法、装置和智能锁 |
CN106920306A (zh) * | 2017-03-01 | 2017-07-04 | 成都优客智家信息科技有限公司 | 智能门卡加密*** |
CN106920306B (zh) * | 2017-03-01 | 2019-05-17 | 优客逸家(成都)信息科技有限公司 | 智能门卡加密*** |
CN108055235A (zh) * | 2017-11-01 | 2018-05-18 | 华中科技大学 | 一种智能锁的控制方法、相关设备及*** |
CN108055235B (zh) * | 2017-11-01 | 2020-09-18 | 华中科技大学 | 一种智能锁的控制方法、相关设备及*** |
CN107989514A (zh) * | 2018-01-02 | 2018-05-04 | 宁波耀龙软件科技有限公司 | 具有动态密码功能的保险箱 |
CN109743159A (zh) * | 2018-01-09 | 2019-05-10 | 詹贯峰 | 一种使用双向动态密码实现鉴权与授权的相互认证方法 |
CN110415414A (zh) * | 2019-07-31 | 2019-11-05 | 中国工商银行股份有限公司 | 基于双方验证的动态密码锁的解锁方法及装置 |
CN110415414B (zh) * | 2019-07-31 | 2021-09-21 | 中国工商银行股份有限公司 | 基于双方验证的动态密码锁的解锁方法及装置 |
CN112564894A (zh) * | 2020-11-11 | 2021-03-26 | 杭州浙程科技有限公司 | 一种智能钥匙动态秘钥开无源锁的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105635089B (zh) | 2020-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105635089A (zh) | 动态密码锁的鉴权方法、开锁方法和开锁*** | |
CN103929306B (zh) | 智能密钥设备和智能密钥设备的信息管理方法 | |
CN105279832B (zh) | 智能门锁***及其控制方法 | |
CN107978047B (zh) | 使用密码开锁的方法、装置和*** | |
US20210070252A1 (en) | Method and device for authenticating a user to a transportation vehicle | |
EP2743868A1 (en) | Virtual vehicle key | |
CN111768522B (zh) | 一种基于ctid的智能门锁开锁方法及*** | |
JPH11265432A (ja) | 個人識別フォブ | |
CN105005862A (zh) | 一种互联网动态密码开锁管理*** | |
WO2007103298A2 (en) | Security, storage and communication system | |
CN104408363B (zh) | 安全密码*** | |
CN103678994B (zh) | 一种具有环境控制的usb加密存储***及方法 | |
CN111768523B (zh) | 一种基于ctid的nfc智能门锁开锁方法、***、设备及介质 | |
CN109003368B (zh) | 一种蓝牙门禁***离线更新密码的方法及蓝牙门禁*** | |
CN104583026A (zh) | 单向密钥卡和交通工具配对的验证、保留及撤销 | |
CN112615824B (zh) | 防泄漏一次一密通信方法及装置 | |
CN102761871A (zh) | 无线通信设备之间对方身份鉴别中防止设备冒充的方法 | |
CN107864124A (zh) | 一种终端信息安全保护方法、终端及蓝牙锁 | |
CN106789024A (zh) | 一种远程解锁方法、装置和*** | |
US20230299981A1 (en) | Method and System for Authentication of a Computing Device | |
CN104820805A (zh) | 一种用户身份识别卡信息防盗的方法及装置 | |
US20150026783A1 (en) | Wireless authentication system and wireless authentication method | |
CN101298817A (zh) | 锁体控制装置和方法 | |
CN114758433A (zh) | 一种基于云端的动态密码生成方法、***和智能锁 | |
CN104144411A (zh) | 加密、解密终端及应用于终端的加密和解密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |