CN107481357A - 基于证书锁定与动态密钥的门禁安全认证方法 - Google Patents
基于证书锁定与动态密钥的门禁安全认证方法 Download PDFInfo
- Publication number
- CN107481357A CN107481357A CN201710556706.XA CN201710556706A CN107481357A CN 107481357 A CN107481357 A CN 107481357A CN 201710556706 A CN201710556706 A CN 201710556706A CN 107481357 A CN107481357 A CN 107481357A
- Authority
- CN
- China
- Prior art keywords
- gate inhibition
- key
- dynamic
- client
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/27—Individual registration on entry or exit involving the use of a pass with central registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
目前的门禁动态认证方法一般是根据时间戳与访问次数等规则生成字符串来进行认证,解决了静态通行证容易被暴力破解的问题。但这种方式仍然没有解决中间人攻击窃取通行证进而破解门禁的方法。针对目前门禁认证的中间人攻击问题,提出了一种基于证书锁定与动态密钥的门禁安全认证方法。该方法通过证书锁定与动态密钥的方式建立加密的通信通道,提高了安全性。此外,本发明采用了一种巧妙的有效密钥,通过服务端的有效时间缓存的方式,省去定期同步时间戳的步骤,大大减轻了门禁客户端的工作任务。
Description
技术领域
本发明涉及一种安全认证领域,尤其涉及一种门禁认证的领域。
背景技术
本发明方法涉及蓝牙、二维码、证书锁定、对称加密与HMAC等内容。过程为:移动终端和门禁客户端分别与服务器建立防止中间人攻击的通信通道,然后根据时间戳动态生成密钥与“通行证”,加密后的“通信证”下发到移动终端,移动终端通过蓝牙或二维码方式把“通行证”传输到门禁客户端,门禁客户端向服务器请求有效密钥(密钥会过期),解密出“通行证”并完成最终的认证。
与本发明最相近的方法有CN106250959A吴龙提出的产生动态二维码的方法、门禁认证方法及相关***,包括:客户端向链接库发送获取动态二维码的申请,,获取链接库反馈的动态二维码的数据包,所述数据包包含访问次数和时间戳;根据所述数据包产生动态二维码;所述动态二维码包含根据访问次数和时间戳生成的访问限制规则;认证端扫描所述动态二维码,将所述动态二维码与链接库预存的授权二维码进行鉴权认证,若认证通过,解除门禁,若认证失败,启动二次扫描机制。该发明产生动态二维码,避免了静态二维码扫描认证安全性能低、信息易泄露、容易感染病毒的问题,并且动态二维码中的访问限制规则可以有效地满足对不同类型访客的访问时间、访问次数进行严格的权限管理。但在获取二维码时仍然可能被中间人攻击窃取。
发明内容
目前的门禁动态认证方法一般是根据时间戳与访问次数等规则生成字符串来进行认证,解决了静态通行证容易被暴力破解的问题。但这种方式仍然没有解决中间人攻击窃取通行证进而破解门禁的方法。而本发明方法克服此缺点,通过证书锁定与动态密钥来实现数据的加密与认证,即使中间人窃取到数据包也无法解密出其中的明文数据,提供了一种安全的门禁认证方法。
图1是门禁认证的流程框图。最主要的三个方法为:用证书锁定方式建立通信通道、生成加密后的动态通行证、获取有效密钥并计算验证通行证。
现有的利用时间戳动态认证的方法一般是通过一个时间步长,同步门禁客户端与服务器端的时间戳,来实现动态变化的“通行证”;这种方式在客户端维护时间戳并定时同步,给门禁客户端的带来了繁重的工作任务。而本发明采用了一种巧妙的有效密钥,通过服务端的有效时间缓存的方式,省去定期同步时间戳的步骤,大大减轻了门禁客户端的工作任务。
所述的门禁安全认证方法具体包括以下步骤:一、用证书锁定方式建立通信通道;二、生成加密后的动态通行证;三、获取有效密钥并计算验证通行证;四、推送状态与结果。
附图说明
图1流程框图;
图2通信通道建立流程图;
图3开锁通信流程图;
图4详细功能图。
图5技术架构图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述
一、用证书锁定方式建立通信通道
HTTPS建立连接时,服务器会发送CA签名的证书到客户端。这里需要使用自签名的方式,用openssl创建CA与应用证书,并用自己的CA对应用证书签名,HTTPS建立时服务器发送的就是这个签名后的证书。把自己的CA的公开证书硬编码在客户端代码中。CA可以验证某个证书是否为自己签名,利用这点,在客户端对服务器发送过来的公开证书进行签名验证,验证通过则建立连接。之后进行登录验证,生成token与随机密钥用于后续的通信加密。过程如图2所示。
二、开锁流程与原理
通过第一步的加密通信,手机发送门禁ID与开锁请求到服务器,服务器验证token,生成随机密钥,以键值对{手机号+门禁ID:随机密钥}的形式存在redis服务器中,并设置60秒失效;然后计算通行证:HMAC(随机密钥,门禁ID+手机号),返回给手机;手机以二维码或蓝牙的方式,发送手机号+通行证到门禁客户端;门禁客户端通过加密通道向服务器请求“手机号+门禁ID”的有效密钥,服务器删除密钥,返回给门禁客户端,并推送到手机消息“门禁ID的密钥已使用”;门禁客户端使用密钥计算出通行证,对比验证,响应开锁,并把结果发送到服务器,服务器推送开锁结果给手机。过程如图3所示。
对本发明作进一步详细的描述***可如图4所示。
一、使用openssl生成自签名密钥。
二、注册账号。
三、管理员绑定门禁。
四、管理门禁通行列表。
五、开锁请求。
六、与门禁交互。
七、门禁验证。
八、开锁结果。
具体的实现技术与方法,如图5所示。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。
Claims (5)
1.一种基于证书锁定与动态密钥的门禁安全认证方法,其特征在于:通过证书锁定与动态密钥的方式,建立防止中间人攻击的通信通道,并以缓存有效密钥的方式省去了客户端定期同步时间戳的工作。
2.根据权利要求1所述的门禁安全认证方法,其特征在于:具体包括以下步骤:一、用证书锁定方式建立通信通道;二、生成加密后的动态通行证;三、获取有效密钥并计算验证通行证;四、推送状态与结果。
3.根据权利要求2所述的门禁安全认证方法,其特征在于:所述步骤一包括:证书锁定方式以HTTPS登录通过后获取随机密钥,然后用密钥建立加密通信通道,具体方式有两种:第一种TCP长连接,传输的数据包序列化后经过密钥AES加密,第二种通过http的post请求,携带的表单数据经过密钥AES加密。
4.根据权利要求3所述的门禁安全认证方法,其特征在于:所述步骤二包括:生成随机密钥,缓存在redis服务器并设置有效期为60s,再通过手机号+门禁ID的信息组合的字符串,使用密钥经过HMAC签名后生成通行证。
5.根据权利要求4所述的门禁安全认证方法,其特征在于:还包括:门禁客户端通过加密通道向服务器请求“手机号+门禁ID”的有效密钥,服务器删除密钥,返回给门禁客户端,并推送到手机消息“门禁ID的密钥已使用”;门禁客户端使用密钥计算出通行证,对比验证,响应开锁,并把结果发送到服务器,服务器推送开锁结果给手机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710556706.XA CN107481357A (zh) | 2017-07-10 | 2017-07-10 | 基于证书锁定与动态密钥的门禁安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710556706.XA CN107481357A (zh) | 2017-07-10 | 2017-07-10 | 基于证书锁定与动态密钥的门禁安全认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107481357A true CN107481357A (zh) | 2017-12-15 |
Family
ID=60594915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710556706.XA Pending CN107481357A (zh) | 2017-07-10 | 2017-07-10 | 基于证书锁定与动态密钥的门禁安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107481357A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108923913A (zh) * | 2018-06-14 | 2018-11-30 | 温州极客物联网开发实验室有限公司 | 一种呼叫式动态密钥的算法 |
CN110189440A (zh) * | 2019-05-17 | 2019-08-30 | 杭州宇链科技有限公司 | 一种基于区块链的智能锁监管设备及其方法 |
CN110298939A (zh) * | 2018-03-22 | 2019-10-01 | 施耐德电器工业公司 | 锁定电气设备的功能的方法和实施该方法的电气设备 |
CN111815817A (zh) * | 2020-06-22 | 2020-10-23 | 北京智辉空间科技有限责任公司 | 一种门禁安全控制方法和*** |
CN112189221A (zh) * | 2018-04-24 | 2021-01-05 | 品谱股份有限公司 | 对服务器的电子锁认证的证书供应 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101246607A (zh) * | 2007-02-13 | 2008-08-20 | 陈年 | 门禁***的数字认证控制方法以及应用该方法的门禁*** |
CN102571810A (zh) * | 2012-02-09 | 2012-07-11 | 赵淦森 | 一种基于硬件数字证书载体的动态密码验证方法及*** |
CN103942684A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互*** |
CN103944731A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互方法 |
CN105337977A (zh) * | 2015-11-16 | 2016-02-17 | 苏州通付盾信息技术有限公司 | 一种动态双向认证的安全移动通讯架构及其实现方法 |
CN106250959A (zh) * | 2016-08-01 | 2016-12-21 | 吴龙 | 产生动态二维码的方法、门禁认证方法及相关*** |
-
2017
- 2017-07-10 CN CN201710556706.XA patent/CN107481357A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101246607A (zh) * | 2007-02-13 | 2008-08-20 | 陈年 | 门禁***的数字认证控制方法以及应用该方法的门禁*** |
CN102571810A (zh) * | 2012-02-09 | 2012-07-11 | 赵淦森 | 一种基于硬件数字证书载体的动态密码验证方法及*** |
CN103942684A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互*** |
CN103944731A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互方法 |
CN105337977A (zh) * | 2015-11-16 | 2016-02-17 | 苏州通付盾信息技术有限公司 | 一种动态双向认证的安全移动通讯架构及其实现方法 |
CN106250959A (zh) * | 2016-08-01 | 2016-12-21 | 吴龙 | 产生动态二维码的方法、门禁认证方法及相关*** |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110298939A (zh) * | 2018-03-22 | 2019-10-01 | 施耐德电器工业公司 | 锁定电气设备的功能的方法和实施该方法的电气设备 |
CN110298939B (zh) * | 2018-03-22 | 2023-03-10 | 施耐德电器工业公司 | 锁定电气设备的功能的方法和实施该方法的电气设备 |
CN112189221A (zh) * | 2018-04-24 | 2021-01-05 | 品谱股份有限公司 | 对服务器的电子锁认证的证书供应 |
CN108923913A (zh) * | 2018-06-14 | 2018-11-30 | 温州极客物联网开发实验室有限公司 | 一种呼叫式动态密钥的算法 |
CN110189440A (zh) * | 2019-05-17 | 2019-08-30 | 杭州宇链科技有限公司 | 一种基于区块链的智能锁监管设备及其方法 |
CN111815817A (zh) * | 2020-06-22 | 2020-10-23 | 北京智辉空间科技有限责任公司 | 一种门禁安全控制方法和*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11658961B2 (en) | Method and system for authenticated login using static or dynamic codes | |
CN107481357A (zh) | 基于证书锁定与动态密钥的门禁安全认证方法 | |
CN107978047B (zh) | 使用密码开锁的方法、装置和*** | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
CN108418691B (zh) | 基于sgx的动态网络身份认证方法 | |
Zhao et al. | A novel mutual authentication scheme for Internet of Things | |
WO2019109727A1 (zh) | 身份验证方法及装置 | |
CN105471584B (zh) | 一种基于量子密钥加密的身份认证方法 | |
CN102664885B (zh) | 一种基于生物特征加密和同态算法的身份认证方法 | |
KR100827650B1 (ko) | 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법 | |
CN109728909A (zh) | 基于USBKey的身份认证方法和*** | |
US20200127838A1 (en) | Persistent authentication system incorporating one time pass codes | |
CN115277168B (zh) | 一种访问服务器的方法以及装置、*** | |
CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
CN104751538A (zh) | 一种开启门禁的实现方法及门禁*** | |
CN110020524A (zh) | 一种基于智能卡的双向认证方法 | |
CN107306181A (zh) | 鉴权***及其鉴权信息的加密、验证方法与装置 | |
Dowling et al. | Continuous authentication in secure messaging | |
CN117376026A (zh) | 物联网设备身份认证方法及*** | |
Gupta et al. | Implementing high grade security in cloud application using multifactor authentication and cryptography | |
Goswami et al. | A replay attack resilient system for PKI based authentication in challenge-response mode for online application | |
Nishimura et al. | Secure authentication key sharing between mobile devices based on owner identity | |
CN1329418A (zh) | 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法 | |
Shah et al. | Encryption of data over HTTP (hypertext transfer protocol)/HTTPS (hypertext transfer protocol secure) requests for secure data transfers over the internet | |
CN114282189A (zh) | 一种数据安全存储方法、***、客户端以及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171215 |