CN107481357A - 基于证书锁定与动态密钥的门禁安全认证方法 - Google Patents

基于证书锁定与动态密钥的门禁安全认证方法 Download PDF

Info

Publication number
CN107481357A
CN107481357A CN201710556706.XA CN201710556706A CN107481357A CN 107481357 A CN107481357 A CN 107481357A CN 201710556706 A CN201710556706 A CN 201710556706A CN 107481357 A CN107481357 A CN 107481357A
Authority
CN
China
Prior art keywords
gate inhibition
key
dynamic
client
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710556706.XA
Other languages
English (en)
Inventor
陈光科
曾碧
林伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong University of Technology
Original Assignee
Guangdong University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong University of Technology filed Critical Guangdong University of Technology
Priority to CN201710556706.XA priority Critical patent/CN107481357A/zh
Publication of CN107481357A publication Critical patent/CN107481357A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

目前的门禁动态认证方法一般是根据时间戳与访问次数等规则生成字符串来进行认证,解决了静态通行证容易被暴力破解的问题。但这种方式仍然没有解决中间人攻击窃取通行证进而破解门禁的方法。针对目前门禁认证的中间人攻击问题,提出了一种基于证书锁定与动态密钥的门禁安全认证方法。该方法通过证书锁定与动态密钥的方式建立加密的通信通道,提高了安全性。此外,本发明采用了一种巧妙的有效密钥,通过服务端的有效时间缓存的方式,省去定期同步时间戳的步骤,大大减轻了门禁客户端的工作任务。

Description

基于证书锁定与动态密钥的门禁安全认证方法
技术领域
本发明涉及一种安全认证领域,尤其涉及一种门禁认证的领域。
背景技术
本发明方法涉及蓝牙、二维码、证书锁定、对称加密与HMAC等内容。过程为:移动终端和门禁客户端分别与服务器建立防止中间人攻击的通信通道,然后根据时间戳动态生成密钥与“通行证”,加密后的“通信证”下发到移动终端,移动终端通过蓝牙或二维码方式把“通行证”传输到门禁客户端,门禁客户端向服务器请求有效密钥(密钥会过期),解密出“通行证”并完成最终的认证。
与本发明最相近的方法有CN106250959A吴龙提出的产生动态二维码的方法、门禁认证方法及相关***,包括:客户端向链接库发送获取动态二维码的申请,,获取链接库反馈的动态二维码的数据包,所述数据包包含访问次数和时间戳;根据所述数据包产生动态二维码;所述动态二维码包含根据访问次数和时间戳生成的访问限制规则;认证端扫描所述动态二维码,将所述动态二维码与链接库预存的授权二维码进行鉴权认证,若认证通过,解除门禁,若认证失败,启动二次扫描机制。该发明产生动态二维码,避免了静态二维码扫描认证安全性能低、信息易泄露、容易感染病毒的问题,并且动态二维码中的访问限制规则可以有效地满足对不同类型访客的访问时间、访问次数进行严格的权限管理。但在获取二维码时仍然可能被中间人攻击窃取。
发明内容
目前的门禁动态认证方法一般是根据时间戳与访问次数等规则生成字符串来进行认证,解决了静态通行证容易被暴力破解的问题。但这种方式仍然没有解决中间人攻击窃取通行证进而破解门禁的方法。而本发明方法克服此缺点,通过证书锁定与动态密钥来实现数据的加密与认证,即使中间人窃取到数据包也无法解密出其中的明文数据,提供了一种安全的门禁认证方法。
图1是门禁认证的流程框图。最主要的三个方法为:用证书锁定方式建立通信通道、生成加密后的动态通行证、获取有效密钥并计算验证通行证。
现有的利用时间戳动态认证的方法一般是通过一个时间步长,同步门禁客户端与服务器端的时间戳,来实现动态变化的“通行证”;这种方式在客户端维护时间戳并定时同步,给门禁客户端的带来了繁重的工作任务。而本发明采用了一种巧妙的有效密钥,通过服务端的有效时间缓存的方式,省去定期同步时间戳的步骤,大大减轻了门禁客户端的工作任务。
所述的门禁安全认证方法具体包括以下步骤:一、用证书锁定方式建立通信通道;二、生成加密后的动态通行证;三、获取有效密钥并计算验证通行证;四、推送状态与结果。
附图说明
图1流程框图;
图2通信通道建立流程图;
图3开锁通信流程图;
图4详细功能图。
图5技术架构图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述
一、用证书锁定方式建立通信通道
HTTPS建立连接时,服务器会发送CA签名的证书到客户端。这里需要使用自签名的方式,用openssl创建CA与应用证书,并用自己的CA对应用证书签名,HTTPS建立时服务器发送的就是这个签名后的证书。把自己的CA的公开证书硬编码在客户端代码中。CA可以验证某个证书是否为自己签名,利用这点,在客户端对服务器发送过来的公开证书进行签名验证,验证通过则建立连接。之后进行登录验证,生成token与随机密钥用于后续的通信加密。过程如图2所示。
二、开锁流程与原理
通过第一步的加密通信,手机发送门禁ID与开锁请求到服务器,服务器验证token,生成随机密钥,以键值对{手机号+门禁ID:随机密钥}的形式存在redis服务器中,并设置60秒失效;然后计算通行证:HMAC(随机密钥,门禁ID+手机号),返回给手机;手机以二维码或蓝牙的方式,发送手机号+通行证到门禁客户端;门禁客户端通过加密通道向服务器请求“手机号+门禁ID”的有效密钥,服务器删除密钥,返回给门禁客户端,并推送到手机消息“门禁ID的密钥已使用”;门禁客户端使用密钥计算出通行证,对比验证,响应开锁,并把结果发送到服务器,服务器推送开锁结果给手机。过程如图3所示。
对本发明作进一步详细的描述***可如图4所示。
一、使用openssl生成自签名密钥。
二、注册账号。
三、管理员绑定门禁。
四、管理门禁通行列表。
五、开锁请求。
六、与门禁交互。
七、门禁验证。
八、开锁结果。
具体的实现技术与方法,如图5所示。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。

Claims (5)

1.一种基于证书锁定与动态密钥的门禁安全认证方法,其特征在于:通过证书锁定与动态密钥的方式,建立防止中间人攻击的通信通道,并以缓存有效密钥的方式省去了客户端定期同步时间戳的工作。
2.根据权利要求1所述的门禁安全认证方法,其特征在于:具体包括以下步骤:一、用证书锁定方式建立通信通道;二、生成加密后的动态通行证;三、获取有效密钥并计算验证通行证;四、推送状态与结果。
3.根据权利要求2所述的门禁安全认证方法,其特征在于:所述步骤一包括:证书锁定方式以HTTPS登录通过后获取随机密钥,然后用密钥建立加密通信通道,具体方式有两种:第一种TCP长连接,传输的数据包序列化后经过密钥AES加密,第二种通过http的post请求,携带的表单数据经过密钥AES加密。
4.根据权利要求3所述的门禁安全认证方法,其特征在于:所述步骤二包括:生成随机密钥,缓存在redis服务器并设置有效期为60s,再通过手机号+门禁ID的信息组合的字符串,使用密钥经过HMAC签名后生成通行证。
5.根据权利要求4所述的门禁安全认证方法,其特征在于:还包括:门禁客户端通过加密通道向服务器请求“手机号+门禁ID”的有效密钥,服务器删除密钥,返回给门禁客户端,并推送到手机消息“门禁ID的密钥已使用”;门禁客户端使用密钥计算出通行证,对比验证,响应开锁,并把结果发送到服务器,服务器推送开锁结果给手机。
CN201710556706.XA 2017-07-10 2017-07-10 基于证书锁定与动态密钥的门禁安全认证方法 Pending CN107481357A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710556706.XA CN107481357A (zh) 2017-07-10 2017-07-10 基于证书锁定与动态密钥的门禁安全认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710556706.XA CN107481357A (zh) 2017-07-10 2017-07-10 基于证书锁定与动态密钥的门禁安全认证方法

Publications (1)

Publication Number Publication Date
CN107481357A true CN107481357A (zh) 2017-12-15

Family

ID=60594915

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710556706.XA Pending CN107481357A (zh) 2017-07-10 2017-07-10 基于证书锁定与动态密钥的门禁安全认证方法

Country Status (1)

Country Link
CN (1) CN107481357A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108923913A (zh) * 2018-06-14 2018-11-30 温州极客物联网开发实验室有限公司 一种呼叫式动态密钥的算法
CN110189440A (zh) * 2019-05-17 2019-08-30 杭州宇链科技有限公司 一种基于区块链的智能锁监管设备及其方法
CN110298939A (zh) * 2018-03-22 2019-10-01 施耐德电器工业公司 锁定电气设备的功能的方法和实施该方法的电气设备
CN111815817A (zh) * 2020-06-22 2020-10-23 北京智辉空间科技有限责任公司 一种门禁安全控制方法和***
CN112189221A (zh) * 2018-04-24 2021-01-05 品谱股份有限公司 对服务器的电子锁认证的证书供应

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101246607A (zh) * 2007-02-13 2008-08-20 陈年 门禁***的数字认证控制方法以及应用该方法的门禁***
CN102571810A (zh) * 2012-02-09 2012-07-11 赵淦森 一种基于硬件数字证书载体的动态密码验证方法及***
CN103942684A (zh) * 2014-04-25 2014-07-23 天地融科技股份有限公司 数据安全交互***
CN103944731A (zh) * 2014-04-25 2014-07-23 天地融科技股份有限公司 数据安全交互方法
CN105337977A (zh) * 2015-11-16 2016-02-17 苏州通付盾信息技术有限公司 一种动态双向认证的安全移动通讯架构及其实现方法
CN106250959A (zh) * 2016-08-01 2016-12-21 吴龙 产生动态二维码的方法、门禁认证方法及相关***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101246607A (zh) * 2007-02-13 2008-08-20 陈年 门禁***的数字认证控制方法以及应用该方法的门禁***
CN102571810A (zh) * 2012-02-09 2012-07-11 赵淦森 一种基于硬件数字证书载体的动态密码验证方法及***
CN103942684A (zh) * 2014-04-25 2014-07-23 天地融科技股份有限公司 数据安全交互***
CN103944731A (zh) * 2014-04-25 2014-07-23 天地融科技股份有限公司 数据安全交互方法
CN105337977A (zh) * 2015-11-16 2016-02-17 苏州通付盾信息技术有限公司 一种动态双向认证的安全移动通讯架构及其实现方法
CN106250959A (zh) * 2016-08-01 2016-12-21 吴龙 产生动态二维码的方法、门禁认证方法及相关***

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110298939A (zh) * 2018-03-22 2019-10-01 施耐德电器工业公司 锁定电气设备的功能的方法和实施该方法的电气设备
CN110298939B (zh) * 2018-03-22 2023-03-10 施耐德电器工业公司 锁定电气设备的功能的方法和实施该方法的电气设备
CN112189221A (zh) * 2018-04-24 2021-01-05 品谱股份有限公司 对服务器的电子锁认证的证书供应
CN108923913A (zh) * 2018-06-14 2018-11-30 温州极客物联网开发实验室有限公司 一种呼叫式动态密钥的算法
CN110189440A (zh) * 2019-05-17 2019-08-30 杭州宇链科技有限公司 一种基于区块链的智能锁监管设备及其方法
CN111815817A (zh) * 2020-06-22 2020-10-23 北京智辉空间科技有限责任公司 一种门禁安全控制方法和***

Similar Documents

Publication Publication Date Title
US11658961B2 (en) Method and system for authenticated login using static or dynamic codes
CN107481357A (zh) 基于证书锁定与动态密钥的门禁安全认证方法
CN107978047B (zh) 使用密码开锁的方法、装置和***
CN109309565B (zh) 一种安全认证的方法及装置
CN108418691B (zh) 基于sgx的动态网络身份认证方法
Zhao et al. A novel mutual authentication scheme for Internet of Things
WO2019109727A1 (zh) 身份验证方法及装置
CN105471584B (zh) 一种基于量子密钥加密的身份认证方法
CN102664885B (zh) 一种基于生物特征加密和同态算法的身份认证方法
KR100827650B1 (ko) 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법
CN109728909A (zh) 基于USBKey的身份认证方法和***
US20200127838A1 (en) Persistent authentication system incorporating one time pass codes
CN115277168B (zh) 一种访问服务器的方法以及装置、***
CN111224784B (zh) 一种基于硬件可信根的角色分离的分布式认证授权方法
CN104751538A (zh) 一种开启门禁的实现方法及门禁***
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN107306181A (zh) 鉴权***及其鉴权信息的加密、验证方法与装置
Dowling et al. Continuous authentication in secure messaging
CN117376026A (zh) 物联网设备身份认证方法及***
Gupta et al. Implementing high grade security in cloud application using multifactor authentication and cryptography
Goswami et al. A replay attack resilient system for PKI based authentication in challenge-response mode for online application
Nishimura et al. Secure authentication key sharing between mobile devices based on owner identity
CN1329418A (zh) 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法
Shah et al. Encryption of data over HTTP (hypertext transfer protocol)/HTTPS (hypertext transfer protocol secure) requests for secure data transfers over the internet
CN114282189A (zh) 一种数据安全存储方法、***、客户端以及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171215