收藏
下载资源 加入会员免费下载

一种基于PSAM安全控制的门禁系统及其安全门禁方法.pdf

上传人:a2 文档编号:4664286 上传时间:2018-10-26 格式:PDF 页数:10 大小:550.83KB
返回 下载 相关 举报
摘要
申请专利号:

CN201310036630.X

 申请日:

2013.01.31
公开号:

CN103971426A

 公开日:

2014.08.06
当前法律状态:

撤回

 有效性:

无权
法律详情:

发明专利申请公布后的视为撤回IPC(主分类):G07C 9/00申请公布日:20140806|||著录事项变更IPC(主分类):G07C 9/00变更事项:申请人变更前:北京同方微电子有限公司变更后:北京同方微电子有限公司变更事项:地址变更前:100083 北京市海淀区清华同方科技广场A座29层变更后:100000 北京市海淀区五道口王庄路1号同方科技广场D座西楼18层|||实质审查的生效IPC(主分类):G07C 9/00申请日:20130131|||公开
IPC分类号:

G07C9/00

 主分类号:

G07C9/00
申请人:

北京同方微电子有限公司
发明人:

王强; 路倩; 丁义民; 王庆林; 孟庆云
地址:

100083 北京市海淀区清华同方科技广场A座29层
优先权:

专利代理机构:

代理人:

PDF下载: PDF下载
内容摘要

一种基于PSAM安全控制的门禁系统及其安全门禁方法,涉及门禁系统安全技术领域。本发明的门禁系统包括门禁读卡器、门禁卡和门禁控制设备。所述门禁读卡器内置操作系统,门禁读卡器由射频读卡器单元和PSAM安全管理单元组成。所述操作系统控制射频读卡器单元实现门禁读卡器与门禁卡的数据通讯,操作系统还控制PSAM安全管理单元实现对门禁读卡器的动态认证安全管理。同现有技术相比,本发明通过动态双向认证的方式保证门禁系统的安全性,具有使用方便、适宜推广应用的特点。

权利要求书

权利要求书
1.  一种基于PSAM安全控制的门禁系统,它包括门禁读卡器(4)、门禁卡(5)和门禁控制设备(6),其特征在于,所述门禁读卡器(4)内置操作系统(3),门禁读卡器(4)由射频读卡器单元(1)和PSAM安全管理单元(2)组成,所述操作系统(3)控制射频读卡器单元(1)实现门禁读卡器(4)与门禁卡的数据通讯,所述操作系统(3)还控制PSAM安全管理单元(2)实现对门禁读卡器(4)的动态认证安全管理。

2.  根据权利要求1所述的门禁系统,其特征在于,所述门禁控制设备(6)包括加密机(7)。

3.  如权利要求1所述的基于PSAM安全控制的门禁系统的安全门禁方法,它使用包括门禁读卡器(4)、门禁卡(5)和门禁控制设备(6),所述门禁读卡器(4)内置主密钥KEY1和分散根密钥KEY2;所述门禁卡(5)内置与门禁读卡器(4)相同的主密钥KEY1作为内部认证密钥,门禁卡(5)还内置外部认证密钥KEY3和唯一识别码UID,它包括如下步骤:
门禁读卡器(4)对门禁卡(5)执行内部认证:门禁读卡器(4)的操作系统(3)产生随机数RNG1,由射频读卡器单元(1)将随机数RNG1发送给门禁卡(5);门禁卡(5)利用内置的主密钥KEY1对收到的数据通过算法AUTHALG对其进行加密得到认证数据MACDAT1,并将认证数据MACDAT1返回给门禁读卡器(4);操作系统(3)控制PSAM安全管理单元(2)对认证数据MACDAT1通过算法AUTHALG对其进行解密,若解密所得数据与随机数RNG1一致,则认证通过;
门禁读卡器(4)对门禁卡(5)执行外部认证:门禁读卡器(4)读取门禁卡(5)的唯一识别码UID和动态数据RNG2;门禁读卡器(4)的操作系统(3)控制PSAM安全管理单元(2)利用唯一识别码UID对分散根密钥KEY2使用算法DIVERALG进行密钥分散得到外部认证KEY3,并利用分散后的外部认证KEY3对动态数据RNG2通过算法AUTHALG进行加密得到认证数据MACDAT2,并将认证数据MACDAT2发送给门禁卡(5);门禁卡(5)利用外部认证KEY3通过算法AUTHALG对认证数据MACDAT2进行解密,若解密所得数据与动态数据RNG2相同,则认证通过;
步骤和步骤的双向认证都通过后,所述门禁读卡器(4)具有访问门禁卡(5)数据文件的权限,并由门禁读卡器(4)将门禁卡(5)数据传递给门禁控制设备(6)。

4.  根据权利要求3所述的安全门禁方法,其特征在于,所述门禁读卡器(4)里的分散根密钥KEY2由加密机(7)写入,所述门禁卡(5)内置的外部认证密钥KEY3也由加密机(7)使用密钥分散机制生成写入。

5.  根据权利要求3或4所述的安全门禁方法,其特征在于,所述算法AUTHALG和算法DIVERALG采用DES数据加密方法或者三重数据加密方法3DES,或者采用其他对称密码算法,AUTHALG和算法DIVERALG采用相同或者不同的算法。

6.  根据权利要求5所述的安全门禁方法,其特征在于,所述密钥分散机制利用唯一识别码UID作为分散数据,或者利用其他数据作为分散数据。

7.  根据权利要求6所述的安全门禁方法,其特征在于,所述双向认证通过后,门禁卡(5)的数据文件被允许读出,读出采用加密方式传输或者明文方式传输。

8.  根据权利要求7所述的安全门禁方法,其特征在于,所述双向认证通过后,由门禁读卡器(4)控制门锁的开关,或者由门禁控制设备(6)获取门禁卡(5)数据文件后控制门锁的开关。

9.  根据权利要求8所述的安全门禁方法,其特征在于,所述门禁读卡器(4)里的射频读卡器单元(1)和PSAM安全管理单元(2)集成在一个芯片里,或者由射频读卡器芯片与PSAM安全模块芯片组合而成。

说明书

说明书一种基于PSAM安全控制的门禁系统及其安全门禁方法
技术领域
本发明涉及门禁系统安全技术领域,特别是基于PSAM安全控制的门禁系统及其安全门禁方法。
背景技术
安全性是门禁系统的首要考虑问题,目前门禁系统的安全隐患主要包括以下几个方面:
1)门禁卡被复制。传统的门禁系统中,门禁卡只用于存储信息,卡片的识别认证过程都是明文读出,再与门禁系统服务器进行比对。这种卡片容易被复制。主流的MF1卡已于2007年破解,也带来了复制的可能性。
2)读卡器数据泄露。门禁读卡器内可能存储卡片的认证数据或门禁信息,若读卡器被盗,也可以复制卡片。
3)通信线路的数据被窃听。通过窃听通信数据,获取卡片的秘密信息,从而实现卡片的复制。
现有技术中,为了解决以上问题,主要的解决方案包括:
1)采用USB Key作为识别标志,数据通信安全性得到了提高。但是USB Key必须电气接触,使用不方便。
2)基于金融规范的IC卡在门禁系统中的应用方法,提出采用接触式IC卡,卡片规范是银行系统专有,不适合推广使用。
3)基于IPA安全认证的门禁系统,采用非对称密钥机制实现卡片的安全管理,安全性得到了极大的提高。但是门禁系统服务器端需要支持同样的非对称算法,实现复杂。密钥存储于计算机上,面临网络威胁,也有卡片复制的风险。
发明内容
为了克服上述现有技术中存在的不足,本发明的目的是提供一种基于PSAM安全控制的门禁系统及其安全门禁方法。它通过动态双向认证的方式保证门禁系统的安全性,具有使用方便、适宜推广应用的特点。
为了达到上述发明目的,本发明的技术方案以如下方式实现:
一种基于PSAM安全控制的门禁系统,其结构特点是,它包括门禁读卡器、门禁卡和门禁控制设备。所述门禁读卡器内置操作系统,门禁读卡器由射频读卡器单元和PSAM安全管理单元组成。所述操作系统控制射频读卡器单元实现门禁读卡器与门禁卡的数据通讯,操作系统还控制PSAM安全管理单元实现对门禁读卡器的动态认证安全管理。
在上述门禁系统中,所述门禁控制设备包括加密机。
如上所述的基于PSAM安全控制的门禁系统的安全门禁方法,它使用包括门禁读卡器、门禁卡和门禁控制设备。所述门禁读卡器内置主密钥KEY1和分散根密钥KEY2;所述门禁卡内置与门禁读卡器相同的主密钥KEY1作为内部认证密钥,门禁卡还内置外部认证密钥KEY3和唯一识别码UID,它包括如下步骤:
门禁读卡器对门禁卡执行内部认证:门禁读卡器的操作系统产生随机数RNG1,由射频读卡器单元将随机数RNG1发送给门禁卡。门禁卡利用内置的主密钥KEY1对收到的数据通过算法AUTHALG对其进行加密得到认证数据MACDAT1,并将认证数据MACDAT1返回给门禁读卡器。操作系统控制PSAM安全管理单元对认证数据MACDAT1通过算法AUTHALG对其进行解密,若解密所得数据与随机数RNG1一致,则认证通过。
门禁读卡器对门禁卡执行外部认证:门禁读卡器读取门禁卡的唯一识别码UID和动态数据RNG2;门禁读卡器的操作系统控制PSAM安全管理单元利用唯一识别码UID对分散根密钥KEY2使用算法DIVERALG进行密钥分散得到外部认证KEY3,并利用分散后的外部认证KEY3对动态数据RNG2通过算法AUTHALG进行加密得到认证数据MACDAT2,并将认证数据MACDAT2发送给门禁卡。门禁卡利用外部认证KEY3通过算法AUTHALG对认证数据MACDAT2进行解密,若解密所得数据与动态数据RNG2相同,则认证通过。
步骤和步骤的双向认证都通过后,所述门禁读卡器具有访问门禁卡数据文件的权限,并由门禁读卡器将门禁卡数据传递给门禁控制设备。
在上述的安全门禁方法中,所述门禁读卡器里的分散根密钥KEY2由加密机写入,所述门禁卡内置的外部认证密钥KEY3也由加密机使用密钥分散机制生成写入。
在上述的安全门禁方法中,所述算法AUTHALG和算法DIVERALG采用DES数据加密方法或者三重数据加密方法3DES,或者采用其他对称密码算法,AUTHALG和算法DIVERALG采用相同或者不同的算法。
在上述的安全门禁方法中,所述密钥分散机制利用唯一识别码UID作为分散数据,或者利用其他数据作为分散数据。
在上述的安全门禁方法中,所述双向认证通过后,门禁卡的数据文件被允许读出,读出采用加密方式传输或者明文方式传输。
在上述的安全门禁方法中,所述双向认证通过后,由门禁读卡器控制门锁的开关,或者由门禁控制设备获取门禁卡数据文件后控制门锁的开关。
在上述的安全门禁方法中,所述门禁读卡器里的射频读卡器单元和PSAM安全管理单元集成在一个芯片里,或者由射频读卡器芯片与PSAM安全模块芯片组合而成。
本发明由于采用了上述结构和方法,增强了门禁系统的安全性,降低了后台门禁系统的实现复杂度。同现有技术相比,本发明具有如下优点:
1)利用动态双向认证的方式保证卡片不被复制的安全性;
2)利用密钥分散机制,实现一卡一密;
3)密钥分散机制和认证密码算法可以是不同的算法,增大了密钥破解的难度;
3)通信过程是密文,保证通信的安全性,应对窃听威胁;
4)门禁读卡器实现门禁卡识别的安全控制,后台计算机系统实现卡片的秘密信息进一步管理,使门禁控制设备的复杂程度降低,安全性提高;
5)门禁读卡器可以实现门禁卡的发卡管理,不需要额外做发卡系统的开发。
下面结合附图和具体实施方式对本发明作进一步说明。
附图说明
图1为本发明门禁系统的结构示意图;
图2为本发明实施例中门禁卡的认证流程图;
图3为本发明实施例中门禁卡的发卡流程示意图。
具体实施方式
参加图1,本发明门禁系统包括门禁读卡器4、门禁卡5和门禁控制设备6。门禁读卡器4内置操作系统3,门禁读卡器4由射频读卡器单元1和PSAM安全管理单元2组成。操作系统3控制射频读卡器单元1实现门禁读卡器4与门禁卡的数据通讯,操作系统3还控制PSAM安全管理单元2实现对门禁读卡器4的动态认证安全管理。门禁控制设备6包括加密机7。
本发明中的门禁读卡器4与门禁卡5通过两次动态数据密文传输,实现双方的相互认证。认证通过后,门禁卡5的数据文件允许门禁读卡器4访问,并返回给门禁控制设备6做进一步管理。
参看图2,本发明门禁系统的安全门禁方法中的门禁读卡器4和门禁卡5双向认证方法为:
门禁读卡器4对门禁卡5执行内部认证:
门禁读卡器4检测到有门禁卡5,门禁读卡器4产生随机数RNG1,并组织成内部认证命令发送给门禁卡5。
门禁卡5使用内置主密钥KEY1对随机数RNG1加密,得到认证数据MACDAT1,并将认证数据MACDAT1发送给门禁读卡器4。
门禁读卡器4用相同的主密钥KEY1对认证数据MACDAT1进行解密得到它的明文,并将明文与随机数RNG1对比是否相同。若不相同,那么门禁卡5的认证失败,该门禁卡5是无效卡;否则进行步骤。
门禁读卡器4对门禁卡5执行外部认证:
门禁读卡器4向门禁卡5发起读取唯一识别码UID的命令,获取门禁卡5的唯一识别码UID,并利用唯一识别码UID作为分散数据对分散根密钥KEY2做密钥分散,得到密钥KEY3。
门禁读卡器4向门禁卡5发起读取随机数命令,获取门禁卡5的动态数据RNG2。利用分散密钥后的KEY3对动态数据RNG2进行加密组织成认证数据MACDAT2,并将认证数据MACDAT2发送给门禁卡5。
门禁卡5用内置的外部认证密钥KEY3验证认证数据MACDAT2,验证通过后,门禁卡5的数据文件允许被访问。
门禁读卡器4将读取的数据文件返回给门禁控制设备6,由门禁控制设备6做进一步的管理。
本发明上述的外部认证过程包含了一个密钥分散机制,以使用唯一识别码UID做分散数据为示例,但本发明门禁安全方法并不仅仅局限于此,也可以利用其他数据做为分散数据。上述方法中的密钥分散算法和认证密码算法可以采用DES数据加密方法或者三重数据加密方法3DES,或者采用其他对称密码算法。上述密钥分散机制使用的密码算法可以与认证使用的密码算法相同,也可以不相同。
参看图3,基于本发明门禁系统和安全门禁方法的一种发卡管理实施方式为:
门禁控制设备6生成卡片唯一识别码UID和数据文件,通过门禁读卡器4将这些信息写入门禁卡5。
门禁控制设备6控制加密机7生成主密钥KEY1,通过密钥加载将主密钥KEY1写入门禁读卡器4,通过门禁读卡器4将主密钥KEY1加载到门禁卡5。
门禁控制设备6控制加密机7生成分散根密钥并写入门禁读卡器4。
门禁控制设备6控制门禁读卡器4读取门禁卡5的唯一识别码UID,通过密钥分散机制生成外部认证密钥KEY3并写入门禁卡5。所述密钥加载过程可以是明文方式,也可以是密文方式。
上述示例,说明了本发明门禁读卡器4可以实现门禁卡5的发卡功能和密钥加载功能。
上述本发明示例中的门禁控制设备6不需要额外的密码安全机制,就可以实现对门禁卡5的安全管理。但并不限定于此,在此基础上,门禁控制设备6也可以增加对称密码机制和非对称密码机制,对门禁卡5的数据文件做进一步安全管理和权限管理。

一种基于PSAM安全控制的门禁系统及其安全门禁方法.pdf_第1页
第1页 / 共10页
一种基于PSAM安全控制的门禁系统及其安全门禁方法.pdf_第2页
第2页 / 共10页
一种基于PSAM安全控制的门禁系统及其安全门禁方法.pdf_第3页
第3页 / 共10页
点击查看更多>>
资源描述

《一种基于PSAM安全控制的门禁系统及其安全门禁方法.pdf》由会员分享,可在线阅读,更多相关《一种基于PSAM安全控制的门禁系统及其安全门禁方法.pdf(10页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 103971426 A (43)申请公布日 2014.08.06 CN 103971426 A (21)申请号 201310036630.X (22)申请日 2013.01.31 G07C 9/00(2006.01) (71)申请人 北京同方微电子有限公司 地址 100083 北京市海淀区清华同方科技广 场 A 座 29 层 (72)发明人 王强 路倩 丁义民 王庆林 孟庆云 (54) 发明名称 一种基于 PSAM 安全控制的门禁系统及其安 全门禁方法 (57) 摘要 一种基于 PSAM 安全控制的门禁系统及其安 全门禁方法, 涉及门禁系统安全技术领域。本发 明的门禁。

2、系统包括门禁读卡器、 门禁卡和门禁控 制设备。 所述门禁读卡器内置操作系统, 门禁读卡 器由射频读卡器单元和 PSAM 安全管理单元组成。 所述操作系统控制射频读卡器单元实现门禁读卡 器与门禁卡的数据通讯, 操作系统还控制 PSAM 安 全管理单元实现对门禁读卡器的动态认证安全管 理。 同现有技术相比, 本发明通过动态双向认证的 方式保证门禁系统的安全性, 具有使用方便、 适宜 推广应用的特点。 (51)Int.Cl. 权利要求书 2 页 说明书 4 页 附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书4页 附图3页 (10)申请公布号 CN 1。

3、03971426 A CN 103971426 A 1/2 页 2 1.一种基于PSAM安全控制的门禁系统, 它包括门禁读卡器 (4) 、 门禁卡 (5) 和门禁控制 设备 (6) , 其特征在于, 所述门禁读卡器 (4) 内置操作系统 (3) , 门禁读卡器 (4) 由射频读卡 器单元 (1) 和 PSAM 安全管理单元 (2) 组成, 所述操作系统 (3) 控制射频读卡器单元 (1) 实 现门禁读卡器 (4) 与门禁卡的数据通讯, 所述操作系统 (3) 还控制 PSAM 安全管理单元 (2) 实现对门禁读卡器 (4) 的动态认证安全管理。 2. 根据权利要求 1 所述的门禁系统, 其特征在。

4、于, 所述门禁控制设备 (6) 包括加密机 (7) 。 3.如权利要求1所述的基于PSAM安全控制的门禁系统的安全门禁方法, 它使用包括门 禁读卡器 (4) 、 门禁卡 (5) 和门禁控制设备 (6) , 所述门禁读卡器 (4) 内置主密钥 KEY1 和分 散根密钥 KEY2 ; 所述门禁卡 (5) 内置与门禁读卡器 (4) 相同的主密钥 KEY1 作为内部认证密 钥, 门禁卡 (5) 还内置外部认证密钥 KEY3 和唯一识别码 UID, 它包括如下步骤 : 门禁读卡器 (4) 对门禁卡 (5) 执行内部认证 : 门禁读卡器 (4) 的操作系统 (3) 产生随 机数 RNG1, 由射频读卡器单。

5、元 (1) 将随机数 RNG1 发送给门禁卡 (5) ; 门禁卡 (5) 利用内置的 主密钥 KEY1 对收到的数据通过算法 AUTHALG 对其进行加密得到认证数据 MACDAT1, 并将认 证数据 MACDAT1 返回给门禁读卡器 (4) ; 操作系统 (3) 控制 PSAM 安全管理单元 (2) 对认证 数据 MACDAT1 通过算法 AUTHALG 对其进行解密, 若解密所得数据与随机数 RNG1 一致, 则认 证通过 ; 门禁读卡器 (4) 对门禁卡 (5) 执行外部认证 : 门禁读卡器 (4) 读取门禁卡 (5) 的唯一 识别码 UID 和动态数据 RNG2 ; 门禁读卡器 (4)。

6、 的操作系统 (3) 控制 PSAM 安全管理单元 (2) 利用唯一识别码 UID 对分散根密钥 KEY2 使用算法 DIVERALG 进行密钥分散得到外部认证 KEY3, 并利用分散后的外部认证 KEY3 对动态数据 RNG2 通过算法 AUTHALG 进行加密得到认 证数据 MACDAT2, 并将认证数据 MACDAT2 发送给门禁卡 (5) ; 门禁卡 (5) 利用外部认证 KEY3 通过算法 AUTHALG 对认证数据 MACDAT2 进行解密, 若解密所得数据与动态数据 RNG2 相同, 则认证通过 ; 步骤和步骤的双向认证都通过后, 所述门禁读卡器 (4) 具有访问门禁卡 (5) 。

7、数 据文件的权限, 并由门禁读卡器 (4) 将门禁卡 (5) 数据传递给门禁控制设备 (6) 。 4. 根据权利要求 3 所述的安全门禁方法, 其特征在于, 所述门禁读卡器 (4) 里的分散根 密钥 KEY2 由加密机 (7) 写入, 所述门禁卡 (5) 内置的外部认证密钥 KEY3 也由加密机 (7) 使 用密钥分散机制生成写入。 5. 根据权利要求 3 或 4 所述的安全门禁方法, 其特征在于, 所述算法 AUTHALG 和算法 DIVERALG 采用 DES 数据加密方法或者三重数据加密方法 3DES, 或者采用其他对称密码算 法, AUTHALG 和算法 DIVERALG 采用相同或者。

8、不同的算法。 6. 根据权利要求 5 所述的安全门禁方法, 其特征在于, 所述密钥分散机制利用唯一识 别码 UID 作为分散数据, 或者利用其他数据作为分散数据。 7. 根据权利要求 6 所述的安全门禁方法, 其特征在于, 所述双向认证通过后, 门禁卡 权 利 要 求 书 CN 103971426 A 2 2/2 页 3 (5) 的数据文件被允许读出, 读出采用加密方式传输或者明文方式传输。 8. 根据权利要求 7 所述的安全门禁方法, 其特征在于, 所述双向认证通过后, 由门禁读 卡器 (4) 控制门锁的开关, 或者由门禁控制设备 (6) 获取门禁卡 (5) 数据文件后控制门锁的 开关。 9。

9、. 根据权利要求 8 所述的安全门禁方法, 其特征在于, 所述门禁读卡器 (4) 里的射频读 卡器单元 (1) 和 PSAM 安全管理单元 (2) 集成在一个芯片里, 或者由射频读卡器芯片与 PSAM 安全模块芯片组合而成。 权 利 要 求 书 CN 103971426 A 3 1/4 页 4 一种基于 PSAM 安全控制的门禁系统及其安全门禁方法 技术领域 0001 本发明涉及门禁系统安全技术领域, 特别是基于 PSAM 安全控制的门禁系统及其 安全门禁方法。 背景技术 0002 安全性是门禁系统的首要考虑问题, 目前门禁系统的安全隐患主要包括以下几个 方面 : 1) 门禁卡被复制。传统的门。

10、禁系统中, 门禁卡只用于存储信息, 卡片的识别认证过程 都是明文读出, 再与门禁系统服务器进行比对。这种卡片容易被复制。主流的 MF1 卡已于 2007 年破解, 也带来了复制的可能性。 0003 2) 读卡器数据泄露。门禁读卡器内可能存储卡片的认证数据或门禁信息, 若读卡 器被盗, 也可以复制卡片。 0004 3) 通信线路的数据被窃听。 通过窃听通信数据, 获取卡片的秘密信息, 从而实现卡 片的复制。 0005 现有技术中, 为了解决以上问题, 主要的解决方案包括 : 1) 采用 USB Key 作为识别标志, 数据通信安全性得到了提高。但是 USB Key 必须电气 接触, 使用不方便。。

11、 0006 2) 基于金融规范的IC卡在门禁系统中的应用方法, 提出采用接触式IC卡, 卡片规 范是银行系统专有, 不适合推广使用。 0007 3) 基于 IPA 安全认证的门禁系统, 采用非对称密钥机制实现卡片的安全管理, 安 全性得到了极大的提高。 但是门禁系统服务器端需要支持同样的非对称算法, 实现复杂。 密 钥存储于计算机上, 面临网络威胁, 也有卡片复制的风险。 发明内容 0008 为了克服上述现有技术中存在的不足, 本发明的目的是提供一种基于 PSAM 安全 控制的门禁系统及其安全门禁方法。它通过动态双向认证的方式保证门禁系统的安全性, 具有使用方便、 适宜推广应用的特点。 000。

12、9 为了达到上述发明目的, 本发明的技术方案以如下方式实现 : 一种基于 PSAM 安全控制的门禁系统, 其结构特点是, 它包括门禁读卡器、 门禁卡和门 禁控制设备。所述门禁读卡器内置操作系统, 门禁读卡器由射频读卡器单元和 PSAM 安全管 理单元组成。所述操作系统控制射频读卡器单元实现门禁读卡器与门禁卡的数据通讯, 操 作系统还控制 PSAM 安全管理单元实现对门禁读卡器的动态认证安全管理。 0010 在上述门禁系统中, 所述门禁控制设备包括加密机。 0011 如上所述的基于 PSAM 安全控制的门禁系统的安全门禁方法, 它使用包括门禁读 卡器、 门禁卡和门禁控制设备。所述门禁读卡器内置主。

13、密钥 KEY1 和分散根密钥 KEY2 ; 所述 门禁卡内置与门禁读卡器相同的主密钥 KEY1 作为内部认证密钥, 门禁卡还内置外部认证 说 明 书 CN 103971426 A 4 2/4 页 5 密钥 KEY3 和唯一识别码 UID, 它包括如下步骤 : 门禁读卡器对门禁卡执行内部认证 : 门禁读卡器的操作系统产生随机数 RNG1, 由射 频读卡器单元将随机数 RNG1 发送给门禁卡。门禁卡利用内置的主密钥 KEY1 对收到的数据 通过算法AUTHALG对其进行加密得到认证数据MACDAT1, 并将认证数据MACDAT1返回给门禁 读卡器。操作系统控制 PSAM 安全管理单元对认证数据 M。

14、ACDAT1 通过算法 AUTHALG 对其进 行解密, 若解密所得数据与随机数 RNG1 一致, 则认证通过。 0012 门禁读卡器对门禁卡执行外部认证 : 门禁读卡器读取门禁卡的唯一识别码 UID 和动态数据 RNG2 ; 门禁读卡器的操作系统控制 PSAM 安全管理单元利用唯一识别码 UID 对 分散根密钥 KEY2 使用算法 DIVERALG 进行密钥分散得到外部认证 KEY3, 并利用分散后的外 部认证 KEY3 对动态数据 RNG2 通过算法 AUTHALG 进行加密得到认证数据 MACDAT2, 并将认 证数据 MACDAT2 发送给门禁卡。门禁卡利用外部认证 KEY3 通过算法。

15、 AUTHALG 对认证数据 MACDAT2 进行解密, 若解密所得数据与动态数据 RNG2 相同, 则认证通过。 0013 步骤和步骤的双向认证都通过后, 所述门禁读卡器具有访问门禁卡数据文 件的权限, 并由门禁读卡器将门禁卡数据传递给门禁控制设备。 0014 在上述的安全门禁方法中, 所述门禁读卡器里的分散根密钥 KEY2 由加密机写入, 所述门禁卡内置的外部认证密钥 KEY3 也由加密机使用密钥分散机制生成写入。 0015 在上述的安全门禁方法中, 所述算法 AUTHALG 和算法 DIVERALG 采用 DES 数据加密 方法或者三重数据加密方法 3DES, 或者采用其他对称密码算法,。

16、 AUTHALG 和算法 DIVERALG 采用相同或者不同的算法。 0016 在上述的安全门禁方法中, 所述密钥分散机制利用唯一识别码 UID 作为分散数 据, 或者利用其他数据作为分散数据。 0017 在上述的安全门禁方法中, 所述双向认证通过后, 门禁卡的数据文件被允许读出, 读出采用加密方式传输或者明文方式传输。 0018 在上述的安全门禁方法中, 所述双向认证通过后, 由门禁读卡器控制门锁的开关, 或者由门禁控制设备获取门禁卡数据文件后控制门锁的开关。 0019 在上述的安全门禁方法中, 所述门禁读卡器里的射频读卡器单元和 PSAM 安全管 理单元集成在一个芯片里, 或者由射频读卡器。

17、芯片与 PSAM 安全模块芯片组合而成。 0020 本发明由于采用了上述结构和方法, 增强了门禁系统的安全性, 降低了后台门禁 系统的实现复杂度。同现有技术相比, 本发明具有如下优点 : 1) 利用动态双向认证的方式保证卡片不被复制的安全性 ; 2) 利用密钥分散机制, 实现一卡一密 ; 3) 密钥分散机制和认证密码算法可以是不同的算法, 增大了密钥破解的难度 ; 3) 通信过程是密文, 保证通信的安全性, 应对窃听威胁 ; 4) 门禁读卡器实现门禁卡识别的安全控制, 后台计算机系统实现卡片的秘密信息进一 步管理, 使门禁控制设备的复杂程度降低, 安全性提高 ; 5) 门禁读卡器可以实现门禁卡。

18、的发卡管理, 不需要额外做发卡系统的开发。 0021 下面结合附图和具体实施方式对本发明作进一步说明。 说 明 书 CN 103971426 A 5 3/4 页 6 附图说明 0022 图 1 为本发明门禁系统的结构示意图 ; 图 2 为本发明实施例中门禁卡的认证流程图 ; 图 3 为本发明实施例中门禁卡的发卡流程示意图。 具体实施方式 0023 参加图1, 本发明门禁系统包括门禁读卡器4、 门禁卡5和门禁控制设备6。 门禁读 卡器 4 内置操作系统 3, 门禁读卡器 4 由射频读卡器单元 1 和 PSAM 安全管理单元 2 组成。 操作系统 3 控制射频读卡器单元 1 实现门禁读卡器 4 与。

19、门禁卡的数据通讯, 操作系统 3 还 控制 PSAM 安全管理单元 2 实现对门禁读卡器 4 的动态认证安全管理。门禁控制设备 6 包 括加密机 7。 0024 本发明中的门禁读卡器 4 与门禁卡 5 通过两次动态数据密文传输, 实现双方的相 互认证。认证通过后, 门禁卡 5 的数据文件允许门禁读卡器 4 访问, 并返回给门禁控制设备 6 做进一步管理。 0025 参看图2, 本发明门禁系统的安全门禁方法中的门禁读卡器4和门禁卡5双向认证 方法为 : 门禁读卡器 4 对门禁卡 5 执行内部认证 : 门禁读卡器 4 检测到有门禁卡 5, 门禁读卡器 4 产生随机数 RNG1, 并组织成内部认证 。

20、命令发送给门禁卡 5。 0026 门禁卡 5 使用内置主密钥 KEY1 对随机数 RNG1 加密, 得到认证数据 MACDAT1, 并 将认证数据 MACDAT1 发送给门禁读卡器 4。 0027 门禁读卡器 4 用相同的主密钥 KEY1 对认证数据 MACDAT1 进行解密得到它的明 文, 并将明文与随机数 RNG1 对比是否相同。若不相同, 那么门禁卡 5 的认证失败, 该门禁卡 5 是无效卡 ; 否则进行步骤。 0028 门禁读卡器 4 对门禁卡 5 执行外部认证 : 门禁读卡器 4 向门禁卡 5 发起读取唯一识别码 UID 的命令, 获取门禁卡 5 的唯一识 别码 UID, 并利用唯一。

21、识别码 UID 作为分散数据对分散根密钥 KEY2 做密钥分散, 得到密钥 KEY3。 0029 门禁读卡器 4 向门禁卡 5 发起读取随机数命令, 获取门禁卡 5 的动态数据 RNG2。 利用分散密钥后的KEY3对动态数据RNG2进行加密组织成认证数据MACDAT2, 并将认证数据 MACDAT2 发送给门禁卡 5。 0030 门禁卡5用内置的外部认证密钥KEY3验证认证数据MACDAT2, 验证通过后, 门禁 卡 5 的数据文件允许被访问。 0031 门禁读卡器4将读取的数据文件返回给门禁控制设备6, 由门禁控制设备6做进 一步的管理。 0032 本发明上述的外部认证过程包含了一个密钥分散。

22、机制, 以使用唯一识别码 UID 做 分散数据为示例, 但本发明门禁安全方法并不仅仅局限于此, 也可以利用其他数据做为分 说 明 书 CN 103971426 A 6 4/4 页 7 散数据。上述方法中的密钥分散算法和认证密码算法可以采用 DES 数据加密方法或者三重 数据加密方法 3DES, 或者采用其他对称密码算法。上述密钥分散机制使用的密码算法可以 与认证使用的密码算法相同, 也可以不相同。 0033 参看图 3, 基于本发明门禁系统和安全门禁方法的一种发卡管理实施方式为 : 门禁控制设备 6 生成卡片唯一识别码 UID 和数据文件, 通过门禁读卡器 4 将这些信 息写入门禁卡 5。 0。

23、034 门禁控制设备 6 控制加密机 7 生成主密钥 KEY1, 通过密钥加载将主密钥 KEY1 写 入门禁读卡器 4, 通过门禁读卡器 4 将主密钥 KEY1 加载到门禁卡 5。 0035 门禁控制设备 6 控制加密机 7 生成分散根密钥并写入门禁读卡器 4。 0036 门禁控制设备 6 控制门禁读卡器 4 读取门禁卡 5 的唯一识别码 UID, 通过密钥分 散机制生成外部认证密钥 KEY3 并写入门禁卡 5。所述密钥加载过程可以是明文方式, 也可 以是密文方式。 0037 上述示例, 说明了本发明门禁读卡器 4 可以实现门禁卡 5 的发卡功能和密钥加载 功能。 0038 上述本发明示例中的门禁控制设备 6 不需要额外的密码安全机制, 就可以实现对 门禁卡 5 的安全管理。但并不限定于此, 在此基础上, 门禁控制设备 6 也可以增加对称密码 机制和非对称密码机制, 对门禁卡 5 的数据文件做进一步安全管理和权限管理。 说 明 书 CN 103971426 A 7 1/3 页 8 图 1 说 明 书 附 图 CN 103971426 A 8 2/3 页 9 图 2 说 明 书 附 图 CN 103971426 A 9 3/3 页 10 图 3 说 明 书 附 图 CN 103971426 A 10 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 物理 > 核算装置


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1