[发明专利]基于证书锁定与动态密钥的门禁安全认证方法

说明书

技术领域

本发明涉及一种安全认证领域，尤其涉及一种门禁认证的领域。

背景技术

本发明方法涉及蓝牙、二维码、证书锁定、对称加密与HMAC等内容。过程为：移动终端和门禁客户端分别与服务器建立防止中间人攻击的通信通道，然后根据时间戳动态生成密钥与“通行证”，加密后的“通信证”下发到移动终端，移动终端通过蓝牙或二维码方式把“通行证”传输到门禁客户端，门禁客户端向服务器请求有效密钥(密钥会过期)，解密出“通行证”并完成最终的认证。

与本发明最相近的方法有CN106250959A吴龙提出的产生动态二维码的方法、门禁认证方法及相关系统，包括：客户端向链接库发送获取动态二维码的申请，,获取链接库反馈的动态二维码的数据包，所述数据包包含访问次数和时间戳；根据所述数据包产生动态二维码；所述动态二维码包含根据访问次数和时间戳生成的访问限制规则；认证端扫描所述动态二维码,将所述动态二维码与链接库预存的授权二维码进行鉴权认证,若认证通过，解除门禁，若认证失败，启动二次扫描机制。该发明产生动态二维码，避免了静态二维码扫描认证安全性能低、信息易泄露、容易感染病毒的问题，并且动态二维码中的访问限制规则可以有效地满足对不同类型访客的访问时间、访问次数进行严格的权限管理。但在获取二维码时仍然可能被中间人攻击窃取。

发明内容

目前的门禁动态认证方法一般是根据时间戳与访问次数等规则生成字符串来进行认证，解决了静态通行证容易被暴力破解的问题。但这种方式仍然没有解决中间人攻击窃取通行证进而破解门禁的方法。而本发明方法克服此缺点，通过证书锁定与动态密钥来实现数据的加密与认证，即使中间人窃取到数据包也无法解密出其中的明文数据，提供了一种安全的门禁认证方法。

图1是门禁认证的流程框图。最主要的三个方法为：用证书锁定方式建立通信通道、生成加密后的动态通行证、获取有效密钥并计算验证通行证。

现有的利用时间戳动态认证的方法一般是通过一个时间步长，同步门禁客户端与服务器端的时间戳，来实现动态变化的“通行证”；这种方式在客户端维护时间戳并定时同步，给门禁客户端的带来了繁重的工作任务。而本发明采用了一种巧妙的有效密钥，通过服务端的有效时间缓存的方式，省去定期同步时间戳的步骤，大大减轻了门禁客户端的工作任务。

所述的门禁安全认证方法具体包括以下步骤：一、用证书锁定方式建立通信通道；二、生成加密后的动态通行证；三、获取有效密钥并计算验证通行证；四、推送状态与结果。

附图说明

图1流程框图；

图2通信通道建立流程图；

图3开锁通信流程图；

图4详细功能图。

图5技术架构图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述

一、用证书锁定方式建立通信通道

HTTPS建立连接时，服务器会发送CA签名的证书到客户端。这里需要使用自签名的方式，用openssl创建CA与应用证书，并用自己的CA对应用证书签名，HTTPS建立时服务器发送的就是这个签名后的证书。把自己的CA的公开证书硬编码在客户端代码中。CA可以验证某个证书是否为自己签名，利用这点，在客户端对服务器发送过来的公开证书进行签名验证，验证通过则建立连接。之后进行登录验证，生成token与随机密钥用于后续的通信加密。过程如图2所示。

二、开锁流程与原理

通过第一步的加密通信，手机发送门禁ID与开锁请求到服务器，服务器验证token，生成随机密钥，以键值对{手机号+门禁ID：随机密钥}的形式存在redis服务器中，并设置60秒失效；然后计算通行证：HMAC(随机密钥，门禁ID+手机号)，返回给手机；手机以二维码或蓝牙的方式，发送手机号+通行证到门禁客户端；门禁客户端通过加密通道向服务器请求“手机号+门禁ID”的有效密钥，服务器删除密钥，返回给门禁客户端，并推送到手机消息“门禁ID的密钥已使用”；门禁客户端使用密钥计算出通行证，对比验证，响应开锁，并把结果发送到服务器，服务器推送开锁结果给手机。过程如图3所示。

对本发明作进一步详细的描述系统可如图4所示。

一、使用openssl生成自签名密钥。

二、注册账号。

三、管理员绑定门禁。

四、管理门禁通行列表。

五、开锁请求。

六、与门禁交互。

七、门禁验证。

八、开锁结果。

具体的实现技术与方法，如图5所示。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变形或修改，这并不影响本发明的实质内容。