[发明专利]一种基于动态令牌双因子二维码开门系统及实现方法

说明书

技术领域

本发明涉及一种基于动态令牌双因子二维码开门系统及实现方法，属于信息安全技术领域。

背景技术

随着公共基础存储设施（智能微型消防站、储物柜、快递柜、自动售卖柜）建设的推进，各类公共基础存储设备分布在社区/学校/公众场合等人们活动的各个角落，现有开门手段（钥匙、门禁卡、指纹识别等）已不能满足公共开门的灵活化需求。基于以上公众开门使用需求下提出了二维码开门相关方案，用户通过获取开门二维码方式扫码开门，但如何保证在各种场景下门禁正常打开、如何保证认证信息安全性、如何辨别开门者身份合法性，成为二维码门禁管理关键点。

当前二维码开门技术缺陷及存在的问题：一、二维码通常内网传输有效，对于跨区域的门禁管理无法实现。二、二维码的获取通常需要相关管理人员给需求者下发。三、二维码开门必须借助网络才可实现，在应急场景下（无网络连接情况），无法获取二维码开门。四、现有二维码开门技术基于用户生成，安全性较低，容易被破解复制。

发明内容

本发明目的在于解决现有技术中的上述问题，提供一种解决现有二维码开门技术基于网络传输、跨区域无法实现传输开门，且在应急无网络环境下二维码开门无法实现，以及现有二维码开门安全性问题的基于动态令牌双因子二维码开门系统及实现方法。

本发明为达到上述目的，所采用的技术手段是：一种动态令牌双因子二维码开门系统，包括云端管理服务平台、手机APP平台、终端控制器，各系统之间相互调用服务，其中：

所述云端管理服务平台，通过互联网调用webservice方式实现和手机APP通信，为手机APP用户登录提供身份鉴别、认证，提供用户权限管理及授权；通过物联网MQTT协议实现和终端控制器即时通讯，管理终端控制器设备ID、物理地址；为终端控制器下发用户登录信息和干扰码，记录设备操作信息、开门信息及错误信息；

所述手机APP平台为用户操作提供入口，用于用户登录及完成相关操作；同时作为令牌载体生成一次性口令，并向云端请求干扰码进行混合运算形成挑战码，并将挑战码进行加密后生成二维码；用户发起开门需求后用合法的二维码向终端控制器发起挑战；

所述终端控制器和云端管理服务平台实现物联网的即时通讯，并通过扫描得到二维码后，本地进行解码、解密及合法性认证，在认证通过后下发开门指令至锁控板开门并记录开门信息，认证不通过时反馈错误信息。

进一步的，所述一次性口令是指：手机APP端发起开门请求，本地通过令牌种子和当前时间以算法生成。

进一步的，所述干扰码存在两种方式，方式一、如登录信息与上次一致，则用本地缓存的干扰码和一次性口令进行混合运算生成双因子口令；方式二、如登录用户与上一次不一致则向云端请求用户信息及对应的干扰码，请求到的干扰码和一次性口令进行混合运算生成双因子口令；对双因子口令进行加密生成挑战码，根据挑战码生成二维码，并显示在手机APP端。

进一步的，所述终端控制器本地解密后，将解密得到的一次性口令和干扰码和本地的编码进行对比，同时判定操作权限，对比通过则执行下一步动作，否则拒接请求并返回错误码。

进一步的，所述终端控制器将开门信息通过MQTT协议反馈给云端管理服务平台。

本发明有益效果在于：解决现有二维码开门技术基于网络传输、跨区域无法实现传输开门，且在应急无网络环境下二维码开门无法实现，以及现有二维码开门安全性问题。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明结构示意图。

具体实施方式

实施例1

如图1所示的一种动态令牌双因子二维码开门系统，包括云端管理服务平台、手机APP平台、终端控制器，各系统之间相互调用服务，其中：

所述云端管理服务平台，通过互联网调用webservice方式实现和手机APP通信，为手机APP用户登录提供身份鉴别、认证，提供用户权限管理及授权；通过物联网MQTT协议实现和终端控制器即时通讯，管理终端控制器设备ID、物理地址；为终端控制器下发用户登录信息和干扰码，记录设备操作信息、开门信息及错误信息；

所述手机APP平台为用户操作提供入口，用于用户登录及完成相关操作；同时作为令牌载体生成一次性口令，并向云端请求干扰码进行混合运算形成挑战码，并将挑战码进行加密后生成二维码；用户发起开门需求后用合法的二维码向终端控制器发起挑战；