Virtual key method and corresponding device, background system and user terminal. The technical proposal of the invention solves the defects of the prior art in the aspects of safety, reliability, expansibility, scale, versatility and flexibility. The main idea of design is a virtual lock core by the background system for each access control device generates the virtual keys corresponding to each, and stored in the access control device, the virtual lock core only by the virtual keys corresponding to the virtual keys with the combination with open reading, and virtual keys and virtual key with user terminal is kept by the background the system generated and sent to licensed users; the user terminal through specially designed the virtual keys and virtual keys with transfer to the access control device and virtual lock core pairing, unlock, detailed information on the specific operation. The whole process has the ability of anti tamper, anti violence, anti information leakage, anti-counterfeiting, and to maintain the lock control flexibility and scalability.
【技术实现步骤摘要】
本专利技术涉及一种操作访问控制装置的技术,特别是涉及安全地操作具有联网功能的智能访问控制装置的技术及后台系统和终端。
技术介绍
目前现有的访问控制装置使用的技术包括:实体钥匙、密码输入、ID/IC卡识别、RFID卡识别、磁卡识别、二维码识别、蓝牙识别、NFC识别、生物特征识别(如人脸、指纹、虹膜、掌纹等)等。除生物特征识别外,实体钥匙、密码输入、ID/IC卡识别、RFID卡识别、磁卡识别几种技术已经应用多年,但存在管理麻烦(特别是人员流动性较高时),保密性不强,容易被破解或复制,丢失后不好作废等缺点;二维码、蓝牙和NFC随着近几年智能手机的普及而用的得到推广,但现有用智能手机使用这几种技术实现操作访问控制装置的产品或技术都在安全性、可靠性、灵活性、可扩展性、可规模化、通用性方面存在不足。在先前的专利申请201610914471.2中,公开了基于虚拟钥匙和虚拟钥匙包技术的物体访问权限管理方法及相应的后台系统、访问控制装置和用户终端。但是已公开的技术方案只是一个通用虚拟钥匙技术基础框架,并未涉及虚拟钥匙的安全性方案。
技术实现思路
本专利技术的第一个目的是提供一种安全可靠而且灵活的虚拟钥匙操作访问控制装置进行锁命令操作的方法及应用该方法的装置、后台系统和用户终端。该方法具体包括:由后台系统为访问控制装置生成和保存访问控制装置的装置公钥和装置私钥,并将装置公钥交给访问控制装置保存,同时返回和保存的还包括项目域密钥;由后台系统在用户终端注册新用户时生成和保存用户的公钥和私钥,并将用户公钥交给用户终端保存;后台系统在用户的虚拟钥匙包中为需要生成虚拟钥匙的访问控制装置生 ...
【技术保护点】
一种虚拟钥匙的管理方法,使虚拟钥匙用于访问控制装置的锁命令操作,其特征是,由后台系统为访问控制装置生成和保存访问控制装置的装置公钥和装置私钥,并将装置公钥交给访问控制装置保存,同时返回和保存的还包括项目域描述,项目域描述中包括项目域密钥;由后台系统在用户终端注册新用户时生成和保存用户的公钥和私钥,并将用户公钥交给用户终端保存;后台系统在用户的虚拟钥匙包中为需要生成虚拟钥匙的访问控制装置生成虚拟钥匙缀,虚拟钥匙缀由使用对应访问控制装置的装置公钥对用户私钥加密而成;后台系统传给用户终端的虚拟钥匙包数据中包括一个或多个(装置标识、虚拟钥匙缀)元素组;访问控制装置从短距离输入模块识别到用户终端靠近并接收来自用户终端的虚拟钥匙相关数据进行虚拟钥匙的锁命令操作。
【技术特征摘要】
1.一种虚拟钥匙的管理方法,使虚拟钥匙用于访问控制装置的锁命令操作,其特征是,由后台系统为访问控制装置生成和保存访问控制装置的装置公钥和装置私钥,并将装置公钥交给访问控制装置保存,同时返回和保存的还包括项目域描述,项目域描述中包括项目域密钥;由后台系统在用户终端注册新用户时生成和保存用户的公钥和私钥,并将用户公钥交给用户终端保存;后台系统在用户的虚拟钥匙包中为需要生成虚拟钥匙的访问控制装置生成虚拟钥匙缀,虚拟钥匙缀由使用对应访问控制装置的装置公钥对用户私钥加密而成;后台系统传给用户终端的虚拟钥匙包数据中包括一个或多个(装置标识、虚拟钥匙缀)元素组;访问控制装置从短距离输入模块识别到用户终端靠近并接收来自用户终端的虚拟钥匙相关数据进行虚拟钥匙的锁命令操作。2.根据权利要求1所述方法,其中,用户终端靠近访问控制装置进行虚拟钥匙的锁命令操作的步骤包括:S1、用户终端靠近访问控制装置的短距离输入模块,访问控制装置确认并开始接收输入;S2、用户终端向访问控制装置发送用户标识;S3、访问控制装置收到用户标识后在本地检索是否有该用户标识的钥匙权限记录,如果没有则操作终止;S4、访问控制装置向用户终端发送包括装置标识、项目域密钥、第一时间戳数据,以进行认证;S5、用户终端收到认证所需的包括装置标识、项目域密钥、第一时间戳数据,在用户的虚拟钥匙包中找到对应的虚拟钥匙缀和虚拟钥匙记录,所述虚拟钥匙记录加上命令类型形成第一钥匙,其中命令类型包括:开锁、上锁、反锁;S6、向访问控制装置返回认证响应,响应参数中包括:虚拟钥匙缀、第一加密虚拟钥匙数据、第一签名数据,其中返回响应前的步骤包括:步骤S6-1通过散列算法对(第一时间戳、装置标识、项目域密钥、用户标识)计算得出第一对称密钥,步骤S6-2用第一对称密钥对第一钥匙使用对称加密算法加密出第一加密虚拟钥匙数据,步骤S6-3计算第一签名;S7访问控制装置收到认证响应后,执行以下步骤:S7-1校验第一签名数据,如果签名数据不符,则操作终止;S7-2使用装置私钥解密出虚拟钥匙缀中的用户私钥,如果解密失败则操作终止;S7-3使用解密出的用户私钥解密钥匙权限记录中的虚拟锁芯数据,得到第一锁芯数据,如果解密失败则操作终止;S7-4根据包括虚拟钥匙相关数据在内的数据计算出第一对称密钥;S7-5使用第一对称密钥解密第一加密虚拟钥匙数据,得到第一钥匙数据,如果解密失败则操作终止;S7-6对第一锁芯数据和第一钥匙数据中的具体参数进行核对,如果核对不正确则操作终止;S7-7核对全部正确后,根据第一钥匙数据中的命令类型参数向电锁控制接口发送相应的锁命令,如果没有命令类型参数默认发送开锁命令。3.根据权利要求2所述方法,其中,在步骤S7-6中的校验方法为:对所述对第一锁芯数据和所述第一钥匙数据中有效期和类型进行比较和校验;第一锁芯数据和第一钥匙数据中都包括:有效期、类型,类型包括:不限次数、仅限一次、有效期内每天一次。4.根据权利要求3所述方法,其中,在步骤S7-7中如果第一锁芯数据中的类型为仅限一次类型则开锁完成后,所述装置将此条记录从钥匙权限表中去除并发送第一通知消息给后台系统,消息参数中包括装置标识、用户标识、时间。5.根据权利要求1所述方法,其中,短距离无线通讯方式包括低功耗蓝牙通讯、NFC近场通讯。6.根据权利要求1或2或3或4或5所述方法,其中,后台系统在用户的虚拟钥匙包中的虚拟钥匙有变化时,会向对应访问控制装置发送虚拟钥匙更新消息,消息参数中包括虚拟钥匙的授权者、被授权者、虚拟锁芯数据;访问控制装置收到虚拟钥匙更新消息后对保存在装置中的虚拟钥匙数据进行更新。7.根据权利要求6所述方法,其中,当授权者是虚拟钥匙使用者本人时,虚拟钥匙记录中的被授权者信息包括用户在用户终端绑定的短距离无线附件装置的标识信息,即附件标识,同时虚拟钥匙更新消息中还包括第二时间戳、使用对称加密算法加密的虚拟附件锁芯数据、第二签名数据;访问控制装置收到上述类型的虚拟钥匙更新消息时,将相关数据更新至附件权限表。8.根据权利要求1所述方法,其中,带有低功耗蓝牙模块的访问控制装置还包括附件权限表,记载可用于访问控制装置开锁的附件列表,每条记录内容包括:附件标识、第二时间戳、使用对称加密算法加密的虚拟附件锁芯数据、第二签名数据,接收到后台系统发来的虚拟钥匙更新消息方式发送给访问控制装置并保存;访问控制装置通过蓝牙无线连接与接近所述访问控制装置的蓝牙附件装置通讯后得到蓝牙附件装置的蓝牙地址标识;对于收到的所述蓝牙地址标识,在附件权限表中进行核对,步骤包括:B1、把蓝牙地址标识转换为附件标识;B2、用附件标识在附件权限表中检索是否有对应附件权限记录,如果没有则核对终止;B3、取出附件权限记录中的第二时间戳;B4、用数据指纹算法计算出装置私钥指纹;B5、使用散列算法对(第二时间戳、所述装置标识、所述附件标识、项目域密钥、装置私钥指纹)计算出第二对称密钥;B6、使用第二对称密钥对附件权限记录中的虚拟附件锁芯数据进行解密,得到附件锁芯数据;B7、根据(第二时间戳、装置标识、附件标识、附件锁芯数据、项目域密钥、装置私钥指纹)数据进行签名计算,得到的第二校验签名;B8、第二校验签名与附件权限记录中的第二签名数据进行核对,如果核对不符则终止;B9、核对附件锁芯数据中的有效期时间和状态,状态包括:有效、失效;B10、如果在有效期内且状态为有效,则核对成功,向电锁控制接口发送开锁命令;如果附件锁芯数据中的类型为仅限一次类型则开锁完成后,所述装置将此条记录从附件权限表中去除并发送第一通知消息给后台系统,消息参数中包括装置标识、用户标识、时间。9.根据权利要求2或8所述方法,其中,所述第一时间戳和第二时间戳可以用动态生成的伪随机数代替,效果等同。10.一种具有访问控制功能的装置,其特征是,包括:所述装置通过网络在后台系统注册后由后台系统生成并返回所述装置的装置私钥;钥匙权限表,记载所述装置可以用于开锁的虚拟钥匙对应的虚拟锁芯,每条记录内容包括:用户标识、使用用户公钥加密的虚拟锁芯数据;输入模块,用于接收来自用户终端的虚拟钥匙相关数据,所述虚拟钥匙相关数据包括:用户标识、虚拟钥匙缀(由后台系统使用所述装置公钥加密的用户私钥)、第一加密虚拟钥匙数据(由用户终端使用对称加密算法加密的虚拟钥匙数据)、第一签名数据;处理器,被配置为接收到虚拟钥匙相关数据后进行虚拟钥匙和虚拟锁芯的核对;电锁控制接口,虚拟钥匙和虚拟锁芯核对过程成功后,如果收到开锁命令就控制电锁开锁,如果收到上锁命令就控制电锁上锁,如果收到反锁命令就控制电锁反锁;处理器还被配置为处理来自后台系统的虚拟钥匙更新消息,根据消息参数更新钥匙权限表。11.根据权利要求10所述装置,其中,虚拟钥匙和虚拟锁芯的核对步骤包括:①是否在钥匙权限表有对应用户标识的钥匙权限记录,如果没有就终止核对;②校验第一签名数据,如果校验失败就终止核对;③使用所述装置私钥对虚拟钥匙缀进行解密得出用户私钥,如果解密失败就终止核对;④使用解密出的用户私钥解密由钥匙权限记录中的虚拟锁芯数据,得到第一锁芯数据,如果解密失败就终止核对;⑤根据包括虚拟钥匙相关数据在内的数据计算出第一对称密钥,并用来解密第一加密虚拟钥匙数据,得到第一钥匙数据,如果解密失败就终止核对;⑥对第一锁芯数据和第一钥匙数据中的具体参数进行核对,如果核对不正确就终止核对,核对成功后根据第一钥匙数据中的命令类型参数向电锁控制接口发送相应的锁命令,如果没有命令类型参数则默认发送开锁命令。12.根据权利要求11所述装置,其中,输入模块包括短距离无线通讯单元,所述短距离无线通讯包括低功耗蓝牙通讯、NFC近场通讯。13.根据权利要求11所述装置,其中,在后台系统注册成功后,还从后...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。