基于PKI安全鉴权的门禁管理方法、系统、装置及介质制造方法及图纸

本发明专利技术公开了基于PKI安全鉴权的门禁管理方法、系统、装置及介质，包括：用户终端发送第一随机数至门禁设备；门禁设备对第一随机数进行签名得到第一签名结果，并将第一签名结果、第二随机数以及第一时间戳返回至用户终端；用户终端对第一签名结果和第一时间戳进行校验，当校验成功，根据第一签名结果解析得到第一设备证书，并根据第一设备证书确定对应的第一用户证书；用户终端对第二随机数和第一时间戳进行签名得到第二签名结果，并将第二签名结果和第二设备证书发送至门禁设备；门禁设备对第二签名结果和第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。本发明专利技术提高了门禁的安全性，可广泛应用于门禁管理技术领域。可广泛应用于门禁管理技术领域。可广泛应用于门禁管理技术领域。

【技术实现步骤摘要】
基于PKI安全鉴权的门禁管理方法、系统、装置及介质


[0001]本专利技术涉及门禁管理
，尤其是一种基于PKI安全鉴权的门禁管理方法、系统、装置及介质。

技术介绍

[0002]与传统门禁系统的粗放式管理不同，目前智慧社区、智慧园区、智慧工地等的建设，需要更精准的门禁鉴权，即需要知道开门的人是谁、有没有权限。目前常用的两种做法，一种是门禁联网鉴权，优点是门禁无需下发和存放大量用户权限，每次用户要开门的时候，门禁都向平台请求鉴权，缺点是一旦断网，门禁系统直接瘫痪；另一种是平台预先下发用户权限到门禁设备，这种做法优点是门禁离线依然可用，但是缺点是需要下发和管理大量用户权限。此外，目前鉴权方式一般都是采用直接对比用户权限标识的做法，但用户权限标识可以泄漏，也可以伪造，窃取、伪造的技术门槛与成本非常低，存在较大的安全隐患。

技术实现思路

[0003]本专利技术的目的在于至少一定程度上解决现有技术中存在的技术问题之一。
[0004]为此，本专利技术实施例的一个目的在于提供一种基于PKI安全鉴权的门禁管理方法，该方法在实现门禁离线鉴权的同时，降低了设备管理成本，提高了门禁的安全性。
[0005]本专利技术实施例的另一个目的在于提供一种基于PKI安全鉴权的门禁管理系统。
[0006]为了达到上述技术目的，本专利技术实施例所采取的技术方案包括：
[0007]第一方面，本专利技术实施例提供了一种基于PKI安全鉴权的门禁管理方法，包括以下步骤：
[0008]通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；
[0009]通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户终端；
[0010]通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验，当校验成功，根据所述第一签名结果解析得到所述第一设备证书，并根据所述第一设备证书确定所述门禁设备的设备标识，进而根据所述设备标识确定对应的第一用户证书；
[0011]通过所述用户终端利用所述第一用户证书和第一用户私钥对所述第二随机数和所述第一时间戳进行签名得到第二签名结果，并将所述第二签名结果和第二设备证书发送至所述门禁设备；
[0012]通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。
[0013]进一步地，在本专利技术的一个实施例中，所述门禁管理方法还包括以下步骤：
[0014]通过所述门禁设备生成第一PKI公私钥对，所述第一PKI公私钥对包括第一设备公
钥和第一设备私钥，根据所述第一设备公钥生成第一证书请求并发送至系统平台，使得所述系统平台使用第一平台证书和第一平台私钥签发所述第一设备证书、所述第二设备证书、第二设备私钥以及用户证书吊销列表，并将所述第一设备证书、所述第二设备证书以及所述用户证书吊销列表返回至所述门禁设备；
[0015]通过所述用户终端生成第二PKI公私钥对，所述第二PKI公私钥对包括第一用户公钥和第一用户私钥，根据所述第一用户公钥生成第二证书请求并发送至所述系统平台，使得所述系统平台使用所述第二设备证书和所述第二设备私钥签发所述第一用户证书，并将所述第一平台证书、所述第一用户证书以及所述第二设备证书返回至所述用户终端。
[0016]进一步地，在本专利技术的一个实施例中，所述门禁管理方法还包括以下步骤：
[0017]通过所述门禁设备利用所述第一设备证书和所述第一设备私钥对所述第二随机数和所述第一时间戳进行签名得到第三签名结果，并根据所述第二签名结果和所述第三签名结果生成第四签名结果，进而将所述第四签名结果发送至所述系统平台；
[0018]通过所述系统平台对所述第四签名结果进行校验，当校验通过，根据所述第四签名结果解析得到所述第一设备证书、所述第一用户证书以及所述第一时间戳，进而根据所述第一设备证书、所述第一用户证书以及所述第一时间戳生成门禁事件记录。
[0019]进一步地，在本专利技术的一个实施例中，所述通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备这一步骤，其具体包括：
[0020]通过所述门禁设备使用近场通讯发送第一广播数据，所述第一广播数据包括所述第一平台证书的摘要；
[0021]通过所述用户终端使用近场通讯扫描所述第一广播数据，并根据所述第一平台证书的摘要建立与所述门禁设备的近场通讯连接；
[0022]通过所述用户终端将所述第一随机数发送至所述门禁设备。
[0023]进一步地，在本专利技术的一个实施例中，所述通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验这一步骤，其具体包括：
[0024]通过所述用户终端验证所述第一签名结果是否为所述第一设备证书签署；
[0025]通过所述用户终端验证所述第一设备证书是否为所述第一平台证书签发；
[0026]通过所述用户终端验证所述第一时间戳与当前时间的时间差是否小于等于预设的第一阈值；
[0027]当所述第一签名结果为所述第一设备证书签署，所述第一设备证书为所述第一平台证书签发，所述第一时间戳与当前时间的时间差小于等于所述第一阈值，确定校验成功。
[0028]进一步地，在本专利技术的一个实施例中，所述通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验这一步骤，其具体包括：
[0029]通过所述门禁设备验证所述第二签名结果是否为所述第一用户证书签署；
[0030]通过所述门禁设备验证所述第一用户证书是否在所述用户证书吊销列表内；
[0031]通过所述门禁设备验证所述第一用户证书是否为所述第二设备证书签发；
[0032]通过所述门禁设备验证所述第二设备证书是否为所述第一平台证书签发；
[0033]当所述第二签名结果为所述第一用户证书签署，所述第一用户证书不在所述用户证书吊销列表内，所述第一用户证书为所述第二设备证书签发，所述第二设备证书为所述第一平台证书签发，确定校验成功。
[0034]进一步地，在本专利技术的一个实施例中，所述门禁管理方法还包括以下步骤：
[0035]当所述用户证书吊销列表中的证书数量超过预设的第二阈值，或当次操作中需要吊销门禁权限的用户数量超过预设的第三阈值，通过所述系统平台使用第一平台证书和第一平台私钥更新所述第二设备证书和所述第二设备私钥，并将更新后的所述第二设备证书发送至所述门禁设备和所述用户终端。
[0036]第二方面，本专利技术实施例提供了一种基于PKI安全鉴权的门禁管理系统，包括：
[0037]通讯连接建立模块，用于通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；
[0038]第一签名模块，用于通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于PKI安全鉴权的门禁管理方法，其特征在于，包括以下步骤：通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备；通过所述门禁设备利用第一设备证书和第一设备私钥对所述第一随机数进行签名得到第一签名结果，并将所述第一签名结果、第二随机数以及第一时间戳返回至所述用户终端；通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验，当校验成功，根据所述第一签名结果解析得到所述第一设备证书，并根据所述第一设备证书确定所述门禁设备的设备标识，进而根据所述设备标识确定对应的第一用户证书；通过所述用户终端利用所述第一用户证书和第一用户私钥对所述第二随机数和所述第一时间戳进行签名得到第二签名结果，并将所述第二签名结果和第二设备证书发送至所述门禁设备；通过所述门禁设备对所述第二签名结果和所述第二设备证书进行校验，当校验成功，调用门禁控制器开启门禁。2.根据权利要求1所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述门禁管理方法还包括以下步骤：通过所述门禁设备生成第一PKI公私钥对，所述第一PKI公私钥对包括第一设备公钥和第一设备私钥，根据所述第一设备公钥生成第一证书请求并发送至系统平台，使得所述系统平台使用第一平台证书和第一平台私钥签发所述第一设备证书、所述第二设备证书、第二设备私钥以及用户证书吊销列表，并将所述第一设备证书、所述第二设备证书以及所述用户证书吊销列表返回至所述门禁设备；通过所述用户终端生成第二PKI公私钥对，所述第二PKI公私钥对包括第一用户公钥和第一用户私钥，根据所述第一用户公钥生成第二证书请求并发送至所述系统平台，使得所述系统平台使用所述第二设备证书和所述第二设备私钥签发所述第一用户证书，并将所述第一平台证书、所述第一用户证书以及所述第二设备证书返回至所述用户终端。3.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述门禁管理方法还包括以下步骤：通过所述门禁设备利用所述第一设备证书和所述第一设备私钥对所述第二随机数和所述第一时间戳进行签名得到第三签名结果，并根据所述第二签名结果和所述第三签名结果生成第四签名结果，进而将所述第四签名结果发送至所述系统平台；通过所述系统平台对所述第四签名结果进行校验，当校验通过，根据所述第四签名结果解析得到所述第一设备证书、所述第一用户证书以及所述第一时间戳，进而根据所述第一设备证书、所述第一用户证书以及所述第一时间戳生成门禁事件记录。4.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述通过用户终端建立与门禁设备的近场通讯连接，并发送第一随机数至所述门禁设备这一步骤，其具体包括：通过所述门禁设备使用近场通讯发送第一广播数据，所述第一广播数据包括所述第一平台证书的摘要；通过所述用户终端使用近场通讯扫描所述第一广播数据，并根据所述第一平台证书的摘要建立与所述门禁设备的近场通讯连接；
通过所述用户终端将所述第一随机数发送至所述门禁设备。5.根据权利要求2所述的一种基于PKI安全鉴权的门禁管理方法，其特征在于，所述通过所述用户终端对所述第一签名结果和所述第一时间戳进行校验这一步骤，其...

【专利技术属性】
技术研发人员：林载辉，龙裕朝，林明煜，林瑞杰，朱承兴，石雄飞，张英全，黄勇军，
申请(专利权)人：天翼物联科技有限公司，
类型：发明
国别省市：