[go: up one dir, main page]

CN106056726B - 一种可双向认证的cpu卡门禁读卡器的安全认证方法 - Google Patents

一种可双向认证的cpu卡门禁读卡器的安全认证方法 Download PDF

Info

Publication number
CN106056726B
CN106056726B CN201610590131.9A CN201610590131A CN106056726B CN 106056726 B CN106056726 B CN 106056726B CN 201610590131 A CN201610590131 A CN 201610590131A CN 106056726 B CN106056726 B CN 106056726B
Authority
CN
China
Prior art keywords
card
card reader
cpu
access
cpu card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610590131.9A
Other languages
English (en)
Other versions
CN106056726A (zh
Inventor
孙景峰
常铖
陈淼
陈江陵
陈伟
吴善峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Dinghe Sirui Software Technology Co Ltd
Original Assignee
Beijing Dinghe Sirui Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Dinghe Sirui Software Technology Co Ltd filed Critical Beijing Dinghe Sirui Software Technology Co Ltd
Priority to CN201610590131.9A priority Critical patent/CN106056726B/zh
Publication of CN106056726A publication Critical patent/CN106056726A/zh
Application granted granted Critical
Publication of CN106056726B publication Critical patent/CN106056726B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/40Indexing scheme relating to groups G07C9/20 - G07C9/29
    • G07C2209/41Indexing scheme relating to groups G07C9/20 - G07C9/29 with means for the generation of identity documents

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种可双向认证的CPU卡门禁读卡器的安全认证方法,此认证方法专门针对门禁系统应用的需求特点设计,简化了读卡器与CPU卡之间的认证步骤,同时实现了CPU卡和读卡器间的双向认证模式,大大提高了安全性,并且把卡复制的技术难度大大提高,使用了多组密钥随机选择加密保护模式,大大降低了密钥暴力破解的风险;同时简化了认证读取卡门禁号的步骤,利用卡复位信息,将认证过程简化为一组交互指令。

Description

一种可双向认证的CPU卡门禁读卡器的安全认证方法
技术领域
本发明涉及门禁读卡器与门禁卡技术领域,具体为一种可双向认证的CPU卡门禁读卡器的安全认证方法。
背景技术
当前门禁领域主流使用低频ID卡读卡器,高频逻辑加密卡读卡器。其中低频ID卡及其读卡器完全没有安全认证过程,仅为读取卡号后进行后端控制器校验,而低频ID卡可以便捷的复制,这对门禁安全产生了极大的威胁。高频逻辑加密卡,虽然具备逻辑加密功能,但是,在行业应用中,大多也使用读取高频逻辑加密卡的卡号后进行后端控制器校验,高频逻辑加密卡卡号存在多卡卡号重复的情况,并且存在被复制的风险,这对当前门禁应用范围的快速扩大及安全都造成了威胁。即便,使用高频逻辑加密卡的逻辑加密功能,其逻辑加密过程现有技术和设备可对其进行低成本破解。所以说,使用非接触CPU卡及CPU卡门禁读卡器作为门禁系统的验证设备是发展的趋势。
当前在门禁应用系统中,也有使用CPU卡及CPU卡门禁读卡器,但是在认证方法上仍存在很多缺陷,通过相应的技术手段,仍然可以进行卡片复制,欺骗等操作。由于,在卡与读卡器的安全认证流程上不完善、效率不高。造成现有的CPU卡门禁系统的安全性和易用性不高。本发明针对门禁应用的特殊性需求设计了一种卡和读卡器之间对的安全验证方法,运用了此安全认证方法的卡和读卡器,基本杜绝了卡片被复制及欺骗读卡器的技术实现。
发明内容
本发明的目的在于提供一种可双向认证的CPU卡门禁读卡器的安全认证方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种可双向认证的CPU卡门禁读卡器的安全认证方法,包括以下步骤:
A、CPU卡门禁读卡器对非接触CPU卡进行上电复位;
B、非接触CPU卡正常上电复位后,通过卡片内部的随机数发生器获取4字节的随机数,并且作为卡片复位信息中的PUPI码,非接触CPU卡复位信息返回给读卡器;
C、CPU卡门禁读卡器从卡复位信息中截取PUPI码,并且使用CPU卡门禁读卡器自身的随机数发生器产生4字节读卡器随机数;然后,随机选择1组读卡器认证密钥对卡随机数与读卡器随机数组合的8字节数据进行加密处理,产生8字节密文,将此8字节密文及读卡器认证密钥的索引一同发给非接触CPU卡;
D、非接触CPU卡收到CPU卡门禁读卡器认证数据,首先通过数据中的读卡器认证密钥索引选择相应密钥,对认证数据进行解密处理,处理还原出明文,然后对明文中的卡随机数进行比对,比对正确后,从卡片的内部文件中读取4字节卡门禁号与读卡器随机数组合,并且根据读卡器认证密钥索引选择1组CPU卡认证密钥对卡门禁号与读卡器随机数组合的8字节数据进行加密处理,产生8字节密文,将此8字节密文返回给CPU卡门禁读卡器;
E、CPU卡门禁读卡器收到CPU卡认证数据,首先使用相应索引的CPU卡认证密钥对CPU卡认证数据进行解密处理,处理还原出明文,然后对明文中的读卡器随机数进行比对,比对正确后,将数据中的卡门禁号通过weigend接口传送给门禁控制器,完成CPU卡门禁读卡器与非接触CPU卡的双向认证。
优选的,所述CPU卡门禁读卡器包括外壳体,所述外壳体上设有显示屏、蜂鸣器、LED灯、读卡区,所述蜂鸣器设置在外壳体外壁,所述LED灯设置在外壳体上端,所述读卡区设置在显示屏下端,所述外壳体内部设有控制电路板,控制电路板上设有智能处理芯片、安全存储模块、13.56MHZ射频模块、SAM安全验证模块以及数据通讯接口模块、数据传输模块,所述智能处理芯片分别连接安全存储模块、13.56MHZ射频模块、SAM安全验证模块、数据通讯接口模块、显示屏、蜂鸣器、LED灯,所述数据通讯接口模块通过数据传输模块连接桌面终端。
优选的,所述数据通讯接口模块包括有线模块和无线模块,所述有线模块包括USB接口、RS232接口、weigend26/34接口;所述无线模块包括4G模块、WiFi模块、蓝牙模块。
优选的,所述安全存储模块包括Flash模块、EPROM模块、NAND Flash模块、HDD模块。
与现有技术相比,本发明的有益效果是:
(1)本发明中,在CPU卡复位信息中直接使用随机数作为PUPI码,增强了CPU卡在门禁系统中卡号复制保护的强度,无法进行复制。节省了交互步骤,直接通过复位信息传送卡片认证随机数。
(2)本发明中,CPU卡与读卡器进行双向认证,CPU卡需要认证读卡器,同时读卡器也需要认证CPU卡,增强了安全性,降低了技术欺骗的风险。
(3)本发明使用多组双向认证密钥随机选择,提高了密钥暴力破解的难度,增强了安全性。
(4)本发明中的认证方法,简化了认证读取卡门禁号的步骤,利用卡复位信息,将认证过程简化为一组交互指令。
附图说明
图1为本发明的流程图;
图2为本发明中的CPU卡门禁读卡器整体结构示意图;
图3为本发明的CPU卡门禁读卡器控制原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:一种可双向认证的CPU卡门禁读卡器的安全认证方法,包括以下步骤:
A、CPU卡门禁读卡器对非接触CPU卡进行上电复位;
B、非接触CPU卡正常上电复位后,通过卡片内部的随机数发生器获取4字节的随机数,并且作为卡片复位信息中的PUPI码,非接触CPU卡复位信息返回给读卡器,其中,PUPI码为卡片的信息识别码;
C、CPU卡门禁读卡器从卡复位信息中截取PUPI码,并且使用CPU卡门禁读卡器自身的随机数发生器产生4字节读卡器随机数;然后,随机选择1组读卡器认证密钥对卡随机数与读卡器随机数组合的8字节数据进行加密处理,产生8字节密文,将此8字节密文及读卡器认证密钥的索引一同发给非接触CPU卡;
D、非接触CPU卡收到CPU卡门禁读卡器认证数据,首先通过数据中的读卡器认证密钥索引选择相应密钥,对认证数据进行解密处理,处理还原出明文,然后对明文中的卡随机数进行比对,比对正确后,从卡片的内部文件中读取4字节卡门禁号与读卡器随机数组合,并且根据读卡器认证密钥索引选择1组CPU卡认证密钥对卡门禁号与读卡器随机数组合的8字节数据进行加密处理,产生8字节密文,将此8字节密文返回给CPU卡门禁读卡器;
E、CPU卡门禁读卡器收到CPU卡认证数据,首先使用相应索引的CPU卡认证密钥对CPU卡认证数据进行解密处理,处理还原出明文,然后对明文中的读卡器随机数进行比对,比对正确后,将数据中的卡门禁号通过weigend接口传送给门禁控制器,完成CPU卡门禁读卡器与非接触CPU卡的双向认证。
如图2-3所示,本发明中,CPU卡门禁读卡器包括外壳体1,所述外壳体1上设有显示屏2、蜂鸣器3、LED灯4、读卡区5,所述蜂鸣器3设置在外壳体1外壁,所述LED灯4设置在外壳体1上端,所述读卡区5设置在显示屏2下端,所述外壳体1内部设有控制电路板6,控制电路板6上设有智能处理芯片7、安全存储模块8、13.56MHZ射频模块9、SAM安全验证模块10以及数据通讯接口模块11、数据传输模块12,所述智能处理芯片7分别连接安全存储模块8、13.56MHZ射频模块9、SAM安全验证模块10、数据通讯接口模块11、显示屏2、蜂鸣器3、LED灯4,所述数据通讯接口模块11通过数据传输模块12连接桌面终端13,数据通讯接口模块11包括有线模块和无线模块,所述有线模块包括USB接口、RS232接口、weigend26/34接口;所述无线模块包括4G模块、WiFi模块、蓝牙模块;安全存储模块8包括Flash模块、EPROM模块、NAND Flash模块、HDD模块。
其中,智能处理芯片7包含CPU、存储器,在智能处理芯片内会运行一套安全验证程序,对智能标识进行验证数据处理,并能够与多个数据通讯接口完成数据通讯;SAM安全验证模块包括对称算法、非对称算法、真随机数生成器;安全存储模块为智能处理芯片外围扩展的存储器,可以为Flash、EPROM、NAND Fl ash、HDD等各种类型非易失性存储设备,用来存储用户配置的安全数据、数字证书、公私钥等数据,该安全存储模块的读取访问权限由智能处理芯片控制,只有获取了相关权限才可以访问该存储器,部分存储空间不允许通过外围接口进行访问,只能在智能处理芯片内存中访问;多个数据通讯接口模块:支持多种通讯协议的数据接口模块,上位机程序可以通过这些接口与智能处理芯片和安全存储模块进行通讯;13.56MHz射频模块:可以识读ISO14443A/B标准的非接触CPU卡。
CPU卡及读卡器在门禁系统应用中,首次使用随机数作为PUPI码,此码通常被门禁系统用作卡门禁号,如果仅使用复位信息中的PUPI码作为卡门禁号,则CPU卡的安全性完全没有发挥,并且非常容易被复制。而在本发明中,当PUP I码为随机数时,每次复位卡片PUPI码都不同,则不可作为唯一标识给门禁系统使用,提高安全性,并且把CPU卡的性能发挥出来;本发明中的认证方法,专门针对门禁系统应用的需求特点设计,简化了读卡器与CPU卡之间的认证步骤,同时实现了CPU卡和读卡器间的双向认证模式,大大提高了安全性,并且把卡复制的技术难度大大提高;大多数原有的CPU卡与读卡器之间的验证,多使用标准化的CPU卡对读卡器的单向认证方法,容易通过技术手段进行认证欺骗;另外发明中的认证方法,使用了多组密钥随机选择加密保护模式,大大降低了密钥暴力破解的风险;同时发明中的认证方法,简化了认证读取卡门禁号的步骤,利用卡复位信息,将认证过程简化为一组交互指令;通常CPU卡与读卡器的交互指令至少为3组交互指令。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (4)

1.一种可双向认证的CPU卡门禁读卡器的安全认证方法,其特征在于:包括以下步骤:
A、CPU卡门禁读卡器对非接触CPU卡进行上电复位;
B、非接触CPU卡正常上电复位后,通过卡片内部的随机数发生器获取4字节的随机数,并且作为卡片复位信息中的PUPI码,非接触CPU卡复位信息返回给读卡器;
C、CPU卡门禁读卡器从卡复位信息中截取PUPI码,并且使用CPU卡门禁读卡器自身的随机数发生器产生4字节读卡器随机数;然后,随机选择1组读卡器认证密钥对卡随机数与读卡器随机数组合的8字节数据进行加密处理,产生8字节密文,将此8字节密文及读卡器认证密钥的索引一同发给非接触CPU卡;
D、非接触CPU卡收到CPU卡门禁读卡器认证数据,首先通过数据中的读卡器认证密钥索引选择相应密钥,对认证数据进行解密处理,处理还原出明文,然后对明文中的卡随机数进行比对,比对正确后,从卡片的内部文件中读取4字节卡门禁号与读卡器随机数组合,并且根据读卡器认证密钥索引选择1组CPU卡认证密钥对卡门禁号与读卡器随机数组合的8字节数据进行加密处理,产生8字节密文,将此8字节密文返回给CPU卡门禁读卡器;
E、CPU卡门禁读卡器收到CPU卡认证数据,首先使用相应索引的CPU卡认证密钥对CPU卡认证数据进行解密处理,处理还原出明文,然后对明文中的读卡器随机数进行比对,比对正确后,将数据中的卡门禁号通过weigend接口传送给门禁控制器,完成CPU卡门禁读卡器与非接触CPU卡的双向认证。
2.根据权利要求1所述的一种可双向认证的CPU卡门禁读卡器的安全认证方法,其特征在于:所述CPU卡门禁读卡器包括外壳体,所述外壳体上设有显示屏、蜂鸣器、LED灯、读卡区,所述蜂鸣器设置在外壳体外壁,所述LED灯设置在外壳体上端,所述读卡区设置在显示屏下端,所述外壳体内部设有控制电路板,控制电路板上设有智能处理芯片、安全存储模块、13.56MHZ射频模块、SAM安全验证模块以及数据通讯接口模块、数据传输模块,所述智能处理芯片分别连接安全存储模块、13.56MHZ射频模块、SAM安全验证模块、数据通讯接口模块、显示屏、蜂鸣器、LED灯,所述数据通讯接口模块通过数据传输模块连接桌面终端。
3.根据权利要求2所述的一种可双向认证的CPU卡门禁读卡器的安全认证方法,其特征在于:所述数据通讯接口模块包括有线模块和无线模块,所述有线模块包括USB接口、RS232接口、weigend26/34接口;所述无线模块包括4G模块、WiFi模块、蓝牙模块。
4.根据权利要求2所述的一种可双向认证的CPU卡门禁读卡器的安全认证方法,其特征在于:所述安全存储模块包括Flash模块、EPROM模块、NAND Flash模块、HDD模块。
CN201610590131.9A 2016-07-25 2016-07-25 一种可双向认证的cpu卡门禁读卡器的安全认证方法 Active CN106056726B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610590131.9A CN106056726B (zh) 2016-07-25 2016-07-25 一种可双向认证的cpu卡门禁读卡器的安全认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610590131.9A CN106056726B (zh) 2016-07-25 2016-07-25 一种可双向认证的cpu卡门禁读卡器的安全认证方法

Publications (2)

Publication Number Publication Date
CN106056726A CN106056726A (zh) 2016-10-26
CN106056726B true CN106056726B (zh) 2018-10-23

Family

ID=57418262

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610590131.9A Active CN106056726B (zh) 2016-07-25 2016-07-25 一种可双向认证的cpu卡门禁读卡器的安全认证方法

Country Status (1)

Country Link
CN (1) CN106056726B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11394721B2 (en) * 2017-01-17 2022-07-19 Visa International Service Association Binding cryptogram with protocol characteristics
CN109448164A (zh) * 2018-09-07 2019-03-08 甘肃农业大学 一种终端、锁体、门锁系统及管理方法
CN114980096B (zh) * 2022-03-18 2023-05-30 国网智能电网研究院有限公司 基于设备指纹的传感终端安全保障方法、装置、设备及介质

Also Published As

Publication number Publication date
CN106056726A (zh) 2016-10-26

Similar Documents

Publication Publication Date Title
CA2838763C (en) Credential authentication methods and systems
CN103778374B (zh) 可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法
CN107508679B (zh) 一种智能终端主控芯片与加密芯片的绑定及认证方法
CN103473592B (zh) 一种基于cpk体制的标签离线鉴真方法及装置
KR101019354B1 (ko) 반도체 메모리 장치를 통해 데이터 보안 기억 및 알고리즘기억을 실현하기 위한 방법
CN104463016B (zh) 一种适用于ic卡及二维码的数据安全存储方法
MX2007014237A (es) Implementacion de almacenamiento seguro con integridad protegida.
CN104219044B (zh) 一种用于加密存储装置的密钥保密方法
CN108681909A (zh) 基于区块链智能合约实现的智能防伪装置及溯源防伪方法
CN112150682A (zh) 一种智能门禁卡、智能门锁终端及智能门禁卡识别方法
CN101562040A (zh) 高安全性移动存储器及其数据处理方法
CN103326864A (zh) 一种电子标签防伪认证方法
CN103971426A (zh) 一种基于psam安全控制的门禁系统及其安全门禁方法
CN103914662A (zh) 一种基于分区的文件加密系统的访问控制方法和装置
US20190005495A1 (en) Method for verifying transactions in chip cards
CN102651686A (zh) 单片机在线可编程的身份认证方法
CN106056726B (zh) 一种可双向认证的cpu卡门禁读卡器的安全认证方法
CN104022886A (zh) 应用于停车场的安全认证方法、相关装置和系统
CN102255727B (zh) 改进的基于用户自定义算法环境的防攻击智能卡认证方法
CN103218633A (zh) 一种rfid安全认证方法
CN103955664B (zh) 一种车辆合格证二维码安全解码高拍仪及解码方法
CN101494542A (zh) 在多媒体装置和智能卡之间进行认证的方法
CN105608775B (zh) 一种鉴权的方法、终端、门禁卡及sam卡
CN101739593B (zh) 集成电路卡介质访问控制码安全认证方法
CN205015906U (zh) 电子证件防伪验证系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant