[发明专利]一种基于IPA安全认证的门禁系统

说明书

技术领域

本发明涉及一种门禁系统，尤其涉及一种基于IPA(Identity-based Public-key Authentication基于标识的组合认证公钥体系)安全认证的门禁系统。

背景技术

门禁管理系统的应用已十分广泛，其安全隐患，现已日益引起关注。对于安 全性要求较高的部门，问题一旦出现后果将十分严重。

现有的门禁系统主要存在如下问题：

(1)门禁卡被复制(即克隆)：现有的门禁机大多采用如MF1、T5557和HITAG-2 等。Karsten Nohl等人于2007年已给出了MF1卡的破解方法，使得MF1卡的克 隆成为可能。而T5557和HITAG-2是采用明文直接传送，安全性更低。

(2)读卡器被盗后数据被窃：读卡器中的单片机及存储器中通常包含有IC卡的 信息和门禁信息，若被盗窃极易从中盗取信息并克隆门禁卡。

(3)通信线路的数据被窃听：通常的门禁系统未引入数据加密措施，如不法分 子对通信线进行监听，也易于得到保密信息。

综上所述，现有的门禁系统无法满足高安全的性能要求。对于一些较为敏感 的部门，如银行、公检法、政府部门等，迫切需要一种具有高安全性的门禁管理 系统。

在已提出的解决方案中，如发明200820052105.1“一种联网安全门禁装置” 和200710306143.5“门禁管理系统”，仅仅验证卡内数据和开门密码，未采取其 他安全保障措施。又如发明“一种联网安全门禁装置”，仅仅验证“合法卡和正 确的开门密码”，未采取其他安全保障措施。

另一种解决方案，如发明200710037493.6“门禁系统的数字认证控制方法以 及应用该方法的门禁系统”是采用USB Key作为识别标志，数据通信安全性得 以提高。但由于USB Key必须电气接触，实际使用并不方便。发明200610098625.1 “基于金融规范的IC卡在门禁系统中的应用方法”采用接触式IC卡，其规范为 银行系统所专有，数据格式保密，不仅使用不便且难以在银行以外系统中应用。

发明内容

本发明目的在于提供一种基于IPA安全认证的门禁系统，实现从射频卡、门 禁读写器和数据传输网络三方面消除当前门禁系统中存在的安全隐患，提高门禁 的安全系数。

本发明的目的可以通过以下方案实现：一种基于IPA安全认证的门禁系统， 包括：射频卡、读卡器和管理计算机；其特征在于，所述的读卡器包括：射频接 口模块，用于读卡器与射频卡的通信连接；单片机模块，用于根据公钥对门禁信 息加密成密文；通信模块，用于读卡器与管理计算机的通信连接；所述的单片机 模块通过接口模块对射频卡进行读取和写入信息，通过通信模块接入通信网络对 管理计算机请求公钥和发出密文信息。

当射频卡靠近读卡器时，单片机通过射频接口模块以随机密文方式访问卡内 数据，按照管理计算机发来的基于IPA的组合公钥对数据进行加密并发送，管理 计算机对接收的数据采用对应的组合私钥进行解密并存储。

所述的读卡器还包括键盘显示模块，用于对读卡器进行调试设定或手动输入 门禁密码；所述的键盘显示模块的键盘信号端连接单片机模块的键盘信号端。

所述的读卡器还包括存储模块，用于缓存加密计算和存储门禁数据；所述的 存储模块的数据信号端连接单片机模块的数据信号端。

所述的单片机通过射频接口模块访问射频卡数据的过程采用随机密文方式。

所述的管理计算机根据IPA产生组合公钥、私钥对；所述的公钥用于发送到 相应请求的读卡器，读卡器根据所述公钥对门禁信息加密成密文发送到管理计算 机；所述的私钥用于对所述密文进行解密得到相应的门禁信息明文。

所述的加密过程和解密过程都采用了椭圆函数加密算法。

所述的门禁系统包括一个以上的读卡器，所述的每个读卡器通过发送独立的 公钥请求到管理计算机，得到对应并唯一的公钥对门禁信息进行加密；管理计算 机采用对应并唯一的私钥对相应读卡器密文进行解密。

所述的射频卡采用AT88SC6416CRF协议认证卡或射频CPU卡。

所述的通信网络是RS-485或ICP/IP网络。