[发明专利]存取控制系统及其存取控制方法

权利要求书

1.一种存取控制系统，包含：

一手持装置，具有一身份识别码；

一存取控制服务器，用于储存一身份识别码组，且于一第一时间区间内与该手持装置连线，判断该手持装置的该身份识别码属于该身份识别码组，以及用以产生一动态密码种子集并将该动态密码种子集传送至该手持装置；

一终端记录装置，于一第二时间区间内与该手持装置连线，以及根据该动态密码种子集与该手持装置进行一双向身份认证，以使该手持装置于双向身份认证成功后，对该终端记录装置进行一数据存取。

2.如权利要求1所述的存取控制系统，其特征在于该手持装置更具有一第一公开密钥以及一第一私密密钥，该存取控制服务器更具有一第二公开密钥以及一第二私密密钥，该终端记录装置更具有一终端密钥，以及该动态密码种子集包含一第一动态密码种子集以及一第二动态密码种子集。

3.如权利要求2所述的存取控制系统，其特征在于该存取控制服务器及该终端记录装置通过一有限制的远端连线同步一随机数值及一时间数值。

4.如权利要求3所述的存取控制系统，其特征在于该存取控制服务器更用于储存该终端密钥，并根据该第一公开密钥及该第二私密密钥，判断该手持装置的该身份识别码属于该身份识别码组，以及根据该随机数值及该时间数值产生一环境参数，并将该环境参数与该身份识别码进行一单向演算以产生该第一动态密码种子集，以及将该环境参数与该终端密钥进行该单向演算以产生该第二动态密码种子集，且将该第一动态密码种子集与该第二动态密码种子集传送至该手持装置。

5.如权利要求4所述的存取控制系统，其特征在于该双向身份认证包含一前阶段认证以及一后阶段认证；于该前阶段认证，该手持装置执行下列操作：

随机产生一第一数值；

根据该时间数值，自该第二动态密码种子集选择一前阶段动态密码种子，并将该前阶段动态密码种子进行一动态密码产生器函式运算以产生一前阶段动态密码；

将该第一数值进行该单向演算并与该前阶段动态密码进行一逻辑运算，以产生一第一认证码；以及

传送该身份识别码及该第一认证码至该终端记录装置；该终端记录装置于接收该身份识别码及该第一认证码后，执行下列操作：

根据该随机数值及该时间数值产生该环境参数，并将该环境参数与该终端密钥进行该单向演算以产生该前阶段动态密码种子，以及将该前阶段动态密码种子进行该动态密码产生器函式运算以产生该前阶段动态密码；

将该环境参数与该身份识别码进行该单向演算以产生的一后阶段动态密码种子，并将该后阶段动态密码种子进行该动态密码产生器函式运算以产生该后阶段动态密码；以及

将该第一认证码与该前阶段动态密码进行该逻辑运算及该单向演算，以产生一第二数值；

产生一第一密钥；

随机产生一第三数值，并将该第三数值进行该单向演算并与该后阶段动态密码进行该逻辑运算，以产生一第二认证码；以及

将该第二数值、该第一密钥及该第二认证码传送至该手持装置；该手持装置于接收该第二数值、该第一密钥及该第二认证码后，更执行下列操作：

判断该第二数值等于该第一数值进行两次该单向演算所产生的一第一验证数值，以确认该前阶段认证完成；

于该后阶段认证，该手持装置更执行下列操作：

将该第一密钥及该第一私密密钥进行一双线性映射运算，以产生一第二密钥；

根据该时间数值，自该第一动态密码种子集的选择该后阶段动态密码种子，并将该后阶段动态密码种子进行该动态密码产生器函式运算以产生该后阶段动态密码；

将该第二认证码与该后阶段动态密码进行该逻辑运算及该单向演算，以产生一第四数值；

将该第二密钥及该第四数值传送至该终端记录装置；该终端记录装置接收该第二密钥及该第四数值后，更执行下列操作：

判断该第四数值等于该第三数值进行两次该单向演算所产生的一第二验证数值；

判断该第一公开密钥与该第二公开密钥进行该双线性映射所产生的一第三密钥等于该第二密钥，以确认该后阶段认证完成。

6.如权利要求5所述的存取控制系统，其特征在于该第一公开密钥由该身份识别码输入至一杂凑函式所产生，以及该第一私密密钥根据第一公开密钥及一循环群所产生。

7.如权利要求5所述的存取控制系统，其特征在于该逻辑运算为一互斥或运算。