[发明专利]一种基于商用密码算法的安全门禁系统及其实现方法

权利要求书

1.一种基于商用密码算法的安全门禁系统，所述安全门禁系统包括：门禁应用系统和密钥管理及发卡系统，其特征在于，

所述门禁应用系统包括：商密安全门禁读卡器、商密安全门禁控制器和商密CPU卡；

所述密钥管理及发卡系统包括：商密发卡器；

所述商密安全门禁读卡器包括：第一安全存取模块；所述商密安全门禁控制器包括：第二安全存取模块；所用商密CPU卡包括：第一密码模块；所述商密发卡器包括：第二密码模块；

所述第二密码模块将读卡器密钥注入到所述第一安全存取模块中；所述第二密码模块将控制器密钥注入到所述第二安全存取模块中；所述第二密码模块将卡片密钥注入到所述第一密码模块中；

所述第一密码模块与所述第一安全存取模块完成数据加密通信，所述第一安全存取模块将加密后的数据传输至所述第二安全存取模块，所述第二安全存取模块进行解密，将应答结果传输至所述第一安全存取模块，所述第一安全存取模块解密所述应答结果。

2.根据权利要求1所述的一种基于商用密码算法的安全门禁系统，其特征在于，所述安全门禁系统还包括：商密门禁管理软件，

所述商密门禁管理软件用于存储所述第二安全存取模块解密后的数据信息。

3.根据权利要求1所述的一种基于商用密码算法的安全门禁系统，其特征在于，所述密钥管理及发卡系统还包括：门禁密钥管理系统，

所述门禁密钥管理系统用于控制所述第二密码模块将相应的密钥注入到所述第一密码模块、所述第一安全存取模块和所述第二安全存取模块中。

4.根据权利要求1所述的一种基于商用密码算法的安全门禁系统，其特征在于，所述第一安全存取模块、所述第二安全存取模块、所述第一密码模块和所述第二密码模块采用多种商用密码算法。

5.根据权利要求1-4中任一权利要求所述的基于商用密码算法的安全门禁系统的实现方法，其特征在于，所述实现方法包括以下步骤：

所述商密安全门禁读卡器中的所述第一安全存取模块的发卡过程；所述商密安全门禁控制器中的所述第二安全存取模块的发卡过程；所述商密CPU卡中的所述第一密码模块的发卡过程，以及刷卡认证开门过程。

6.根据权利要求5所述的实现方法，其特征在于，所述商密安全门禁读卡器中的所述第一安全存取模块发卡过程为：

校验所述第二密码模块的PIN码，校验成功后，所述商密发卡器向所述第一安全存取模块获取模块标识和ID信息，并采用系统根密钥对所述模块标识和ID信息进行密钥分散，生成读卡器密钥，通过密码算法将所述读卡器密钥传输至所述第一安全存取模块。

7.根据权利要求5所述的实现方法，其特征在于，所述商密门禁CPU卡的第一密码模块发卡过程为：

校验所述第二密码模块的PIN码，校验成功后，所述商密发卡器向所述第一密码模块获取模块标识和ID信息，并采用系统根密钥对模块标识和ID信息进行密钥分散，生成卡片密钥，通过密码算法将所述卡片密钥安全传输至所述第一密码模块。

8.根据权利要求5所述的实现方法，其特征在于，所述安全门禁系统的刷卡过程为：

(1)所述商密安全门禁读卡器读取所述第一密码模块的模块标识和ID信息，即为UID；

(2)所述商密安全门禁读卡器发送认证命令和随机数Ra至商密门禁CPU卡，所述商密门禁CPU卡验证认证命令成功后通过卡片密钥对随机数Ra进行加密运算，将加密的数据Ra＇传输至商密安全门禁读卡器；

(3)商密安全门禁读卡器通过读卡器密钥分别对数据Ra＇和UID进行加密运算，得到加密数据Rb和UID＇，并将Rb、UID＇和DUID传输至商密安全门禁控制器；其中，DUID为所述第一安全存取模块的模块标识和ID信息；

(4)商密安全门禁控制器通过系统根密钥对DUID进行分散得到读卡器密钥，通过所述读卡器密钥对Rb和UID＇进行解密，获取数据Rb＇和UID，然后通过所述系统根密钥对UID分散得到卡片密钥，通过所述卡片密钥对数据Rb＇进行解密，得到数据Rb″，比较数据Rb″与随机数Ra，如果一致，执行下一步，否则刷卡失败；

(5)商密安全门禁控制器对比UID是否为黑名单，如不是，则卡片合法。