数据的远程鉴权系统和方法
【技术领域】
[0001] 本发明涉及一种远程控制系统和方法,特别是一种请求数据的远程鉴权系统和 方法。
【背景技术】
[0002] 鉴权(authentication)是指验证用户是否拥有访问被访问的系统的权利。鉴权 的应用场景非常广泛,如:电脑账号登陆和门禁访问。比较常见的鉴权方法有密码验证,钥 匙验证、射频识别RFID验证、生物特征验证。其中的生物特征验证是属于专人专用,不在远 程授权的范畴之内。比如:理论上你不能把你的指纹借给他人使用,因此不可能授权别人使 用你的指纹来访问门禁系统。
[0003]现有技术的鉴权方式比较:
[0004]
[0005]其中,
[0006] 1)密码验证,在建立用户时,就需要为此用户分配一个密码,用户的密码可以由管 理员指定,也可以由用户自行申请。密码的发送和使用比较简单方便,但这种方式的弱点也 比较明显:一旦密码被窃取或遗失,情况就会十分麻烦,需要管理员对用户密码进行重新修 改,而修改密码之前还往往需要人工验证用户的合法身份。同理,如果要在密码中加入时效 和次数控制,也需要管理员介入操作。这样的工作方式效率比较低,而且维护成本也比较 尚。
[0007]2)钥匙验证,钥匙验证是目前门禁系统所采用的主要鉴权方法。这种鉴权系统的 授权通常采用原始的钥匙管理方法,通过面对面的形式,授权者将钥匙交给使用者,使用者 在相应鉴权设备如门禁上操作,使用完毕后再将钥匙归还给授权者。这种面对面的授权方 法存在的不足是:有时授权者如钥匙管理人、使用者和被鉴权操作的设备,三者之间相互 远离,面对面的交付钥匙的方式效率低下,还存在钥匙被复制的风险,即使采用现代物流 的快递方法,也无法提高效率。
[0008] 3)集成电路1C卡,作为传统机械钥匙的改进,采用集成电路1C卡来替代传统的 机械钥匙。但这种方式也只是解决了防止钥匙被复制的问题,还是未能解决授权发放的效 率的问题。
[0009] 因此,现有技术没有理想的解决远程鉴权的技术方案。
【发明内容】
[0010] 本发明的目的是提供一种数据的远程鉴权系统和方法,要解决的技术问题是方 便数据的远程鉴权。
[0011] 本发明采用以下技术方案:一种数据的远程鉴权系统,设有发码模块和鉴权模 块;
[0012] 所述发码模块接收操作鉴权设备的访问许可及请求的数据,转换成授权码,再加 密,形成加密授权码,通过电子文本发送给鉴权模块;
[0013]所述鉴权模块接收发码模块发来的加密授权码,鉴别加密授权码有效,向执行模 块或电路发出放行指令。
[0014]本发明的发码模块和鉴权模块之间设有收发模块,用于接收发码模块发来的加密 授权码,向鉴权模块转发加密授权码。
[0015]本发明的收发模块的数量为不超过10000个。
[0016]本发明的发码模块经由任一个收发模块转发加密授权码给鉴权模块,或收发模块 逐一转发加密授权码给鉴权模块。
[0017]本发明的电子文本是短信、移动设备应用的信息推送、即时聊天工具或电子邮件; 所述收发模块向鉴权模块转发加密授权码,按近距离无线通信蓝牙、WiFi、ZigBee协议或光 学方式转发。
[0018]本发明的请求的数据为收发模块ID、请求任务ID、访问时间戳、允许操作的鉴权 设备ID、操作起止时间、有效的操作时段和操作次数中的一种以上。
[0019]本发明的加密的密匙分别预先保存在发码模块与鉴权模块中,为一组16进制的 数字。
[0020] 本发明的发码模块接收操作鉴权设备的访问许可及其它附加信息的请求的数据, 转换成32个字节的十六进制编码的授权码,再按AES-128位加密成32个字节的密文;所述 鉴别加密授权码是否有效,先按AES-128解码,然后鉴权模块判别解码后的数据合法或有 效。
[0021 ] 本发明的鉴权模块判别解码后的数据不合法或无效,作出监控日志。
[0022] 本发明的数据的远程鉴权方法,包括以下步骤:
[0023] -、授权人收到使用者的访问需求或请求后,在发码设备上发送授权使用者操作 鉴权设备的请求数据,发码设备以BCD编码格式转换32个字节的十六进制编码的授权码; 所述请求为:收发模块ID、请求任务ID、访问时间戳、允许操作的鉴权设备ID、操作起止时 间、有效的操作时段和操作次数中的一种以上;
[0024] 二、授权人将授权码用AES-128算法加密,得到加密授权码;所述加密的密匙分别 预先保存在授权人的发码设备与鉴权设备中;
[0025] 三、加密授权码通过公共通信网络,按短信、移动终端应用的信息推送、即时聊天 工具或电子邮件被发给使用者的收发设备;
[0026] 四、使用者收到加密授权码后,通过调用收发设备上的无线通信设备,发给鉴权设 备进行判别,或二维码供鉴权设备扫描;
[0027] 五、鉴权设备的收发设备接收到加密授权码后,采用预存入的AES-128算法密匙 进行解密,鉴权设备校验解密后的请求数据,判断操作起止时间、有效的操作时段、操作次 数合法有效,鉴权设备向执行模块或电路发出放行指令;判别解码后的数据不合法或无效, 作出监控日志。
[0028] 本发明与现有技术相比,授权者将包含多种信息的授权码加密后,利用公共通信 网络传送至使用者的智能手机,再结合无线通信手段,使用者使用收到的加密授权码访问 鉴权设备,如:门禁,解决了远程授权的数据发送、数据保护、远程鉴权、以及授权取消所遇 到一系列问题,从而实现远程授权。
【附图说明】
[0029] 图1是本发明的系统结构示意图。
[0030] 图2是本发明系统的实施例示意图。
【具体实施方式】
[0031] 下面结合附图和实施例对本发明作进一步详细说明。如图1所示,本发明的数据 的远程鉴权系统(系统),设有发码模块、收发模块和鉴权模块。
[0032] 发码模块接收授权者授权使用者操作某个确定的鉴权设备的访问许可及其它附 加信息的请求的数据,按自定义数据结构以BCD编码格式转换成32个字节的十六进制编码 的授权码,再按AES-128位加密成32个字节的密文,形成加密授权码,通过短信SMS、移动设 备应用的信息推送、即时聊天工具頂或电子邮件Email,还可以是任何通用电子文本发送 的通信形式发送给收发模块。请求的数据为收发模块ID、请求任务ID、访问时间戳、允许操 作的鉴权设备ID、操作(访问)起止时间、有效的操作时段和操作次数中的一种以上。加密 的密匙由授权人设定,分别预先保存在发码模块与鉴权模块中,为一组16进制的数字。 [0033]自定义数据结构为:
[0034]
[0035] _收发模块接收发码_模块发来的加密授权码,向鉴权模块按近距离无线通信NFC、蓝 牙、WiFi、ZigBee协议或光学方式转发加密授权码。收发模块为使用者掌握使用,相对比较 容易被攻击或反编译。但收发模块不对加密授权码解密,只负责转发至鉴权模块,收发模块 内部没有保存加密密匙,因此加密授权码的AES-128加密密匙不会在此环节被泄露。
[0036] 鉴权模块接收收发模块发来的加密授权码,鉴别加密授权码是否有效,先按 AES-128解码,然后鉴权模块判别解码后的数据合法或有效,最后向执行模块或电路发出 放行指令,如:当鉴权设备是一个门禁系统时,鉴权模块将向门禁的电磁设备发出开启门 禁的指令,电磁设备收到指令后断电无磁力,门则被开启;若判别解码后的数据不合法或无 效,作出监控日志。
[0037] 发码模块设置在发码设备上,发码设备是智能终端,可以是采用iOS系统或 Android系统的移动终端设备,或其它任何智能终端设备,如:手机操作系统WindowsPhone 设备、黑莓或定制系统的手持设备,采用Windows系统或Linux系统的个人电脑PC,或采用 Windows系统或Linux系统的服务器。
[0038] 收发模块设置在收发设备上,收发设备是蓝牙通信设备、近距离无线通信NFC设 备、WiFi无线通信设备、ZigBee设备、或二维码产生设备,如智能手机、平板电脑或射频收 发设备。
[0039] 鉴权模块设置在鉴权设备上,鉴权设备既可以是固定或移动的电子设备,也可以 是云服务器的终端设备,如:门禁设备、手持P0S机、汽车安防系统、智能手机、个人电脑或 物业公司安防控制中心的服务器。
[0040] 发码设备与收发设备经公共网络连接,公共网络是无线通信网络、互联网。收发设 备与鉴权设备采用蓝牙、NFC、WiFi、ZigBee通信或光学通信。
[0041] 如图2所示,收发模块的数量是0~10000个,收发模块设置在可以收发电子文本 的设备上。发码模块发送加密授权码后,经〇~10000个收发模块传递至鉴权模块。收发 模块的数量可根据系统实际工作场景或需要来具体设置。
[0042] 如果收发模块的数量是0,即不设收发模块,此时发码设备与鉴权设备经公共网络 连接,发码模块直接与鉴权模块通信,进行直接鉴权,在该模式下,发码模块直接将加密授 权码发给鉴权模块。
[0043] 如果收发模块的数量是1个以上,发码模块经由任一个收发模块转发加密授权码 给鉴权模块,当系统允许收