摘要

• 这个想法是使用数字签名非接触式卡或具有安全元件和分配分类账系统的下一代NFC手机为门禁系统构建新一代硬件。 此系统不需要中央服务器、备份系统和 IT 人员。 用户将使用非接触式卡或手机进入安全场所，打开门。
• 这种系统可以与现有的标准PKI基础设施一起使用，这将允许用户使用其政府或证书颁发机构提供的相同卡。

技术要求
用户将使用NFC卡或具有安全元素的NFC手机，在以下文本NFC客户端中与 NFC阅读器进行交互，进行安全身份验证，并以以下文本 DLS将数据存储到分布式账本系统：

• NFC 客户端需要具有 PKI 基础设施和安全元素。 安全元素将生成、不可读的私钥和具有相应证书的公钥。
• NFC 访问控制读取器还需要具有 PKI 基础设施。 读取器设备将存储证书，以测试正在使用的卡的信任链。 读取器将是 DLS 中的节点，作为分布式数据库的一部分。
• SAM 模块是安全元件，也是读卡器设备的一部分。 它用于检查NFC客户端签名，最重要的是对发生的事件进行数字签名并防止将来更改该数据块。
• 分布式账本系统。 我们所有的读者都有机会相互交流。 每个读取器都存储数字签名的块（RaderID，NFC客户端ID和实际时间），将其与前一个块链接在一起，并使用50%+1读取器的共识对此更改进行数字签名。

系统如何运作

• 当您将NFC客户端放在读卡器旁边时，它会从中读取证书。 证书将进一步脱机检查。 收到证书后，访问控制开始测试存储在 SAM 模块中的 CA 证书和根证书的信任链。 如果证书测试通过，SAM 模块将生成真正的随机数据质询，并将其发送回 NFC 客户端。 NFC 客户端对此随机数据进行数字签名，并将其返回到访问控制。 SAM 模块使用卡证书中提供的公钥检查接收数据的数字签名。 如果此测试通过，访问控制设备将批准对 NFC 客户端的访问。
  SAM 模块现在对此事件（包括时间信息）进行数字签名，并将此信息存储在设备内存中。 这就是我们形成事件块的方式。
• 根据特定时间后的设置，所有新块将作为更新的建议广播到其他设备，包括当前设备数字证书。 其他设备接收此信息，检查证书的有效性，然后检查块的数字签名，如果有效，则开始广播结果。 如果超过 50% 的结果是正确的，则所有设备节点都接受此更改。
• 提供设置事务的目的是为每个单独的读取器（接入点）或任何一组读取器设置访问策略。 可以使用 设置事务创建器工具创建设置事务， 该工具可以是桌面或移动应用程序以及专用设备。 设置交易必须由驻留在NFC标签中的私钥签名，并且其公钥对包含在由区块链访问控制系统的PKI（公钥基础设施）维护的信任链中。

数字逻辑目前拥有的技术：

DL 签名卡：

/DL-签名卡-30M48CR/

数字签名算法：

RSA， ECDSA
μFR Classic CS – 带SAM模块
的NFC读卡器/nfc-rfid-reader-sdk/products/ufr-classic-cs/

丰富的数字签名 API：

/代码/digital_signature_sdk

CA 证书存储：

http://ca.d-logic.com/
我们需要在产品时间表中开发的设备：

• 带有特殊固件的访问控制设备，可以离线检查证书，验证卡控制设备，如电子门锁，警报等。访问控制设备需要具有 LAN 访问、wifi 和以太网。 设备需要具有 DLT 支持。

我们需要在产品时间轴中开发的固件：

• 访问控制设备。
• NFC 读卡器固件修改。

我们需要在产品时间表中开发的移动应用程序：

• 安卓和iOS移动应用程序，用于验证我们的NFC门禁系统。

我们需要在产品时间表中开发的软件：

• 设置事务创建器工具
• 网络报告

时间表：

• 访问控制硬件可以在2个月内开发出来。
• 门禁固件可以在4个月内与门禁硬件设计并行开发。
• 开发后，访问控制硬件和固件需要在真实环境中进行3个月的测试。 在我们公司，我们将覆盖16扇门进行测试。
• Android 和 iOS 应用程序可以在 2 个月内与其他流程并行开发。
• 带有基本报告的Web应用程序可以在4个月内完成。

总开发时间从8-12个月不等。