CN105608775B - 一种鉴权的方法、终端、门禁卡及sam卡 - Google Patents

一种鉴权的方法、终端、门禁卡及sam卡 Download PDF

Info

Publication number
CN105608775B
CN105608775B CN201610055129.1A CN201610055129A CN105608775B CN 105608775 B CN105608775 B CN 105608775B CN 201610055129 A CN201610055129 A CN 201610055129A CN 105608775 B CN105608775 B CN 105608775B
Authority
CN
China
Prior art keywords
card
mac value
terminal
random number
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610055129.1A
Other languages
English (en)
Other versions
CN105608775A (zh
Inventor
徐桂
周清
焦华清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Microelectronics Technology Co Ltd
Datang Semiconductor Design Co Ltd
Original Assignee
Datang Microelectronics Technology Co Ltd
Datang Semiconductor Design Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Microelectronics Technology Co Ltd, Datang Semiconductor Design Co Ltd filed Critical Datang Microelectronics Technology Co Ltd
Priority to CN201610055129.1A priority Critical patent/CN105608775B/zh
Publication of CN105608775A publication Critical patent/CN105608775A/zh
Application granted granted Critical
Publication of CN105608775B publication Critical patent/CN105608775B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种鉴权的方法、终端、门禁卡及SAM卡,该方法应用于门禁系统,包括:终端从门禁卡获取第一消息鉴别码MAC值,从安全存取模块SAM卡获取第二MAC值;比较所述第一MAC值和所述第二MAC值,将比较结果上传给门禁系统。本技术方案采用当前最先进的CPU卡技术,采用只可硬件实现的国密SM1算法,通过设计一套完善的鉴权流程,解决门禁卡的防篡改和不可复制性;提升门禁卡的安全性。

Description

一种鉴权的方法、终端、门禁卡及SAM卡
技术领域
本发明涉及通信领域,特别是涉及一种鉴权的方法、终端、门禁卡及SAM(SecurityAccess module,安全存取模块)卡。
背景技术
目前的门禁卡主要都是采用ID卡(Identification Card,身份识别卡)、M1卡,随着ID卡的可复制性,M1卡算法的被破解,这些门禁卡可以低成本的进行复制、篡改,门禁卡的安全性已经大大降低,
智能卡内的集成电路中带有微处理器CPU(Central Processing Unit,中央处理单元)、存储单元(包括RAM(Random-Access Memory,随机存取存储器)、程序存储器ROM(Read-Only Memory,只读存储器)(Flash(闪存))、用户数据存储器EEPROM(ElectricallyErasable Programmable Read-Only Memory,电可擦可编程只读存储器)以及芯片操作系统COS(China Operating System,中国自主操作系统)。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
智能卡内部具有CPU芯片,在具有数据判断能力的同时,也具备了数据分析处理能力,因此智能卡可以随时区分合法和非法读写设备,并且由于有了CPU芯片,具备数据运算能力,还可以对数据进行加密解密处理,因此具有非常高的安全性。CPU卡是在将EEPROM芯片封装在卡片上的同时,将微处理器芯片(CPU)也封装在里面。这样,EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。外部读写设备只能通过CPU与IC卡(Integrated Circuit Card,集成电路卡)内的EEP-ROM进行数据交换,在任何情况下都不能再访问到EEP-ROM中的任何一个单元。
因为CPU卡的高安全性,越来越多的安全级别高的场景开始采用CPU卡作为门禁卡,这种门禁卡一般采用其他行业标准(如PBOC(People's Bank of China,中国人民银行),社保卡、公交一卡通等)的应用规范,将其内外部认证流程应用到门禁方案中,通过控制文件的读写权限来实现门禁的控制。这种解决方案不需要定制开发COS,仅需要将现有应用转移到门禁应用领域,卡商、读卡器厂家升级工作少,流程简易明了。采用CPU芯片的门禁卡,安全级别得到了质的提升。
目前我国80%左右的门禁卡采用的是ID卡或M1卡的UID(User Identification,用户身份标识)号,这种产品只是读取卡片的一个固定号作为身份识别数据,其中没有对数据进行加工或加密认证等,非常容易被复制。稍先进一些的是采用M1卡的扇区进行数据操作,利用每个扇区独立的密钥进行读写校验,但其个人化包括敏感数据和各扇区密钥的更新,都是直接以明文的形式更新的,存在被窃取的风险,另外M1卡的校验机制只能解决卡片对终端的认证,而无法解决终端对卡片的认证,即存在有“伪卡”的风险。
随着CPU卡技术的发展,一些高安全要求的门禁卡已经选择CPU卡,这些CPU卡通过文件读写权限控制,内外部认证等方法可以杜绝被篡改、复制的风险,但仍然还存在漏洞,如通过特殊设备采集交互数据,再定制特殊卡片,响应终端的指令,并返回某些特定数据,进而达到冒充某些高权限门禁卡的“假卡”。
发明内容
本发明要解决的技术问题是提供一种鉴权的方法、终端、门禁卡及SAM卡,以提升门禁卡的安全性。
为了解决上述技术问题,本发明实施例提供了一种鉴权的方法,应用于门禁系统,包括:
终端从门禁卡获取第一消息鉴别码MAC值,从安全存取模块SAM卡获取第二MAC值;
比较所述第一MAC值和所述第二MAC值,将比较结果上传给门禁系统。
可选地,上述方法还包括:
所述终端从所述门禁卡获取第一随机数,将所述第一随机数传输给所述SAM卡,指示所述SAM卡根据所述第一随机数产生会话密钥。
可选地,上述方法还包括:所述终端从门禁卡获取第一MAC值之前,还包括:
所述终端指示所述SAM卡根据第二随机数生成第三MAC值;
从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值,接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一MAC值。
可选地,上述方法还包括:所述终端从门禁卡获取第一MAC值之前,所述终端从所述SAM卡获取所述第二随机数,将所述第二随机数发送给所述门禁卡,指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
可选地,上述方法还包括:所述终端接收到所述门禁卡的鉴别通过消息后,
所述终端从所述门禁卡获取电子身份标识,将所述电子身份标识发给所述SAM卡,指示所述SAM卡对所述电子身份标识进行解密;
接收所述SAM卡解密后的电子身份标识。
可选地,上述方法还包括:所述终端从所述门禁卡获取加密的电子身份标识之后:
指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值。
本发明实施例还提供了一种终端,应用于门禁系统,其中,包括:
获取模块,用于从门禁卡获取第一消息鉴别码MAC值,从安全存取模块SAM卡获取第二MAC值;
处理模块,用于比较所述第一MAC值和所述第二MAC值,将比较结果上传给门禁系统。
可选地,上述终端还包括:所述获取模块,从所述门禁卡获取第一随机数,将所述第一随机数传输给所述SAM卡,指示所述SAM卡根据所述第一随机数产生会话密钥。
可选地,上述终端还包括:所述获取模块,从门禁卡获取第一MAC值之前还用于:指示所述SAM卡根据第二随机数生成第三MAC值;从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值,接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一MAC值。
可选地,上述终端还包括:
所述获取模块,从门禁卡获取第一MAC值之前还用于,从所述SAM卡获取所述第二随机数,将所述第二随机数发送给所述门禁卡,指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
可选地,上述终端还包括:
所述获取模块,接收到所述门禁卡的鉴别通过消息后还用于,从所述门禁卡获取电子身份标识,将所述电子身份标识发给所述SAM卡,指示所述SAM卡对所述电子身份标识进行解密;接收所述SAM卡解密后的电子身份标识。
可选地,上述终端还包括:
所述获取模块,从所述门禁卡获取加密的电子身份标识之后还包括:指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值。
本发明实施例还提供了一种鉴权的方法,应用于门禁系统,包括,
门禁卡生成会话密钥和第一消息鉴别码MAC值;
利用所述会话密钥对用户身份信息进行加密,得到电子身份标识;
将所述电子身份标识和所述第一MAC值发送给所述终端。
可选地,所述方法还包括:
所述门禁卡是利用第一随机数生成所述会话密钥的。
可选地,所述方法还包括:所述门禁卡生成第一消息鉴别码MAC值之前:
所述门禁卡接收所述终端发送的第二随机数和第三MAC值;
根据所述第二随机数生成第四MAC值,对所述第三MAC值和所述第四MAC值进行比对,如一致,则鉴别通过,才利用所述会话密钥对用户身份信息进行加密,才生成所述第一MAC值。
可选地,所述方法还包括:所述门禁卡是根据所述第二随机数和/或所述电子身份标识生成所述第一MAC值的。
本发明实施例还提供一种门禁卡,其中,包括:
生成模块,用于生成会话密钥和第一消息鉴别码MAC值;
加密模块,用于利用所述会话密钥对用户身份信息进行加密,得到电子身份标识;
发送模块,用于将所述电子身份标识和所述第一MAC值发送给所述终端。
可选地,上述门禁卡还包括:
所述生成模块,是利用第一随机数生成所述会话密钥的。
可选地,上述门禁卡还包括:还包括鉴权模块,
所述生成模块,生成第一消息鉴别码MAC值之前还用于:接收所述终端发送的第二随机数和第三MAC值,根据所述第二随机数生成第四MAC值;
所述鉴权模块,用于对所述第三MAC值和所述第四MAC值进行比对,如一致,则鉴别通过,才通知所述加密模块利用所述会话密钥对用户身份信息进行加密,才通知所述生成模块生成所述第一MAC值。
可选地,上述门禁卡还包括:
所述生成模块,是根据所述第二随机数和/或所述电子身份标识生成所述第一MAC值的。
本发明实施例还提供一种鉴权的方法,应用于门禁系统,包括,
安全存取模块SAM卡生成会话密钥和第二MAC值;
通过所述会话密钥对接收到的电子身份标识进行解密;
将解密后的电子身份标识和所述第二MAC值发送给终端。
可选地,上述方法还包括,所述SAM卡生成所述第二MAC值之前:
所述SAM卡接收所述终端的指令后,根据第二随机数生成第三MAC值;
将所述第二随机数和所述第三MAC值发送给所述终端。
可选地,上述方法还包括,所述SAM卡是根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值的。
本发明实施例还提供一种安全存取模块SAM卡,安装在终端中,应用于门禁系统,包括:
生成模块,用于生成会话密钥和第二MAC值;
解密模块,用于通过所述会话密钥对接收到的电子身份标识进行解密;
发送模块,用于将解密后的电子身份标识和所述第二MAC值发送给所述终端。
可选地,上述SAM卡还包括:
所述生成模块,还用于接收所述终端发送的第一随机数,是根据所述第一随机数生成所述会话密钥的。
可选地,上述SAM卡还包括:
所述生成模块,生成所述第二MAC值之前还用于:接收所述终端的指令后,根据第二随机数生成第三MAC值;
所述发送模块,还用于将所述第二随机数和所述第三MAC值发送给所述终端。
可选地,上述SAM卡还包括:
所述生成模块,是根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值的。
综上,本发明提供一种鉴权的方法、终端、门禁卡及SAM卡,采用当前最先进的CPU卡技术,采用只可硬件实现的国密SM1算法,通过设计一套完善的鉴权流程,可以解决以下几个问题:解决门禁卡的防篡改和不可复制性;采用芯片硬实现的国密SM1算法,提升门禁卡的安全性;在充分发挥CPU卡的功能前提下,通过“一卡一密,一次一密”的特点,进一步提升门禁卡的安全性。
附图说明
图1为本发明实施例的终端侧进行鉴权的方法的流程图。
图2为本发明实施例的门禁卡侧进行鉴权的方法的流程图。
图3为本发明实施例的SAM卡侧进行鉴权的方法的流程图。
图4为本发明应用示例的鉴权的方法的流程图。
图5为本发明实施例的终端的示意图。
图6为本发明实施例的门禁卡的示意图。
图7为本发明实施例的SAM卡的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例提出一种采用国密算法的CPU卡技术应用到门禁系统中进行鉴权的方法,本方案自主开发双向鉴权流程,每次鉴权都通过随机数产生会话密钥,再使用该会话密钥进行鉴权和数据加解密,在充分发挥CPU卡的功能前提下,通过“一卡一密,一次一密”的特点,进一步提升门禁卡的安全性。
图1为本发明实施例的终端侧进行鉴权的方法的流程图,如图1所示,本实施例的方法包括:
S11、终端从门禁卡获取第一消息鉴别码(Message Authentication Code,简称MAC)值,从安全存取模块SAM卡获取第二MAC值;
S12、比较所述第一MAC值和所述第二MAC值,将比较结果上传给门禁系统。
本实施例中,所述终端从所述门禁卡获取第一随机数,将所述第一随机数传输给所述SAM卡,指示所述SAM卡根据所述第一随机数产生会话密钥。这样可以保证每次的会话密钥都不一样。
在一优选实施例中,所述终端指示所述SAM卡根据第二随机数生成第三MAC值;
所述终端从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值。
所述终端从所述SAM卡获取所述第二随机数,将所述第二随机数发送给所述门禁卡,指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
所述终端是接收到所述门禁卡的鉴别通过消息后,才从所述门禁卡获取第一MAC值的。
图2为本发明实施例的门禁卡侧进行鉴权的方法的流程图,如图2所示,本实施例的方法包括:
S21、门禁卡生成会话密钥和第一MAC值;
S22、利用所述会话密钥对用户身份信息进行加密,得到电子身份标识;
S23、将所述电子身份标识和所述第一MAC值发送给所述终端。
本实施例中,所述门禁卡是利用第一随机数生成所述会话密钥的。
在一优选实施例中,所述门禁卡生成第一消息鉴别码MAC值之前,还接收所述终端发送的第二随机数和第三MAC值;
根据所述第二随机数生成第四MAC值,对所述第三MAC值和所述第四MAC值进行比对,如一致,则鉴别通过,才将所述第一MAC值发送给所述终端。
图3为本发明实施例的SAM卡侧进行鉴权的方法的流程图,如图3所示,本实施例的方法包括:
S31、SAM卡生成会话密钥和第二MAC值;
S32、通过所述会话密钥对接收到的电子身份标识进行解密;
S33、将解密后的电子身份标识和所述第二MAC值发送给终端。
本实施例中,所述SAM卡生成会话密钥之前,还包括:
所述SAM卡接收所述终端发送的第一随机数;
所述SAM卡是根据所述第一随机数生成所述会话密钥的。
本发明实施例的鉴权方法充分利用卡内密钥体系,通过进行互认证,建立每次会话密钥,确保流程的不可重复性。同时为提升门禁系统的刷卡速度,尽量精简指令,具体应用流程如图4所示,包括以下步骤:
步骤101、终端从门禁卡获取随机数R1,将R1传输给SAM卡;
步骤102、终端从SAM卡获取随机数R2,将R2传输给门禁卡;
步骤103、终端向SAM卡发送产生会话密钥的指令,分散因子是R1。
步骤104,SAM卡接收到终端的产生会话密钥的指令后,根据分散因子R1产生会话密钥,这样确保每次鉴权流程的密钥都不一样,即一次一密。
步骤105、终端向SAM卡发送指令,要求SAM卡对读文件命令及数据域R2计算MAC1值,初始值为全0;
步骤106、SAM卡根据R2计算MAC1值(相当于上文的第三MAC值)。
步骤107、终端读取用户身份信息,同时传入R2和MAC1值;将R2和MAC1值发送给门禁卡;
步骤108、门禁卡利用R1产生会话密钥,对读文件命令及数据域R2计算MAC1’(相当于上文的第四MAC值),比对与MAC1是否相等,如相等,则读取用户身份信息,用会话密钥对用户身份信息进行加密得到EID(Electronic Identity,电子身份标识),根据读文件命令、EID和数据域R2计算MAC2;然后将EID和MAC2发送给终端;如不相等,则鉴权识别,门禁权限不能使用。
步骤109、终端获得EID和MAC2后,向SAM卡发送指令,要求SAM卡计算MAC2’值,R2作为MAC2计算初始值。
步骤110、SAM卡接收到指令后,根据R2和/或EID计算MAC2’值(相当于上文的第二MAC值),并用会话密钥解密EID数据,获得用户身份信息,将MAC2’值和用户身份信息发送给终端。
步骤111、终端比较SAM卡计算的MAC2’值与门禁卡返回的MAC2是否一致,如正确一致,则处理用户身份信息;如不一致,则鉴权失败,不能获得门禁权限,结束流程。
步骤112、终端对用户身份信息进行加工处理,并将处理后数据传递给门禁系统,进行后续门禁控制操作,结束流程。
本发明实施例中涉及到的计算MAC值、加解密算法,均可以采用国密算法SM1。
本实施例的方法,将SM1算法引入到门禁应用领域,提升门禁应用的安全性;
本实施例的方法可以实现一卡一密,一次一密,可以有效防止任何窃取、篡改、复制等行为。
本实施例的方法引入高安全的智能卡芯片和COS,并针对门禁系统的特点,重点保护门禁卡内关键数据的安全性。现在智能卡芯片的成本逐年下降,本发明实施例提供的方案不会给客户带来更高的成本代价。
图5为本发明实施例的终端的示意图,如图5所示,本实施例的终端包括:
获取模块,用于从门禁卡获取第一消息鉴别码MAC值,从安全存取模块SAM卡获取第二MAC值;
处理模块,用于比较所述第一MAC值和所述第二MAC值,将比较结果上传给门禁系统。
在一优选实施例中,所述获取模块,从所述门禁卡获取第一随机数,将所述第一随机数传输给所述SAM卡,指示所述SAM卡根据所述第一随机数产生会话密钥。
在一优选实施例中,所述获取模块,从门禁卡获取第一MAC值之前还可以用于:指示所述SAM卡根据第二随机数生成第三MAC值;从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值,接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一MAC值。
在一优选实施例中,所述获取模块,从门禁卡获取第一MAC值之前还可以用于,从所述SAM卡获取所述第二随机数,将所述第二随机数发送给所述门禁卡,指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
在一优选实施例中,所述获取模块,接收到所述门禁卡的鉴别通过消息后还可以用于,从所述门禁卡获取电子身份标识,将所述电子身份标识发给所述SAM卡,指示所述SAM卡对所述电子身份标识进行解密;接收所述SAM卡解密后的电子身份标识(即用户身份信息)。
在一优选实施例中,所述获取模块,从所述门禁卡获取加密的电子身份标识之后还包括:指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值。
图6为本发明实施例的门禁卡的示意图,如图6所示,本实施例的门禁卡包括:
生成模块,用于生成会话密钥和第一消息鉴别码MAC值;
加密模块,用于利用所述会话密钥对用户身份信息进行加密,得到电子身份标识;
发送模块,用于将所述电子身份标识和所述第一MAC值发送给所述终端。
在一优选实施例中,所述生成模块,是利用第一随机数生成所述会话密钥的。
在一优选实施例中,所述门禁卡还包括鉴权模块,
所述生成模块,生成第一消息鉴别码MAC值之前还用于:接收所述终端发送的第二随机数和第三MAC值,根据所述第二随机数生成第四MAC值;
所述鉴权模块,用于对所述第三MAC值和所述第四MAC值进行比对,如一致,则鉴别通过,才通知所述加密模块利用所述会话密钥对用户身份信息进行加密,才通知所述生成模块生成所述第一MAC值。
在一优选实施例中,所述生成模块,是根据所述第二随机数和/或所述电子身份标识生成所述第一MAC值的。
图7为本发明实施例的SAM卡的示意图,本实施例的SAM卡安装在终端中,如图7所示,本实施例的SAM卡包括:
生成模块,用于生成会话密钥和第二MAC值;
解密模块,用于通过所述会话密钥对接收到的电子身份标识进行解密;
发送模块,用于将解密后的电子身份标识和所述第二MAC值发送给所述终端。
在一优选实施例中,所述生成模块,还用于接收所述终端发送的第一随机数,是根据所述第一随机数生成所述会话密钥的。
在一优选实施例中,所述生成模块,生成所述第二MAC值之前还用于:接收所述终端的指令后,根据第二随机数生成第三MAC值;
所述发送模块,还用于将所述第二随机数和所述第三MAC值发送给所述终端。
在一优选实施例中,所述生成模块,是根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值的。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (16)

1.一种鉴权的方法,应用于门禁系统,包括:
终端获取门禁卡生成的第一随机数发送给安全存取模块SAM卡,获取所述SAM卡生成的第二随机数发送给所述门禁卡;
所述终端指示所述门禁卡和所述SAM卡分别根据所述第一随机数产生用于对用户身份信息进行加解密的会话密钥,并指示所述门禁卡和所述SAM卡分别根据所述第二随机数和采用所述会话密钥加密后的门禁卡用户身份信息生成第一消息鉴别码MAC值和第二MAC值;
所述终端从所述门禁卡获取所述第一MAC值,从所述SAM卡获取所述第二MAC值;比较所述第一MAC值和所述第二MAC值,当判断所述第一MAC值和所述第二MAC值一致时,将所述门禁卡用户身份信息上传给门禁系统。
2.如权利要求1所述的方法,其特征在于:所述终端从门禁卡获取第一MAC值之前,还包括:
所述终端指示所述SAM卡根据所述第二随机数生成第三MAC值;
从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值;所述门禁卡鉴别所述第三MAC值,通过后才生成所述第一MAC值。
3.如权利要求2所述的方法,其特征在于:在所述门禁卡鉴别所述第三MAC值通过后,将所述门禁卡用户身份信息上传给门禁系统前,还包括:
所述终端从所述门禁卡获取采用所述会话密钥加密后的用户身份信息,将所述加密后的用户身份信息发给所述SAM卡,指示所述SAM卡对所述加密后的用户身份信息进行解密;
从所述SAM卡获取采用所述会话密钥解密后的用户身份信息,对所述用户身份信息进行加工处理。
4.一种终端,应用于门禁系统,其特征在于,包括:
获取模块,用于获取门禁卡生成的第一随机数发送给安全存取模块SAM卡,获取所述SAM卡生成的第二随机数发送给所述门禁卡;
处理模块,用于指示所述门禁卡和所述SAM卡分别根据所述第一随机数产生用于对用户身份信息进行加解密的会话密钥,并指示所述门禁卡和所述SAM卡分别根据所述第二随机数和采用所述会话密钥加密后的门禁卡用户身份信息生成第一消息鉴别码MAC值和第二MAC值;从所述门禁卡获取所述第一MAC值,从所述SAM卡获取所述第二MAC值;比较所述第一MAC值和所述第二MAC值,当判断所述第一MAC值和所述第二MAC值一致时,将所述门禁卡用户身份信息上传给门禁系统。
5.如权利要求4所述的终端,其特征在于:
所述处理模块,还用于:在从所述门禁卡获取第一MAC值之前,指示所述SAM卡根据所述第二随机数生成第三MAC值;从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值;在所述门禁卡鉴别所述第三MAC值,通过后才从所述门禁卡获取所述第一MAC值。
6.如权利要求5所述的终端,其特征在于:
所述获取模块,还用于在所述门禁卡鉴别所述第三MAC值通过后,将所述门禁卡用户身份信息上传给门禁系统前,从所述门禁卡获取采用所述会话密钥加密后的用户身份信息,将所述加密后的用户身份信息发给所述SAM卡,指示所述SAM卡对所述加密后的用户身份信息进行解密;
从所述SAM卡获取采用所述会话密钥解密后的用户身份信息,对所述用户身份信息进行加工处理。
7.一种鉴权的方法,应用于门禁系统,包括,
门禁卡生成第一随机数发送给终端,根据所述第一随机数产生会话密钥对用户身份信息进行加密;
所述门禁卡接收所述终端发送的第二随机数,根据所述第二随机数和加密后的用户身份信息生成第一消息鉴别码MAC值,将所述第一MAC值发送给所述终端;
其中,所述第二随机数是由安全存取模块SAM卡生成并传送给所述终端的。
8.如权利要求7所述的方法,其特征在于:
所述门禁卡根据所述第一随机数产生会话密钥对用户身份信息进行加密之前,还包括:
所述门禁卡接收所述终端发送的第三MAC值;
根据所述第二随机数生成第四MAC值,对所述第三MAC值和所述第四MAC值进行比对,如一致,则鉴别通过,才利用所述会话密钥对用户身份信息进行加密;
其中,所述第三MAC值是所述SAM卡根据所述第二随机数生成并传送给所终端的。
9.一种门禁卡,其特征在于,包括:
生成模块,用于生成第一随机数发送给终端,根据所述第一随机数产生会话密钥;接收所述终端发送的第二随机数,根据所述第二随机数和加密后的用户身份信息生成第一消息鉴别码MAC值
加密模块,用于利用所述会话密钥对用户身份信息进行加密;
发送模块,用于将所述第一MAC值发送给所述终端;
其中,所述第二随机数是由安全存取模块SAM卡生成并传送给所述终端的。
10.如权利要求9所述的门禁卡,其特征在于:还包括鉴权模块,
所述生成模块,还用于接收所述终端发送的第三MAC值,根据所述第二随机数生成第四MAC值;
所述鉴权模块,用于对所述第三MAC值和所述第四MAC值进行比对,如一致,则鉴别通过,才通知所述加密模块利用所述会话密钥对用户身份信息进行加密;
其中,所述第三MAC值是所述SAM卡根据所述第二随机数生成并传送给所终端的。
11.一种鉴权的方法,应用于门禁系统,包括,
安全存取模块SAM卡生成第二随机数发送给终端;
根据所述第二随机数和所述终端发送的加密后的门禁卡用户身份信息生成第二消息鉴别码MAC值;将所述第二MAC值发送给终端;
其中,所述终端发送的加密后的门禁卡用户身份信息是由门禁卡根据所述门禁卡生成的第一随机数产生会话密钥,并对门禁卡用户身份信息进行加密后传送给所述终端的。
12.如权利要求11所述的方法,其特征在于:
所述SAM卡还接收所述终端发送的第一随机数;根据所述第一随机数生成会话密钥,利用所述会话密钥对所述加密后的门禁卡用户身份信息进行解密。
13.如权利要求12所述的方法,其特征在于:所述SAM卡生成所述第二MAC值之前,还包括:
所述SAM卡接收所述终端的指令后,根据所述第二随机数生成第三MAC值;
将所述第三MAC值发送给所述终端;
在所述终端鉴别所述第三MAC值后,将解密后的门禁卡用户身份信息发送给所述终端。
14.一种安全存取模块SAM卡,安装在终端中,应用于门禁系统,包括:
生成模块,用于生成第二随机数发送给终端;根据所述第二随机数和所述终端发送的加密后的门禁卡用户身份信息生成第二消息鉴别码MAC值;
发送模块,用于将所述第二MAC值发送给所述终端;
其中,所述终端发送的加密后的门禁卡用户身份信息是由门禁卡根据所述门禁卡生成的第一随机数产生会话密钥,并对门禁卡用户身份信息进行加密后传送给所述终端的。
15.如权利要求14所述的SAM卡,其特征在于:还包括解密模块,
所述生成模块,还用于接收所述终端发送的第一随机数,根据所述第一随机数生成会话密钥;
所述解密模块,用于根据所述会话密钥对所述加密后的门禁卡用户身份信息进行解密。
16.如权利要求15所述的SAM卡,其特征在于:
所述生成模块,还用于:在生成所述第二MAC值之前,接收所述终端的指令后,根据所述第二随机数生成第三MAC值;
所述发送模块,还用于将所述第三MAC值发送给所述终端;在所述终端鉴别所述第三MAC值后,将解密后的门禁卡用户身份信息发送给所述终端。
CN201610055129.1A 2016-01-27 2016-01-27 一种鉴权的方法、终端、门禁卡及sam卡 Active CN105608775B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610055129.1A CN105608775B (zh) 2016-01-27 2016-01-27 一种鉴权的方法、终端、门禁卡及sam卡

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610055129.1A CN105608775B (zh) 2016-01-27 2016-01-27 一种鉴权的方法、终端、门禁卡及sam卡

Publications (2)

Publication Number Publication Date
CN105608775A CN105608775A (zh) 2016-05-25
CN105608775B true CN105608775B (zh) 2018-12-28

Family

ID=55988685

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610055129.1A Active CN105608775B (zh) 2016-01-27 2016-01-27 一种鉴权的方法、终端、门禁卡及sam卡

Country Status (1)

Country Link
CN (1) CN105608775B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106067205B (zh) * 2016-07-05 2018-10-09 大唐微电子技术有限公司 一种门禁鉴权方法和装置
CN108551455B (zh) * 2018-04-24 2021-02-26 北京小米移动软件有限公司 智能卡的配置方法及装置
CN109493488B (zh) * 2018-11-23 2020-11-10 北京小米移动软件有限公司 智能卡认证方法、智能锁、智能卡、系统及装置
CN111047744A (zh) * 2019-12-28 2020-04-21 北京深思数盾科技股份有限公司 一种数字开锁方法、装置、电子门锁和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102800141A (zh) * 2012-07-24 2012-11-28 东信和平科技股份有限公司 一种基于双向认证的门禁控制方法及系统
CN104917614A (zh) * 2015-04-21 2015-09-16 中国建设银行股份有限公司 一种智能卡和受理终端的双向验证方法和装置
KR20150139405A (ko) * 2014-06-03 2015-12-11 주식회사 엘지씨엔에스 보안 접속 시스템 및 그 동작 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102800141A (zh) * 2012-07-24 2012-11-28 东信和平科技股份有限公司 一种基于双向认证的门禁控制方法及系统
KR20150139405A (ko) * 2014-06-03 2015-12-11 주식회사 엘지씨엔에스 보안 접속 시스템 및 그 동작 방법
CN104917614A (zh) * 2015-04-21 2015-09-16 中国建设银行股份有限公司 一种智能卡和受理终端的双向验证方法和装置

Also Published As

Publication number Publication date
CN105608775A (zh) 2016-05-25

Similar Documents

Publication Publication Date Title
CA2838763C (en) Credential authentication methods and systems
CA2554300C (en) System and method for encrypted smart card pin entry
US6073237A (en) Tamper resistant method and apparatus
CN100533459C (zh) 数据安全读取方法及其安全存储装置
CN107004083B (zh) 设备密钥保护
CN102938032B (zh) 一种对通讯终端上应用程序加、解密的方法、系统和终端
CN106067205B (zh) 一种门禁鉴权方法和装置
JP2007515704A (ja) Sim装置用コンピュータシステムの中で信頼できるチャネルを与えるための装置及び方法
CN105608775B (zh) 一种鉴权的方法、终端、门禁卡及sam卡
CN104125064B (zh) 一种动态密码认证方法、客户端及认证系统
CN108494783A (zh) 云端数据的保护方法
CN113574828A (zh) 一种安全芯片、安全处理方法及相关设备
CN106656955A (zh) 一种通信方法及系统、客户端
CN117546162A (zh) 用于控制对存储设备的访问的密码认证
CN116783864A (zh) 使用非接触式卡安全验证医疗状态
KR100408890B1 (ko) 다중 인증경로를 이용한 신용거래 인증방법 및 이를이용한 시스템
CN101739593A (zh) 集成电路卡介质访问控制码安全认证方法
KR20150017374A (ko) 아이씨칩을 이용한 결제 방법
KR20200013494A (ko) 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법
CN107342998A (zh) 通过移动存储设备实现的个人信息提取方法
Lee et al. A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services
CN116848833A (zh) 使用非接触式卡的一次性口令的安全生成
CN114667713A (zh) 基于存储在非接触式卡中的护照数据的安全认证
CN106357624B (zh) 一种安全设置终端系统时间方法和系统
US11164185B2 (en) Method for control of authenticity of a payment terminal and terminal thus secured

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant