CN107016545A - 用于防止盗用智能卡的方法及其系统 - Google Patents

Abstract

本发明涉及用于防止盗用智能卡的方法及其系统，该方法包括发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号；获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息；存储关联信息；使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息；比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，身份证给智能卡的应用背书成功，进行成功操作；若不一致，则终止操作。本发明达到了防止智能卡被冒用的目的，在使用时中仅自动读取二代证UID码，不读取二代证的其它信息，不存在个人身份信息泄密的问题，成本低，有利于应用推广。

Description

用于防止盗用智能卡的方法及其系统

技术领域

本发明涉及智能卡，更具体地说是指用于防止盗用智能卡的方法及其系统。

背景技术

现在各种芯片卡(ID卡、IC卡、CPU卡等)、磁卡等智能卡已在我们的日常生活有广泛的应用，比如银行卡、社保卡、公交卡、校园卡、学时卡、二代证等均是我们经常使用的卡，除我国法定的身份证——二代证仅作身份证明外，其它卡一般情况下还有其它附加功能，并在自助设备中仅凭卡本身信息完成身份识别独立使用其附加功能的，因此存在被冒用的漏洞，特别是在身份要求严格的应用中该漏洞的缺陷更突出。

传统驾培计时系统所采用的学时卡，其卡内存储有学员的个人身份信息和学时信息，驾培计时终端识别学时卡内学员信息，并上传至后台系统，因为学时卡仅为学车时使用，其它场合下不用，因此，学员很可能会将学时卡交给教练管理，容易造成学时卡与学车人不一致，而且驾培计时终端无法自动甄别此类情况，这给主管部门进行学时监管带来困难。而现有的银行卡在ATM机、商场POS机刷卡并输入密码即可消费或取现，小额消费或信用卡可以不输入密码进行消费，如果在交易过程中银行卡信息和密码被不法分子利用非法手段窥视到后，不法分子可以利用所获得的信息复制银行卡然后盗窃存在银行账户里的资金，给人们造成不可挽回的财产损失。

中国专利201310318530.6公开了一种高安全性的全动态数位电子支付交易身份认证方法，由持卡人向发卡机构申请设定一芯片金融卡，芯片金融卡的芯片中内建一由发卡机构认定的计算公式；使用芯片金融卡进行金融交易时，由金融交易系统将当次金融交易行为的收款账号、付款金额、当次金融交易行为的识别序号、芯片金融卡持卡人的身份证字号带入计算公式，再将计算所产生的对应值，结合持卡人于消费时所输入的至少一组隐形数码，获得一组由当次金融交易行为的付款账号、收款账号及消费金额等信息数据所转换而成的动态组合码再行传递，由动态组合码做为发卡机构认证持卡人身份的依据，有效防止持卡人的个人资料遭外泄、破解，降低持卡人个人资料及账号遭复制、冒用的风险。

上述的专利是通过付款人身份、收款人身份及交易金额准确的信息数据转换成动态的数字组合再行传递(一次性)实现无法复制并准确认定，但是这种情况无法从付款人身份进行准确的认证，并且容易造成个人身份信息的泄密，仍然存在被盗用的可能性。

因此，有必要设计一种用于防止盗用智能卡的方法，实现利用身份证在使用前对智能卡做关联，以防止智能卡被冒用，在使用中，仅自动读取二代证UID码，不读取身份证的其它信息，不存在个人身份信息泄密的问题。

发明内容

本发明的目的在于克服现有技术的缺陷，提供用于防止盗用智能卡的方法及其系统。

为实现上述目的，本发明采用以下技术方案：用于防止盗用智能卡的方法，所述方法包括：

发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号；

获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息；

存储所述关联信息；

使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息；

比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，身份证给智能卡的应用背书成功，进行成功操作；若不一致，则终止操作。

其进一步技术方案为：获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息的步骤，包括以下具体步骤：

获取安全报文认证码以及身份证号密文；

将身份证号、身份证号密文和安全报文认证码构成关联信息。

其进一步技术方案为：获取安全报文认证码以及身份证号密文的步骤，包括以下具体步骤:

由行业应用主密钥根据应用系列号进行分散，获得智能卡的主应用主密钥；

由智能卡的主应用主密钥利用城市代码和应用标识进行分散，获得安全报文认证子密钥；

由安全报文认证子密钥对二代证UID码以及身份证号生成安全报文认证码；

由智能卡的主应用主密钥利用二代证UID码进行分散，获得身份证号存储密钥；

由身份证号存储密钥对身份证号进行加密，形成身份证号密文。

其进一步技术方案为：使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息的步骤，包括以下具体步骤：

提交二代证UID码和身份证号；

利用城市代码和应用标识产生安全报文认证子密钥；

根据安全报文认证子密钥，计算安全报文认证码；

利用二代证UID码产生存储密钥的密码；

对身份证号密文进行解密获得身份证号的明文。

其进一步技术方案为：比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致的步骤，包括以下具体步骤：

判断使用时获取的安全报文认证码是否与存储的关联信息内的安全报文认证码是否一致，若不一致，则终止操作，若一致，则进入下一步骤；

判断使用时获取的身份证号是否与存储的关联信息内的身份证号是否一致，若不一致，则终止操作，若一致，则身份证给智能卡的应用背书成功，进行成功操作。

本发明还提供了用于防止盗用智能卡的系统，包括信息读取单元、关联信息获取单元、存储单元、读取和获取单元以及比对单元；

所述信息读取单元，用于发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号；

所述关联信息获取单元，用于获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息；

所述存储单元，用于存储所述关联信息；

所述读取和获取单元，用于使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息；

所述比对单元，用于比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，身份证给智能卡的应用背书成功，进行成功操作；若不一致，则终止操作。

其进一步技术方案为：所述关联信息获取单元包括获取模块以及组合模块；

所述获取模块，用于获取安全报文认证码以及身份证号密文；

所述组合模块，用于将身份证号、身份证号密文和安全报文认证码构成关联信息。

其进一步技术方案为：所述获取模块包括主密钥获取子模块、子密钥获取子模块、认证码生成子模块、存储密钥获取子模块以及密文形成子模块；

所述主密钥获取子模块，用于由行业应用主密钥根据应用系列号进行分散，获得智能卡的主应用主密钥；

所述子密钥获取子模块，用于由智能卡的主应用主密钥利用城市代码和应用标识进行分散，获得安全报文认证子密钥；

所述认证码生成子模块，用于由安全报文认证子密钥对二代证UID码以及身份证号生成安全报文认证码；

所述存储密钥获取子模块，用于由智能卡的主应用主密钥利用二代证UID码进行分散，获得身份证号存储密钥；

所述密文形成子模块，用于由身份证号存储密钥对身份证号进行加密，形成身份证号密文。

其进一步技术方案为：所述读取和获取单元包括提交模块、子密钥反产生模块、认证码反计算模块、密码产生模块以及明文反获取模块；

所述提交模块，用于提交二代证UID码和身份证号；

所述子密钥反产生模块，用于利用城市代码和应用标识产生安全报文认证子密钥；

所述认证码反计算模块，用于根据安全报文认证子密钥，计算安全报文认证码；

所述密码产生模块，用于利用二代证UID码产生存储密钥的密码；

所述明文反获取模块，用于对身份证号密文进行解密获得身份证号的明文。

其进一步技术方案为：所述比对单元包括认证码对比模块以及身份证号对比模块；

所述认证码对比模块，用于判断使用时获取的安全报文认证码是否与存储的关联信息内的安全报文认证码是否一致，若不一致，则终止操作；

所述身份证号对比模块，用于判断使用时获取的身份证号是否与存储的关联信息内的身份证号是否一致，若不一致，则终止操作，若一致，则身份证给智能卡的应用背书成功，进行成功操作。

本发明与现有技术相比的有益效果是：本发明的用于防止盗用智能卡的方法，通过发智能卡前，先将身份证号、二代证UID码与智能卡应用系列号相关联，在使用时，自动获取并比对所使用的智能卡和身份证号、二代证UID码，判断关联信息是否一致，如果一致则背书成功允许使用，如果不一致则背书失败不允许使用，达到了防止智能卡被冒用的目的，解决了现有卡应用系统中使用时与法定二代证关联认证的问题，在使用时中仅自动读取二代证UID码，不读取二代证的其它信息，不存在个人身份信息泄密的问题，成本低，有利于应用推广。

下面结合附图和具体实施例对本发明作进一步描述。

附图说明

图1为本发明具体实施例提供的用于防止盗用智能卡的方法的流程图；

图2为本发明具体实施例提供的获取关联信息的具体流程图；

图3为本发明具体实施例提供的获取安全报文认证码以及身份证号密文的具体流程图；

图4为本发明具体实施例提供的使用时获取关联信息的具体流程图；

图5为本发明具体实施例提供的比对的具体流程图；

图6为本发明具体实施例提供的用于防止盗用智能卡的系统的结构示意图；

图7为本发明具体实施例提供的关联信息获取单元的结构示意图；

图8为本发明具体实施例提供的获取模块的结构示意图；

图9为本发明具体实施例提供的读取和获取单元的结构示意图；

图10为本发明具体实施例提供的比对单元的结构示意图。

具体实施方式

为了更充分理解本发明的技术内容，下面结合具体实施例对本发明的技术方案进一步介绍和说明，但不局限于此。

如图1～10所示的具体实施例，本实施例提供的用于防止盗用智能卡的方法，可以运用在学员学车的学时卡以及银行卡等智能卡的使用过程中，现利用身份证在使用前对智能卡做关联，以防止智能卡被冒用，在使用中，仅自动读取二代证UID码，不读取身份证的其它信息，不存在个人身份信息泄密的问题。

如图1所示，是本实施例提供的用于防止盗用智能卡的方法，该方法包括：

S1、发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号；

S2、获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息；

S3、存储所述关联信息；

S4、使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息；

S5、比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，S6、身份证给智能卡的应用背书成功，进行成功操作；若不一致，则S7、终止操作。

对于上述的S1步骤，发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号，身份证号是我国公民的法定号码，具有唯一性；二代证UID码是二代证物理流水号，也具有唯一性；智能卡的应用系列号在同一行业同一系统中是唯一的。利用这些唯一性数据进行加密处理形成关联信息，而不是采用简单的UID明文比对，具有防篡改和防拷贝的能力。

更进一步的，上述S2步骤，获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息，此过程中，身份证号、二代证UID码与智能卡应用系列号的关联信息采用加密方式获取后存储，加解密算法采用标准算法，如DES，TDES，AES，RSA，SM等加解密算法。

另外，上述的S2步骤，获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息的步骤，包括以下具体步骤：

S21、获取安全报文认证码以及身份证号密文；

S22、将身份证号、身份证号密文和安全报文认证码构成关联信息。

对于S21步骤，获取安全报文认证码以及身份证号密文的步骤，包括以下具体步骤：

S211、由行业应用主密钥根据应用系列号进行分散，获得智能卡的主应用主密钥；

S212、由智能卡的主应用主密钥利用城市代码和应用标识进行分散，获得安全报文认证子密钥；

S213、由安全报文认证子密钥对二代证UID码以及身份证号生成安全报文认证码；

S214、由智能卡的主应用主密钥利用二代证UID码进行分散，获得身份证号存储密钥；

S215、由身份证号存储密钥对身份证号进行加密，形成身份证号密文。

对于S211步骤，由行业应用主密钥(MK)根据应用系列号(ASN)进行分散，获得智能卡的主应用主密钥(IMK)：

IMK＝TDES(MK)[ASN]||TDES(MK)[ANS⊕”FFFFFFFFFFFFFFFF”]。

对于S212步骤，由智能卡的主应用主密钥(IMK)利用城市代码(CC)和应用标识(AID)进行分散，获得安全报文认证(MAC)子密钥(AK)：AK＝TDES(IMK)[CC||AID]||TDES(IMK)[(CC||AID)⊕”FFFFFFFFFFFFFFFF”]。

对于S213步骤，由安全报文认证子密钥(AK)对二代证UID码以及身份证号(IDN)生成安全报文认证码(MAC)：

MAC＝TMAC(AK)[“0000000000000000”,UID||IDN]。

对于S214步骤，由智能卡的主应用主密钥(IMK)利用二代证UID码进行分散，获得身份证号存储密钥(SK)：

SK＝TDES(IMK)[UID]||TDES(IMK)[(UID)⊕”FFFFFFFFFFFFFFFF”]。

对于S215步骤，由身份证号存储密钥(SK)对身份证号(IDN)进行加密，形成身份证号密文(IDNC)：

IDNC＝TDES(SK)[IDN||”800000000000”]。

对于S22步骤，将身份证号(IDN)、身份证号密文(IDNC)和安全报文认证码(MAC)构成关联信息(MSG)：MSG＝IDN||IDNC||MAC。利用身份证号(IDN)、身份证号密文(IDNC)和安全报文认证码(MAC)构成关联信息(MSG)，可以防止泄露，也提高防拷贝的功能。

对于S3步骤，该关联信息(MSG)可以保持在后台数据库内或存储在芯片卡内。

更进一步的，对于S4步骤，使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息，包括以下具体步骤：

S41、提交二代证UID码和身份证号；

S42、利用城市代码和应用标识产生安全报文认证子密钥；

S43、根据安全报文认证子密钥，计算安全报文认证码；

S44、利用二代证UID码产生存储密钥的密码；

S45、对身份证号密文进行解密获得身份证号的明文。

在使用时，是将智能卡放置在前端POS设备进行使用，该前端POS设备配有PSAM卡，行业应用主密钥(MK)存放在PSAM卡内，并由PSAM卡进行TDES加解密计算，前端POS设备先读取二代证UID码和智能卡(两者读取不分先后)内相关信息，然后根据所读取的关联信息(MSG)、二代证UID码、芯片卡应用系列号(ASN)、城市代码(CC)和应用标识(AID)等信息进行比对。

对于S41步骤，是将二代证UID码和身份证号(IDN)提交给PSAM卡。

S42步骤，是由PSAM卡利用城市代码(CC)和应用标识(AID)产生安全报文认证子密钥(AK)：AK＝TDES(IMK)[CC||AID]||TDES(IMK)[(CC||AID)⊕”FFFFFFFFFFFFFFFF”]。

另外，对于S43步骤，根据安全报文认证子密钥(AK)，计算安全报文认证码(MAC1)：MAC1＝TMAC(AK)[“0000000000000000”,UID||IDN]。

对于S44步骤，利用二代证UID码产生存储密钥(SK)的密码：

SK＝TDES(IMK)[UID]||TDES(IMK)[(UID)⊕”FFFFFFFFFFFFFFFF”]。

对于S45步骤，对身份证号密文进行解密获得身份证号IDN1的明文：

IDN1＝TDES^-1(SK)[IDNC]。

对于S5步骤，比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，包括以下具体步骤：

S51、判断使用时获取的安全报文认证码是否与存储的关联信息内的安全报文认证码是否一致，若不一致，则S7、终止操作，若一致，则进入下一步骤；

S52、判断使用时获取的身份证号是否与存储的关联信息内的身份证号是否一致，若不一致，则S7、终止操作，若一致，则S6、身份证给智能卡的应用背书成功，进行成功操作。

双重判断，可以增加使用时对智能卡的验证，提高防盗用的程度。

于其他实施例，上述的判断可以只选择其中一个步骤进行。

二代证卡符合ISO14443TypeB规范，在市场上常用的智能卡是符合ISO14443TypeA规范，为了支持卡/证自动比对所选智能卡需要同时支持ISO14443TypeA和TypeB规范，市场上此类芯片比较多(比如FM1722，RC531等)而且此芯片与仅支持SO14443TypeA规范的芯片PIN对PIN兼容，完全可替换它(比如FM1722替换FM1702，RC531替换RC500)，而且成本仅增加几元人民币。主控芯片中增加ISO14443TypeB规范的软件处理即可读取二代证UID码，仅读取二代证UID码的读卡器的成本大约是标准二代证读卡器成本的五分之一，因此能节省大量的成本。

将上述的用于防止盗用智能卡的方法运用在驾培计时过程中时，二代证是我国法定的身份证件，也是最重要的证件，身份证正面有个人的重要信息：姓名、性别、家庭住址、出生日期、身份证号、有效期、照片。身份证跟政治、经济、社会活动息息相关，如去银行、政府部门办事、交通出行、住店、旅游、出差均需要出示身份证。基本上都会随身携带身份证或将身份证妥善保管好，不会将身份证交给他人保管，预防被不法之人盗用，因此，用二代证作为计时学车的身份识别具有很高的可信度。

每个驾校根据需要配置一定数量的二代证读卡器，用于学员报名注册时的身份识别，读取学员的身份证号，姓名等信息，同时将二代证的UID码(具有唯一性)与学员学时卡的学员编号(驾校代码||学员流水号)按上述的步骤做关联，并将关联信息加密存放在学时卡里，完成后发放学时卡，完成学员的注册，使用时，比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，一致则允许计时学车，不一致则终止学车。

于其他实施例，上述的用于防止盗用智能卡的方法运用在银行卡系统的ATM机和POS机中时，可以有效的防止伪造的银行卡盗窃人们的财产。在现行银行账户开户的流程中均要出示身份证，并用二代证读卡器读取身份证信息，在此环节中增加读取二代证UID码，并将UID码、身份证号IDN和银行主账号PAN按上述的步骤做关联，并将关联信息加密存放在后台数据库里。在ATM机或POS机上使用银行卡时，ATM机或POS机读取银行卡PAN信息和二代证UID码，并将信息提交给后台系统，由后台系统按上述的比对步骤进行自动比对，如果一致则允许继续操作，否则禁止银行卡的使用。

上述的用于防止盗用智能卡的方法，通过发智能卡前，先将身份证号、二代证UID码与智能卡应用系列号相关联，在使用时，自动获取并比对所使用的智能卡和身份证号、二代证UID码，判断关联信息是否一致，如果一致则背书成功允许使用，如果不一致则背书失败不允许使用，达到了防止智能卡被冒用的目的，解决了现有卡应用系统中使用时与法定二代证关联认证的问题，在使用时中仅自动读取二代证UID码，不读取二代证的其它信息，不存在个人身份信息泄密的问题，成本低，有利于应用推广。

如图6所示，是本实施例提供的用于防止盗用智能卡的系统，包括信息读取单元1、关联信息获取单元2、存储单元3、读取和获取单元4以及比对单元5。

信息读取单元1，用于发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号。

关联信息获取单元2，用于获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息。

存储单元3，用于存储所述关联信息。

读取和获取单元4，用于使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息。

比对单元5，用于比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，身份证给智能卡的应用背书成功，进行成功操作；若不一致，则终止操作。

利用身份证号、二代证UID码以及智能卡的应用系列号进行关联，这些唯一性数据进行加密处理形成关联信息，而不是采用简单的UID明文比对，具有防篡改和防拷贝的能力。

关联信息获取单元2对身份证号、二代证UID码与智能卡应用系列号的关联信息采用加密方式获取，加解密算法采用标准算法，如DES，TDES，AES，RSA，SM等加解密算法。

具体的，关联信息获取单元2包括获取模块21以及组合模块22。

获取模块21，用于获取安全报文认证码以及身份证号密文。

组合模块22，用于将身份证号、身份证号密文和安全报文认证码构成关联信息。

更进一步的，上述的获取模块21包括主密钥获取子模块211、子密钥获取子模块212、认证码生成子模块213、存储密钥获取子模块214以及密文形成子模块215。

主密钥获取子模块211，用于由行业应用主密钥根据应用系列号进行分散，获得智能卡的主应用主密钥。

子密钥获取子模块212，用于由智能卡的主应用主密钥利用城市代码和应用标识进行分散，获得安全报文认证子密钥。

认证码生成子模块213，用于由安全报文认证子密钥对二代证UID码以及身份证号生成安全报文认证码。

存储密钥获取子模块214，用于由智能卡的主应用主密钥利用二代证UID码进行分散，获得身份证号存储密钥。

密文形成子模块215，用于由身份证号存储密钥对身份证号进行加密，形成身份证号密文。

其中，主密钥获取子模块211由行业应用主密钥(MK)根据应用系列号(ASN)进行分散，获得智能卡的主应用主密钥(IMK)：

IMK＝TDES(MK)[ASN]||TDES(MK)[ANS⊕”FFFFFFFFFFFFFFFF”]。

子密钥获取子模块212由智能卡的主应用主密钥(IMK)利用城市代码(CC)和应用标识(AID)进行分散，获得安全报文认证(MAC)子密钥(AK)：AK＝TDES(IMK)[CC||AID]||TDES(IMK)[(CC||AID)⊕”FFFFFFFFFFFFFFFF”]。

认证码生成子模块213由安全报文认证子密钥(AK)对二代证UID码以及身份证号(IDN)生成安全报文认证码(MAC)：

MAC＝TMAC(AK)[“0000000000000000”,UID||IDN]。

存储密钥获取子模块214由智能卡的主应用主密钥(IMK)利用二代证UID码进行分散，获得身份证号存储密钥(SK)：

SK＝TDES(IMK)[UID]||TDES(IMK)[(UID)⊕”FFFFFFFFFFFFFFFF”]。

密文形成子模块215由身份证号存储密钥(SK)对身份证号(IDN)进行加密，形成身份证号密文(IDNC)：

IDNC＝TDES(SK)[IDN||”800000000000”]。

组合模块22利用身份证号(IDN)、身份证号密文(IDNC)和安全报文认证码(MAC)构成关联信息(MSG)，可以防止泄露，也提高防拷贝的功能。

存储单元3将关联信息(MSG)保持在后台数据库内或存储在芯片卡内。

更进一步的，读取和获取单元4包括提交模块41、子密钥反产生模块42、认证码反计算模块43、密码产生模块44以及明文反获取模块45。

提交模块41，用于提交二代证UID码和身份证号。

子密钥反产生模块42，用于利用城市代码和应用标识产生安全报文认证子密钥。

认证码反计算模块43，用于根据安全报文认证子密钥，计算安全报文认证码。

密码产生模块44，用于利用二代证UID码产生存储密钥的密码。

明文反获取模块45，用于对身份证号密文进行解密获得身份证号的明文。

在使用时，是将智能卡放置在前端POS设备进行使用，该前端POS设备配有PSAM卡，行业应用主密钥(MK)存放在PSAM卡内，并由PSAM卡进行TDES加解密计算，前端POS设备先读取二代证UID码和智能卡(两者读取不分先后)内相关信息，然后根据所读取的关联信息(MSG)、二代证UID码、芯片卡应用系列号(ASN)、城市代码(CC)和应用标识(AID)等信息进行比对。

提交模块41是将二代证UID码和身份证号(IDN)提交给PSAM卡。

子密钥反产生模块42是由PSAM卡利用城市代码(CC)和应用标识(AID)产生安全报文认证子密钥(AK)：

AK＝TDES(IMK)[CC||AID]||TDES(IMK)[(CC||AID)⊕”FFFFFFFFFFFFFFFF”]。

认证码反计算模块43根据安全报文认证子密钥(AK)，计算安全报文认证码(MAC1)：MAC1＝TMAC(AK)[“0000000000000000”,UID||IDN]。

密码产生模块44利用二代证UID码产生存储密钥(SK)的密码：

SK＝TDES(IMK)[UID]||TDES(IMK)[(UID)⊕”FFFFFFFFFFFFFFFF”]。

明文反获取模块45对身份证号密文进行解密获得身份证号IDN1的明文：IDN1＝TDES^-1(SK)[IDNC]。

更进一步的，比对单元5包括认证码对比模块51以及身份证号对比模块52。

认证码对比模块51，用于判断使用时获取的安全报文认证码是否与存储的关联信息内的安全报文认证码是否一致，若不一致，则终止操作。

身份证号对比模块52，用于判断使用时获取的身份证号是否与存储的关联信息内的身份证号是否一致，若不一致，则终止操作，若一致，则身份证给智能卡的应用背书成功，进行成功操作。

双重判断，可以增加使用时对智能卡的验证，提高防盗用的程度。

将上述的用于防止盗用智能卡的方法运用在驾培计时过程中时，二代证是我国法定的身份证件，也是最重要的证件，身份证正面有个人的重要信息：姓名、性别、家庭住址、出生日期、身份证号、有效期、照片。身份证跟政治、经济、社会活动息息相关，如去银行、政府部门办事、交通出行、住店、旅游、出差均需要出示身份证。基本上都会随身携带身份证或将身份证妥善保管好，不会将身份证交给他人保管，预防被不法之人盗用，因此，用二代证作为计时学车的身份识别具有很高的可信度。

每个驾校根据需要配置一定数量的二代证读卡器，用于学员报名注册时的身份识别，读取学员的身份证号，姓名等信息，同时将二代证的UID码(具有唯一性)与学员学时卡的学员编号(驾校代码||学员流水号)按上述的系统做关联，并将关联信息加密存放在学时卡里，完成后发放学时卡，完成学员的注册，使用时，比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，一致则允许计时学车，不一致则终止学车。

于其他实施例，上述的用于防止盗用智能卡的方法运用在银行卡系统的ATM机和POS机中时，可以有效的防止伪造的银行卡盗窃人们的财产。在现行银行账户开户的流程中均要出示身份证，并用二代证读卡器读取身份证信息，在此环节中增加读取二代证UID码，并将UID码、身份证号IDN和银行主账号PAN按上述的系统做关联，并将关联信息加密存放在后台数据库里。在ATM机或POS机上使用银行卡时，ATM机或POS机读取银行卡PAN信息和二代证UID码，并将信息提交给后台系统，由后台系统按上述的系统进行自动比对，如果一致则允许继续操作，否则禁止银行卡的使用。

上述的用于防止盗用智能卡的系统，通过发智能卡前，先将身份证号、二代证UID码与智能卡应用系列号相关联，在使用时，自动获取并比对所使用的智能卡和身份证号、二代证UID码，判断关联信息是否一致，如果一致则背书成功允许使用，如果不一致则背书失败不允许使用，达到了防止智能卡被冒用的目的，解决了现有卡应用系统中使用时与法定二代证关联认证的问题，在使用时中仅自动读取二代证UID码，不读取二代证的其它信息，不存在个人身份信息泄密的问题，成本低，有利于应用推广。

上述仅以实施例来进一步说明本发明的技术内容，以便于读者更容易理解，但不代表本发明的实施方式仅限于此，任何依本发明所做的技术延伸或再创造，均受本发明的保护。本发明的保护范围以权利要求书为准。

Claims (10)

1.用于防止盗用智能卡的方法，其特征在于，所述方法包括：

发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号；

获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息；

存储所述关联信息；

使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息；

比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，身份证给智能卡的应用背书成功，进行成功操作；若不一致，则终止操作。

2.根据权利要求1所述的用于防止盗用智能卡的方法，其特征在于，获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息的步骤，包括以下具体步骤：

获取安全报文认证码以及身份证号密文；

将身份证号、身份证号密文和安全报文认证码构成关联信息。

3.根据权利要求2所述的用于防止盗用智能卡的方法，其特征在于，获取安全报文认证码以及身份证号密文的步骤，包括以下具体步骤:

由行业应用主密钥根据应用系列号进行分散，获得智能卡的主应用主密钥；

由智能卡的主应用主密钥利用城市代码和应用标识进行分散，获得安全报文认证子密钥；

由安全报文认证子密钥对二代证UID码以及身份证号生成安全报文认证码；

由智能卡的主应用主密钥利用二代证UID码进行分散，获得身份证号存储密钥；

由身份证号存储密钥对身份证号进行加密，形成身份证号密文。

4.根据权利要求3所述的用于防止盗用智能卡的方法，其特征在于，使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息的步骤，包括以下具体步骤：

提交二代证UID码和身份证号；

利用城市代码和应用标识产生安全报文认证子密钥；

根据安全报文认证子密钥，计算安全报文认证码；

利用二代证UID码产生存储密钥的密码；

对身份证号密文进行解密获得身份证号的明文。

5.根据权利要求4所述的用于防止盗用智能卡的方法，其特征在于，比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致的步骤，包括以下具体步骤：

判断使用时获取的安全报文认证码是否与存储的关联信息内的安全报文认证码是否一致，若不一致，则终止操作，若一致，则进入下一步骤；

判断使用时获取的身份证号是否与存储的关联信息内的身份证号是否一致，若不一致，则终止操作，若一致，则身份证给智能卡的应用背书成功，进行成功操作。

6.用于防止盗用智能卡的系统，其特征在于，包括信息读取单元、关联信息获取单元、存储单元、读取和获取单元以及比对单元；

所述信息读取单元，用于发放智能卡前，读取身份证号、二代证UID码以及智能卡的应用系列号；

所述关联信息获取单元，用于获取身份证号、二代证UID码以及智能卡的应用系列号的关联信息；

所述存储单元，用于存储所述关联信息；

所述读取和获取单元，用于使用时，读取二代证UID码以及智能卡的信息，获取二代证UID码与智能卡的信息的关联信息；

所述比对单元，用于比对二代证UID码与智能卡的信息的关联信息是否与存储的所述关联信息一致，若一致，身份证给智能卡的应用背书成功，进行成功操作；若不一致，则终止操作。

7.根据权利要求6所述的用于防止盗用智能卡的系统，其特征在于，所述关联信息获取单元包括获取模块以及组合模块；

所述获取模块，用于获取安全报文认证码以及身份证号密文；

所述组合模块，用于将身份证号、身份证号密文和安全报文认证码构成关联信息。

8.根据权利要求7所述的用于防止盗用智能卡的系统，其特征在于，所述获取模块包括主密钥获取子模块、子密钥获取子模块、认证码生成子模块、存储密钥获取子模块以及密文形成子模块；

所述主密钥获取子模块，用于由行业应用主密钥根据应用系列号进行分散，获得智能卡的主应用主密钥；

所述子密钥获取子模块，用于由智能卡的主应用主密钥利用城市代码和应用标识进行分散，获得安全报文认证子密钥；

所述认证码生成子模块，用于由安全报文认证子密钥对二代证UID码以及身份证号生成安全报文认证码；

所述存储密钥获取子模块，用于由智能卡的主应用主密钥利用二代证UID码进行分散，获得身份证号存储密钥；

所述密文形成子模块，用于由身份证号存储密钥对身份证号进行加密，形成身份证号密文。

9.根据权利要求8所述的用于防止盗用智能卡的系统，其特征在于，所述读取和获取单元包括提交模块、子密钥反产生模块、认证码反计算模块、密码产生模块以及明文反获取模块；

所述提交模块，用于提交二代证UID码和身份证号；

所述子密钥反产生模块，用于利用城市代码和应用标识产生安全报文认证子密钥；

所述认证码反计算模块，用于根据安全报文认证子密钥，计算安全报文认证码；

所述密码产生模块，用于利用二代证UID码产生存储密钥的密码；

所述明文反获取模块，用于对身份证号密文进行解密获得身份证号的明文。

10.根据权利要求9所述的用于防止盗用智能卡的系统，其特征在于，所述比对单元包括认证码对比模块以及身份证号对比模块；

所述认证码对比模块，用于判断使用时获取的安全报文认证码是否与存储的关联信息内的安全报文认证码是否一致，若不一致，则终止操作；

所述身份证号对比模块，用于判断使用时获取的身份证号是否与存储的关联信息内的身份证号是否一致，若不一致，则终止操作，若一致，则身份证给智能卡的应用背书成功，进行成功操作。