一种鉴权的方法、终端、门禁卡及sam卡的制作方法
【技术领域】
[0001 ]本发明涉及通信领域,特别是涉及一种鉴权的方法、终端、门禁卡及SAM(SecurityAccess module,安全存取模块)卡。
【背景技术】
[0002]目前的门禁卡主要都是采用ID卡(Identificat1nCard,身份识别卡)、M1卡,随着ID卡的可复制性,Ml卡算法的被破解,这些门禁卡可以低成本的进行复制、篡改,门禁卡的安全性已经大大降低,
[0003]智能卡内的集成电路中带有微处理器CPU(Central Processing Unit,中央处理单元)、存储单元(包括RAM(Random-Access Memory,随机存取存储器)、程序存储器ROM(Read-Only Memory,只读存储器)(Flash(闪存))、用户数据存储器EEPR0M(ElectricallyErasable Programmable Read-Only Memory,电可擦可编程只读存储器)以及芯片操作系统C0S(China Operating System,中国自主操作系统)。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
[0004]智能卡内部具有CPU芯片,在具有数据判断能力的同时,也具备了数据分析处理能力,因此智能卡可以随时区分合法和非法读写设备,并且由于有了CPU芯片,具备数据运算能力,还可以对数据进行加密解密处理,因此具有非常高的安全性。CPU卡是在将EEPROM芯片封装在卡片上的同时,将微处理器芯片(CPU)也封装在里面。这样,EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。外部读写设备只能通过CPU与IC卡(Integrated Circuit Card,集成电路卡)内的EEP-ROM进行数据交换,在任何情况下都不能再访问到EEP-ROM中的任何一个单元。
[0005]因为CHJ卡的高安全性,越来越多的安全级别高的场景开始采用CHJ卡作为门禁卡,这种门禁卡一般采用其他行业标准(如PB0C(People’s Bank of China,中国人民银行),社保卡、公交一卡通等)的应用规范,将其内外部认证流程应用到门禁方案中,通过控制文件的读写权限来实现门禁的控制。这种解决方案不需要定制开发C0S,仅需要将现有应用转移到门禁应用领域,卡商、读卡器厂家升级工作少,流程简易明了。采用CPU芯片的门禁卡,安全级别得到了质的提升。
[0006]目前我国80%左右的门禁卡采用的是ID卡或Ml卡的UID(UserIdentificat1n,用户身份标识)号,这种产品只是读取卡片的一个固定号作为身份识别数据,其中没有对数据进行加工或加密认证等,非常容易被复制。稍先进一些的是采用Ml卡的扇区进行数据操作,利用每个扇区独立的密钥进行读写校验,但其个人化包括敏感数据和各扇区密钥的更新,都是直接以明文的形式更新的,存在被窃取的风险,另外Ml卡的校验机制只能解决卡片对终端的认证,而无法解决终端对卡片的认证,即存在有“伪卡”的风险。
[0007]随着CPU卡技术的发展,一些高安全要求的门禁卡已经选择CPU卡,这些CPU卡通过文件读写权限控制,内外部认证等方法可以杜绝被篡改、复制的风险,但仍然还存在漏洞,如通过特殊设备采集交互数据,再定制特殊卡片,响应终端的指令,并返回某些特定数据,进而达到冒充某些高权限门禁卡的“假卡”。
【发明内容】
[0008]本发明要解决的技术问题是提供一种鉴权的方法、终端、门禁卡及SAM卡,以提升门禁卡的安全性。
[0009]为了解决上述技术问题,本发明实施例提供了一种鉴权的方法,应用于门禁系统,包括:
[0010]终端从门禁卡获取第一消息鉴别码MAC值,从安全存取模块SAM卡获取第二MAC值;[0011 ]比较所述第一 MAC值和所述第二 MAC值,将比较结果上传给门禁系统。
[0012]可选地,上述方法还包括:
[0013]所述终端从所述门禁卡获取第一随机数,将所述第一随机数传输给所述SAM卡,指示所述SAM卡根据所述第一随机数产生会话密钥。
[0014]可选地,上述方法还包括:所述终端从门禁卡获取第一MAC值之前,还包括:
[0015]所述终端指示所述SAM卡根据第二随机数生成第三MAC值;
[0016]从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值,接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一MAC值。
[0017]可选地,上述方法还包括:所述终端从门禁卡获取第一MAC值之前,所述终端从所述SAM卡获取所述第二随机数,将所述第二随机数发送给所述门禁卡,指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
[0018]可选地,上述方法还包括:所述终端接收到所述门禁卡的鉴别通过消息后,
[0019]所述终端从所述门禁卡获取电子身份标识,将所述电子身份标识发给所述SAM卡,指示所述SAM卡对所述电子身份标识进行解密;
[0020]接收所述SAM卡解密后的电子身份标识。
[0021 ] 可选地,上述方法还包括:所述终端从所述门禁卡获取加密的电子身份标识之后:
[0022]指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值。
[0023]本发明实施例还提供了一种终端,应用于门禁系统,其中,包括:
[0024]获取模块,用于从门禁卡获取第一消息鉴别码MAC值,从安全存取模块SAM卡获取第二 MAC值;
[0025]处理模块,用于比较所述第一MAC值和所述第二 MAC值,将比较结果上传给门禁系统。
[0026]可选地,上述终端还包括:所述获取模块,从所述门禁卡获取第一随机数,将所述第一随机数传输给所述SAM卡,指示所述SAM卡根据所述第一随机数产生会话密钥。
[0027]可选地,上述终端还包括:所述获取模块,从门禁卡获取第一MAC值之前还用于:指示所述SAM卡根据第二随机数生成第三MAC值;从所述SAM卡获取所述第三MAC值,将所述述第三MAC值发送给所述门禁卡,指示所述门禁卡鉴别所述第三MAC值,接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一 MAC值。
[0028]可选地,上述终端还包括:
[0029]所述获取模块,从门禁卡获取第一MAC值之前还用于,从所述SAM卡获取所述第二随机数,将所述第二随机数发送给所述门禁卡,指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
[0030]可选地,上述终端还包括:
[0031]所述获取模块,接收到所述门禁卡的鉴别通过消息后还用于,从所述门禁卡获取电子身份标识,将所述电子身份标识发给所述SAM卡,指示所述SAM卡对所述电子身份标识进行解密;接收所述SAM卡解密后的电子身份标识。
[0032]可选地,上述终端还包括:
[0033]所述获取模块,从所述门禁卡获取加密的电子身份标识之后还包括:指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二 MAC值。
[0034]本发明实施例还提供了一种鉴权的方法,应用于门禁系统,包括,
[0035]门禁卡生成会话密钥和第一消息鉴别码MAC值;
[0036]利用所述会话密钥对用户身份信息进行加密,得到电子身份标识;
[0037]将所述电子身份标识和所述第一MAC值发送给所述终端。
[0038]可选地,所述方法还包括:
[0039]所述门禁卡是利用第一随机数生成所述会话