一种鉴权的方法、终端、门禁卡及SAM卡技术

一种鉴权的方法、终端、门禁卡及SAM卡，该方法应用于门禁系统，包括：终端从门禁卡获取第一消息鉴别码MAC值，从安全存取模块SAM卡获取第二MAC值；比较所述第一MAC值和所述第二MAC值，将比较结果上传给门禁系统。本技术方案采用当前最先进的CPU卡技术，采用只可硬件实现的国密SM1算法，通过设计一套完善的鉴权流程，解决门禁卡的防篡改和不可复制性；提升门禁卡的安全性。

【技术实现步骤摘要】

本专利技术涉及通信领域，特别是涉及一种鉴权的方法、终端、门禁卡及SAM(SecurityAccessmodule，安全存取模块)卡。
技术介绍
目前的门禁卡主要都是采用ID卡(IdentificationCard，身份识别卡)、M1卡，随着ID卡的可复制性，M1卡算法的被破解，这些门禁卡可以低成本的进行复制、篡改，门禁卡的安全性已经大大降低，智能卡内的集成电路中带有微处理器CPU(CentralProcessingUnit，中央处理单元)、存储单元(包括RAM(Random-AccessMemory，随机存取存储器)、程序存储器ROM(Read-OnlyMemory，只读存储器)(Flash(闪存))、用户数据存储器EEPROM(ElectricallyErasableProgrammableRead-OnlyMemory，电可擦可编程只读存储器)以及芯片操作系统COS(ChinaOperatingSystem，中国自主操作系统)。装有COS的CPU卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理和数据安全保护等功能。智能卡内部具有CPU芯片，在具有数据判断能力的同时，也具备了数据分析处理能力，因此智能卡可以随时区分合法和非法读写设备，并且由于有了CPU芯片，具备数据运算能力，还可以对数据进行加密解密处理，因此具有非常高的安全性。CPU卡是在将EEPROM芯片封装在卡片上的同时，将微处理器芯片(CPU)也封装在里面。这样，EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。外部读写设备只能通过CPU与IC卡(IntegratedCircuitCard，集成电路卡)内的EEP-ROM进行数据交换，在任何情况下都不能再访问到EEP-ROM中的任何一个单元。因为CPU卡的高安全性，越来越多的安全级别高的场景开始采用CPU卡作为门禁卡，这种门禁卡一般采用其他行业标准(如PBOC(People'sBankofChina，中国人民银行)，社保卡、公交一卡通等)的应用规范，将其内外部认证流程应用到门禁方案中，通过控制文件的读写权限来实现门禁的控制。这种解决方案不需要定制开发COS，仅需要将现有应用转移到门禁应用领域，卡商、读卡器厂家升级工作少，流程简易明了。采用CPU芯片的门禁卡，安全级别得到了质的提升。目前我国80％左右的门禁卡采用的是ID卡或M1卡的UID(UserIdentification，用户身份标识)号，这种产品只是读取卡片的一个固定号作为身份识别数据，其中没有对数据进行加工或加密认证等，非常容易被复制。稍先进一些的是采用M1卡的扇区进行数据操作，利用每个扇区独立的密钥进行读写校验，但其个人化包括敏感数据和各扇区密钥的更新，都是直接以明文的形式更新的，存在被窃取的风险，另外M1卡的校验机制只能解决卡片对终端的认证，而无法解决终端对卡片的认证，即存在有“伪卡”的风险。随着CPU卡技术的发展，一些高安全要求的门禁卡已经选择CPU卡，这些CPU卡通过文件读写权限控制，内外部认证等方法可以杜绝被篡改、复制的风险，但仍然还存在漏洞，如通过特殊设备采集交互数据，再定制特殊卡片，响应终端的指令，并返回某些特定数据，进而达到冒充某些高权限门禁卡的“假卡”。
技术实现思路
本专利技术要解决的技术问题是提供一种鉴权的方法、终端、门禁卡及SAM卡，以提升门禁卡的安全性。为了解决上述技术问题，本专利技术实施例提供了一种鉴权的方法，应用于门禁系统，包括：终端从门禁卡获取第一消息鉴别码MAC值，从安全存取模块SAM卡获取第二MAC值；比较所述第一MAC值和所述第二MAC值，将比较结果上传给门禁系统。可选地，上述方法还包括：所述终端从所述门禁卡获取第一随机数，将所述第一随机数传输给所述SAM卡，指示所述SAM卡根据所述第一随机数产生会话密钥。可选地，上述方法还包括：所述终端从门禁卡获取第一MAC值之前，还包括：所述终端指示所述SAM卡根据第二随机数生成第三MAC值；从所述SAM卡获取所述第三MAC值，将所述述第三MAC值发送给所述门禁卡，指示所述门禁卡鉴别所述第三MAC值，接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一MAC值。可选地，上述方法还包括：所述终端从门禁卡获取第一MAC值之前，所述终端从所述SAM卡获取所述第二随机数，将所述第二随机数发送给所述门禁卡，指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。可选地，上述方法还包括：所述终端接收到所述门禁卡的鉴别通过消息后，所述终端从所述门禁卡获取电子身份标识，将所述电子身份标识发给所述SAM卡，指示所述SAM卡对所述电子身份标识进行解密；接收所述SAM卡解密后的电子身份标识。可选地，上述方法还包括：所述终端从所述门禁卡获取加密的电子身份标识之后：指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二MAC值。本专利技术实施例还提供了一种终端，应用于门禁系统，其中，包括：获取模块，用于从门禁卡获取第一消息鉴别码MAC值，从安全存取模块SAM卡获取第二MAC值；处理模块，用于比较所述第一MAC值和所述第二MAC值，将比较结果上传给门禁系统。可选地，上述终端还包括：所述获取模块，从所述门禁卡获取第一随机数，将所述第一随机数传输给所述SAM卡，指示所述SAM卡根据所述第一随机数产生会话密钥。可选地，上述终端还包括：所述获取模块，从门禁卡获取第一MAC值之前还用于：指示所述SAM卡根据第二随机数生成第三MAC值；从所述SAM卡获取所述第三MAC值，将所述述第三MAC值发送给所述门禁卡，指示所述门禁卡鉴别所述第三MAC值，接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一MAC值。可选地，上述终端还包括：所述获取模块，从门禁卡获取第一MAC值之前还用于，从所述SAM卡获取所述第二随机数，将所述第二随机数发送给所述门禁卡，指示所述门禁卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。可选地，上述终端还包括：所述获取模块，接收到所述门禁卡的鉴别通过消息后还用于，从所述门禁卡获取电子身份标识，将所述电子身份标识发给所述SAM卡，指示所述SAM卡对所述电子身份标识进行解密；接收所述SAM卡解密后的电子身份标识。可选地，上述终端还包括：所述获取模块，从所本文档来自技高网...

【技术保护点】
一种鉴权的方法，应用于门禁系统，包括：终端从门禁卡获取第一消息鉴别码MAC值，从安全存取模块SAM卡获取第二MAC值；比较所述第一MAC值和所述第二MAC值，将比较结果上传给门禁系统。

【技术特征摘要】
1.一种鉴权的方法，应用于门禁系统，包括：
终端从门禁卡获取第一消息鉴别码MAC值，从安全存取模块SAM卡获
取第二MAC值；
比较所述第一MAC值和所述第二MAC值，将比较结果上传给门禁系
统。
2.如权利要求1所述的方法，其特征在于：还包括：
所述终端从所述门禁卡获取第一随机数，将所述第一随机数传输给所述
SAM卡，指示所述SAM卡根据所述第一随机数产生会话密钥。
3.如权利要求1所述的方法，其特征在于：所述终端从门禁卡获取第一
MAC值之前，还包括：
所述终端指示所述SAM卡根据第二随机数生成第三MAC值；
从所述SAM卡获取所述第三MAC值，将所述述第三MAC值发送给所
述门禁卡，指示所述门禁卡鉴别所述第三MAC值，接收到所述门禁卡的鉴
别通过消息后才从所述门禁卡获取第一MAC值。
4.如权利要求3所述的方法，其特征在于：所述终端从门禁卡获取第一
MAC值之前，还包括：
所述终端从所述SAM卡获取所述第二随机数，将所述第二随机数发送
给所述门禁卡，指示所述门禁卡根据所述第二随机数生成MAC值对所述第
三MAC值进行鉴别。
5.如权利要求4所述的方法，其特征在于：所述终端接收到所述门禁卡
的鉴别通过消息后，还包括：
所述终端从所述门禁卡获取电子身份标识，将所述电子身份标识发给所
述SAM卡，指示所述SAM卡对所述电子身份标识进行解密；
接收所述SAM卡解密后的电子身份标识。
6.如权利要求5所述的方法，其特征在于：所述终端从所述门禁卡获取
加密的电子身份标识之后，还包括：
指示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述
第二MAC值。
7.一种终端，应用于门禁系统，其特征在于，包括：
获取模块，用于从门禁卡获取第一消息鉴别码MAC值，从安全存取模
块SAM卡获取第二MAC值；
处理模块，用于比较所述第一MAC值和所述第二MAC值，将比较结
果上传给门禁系统。
8.如权利要求7所述的终端，其特征在于：
所述获取模块，从所述门禁卡获取第一随机数，将所述第一随机数传输
给所述SAM卡，指示所述SAM卡根据所述第一随机数产生会话密钥。
9.如权利要求7所述的终端，其特征在于：
所述获取模块，从门禁卡获取第一MAC值之前还用于：指示所述SAM
卡根据第二随机数生成第三MAC值；从所述SAM卡获取所述第三MAC值，
将所述述第三MAC值发送给所述门禁卡，指示所述门禁卡鉴别所述第三
MAC值，接收到所述门禁卡的鉴别通过消息后才从所述门禁卡获取第一
MAC值。
10.如权利要求9所述的终端，其特征在于：
所述获取模块，从门禁卡获取第一MAC值之前还用于，从所述SAM卡
获取所述第二随机数，将所述第二随机数发送给所述门禁卡，指示所述门禁
卡根据所述第二随机数生成MAC值对所述第三MAC值进行鉴别。
11.如权利要求10所述的终端，其特征在于：
所述获取模块，接收到所述门禁卡的鉴别通过消息后还用于，从所述门
禁卡获取电子身份标识，将所述电子身份标识发给所述SAM卡，指示所述
SAM卡对所述电子身份标识进行解密；接收所述SAM卡解密后的电子身份

\t标识。
12.如权利要求11所述的终端，其特征在于：
所述获取模块，从所述门禁卡获取加密的电子身份标识之后还包括：指
示所述SAM卡根据所述第二随机数和/或所述电子身份标识生成所述第二
MAC值。
13.一种鉴权的方法，应用于门禁系统，包括，
门禁卡生成会话密钥和第一消息鉴别码MAC值；
利用所述会话密钥对用户身份信息进行加密，得到电子身份标识；
将所述电子身份...

【专利技术属性】
技术研发人员：徐桂，周清，焦华清，
申请(专利权)人：大唐微电子技术有限公司，大唐半导体设计有限公司，
类型：发明
国别省市：北京;11