[发明专利]访问控制装置和方法

说明书

本发明涉及便携式数据载体，如IC卡、芯片卡和智能卡；并更具体地涉及控制对这些卡上的所含信息进行访问和更改的各种人的权限的安全系统。

美国专利4,816,653号(Anderl等)讲授一种用于IC卡的文件系统。该系统具有多级权限，以控制对命令、数据和各文件头里所含的口令数据保护的访问。如果在有关的工作站上该人的口令和权限表明该人具有进行所请求操作的权限，这个系统响应读写请求从该工作站提供或记录数据。IC卡接口本身没有很好的保护，因为在一个改变的或假冒的工作站对该接口偷偷摸摸的监视将暴露该口令和其它被传送的信息。在工作站和IC卡之间没有防止假冒卡或假冒工作站的“握手”协议。

美国专利5,048,085号(Abraham等)讲授一种系统，其具有“握手”协议和其它方法以防止假冒。在这个系统里，各用户的权限驻留在用户简要表里，该用户简要表确定每个用户能进行的操作以及这些操作何时可被操作。在这个系统里，简要表可从另一个认证的装置下装以改进系统的灵活性。这些特点和其它特点被使用以促进本发明，而且该专利所描述的原理被结合作为本发明的参考资料。

美国专利4,802,218号和4,900,903号(Wright等)讲授一种以邮政计量系统为例的自动交易系统，其容纳用户卡、识别个人的主管人卡、价目卡和存贮数据的主卡。卡上的微处理机和邮资印刷站上的微处理机进行“握手”操作以鉴定卡和邮资印刷站。

从这些先有技术的各种原理中一个较严重发现在于，当需要广泛分配，诸如在医疗和社会服务应用时，主管人的口令受到危害。例如，如果所有的要访问IC卡里信息的医生必须使用相同的口令，则让欺骗者获取该口令使他能滥用该系统的可能性是很大的。

美国专利4,095,739(Fox等)讲授一种用于控制对一个计算机和一个远程终端网络的访问的系统。用户把他们的标识卡插入远程终端上的读卡机里，识别数据被读出并和存储在特许用户表里的数据进行比较，特许用户表放在中央计算机里或者放在各个远程终端里。一个想更新特许表的主管人必须插入含有主管人标识数据的主管人标识卡，该卡也要和存贮在特许表里的数据进行比较。

美国专利4,837,422(Dethloff等)描述一种和上面所提及相象的一种多用户卡，其中特许持卡人/用户可以通过把子用户的密码号等同验证数据送入卡内进而授权子用户。以这种方式主用户不需要向他人泄漏主密码号却又允许他人使用该卡。对扩充和使用类型的进一步限制作出了规定。仍然，因为各个密码必须由该卡分别地识别，所以不可能在该卡里存储所有的密码号，例如一个健康卡所必需的所有密码号，以允许所有需要访问一个患者卡的健康护里工作者去进行访问，又不损害该卡的安全。

美国专利5,010,237(Kawana)讲授一种存贮着多个密码号的IC卡，这些密码号和特许用户输入的号码进行比较，比较决定在事务处理期间哪些操作是允许的。例如对第一PIN(密码号)的比较允许主管人在卡上读和写，但不允许发送。和第二PIN的比较允许管理人员写和发送卡的数据，但不允许读卡。

美国专利5,055,658(Cockburn)讲授一种安全系统，其中在塑料记忆卡上的主关键字可被编程以识别同类从属字和诸如拇指纹的标识信息，来让特许从属字持有人访问塑料记忆卡设备，主关键字使该设备受到保护。

这个系统和上面提及的其它系统一样，包括主管人在内的所有用户的比较数据必须被存储在对其访问要受到控制的设备里。当这些设备是计算机或远程工作站时，大存储量是可以得到，但即使这样，只能预期有限量的主管人。当被访问的设备是IC卡时，它不具备足够的存储器，用以存储识别为提供治疗可能需要访问一个患者卡的各个急诊室医生的数据。

如在较前面所提及的，已经知道可通过输入一个密码号或PIN借助特许简要表准许对IC卡的访问。当大量主管人必须访问各卡时，密码号必须由所有的主管人共享，这不是一种安全的方式。把各个主管人的PIN存贮在各个卡上是不实际的，因为当要把新的主管人增入系统时或者一个PIN改变时，必须更新所有的卡。为使PIN保持安全，每个主管人必须把更改过的PIN输入到已经发放的各张卡里。不仅主管人会淹没在大量的工作中，而且不可能使每个持卡人带着他们的卡到一个特定的人那里进行更新。