[发明专利]一种鉴权的方法、终端、门禁卡及SAM卡

说明书

一种鉴权的方法、终端、门禁卡及SAM卡，该方法应用于门禁系统，包括：终端从门禁卡获取第一消息鉴别码MAC值，从安全存取模块SAM卡获取第二MAC值；比较所述第一MAC值和所述第二MAC值，将比较结果上传给门禁系统。本技术方案采用当前最先进的CPU卡技术，采用只可硬件实现的国密SM1算法，通过设计一套完善的鉴权流程，解决门禁卡的防篡改和不可复制性；提升门禁卡的安全性。

技术领域

本发明涉及通信领域，特别是涉及一种鉴权的方法、终端、门禁卡及SAM(SecurityAccess module，安全存取模块)卡。

背景技术

目前的门禁卡主要都是采用ID卡(Identification Card，身份识别卡)、M1卡，随着ID卡的可复制性，M1卡算法的被破解，这些门禁卡可以低成本的进行复制、篡改，门禁卡的安全性已经大大降低，

智能卡内的集成电路中带有微处理器CPU(Central Processing Unit，中央处理单元)、存储单元(包括RAM(Random-Access Memory，随机存取存储器)、程序存储器ROM(Read-Only Memory，只读存储器)(Flash(闪存))、用户数据存储器EEPROM(ElectricallyErasable Programmable Read-Only Memory，电可擦可编程只读存储器)以及芯片操作系统COS(China Operating System，中国自主操作系统)。装有COS的CPU卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理和数据安全保护等功能。

智能卡内部具有CPU芯片，在具有数据判断能力的同时，也具备了数据分析处理能力，因此智能卡可以随时区分合法和非法读写设备，并且由于有了CPU芯片，具备数据运算能力，还可以对数据进行加密解密处理，因此具有非常高的安全性。CPU卡是在将EEPROM芯片封装在卡片上的同时，将微处理器芯片(CPU)也封装在里面。这样，EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。外部读写设备只能通过CPU与IC卡(Integrated Circuit Card，集成电路卡)内的EEP-ROM进行数据交换，在任何情况下都不能再访问到EEP-ROM中的任何一个单元。

因为CPU卡的高安全性，越来越多的安全级别高的场景开始采用CPU卡作为门禁卡，这种门禁卡一般采用其他行业标准(如PBOC(People's Bank of China，中国人民银行)，社保卡、公交一卡通等)的应用规范，将其内外部认证流程应用到门禁方案中，通过控制文件的读写权限来实现门禁的控制。这种解决方案不需要定制开发COS，仅需要将现有应用转移到门禁应用领域，卡商、读卡器厂家升级工作少，流程简易明了。采用CPU芯片的门禁卡，安全级别得到了质的提升。

目前我国80％左右的门禁卡采用的是ID卡或M1卡的UID(User Identification，用户身份标识)号，这种产品只是读取卡片的一个固定号作为身份识别数据，其中没有对数据进行加工或加密认证等，非常容易被复制。稍先进一些的是采用M1卡的扇区进行数据操作，利用每个扇区独立的密钥进行读写校验，但其个人化包括敏感数据和各扇区密钥的更新，都是直接以明文的形式更新的，存在被窃取的风险，另外M1卡的校验机制只能解决卡片对终端的认证，而无法解决终端对卡片的认证，即存在有“伪卡”的风险。

随着CPU卡技术的发展，一些高安全要求的门禁卡已经选择CPU卡，这些CPU卡通过文件读写权限控制，内外部认证等方法可以杜绝被篡改、复制的风险，但仍然还存在漏洞，如通过特殊设备采集交互数据，再定制特殊卡片，响应终端的指令，并返回某些特定数据，进而达到冒充某些高权限门禁卡的“假卡”。

发明内容

本发明要解决的技术问题是提供一种鉴权的方法、终端、门禁卡及SAM卡，以提升门禁卡的安全性。

为了解决上述技术问题，本发明实施例提供了一种鉴权的方法，应用于门禁系统，包括：