專利名稱:非接觸式cpu卡一卡多應(yīng)用安全認(rèn)證加密系統(tǒng)的制作方法
專利說明本實用新型涉及CPU卡,具體而言涉及非接觸式CPU卡一卡多應(yīng)用安全認(rèn)證加密 系統(tǒng)��。
背景技術(shù):
目前市面上出現(xiàn)的IC卡(Integrated Card集成電路卡)從器件技術(shù)上分��,可分 為非加密存儲卡�、加密存儲卡及CPU卡��。非加密卡沒有安全性��,可以任意改寫卡內(nèi)的數(shù)據(jù)�。 而加密存儲卡在普通存儲卡的基礎(chǔ)上加了邏輯加密電路�����,成了邏輯加密存儲卡����。邏輯加密 存儲卡由于采用密碼控制邏輯來控制對EEPROM的訪問和改寫,在使用之前需要校驗密碼 才可以進(jìn)行寫操作����,所以對于芯片本身來說是安全的,但在應(yīng)用上是不安全的?����,F(xiàn)有的一卡 通產(chǎn)品大多是基于菲利普公司生產(chǎn)的Mifare 1而研制開發(fā)的����,在過去的十幾年里,它們一 直占據(jù)著主導(dǎo)優(yōu)勢�。但在最近����,國家政府部門提出基于Mifare 1卡的所有產(chǎn)品具有安全性 問題����,特別是在消費領(lǐng)域,其加密系統(tǒng)容易被犯罪分子非法破解����,從而造成公眾的財產(chǎn)被惡 意侵占。它主要存在有以下不安全性因素1���、密碼在線路上是明文傳輸?shù)?�,易被截?��。?、對于系統(tǒng)商來說�,密碼及加密算法都是透明的�����。3�、邏輯加密卡是無法認(rèn)證應(yīng)用是否合法的�����。例如����,假設(shè)有人偽造了 ATM�����,我們無法知道它的合法性�。當(dāng)插入信用卡,輸入PIN的 時候�����,信用卡的密碼就被截獲了��。再如INTENET網(wǎng)上購物�����,如果用邏輯加密卡��,購物者同樣 無法確定網(wǎng)上商店的合法性�����。正是由于邏輯加密卡使用上的不安全因素,促進(jìn)了 CPU卡的 發(fā)展�。CPU卡可以做到對人、對卡����、對系統(tǒng)的三方的合法性認(rèn)證。CPU卡具有三種認(rèn)證方 法持卡者合法性認(rèn)證����,即PIN校驗;卡合法性認(rèn)證����,即內(nèi)部認(rèn)證;系統(tǒng)合法性認(rèn)證��,即外部 認(rèn)證�。一般與CPU卡配合使用的還有一個SAM (Secure Access Module)安全訪問模塊,它 們大多嵌入到讀卡裝置中���,與外部CPU卡片實現(xiàn)雙向身份認(rèn)證,這樣做大大提高了原有一 卡通系統(tǒng)的安全性�。但在有的系統(tǒng)中�����,例如門禁控制系統(tǒng)���,通常讀卡裝置與控制裝置是分體 設(shè)計的,通過SAM安全訪問模塊傳輸?shù)挠脩糍Y料或密鑰信息在到達(dá)控制裝置的過程中仍可 能被截獲�����,因此仍然存在一定的安全性問題�。
發(fā)明內(nèi)容本實用新型為解決現(xiàn)有技術(shù)中CPU卡應(yīng)用時用戶資料或密鑰信息容易截獲的缺 點,提出了一種將信息認(rèn)證模塊置于后端靠近控制裝置的非接觸式CPU卡一卡多應(yīng)用安全 認(rèn)證加密系統(tǒng)���。本實用新型的技術(shù)方案是提供一種非接觸式CPU卡一卡多應(yīng)用安全認(rèn)證加密系 統(tǒng)����,所述系統(tǒng)包括射頻發(fā)送加密的用戶身份信息的CPU卡�、接收所述加密的用戶身份信息 進(jìn)行解密得到原始用戶身份信息并將其發(fā)送的讀卡裝置以及接收所述原始用戶身份信息并根據(jù)其權(quán)限執(zhí)行相應(yīng)操作的控制裝置,其中所述讀卡裝置還包括射頻接收所述加密的 用戶身份信息的前端信息讀取模塊�����;和串行連接在所述前端信息讀取模塊上以遠(yuǎn)程接收并 解密所述加密的用戶身份信息的后端信息解密模塊。由于前端信息讀取模塊與后端信息解密模塊可進(jìn)行遠(yuǎn)程通信���,因此����,后端信息解 密模塊可與控制裝置一同設(shè)在隱蔽的位置處�,如弱電井中,在此遠(yuǎn)程通信鏈路中傳輸?shù)木?是加密的信息���,從而增大了非法獲取用戶身份信息的難度�����。根據(jù)本實用新型的一個實施例���,所述CPU卡包括文件存儲單元、加密算法單元���、 隨機(jī)數(shù)產(chǎn)生單元�����、射頻收發(fā)單元以及通過控制總線協(xié)調(diào)文件存儲單元�����、加密算法單元�、隨機(jī) 數(shù)產(chǎn)生單元����、射頻收發(fā)單元執(zhí)行以下操作的中央控制處理單元與所述后端信息解密模塊相互進(jìn)行系統(tǒng)認(rèn)證,如果系統(tǒng)認(rèn)證成功�����,則獲取所述文 件存儲單元中的所述用戶身份信息���,如果不成功則結(jié)束操作�;通過所述加密算法單元采用第一加密算法對所述用戶身份信息和所述隨機(jī)數(shù)產(chǎn) 生單元產(chǎn)生的隨機(jī)數(shù)X進(jìn)行運算���,得到所述加密的用戶身份信息����;所述射頻收發(fā)單元發(fā)送所述加密的用戶身份信息和所述隨機(jī)數(shù)X�。根據(jù)本實用新型的一個實施例,所述系統(tǒng)還包括與所述CPU卡射頻通信并與系統(tǒng) 應(yīng)用軟件串行通信的發(fā)卡裝置�����,所述發(fā)卡裝置串行接收所述系統(tǒng)應(yīng)用軟件發(fā)送的用戶身份 信息和訪問密鑰,通過射頻方式將所述訪問密鑰和所述用戶身份信息分別以安全文件類型 和基本文件類型寫入所述CPU卡的文件存儲單元中�。由CPU卡本身的安全訪問機(jī)制來保證該用戶身份信息的安全性,利用對所述訪問 密鑰的認(rèn)證來獲取所述用戶身份信息����。通常如果外部讀卡裝置是合法的,則在該外部讀卡 裝置中必須存儲了該訪問密鑰和對應(yīng)的加密算法����。在本實用新型中,對CPU卡的訪問符合 IS014443標(biāo)準(zhǔn)�,并且在安全認(rèn)證方面符合IS07816標(biāo)準(zhǔn)。根據(jù)本實用新型的一個實施例����,所述前端信息讀取模塊包括射頻收發(fā)單元、串行 收發(fā)單元����、存儲單元以及通過控制總線協(xié)調(diào)控制所述射頻收發(fā)單元、串行收發(fā)單元����、存儲單 元工作以完成以下操作的中央控制處理單元射頻接收所述CPU卡的所述加密的用戶身份信息和所述隨機(jī)數(shù)����;以及串行發(fā)送所述加密的用戶身份信息和所述隨機(jī)數(shù)�。根據(jù)本實用新型的一個實施例,所述后端信息解密模塊包括串行收發(fā)單元����、安全 訪問單元��、韋根輸出單元以及通過控制總線協(xié)調(diào)控制所述串行收發(fā)單元��、安全訪問單元�、韋 根輸出單元工作以完成以下操作的中央控制處理單元將串行接收的所述加密的用戶身份信息和隨機(jī)數(shù)χ發(fā)送給所述安全訪問單元;由所述安全訪問單元采用與所述第一加密算法相反的邏輯對所述加密的用戶身 份信息和隨機(jī)數(shù)X進(jìn)行運算得到所述原始的用戶身份信息����;以及遵照韋根協(xié)議將所述原始的用戶身份信息發(fā)送給所述控制裝置。由上述技術(shù)方案可知�,本實用新型的讀卡裝置采用后端信息解密模塊與前端信息 讀取模塊分體設(shè)計的方式,并將后端信息解密模塊與控制裝置就近設(shè)置在隱蔽的地方(如 弱電井中)�,后端信息解密模塊與前端信息讀取模塊之間采用RS-485協(xié)議進(jìn)行遠(yuǎn)程通信, 在此通信鏈路以及CPU卡與前端信息讀取模塊的射頻通信鏈路上均傳輸疊加了隨機(jī)數(shù)的 加密的用戶身份信息����。此外����,CPU卡與后端解密模塊進(jìn)行系統(tǒng)認(rèn)證����,防止不是本系統(tǒng)的設(shè)備進(jìn)行讀卡操作,或防止使用不是本系統(tǒng)的CPU卡��。在信息加密過程中���,附加CPU卡序列號以 及裝置序列號可以增強(qiáng)加密的用戶身份信息的安全性���。因此,該系統(tǒng)可保證用戶身份信息 的高度安全
圖1是根據(jù)本實用新型的實施例的讀卡裝置分體設(shè)計的結(jié)構(gòu)框圖����;圖2是根據(jù)本實用新型的實施例的CPU卡的內(nèi)部結(jié)構(gòu)示意圖;圖3是根據(jù)本實用新型的實施例的后端解密模塊的內(nèi)部結(jié)構(gòu)示意圖�;圖4是根據(jù)本實用新型的實施例的CPU卡的文件存儲類型圖;圖5是根據(jù)本實用新型的實施例的發(fā)卡裝置的結(jié)構(gòu)框圖�����;圖6是根據(jù)本實用新型的實施例的前端信息讀取模塊的內(nèi)部結(jié)構(gòu)示意圖����;圖7是根據(jù)本實用新型的實施例CPU卡中的用戶身份信息加密傳輸?shù)牧鞒虉D�����;圖8是根據(jù)本實用新型的實施例獲取CPU卡中的用戶身份信息的系統(tǒng)認(rèn)證流程 圖����。
具體實施方式
如圖1所示��,其中顯示了一種非接觸式CPU卡一卡多應(yīng)用安全認(rèn)證加密系統(tǒng)��,它包 括CPU卡11�����、讀卡裝置12以及控制裝置13��,讀卡裝置12包括前端信息讀取模塊14和后端 信息解密模塊15����,前端信息讀取模塊14用于射頻接收CPU卡11的加密的用戶身份信息�����, 其中,CPU卡11射頻發(fā)送加密的用戶身份信息����,讀卡裝置12中的前端信息讀取模塊14接 收該加密的用戶身份信息,并以串行通信方式發(fā)送給后端信息解密模塊15��,由其解密該用 戶身份信息�,并以韋根方式發(fā)送給控制裝置13,控制裝置13接收解密的用戶身份信息并根 據(jù)其權(quán)限執(zhí)行相應(yīng)操作���。在本實施例中�,前端信息讀取模塊14與后端解密模塊的通信采用 RS-485串行通信方式��,通信距離可達(dá)1200米��。但本實用新型不限于此���,只要滿足遠(yuǎn)程通信 條件即可��。在本實施例中���,控制裝置13是門禁控制器,它根據(jù)解密的用戶身份信息判斷用 戶是否有出入權(quán)限,并執(zhí)行開鎖和閉鎖的操作����。如圖2所示,其中顯示了 CPU卡11的內(nèi)部結(jié)構(gòu)����,包括文件存儲單元32、加密算法 單元33���、隨機(jī)數(shù)產(chǎn)生單元34以及射頻收發(fā)單元35��,文件存儲單元32�����、加密算法單元33、隨 機(jī)數(shù)產(chǎn)生單元34以及射頻收發(fā)單元35通過控制總線連接在中央控制處理單元31上�����,通過 加載COS (Chip Operation System芯片操作系統(tǒng))系統(tǒng)來對上述各個部件進(jìn)行控制與后端信息解密模塊15相互進(jìn)行系統(tǒng)認(rèn)證��,如果系統(tǒng)認(rèn)證成功����,則獲取文件存儲 單元32中的用戶身份信息��,如果不成功則結(jié)束操作�;通過加密算法單元33采用第一加密算法對用戶身份信息和隨機(jī)數(shù)產(chǎn)生單元34產(chǎn) 生的隨機(jī)數(shù)X進(jìn)行運算�����,得到加密的用戶身份信息���;射頻收發(fā)單元35向讀卡裝置12發(fā)送加密的用戶身份信息和隨機(jī)數(shù)χ����。由于CPU卡11自帶COS系統(tǒng)�,可以植入加密算法,并疊加一個隨機(jī)數(shù)�����,使得每次加 密生成的加密的用戶身份信息相應(yīng)也是隨機(jī)的���。因此�����,在射頻鏈路上很難獲取用戶身份信 肩�����、ο在本實施例中�����,第一加密算法可以是3DES算法或RSA算法����,但本實用新型不限于此。CPU卡11與普通邏輯加密卡的最大不同點在于帶有操作系統(tǒng)����,并且信息是按照文 件格式存放的。CPU卡11作為信息的載體�����,在卡片里必須能存儲信息�,比如說��,存放用戶的身份信 息在CPU卡11上(包括姓名����、年齡����、工作單位���、職務(wù)���、電話等)。現(xiàn)在的CPU卡一般都是最 多只支持三層目錄文件的����,有的國外的卡只支持兩層目錄文件。此外����,CPU卡還與常規(guī)文件 操作有以下不同點CPU卡創(chuàng)建一個文件時必須先聲明創(chuàng)建的文件的類型以及創(chuàng)建文件的 空間大小�����;CPU卡創(chuàng)建完一個文件后不可以刪除�����。(測試發(fā)卡的時候可以例外,但刪除的是 MF(Master File)�,即刪除卡片中的所有文件和目錄);CPU卡文件類型只有很少幾種�,沒有 后綴名;CPU卡創(chuàng)建文件����、寫文件必須通過向卡片發(fā)送APDU報文的方式進(jìn)行,并且每次寫的 字節(jié)數(shù)不能超過256字節(jié)��。下面詳細(xì)介紹CPU卡的文件結(jié)構(gòu)CPU卡的文件類型有兩種UMF (Master File主文件)根目錄����,是卡片文件系統(tǒng)的根,相當(dāng)于DOS的根目錄�, 每張卡有且只有一個MF文件。不同卡片廠商的MF的創(chuàng)建方式是不同的�����。主要有兩種方式 在卡片個人化過程中由發(fā)卡方創(chuàng)建��;或者廠商提供卡片的時候已經(jīng)創(chuàng)建���,發(fā)卡方不能再創(chuàng)建�����。2���、DF (Dedicated File目的文件)DF相當(dāng)于DOS的子目錄。DDF和ADF 我們把包含下級目錄的DF稱之為DDF�,不包含下級目錄的稱之為ADF。在CPU卡中���,定義了三種基本文件(EF���,Elementary File)類型一、透明文件基本文件存儲了各種應(yīng)用的數(shù)據(jù)和管理信息��,它存在于MF和DF下�����。 文件數(shù)據(jù)是通過連續(xù)空間中的字節(jié)地址進(jìn)行存取��。如CPU卡的序列號二���、基本文件數(shù)據(jù)是以記錄的方式存放在文件中的�。三、安全文件��,此類文件是和安全有關(guān)的文件���,所以對文件的訪問控制就特別嚴(yán) 格��,對文件只能進(jìn)行寫入�,文件是不可讀的���。文件內(nèi)存放有關(guān)卡片安全的密鑰和口令���。例如, 在本實用新型中����,該文件中存儲了訪問密鑰。而本實用新型的用戶身份信息存儲在基本文 件中�。如圖3所示,顯示了根據(jù)本實用新型的實施例的CPU卡中文件存儲單元的結(jié)構(gòu)圖��。如圖4所示����,后端解密模塊15包括串行收發(fā)單元42�����、安全訪問單元43、存儲單元 44��、韋根輸出單元45以及通過控制總線協(xié)調(diào)控制串行收發(fā)單元42�����、安全訪問單元43�����、存儲 單元44��、韋根輸出單元45工作以完成以下操作的中央控制處理單元41 先與CPU卡11進(jìn)行系統(tǒng)認(rèn)證�����,認(rèn)證通過��,則可訪問CPU卡中的用戶身份信息�;將串行接收的所述加密的用戶身份信息和隨機(jī)數(shù)χ發(fā)送給所述安全訪問單元43 ;由所述安全訪問單元43采用與所述第一加密算法相反的邏輯對所述加密的用戶 身份信息和隨機(jī)數(shù)X進(jìn)行運算得到所述原始的用戶身份信息��;以及遵照韋根協(xié)議將用戶身份信息發(fā)送給控制裝置13?���?刂蒲b置13根據(jù)用戶身份信息的權(quán)限執(zhí)行相應(yīng)操作。CPU卡11在最初到用戶那里時���,需要由用戶管理員通過系統(tǒng)應(yīng)用軟件利用發(fā)卡裝置將各個用戶的身份信息以及訪問密鑰寫入CPU卡11和讀卡裝置12中���。如圖5所示,其 中顯示了發(fā)卡裝置22的結(jié)構(gòu)框圖����。發(fā)卡裝置22與CPU卡11射頻通信,并與系統(tǒng)應(yīng)用軟 件25串行通信�����。發(fā)卡裝置22串行接收所述系統(tǒng)應(yīng)用軟件25發(fā)送的用戶身份信息和訪問 密鑰�����,通過射頻方式將訪問密鑰和用戶身份信息分別以安全文件類型和基本文件類型 寫入 CPU卡11的文件存儲單元32中�����。在系統(tǒng)初始化時,寫入CPU卡11中的訪問密鑰應(yīng)該也要 寫入針對該卡的讀卡裝置12中的后端信息解密模塊15中����,以用于系統(tǒng)認(rèn)證。本實用新型 適用于任何方式的寫入���。這里,系統(tǒng)應(yīng)用軟件25與發(fā)卡裝置的串行通信可采用RS-232協(xié)議��,但本實用新型 不限于此��。如圖6所示����,其中顯示了前端信息讀取模塊14的內(nèi)部結(jié)構(gòu)示意圖。前端信息讀取 模塊14包括射頻收發(fā)單元54���、串行收發(fā)單元52��、存儲單元53以及通過控制總線協(xié)調(diào)控制 所述射頻收發(fā)單元54�����、串行收發(fā)單元52��、存儲單元53工作以完成以下操作的中央控制處理 單元51 射頻接收CPU卡11的加密的用戶身份信息和隨機(jī)數(shù)���;以及串行發(fā)送加密的用戶身份信息和隨機(jī)數(shù)�����。由于本實用新型所采用的CPU卡是符合IS014443標(biāo)準(zhǔn)的卡���,并且安全訪問機(jī)制符 合IS07816標(biāo)準(zhǔn)。因此��,在進(jìn)行系統(tǒng)認(rèn)證過程中��,需要讀卡裝置12和CPU卡雙方協(xié)調(diào)工作����。后端信息解密模塊15通過加密算法對安全訪問單元43中預(yù)先存儲的訪問密鑰和 隨機(jī)數(shù)產(chǎn)生單元的隨機(jī)數(shù)y的運算得到報文鑒別碼MAC1,并發(fā)送該隨機(jī)數(shù)y�。在CPU卡中 也作相同的操作,即�����,采用相同的加密算法對安全文件中存放的訪問密鑰和接收的隨機(jī)數(shù)y 進(jìn)行運算得到另一 MAC2并發(fā)送,然后在后端信息解密模塊卡中比較MACl和MAC2是否相 同�����,如果相同����,認(rèn)證通過,則認(rèn)為卡片合法�����,可以獲取CPU卡中存儲的用戶身份信息�;如果不 同�,認(rèn)證不通過,結(jié)束訪問操作�����。如圖7所示���,其中顯示了根據(jù)本實用新型用于認(rèn)證CPU卡中的用戶身份信息的流 程圖���。該流程包括以下步驟S101CPU卡11與后端信息解密模塊15進(jìn)行系統(tǒng)認(rèn)證,如果認(rèn)證成功則獲取CPU卡 中預(yù)先存儲的用戶身份信息并執(zhí)行步驟S102,如果不成功�,則執(zhí)行步驟S106結(jié)束操作;S102CPU卡11采用第一加密算法對用戶身份信息和隨機(jī)數(shù)χ進(jìn)行運算�,得到加密 的用戶身份信息,然后以射頻方式發(fā)送加密的用戶身份信息和隨機(jī)數(shù)X ��;S103前端信息讀取模塊14接收加密的用戶身份信息和隨機(jī)數(shù)X��,并以串行方式發(fā) 送�;S104后端信息解密模塊15接收加密的用戶身份信息、隨機(jī)數(shù)χ并采用與第一加密 算法相反的邏輯進(jìn)行運算得到用戶身份信息�����;S105后端信息解密模塊15遵照韋根協(xié)議將用戶身份信息發(fā)送給控制裝置13 ��;S106結(jié)束本次操作�。如圖8所示,系統(tǒng)認(rèn)證還包括以下步驟SlOla后端信息解密模塊15中的安全訪問單元43將其預(yù)先存儲的訪問密鑰和隨 機(jī)數(shù)y用第二加密算法進(jìn)行運算���,得到報文鑒別碼MAC1�,并發(fā)送所述隨機(jī)數(shù)y ���;SlOlbCPU卡11接收隨機(jī)數(shù)y����,并與存儲在安全文件中的訪問密鑰用第二加密算法進(jìn)行運算,得到另一報文鑒別碼MAC2�����,發(fā)送另一報文鑒別碼MAC2 ����; SlOlc后端信息解密模塊15接收另一報文鑒別碼MAC2,由其中的安全訪問單元43 比較另一報文鑒別碼MAC2與報文鑒別碼MACl是否相同��,如果相同�����,系統(tǒng)認(rèn)證成功����,執(zhí)行步 驟S102�,如果不相同,系統(tǒng)認(rèn)證不成功����,結(jié)束操作�����。根據(jù)本實用新型的一個方法實施例�����,優(yōu)選地����,所述方法還包括初始化發(fā)卡步驟S201串行接收用戶通過系統(tǒng)應(yīng)用軟件25發(fā)送的用戶身份信息和訪問密鑰��;S202通過射頻通信方式將用戶身份信息存入CPU卡11的文件存儲單元32的基本 文件中����,將訪問密鑰存儲在安全文件中。優(yōu)選地��,加密用戶身份信息時還可附加裝置序列號和CPU卡序列號�����,在系統(tǒng)認(rèn)證 步驟成功之后��,CPU卡11與后端信息解密模塊15相互傳送各自的序列號�。在加密用戶身 份信息時�,除采用隨機(jī)數(shù)X�����、用戶身份信息外�,在附加上裝置序列號和CPU卡序列號,使得加 密得到的用戶身份信息更加安全�����,不易破解�。根據(jù)本實用新型的一個方法實施例,在執(zhí)行步驟S103時��,前端信息讀取模塊14串 行發(fā)送加密的用戶身份信息和隨機(jī)數(shù)采用RS-485協(xié)議��。在本實用新型中�����,對CPU卡的訪問 符合IS014443標(biāo)準(zhǔn)���,并且在安全認(rèn)證方面符合IS07816標(biāo)準(zhǔn)。根據(jù)本實用新型的方法實施的系統(tǒng)可應(yīng)用于各種具有高度安全要求的出入訪問 控制系統(tǒng)中�����,它能夠做到對系統(tǒng)商、對卡以及對設(shè)備三方面的安全加密認(rèn)證�,因此具有很高 的安全性。本實用新型不限于上述具體化的實施例�,在不背離本實用新型的精神和范圍情況 下,可以對其進(jìn)行任意的修改和變形�。這些修改和變形的實施方式依然落于本實用新型的 保護(hù)范圍內(nèi),因此�,本實用新型僅由所附的權(quán)利要求來限定。
權(quán)利要求一種非接觸式CPU卡一卡多應(yīng)用安全認(rèn)證加密系統(tǒng)�,其特征在于,包括通過射頻方式發(fā)送加密的用戶身份信息的CPU卡(11)�;用于接收所述加密的用戶身份信息、并進(jìn)行解密得到原始用戶身份信息的讀卡裝置(12)����,以及接收所述讀卡裝置(12)發(fā)送的所述原始用戶身份信息、并根據(jù)其權(quán)限執(zhí)行相應(yīng)操作的控制裝置(13)���,其中所述讀卡裝置(12)還包括通過射頻方式接收所述加密的用戶身份信息的前端信息讀取模塊(14)和串行連接在所述前端信息讀取模塊(14)上以遠(yuǎn)程接收并解密所述加密的用戶身份信息的后端信息解密模塊(15)��。
2.如權(quán)利要求1所述的非接觸式CPU卡一卡多應(yīng)用安全認(rèn)證加密系統(tǒng)����,其特征在于,所 述系統(tǒng)還包括與所述CPU卡射頻通信并與系統(tǒng)應(yīng)用軟件(25)串行通信的發(fā)卡裝置(22)����,所 述發(fā)卡裝置(22)串行接收所述系統(tǒng)應(yīng)用軟件(25)發(fā)送的用戶身份信息和訪問密鑰,通過 射頻方式將所述訪問密鑰和所述用戶身份信息分別以安全文件類型和基本文件類型寫入 所述CPU卡(11)的文件存儲單元(32)中�����。
專利摘要本實用新型提供一種符合ISO14443標(biāo)準(zhǔn)的非接觸式CPU卡一卡多應(yīng)用安全認(rèn)證加密系統(tǒng)�,包括射頻發(fā)送加密的用戶身份信息的CPU卡、接收所述加密的用戶身份信息進(jìn)行解密得到原始用戶身份信息并將其發(fā)送的讀卡裝置以及接收所述原始用戶身份信息并根據(jù)其權(quán)限執(zhí)行相應(yīng)操作的控制裝置���。本實用新型由于前端信息讀取模塊與后端信息解密模塊可進(jìn)行遠(yuǎn)程通信��,因此����,后端信息解密模塊可與控制裝置設(shè)在隱蔽的位置處����,在此鏈路中傳輸?shù)木羌用艿挠脩羯矸菪畔ⅲ瑥亩龃罅朔欠ǐ@取用戶身份信息的難度�。由于CPU卡上具有COS系統(tǒng),可以植入加密算法,并疊加一個隨機(jī)數(shù)��,使得每次加密生成的加密的用戶身份信息相應(yīng)也是隨機(jī)的���。
文檔編號G07B1/00GK201742425SQ200920130769
公開日2011年2月9日 申請日期2009年4月16日 優(yōu)先權(quán)日2009年4月16日
發(fā)明者劉漢揚, 張燕, 鄧欣 申請人:深圳市數(shù)智國興信息科技有限公司