專利名稱:身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法
技術(shù)領(lǐng)域:
本發(fā)明屬于第二代身份證的身份識(shí)別應(yīng)用領(lǐng)域�����,尤其是指第二代身份證在 身份識(shí)別系統(tǒng)中的應(yīng)用方法��。具體是指使用我國第二代身份證的射頻芯片中可 以自由使用的內(nèi)部認(rèn)證密鑰��,執(zhí)行內(nèi)部認(rèn)證命令加密運(yùn)算生成用戶身份信息�, 在身份識(shí)別系統(tǒng)中存儲(chǔ)和比較用戶身份信息,確認(rèn)用戶身份的合法性���,對(duì)于合 法的用戶提供賬戶管理等功能服務(wù)。
背景技術(shù):
我們知道�,IC卡最重要的應(yīng)用功能是身份認(rèn)證和電子支付,在包括門禁 控制(Access Control )���、考勤���、計(jì)算機(jī)登錄、食堂售飯���、學(xué)生和員工管理��、社 保等聯(lián)機(jī)或脫機(jī)的應(yīng)用系統(tǒng)中�����,通常使用接觸或非接觸IC卡來實(shí)現(xiàn)用戶身份 認(rèn)證����。在眾多的應(yīng)用系統(tǒng)中獨(dú)立發(fā)行IC卡, 一方面會(huì)增加系統(tǒng)投資���,在一定 程度上造成了社會(huì)資源的浪費(fèi)���,另 一方面也會(huì)因?yàn)樾枰獢y帶和使用多張IC卡 給持卡人帶來不便。
我國第二代身份證的換發(fā)于2004年全面啟動(dòng)�����,到2005年底����,公安部門 共為居民制發(fā)了 1.02億張第二代身份證�,預(yù)計(jì)到2008年底基本完成全國換發(fā) 第二代身份證的工作。如果能在不同的應(yīng)用設(shè)備和系統(tǒng)中使用由國家公安機(jī) 關(guān)頒發(fā)的��、具有最廣泛的持有人群的第二代身份證的電子信息來識(shí)別用戶身 份���,則可以在保證數(shù)據(jù)安全的同時(shí)����,降低系統(tǒng)成本,方便用戶使用�。本發(fā)明 就是基于這樣的愿望和現(xiàn)實(shí)出發(fā)點(diǎn)提出的。
第二代身份證的核心技術(shù)是使用我國自主研發(fā)的符合IS014443 Type B 標(biāo)準(zhǔn)的專用射頻芯片��。其典型的應(yīng)用模式是基于國家公安部頒布的 GA467-2004標(biāo)準(zhǔn)�����,在閱讀設(shè)備中使用射頻模塊和專用的SAM_V安全模塊讀 取第二代身份證射頻芯片內(nèi)所存儲(chǔ)的文字和圖像等安全信息����,包括與持證/卡
人身份相關(guān)的固定信息和追加信息。
在200420103550.8實(shí)用新型專利中�,提出了 一種在門禁考勤系統(tǒng)中兼容
第二代身份證的智能卡讀卡器,讀卡器的控制器包括編制有程序能夠讀取身 份證芯片序列號(hào)的可編程器件�。由于第二代身份證的射頻接口符合IS014443 TypeB標(biāo)準(zhǔn),其通訊時(shí)序和協(xié)議屬于已知和公開的技術(shù)����,缺乏新穎性和創(chuàng)造 性;該專利申請(qǐng)僅限于使用第二代身份證的芯片序列號(hào)信息�,在嚴(yán)格意義上
不能保證數(shù)據(jù)的安全性和唯一性,除了可以在安全性要求不高的應(yīng)用領(lǐng)域���,
例如特定應(yīng)用范圍的門禁考勤系統(tǒng)中使用之外�����,不具有廣泛的實(shí)用性�;該專
利申請(qǐng)僅限于應(yīng)用在門禁考勤應(yīng)用,不具有普遍的應(yīng)用價(jià)值���。
在200510033195.0和200510033202.7發(fā)明專利中,仍然提出了第二代身 份證管理號(hào)和序列號(hào)的讀取設(shè)備和方法����,以及第二代身份證的管理號(hào)和序列 號(hào)的設(shè)置及應(yīng)用方法�。同樣,對(duì)于第二代身份證芯片的射頻接口和閱讀方法 是IS014443 TypeB標(biāo)準(zhǔn)定義的����,屬于公開和已知的技術(shù),缺乏新穎性和創(chuàng) 造性�����。而且�,由于第二代身份證芯片管理號(hào)和序列號(hào)是可以自由讀取的信息����, 盡管具有唯一性�����,但在理論上是可以使用空白芯片進(jìn)行復(fù)制的���,用這些數(shù)據(jù) 或其組合后的信息來識(shí)別用戶身份,顯然難以保證較高的數(shù)據(jù)安全要求��,同 樣不具有廣泛意義上的實(shí)用性�����。
發(fā)明內(nèi)容
本發(fā)明的主要目的是提供一種兼顧經(jīng)濟(jì)性和安全性���,具體地是指第二代居 民身份證在身份識(shí)別系統(tǒng)中的使用方法�,使用第二代身份證的射頻芯片中可以 自由使用的內(nèi)部認(rèn)證密鑰���,通過內(nèi)部認(rèn)證命令加密運(yùn)算生成用戶身份信息���,所 述的身份識(shí)別系統(tǒng)通過生成、存儲(chǔ)和比較這些信息來識(shí)別用戶身份�����,實(shí)現(xiàn)用戶 賬戶管理或其他系統(tǒng)服務(wù)功能。
為了實(shí)現(xiàn)以上目的�,下面具體分析和說明實(shí)現(xiàn)以上發(fā)明目的的技術(shù)方案的
可行性。
第一�,我國第二代身份證的射頻芯片與閱讀設(shè)備之間的通訊協(xié)議符合ISO 14443TypeB標(biāo)準(zhǔn),但是�����,在專用的第二代身份證閱讀設(shè)備中需要同時(shí)使用射 頻模塊和專用的SAM—V安全模塊����, 一方面是通過SAM—V安全模塊對(duì)第二代 身份證的射頻芯片進(jìn)行外部認(rèn)證,獲取包括姓名�����、住址�����、身份證號(hào)碼和照片在 內(nèi)的文字���、圖像固定信息和追加信息文件的閱讀權(quán)限���;另一方面是對(duì)所讀取的 固定信息和追加信息進(jìn)行解密運(yùn)算。
第二�,在第二代身份證的射頻芯片中的內(nèi)部認(rèn)證密鑰不需要SAM—V安全 模塊進(jìn)行安全認(rèn)證即可自由使用。這樣�,在所述的身份識(shí)別系統(tǒng)可以使用標(biāo)準(zhǔn) 的非接觸IC卡接口設(shè)備,使用第二代身份證的射頻芯片中的內(nèi)部認(rèn)證密鑰進(jìn) 行加密運(yùn)算���,生成用戶身份信息�����,不需要知道具體的密鑰值和加密算法即可建 立與用戶身份的唯一對(duì)應(yīng)關(guān)系�����。
第三����,在所述的身份識(shí)別系統(tǒng)中使用以上用戶身份信息�,不需使用用戶姓 名、住址���、身份證號(hào)和照片等具體的信息來識(shí)別用戶身份�,這樣,僅需要在所 述的身份識(shí)別系統(tǒng)中配置標(biāo)準(zhǔn)的非接觸IC卡接口即可實(shí)現(xiàn)本發(fā)明的技術(shù)方
案�����,不需要使用在常規(guī)第二代身份證閱讀設(shè)備中必須使用的SAM—V安全模塊�����,
極大地簡化了網(wǎng)絡(luò)系統(tǒng)的硬件配置�。
第四,以上所述的用戶身份信息���,是經(jīng)過第二代身份證發(fā)行方寫入的內(nèi)部 認(rèn)證密鑰進(jìn)行加密運(yùn)算得到的��,對(duì)于芯片廠商和第二代身份證發(fā)行方之外的其 他方而言是難以復(fù)制的����,可以保證在所述的身份識(shí)別系統(tǒng)中使用這些信息的唯 一性和安全性�����。
第五,以上所述的用戶身份信息僅供所述的身份識(shí)別系統(tǒng)內(nèi)部使用,不 需關(guān)注這些信息的具體含義�����,不會(huì)對(duì)第二代身份證的壽命和數(shù)據(jù)安全構(gòu)成任
何損害。
根據(jù)以上分析�,在所述的身份識(shí)別系統(tǒng)中通過符合IS014443 Type B標(biāo)準(zhǔn) 的非接觸IC卡接口,使用第二代身份證的射頻芯片的內(nèi)部認(rèn)證密鑰加密運(yùn)算 生成的用戶身份信息來識(shí)別用戶身份���,實(shí)現(xiàn)用戶身份識(shí)別和賬戶管理的方法是 切實(shí)可行的���,據(jù)此,本發(fā)明給出使用身份證的射頻芯片的內(nèi)部認(rèn)證密鑰加密運(yùn) 算后的結(jié)果識(shí)別用戶身份的步驟���,技術(shù)方案如下
(1) 注冊(cè)在用戶使用所述的身份識(shí)別系統(tǒng)之前�,需要先做用戶注冊(cè)�, 所述的身份識(shí)別系統(tǒng)按照〃尋卡〃、"選卡〃和〃內(nèi)部認(rèn)證〃的命令過程生成用戶身 份信息Y,存儲(chǔ)在所述的身份識(shí)別系統(tǒng)中����,在此稱之為用戶注冊(cè)身份信息;
(2) 使用對(duì)于已注冊(cè)的用戶����,在用戶使用所述的身份識(shí)別系統(tǒng)時(shí),由 所述的身份識(shí)別系統(tǒng)同樣按照(1)中描述的命令過程生成用戶身份信息���,在 此稱之為用戶當(dāng)前身份信息X;
(3) 認(rèn)證所述的身份識(shí)別系統(tǒng)將用戶當(dāng)前身份信息X與用戶注冊(cè)身份 信息Y進(jìn)行比較��,如果存在與用戶當(dāng)前身份信息X—致的用戶注冊(cè)身份信息Y, 則確認(rèn)當(dāng)前用戶的合法身份���,提供相應(yīng)的系統(tǒng)功能服務(wù)��;如果沒有與X—致的 Y�����,則拒絕當(dāng)前用戶的合法身份�,停止后續(xù)的系統(tǒng)功能服務(wù)�,結(jié)束本次身份認(rèn)
證過程。
以下具體分析相關(guān)技術(shù)實(shí)現(xiàn)過程�。為了簡化起見,沒有考慮在射頻工作范 圍內(nèi)存在兩張或多張身份證時(shí)的抗碰撞(Anti-collision)處理���,在命令碼后省 略了需要附加的2個(gè)字節(jié)的CRC校驗(yàn)碼����。所述的身份識(shí)別系統(tǒng)通過IS014443 Type B標(biāo)準(zhǔn)的非接觸IC卡接口設(shè)備向身份證的射頻芯片發(fā)送如下命令 a)尋卡命令���,命令碼為0x05 0x00 0x00,正確的命令應(yīng)答返回包括應(yīng)答 前綴標(biāo)志���、虛擬唯一序列號(hào)和協(xié)議信息�����。例如某一張真實(shí)的身份證卡返回的數(shù) 據(jù)為0x50 0x00 0x00 0x00 0x00 0xDl 0x03 0x00 0x81 0x00 0x70 0xC0, 0x表示
后面的數(shù)據(jù)是16進(jìn)制數(shù)據(jù)����。
b )選卡命令,命令碼為OxlD 0x00 0x00 0x00 0x00 0x00 0x08 0x01 0x08, 正確的命令應(yīng)答為0x08;
c )內(nèi)部認(rèn)證命令����,命令碼為0x00 0x88 0x00 0x42 0x0A Datal ,正確的命 令應(yīng)答為Data2 0x90 0x00�,其中Datal為10個(gè)字節(jié)的16進(jìn)制數(shù)據(jù),是由所 述的設(shè)備或系統(tǒng)定義的�,Datal針對(duì)某一應(yīng)用是固定不變的,或者使用身份證 射頻芯片的序列號(hào)或管理號(hào)組成變化的Datal數(shù)據(jù)���,Data2是8字節(jié)的16進(jìn) 制加密運(yùn)算結(jié)果���,0x90 0x00是命令正確執(zhí)行的SW1和SW2狀態(tài)字。
例如某一張真實(shí)的身份證在執(zhí)行"內(nèi)部認(rèn)證〃命令0x00 0x88 0x00 0x42 0x0A 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00時(shí)(其中10個(gè)字節(jié) 的0x00假設(shè)是所述設(shè)備或系統(tǒng)定義的Datal數(shù)據(jù)),命令正確執(zhí)行返回的數(shù)據(jù) 為OxCl 0x70 0x8D OxFC 0xB0 OxFF 0x13 0x65 0x90 0x00�����。其中��,前8個(gè)字節(jié) 的返回?cái)?shù)據(jù)就是本發(fā)明給出的用來識(shí)別用戶身份的信息Data2,后面的0x90 0x00是命令正確執(zhí)行的SW1和SW2狀態(tài)字����。
以上命令中的〃尋卡〃和〃選卡〃命令操作非接觸IC卡的通用操作,不是身 份證專用的�,不構(gòu)成專利保護(hù)的內(nèi)容。在"尋卡〃和〃選卡〃之后��,是具體應(yīng)用中 用到的命令���。事實(shí)上����,在〃選卡〃命令之后���,正常的身份證操作還包括執(zhí)行"選 擇文件〃 (Select File )(命令碼為0x00 0xA4 0x00 0x00 0x02 0x60 0x02 )和"讀 二進(jìn)制〃 (Read Binary )(命令碼為0x00 0xB0 0x00 0x00 0x20 )的命令�,讀取 32字節(jié)的卡體號(hào)和數(shù)據(jù)號(hào)����。事實(shí)上��,專利申請(qǐng)200510033202.7即是利用這些 數(shù)據(jù)作為身份證的識(shí)別信息���。然而,這些數(shù)據(jù)是自由可讀的����,難以有效地保證 這些數(shù)據(jù)不被復(fù)制,并不是高度安全�����、可靠的身份識(shí)別信息����。
本發(fā)明的身份識(shí)別方法���,是在〃尋卡〃 (REQB)和〃選卡〃 (ATTRIB)標(biāo)準(zhǔn) 命令之后�����,跳過〃選擇文件〃和〃讀二進(jìn)制〃命令����,直接執(zhí)行"內(nèi)部認(rèn)證"(Internal Authentication)命令,這里的內(nèi)部認(rèn)證密鑰是身份證專用的��,命令碼中的參 數(shù)P1 (0x00)和P2 (0x42)是身份證自定義的��,在此使用〃內(nèi)部認(rèn)證〃命令是 具體應(yīng)用自定義的�����,而且�,我們盡管不知道內(nèi)部認(rèn)證的算法和具體密鑰值, 但是我們知道其密鑰值對(duì)于每個(gè)身份證來說應(yīng)該是分散的(Diversified),即 使使用相同的命令數(shù)據(jù)Datal ���,不同的身份證的內(nèi)部認(rèn)證運(yùn)算結(jié)果Data2也
是不同的����,所以使用內(nèi)部認(rèn)證的運(yùn)算結(jié)果Data2作為用戶身份識(shí)別信息是本 發(fā)明獨(dú)有的�����。當(dāng)然����,在"尋卡〃和〃選卡〃標(biāo)準(zhǔn)命令之后����,也可以執(zhí)行"選擇文件" 和〃讀二進(jìn)制〃命令�,可以用命令返回的數(shù)據(jù)組成后續(xù)〃內(nèi)部認(rèn)證〃命令的Datal 數(shù)據(jù),這樣��,不同的身份證可以使用不同的Datal�。在此,我們不是直接使 用Datal作為用戶身份識(shí)別信息���,因?yàn)镈atal是可能復(fù)制的����,而Data2則是 不可復(fù)制的����,是可以唯一����、安全地代表用戶身份的信息。
本發(fā)明所述的身份識(shí)別系統(tǒng)中不需要具有身份證的密碼算法和內(nèi)部認(rèn)證 密鑰���,而常規(guī)的身份證閱讀設(shè)備則需使用SAM_V安全模塊每次隨機(jī)產(chǎn)生的 Da ta 1對(duì)身份證進(jìn)行內(nèi)部認(rèn)證�,SAM_V安全模塊和身份證具有相同的密碼算 法并可以臨時(shí)生成與身份證內(nèi)部認(rèn)證密鑰相同的密鑰,其目的也不是存儲(chǔ) Data2作為用戶注冊(cè)身份信息�,在下次使用時(shí)對(duì)相同的Datal進(jìn)行內(nèi)部認(rèn)證, 通過比較Data2的一致性來識(shí)別用戶身份�。其后的命令包括"外部認(rèn)證〃 (External Authentication ),需要SAM_V安全模塊計(jì)算認(rèn)證數(shù)據(jù)才能正確執(zhí) 行,在〃外部認(rèn)證〃正確執(zhí)行后���,才能讀取包括文字���、圖像在內(nèi)的身份證信息, 這些已不是本發(fā)明所關(guān)注的內(nèi)容了�。
所述的身份識(shí)別系統(tǒng)中直接生成和存儲(chǔ)一個(gè)或多個(gè)所述的用戶注冊(cè)身份 信息,或者在其他設(shè)備或系統(tǒng)中生成這些信息���,然后再錄入到所述的身份識(shí)別 系統(tǒng)中�;所述的用戶注冊(cè)身份信息存儲(chǔ)在所述的身份識(shí)別系統(tǒng)的終端或后臺(tái)���; 所述的用戶當(dāng)前身份信息和所述的用戶注冊(cè)身份信息的比較在所述的身份識(shí) 別系統(tǒng)的終端或后臺(tái)完成��;所述的用戶注冊(cè)身份信息在所述的身份識(shí)別系統(tǒng)�����, 例如醫(yī)院醫(yī)療保險(xiǎn)系統(tǒng)中長期存儲(chǔ)和使用����,或者在所述的身份識(shí)別系統(tǒng),例如 酒店的門禁系統(tǒng)中臨時(shí)存儲(chǔ)和使用��;多個(gè)所述的身份識(shí)別系統(tǒng)中存儲(chǔ)同 一張身 份證射頻芯片生成的相同或不同的用戶身份信息�����,多個(gè)所述的身份識(shí)別系統(tǒng)相 互關(guān)聯(lián)的或相互獨(dú)立的��,實(shí)現(xiàn)"一卡多用〃的應(yīng)用效果�����。
在所述的身份識(shí)別系統(tǒng)中使用第二代身份證的可以自由使用的內(nèi)部認(rèn)證 密鑰加密運(yùn)算生成的用戶身份信息來識(shí)別持證人的身份��,可廣泛應(yīng)用于目前使 用磁卡��、光卡��、條碼卡以及各種接觸或非接觸式IC卡識(shí)別持卡人身份的應(yīng)用 領(lǐng)域��,在這些應(yīng)用領(lǐng)域中取代原有的身份識(shí)別卡或與其兼容使用�����,所述的身份 識(shí)別系統(tǒng)可以只支持使用身份證��,還可以同時(shí)支持使用磁卡���、條碼卡����、接觸或 非接觸IC卡等身份認(rèn)證介質(zhì)�����。
本發(fā)明的新穎性�����、創(chuàng)造性和實(shí)用性主要體現(xiàn)在以下幾方面首先���,本發(fā)明的新穎性和創(chuàng)造性在于忽略了身份證的射頻芯片中所存 儲(chǔ)的包括持證人姓名��、住址和照片在內(nèi)的安全信息����,也不是簡單地利用身份 證的射頻芯片所存儲(chǔ)的管理號(hào)、序列號(hào)等可以自由讀取的信息來識(shí)別用戶身 份�����,而是巧妙地利用了身份證的射頻芯片的可以自由使用的內(nèi)部認(rèn)證密鑰�, 加密運(yùn)算生成的用戶身份信息來識(shí)別用戶的合法身份,利用這些信息建立與 用戶身份的唯一對(duì)應(yīng)關(guān)系���,所述的身份識(shí)別系統(tǒng)不需要了解內(nèi)部認(rèn)證密鑰值 和密碼算法�,在安全實(shí)現(xiàn)用戶合法身份識(shí)別的同時(shí)不涉及用戶其他信息��,也 不對(duì)身份證發(fā)行方構(gòu)成任何威脅和損害��,是本發(fā)明方案與已有技術(shù)方案的本 質(zhì)區(qū)別�����。
其次����,本發(fā)明的實(shí)用性體現(xiàn)在以低廉的系統(tǒng)配置實(shí)現(xiàn)安全的用戶身份 識(shí)別,不需要在所述的身份識(shí)別系統(tǒng)中使用專用的SAM—V安全模塊���,僅在 所述的身份識(shí)別系統(tǒng)中使用通用的射頻讀卡器或嵌入式射頻接口就可以使用 身份證的射頻芯片的內(nèi)部認(rèn)證密鑰加密運(yùn)算生成用戶身份信息�,在不增加所 述的身份識(shí)別系統(tǒng)成本的同時(shí)��,降低了用戶IC卡方面的投資�����,也節(jié)省了卡片 的發(fā)行成本�。
再次,本發(fā)明的實(shí)用性還體現(xiàn)在我國第二代身份證具有最為廣泛的����、現(xiàn) 成的持證/卡人群,是人們需要經(jīng)常攜帶和使用的身份證件��,擴(kuò)展第二代身份 證的應(yīng)用領(lǐng)域和應(yīng)用范圍具有成本低廉和使用方便的特點(diǎn)�,使第二代身份證 在人們的在日常生活和工作中發(fā)揮更大的作用。
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明做進(jìn)一步的說明�����。
圖1是使用身份證的網(wǎng)絡(luò)身份識(shí)別系統(tǒng)結(jié)構(gòu)示意圖�����; 圖2是使用身份證識(shí)別用戶身份的應(yīng)用方法流程圖��。
具體實(shí)施例方式
圖1所示是使用身份證識(shí)別用戶身份的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖,作為本發(fā)明 所述的身份識(shí)別系統(tǒng)的一種典型結(jié)構(gòu)����。該系統(tǒng)由后臺(tái)管理系統(tǒng)11和131至13n 多個(gè)閱讀終端系統(tǒng)通過網(wǎng)絡(luò)連接系統(tǒng)12連接構(gòu)成。每個(gè)閱讀終端系統(tǒng)分別配 置141至14n多個(gè)射頻讀卡器�����,射頻讀卡器具有符合IS〇14443 Type B標(biāo)準(zhǔn)的 非接觸IC卡接口����,每個(gè)射頻讀卡器分別操作在所述的身份識(shí)別系統(tǒng)中注冊(cè)和 使用的多張身份證,如圖中151到15n所示��。其中網(wǎng)絡(luò)連接系統(tǒng)12是專用或
公用的局域或廣域網(wǎng)����,閱讀終端系統(tǒng)131至13n配置獨(dú)立的射頻讀卡器151 至15n,或者將射頻功能集成在閱讀終端設(shè)備中�,構(gòu)成一體的閱讀終端設(shè)備。
除了圖1所示的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)之外����,所述身份識(shí)別系統(tǒng)的另外一種結(jié)構(gòu)是 非聯(lián)網(wǎng)的單機(jī)設(shè)備或系統(tǒng)。此時(shí)��,不需要后臺(tái)管理系統(tǒng)11和網(wǎng)絡(luò)連接系統(tǒng)12, 只由其中的一個(gè)閱讀終端系統(tǒng)例如131構(gòu)成單機(jī)身份識(shí)別系統(tǒng)��,或者將射頻讀 卡功能集成在閱讀終端設(shè)備中����,構(gòu)成單機(jī)身份識(shí)別設(shè)備��。
圖2所示是使用身份證識(shí)別用戶身份的應(yīng)用方法流程圖�����。在圖l所示一個(gè) 或多個(gè)閱讀終端系統(tǒng)141至14n分別對(duì)身份證的射頻芯片進(jìn)行操作����,生成如前 文所述Data2或者將Data2做另外的組合、變換后的信息作為用戶身份信息��。 在此��,將閱讀終端系統(tǒng)預(yù)先采集生成的用戶身份信息稱為用戶注冊(cè)身份信息�����, 用Y表示�����,將Y存儲(chǔ)在閱讀終端系統(tǒng)或后臺(tái)管理系統(tǒng)中,根據(jù)系統(tǒng)注冊(cè)用戶 的數(shù)量���,Y可以是一組數(shù)�,也可以是多組數(shù)���。類似地���,對(duì)于已經(jīng)在系統(tǒng)中注冊(cè) 的用戶,在識(shí)別其用戶身份時(shí)�����,按照同樣的操作生成用戶當(dāng)前身份信息��,用X 表示����,閱讀終端系統(tǒng)或后臺(tái)管理系統(tǒng)搜尋存儲(chǔ)用戶注冊(cè)身份信息Y的數(shù)據(jù)庫, 比較是否存在與用戶當(dāng)前身份信息X —樣的用戶注冊(cè)身份信息Y����。
圖2中省略了生成和存儲(chǔ)用戶注冊(cè)身份信息Y的"注冊(cè)〃過程���,假設(shè)在所述 的身份識(shí)別中已預(yù)先存有一個(gè)或多個(gè)用戶注冊(cè)身份信息Y。圖2只給出了身份 證在所述的身份識(shí)別系統(tǒng)中的"使用 〃和"認(rèn)證〃步驟如下
步驟21是尋卡操作��,所述的身份識(shí)別系統(tǒng)通過射頻接口反復(fù)搜尋在其工 作距離范圍內(nèi)是否存在可以識(shí)別的身份證的"尋卡〃命令�����,命令代碼為0x05 0x00 0x00��,如果有可以識(shí)別的身份證/卡存在�,則返回相關(guān)的卡片信息���,例如 0x50 0x00 0x00 0x00 0x00 0xDl 0x03 0x00 0x81 0x00 0x70 0xC0�。
步驟22是對(duì)于所尋找到的身份證/卡發(fā)送"選卡〃命令���,命令碼為0xlD 0x00 0x00 0x00 0x00 0x00 0x08 0x01 0x08,正確〃選卡〃后身份證/卡返回0x08應(yīng)答 敖據(jù)���。為了描述方便起見,省略了可能在射頻工作范圍存在多張可以識(shí)別的身 份證/卡的情況�����,這種情況需要相應(yīng)的〃抗碰撞〃 (Anti-collision )處理。
"選卡〃命令正確執(zhí)行后����,可以跳過身份證常規(guī)操作需要的"選擇文件"和 〃讀二進(jìn)制〃命令,直接使用所述設(shè)備或系統(tǒng)定義的10個(gè)字節(jié)的輸入數(shù)據(jù) Datal,執(zhí)行步驟23的"內(nèi)部認(rèn)證〃命令���,命令碼為內(nèi)部認(rèn)證0x00 0x88 0x00 0x42 0x0A Datal,在此假設(shè)Datal為0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09���。步驟23正確執(zhí)行后,身份證返回內(nèi)部認(rèn)證密鑰的加密運(yùn)算結(jié)果Data2 0x90 0x00��。例如對(duì)于上面假設(shè)的Datal數(shù)據(jù)�����,某一張身份證返回的加密 運(yùn)算結(jié)果和命令執(zhí)行狀態(tài)字為0x75 0xB3 0x4C 0x01 0x8A 0xB7 OxCO 0x98 0x90 0x00��,其中前8個(gè)字節(jié)即為16進(jìn)制的Data2數(shù)據(jù)��。直接使用Data2或?qū)?Data2另做其他的組合�����、變換�����,生成用戶身份信息,在此用X表示����。
得到用戶當(dāng)前身份信息X之后,閱讀終端系統(tǒng)或后臺(tái)管理系統(tǒng)執(zhí)行步驟 24,搜尋預(yù)先存儲(chǔ)的用戶注冊(cè)身份信息數(shù)據(jù)庫��,執(zhí)行步驟25比較判斷是否有 與用戶當(dāng)前身份信息X —致的用戶注冊(cè)身份信息Y;如果存在Y與X —致的 情況����,則執(zhí)行步驟26確認(rèn)用戶的合法身份���,繼續(xù)執(zhí)行后續(xù)步驟27為用戶提供 賬戶管理和其他系統(tǒng)功能服務(wù)��,然后結(jié)束本次身份認(rèn)證過程��;如果不存在用戶 注冊(cè)身份信息Y與當(dāng)前用戶身份信息X—致的情況����,則執(zhí)行步驟28����,拒絕用 戶的合法身份���,停止為用戶提供相應(yīng)的服務(wù),結(jié)束本次身份認(rèn)證過程����。
權(quán)利要求
1、身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法����,所述的身份識(shí)別系統(tǒng)配置了符合ISO14443 Type B標(biāo)準(zhǔn)的非接觸IC卡接口設(shè)備,其特征是包括下列步驟(1)注冊(cè)所述的身份識(shí)別系統(tǒng)對(duì)一個(gè)或多個(gè)用戶使用的第二代身份證的射頻芯片發(fā)送″內(nèi)部認(rèn)證″命令����,使用第二代身份證射頻芯片的內(nèi)部認(rèn)證密鑰,加密運(yùn)算生成一個(gè)或多個(gè)用戶注冊(cè)身份信息Y并存儲(chǔ)在所述的身份識(shí)別系統(tǒng)中��;(2)使用所述的身份識(shí)別系統(tǒng)對(duì)某一個(gè)用戶使用的第二代身份證的射頻芯片進(jìn)行操作�����,按照步驟(1)中所述的與生成用戶注冊(cè)身份信息Y相同的方法生成用戶當(dāng)前身份信息X����;(3)認(rèn)證所述的身份識(shí)別系統(tǒng)搜尋用戶注冊(cè)信息Y,比較是否存在與用戶當(dāng)前身份信息X一致的用戶注冊(cè)身份信息Y,如果存在則確認(rèn)用戶的合法身份�,為用戶提供賬戶管理或其他系統(tǒng)功能服務(wù),如果不存在���,則拒絕用戶的合法身份�,拒絕賬戶管理或其他系統(tǒng)功能服務(wù)���。
2���、 根據(jù)權(quán)利要求1所述的身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法,其特征 在于所述的身份識(shí)別系統(tǒng)對(duì)其射頻工作距離內(nèi)的身份證射頻芯片發(fā)送如下命 令��,此處省略了命令碼后2字節(jié)的CRC校驗(yàn)碼(1)尋卡����,命令碼為0x05 0x00 0x00�����,命令正確執(zhí)行后的應(yīng)答返回包括 應(yīng)答前綴標(biāo)志��、虛擬唯一序列號(hào)和協(xié)議信息�;(2 )選卡,命令碼為0xlD 0x00 0x00 0x00 0x00 0x00 0x08 0x01 0x08,命 令正確執(zhí)行后的應(yīng)答為0x08;(3 )內(nèi)部認(rèn)證,命令碼為0x00 0x88 0x00 0x42 0x0A Datal �����,命令正確后 的應(yīng)答為Data2 0x90 0x00�,其中Datal為所述身份識(shí)別系統(tǒng)定義的10字節(jié)的 16進(jìn)制輸入數(shù)據(jù),由所述的身份識(shí)別系統(tǒng)自定義的固定數(shù)據(jù)或者使用身份證射 頻芯片的序列號(hào)或管理號(hào)相關(guān)的數(shù)據(jù)組成變化的Datal輸入數(shù)據(jù)�����;Data2是8 字節(jié)的16進(jìn)制加密運(yùn)算結(jié)果���,0x90 0x00是命令正確執(zhí)行的SW1和SW2狀態(tài) 字內(nèi)部認(rèn)證密鑰對(duì)于不同的身份證是分散的����,且只能使用���、不能讀取�,密碼 算法也是保密的�,因而Data2在理論上具有安全性和唯一性的特征。
3����、 根據(jù)權(quán)利要求1或2所述的身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法,其 特征在于在"選卡〃命令之后直接執(zhí)行〃內(nèi)部認(rèn)證〃命令對(duì)Datal輸入數(shù)據(jù)進(jìn)行 加密運(yùn)算得到Data2運(yùn)算結(jié)果。
4���、 根據(jù)權(quán)利要求3所述的身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法��,其特征在于在所述的身份識(shí)別系統(tǒng)中使用Data2或?qū)ata2進(jìn)行組合�����、變換����、運(yùn)算 處理生成用戶注冊(cè)身份信息Y或用戶當(dāng)前身份信息X;在所述的身份識(shí)別系統(tǒng) 中直接生成和存儲(chǔ)所述的用戶注冊(cè)身份信息Y�,或者在其他設(shè)備或系統(tǒng)中生成 所述的用戶注冊(cè)身份信息Y,再轉(zhuǎn)存到所述的身份識(shí)別系統(tǒng)中�;在所述的身份 識(shí)別系統(tǒng)的終端或后臺(tái)存儲(chǔ)或比較用戶注冊(cè)身份信息Y和用戶當(dāng)前身份信息X 的一致性。
5�����、 根據(jù)權(quán)利要求4所述的身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法����,其特征 在于所述的身份識(shí)別系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)��、單機(jī)系統(tǒng)或設(shè)備,所述的射頻IC卡 接口設(shè)備是與計(jì)算機(jī)聯(lián)機(jī)使用的射頻讀卡器��,或者是具有射頻IC卡接口的包 括門禁或考勤系統(tǒng)在內(nèi)的專用設(shè)備�����。
6����、 根據(jù)權(quán)利要求5所述的身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法,其特征 在于所述的用戶身份信息可以在所述的身份識(shí)別系統(tǒng)�,例如聯(lián)網(wǎng)的醫(yī)療保險(xiǎn) 系統(tǒng)中生成、長期存儲(chǔ)和使用�����,也可以在所述的身份識(shí)別系統(tǒng)����,例如酒店門禁 系統(tǒng)中臨時(shí)生成、存儲(chǔ)和使用��。
7��、 根據(jù)權(quán)利要求6所述的身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法�,其特征 在于在一個(gè)或多個(gè)所述的身份識(shí)別系統(tǒng)中使用相同的身份證���;多個(gè)所述的身 份識(shí)別系統(tǒng)中使用相同或不同的Datal輸入數(shù)據(jù),生成���、存儲(chǔ)和比較相同或不 同的用戶身份信息���;多個(gè)所述的身份識(shí)別系統(tǒng)是相互關(guān)聯(lián)或相互獨(dú)立的,實(shí)現(xiàn) 了"一^^多用〃的應(yīng)用效果����。
全文摘要
身份證在身份識(shí)別系統(tǒng)中的應(yīng)用方法,使用身份證的射頻芯片中可以自由使用的內(nèi)部認(rèn)證密鑰��,加密運(yùn)算生成用戶身份信息�����,在所述的身份識(shí)別系統(tǒng)中生成�、存儲(chǔ)和比較用戶身份信息,實(shí)現(xiàn)用戶身份識(shí)別���、賬戶管理和其他系統(tǒng)服務(wù)����。技術(shù)方案包括下列步驟(1)注冊(cè)所述的身份識(shí)別系統(tǒng)對(duì)身份證的射頻芯片發(fā)送內(nèi)部認(rèn)證命令�,使用其內(nèi)部認(rèn)證密鑰,對(duì)所述身份識(shí)別系統(tǒng)定義的輸入數(shù)據(jù)加密運(yùn)算�,生成和存儲(chǔ)用戶注冊(cè)身份信息Y;(2)使用所述的身份識(shí)別系統(tǒng)對(duì)用戶身份證進(jìn)行操作���,按照與用戶注冊(cè)過程相同的方法生成用戶當(dāng)前身份信息X����;(3)認(rèn)證所述的身份識(shí)別系統(tǒng)搜尋和比較用戶注冊(cè)身份信息Y和用戶當(dāng)前身份信息X的一致性���,識(shí)別用戶的合法身份�。
文檔編號(hào)G06K7/00GK101201887SQ20061016575
公開日2008年6月18日 申請(qǐng)日期2006年12月15日 優(yōu)先權(quán)日2006年12月15日
發(fā)明者耀 王 申請(qǐng)人:耀 王