身份證在身份識別系統中的應用方法
2023-05-29 03:29:36 1
專利名稱:身份證在身份識別系統中的應用方法
技術領域:
本發明屬於第二代身份證的身份識別應用領域,尤其是指第二代身份證在 身份識別系統中的應用方法。具體是指使用我國第二代身份證的射頻晶片中可 以自由使用的內部認證密鑰,執行內部認證命令加密運算生成用戶身份信息, 在身份識別系統中存儲和比較用戶身份信息,確認用戶身份的合法性,對於合 法的用戶提供帳戶管理等功能服務。
背景技術:
我們知道,IC卡最重要的應用功能是身份認證和電子支付,在包括門禁 控制(Access Control )、考勤、計算機登錄、食堂售飯、學生和員工管理、社 保等聯機或脫機的應用系統中,通常使用接觸或非接觸IC卡來實現用戶身份 認證。在眾多的應用系統中獨立發行IC卡, 一方面會增加系統投資,在一定 程度上造成了社會資源的浪費,另 一方面也會因為需要攜帶和使用多張IC卡 給持卡人帶來不便。
我國第二代身份證的換發於2004年全面啟動,到2005年底,公安部門 共為居民制發了 1.02億張第二代身份證,預計到2008年底基本完成全國換發 第二代身份證的工作。如果能在不同的應用設備和系統中使用由國家公安機 關頒發的、具有最廣泛的持有人群的第二代身份證的電子信息來識別用戶身 份,則可以在保證數據安全的同時,降低系統成本,方便用戶使用。本發明 就是基於這樣的願望和現實出發點提出的。
第二代身份證的核心技術是使用我國自主研發的符合IS014443 Type B 標準的專用射頻晶片。其典型的應用模式是基於國家公安部頒布的 GA467-2004標準,在閱讀設備中使用射頻模塊和專用的SAM_V安全模塊讀 取第二代身份證射頻晶片內所存儲的文字和圖像等安全信息,包括與持證/卡
人身份相關的固定信息和追加信息。
在200420103550.8實用新型專利中,提出了 一種在門禁考勤系統中兼容
第二代身份證的智慧卡讀卡器,讀卡器的控制器包括編制有程序能夠讀取身 份證晶片序列號的可編程器件。由於第二代身份證的射頻接口符合IS014443 TypeB標準,其通訊時序和協議屬於已知和公開的技術,缺乏新穎性和創造 性;該專利申請僅限於使用第二代身份證的晶片序列號信息,在嚴格意義上
不能保證數據的安全性和唯一性,除了可以在安全性要求不高的應用領域,
例如特定應用範圍的門禁考勤系統中使用之外,不具有廣泛的實用性;該專
利申請僅限於應用在門禁考勤應用,不具有普遍的應用價值。
在200510033195.0和200510033202.7發明專利中,仍然提出了第二代身 份證管理號和序列號的讀取設備和方法,以及第二代身份證的管理號和序列 號的設置及應用方法。同樣,對於第二代身份證晶片的射頻接口和閱讀方法 是IS014443 TypeB標準定義的,屬於公開和已知的技術,缺乏新穎性和創 造性。而且,由於第二代身份證晶片管理號和序列號是可以自由讀取的信息, 儘管具有唯一性,但在理論上是可以使用空白晶片進行複製的,用這些數據 或其組合後的信息來識別用戶身份,顯然難以保證較高的數據安全要求,同 樣不具有廣泛意義上的實用性。
發明內容
本發明的主要目的是提供一種兼顧經濟性和安全性,具體地是指第二代居 民身份證在身份識別系統中的使用方法,使用第二代身份證的射頻晶片中可以 自由使用的內部認證密鑰,通過內部認證命令加密運算生成用戶身份信息,所 述的身份識別系統通過生成、存儲和比較這些信息來識別用戶身份,實現用戶 帳戶管理或其他系統服務功能。
為了實現以上目的,下面具體分析和說明實現以上發明目的的技術方案的
可行性。
第一,我國第二代身份證的射頻晶片與閱讀設備之間的通訊協議符合ISO 14443TypeB標準,但是,在專用的第二代身份證閱讀設備中需要同時使用射 頻模塊和專用的SAM—V安全模塊, 一方面是通過SAM—V安全模塊對第二代 身份證的射頻晶片進行外部認證,獲取包括姓名、住址、身份證號碼和照片在 內的文字、圖像固定信息和追加信息文件的閱讀權限;另一方面是對所讀取的 固定信息和追加信息進行解密運算。
第二,在第二代身份證的射頻晶片中的內部認證密鑰不需要SAM—V安全 模塊進行安全認證即可自由使用。這樣,在所述的身份識別系統可以使用標準 的非接觸IC卡接口設備,使用第二代身份證的射頻晶片中的內部認證密鑰進 行加密運算,生成用戶身份信息,不需要知道具體的密鑰值和加密算法即可建 立與用戶身份的唯一對應關係。
第三,在所述的身份識別系統中使用以上用戶身份信息,不需使用用戶姓 名、住址、身份證號和照片等具體的信息來識別用戶身份,這樣,僅需要在所 述的身份識別系統中配置標準的非接觸IC卡接口即可實現本發明的技術方
案,不需要使用在常規第二代身份證閱讀設備中必須使用的SAM—V安全模塊,
極大地簡化了網絡系統的硬體配置。
第四,以上所述的用戶身份信息,是經過第二代身份證發行方寫入的內部 認證密鑰進行加密運算得到的,對於晶片廠商和第二代身份證發行方之外的其 他方而言是難以複製的,可以保證在所述的身份識別系統中使用這些信息的唯 一性和安全性。
第五,以上所述的用戶身份信息僅供所述的身份識別系統內部使用,不 需關注這些信息的具體含義,不會對第二代身份證的壽命和數據安全構成任
何損害。
根據以上分析,在所述的身份識別系統中通過符合IS014443 Type B標準 的非接觸IC卡接口,使用第二代身份證的射頻晶片的內部認證密鑰加密運算 生成的用戶身份信息來識別用戶身份,實現用戶身份識別和帳戶管理的方法是 切實可行的,據此,本發明給出使用身份證的射頻晶片的內部認證密鑰加密運 算後的結果識別用戶身份的步驟,技術方案如下
(1) 註冊在用戶使用所述的身份識別系統之前,需要先做用戶註冊, 所述的身份識別系統按照〃尋卡〃、"選卡〃和〃內部認證〃的命令過程生成用戶身 份信息Y,存儲在所述的身份識別系統中,在此稱之為用戶註冊身份信息;
(2) 使用對於已註冊的用戶,在用戶使用所述的身份識別系統時,由 所述的身份識別系統同樣按照(1)中描述的命令過程生成用戶身份信息,在 此稱之為用戶當前身份信息X;
(3) 認證所述的身份識別系統將用戶當前身份信息X與用戶註冊身份 信息Y進行比較,如果存在與用戶當前身份信息X—致的用戶註冊身份信息Y, 則確認當前用戶的合法身份,提供相應的系統功能服務;如果沒有與X—致的 Y,則拒絕當前用戶的合法身份,停止後續的系統功能服務,結束本次身份認
證過程。
以下具體分析相關技術實現過程。為了簡化起見,沒有考慮在射頻工作範 圍內存在兩張或多張身份證時的抗碰撞(Anti-collision)處理,在命令碼後省 略了需要附加的2個字節的CRC校驗碼。所述的身份識別系統通過IS014443 Type B標準的非接觸IC卡接口設備向身份證的射頻晶片發送如下命令 a)尋卡命令,命令碼為0x05 0x00 0x00,正確的命令應答返回包括應答 前綴標誌、虛擬唯一序列號和協議信息。例如某一張真實的身份證卡返回的數 據為0x50 0x00 0x00 0x00 0x00 0xDl 0x03 0x00 0x81 0x00 0x70 0xC0, 0x表示
後面的數據是16進位數據。
b )選卡命令,命令碼為OxlD 0x00 0x00 0x00 0x00 0x00 0x08 0x01 0x08, 正確的命令應答為0x08;
c )內部認證命令,命令碼為0x00 0x88 0x00 0x42 0x0A Datal ,正確的命 令應答為Data2 0x90 0x00,其中Datal為10個字節的16進位數據,是由所 述的設備或系統定義的,Datal針對某一應用是固定不變的,或者使用身份證 射頻晶片的序列號或管理號組成變化的Datal數據,Data2是8位元組的16進 制加密運算結果,0x90 0x00是命令正確執行的SW1和SW2狀態字。
例如某一張真實的身份證在執行"內部認證〃命令0x00 0x88 0x00 0x42 0x0A 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00時(其中10個字節 的0x00假設是所述設備或系統定義的Datal數據),命令正確執行返回的數據 為OxCl 0x70 0x8D OxFC 0xB0 OxFF 0x13 0x65 0x90 0x00。其中,前8個字節 的返回數據就是本發明給出的用來識別用戶身份的信息Data2,後面的0x90 0x00是命令正確執行的SW1和SW2狀態字。
以上命令中的〃尋卡〃和〃選卡〃命令操作非接觸IC卡的通用操作,不是身 份證專用的,不構成專利保護的內容。在"尋卡〃和〃選卡〃之後,是具體應用中 用到的命令。事實上,在〃選卡〃命令之後,正常的身份證操作還包括執行"選 擇文件〃 (Select File )(命令碼為0x00 0xA4 0x00 0x00 0x02 0x60 0x02 )和"讀 二進位〃 (Read Binary )(命令碼為0x00 0xB0 0x00 0x00 0x20 )的命令,讀取 32位元組的卡體號和數據號。事實上,專利申請200510033202.7即是利用這些 數據作為身份證的識別信息。然而,這些數據是自由可讀的,難以有效地保證 這些數據不被複製,並不是高度安全、可靠的身份識別信息。
本發明的身份識別方法,是在〃尋卡〃 (REQB)和〃選卡〃 (ATTRIB)標準 命令之後,跳過〃選擇文件〃和〃讀二進位〃命令,直接執行"內部認證"(Internal Authentication)命令,這裡的內部認證密鑰是身份證專用的,命令碼中的參 數P1 (0x00)和P2 (0x42)是身份證自定義的,在此使用〃內部認證〃命令是 具體應用自定義的,而且,我們儘管不知道內部認證的算法和具體密鑰值, 但是我們知道其密鑰值對於每個身份證來說應該是分散的(Diversified),即 使使用相同的命令數據Datal ,不同的身份證的內部認證運算結果Data2也
是不同的,所以使用內部認證的運算結果Data2作為用戶身份識別信息是本 發明獨有的。當然,在"尋卡〃和〃選卡〃標準命令之後,也可以執行"選擇文件" 和〃讀二進位〃命令,可以用命令返回的數據組成後續〃內部認證〃命令的Datal 數據,這樣,不同的身份證可以使用不同的Datal。在此,我們不是直接使 用Datal作為用戶身份識別信息,因為Datal是可能複製的,而Data2則是 不可複製的,是可以唯一、安全地代表用戶身份的信息。
本發明所述的身份識別系統中不需要具有身份證的密碼算法和內部認證 密鑰,而常規的身份證閱讀設備則需使用SAM_V安全模塊每次隨機產生的 Da ta 1對身份證進行內部認證,SAM_V安全模塊和身份證具有相同的密碼算 法並可以臨時生成與身份證內部認證密鑰相同的密鑰,其目的也不是存儲 Data2作為用戶註冊身份信息,在下次使用時對相同的Datal進行內部認證, 通過比較Data2的一致性來識別用戶身份。其後的命令包括"外部認證〃 (External Authentication ),需要SAM_V安全模塊計算認證數據才能正確執 行,在〃外部認證〃正確執行後,才能讀取包括文字、圖像在內的身份證信息, 這些已不是本發明所關注的內容了。
所述的身份識別系統中直接生成和存儲一個或多個所述的用戶註冊身份 信息,或者在其他設備或系統中生成這些信息,然後再錄入到所述的身份識別 系統中;所述的用戶註冊身份信息存儲在所述的身份識別系統的終端或後臺; 所述的用戶當前身份信息和所述的用戶註冊身份信息的比較在所述的身份識 別系統的終端或後臺完成;所述的用戶註冊身份信息在所述的身份識別系統, 例如醫院醫療保險系統中長期存儲和使用,或者在所述的身份識別系統,例如 酒店的門禁系統中臨時存儲和使用;多個所述的身份識別系統中存儲同 一張身 份證射頻晶片生成的相同或不同的用戶身份信息,多個所述的身份識別系統相 互關聯的或相互獨立的,實現"一卡多用〃的應用效果。
在所述的身份識別系統中使用第二代身份證的可以自由使用的內部認證 密鑰加密運算生成的用戶身份信息來識別持證人的身份,可廣泛應用於目前使 用磁卡、光卡、條碼卡以及各種接觸或非接觸式IC卡識別持卡人身份的應用 領域,在這些應用領域中取代原有的身份識別卡或與其兼容使用,所述的身份 識別系統可以只支持使用身份證,還可以同時支持使用磁卡、條碼卡、接觸或 非接觸IC卡等身份認證介質。
本發明的新穎性、創造性和實用性主要體現在以下幾方面首先,本發明的新穎性和創造性在於忽略了身份證的射頻晶片中所存 儲的包括持證人姓名、住址和照片在內的安全信息,也不是簡單地利用身份 證的射頻晶片所存儲的管理號、序列號等可以自由讀取的信息來識別用戶身 份,而是巧妙地利用了身份證的射頻晶片的可以自由使用的內部認證密鑰, 加密運算生成的用戶身份信息來識別用戶的合法身份,利用這些信息建立與 用戶身份的唯一對應關係,所述的身份識別系統不需要了解內部認證密鑰值 和密碼算法,在安全實現用戶合法身份識別的同時不涉及用戶其他信息,也 不對身份證發行方構成任何威脅和損害,是本發明方案與已有技術方案的本 質區別。
其次,本發明的實用性體現在以低廉的系統配置實現安全的用戶身份 識別,不需要在所述的身份識別系統中使用專用的SAM—V安全模塊,僅在 所述的身份識別系統中使用通用的射頻讀卡器或嵌入式射頻接口就可以使用 身份證的射頻晶片的內部認證密鑰加密運算生成用戶身份信息,在不增加所 述的身份識別系統成本的同時,降低了用戶IC卡方面的投資,也節省了卡片 的發行成本。
再次,本發明的實用性還體現在我國第二代身份證具有最為廣泛的、現 成的持證/卡人群,是人們需要經常攜帶和使用的身份證件,擴展第二代身份 證的應用領域和應用範圍具有成本低廉和使用方便的特點,使第二代身份證 在人們的在日常生活和工作中發揮更大的作用。
下面結合附圖和實施例對本發明做進一步的說明。
圖1是使用身份證的網絡身份識別系統結構示意圖; 圖2是使用身份證識別用戶身份的應用方法流程圖。
具體實施例方式
圖1所示是使用身份證識別用戶身份的網絡系統結構示意圖,作為本發明 所述的身份識別系統的一種典型結構。該系統由後臺管理系統11和131至13n 多個閱讀終端系統通過網絡連接系統12連接構成。每個閱讀終端系統分別配 置141至14n多個射頻讀卡器,射頻讀卡器具有符合IS〇14443 Type B標準的 非接觸IC卡接口,每個射頻讀卡器分別操作在所述的身份識別系統中註冊和 使用的多張身份證,如圖中151到15n所示。其中網絡連接系統12是專用或
公用的局域或廣域網,閱讀終端系統131至13n配置獨立的射頻讀卡器151 至15n,或者將射頻功能集成在閱讀終端設備中,構成一體的閱讀終端設備。
除了圖1所示的網絡系統結構之外,所述身份識別系統的另外一種結構是 非聯網的單機設備或系統。此時,不需要後臺管理系統11和網絡連接系統12, 只由其中的一個閱讀終端系統例如131構成單機身份識別系統,或者將射頻讀 卡功能集成在閱讀終端設備中,構成單機身份識別設備。
圖2所示是使用身份證識別用戶身份的應用方法流程圖。在圖l所示一個 或多個閱讀終端系統141至14n分別對身份證的射頻晶片進行操作,生成如前 文所述Data2或者將Data2做另外的組合、變換後的信息作為用戶身份信息。 在此,將閱讀終端系統預先採集生成的用戶身份信息稱為用戶註冊身份信息, 用Y表示,將Y存儲在閱讀終端系統或後臺管理系統中,根據系統註冊用戶 的數量,Y可以是一組數,也可以是多組數。類似地,對於已經在系統中註冊 的用戶,在識別其用戶身份時,按照同樣的操作生成用戶當前身份信息,用X 表示,閱讀終端系統或後臺管理系統搜尋存儲用戶註冊身份信息Y的資料庫, 比較是否存在與用戶當前身份信息X —樣的用戶註冊身份信息Y。
圖2中省略了生成和存儲用戶註冊身份信息Y的"註冊〃過程,假設在所述 的身份識別中已預先存有一個或多個用戶註冊身份信息Y。圖2隻給出了身份 證在所述的身份識別系統中的"使用 〃和"認證〃步驟如下
步驟21是尋卡操作,所述的身份識別系統通過射頻接口反覆搜尋在其工 作距離範圍內是否存在可以識別的身份證的"尋卡〃命令,命令代碼為0x05 0x00 0x00,如果有可以識別的身份證/卡存在,則返回相關的卡片信息,例如 0x50 0x00 0x00 0x00 0x00 0xDl 0x03 0x00 0x81 0x00 0x70 0xC0。
步驟22是對於所尋找到的身份證/卡發送"選卡〃命令,命令碼為0xlD 0x00 0x00 0x00 0x00 0x00 0x08 0x01 0x08,正確〃選卡〃後身份證/卡返回0x08應答 敖據。為了描述方便起見,省略了可能在射頻工作範圍存在多張可以識別的身 份證/卡的情況,這種情況需要相應的〃抗碰撞〃 (Anti-collision )處理。
"選卡〃命令正確執行後,可以跳過身份證常規操作需要的"選擇文件"和 〃讀二進位〃命令,直接使用所述設備或系統定義的10個字節的輸入數據 Datal,執行步驟23的"內部認證〃命令,命令碼為內部認證0x00 0x88 0x00 0x42 0x0A Datal,在此假設Datal為0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09。步驟23正確執行後,身份證返回內部認證密鑰的加密運算結果Data2 0x90 0x00。例如對於上面假設的Datal數據,某一張身份證返回的加密 運算結果和命令執行狀態字為0x75 0xB3 0x4C 0x01 0x8A 0xB7 OxCO 0x98 0x90 0x00,其中前8個字節即為16進位的Data2數據。直接使用Data2或將 Data2另做其他的組合、變換,生成用戶身份信息,在此用X表示。
得到用戶當前身份信息X之後,閱讀終端系統或後臺管理系統執行步驟 24,搜尋預先存儲的用戶註冊身份信息資料庫,執行步驟25比較判斷是否有 與用戶當前身份信息X —致的用戶註冊身份信息Y;如果存在Y與X —致的 情況,則執行步驟26確認用戶的合法身份,繼續執行後續步驟27為用戶提供 帳戶管理和其他系統功能服務,然後結束本次身份認證過程;如果不存在用戶 註冊身份信息Y與當前用戶身份信息X—致的情況,則執行步驟28,拒絕用 戶的合法身份,停止為用戶提供相應的服務,結束本次身份認證過程。
權利要求
1、身份證在身份識別系統中的應用方法,所述的身份識別系統配置了符合ISO14443 Type B標準的非接觸IC卡接口設備,其特徵是包括下列步驟(1)註冊所述的身份識別系統對一個或多個用戶使用的第二代身份證的射頻晶片發送″內部認證″命令,使用第二代身份證射頻晶片的內部認證密鑰,加密運算生成一個或多個用戶註冊身份信息Y並存儲在所述的身份識別系統中;(2)使用所述的身份識別系統對某一個用戶使用的第二代身份證的射頻晶片進行操作,按照步驟(1)中所述的與生成用戶註冊身份信息Y相同的方法生成用戶當前身份信息X;(3)認證所述的身份識別系統搜尋用戶註冊信息Y,比較是否存在與用戶當前身份信息X一致的用戶註冊身份信息Y,如果存在則確認用戶的合法身份,為用戶提供帳戶管理或其他系統功能服務,如果不存在,則拒絕用戶的合法身份,拒絕帳戶管理或其他系統功能服務。
2、 根據權利要求1所述的身份證在身份識別系統中的應用方法,其特徵 在於所述的身份識別系統對其射頻工作距離內的身份證射頻晶片發送如下命 令,此處省略了命令碼後2位元組的CRC校驗碼(1)尋卡,命令碼為0x05 0x00 0x00,命令正確執行後的應答返回包括 應答前綴標誌、虛擬唯一序列號和協議信息;(2 )選卡,命令碼為0xlD 0x00 0x00 0x00 0x00 0x00 0x08 0x01 0x08,命 令正確執行後的應答為0x08;(3 )內部認證,命令碼為0x00 0x88 0x00 0x42 0x0A Datal ,命令正確後 的應答為Data2 0x90 0x00,其中Datal為所述身份識別系統定義的10位元組的 16進位輸入數據,由所述的身份識別系統自定義的固定數據或者使用身份證射 頻晶片的序列號或管理號相關的數據組成變化的Datal輸入數據;Data2是8 字節的16進位加密運算結果,0x90 0x00是命令正確執行的SW1和SW2狀態 字內部認證密鑰對於不同的身份證是分散的,且只能使用、不能讀取,密碼 算法也是保密的,因而Data2在理論上具有安全性和唯一性的特徵。
3、 根據權利要求1或2所述的身份證在身份識別系統中的應用方法,其 特徵在於在"選卡〃命令之後直接執行〃內部認證〃命令對Datal輸入數據進行 加密運算得到Data2運算結果。
4、 根據權利要求3所述的身份證在身份識別系統中的應用方法,其特徵在於在所述的身份識別系統中使用Data2或將Data2進行組合、變換、運算 處理生成用戶註冊身份信息Y或用戶當前身份信息X;在所述的身份識別系統 中直接生成和存儲所述的用戶註冊身份信息Y,或者在其他設備或系統中生成 所述的用戶註冊身份信息Y,再轉存到所述的身份識別系統中;在所述的身份 識別系統的終端或後臺存儲或比較用戶註冊身份信息Y和用戶當前身份信息X 的一致性。
5、 根據權利要求4所述的身份證在身份識別系統中的應用方法,其特徵 在於所述的身份識別系統是網絡系統、單機系統或設備,所述的射頻IC卡 接口設備是與計算機聯機使用的射頻讀卡器,或者是具有射頻IC卡接口的包 括門禁或考勤系統在內的專用設備。
6、 根據權利要求5所述的身份證在身份識別系統中的應用方法,其特徵 在於所述的用戶身份信息可以在所述的身份識別系統,例如聯網的醫療保險 系統中生成、長期存儲和使用,也可以在所述的身份識別系統,例如酒店門禁 系統中臨時生成、存儲和使用。
7、 根據權利要求6所述的身份證在身份識別系統中的應用方法,其特徵 在於在一個或多個所述的身份識別系統中使用相同的身份證;多個所述的身 份識別系統中使用相同或不同的Datal輸入數據,生成、存儲和比較相同或不 同的用戶身份信息;多個所述的身份識別系統是相互關聯或相互獨立的,實現 了"一^^多用〃的應用效果。
全文摘要
身份證在身份識別系統中的應用方法,使用身份證的射頻晶片中可以自由使用的內部認證密鑰,加密運算生成用戶身份信息,在所述的身份識別系統中生成、存儲和比較用戶身份信息,實現用戶身份識別、帳戶管理和其他系統服務。技術方案包括下列步驟(1)註冊所述的身份識別系統對身份證的射頻晶片發送內部認證命令,使用其內部認證密鑰,對所述身份識別系統定義的輸入數據加密運算,生成和存儲用戶註冊身份信息Y;(2)使用所述的身份識別系統對用戶身份證進行操作,按照與用戶註冊過程相同的方法生成用戶當前身份信息X;(3)認證所述的身份識別系統搜尋和比較用戶註冊身份信息Y和用戶當前身份信息X的一致性,識別用戶的合法身份。
文檔編號G06K7/00GK101201887SQ20061016575
公開日2008年6月18日 申請日期2006年12月15日 優先權日2006年12月15日
發明者耀 王 申請人:耀 王