1.情况和目的
这项应用的国的是建立一个以 智能卡 为基础的对一定数量的房间和计算机系统的分机访问系统,这就是说某些大门和计算机将配上终端,在和计算机通信之后,将允许某些人通过有关的大门或使用有关的计算机。重要的是能规定不同的安全级别,使之能把访问限定为用户中的特定人群。在成功地鉴别与识别用户后,将被许可访问。必需的证明是拥有一张真正的卡和对与它相关的PIN的了解。如果这两条准则都得到了满足,将被允许访问。终端必须能保存简单的黑名单,使得“丢失”的卡不能被用于访问,而且在必要时可以永久地闭锁这种卡。
2,需求
为了使方案对用户有最大的可接受程度,终端和智能卡之间的任何通信处理以及后继的访问许可所需的时间必须不能明显地超过Is。较长的时间区间将严重地阻碍用户对系统的接受并助长某些人采用不同的手段来避开安全检查,诸如撑住打开的大门。用户必须能选择它自己的PIN,以防止用户把PIN写在卡上。
系统应当设计得具有中等偏低的安全功能,这未必不能经得起煞费苦心的攻击。系统的采购和运作的成本必须不能超过一个锁钥系统的费用。否则,后者将成为一个有竞争力的选择。系统和智能卡的设计还必须允许定期卡(time card)和小卖部的账单功能也可以结合到系统中来。
3,建议方案
具有10个数字的小键盘终端安装在适当的门或计算机上,这些终端能自动地工作,它们装配有经济和可更换的安全模块(诸如可插人格式的智能卡),它们允许被授权的人员访问有关的门或计算机。加在关键或敏感位置的终端,必要时能单独用两芯 电缆 连接到作为中央系统的PC机,这个简单的结构满足了低运行成本的需求。
中央计算机有一个简单的多任务操作系统,它可以并行执行数个任务,它被连接至一个补充的终端担负起的整个系统的管理职责。
在系统中使用的智能卡必须有一个能管理数项应用的操作系统,在卡被发行之后可以在智能卡的文件树内建立起文件(DF和BF)来,以便使卡被发行后在需要时可以装入另外的应用。当前的和未来的应用所需的 EEPROM 量不会超过1KB。可以从制卡商处订购具有操作系统的完工产晶,而且配置上用于管理的计算机。
所有的卡都用一个标准的并易于记忆的PIN来初始化。在这种情况下的最简单的选择是“0000”,这样就省去了产生PIN和准备PIN信件的费用。当用户接收到卡后,每一个用户必须使用管理终端把标准ΠN改换为某个别的数字,因为所有的终端都拒绝PIN为“0000”的进入。
如果用户忘掉了PIN或重试 计数器 达到了其极限,可用系统终端键入一新PIN并复位重试计数器,当然需要在一鉴别成功之后才行。
由于系统需要有中等程度的安全性,而系统管理成本又不能太高,一个严格管理的密钥方案是适当的。在这个系统中既不使用导出密钥也不使用多代密钥,对密钥的仅有要求是按功能分开,这样就导致了如表1的安排,在智能卡中必须存在的文件树如表2所述,而文的访问条件则列举在表3中。
文件EF2含有关于访问房间和计算机的授权数据,具有面向记录的结构。所有的记录具有相同的长度(线性定长)。每个记录有一个记录项以指明是否允许持卡人进入一特定之房间,也可以去定义安全水平,而不必列出每一房间,访问可以限制在某些区域中。
表1 “访问控制”应用中所需的密钥
表2 “访问控制”应用的文件树
表3 “访问控制”应用的文件访问条件(≥0:可,<0:否)
经验证明,经常有必要去修改和重新构建访问 控制系统 ,对记录内容应当采用TLV结构,这使得能以技术上优越的方式来实现扩充与修改。
用于智能卡的命令只是那些遵照ISO或ETSI的商业上可以使用的操作系统所提供的标准命令。这就是说在智能卡内部没有什么要编程的,因而可显著降低采购成本。下列命令是需要的:
ASk RANDOM 请求随机数 READ BINARY 读二进制
CHANGE CHV 改变 CHV UNBLOCK CHV 解锁 CHV
CREATE 建立 REHABILITATE 恢复
INVALIDATE 无效 SELECT FILE 选择文件
VERIFY CHV 验证CHV WRITE BINARV 写二进制
MUTUAL AUTHENTICATION 相互鉴别
图1给出了一次访问控制会话的标准命令序列。如有必要,终端可用READ BINARY接在ATR之后去从文件中读取用户的名字并和黑名单相比较。如果用户的名字是在黑名上,则用INVALIDATE命令闭锁所有EF可禁止将此卡再用于访问控制。如果必要,可在控制终端处用REHABILITATE命令,经相互鉴别后再次激活应用。
如果系统操作者决定把智能卡也用于小买部付账,则必须产生具有自己的DE和EF的新应用。有两种方法可做此事,一是所有的顾员必须把他们的卡拿到管理终端去;二是可在访问检查时自动下载必要的文件。后一种方法的费用不那么昂贵而且对用户友好,因为它不需要任何额外的管理工作。
图1 “访问控制”应用的访问控制命令序列
对计算机系统的访问所需要的控制完全类似于刚刚叙述的处理。惟一的区别是把激活大门的释放机构取代为一个送往计算机的信号以便告知它允许用户访问。
欢迎转载,信息来源维库 电子 市场网( www.dzsc.com )