CN1096040C

CN1096040C - 访问控制装置和方法

Info

Publication number: CN1096040C
Application number: CN94119811A
Authority: CN
Inventors: 托德·W·阿诺德
Original assignee: International Business Machines Corp
Current assignee: Lenovo Singapore Pte Ltd
Priority date: 1993-12-29
Filing date: 1994-11-25
Publication date: 2002-12-11
Anticipated expiration: 2014-11-25
Also published as: CN1123434A; TW364631U; US5526428A; KR950020247A; KR0145026B1; EP0661675A2; EP0661675A3; JPH07210643A; JP2837813B2; BR9405190A

Abstract

公开一种改进的访问控制装置、方法和系统以提高卡上信息的安全性，这种类型的卡带有数据存贮和数据操作，当请求访问的一个个人的等同和权限未得到验证时这些卡是不能访问的。该卡不必包括可能需要访问一张个人卡上的信息的其他人的标识信息。在卡上提供儿个授权简要表，但是不要求一个简要表对任何一个个人是等同的，而使得他们每个人都能进行所需的任务，以在另一个人的卡上使用信息或增加信息。

Description

访问控制装置和方法

本发明涉及便携式数据载体，如IC卡、芯片卡和智能卡；并更具体地涉及控制对这些卡上的所含信息进行访问和更改的各种人的权限的安全系统。

美国专利4,816,653号(Anderl等)讲授一种用于IC卡的文件系统。该系统具有多级权限，以控制对命令、数据和各文件头里所含的口令数据保护的访问。如果在有关的工作站上该人的口令和权限表明该人具有进行所请求操作的权限，这个系统响应读写请求从该工作站提供或记录数据。IC卡接口本身没有很好的保护，因为在一个改变的或假冒的工作站对该接口偷偷摸摸的监视将暴露该口令和其它被传送的信息。在工作站和IC卡之间没有防止假冒卡或假冒工作站的“握手”协议。

美国专利5,048,085号(Abraham等)讲授一种系统，其具有“握手”协议和其它方法以防止假冒。在这个系统里，各用户的权限驻留在用户简要表里，该用户简要表确定每个用户能进行的操作以及这些操作何时可被操作。在这个系统里，简要表可从另一个认证的装置下装以改进系统的灵活性。这些特点和其它特点被使用以促进本发明，而且该专利所描述的原理被结合作为本发明的参考资料。

美国专利4,802,218号和4,900,903号(Wright等)讲授一种以邮政计量系统为例的自动交易系统，其容纳用户卡、识别个人的主管人卡、价目卡和存贮数据的主卡。卡上的微处理机和邮资印刷站上的微处理机进行“握手”操作以鉴定卡和邮资印刷站。

从这些先有技术的各种原理中一个较严重发现在于，当需要广泛分配，诸如在医疗和社会服务应用时，主管人的口令受到危害。例如，如果所有的要访问IC卡里信息的医生必须使用相同的口令，则让欺骗者获取该口令使他能滥用该系统的可能性是很大的。

美国专利4,095,739(Fox等)讲授一种用于控制对一个计算机和一个远程终端网络的访问的系统。用户把他们的标识卡插入远程终端上的读卡机里，识别数据被读出并和存储在特许用户表里的数据进行比较，特许用户表放在中央计算机里或者放在各个远程终端里。一个想更新特许表的主管人必须插入含有主管人标识数据的主管人标识卡，该卡也要和存贮在特许表里的数据进行比较。

美国专利4,837,422(Dethloff等)描述一种和上面所提及相象的一种多用户卡，其中特许持卡人/用户可以通过把子用户的密码号等同验证数据送入卡内进而授权子用户。以这种方式主用户不需要向他人泄漏主密码号却又允许他人使用该卡。对扩充和使用类型的进一步限制作出了规定。仍然，因为各个密码必须由该卡分别地识别，所以不可能在该卡里存储所有的密码号，例如一个健康卡所必需的所有密码号，以允许所有需要访问一个患者卡的健康护里工作者去进行访问，又不损害该卡的安全。

美国专利5,010,237(Kawana)讲授一种存贮着多个密码号的IC卡，这些密码号和特许用户输入的号码进行比较，比较决定在事务处理期间哪些操作是允许的。例如对第一PIN(密码号)的比较允许主管人在卡上读和写，但不允许发送。和第二PIN的比较允许管理人员写和发送卡的数据，但不允许读卡。

美国专利5,055,658(Cockburn)讲授一种安全系统，其中在塑料记忆卡上的主关键字可被编程以识别同类从属字和诸如拇指纹的标识信息，来让特许从属字持有人访问塑料记忆卡设备，主关键字使该设备受到保护。

这个系统和上面提及的其它系统一样，包括主管人在内的所有用户的比较数据必须被存储在对其访问要受到控制的设备里。当这些设备是计算机或远程工作站时，大存储量是可以得到，但即使这样，只能预期有限量的主管人。当被访问的设备是IC卡时，它不具备足够的存储器，用以存储识别为提供治疗可能需要访问一个患者卡的各个急诊室医生的数据。

如在较前面所提及的，已经知道可通过输入一个密码号或PIN借助特许简要表准许对IC卡的访问。当大量主管人必须访问各卡时，密码号必须由所有的主管人共享，这不是一种安全的方式。把各个主管人的PIN存贮在各个卡上是不实际的，因为当要把新的主管人增入系统时或者一个PIN改变时，必须更新所有的卡。为使PIN保持安全，每个主管人必须把更改过的PIN输入到已经发放的各张卡里。不仅主管人会淹没在大量的工作中，而且不可能使每个持卡人带着他们的卡到一个特定的人那里进行更新。

若干主管人共享等同信息还存在别的问题。当用诸如拇指纹、声波纹或签名动态特性等生物统计信息作为对主管人的识别时，从定义上它是不能被二个以上的人共享的。总而言之，先有技术未保证下述要求，即每个主管人必须具有他们自己的PIN或生物统计参数信息；每个主管人必须能够更新或改变这些信息并且无须召回该主管人将来可能需要访问的所有卡；而且保证安全以使围绕该系统活动时获得的信息不会损害系统中其它卡的安全。

先有技术的这些和其它不足由本发明所克服，本发明使得各个个人可持有不需要包括其他可能需访问该卡信息的人的标识信息的具有个人标识和信息的卡。和Abraham等人的专利一样，提供了几个特许简要表，但简要表不需要被任何人识别。例如所有医生可以使用一个相同的特许简要表而所有的医院行政人员可使用一个不同的简要表，以便他们可分别对一张患者个人信息卡进行所需的使用信息或增添信息的工作。这样和一张卡一起使用的特许简要表仍旧驻留，至少其中一部分，在该卡上，而一个主管人用户或医生的等同信息驻留在该主管人或医生的标识卡上。

主管人或医生的标识卡还包含标识该人具有主管人权限或医生权限的安全信息Xsup并包含一个加密钥。主管人卡建立与卡阅读机的一条安全话路，例如如Abraham的专利里所描述的那样，然后加密其Xsup信息并送入阅读机，在阅读机里加密的Xsup信息利用对话密钥解密并保存供其他人的卡的使用。然后该主管人卡从阅读机上被取下并插入另一张个人卡以通过PIN或生物统计信息对另一个人的等同进行验证。这张另一人的卡和阅读机现在建立一条新的话路，建立一个和上述对话密钥不同的新的对话密钥。然后阅读机利用新的对话密钥加密X_sup信息并传送给该另一人的卡，在那里该加密X_sup信息被解密并和存贮在该另一人卡上的X_sup安全值进行比较。如果它们一致，该主管人现在被注册入该另一人的卡上，以按照在该另一人的卡里的所有主管人的简要表进行对所有主管人所授权进行的操作。

因此本发明的一个优点是，各个主管人是通过采用可按需要经常改变的、无须召回其他人的卡以作更新的口令、PIN或生物统计学的主管人自己的卡来识别的。

更进一步的一个优点是，加密钥和诸如X_sup的特许值不会暴露在安全环境的外面。他们不象在进入期间会暴露的PIN，在卡的生命周期内他们无须改变和更新。

图1表示包含本发明的一个字段的一个典型用户IC卡里的信息。

图2表示包含一个按照本发明的字段的一个典型主管人IC卡里的信息。

图3表示卡阅读机和用户卡之间的信息流程。

图4表示卡阅读机和主管人卡之间的信息流程。

图5是一个流程图，表示为对一个用户卡进行维护操作所涉及的授权一个主管人的步骤。

图1表示一个典型用户IC卡11里所存储的部分信息的方框图存贮字段，其中包括本发明该实施例里所采用的包含信息的字段X′_sup13。用户简要表15定义用户利用该用户卡能进行的那些操作。例如，如果它是一张借户卡用以记录帐目，或者如果它是一张健康标识卡用以购买药品。主管人简要表17定义那些主管人能够进行的操作以从用户的IC卡11获得信息。例如，若用户已经超过一个固定的次数不当心地提供错误的密码号时重新设置PIN。另一个例子是对一个健康卡输入处方药品信息供药师访问和可能供该用户访问以便该用户可购买受控制的药品并能正确地服药。X′_sup字段13包含由该卡使用的信息，以确定所谓的主管人或医生是否真是一个主管人或医生。对话建立钥19是一个加密钥，它被系统内的所有装置使用来建立话路并为系统内二个装置间的各次对话建立一个对话钥。例如在用户IC卡和阅读器之间将建立一次对话。

图2表示存贮在一个典型主管人的IC卡21里的部分的信息。简要表25定义那些主管人利用该主管人卡能进行的操作。一个例子是改变该主管人的PIN号。X_sup字段23包含根据本发明由该卡使用的信息以认定该主管人或该医生确实是一个主管人或医生。对话建立钥19是一个加密钥，它被系统内的所有装置所使用以建立对话和为该系统内任意两个装置间的各次对话建立一个对话钥。主管人卡里的对话建立钥和用户卡里的对话建立钥是一样的。同样X′_sup和X_sup是相同的或者是有联系的值。加密钥和诸如X_sup的特许值不暴露在一个IC卡和一个阅读机的安全环境的外面。因为这个原因，它们在该卡的生命周期期间无须改变或更新。

图3显示主管人卡21和卡阅读机31并且描述用于建立安全通信对话和用于把值X_sup传送给卡阅读机31的所需的信息流。对话钥的建立在本应用中例如是根据美国专利4,238,853号(Ehrsam等)中的公用分配的原理实现的。因此美国专利4,238,853号的原理被包括作为参考。在对话钥被建立之后，IC卡21借助对话钥KS1加密值X_sup，该加密用符号dKS1(X_sup)表示，并然后送到阅读机31上，在阅读机上加密值X_sup被解密并存贮到一个安全区域以供用户卡作为试探性特许值在以后使用。在美国专利5,027,397号(Dou-ble等)里显示了安全区域的一个例子，因此该专利被包括作为参考。

图4显示用户卡11和卡阅读机31并且描述为建立安全通信对话和为从卡阅读机31传送值X_sup所需的信息流。对话钥的建立采用和主管人卡中所使用的一样的方法，但是当然结果应生成一个新钥值KS2。在对话钥KS2被建立之后，卡阅读机借助该对话钥KS2加密值X_sup，该加密用符号eKS2(X_sup)表示，然后该加密的X_sup值被送到用户卡11。在用户卡11上加密值X_sup解密并用作试探性特许值以和存贮在用户卡11里的检验特许值X′_sup进行比较。

图5显示对一个用户卡为能确定是否一个主管人或医生被授权可对该用户卡访问信息或改变信息或进行操作(改变PIN，装入钥，定义数据区域等)的所需的步骤。在块51，该主管人把该主管人卡11插入到卡阅读机13里，在那里如上面所描述的那样，在该IC卡上的计算机和该卡阅机的计算机之间将建立一个对话钥KS1。在块53该主管人IC卡里的计算机借助该对话钥KS1计算特许值的加密值，并把这个值eKS1(X_sup)送到该卡阅读机13。在块55，该卡阅读机上的计算机借助相同的对话钥KS1计算值eKS1(X_sup)的解密值。该值在块55里表示为dKS1(eKS1(X_sup))。任何诸如线路抽头进行的访问将不能截获特许值X_sup，因为该线路抽头不具有对话钥KS1。现在卡阅读机31具有特许值X_sup，该值并如前面所述安全地被存贮。在块57，该主管人卡21从该阅读器31移出，以为该主管人所需访问的用户卡让路。

图5中的块59表示把用户IC卡11插入到卡阅读机31的步骤，在其中如前面所描述的，在IC卡的计算机和卡阅读机的计算机之间建立对话钥KS2。在块61卡阅读机的计算机借助对话钥KS2计算特许值X_sup的加密值并把该值eKS2(X_sup)送到用户卡11。在块63，该用户卡11的计算机借助同样的对话钥KS2计算值eKS2(X_sup)的解密值。该解密值在块63里用dKS2(X_sup)表示。同样任何诸如线路抽头的访问不能截获特许值X_sup，因为线路抽头不具有对话钥KS2。该用户卡现在拥有试探性特许值X_sup，在块65里它和检验特许值X′_sup比较。如果两个特许值经比较不等，该用户卡可确定该主管人或者不是一个授权的主管人，或者在系统里存在错误或存在窜改而造成比较的不等。然后该用户卡不许可对它的信息的访问如块67所示。

在本实施中，相等的比较结果被认为是确信的授权。这是可以理解的，即在不违背本发明的精神和范围的情况下，只要确信的比较结果可由该用户卡所断定，其它形式的比较诸如试探值比检验值大一或试探值是检验值的二倍也是可采用的。

如果在块65特许值的比较是相等的，该用户卡确定该主管人是一个特许的主管人。然后在块69该用户卡启动主管人简要表以确定对一个主管人哪些操作是授权可进行的以及确定在该用户IC卡上哪些数据是授权该主管人可去访问的。接着该用户卡11允许访问它的数据和如块71所示允许进行操作，例如允许该主管人进行维护操作诸如更新赊购限制或重新设置该用户的安全PIN等等。该主管人简要表的启动是按照美国专利5,048,085中的原理进行的，该专利因此被包括作为参考。

通过参照以IC卡和阅读机的形式的最佳实施例对本发明进行说明之后，对于熟悉计算机系统技术的人们来说，这是很明显的，即本发明的原则可被应用到其它的环境中去，以在不必要求保护部件存贮所有可能假定存在的用户的等同信息的情况下确定假定存在的用户的授权。

Claims

1.一种信息部件，包括：

用于存贮检验特许值的装置，所述检验特许值和所有具有相同权限的个人相关；

其特征在于还包括：

比较装置，用于把所述检验特许值与从部件接口接收的试探性特许值进行比较；

允许访问装置，用于当且仅当所述检验特许值与所述试探性特许值的比较是确信的时允许对所述信息部件里的信息进行访问。

2.权利要求1的信息部件，其特征在于所述特许值是一个数字值。

3.权利要求1的信息部件，其特征在于所述信息部件是一张IC卡。

4.权利要求3的信息部件，其特征在于所述部件接口是一个IC卡阅读机。

5.权利要求1的信息部件，其特征在于所述对信息的访问是对所述信息部件中的控制信息进行设置。

6.权利要求5的信息部件，其特征在于所述信息部件中的所述控制信息是个人标识号。

7.权利要求5的信息部件，其特征在于所述信息部件里的所述控制信息是一个最大值极限。

8.权利要求1的信息部件，其特征在于所述信息部件里的所述信息是药物信息。

9.权利要求1的信息部件，其特征在于所述信息部件是一张个人标识卡。

10.一种部件接口，包括：

用于按照与所述接口通信的关系接收一个标识部件的装置；

用于从所述标识部件接收试探性特许值的装置，所述试探性特许值对于所有具有类似标识部件和相同权限的个人是相同的；

其特征在于还包括：

用于把所述试探性特许值传送给一个信息部件的装置；以及

用于指示所述信息部件在所述信息部件上完成一种功能的装置，仅当所述试探性特许值和存贮在所述信息部件里的一个检验特许值确实相关时才完成所述功能。

11.权利要求10的部件接口，其特征在于还包括：

用于存贮所述试探性特许值的装置；以及

用于移去所述标识部件和用于将所述信息部件接收到位的装置。

12.权利要求11的部件接口，其特征在于所述标识部件及所述信息部件是IC卡且所述部件接口是一个IC卡阅读机。

13.权利要求11的部件接口，其特征在于还包括用于从一个个人接收个人标识验证值的装置，用以验证一个持有所述标识部件的个人的身份。

14.权利要求13的部件接口，其特征在于

所述部件接口包括一台带有一个键盘的计算机，并且

所述用于接收所述个人标识验证值的装置为所述键盘。

15.一种用于准许访问一个信息部件上的信息的方法，其特征在于包括下述步骤：

把标识部件插入一个部件阅读机里；

在所述标识部件上的一个计算机和控制所述阅读机的一个计算机之间建立一个对话密钥KS1；

在所述标识部件上借助所述对话密钥KS1计算一个值eKS1(Xsup)，该值是一个特许值Xsup的加密值；

把所述值eKS1(Xsup)传送给控制所述阅读机的所述计算机；

在控制所述阅读机的所述计算机里借助所述对话密钥KS1计算一个值dKS1(eKS1(Xsup))，该值是所述值eKS1(Xsup)的解密值；

从所述阅读机里移出所述标识部件，为所述信息部件让路；

把所述信息部件插入所述阅读机；

在所述信息部件上的一个计算机和控制所述阅读机的所述计算机之间建立一个对话密钥KS2；

其特征在于还包括以下步骤：

在控制所述阅读机的所述计算机里借助该对话密钥计算值eKS2(dKS1(eKS1(Xsup)))，该值是特许值dKS1(eKS1(Xsup))的加密值；

把所述值eKS2(dKS1(eKS1(Xsup)))传送到所述信息部件；

在所述信息部件里借助所述对话密钥KS2计算值dKS2(eKS2(dKS1(3KS1(Xsup))))，该值是所述值eKS2(dKS1(eKS1(Xsup)))的解密值；

在所述信息部件里的所述计算机上对所述值dKS2(eKS2(dKS1(3KS1(Xsup))))和一个检验特许值X’sup进行比较；以及

如果所述值dKS2(eKS2(dKS1(eKS1(Xsup))))和所述检验特许值的X’sup比较是肯定的，则允许在所述信息部件上执行命令。

16.权利要求15的方法，其特征在于所述允许执行的步骤进而包括允许访问所述信息部件上的信息的步骤。