1.情況和目的

　　這項(xiàng)應(yīng)用的國(guó)的是建立一個(gè)以智能卡為基礎(chǔ)的對(duì)一定數(shù)量的房間和計(jì)算機(jī)系統(tǒng)的分機(jī)訪問(wèn)系統(tǒng)，這就是說(shuō)某些大門和計(jì)算機(jī)將配上終端，在和計(jì)算機(jī)通信之后，將允許某些人通過(guò)有關(guān)的大門或使用有關(guān)的計(jì)算機(jī)。重要的是能規(guī)定不同的安全級(jí)別，使之能把訪問(wèn)限定為用戶中的特定人群。在成功地鑒別與識(shí)別用戶后，將被許可訪問(wèn)。必需的證明是擁有一張真正的卡和對(duì)與它相關(guān)的pin的了解。如果這兩條準(zhǔn)則都得到了滿足，將被允許訪問(wèn)。終端必須能保存簡(jiǎn)單的黑名單，使得“丟失”的卡不能被用于訪問(wèn)，而且在必要時(shí)可以永久地閉鎖這種卡。

　　2，需求

　　為了使方案對(duì)用戶有最大的可接受程度，終端和智能卡之間的任何通信處理以及后繼的訪問(wèn)許可所需的時(shí)間必須不能明顯地超過(guò)is。較長(zhǎng)的時(shí)間區(qū)間將嚴(yán)重地阻礙用戶對(duì)系統(tǒng)的接受并助長(zhǎng)某些人采用不同的手段來(lái)避開安全檢查，諸如撐住打開的大門。用戶必須能選擇它自己的pin，以防止用戶把pin寫在卡上。

　　系統(tǒng)應(yīng)當(dāng)設(shè)計(jì)得具有中等偏低的安全功能，這未必不能經(jīng)得起煞費(fèi)苦心的攻擊。系統(tǒng)的采購(gòu)和運(yùn)作的成本必須不能超過(guò)一個(gè)鎖鑰系統(tǒng)的費(fèi)用。否則，后者將成為一個(gè)有競(jìng)爭(zhēng)力的選擇。系統(tǒng)和智能卡的設(shè)計(jì)還必須允許定期卡（time card）和小賣部的賬單功能也可以結(jié)合到系統(tǒng)中來(lái)。

　　3，建議方案

　　具有10個(gè)數(shù)字的小鍵盤終端安裝在適當(dāng)?shù)拈T或計(jì)算機(jī)上，這些終端能自動(dòng)地工作，它們裝配有經(jīng)濟(jì)和可更換的安全模塊（諸如可插人格式的智能卡），它們?cè)试S被授權(quán)的人員訪問(wèn)有關(guān)的門或計(jì)算機(jī)。加在關(guān)鍵或敏感位置的終端，必要時(shí)能單獨(dú)用兩芯電纜連接到作為中央系統(tǒng)的pc機(jī)，這個(gè)簡(jiǎn)單的結(jié)構(gòu)滿足了低運(yùn)行成本的需求。

　　中央計(jì)算機(jī)有一個(gè)簡(jiǎn)單的多任務(wù)操作系統(tǒng)，它可以并行執(zhí)行數(shù)個(gè)任務(wù)，它被連接至一個(gè)補(bǔ)充的終端擔(dān)負(fù)起的整個(gè)系統(tǒng)的管理職責(zé)。

　　在系統(tǒng)中使用的智能卡必須有一個(gè)能管理數(shù)項(xiàng)應(yīng)用的操作系統(tǒng)，在卡被發(fā)行之后可以在智能卡的文件樹內(nèi)建立起文件（df和bf）來(lái)，以便使卡被發(fā)行后在需要時(shí)可以裝入另外的應(yīng)用。當(dāng)前的和未來(lái)的應(yīng)用所需的eeprom量不會(huì)超過(guò)1kb�？梢詮闹瓶ㄉ烫幱嗁�(gòu)具有操作系統(tǒng)的完工產(chǎn)晶，而且配置上用于管理的計(jì)算機(jī)。

　　所有的卡都用一個(gè)標(biāo)準(zhǔn)的并易于記憶的pin來(lái)初始化。在這種情況下的最簡(jiǎn)單的選擇是“0000”，這樣就省去了產(chǎn)生pin和準(zhǔn)備pin信件的費(fèi)用。當(dāng)用戶接收到卡后，每一個(gè)用戶必須使用管理終端把標(biāo)準(zhǔn)πn改換為某個(gè)別的數(shù)字，因?yàn)樗械慕K端都拒絕pin為“0000”的進(jìn)入。

　　如果用戶忘掉了pin或重試計(jì)數(shù)器達(dá)到了其極限，可用系統(tǒng)終端鍵入一新pin并復(fù)位重試計(jì)數(shù)器，當(dāng)然需要在一鑒別成功之后才行。

　　由于系統(tǒng)需要有中等程度的安全性，而系統(tǒng)管理成本又不能太高，一個(gè)嚴(yán)格管理的密鑰方案是適當(dāng)?shù)摹Ｔ谶@個(gè)系統(tǒng)中既不使用導(dǎo)出密鑰也不使用多代密鑰，對(duì)密鑰的僅有要求是按功能分開，這樣就導(dǎo)致了如表1的安排，在智能卡中必須存在的文件樹如表2所述，而文的訪問(wèn)條件則列舉在表3中。

　　文件ef2含有關(guān)于訪問(wèn)房間和計(jì)算機(jī)的授權(quán)數(shù)據(jù)，具有面向記錄的結(jié)構(gòu)。所有的記錄具有相同的長(zhǎng)度（線性定長(zhǎng)）。每個(gè)記錄有一個(gè)記錄項(xiàng)以指明是否允許持卡人進(jìn)入一特定之房間，也可以去定義安全水平，而不必列出每一房間，訪問(wèn)可以限制在某些區(qū)域中。

　　表1 “訪問(wèn)控制”應(yīng)用中所需的密鑰

　　表2 “訪問(wèn)控制”應(yīng)用的文件樹

　　表3 “訪問(wèn)控制”應(yīng)用的文件訪問(wèn)條件（≥0：可，<0：否）

　　經(jīng)驗(yàn)證明，經(jīng)常有必要去修改和重新構(gòu)建訪問(wèn)控制系統(tǒng)，對(duì)記錄內(nèi)容應(yīng)當(dāng)采用tlv結(jié)構(gòu)，這使得能以技術(shù)上優(yōu)越的方式來(lái)實(shí)現(xiàn)擴(kuò)充與修改。

　　用于智能卡的命令只是那些遵照iso或etsi的商業(yè)上可以使用的操作系統(tǒng)所提供的標(biāo)準(zhǔn)命令。這就是說(shuō)在智能卡內(nèi)部沒有什么要編程的，因而可顯著降低采購(gòu)成本。下列命令是需要的：

　　ask random 請(qǐng)求隨機(jī)數(shù) read binary 讀二進(jìn)制

　　change chv 改變 chv unblock chv 解鎖 chv

　　create 建立 rehabilitate 恢復(fù)

　　invalidate 無(wú)效 select file 選擇文件

　　verify chv 驗(yàn)證chv write binarv 寫二進(jìn)制

　　mutual authentication 相互鑒別

　　圖1給出了一次訪問(wèn)控制會(huì)話的標(biāo)準(zhǔn)命令序列。如有必要，終端可用read binary接在atr之后去從文件中讀取用戶的名字并和黑名單相比較。如果用戶的名字是在黑名上，則用invalidate命令閉鎖所有ef可禁止將此卡再用于訪問(wèn)控制。如果必要，可在控制終端處用rehabilitate命令，