1.概观
1.1背景
目前,现有门禁系统中使用的门禁卡大多属于逻辑加密卡或只读卡(如M1卡和身份证)。最近,由于M1卡被破解,M1卡的复制和解密随时可能发生,对现有门禁系统的安全性造成了严重影响。用CPU卡代替M1卡已经成为门禁系统升级的必然趋势。
1.2产品定位
有效防范门禁产品安全问题的根本解决方案是升级现有身份证或逻辑加密卡门禁设备和卡,逐步用更安全可靠的CPU卡安全门禁产品取代身份证或逻辑加密卡门禁产品。
为了应对目前M1卡破解问题,同方适时推出了具有国家保密算法的CPU卡安全门禁系统产品,同时推出了将原有身份证或非接触式逻辑加密卡门禁系统升级为更安全可靠的非接触式CPU卡的改造方案。
2.产品组成和功能
同方推出的安全门禁系统采用高强度国家秘密算法SM1,符合国家密码管理局制定的标准,设计上符合相关要求。该系统由CPU卡安全访问读卡器、CPU卡和CPU卡访问密钥管理系统等部分组成。
根据“指南”,系统将在读卡器中嵌入带有SM1算法的密码模块,利用内部认证机制完成读卡器与用户卡之间的安全认证,从而实现“一卡一密”。
身份验证的实现方式如下:
读卡器中安装了SAM模块,所有认证都由SAM计算。SAM模块支持SM1算法,可以根据密钥长度自动选择算法。Sam模块有明文加MAC、密文、密文加MAC三种数据和密钥行保护方式。
2.1关键管理系统
在以集成电路卡为应用载体的信息系统中,密钥管理是整个系统安全运行的基础。密钥管理系统的主要任务是生成、发布和更新密钥,直接关系到整个系统的安全性。有了这个软件,客户可以自己生成和管理各种应用密钥,自己完成卡的初始化,从而保证客户有管理密钥和发卡的主动权。
2.2门禁读卡器
TF-DF6300读卡器,13.56MHz非接触式读卡器,可读取ISO14443标准卡,其固件参数可通过卡或软件工具配置。读卡器采用环氧树脂封装,对损坏和水具有很高的安全性。
中央处理器卡
TF-CS2000DF非接触式CPU卡
TF-CS2000DF非接触式CPU卡是同方自主研发的具有TDES/DES硬件加速功能的非接触式CPU卡。产品支持多应用防火墙、内外双向认证、硬件算法协处理器、真随机数发生器,符合IEC/ISO14443标准。有防冲突机制,支持防插处理和数据断电保护机制。
3.产品优势
3.1高度安全性
同方CPU卡安全门禁产品,采用SM1国家机密算法,充分应用基于CPU卡的各种安全设计:
CPU卡:
与MIFARE1卡相比,CPU卡采用了强大稳定的安全控制器,增强了卡的安全性。非接触式CPU卡在现有技术条件下无法伪造;在认证过程中,使用了SM1算法,使得密钥不会以明文的形式出现在线路上,每次都是用随机数加密的。而且由于随机数的参与,每次传输的内容都是不一样的,交易内容的合法性得到保证。因此,使用非接触式CPU卡可以防止卡、终端和交易的伪造,最终保证交易的安全性。
中央处理器卡访问读卡器:
同方CPU卡安全门禁读卡器内置密码模块SAM,用户可以使用SAM认证模块存储各种应用密钥。通过门禁读卡器读取中央处理器卡时,采用内部认证,即卡合法性认证——内部认证、持卡人合法性认证——PIN验证,以确保身份注册的合法性
通过同方CPU卡安全门禁密钥管理系统,终端用户可以根据CPU卡密钥管理流程生成和管理各种CPU卡应用密钥,并通过密钥管理系统生成的密钥初始化用户使用的CPU卡,从而保证非法用户无法通过破解密钥攻击门禁系统。
3.3兼容性好
产品充分考虑了门禁读卡器与第三方门禁控制器厂商的技术兼容性,支持多种输出格式(包括Wiegand26Bit、Wiegand32Bit、Wiegand34Bit、Wiegand37Bit)和更灵活的电压范围(9-12V)。成功对接多家主流接入控制器厂商。
3.4灵活对接方式
对于同方的CPU发卡方,同方提供读卡助手功能,第三方公司的门禁管理软件无需任何修改即可实现CPU卡中信息的对接;同时,同方提供了完整的二次开发界面,通过二次开发可以满足第三方公司门禁管理软件的要求,借助同方的CPU发卡机实现卡的指定区域的写卡操作,实现与第三方公司门禁产品的灵活对接。
3.5平稳升级,保护投资
系统提供多种运行模式,为客户现有系统提供接口,可以实现新系统与原系统的无缝对接和平滑升级;根据现有或新建系统的实际情况,客户可以选择使用CPU卡进行安全访问控制的对接模式。有效满足系统构建的高可用性和灵活性要求。
3.6实现简单,使用方便
系统安装调试简单,后期操作维护也非常简便,性能可靠,安全性高。
负责编辑:gt