为实施《商用密码管理条例》,加强城市重要门禁系统密码应用安全管理,住房和城乡建设部IC卡中心根据国家密码管理局《关于印发〈重要门禁系统密码应用指南〉的通知》号文件(局字〔2009〕614号)精神,制定本实施方案。
2范围
本实施例规定了使用非接触式ic卡的大型公共建筑和住宅区门禁系统中使用的密码设备、密码算法、密码协议和密钥管理的相关要求。
本规则适用于以下情况:
1)新门禁系统的设计与实现
2)按照国家密码管理部门的要求实施门禁系统改革
3门禁系统概述
3.1系统组成
基于非接触式IC卡的门禁系统密码应用涉及应用系统、密钥管理和发卡系统,如图1所示。
图1门禁系统密码应用结构图
3.2应用系统
在应用系统中,一般由门禁卡、门禁读卡器和后台管理系统组成,通过各设备中的密码模块为系统提供密码安全保护。其中,
1)门禁卡中的密码模块:用于在门禁卡读卡器或后台管理系统对门禁卡进行认证(无论门禁卡是否合法)时提供密码服务(如计算认证码);
2)门禁读卡器/后台管理系统中的密码模块:用于提供密码服务(如密钥分发、认证和验证码等)。)认证访问卡/传输安全消息时。在设计门禁系统的具体方案时,门禁读卡器和后台管理系统都要用到密码模块。
3.3密钥管理和发卡系统
密钥管理和发卡系统的功能是为门禁系统的密码应用生成密钥,通过密码模块发放设备发放(初始化和注入密钥)密码模块,通过发卡设备发放门禁卡(初始化、注入密钥和写入应用信息)。
密钥管理和卡发行系统中的加密设备在发行访问卡时提供密钥生成、密钥分发和身份认证等加密服务。
4与密码相关的安全技术要求
4.1密码应用安全的技术要求
基于非接触式IC卡的门禁系统中的密码应用方案应满足第七章的要求。
4.2密码设备安全技术要求
基于非接触式IC卡的门禁系统中的密码设备包括应用系统密码模块、密钥管理和发卡系统密码模块。密码设备的具体配置见图1。
门禁系统中使用的所有密码设备必须是经国家密码管理局批准、住房和城乡建设部IC中心认可的产品。
4.3加密算法安全性的技术要求
门禁系统使用的密码算法必须符合国家相关要求,密码算法的应用方案应符合第七章的要求。
4.4加密协议安全性的技术要求
在门禁系统中,需要通过门禁读卡器实现门禁卡的识别和识别数据的安全传输。身份认证过程中使用的认证协议应符合第7章的要求。
5关键管理安全技术要求
5.1密钥生成
密钥生成必须使用“城市一卡通密钥管理系统”。
5.2关键注入
发行门禁卡时要注意以下两点,发行密码模块时要注意密钥注入:
1)在密钥注入过程中,明文密钥的任何部分都不得泄露;
2)只有当加密设备、接口和传输通道没有接收到任何可能导致密钥或敏感数据泄漏和篡改的信息时,才能将密钥加载到加密设备中。
5.3其他要求
在密钥生成、注入、更新和存储的整个过程中,密钥不应泄露。
6其他需要考虑的安全因素
除了密码应用的安全要求之外,还必须从系统的整体安全性考虑以下因素:
1)管理要求
该方案采用了基于SM1算法的非接触式中央处理器卡和基于SM1算法的安全模块。系统结构示意图如图2所示。
图2门禁卡系统示意图
7.2方案原则
该方案中,门禁卡采用国家密码管理局批准、住房和城乡建设部IC中心批准的SM1算法CPU卡。该卡存储安全认证码、发行信息和卡密钥,并具有符合相关标准的片上操作系统;SM1算法用于身份认证和非连接读卡器之间的安全信息传输。在发卡系统和读写器的安全模块中,还采用了SM1算法来分配门禁卡的密钥,实现了一卡一密。
方案示意图如图3所示。
图3方案示意图
在该方案中,读卡器负责对门禁卡的合法性进行认证,同时将获得的门禁卡身份认证信息以安全消息的形式反馈给门禁后台管理系统。后台管理系统的SM1算法安全模块对门禁卡的合法性进行双重认证,并控制门禁执行器完成门禁操作。同时,门禁服务器还负责门禁读卡器的管理。
该方案中,SM1算法安全模块集成了单片机和射频接口功能,所有处理过程都在安全模块中实现。射频接口模块负责读卡器和访问卡之间的射频通信。单片机控制射频接口模块和门禁卡之间的通信,负责实现读卡器内部的数据加密传输和与后台管理系统的通信功能。
7.3密码安全申请流程
7.3.1发卡系统
分为门禁卡发放、门禁读卡器安全模块发放和后台管理系统安全模块发放。
1)发放出入卡
后台管理系统采用SM1算法分散系统根密钥,实现一卡一密。使用SM1算法通过过程密钥对卡进行身份认证,使用目录和文件系统等数据结构初始化并下载卡密钥,并将持卡人信息和发卡单位信息写入卡中。在这个过程中,CPU卡的发卡过程是用来保证信息写入的安全性和数据的保密性的。
2)安全模块发布
门禁后台管理系统使用“城市一卡通密钥管理系统”生成门禁系统的根密钥,并安全导入安全模块。
7.3.2出入卡控制
门禁读卡器直接对门禁卡进行认证,并将认证数据加密后发送给后台管理系统,控制门禁功能的执行,既保证了身份认证的真实性,又保证了信息传输过程中的保密性。
具体方法如下:
门禁读卡器读取门禁的安全标识码作为一卡对一卡的分散系数;
门禁读卡器向门禁卡发送内部认证命令(门禁安全模块生成随机数),利用现有卡中的一卡一密密钥key k,通过SM1算法对门禁卡中的随机数进行加密,得到RA '=ENK(key k,RA)并发回门禁读卡器。
门禁读卡器首先通过SM1算法将带有根认证密钥KEYR的安全识别码分散在安全模块中,得到KEYC,然后对随机数ra进行加密,得到ra”。如果RA'=RA ",则卡的身份认证正确,否则认证失败。
通过认证后,门禁读卡器的安全模块使用加密密钥计算认证信息的安全消息,然后传输到后台管理系统,后台管理系统在后台安全模块中用相应的解密密钥对安全消息进行认证。通过认证后,对比门禁卡和后台数据库的有效性开门。
身份验证过程如图4所示
图4身份验证
该方案采用国家密码管理局认可并经住房和城乡建设部ic中心测试的商用密码算法产品:支持SM1算法的非接触式CPU卡和SM1安全模块,对密码安全有可靠保障。
同时,由于SM1安全模块集成了单片机和射频接口功能,在数据安全方面更加可靠,由住房和城乡建设部IC中心统一采购,分发给所有用户,价格更便宜,可以大大降低系统的建设成本和改造成本。
8符合国家城建行业标准的CPU卡方案
国家城建行业标准的CPU卡可以提供唯一的卡序列号,即安全标识码。该安全识别码仅用一条标准指令即可读出,可用于门禁系统中的识别。
该方案采用国家密码管理局认可的SM1安全模块,密码安全性得到可靠保证。
由于SM1安全模块集成了单片机和射频接口功能,可以读取当前城市一卡通发行的M1卡和CPU卡的唯一识别码,价格更便宜,可以大大降低系统的建设成本和改造成本。
负责编辑:gt