專業(yè)安裝,貼心售后 提高服務(wù)品質(zhì)
24H服務(wù)熱線:24H 13866723565
24H 13866723565
發(fā)布時間:2019/12/25 閱讀數(shù)量:37
門禁系統(tǒng)采用的門禁卡分為兩類:125KHZ的低頻只讀卡
、13.56MHZ的高頻讀寫卡。125KHZ的低頻只讀卡,與普通磁卡類似,明碼格式,無需要破解,安徽合肥道閘用通用編程器可仿制卡號,這是一種早期的技術(shù),安全性差,屬于淘汰技術(shù),通常用于安全性要求不高的小區(qū),不適用于涉密單位、高保安場所。常用的13.56MHZ的高頻讀寫卡,可以理解為帶口令的U盤,由口令來保護(hù)卡類數(shù)據(jù),安全級別中等,通常用來做為小額電子錢包、身份識別卡。近兩年來國際上被破解的Mifare1卡屬于此類的一種,并且破解方式已公開,因此采用Mifare1門禁系統(tǒng)存在安全隱患。此次解密風(fēng)波引起了業(yè)界的思考
,新建的門禁系統(tǒng)如何提高安全性呢?已建的采用Mifare1卡門禁系統(tǒng)有什么升級方案嗎?1卡片安全性規(guī)劃及實(shí)施
非接觸IC卡的種類及相關(guān)標(biāo)準(zhǔn)
在討論如何消除目前的隱患前,安徽破胎器我們先總結(jié)一下非接觸IC卡的技術(shù)總體現(xiàn)狀
。非接觸IC卡已取代磁卡125KHZ的低頻只讀卡,出現(xiàn)在1979年
超高頻915MHZ
13.56MHZ高頻讀寫卡
ISO/IEC14443由于問世較早
,且由于城市公交的大規(guī)模采用,芯片、讀卡機(jī)具發(fā)展成熟,從而同時成為門禁卡的選型主流。符合ISO/IEC14443的Mifare1卡由于采用偽隨機(jī)數(shù)來用于三重認(rèn)證、48位密鑰長度也過短,導(dǎo)致該卡加密算法被破解。因此新的非接觸CPU卡需要在隨機(jī)數(shù)產(chǎn)生機(jī)理、密鑰長度三
Mifare1卡風(fēng)靡全球、各行各業(yè)爭相采用的普及程度是該芯片廠家始料未及的
早期電子門鎖系統(tǒng)投入應(yīng)用的非接觸IC卡技術(shù)多為邏輯加密卡
隨著非接觸邏輯加密卡不斷應(yīng)用的過程
因此
1.1安全的卡片選型
為回避MF1卡可能帶來的系統(tǒng)風(fēng)險
非接觸CPU卡:也稱智能卡
1.2非接觸CPU卡的特點(diǎn)
芯片和COS的安全技術(shù)為CPU卡提供了雙重的安全保證
非接觸CPU卡加密算法和隨機(jī)數(shù)發(fā)生器與安裝在讀寫設(shè)備中的密鑰認(rèn)證卡(SAM卡)相互發(fā)送認(rèn)證的隨機(jī)數(shù)
1.3卡片密鑰設(shè)計(jì)
密鑰管理系統(tǒng)(Key Management System),也簡稱KMS
1.3.1非接觸CPU卡認(rèn)證機(jī)制
非接觸CPU卡通過內(nèi)外部認(rèn)證的機(jī)制
1.3.2非接觸CPU卡的密鑰實(shí)現(xiàn)方式
硬密鑰:在終端機(jī)具中安裝SAM卡座
非接觸CPU卡加密算法和隨機(jī)數(shù)發(fā)生器與安裝在讀寫設(shè)備中的密鑰認(rèn)證卡(SAM卡)相互發(fā)送認(rèn)證的隨機(jī)數(shù)
,可以實(shí)現(xiàn)以下功能:(1) 通過終端設(shè)備上SAM卡實(shí)現(xiàn)對卡的認(rèn)證
。(2) 通過ISAM卡對非接觸CPU卡進(jìn)行充值操作,實(shí)現(xiàn)安全的儲值。
(3) 通過PSAM卡對非接觸CPU卡進(jìn)行減值操作
,實(shí)現(xiàn)安全的扣款.(4) 非接觸CPU卡與終端設(shè)備上的SAM卡的相互認(rèn)證
,實(shí)現(xiàn)對卡終端的認(rèn)證。(5) 在終端設(shè)備與非接觸CPU卡中傳輸?shù)臄?shù)據(jù)是加密傳輸
。(6) 通過對非接觸CPU卡發(fā)送給SAM卡的隨機(jī)數(shù)MAC1
,刷卡翼閘SAM卡發(fā)送給非接觸CPU的隨機(jī)數(shù)MAC2和由非接觸CPU卡返回的隨機(jī)數(shù)TAC,可以實(shí)現(xiàn)數(shù)據(jù)傳輸驗(yàn)證的計(jì)算。而MAC1、MAC2和TAC就是同一張非接觸CPU卡每次傳輸?shù)倪^程中都是不同的,因此無法使用空中接收的辦法來破解非接觸CPU卡的密鑰。1.3.3 加密標(biāo)準(zhǔn)
新系統(tǒng)的加密算法采用國家密碼管理局RFID專用密碼算法SM1該算法是密鑰長度為128位的非公開算法
,知識產(chǎn)權(quán)屬于國家密碼管理局,國內(nèi)用戶免費(fèi)使用工作密鑰加解密算法采用國家密碼管理局RFID專用密碼算法SM1加密算法
個人識別碼(PIN)加密算法采用標(biāo)準(zhǔn):ISO 9564:1991 銀行業(yè)務(wù)—個人識別號的管理于安全
報(bào)文認(rèn)證碼(MAC)算法符合規(guī)范中采用ANSI X3.92:1981 數(shù)據(jù)加密算法。
1.3.4非接觸CPU卡門禁系統(tǒng)采用國密算法
采用國密算法的非接觸CPU卡門禁系統(tǒng)
1、發(fā)卡密鑰系統(tǒng)
國密卡發(fā)卡流程大體可分為三個步驟:(1)卡結(jié)構(gòu)建立;(2)密鑰寫入;(3)個人化處理
(1)卡結(jié)構(gòu)建立;應(yīng)對卡片結(jié)構(gòu)進(jìn)行統(tǒng)一規(guī)劃
(2)密鑰寫入;包括發(fā)卡單位主密鑰
、專項(xiàng)應(yīng)用子密鑰、管理性密鑰等。密鑰發(fā)卡中心集中寫入后的初始化卡分發(fā)給各發(fā)卡單位。(3)個性化處理;發(fā)卡單位根據(jù)自己的發(fā)卡單位主密鑰
,進(jìn)行本單位個人基本信息文件、應(yīng)用文件裝入,并且表面打印照片、姓名等,這樣完成個人化處理的卡片,就可發(fā)給持卡人。2
、讀卡器新增SAM卡根據(jù)發(fā)卡密鑰系統(tǒng)制作相應(yīng)的SAM卡,由SAM卡完成讀卡器與卡片的信息交換
。對于新建門禁系統(tǒng)可以直接采用該方案
。對已建的門禁系統(tǒng)則需要更換舊讀卡器、舊卡片,門禁軟件需要增加與新的發(fā)卡密鑰系統(tǒng)的接口。門禁控制器原則上可以保留。以上采用國密算法的非接觸CPU卡門禁系統(tǒng),目前已成功應(yīng)用于有關(guān)部委的新建與改造門禁一卡通系統(tǒng)。地址:合肥市金寨南路229號淺水灣時代廣場A-12號
設(shè)計(jì)部: 合肥市包河區(qū)東流路169號
安慶分公司:宿松園區(qū)茶園路121號
電話:86+0551-63659071 86+0551-62152199 62152429
傳真:86+0551-62152199 63434490
商務(wù)QQ:11035627
24小時服務(wù)支持:13866723565
網(wǎng)址:http://m.dgaiyou.com(林博智能)
http://www.ahmenkong.com(安徽門控網(wǎng))