专业安装,贴心售后 提高服务品质
24H服务热线:

24H 13866723565

热门关键词:

安徽路障机的设计原则

发布时间:2019/12/25 阅读数量:37

门禁系统采用的门禁卡分为两类:125KHZ的低频只读卡、13.56MHZ的高频读写卡。125KHZ的低频只读卡,与普通磁卡类似,明码格式,无需要破解,安徽合肥道闸用通用编程器可仿制卡号,这是一种早期的技术,安全性差,属于淘汰技术,通常用于安全性要求不高的小区,不适用于涉密单位、高保安场所。常用的13.56MHZ的高频读写卡,可以理解为带口令的U盘,由口令来保护卡类数据,安全级别中等,通常用来做为小额电子钱包、身份识别卡。近两年来国际上被破解的Mifare1卡属于此类的一种,并且破解方式已公开,因此采用Mifare1门禁系统存在安全隐患。

此次解密风波引起了业界的思考,新建的门禁系统如何提高安全性呢?已建的采用Mifare1卡门禁系统有什么升级方案吗?

1卡片安全性规划及实施

 非接触IC卡的种类及相关标准

在讨论如何消除目前的隐患前,安徽破胎器我们先总结一下非接触IC卡的技术总体现状。非接触IC卡已取代磁卡,成为自动识别卡片的主流。非接触IC卡按照频率,可以划分为以下几类。

125KHZ的低频只读卡,出现在1979年,这些低频卡的ID号存储介质是EEPROM,具有电擦写功能,可反复多次写入,因此ID号极易伪造,且无相关的国际标准。

超高频915MHZ、微波卡2.5GHZ是近几年的新产品,读卡最大距离达10m。相关ISO/IEC18000国际标准没有最终完成。

13.56MHZ高频读写卡,比125KHZ的低频卡传输速率快100倍,是应用最广泛的,诞生于1993年,此后不断发展,产品线不断丰富。根据读卡距离不同,分为两个标准,ISO/IEC14443标准、ISO/IEC15693。ISO/IEC14443最大距离为10cm,ISO/IEC15693标准非接触IC卡最大距离为100cm。

ISO/IEC14443由于问世较早,且由于城市公交的大规模采用,芯片、读卡机具发展成熟,从而同时成为门禁卡的选型主流。符合ISO/IEC14443的Mifare1卡由于采用伪随机数来用于三重认证、48位密钥长度也过短,导致该卡加密算法被破解。因此新的非接触CPU卡需要在随机数产生机理、密钥长度、加密算法上加以提升。而13.56MHZ通讯频率、以及ISO/IEC14443的通讯协议将继续被采用。

三、支持国家密码局密码算法的非接触式芯片

Mifare1卡风靡全球、各行各业争相采用的普及程度是该芯片厂家始料未及的。尽管芯片厂家推出了有关升级芯片,但由于价格、技术普及等因素没有被大部分市场接受。为了保证我国智能卡市场健康有序的发展,在国家密码管理局的支持和组织下,早在2007年,我国就开展了我国自主产权的、专门应用于RFID市场的密码算法研制工作,取得成功。该密码算法也得到我国众多集成电路芯片厂商的极力推崇和遵循,成功推出了相关产品。

早期电子门锁系统投入应用的非接触IC卡技术多为逻辑加密卡,比如最为著名的Philips公司(现NXP)的Mifare1卡片。非接触逻辑加密卡技术以其低廉的成本,简明的交易流程,较简单的系统架构,迅速得到了用户的青睐,并得到了快速的应用和发展。据不完全统计,截至去年年底,国内各领域非接触逻辑加密卡的发卡量已经达到数亿张。

随着非接触逻辑加密卡不断应用的过程,安徽路障机非接触逻辑加密卡技术的不足之处也日益暴露,难以满足更高的安全性和更复杂的多应用的需求。特别是2008年10月,互联网上公布了破解MIFARE CLASSIC IC芯片(以下简称M1芯片)密码的方法,不法分子利用这种方法可以很低的经济成本对采用该芯片的各类“一卡通”、门禁卡进行非法充值或复制,带来很大的社会安全和经济安全的隐患。目前国内80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡,根本没有去进行加密认证或开发专用的密钥,其安全隐患远远比Mifare卡的破解更危险,非法破解的人士只需采用的是专业的技术手段就可以完成破解过程,导致目前国内大多数门禁产品都不具备安全性,原因之一是因为早期门禁产品的设计理论是从国外引进过来的,国内大部分厂家长期以来延用国外做法,采用ID和IC卡的只读特性进行身份识别使用,很少关注卡与机具间的加密认证,缺少钥匙体系的设计;而ID卡是很容易可复制的载体,导致所有的门禁很容易几乎可以在瞬间被破解复制;这才是我们国内安防市场最大的灾难。

因此,非接触CPU卡智能卡技术正成为一种技术上更新换代的选择。

1.1安全的卡片选型

为回避MF1卡可能带来的系统风险,本系统全面采用非接触式CPU卡片,基于IS014443 Type A国际标准的非接触式CPU卡片技术,可实现向下兼容MF1卡,同时提升已存在安全风险的MF1加密信息技术,对所有机具进行加密处理,全面兼容已有的MF1卡片

非接触CPU卡:也称智能卡,卡内的集成电路中带有微处理器CPU、存储单元(包括随机存储器RAM、程序存储器ROM(FLASH)、用户数据存储器EEPROM)以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理、数据加密和安全保护等功能。

1.2非接触CPU卡的特点

芯片和COS的安全技术为CPU卡提供了双重的安全保证,自带操作系统的CPU卡对计算机网络系统要求较低,可实现脱机操作;可实现真正意义上的一卡多应用,每个应用之间相互独立,并受控于各自的密钥管理系统。存储容量大,可提供1K-64K字节的数据存储。

非接触CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互发送认证的随机数,卡片拥有独立的CPU处理器和芯片操作系统,可以更灵活地支持各种不同的应用需求,更安全的设计交易流程。与非接触逻辑加密卡系统相比,非接触CPU卡系统显得更为复杂,需要进行更多的系统改造,比如密钥管理、交易流程、PSAM卡以及卡片个人化等。密钥通常分为充值密钥(ISAM卡),减值密钥(PSAM卡),身份认证密钥(SAM卡)。

1.3卡片密钥设计

密钥管理系统(Key Management System),也简称KMS,是IC项目安全的核心。如何进行密钥的安全管理,贯穿着IC卡应用的整个生命周期。 刷卡摆闸

1.3.1非接触CPU卡认证机制

非接触CPU卡通过内外部认证的机制,例如像建设部定义的电子钱包的交易流程,高可靠的满足不同的业务流程对安全和密钥管理的需求。对电子钱包圈存可以使用圈存密钥,消费可以使用消费密钥,清算可以使用TAC密钥,更新数据可以使用卡片应用维护密钥,卡片个人化过程中可以使用卡片传输密钥、卡片主控密钥、应用主控密钥等,真正做到一钥一用。

1.3.2非接触CPU卡的密钥实现方式

硬密钥:在终端机具中安装SAM卡座,所有的认证数据都由安装在终端机中的SAM卡进行运算的,这样在终端机具维修时,只要取出SAM卡座中的SAM卡,这台终端机具就是“空的”了。所以所有的银行设备都采用SAM卡的认证模式。

非接触CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互发送认证的随机数,可以实现以下功能:

(1) 通过终端设备上SAM卡实现对卡的认证。

(2) 通过ISAM卡对非接触CPU卡进行充值操作,实现安全的储值。

(3) 通过PSAM卡对非接触CPU卡进行减值操作,实现安全的扣款.

(4) 非接触CPU卡与终端设备上的SAM卡的相互认证,实现对卡终端的认证。

(5) 在终端设备与非接触CPU卡中传输的数据是加密传输。

(6) 通过对非接触CPU卡发送给SAM卡的随机数MAC1,刷卡翼闸SAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC,可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的,因此无法使用空中接收的办法来破解非接触CPU卡的密钥。

1.3.3 加密标准

新系统的加密算法采用国家密码管理局RFID专用密码算法SM1该算法是密钥长度为128位的非公开算法,知识产权属于国家密码管理局,国内用户免费使用。门禁系统SAM卡、用户卡的密钥由用户发卡机构自行掌握,保证机卡分离,与机具厂商无关,确保系统安全。

工作密钥加解密算法采用国家密码管理局RFID专用密码算法SM1加密算法

个人识别码(PIN)加密算法采用标准:ISO 9564:1991 银行业务—个人识别号的管理于安全。

报文认证码(MAC)算法符合规范中采用ANSI X3.92:1981 数据加密算法。

1.3.4非接触CPU卡门禁系统采用国密算法

采用国密算法的非接触CPU卡门禁系统,对于传统的门禁系统设计,该设计主要做了两点创新:

1、发卡密钥系统

国密卡发卡流程大体可分为三个步骤:(1)卡结构建立;(2)密钥写入;(3)个人化处理。

(1)卡结构建立;应对卡片结构进行统一规划,包括主文件、密钥文件、公共信息基本信息文件、个人基本信息文件、应用文件、记录文件、目录文件等。

(2)密钥写入;包括发卡单位主密钥、专项应用子密钥、管理性密钥等。密钥发卡中心集中写入后的初始化卡分发给各发卡单位。

(3)个性化处理;发卡单位根据自己的发卡单位主密钥,进行本单位个人基本信息文件、应用文件装入,并且表面打印照片、姓名等,这样完成个人化处理的卡片,就可发给持卡人。

2、读卡器新增SAM卡

根据发卡密钥系统制作相应的SAM卡,由SAM卡完成读卡器与卡片的信息交换。

对于新建门禁系统可以直接采用该方案。对已建的门禁系统则需要更换旧读卡器、旧卡片,门禁软件需要增加与新的发卡密钥系统的接口。门禁控制器原则上可以保留。以上采用国密算法的非接触CPU卡门禁系统,目前已成功应用于有关部委的新建与改造门禁一卡通系统。

地址:合肥市金寨南路229号浅水湾时代广场A-12号

设计部: 合肥市包河区东流路169号

安庆分公司:宿松园区茶园路121号

电话:86+0551-63659071 86+0551-62152199 62152429 

传真:86+0551-62152199 63434490

商务QQ:11035627

24小时服务支持:13866723565

网址:http://www.ahlinbo.com(林博智能)

http://www.ahmenkong.com(安徽门控网)