1、门禁市场主流 CPU卡安全门禁1 背景:目前我国 80%的门禁产品均是采用原始 IC 卡的 UID 号或 ID 卡的 ID 号去做门禁卡,没有去进行加密认证或开发专用的密钥,非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国内大多数门禁产品都不具备安全性原因之一,是因为早期门禁产品的设计理论是从国外引进过来的,国内大部分厂家长期以来延用国外做法,采用 ID 和 IC 卡的只读特性进行身份识别使用,很少关注卡片与门禁机具间的加密认证,缺少安全密钥体系的设计,而 ID 卡是很容易可复制的载体,导致此类门禁很容易在极短时间内被破解和复制。2 未来市场主流-CPU 卡安全门禁系统有效防
2、范门禁产品安全问题的根本解决方案就是升级改造现有 ID 卡或逻辑加密卡门禁机具及卡片,并逐步将 ID 或逻辑加密卡门禁产品替换为更为安全可靠的 CPU 卡安全门禁产品。需要从三个方面应用 CPU 卡安全门禁产品,包括 CPU 卡及 COS 系统、CPU 卡门禁读卡器、CPU 卡密钥管理系统。2.1CPU 卡密钥管理系统在以 IC 卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新,它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户拥有密钥管理和发卡的主动权。密钥管理功能密钥的数
3、据可以是 AB 码单、密钥种子等形式。AB 码单实际上是密钥种子的一种形式,它将种子数据分成两部分,分别由两个人控制,这样可以提高系统的安全性。通过密钥管理系统生成以下几个重要密钥:用户卡结构中主要存在以下两个密钥文件及相应的几个密钥:MF 下的密钥文件(简称 KMF),其装载的密钥是卡片主控密钥(简称 CCK,以下同);ADF 下的密钥文件(简称 KADF),其装载的密钥有应用主控密钥(简称 ACK,以下同),应用维护密钥(简称 AMK),及其它应用密钥;其它密钥,如口令密钥 PIN,口令解锁密钥,DES 运算密钥等等。卡片初始化功能CPU 卡的卡片初始化系统,实现 CPU 卡的密钥灌装和卡
4、内结构初始化的工作。建立卡片文件结构、安装各工作密钥等卡片初始化工作。PSAM 卡的卡片初始化和发行工作,装载各类 CPU 卡工作密钥。2.2CPU 卡门禁读卡器CPU 卡门禁读卡器将安全认证机制引入门禁控制领域。采用支持 CPU 卡并且支持 PSAM 卡(读卡器本身带 SAM 卡插槽)的门禁读卡器,应用 PSAM 卡安全认证读写机制,极大地提高了传统门禁读卡器的安全级别。2.2.1 安全优势:CPU 卡安全门禁读卡器采用 SAM(PSAM)与 CPU 卡的安全认证,建立了完整、严密的密钥管理系统,充分使用了 CPU 卡安全特性,包括 CPU 卡和 SAM 卡的密钥系统。密钥注入 SAM 卡后
5、,外部无法读取。将 SAM卡插入读卡设备内,通过 SAM 卡和 CPU 卡进行双向验证。验证报文是由随机因子参与计算的,同一张卡在一台设备上刷卡,每次都不相同,彻底杜绝“伪卡”的出现。在门禁读卡器中安装 SAM 卡座,所有的认证都是由安装在 SAM 卡座中的 SAM 卡进行运算的。PSAM 卡一般支持标准 DES 和 3DES 算法,并可以根据密钥长度自动选择算法,具有明文加 MAC、密文、密文加 MAC三种方式的数据和密钥线路保护功能.2.3CPU 卡与非接触逻辑加密卡系统相比, 非接触式 CPU 卡在现有的技术条件下是不可伪造的;CPU 卡是真正意义上的智能卡,就是人们常说的 SmartC
6、ard。卡内集成包括中央处理器(CPU)、只读存储器(ROM)、随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)等主要部分,具有卡内操作系统 COS (Chip Operating System),用 COS 实现对卡内数据的保护,如用户和系统的相互认证、应用顺序控制和管理、随机数的产生和传输、密钥管理、加密、解密、信息的安全传输等。犹如一台超小型电脑。具有信息量大、防伪安全性高、可脱机作业,可多功能开发等优点。非接触 CPU 卡智能卡与非接触逻辑加密卡相比,拥有独立的 CPU 处理器和芯片操作系统,所以可以更灵活的支持各种不同的应用需求,更安全的设计交易流程。非接触式 CP
7、U 卡具有三种认证方式,持卡者合法性认证PIN 校验,卡合法性认证内部认证,系统合法性认证外部认证,对交易的各个单元(持卡人、卡片、终端设备)进行相互认证,保证交易介质的合法性;在以上认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同,保证了交易内容的合法性。所以,采用非接触式 CPU 卡可以杜绝伪造卡、伪造终端、伪造交易,最终保证了交易的安全性。3泰然 CPU 卡安全门禁产品:为了应对当前 M1 卡破解问题,基于自主国产知识产权的 CPU 卡、CPU 卡读写设备、CPU 卡 COS 系统及CPU 卡密钥管理系统等。泰然智
8、能科技有限公司于 2010 年初适时推出同方 CPU 卡安全门禁系列产品,并同时推出将原有 ID 卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触 CPU 卡改造方案。3.1 产品组成泰然智能科技有限公司推出的 CPU 卡安全门禁系统由以下几个部分组成:CPU 卡安全门禁读卡器、CPU 卡片、安全门禁密钥管理系统、CPU 卡发卡器、门禁控制器及门禁管理软件。3.2 主要产品介绍TR-FD8000 系列非接触 CPU 卡TR-FD8000 系列非接触 CPU 卡是由泰然智能科技有限公司自主研发的一款带有 TDES/DES 硬件加速功能的非接触 CPU 卡。该产品支持多应用防火墙,支持内外部
9、双向认证,具有硬件 DES 处理器和真随机数发生器,符合 IEC/ISO14443 标准。具备防冲突机制,支持防插拔处理和数据断电保护机制。主要性能指标:数据容量:32Kbytes(可选 8/16Kbytes);技术规范:支持 PBOC2.0 的电子存折/电子钱包/借贷记应用;保存时间:最短 10 年;擦写次数:至少 10 万次;运算速度:最大 848KBps 通讯速率;交易时间:标准 PBOC 电子钱包交易时间80ms;读写距离:010cm;工作温度:-25 +70TR-FD8000 系列门禁读卡器TF-DF6000 系列门禁读卡器采用复旦微电子自主研发的专用读卡芯片, 泰然门禁读卡器创新性
10、地将智能卡安全认证机制引入门禁控制领域,应用 PSAM 卡安全认证读写机制,极大地提高了传统门禁读卡器的安全级别。产品支持 Wiegand26/34/37 以及 RS485 通讯协议,适合配套各种型号的门禁控制器。产品支持 PSAM 卡安全认证。主要技术参数:工作电源:9VDC-12VDC读卡距离: 40mm读卡时间:200ms输出格式: Wiegand26Bit、Wiegand34Bit、Wiegand37Bit显示:双色 LED 指示灯(红、绿)峰鸣报警:4kHz 报警工作温度:-10+70防拆探测:支持安全芯片:PSAM 卡/SAM2.0 模块密钥: 用户自定义密钥,长度 128 位外壳
11、:ABS、内部灌黑色树脂胶密钥键盘:支持卡+控制器密码方式3.3 产品优势高安全性CPU 卡安全门禁读卡器内置有 PSAM 卡插槽和 SAM 模块,通过发行 PSAM 卡或使用 SAM 认证模块来存储各类密钥,通过内/外部认证方式,对交易的卡片、终端设备进行相互认证,保证交易介质的合法性。完善的密钥管理体系通过泰然 CPU 卡安全门禁密钥管理系统,最终用户可以按 CPU 卡密钥管理流程生成和管理各类 CPU卡密钥,并完成对 CPU 卡的初始化工作。良好的兼容性泰然 CPU 卡安全门禁系列产品与第三方门禁控制器厂家有良好的技术兼容性,支持多种输出格式。与国内外多家主流门禁控制器厂家成功对接。灵活的对接方式泰然提供读卡助手功能和二次开发接口,第三方公司门禁管理软件可以进行修改或者简单的二次开发,实现借助泰然的 CPU 卡发卡器实现对卡片进行读写卡操作。平滑升级,保护投资客户可以不更换原有门禁控制器的前提下,将传统门禁系统平滑升级至 CPU 卡产品门禁系统,保护客户的原有投资。深圳市泰然智能科技有限公司彭先生13724261727 Q:13099187280755-82155119
