收藏本站 | 网站地图 | ENGLISH  
产品分类
磁力锁
电插锁
电控锁、电机锁
智能刷卡一体锁
阴极锁
电锁配件
门禁考勤系统
门禁专用电源
自动门专用产品
闭门器
出门开关
逃生门锁
ID/IC智能卡
指纹密码锁
收费机
周边配套系列
首页 - 行业资讯
门禁行业如何有效应对MIFARE卡出现的安全危机--广州鹰高电子

背景:

     自从20092Mifare卡密钥破解事件被社会媒体广泛关注之后,非接触IC的安全性问题已经成为近三个月以来智能卡行业各个媒体最热门的话题之一;国家工业和信息化部同时也针对此事件在全国下发了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地开展对IC卡使用情况的调查及应对工作。作为门禁系统中最重要的身份识别部分,目前国内80%的门禁产品均是采用原始IC卡的ID号或ID卡的ID号去做门禁卡,根本没有去进行加密认证或开发专用的密钥,其安全隐患已远远超过Mifare卡的破解危机;而所有在中国销售的国内外门禁产品的安全隐患至今还没有人提出重视,非法破解的人士只需采用的最简单的技术手段就可以完成破解过程。

  如何解决目前的安全危机?

     有效防范门禁产品安全问题的根本解决方案就是升级改造现有ID卡或逻辑加密卡门禁机具及卡片,并逐步将ID或逻辑加密卡门禁产品替换为更为安全可靠的CPU卡安全门禁产品。

     需要从三个方面应用CPU卡安全门禁产品,包括CPU卡及COS系统、CPU卡门禁读卡器、CPU卡密钥管理系统。

     2.1 CPU

     与非接触逻辑加密卡系统相比, 非接触式 CPU卡在现有的技术条件下是不可伪造的;

     CPU卡是真正意义上的智能卡,就是人们常说的SmartCard。卡内集成包括中央处理器(CPU)、只读存储器(ROM)、随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)等主要部分,具有卡内操作系统COS (Chip Operating System),用COS实现对卡内数据的保护,如用户和系统的相互认证、应用顺序控制和管理、随机数的产生和传输、密钥管理、加密、解密、信息的安全传输等。犹如一台超小型电脑。具有信息量大、防伪安全性高、可脱机作业,可多功能开发等优点。

     2.2 CPU门禁读卡器

     CPU卡门禁读卡器将安全认证机制引入门禁控制领域。采用支持CPU卡并且支持PSAM卡(读卡器本身带SAM卡插槽)的门禁读卡器,应用PSAM卡安全认证读写机制,极大地提高了传统门禁读卡器的安全级别。

     2.2.1 安全优势:

     CPU卡安全门禁读卡器采用SAM(PSAM)CPU卡的安全认证,建立了完整、严密的密钥管理系统,充分使用了CPU卡安全特性,包括CPU卡和SAM卡的密钥系统。密钥注入SAM卡后,外部无法读取。将SAM卡插入读卡设备内,通过SAM卡和CPU卡进行双向验证。验证报文是由随机因子参与计算的,同一张卡在一台设备上刷卡,每次都不相同,彻底杜绝伪卡的出现。

     2.2.2  密钥实现方式:

     通过PSAM卡:

     在门禁读卡器中安装SAM卡座,所有的认证都是由安装在SAM卡座中的SAM卡进行运算的。PSAM卡一般支持标准DES3DES算法,并可以根据密钥长度自动选择算法,具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。

     通过SAM硬件模块 :

     所有的认证都是由安装在门禁读卡器中的SAM模块进行运算的。SAM模块一般支持标准DES3DES算法,并可以根据密钥长度自动选择算法,具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。

      2.3 CPU卡密钥管理系统

     在以IC卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新,它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户拥有密钥管理和发卡的主动权。

     密钥管理功能

     密钥的数据可以是AB码单、密钥种子等形式。AB码单实际上是密钥种子的一种形式,它将种子数据分成两部分,分别由两个人控制,这样可以提高系统的安全性。通过密钥管理系统生成以下几个重要密钥:

     用户卡结构中主要存在以下两个密钥文件及相应的几个密钥:

     MF下的密钥文件(简称KMF),其装载的密钥是卡片主控密钥(简称CCK,以下同)

     ADF下的密钥文件(简称KADF),其装载的密钥有应用主控密钥(简称ACK,以下同),应用维护密钥(简称AMK),及其它应用密钥;

     其它密钥,如口令密钥PIN,口令解锁密钥,DES运算密钥等等。

     卡片初始化功能

     CPU卡的卡片初始化系统,实现CPU卡的密钥灌装和卡内结构初始化的工作。建立卡片文件结构、安装各工作密钥等卡片初始化工作。

     PSAM卡的卡片初始化和发行工作,装载各类CPU卡工作密钥。

  升级或新建CPU卡门禁的方案

     方式一、原有门禁系统的平滑升级

     如果用户要将现有的传统门禁升级到基于CPU卡的安全门禁系统,使用CPU卡安全门禁系统可以在不用更换原有控制器和门禁软件的前提下,实现平滑升级,涉及到的工作内容如下:

     通过原来的门禁管理系统导出系统中原有的卡号与人员的对应关系。

     通过CPU卡密钥管理系统,生成新的CPU卡密钥。

     通过CPU卡密钥管理系统导入原门禁管理系统中的卡号对应关系,并发行新的用户CPU卡。

     通过CPU卡密钥管理系统,发行PSAM卡,并安装到CPU卡安全门禁读卡器中     将原来的门禁读卡器更换为CPU卡安全门禁读卡器。

方式二、新门禁系统建设 

     如果使用其它公司门禁控制器和门禁管理系统来新建用户方的门禁系统,使用CPU卡安全门禁读卡器和配套的密钥管理系统,可以与其它公司的门禁控制器和门禁管理系统一并使用,以实现使用CPU卡安全门禁的目的,涉及到的工作内容如下:

     通过CPU卡密钥管理系统,生成新的CPU卡密钥。

     通过CPU卡密钥管理系统,并发行新的用户CPU卡。

     通过CPU卡密钥管理系统,发行PSAM卡,并安装到CPU卡安全门禁读卡器中(如果是通过SAM卡模块方式,则发行设置卡,将各类密钥传递到门禁读卡器中)。

     通过第三方公司的门禁管理软件,通过CPU卡发卡器,识读新发行的用户卡,并将用户卡与后台人员基本信息建立对应关系,并下发授权到其它公司的门禁控制器。

     安装使用CPU卡安全门禁读卡器。

     同方CPU卡安全门禁产品:

     为了应对当前M1卡破解问题,基于自主国产知识产权的CPU卡、CPU卡读写设备、CPUCOS系统及CPU卡密钥管理系统等受到广泛关注。同方锐安科技有限公司于2009年初适时推出同方CPU卡安全门禁系列产品,并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。

     4.1 产品组成

     同方锐安科技有限公司推出的CPU卡安全门禁系统由以下几个部分组成:CPU卡安全门禁读卡器、CPU卡片、安全门禁密钥管理系统、CPU卡发卡器、门禁控制器及门禁管理软件。

      4.2 产品优势

     高安全性

     CPU卡安全门禁读卡器内置有PSAM卡插槽和SAM模块,通过发行PSAM卡或使用SAM认证模块来存储各类密钥,通过内/外部认证方式,对交易的卡片、终端设备进行相互认证,保证交易介质的合法性。

     完善的密钥管理体系

     通过同方CPU卡安全门禁密钥管理系统,最终用户可以按CPU卡密钥管理流程生成和管理各类CPU卡密钥,并完成对CPU卡的初始化工作。

     良好的兼容性

     同方CPU卡安全门禁系列产品与第三方门禁控制器厂家有良好的技术兼容性,支持多种输出格式。与国内外多家主流门禁控制器厂家成功对接。

     灵活的对接方式

     同方提供读卡助手功能和二次开发接口,第三方公司门禁管理软件可以在不进行修改或者简单的二次开发,实现借助同方的CPU卡发卡器实现对卡片进行读写卡操作。

     平滑升级,保护投资

     客户可以不更换原有门禁控制器的前提下,将传统门禁系统平滑升级至CPU卡产品门禁系统,保护客户的原有投资。

 

版权所有 © 广州市鹰高电子科技有限公司
地址:广州市天河区白沙水路164号1-4号 电话:020-38499101 38499202
Http://www.eal.com.cn E-mail: eagleyinggao@163.com 网络备案号:粤ICP备06015842号 技术支持:联雅网络
电锁 | 电插锁 | 阳极锁 | 磁力锁 | 电磁锁 | 电锁口 | 电锁扣 | 电控锁 | 机械锁 | 阴极锁 | 门禁机 | 门禁 | 门禁考勤 | 门禁一体机 | 门禁考勤系统 | 门禁键盘 | 门禁一卡通 | 门禁读卡器 | 门禁配件 | 门夹 | 电锁配件 | 电锁支架 | 出门开关 | 出门按钮 | 开关按钮 | 门禁开关 | 门禁电源 | 门禁电源控制器 | 电源控制器

粤公网安备 44010602001181号