自從2009年2月Mifare卡密鑰破解事件被社會(huì)媒體廣泛關(guān)注之后,非接觸IC卡的安全性問題已經(jīng)成為近三個(gè)月以來智能卡行業(yè)各個(gè)媒體最熱門的話題之一;國(guó)家工業(yè)和信息化部同時(shí)也針對(duì)此事件在全國(guó)下發(fā)了《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》,要求各地開展對(duì)IC卡使用情況的調(diào)查及應(yīng)對(duì)工作...
【安防知識(shí)網(wǎng)】自從2009年2月Mifare卡密鑰破解事件被社會(huì)媒體廣泛關(guān)注之后,非接觸IC卡的安全性問題已經(jīng)成為近三個(gè)月以來智能卡行業(yè)各個(gè)媒體最熱門的話題之一;國(guó)家工業(yè)和信息化部同時(shí)也針對(duì)此事件在全國(guó)下發(fā)了《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》�,要求各地開展對(duì)IC卡使用情況的調(diào)查及應(yīng)對(duì)工作。作為門禁系統(tǒng)中最重要的身份識(shí)別部分�,目前國(guó)內(nèi)80%的門禁產(chǎn)品均是采用原始IC卡的ID號(hào)或ID卡的ID號(hào)去做門禁卡����,根本沒有去進(jìn)行加密認(rèn)證或開發(fā)專用的密鑰,其安全隱患已遠(yuǎn)遠(yuǎn)超過Mifare卡的破解危機(jī);而所有在中國(guó)銷售的國(guó)內(nèi)外門禁產(chǎn)品的安全隱患至今還沒有人提出重視�,非法破解的人士只需采用的最簡(jiǎn)單的技術(shù)手段就可以完成破解過程。
如何解決目前的安全危機(jī)?
有效防范門禁產(chǎn)品安全問題的根本解決方案就是升級(jí)改造現(xiàn)有ID卡或邏輯加密卡門禁機(jī)具及卡片�,并逐步將ID或邏輯加密卡門禁產(chǎn)品替換為更為安全可靠的CPU卡安全門禁產(chǎn)品。
需要從三個(gè)方面應(yīng)用CPU卡安全門禁產(chǎn)品��,包括CPU卡及COS系統(tǒng)����、CPU卡門禁讀卡器、CPU卡密鑰管理系統(tǒng)��。
CPU卡
與非接觸邏輯加密卡系統(tǒng)相比��,非接觸式CPU卡在現(xiàn)有的技術(shù)條件下是不可偽造的;
CPU卡是真正意義上的智能卡�����,就是人們常說的SmartCard?�?▋?nèi)集成包括中央處理器(CPU)����、只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)�、電可擦除可編程只讀存儲(chǔ)器(EEPROM)等主要部分,具有卡內(nèi)操作系統(tǒng)COS(ChipOperatingSystem)��,用COS實(shí)現(xiàn)對(duì)卡內(nèi)數(shù)據(jù)的保護(hù)���,如用戶和系統(tǒng)的相互認(rèn)證�、應(yīng)用順序控制和管理���、隨機(jī)數(shù)的產(chǎn)生和傳輸���、密鑰管理、加密�����、解密�����、信息的安全傳輸?shù)?�。猶如一臺(tái)超小型電腦��。具有信息量大��、防偽安全性高���、可脫機(jī)作業(yè)���,可多功能開發(fā)等優(yōu)點(diǎn)。
非接觸CPU卡智能卡與非接觸邏輯加密卡相比��,擁有獨(dú)立的CPU處理器和芯片操作系統(tǒng)����,所以可以更靈活的支持各種不同的應(yīng)用需求,更安全的設(shè)計(jì)交易流程��。非接觸式CPU卡具有三種認(rèn)證方式,持卡者合法性認(rèn)證——PIN校驗(yàn)���,卡合法性認(rèn)證——內(nèi)部認(rèn)證�����,系統(tǒng)合法性認(rèn)證——外部認(rèn)證����,對(duì)交易的各個(gè)單元(持卡人�����、卡片�����、終端設(shè)備)進(jìn)行相互認(rèn)證����,保證交易介質(zhì)的合法性;在以上認(rèn)證過程中,密鑰是不在線路上以明文出現(xiàn)的���,它每次的送出都是經(jīng)過隨機(jī)數(shù)加密的�,而且因?yàn)橛须S機(jī)數(shù)的參加,確保每次傳輸?shù)膬?nèi)容不同����,保證了交易內(nèi)容的合法性�����。所以����,采用非接觸式CPU卡可以杜絕偽造卡、偽造終端�����、偽造交易���,最終保證了交易的安全性�。
CPU卡門禁讀卡器
CPU卡門禁讀卡器將安全認(rèn)證機(jī)制引入門禁控制領(lǐng)域����。采用支持CPU卡并且支持PSAM卡(讀卡器本身帶SAM卡插槽)的門禁讀卡器,應(yīng)用PSAM卡安全認(rèn)證讀寫機(jī)制����,極大地提高了傳統(tǒng)門禁讀卡器的安全級(jí)別��。
安全優(yōu)勢(shì):
CPU卡安全門禁讀卡器采用SAM(PSAM)與CPU卡的安全認(rèn)證���,建立了完整、嚴(yán)密的密鑰管理系統(tǒng)�,充分使用了CPU卡安全特性,包括CPU卡和SAM卡的密鑰系統(tǒng)�����。
密鑰注入SAM卡后�,外部無法讀取。將SAM卡插入讀卡設(shè)備內(nèi)��,通過SAM卡和CPU卡進(jìn)行雙向驗(yàn)證�。驗(yàn)證報(bào)文是由隨機(jī)因子參與計(jì)算的,同一張卡在一臺(tái)設(shè)備上刷卡����,每次都不相同,徹底杜絕“偽卡”的出現(xiàn)��。
密鑰實(shí)現(xiàn)方式:
通過PSAM卡:
在門禁讀卡器中安裝SAM卡座��,所有的認(rèn)證都是由安裝在SAM卡座中的SAM卡進(jìn)行運(yùn)算的。PSAM卡一般支持標(biāo)準(zhǔn)DES和3DES算法����,并可以根據(jù)密鑰長(zhǎng)度自動(dòng)選擇算法,具有明文加MAC���、密文��、密文加MAC三種方式的數(shù)據(jù)和密鑰線路保護(hù)功能。
通過SAM硬件模塊:
所有的認(rèn)證都是由安裝在門禁讀卡器中的SAM模塊進(jìn)行運(yùn)算的����。SAM模塊一般支持標(biāo)準(zhǔn)DES和3DES算法,并可以根據(jù)密鑰長(zhǎng)度自動(dòng)選擇算法�,具有明文加MAC、密文���、密文加MAC三種方式的數(shù)據(jù)和密鑰線路保護(hù)功能���。
CPU卡密鑰管理系統(tǒng)
在以IC卡為應(yīng)用載體的信息系統(tǒng)中,密鑰的管理是整個(gè)系統(tǒng)安全運(yùn)行的基礎(chǔ)��。密鑰管理系統(tǒng)的主要任務(wù)是進(jìn)行密鑰的生成���、發(fā)行和更新��,它直接關(guān)系到整個(gè)系統(tǒng)的安全�����?��?蛻裟苓^此軟件自行生成和管理各類應(yīng)用密鑰�����,自行完成卡片的初始化工作��,保證了客戶擁有密鑰管理和發(fā)卡的主動(dòng)權(quán)����。
密鑰管理功能
密鑰的數(shù)據(jù)可以是AB碼單�����、密鑰種子等形式����。AB碼單實(shí)際上是密鑰種子的一種形式�,它將種子數(shù)據(jù)分成兩部分�,分別由兩個(gè)人控制,這樣可以提高系統(tǒng)的安全性����。通過密鑰管理系統(tǒng)生成以下幾個(gè)重要密鑰:
用戶卡結(jié)構(gòu)中主要存在以下兩個(gè)密鑰文件及相應(yīng)的幾個(gè)密鑰:
MF下的密鑰文件(簡(jiǎn)稱KMF),其裝載的密鑰是卡片主控密鑰(簡(jiǎn)稱CCK����,以下同);
ADF下的密鑰文件(簡(jiǎn)稱KADF),其裝載的密鑰有應(yīng)用主控密鑰(簡(jiǎn)稱ACK�,以下同)��,應(yīng)用維護(hù)密鑰(簡(jiǎn)稱AMK)��,及其它應(yīng)用密鑰;
其它密鑰�,如口令密鑰PIN,口令解鎖密鑰��,DES運(yùn)算密鑰等等����。
卡片初始化功能
CPU卡的卡片初始化系統(tǒng),實(shí)現(xiàn)CPU卡的密鑰灌裝和卡內(nèi)結(jié)構(gòu)初始化的工作���。建立卡片文件結(jié)構(gòu)��、安裝各工作密鑰等卡片初始化工作���。
PSAM卡的卡片初始化和發(fā)行工作�����,裝載各類CPU卡工作密鑰���。
3升級(jí)或新建CPU卡門禁的方案
方式一、原有門禁系統(tǒng)的平滑升級(jí)
如果用戶要將現(xiàn)有的傳統(tǒng)門禁升級(jí)到基于CPU卡的安全門禁系統(tǒng)����,使用CPU卡安全門禁系統(tǒng)可以在不用更換原有控制器和門禁軟件的前提下,實(shí)現(xiàn)平滑升級(jí)���,涉及到的工作內(nèi)容如下:
通過原來的門禁管理系統(tǒng)導(dǎo)出系統(tǒng)中原有的卡號(hào)與人員的對(duì)應(yīng)關(guān)系�����。
通過CPU卡密鑰管理系統(tǒng)����,生成新的CPU卡密鑰。
通過CPU卡密鑰管理系統(tǒng)導(dǎo)入原門禁管理系統(tǒng)中的卡號(hào)對(duì)應(yīng)關(guān)系��,并發(fā)行新的用戶CPU卡��。
通過CPU卡密鑰管理系統(tǒng)����,發(fā)行PSAM卡,并安裝到CPU卡安全門禁讀卡器中(如果是通過SAM卡模塊方式�����,則發(fā)行設(shè)置卡��,將各類密鑰傳遞到門禁讀卡器中)�����。
將原來的門禁讀卡器更換為CPU卡安全門禁讀卡器�。
方式二�、新門禁系統(tǒng)建設(shè)
如果使用其它公司門禁控制器和門禁管理系統(tǒng)來新建用戶方的門禁系統(tǒng),使用CPU卡安全門禁讀卡器和配套的密鑰管理系統(tǒng)���,可以與其它公司的門禁控制器和門禁管理系統(tǒng)一并使用�����,以實(shí)現(xiàn)使用CPU卡安全門禁的目的����,涉及到的工作內(nèi)容如下:
通過CPU卡密鑰管理系統(tǒng),生成新的CPU卡密鑰�����。
通過CPU卡密鑰管理系統(tǒng)���,并發(fā)行新的用戶CPU卡�����。
通過CPU卡密鑰管理系統(tǒng)�,發(fā)行PSAM卡�,并安裝到CPU卡安全門禁讀卡器中(如果是通過SAM卡模塊方式,則發(fā)行設(shè)置卡��,將各類密鑰傳遞到門禁讀卡器中)��。
通過第三方公司的門禁管理軟件,通過CPU卡發(fā)卡器�����,識(shí)讀新發(fā)行的用戶卡���,并將用戶卡與后臺(tái)人員基本信息建立對(duì)應(yīng)關(guān)系����,并下發(fā)授權(quán)到其它公司的門禁控制器�。
安裝使用CPU卡安全門禁讀卡器。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意��。如您是字體廠商�、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材���,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟(jì)賠償����!敬請(qǐng)諒解!
粵公網(wǎng)安備 44030402000264號(hào)