自從2009年2月Mifare 1卡算法破解事件被社會媒體廣泛關注之后��,非接觸IC卡的安全性問題已經成為智能卡行業(yè)各個媒體最熱門的話題之一;所破解的Mifare 1卡芯片的安全算法��,是目前全世界應用最廣泛的非接觸IC卡的安全算法!可以想見����,如果這一科研成果被人惡意利用��,那么大多數門禁系統都將失去存在的意義�,而其他應用此種技術的IC卡,如各高校學生使用的校園一卡通�、企業(yè)一卡通等也都將面臨巨大的安全隱患。
【安防知識網】自從2009年2月Mifare 1卡算法破解事件被社會媒體廣泛關注之后��,非接觸IC卡的安全性問題已經成為智能卡行業(yè)各個媒體最熱門的話題之一;所破解的Mifare 1卡芯片的安全算法����,是目前全世界應用最廣泛的非接觸IC卡的安全算法!可以想見,如果這一科研成果被人惡意利用����,那么大多數門禁系統都將失去存在的意義,而其他應用此種技術的IC卡�����,如各高校學生使用的校園一卡通、企業(yè)一卡通等也都將面臨巨大的安全隱患�����。
國家工業(yè)和信息化部同時也針對此事件在全國下發(fā)了相關文件���,要求各地開展對Mifare 1卡使用情況的調查及應對工作。M1卡破解示意圖如圖1所示��。而采用國產自主知識產權的CPU卡和CPU卡一卡通系統可以有效地解決目前傳統基于Mifare 1邏輯加密卡的一卡通系統存在嚴重的安全隱患����。如圖2所示。
圖1 M1卡破解示意圖
圖2 M1卡破解方式及危害說明
用戶情況
中國科學技術館是我國唯一的國家級綜合性科技館���,是實施科教興國戰(zhàn)略和人才強國戰(zhàn)略�、提高全民科學素質的大型科普基礎設施�����。一期工程于1988年9月22日建成開放��,二期工程于2000年4月29日建成開放�,新館于2009年9月16日建成開放�。
用戶要求在全館范圍內建設一卡通系統�,包括安防門禁系統、消費系統�、考勤系統、會議簽到系統��、人員訪客管理���、停車場管理���、自助服務系統等應用。為科技館的員工和參觀的觀眾提供智能化的一卡通服務����,考慮到M1卡存在嚴重的安全隱患,用戶要求基于非接觸CPU卡技術來建設全館的企業(yè)一卡通系統�,采用非接觸CPU卡作為身份識別、交易支付的載體���。
[nextpage] 系統目標
同方企業(yè)一卡通系統以目前世界先進的非接觸式 CPU 卡技術為核心���,以企業(yè)局域網為依托平臺,采用流行的網絡結構�����、通訊模式和開發(fā)工具構建而成。實現企業(yè)內“一卡多用”�����、“一卡通用”的功能�。
中國科技館新館的企業(yè)員工使用一張經過授權的CPU卡,便可以通過一卡通系統的軟件功能和硬件配套設備實現消費�、門禁、考勤�����、綜合查詢����、人員出入等“一卡通”服務;外來觀眾可以通過一張CPU卡,實現在企業(yè)內部的各類消費,系統還可以拓展到會議簽到���、醫(yī)療���、圖書借閱等系統;更可以與企業(yè)HR系統、OA系統����、財務����、樓宇自控系統等系統對接���,交互及共享數據信息�,為企業(yè)管理者提供各類綜合查詢�、綜合分析的基礎數據。
系統組成
系統包含一卡通中心平臺���、交易類應用��、身份類應用�、自助服務應用��。其中又由密鑰管理模塊���、卡片初始化模塊�、中心管理模塊�、卡務管理模塊、消費管理模塊、消費POS機模塊�、交易清算、門禁管理模塊����、考勤管理系統、會議簽到系統���、Web綜合查詢模塊�����、自助機模塊等構成����。
一卡通中心平臺系統:是一卡通的核心層�����,由一卡通中心數據庫�����,身份管理�、交易結算管理、系統管理等各類模塊組成�����,主要對一卡通的各類應用子系統和硬件終端進行綜合管理�����,管理業(yè)務流和數據流����。
一卡通應用子系統:是一卡通的應用服務層,提供一卡通的各類應用功能管理��,包括卡務管理�����、綜合查詢���、消費����、門禁�、考勤�、會議簽到�����、訪客管理�、車輛出入監(jiān)控、梯控等子系統��。通過各類POS機具����、讀卡設備、采集讀寫持卡人的卡信息���,通過計算機終端�,管理各類持卡人信息���,為持卡人提供與卡相關的各類服務�����。
第三方應用接口:一卡通系統提供規(guī)范的接口,開放的通訊協議��,方便第三方應用子系統(如人事管理系統、OA辦公系統�、樓宇自控IBMS系統等)通過統一的應用接口訪問一卡通中心平臺,實現數據共享和數據交換����。
系統主要功能
1、一卡通中心平臺
是整個系統的數據中心�����、安全控制中心�、卡務管理中心、清算帳務中心����。
結算管理:全部交易和管理數據的存儲和處理;系統安全控制包括應用授權及
設備授權管理;黑名單管理;清算帳務管理;帳戶管理等。
卡務管理:提供CPU卡的統一發(fā)放�、掛失、補卡�����、換卡以及退卡銷戶等管理功能��。
[nextpage] 2��、應用子系統
安防門禁管理
門禁管理系統由安全、可靠���、使用方便的智能卡門鎖���、CPU卡門禁讀卡器、控制器及管理軟件構成�,可聯網與非聯網使用。智能卡門鎖系統能根據每個員工所屬部門�����、行政級別和實際需要來設置員工的出入權限����,沒有授權的人員無法開啟門鎖或通行。對開門記錄進行處理分析��,從而獲得人員出入信息;對于非法闖入�����、門鎖被破壞等情況出現時系統會發(fā)出實時報警信息�。可實現消防聯動,可實現聯動實時監(jiān)控�����。
門禁管理系統采用了CPU卡安全門禁讀卡器�����,采用SAM與CPU卡的安全認證���,建立了完整�����、嚴密的密鑰管理系統��,充分使用了CPU卡安全特性��。密鑰注入SAM卡后�����,外部無法讀取�����。將SAM卡插入讀寫卡設備內�,通過SAM卡和CPU卡進行雙向驗證。驗證報文是由隨機因子參與計算的�,同一張卡在一臺設備上刷卡,每次都不相同�,徹底杜絕“偽卡”的出現。
人員訪客管理系統
訪客系統客戶端部署在進出辦公大樓的門衛(wèi)管理窗口���,系統由管理軟件��、發(fā)卡器����、一二代身份證閱讀設備��、數碼相機等組成����,并與一卡通中心的身份認證服務器進行數據通訊。訪客獲得臨時的出入卡后���,可以在允許的范圍內通行�����。
根據公司的實際需求���,訪客管理可與現有門禁系統��、梯控系統對接,實現被訪者到門衛(wèi)處刷卡確認(更安全�����、可靠)�����、同時對來賓所發(fā)的訪客卡自動授權活動區(qū)域(最多為被訪者的權限)�����,拜訪結束后在門衛(wèi)處刷卡自動完成退卡注銷�。
考勤管理系統
考勤管理系統是以員工使用CPU卡在門禁或考勤機刷卡數據為基礎,經后臺考勤管理模塊處理����,全面實現員工考勤管理自動化。該系統可靈活地設置上下班時間���、班次��,制定不同的考勤制度���,根據員工的刷卡記錄能夠快而準地計算出員工上����、下班時間����,并生成用戶所需的考勤報表,匯總結果經處理后可直接計算出員工工資����。
停車場管理系統
停車場管理系統類似于一般的門禁管理系統。員工憑有效卡自動進���、出停車場���,訪客進入停車場前在出票口獲得臨時進門卡。系統實時收集進出車輛數據��,可隨時查詢停車場停車狀況����,隨時生成各種報表�����。停車場管理系統可分為免收費停車和收費停車兩類���。
消費管理系統
CPU卡消費管理系統可實現企業(yè)內部員工就餐、企業(yè)或園區(qū)內購物等消費管理�����。該系統能夠對食堂����、小賣部等消費功能和操作人員進行授權和設定���,建立消費項目和帳目��,員工憑卡消費�,系統對卡進行安全認證并對消費信息進行加密存儲�����,消費信息實時或定時發(fā)送到后臺中心系統,做為統一清算和帳務管理的依據����。
在線巡更管理系統
系統可根據管理需求設定保安員的巡更路線、時間����,值班的保安員必須在指定的時間內觸發(fā)指定的巡更點。在巡查線路上安裝一系列代表不同點的感應卡����,巡查到各點時巡查人員用手持式巡更機讀卡,把代表該點的卡號和時間同時記錄下來��。巡查完成后巡更機通過通訊線把數據傳給后臺系統處理����,就可以對巡查情況(人員、地點�����、時間���、事件等)進行記錄和考核���。
自助查詢服務系統
提供企業(yè)一卡通系統全部交易和管理信息(如帳戶信息����、交易信息�����、卡服務信息等)的查詢�,可以按崗位設置查詢內容,不同崗位的人可以查詢不同的信息�����。
3����、第三方接口
企業(yè)/園區(qū)一卡通系統將提供與現有信息系統如財務統計信息�、人事工資系統、圖書管理�、醫(yī)務管理等系統、智能樓宇自控系統接口���,實現與現有信息資源的整合�,保護現有投資。
[nextpage] 系統優(yōu)勢
與傳統的基于Mifare 1邏輯加密卡的企業(yè)一卡通相比�����,同方CPU卡企業(yè)一卡通有如下優(yōu)勢:
1��、基于CPU卡技術的安全門禁系統
門禁管理系統采用了國有自主知識產權的CPU卡安全門禁讀卡器��,CPU卡安全門禁讀卡器內置有PSAM卡插槽和SAM模塊�,通過發(fā)行PSAM卡或使用SAM認證模塊來存儲各類應用密鑰,通過內/外部認證方式�,對交易的卡片、終端設備進行相互認證���,保證交易介質的合法性�。
采用SAM與CPU卡的安全認證��,建立了完整�����、嚴密的密鑰管理系統���,充分使用了CPU卡安全特性��,徹底解決Mifare 1邏輯加密卡的安全漏洞�。確保整個門禁安防系統的安全性。
2���、密鑰管理和初始化工作由用戶主導
在以CPU卡為應用載體的信息系統中,密鑰的管理是整個系統安全運行的基礎���。密鑰管理系統的主要任務是進行密鑰的生成、發(fā)行和更新�,它直接關系到整個系統的安全??蛻裟苓^同方CPU卡企業(yè)一卡通的密鑰管理模塊自行生成和管理各類應用密鑰,自行完成卡片的初始化工作���,保證了客戶擁有密鑰管理和發(fā)卡的主動權�。
3����、終端的設備支持SAM卡插槽和認證
同方CPU卡企業(yè)一卡通中的終端設備可分為幾類���,一是消費類�,二是充值類�,三是身份認證類��,消費類終端內嵌的PSAM卡只減錢的密鑰�,充值終端需要聯機去硬件加密機獲取充值類密鑰��,身份類可以根據實際情況來做�����,可以發(fā)行身份類的PSAM卡��,如門禁讀卡器內放置這類PSAM卡后�,才能正確讀出卡片內容,確保CPU卡信息的讀寫的高安全性����。
4、嚴格遵循CPU卡的交易標準規(guī)范
同方CPU卡企業(yè)一卡通將采用中國人民銀行金融CPU卡交易標準規(guī)范�����,在CPU卡的金融交易過程中與后臺的金融加密機進行認證���。計算交易認證碼的密鑰和算法將存儲到金融加密機中���,在進行日終交易流水的清分清算時��,需要與硬件加密機實時連接���,驗證交易流水的TAC碼,以保證交易記錄的準確與安全。
5�、軟件平臺架構的穩(wěn)定性和可擴展性
同方CPU卡企業(yè)一卡通系統采用J2EE來簡化企業(yè)解決方案的開發(fā)、部署和管理相關的復雜問題的體系結構����,提供中間層集成框架高可用性、高可靠性以及可擴展性的應用的需求��。
一卡通系統融合當前最流行的三層體系架構���,將整個業(yè)務應用劃分為:表現層(UI)��、業(yè)務邏輯層(BLL)���、數據訪問層(DAL)。便于系統擴展和分布式應用��。
平臺開發(fā)使用JAVA語言���,采用Struts + Spring + Hibernate 的框架結構���,數據庫采用oracle 10g大型數據庫。充分滿足大中型萬人以上的企業(yè)一卡通對穩(wěn)定性�����、擴展性建設需求���。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯網共享平臺���。如使用任何字體和圖片文字有冒犯其版權所有方的,皆為無意���。如您是字體廠商�、圖片文字廠商等版權方����,且不允許本站使用您的字體和圖片文字等素材,請聯系我們��,本站核實后將立即刪除��!任何版權方從未通知聯系本站管理者停止使用,并索要賠償或上訴法院的��,均視為新型網絡碰瓷及敲詐勒索����,將不予任何的法律和經濟賠償!敬請諒解��!
粵公網安備 44030402000264號