1. 背景
2008年3月,德国学者Henryk Plotz与美国维吉尼亚大学博士研究生Karsten Nohl在相关website上披露了其利用逆向工程手段,从硬体上**了Mifare one即M1 芯片所采用的逻辑加密算法的**方法。M1芯片被成功**的消息在2009年初引起了我国相关部门的密切关注,由于它的安全性涉及到众多的运营单位和持卡人的利益,国家密码管理局根据国家1998年第273文件精神以及国家安全需要,向中央与国家机关印发了《关于请协助做好IC卡系统密码管理工作的函》及《重要门禁系统密码应用指南》的通知,对新建或已建重要RFID电子门禁系统的改造和升级提出了具体要求,并给出了相关的密码应用方式、方法指南。
今年,广东省密码管理局发布的1号文件明令要求省内机关单位、由政府投资建设的IC卡门禁一卡通系统,必须符合国家密码管理局制定的《重要门禁系统密码应用指南》。该通知的发布拉开了各省市对IC卡门禁一卡通系统升级改造的帷幕,也是继2009年工业和信息化部、国家密码管理局等单位发文对该项工作提出明确要求后的又一大动作,证明了IC卡门禁一卡通系统升级改造工程时机已经成熟。 2. 重要门禁系统技术要点
之前建设的门禁系统大部分是ID卡或IC卡,即使是IC卡,也是使用IC卡的 物理卡号作为应用ID的为多,系统的安全性较薄弱。
国密门禁指南要求重要门禁系统使用基于国产密码算法的CPU卡,较传统门禁系统而言,主要在一下几个方面对安全性进行了加强:
卡片:卡片要求使用基于国密算法的CPU卡。非接触CPU卡片内置CPU、存储单元以及芯片操作系统COS,可以实现数据存储,加解密处理,通信处理等。CPU卡的安全认证机制更加严密,包括与机具间的双向认证,密钥管理、卡片个人化、应用流程等。国密CPU卡的特点是认证与密钥管理流程中使用的密码算法为国产密码算法。国密CPU卡片的使用要求门禁感应器具备相应的处理能力与安全性。
门禁感应器:由于国密CPU卡使用国产密码算法,门禁感应器与CPU卡之间采用对称密钥体系与相同的密码算法,要求门禁感应器具备相应的处理能力。门禁感应器射频部分接口仍然遵循IC卡ISO 14443规范。与传统门禁感应器相比,国密门禁感应器通常使用SAM卡模块作为密码运算模块,实现与CPU卡的双向认证。这一点类似bank卡机具。
门禁控制器与后台:门禁控制器与后台与传统类似,采用TCP/IP。或485接口。
3. 国密CPU卡发卡
国密CPU卡发卡包括3个步骤:
CPU卡片结构建立。对CPU卡片文件系统进行规划,包括主文件、密钥文件、基本信息文件、个人基本信息文件、应用文件、记录文件等。
密钥灌装。包括主密钥、应用密钥、管理密钥等
个人化。发卡单位根据发卡单位密钥,对个人信息文件、应用文件等写入相关信息。
4. 传统门禁系统国密化改造方案
原有门禁系统进行国密化改造主要涉及到如下几点:
1、卡片:卡片需更换为国密CPU卡。
2、门禁感应器需更换为支持国密算法的门禁感应器
3、发卡系统需更换。
4、门禁控制器与门禁感应器之间接口采用韦根接口的,门禁控制器与门禁后台可使用原有系统。若采用非韦根接口,需提供接口协议,进行接口开发,否则需更换门禁控制器与后台。
具体改造方案如下:
1) 更换门禁感应器
所有的门禁感应器均需更换成国密门禁感应器,国密门禁感应器以韦根26或34方式接入门禁控制器。
2) CPU卡发卡
用户使用国密发卡器以及发卡软件,对国密CPU卡片进**,卡片上可以写入用户信息,如用户姓名、部门、单位;用户应用信息,如应用ID等。
如果原门禁系统使用M1卡扇区数据方式存储应用数据,可以将原应用ID数据写入用户应用数据文件;若原门禁系统使用卡片物理卡号数据,可以将卡号数据写入CPU卡应用文件。后台系统数据以及门禁控制器无需重新授权。
3) 改造流程
为保证改造期间不影响原门禁系统,改造流程有两种方式:
方式一:改造期间并接门禁感应器方式。即将国密门禁感应器与原门禁控制器进行并接方式,改造期间,用户在不同门禁感应器上刷不同的卡,待系统改造全部完成后,拆掉原门禁感应器,收回原门禁卡。
方式二:
方式一的弊端在于需在门口挂接2个门禁感应器,对空间有要求,且拆掉后还需要对原感应器拆除后留下的墙面进行处理。
如果客户掌握原门禁卡的密钥,可以通过配置方式对提供的国密门禁感应器ZCR111s进行配置,从而可以读取原门禁卡,即同时支持原门禁卡与国密门禁卡。从而可以直接更换原门禁感应器并在相同位置上安装新国密门禁感应器。
5. 国密门禁系统与门禁系统的结合
国密门禁采用的CPU卡并非最近才出现的新技术,CPU卡在很多高安全度要求应用领域已经使用了很多年。如所有的bolile phone SIM卡就是CPU卡。当前通信运营商在大力发展一卡通,bolile phone也具备近场通信能力,如RFID-SIM、SIMPASS、NFC等。bolile phone非接触应用都是基于CPU卡片,其应用模型与国密CPU卡一致。在政企单位,bolile phone开门较使用卡片开门更为便利。bolile phone一卡通也是一卡通在做政企单位门禁系统改造时,建议选用同时支持国密CPU卡以及mobilephone卡的门禁感应器,既方便客户使用,也保护客户投资。公司针对政企用户开发的门禁感应器ZCR111S内置SAM卡,既支持支持国密SM1算法CPU卡,满足国家密码管理局重要门禁系统密码应用指南要求,也支持市面上主流厂家的CPU卡,同时支持3家电信运营商的bolile phoneCPU卡(包括RFID-SIM,SIMPASS,NFC等)。
|