CPU卡安全门禁产品技术方案V20

同方安全门禁产品技术方案V2.0同方股份有限公司拟制人:日期：审核人:日期：批准人:日期：同方安全门禁产品技术方案1目录1概述..............................................................................................................21.1背景...............................................................................................................................21.2产品定位.......................................................................................................................22产品组成与功能..........................................................................................32.1CPU卡门禁读卡器......................................................................................................32.2CPU卡片......................................................................................................................52.3CPU卡门禁密钥管理系统..........................................................................................62.3.1软件主要功能...................................................................................................62.3.2软件功能特色...................................................................................................72.4CPU双界面卡读写器..................................................................................................72.5门禁控制器及门禁管理软件.......................................................................................82.5.1功能管理结构模式...........................................................................................92.5.2门禁控制器.......................................................................................................92.5.3门禁管理软件主要功能：.............................................................................103CPU卡门禁读卡器应用方式...................................................................113.1原有门禁系统的平滑升级.........................................................................................113.2新门禁系统建设(使用同方门禁控制器)..................................................................123.3新门禁系统建设(使用其它品牌门禁控制器)..........................................................124产品优势....................................................................................................135应用范围....................................................................................................146成功案例....................................................................................................14同方安全门禁产品技术方案21概述1.1背景日前，工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。工信部的这则通知的背景是主要应用于IC卡系统的MI芯片的安全算法已遭到破解！目前全国应用此技术的IC卡也都将面临巨大的安全隐患。2008年，德国研究员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔就享受到了成功的喜悦：他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。他们所破解的MI芯片的安全算法，正是目前全世界应用最广泛的非接触IC卡的安全算法！这一科研成果被人恶意利用，那么大多数门禁系统都将失去存在的意义，而其他应用此种技术的IC卡也都将面临巨大的安全隐患。目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡，没有去进行加密认证或开发专用的密钥，其安全隐患远比Mifare卡的破解更危险，非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国内大多数门禁产品都不具备安全性原因之一，是因为早期门禁产品的设计理论是从国外引进过来的，国内大部分厂家长期以来延用国外做法，采用ID和IC卡的只读特性进行身份识别使用，很少关注卡片与门禁机具间的加密认证，缺少安全密钥体系的设计，而ID卡是很容易可复制的载体，导致此类门禁很容易在极短时间内被破解和复制。1.2产品定位有效防范门禁产品安全问题的根本解决方案就是升级改造现有ID卡或逻辑加密卡门禁机具及卡片，并逐步将ID或逻辑加密卡门禁产品替换为更为安全可靠的CPU卡安全门禁产品。为了应对当前M1卡破解问题，基于自主国产知识产权的CPU卡、CPU卡读写设备、CPU卡COS系统及CPU卡密钥管理系统等。同方股份有限公司初适时推出同方CPU卡安全门禁系列产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。同方安全门禁产品技术方案32产品组成与功能同方股份有限公司推出的CPU卡安全门禁系统由以下几个部分组成：CPU卡安全门禁读卡器、CPU卡片、CPU卡发卡器、CPU卡门禁密钥管理系统、门禁控制器、门禁管理软件。2.1CPU卡门禁读卡器TF-DF2080系列门禁读卡器采用同方自主研发的专用读卡芯片，能够支持各种符合ISO14443标准的非接触CPU卡。CPU卡安全门禁读卡器采用SAM(PSAM)与CPU卡的安全认证，建立了完整、严密的密钥管理系统，充分使用了CPU卡安全特性，包括CPU卡和SAM卡的密钥系统。密钥注入SAM卡后，外部无法读取。将SAM卡插入读写卡设备内，通过SAM卡和CPU卡进行双向验证。验证报文是由随机因子参与计算的，同一张卡在一台设备上刷卡，每次都不相同，彻底杜绝“伪卡”的出现；密钥实现方式如下：通过PSAM卡：在门禁读卡器中安装SAM卡座，所有的认证都是由安装在SAM卡座中的同方安全门禁产品技术方案4SAM卡进行运算的。PSAM卡一般支持标准DES和3DES算法，并可以根据密钥长度自动选择算法，具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。通过SAM硬件模块：所有的认证都是由安装在门禁读卡器中的SAM模块进行运算的。SAM模块一般支持标准DES和3DES算法，并可以根据密钥长度自动选择算法，具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。同方门禁读卡器创新性地将智能卡安全认证机制引入门禁控制领域，应用PSAM卡安全认证读写机制，极大地提高了传统门禁读卡器的安全级别。产品支持Weigand26/32/34/37通讯协议，适合配套各种型号的门禁控制器。产品支持PSAM卡安全认证。主要技术参数：同方安全门禁产品技术方案5TF-DF6000系列产品外观：2.2CPU卡片TF-CS2000系列非接触CPU卡TF-CS2000系列非接触CPU卡是由同方股份有限公司自主研发的一款带有TDES/DES硬件加速功能的非接触CPU卡。该产品支持多应用防火墙，支持内外部双向认证，具有硬件DES处理器和真随机数发生器，符合IEC/ISO14443标准。具备防冲突机制，支持防插拔处理和数据断电保护机制。适合于城市通卡、市民卡、企业通卡、校园通卡、金融消费、社会保险、门禁、考勤、停车场、身份识别、安全认证等各类高端IC卡应用领域。主要性能指标：数据容量：8Kbytes；技术规范：支持PBOC2.0的电子存折/电子钱包/借贷记应用；支持社保卡规范；保存时间：最短10年；擦写次数：至少10万次；运算速度：最大848KBps通讯速率；交易时间：标准PBOC电子钱包交易时间80ms；读写距离：0~10cm；工作温度：-25℃~+70℃产品外观：同方安全门禁产品技术方案62.3CPU卡门禁密钥管理系统在以IC卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新，它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户拥有密钥管理和发卡的主动权。2.3.1软件主要功能密钥生成和管理产生新密钥的数据可以是AB码单、密钥种子等形式。AB码单实际上是密钥种子的一种形式，它将种子数据分成两部分，分别由两个人控制，这样可以提高系统的安全性。卡片初始化通过CPU卡的卡片初始化功能，实现CPU卡的密钥灌装和卡内结构初始化的工作。CPU卡的发行工作流程不同于以往的逻辑加密卡。首先，针对用户卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作。然后，针对PSAM卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作。同方安全门禁产品技术方案72.3.2软件功能特色通过AB码单方式，由用户方不同的领导或管理人员分别持有A或B码单，确保CPU卡各类应用密钥的安全性。通过AB码单生成各类应用密钥，并支持发行PSAM卡，确保了密钥的安全性。客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户在密钥管理和发卡的主动权。2.4CPU双界面卡读写器同方TF2000RF双界面卡一体化读写器内置非接触通讯模块，能够支持包括同方双界面卡在内的符合ISO14443通讯协议的智能卡。它还同时支持非接触式IC卡操作，具有两个SAM卡槽，使之成为名副其实的“双界面读