|
|
>>>门禁设备>>>CPU卡门禁 |
|
|
一、CPU卡门禁系统概述 |
日前,工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。工信部的这则通知的背景是主要应用于IC卡系统的MI芯片的安全算法已遭到破解!目前全国应用此技术的IC卡也都将面临巨大的安全隐患。
2008年,德国研究员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔就享受到了成功的喜悦:他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。他们所破解的MI芯片的安全算法,正是目前全世界应用最广泛的非接触IC卡的安全算法!这一科研成果被人恶意利用,那么大多数门禁系统都将失去存在的意义,而其他应用此种技术的IC卡也都将面临巨大的安全隐患。
目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡,没有去进行加密认证或开发专用的密钥,其安全隐患远比Mifare卡的破解更危险,非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国内大多数门禁产品都不具备安全性原因之一,是因为早期门禁产品的设计理论是从国外引进过来的,国内大部分厂家长期以来延用国外做法,采用ID和IC卡的只读特性进行身份识别使用,很少关注卡片与门禁机具间的加密认证,缺少安全密钥体系的设计,而ID卡是很容易可复制的载体,导致此类门禁很容易在极短时间内被破解和复制。 |
为了应对当前M1卡破解问题,基于自主国产知识产权的CPU卡、CPU卡读写设备、CPU卡COS系统及CPU卡密钥管理系统等。深圳市视沃电子有限公司适时推出视沃CPU卡安全门禁系列产品,并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。 |
|
二、CPU卡门禁读卡器应用方式 |
1、原有门禁系统的平滑升级 |
如果用户要将现有的传统门禁升级到基于CPU卡的安全门禁系统,使用视沃推出的CPU卡安全门禁系统可以在不用更换原有控制器和门禁软件的前提下,实现平滑升级,涉及到的工作内容如下:
- 通过原来的门禁管理系统导出系统中原有的卡号与人员的对应关系。
- 通过视沃CPU卡密钥管理系统,生成新的CPU卡密钥。
- 通过视沃CPU卡密钥管理系统导入原门禁管理系统中的卡号对应关系,并发行新的用户CPU卡。
- 通过视沃CPU卡密钥管理系统,发行PSAM卡,并安装到视沃CPU卡安全门禁读卡器中(如果是通过SAM卡模块方式,则发行设置卡,将各类密钥传递到门禁读卡器中)。
- 将原来的门禁读卡器更换为视沃CPU卡安全门禁读卡器。
|
2、新门禁系统建设(使用视沃门禁控制器) |
如果使用视沃推出的CPU卡安全门禁系统来新建用户方的门禁系统,涉及到的工作内容如下:
- 通过视沃CPU卡密钥管理系统,生成新的CPU卡密钥。
- 通过视沃CPU卡密钥管理系统,并发行新的用户CPU卡。
- 通过视沃CPU卡密钥管理系统,发行PSAM卡,并安装到视沃CPU卡安全门禁读卡器中(如果是通过SAM卡模块方式,则发行设置卡,将各类密钥传递到门禁读卡器中)。
- 通过视沃CPU卡门禁管理软件,识读新发行的用户卡,并将用户卡与后台人员基本信息建立对应关系,并下发授权到门禁控制器。
- 安装使用视沃CPU卡安全门禁读卡器。
|
|
三、产品优势 |
高安全性:视沃CPU卡安全门禁产品,充分应用了基于CPU卡的各项安全设计 |
CPU卡片:同MIFARE1卡相比, CPU卡采用强大而稳定的安全控制器,增强了卡片的安全性,而非接触传输接口又能满足快速交易的要求。非接触式 CPU卡在现有的技术条件下是不可伪造的;认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同,保证了交易内容的合法性。所以,采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易,最终保证了交易的安全性 |
CPU卡门禁读卡器:视沃CPU卡安全门禁读卡器内置有PSAM卡插槽和SAM模块,用户可以通过发行PSAM卡或使用SAM认证模块来存储各类应用密钥,当通过门禁读卡器读取CPU卡的过程中,CPU卡具有三种认证方式,持卡者合法性认证——PIN校验,卡合法性认证——内部认证,系统合法性认证——外部认证,对交易的各个单元(持卡人、卡片、终端设备)进行相互认证,保证交易介质的合法性。 |
完善的密钥管理体系 通过视沃CPU卡安全门禁密钥管理系统,最终用户可以按CPU卡密钥管理流程生成和管理各类CPU卡应用密钥,并通过密钥管理系统生成的密钥完成对用户使用的CPU卡的初始化工作。 |
良好的兼容性 视沃CPU卡安全门禁系列产品,充分考虑到门禁读卡器与第三方门禁控制器厂家
的技术兼容性,支持多种输出格式(包括Wiegand26Bit、Wiegand32Bit、Wiegand34Bit、Wiegand37Bit),支持更灵活的电压范围(9-12V)。与多家主流门禁控制器厂家成功对接。 |
灵活的对接方式。 针对视沃的CPU卡发卡器,视沃提供读卡助手功能,第三方公司门禁管理软件可以在不进行任何修改的前提下,实现对CPU卡内信息的对接;同时视沃提完整的二次开发接口,可满足第三方公司门禁管理软件通过二次开发,借助视沃的CPU卡发卡器实现对卡片规定区域的写卡操作,实现与第三方公司门禁产品的灵活对接。 |
平滑升级,保护投资。系统提供多种运行方式,针对客户现有的系统提供接口,可以实现新建系统与原系统的无缝对接和平滑升级;客户可以根据自身已有或新建系统的实际情况,选择使用CPU卡安全门禁的对接方式。有效满足对系统建设高可用性和灵活性的要求。 |
实施简单、使用方便。 系统的安装、调试简单,后期的运营维护也十分简单方便,系统提供可靠的性能和高度的安全性。 |
|
四、产品组成与功能 |
深圳市视沃电子有限公司推出的CPU卡安全门禁系统由以下几个部分组成:CPU卡安全门禁读卡器、CPU卡片、CPU卡发卡器、CPU卡门禁密钥管理系统、门禁控制器、门禁管理软件。 |
1、CPU卡门禁读卡器 |
RC1208系列门禁读卡器采用视沃自主研发的专用读卡芯片,能够支持各种符合ISO14443 标准的非接触CPU卡。
CPU卡安全门禁读卡器采用SAM(PSAM)与CPU卡的安全认证,建立了完整、严密的密钥管理系统,充分使用了CPU卡安全特性,包括CPU卡和SAM卡的密钥系统。密钥注入SAM卡后,外部无法读取。将SAM卡插入读写卡设备内,通过SAM卡和CPU卡进行双向验证。验证报文是由随机因子参与计算的,同一张卡在一台设备上刷卡,每次都不相同,彻底杜绝“伪卡”的出现;密钥实现方式如下: |
|
在门禁读卡器中安装SAM卡座,所有的认证都是由安装在SAM卡座中的SAM卡进行运算的。PSAM卡一般支持标准DES和3DES算法,并可以根据密钥长度自动选择算法,具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。 |
|
所有的认证都是由安装在门禁读卡器中的SAM模块进行运算的。SAM模块一般支持标准DES和3DES算法,并可以根据密钥长度自动选择算法,具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。
视沃门禁读卡器创新性地将智能卡安全认证机制引入门禁控制领域,应用PSAM卡安全认证读写机制,极大地提高了传统门禁读卡器的安全级别。产品支持Weigand26/32/34/37通讯协议,适合配套各种型号的门禁控制器。产品支持PSAM卡安全认证。 |
|
|
|
|
2、CPU卡片 |
FM1208系列非接触CPU卡
FM1208系列非接触CPU卡是由上海复旦微芯电子有限公司自主研发的一款带有TDES/DES硬件加速功能的非接触CPU 卡。该产品支持多应用防火墙,支持内外部双向认证,具有硬件DES处理器和真随机数发生器,符合IEC/ISO14443标准。具备防冲突机制,支持防插拔处理和数据断电保护机制。适合于城市通卡、市民卡、企业通卡、校园通卡、金融消费、社会保险、门禁、考勤、停车场、身份识别、安全认证等各类高端IC卡应用领域。 |
|
数据容量:8Kbytes;
技术规范:支持PBOC2.0的电子存折/电子钱包/借贷记应用;支持社保卡规范;
保存时间:最短10年;
擦写次数:至少10万次;
运算速度:最大848KBps通讯速率;
交易时间:标准PBOC电子钱包交易时间<80ms;
读写距离:0~10cm;
工作温度:-25℃~ +70℃ |
|
3、CPU卡门禁密钥管理系统 |
在以IC卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新,它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户拥有密钥管理和发卡的主动权。USBKEY密钥管理系统 |
3.1 USBKEY密钥管理系统的主要功能 |
密钥生成和管理
产生新密钥的数据可以是AB码单、密钥种子等形式。AB码单实际上是密钥种子的一种形式,它将种子数据分成两部分,分别由两个人控制,这样可以提高系统的安全性
卡片初始化
通过CPU卡的卡片初始化功能,实现CPU卡的密钥灌装和卡内结构初始化的工作。
CPU卡的发行工作流程不同于以往的逻辑加密卡。
首先,针对用户卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作
然后,针对PSAM卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作 |
3.2 USB密钥管理系统的功能特色 |
通过AB码单方式,由用户方不同的领导或管理人员分别持有A或B码单,确保CPU卡各类应用密钥的安全性。
通过AB码单生成各类应用密钥,并支持发行PSAM卡,确保了密钥的安全性。
客户能过此软件自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户在密钥管理和发卡的主动权。 |
4、CPU双界面卡读写器 |
视沃FK2000C双界面卡一体化读写器内置非接触通讯模块,能够支持包括视沃双界面卡在内的符合ISO14443 通讯协议的智能卡。它还同时支持非接触式IC卡操作,具有两个SAM卡槽,使之成为名副其实的“双界面读卡器”,方便用户实现对非接触智能卡诸如加密解密、卡片双向认证、发卡等卡片交互操作,一台读写器即可完成用户卡与SAM卡间的整个交易流程。 |
主要技术参数:
通讯接口:USB
读取范围:非接触方式最远5cm(取决于卡的类型)
电源:外接12V DC
功耗: <0.5W。
电磁兼容性:符合GB9813-88 4.7中B级要求。
工作频率:13.56MHz(非接触方式)
读取时间:50ms
卡座寿命:10万次
工作温度:0℃~50℃(环境温度)
工作相对湿度:35%~80%
非接触卡支持类型:符合ISO14443 通讯协议的非接触智能卡 |
|
|
5、门禁控制器及门禁管理软件 |
随着高科技的蓬勃发展,智能化管理已经走进了人们的社会生活,一座座智能化大厦拔地而起,适应信息的时代需要,作为跨世纪使用的建筑,必须在功能上满足当前和未来发展的需求,成为文化和经济发展的基地。
感应式IC卡出入管理控制系统(简称门禁系统),具有对门户出入控制、实时监控、保安防盗报警等多种功能,它主要方便内部员工或住户出入,杜绝外来人员随意进出,既方便了内部管理,又增强了内部的保安,从而为用户提供一个高效和具经济效益的工作环境。它在功能上实现了通讯自动化(CA)、办公自动化 (OA) 和管理自动化 (BA), 以综合布线系统为基础,以计算机网络为桥梁,全面实现对通讯系统、办公自动化系统的综合管理。 |
门禁系统系统作为一项先进的高科技技术防范和管理手段,在一些经济发达的国家已经广泛应用于科研、工业、博物馆、酒店、商场、医疗监护、银行、监狱等,特别是由于系统本身具有隐蔽性,及时性等特点,在许多领域的应用越来越广泛。 |
SW102单门双向门禁控制器是一种基于 RS485联网的IC卡、ID卡门禁控制器,可控制 一个门的双向进出,采用世界著名的美国NXP公司(原欧洲PHILIP)的32位 ARM7处理器为主控芯片,内部运行RTOS实时操作系统和FAMS2存储管理系统,按照工业级技术要求设计的高性能门禁控制器。
门禁控制器不但拥有常用的门禁功能,例如:脱机运行、实时监控、照片显示、海量存储、灵活的权限设置、远程开门、多用户管理、批量和少量快速设置、方便查询、报表统计 格式修改和打印 输出到Excel文件、卡+密码、门长时间未关闭报警、非法卡刷卡报警、管理卡开门、非法闯入报警、定时开门、电子地图等功能。
|
门禁管理软件主要功能 |
区域管理:可根据建筑物安全技术防范的要求,设计限制区域的通行方式。如: 单卡、双卡、卡+密码、门锁的启/闭特性。 |
时间管理:具有多个可编程时间区,每个时间区可定义“开始时间”、“终止时间”和每星期有效日。 可预编排全年节假日,在节假日时自动屏蔽平时所有功能,并自动执行节假日程序,持卡人只可经特定通道,在特定时间区内进出所保护的区域。 |
中央监控:管理主机可实时监视所有门禁点电锁的开/关,以多级电子地图、表格方式实时显示所有门禁点的开关状态,并可详细查看每次开门的时间、日期、进出人员的卡号、姓名、隶属部门、职务、个人肖像等资料。 |
报警功能:当系统中出现非注册卡、权限不符、门未关、电源及通信线路故障或遭受破坏时,监控中心会收到报警信号。值班人员通过监控终端或管理主机可查明报警原因和位置,并能立刻采取相应措施。 |
记录查询:系统中发生的每个事件都有详细记录,如每次门锁打开和关闭的时间、开门卡编号、报警输入的原因和位置等。并根据需要进行分类,形成年、月、日报表。 |
联动控制:能够实现与电视监控、入侵报警、火警、匪警自动报警系统的联动;实现与建筑设备监控、电梯管理、智能化管理(BMS)的联动。 |
|
五、应用范围 |
可广泛地应用于政府部门、金融证券、航空运输、军队机关、军工企业等安全级别较高的涉密单位、重点单位。 |
|