門禁行業(yè)如何解決MIFARE卡安全危機(jī)

2010年07月15日 14:16$artinfo.Reprint點(diǎn)擊量：1261

        背景：自從2009年2月Mifare卡密鑰破解事件被社會(huì)媒體廣泛關(guān)注之后，非接觸IC卡的安全性問題已經(jīng)成為近三個(gè)月以來(lái)智能卡行業(yè)各個(gè)媒體zui熱門的話題之一；國(guó)家工業(yè)和信息化部同時(shí)也針對(duì)此事件在全國(guó)下發(fā)了《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》，要求各地開展對(duì)IC卡使用情況的調(diào)查及應(yīng)對(duì)工作。作為門禁系統(tǒng)中zui重要的身份識(shí)別部分，目前國(guó)內(nèi)80%的門禁產(chǎn)品均是采用原始IC卡的ID號(hào)或ID卡的ID號(hào)去做門禁卡，根本沒有去進(jìn)行加密認(rèn)證或開發(fā)的密鑰，其安全隱患已遠(yuǎn)遠(yuǎn)超過Mifare卡的破解危機(jī);而所有在中國(guó)銷售的國(guó)內(nèi)外門禁產(chǎn)品的安全隱患至今還沒有人提出重視，非法破解的人士只需采用的zui簡(jiǎn)單的技術(shù)手段就可以完成破解過程。

       如何解決目前的安全危機(jī)？

        有效防范門禁產(chǎn)品安全問題的根本解決方案就是升級(jí)改造現(xiàn)有ID卡或邏輯加密卡門禁機(jī)具及卡片，并逐步將ID或邏輯加密卡門禁產(chǎn)品替換為更為安全可靠的CPU卡安全門禁產(chǎn)品。

        需要從三個(gè)方面應(yīng)用CPU卡安全門禁產(chǎn)品，包括CPU卡及COS系統(tǒng)、CPU卡門禁讀卡器、CPU卡密鑰管理系統(tǒng)。

        CPU卡

        與非接觸邏輯加密卡系統(tǒng)相比，非接觸式 CPU卡在現(xiàn)有的技術(shù)條件下是不可偽造的；

        CPU卡是真正意義上的智能卡，就是人們常說的SmartCard?？▋?nèi)集成包括中央處理器（CPU）、只讀存儲(chǔ)器（ROM）、隨機(jī)存取存儲(chǔ)器（RAM）、電可擦除可編程只讀存儲(chǔ)器（EEPROM）等主要部分，具有卡內(nèi)操作系統(tǒng)COS （Chip Operating System），用COS實(shí)現(xiàn)對(duì)卡內(nèi)數(shù)據(jù)的保護(hù)，如用戶和系統(tǒng)的相互認(rèn)證、應(yīng)用順序控制和管理、隨機(jī)數(shù)的產(chǎn)生和傳輸、密鑰管理、加密、解密、信息的安全傳輸?shù)取＊q如一臺(tái)超小型電腦。具有信息量大、防偽安全性高、可脫機(jī)作業(yè)，可多功能開發(fā)等優(yōu)點(diǎn)。

        非接觸CPU卡智能卡與非接觸邏輯加密卡相比，擁有獨(dú)立的CPU處理器和芯片操作系統(tǒng)，所以可以更靈活的支持各種不同的應(yīng)用需求，更安全的設(shè)計(jì)交易流程。非接觸式CPU卡具有三種認(rèn)證方式，持卡者合法性認(rèn)證——PIN校驗(yàn)，卡合法性認(rèn)證——內(nèi)部認(rèn)證，系統(tǒng)合法性認(rèn)證——外部認(rèn)證，對(duì)交易的各個(gè)單元（持卡人、卡片、終端設(shè)備）進(jìn)行相互認(rèn)證，保證交易介質(zhì)的合法性；在以上認(rèn)證過程中，密鑰是不在線路上以明文出現(xiàn)的，它每次的送出都是經(jīng)過隨機(jī)數(shù)加密的，而且因?yàn)橛须S機(jī)數(shù)的參加，確保每次傳輸?shù)膬?nèi)容不同，保證了交易內(nèi)容的合法性。所以，采用非接觸式CPU卡可以杜絕偽造卡、偽造終端、偽造交易，zui終保證了交易的安全性。

        CPU卡門禁讀卡器

        CPU卡門禁讀卡器將安全認(rèn)證機(jī)制引入門禁控制領(lǐng)域。采用支持CPU卡并且支持PSAM卡（讀卡器本身帶SAM卡插槽）的門禁讀卡器，應(yīng)用PSAM卡安全認(rèn)證讀寫機(jī)制，極大地提高了傳統(tǒng)門禁讀卡器的安全級(jí)別。

      安全優(yōu)勢(shì)：

       CPU卡安全門禁讀卡器采用SAM（PSAM）與CPU卡的安全認(rèn)證，建立了完整、嚴(yán)密的密鑰管理系統(tǒng)，充分使用了CPU卡安全特性，包括CPU卡和SAM卡的密鑰系統(tǒng)。密鑰注入SAM卡后，外部無(wú)法讀取。將SAM卡插入讀卡設(shè)備內(nèi)，通過SAM卡和CPU卡進(jìn)行雙向驗(yàn)證。驗(yàn)證報(bào)文是由隨機(jī)因子參與計(jì)算的，同一張卡在一臺(tái)設(shè)備上刷卡，每次都不相同，*杜絕“偽卡”的出現(xiàn)。

        密鑰實(shí)現(xiàn)方式：

        通過PSAM卡：

        在門禁讀卡器中安裝SAM卡座，所有的認(rèn)證都是由安裝在SAM卡座中的SAM卡進(jìn)行運(yùn)算的。PSAM卡一般支持標(biāo)準(zhǔn)DES和3DES算法，并可以根據(jù)密鑰長(zhǎng)度自動(dòng)選擇算法，具有明文加MAC、密文、密文加MAC三種方式的數(shù)據(jù)和密鑰線路保護(hù)功能。

        通過SAM硬件模塊：

        所有的認(rèn)證都是由安裝在門禁讀卡器中的SAM模塊進(jìn)行運(yùn)算的。SAM模塊一般支持標(biāo)準(zhǔn)DES和3DES算法，并可以根據(jù)密鑰長(zhǎng)度自動(dòng)選擇算法，具有明文加MAC、密文、密文加MAC三種方式的數(shù)據(jù)和密鑰線路保護(hù)功能。

        CPU卡密鑰管理系統(tǒng)

         在以IC卡為應(yīng)用載體的信息系統(tǒng)中,密鑰的管理是整個(gè)系統(tǒng)安全運(yùn)行的基礎(chǔ)。密鑰管理系統(tǒng)的主要任務(wù)是進(jìn)行密鑰的生成、發(fā)行和更新，它直接關(guān)系到整個(gè)系統(tǒng)的安全?？蛻裟苓^此軟件自行生成和管理各類應(yīng)用密鑰，自行完成卡片的初始化工作，保證了客戶擁有密鑰管理和發(fā)卡的主動(dòng)權(quán)。

        密鑰管理功能

        密鑰的數(shù)據(jù)可以是AB碼單、密鑰種子等形式。AB碼單實(shí)際上是密鑰種子的一種形式，它將種子數(shù)據(jù)分成兩部分，分別由兩個(gè)人控制，這樣可以提高系統(tǒng)的安全性。通過密鑰管理系統(tǒng)生成以下幾個(gè)重要密鑰：

        用戶卡結(jié)構(gòu)中主要存在以下兩個(gè)密鑰文件及相應(yīng)的幾個(gè)密鑰：

         MF下的密鑰文件（簡(jiǎn)稱KMF），其裝載的密鑰是卡片主控密鑰（簡(jiǎn)稱CCK，以下同）；
ADF下的密鑰文件（簡(jiǎn)稱KADF），其裝載的密鑰有應(yīng)用主控密鑰（簡(jiǎn)稱ACK，以下同）,應(yīng)用維護(hù)密鑰（簡(jiǎn)稱AMK），及其它應(yīng)用密鑰；

        其它密鑰，如口令密鑰PIN，口令解鎖密鑰，DES運(yùn)算密鑰等等。

        卡片初始化功能

        CPU卡的卡片初始化系統(tǒng)，實(shí)現(xiàn)CPU卡的密鑰灌裝和卡內(nèi)結(jié)構(gòu)初始化的工作。建立卡片文件結(jié)構(gòu)、安裝各工作密鑰等卡片初始化工作。

        PSAM卡的卡片初始化和發(fā)行工作，裝載各類CPU卡工作密鑰。

        升級(jí)或新建CPU卡門禁的方案

        方式一、原有門禁系統(tǒng)的平滑升級(jí)

         如果用戶要將現(xiàn)有的傳統(tǒng)門禁升級(jí)到基于CPU卡的安全門禁系統(tǒng)，使用CPU卡安全門禁系統(tǒng)可以在不用更換原有控制器和門禁軟件的前提下，實(shí)現(xiàn)平滑升級(jí)，涉及到的工作內(nèi)容如下：
通過原來(lái)的門禁管理系統(tǒng)導(dǎo)出系統(tǒng)中原有的卡號(hào)與人員的對(duì)應(yīng)關(guān)系。
通過CPU卡密鑰管理系統(tǒng)，生成新的CPU卡密鑰。
通過CPU卡密鑰管理系統(tǒng)導(dǎo)入原門禁管理系統(tǒng)中的卡號(hào)對(duì)應(yīng)關(guān)系，并發(fā)行新的用戶CPU卡。
通過CPU卡密鑰管理系統(tǒng)，發(fā)行PSAM卡，并安裝到CPU卡安全門禁讀卡器中（如果是通過SAM卡模塊方式，則發(fā)行設(shè)置卡，將各類密鑰傳遞到門禁讀卡器中）。
將原來(lái)的門禁讀卡器更換為CPU卡安全門禁讀卡器。

        方式二、新門禁系統(tǒng)建設(shè)

         如果使用其它公司門禁控制器和門禁管理系統(tǒng)來(lái)新建用戶方的門禁系統(tǒng)，使用CPU卡安全門禁讀卡器和配套的密鑰管理系統(tǒng)，可以與其它公司的門禁控制器和門禁管理系統(tǒng)一并使用，以實(shí)現(xiàn)使用CPU卡安全門禁的目的，涉及到的工作內(nèi)容如下：
通過CPU卡密鑰管理系統(tǒng)，生成新的CPU卡密鑰。
通過CPU卡密鑰管理系統(tǒng)，并發(fā)行新的用戶CPU卡。
通過CPU卡密鑰管理系統(tǒng)，發(fā)行PSAM卡，并安裝到CPU卡安全門禁讀卡器中（如果是通過SAM卡模塊方式，則發(fā)行設(shè)置卡，將各類密鑰傳遞到門禁讀卡器中）。
通過第三方公司的門禁管理軟件，通過CPU卡發(fā)卡器，識(shí)讀新發(fā)行的用戶卡，并將用戶卡與后臺(tái)人員基本信息建立對(duì)應(yīng)關(guān)系，并下發(fā)*到其它公司的門禁控制器。
安裝使用CPU卡安全門禁讀卡器。

上一篇：隔爆型防爆電器的修理要點(diǎn)

下一篇：家庭監(jiān)控系統(tǒng)方案

版權(quán)與免責(zé)聲明： 凡本網(wǎng)注明“來(lái)源：智慧城市網(wǎng)”的所有作品，均為浙江興旺寶明通網(wǎng)絡(luò)有限公司-智慧城市網(wǎng)合法擁有版權(quán)或有權(quán)使用的作品，未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的，應(yīng)在授權(quán)范圍內(nèi)使用，并注明“來(lái)源：智慧城市網(wǎng)m.aiynx.com”。違反上述聲明者，本網(wǎng)將追究其相關(guān)法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明自其它來(lái)源（非智慧城市網(wǎng)m.aiynx.com）的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)或和對(duì)其真實(shí)性負(fù)責(zé)，不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載時(shí)，必須保留本網(wǎng)注明的作品第一來(lái)源，并自負(fù)版權(quán)等法律責(zé)任。

免費(fèi)注冊(cè)后，你可以
了解安防行業(yè)更多資訊查看安防行業(yè)供求信息凸顯安防行業(yè)自身價(jià)值馬上注冊(cè)會(huì)員
想快速被買家找到嗎
只需要發(fā)布一條商機(jī)，被買家找到的機(jī)會(huì)高達(dá)90%！還等什么？馬上發(fā)布信息

編輯精選

貴州貴陽(yáng)停車場(chǎng)道閘、智能道閘系統(tǒng)、自動(dòng)收

智能道閘系統(tǒng)憑借其自動(dòng)化、精準(zhǔn)化的管理優(yōu)勢(shì)，成為緩解城市停車難題的關(guān)鍵技術(shù)手
安徽亳州人臉識(shí)別門禁系統(tǒng)、人行通道擺閘/

在安徽亳州，隨著智慧城市建設(shè)的推進(jìn)，人臉識(shí)別門禁系統(tǒng)與人行通道閘機(jī)的應(yīng)用正逐
NTP時(shí)間服務(wù)器的應(yīng)用原理

在現(xiàn)代社會(huì)中，計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的精確時(shí)間同步對(duì)于許多應(yīng)用至關(guān)重要。為了實(shí)現(xiàn)這
新能源行業(yè)家儲(chǔ)儲(chǔ)能計(jì)量設(shè)備有哪些要求

家用儲(chǔ)能行業(yè)發(fā)展前景向好，隨著技術(shù)的不斷進(jìn)步和市場(chǎng)的不斷成熟，有望在全球能源
電費(fèi)糾紛說再見！安科瑞DJSF1352-D直流電能

在新能源快速發(fā)展的今天，光伏發(fā)電、電動(dòng)汽車充電樁、儲(chǔ)能系統(tǒng)等直流應(yīng)用場(chǎng)景對(duì)電
山西臨汾車位引導(dǎo)解決方案、停車誘導(dǎo)系統(tǒng)、

打開手機(jī)導(dǎo)航應(yīng)用，附近三公里內(nèi)的空閑泊位導(dǎo)航信息清晰可見；進(jìn)入地下停車場(chǎng)，智
水庫(kù)水質(zhì)監(jiān)測(cè)設(shè)備—全面準(zhǔn)確地掌握水庫(kù)水質(zhì)

水庫(kù)水質(zhì)監(jiān)測(cè)設(shè)備是保護(hù)水資源的關(guān)鍵工具，它們能夠?qū)崟r(shí)、準(zhǔn)確地監(jiān)測(cè)水庫(kù)水質(zhì)狀況
河北廊坊車位引導(dǎo)解決方案、停車誘導(dǎo)系統(tǒng)、

為有效緩解這一狀況，提升市民的出行便捷度，一系列先進(jìn)的車位引導(dǎo)解決方案、停車

本站精選

智慧城市一周熱點(diǎn)回顧｜工信部等三部門印發(fā)

2025年3月24日-3月30日，智慧城市領(lǐng)域有哪些動(dòng)態(tài)變化發(fā)生？一起來(lái)看看！
地方工信快報(bào)來(lái)了｜上海、福建、重慶......

科技進(jìn)步在重塑著我們的日常。最近，城市發(fā)展有哪些動(dòng)態(tài)呢？小編在本文中做了整理
交通領(lǐng)域動(dòng)態(tài)速覽｜山東臨淄3輛無(wú)人快遞車

小編在本文中對(duì)交通領(lǐng)域最近資訊做了整理，一起來(lái)看！
智慧城市一周熱點(diǎn)回顧｜我國(guó)首個(gè)數(shù)據(jù)標(biāo)注產(chǎn)

2025年3月17日-3月23日，智慧城市領(lǐng)域有哪些動(dòng)態(tài)變化發(fā)生？一起來(lái)看看！
地方工信快報(bào)來(lái)了｜四川、上海、湖北......

智慧城市提升資源利用效率，改善居民生活質(zhì)量的城市發(fā)展模式。作為與智慧城市行業(yè)
交通領(lǐng)域動(dòng)態(tài)速覽｜北京亦莊實(shí)現(xiàn)自動(dòng)駕駛技

交通建設(shè)不斷為經(jīng)濟(jì)發(fā)展注入新動(dòng)力，交通領(lǐng)域不斷革新，小編在本文中對(duì)交通領(lǐng)域最
一文回顧近期安防要聞（3月9日-3月17日）

隨著技術(shù)進(jìn)步，安防在城市發(fā)展中的作用將更加突出。近期有哪些大事發(fā)生？一起來(lái)看
智慧城市一周熱點(diǎn)回顧｜工信部安全生產(chǎn)委員

2025年3月10日-3月16日，智慧城市領(lǐng)域有哪些動(dòng)態(tài)變化發(fā)生？一起來(lái)看看！