国密高安全门禁--CPU卡
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国密CPU卡高安全门禁产品
技术方案
光电安辰信息安全
目录
1 概述 (1)
1.1 背景 (1)
1.2 产品定位 (2)
1.3 CPU卡与ID卡区别 (3)
1.4 CPU卡安全性优势 (3)
1.5 CPU卡系统与ID卡系统比较 (2)
2 产品组成与功能 (4)
2.1 国密CPU卡 (5)
2.2 国密CPU卡发卡器 (6)
2.3 国密CPU卡安全门禁读卡器 (7)
2.4 国密门禁控制器 (8)
2.5 国密CPU卡门禁密钥管理系统 (9)
2.5.1 密钥生成和管理 (10)
2.5.2 卡片初始化 (10)
2.5.3 发卡 (10)
2.6 国密门禁管理软件 (10)
2.6.1 功能管理结构模式 (10)
2.6.2 门禁管理软件主要功能 (11)
3 产品技术优势 (11)
4 应用范围 (12)
5 应用案例 (12)
1概述
1.1背景
目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡,没有去进行加密认证或开发专用的密钥,其安全隐患远比Mifare卡的破解更危险,非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国内大多数门禁产品都不具备安全性原因之一,是因为早期门禁产品的设计理论是从国外引进过来的,国内大部分厂家长期以来延用国外做法,采用ID 和IC卡的只读特性进行身份识别使用,很少关注卡片与门禁机具间的加密认证,缺少安全密钥体系的设计,而ID卡是很容易可复制的载体,导致此类门禁很容易在极短时间内被破解和复制。
2009年国家密码管理局印发了《重要门禁系统密码应用指南》,提出重要门禁系统中使用的所有密码设备都要通过国家密码管理局审批,对新建和改造重要非接触IC卡门禁系统安全提出了更高要求。
1.2产品定位
有效防范门禁产品安全问题的根本解决方案就是升级改造现有ID卡或逻辑加密卡门禁机具及卡片,并逐步将ID或逻辑加密卡门禁产品替换为更为安全可靠的CPU卡安全门禁产品。
为了解决门禁系统安全性问题,天津光电安辰信息技术有限公司基于自主国产知识产权的国密CPU卡、国密CPU卡读写设备、国密CPU卡COS系统及国密CPU卡密钥管理系统等,推出了国密CPU卡安全门禁系列产品。
1.3CPU卡与ID卡区别
ID卡:全称为身份识别卡(Identification Card),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式、美国HIDMOTOROLA等各类ID卡。ID卡仅使用了“卡的号码”,卡内除了卡号外,无任何保密功能,其“卡号”是公开、裸露的。
CPU卡:也称智能卡,卡内的集成电路中带有微处理器CPU、存储单元(包括
随机存储器RAM、程序存储器ROM(FLASH)、用户数据存储器EEPROM)以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
1.4CPU卡安全性优势
芯片和COS的安全技术为CPU卡提供了双重的安全保证。自带操作系统的CPU 卡对计算机网络系统要求较低,可实现脱机操作;可实现真正意义上的一卡多应用,每个应用之间相互独立,并受控于各自的密钥管理系统;存储容量大、使用寿命长,数据存储时间可达十年以上。
⏹主要功能:
身份认证:对持卡人、卡终端、和卡片三方的合法身份做认证;
支付和结算工具:电子钱包和电子存折的支付手段,可避免携带大量现金和找零的不便,提高交易效率;
安全保密模块:使用相应的密钥实现加密、解密以及交易处理,从而完成与用户卡之间的安全认证。
数据载体:CPU卡可做为个人档案或重要数据的安全载体,数据可至少保存10年以上。
1.5CPU卡系统与ID卡系统比较
●安全性
CPU卡的安全性远大于ID卡。ID卡内的卡号读取无任何权限,易于仿制。CPU 卡内所记录数据的读取,写入均需相应的密码认证,甚至卡片内每个区均有不同的密码保护,全面保护数据安全,CPU卡写数据的密码与读出数据的密码可设为不同,提供了良好分级管理方式,确保系统安全。
●可记录性
ID卡不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,使用方只可读出卡号,无法根据系统的实际需要制订新的号码管理制度。
CPU卡不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡号,用户的权限,用户资料等),CPU卡所记录内容可反复擦写。
●存储容量
ID卡仅仅记录卡号;而CPU卡可以记录约1000个字符的内容。
●脱机与联网运行
由于ID卡卡内无内容,故其卡片持有者的权限,系统功能操作要完全依赖于计算机网络平台数据库的支持。
而CPU卡本身已记录了大量用户相关内容(卡号,用户资料,权限,消费余额等大量信息),完全可以脱离计算机平台运行,实现联网与脱机自动转换的运行方式,能够达到大范围使用,少布线的需求。
●一卡通扩展应用
ID卡由于无记录,无分区,只能依赖网络软件来处理各子系统的信息,这就大大增加对网络的依赖;如果在ID卡系统完成后,用户欲增加功能点,则需要另外布线,这不仅增加了工程施工难度,而且增加了不必要的投资。所以说,使用ID卡来做系统,难以进行系统扩展,难以实现真正的一卡通。
而CPU卡存储区自身分为16个分区,每个分区有不同的密码,具有多个子系统独立管理功能,如第一分区实现门禁,第二分区实现消费,第三分区实现员工考勤等等,充分实现一卡通的目的,并且可以做到完全模块化设计,用户即使要增加功能点,也无需再布线,只需增加硬件和软件模块,这便于系统以后的随时升级扩展,实现平稳升级,减少重复投资。
2产品组成与功能
光电安辰国密CPU卡高安全门禁系统由以下几个部分组成:国密CPU卡片、国密CPU卡发卡器、国密CPU卡安全门禁读卡器、国密门禁控制器、国密CPU卡门禁密钥管理系统、国密门禁管理软件。