 |
一卡通系統 >>> 門禁系統 >>> 門禁應用方案 |
 |
CPU卡門禁系統 |
|
| |
一、CPU卡門禁系統概述 |
| |
日前,工業和信息部發布了《關于做好應對部分IC卡出現嚴重安全漏洞工作的通知》,要求各地各機關和部門開展對IC卡使用情況的調查及應對工作。工信部的這則通知的背景是主要應用于IC卡系統的MI芯片的安全算法已遭到破解!目前全國應用此技術的IC卡也都將面臨巨大的安全隱患。
2008年,德國研究員亨里克·普洛茨和美國弗吉尼亞大學計算機科學在讀博士卡爾斯滕·諾爾就享受到了成功的喜悅:他們最先利用電腦成功破解了恩智浦半導體的Mifare經典芯片(簡稱MI芯片)的安全算法。他們所破解的MI芯片的安全算法,正是目前全世界應用最廣泛的非接觸IC卡的安全算法!這一科研成果被人惡意利用,那么大多數門禁系統都將失去存在的意義,而其他應用此種技術的IC卡也都將面臨巨大的安全隱患。
目前我國80%的門禁產品均是采用原始IC卡的UID號或ID卡的ID號去做門禁卡,沒有去進行加密認證或開發專用的密鑰,其安全隱患遠比Mifare卡的破解更危險,非法破解的人士只需采用專業的技術手段就可以完成破解過程。導致目前國內大多數門禁產品都不具備安全性原因之一,是因為早期門禁產品的設計理論是從國外引進過來的,國內大部分廠家長期以來延用國外做法,采用ID和IC卡的只讀特性進行身份識別使用,很少關注卡片與門禁機具間的加密認證,缺少安全密鑰體系的設計,而ID卡是很容易可復制的載體,導致此類門禁很容易在極短時間內被破解和復制。 |
| 為了應對當前M1卡破解問題,基于自主國產知識產權的CPU卡、CPU卡讀寫設備、CPU卡COS系統及CPU卡密鑰管理系統等。深圳市視沃電子有限公司適時推出視沃CPU卡安全門禁系列產品,并同時推出將原有ID卡或非接觸邏輯加密卡門禁系統升級為更為安全可靠的非接觸CPU卡改造方案。 |
| |
二、CPU卡門禁讀卡器應用方式 |
1、原有門禁系統的平滑升級 |
| |
如果用戶要將現有的傳統門禁升級到基于CPU卡的安全門禁系統,使用視沃推出的CPU卡安全門禁系統可以在不用更換原有控制器和門禁軟件的前提下,實現平滑升級,涉及到的工作內容如下:
- 通過原來的門禁管理系統導出系統中原有的卡號與人員的對應關系。
- 通過視沃CPU卡密鑰管理系統,生成新的CPU卡密鑰。
- 通過視沃CPU卡密鑰管理系統導入原門禁管理系統中的卡號對應關系,并發行新的用戶CPU卡。
- 通過視沃CPU卡密鑰管理系統,發行PSAM卡,并安裝到視沃CPU卡安全門禁讀卡器中(如果是通過SAM卡模塊方式,則發行設置卡,將各類密鑰傳遞到門禁讀卡器中)。
- 將原來的門禁讀卡器更換為視沃CPU卡安全門禁讀卡器。
|
| |
2、新門禁系統建設(使用視沃門禁控制器) |
如果使用視沃推出的CPU卡安全門禁系統來新建用戶方的門禁系統,涉及到的工作內容如下:
- 通過視沃CPU卡密鑰管理系統,生成新的CPU卡密鑰。
- 通過視沃CPU卡密鑰管理系統,并發行新的用戶CPU卡。
- 通過視沃CPU卡密鑰管理系統,發行PSAM卡,并安裝到視沃CPU卡安全門禁讀卡器中(如果是通過SAM卡模塊方式,則發行設置卡,將各類密鑰傳遞到門禁讀卡器中)。
- 通過視沃CPU卡門禁管理軟件,識讀新發行的用戶卡,并將用戶卡與后臺人員基本信息建立對應關系,并下發授權到門禁控制器。
- 安裝使用視沃CPU卡安全門禁讀卡器。
|
| |
三、產品優勢 |
| 高安全性:視沃CPU卡安全門禁產品,充分應用了基于CPU卡的各項安全設計 |
| CPU卡片:同MIFARE1卡相比, CPU卡采用強大而穩定的安全控制器,增強了卡片的安全性,而非接觸傳輸接口又能滿足快速交易的要求。非接觸式 CPU卡在現有的技術條件下是不可偽造的;認證過程中,密鑰是不在線路上以明文出現的,它每次的送出都是經過隨機數加密的,而且因為有隨機數的參加,確保每次傳輸的內容不同,保證了交易內容的合法性。所以,采用非接觸式CPU卡可以杜絕偽造卡、偽造終端、偽造交易,最終保證了交易的安全性 |
| CPU卡門禁讀卡器:視沃CPU卡安全門禁讀卡器內置有PSAM卡插槽和SAM模塊,用戶可以通過發行PSAM卡或使用SAM認證模塊來存儲各類應用密鑰,當通過門禁讀卡器讀取CPU卡的過程中,CPU卡具有三種認證方式,持卡者合法性認證——PIN校驗,卡合法性認證——內部認證,系統合法性認證——外部認證,對交易的各個單元(持卡人、卡片、終端設備)進行相互認證,保證交易介質的合法性。 |
| 完善的密鑰管理體系? 通過視沃CPU卡安全門禁密鑰管理系統,最終用戶可以按CPU卡密鑰管理流程生成和管理各類CPU卡應用密鑰,并通過密鑰管理系統生成的密鑰完成對用戶使用的CPU卡的初始化工作。 |
良好的兼容性?視沃CPU卡安全門禁系列產品,充分考慮到門禁讀卡器與第三方門禁控制器廠家
的技術兼容性,支持多種輸出格式(包括Wiegand26Bit、Wiegand32Bit、Wiegand34Bit、Wiegand37Bit),支持更靈活的電壓范圍(9-12V)。與多家主流門禁控制器廠家成功對接。 |
| 靈活的對接方式。??? 針對視沃的CPU卡發卡器,視沃提供讀卡助手功能,第三方公司門禁管理軟件可以在不進行任何修改的前提下,實現對CPU卡內信息的對接;同時視沃提完整的二次開發接口,可滿足第三方公司門禁管理軟件通過二次開發,借助視沃的CPU卡發卡器實現對卡片規定區域的寫卡操作,實現與第三方公司門禁產品的靈活對接。 |
| 平滑升級,保護投資。系統提供多種運行方式,針對客戶現有的系統提供接口,可以實現新建系統與原系統的無縫對接和平滑升級;客戶可以根據自身已有或新建系統的實際情況,選擇使用CPU卡安全門禁的對接方式。有效滿足對系統建設高可用性和靈活性的要求。 |
| 實施簡單、使用方便。 系統的安裝、調試簡單,后期的運營維護也十分簡單方便,系統提供可靠的性能和高度的安全性。 |
| |
四、產品組成與功能 |
| 深圳市視沃電子有限公司推出的CPU卡安全門禁系統由以下幾個部分組成:CPU卡安全門禁讀卡器、CPU卡片、CPU卡發卡器、CPU卡門禁密鑰管理系統、門禁控制器、門禁管理軟件。 |
| |
1、CPU卡門禁讀卡器 |
RC1208系列門禁讀卡器采用視沃自主研發的專用讀卡芯片,能夠支持各種符合ISO14443 標準的非接觸CPU卡。
CPU卡安全門禁讀卡器采用SAM(PSAM)與CPU卡的安全認證,建立了完整、嚴密的密鑰管理系統,充分使用了CPU卡安全特性,包括CPU卡和SAM卡的密鑰系統。密鑰注入SAM卡后,外部無法讀取。將SAM卡插入讀寫卡設備內,通過SAM卡和CPU卡進行雙向驗證。驗證報文是由隨機因子參與計算的,同一張卡在一臺設備上刷卡,每次都不相同,徹底杜絕“偽卡”的出現;密鑰實現方式如下: |
|
| 在門禁讀卡器中安裝SAM卡座,所有的認證都是由安裝在SAM卡座中的SAM卡進行運算的。PSAM卡一般支持標準DES和3DES算法,并可以根據密鑰長度自動選擇算法,具有明文加MAC、密文、密文加MAC三種方式的數據和密鑰線路保護功能。 |
|
?所有的認證都是由安裝在門禁讀卡器中的SAM模塊進行運算的。SAM模塊一般支持標準DES和3DES算法,并可以根據密鑰長度自動選擇算法,具有明文加MAC、密文、密文加MAC三種方式的數據和密鑰線路保護功能。
視沃門禁讀卡器創新性地將智能卡安全認證機制引入門禁控制領域,應用PSAM卡安全認證讀寫機制,極大地提高了傳統門禁讀卡器的安全級別。產品支持Weigand26/32/34/37通訊協議,適合配套各種型號的門禁控制器。產品支持PSAM卡安全認證。 |
|
| |
|
 |
2、CPU卡片 |
FM1208系列非接觸CPU卡
FM1208系列非接觸CPU卡是由上海復旦微芯電子有限公司自主研發的一款帶有TDES/DES硬件加速功能的非接觸CPU 卡。該產品支持多應用防火墻,支持內外部雙向認證,具有硬件DES處理器和真隨機數發生器,符合IEC/ISO14443標準。具備防沖突機制,支持防插拔處理和數據斷電保護機制。適合于城市通卡、市民卡、企業通卡、校園通卡、金融消費、社會保險、門禁、考勤、停車場、身份識別、安全認證等各類高端IC卡應用領域。 |
|
數據容量:8Kbytes;
技術規范:支持PBOC2.0的電子存折/電子錢包/借貸記應用;支持社保卡規范;
保存時間:最短10年;
擦寫次數:至少10萬次;
運算速度:最大848KBps通訊速率;
交易時間:標準PBOC電子錢包交易時間<80ms;
讀寫距離:0~10cm;
工作溫度:-25℃~ +70℃ |
 |
3、CPU卡門禁密鑰管理系統 |
| ?在以IC卡為應用載體的信息系統中,密鑰的管理是整個系統安全運行的基礎。密鑰管理系統的主要任務是進行密鑰的生成、發行和更新,它直接關系到整個系統的安全。客戶能過此軟件自行生成和管理各類應用密鑰,自行完成卡片的初始化工作,保證了客戶擁有密鑰管理和發卡的主動權。USBKEY密鑰管理系統 |
| 3.1 USBKEY密鑰管理系統的主要功能 |
密鑰生成和管理
產生新密鑰的數據可以是AB碼單、密鑰種子等形式。AB碼單實際上是密鑰種子的一種形式,它將種子數據分成兩部分,分別由兩個人控制,這樣可以提高系統的安全性
卡片初始化
通過CPU卡的卡片初始化功能,實現CPU卡的密鑰灌裝和卡內結構初始化的工作。
CPU卡的發行工作流程不同于以往的邏輯加密卡。
首先,針對用戶卡建立卡片文件結構、寫入卡片應用序列號、安裝各工作密鑰等卡片初始化工作
然后,針對PSAM卡建立卡片文件結構、寫入卡片應用序列號、安裝各工作密鑰等卡片初始化工作 |
| 3.2 USB密鑰管理系統的功能特色 |
通過AB碼單方式,由用戶方不同的領導或管理人員分別持有A或B碼單,確保CPU卡各類應用密鑰的安全性。
通過AB碼單生成各類應用密鑰,并支持發行PSAM卡,確保了密鑰的安全性。
客戶能過此軟件自行生成和管理各類應用密鑰,自行完成卡片的初始化工作,保證了客戶在密鑰管理和發卡的主動權。 |
4、CPU雙界面卡讀寫器 |
| 視沃FK2000C雙界面卡一體化讀寫器內置非接觸通訊模塊,能夠支持包括視沃雙界面卡在內的符合ISO14443 通訊協議的智能卡。它還同時支持非接觸式IC卡操作,具有兩個SAM卡槽,使之成為名副其實的“雙界面讀卡器”,方便用戶實現對非接觸智能卡諸如加密解密、卡片雙向認證、發卡等卡片交互操作,一臺讀寫器即可完成用戶卡與SAM卡間的整個交易流程。 |
主要技術參數:
通訊接口:USB
讀取范圍:非接觸方式最遠5cm(取決于卡的類型)
電源:外接12V DC
功耗: <0.5W。
電磁兼容性:符合GB9813-88 4.7中B級要求。
工作頻率:13.56MHz(非接觸方式)
讀取時間:50ms
卡座壽命:10萬次
工作溫度:0℃~50℃(環境溫度)
工作相對濕度:35%~80%
非接觸卡支持類型:符合ISO14443 通訊協議的非接觸智能卡 |
|
 |
5、門禁控制器及門禁管理軟件 |
隨著高科技的蓬勃發展,智能化管理已經走進了人們的社會生活,一座座智能化大廈拔地而起,適應信息的時代需要,作為跨世紀使用的建筑,必須在功能上滿足當前和未來發展的需求,成為文化和經濟發展的基地。
感應式IC卡出入管理控制系統(簡稱門禁系統),具有對門戶出入控制、實時監控、保安防盜報警等多種功能,它主要方便內部員工或住戶出入,杜絕外來人員隨意進出,既方便了內部管理,又增強了內部的保安,從而為用戶提供一個高效和具經濟效益的工作環境。它在功能上實現了通訊自動化(CA)、辦公自動化 (OA) 和管理自動化 (BA), 以綜合布線系統為基礎,以計算機網絡為橋梁,全面實現對通訊系統、辦公自動化系統的綜合管理。 |
| 門禁系統系統作為一項先進的高科技技術防范和管理手段,在一些經濟發達的國家已經廣泛應用于科研、工業、博物館、酒店、商場、醫療監護、銀行、監獄等,特別是由于系統本身具有隱蔽性,及時性等特點,在許多領域的應用越來越廣泛。 |
SW102單門雙向門禁控制器是一種基于 RS485聯網的IC卡、ID卡門禁控制器,可控制 一個門的雙向進出,采用世界著名的美國NXP公司(原歐洲PHILIP)的32位 ARM7處理器為主控芯片,內部運行RTOS實時操作系統和FAMS2存儲管理系統,按照工業級技術要求設計的高性能門禁控制器。
門禁控制器不但擁有常用的門禁功能,例如:脫機運行、實時監控、照片顯示、海量存儲、靈活的權限設置、遠程開門、多用戶管理、批量和少量快速設置、方便查詢、報表統計 格式修改和打印 輸出到Excel文件、卡+密碼、門長時間未關閉報警、非法卡刷卡報警、管理卡開門、非法闖入報警、定時開門、電子地圖等功能。
|
門禁管理軟件主要功能 |
| 區域管理:可根據建筑物安全技術防范的要求,設計限制區域的通行方式。如: 單卡、雙卡、卡+密碼、門鎖的啟/閉特性。 |
| 時間管理:具有多個可編程時間區,每個時間區可定義“開始時間”、“終止時間”和每星期有效日。 可預編排全年節假日,在節假日時自動屏蔽平時所有功能,并自動執行節假日程序,持卡人只可經特定通道,在特定時間區內進出所保護的區域。 |
| 中央監控:管理主機可實時監視所有門禁點電鎖的開/關,以多級電子地圖、表格方式實時顯示所有門禁點的開關狀態,并可詳細查看每次開門的時間、日期、進出人員的卡號、姓名、隸屬部門、職務、個人肖像等資料。 |
| 報警功能:當系統中出現非注冊卡、權限不符、門未關、電源及通信線路故障或遭受破壞時,監控中心會收到報警信號。值班人員通過監控終端或管理主機可查明報警原因和位置,并能立刻采取相應措施。 |
| 記錄查詢:系統中發生的每個事件都有詳細記錄,如每次門鎖打開和關閉的時間、開門卡編號、報警輸入的原因和位置等。并根據需要進行分類,形成年、月、日報表。 |
| 聯動控制:能夠實現與電視監控、入侵報警、火警、匪警自動報警系統的聯動;實現與建筑設備監控、電梯管理、智能化管理(BMS)的聯動。 |
| |
五、應用范圍 |
| 可廣泛地應用于政府部門、金融證券、航空運輸、軍隊機關、軍工企業等安全級別較高的涉密單位、重點單位。 |
| |
