常见卡片与国密CPU卡应用于门禁系统比对Word文档格式.doc
《常见卡片与国密CPU卡应用于门禁系统比对Word文档格式.doc》由会员分享,可在线阅读,更多相关《常见卡片与国密CPU卡应用于门禁系统比对Word文档格式.doc(4页珍藏版)》请在冰点文库上搜索。
![常见卡片与国密CPU卡应用于门禁系统比对Word文档格式.doc](https://file1.bingdoc.com/fileroot1/2023-4/30/d988041f-8883-4bf4-9433-d13684c741d2/d988041f-8883-4bf4-9433-d13684c741d21.gif)
属于淘汰技术,通常用于安全性要求不高的小区,不适用于涉密单位。
而部机关采用的门禁卡正是此卡。
13.56MHZ的高频读写卡,属于卡,可以理解为带口令的U盘,由口令来保护卡类数据,安全级别中等,通常用来做为小额电子钱包、身份识别卡。
此次被破解的Mifare1卡属于此类的一种,在也有采用。
因此门禁系统存在安全隐患!
非接触IC卡的种类及相关标准
在讨论如何消除目前的隐患前,我们先总结一下非接触IC卡的技术总体现状。
非接触IC卡已彻底取代磁卡,成为自动识别卡片的主流。
非接触IC卡按照频率,可以划分为四类。
如表所示。
125KHZ的低频只读卡,出现在1979年,这些低频卡的ID号存储介质是EEPROM,具有电擦写功能,可反复多次写入,因此ID号极易伪造,且无相关的国际标准。
超高频、微波卡是近几年的新产品,读卡最大距离达10m。
相关ISO/IEC18000国际标准没有最终完成。
13.56MHZ高频读写卡,是应用最广泛的,诞生于1993年,此后不断发展,产品线不断丰富。
根据读卡距离不同,分为两个标准,ISO/IEC14443标准、ISO/IEC15693。
ISO/IEC14443最大距离为10cm,ISO/IEC15693标准非接触IC卡最大距离为100cm。
非接触IC卡工作频率为,比通常125KHZ的低频卡传输速率快100倍。
ISO/IEC14443根据信号调制方式不同,分别有TYPEA、TYPEB两个分支,分为3DES卡、国密卡两大类。
Mifare卡是符合ISO/IEC14443TYPEA的卡,存储空间为1K字节。
频率
读写状态
读写距离
国际标准
生产商
低频
125K
RO
60cm(2m)
无
HID、Indala、EM
134K
ROR/W
TI、Atmel
高频
13.56M
R/W
10cm
ISO/IEC14443
TYPEA
3DES卡
Philips、infineon、Legic、华虹、复旦微电子
国密卡
华虹、华大、大唐、复旦微电子
TYPEB
Samsung、OTI、Motorola、清华
清华
100cm
ISO/IEC156933DES卡
Legic、Philips、TI、infineon
超高频
433M
ISO/IEC18000、EPC(制定中)
915M
微波
2.5G
鉴于目前已Mifare1为代表的ISO/IEC14443TYPEA的卡已被破解,并且破解方式已公开。
哪我们如何面对呢?
从上表中我们可以发现,将来可以选择的卡片还有四种:
ISO/IEC14443TYPEB的卡、
ISO/IEC15693卡、
ISO/IEC14443TYPEA国密卡、
ISO/IEC14443TYPEB国密卡。
我国居民身份证采用的是ISO/IEC14443TYPEB标准加密卡,ISO/IEC15693卡也有部分用户。
这两类卡尽管至今还没有公开破解,但加密机理、强度与Mifare1为代表的ISO/IEC14443TYPEA的卡是同等级的。
只不过ISO/IEC14443TYPEA的卡问世最早,并且由已philip为代表的一些大企业推动,市场占有率最高,目标大,容易遭到攻击。
因此长远的来看,我们可能的选项仅是TYPEA或TYPEB协议的国密卡。
我们选择国密卡,是因为它的安全性高,那么国密卡的加密优势何在呢?
我们知道,卡中的数据被读写前,必须先经过安全认证,安全认证的方式有两种:
一是通过口令进行安全认证;
一是通过密钥进行安全认证。
通过口令进行安全认证的方式是:
如果读写设备发来的密码口令与IC卡中存储的密码口令相同,IC卡向读写设备返回密码认证通过的结果,并打开IC卡数据与外部进行交换的权限。
如果密码不同,则返回错误结果,IC卡数据与外部进行交换的权限被关闭。
卡中使用的就是这种认证方式,密码口令认证的方式比较简单实用,是一种常用的安全认证手段。
其最大的缺陷在于因为它本身没有运算功能,只能采用固定的硬件逻辑电路和不公开的算法实现数据的保护,然而口令是静态的,进行认证的口令在线路上进行了传输,非法设备比较容易破译,而这个过程是无法阻止的。
Mifare1的卡被破解的事实,说明了不是不容易破,而是你的目标太小了,别人不愿意做而已。
与密码认证过程相比,密钥认证增加了两个内容,一是引入了密钥的概念,增加了加密运算过程;
二是增加了产生随机数的过程,有了这两个过程,就可以有效地保证密钥认证过程被非法跟踪后,仍然能够保证认证过程的安全性。
国密非接触IC卡采用的就是密钥认证方式。
密钥是发卡人事先设置到读写设备(内置SAM卡)和IC卡中的,它在认证过程中只参与运算,但不在线路中进行传输,这样非法跟踪是不可能截获到密钥的;
由于有随机数的概念,这样每次进行密钥认证虽然使用的是相同的密钥,但经过加密运算产生的密码也是随机的,无规律可循的,这样非法跟踪截获到的密码无法在下次进行认证时使用,只要不知道密钥,非法设备就无法再向密码认证那样模拟安全认证的过程,也就不能非法与IC卡进行数据交换。
国密非接触IC卡是目前密码学最好的技术,从而成为未来高数据安全需求场所下非接触IC卡的不二之选。
因此从目前的要求、技术的发展看,我们只能选择非接触国密卡,同时还要选择自己的密钥系统。
国密卡发卡流程大体可分为三个步骤:
(1)卡结构建立;
(2)密钥写入;
(3)个人化处理。
发卡机构应对卡片结构进行统一规划,包括主文件、密钥文件、公共信息基本信息文件、个人基本信息文件、应用文件、记录文件、目录文件等。
(2)密钥写入
卡片主控密钥是对整个卡片的访问起控制作用的密钥,初始卡片主控密钥由卡片生产商写入,主要用于对卡片进行测试,交客户后,由发卡方替换为发卡方的卡片主控密钥。
卡片主控密钥替换后,总发卡机构根据卡结构规划,装入共享主密钥(用于各发卡单位发出的卡互联互通)、发卡单位主密钥、专项应用子密钥、管理性密钥等。
密钥发卡中心集中写入后的初始化卡分发给各发卡单位。
(3)个人化处理
各发卡单位收到初始化卡,根据自己的发卡单位主密钥,进行本单位个人基本信息文件、应用文件装入,并且表面打印照片、姓名等,这样完成个人化处理的卡片,就可发给持卡人。
国密非接触IC卡门禁系统建议方案
国密非接触IC卡门禁系统系统图如图所示。
门禁系统由中心服务器、发卡中心、制卡中心、门禁管理计算机、门禁控制器、国密非接触IC卡读卡器、电锁、出门按钮、电源组成、网络通讯器、相关软件组成。
中心服务器集中存放门禁系统的全部数据,包括持卡人信息、权限、进出记录、操作员权限、记录等;
发卡中心完成卡片初始化、密钥装入等;
制卡中心完成卡片个人化处理;
门禁管理计算机完成持卡人的权限分配、实时监控等日常管理。
国密CPU卡工作原理
非接触CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互发送认证的随机数MAC1,SAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC,可以实现数据传输验证的计算。
而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的,因此无法使用空中接收的办法来破解非接触CPU卡的密钥。