一种基于国密算法CPU卡的门禁系统方案的设计

2012-07-13 03:06燕,
电子设计工程 2012年3期
关键词:门禁系统IC卡发卡

文 燕, 齐 蕾

(1.广东省信息中心 广东 广州 510031;2.广东工业大学 网络信息与现代教育技术中心,广东 广州 510006)

门禁系统,就是数字化的对人员出入进行管理的智能化系统,又称为出入管理控制系统[1],是公司、银行、工厂、军械库、生活小区等地方的出入口实现安全防范管理的有效保障。IC卡门禁系统具有安全、可靠、高效、灵活方便特点,已成为了门禁系统的主流方式。目前市场上常用的IC卡主要是MIFARE 1卡,然而在2008年互联网上公布了MIFARE 1卡密码的破解的方法[2]。这就导致全球多达10亿张的MIFARE 1 IC卡可以轻易被破解,也给我国带来了了很多安防隐患,如:不法分子花费极低的成本就可以对使用该芯片的各类门禁卡、“一卡通”进行复制或者非法充值。为了保障居住区的安全,我国住建部积极推广以CPU卡作为基本载体并满足国密算法的密钥管理体系的门禁系统。笔者提出了一种基于国密算法的非接触式CPU智能卡的设计门禁系统的设计,可以有效克服MIFARE 1卡破解所带来的难题。

1 门禁系统概述

文中的门禁系统采用的是以国密算法为基础的非接触式CPU卡技术。如图1所示,门禁系统可以分为应用系统和密钥管理及发卡系统[3]。

1)应用系统 应用系统一般由门禁卡,门禁卡读卡器和后台管理系统构成,通过设备内的密码模块对系统提供密码安全保护。

门禁卡内的密码模块:用于门禁读卡器或后台管理系统对门禁卡进行身份鉴别时(鉴别门禁卡是否合法)提供密码服务。

门禁读卡器/后台管理系统内的密码模块:用于对门禁卡进行身份鉴别/安全报文传输时提供密码服务 (如密钥分散、验证鉴别码等)。在门禁系统的具体方案设计时,应在门禁读卡器和后台管理系统内配用密码模块。

2)密钥管理及发卡系统 密钥管理及卡发系统的功能是为了门禁系统的密码应用生成密钥,并通过密码模块发行设备发行(初始化和注入密钥)密码模块,通过发卡设备对门禁卡发卡(初始化、注入密钥和写入应用信息)。

密钥管理及发卡系统中的密码设备提供密钥生成、密钥分散及对门禁卡发卡时的身份鉴别等密码服务。

图1 门禁系统功能结构图Fig.1 Function structure of the access control system

2 非接触式CPU卡的特点及优势

非接触式CPU卡,卡内的集成电路中有微处理器CPU、存储单元(包括 RAM、ROM(Flash)、EEPROM)以及片内操作系统COS。由于装有COS,非接触CPU卡具有了一般微型计算机的功能,不仅可以进行数据存储,同时拥有命令处理和对数据进行安全保护等功能。相对于非接触逻辑加密卡,非接触式CPU智能卡有以下特点[4]:

1)芯片和COS的双重安全技术为CPU卡的安全性提供了可靠的保证;

2)由于具备独立的CPU处理器和COS,可灵活方便的支持多种不同的应用需求,让交易流程的设计更安全;

3)降低了对计算机网络系统的要求,能实现脱机操作,能实现真正意义上的一卡多用,每个应用都受控于各自的密钥管理系统且互不干扰;

4)能自动更新个人化数据,保证交易数据的完整性;

5)采用动态密码,并且是一密一用,即同一张非接触式CPU卡,每刷一次卡的认证密码都不相同,从而使系统安全性提高;

6)具备独立的保密模块——采用相应的实体身份认证密钥(SAM)实现加密、解密及交易处理,实现与用户卡之间的安全认证。

非接触式CPU智能卡有以下优势[4]:

1)先进性 非接触式CPU卡安全性极高,其安全等级在当前IC卡应用中是最高的,可作为银行的金融卡、电子钱包等,必将逐渐替代其他IC成为主流产品。

2)规范性 支持符合ISO7816—3标准的T=0、T=1通信协议,符合《中国金融集成电路(IC)卡应用规范》、《中国金融集成电路(IC)卡规范》,支持符合银行规范的电子钱包、电子存折功能。

3)兼容性 由于有全面的国际/国内标准规范及中国人民银行的严格检测,CPU卡能实现很好的兼容性、安全性。芯片和COS的双重安全技术为CPU卡安全性大大提高;支持DES、3DES乃至128位密钥长度的SM1等加密算法;支持线路的加密、保密功能,防止交易数据被伪造或非法窃取,实现数据的加密、解密。

4)可扩展性 卡片支持从2KB-32KB的EEPROM空间,由于自带操作系统,可以轻易扩展到多种应用,还可与银行联合,从而实现真正的一卡多用。

5)安全性 由于智能卡内部有独立的CPU芯片,不仅能对数据判断进行判断,还能分析处理数据,因此智能卡具有随时区分合法和非法读写设备的能力,并可对数据进行加密解密处理。由于智能CPU卡具有运算能力,还可在交易结束时产生个交易验证码TAC,防止伪造交易,因此具有很高的安全性。

3 基于SM1算法的非接触式CPU卡方案

本文设计的门禁管理系统框图如图2所示。

图2 采用非接触式CPU卡(SM1算法)门禁系统方案图Fig.2 Access control system program based on non-contact CPU card(SM1 algorithm)

方案中门禁卡采用由国家密码管理局审批并有住房和城乡建筑部IC卡应用服务中心认可的SM1算法的CPU卡,卡内存放安全认证码、发行信息和卡片密钥,并具有符合相关标准的COS(片上操作系统);门禁卡与非接触读卡器之间采用SM1算法进行身份的鉴别和安全报文传输;在发卡系统中和读写器中的安全模块同样采用SM1算法进行门禁卡的分散,实现一卡一密。

早在2006年国家密码管理局就组织了国内部分RFID及密码相关企业共同发起成立了电子标签密码应用技术体系研究专项工作组。已经建立了RFID系统安全性要求从低到高的系列密码算法,流密码(SM7)、分组对称密码(SM1)和非对称密码(SM2),本文中采用了分组对称密码(SM1)[5-6]。

国密SM1算法是一种商用密码分组标准的对阵算法[5-6],分组长度和密钥都为128比特,算法安全保密强度及相关软硬件实现性能与AES相当,但是算法不公开,仅以IP核的形式存在于芯片中。国密卡发卡流程主要有3个步骤:卡片结构建立;密钥写入;个人化处理。卡片结构需进行统一规划,包括:主文件、密钥文件、个人基本信息文件、公共信息基本信息文件、记录文件、应用文件、目录文件等。密钥写入包括发卡单位主密钥、专项应用子密钥、管理性密钥等。密钥发卡中心集中写入后的初始化卡分发给各发卡单位。然后发卡单位根据各自的发卡单位主密钥,将本单位个人基本信息文件、应用文件装入卡片,并且在表面打印照片、姓名等,通过上述步骤完成个人化处理的卡片,即可发给持卡人。目前,采用国密算法的非接触式IC卡门禁系统已经成功使用于住建部新建和改造的门禁一卡通系统。

其中门禁卡与门禁读卡器间的工作原理如图3。

图3 SM1算法安全模块工作原理Fig.3 Working principle of the SM1security module

SM1算法安全模块集成MCU和射频接口功能,所有的处理过程都在安全模块中实现。射频接口模块负责读卡器与门禁卡间的射频通信;MCU控制射频接口模块与门禁卡的通信,负责实现读卡器内部的数据加密传送及与后台管理系统的通信功能。

本方案中的关键部分是支持SM1算法的非接触式CPU卡和支持SM1算法的安全模块,其中支持SM1算法的非接触式CPU卡是已经通过住建部IC卡应用服务中心的检测。支持SM1算法的安全模块是统一由住建部IC卡应用服务中心管理。

4 结束语

用CPU卡取代M1卡,用国密SM1算法取代公开的DES、3DES等算法,给我国门禁系统带来了一个新的里程碑。本文提出了提出了一种基于国密SM1算法CPU卡的门禁系统解决方案,该门禁系统解决方案能够满足最新门禁系统市场需求,具有安全灵活多样等更多的特点。

[1]周学叶,单承赣.基于RFID的门禁系统设计[J].安防科技,2009(01) :10-11.

ZHOU Xue-ye,SHAN Cheng-gan.RFID-based access control system design[J].Sofety&Security Technology,2009(01):10-11.

[2]张少华.如何看待Mifare 1卡的安全性问题[J].智能建筑,2009(10):31-33.

ZHANG Shao-hua.How to look on the security issues of mifare 1card[J].Intelligent Building,2009(10):31-33.

[3]安静宇,雷金莉,王媛媛.基于非接触式IC卡门禁系统的设计[J].宝鸡文理学院学报:自然科学版,2008,28(2):141-143.

AN Jing-yu,LEI Jin-li,WANG Yuan-yuan.Design of entrance guard system based on contactless IC card[J].Journal of Baoji University of Arts and Sciences:Natural Science Edition,2008,28(2):141-143.

[4]张建军,包国峰,马一兵.FM1208非接触CPU卡读写系统的研制[J].单片机与嵌入式系统应用,2009(12):56-59.

ZHANG Jian-jun,BAO Guo-feng,MA Yi-bing.Read/Write system of contact less CPU card FM1208[J].Microcontrollers&Embedded Systems,2009(12):56-59.

[5]刘守义,毛丰江,苏全.智能卡技术[M].西安:西安电子科技大学出版社,2004.

[6]戴毅.IC卡门禁系统中的无线通信加密技术[J].信息技术,2010(5):24.

DAI yi.Wireless encryption technology in IC card system[J].Science&Technology Information,2010(5):24.

猜你喜欢
门禁系统IC卡发卡
基于多种生物特征识别的RFID门禁系统设计
工商业IC卡控制器改造为物联网控制器实践
彩虹发卡
基于AI智慧人脸门禁系统的硬件系统设计
基于单片机的安全门禁系统研究设计
在用电梯加装外接式IC卡运行控制系统设计改进
要戴发卡的小男孩
基于单片机的小区门禁系统设计
自动发卡机在高速公路中的应用
长春开通公交IC卡充值平