采用國(guó)密非接觸IC卡門(mén)禁系統(tǒng)的技術(shù)
門(mén)禁系統(tǒng)現(xiàn)狀及存在問(wèn)題
門(mén)禁系統(tǒng)采用的門(mén)禁卡分為兩類(lèi):125KHZ的低頻只讀卡、13.56MHZ的高頻讀寫(xiě)卡。
125KHZ的低頻只讀卡,與普通磁卡類(lèi)似,明碼格式,無(wú)需要破解,用通用編程器可仿制卡號(hào)。早期技術(shù),安全性差。屬于淘汰技術(shù),通常用于安全性要求不高的小區(qū),不適用于涉密單位、高保安場(chǎng)所。
常用的13.56MHZ的高頻讀寫(xiě)卡,可以理解為帶口令的U盤(pán),由口令來(lái)保護(hù)卡類(lèi)數(shù)據(jù),安全級(jí)別中等,通常用來(lái)做為小額電子錢(qián)包、身份識(shí)別卡。此次被破解的Mifare 1卡屬于此類(lèi)的一種,并且破解方式已公開(kāi),因此采用Mifare 1門(mén)禁系統(tǒng)存在安全隱患!
此次解密風(fēng)波引起了業(yè)界的思考,新建的門(mén)禁系統(tǒng)如何提高安全性呢?已建的采用Mifare 1卡門(mén)禁系統(tǒng)有什么升級(jí)方案嗎?
非接觸IC卡的種類(lèi)及相關(guān)標(biāo)準(zhǔn)
在討論如何消除目前的隱患前,我們先總結(jié)一下非接觸IC卡的技術(shù)總體現(xiàn)狀。非接觸IC卡已徹底取代磁卡,成為自動(dòng)識(shí)別卡片的主流。非接觸IC卡按照頻率,可以劃分為四類(lèi)。如表所示。
125KHZ的低頻只讀卡,出現(xiàn)在1979年,這些低頻卡的ID號(hào)存儲(chǔ)介質(zhì)是EEPROM,具有電擦寫(xiě)功能,可反復(fù)多次寫(xiě)入,因此ID號(hào)極易偽造,且無(wú)相關(guān)的國(guó)際標(biāo)準(zhǔn)。
超高頻915MHZ、微波卡2.5GHZ是近幾年的新產(chǎn)品,讀卡最大距離達(dá)10m。相關(guān)ISO/IEC 18000國(guó)際標(biāo)準(zhǔn)沒(méi)有最終完成。
13.56MHZ高頻讀寫(xiě)卡,比125KHZ的低頻卡傳輸速率快100倍,是應(yīng)用最廣泛的,誕生于1993年,此后不斷發(fā)展,產(chǎn)品線(xiàn)不斷豐富。根據(jù)讀卡距離不同,分為兩個(gè)標(biāo)準(zhǔn),ISO/IEC 14443標(biāo)準(zhǔn)、ISO/IEC 15693。ISO/IEC 14443最大距離為10cm,ISO/IEC 15693標(biāo)準(zhǔn)非接觸IC卡最大距離為100cm。
ISO/IEC 14443由于問(wèn)世較早,且由于城市公交的大規(guī)模采用,芯片、讀卡機(jī)具發(fā)展成熟,從而同時(shí)成為門(mén)禁卡的選型主流。符合ISO/IEC 14443的Mifare 1卡由于采用偽隨機(jī)數(shù)來(lái)用于三重認(rèn)證、48位密鑰長(zhǎng)度也過(guò)短,導(dǎo)致該卡加密算法被破解。因此新的非接觸IC卡需要在隨機(jī)數(shù)產(chǎn)生機(jī)理、密鑰長(zhǎng)度、加密算法上加以提升。而13.56MHZ通訊頻率、以及ISO/IEC 14443的通訊協(xié)議將繼續(xù)被采用。
支持國(guó)家密碼局密碼算法的非接觸式芯片
Mifare 1卡風(fēng)靡全球、各行各業(yè)爭(zhēng)相采用的普及程度是該芯片廠(chǎng)家始料未及的。盡管芯片廠(chǎng)家推出了有關(guān)升級(jí)芯片,但由于價(jià)格、技術(shù)普及等因素沒(méi)有被大部分市場(chǎng)接受。為了保證我國(guó)智能卡市場(chǎng)健康有序的發(fā)展,在國(guó)家密碼管理局的支持和組織下,早在2007年,我國(guó)就開(kāi)展了我國(guó)自主產(chǎn)權(quán)的、專(zhuān)門(mén)應(yīng)用于RFID市場(chǎng)的密碼算法研制工作,取得成功。該密碼算法也得到我國(guó)眾多集成電路芯片廠(chǎng)商的極力推崇和遵循,成功推出了相關(guān)產(chǎn)品。以華虹集成電路公司產(chǎn)品為例,該公司SHC1112芯片通過(guò)了國(guó)家密碼管理局的產(chǎn)品認(rèn)證。
SHC1112卡芯片集成了國(guó)家密碼管理局提供的128位密鑰SM7密碼算法,采用該算法來(lái)保護(hù)數(shù)據(jù)交換的安全。其三重認(rèn)證示意圖如下:
Ek()表示對(duì)括號(hào)內(nèi)的內(nèi)容進(jìn)行加密運(yùn)算,加密采用SM7密碼算法。
認(rèn)證通過(guò)后,所有交易通信數(shù)據(jù)由SM7密碼算法加密后傳遞。
主要技術(shù)指標(biāo)
采用ISO/IEC14443 TypeA非接觸通訊方式,支持抗沖突協(xié)議
數(shù)據(jù)通訊速率106Kbps
4字節(jié)唯一序列號(hào)UID
支持SM7密碼算法
支持ISO/IEC DIS9798-2三次傳送鑒別相互認(rèn)證體制
EEPROM存貯容量1K字節(jié),劃分為64塊,每塊16字節(jié)
每個(gè)數(shù)據(jù)塊可單獨(dú)設(shè)定訪(fǎng)問(wèn)權(quán)限,訪(fǎng)問(wèn)權(quán)限可由用戶(hù)定義
EEPROM數(shù)據(jù)保存時(shí)間:大于10年
EEPROM數(shù)據(jù)擦寫(xiě)次數(shù):大于10萬(wàn)次
天線(xiàn)輸入引腳ESD:4000V(HBM)
相對(duì)于傳統(tǒng)的門(mén)禁系統(tǒng)設(shè)計(jì),該設(shè)計(jì)主要做了兩點(diǎn)創(chuàng)新:
1:發(fā)卡密鑰系統(tǒng)
國(guó)密卡發(fā)卡流程大體可分為三個(gè)步驟: (1)卡結(jié)構(gòu)建立; (2)密鑰寫(xiě)入; (3)個(gè)人化處理 。
(1)卡結(jié)構(gòu)建立
應(yīng)對(duì)卡片結(jié)構(gòu)進(jìn)行統(tǒng)一規(guī)劃,包括主文件、密鑰文件、公共信息基本信息文件、個(gè)人基本信息文件、應(yīng)用文件、記錄文件、目錄文件等。
(2)密鑰寫(xiě)入
包括發(fā)卡單位主密鑰、專(zhuān)項(xiàng)應(yīng)用子密鑰、管理性密鑰等。密鑰發(fā)卡中心集中寫(xiě)入后的初始化卡分發(fā)給各發(fā)卡單位。
(3)個(gè)人化處理
發(fā)卡單位根據(jù)自己的發(fā)卡單位主密鑰,進(jìn)行本單位個(gè)人基本信息文件、應(yīng)用文件裝入,并且表面打印照片、姓名等,這樣完成個(gè)人化處理的卡片,就可發(fā)給持卡人。
2:讀卡器新增SAM卡
根據(jù)發(fā)卡密鑰系統(tǒng)制作相應(yīng)的SAM卡,由SAM卡完成讀卡器與卡片的信息交換。
對(duì)于新建門(mén)禁系統(tǒng)可以直接采用該方案。對(duì)已建的門(mén)禁系統(tǒng)則需要更換舊讀卡器、舊卡片,門(mén)禁軟件需要增加與新的發(fā)卡密鑰系統(tǒng)的接口。門(mén)禁控制器原則上可以保留。
以上采用國(guó)密算法的非接觸IC卡門(mén)禁系統(tǒng)已成功使用與有關(guān)部委的新建與改造門(mén)禁一卡通系統(tǒng)。
評(píng)論