同方CPU卡安全门禁系统的功能及认证实现方式

1、概述

1.1背景

目前现有的门禁系统中，使用的门禁卡绝大多数属于逻辑加密卡或只读卡（如M1、ID卡）。近期由于M1卡被破解，M1卡的复制、解密等情况随时有可能发生，对现有门禁系统安全产生了严重影响。使用CPU卡代替M1卡成为门禁系统升级的必然趋势。

1.2产品定位

有效防范门禁产品安全问题的根本解决方案就是升级改造现有ID卡或逻辑加密卡门禁机具及卡片，并逐步将ID或逻辑加密卡门禁产品替换为更为安全可靠的CPU卡安全门禁产品。

为了应对当前M1卡破解问题，同方适时推出带有国密算法的CPU卡安全门禁系统产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。

2、产品组成与功能

同方推出的安全门禁系统，采用高强度的国密算法SM1，在设计上，遵循国家密码管理局制定的标准，符合相关要求。系统由以下几个部分组成：CPU卡安全门禁读卡器、CPU卡片、CPU卡门禁密钥管理系统。

依据“指南”，系统将带有SM1算法密码模块，内嵌于读卡器中，利用内部认证机制，完成读卡器与用户卡之间的安全认证，实现“一卡一密，一次一密”。

认证实现方式如下：

在读卡器中安装SAM模块，所有的认证都是由SAM进行运算的。SAM模块支持SM1算法，并可以根据密钥长度自动选择算法，具有明文加MAC、密文、密文加MAC三种方式的数据和密钥线路保护功能。

2.1密钥管理系统

在以IC卡为应用载体的信息系统中，密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新，它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户拥有密钥管理和发卡的主动权。

2.2门禁读卡器

TF-DF6300读卡器，是13.56MHz非接触读卡器，可识读ISO14443标准卡，读卡器固件参数可通过卡片或软件工具进行配置。读卡器采用环氧树脂封装，具有防破坏、防水的高安全性。

CPU卡片

TF-CS2000DF非接触CPU卡

TF-CS2000DF非接触CPU卡是由同方自主研发的一款带有TDES/DES硬件加速功能的非接触CPU卡。该产品支持多应用防火墙，支持内外部双向认证，具有硬件算法协处理器和真随机数发生器，符合IEC/ISO14443标准。具备防冲突机制，支持防插拔处理和数据断电保护机制。

3、产品优势

3.1高安全性

同方CPU卡安全门禁产品，使用国密算法SM1，充分应用了基于CPU卡的各项安全设计：

CPU卡片：

同MIFARE1卡相比，CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性。非接触式CPU卡在现有的技术条件下是不可伪造的；认证过程中，使用SM1算法，使得密钥不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。

CPU卡门禁读卡器：

同方CPU卡安全门禁读卡器，内置有密码模块SAM，用户可以通过使用SAM认证模块来存储各类应用密钥，当通过门禁读卡器读取CPU卡的过程中，采用内部认证方式，卡合法性认证——内部认证，持卡者合法性认证——PIN校验，保证身份识别的合法性。

3.2完善的密钥管理体系

通过同方CPU卡安全门禁密钥管理系统，最终用户可以按CPU卡密钥管理流程生成和管理各类CPU卡应用密钥，并通过密钥管理系统生成的密钥完成对用户使用的CPU卡的初始化工作，保证了非法用户不可能通过破解密钥的方式来攻击门禁系统。

3.3良好的兼容性

产品充分考虑到门禁读卡器与第三方门禁控制器厂家的技术兼容性，支持多种输出格式（包括Wiegand26Bit、Wiegand32Bit、Wiegand34Bit、Wiegand37Bit），支持更灵活的电压范围（9-12V）。与多家主流门禁控制器厂商成功对接。

3.4灵活的对接方式

针对同方的CPU卡发卡器，同方提供读卡助手功能，第三方公司门禁管理软件可以在不进行任何修改的前提下，实现对CPU卡内信息的对接；同时同方提完整的二次开发接口，可满足第三方公司门禁管理软件通过二次开发，借助同方的CPU卡发卡器实现对卡片规定区域的写卡操作，实现与第三方公司门禁产品的灵活对接。

3.5平滑升级，保护投资

系统提供多种运行方式，针对客户现有的系统提供接口，可以实现新建系统与原系统的无缝对接和平滑升级；客户可以根据自身已有或新建系统的实际情况，选择使用CPU卡安全门禁的对接方式。有效满足对系统建设高可用性和灵活性的要求。

3.6实施简单、使用方便

系统的安装、调试简单，后期的运营维护也十分简单方便，提供可靠的性能和高度的安全性。

责任编辑：gt