自從2009年2月Mifare 1卡算法破解事件被社會媒體廣泛關(guān)注之后�,非接觸IC卡的安全性問題已經(jīng)成為智能卡行業(yè)各個媒體最熱門的話題之一;所破解的Mifare 1 卡芯片的安全算法,是目前全世界應(yīng)用最廣泛的非接觸IC卡的安全算法!可以想見����,如果這一科研成果被人惡意利用,那么大多數(shù)門禁系統(tǒng)都將失去存在的意義�����,而其他應(yīng)用此種技術(shù)的IC卡����,如各高校學(xué)生使用的校園一卡通、企業(yè)一卡通等也都將面臨巨大的安全隱患...
【安防知識網(wǎng)】1. 背景
自從2009年2月Mifare 1卡算法破解事件被社會媒體廣泛關(guān)注之后�,非接觸IC卡的安全性問題已經(jīng)成為智能卡行業(yè)各個媒體最熱門的話題之一;所破解的Mifare 1 卡芯片的安全算法,是目前全世界應(yīng)用最廣泛的非接觸IC卡的安全算法!可以想見��,如果這一科研成果被人惡意利用,那么大多數(shù)門禁系統(tǒng)都將失去存在的意義�,而其他應(yīng)用此種技術(shù)的IC卡,如各高校學(xué)生使用的校園一卡通�����、企業(yè)一卡通等也都將面臨巨大的安全隱患����。
國家工業(yè)和信息化部同時也針對此事件在全國下發(fā)了相關(guān)文件,要求各地開展對Mifare 1卡使用情況的調(diào)查及應(yīng)對工作�����。采用國產(chǎn)自主知識產(chǎn)權(quán)的CPU卡和CPU卡一卡通系統(tǒng)可以有效地解決目前傳統(tǒng)基于Mifare 1 邏輯加密卡的一卡通系統(tǒng)存在嚴重的安全隱患�����。
M1卡破解示意圖
M1卡破解方式及危害說明
同方銳安科技有限公司定位于CPU卡及RFID技術(shù)為基礎(chǔ)的各類行業(yè)應(yīng)用�����。是智能卡���、電子標簽、讀寫機具、行業(yè)應(yīng)用軟件的供應(yīng)商和服務(wù)提供商�����。依托于同方股份有限公司在智能卡行業(yè)的芯片設(shè)計���、標簽封裝����、機具制造���、軟件中間件的完整產(chǎn)業(yè)鏈布局��,公司在CPU卡行業(yè)應(yīng)用領(lǐng)域積累了大量的成功案例:推出了基于非接觸CPU卡技術(shù)的企業(yè)一卡通系統(tǒng)�����,廣泛應(yīng)用于全國各行業(yè)的大中型企業(yè)�����。
2. 系統(tǒng)目標
同方企業(yè)一卡通系統(tǒng)以目前世界先進的非接觸式 CPU 卡技術(shù)為核心���,以企業(yè)局域網(wǎng)為依托平臺�,采用流行的網(wǎng)絡(luò)結(jié)構(gòu)�、通訊模式和開發(fā)工具構(gòu)建而成。實現(xiàn)企業(yè)內(nèi)“一卡多用”���、“一卡通用”的功能����。
企業(yè)員工使用一張經(jīng)過授權(quán)的CPU卡����,便可以通過一卡通系統(tǒng)的軟件功能和硬件配套設(shè)備實現(xiàn)消費、門禁�、考勤、綜合查詢�、人員出入等“一卡通”服務(wù);外來觀眾可以通過一張CPU卡,實現(xiàn)在企業(yè)內(nèi)部的各類消費,系統(tǒng)還可以拓展到會議簽到、醫(yī)療����、圖書借閱等系統(tǒng);更可以與企業(yè)HR系統(tǒng)、OA系統(tǒng)���、財務(wù)�����、樓宇自控系統(tǒng)等系統(tǒng)對接����,交互及共享數(shù)據(jù)信息�����,為企業(yè)管理者提供各類綜合查詢���、綜合分析的基礎(chǔ)數(shù)據(jù)���。
3. 系統(tǒng)組成
系統(tǒng)包含一卡通中心平臺、交易類應(yīng)用����、身份類應(yīng)用、自助服務(wù)應(yīng)用�����。其中又由密鑰管理模塊�、卡片初始化模塊、中心管理模塊�����、卡務(wù)管理模塊、消費管理模塊��、消費POS機模塊���、交易清算�、門禁管理模塊��、考勤管理系統(tǒng)���、會議簽到系統(tǒng)��、Web綜合查詢模塊��、自助機模塊等構(gòu)成��。
一卡通中心平臺系統(tǒng):是一卡通的核心層��,由一卡通中心數(shù)據(jù)庫����,身份管理��、交易結(jié)算管理、系統(tǒng)管理等各類模塊組成����,主要對一卡通的各類應(yīng)用子系統(tǒng)和硬件終端進行綜合管理��,管理業(yè)務(wù)流和數(shù)據(jù)流�����。
一卡通應(yīng)用子系統(tǒng):是一卡通的應(yīng)用服務(wù)層�����,提供一卡通的各類應(yīng)用功能管理��,包括卡務(wù)管理�、綜合查詢、消費���、門禁�、考勤����、會議簽到�����、訪客管理��、車輛出入監(jiān)控����、梯控等子系統(tǒng)�。通過各類POS機具、讀卡設(shè)備��、采集讀寫持卡人的卡信息���,通過計算機終端��,管理各類持卡人信息�����,為持卡人提供與卡相關(guān)的各類服務(wù)���。
[nextpage]第三方應(yīng)用接口:一卡通系統(tǒng)提供規(guī)范的接口,開放的通訊協(xié)議,方便第三方應(yīng)用子系統(tǒng)(如人事管理系統(tǒng)����、OA辦公系統(tǒng)、樓宇自控IBMS系統(tǒng)等)通過統(tǒng)一的應(yīng)用接口訪問一卡通中心平臺�,實現(xiàn)數(shù)據(jù)共享和數(shù)據(jù)交換。
4. 系統(tǒng)主要功能
a) 一卡通中心平臺
是整個系統(tǒng)的數(shù)據(jù)中心�����、安全控制中心���、卡務(wù)管理中心、清算帳務(wù)中心���。
結(jié)算管理:全部交易和管理數(shù)據(jù)的存儲和處理;系統(tǒng)安全控制包括應(yīng)用授權(quán)及設(shè)備授權(quán)管理;黑名單管理;清算帳務(wù)管理;帳戶管理等����。
卡務(wù)管理:提供CPU卡的統(tǒng)一發(fā)放�、掛失、補卡�、換卡以及退卡銷戶等管理功能。
b) 應(yīng)用子系統(tǒng)
1)門禁管理
門禁管理系統(tǒng)由安全�����、可靠、使用方便的智能卡門鎖����、CPU卡門禁讀卡器、控制器及管理軟件構(gòu)成���,可聯(lián)網(wǎng)與非聯(lián)網(wǎng)使用��。智能卡門鎖系統(tǒng)能根據(jù)每個員工所屬部門����、行政級別和實際需要來設(shè)置員工的出入權(quán)限��,沒有授權(quán)的人員無法開啟門鎖或通行��。對開門記錄進行處理分析��,從而獲得人員出入信息;對于非法闖入��、門鎖被破壞等情況出現(xiàn)時系統(tǒng)會發(fā)出實時報警信息���??蓪崿F(xiàn)消防聯(lián)動,可實現(xiàn)聯(lián)動實時監(jiān)控。
門禁管理系統(tǒng)采用了CPU卡安全門禁讀卡器�����,采用SAM與CPU卡的安全認證��,建立了完整���、嚴密的密鑰管理系統(tǒng)����,充分使用了CPU卡安全特性�����。密鑰注入SAM卡后�����,外部無法讀取�。將SAM卡插入讀寫卡設(shè)備內(nèi)����,通過SAM卡和CPU卡進行雙向驗證。驗證報文是由隨機因子參與計算的,同一張卡在一臺設(shè)備上刷卡���,每次都不相同��,徹底杜絕“偽卡”的出現(xiàn)��。
2)人員訪客管理系統(tǒng)
訪客系統(tǒng)客戶端部署在進出辦公大樓的門衛(wèi)管理窗口����,系統(tǒng)由管理軟件�����、發(fā)卡器����、一二代身份證閱讀設(shè)備、數(shù)碼相機等組成����,并與一卡通中心的身份認證服務(wù)器進行數(shù)據(jù)通訊。訪客獲得臨時的出入卡后��,可以在允許的范圍內(nèi)通行�。
根據(jù)公司的實際需求����,訪客管理可與現(xiàn)有門禁系統(tǒng)�、梯控系統(tǒng)對接,實現(xiàn)被訪者到門衛(wèi)處刷卡確認(更安全��、可靠)�、同時對來賓所發(fā)的訪客卡自動授權(quán)活動區(qū)域(最多為被訪者的權(quán)限),拜訪結(jié)束后在門衛(wèi)處刷卡自動完成退卡注銷���。
3)考勤管理系統(tǒng)
考勤管理系統(tǒng)是以員工使用CPU卡在門禁或考勤機刷卡數(shù)據(jù)為基礎(chǔ)��,經(jīng)后臺考勤管理模塊處理�����,全面實現(xiàn)員工考勤管理自動化。該系統(tǒng)可靈活地設(shè)置上下班時間�、班次,制定不同的考勤制度����,根據(jù)員工的刷卡記錄能夠快而準地計算出員工上、下班時間���,并生成用戶所需的考勤報表���,匯總結(jié)果經(jīng)處理后可直接計算出員工工資�����。
4)停車場管理系統(tǒng)
停車場管理系統(tǒng)類似于一般的門禁管理系統(tǒng)�����。員工憑有效卡自動進���、出停車場,訪客進入停車場前在出票口獲得臨時進門卡�����。系統(tǒng)實時收集進出車輛數(shù)據(jù)����,可隨時查詢停車場停車狀況,隨時生成各種報表��。停車場管理系統(tǒng)可分為免收費停車和收費停車兩類�����。
5)消費管理系統(tǒng)
CPU卡消費管理系統(tǒng)可實現(xiàn)企業(yè)內(nèi)部員工就餐、企業(yè)或園區(qū)內(nèi)購物等消費管理�。該系統(tǒng)能夠?qū)κ程谩⑿≠u部等消費功能和操作人員進行授權(quán)和設(shè)定�����,建立消費項目和帳目�����,員工憑卡消費�����,系統(tǒng)對卡進行安全認證并對消費信息進行加密存儲���,消費信息實時或定時發(fā)送到后臺中心系統(tǒng)�����,做為統(tǒng)一清算和帳務(wù)管理的依據(jù)。
6)在線巡更管理系統(tǒng)
系統(tǒng)可根據(jù)管理需求設(shè)定保安員的巡更路線��、時間,值班的保安員必須在指定的時間內(nèi)觸發(fā)指定的巡更點���。在巡查線路上安裝一系列代表不同點的感應(yīng)卡�����,巡查到各點時巡查人員用手持式巡更機讀卡���,把代表該點的卡號和時間同時記錄下來。巡查完成后巡更機通過通訊線把數(shù)據(jù)傳給后臺系統(tǒng)處理�,就可以對巡查情況(人員、地點�、時間、事件等)進行記錄和考核�。
7)自助查詢服務(wù)系統(tǒng)
提供企業(yè)一卡通系統(tǒng)全部交易和管理信息(如帳戶信息、交易信息��、卡服務(wù)信息等)的查詢�,可以按崗位設(shè)置查詢內(nèi)容,不同崗位的人可以查詢不同的信息�����。
c) 第三方接口
[nextpage]企業(yè)/園區(qū)一卡通系統(tǒng)將提供與現(xiàn)有信息系統(tǒng)如財務(wù)統(tǒng)計信息��、人事工資系統(tǒng)、圖書管理���、醫(yī)務(wù)管理等系統(tǒng)��、智能樓宇自控系統(tǒng)接口����,實現(xiàn)與現(xiàn)有信息資源的整合����,保護現(xiàn)有投資。
5. 系統(tǒng)優(yōu)勢
與傳統(tǒng)的基于Mifare 1邏輯加密卡的企業(yè)一卡通相比���,同方CPU卡企業(yè)一卡通有如下優(yōu)勢:
a) 密鑰管理和初始化工作由用戶主導(dǎo)
在以CPU卡為應(yīng)用載體的信息系統(tǒng)中,密鑰的管理是整個系統(tǒng)安全運行的基礎(chǔ)����。密鑰管理系統(tǒng)的主要任務(wù)是進行密鑰的生成�����、發(fā)行和更新�����,它直接關(guān)系到整個系統(tǒng)的安全�����?���?蛻裟苓^同方CPU卡企業(yè)一卡通的密鑰管理模塊自行生成和管理各類應(yīng)用密鑰,自行完成卡片的初始化工作�,保證了客戶擁有密鑰管理和發(fā)卡的主動權(quán)。
b) 終端的設(shè)備支持SAM卡插槽和認證��。
同方CPU卡企業(yè)一卡通中的終端設(shè)備可分為幾類��,一是消費類��,二是充值類�����,三是身份認證類�����,消費類終端內(nèi)嵌的PSAM卡只減錢的密鑰,充值終端需要聯(lián)機去硬件加密機獲取充值類密鑰�����,身份類可以根據(jù)實際情況來做�����,可以發(fā)行身份類的PSAM卡�,如門禁讀卡器內(nèi)放置這類PSAM卡后,才能正確讀出卡片內(nèi)容����,確保CPU卡信息的讀寫的高安全性。
c) 嚴格遵循CPU卡的交易標準規(guī)范�����。
同方CPU卡企業(yè)一卡通將采用中國人民銀行金融CPU卡交易標準規(guī)范����,在CPU卡的金融交易過程中與后臺的金融加密機進行認證。計算交易認證碼的密鑰和算法將存儲到金融加密機中����,在進行日終交易流水的清分清算時�����,需要與硬件加密機實時連接�,驗證交易流水的TAC碼,以保證交易記錄的準確與安全��。
6. 主要產(chǎn)品介紹
a) CPU卡門禁讀卡器
TF-DF6000系列門禁讀卡器采用同方自主研發(fā)的專用讀卡芯片����,能夠支持各種符合ISO14443 標準的非接觸CPU卡���。
同方門禁讀卡器創(chuàng)新性地將智能卡安全認證機制引入門禁控制領(lǐng)域�,應(yīng)用PSAM卡安全認證讀寫機制����,極大地提高了傳統(tǒng)門禁讀卡器的安全級別。產(chǎn)品支持Wiegand26/32/34/37通訊協(xié)議�,適合配套各種型號的門禁控制器。產(chǎn)品支持PSAM卡安全認證�。
b) CPU卡片
TF-CS2000系列非接觸CPU卡
TF-CS2000系列非接觸CPU卡是由同方銳安科技有限公司自主研發(fā)的一款帶有TDES/DES硬件加速功能的非接觸CPU 卡。該產(chǎn)品支持多應(yīng)用防火墻��,支持內(nèi)外部雙向認證��,具有硬件DES處理器和真隨機數(shù)發(fā)生器,符合IEC/ISO14443標準����。具備防沖突機制,支持防插拔處理和數(shù)據(jù)斷電保護機制�����。各類高端CPU卡應(yīng)用領(lǐng)域�。
7. 成功案例
a) 中國科技館新館CPU卡一卡通
中國科技館新館是“十一五”期間,由政府投資建設(shè)的大型科普教育場館����。位于國家奧林匹克公園內(nèi)的新館。系統(tǒng)主要由一卡通平臺����、消費管理系統(tǒng)、門禁系統(tǒng)�、考勤系統(tǒng)、會議簽到系統(tǒng)及停車場系統(tǒng)組成��,采用非接觸CPU卡作為身份識別���、交易支付的載體��。
b) 中央電視臺新臺址CPU卡一卡通
中央電視臺新臺址由三個主建筑群組成����,建筑面積近60萬平方米,同方承建的一卡通系統(tǒng)覆蓋了全部園區(qū)�����。整個系統(tǒng)由統(tǒng)一的管理平臺及相關(guān)子系統(tǒng)組成���,采用非接觸CPU卡作為身份識別、交易支付的載體�,在園區(qū)內(nèi)實現(xiàn)了統(tǒng)一身份認證、消費管理�、門禁管理、考勤管理�、圖書借閱、醫(yī)療服務(wù)等功能���。
c) 中國長江三峽工程開發(fā)總公司CPU卡一卡通
中國長江三峽工程開發(fā)總公司北京辦公樓�����,總建筑面積56868平方米�。一卡通采用同方自有技術(shù)知識產(chǎn)權(quán)的CPU芯片,建設(shè)內(nèi)容包括一卡通平臺����、密鑰管理子系統(tǒng)、采集服務(wù)模塊�����、清分清算系統(tǒng)��、卡片發(fā)行子系統(tǒng)�����、消費管理子系統(tǒng)�����、考勤管理��、門禁管理��、會議簽到����、電子巡更��、綜合查詢���,與人事管理系統(tǒng)對接,與財務(wù)管理系統(tǒng)對接��,與酒店管理系統(tǒng)對接等�。
d) 中國中鐵股份有限公司CPU卡一卡通
中國中鐵股份公司辦公樓總建筑面積4.3萬平方米,一卡通采用同方自有技術(shù)知識產(chǎn)權(quán)的CPU芯片�����,建設(shè)內(nèi)容包括一卡通平臺�����、密鑰管理子系統(tǒng)�����、卡片初始化系統(tǒng)���、卡片發(fā)行子系統(tǒng)、自助服務(wù)系統(tǒng)�、訪客管理系統(tǒng)�、電梯控制管理系統(tǒng)�����、人員出入查驗系統(tǒng)����、消費管理子系統(tǒng)、門禁管理�����、電子巡更�����、CA認證��、停車場管理系統(tǒng)�,與同方智能建筑集成管理系統(tǒng)的對接等。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意。如您是字體廠商�����、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材��,請聯(lián)系我們�����,本站核實后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟賠償!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號