為貫徹落實(shí)《商用密碼管理?xiàng)l例》,加強(qiáng)城市重要門(mén)禁系統(tǒng)密碼應(yīng)用安全管理工作,根據(jù)國(guó)家密碼管理局《關(guān)于印發(fā)〈重要門(mén)禁系統(tǒng)密碼應(yīng)用指南〉的通知》(國(guó)密局字[2009]614號(hào))文件精神,住建部IC卡中心制定此實(shí)施方案。
2 范圍
本實(shí)施方案規(guī)定了采用非接觸式IC卡在大型公共建筑及居住區(qū)門(mén)禁系統(tǒng)中采用密碼安全技術(shù)時(shí),系統(tǒng)中使用的密碼設(shè)備、密碼算法、密碼協(xié)議和對(duì)密鑰管理的相關(guān)要求。
本細(xì)則適用于以下情況:
1) 新建門(mén)禁系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
2) 按照國(guó)家密碼管理部門(mén)要求實(shí)施的門(mén)禁系統(tǒng)的改造
3 門(mén)禁系統(tǒng)概述
3.1 系統(tǒng)構(gòu)成
基于非接觸式IC卡的門(mén)禁系統(tǒng)的密碼應(yīng)用涉及應(yīng)用系統(tǒng)、密鑰管理及發(fā)卡系統(tǒng),如圖1所示。
圖1 門(mén)禁系統(tǒng)中密碼應(yīng)用結(jié)構(gòu)圖
3.2 應(yīng)用系統(tǒng)
在應(yīng)用系統(tǒng)中,一般由門(mén)禁卡、門(mén)禁卡讀卡器和后臺(tái)管理系統(tǒng)構(gòu)成,通過(guò)各設(shè)備內(nèi)的密碼模塊對(duì)系統(tǒng)提供密碼安全保護(hù)。其中,
1) 門(mén)禁卡內(nèi)的密碼模塊:用于門(mén)禁讀卡器或后臺(tái)管理系統(tǒng)對(duì)門(mén)禁卡進(jìn)行身份鑒別時(shí)(鑒別門(mén)禁卡是否合法)提供密碼服務(wù)(如計(jì)算鑒別碼);
2) 門(mén)禁讀卡器/后臺(tái)管理系統(tǒng)內(nèi)的密碼模塊:用于對(duì)門(mén)禁卡進(jìn)行身份鑒別/安全報(bào)文傳輸時(shí)提供密碼服務(wù)(如密鑰分散、驗(yàn)證鑒別碼等)。在門(mén)禁系統(tǒng)的具體方案設(shè)計(jì)時(shí),應(yīng)在門(mén)禁讀卡器和后臺(tái)管理系統(tǒng)內(nèi)配用密碼模塊。
3.3 密鑰管理及發(fā)卡系統(tǒng)
密鑰管理及發(fā)卡系統(tǒng)的功能是為了門(mén)禁系統(tǒng)的密碼應(yīng)用生成密鑰,并通過(guò)密碼模塊發(fā)行設(shè)備發(fā)行(初始化和注入密鑰)密碼模塊,通過(guò)發(fā)卡設(shè)備對(duì)門(mén)禁卡發(fā)卡(初始化、注入密鑰和寫(xiě)入應(yīng)用信息)。
密鑰管理及發(fā)卡系統(tǒng)中的密碼設(shè)備提供密鑰生成、密鑰分散及對(duì)門(mén)禁卡發(fā)卡時(shí)的身份鑒別等密碼服務(wù)。
4 與密碼相關(guān)的安全技術(shù)要求
4.1 密碼應(yīng)用安全技術(shù)要求
基于非接觸式IC卡的門(mén)禁系統(tǒng)中的密碼應(yīng)用方案應(yīng)符合第7章的要求。
4.2 密碼設(shè)備安全技術(shù)要求
基于非接觸式IC卡的門(mén)禁系統(tǒng)中的密碼設(shè)備包括:應(yīng)用系統(tǒng)密碼模塊、密鑰管理及發(fā)卡系統(tǒng)密碼模塊,具體密碼設(shè)備的配用見(jiàn)圖1。
在門(mén)禁系統(tǒng)中使用的所有密碼設(shè)備須是通過(guò)國(guó)家密碼管理局審批并且由住建部IC中心認(rèn)定的產(chǎn)品。
4.3 密碼算法安全技術(shù)要求
在門(mén)禁系統(tǒng)中所配用的密碼算法必須符合國(guó)家相關(guān)要求,密碼算法應(yīng)用方案應(yīng)符合第7章的要求。
4.4 密碼協(xié)議安全技術(shù)要求
在門(mén)禁系統(tǒng)中,須實(shí)現(xiàn)門(mén)禁讀卡器對(duì)門(mén)禁卡的身份鑒別,以及對(duì)鑒別數(shù)據(jù)的安全傳輸。在身份鑒別過(guò)程中所使用的認(rèn)證協(xié)議應(yīng)符合第7章的要求。
5 密鑰管理安全技術(shù)要求
5.1 密鑰生成
密鑰的生成須使用“城市一卡通密鑰管理系統(tǒng)”。
5.2 密鑰注入
門(mén)禁卡發(fā)卡和密碼模塊發(fā)行時(shí)的密鑰注入應(yīng)注意以下兩點(diǎn):
1) 密鑰注入過(guò)程中不得泄露明文密鑰的任何組成部分;
2) 在密碼設(shè)備、接口和傳輸信道未收到任何可能導(dǎo)致密鑰或敏感數(shù)據(jù)泄露、篡改的狀況下,才可以將密鑰加載到密碼設(shè)備中。
5.3 其他要求
在密鑰生成、注入、更新和存儲(chǔ)等的整個(gè)過(guò)程中,應(yīng)保證密鑰不被泄露。
6 其他應(yīng)考慮的安全因素
本方案除對(duì)密碼應(yīng)用的安全要求外,從系統(tǒng)整體的安全性出發(fā),須考慮以下因素:
1) 后臺(tái)管理系統(tǒng)的管理要求;
2) 其他與密碼安全機(jī)制無(wú)關(guān)的管理及技術(shù)措施,如口令識(shí)別、生物特征識(shí)別、人員值守等。
在系統(tǒng)方案設(shè)計(jì)及應(yīng)用時(shí),需針對(duì)具體應(yīng)用情況在密碼安全保障的基礎(chǔ)上采取其他適當(dāng)?shù)墓芾砗图夹g(shù)措施,以增門(mén)禁系統(tǒng)的安全性。
7 基于SM1算法的非接觸式CPU卡方案
7.1 系統(tǒng)構(gòu)成
本方案采用基于SM1算法的非接觸CPU卡和基于SM1算法的安全模塊,系統(tǒng)構(gòu)成示意圖如圖2所示。
圖2門(mén)禁卡的系統(tǒng)示意圖
7.2 方案原理
該方案中門(mén)禁卡采用由國(guó)家密碼管理局審批并由住建部IC中心認(rèn)可的SM1算法的CPU卡,卡內(nèi)存放安全認(rèn)證碼、發(fā)行信息和卡片密鑰,并具有符合相關(guān)標(biāo)準(zhǔn)的片上操作系統(tǒng);門(mén)禁卡與非接讀卡器之間采用SM1算法進(jìn)行身份鑒別和安全報(bào)文傳輸;在發(fā)卡系統(tǒng)中和讀寫(xiě)器中的安全模塊同樣采用SM1算法進(jìn)行門(mén)禁卡的密鑰分散,實(shí)現(xiàn)一卡一密。
方案原理圖如圖3所示。
圖3方案原理圖
該方案中讀卡器負(fù)責(zé)門(mén)禁卡的合法性鑒別,同時(shí)將獲得的門(mén)禁卡的身份鑒別信息以安全報(bào)文的方式反饋給門(mén)禁控制后臺(tái)管理系統(tǒng),由后臺(tái)管理系統(tǒng)的SM1算法的安全模塊進(jìn)行雙重鑒別門(mén)禁卡的合法性,并控制門(mén)禁執(zhí)行機(jī)構(gòu)完成門(mén)禁操作,同時(shí)門(mén)禁服務(wù)器還負(fù)責(zé)門(mén)禁讀卡器的管理工作。
該方案中,SM1算法安全模塊集成MCU和射頻接口功能,所有的處理過(guò)程都在安全模塊中實(shí)現(xiàn)。射頻接口模塊負(fù)責(zé)讀卡器與門(mén)禁卡間的射頻通信;MCU控制射頻接口模塊與門(mén)禁卡的通訊,負(fù)責(zé)實(shí)現(xiàn)讀卡器內(nèi)部的數(shù)據(jù)加密傳送及與后臺(tái)管理系統(tǒng)的通信功能。
7.3 密碼安全應(yīng)用流程
7.3.1 發(fā)卡系統(tǒng)
分為門(mén)禁卡發(fā)卡、門(mén)禁讀寫(xiě)器安全模塊發(fā)行、后臺(tái)管理系統(tǒng)安全模塊發(fā)行。
1) 門(mén)禁卡發(fā)行
后臺(tái)管理系統(tǒng)使用SM1算法對(duì)系統(tǒng)根密鑰進(jìn)行分散,實(shí)現(xiàn)一卡一密;通過(guò)發(fā)卡讀卡器對(duì)卡片利用過(guò)程密鑰采用SM1算法進(jìn)行卡片身份鑒別,應(yīng)用目錄、文件系統(tǒng)等數(shù)據(jù)結(jié)構(gòu)初始化并完成卡片密鑰的下載,以及對(duì)卡片進(jìn)行持卡人信息與簽發(fā)單位信息的寫(xiě)入,該過(guò)程使用CPU卡的發(fā)卡流程保證信息寫(xiě)入的安全性、數(shù)據(jù)的機(jī)密性。
2) 安全模塊發(fā)行
門(mén)禁后臺(tái)管理系統(tǒng)使用“城市一卡通密鑰管理系統(tǒng)”生成門(mén)禁系統(tǒng)根密鑰,安全導(dǎo)入安全模塊。
7.3.2 門(mén)禁卡控制
門(mén)禁讀卡器直接對(duì)門(mén)禁卡做身份鑒別,同時(shí)對(duì)鑒別數(shù)據(jù)加密后送給后臺(tái)管理系統(tǒng)控制門(mén)禁功能的執(zhí)行,不僅保證身份鑒別的真實(shí)性,還能保證信息傳輸過(guò)程中的機(jī)密性。
具體方法如下:
門(mén)禁讀卡器讀取門(mén)禁的安全識(shí)別碼,作為卡片一卡一密的分散因子;
門(mén)禁讀卡器發(fā)送一個(gè)內(nèi)部認(rèn)證命令給門(mén)禁卡(門(mén)禁安全模塊產(chǎn)生隨機(jī)數(shù)),門(mén)禁卡內(nèi)部用存在的卡片中的一卡一密密鑰KEYC對(duì)該隨機(jī)數(shù)用SM1算法做加密運(yùn)算,得到RA′=ENK(KEYC,RA)并回發(fā)給門(mén)禁讀卡器。
門(mén)禁讀卡器首先用安全模塊中的根認(rèn)證密鑰KEYR用SM1算法對(duì)安全識(shí)別碼進(jìn)行分散得到KEYC,再對(duì)隨機(jī)數(shù)RA做加密運(yùn)算得到RA″,如果RA′= RA″,則卡片的身份鑒別正確,否則鑒別不通過(guò)。
鑒別通過(guò)后門(mén)禁讀卡器安全模塊使用加密密鑰KEY對(duì)鑒別信息進(jìn)行安全報(bào)文計(jì)算后傳送給后臺(tái)管理系統(tǒng),后臺(tái)管理系統(tǒng)用后臺(tái)安全模塊中對(duì)應(yīng)的解密密鑰KEY對(duì)安全報(bào)文進(jìn)行認(rèn)證。認(rèn)證通過(guò)后,與后臺(tái)數(shù)據(jù)庫(kù)對(duì)比門(mén)禁卡合法性執(zhí)行開(kāi)門(mén)操作。
身份鑒別過(guò)程如圖4
圖4身份鑒別過(guò)程
7.4 密碼產(chǎn)品現(xiàn)狀
本方案中的關(guān)鍵產(chǎn)品是支持SM1算法的非接觸CPU卡和支持SM1算法的安全模塊。
支持SM1算法的非接觸CPU卡須通過(guò)住建部IC中心的檢測(cè)。
支持SM1算法的安全模塊統(tǒng)一由住建部IC中心管理。
7.5 改造內(nèi)容
對(duì)現(xiàn)有不符合本細(xì)則要求的門(mén)禁系統(tǒng),須進(jìn)行以下改造:
1) 采用符合標(biāo)準(zhǔn)的SM1算法非接觸CPU卡作為門(mén)禁卡。
2) 對(duì)門(mén)禁讀卡器進(jìn)行改造,采用SM1算法安全模塊作為密碼運(yùn)算和數(shù)據(jù)處理部件。
7.6 方案特點(diǎn)
本方案采用經(jīng)國(guó)家密碼管理局認(rèn)可、住建部IC中心檢測(cè)的商用密碼算法產(chǎn)品:支持SM1算法的非接觸CPU卡、SM1安全模塊,密碼安全具有可靠保證。
同時(shí)由于SM1安全模塊集成了MCU和射頻接口功能,在數(shù)據(jù)安全方面更加可靠,而且是由住建部IC中心統(tǒng)一采購(gòu)下發(fā)給各個(gè)使用單位,價(jià)格更便宜,能極大的降低系統(tǒng)的建設(shè)費(fèi)用和改造費(fèi)用。
8 符合國(guó)家城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)的CPU卡方案
國(guó)家城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)的CPU卡可以提供唯一卡片序列號(hào),即安全識(shí)別碼。此安全識(shí)別碼只需要一條標(biāo)準(zhǔn)指令即可讀出,可用于門(mén)禁系統(tǒng)中的身份識(shí)別。
本方案采用經(jīng)國(guó)家密碼管理局認(rèn)可SM1安全模塊,密碼安全具有可靠保證。
由于SM1安全模塊集成了MCU和射頻接口功能,能夠讀取目前城市通卡發(fā)行的M1卡和CPU卡的唯一識(shí)別碼,價(jià)格更便宜,能極大的降低系統(tǒng)的建設(shè)費(fèi)用和改造費(fèi)用。
責(zé)任編輯:gt
評(píng)論
查看更多