【安防知識(shí)網(wǎng)】為貫徹落實(shí)《商用密碼管理?xiàng)l例》，加強(qiáng)城市重要門(mén)禁系統(tǒng)密碼應(yīng)用安全管理工作，根據(jù)國(guó)家密碼管理局《關(guān)于印發(fā)〈重要門(mén)禁系統(tǒng)密碼應(yīng)用指南〉的通知》(國(guó)密局字[2009]614號(hào))文件精神，住建部IC卡中心制定此實(shí)施方案。

　　2 范圍

　　本實(shí)施方案規(guī)定了采用非接觸式IC卡在大型公共建筑及居住區(qū)門(mén)禁系統(tǒng)中采用密碼安全技術(shù)時(shí)，系統(tǒng)中使用的密碼設(shè)備、密碼算法、密碼協(xié)議和對(duì)密鑰管理的相關(guān)要求。

　　本細(xì)則適用于以下情況：

　　1) 新建門(mén)禁系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

　　2) 按照國(guó)家密碼管理部門(mén)要求實(shí)施的門(mén)禁系統(tǒng)的改造

　　3 門(mén)禁系統(tǒng)概述

　　3.1 系統(tǒng)構(gòu)成

　　基于非接觸式IC卡的門(mén)禁系統(tǒng)的密碼應(yīng)用涉及應(yīng)用系統(tǒng)、密鑰管理及發(fā)卡系統(tǒng)，如圖1所示。

　　圖1 門(mén)禁系統(tǒng)中密碼應(yīng)用結(jié)構(gòu)圖

　　3.2 應(yīng)用系統(tǒng)

　　在應(yīng)用系統(tǒng)中，一般由門(mén)禁卡、門(mén)禁卡讀卡器和后臺(tái)管理系統(tǒng)構(gòu)成，通過(guò)各設(shè)備內(nèi)的密碼模塊對(duì)系統(tǒng)提供密碼安全保護(hù)。其中，

　　1) 門(mén)禁卡內(nèi)的密碼模塊：用于門(mén)禁讀卡器或后臺(tái)管理系統(tǒng)對(duì)門(mén)禁卡進(jìn)行身份鑒別時(shí)(鑒別門(mén)禁卡是否合法)提供密碼服務(wù)(如計(jì)算鑒別碼);

　　2) 門(mén)禁讀卡器/后臺(tái)管理系統(tǒng)內(nèi)的密碼模塊：用于對(duì)門(mén)禁卡進(jìn)行身份鑒別/安全報(bào)文傳輸時(shí)提供密碼服務(wù)(如密鑰分散、驗(yàn)證鑒別碼等)。在門(mén)禁系統(tǒng)的具體方案設(shè)計(jì)時(shí)，應(yīng)在門(mén)禁讀卡器和后臺(tái)管理系統(tǒng)內(nèi)配用密碼模塊。

[nextpage]　　3.3 密鑰管理及發(fā)卡系統(tǒng)

　　密鑰管理及發(fā)卡系統(tǒng)的功能是為了門(mén)禁系統(tǒng)的密碼應(yīng)用生成密鑰，并通過(guò)密碼模塊發(fā)行設(shè)備發(fā)行(初始化和注入密鑰)密碼模塊，通過(guò)發(fā)卡設(shè)備對(duì)門(mén)禁卡發(fā)卡(初始化、注入密鑰和寫(xiě)入應(yīng)用信息)。

　　密鑰管理及發(fā)卡系統(tǒng)中的密碼設(shè)備提供密鑰生成、密鑰分散及對(duì)門(mén)禁卡發(fā)卡時(shí)的身份鑒別等密碼服務(wù)。

　　4 與密碼相關(guān)的安全技術(shù)要求

　　4.1 密碼應(yīng)用安全技術(shù)要求

　　基于非接觸式IC卡的門(mén)禁系統(tǒng)中的密碼應(yīng)用方案應(yīng)符合第7章的要求。

　　4.2 密碼設(shè)備安全技術(shù)要求

　　基于非接觸式IC卡的門(mén)禁系統(tǒng)中的密碼設(shè)備包括：應(yīng)用系統(tǒng)密碼模塊、密鑰管理及發(fā)卡系統(tǒng)密碼模塊，具體密碼設(shè)備的配用見(jiàn)圖1。

　　在門(mén)禁系統(tǒng)中使用的所有密碼設(shè)備須是通過(guò)國(guó)家密碼管理局審批并且由住建部IC中心認(rèn)定的產(chǎn)品。

　　4.3 密碼算法安全技術(shù)要求

　　在門(mén)禁系統(tǒng)中所配用的密碼算法必須符合國(guó)家相關(guān)要求，密碼算法應(yīng)用方案應(yīng)符合第7章的要求。

　　4.4 密碼協(xié)議安全技術(shù)要求

　　在門(mén)禁系統(tǒng)中，須實(shí)現(xiàn)門(mén)禁讀卡器對(duì)門(mén)禁卡的身份鑒別，以及對(duì)鑒別數(shù)據(jù)的安全傳輸。在身份鑒別過(guò)程中所使用的認(rèn)證協(xié)議應(yīng)符合第7章的要求。

　　5 密鑰管理安全技術(shù)要求

　　5.1 密鑰生成

　　密鑰的生成須使用“城市一卡通密鑰管理系統(tǒng)”。

　　5.2 密鑰注入

　　門(mén)禁卡發(fā)卡和密碼模塊發(fā)行時(shí)的密鑰注入應(yīng)注意以下兩點(diǎn)：

　　1) 密鑰注入過(guò)程中不得泄露明文密鑰的任何組成部分;

　　2) 在密碼設(shè)備、接口和傳輸信道未收到任何可能導(dǎo)致密鑰或敏感數(shù)據(jù)泄露、篡改的狀況下，才可以將密鑰加載到密碼設(shè)備中。

　　5.3 其他要求

　　在密鑰生成、注入、更新和存儲(chǔ)等的整個(gè)過(guò)程中，應(yīng)保證密鑰不被泄露。

　　6 其他應(yīng)考慮的安全因素

　　本方案除對(duì)密碼應(yīng)用的安全要求外，從系統(tǒng)整體的安全性出發(fā)，須考慮以下因素：

　　1) 后臺(tái)管理系統(tǒng)的管理要求;

　　2) 其他與密碼安全機(jī)制無(wú)關(guān)的管理及技術(shù)措施，如口令識(shí)別、生物特征識(shí)別、人員值守等。

　　在系統(tǒng)方案設(shè)計(jì)及應(yīng)用時(shí)，需針對(duì)具體應(yīng)用情況在密碼安全保障的基礎(chǔ)上采取其他適當(dāng)?shù)墓芾砗图夹g(shù)措施，以增門(mén)禁系統(tǒng)的安全性。

[nextpage]　　7 基于SM1算法的非接觸式CPU卡方案

　　7.1 系統(tǒng)構(gòu)成

　　本方案采用基于SM1算法的非接觸CPU卡和基于SM1算法的安全模塊，系統(tǒng)構(gòu)成示意圖如圖2所示。

　　圖2門(mén)禁卡的系統(tǒng)示意圖

　　7.2 方案原理

　　該方案中門(mén)禁卡采用由國(guó)家密碼管理局審批并由住建部IC中心認(rèn)可的SM1算法的CPU卡，卡內(nèi)存放安全認(rèn)證碼、發(fā)行信息和卡片密鑰，并具有符合相關(guān)標(biāo)準(zhǔn)的片上操作系統(tǒng);門(mén)禁卡與非接讀卡器之間采用SM1算法進(jìn)行身份鑒別和安全報(bào)文傳輸;在發(fā)卡系統(tǒng)中和讀寫(xiě)器中的安全模塊同樣采用SM1算法進(jìn)行門(mén)禁卡的密鑰分散，實(shí)現(xiàn)一卡一密。

　　方案原理圖如圖3所示。

　　圖3方案原理圖

　　該方案中讀卡器負(fù)責(zé)門(mén)禁卡的合法性鑒別，同時(shí)將獲得的門(mén)禁卡的身份鑒別信息以安全報(bào)文的方式反饋給門(mén)禁控制后臺(tái)管理系統(tǒng)，由后臺(tái)管理系統(tǒng)的SM1算法的安全模塊進(jìn)行雙重鑒別門(mén)禁卡的合法性，并控制門(mén)禁執(zhí)行機(jī)構(gòu)完成門(mén)禁操作，同時(shí)門(mén)禁服務(wù)器還負(fù)責(zé)門(mén)禁讀卡器的管理工作。

　　該方案中，SM1算法安全模塊集成MCU和射頻接口功能，所有的處理過(guò)程都在安全模塊中實(shí)現(xiàn)。射頻接口模塊負(fù)責(zé)讀卡器與門(mén)禁卡間的射頻通信;MCU控制射頻接口模塊與門(mén)禁卡的通訊，負(fù)責(zé)實(shí)現(xiàn)讀卡器內(nèi)部的數(shù)據(jù)加密傳送及與后臺(tái)管理系統(tǒng)的通信功能。

　　7.3 密碼安全應(yīng)用流程

　　7.3.1 發(fā)卡系統(tǒng)

　　分為門(mén)禁卡發(fā)卡、門(mén)禁讀寫(xiě)器安全模塊發(fā)行、后臺(tái)管理系統(tǒng)安全模塊發(fā)行。

　　1) 門(mén)禁卡發(fā)行

　　后臺(tái)管理系統(tǒng)使用SM1算法對(duì)系統(tǒng)根密鑰進(jìn)行分散，實(shí)現(xiàn)一卡一密;通過(guò)發(fā)卡讀卡器對(duì)卡片利用過(guò)程密鑰采用SM1算法進(jìn)行卡片身份鑒別，應(yīng)用目錄、文件系統(tǒng)等數(shù)據(jù)結(jié)構(gòu)初始化并完成卡片密鑰的下載，以及對(duì)卡片進(jìn)行持卡人信息與簽發(fā)單位信息的寫(xiě)入，該過(guò)程使用CPU卡的發(fā)卡流程保證信息寫(xiě)入的安全性、數(shù)據(jù)的機(jī)密性。

　　2) 安全模塊發(fā)行

　　門(mén)禁后臺(tái)管理系統(tǒng)使用“城市一卡通密鑰管理系統(tǒng)”生成門(mén)禁系統(tǒng)根密鑰，安全導(dǎo)入安全模塊。

[nextpage]　　7.3.2 門(mén)禁卡控制

　　門(mén)禁讀卡器直接對(duì)門(mén)禁卡做身份鑒別，同時(shí)對(duì)鑒別數(shù)據(jù)加密后送給后臺(tái)管理系統(tǒng)控制門(mén)禁功能的執(zhí)行，不僅保證身份鑒別的真實(shí)性，還能保證信息傳輸過(guò)程中的機(jī)密性。

　　具體方法如下：

　　門(mén)禁讀卡器讀取門(mén)禁的安全識(shí)別碼，作為卡片一卡一密的分散因子;

　　門(mén)禁讀卡器發(fā)送一個(gè)內(nèi)部認(rèn)證命令給門(mén)禁卡(門(mén)禁安全模塊產(chǎn)生隨機(jī)數(shù))，門(mén)禁卡內(nèi)部用存在的卡片中的一卡一密密鑰KEYC對(duì)該隨機(jī)數(shù)用SM1算法做加密運(yùn)算，得到RA′=ENK(KEYC,RA)并回發(fā)給門(mén)禁讀卡器。

　　門(mén)禁讀卡器首先用安全模塊中的根認(rèn)證密鑰KEYR用SM1算法對(duì)安全識(shí)別碼進(jìn)行分散得到KEYC，再對(duì)隨機(jī)數(shù)RA做加密運(yùn)算得到RA″，如果RA′= RA″，則卡片的身份鑒別正確，否則鑒別不通過(guò)。

　　鑒別通過(guò)后門(mén)禁讀卡器安全模塊使用加密密鑰KEY對(duì)鑒別信息進(jìn)行安全報(bào)文計(jì)算后傳送給后臺(tái)管理系統(tǒng)，后臺(tái)管理系統(tǒng)用后臺(tái)安全模塊中對(duì)應(yīng)的解密密鑰KEY對(duì)安全報(bào)文進(jìn)行認(rèn)證。認(rèn)證通過(guò)后，與后臺(tái)數(shù)據(jù)庫(kù)對(duì)比門(mén)禁卡合法性執(zhí)行開(kāi)門(mén)操作。

　　身份鑒別過(guò)程如圖4

圖4身份鑒別過(guò)程

　　7.4 密碼產(chǎn)品現(xiàn)狀

　　本方案中的關(guān)鍵產(chǎn)品是支持SM1算法的非接觸CPU卡和支持SM1算法的安全模塊。

　　支持SM1算法的非接觸CPU卡須通過(guò)住建部IC中心的檢測(cè)。

　　支持SM1算法的安全模塊統(tǒng)一由住建部IC中心管理。

　　7.5 改造內(nèi)容

　　對(duì)現(xiàn)有不符合本細(xì)則要求的門(mén)禁系統(tǒng)，須進(jìn)行以下改造：

　　1) 采用符合標(biāo)準(zhǔn)的SM1算法非接觸CPU卡作為門(mén)禁卡。

　　2) 對(duì)門(mén)禁讀卡器進(jìn)行改造，采用SM1算法安全模塊作為密碼運(yùn)算和數(shù)據(jù)處理部件。

　　7.6 方案特點(diǎn)

　　本方案采用經(jīng)國(guó)家密碼管理局認(rèn)可、住建部IC中心檢測(cè)的商用密碼算法產(chǎn)品：支持SM1算法的非接觸CPU卡、SM1安全模塊，密碼安全具有可靠保證。

　　同時(shí)由于SM1安全模塊集成了MCU和射頻接口功能，在數(shù)據(jù)安全方面更加可靠，而且是由住建部IC中心統(tǒng)一采購(gòu)下發(fā)給各個(gè)使用單位，價(jià)格更便宜，能極大的降低系統(tǒng)的建設(shè)費(fèi)用和改造費(fèi)用。

　　8 符合國(guó)家城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)的CPU卡方案

　　國(guó)家城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)的CPU卡可以提供唯一卡片序列號(hào)，即安全識(shí)別碼。此安全識(shí)別碼只需要一條標(biāo)準(zhǔn)指令即可讀出，可用于門(mén)禁系統(tǒng)中的身份識(shí)別。

　　本方案采用經(jīng)國(guó)家密碼管理局認(rèn)可SM1安全模塊，密碼安全具有可靠保證。

　　由于SM1安全模塊集成了MCU和射頻接口功能，能夠讀取目前城市通卡發(fā)行的M1卡和CPU卡的唯一識(shí)別碼，價(jià)格更便宜，能極大的降低系統(tǒng)的建設(shè)費(fèi)用和改造費(fèi)用。