藍牙互聯網公寓鎖系統
PK-9060沙銀合金IC卡智
有線聯網IC卡門鎖
無線聯網型IC卡門鎖
雙門雙向門禁控制器
國密CPU卡門禁讀卡器
NEWS - HOME •
為什么必須進行MF1系統的機具加密并急需采用CPU卡片升級門禁系統
DATE:2016-05-24 23:07:50

非接觸CPU卡與邏輯加密卡

1、邏輯加密存儲卡:在非加密存儲卡的基礎上增加了加密邏輯電路,加密邏輯電路通過校驗密碼方式來?;た詰氖荻雜諭獠糠夢適欠窨?,但只是低層次的安全?;?,無法防范惡意性的攻擊。

早期投入應用的非接觸IC卡技術多為邏輯加密卡,比如最為著名的Philips公司(現NXP)的Mifare1卡片。非接觸邏輯加密卡技術以其低廉的成本,簡明的交易流程,較簡單的系統架構,迅速得到了用戶的青睞,并得到了快速的應用和發展。據不完全統計,截至去年年底,國內各領域非接觸邏輯加密卡的發卡量已經達到數億張。

隨著非接觸邏輯加密卡不斷應用的過程,非接觸邏輯加密卡技術的不足之處也日益暴露,難以滿足更高的安全性和更復雜的多應用的需求。特別是2008年10月,互聯網上公布了破解MIFARE  CLASSIC IC芯片(以下簡稱M1芯片)密碼的方法,不法分子利用這種方法可以很低的經濟成本對采用該芯片的各類“一卡通”、門禁卡進行非法充值或復制,帶來很大的社會安全隱患。因此,非接觸CPU卡智能卡技術正成為一種技術上更新換代的選擇。

2、非接觸CPU卡:也稱智能卡,卡內的集成電路中帶有微處理器CPU、存儲單元(包括隨機存儲器RAM、程序存儲器ROM(FLASH)、用戶數據存儲器EEPROM)以及芯片操作系統COS。裝有COS的CPU卡相當于一臺微型計算機,不僅具有數據存儲功能,同時具有命令處理和數據安全?;さ裙δ?。

(1)、非接觸CPU卡的特點(與存儲器卡相比較)

芯片和COS的安全技術為CPU卡提供了雙重的安全保證自帶操作系統的CPU卡對計算機網絡系統要求較低,可實現脫機操作;可實現真正意義上的一卡多應用,每個應用之間相互獨立,并受控于各自的密鑰管理系統。存儲容量大,可提供1K-64K字節的數據存儲。

(2)、獨立的保密???-- 使用相應的實體SAM卡密鑰實現加密、解密以及交易處理,從而完成與用戶卡之間的安全認證。

非接觸CPU卡安全系統與邏輯加密系統的比較

密鑰管理系統(Key Management System),也簡稱KMS,是IC項目安全的核心。如何進行密鑰的安全管理,貫穿著IC卡應用的整個生命周期。

1、非接觸邏輯加密卡的安全認證依賴于每個扇區獨立的KEYA和KEYB的校驗,可以通過扇區控制字對KEYA和KEYB的不同安全組合,實現扇區數據的讀寫安全控制。非接觸邏輯加密卡的個人化也比較簡單,主要包括數據和各扇區KEYA、KEYB的更新,在期間所有敏感數據包括KEYA和KEYB都是直接以明文的形式更新。

由于KEYA和KEYB的校驗機制,只能解決卡片對終端的認證,而無法解決終端對卡片的認證,即我們俗稱的“偽卡”的風險。

非接觸邏輯加密卡,即密鑰就是一個預先設定的固定密碼,無論用什么方法計算密鑰,最后就一定要和原先寫入的固定密碼一致,就可以對被?;さ氖萁卸列床僮?。因此無論是一卡一密的系統還是統一密碼的系統,經過破解就可以實現對非接觸邏輯加密卡的解密。很多人認為只要是采用了一卡一密、實時在線系統或非接觸邏輯加密卡的ID號就能避免密鑰被解密,其實,非接觸邏輯加密卡被解密就意味著M1卡可以被復制,使用在線系統盡可以避免被非法充值,但是不能保證非法消費,即復制一張一樣ID號的M1卡,就可以進行非法消費。現在的技術使用FPGA就可以完全復制?;謖飧鱸?,M1的門禁卡也是不安全的。目前國內80%的門禁產品均是采用原始IC卡的UID號或ID卡的ID號去做門禁卡,根本沒有去進行加密認證或開發專用的密鑰,其安全隱患遠遠比Mifare卡的破解更危險,非法破解的人士只需采用的是專業的技術手段就可以完成破解過程,導致目前國內大多數門禁產品都不具備安全性原因之一,是因為早期門禁產品的設計理論是從國外引進過來的,國內大部分廠家長期以來延用國外做法,采用ID和IC卡的只讀特性進行身份識別使用,很少關注卡與機具間的加密認證,缺少鑰匙體系的設計;而ID卡是很容易可復制的載體,導致所有的門禁很容易幾乎可以在瞬間被破解復制;這才是我們國內安防市場最大的災難。

2、非接觸CPU卡智能卡與非接觸邏輯加密卡相比,擁有獨立的CPU處理器和芯片操作系統,所以可以更靈活的支持各種不同的應用需求,更安全的設計交易流程。但同時,與非接觸邏輯加密卡系統相比,非接觸CPU卡智能卡的系統顯得更為復雜,需要進行更多的系統改造,比如密鑰管理、交易流程、PSAM卡以及卡片個人化等。密鑰通常分為充值密鑰(ISAM卡),減值密鑰(PSAM卡),身份認證密鑰(SAM卡)。

非接觸CPU卡智能卡可以通過內外部認證的機制,例如像建設部定義的電子錢包的交易流程,高可靠的滿足不同的業務流程對安全和密鑰管理的需求。對電子錢包圈存可以使用圈存密鑰,消費可以使用消費密鑰,清算可以使用TAC密鑰,更新數據可以使用卡片應用維護密鑰,卡片個人化過程中可以使用卡片傳輸密鑰、卡片主控密鑰、應用主控密鑰等,真正做到一鑰一用。

非接觸CPU卡加密算法和隨機數發生器與安裝在讀寫設備中的密鑰認證卡(SAM卡)相互發送認證的隨機數,可以實現以下功能:

(1) 通過終端設備上SAM卡實現對卡的認證。

(2)  非接觸CPU卡與終端設備上的SAM卡的相互認證,實現對卡終端的認證。

(3) 通過ISAM卡對非接觸CPU卡進行充值操作,實現安全的儲值。 

(4) 通過PSAM卡對非接觸CPU卡進行減值操作,實現安全的扣款。

(5) 在終端設備與非接觸CPU卡中傳輸的數據是加密傳輸。

(6) 通過對非接觸CPU卡發送給SAM卡的隨機數MAC1,SAM卡發送給非接觸CPU的隨機數MAC2和由非接觸CPU卡返回的隨機數TAC,可以實現數據傳輸驗證的計算。而MAC1、MAC2和TAC就是同一張非接觸CPU卡每次傳輸的過程中都是不同的,因此無法使用空中接收的辦法來破解非接觸CPU卡的密鑰。

    

3、非接觸CPU卡智能卡,可以使用密鑰版本的機制,即對于不同批次的用戶卡,使用不同版本的密鑰在系統中并存使用,達到密鑰到期自然淘汰過渡的目的,逐步更替系統中所使用的密鑰,防止系統長期使用帶來的安全風險。

 

非接觸CPU卡智能卡,還可以使用密鑰索引的機制,即對于發行的用戶卡,同時支持多組索引的密鑰,假如當前使用的密鑰被泄漏或存在安全隱患的時候,系統可以緊急激活另一組索引的密鑰,而不用回收和更換用戶手上的卡片。

 

非接觸CPU卡智能卡系統中,PSAM卡通常用來計算和校驗消費交易過程中出現的MAC碼,同時在計算的過程中,交易時間、交易金額、交易類型等交易信息也都參與運算,使得交易更安全更可靠。某些情況下,非接觸CPU卡智能卡系統中的PSAM卡還可以用來支持安全報文更新數據時MAC的計算,以及交易TAC的驗證。因此,與非接觸邏輯加密卡系統相比,非接觸CPU卡智能卡系統中的PSAM卡支持更廣泛的功能,也更為靈活、安全和復雜。通常非接觸CPU卡智能卡系統的PSAM卡還支持不同的密鑰版本。

而非接觸CPU卡智能卡的個人化通??梢苑治ㄆ純ê涂ㄆ鋈嘶礁齠懶⒌牧鞒?,前者創建卡片文件結構,后者更新個人化數據,并注入相應的密鑰。在信息更新和密鑰注入的過程中,通常都采用安全報文的方式,保證數據和密鑰更新的正確性和安全性。而且密鑰注入的次序和相互?;さ囊來婀叵?,也充分體現了密鑰的安全設計,比如卡片主控密鑰通常被用來?;さ既胗τ彌骺孛茉?,應用主控密鑰通常被用來?;さ既肫淥τ妹茉?,比如消費密鑰等。

4、非接觸CPU卡的密鑰實現方式:

(1)硬密鑰:即在終端機具中安裝SAM卡座,所有的認證都是由安裝在SAM卡座中的SAM卡進行運算的,這樣在終端機具維修時,只要取出SAM卡座中的SAM卡,這臺終端機具就是空的了。所以所有的銀行設備都采用SAM卡的認證模式。

(2) 軟密鑰:終端機具中沒有SAM卡座,這個密鑰的運算實際上是由終端機具完成的,這樣客戶的密鑰就等于存在終端機具中,廠家拿回終端機具維修時,極易造成密鑰流失。

總結以上所述,M1卡即邏輯加密卡采用的是固定密碼,而采用非接觸CPU卡智能卡采用的是動態密碼,并且是一用一密即同一張非接觸CPU卡智能卡,每刷一次卡的認證密碼都不相同,這種智能化的認證方式使得系統的安全性得到提高,特別是當交易雙方在完成交易之后,收單方有可能擅自修改或偽造交易流水來達到獲利目的,為了防止終端偽造交易流水,系統要求卡片能夠產生由交易要素生成的交易驗證碼,在后臺清算時來對交易的有效性進行驗證。非接觸式CPU卡則可以在交易結束時產生個交易驗證碼TAC,用來防止偽造交易。邏輯加密卡由于不具有運算能力,就不可能產生交易的驗證碼。

   所以,從安全性的角度來看, 從IC卡邏輯加密卡升級到CPU卡是一種必然的選擇。

門禁系統涉及到人員身份的識別判斷,因此用戶使用設備的高安全性與數據的高安全性極為重要。Philips Mifare 1 IC卡片是可以分區加密的卡片,但因為技術的門坎對卡片進行加密的制造商并不多,大多數廠家僅僅只是使用(讀?。㏄HILIP IC卡的公開的、不加密的卡本身的序列ID號,而這種ID號在技術本質上和EM ID卡的功能一樣,由于卡片的應用非常廣泛,卡發行量巨大,造成某些卡號重復,或卡號被復制、仿制或卡中數據被篡改,從而給一卡通系統特別是大型系統的使用帶來極大的安全隱患,由此導致用戶最終沒有享受到Philips Mifare 1 IC卡的高安全性,反而用較高的IC成本換來了ID卡的低安全使用效果。

過渡方案中的ITPAKO門禁系統采用機具加密及卡片加密雙重加密方式對系統進行?;?,每臺設備終端上安裝了嵌入式安全控制??櫚氖抵飾狣IP或者SOP芯片 封裝的CPU卡芯片,最早被用于IC卡金融系統支付中做為錢包使用,存儲充值及消費金額,以及其他一 些重要的參數,同時具有身份識別功能,與外部卡片進行雙向身份認證。隨著終端安全的日益 被重視,目前被廣泛應用于各種嵌入式終端實現數據的安全存儲,數據的加解密,終端身份的 識別與認證, 嵌入式軟件的版權?;?,DRM數字版權的管理等功能。

產品特點:

·采用高端安全智能卡專用安全微處理器作為硬件平臺;

·內部芯片建立專門的操作系統COS;

·符合ISO7816、EMV、GSM、PBOC等國際標準和行業標準;

·支持多層次化文件結構,可建立三級目錄,適合一卡多用的要求,支持二進制、定長記錄、變長記錄、循環記錄、錢包記錄等多種文件類型;

·支持對稱算法DES/3DES ,AES,MAC, 高端芯片支持非對稱RSA/ECC算法,兼容對稱算法;

·多種EEPROM容量可選16k、32k字節;

·可以根據用戶特殊需求,刪除、增加或修改某些特定功能并可定制新功能;

安全特性:

·芯片硬件安全性獲得ITSEC EAL5 級認證;

·芯片防篡改設計,唯一序列號,具有防止SEMA/DEMA 、 SPA/DPA、 DFA和時序攻擊的措施;

·多種安全檢測傳感器:高壓和低壓傳感器、頻率傳感器、濾波器、光傳感器、 脈沖傳感器、溫度傳感器,具有傳感器壽命測試功能;

·總線加密,具有主動屏蔽層,探測到外部攻擊后內部數據自毀;

·真隨機數發生器:利用芯片內部的電磁白噪聲產生,不會重復;

·硬件加密協處理器:內部硬件邏輯電路實現對稱算法3DES,非對稱算法RSA或ECC,加解密速度快。

系統使用支持CPU卡片,同時向下兼容MF1卡片,對MF1卡的標識不是使用其本身的ID號而是該系統發卡時用戶自定義加密寫入各扇區的加密數據, 終端設備在識別卡片的時候首先需對卡片的合法性通過硬件上嵌入式安全控制??榻行Q?,系統中的嵌入式安全控制??榫弒竿騁簧矸葜け鸕拿茉坷唇⑾嚶Φ陌踩?。通過校驗的系統卡片才能進入系統進行再識別。在識別過程中使用(讀?。㏄hilips Mifare 1卡的加密區,即用戶(最終使用者)自己編寫卡號寫入IC卡(發卡),發卡時必須有系統管理卡、軟件操作權限密碼兩者同時獲得驗證通過才能將卡號寫入IC卡(發卡)。每個系統采取用戶自定義、獨一無二的密碼可發放卡片,完全杜絕卡號重復;另一方面只有本系統的讀寫卡器才可讀寫出卡號,在不知道密碼和卡號寫入方式的情況下卡片無法被復制。從而保證了整個系統數據的高安全性。

ITPAKO系統的設計具有高度的可靠性,產品成熟性能穩定,保證系統長時間無故障運行,即便遭遇事故造成中斷后也能確保數據的準確性、完整性和一致性,并可迅速恢復正常。系統嚴格控制管理員操作權限,可以采取安裝防火墻、安裝殺毒軟件、網絡數據庫備份等來保證數據庫服務器和各工作站的安全和正常運行??墑凳比∠沂Э?、黑名單卡的權限,防止冒用、濫用,確保了整個系統的安全性。

No previous  |  NEXT:關于取得計算機軟件著作權登記證書的公告
ABOUT NEWS CASES PRODUCTS DOWNLOAD MAP FOLLOW








SWEEP
TOP
Links: 紫外線燈管  |   建材代理  |   門禁系統  |   太陽能生產廠家  |   廣東激光機  |   孕婦寫真攝影店  |   重慶套裝門廠家  |   定制沙發  |   感應耐壓試驗裝置  |   放假安排  |  
Kdesign-The official website ADD:CHINA·GUANGDONG.Guangzhou science city in huangpu district Kaiyuan Road No. 188 building 14, No. 2 Building 6 floor  TEL:020-82327089  FAX:020-82327089-6008
COPYRIGHT 2016 itpako? Design:Itpako ALL RIGHTS RESERVED.  粵ICP備:06069894號
 在線客服  在線客服  在線客服  在線客服 幸运赛车过滤
TOP
Scan the QR code