1 背景
为落实《商业密码管理条例》
门禁根据国家密码管理局关于印发系统密码应用安全管理的规定〈重要门禁系统密码应用指南〉住房和城乡建设部文件精神(国密局字[2009]614号)IC该实施方案由卡中心制定。
2 范围
本实施方案规定采用非接触式IC系统中使用的密码设备、密码算法、密码协议禁系统时,系统中使用的密码设备、密码算法、密码协议和密钥管理的相关要求。
本细则适用于以下情况:
1) 设计和实现新门禁系统
2) 按照国家密码管理部门要求实施的门禁系统改造
3 门禁系统概述
3.1 系统构成
基于非接触式IC门禁系统的密码应用包括应用系统、密钥管理和发卡系统,如图1所示。
.jpg)
图1 门禁系统中密码应用结构图
3.2 应用系统
在应用系统中,一般由门禁卡、门禁卡读卡器和后台管理系统组成,通过各设备中的密码模块为系统提供密码安全保护。
1) 门禁卡中的密码模块:当门禁读卡器或后台管理系统识别门禁卡时(识别门禁卡是否合法)提供密码服务(如计算识别码);
2) 门禁读卡器/器/后台管理系统中的密码模块:在识别访问控制卡/传输安全报纸时提供密码服务(如密钥分散、验证识别码等)。在设计访问控制系统的具体方案时,访问控制读卡器和后台管理系统应配备密码模块。
3.3 密钥管理及发卡系统
密钥管理和发卡系统的功能是生成门禁系统的密码应用,并通过密码模块发行设备发行(初始化和注入密钥)密码模块,并通过发卡设备发行门禁卡(初始化、注入密钥和写入应用信息)。
密钥管理和发卡系统中的密码设备在发卡时提供密钥生成、密钥分散和身份识别等密码服务。
4 与密码相关的安全技术要求
4.1 密码应用安全技术要求
基于非接触式IC门禁系统中的密码应用方案应符合第7章的要求。
4.2 密码设备安全技术要求
基于非接触式IC卡门禁系统中的密码设备包括:应用系统密码模块、密钥管理和发卡系统密码模块,具体密码设备见图1。
门禁系统中使用的所有密码设备必须经住房和城乡建设部批准IC中心认可的产品。
4.3 密码算法安全技术要求
门禁系统中使用的密码算法必须符合国家有关要求,密码算法的应用方案必须符合第七章的要求。
4.4 密码协议安全技术要求
在门禁系统中,门禁读卡器必须识别门禁卡的身份,并安全传输识别数据。身份识别过程中使用的认证协议应符合第七章的要求。
5 密钥管理安全技术要求
5.1 密钥生成
城市一卡通密钥管理系统必须生成密钥。
5.2 密钥注入
发行门禁卡和密码模块时,应注意以下两点:
1) 注入密钥时不得泄露明文密钥的任何组成部分;
2) 只有在密码设备、接口和传输信道未收到任何可能导致密钥或敏感数据泄露或篡改的情况下,才能将密钥加载到密码设备中。
5.3 其他要求
在密钥生成、注入、更新和存储的整个过程中,应确保密钥不会泄露。
6 其他应考虑的安全因素
除密码应用的安全要求外,本方案还应考虑以下因素:
1) 后台管理系统的管理要求;
2) 密码识别、生物特征识别、人员值班等与密码安全机制无关的其他管理和技术措施。
在设计和应用系统方案时,应在密码安全保证的基础上采取其他适当的管理和技术措施,以提高门禁系统的安全性。
7 基于SM非接触式算法CPU卡方案
7.1 系统构成
基于此方案SM非接触算法CPU卡和基于SM系统构成的示意图如图2所示。
.jpg)
图2门禁卡系统示意图
7.2 方案原理
该方案的门禁卡由国家密码管理局批准,住房和城乡建设部IC中心认可的SM1算法的CPU卡内存储安全认证码、发行信息和卡钥匙,并有符合相关标准的卡上操作系统;门禁卡与非读卡器之间使用SM1.身份识别和安全报纸传输算法;发卡系统和读写器中的安全模块也使用SM门禁卡分散门禁卡的密钥,实现一卡一密。
方案原理图如图3所示。
.jpg)
图3方案原理图
该方案中的读卡器负责门禁卡的合法性识别,并将获得的门禁卡的身份识别信息以安全报告的形式反馈给门禁控制后台管理系统SM1算法安全模块对门禁卡的合法性进行双重识别,并控制门禁执行机构完成门禁操作。同时,门禁服务器还负责门禁读卡器的管理。
该方案中,SM集成算法安全模块MCU在安全模块中实现所有处理过程和射频接口功能。射频接口模块负责读卡器与门禁卡之间的射频通信;MCU控制射频接口模块与门禁卡的通信,实现读卡器内的数据加密传输和与后台管理系统的通信功能。
7.3 密码安全应用流程
7.3.1 发卡系统
分为门禁卡发卡、门禁读写器安全模块发行、后台管理系统安全模块发行。
1) 门禁卡发行
使用后台管理系统SM1算法分散系统根密钥,实现一卡一密;通过发卡读卡器使用卡片密钥SM1.算法初始化卡身份识别、应用目录、文件系统等数据结构,完成卡密钥的下载,以及持卡人信息和发行单位信息的写入。CPU卡的发卡过程保证了信息写入的安全性和数据的机密性。
2) 发行安全模块
门禁后台管理系统使用城市一卡通密钥管理系统生成门禁系统根密钥,安全导入安全模块。
7.3.2 门禁卡控制
门禁读卡器直接识别门禁卡,并将识别数据加密到后台管理系统,控制门禁功能的实施,不仅保证了识别的真实性,而且保证了信息传输过程中的机密性。
具体方法如下:
门禁读卡器读取门禁安全识别码,作为一卡一密的分散因素;
门禁读卡器向门禁卡(门禁安全模块产生随机数)发送内部认证命令,门禁卡内存在的卡中使用一卡一密钥KEYC随机数SM1算法加密,得到RA′=ENK(KEYC,RA)并将其返回门禁读卡器。
? 门禁读卡器首先使用安全模块中的根认证密钥KEYR用SM1算法分散安全识别码KEYC,再对随机数RA获得加密操作RA″,如果RA′= RA″,卡片的身份鉴定正确,否则鉴定不合格。
? 识别后门禁读卡器安全模块使用加密钥匙KEY计算识别信息后,将识别信息传输到后台管理系统。后台管理系统使用后台安全模块中相应的解密钥KEY认证安全报纸。认证通过后,将门禁卡的合法性与后台数据库进行比较。
如图4所示
.jpg)
图4身份鉴定过程
7.4 密码产品的现状
本方案的关键产品是支持SM非接触算法CPU卡和支持SM1算法安全模块。
支持SM非接触算法CPU卡必须通过住房和城乡建设部IC中心检测。
支持SM住房和城乡建设部统一算法安全模块IC中心管理。
7.5 改造内容
对不符合本细则要求的现有门禁系统,必须进行以下改造:
1) 符合标准的SM1算法非接触CPU卡作为门禁卡。
2) 改造门禁读卡器,使用SM作为密码操作和数据处理部件的算法安全模块。
7.6 方案特点
本方案经国家密码管理局批准,住房和城乡建设部IC商用密码算法产品中心检测:支持SM非接触算法CPU卡、SM1安全模块,密码安全可靠。
同时由于SM集成了安全模块MCU以及住房和城乡建设部的射频接口功能,在数据安全方面更可靠IC中心统一采购发给各用户单位,价格较低,可大大降低系统建设成本和改造成本。
8 符合国家城市建设行业标准CPU卡方案
国家城市建设行业标准CPU卡可以提供唯一的卡序列号,即安全识别码。此安全识别码只需一个标准指令即可读取,可用于门禁系统中的身份识别。
本方案经国家密码管理局批准SM1安全模块,密码安全可靠。
由于SM集成了安全模块MCU还有射频接口功能,可以读取当前城市通卡发行的功能M1卡和CPU卡的唯一识别码更便宜,可以大大降低系统的建设成本及改造成本。
