门禁系统为什么要采用CPU卡片及必须进行MF1系统的机具加密

oldcui

非接触CPU卡与逻辑加密卡
1、逻辑加密存储卡：在非加密存储卡的基础上增加了加密逻辑电路，加密逻辑电路通过校验密码方式来保护卡内的数据对于外部访问是否开放，但只是低层次的安全保护，无法防范恶意性的攻击。
早期投入应用的非接触IC卡技术多为逻辑加密卡，比如最为著名的Philips公司（现NXP）的Mifare1卡片。非接触逻辑加密卡技术以其低廉的成本，简明的交易流程，较简单的系统架构，迅速得到了用户的青睐，并得到了快速的应用和发展。据不完全统计，截至去年年底，国内各领域非接触逻辑加密卡的发卡量已经达到数亿张。
随着非接触逻辑加密卡不断应用的过程，非接触逻辑加密卡技术的不足之处也日益暴露，难以满足更高的安全性和更复杂的多应用的需求。特别是2008年10月，互联网上公布了破解MIFARE  CLASSIC IC芯片（以下简称M1芯片）密码的方法，不法分子利用这种方法可以很低的经济成本对采用该芯片的各类“一卡通”、门禁卡进行非法充值或复制，带来很大的社会安全隐患。因此，非接触CPU卡智能卡技术正成为一种技术上更新换代的选择。
2、非接触CPU卡：也称智能卡，卡内的集成电路中带有微处理器CPU、存储单元（包括随机存储器RAM、程序存储器ROM（FLASH）、用户数据存储器EEPROM）以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理和数据安全保护等功能。
（1）、非接触CPU卡的特点（与存储器卡相比较） 芯片和COS的安全技术为CPU卡提供了双重的安全保证自带操作系统的CPU卡对计算机网络系统要求较低，可实现脱机操作；可实现真正意义上的一卡多应用，每个应用之间相互独立，并受控于各自的密钥管理系统。存储容量大，可提供1K-64K字节的数据存储。（2）、独立的保密模块 -- 使用相应的实体SAM卡密钥实现加密、解密以及交易处理，从而完成与用户卡之间的安全认证。
非接触CPU卡安全系统与逻辑加密系统的比较
密钥管理系统（Key Management System），也简称KMS，是IC项目安全的核心。如何进行密钥的安全管理，贯穿着IC卡应用的整个生命周期。
1、非接触逻辑加密卡的安全认证依赖于每个扇区独立的KEYA和KEYB的校验，可以通过扇区控制字对KEYA和KEYB的不同安全组合，实现扇区数据的读写安全控制。非接触逻辑加密卡的个人化也比较简单，主要包括数据和各扇区KEYA、KEYB的更新，在期间所有敏感数据包括KEYA和KEYB都是直接以明文的形式更新。由于KEYA和KEYB的校验机制，只能解决卡片对终端的认证，而无法解决终端对卡片的认证，即我们俗称的“伪卡”的风险。非接触逻辑加密卡，即密钥就是一个预先设定的固定密码，无论用什么方法计算密钥，最后就一定要和原先写入的固定密码一致，就可以对被保护的数据进行读写操作。因此无论是一卡一密的系统还是统一密码的系统，经过破解就可以实现对非接触逻辑加密卡的解密。很多人认为只要是采用了一卡一密、实时在线系统或非接触逻辑加密卡的ID号就能避免密钥被解密，其实，非接触逻辑加密卡被解密就意味着M1卡可以被复制，使用在线系统尽可以避免被非法充值，但是不能保证非法消费，即复制一张一样ID号的M1卡，就可以进行非法消费。现在的技术使用FPGA就可以完全复制。基于这个原理，M1的门禁卡也是不安全的。目前国内80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡，根本没有去进行加密认证或开发专用的密钥，其安全隐患远远比Mifare卡的破解更危险，非法破解的人士只需采用的是专业的技术手段就可以完成破解过程，导致目前国内大多数门禁产品都不具备安全性原因之一，是因为早期门禁产品的设计理论是从国外引进过来的，国内大部分厂家长期以来延用国外做法，采用ID和IC卡的只读特性进行身份识别使用，很少关注卡与机具间的加密认证，缺少钥匙体系的设计；而ID卡是很容易可复制的载体，导致所有的门禁很容易几乎可以在瞬间被破解复制；这才是我们国内安防市场最大的灾难。
2、非接触CPU卡智能卡与非接触逻辑加密卡相比，拥有独立的CPU处理器和芯片操作系统，所以可以更灵活的支持各种不同的应用需求，更安全的设计交易流程。但同时，与非接触逻辑加密卡系统相比，非接触CPU卡智能卡的系统显得更为复杂，需要进行更多的系统改造，比如密钥管理、交易流程、PSAM卡以及卡片个人化等。密钥通常分为充值密钥（ISAM卡），减值密钥（PSAM卡），身份认证密钥（SAM卡）。
非接触CPU卡智能卡可以通过内外部认证的机制，例如像建设部定义的电子钱包的交易流程，高可靠的满足不同的业务流程对安全和密钥管理的需求。对电子钱包圈存可以使用圈存密钥，消费可以使用消费密钥，清算可以使用TAC密钥，更新数据可以使用卡片应用维护密钥，卡片个人化过程中可以使用卡片传输密钥、卡片主控密钥、应用主控密钥等，真正做到一钥一用。
非接触CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互发送认证的随机数，可以实现以下功能：
(1) 通过终端设备上SAM卡实现对卡的认证。(2)  非接触CPU卡与终端设备上的SAM卡的相互认证，实现对卡终端的认证。(3) 通过ISAM卡对非接触CPU卡进行充值操作，实现安全的储值。(4) 通过PSAM卡对非接触CPU卡进行减值操作，实现安全的扣款。(5) 在终端设备与非接触CPU卡中传输的数据是加密传输。
(6) 通过对非接触CPU卡发送给SAM卡的随机数MAC1，SAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC，可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的，因此无法使用空中接收的办法来破解非接触CPU卡的密钥。     
3、非接触CPU卡，可以使用密钥版本的机制，即对于不同批次的用户卡，使用不同版本的密钥在系统中并存使用，达到密钥到期自然淘汰过渡的目的，逐步更替系统中所使用的密钥，防止系统长期使用带来的安全风险。 还可以使用密钥索引的机制，即对于发行的用户卡，同时支持多组索引的密钥，假如当前使用的密钥被泄漏或存在安全隐患的时候，系统可以紧急激活另一组索引的密钥，而不用回收和更换用户手上的卡片。
非接触CPU卡系统中，PSAM卡通常用来计算和校验消费交易过程中出现的MAC码，同时在计算的过程中，交易时间、交易金额、交易类型等交易信息也都参与运算，使得交易更安全更可靠。某些情况下，非接触CPU智能卡系统中的PSAM卡还可以用来支持安全报文更新数据时MAC的计算，以及交易TAC的验证。因此，与非接触逻辑加密卡系统相比，非接触CPU智能卡系统中的PSAM卡支持更广泛的功能，也更为灵活、安全和复杂。通常非接触CPU智能卡系统的PSAM卡还支持不同的密钥版本。而非接触CPU智能卡的个人化通常可以分为卡片洗卡和卡片个人化两个独立的流程，前者创建卡片文件结构，后者更新个人化数据，并注入相应的密钥。在信息更新和密钥注入的过程中，通常都采用安全报文的方式，保证数据和密钥更新的正确性和安全性。而且密钥注入的次序和相互保护的依存关系，也充分体现了密钥的安全设计，比如卡片主控密钥通常被用来保护导入应用主控密钥，应用主控密钥通常被用来保护导入其他应用密钥，比如消费密钥等。
4、非接触CPU卡的密钥实现方式：
（1）硬密钥：即在终端机具中安装SAM卡座，所有的认证都是由安装在SAM卡座中的SAM卡进行运算的，这样在终端机具维修时，只要取出SAM卡座中的SAM卡，这台终端机具就是空的了。所以所有的银行设备都采用SAM卡的认证模式。（2） 软密钥：终端机具中没有SAM卡座，这个密钥的运算实际上是由终端机具完成的，这样客户的密钥就等于存在终端机具中，厂家拿回终端机具维修时，极易造成密钥流失。
总结以上所述，M1卡即逻辑加密卡采用的是固定密码，而采用非接触CPU卡智能卡采用的是动态密码，这种智能化的认证方式使得系统的安全性得到提高，特别是当交易双方在完成交易之后，收单方有可能擅自修改或伪造交易流水来达到获利目的，为了防止终端伪造交易流水，系统要求卡片能够产生由交易要素生成的交易验证码，在后台清算时来对交易的有效性进行验证。 所以，从安全性的角度来看， 从IC卡逻辑加密卡升级到CPU卡是一种必然的选择。
门禁系统涉及到人员身份的识别判断，因此用户使用设备的高安全性与数据的高安全性极为重要。Philips Mifare 1 IC卡片是可以分区加密的卡片，但因为技术的门坎对卡片进行加密的制造商并不多，大多数厂家仅仅只是使用（读取）PHILIP IC卡的公开的、不加密的卡本身的序列ID号，而这种ID号在技术本质上和EM ID卡的功能一样，由于卡片的应用非常广泛，卡发行量巨大，造成某些卡号重复，或卡号被复制、仿制或卡中数据被篡改，从而给一卡通系统特别是大型系统的使用带来极大的安全隐患，由此导致用户最终没有享受到Philips Mifare 1 IC卡的高安全性，反而用较高的IC成本换来了ID卡的低安全使用效果。
     目前，广州柏杰电子科技有限公司已形成完整解决方案对上述风险进行防范。过渡方案中的ITPAKO门禁系统采用机具加密及卡片加密双重加密方式对系统进行保护，每台设备终端上安装了嵌入式安全控制模块的实质为DIP或者SOP芯片 封装的CPU卡芯片，最早被用于IC卡金融系统支付中做为钱包使用，存储充值及消费金额，以及其他一 些重要的参数，同时具有身份识别功能，与外部卡片进行双向身份认证。而终极解决方案则是公司目前系统发展的主流，即对门禁系统的读头及卡片进行全面升级，从而从根本上减少被破解的可能！
产品特点：
•采用高端安全智能卡专用安全微处理器作为硬件平台；•内部芯片建立专门的操作系统COS；• 符合ISO7816、EMV、GSM、PBOC等国际标准和行业标准；•支持多层次化文件结构，可建立三级目录，适合一卡多用的要求，支持二进制、定长记录、变长记录、循环记录、钱包记录等多种文件类型；•支持对称算法DES/3DES ,AES，MAC, 高端芯片支持非对称RSA/ECC算法，兼容对称算法；•多种EEPROM容量可选16k、32k字节；
•可以根据用户特殊需求，删除、增加或修改某些特定功能并可定制新功能；
安全特性：
•芯片硬件安全性获得ITSEC EAL5 级认证；•芯片防篡改设计，唯一序列号，具有防止SEMA/DEMA 、 SPA/DPA、 DFA和时序攻击的措施；•多种安全检测传感器：高压和低压传感器、频率传感器、滤波器、光传感器、 脉冲传感器、温度传感器，具有传感器寿命测试功能；•总线加密，具有主动屏蔽层，探测到外部攻击后内部数据自毁；•真随机数发生器：利用芯片内部的电磁白噪声产生，不会重复；•硬件加密协处理器：内部硬件逻辑电路实现对称算法3DES，非对称算法RSA或ECC，加解密速度快。
系统使用支持CPU卡片，同时向下兼容MF1卡片，对MF1卡的标识不是使用其本身的ID号而是该系统发卡时用户自定义加密写入各扇区的加密数据， 终端设备在识别卡片的时候首先需对卡片的合法性通过硬件上嵌入式安全控制模块进行校验。
ITPAKO系统的设计具有高度的可靠性，产品成熟性能稳定，保证系统长时间无故障运行，即便遭遇事故造成中断后也能确保数据的准确性、完整性和一致性，并可迅速恢复正常。
   非接触式卡门禁产业机会
Mifare  one算法被破解给我们门禁产品乃至整个安防行业的安全性敲响了警钟。目前国内的政府机关、军队系统、军工系统、涉密单位、公安系统及国家重点部门等将原有ID卡或逻辑加密卡门禁系统更换成更为安全的CPU卡门禁产品已经迫在眉睫，这有助于不断提高我国IC卡信息安全工作水平，有效防止不法分子利用违法手段进行攻击和破坏，保证国家利益不受损失。
有效防范门禁产品安全问题的根本解决方案就是升级改造现有ID卡或逻辑加密卡门禁机具及卡片，并逐步将ID或逻辑加密卡门禁产品替换为更为安全可靠的CPU卡安全门禁产品。为了应对当前M1卡破解问题，基于自主国产知识产权的CPU卡、CPU卡读写设备、CPU卡COS系统及CPU卡密钥管理系统等。广州柏杰电子科技有限公司于2009年初适时推出非接触式CPU卡安全门禁系列产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。
柏杰电子非接触式卡门禁优势及特点
   其具体优势表现为 ：
1、 高安全性   柏杰电子科技有限公司的CPU卡安全门禁产品，充分应用了基于CPU卡的各项安全设计：
--- CPU卡片同MIFARE1卡相比， CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接口又能满足快速交易的要求。非接触式 CPU卡在现有的技术条件下是不可伪造的；认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。
----CPU卡门禁读卡器的安全性特质：柏杰公司的CPU卡安全门禁读卡器内置有PSAM卡插槽和SAM模块，用户可以通过发行PSAM卡或使用SAM认证模块来存储各类应用密钥，当通过门禁读卡器读取CPU卡的过程中，CPU卡具有三种认证方式，持卡者合法性认证——PIN校验，卡合法性认证——内部认证，系统合法性认证——外部认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认证，保证交易介质的合法性。
2、完善的密钥管理体系   通过柏杰公司的CPU卡安全门禁密钥管理系统，最终用户可以按CPU卡密钥管理流程生成和管理各类CPU卡应用密钥，并通过密钥管理系统生成的密钥完成对用户使用的CPU卡的初始化工作。
3、良好的兼容性   柏杰公司的CPU卡安全门禁系列产品，充分考虑到门禁读卡器与第三方门禁控制器厂家的技术兼容性，支持多种输出格式（包括Wiegand26Bit、Wiegand32Bit、Wiegand34Bit、Wiegand37Bit），支持更灵活的电压范围（9-12V），与国内外多家主流门禁控制器厂家成功对接。
4、灵活的对接方式    针对柏杰电子科技有限公司的的CPU卡发卡器，柏杰电子科技有限公司的提供读卡助手功能，第三方公司门禁管理软件可以在不进行任何修改的前提下，实现对CPU卡内信息的对接；同时柏杰电子科技有限公司的提完整的二次开发接口，可满足第三方公司门禁管理软件通过二次开发，借助柏杰电子科技有限公司的的CPU卡发卡器实现对卡片规定区域的写卡操作，实现与第三方公司门禁产品的灵活对接。
5、平滑升级，保护投资    系统提供多种运行方式，针对客户现有的系统提供接口，可以实现新建系统与原系统的无缝对接和平滑升级；客户可以根据自身已有或新建系统的实际情况，选择使用CPU卡安全门禁的对接方式，有效满足对系统建设高可用性和灵活性的要求。
6、实施简单、使用方便
系统的安装、调试简单，后期的运营维护也十分简单方便，系统提供可靠的性能和高度的安全性。
    柏杰电子非接触式卡门禁特点
柏杰电子非接触CPU卡门禁系统采用的是动态密码，拥有独立的CPU处理器和芯片操作系统，可以更灵活地支持各种不同的应用需求，更安全地设计交易流程，比如密钥管理、交易流程、SAM卡以及对卡片进行个性化等。