来源:中国一卡通网 作者:不详 发布时间:2013-04-18 10:42:26 字体:[大 中 小]
摘 要:门禁系统最重要的是防范加密卡破解,识别和控制相对是比较容易做到的,因此对于卡的性能是十分关键的。采用何种卡,就要相应的采用不同的硬件标准来匹配,同时各个公司在采用的卡里面设计自己的加密算法,也是该公司技术的核心,如何具备一套既可靠又稳妥的软硬件技术是门禁厂家的技术重点。
由于2009年关于门禁系统IC卡加密破解的难题被攻破,国家信息产业部发布相关信息,对于日后门禁系统及一卡通系统在关键部门和机关禁止使用IC卡作为识别卡、计费卡。从此,众多门禁厂家纷纷改变原有的设计,主要是采用了CPU卡读卡器和相应的CPU 卡,并重新做了加密解密的算法。一些厂家考虑了IC卡和CPU卡的兼容性难题,也在设计相应的软件来实现兼容,但读卡器硬件兼容的难题,目前仍在研发中,而兼容的软件则相对容易实现。
门禁系统最重要的是防范加密卡破解,识别和控制相对是比较容易做到的,因此对于卡的性能是十分关键的。采用何种卡,就要相应的采用不同的硬件标准来匹配,同时各个公司在采用的卡里面设计自己的加密算法,也是该公司技术的核心,如何具备一套既可靠又稳妥的软硬件技术是门禁厂家的技术重点。
我国门禁行业主要的安全隐患
Mifare1卡芯片遭遇破解虽已过去,但全球门禁行业依然面临着挑战。不仅如此,国内的门禁行业还面临着非法复制现象的冲击。
门禁产业在中国走过了近十五年的发展历程,从最初的"山寨"到自主知识产权,经过从磁卡、条码卡、 ID卡、IC卡等各类载体的门禁系统,但其中的致命安全缺陷却由于前者的ID号非加密认证模式一直延续到逻辑加密卡上,"缺陷基因"一直误导着中国整个门禁市场;终端用户也缺乏针对卡安全的意识。此类主要只读取ID卡号的ID/IC卡门禁产品,包括国内外进口牌已普遍占领国内重要项目90%的市场,集中在中低端市场的国产产品,也有近80%的门禁认证模式采用的是ID号只读方式,这才是埋藏在门禁卡应用中的最大隐患。从google搜索"门禁卡复制器"就可获得约110万条的结果,网上大量复制广告实际目前只是针对采用只读型ID号的非接触式智能卡进行复制;大量的非法复制行为已从国外传入"缺陷基因"推向了社会层面,对社会的安定与稳定必然造成威助。
目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号来制作门禁卡,没有进行加密认证或开发专用的密钥,非法破解的人士只需采用专业的技术手段就可以完成破解过程。由于早期门禁产品的设计理论是从国外引进的,国内大部分厂家长期以来沿用国外做法,采用ID和IC卡的只读特性进行身份识别使用,很少关注卡片与门禁机具间的加密认证,缺少安全密钥体系的设计,而逻辑加密卡是很容易复制的载体,导致此类门禁很容易在极短时间内被破解和复制。
还有观点认为,对门禁而言,最大的安全威胁也就是作为门禁识别载体的安全性。门禁应用有不同的安全级别,近年来,国内从高级别到普通应用的低级别门禁都遭到了安全问题的冲击。前者,内蒙古监狱逃跑事件已经证明,光学指纹识别仪已经不能满足高安全门禁的要求;后者就是Mifare1卡芯片被破解事件,导致卡复制比传统配钥匙还要简单。
标准的不完善和不统一 也困扰着门禁安全问题
2009年Mifare1卡芯片被破解事件后,门禁安全问题才引起行业的关注。2009年针对门禁的发展方向,引来行业普遍"争议"的各类加密标准、技术标准相继出台,到目前国家发布统一"国家标准"。2010年上半年电信、移动、联通借"两会"期间的手机一卡通相继高调出击发布自己的"企业标准";城乡建筑及居住区数字化标准化技术委员会在2010年6月召开了门禁联系会议,讨论了2009年11月由多家企业起草的"国密"标准。但此时,门禁行业市场继续各自推广自己的"企业标准",即便"国密"标准的出台也缺少大部分主流门禁企业的支持,政府也缺少同步推出相应的政策去要求所有门禁产品必须符合"国密"标准。
目前门禁系统没有统一标准,读卡器与卡片用的最广泛的是EM和MIFARE1技术。读卡器与门禁控制器之间有韦根、485、ABA、232等通讯格式,用的最广泛的是韦根26。
门禁加密技术发展的趋势及解决方法
门禁加密技术应用国产算法将是今后发展的主要趋势。门禁安全需要从应用安全、设备安全、算法安全等三个方面解决。应用安全主要是指密钥管理系统的设计,密钥系统是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新,它直接关系到整个系统的安全。客户通过此软件自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户拥有密钥管理和发卡的主动权。设备安全主要是指门禁读卡器,要求门禁读卡器内置有PSAM卡插槽和SAM模块,通过发行PSAM卡或使用SAM认证模块来存储各类密钥,通过内/外部认证方式,对交易的卡片、终端设备进行相互认证,保证交易介质的合法性,可大大地提高门禁系统的安全级别。算法安全采用国家密码管理局分配的国产算法,并通过国家密码管理局的审批。
业内还有观点认为,门禁加密技术很可能会走可定制算法、双向的解密技术。就目前的市场而言,门禁作为RFID的一个具体应用,在应用的安全方面将更多地结合其他安防措施来解决应用安全问题。譬如,结合视频监控的图像对比、结合生物识别的多重识别模式、动态密码保护等等,将是门禁在高安全领域应用的重要保障。
门禁安全危机给我们的启示
目前国内外门禁系统的差距已经越来越小,国外大厂产品的优势在于品牌、知名度等方面,国内厂家的优势在于功能定制修改灵活以及价格方面。国内厂家要想在竞争中脱颖而出就不能光靠价格战,而是必须增加软硬研发投入,快速根据不同用户的个性化功能,随时做修改以满足用户需求;而国外大品牌门禁几乎不做功能修改,即使修改,周期也很长,而且收费昂贵。
国内门禁企业可以利用解决M1卡安全漏洞问题的契机,充分发挥科技支撑的先导性和方向性作用,加强信息安全支撑技术体系和集成应用技术体系建设,开展集成创新,增强信息安全基础保障能力,通过关键技术研发与应用,带动具有自主知识产权、安全可控的国产产品的使用。
同时,我们还必须承认,目前的电子门禁国内产品在高端应用领域的确和国外巨头还有很大的差距。但中国有中国的特色,一卡通应用方面我们就占据了国际领先地位。中国是个同化能力很强的市场,门禁企业要根据自己的市场去定位产品,立足国内的,就坚定不移地走一卡通的路;放眼世界的,就要向国外巨头的门禁看齐。
推荐文章
论坛热帖