浅谈高安全等级RFID门禁系统设计解决方案
加入技术交流群
3.1. 安全模块
门禁读卡器采用北京中电华大电子设计有限责任公司生产并通过国家密码管理局安全审查,具有SM7/SM1密码算法和真随机数发生器的电子标签读写安全模块(已经具备批量供货条件),负责存放系统根密钥、读卡器中的安全密码运算并鉴别门禁卡的合法性。
3.2. 与后台管理系统的通信
门禁读写器与后台管理系统的通信采用的是当前使用最多的RS485传输协议(传输不设字节数量限制)。本系统采用的协议为双向通讯协议,可以由门禁读写器向后台管理系统发送数据,反之后台管理也可向门禁读卡器发送数据,同时对SM7电子标签、卡片、数据进行加密(如DES算法),用于传输门禁卡的唯一标识。如此后台管理系统、门禁读卡器、SM7卡片三者之间缺一不可,三者结合使用更加安全可靠。
3.3 门禁卡
门禁卡片采用通过国家密码管理局安全审查,具有SM7分组密码算法的CIR72128BA标签芯片(已经具备批量供货条件),并在卡内存放发行信息及卡片密钥,用于门禁读卡器或后台管理系统对门禁卡进行身份鉴别。
CIR72128BA芯片概述
CIR72128BA是符合ISO/IEC 14443-2/-3 TypeA规范的单界面非接触逻辑加密卡芯片,芯片集成了128字节EEPROM,带国产SM7加密算法硬件协处理器,具备低成本、高安全特点,可以应用于公共交通网络的单程客票、各种大型会议或体育赛事门票,代替当前普遍应用的纸质票证。
CIR72128BA的标准特性
遵循ISO/IEC 14443-2和14443-3、TYPEA非接触式逻辑加密存储卡
载波频率13.56MHZ,副载波频率847KHZ,数据通讯速率106Kbps
支持短帧、标准帧和防冲突帧
支持二级防冲突
工作场强范围1.5A/Am-7.5A/Am
最大为128字节EEPROM,分为UID区、OTP区、用户数据和密钥区
EEPROM按Block编程,每个Block大小为4字节,编程时间5ms
EEPROM数据保持时间大于10年,擦写次数大于10万次
CIR72128BA的安全特性:
国产加密算法SM7
随机数发生器
两个128位密钥,分别作为读密钥和写密钥进行认证
符合国密《SM7密码产品技术要求》的双向认证流程
符合国密《SM7密码产品技术要求》的通讯加密流程
7字节UID
4.SM7算法介绍
(1)SM7算法适用:
SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。
(2)SM7与M1的对比
对比内容SM7算法M1算法
密钥类型对称密钥对称密钥
应用类型流加密、分组加密流加密
密钥长度128BIT48BIT
算法结构分组置换线性移位
适用产品逻辑加密逻辑加密
(3)安全需求和对应算法:
安全需求安全手段国外算法国密算法
身份鉴别安全论证M1/DES/AESSM7/SM1
数据保密通讯加密M1/DES/AESSM7/SM1
防止伪造加密验证 数字签名DES/AES RSA/ECC/SHASM1/SM2/SM3
防止篡改
防止抵赖数字签名RSA/ECC/SHASM1/SM2/SM3
后记
在Mifare one算法出现了安全性问题后,国家相关管理部门也加强了对政府和企业的重要门禁系统的管理,要求重要门禁系统的加密算法使用国产的算法,门禁产品纳入国家商用密码管理体系管理。对于门禁系统生产厂家又是一种新的生产和技术管理体系标准,需要企业在加强产品研发、生产安全管理的基础上,研发全新的门禁系统产品系列。同时也给部分生产企业带来了提升自身产品竞争力的机遇。本文引用地址:https://www.eepw.com.cn/article/154850.htm
评论