物理門(mén)禁控制系統實(shí)現原理

　　目前，全球范圍內已經(jīng)有眾多公司可以大規模生產(chǎn)電子鎖，無(wú)論是接觸式還是非接觸式。其主要元件是內置固件(例如軟件程序)和存儲器的微控制器，存儲器用于存儲可以被鎖具接受的密鑰(例如序列號或文本串)?；谠O計，門(mén)鎖應具備配合質(zhì)詢(xún)、響應鑰匙工作的所有資源。所有鎖具均需要固件更新。

　　DS1961S質(zhì)詢(xún)-響應iButton內置SHA-1引擎，于2002年推向市場(chǎng)。而非接觸式器件MAX66140 ISO 15693兼容安全存儲器扣則于2010年面世。雖然通信接口和外形尺寸大有區別，但兩個(gè)器件具有許多共同點(diǎn)，如表1所示。二者均支持SHA-1認證，具有64位密鑰和1024位用戶(hù)可編程EEPROM?？梢匝b載密鑰并進(jìn)行計算(這一步不需要認證)、寫(xiě)保護。對存儲器的寫(xiě)操作需要認證，即只有在確認器件密鑰正確的前提下才能進(jìn)行寫(xiě)操作。作為新產(chǎn)品，MAX66140采用5字節質(zhì)詢(xún)，與DS1961S所采用的3字節質(zhì)詢(xún)不同。MAX66140還提供存儲器寫(xiě)次數計數器，使篡改檢測更容易實(shí)現，并且可以使器件應用從門(mén)禁控制擴展到閉環(huán)電子支付系統。

　　表1. DS1961S與MAX66140對比*MAX66040計劃提供具有ISO/IEC 14443 B型接口同等密鑰的產(chǎn)品。

　　高度安全的質(zhì)詢(xún)-響應認證

　　建立并保持一個(gè)質(zhì)詢(xún)-響應認證系統需要鑰匙編程器(即一套電子裝置)，根據系統要求，可能還需要一個(gè)鑰匙主機。鑰匙編程器必須清楚供應商規定的數據轉換和加密算法，以產(chǎn)生所需要的密鑰。如果系統支持這一功能，可以按照門(mén)鎖存儲的列表，利用鑰匙主機更新已知鑰匙的ID號。對于任何安全系統，都要嚴格控制這些物理層工具，以防非法使用。

　　創(chuàng )建新鑰匙或復制鑰匙

　　經(jīng)過(guò)授權的管理人員可以使用鑰匙編程器在一把空鑰匙內安裝一個(gè)有效的密鑰，并在存儲器寫(xiě)入有效數據(復制鑰匙時(shí)，數據從另一把鑰匙直接拷貝)。由此，即可獲得一把新鑰匙。根據具體門(mén)鎖的固件，可能需要使用鑰匙主機在鎖內已知的密鑰列表中加入新的鑰匙ID。黑客可以在一把空鑰內加入任何密鑰，然后在開(kāi)放可讀存儲器中存入有效數據。然而，這樣得到的鑰匙幾乎不可能通過(guò)質(zhì)詢(xún)、響應認證，因為它的密鑰是無(wú)效的。

　　更改鑰匙的接入權限

　　利用鑰匙編程器，經(jīng)過(guò)授權的管理員可以更新存儲器數據，以更改鑰匙權限。如果不知道密鑰或沒(méi)有接入適當設備，黑客就無(wú)法得到MAC寫(xiě)入權限，因而也就不能對鑰匙存儲器進(jìn)行寫(xiě)操作。

　　報廢一把鑰匙

　　利用鑰匙編程器，管理員可以更改鑰匙存儲器的內容，將其設置在“出廠(chǎng)默認設置”或其它任何無(wú)效狀態(tài)，但密鑰將保留不變。如果鎖內保留了已知密鑰列表，建議將無(wú)效密鑰的ID從鎖內刪除?？梢栽谝院笫褂脮r(shí)重新恢復鑰匙密鑰。黑客的做法是通過(guò)強制措施建立密鑰。

　　防克隆保護

　　可以考慮這樣一種情況，黑客借助竊聽(tīng)或記錄裝置獲得有效的密鑰，然后將其重復發(fā)送到門(mén)鎖，并對記錄數據進(jìn)行分析，獲得門(mén)鎖發(fā)出的質(zhì)詢(xún)以及鑰匙生成MAC。如果固件設計合理，質(zhì)詢(xún)應該是隨機數，使得黑客不可能得到所有質(zhì)詢(xún)響應的組合，最終放棄這一盜竊渠道。

　　如果固件設計不合理，采用固定質(zhì)詢(xún)，或者從一個(gè)很小的模板中隨機產(chǎn)生質(zhì)詢(xún)，這會(huì )給黑客可乘之機。黑客可以利用有效的鑰匙ID、存儲器數據以及門(mén)鎖發(fā)送的質(zhì)詢(xún)和讀取的相應認證MAC，配置鑰匙仿真器。如果黑客保存了已知密鑰列表，最簡(jiǎn)單的對策就是刪除門(mén)鎖中的列表。對于沒(méi)有使用這樣列表的系統也不是沒(méi)有防備。為了偵測鑰匙仿真器，可以讓門(mén)鎖在鑰匙內部沒(méi)使用的存儲單元寫(xiě)入一個(gè)隨機數。仿真器也將接受這些寫(xiě)操作，因為它不能識別哪些MAC寫(xiě)操作有效。隨后，門(mén)鎖將剛寫(xiě)入的數據和讀取頁(yè)的驗證MAC一起讀回。由于不能進(jìn)行此項操作，仿真器無(wú)法產(chǎn)生有效MAC，因而操作失效。

　　密鑰泄露保護

　　可以裝載或計算作為質(zhì)詢(xún)、響應認證密鑰的64位數據，最糟糕的設計是把同一密鑰寫(xiě)入系統的所有鑰匙。一旦密鑰泄露或通過(guò)反復試驗被發(fā)現，系統的安全防線(xiàn)將被摧毀。因此，進(jìn)行質(zhì)詢(xún)、響應認證的鑰匙可以根據初始(當前或裝載的)密鑰、部分密鑰、存儲器頁(yè)數據以及器件指定常數，計算新的密鑰。采用這種方式，密鑰不會(huì )暴露在外部。將鑰匙的64位ID作為部分密鑰，可以產(chǎn)生器件的專(zhuān)用密鑰。如果該鑰匙的密鑰泄露，只需要修復這把鑰匙，而不需要更新整個(gè)系統。

　　結論

　　在一些安裝了電子鎖或電子門(mén)禁的場(chǎng)所，通過(guò)質(zhì)詢(xún)-響應認證系統可以明顯改善系統的安全性。質(zhì)詢(xún)-響應鑰匙可以采用接觸式接口或無(wú)線(xiàn)接口。受保護的質(zhì)詢(xún)-響應鑰匙中的數據可以防止非法修改。存儲器的寫(xiě)次數計數器監測篡改操作?？寺〉馁|(zhì)詢(xún)-響應鑰匙無(wú)法通過(guò)認證測試，即使公開(kāi)可讀存儲器的數據是有效的。對質(zhì)詢(xún)-響應鑰匙進(jìn)行升級非常簡(jiǎn)單，只需在鎖內或讀取裝置內設置新的密鑰或安裝新的固件。