采用國密非接觸IC卡門(mén)禁系統的技術(shù)

門(mén)禁系統現狀及存在問(wèn)題

門(mén)禁系統采用的門(mén)禁卡分為兩類(lèi)：125KHZ的低頻只讀卡、13.56MHZ的高頻讀寫(xiě)卡。
125KHZ的低頻只讀卡，與普通磁卡類(lèi)似，明碼格式，無(wú)需要破解，用通用編程器可仿制卡號。早期技術(shù)，安全性差。屬于淘汰技術(shù)，通常用于安全性要求不高的小區，不適用于涉密單位、高保安場(chǎng)所。

常用的13.56MHZ的高頻讀寫(xiě)卡，可以理解為帶口令的U盤(pán)，由口令來(lái)保護卡類(lèi)數據，安全級別中等，通常用來(lái)做為小額電子錢(qián)包、身份識別卡。此次被破解的Mifare 1卡屬于此類(lèi)的一種，并且破解方式已公開(kāi)，因此采用Mifare 1門(mén)禁系統存在安全隱患！

此次解密風(fēng)波引起了業(yè)界的思考，新建的門(mén)禁系統如何提高安全性呢？已建的采用Mifare 1卡門(mén)禁系統有什么升級方案嗎？

非接觸IC卡的種類(lèi)及相關(guān)標準

在討論如何消除目前的隱患前，我們先總結一下非接觸IC卡的技術(shù)總體現狀。非接觸IC卡已徹底取代磁卡，成為自動(dòng)識別卡片的主流。非接觸IC卡按照頻率，可以劃分為四類(lèi)。如表所示。

125KHZ的低頻只讀卡，出現在1979年，這些低頻卡的ID號存儲介質(zhì)是EEPROM，具有電擦寫(xiě)功能，可反復多次寫(xiě)入，因此ID號極易偽造，且無(wú)相關(guān)的國際標準。

超高頻915MHZ、微波卡2.5GHZ是近幾年的新產(chǎn)品，讀卡最大距離達10m。相關(guān)ISO/IEC 18000國際標準沒(méi)有最終完成。

13.56MHZ高頻讀寫(xiě)卡，比125KHZ的低頻卡傳輸速率快100倍，是應用最廣泛的，誕生于1993年，此后不斷發(fā)展，產(chǎn)品線(xiàn)不斷豐富。根據讀卡距離不同，分為兩個(gè)標準，ISO/IEC 14443標準、ISO/IEC 15693。ISO/IEC 14443最大距離為10cm，ISO/IEC 15693標準非接觸IC卡最大距離為100cm。

ISO/IEC 14443由于問(wèn)世較早，且由于城市公交的大規模采用，芯片、讀卡機具發(fā)展成熟，從而同時(shí)成為門(mén)禁卡的選型主流。符合ISO/IEC 14443的Mifare 1卡由于采用偽隨機數來(lái)用于三重認證、48位密鑰長(cháng)度也過(guò)短，導致該卡加密算法被破解。因此新的非接觸IC卡需要在隨機數產(chǎn)生機理、密鑰長(cháng)度、加密算法上加以提升。而13.56MHZ通訊頻率、以及ISO/IEC 14443的通訊協(xié)議將繼續被采用。

支持國家密碼局密碼算法的非接觸式芯片

Mifare 1卡風(fēng)靡全球、各行各業(yè)爭相采用的普及程度是該芯片廠(chǎng)家始料未及的。盡管芯片廠(chǎng)家推出了有關(guān)升級芯片，但由于價(jià)格、技術(shù)普及等因素沒(méi)有被大部分市場(chǎng)接受。為了保證我國智能卡市場(chǎng)健康有序的發(fā)展，在國家密碼管理局的支持和組織下，早在2007年，我國就開(kāi)展了我國自主產(chǎn)權的、專(zhuān)門(mén)應用于RFID市場(chǎng)的密碼算法研制工作，取得成功。該密碼算法也得到我國眾多集成電路芯片廠(chǎng)商的極力推崇和遵循，成功推出了相關(guān)產(chǎn)品。以華虹集成電路公司產(chǎn)品為例，該公司SHC1112芯片通過(guò)了國家密碼管理局的產(chǎn)品認證。

SHC1112卡芯片集成了國家密碼管理局提供的128位密鑰SM7密碼算法，采用該算法來(lái)保護數據交換的安全。其三重認證示意圖如下：

Ek（）表示對括號內的內容進(jìn)行加密運算，加密采用SM7密碼算法。
認證通過(guò)后，所有交易通信數據由SM7密碼算法加密后傳遞。

主要技術(shù)指標

采用ISO/IEC14443 TypeA非接觸通訊方式，支持抗沖突協(xié)議
數據通訊速率106Kbps
4字節唯一序列號UID
支持SM7密碼算法
支持ISO/IEC DIS9798-2三次傳送鑒別相互認證體制
EEPROM存貯容量1K字節，劃分為64塊，每塊16字節
每個(gè)數據塊可單獨設定訪(fǎng)問(wèn)權限，訪(fǎng)問(wèn)權限可由用戶(hù)定義
EEPROM數據保存時(shí)間：大于10年
EEPROM數據擦寫(xiě)次數：大于10萬(wàn)次
天線(xiàn)輸入引腳ESD：4000V（HBM）

相對于傳統的門(mén)禁系統設計，該設計主要做了兩點(diǎn)創(chuàng )新：

1：發(fā)卡密鑰系統
國密卡發(fā)卡流程大體可分為三個(gè)步驟： (1)卡結構建立； (2)密鑰寫(xiě)入； (3)個(gè)人化處理 。

(1)卡結構建立
應對卡片結構進(jìn)行統一規劃，包括主文件、密鑰文件、公共信息基本信息文件、個(gè)人基本信息文件、應用文件、記錄文件、目錄文件等。

(2)密鑰寫(xiě)入
包括發(fā)卡單位主密鑰、專(zhuān)項應用子密鑰、管理性密鑰等。密鑰發(fā)卡中心集中寫(xiě)入后的初始化卡分發(fā)給各發(fā)卡單位。

(3)個(gè)人化處理
發(fā)卡單位根據自己的發(fā)卡單位主密鑰，進(jìn)行本單位個(gè)人基本信息文件、應用文件裝入，并且表面打印照片、姓名等，這樣完成個(gè)人化處理的卡片，就可發(fā)給持卡人。

2：讀卡器新增SAM卡
根據發(fā)卡密鑰系統制作相應的SAM卡，由SAM卡完成讀卡器與卡片的信息交換。
對于新建門(mén)禁系統可以直接采用該方案。對已建的門(mén)禁系統則需要更換舊讀卡器、舊卡片，門(mén)禁軟件需要增加與新的發(fā)卡密鑰系統的接口。門(mén)禁控制器原則上可以保留。

以上采用國密算法的非接觸IC卡門(mén)禁系統已成功使用與有關(guān)部委的新建與改造門(mén)禁一卡通系統。