關(guān)于門(mén)禁控制器安全漏洞的探討

　　一、引言

　　門(mén)禁系統是安防系統中最重要的子系統之一，而門(mén)禁控制器又是門(mén)禁系統的核心。許多生產(chǎn)安防設備的大廠(chǎng)都有自己品牌的門(mén)禁控制器，而且其中不乏國外的產(chǎn)品。這些產(chǎn)品除了擁有我們所需要的穩定性、可靠性之外，會(huì )不會(huì )也附帶一些安全上的隱患呢？這點(diǎn)需要我們給予充分的關(guān)注。

　　二、門(mén)禁控制系統概況

　　門(mén)禁控制器按照結構區分，基本分成兩大類(lèi)。一類(lèi)是門(mén)禁控制一體機，另一類(lèi)是獨立的門(mén)禁控制器。門(mén)禁控制一體機是一種安全性相對比較低的結構類(lèi)型，因為這類(lèi)門(mén)禁控制器將門(mén)禁系統的身份識別部分和處理控制部分集成在一個(gè)設備里。這樣在安裝設備時(shí)，必然將整機安裝在門(mén)外，無(wú)形中增加了設備被破壞的可能。而單獨的門(mén)禁控制器是通過(guò)信號線(xiàn)與身份識別部分進(jìn)行連接，通過(guò)信號線(xiàn)傳遞識別信息，完成開(kāi)門(mén)操作。這樣在安裝設備時(shí)，可將控制器安裝在門(mén)內，增加了設備的安全性。在這里我們主要討論獨立的門(mén)禁控制器的安全問(wèn)題。

　　獨立的門(mén)禁控制器與前端識別設備之間需要進(jìn)行通訊，現在使用的通訊方式基本上為兩種，一種是使用RS485總線(xiàn)進(jìn)行通訊，另一種使用韋根線(xiàn)進(jìn)行通訊。

　　RS485通訊使用雙絞線(xiàn)進(jìn)行半雙工通訊，采用平衡發(fā)送和差分接收，因此具有抑制共模干擾的能力，傳輸距離可以達到數公里，可實(shí)現高速的信息傳送。RS485通訊采用總線(xiàn)式的連接方式，可保證多臺設備正常工作，而且它是串行通訊，所以每臺拄接在總線(xiàn)上的設備有自己的ID地址，進(jìn)行數據通訊時(shí)，系統保證總線(xiàn)上只有一臺設備發(fā)送數據，其它設備處于接收數據狀態(tài)；設備之間采用自定義的協(xié)議傳輸數據。

　　采用RS485方式進(jìn)行通訊的門(mén)禁控制器可掛接多個(gè)讀卡器，傳輸數據的過(guò)程如圖1。每一個(gè)讀卡器和門(mén)禁控制器都有自己的ID地址，RS485網(wǎng)絡(luò )上傳遞的數據都包含地址信息，在網(wǎng)絡(luò )上只有一個(gè)設備發(fā)送數據，其它設備都會(huì )接收數據，對于目的是自己的數據，設備會(huì )進(jìn)行相應的處理，而不是以自己為目的的命令將被拋棄。在這樣的門(mén)禁系統中，門(mén)禁控制器通過(guò)輪巡的方式，完成一個(gè)門(mén)禁控制器管理多個(gè)讀卡器的功能。

　　圖1數據傳輸過(guò)程

　　韋根通訊是一種經(jīng)常在安防系統中使用、通過(guò)兩芯線(xiàn)進(jìn)行點(diǎn)對點(diǎn)近距離通訊的通用通訊協(xié)議，最常用的格式有Weigand26，它通過(guò)DATA 0和DATA 1兩條數據線(xiàn)分別傳送數據“0”和“1” ，每幀傳輸的數據為26Bit。它利用在兩條通訊數據線(xiàn)上分別產(chǎn)生的脈沖生成數據序列，通訊距離大約10米左右。

　　三、安全問(wèn)題提出

　　比較兩種常用的通訊模式。RS485總線(xiàn)通訊采用廠(chǎng)家自己定義的協(xié)議，而韋根采用通用協(xié)議。自定義協(xié)議會(huì )有更多的設計空間，這里我們主要針對這種通訊模式進(jìn)行研究和探討。由于在門(mén)禁系統中，門(mén)禁控制器多數是通過(guò)RS485總線(xiàn)連接感應讀卡器、鍵盤(pán)、磁卡讀卡器、指紋讀卡器等前端設備，而使用RS485串行總線(xiàn)進(jìn)行通訊的設備需要依照自定義的通訊協(xié)議進(jìn)行數據交換，因此。生產(chǎn)門(mén)禁控制器的生產(chǎn)廠(chǎng)家都會(huì )生產(chǎn)與之配套的前端設備。這樣就會(huì )出現在門(mén)禁系統中門(mén)禁控制器、前端設備以及它們之間的通訊協(xié)議是由一個(gè)生產(chǎn)廠(chǎng)家設計生產(chǎn)的情況。在這種情況下，就不能夠排除門(mén)禁控制器“后門(mén)卡”存在的可能性。這里所說(shuō)的“后門(mén)卡”是指門(mén)禁控制器生產(chǎn)廠(chǎng)為了某些目的，在門(mén)禁控制器上預留后門(mén)，當使用某些特定的卡片或是結合某些特定的操作之后，使用這些未被注冊的卡片就可以啟動(dòng)門(mén)禁控制器打開(kāi)門(mén)鎖。如果門(mén)禁系統遭到“后門(mén)卡”的攻擊，我們的門(mén)禁系統就會(huì )在瞬間被輕易攻破，同時(shí)也意味著(zhù)為加固周界所做的努力瞬間便付之東流。雖然這只是一種推測。但從技術(shù)層面來(lái)講，實(shí)現這種“后門(mén)卡”功能完全是可能的。這也正是我們的用戶(hù)，特別是對安全有著(zhù)特殊要求的用戶(hù)，所擔心的一個(gè)問(wèn)題。

　　四、解決方案

　　1．門(mén)禁控制器工作原理

　　為了阻斷“后門(mén)卡” 的通路。我們必須首先熟悉門(mén)禁系統各個(gè)設備的工作原理，了解各個(gè)設備是如何協(xié)調工作的，掌握其運行的機制，這樣就可以找到解決問(wèn)題的辦法。為了說(shuō)明問(wèn)題，我們可以構建一個(gè)簡(jiǎn)化的門(mén)禁系統模型。在這個(gè)模型中，使用一個(gè)門(mén)禁控制器控制管理一個(gè)感應讀卡器，設備之間通過(guò)RS485進(jìn)行數據通訊。系統的工作流程如圖

　　圖2 門(mén)禁系統工作流程

　　門(mén)禁控制器工作在兩種模式之下。一種是巡檢模式，另一種是識別模式。在巡檢模式下，控制器不斷向讀卡器發(fā)送查詢(xún)代碼，并接收讀卡器的回復命令。這種模式會(huì )一直保持下去，直至讀卡器感應到卡片。當讀卡器感應到卡片后，讀卡器對控制器的巡檢命令產(chǎn)生不同的回復，在這個(gè)回復命令中，讀卡器將讀到的感應卡內碼數據傳送到門(mén)禁控制器，使門(mén)禁控制器進(jìn)入到識別模式。

　　在門(mén)禁控制器的識別模式下，門(mén)禁控制器分析感應卡內碼，同設備內存儲的卡片數據進(jìn)行比對，并實(shí)施后續動(dòng)作。門(mén)禁控制器完成接收數據的動(dòng)作后，會(huì )發(fā)送命令回復讀卡器，使讀卡器恢復狀態(tài)，同時(shí)，門(mén)禁控制器重新回到巡檢模式。
2．數據篩選器的工作原理

　　通過(guò)上面門(mén)禁控制器和讀卡器的工作流程，可以看出要實(shí)現開(kāi)門(mén)，需要經(jīng)過(guò)以下幾個(gè)步驟：

　　1)感應讀卡器讀取感應卡信息，獲取感應卡內碼；

　　2)感應讀卡器將感應卡信息傳遞到門(mén)禁控制器；

　　3)門(mén)禁控制器對讀取的感應卡數據和系統內部存儲信息進(jìn)行比對；

　　4)門(mén)禁控制器根據判斷結果，控制電路實(shí)現開(kāi)門(mén)。

　　其中步驟1在讀卡器內部完成，步驟3、4在門(mén)禁控制器中完成，它們已經(jīng)固化到設備 當中，無(wú)法改變。而第2步是通過(guò)連接兩個(gè)設備的RS485通訊線(xiàn)完成的，這為我們從根本上阻止“后門(mén)卡”創(chuàng )造了條件。

　　我們設計一個(gè)稱(chēng)為數據篩選器的設備，該設備串行安裝在數據通訊的通道上，對所有刷卡的內碼先行經(jīng)過(guò)該設備的比對，對認可的數據，將卡片內碼數據發(fā)送到門(mén)禁控制器進(jìn)行后續操作；對不被認可的數據，直接將數據丟棄；這就使得那些“后門(mén)卡” 的數據根本無(wú)法發(fā)送到門(mén)禁控制器，從而從根本上截斷了“后門(mén)卡”信息的通路。以下就是數據篩選器的工作框圖。

　　圖3數據篩選器的工作框圖

　　數據篩選器如同門(mén)禁控制器一樣，一般工作在巡檢模式下，它不斷向感應讀卡器發(fā)送巡檢數據，并且等待獲取感應卡內碼數據。在這個(gè)過(guò)程中，感應讀卡器已經(jīng)完全和門(mén)禁控制器分離，門(mén)禁控制器對它的巡檢命令完全由數據篩選器完成。只有當數據篩選器獲取到卡信息并通過(guò)自身驗證之后，才將數據送到門(mén)禁控制器。建立起感應讀卡器和門(mén)禁控制器的聯(lián)系。數據篩選器進(jìn)行自身驗證的數據源是經(jīng)可靠途徑獲取的卡片內碼數據。“后門(mén)卡”的內碼不可能被傳遞到數據篩選器中，從而阻止了“后門(mén)卡”的攻擊。

　　3．數據篩選器的硬件實(shí)現

　　根據以上思路，可使用單片機實(shí)現硬件電路設計，硬件框圖如圖4所示。單片機的～個(gè)串口，同門(mén)禁控制器以及讀卡器進(jìn)行通訊，這個(gè)串口通過(guò)切換電路來(lái)保證在一個(gè)時(shí)間點(diǎn)上只能和兩種設備之一進(jìn)行通訊，所有傳送到門(mén)禁控制器的命令全部是經(jīng)過(guò)單片機程序確認的合法命令，這樣就可實(shí)現數據的篩選和隔離。同時(shí)，單片機還要通過(guò)另一個(gè)串口，監聽(tīng)門(mén)禁控制器與控制計算機之間的通訊，通過(guò)解析通訊內容，來(lái)獲取合法的感應卡內碼數據，并將數據存儲在一個(gè)大容量E PROM中，作為數據比對的依據。

　　4．數據篩選器軟件流程

　　串口是聯(lián)系門(mén)禁控制器和感應讀卡器的通訊端口。在巡檢模式下，數據篩選器通過(guò)串口，模擬門(mén)禁控制器。向感應讀卡器發(fā)送查詢(xún)命令；感應讀卡器沒(méi)有被刷卡，發(fā)送沒(méi)有感應卡的回復命令；數據篩選器進(jìn)行下一輪查詢(xún)。

　　當感應讀卡器有刷卡后，卡片數據會(huì )傳送到數據篩選器。數據篩選器進(jìn)入到識別模式，將卡片數據與本地存儲的標準數據進(jìn)行比對，如果數據不存在。則將數據丟棄，并回復感應讀卡器數據已經(jīng)接收。數據篩選器返回到巡檢模式并開(kāi)始下一輪查詢(xún)。

　　如果數據在存儲器中被找到，說(shuō)明這張卡是一張合法卡，則應該將數據發(fā)送到門(mén)禁控制器。此時(shí)，設備首先進(jìn)行串口的切換，使單片機和門(mén)禁控制器進(jìn)行通訊。將從感應讀卡器接收的數據原樣發(fā)送到門(mén)禁控制器。并等待接收門(mén)禁控制器的回復；收到回復后。再次將串口切換回同感應讀卡器進(jìn)行通訊，轉發(fā)門(mén)禁控制器的回復命令；完成數據的傳送之后，數據篩選器回到巡檢狀態(tài)，進(jìn)行下一輪查詢(xún)。具體的比對流程如圖5所示。

　　數據篩選器通過(guò)實(shí)時(shí)監聽(tīng)門(mén)禁控制器與控制計算機之間的通訊，從中獲取合法的感應卡內碼數據，并存儲在數據篩選器的E PROM中，作為將來(lái)進(jìn)行數據比對的依據。其工作流程如下：數據篩選器監聽(tīng)計算機發(fā)送給門(mén)禁控制器的所有命令，通過(guò)解析，獲取所有對卡片進(jìn)行增、刪、改的內部操作命令，根據命令，相應地將E2pROM中存儲的感應卡內碼數據進(jìn)行增、刪、改，保證數據篩選器內存儲的數據與門(mén)禁控制器的合法數據保持一致。具體操作流程如圖6所示：

　　在現實(shí)中，由于門(mén)禁控制器、前端設備以及它們之間的通訊協(xié)議均由同一生產(chǎn)廠(chǎng)商生產(chǎn)，因此可能存在“后門(mén)卡” 的安全隱患。對于特殊部門(mén)、要害部門(mén)來(lái)說(shuō)，他們對安全有著(zhù)特殊的要求，在使用門(mén)禁系統保護安全的同時(shí)，也關(guān)心設備自身的安全性、可靠性。筆者在文中提出的數據篩選器構想可以有效的防止“后門(mén)卡”對門(mén)禁系統的攻擊，保障門(mén)禁系統自身的安全。