同方基于非接触CPU卡技术的企业一卡通系统

2010-07-26 16:10:00 来源:安防知识网 作者:同方锐安科技有限公司 丁兆海 有...人评论

[摘要] 自从2009年2月Mifare 1卡算法破解事件被社会媒体广泛关注之后,非接触IC卡的安全性问题已经成为智能卡行业各个媒体最热门的话题之一;所破解的Mifare 1 卡芯片的安全算法,是目前全世界应用最广泛的非接触IC卡的安全算法!可以想见,如果这一科研成果被人恶意利用,那么大多数门禁系统都将失去存在的意义,而其他应用此种技术的IC卡,如各高校学生使用的校园一卡通、企业一卡通等也都将面临巨大的安全隐患...

  【安防知识网】1. 背景

  自从2009年2月Mifare 1卡算法破解事件被社会媒体广泛关注之后,非接触IC卡的安全性问题已经成为智能卡行业各个媒体最热门的话题之一;所破解的Mifare 1 卡芯片的安全算法,是目前全世界应用最广泛的非接触IC卡的安全算法!可以想见,如果这一科研成果被人恶意利用,那么大多数门禁系统都将失去存在的意义,而其他应用此种技术的IC卡,如各高校学生使用的校园一卡通、企业一卡通等也都将面临巨大的安全隐患。

  国家工业和信息化部同时也针对此事件在全国下发了相关文件,要求各地开展对Mifare 1卡使用情况的调查及应对工作。采用国产自主知识产权的CPU卡和CPU卡一卡通系统可以有效地解决目前传统基于Mifare 1 逻辑加密卡的一卡通系统存在严重的安全隐患。

  M1卡破解示意图

  M1卡破解方式及危害说明

  同方锐安科技有限公司定位于CPU卡及RFID技术为基础的各类行业应用。是智能卡、电子标签、读写机具、行业应用软件的供应商和服务提供商。依托于同方股份有限公司在智能卡行业的芯片设计、标签封装、机具制造、软件中间件的完整产业链布局,公司在CPU卡行业应用领域积累了大量的成功案例:推出了基于非接触CPU卡技术的企业一卡通系统,广泛应用于全国各行业的大中型企业。

  2. 系统目标

  同方企业一卡通系统以目前世界先进的非接触式 CPU 卡技术为核心,以企业局域网为依托平台,采用流行的网络结构、通讯模式和开发工具构建而成。实现企业内“一卡多用”、“一卡通用”的功能。

  企业员工使用一张经过授权的CPU卡,便可以通过一卡通系统的软件功能和硬件配套设备实现消费、门禁、考勤、综合查询、人员出入等“一卡通”服务;外来观众可以通过一张CPU卡,实现在企业内部的各类消费,系统还可以拓展到会议签到、医疗、图书借阅等系统;更可以与企业HR系统、OA系统、财务、楼宇自控系统等系统对接,交互及共享数据信息,为企业管理者提供各类综合查询、综合分析的基础数据。

  3. 系统组成

  系统包含一卡通中心平台、交易类应用、身份类应用、自助服务应用。其中又由密钥管理模块、卡片初始化模块、中心管理模块、卡务管理模块、消费管理模块、消费POS机模块、交易清算、门禁管理模块、考勤管理系统、会议签到系统、Web综合查询模块、自助机模块等构成。

  一卡通中心平台系统:是一卡通的核心层,由一卡通中心数据库,身份管理、交易结算管理、系统管理等各类模块组成,主要对一卡通的各类应用子系统和硬件终端进行综合管理,管理业务流和数据流。

  一卡通应用子系统:是一卡通的应用服务层,提供一卡通的各类应用功能管理,包括卡务管理、综合查询、消费、门禁、考勤、会议签到、访客管理、车辆出入监控、梯控等子系统。通过各类POS机具、读卡设备、采集读写持卡人的卡信息,通过计算机终端,管理各类持卡人信息,为持卡人提供与卡相关的各类服务。

  [nextpage]第三方应用接口:一卡通系统提供规范的接口,开放的通讯协议,方便第三方应用子系统(如人事管理系统、OA办公系统、楼宇自控IBMS系统等)通过统一的应用接口访问一卡通中心平台,实现数据共享和数据交换。

  4. 系统主要功能

  a) 一卡通中心平台

  是整个系统的数据中心、安全控制中心、卡务管理中心、清算帐务中心。

  结算管理:全部交易和管理数据的存储和处理;系统安全控制包括应用授权及设备授权管理;黑名单管理;清算帐务管理;帐户管理等。

  卡务管理:提供CPU卡的统一发放、挂失、补卡、换卡以及退卡销户等管理功能。

  b) 应用子系统

  1)门禁管理

  门禁管理系统由安全、可靠、使用方便的智能卡门锁、CPU卡门禁读卡器、控制器及管理软件构成,可联网与非联网使用。智能卡门锁系统能根据每个员工所属部门、行政级别和实际需要来设置员工的出入权限,没有授权的人员无法开启门锁或通行。对开门记录进行处理分析,从而获得人员出入信息;对于非法闯入、门锁被破坏等情况出现时系统会发出实时报警信息。可实现消防联动,可实现联动实时监控。

  门禁管理系统采用了CPU卡安全门禁读卡器,采用SAM与CPU卡的安全认证,建立了完整、严密的密钥管理系统,充分使用了CPU卡安全特性。密钥注入SAM卡后,外部无法读取。将SAM卡插入读写卡设备内,通过SAM卡和CPU卡进行双向验证。验证报文是由随机因子参与计算的,同一张卡在一台设备上刷卡,每次都不相同,彻底杜绝“伪卡”的出现。

  2)人员访客管理系统

  访客系统客户端部署在进出办公大楼的门卫管理窗口,系统由管理软件、发卡器、一二代身份证阅读设备、数码相机等组成,并与一卡通中心的身份认证服务器进行数据通讯。访客获得临时的出入卡后,可以在允许的范围内通行。

  根据公司的实际需求,访客管理可与现有门禁系统、梯控系统对接,实现被访者到门卫处刷卡确认(更安全、可靠)、同时对来宾所发的访客卡自动授权活动区域(最多为被访者的权限),拜访结束后在门卫处刷卡自动完成退卡注销。

  3)考勤管理系统

  考勤管理系统是以员工使用CPU卡在门禁或考勤机刷卡数据为基础,经后台考勤管理模块处理,全面实现员工考勤管理自动化。该系统可灵活地设置上下班时间、班次,制定不同的考勤制度,根据员工的刷卡记录能够快而准地计算出员工上、下班时间,并生成用户所需的考勤报表,汇总结果经处理后可直接计算出员工工资。

  4)停车场管理系统

  停车场管理系统类似于一般的门禁管理系统。员工凭有效卡自动进、出停车场,访客进入停车场前在出票口获得临时进门卡。系统实时收集进出车辆数据,可随时查询停车场停车状况,随时生成各种报表。停车场管理系统可分为免收费停车和收费停车两类。

  5)消费管理系统

  CPU卡消费管理系统可实现企业内部员工就餐、企业或园区内购物等消费管理。该系统能够对食堂、小卖部等消费功能和操作人员进行授权和设定,建立消费项目和帐目,员工凭卡消费,系统对卡进行安全认证并对消费信息进行加密存储,消费信息实时或定时发送到后台中心系统,做为统一清算和帐务管理的依据。

  6)在线巡更管理系统

  系统可根据管理需求设定保安员的巡更路线、时间,值班的保安员必须在指定的时间内触发指定的巡更点。在巡查线路上安装一系列代表不同点的感应卡,巡查到各点时巡查人员用手持式巡更机读卡,把代表该点的卡号和时间同时记录下来。巡查完成后巡更机通过通讯线把数据传给后台系统处理,就可以对巡查情况(人员、地点、时间、事件等)进行记录和考核。

  7)自助查询服务系统

  提供企业一卡通系统全部交易和管理信息(如帐户信息、交易信息、卡服务信息等)的查询,可以按岗位设置查询内容,不同岗位的人可以查询不同的信息。

  c) 第三方接口

  [nextpage]企业/园区一卡通系统将提供与现有信息系统如财务统计信息、人事工资系统、图书管理、医务管理等系统、智能楼宇自控系统接口,实现与现有信息资源的整合,保护现有投资。

  5. 系统优势

  与传统的基于Mifare 1逻辑加密卡的企业一卡通相比,同方CPU卡企业一卡通有如下优势:

  a) 密钥管理和初始化工作由用户主导

  在以CPU卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新,它直接关系到整个系统的安全。客户能过同方CPU卡企业一卡通的密钥管理模块自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户拥有密钥管理和发卡的主动权。

  b) 终端的设备支持SAM卡插槽和认证。

  同方CPU卡企业一卡通中的终端设备可分为几类,一是消费类,二是充值类,三是身份认证类,消费类终端内嵌的PSAM卡只减钱的密钥,充值终端需要联机去硬件加密机获取充值类密钥,身份类可以根据实际情况来做,可以发行身份类的PSAM卡,如门禁读卡器内放置这类PSAM卡后,才能正确读出卡片内容,确保CPU卡信息的读写的高安全性。

  c) 严格遵循CPU卡的交易标准规范。

  同方CPU卡企业一卡通将采用中国人民银行金融CPU卡交易标准规范,在CPU卡的金融交易过程中与后台的金融加密机进行认证。计算交易认证码的密钥和算法将存储到金融加密机中,在进行日终交易流水的清分清算时,需要与硬件加密机实时连接,验证交易流水的TAC码,以保证交易记录的准确与安全。

  6. 主要产品介绍

  a) CPU卡门禁读卡器

  TF-DF6000系列门禁读卡器采用同方自主研发的专用读卡芯片,能够支持各种符合ISO14443 标准的非接触CPU卡。

  同方门禁读卡器创新性地将智能卡安全认证机制引入门禁控制领域,应用PSAM卡安全认证读写机制,极大地提高了传统门禁读卡器的安全级别。产品支持Wiegand26/32/34/37通讯协议,适合配套各种型号的门禁控制器。产品支持PSAM卡安全认证。

  b) CPU卡片

  TF-CS2000系列非接触CPU卡

  TF-CS2000系列非接触CPU卡是由同方锐安科技有限公司自主研发的一款带有TDES/DES硬件加速功能的非接触CPU 卡。该产品支持多应用防火墙,支持内外部双向认证,具有硬件DES处理器和真随机数发生器,符合IEC/ISO14443标准。具备防冲突机制,支持防插拔处理和数据断电保护机制。各类高端CPU卡应用领域。

  7. 成功案例

  a) 中国科技馆新馆CPU卡一卡通

  中国科技馆新馆是“十一五”期间,由政府投资建设的大型科普教育场馆。位于国家奥林匹克公园内的新馆。系统主要由一卡通平台、消费管理系统、门禁系统、考勤系统、会议签到系统及停车场系统组成,采用非接触CPU卡作为身份识别、交易支付的载体。

  b) 中央电视台新台址CPU卡一卡通

  中央电视台新台址由三个主建筑群组成,建筑面积近60万平方米,同方承建的一卡通系统覆盖了全部园区。整个系统由统一的管理平台及相关子系统组成,采用非接触CPU卡作为身份识别、交易支付的载体,在园区内实现了统一身份认证、消费管理、门禁管理、考勤管理、图书借阅、医疗服务等功能。

  c) 中国长江三峡工程开发总公司CPU卡一卡通

  中国长江三峡工程开发总公司北京办公楼,总建筑面积56868平方米。一卡通采用同方自有技术知识产权的CPU芯片,建设内容包括一卡通平台、密钥管理子系统、采集服务模块、清分清算系统、卡片发行子系统、消费管理子系统、考勤管理、门禁管理、会议签到、电子巡更、综合查询,与人事管理系统对接,与财务管理系统对接,与酒店管理系统对接等。

  d) 中国中铁股份有限公司CPU卡一卡通

  中国中铁股份公司办公楼总建筑面积4.3万平方米,一卡通采用同方自有技术知识产权的CPU芯片,建设内容包括一卡通平台、密钥管理子系统、卡片初始化系统、卡片发行子系统、自助服务系统、访客管理系统、电梯控制管理系统、人员出入查验系统、消费管理子系统、门禁管理、电子巡更、CA认证、停车场管理系统,与同方智能建筑集成管理系统的对接等。

0 0
[责任编辑:许剑波]

《安防知识网》新增三个订阅号 微信服务全面升级

转载声明:凡文章来源标明“安防知识网”的文章版权均为本站所有,请不要一声不吭地来拿走,转载请注明出处,违者本网保留追究相关法律责任的权利;所有未标明来源为“安防知识网”的转载文章均不代表本网立场及观点,“安防知识网”不对这些第三方内容或链接做出任何保证或承担任何责任。

专栏推荐

阅读推荐

广州万科金域蓝湾楼宇对讲系统介绍 2010-07-23 15:13  来源:安防知识网
有线电话联网报警系统升级可行性方案分析 2010-07-29 15:14  来源:中国安防产品网

温馨提示: 您已经完成兴趣标签设置,建议登录后保存。

请输入密码