浅谈门禁系统的安全性 - 安防知识网

门禁系统又称为出入口控制系统，它是对出入口(如门、通道等)实现有效管制，且能记录通行记录的一种控制系统。随着科学技术日新月异的发展和人们生活水平日益提高，高科技越来越深入到人们生活、工作的各个环节。

　　门禁系统经过几十年的发展，无论是从总线结构、CPU选型，还是技术的成熟度、功能的完备性、性能的可靠性都有了质的飞跃。然而人们感受着高科技给他们带来的极大便利的同时，对于一些特定领域、特定区域也带来了诸多不安全因素。例如，系统信息遭到袭击、IC卡逻辑加密过程遭到破解等问题层出不穷，如何利用新技术使门禁系统的安全防范措施跟得上科技的发展、更有效的阻止犯罪行为的发生，进而提升门禁系统的安全性，成为广大门禁系统厂家研究的课题。

　　门禁系统的识别安全

　　门禁系统的前端识别终端主要有读卡器、指纹及静脉为主的生物识别等产品构成，前者存在着IC卡遭破解及被复制的风险，而后者又存在着系统兼容性及安全隐患的问题。

　　以PHILIPS公司的Mifare 1卡为例，其逻辑加密过程于2009年遭到了破解后在全球引发了轩然大波。而其在破解之前，以Mifare 1卡为载体的门禁系统占据着门禁系统的半壁江山，但是破解事件发生之后，相当一部分门禁系统已更换或升级为CPU卡或是iCLASS系列卡，国内大型的门禁系统则全部采用CPU卡系统。CPU卡系统之所以安全，主要是因为CPU卡内部拥有独立的CPU处理器和芯片操作系统(COS系统)，所以可以更灵活的支持各种不同的应用需求，更安全的设计交易流程。CPU卡可以通过内外部认证的机制满足不同的业务流程对安全和密钥管理的需求。基于CPU卡的门禁读卡器内置PSAM卡，CPU卡通过加密算法(目前主要是3DES算法及国密算法)和数据数发生器对读卡器内的PSAM卡实现数据交互，且同一张CPU卡每次传输的过程都是不同的，因此无法使用空中接收的办法来破解CPU卡的密钥。

　　生物识别终端虽然理论上对识别体(如指纹、掌纹、静脉、面部识别等)进行了有效的保护，使其几乎无法复制，但是对系统的兼容性和系统安全性而言又存在着一定的隐患。目前，采用生物识别终端的门禁系统主要有两种实现方式：一种是生物识别终端一体机直接控制门锁的开启。由于其识别终端必须安装于人可以触及的区域，因此，可以通过拆卸的方式即可轻松将门锁打开。另一种是识别终端与门禁控制器分体安装的方式，此方式需要构建两套网络，在生物信息授权时，需要利用自身网络将生物识别特征码下载到生物识别终端，而且还要将识别结果通过门禁系统网络下载至门禁控制器，其操作较为繁琐，兼容性较差。除此之外，生物识别终端与门禁控制器通常采用Wiegand传输方式，可以通过科技手段截获数据线D0、D1的数据，从而带来安全隐患。

　　门禁系统的结构安全

　　门禁系统的总线结构主要有以下几种结构。

　　独立非联网一体门禁。该结构下门禁系统功能单一，通常卡片授权仅需要通过系统卡(俗称“母卡”)来实现，且上层管理软件可有可无。刷卡记录提取、挂失卡下载需要通过拆下终端设备或者单独拉线方式实现，操作极为不便。由于一体门禁直接暴露于大众眼球，只要将其拆下，即可轻易将门锁打开，安全性较差。

　　总线联网分体门禁。此结构门禁主要通过RS-485、RS-422总线进行联网，读卡器安装于门侧，控制器安装于天花板或弱电间等隐秘处，因此安全性得到一定的提升。为解决传统总线型门禁系统存在联网传输距离短、传输速度慢及集成性较弱的特点，又衍生出了将TCP/IP与RS-485、RS-422有机结合的二级结构门禁系统。该结构中主控器与管理电脑之间采用TCP/IP通讯方式，与分控器之间采用传统总线通讯方式，即便是主控器与管理电脑、主控器与分控器之间的网络出现故障，分控器仍能正常工作，可靠性大为加强。但是由于是分体门禁，门禁系统的各部分数据传输的安全性仍存在着一定的安全隐患。

　　TCP/IP结构门禁。该结构以分体结构为主，控制器与管理电脑之间直接采用TCP/IP通讯方式，通讯速度得到提升的同时，数据传输的安全性又成为了一个重大安全隐患。

[nextpage]

　　门禁系统的数据传输安全

　　门禁系统的数据传输过程的安全隐患主要存在于管理电脑与控制器、控制器与读卡器、读卡器与卡片之间的传输。

　　管理电脑与控制器之间通常采用TCP/IP协议或者RS-485协议传输，由于协议内容由各门禁厂商自行定义，协议制订的严密性、完整性及安全性均由各门禁厂商自行考虑，因此协议本身就难免存在一定的缺陷或漏洞，因此更容易在传输过程中被截获。TCP/IP协议作为当前最流行的互联网协议，虽然在数据传输速度上有其显著的特点，却在设计之初并未考虑到未来的安全需要，协议中有诸多安全问题，特别是电脑病毒的存在，使得网络门禁系统面临极大的危险。因此，通常的做法是将门禁系统的网络与其它系统彻底隔开，完全杜绝异常因素对网络系统的攻击。RS-485协议虽然可以自成网络，单由于其传输速率的限制，通常传输数据的长度要收到约束，因此无法将较长数据位的数据加密后传输，这样则可以通过截断RS-485传输线缆，而轻松取得数据。

　　控制器与读卡器之间通常采用Wiegand协议传输。由于Wiegand协议为单向传输模式，因此读卡器将数据传输至控制器之后，控制器却无法通过D0及D1数据线反馈验证结果，只能通过增加指示灯、蜂鸣器的控制线缆实现数据的反馈，因此造就了读卡器传输线缆线芯由4芯变成了8根(或9根)，使用成本有所增加。就数据安全而言，通常情况下，读卡器至控制器采用明码传输模式，加之wiegand 传输的格式通常为26bit、34bit，因此，截取D0及D1数据线则可获取卡片信息。

　　读卡器与卡片之间通常采用直接读取卡内固化的UID号，然后通过Wiegand协议传递给控制器。然而，卡内固化的UID号不需要通过特殊的算法或者处理过程即可以直接获得，因而UID号极易被泄露。而PHILIPS公司的Mifare 1卡虽然可以采用逻辑加密方式在卡片内部写入新的卡号信息，但是由于其逻辑加密过程已遭到破解，因此卡内数据的安全毫无保障。

　　门禁系统的数据存储安全

　　门禁系统的数据主要存储在两个地方，一处是管理电脑的数据库中，一处是门禁控制器的FLASH中。而数据存储的安全隐患则主要集中于管理电脑的数据库中。

　　门禁系统的数据库通常采用SQL Server、ORCALE，也有采用ACCESS，门禁系统的所有数据，包括人事资料信息、门禁设备信息、刷卡记录信息均存在数据库中，因此数据库的密码管理及数据表中数据的表现形式显的尤为重要。由于门禁系统可能涉及的卡片数量及门禁设备点位较多，若将此类数据予以加密后存储，则系统运行时所有数据需要对应解密后才可以使用，运行速度受到极大影响，若数据过于庞大甚至可能导致系统的瘫痪。其次，数据加密后对于与第三方系统的极为不便。然而，数据若全部采用明码方式存储，一旦数据库密码泄露，则系统数据将面临全面泄露的风险。

　　因此，建立一套安全性能更高的门禁系统，可以通过采取以下几种方法实现：一、读卡器与卡片采用PSAM卡认证机制进行验证，降低卡片在与读卡器交易过程被破解;二、读卡器与控制器之间采用RS-485或者TCP/IP通讯方式，且将数据通过加密算法运算后传输;三、控制器与管理电脑之间采用TCP/IP通讯方式，同样需要将数据通过加密算法运算后传输;四、软件数据库中存储的数据采用部分加密的方式，加密的内容仅涉及核心的关键字段。

　　随着安防领域对安全性的要求愈来愈高，相信在不远的将来，传统门禁势必将被安全性更高的门禁系统所取代，而门禁系统的应用领域将更加广阔。