a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

非接触CPU卡技术在中国科技馆的应用案例

自从2009年2月Mifare 1卡算法破解事件被社会媒体广泛关注之后,非接触IC卡的安全性问题已经成为智能卡行业各个媒体最热门的话题之一;所破解的Mifare 1卡芯片的安全算法,是目前全世界应用最广泛的非接触IC卡的安全算法!可以想见,如果这一科研成果被人恶意利用,那么大多数门禁系统都将失去存在的意义,而其他应用此种技术的IC卡,如各高校学生使用的校园一卡通、企业一卡通等也都将面临巨大的安全隐患。
资讯频道文章B

【安防知识网】自从2009年2月Mifare 1卡算法破解事件被社会媒体广泛关注之后,非接触IC卡的安全性问题已经成为智能卡行业各个媒体最热门的话题之一;所破解的Mifare 1卡芯片的安全算法,是目前全世界应用最广泛的非接触IC卡的安全算法!可以想见,如果这一科研成果被人恶意利用,那么大多数门禁系统都将失去存在的意义,而其他应用此种技术的IC卡,如各高校学生使用的校园一卡通、企业一卡通等也都将面临巨大的安全隐患。

  国家工业和信息化部同时也针对此事件在全国下发了相关文件,要求各地开展对Mifare 1卡使用情况的调查及应对工作。M1卡破解示意图如图1所示。而采用国产自主知识产权的CPU卡和CPU卡一卡通系统可以有效地解决目前传统基于Mifare 1逻辑加密卡的一卡通系统存在严重的安全隐患。如图2所示。

图1 M1卡破解示意图

图2 M1卡破解方式及危害说明

  用户情况

  中国科学技术馆是我国唯一的国家级综合性科技馆,是实施科教兴国战略和人才强国战略、提高全民科学素质的大型科普基础设施。一期工程于1988年9月22日建成开放,二期工程于2000年4月29日建成开放,新馆于2009年9月16日建成开放。

  用户要求在全馆范围内建设一卡通系统,包括安防门禁系统、消费系统、考勤系统、会议签到系统、人员访客管理、停车场管理、自助服务系统等应用。为科技馆的员工和参观的观众提供智能化的一卡通服务,考虑到M1卡存在严重的安全隐患,用户要求基于非接触CPU卡技术来建设全馆的企业一卡通系统,采用非接触CPU卡作为身份识别、交易支付的载体。

[nextpage]  系统目标

  同方企业一卡通系统以目前世界先进的非接触式 CPU 卡技术为核心,以企业局域网为依托平台,采用流行的网络结构、通讯模式和开发工具构建而成。实现企业内“一卡多用”、“一卡通用”的功能。

  中国科技馆新馆的企业员工使用一张经过授权的CPU卡,便可以通过一卡通系统的软件功能和硬件配套设备实现消费、门禁、考勤、综合查询、人员出入等“一卡通”服务;外来观众可以通过一张CPU卡,实现在企业内部的各类消费,系统还可以拓展到会议签到、医疗、图书借阅等系统;更可以与企业HR系统、OA系统、财务、楼宇自控系统等系统对接,交互及共享数据信息,为企业管理者提供各类综合查询、综合分析的基础数据。

  系统组成

  系统包含一卡通中心平台、交易类应用、身份类应用、自助服务应用。其中又由密钥管理模块、卡片初始化模块、中心管理模块、卡务管理模块、消费管理模块、消费POS机模块、交易清算、门禁管理模块、考勤管理系统、会议签到系统、Web综合查询模块、自助机模块等构成。

  一卡通中心平台系统:是一卡通的核心层,由一卡通中心数据库,身份管理、交易结算管理、系统管理等各类模块组成,主要对一卡通的各类应用子系统和硬件终端进行综合管理,管理业务流和数据流。

  一卡通应用子系统:是一卡通的应用服务层,提供一卡通的各类应用功能管理,包括卡务管理、综合查询、消费、门禁、考勤、会议签到、访客管理、车辆出入监控、梯控等子系统。通过各类POS机具、读卡设备、采集读写持卡人的卡信息,通过计算机终端,管理各类持卡人信息,为持卡人提供与卡相关的各类服务。

  第三方应用接口:一卡通系统提供规范的接口,开放的通讯协议,方便第三方应用子系统(如人事管理系统、OA办公系统、楼宇自控IBMS系统等)通过统一的应用接口访问一卡通中心平台,实现数据共享和数据交换。

  系统主要功能

  1、一卡通中心平台

  是整个系统的数据中心、安全控制中心、卡务管理中心、清算帐务中心。

  结算管理:全部交易和管理数据的存储和处理;系统安全控制包括应用授权及

  设备授权管理;黑名单管理;清算帐务管理;帐户管理等。

  卡务管理:提供CPU卡的统一发放、挂失、补卡、换卡以及退卡销户等管理功能。

[nextpage]  2、应用子系统

  安防门禁管理

  门禁管理系统由安全、可靠、使用方便的智能卡门锁、CPU卡门禁读卡器、控制器及管理软件构成,可联网与非联网使用。智能卡门锁系统能根据每个员工所属部门、行政级别和实际需要来设置员工的出入权限,没有授权的人员无法开启门锁或通行。对开门记录进行处理分析,从而获得人员出入信息;对于非法闯入、门锁被破坏等情况出现时系统会发出实时报警信息。可实现消防联动,可实现联动实时监控。

  门禁管理系统采用了CPU卡安全门禁读卡器,采用SAM与CPU卡的安全认证,建立了完整、严密的密钥管理系统,充分使用了CPU卡安全特性。密钥注入SAM卡后,外部无法读取。将SAM卡插入读写卡设备内,通过SAM卡和CPU卡进行双向验证。验证报文是由随机因子参与计算的,同一张卡在一台设备上刷卡,每次都不相同,彻底杜绝“伪卡”的出现。

  人员访客管理系统

  访客系统客户端部署在进出办公大楼的门卫管理窗口,系统由管理软件、发卡器、一二代身份证阅读设备、数码相机等组成,并与一卡通中心的身份认证服务器进行数据通讯。访客获得临时的出入卡后,可以在允许的范围内通行。

  根据公司的实际需求,访客管理可与现有门禁系统、梯控系统对接,实现被访者到门卫处刷卡确认(更安全、可靠)、同时对来宾所发的访客卡自动授权活动区域(最多为被访者的权限),拜访结束后在门卫处刷卡自动完成退卡注销。

  考勤管理系统

  考勤管理系统是以员工使用CPU卡在门禁或考勤机刷卡数据为基础,经后台考勤管理模块处理,全面实现员工考勤管理自动化。该系统可灵活地设置上下班时间、班次,制定不同的考勤制度,根据员工的刷卡记录能够快而准地计算出员工上、下班时间,并生成用户所需的考勤报表,汇总结果经处理后可直接计算出员工工资。

  停车场管理系统

  停车场管理系统类似于一般的门禁管理系统。员工凭有效卡自动进、出停车场,访客进入停车场前在出票口获得临时进门卡。系统实时收集进出车辆数据,可随时查询停车场停车状况,随时生成各种报表。停车场管理系统可分为免收费停车和收费停车两类。

  消费管理系统

  CPU卡消费管理系统可实现企业内部员工就餐、企业或园区内购物等消费管理。该系统能够对食堂、小卖部等消费功能和操作人员进行授权和设定,建立消费项目和帐目,员工凭卡消费,系统对卡进行安全认证并对消费信息进行加密存储,消费信息实时或定时发送到后台中心系统,做为统一清算和帐务管理的依据。

  在线巡更管理系统

  系统可根据管理需求设定保安员的巡更路线、时间,值班的保安员必须在指定的时间内触发指定的巡更点。在巡查线路上安装一系列代表不同点的感应卡,巡查到各点时巡查人员用手持式巡更机读卡,把代表该点的卡号和时间同时记录下来。巡查完成后巡更机通过通讯线把数据传给后台系统处理,就可以对巡查情况(人员、地点、时间、事件等)进行记录和考核。

  自助查询服务系统

  提供企业一卡通系统全部交易和管理信息(如帐户信息、交易信息、卡服务信息等)的查询,可以按岗位设置查询内容,不同岗位的人可以查询不同的信息。

  3、第三方接口

  企业/园区一卡通系统将提供与现有信息系统如财务统计信息、人事工资系统、图书管理、医务管理等系统、智能楼宇自控系统接口,实现与现有信息资源的整合,保护现有投资。

[nextpage]  系统优势

  与传统的基于Mifare 1逻辑加密卡的企业一卡通相比,同方CPU卡企业一卡通有如下优势:

  1、基于CPU卡技术的安全门禁系统

  门禁管理系统采用了国有自主知识产权的CPU卡安全门禁读卡器,CPU卡安全门禁读卡器内置有PSAM卡插槽和SAM模块,通过发行PSAM卡或使用SAM认证模块来存储各类应用密钥,通过内/外部认证方式,对交易的卡片、终端设备进行相互认证,保证交易介质的合法性。

  采用SAM与CPU卡的安全认证,建立了完整、严密的密钥管理系统,充分使用了CPU卡安全特性,彻底解决Mifare 1逻辑加密卡的安全漏洞。确保整个门禁安防系统的安全性。

  2、密钥管理和初始化工作由用户主导

  在以CPU卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新,它直接关系到整个系统的安全。客户能过同方CPU卡企业一卡通的密钥管理模块自行生成和管理各类应用密钥,自行完成卡片的初始化工作,保证了客户拥有密钥管理和发卡的主动权。

  3、终端的设备支持SAM卡插槽和认证

  同方CPU卡企业一卡通中的终端设备可分为几类,一是消费类,二是充值类,三是身份认证类,消费类终端内嵌的PSAM卡只减钱的密钥,充值终端需要联机去硬件加密机获取充值类密钥,身份类可以根据实际情况来做,可以发行身份类的PSAM卡,如门禁读卡器内放置这类PSAM卡后,才能正确读出卡片内容,确保CPU卡信息的读写的高安全性。

  4、严格遵循CPU卡的交易标准规范

  同方CPU卡企业一卡通将采用中国人民银行金融CPU卡交易标准规范,在CPU卡的金融交易过程中与后台的金融加密机进行认证。计算交易认证码的密钥和算法将存储到金融加密机中,在进行日终交易流水的清分清算时,需要与硬件加密机实时连接,验证交易流水的TAC码,以保证交易记录的准确与安全。

  5、软件平台架构的稳定性和可扩展性

  同方CPU卡企业一卡通系统采用J2EE来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构,提供中间层集成框架高可用性、高可靠性以及可扩展性的应用的需求。

  一卡通系统融合当前最流行的三层体系架构,将整个业务应用划分为:表现层(UI)、业务逻辑层(BLL)、数据访问层(DAL)。便于系统扩展和分布式应用。

  平台开发使用JAVA语言,采用Struts + Spring + Hibernate 的框架结构,数据库采用oracle 10g大型数据库。充分满足大中型万人以上的企业一卡通对稳定性、扩展性建设需求。

参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2024 - 2030 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈