采用國密非接觸IC卡門禁系統(tǒng)的技術(shù)

門禁系統(tǒng)現(xiàn)狀及存在問題

門禁系統(tǒng)采用的門禁卡分為兩類：125KHZ的低頻只讀卡、13.56MHZ的高頻讀寫卡。
125KHZ的低頻只讀卡，與普通磁卡類似，明碼格式，無需要破解，用通用編程器可仿制卡號。早期技術(shù)，安全性差。屬于淘汰技術(shù)，通常用于安全性要求不高的小區(qū)，不適用于涉密單位、高保安場所。

常用的13.56MHZ的高頻讀寫卡，可以理解為帶口令的U盤，由口令來保護卡類數(shù)據(jù)，安全級別中等，通常用來做為小額電子錢包、身份識別卡。此次被破解的Mifare 1卡屬于此類的一種，并且破解方式已公開，因此采用Mifare 1門禁系統(tǒng)存在安全隱患！

此次解密風波引起了業(yè)界的思考，新建的門禁系統(tǒng)如何提高安全性呢？已建的采用Mifare 1卡門禁系統(tǒng)有什么升級方案嗎？

非接觸IC卡的種類及相關標準

在討論如何消除目前的隱患前，我們先總結(jié)一下非接觸IC卡的技術(shù)總體現(xiàn)狀。非接觸IC卡已徹底取代磁卡，成為自動識別卡片的主流。非接觸IC卡按照頻率，可以劃分為四類。如表所示。

125KHZ的低頻只讀卡，出現(xiàn)在1979年，這些低頻卡的ID號存儲介質(zhì)是EEPROM，具有電擦寫功能，可反復多次寫入，因此ID號極易偽造，且無相關的國際標準。

超高頻915MHZ、微波卡2.5GHZ是近幾年的新產(chǎn)品，讀卡最大距離達10m。相關ISO/IEC 18000國際標準沒有最終完成。

13.56MHZ高頻讀寫卡，比125KHZ的低頻卡傳輸速率快100倍，是應用最廣泛的，誕生于1993年，此后不斷發(fā)展，產(chǎn)品線不斷豐富。根據(jù)讀卡距離不同，分為兩個標準，ISO/IEC 14443標準、ISO/IEC 15693。ISO/IEC 14443最大距離為10cm，ISO/IEC 15693標準非接觸IC卡最大距離為100cm。

ISO/IEC 14443由于問世較早，且由于城市公交的大規(guī)模采用，芯片、讀卡機具發(fā)展成熟，從而同時成為門禁卡的選型主流。符合ISO/IEC 14443的Mifare 1卡由于采用偽隨機數(shù)來用于三重認證、48位密鑰長度也過短，導致該卡加密算法被破解。因此新的非接觸IC卡需要在隨機數(shù)產(chǎn)生機理、密鑰長度、加密算法上加以提升。而13.56MHZ通訊頻率、以及ISO/IEC 14443的通訊協(xié)議將繼續(xù)被采用。

支持國家密碼局密碼算法的非接觸式芯片

Mifare 1卡風靡全球、各行各業(yè)爭相采用的普及程度是該芯片廠家始料未及的。盡管芯片廠家推出了有關升級芯片，但由于價格、技術(shù)普及等因素沒有被大部分市場接受。為了保證我國智能卡市場健康有序的發(fā)展，在國家密碼管理局的支持和組織下，早在2007年，我國就開展了我國自主產(chǎn)權(quán)的、專門應用于RFID市場的密碼算法研制工作，取得成功。該密碼算法也得到我國眾多集成電路芯片廠商的極力推崇和遵循，成功推出了相關產(chǎn)品。以華虹集成電路公司產(chǎn)品為例，該公司SHC1112芯片通過了國家密碼管理局的產(chǎn)品認證。

SHC1112卡芯片集成了國家密碼管理局提供的128位密鑰SM7密碼算法，采用該算法來保護數(shù)據(jù)交換的安全。其三重認證示意圖如下：

Ek（）表示對括號內(nèi)的內(nèi)容進行加密運算，加密采用SM7密碼算法。
認證通過后，所有交易通信數(shù)據(jù)由SM7密碼算法加密后傳遞。

主要技術(shù)指標

采用ISO/IEC14443 TypeA非接觸通訊方式，支持抗沖突協(xié)議
數(shù)據(jù)通訊速率106Kbps
4字節(jié)唯一序列號UID
支持SM7密碼算法
支持ISO/IEC DIS9798-2三次傳送鑒別相互認證體制
EEPROM存貯容量1K字節(jié)，劃分為64塊，每塊16字節(jié)
每個數(shù)據(jù)塊可單獨設定訪問權(quán)限，訪問權(quán)限可由用戶定義
EEPROM數(shù)據(jù)保存時間：大于10年
EEPROM數(shù)據(jù)擦寫次數(shù)：大于10萬次
天線輸入引腳ESD：4000V（HBM）

相對于傳統(tǒng)的門禁系統(tǒng)設計，該設計主要做了兩點創(chuàng)新：

1：發(fā)卡密鑰系統(tǒng)
國密卡發(fā)卡流程大體可分為三個步驟： (1)卡結(jié)構(gòu)建立； (2)密鑰寫入； (3)個人化處理 。

(1)卡結(jié)構(gòu)建立
應對卡片結(jié)構(gòu)進行統(tǒng)一規(guī)劃，包括主文件、密鑰文件、公共信息基本信息文件、個人基本信息文件、應用文件、記錄文件、目錄文件等。

(2)密鑰寫入
包括發(fā)卡單位主密鑰、專項應用子密鑰、管理性密鑰等。密鑰發(fā)卡中心集中寫入后的初始化卡分發(fā)給各發(fā)卡單位。

(3)個人化處理
發(fā)卡單位根據(jù)自己的發(fā)卡單位主密鑰，進行本單位個人基本信息文件、應用文件裝入，并且表面打印照片、姓名等，這樣完成個人化處理的卡片，就可發(fā)給持卡人。

2：讀卡器新增SAM卡
根據(jù)發(fā)卡密鑰系統(tǒng)制作相應的SAM卡，由SAM卡完成讀卡器與卡片的信息交換。
對于新建門禁系統(tǒng)可以直接采用該方案。對已建的門禁系統(tǒng)則需要更換舊讀卡器、舊卡片，門禁軟件需要增加與新的發(fā)卡密鑰系統(tǒng)的接口。門禁控制器原則上可以保留。

以上采用國密算法的非接觸IC卡門禁系統(tǒng)已成功使用與有關部委的新建與改造門禁一卡通系統(tǒng)。