CPU门禁系统讲解PPT课件.ppt

目录 1 M1被破解事件 2007年12月 K Nohl和H Plotz公布了对分析的部分结果 包括用于认证过程的随机数产生方法和算法出其中的48比特流密码算法 即CRYPTO1没有公开 2008年3月 荷兰奈梅亨Raboud大学小组还原出CRYPTO1算法和认证方法 但当时没有立即发表其研究结果 2008年10月 NRU在西班牙公布研究结果 M1芯片进行逆向工程和安全 并指CRYPTO1也已经被还原 ESORICS2008会议上发表了他们 2 SAM 终端设备 读卡器 RC500等基站芯片 M1卡 明文密钥 非加密传输 加密传输 三重认证 明文密钥 M1卡的Crypto1算法被破解 Crypto1算法被破解 M1卡的三次认证及输入加密传输等安全特性指的是M1卡与RC500等NXP基站芯片 或兼容芯片 之间的认证和加密 这个算法和机制被破解 3 针对单一卡片的伪造 变造包括以下三种常用情况 伪造的核心是利用算法弱点 常用的伪造方式 4 M1事件的影响 2008年8月 荷兰内务部命令对M1系统的安全性进行重新评估 欧洲部分重要工程受影响停工 2008年底 国务院联合发文 要求各大机关行业开展IC卡安全问题排查活动 要求及时发现并解决问题 关于做好应对部分IC卡出现严重安全漏洞工作的通知 在各大部委 工信部 建设部 交通部 国密局 安全部 公安部等 的组织下 各IC卡应用行业开始进行全面 系统的安全检查 国内各类重要门禁 一卡通等使用M1技术的智能卡系统受到了潜在的安全威胁 新的市场机会 5 国内外M1卡市场情况 全球销售约20亿张M1卡全球M1机具超过7百万台2008年中国M1市场销售总量约1 5亿张 6 何去何从 ID技术 国产技术 国外技术 7 CPU卡安全性优势 CPU卡 真正意义上的智能化非接触式 CPU卡内具有中央处理器 CPU 随机存储器 RAM 程序存储器 ROM 数据存储器 EEPROM 以及片内操作系统 COS CPU卡不仅仅是单一的非接触卡 而是一个带有卡片操作系统 COS 的应用平台 装有COS的CPU卡相当于一台微型计算机 不仅具有数据存储功能 同时具有命令处理 计算和数据加密等功能 8 CPU卡的安全优势 CPU卡芯片内部都有双重安全机制 采用强壮的加密模块 密钥长度支持128位 CPU卡芯片特有的COS CardOperationSystem 支持密文传输 双向认证机制 从而使攻击者不容易得手 交易数据进行签名 TAC 的功能 无法伪造交易数据 符合国际 国内标准 PBOC2 0 良好的兼容 扩展性 多应用 每个应用相互独立并受控于各自的密钥管理系统 9 目录 10 安全门禁产品 达实智能推出的CPU卡安全门禁系统由以下几个部分组成 安全门禁读卡器 密钥管理系统 CPU卡片 读卡器 读卡器 读卡器 读卡器 密钥系统 11 安全门禁读卡器 达实智能安全门禁新品 DAC 85XX系列产品 新品采用国产专用芯片 在安防系统中创新性的引入安全认证机制 有效杜绝卡片的非法复制和伪造 从容应对 破解门 12 安全认证 采用金融级别的认证机制 门禁读卡器内置有PSAM卡和SAM模块 通过发行PSAM卡或使用SAM模块来存储各类应用密钥 通过内 外部认证方式 对交易的卡片 终端设备进行相互认证 保证交易介质的合法性 13 PurchaseSecureAccessModule 销售点终端安全存取模块 SAM卡是一种具有特殊性能的CPU卡 用于存放密钥和加密算法 可完成交易中的相互认证 密码验证和加密 解密运算 发卡时 将主密钥存入SAM卡中 由SAM卡中的主密钥 对用户卡的特征字节加密生成子密钥 将子密钥注入用户卡中 使每张用户卡内的子密钥都不同 PSAM卡 14 安全门禁读卡器 技术参数 支持卡片 CPU卡 符合ISO14443标准 应用环境 用于门框 竖框和其它狭窄空间上读卡距离 40mm安全芯片 PSAM卡 SAM模块密钥 自定义密钥 长度128位安全 卡和读卡器之间采用安全算法进行加密输出格式 支持多种输出格式防拆探测 支持 15 安全门禁读卡器 技术参数 支持卡片 CPU卡 符合ISO14443标准 密码键盘 支持卡 控制密码方式读卡距离 40mm安全芯片 PSAM卡 SAM模块密钥 自定义密钥 长度128位安全 卡和读卡器之间采用安全算法进行加密输出格式 支持多种输出格式防拆探测 支持 16 安全门禁读卡器 技术参数 支持卡片 CPU卡 符合ISO14443标准 读卡距离 40mm安全芯片 PSAM卡 SAM模块密钥 自定义密钥 长度128位安全 卡和读卡器之间采用安全算法进行加密输出格式 支持多种输出格式防拆探测 支持 17 密钥管理系统 在以CPU卡为应用载体的信息系统中 密钥的管理是整个系统安全运行的基础 密钥管理系统包括 密钥生成 分发 使用 存储 备份 更换 销毁等 客户能过此软件自行生成和管理各类应用密钥 自行完成卡片的初始化工作 保证了客户拥有密钥管理和发卡的主动权 密钥生成和管理产生新密钥的数据是以AB码单的形式将种子数据分成两部分 分别由两个人控制 卡片初始化针对用户卡 PSAM卡建立卡片文件结构 写入卡片应用序列号 安装各工作密钥等作 18 密钥管理系统 用户不同的领导持有A B码单 支持发行密钥母卡和PSAM卡 确保了密钥的安全性 建立独立的密钥 保证密钥管理和发卡的主动权 功能特色 19 CPU卡 采用强壮的加密模块 密钥长度支持128位 支持密文传输 从而使攻击者不容易得手 交易数据进行签名 TAC 的功能 无法伪造交易数据 符合国际 国内标准 PBOC2 0 良好的兼容 扩展性 多应用 真正意义上的一卡多应用 20 应用方式 方式一新门禁系统建设通过密钥管理系统 生成新的密钥 发行CPU卡 用户卡 发行PSAM卡 并安装到CPU卡安全门禁读卡器中 安装使用CPU卡安全门禁读卡器 通过的达实发卡器 识读用户卡 并将用户卡与后台人员基本信息建立对应关系 并下发授权到门禁控制器 提供完善的二次开发接口和读卡助手等辅助工具 21 应用方式 方式二原有门禁系统的平滑升级通过密钥管理系统 生成新的密钥 导出系统中原有的卡号与人员对应关系 通过密钥管理系统导入原门禁管理系统中的卡号对应关系 并发行新的用户CPU卡 发行PSAM卡