泰然FD8800CPU卡系统方案(最新)

1、FD8800CPU卡系 统 方 案V1.0版2009-12-03V1.1修正版2010-01-10V1.2修正2011-08-18深圳市泰然智能科技有限公司目 录一、概述二、CPU卡系统介绍2.1 非接触CPU卡2.2 CPU卡密钥管理系统2.3 CPU卡读写器2.4 CPU卡门禁系统的应用2.5 CPU卡门禁发卡管理软件三、门禁控制器及管理软件四、CPU卡门禁系统特点五、CPU卡门禁读卡器的应用方式六、CPU卡门禁系统的应用范围附录:关于做好应对部分IC卡出现严重安全漏洞工作的通知一、概述2008年，德国研究员亨里克普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕诺尔就享受到了成功的喜悦:

2、他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。他们所破解的MI芯片的安全算法，正是目前全世界应用最广泛的非接触IC卡的安全算法！可以想见，如果这一科研成果被人恶意利用，那么大多数门禁系统都将失去存在的意义，而其他应用此种技术的IC卡，也都将面临巨大的安全隐患。2009年1月份，工业和信息部发布了关于做好应对部分IC卡出现严重安全漏洞工作的通知，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。工信部的这则通知的背景是主要应用于IC卡系统的MI芯片的安全算法已遭到破解！目前全国应用此技术的IC卡也都将面临巨大的安全隐患。之后全国各政府部门、党政机

3、关、军队、事业单位、监狱、金融、电力、学校、大中型企业等相继发通知。 目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡，没有去进行加密认证或开发专用的密钥，其安全隐患远比Mifare卡的破解更危险，非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国内大多数门禁产品都不具备安全性原因之一，是因为早期门禁产品的设计理论是从国外引进过来的，国内大部分厂家长期以来延用国外做法，采用ID和IC卡的只读特性进行身份识别使用，很少关注卡片与门禁机具间的加密认证，缺少安全密钥体系的设计，而ID卡是很容易可复制的载体，导致此类门禁很容易在极短时间内以极低的成本被破解

4、和复制。即使少数采用MI芯片扇区内容做门禁卡号的，也因为被破解，安全性无法保证。有效防范门禁产品的安全问题的根本解决方案就是升级改造现有ID卡或IC卡系统，并逐步将ID卡或逻辑加密卡替换为更安全可靠的CPU门禁产品。因为CPU卡拥有独立的CPU处理器和芯片操作系统，可以更灵活的支持各种不同的应用需求，更安全的设计交易流程。当CPU卡进行操作时，可进行加密和解密算法(算法和密码都不易破解)，用户卡和系统之间需要进行多次的相互密码认证(且速度极快)，提高了系统的安全性能，对于防止伪卡的产生有很好的效果。为应对MI破解问题，满足各部门对高安全性能门禁系统的需求，泰然智能推出基于支持复旦微电子非接触式

5、CPU卡，自主国产知识产权的门禁读卡器、发卡器、密钥系统、非接触CPU卡发卡管理软件等组成的安全的非接触CPU卡门禁系统。二、CPU卡系统介绍2.1非接触CPU卡本系统采用支持ISO14443-TypeA协议的非接触CPU卡作为用户信息及授权信息等载体。如复旦微电子的非接触CPU卡FM1208、FM1216。复旦微电子非接触CPU卡(FM1208及FM1216)指令兼容通用8051指令,内置硬件DES协处理器,数据存储器为8Kbyte的EEPROM。符合银行标准的CPU卡，COS同时支持PBOC2.0标准(电子钱包)及建设部IC卡应用规范，具有较高的安全性。适用于城市公交卡、校园卡、市民卡、社

6、会保险、金融消费、门禁、考勤、停车等等高要求安全性领域。主要特点:FM1208FM1216通讯协议:ISO14443-A通讯协议:ISO14443-AMCU指令兼容8051支持106Kbps数据传输速率MCU指令兼容8051支持106Kbps数据传输速率支持Triple-DES安全算法支持Triple-DES安全算法支持国密SM1安全算法程序存储器32K*8bit ROM程序存储器32K*8bit ROM数据存储器8K*8bit EEPROM数据存储器8K*8bit EEPROM256*8bit iRAM256*8bit iRAM384*8bit Xram384*8bit Xram低压检测复位

7、低压检测复位高低频检测复位高低频检测复位EEPROM满足10万次擦写指标EEPROM满足10万次擦写指标EEPROM满足10年数据保存指标EEPROM满足10年数据保存指标典型处理时间：l 识别一张卡 3ms(包括复位应答和防冲突)l EEPROM擦写时间 2.4ms l 典型交易过程 350ms安全性：l 有反电源分析模块l 有高低频检测复位模块，芯片工作频率超出检测范围自动复位l ROM反逆向提取，存储器数据加密2.2 CPU卡密钥管理系统密钥的管理是关系到整个门禁系统安全应用的基础。本密钥系统的主要功能是提供各种密钥的生成机制和加密算法，并将生成的密钥存储在具有密钥导出功能的PSAM卡中

8、。密钥的发行采用梯级生成、下发方式，即上级生成下一级所需的各种子密钥，并以卡片的形式，采用线路加密的方式传递给下一级，极大的提高的系统的安全性和应用的方便性。根据功能，系统分为：根密钥系统、主密钥系统、初始化密钥系统和PSAM卡密钥系统。系统结构具有一定的伸缩性，根据应用的需求，可以增加或减少分级层次，通常不超过三级。根密钥系统的主要功能是生成系统最初的原始母密钥，即根密钥，它由两个系统安全管理员输入的密钥种子，经过一定的运算而生成；主密钥则是用分散因子对根密钥进行分散加密得到；而对主密钥再进行分散加密，则得到工作密钥系统所使用的工作密钥；PSAM密钥卡则是有根密钥导出而来，直接用于工作密钥系

9、统，以控制和配合工作密钥的使用，这样就可以极大提高整个密钥管理系统的安全性。2.3 CPU卡读写器TR1800发卡器是整个系统中的重要组成部分之一。ZR1800发卡器是一台双界面读写器，内嵌3个SAM卡小卡座，采用电池盒盖方式，方便用户插取卡。侧面集成2个SAM卡大卡槽。支持ISO7816-1/2/3/4协议。内置非接触射频模块，支持ISO14443协议下的所有智能卡。用户使用此发卡器，可实现密钥管理系统、卡片双向认证，初始化、发卡、读卡、销卡等工作，一台读卡器即可完成对SAM卡和CPU卡之间的整个交易流程。技术参数：l 通讯协议:支持ISO14443 TYPEAl 支持ISO7816-1、2

10、、3、4l 读卡类型:非接触CPU卡、SAM卡、非接触逻辑卡l 通讯接口:USB无驱l 功耗:0.5Wl 外形尺寸:124*94*30MMl 环境温度:-20+60l 重量:260g产品外观:2.4 CPU卡门禁系统的应用系统方案图:产品选型图:FD8800系列读卡器是泰然自主开发的，具有高安全等级的非接触CPU卡读卡器。产品采用复旦微电子专用射频基站芯片，高性能ARM处理器，配合密钥管理系统，是最理想最有性价比的门禁升级方案。 ZD8800系统读卡器采用PSAM卡与CPU卡的安全认证，建立了完整、严密的密钥体系，充分使用了CPU卡的特性，在PSAM卡和CPU卡内注入密钥后，外部无法读取。读卡

11、器和用户卡采用双向认证，密钥在认证过程中，采用对随机数进行加密运算，同一张卡一台读卡器上刷卡，每次数据都不一样，彻底杜绝“伪卡”的出现。应用数据采用Triple-DES、国密SM1等加密算法，每次传输都采用不确定的随机数，传输数据即使被非法者利用仪器截获，也难知其真实意义。技术参数：l 工作电压：DC 9V15Vl 工作电流：100 mAl 工作频率：13.56 MHzl 感应距离：3050 mml 输出格式：标准Wiegand 26、Wiegand 34、或其他l 传输距离：100 米l 产品结构：底板锣丝固定，外壳上扣 l 外观颜色: 黑色, ABS材料l 外型尺寸：7612217MM l

12、 工作温度：-10+70l 工作湿度：90%无凝露2.5 CPU卡门禁发卡管理软件l PSAM密钥卡的口令设置l PSAM密钥卡的密钥生成l 用户卡的初始化、删除l 用户卡的发卡、读卡、销卡、挂失、解挂功能l 人员的卡号、姓名、性别、部门数据的管理l 人员信息的导入l 按部门和卡状态进行分类管理、查询l 数据库的备份和导出，打印功能三、门禁控制器及管理软件特别说明：门禁控制器及其管理软件，用户可选第三方产品。出入口门禁安全管理系统是新型现代化安全管理系统，它集微机自动识别技术和现代安全管理措施为一体，涉及电子、机械、光学、计算机技术、通讯技术、生物技术等诸多新技术。它是解决重要部门出入口实现安

13、全防范管理的有效措施。适用各种机要部门，如银行、宾馆、机房、军械库、机要室、办公间、智能化小区、工厂等。在数字技术网络技术飞速发展的今天门禁技术得到了迅猛的发展。门禁系统早已超越了单纯的门道及钥匙管理，它已经逐渐发展成为一套完整的出入管理系统。它在工作环境安全、人事考勤管理等行政管理工作中发挥着巨大的作用。泰然智能门禁控制器采用32位ARM处理器及TCP/IP联网技术，可实现设备管理、人员管理、出入管理、实时监控、考勤管理、报表管理6大功能，为用户提供高效、全面的管理。选型表：TR8801TR8802TR8804最大存储量（人）10万10万10万读卡器数量1个2个4个门磁1路2路4路按钮1路2

14、路4路输出电锁1路2路4路辅助输入1路2路4路辅助输出1路2路4路通讯接口TCP/IPTCP/IPTCP/IP传输速度10/100M10/100M10/100M联网距离无限制无限制无限制CPUARM7ARM7ARM7防 雷支持支持支持抗静电干扰支持支持支持掉电数据保存10年10年10年工 作电 压DC12VDC12VDC12V工作温度-2580-2580-2580工作湿度095%095%095%开门模式:l 刷卡进门单向记录刷卡信息,出门时按出门开关按键即可离开l 刷卡进出门双向记录刷卡信息,对进出门都进行有效的管理,对于突发事件可以追踪责任人.l 卡或密码灵活使用,在忘记带门禁卡的时候,只按

15、密码就可开门l 卡+密码在刷卡后要求输入密码作为二次确认,每张卡可自由设置密码，一人一卡一密，可有效防止卡片被他人使用，也可有效降低卡片遗失带来的风险，安全性能更高.门禁管理软件主要功能:l 设备管理集中管理单个或多个门禁控制器。可分别设置多个区域组，添加单个或多个控制器进行分组管理，设置不同权限，不同的刷卡方式和胁迫密码等功能。l 人员管理添加人员信息，可设置不同的部门、人员图像、及对应的卡号等。l 出入管理对于人员进出某些区域进行权限的设置，同时可以设置日程、首次刷卡开门时间、最后刷卡时间等信息。l 实时监控实时地掌握门禁的信息，包括事件、报警、所有刷卡信息、异常刷卡等实时信息。可以通过刷

16、卡看到卡号及对应的人员信息、卡号是否有效、及在必要时可以通过输入胁迫密钥进行报警。l 考勤管理可设定考勤设备、设定班次、人员排班、签卡管理等功能，可以有效的提高人事管理效率。l 报表管理将各种信息如人员信息、刷卡记录、考勤统计等数据整理输出成表格，可设置起始时间，方便用户管理。安装泰然门禁管理软件前，请务必先安装好SQL2000或SQL2005等数据库工具。四、CPU卡门禁系统特点4.1 安全性能高 泰然CPU卡门禁系列产品，基于CPU卡的安全属性和安全机制而设计，其安全性由以下两方面保证1)CPU卡片: CPU卡内集成了MCU、ROM、RAM等单元，并配有完善的软件，来实现安全访问控制和加解

17、密运算等工作。CPU卡采用了多种芯片级防攻击手段，不可伪造。在认证过程中，出现在线路上的密钥都不是以明文的方式出现，而是经随机数加密而成的密文，由于随机数的参与，使得每次出现在线路上的密文都是不同的，从而使得破解、伪造密钥的可能性大大的降低，极大的提高了安全性能。CPU卡的应用防火墙功能可以保障同一张卡中不同应用的安全独立性。2)CPU卡读卡器: 泰然FD8800款CPU读卡器内置PSAM卡，通过使用PSAM卡，来设置、传递、保存各种应用密钥，密钥不直接保存在读卡器上。密钥在用户卡和PSAM卡内都不能读出，而且密钥的安装是通过密文进行，系统上线后即使是发卡人员和开发人员也无法得到密钥内容，从根

18、本上保证了系统的安全性。4.2 完善、安全的密钥管理体系 泰然CPU卡门禁配套了完善、安全的密钥管理系统，该系统全面负责密钥的生成、导出、传递、安装、维护、更新等工作，确保密钥的安全，不泄漏。4.3 兼容性强 泰然CPU卡门禁读卡器，采用门禁通用的维根输出(支持维根26、维根34、维根66等多种输出格式)，支持9-15V的输入电压，可以与市场上大部分门禁控制器连接使用，极大的方便了客户的选择，和日后门禁系统的升级。4.4 信息完善泰然CPU门禁系统，CPU卡内除了写入人员编号作为用户卡卡号外，还将人员姓名、性别等信息保存在卡内。防止管理软件服务器损坏、数据库丢失后可重新读卡，将人员信息导入到数

19、据库内。4.5 应用灵活、扩展性好可根据各种应用需要，通过多种方式实现与各系统商、设备厂商的消费、停车、考勤、巡更、议会等系统对接，实现CPU卡一卡通。五、CPU卡门禁读卡器的应用方式5.1 原有门禁系统的升级对于早期使用ID卡或M1卡门禁的客户来说，客户可不必替换门禁控制器和控制器管理软件，直接替换门禁读卡器，实现平滑升级，涉及到的工作内容如下: l 通过原有的门禁控制器管理软件，导出卡号及人员信息。l 通过密钥管理系统，生成PSAM密钥卡，通过系统卡将密钥传输到CPU卡门禁读卡器内。l 通过泰然发卡器，发卡软件，导入原卡号及人员信息后，发行新的用户CPU卡。l 将原先的门禁读卡器替换为泰然

20、CPU卡门禁读卡器。5.2 新门禁系统建设对于新的项目应用，客户可以用其他品牌门禁控制器或者泰然品牌门禁控制器，配合泰然CPU卡门禁系统。涉及到的工作内容如下: l 通过密钥管理系统，生成PSAM密钥卡，通过系统卡将密钥传输到CPU卡门禁读卡器内。l 通过泰然发卡器，发卡软件，导入原卡号及人员信息后，发行新的用户CPU卡。l 将原先的门禁读卡器替换为泰然CPU卡门禁读卡器。l 利用门禁控制器管理软件，识别发现好的用户CPU卡，建立卡号与人员信息的对应关系，并设置对应权限。六、 CPU卡门禁系统的应用范围泰然CPU卡门禁产品，可广泛应用于政府、机关办公大楼、部队宿舍、银行（金库）等金融场所、电力

21、、电信机房、无人值守工作站等领域；完善的密钥管理系统，方便密钥的发行与维护，可以满足分散性、网络化、远程化的门禁系统，集中管理的应用需求。 泰然CPU卡门禁产品，采用标准化设计，可以灵活的应用于各个门禁系统中，对于现有的ID/IC门禁系统，更可实现快捷、平滑升级，原门禁功能不受任何影响。附录：关于做好应对部分IC卡出现严重安全漏洞工作的通知随着信息化的不断推进，集成电路卡（以下简称IC卡）在我国各个领域得到了广泛应用。近年来，陆续发现一些IC卡出现比较严重的安全隐患。2007年底，国外研究机构发现某公司生产的Mifare Classic IC芯片（以下简称MI芯片）存在严重的安全漏洞。2008年10月27日，黑客通过互联网公布了破解MI芯片密钥的方法，不法分子利用该破解方法以很低的经济成本对采用MI芯片的各类“一卡通”、门禁卡等IC卡进行非法充值或复制。我国目前广泛使用的IC中有很大一部分采用了MI芯片，其密钥被破解对我国信息安全带