CPU门禁系统讲解课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,目 录,CPU,卡安全门禁产品,2,安防门禁系统的漏洞,3,1,M1,被破解事件,2007,年,12,月，,K.Nohl,和,H.Plotz,公布了对分析的部分结果，包括用于认证过程的随机数产生方法和算法出其中的,48,比特流密码算法（即,CRYPTO1,没有公开）。,2008,年,3,月，荷兰奈梅亨,Raboud,大学小组还原出,CRYPTO1,算法和认证方法，但当时没有立即发表其研究结果。,2008,年,10,月，,NRU,在西班牙公布研究结果。,M1,芯片进行逆向工程和安全，并指,CRYPTO1,也已经被还原。,ESORICS 2008,会议上发表了他们。,SAM,终端设备（读卡器）,RC500等基站芯片,M1卡,明文密钥,非加密传输,加密传输,三重认证,明文密钥,M1卡的Crypto1算法被破解,Crypto1算法被破解,M1,卡的三次认证及输入加密传输等安全特性指的是,M1,卡与,RC500,等,NXP,基站芯片（或兼容芯片）之间的认证和加密,.,这个算法和机制被,破解,.,针对单一卡片的伪造,/,变造包括以下三种常用情况,：,伪造的核心是利用,算法弱点,!,常用的伪造方式,M1事件的影响,2008,年,8,月，荷兰内务部命令对,M1,系统的安全性进行重新评估。欧洲部分重要工程受影响停工。,2008,年底，国务院联合发文，要求各大机关行业开展,IC,卡安全问题排查活动，要求及时发现并解决问题。,关于做好应对部分,IC,卡出现严重安全漏洞工作的通知,。,在各大部委（工信部、建设部 、交通部、国密局、安全部、公安部等）的组织下，各,IC,卡应用行业开始进行全面、系统的安全检查。,国内各类重要门禁、一卡通等使用,M1,技术的智能卡系统受到了潜在的安全威胁。,新的市场机会,!,国内外M1卡市场情况,全球销售约,20,亿张,M1,卡,全球,M1,机具超过,7,百万台,2008,年中国,M1,市场销售总量约,1.5,亿张,何去何从？,ID,技术,国产技术,国外技术,CPU,卡安全性优势,CPU,卡：真正意义上的智能化非接触式，,CPU,卡内具有中央处理器（,CPU,）、随机存储器（,RAM,）、程序存储器（,ROM,）、数据存储器（,EEPROM,）以及片内操作系统（,COS,），,CPU,卡不仅仅是单一的非接触卡，而是一个带有卡片操作系统（,COS,）的应用平台，装有,COS,的,CPU,卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理、计算和数据加密等功能。,CPU卡的安全优势,CPU,卡芯片内部都有双重安全机制，,-,采用强壮的加密模块，密钥长度支持,128,位,.,-CPU,卡芯片特有的,COS,（,Card Operation System,）,支持密文传输，双向认证机制，从而使攻击者不容易得手。,交易数据进行签名（,TAC,）的功能，无法伪造交易数据。,符合国际,/,国内标准 （,PBOC2.0,），良好的兼容,/,扩展性。,多应用，每个应用相互独立并受控于各自的密钥管理系统。,目 录,CPU,卡安全门禁产品,2,安防系统的漏洞,3,1,安全门禁产品,达实智能,推出的,CPU,卡安全门禁系统由以下几个部分组成：,安全门禁读卡器、密钥管理系统、,CPU,卡片,。,读卡器,读卡器,读卡器,读卡器,密 钥,系 统,安全门禁读卡器,达实智能安全门禁新品,DAC-85XX系列产品。,新品采用国产专用芯片，在安防系统中创新性的引入安全认证机制，有效杜绝卡片的非法复制和伪造，从容应对,“,破解门,”,。,安全认证,采用金融级别的认证机制,。,门禁读卡器内置有,PSAM,卡和,SAM,模块，通过发行,PSAM,卡或使用,SAM,模块来存储各类应用密钥，通过内,/,外部认证方式，对交易的卡片、终端设备进行相互认证，保证交易介质的合法性,。,Purchase Secure Access Module,销售点终端安全存,取模块。,SAM,卡是一种具有特殊性能的,CPU,卡，用于存放密钥和加密算法，可,完成交易中的相互认证、密码验证和加密、解密运算。,发卡时，将主密钥存入,SAM,卡中，由,SAM,卡中的主密钥，对用户卡的,特征字节加密生成子密钥，将子密钥注入用户卡中。使每张用户卡内,的子密钥都不同。,PSAM,卡,安全门禁读卡器,技术参数,：,支持卡片：CPU卡（符合ISO144,4,3标准）,应用环境：用于门框、竖框和其它狭窄空间上,读卡距离,：,40mm,安全芯片,：,PSAM卡/SAM模块,密 钥：,自定义密钥,长度,128,位,安 全：卡和读卡器之间采用安全算法进行加密,输出格式：支持多种输出格式,防拆探测,：,支持,安全门禁读卡器,技术参数,：,支持卡片：CPU卡（符合ISO144,4,3标准）,密码键盘：支持卡控制密码方式,读卡距离,：,40mm,安全芯片,：,PSAM卡/SAM模块,密 钥：,自定义密钥,长度,128,位,安 全：卡和读卡器之间采用安全算法进行加密,输出格式：支持多种输出格式,防拆探测,：,支持,安全门禁读卡器,技术参数,：,支持卡片：CPU卡（符合ISO144,4,3标准）,读卡距离,：,40mm,安全芯片,：,PSAM卡/SAM模块,密 钥：,自定义密钥,长度,128,位,安 全：卡和读卡器之间采用安全算法进行加密,输出格式：支持多种输出格式,防拆探测,：,支持,密钥管理系统,在以,CPU,卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。,密钥管理系统,包括：密钥生成、分发、使用、存储、备份、更换、销毁等。客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户拥有密钥管理和发卡的主动权。,密钥生成和管理,产生新密钥的数据是以,AB,码单的形式将种子数据分成两部分，分别由两个人控制。,卡片初始化,针对用户卡,PSAM,卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等作。,密钥管理系统,用户不同的领导持有,A,、,B,码单。,支持发行密钥母卡和,PSAM,卡，确保了密钥的安全性。,建立独立的密钥，保证密钥管理和发卡的主动权。,功能特色,CPU卡,采用强壮的加密模块，密钥长度支持,128,位,.,支持密文传输，从而使攻击者不容易得手。,交易数据进行签名（,TAC,）的功能，无法伪造交易数据。,符合国际,/,国内标准 （,PBOC2.0,），良好的兼容,/,扩展性。,多应用，真正意义上的一卡多应用。,应用方式,方式一,新门禁系统建设,通过,密钥管理系统，生成新的密钥。,发行,CPU,卡（用户卡）。,发行,PSAM,卡，并安装到,CPU,卡安全门禁读卡器中。,安装使用,CPU,卡安全门禁读卡器。,通过的达实发卡器，识读用户卡，并将用户卡与后台人员基本信息建立对应关系，并下发授权到门禁控制器。,提供完善的二次开发接口和读卡助手等辅助工具。,应用方式,方式二,原有门禁系统的平滑升级,通过密钥管理系统，生成新的密钥。,导出系统中原有的卡号与人员对应关系。,通过密钥管理系统导入原门禁管理系统中的卡号对应关系，并发行新的用户,CPU,卡。,发行,PSAM,卡，并安装到达实安全门禁读卡器中。,将原来系统的门禁读卡器更换为达实安全门禁读卡器。,达实,安全门禁产品优势,应用范围,可广泛地应用于政府部门、金融证券、航空运输、军队机关、军工企业等安全级别较高的涉密单位、重点单位。,政府机关,军队机关,金融证券,航空运输,军工企业,