商用密码产品认证-安全电子门禁系统标准与产品

  • 1、产品概述
    • 1)电子门禁系统的组成
    • 2)电子门禁系统的密码应用方案
  • 2、相关标准规范
  • 3、标准和产品应用要点
    • 1) 应结合门禁卡发卡过程,理解电子门禁系统的密钥管理机制
    • 2) 应综合考虑电子门禁系统整体的安全性

1、产品概述

电子门禁系统是实现物理环境访问控制程序的有效手段,目前通常基于非接触式智能IC卡实现。GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》规定了采用非接触式IC卡的门禁系统使用的密码算法、密码设备、密码协议和密钥管理等技术要求。截止2019年12月,已有10余款电子门禁相关产品获得了商用密码产品型号证书。
商密认证过程中遇到问题可站内联系或15011462285.为您提供服务。

1)电子门禁系统的组成

采用非接触式智能IC卡的门禁系统基于对称密码机制,其密码应用涉及应用系统、密钥管理及发卡系统,如下图所示。

应用系统一般由门禁卡、门禁读卡器和后台管理系统构成,通过各设备内的安全模块对系统提供密码安全保护。主要有两种模块:
①门禁卡的安全模块:用于门禁读卡器或后台管理系统的对门禁卡进行身份鉴别时提供密码服务。
②门禁读卡器、后台管理系统内的安全模块:用于对门禁卡进行身份鉴别时提供密码服务。在门禁系统的具体方案设计时,可选择在门禁读卡器或后台管理系统内配用安全模块。在门禁读卡器中,射频接口模块负责读卡器余门禁卡间的射频通信:微控制单元负责读卡器内部数据交换,并与后台管理系统及门禁执行机构进行通信。
密钥管理及发卡系统分为密钥管理子系统和发卡子系统。主要功能如下:
①密钥管理子系统的功能是为门禁系统的密码应用生成密钥。具体地,通过子系统的密码模块发行设备来初始化密码模块,并向密码模块中注入密钥,从而完成密码模块的发行。
②发卡子系统的功能是通过门禁卡发卡设备进行发卡。具体地,依次完成初始化门禁卡、向门禁卡中注入密钥和写入应用信息等工作。

2)电子门禁系统的密码应用方案

在GM/T 0036-2014中,针对非接触式智能IC卡介绍了两种密码应用参考方案,第一种是基于SM7分组加密算法的非接触式逻辑加密卡方案,第二种是基于SM1/SM4分组加密算法的非接触式CPU卡方案。由于CPU卡应用范围广,且SM4算法是我国标准分组密码算法,所以,下面着重介绍基于SM4分组密码算法的非接触式CPU卡方案。

门禁卡采用SM4算法的智能CPU卡,卡内存放发行信息和卡片密钥,并具有COS;门禁卡与非接读卡器之间采用SM4算法进行身份鉴别和数据加密通信;在发卡系统和读卡器各自的安全模块中同样采用SM4算法进行门禁卡的密钥分散,实现一卡一密。

根据安全模块所在的位置,基于SM4算法的非接触式CPU卡方案的电子门禁系统有两种实现方式:方式一是将安全模块部署在门禁卡及门禁读卡器中,方式二是将安全模块部署在门禁卡及后台管理系统中。

采用方式一的电子门禁系统如下图所示。门禁读卡器直接对门禁卡做身份鉴别,并根据鉴别结果控制门禁功能的执行。门禁读卡器使用安全模块的SM4算法对安全模块内预存的系统根密钥进行分散,得到与当前门禁卡对应的卡片密钥,然后使用安全模块的SM4算法和该卡片密钥对门禁卡进行身份鉴别。门禁读卡器上传门禁卡身份鉴别的结果给后台管理系统,后台管理系统进行实时或非实时门禁权限及审计管理,门禁执行机构具体执行,完成门禁操作。

采用方式二的电子门禁系统如下图所示。门禁读卡器不直接对门禁卡做身份鉴别而是由后台管理系统对卡片进行身份鉴别,并根据鉴别结果控制门禁功能的执行,因此适用于门禁读卡器实时在线操作的情况。其身份鉴别的具体过程如下图所示,具体如下:

第一步:门禁读卡器读取门禁卡。
第二步:门禁卡将卡片唯一标识UID,以及用于卡片一卡一密密钥分散用的特定发行信息Ci发送给读卡器。
第三步:门禁读卡器发送一个内部鉴别命令给门禁卡,并发送随机数Ra给门禁卡
第四步:门禁卡内部存在卡片中的一卡一密密钥KeyC对该随机数用SM4算法做加密运算,得到Ra’=Enc(KeyC, Ra)并回发给门禁读卡器。
第五步:门禁读卡器传送该Ra、Ra’、UID和Ci到后台管理系统。
第六步:后台管理系统在得到上述信息后,即可进行门禁卡的身份鉴别工作。首先利用门禁卡的UID和Ci等分散因子,利用保存在安全模块中的系统根密钥Keyr,用SM算法分散得到门禁卡的一卡一密密钥KeyC,即KeyC=Enc(Keyr, UID,Ci)。再用此一卡一密密钥对Ra采用SM4算法做加密运算,即Ra’’=Enc(Keyc,Ra),如果Ra’ == Ra’’,则对门禁卡的身份鉴别通过,否则鉴别不通过。
第七步:后台管理系统鉴别卡片唯一标识是否为黑名单,如不是,则卡片为系统内合法门禁卡,发出开门信息到门禁执行结构开门。同时使用安全模块产生下一次门禁读卡器用于身份鉴别的随机数Ra+1,并同本次鉴别结果发送至门禁读卡器。门禁读卡器接收并存储该随机数,将其用于下一次门禁的内部鉴别命令的身份鉴别过程。

2、相关标准规范

在密码行业标准中,与电子门禁相关的标准是GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》。该标准内部引用了GM/T 0035.4-2014,即门禁卡和门禁读卡器或后台管理系统之间的鉴别方式需遵循GM/T 0035.4-2014中定义的单向、双向鉴别流程。

3、标准和产品应用要点

采用非接触式智能IC卡的电子门禁系统在使用时应遵循标准GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》。下面将根据上述产品标准给出应用要点。

1) 应结合门禁卡发卡过程,理解电子门禁系统的密钥管理机制

电子门禁系统的根密钥存放在执行密码算法的安全模块中,安全模块的发行是通过门禁后台管理系统使用密钥管理子系统密码设备,生成门禁系统的根密钥,然后将根密钥安全导入安全模块中。
以基于SM4算法的非接触式CPU卡系统为例,门禁卡发卡是通过后台管理系统使用SM4算法对系统根密钥进行密钥分散,实现一卡一密,为每个卡片生成唯一的卡片密钥。具体而言,发卡读写器采用SM4算法对卡片进行身份鉴别,完成应用目录、文件系统等数据结构的初始化并完成卡片密钥下载,以及对卡片进行持卡人信息与签发单位信息的写入。

2) 应综合考虑电子门禁系统整体的安全性

标准GM/T 0036只强调了对密码应用的安全要求,从系统整体的安全性出发,在系统使用时还应考虑一下因素:
① 后台管理系统的管理要去;
② 门禁读卡器与后台管理系统的安全保障;
③ 其他与密码安全机制无关的管理及技术措施,如口令识别、生物特征识别、人员值守等。
在系统方案设计及应用时,需针对具体应用情况在使用密码技术提供安全保障的基础上,采取其他适当的管理和技术措施,以增强门禁系统的安全性。

商用密码产品认证-安全电子门禁系统相关推荐

  1. 商用密码产品认证-动态口令系统标准与产品

    商用密码产品认证-动态口令系统标准与产品 产品概述 相关标准 标准和产品应用要点 (1)应结合动态口令生成过程,理解动态口令系统的密钥体系结构 (2)应注意种子密钥写入动态令牌过程的安全 (3)种子密 ...

  2. 商用密码产品认证-智能IC卡

    商用密码产品认证-智能IC卡 产品概述 相关标准规范 应用要点 产品概述 智能IC卡是将一个或多个集成电路芯片嵌装于塑料基片上制成的卡片,卡内的集成电路具有数据存储.运算和判断功能,并能与外部进行数据 ...

  3. 新商用密码产品认证梳理——参考资料篇

    参考资料如下: 国家密码管理局 市场监管总局 <关于调整商用密码产品管理方式的公告> 市场监管总局 国家密码管理局 <关于开展商用密码检测认证工作的实施意见> 市场监管总局 国 ...

  4. 新商用密码产品认证梳理——政策法规篇

    相关政策 2019年12月,国家密码管理局 国家市场监督管理总局公告(第 39 号) 概要如下: 自2020年1月1日起,国家密码管理局不再受理商用密码产品品种和型号申请,停止发放<商用密码产品 ...

  5. 新商用密码产品认证梳理——认证流程篇

    商用密码产品认证包括: 型式试验 + 初始工厂检查 + 获证后监督 型式试验:检测机构进行产品测试 初始工厂检查:对生产企业实施初始工厂检查,包括其生产能力.质量保障能力.安全保障能力和产品一致性控制 ...

  6. 商用密码产品认证实施细则智能密码钥匙

    1 适用范围 本细则依据<商用密码产品认证规则>(以下简称认证规则)编制,作为认证规则的配 套文件,与认证规则共同使用,适用于智能密码钥匙产品认证. 2 认证依据 GM/T 0027< ...

  7. 商用密码产品及对应规范介绍

    商用密码产品及对应规范介绍 #密码标准框架 按照层级来划分,密码相关标准分为密码行业标准.国家标准和国际标准. 密码行业标准由密码行业标准化技术委员会(密标委)主导,密标委负责密码技术.产品.系统.管 ...

  8. 2022年商用密码行业市场规模前景调研分析预测及投资建议可行性研究预测

    2022年商用密码行业市场规模前景调研分析预测及投资建议可行性研究预测 (1)中国商用密码行业发展情况:中国商用密码发展起步较晚,历程始于近现代密码时代.整体来看,我国商用密码经历了起步形成.快速发展 ...

  9. 商用密码产品密码模块分级检测申请材料编写介绍

    密码模块分级检测申请材料 编写说明 前言 材料编写说明 总体说明 密码模块规格 密码模块接口 角色.服务与鉴别 软件/固件安全 运行环境 物理安全 非入侵式安全 敏感安全参数管理 自测试 生命周期保障 ...

  10. 商用密码应用与安全性评估要点笔记(FAQ)

    5 商用密码应用安全性评估FAQ汇编 词条 内容 密钥应用基本要求的等级 一般按照信息系统网络安全等级保护的级别确定.对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级. [宜] ...

最新文章

  1. cocos2d-x中的curl
  2. 后盾网lavarel视频项目---lavarel中间件(使用中间件拦截没登录的用户)
  3. Common sql statement
  4. java影院购票系统开题报告,开题报告-网上电影院购票系统的设计与实现.doc
  5. MySQL调优(五):MySQL查询优化分析
  6. 剑指Offer_61_序列化二叉树
  7. springboot 关于 Class path contains multiple SLF4J bindings.警告的解决
  8. rust进水器怎么用_喷丝板钻孔速度太慢怎么办?用这款增速器,效率提高35%
  9. 根据用户名或者厂商名称生成相关的弱口令
  10. mysql 执行计划不对_MySQL执行计划显示与执行过程不符合
  11. iOS开发UI篇—控制器的创建
  12. golang net/http访问https
  13. swap使用率达到100%的解决办法
  14. Unity3D脚本学习1
  15. 单网口RFC2544测试——信而泰网络测试仪实操
  16. 暗时间 刘未鹏
  17. 计算机科学与技术[计算机及应用](本科)自考
  18. Linux系统ARM32(64位不同)体系内存分页(ARM没段寄存器,分页内存内核和进程共用一套,页目录基址是CP15 C2控制的TTBR0,没用TTBR1,二级表基址alloc获取
  19. Win10 安装node.js
  20. php5.6解密软件,php解密:php5.4 zend解密核心代码分享

热门文章

  1. Altium Designer(AD)软件绘图一般步骤
  2. 禾川Q1系列PLC官方教程
  3. 活动预约报名小程序已优化点与待优化点
  4. 5G及移动边缘计算(MEC)学习笔记(1)
  5. Materialise Mimics Innovation Suite Research 19.0 X64安装包原版
  6. 485转4-20mA信号转换0-10v5v电压电流采集模块
  7. 有哪些 pmp 资料分享?
  8. TCP/UDP测试工具下载及使用教程
  9. MacOS下安装R语言和RStudio教程(超完整)
  10. Excel数据分析案例二——预测销售额