物理門禁控制系統(tǒng)實現(xiàn)原理

　　目前，全球范圍內(nèi)已經(jīng)有眾多公司可以大規(guī)模生產(chǎn)電子鎖，無論是接觸式還是非接觸式。其主要元件是內(nèi)置固件(例如軟件程序)和存儲器的微控制器，存儲器用于存儲可以被鎖具接受的密鑰(例如序列號或文本串)?；谠O(shè)計，門鎖應(yīng)具備配合質(zhì)詢、響應(yīng)鑰匙工作的所有資源。所有鎖具均需要固件更新。

　　DS1961S質(zhì)詢-響應(yīng)iButton內(nèi)置SHA-1引擎，于2002年推向市場。而非接觸式器件MAX66140 ISO 15693兼容安全存儲器扣則于2010年面世。雖然通信接口和外形尺寸大有區(qū)別，但兩個器件具有許多共同點，如表1所示。二者均支持SHA-1認(rèn)證，具有64位密鑰和1024位用戶可編程EEPROM?？梢匝b載密鑰并進(jìn)行計算(這一步不需要認(rèn)證)、寫保護(hù)。對存儲器的寫操作需要認(rèn)證，即只有在確認(rèn)器件密鑰正確的前提下才能進(jìn)行寫操作。作為新產(chǎn)品，MAX66140采用5字節(jié)質(zhì)詢，與DS1961S所采用的3字節(jié)質(zhì)詢不同。MAX66140還提供存儲器寫次數(shù)計數(shù)器，使篡改檢測更容易實現(xiàn)，并且可以使器件應(yīng)用從門禁控制擴展到閉環(huán)電子支付系統(tǒng)。

　　表1. DS1961S與MAX66140對比*MAX66040計劃提供具有ISO/IEC 14443 B型接口同等密鑰的產(chǎn)品。

　　高度安全的質(zhì)詢-響應(yīng)認(rèn)證

　　建立并保持一個質(zhì)詢-響應(yīng)認(rèn)證系統(tǒng)需要鑰匙編程器(即一套電子裝置)，根據(jù)系統(tǒng)要求，可能還需要一個鑰匙主機。鑰匙編程器必須清楚供應(yīng)商規(guī)定的數(shù)據(jù)轉(zhuǎn)換和加密算法，以產(chǎn)生所需要的密鑰。如果系統(tǒng)支持這一功能，可以按照門鎖存儲的列表，利用鑰匙主機更新已知鑰匙的ID號。對于任何安全系統(tǒng)，都要嚴(yán)格控制這些物理層工具，以防非法使用。

　　創(chuàng)建新鑰匙或復(fù)制鑰匙

　　經(jīng)過授權(quán)的管理人員可以使用鑰匙編程器在一把空鑰匙內(nèi)安裝一個有效的密鑰，并在存儲器寫入有效數(shù)據(jù)(復(fù)制鑰匙時，數(shù)據(jù)從另一把鑰匙直接拷貝)。由此，即可獲得一把新鑰匙。根據(jù)具體門鎖的固件，可能需要使用鑰匙主機在鎖內(nèi)已知的密鑰列表中加入新的鑰匙ID。黑客可以在一把空鑰內(nèi)加入任何密鑰，然后在開放可讀存儲器中存入有效數(shù)據(jù)。然而，這樣得到的鑰匙幾乎不可能通過質(zhì)詢、響應(yīng)認(rèn)證，因為它的密鑰是無效的。

　　更改鑰匙的接入權(quán)限

　　利用鑰匙編程器，經(jīng)過授權(quán)的管理員可以更新存儲器數(shù)據(jù)，以更改鑰匙權(quán)限。如果不知道密鑰或沒有接入適當(dāng)設(shè)備，黑客就無法得到MAC寫入權(quán)限，因而也就不能對鑰匙存儲器進(jìn)行寫操作。

　　報廢一把鑰匙

　　利用鑰匙編程器，管理員可以更改鑰匙存儲器的內(nèi)容，將其設(shè)置在“出廠默認(rèn)設(shè)置”或其它任何無效狀態(tài)，但密鑰將保留不變。如果鎖內(nèi)保留了已知密鑰列表，建議將無效密鑰的ID從鎖內(nèi)刪除?？梢栽谝院笫褂脮r重新恢復(fù)鑰匙密鑰。黑客的做法是通過強制措施建立密鑰。

　　防克隆保護(hù)

　　可以考慮這樣一種情況，黑客借助竊聽或記錄裝置獲得有效的密鑰，然后將其重復(fù)發(fā)送到門鎖，并對記錄數(shù)據(jù)進(jìn)行分析，獲得門鎖發(fā)出的質(zhì)詢以及鑰匙生成MAC。如果固件設(shè)計合理，質(zhì)詢應(yīng)該是隨機數(shù)，使得黑客不可能得到所有質(zhì)詢響應(yīng)的組合，最終放棄這一盜竊渠道。

　　如果固件設(shè)計不合理，采用固定質(zhì)詢，或者從一個很小的模板中隨機產(chǎn)生質(zhì)詢，這會給黑客可乘之機。黑客可以利用有效的鑰匙ID、存儲器數(shù)據(jù)以及門鎖發(fā)送的質(zhì)詢和讀取的相應(yīng)認(rèn)證MAC，配置鑰匙仿真器。如果黑客保存了已知密鑰列表，最簡單的對策就是刪除門鎖中的列表。對于沒有使用這樣列表的系統(tǒng)也不是沒有防備。為了偵測鑰匙仿真器，可以讓門鎖在鑰匙內(nèi)部沒使用的存儲單元寫入一個隨機數(shù)。仿真器也將接受這些寫操作，因為它不能識別哪些MAC寫操作有效。隨后，門鎖將剛寫入的數(shù)據(jù)和讀取頁的驗證MAC一起讀回。由于不能進(jìn)行此項操作，仿真器無法產(chǎn)生有效MAC，因而操作失效。

　　密鑰泄露保護(hù)

　　可以裝載或計算作為質(zhì)詢、響應(yīng)認(rèn)證密鑰的64位數(shù)據(jù)，最糟糕的設(shè)計是把同一密鑰寫入系統(tǒng)的所有鑰匙。一旦密鑰泄露或通過反復(fù)試驗被發(fā)現(xiàn)，系統(tǒng)的安全防線將被摧毀。因此，進(jìn)行質(zhì)詢、響應(yīng)認(rèn)證的鑰匙可以根據(jù)初始(當(dāng)前或裝載的)密鑰、部分密鑰、存儲器頁數(shù)據(jù)以及器件指定常數(shù)，計算新的密鑰。采用這種方式，密鑰不會暴露在外部。將鑰匙的64位ID作為部分密鑰，可以產(chǎn)生器件的專用密鑰。如果該鑰匙的密鑰泄露，只需要修復(fù)這把鑰匙，而不需要更新整個系統(tǒng)。

　　結(jié)論

　　在一些安裝了電子鎖或電子門禁的場所，通過質(zhì)詢-響應(yīng)認(rèn)證系統(tǒng)可以明顯改善系統(tǒng)的安全性。質(zhì)詢-響應(yīng)鑰匙可以采用接觸式接口或無線接口。受保護(hù)的質(zhì)詢-響應(yīng)鑰匙中的數(shù)據(jù)可以防止非法修改。存儲器的寫次數(shù)計數(shù)器監(jiān)測篡改操作?？寺〉馁|(zhì)詢-響應(yīng)鑰匙無法通過認(rèn)證測試，即使公開可讀存儲器的數(shù)據(jù)是有效的。對質(zhì)詢-響應(yīng)鑰匙進(jìn)行升級非常簡單，只需在鎖內(nèi)或讀取裝置內(nèi)設(shè)置新的密鑰或安裝新的固件。