采用國(guó)密非接觸IC卡門(mén)禁系統(tǒng)的技術(shù)

門(mén)禁系統(tǒng)現(xiàn)狀及存在問(wèn)題

門(mén)禁系統(tǒng)采用的門(mén)禁卡分為兩類(lèi)：125KHZ的低頻只讀卡、13.56MHZ的高頻讀寫(xiě)卡。
125KHZ的低頻只讀卡，與普通磁卡類(lèi)似，明碼格式，無(wú)需要破解，用通用編程器可仿制卡號(hào)。早期技術(shù)，安全性差。屬于淘汰技術(shù)，通常用于安全性要求不高的小區(qū)，不適用于涉密單位、高保安場(chǎng)所。

常用的13.56MHZ的高頻讀寫(xiě)卡，可以理解為帶口令的U盤(pán)，由口令來(lái)保護(hù)卡類(lèi)數(shù)據(jù)，安全級(jí)別中等，通常用來(lái)做為小額電子錢(qián)包、身份識(shí)別卡。此次被破解的Mifare 1卡屬于此類(lèi)的一種，并且破解方式已公開(kāi)，因此采用Mifare 1門(mén)禁系統(tǒng)存在安全隱患！

此次解密風(fēng)波引起了業(yè)界的思考，新建的門(mén)禁系統(tǒng)如何提高安全性呢？已建的采用Mifare 1卡門(mén)禁系統(tǒng)有什么升級(jí)方案嗎？

非接觸IC卡的種類(lèi)及相關(guān)標(biāo)準(zhǔn)

在討論如何消除目前的隱患前，我們先總結(jié)一下非接觸IC卡的技術(shù)總體現(xiàn)狀。非接觸IC卡已徹底取代磁卡，成為自動(dòng)識(shí)別卡片的主流。非接觸IC卡按照頻率，可以劃分為四類(lèi)。如表所示。

125KHZ的低頻只讀卡，出現(xiàn)在1979年，這些低頻卡的ID號(hào)存儲(chǔ)介質(zhì)是EEPROM，具有電擦寫(xiě)功能，可反復(fù)多次寫(xiě)入，因此ID號(hào)極易偽造，且無(wú)相關(guān)的國(guó)際標(biāo)準(zhǔn)。

超高頻915MHZ、微波卡2.5GHZ是近幾年的新產(chǎn)品，讀卡最大距離達(dá)10m。相關(guān)ISO/IEC 18000國(guó)際標(biāo)準(zhǔn)沒(méi)有最終完成。

13.56MHZ高頻讀寫(xiě)卡，比125KHZ的低頻卡傳輸速率快100倍，是應(yīng)用最廣泛的，誕生于1993年，此后不斷發(fā)展，產(chǎn)品線不斷豐富。根據(jù)讀卡距離不同，分為兩個(gè)標(biāo)準(zhǔn)，ISO/IEC 14443標(biāo)準(zhǔn)、ISO/IEC 15693。ISO/IEC 14443最大距離為10cm，ISO/IEC 15693標(biāo)準(zhǔn)非接觸IC卡最大距離為100cm。

ISO/IEC 14443由于問(wèn)世較早，且由于城市公交的大規(guī)模采用，芯片、讀卡機(jī)具發(fā)展成熟，從而同時(shí)成為門(mén)禁卡的選型主流。符合ISO/IEC 14443的Mifare 1卡由于采用偽隨機(jī)數(shù)來(lái)用于三重認(rèn)證、48位密鑰長(zhǎng)度也過(guò)短，導(dǎo)致該卡加密算法被破解。因此新的非接觸IC卡需要在隨機(jī)數(shù)產(chǎn)生機(jī)理、密鑰長(zhǎng)度、加密算法上加以提升。而13.56MHZ通訊頻率、以及ISO/IEC 14443的通訊協(xié)議將繼續(xù)被采用。

支持國(guó)家密碼局密碼算法的非接觸式芯片

Mifare 1卡風(fēng)靡全球、各行各業(yè)爭(zhēng)相采用的普及程度是該芯片廠家始料未及的。盡管芯片廠家推出了有關(guān)升級(jí)芯片，但由于價(jià)格、技術(shù)普及等因素沒(méi)有被大部分市場(chǎng)接受。為了保證我國(guó)智能卡市場(chǎng)健康有序的發(fā)展，在國(guó)家密碼管理局的支持和組織下，早在2007年，我國(guó)就開(kāi)展了我國(guó)自主產(chǎn)權(quán)的、專門(mén)應(yīng)用于RFID市場(chǎng)的密碼算法研制工作，取得成功。該密碼算法也得到我國(guó)眾多集成電路芯片廠商的極力推崇和遵循，成功推出了相關(guān)產(chǎn)品。以華虹集成電路公司產(chǎn)品為例，該公司SHC1112芯片通過(guò)了國(guó)家密碼管理局的產(chǎn)品認(rèn)證。

SHC1112卡芯片集成了國(guó)家密碼管理局提供的128位密鑰SM7密碼算法，采用該算法來(lái)保護(hù)數(shù)據(jù)交換的安全。其三重認(rèn)證示意圖如下：

Ek（）表示對(duì)括號(hào)內(nèi)的內(nèi)容進(jìn)行加密運(yùn)算，加密采用SM7密碼算法。
認(rèn)證通過(guò)后，所有交易通信數(shù)據(jù)由SM7密碼算法加密后傳遞。

主要技術(shù)指標(biāo)

采用ISO/IEC14443 TypeA非接觸通訊方式，支持抗沖突協(xié)議
數(shù)據(jù)通訊速率106Kbps
4字節(jié)唯一序列號(hào)UID
支持SM7密碼算法
支持ISO/IEC DIS9798-2三次傳送鑒別相互認(rèn)證體制
EEPROM存貯容量1K字節(jié)，劃分為64塊，每塊16字節(jié)
每個(gè)數(shù)據(jù)塊可單獨(dú)設(shè)定訪問(wèn)權(quán)限，訪問(wèn)權(quán)限可由用戶定義
EEPROM數(shù)據(jù)保存時(shí)間：大于10年
EEPROM數(shù)據(jù)擦寫(xiě)次數(shù)：大于10萬(wàn)次
天線輸入引腳ESD：4000V（HBM）

相對(duì)于傳統(tǒng)的門(mén)禁系統(tǒng)設(shè)計(jì)，該設(shè)計(jì)主要做了兩點(diǎn)創(chuàng)新：

1：發(fā)卡密鑰系統(tǒng)
國(guó)密卡發(fā)卡流程大體可分為三個(gè)步驟： (1)卡結(jié)構(gòu)建立； (2)密鑰寫(xiě)入； (3)個(gè)人化處理 。

(1)卡結(jié)構(gòu)建立
應(yīng)對(duì)卡片結(jié)構(gòu)進(jìn)行統(tǒng)一規(guī)劃，包括主文件、密鑰文件、公共信息基本信息文件、個(gè)人基本信息文件、應(yīng)用文件、記錄文件、目錄文件等。

(2)密鑰寫(xiě)入
包括發(fā)卡單位主密鑰、專項(xiàng)應(yīng)用子密鑰、管理性密鑰等。密鑰發(fā)卡中心集中寫(xiě)入后的初始化卡分發(fā)給各發(fā)卡單位。

(3)個(gè)人化處理
發(fā)卡單位根據(jù)自己的發(fā)卡單位主密鑰，進(jìn)行本單位個(gè)人基本信息文件、應(yīng)用文件裝入，并且表面打印照片、姓名等，這樣完成個(gè)人化處理的卡片，就可發(fā)給持卡人。

2：讀卡器新增SAM卡
根據(jù)發(fā)卡密鑰系統(tǒng)制作相應(yīng)的SAM卡，由SAM卡完成讀卡器與卡片的信息交換。
對(duì)于新建門(mén)禁系統(tǒng)可以直接采用該方案。對(duì)已建的門(mén)禁系統(tǒng)則需要更換舊讀卡器、舊卡片，門(mén)禁軟件需要增加與新的發(fā)卡密鑰系統(tǒng)的接口。門(mén)禁控制器原則上可以保留。

以上采用國(guó)密算法的非接觸IC卡門(mén)禁系統(tǒng)已成功使用與有關(guān)部委的新建與改造門(mén)禁一卡通系統(tǒng)。