1、 同方安全門禁產品技術方案PAGE 同方安全門禁產品技術方案V2.0 擬制人:日期：審核人:日期：批準人:日期：同方股份有限公司目 錄 TOC o 1-3 h z u HYPERLINK l _Toc244326417 1概述 PAGEREF _Toc244326417 h 1 HYPERLINK l _Toc244326418 1.1背景 PAGEREF _Toc244326418 h 2 HYPERLINK l _Toc244326419 1.2產品定位 PAGEREF _Toc244326419 h 2 HYPERLINK l _Toc244326420 2產品組成與功能 PAGEREF

2、 _Toc244326420 h 2 HYPERLINK l _Toc244326421 2.1CPU卡門禁讀卡器 PAGEREF _Toc244326421 h 3 HYPERLINK l _Toc244326422 2.2CPU卡片 PAGEREF _Toc244326422 h 5 HYPERLINK l _Toc244326423 2.3CPU卡門禁密鑰管理系統 PAGEREF _Toc244326423 h 6 HYPERLINK l _Toc244326424 2.3.1軟件主要功能 PAGEREF _Toc244326424 h 6 HYPERLINK l _Toc2443264

3、27 2.3.2軟件功能特色 PAGEREF _Toc244326427 h 7 HYPERLINK l _Toc244326428 2.4CPU雙界面卡讀寫器 PAGEREF _Toc244326428 h 7 HYPERLINK l _Toc244326429 2.5門禁控制器及門禁管理軟件 PAGEREF _Toc244326429 h 8 HYPERLINK l _Toc244326430 2.5.1功能管理結構模式 PAGEREF _Toc244326430 h 9 HYPERLINK l _Toc244326431 2.5.2門禁控制器 PAGEREF _Toc244326431

4、h 9 HYPERLINK l _Toc244326432 2.5.3門禁管理軟件主要功能： PAGEREF _Toc244326432 h 10 HYPERLINK l _Toc244326433 3CPU卡門禁讀卡器應用方式 PAGEREF _Toc244326433 h 11 HYPERLINK l _Toc244326434 3.1原有門禁系統的平滑升級 PAGEREF _Toc244326434 h 11 HYPERLINK l _Toc244326435 3.2新門禁系統建設(使用同方門禁控制器) PAGEREF _Toc244326435 h 11 HYPERLINK l _To

5、c244326436 3.3新門禁系統建設(使用其它品牌門禁控制器) PAGEREF _Toc244326436 h 12 HYPERLINK l _Toc244326437 4產品優勢 PAGEREF _Toc244326437 h 12 HYPERLINK l _Toc244326438 5應用范圍 PAGEREF _Toc244326438 h 14 HYPERLINK l _Toc244326439 6成功案例 PAGEREF _Toc244326439 h 14概述背景 日前，工業和信息部發布了關于做好應對部分IC卡出現嚴重安全漏洞工作的通知，要求各地各機關和部門開展對IC卡使用情況

6、的調查及應對工作。工信部的這則通知的背景是主要應用于IC卡系統的MI芯片的安全算法已遭到破解！目前全國應用此技術的IC卡也都將面臨巨大的安全隱患。2008年，德國研究員亨里克普洛茨和美國弗吉尼亞大學計算機科學在讀博士卡爾斯滕諾爾就享受到了成功的喜悅：他們最先利用電腦成功破解了恩智浦半導體的Mifare經典芯片(簡稱MI芯片)的安全算法。他們所破解的MI芯片的安全算法，正是目前全世界應用最廣泛的非接觸IC卡的安全算法！這一科研成果被人惡意利用，那么大多數門禁系統都將失去存在的意義，而其他應用此種技術的IC卡也都將面臨巨大的安全隱患。 目前我國80%的門禁 HYPERLINK /list/news

7、_product.shtml t _blank 產品均是采用原始IC卡的UID號或ID卡的ID號去做門禁卡，沒有去進行加密認證或開發專用的密鑰，其安全隱患遠比Mifare卡的破解更危險，非法破解的人士只需采用專業的技術手段就可以完成破解過程。導致目前國內大多數門禁產品都不具備安全性原因之一，是因為早期門禁產品的設計理論是從國外引進過來的，國內大部分廠家長期以來延用國外做法，采用ID和IC卡的只讀特性進行身份識別使用，很少關注卡片與門禁機具間的加密認證，缺少安全密鑰體系的設計，而ID卡是很容易可復制的載體，導致此類門禁很容易在極短時間內被破解和復制。產品定位 有效防范門禁產品安全問題的根本解決方

8、案就是升級改造現有ID卡或邏輯加密卡門禁機具及卡片，并逐步將ID或邏輯加密卡門禁產品替換為更為安全可靠的CPU卡安全門禁產品。 為了應對當前M1卡破解問題，基于自主國產知識產權的CPU卡、CPU卡讀寫設備、CPU卡COS系統及CPU卡密鑰管理系統等。同方股份有限公司初適時推出同方CPU卡安全門禁系列產品，并同時推出將原有ID卡或非接觸邏輯加密卡門禁系統升級為更為安全可靠的非接觸CPU卡改造方案。產品組成與功能 同方股份有限公司推出的CPU卡安全門禁系統由以下幾個部分組成：CPU卡安全門禁讀卡器、CPU卡片、CPU卡發卡器、CPU卡門禁密鑰管理系統、門禁控制器、門禁管理軟件。CPU卡門禁讀卡器

9、TF-DF2080系列門禁讀卡器采用同方自主研發的專用讀卡芯片，能夠支持各種符合ISO14443 標準的非接觸CPU卡。CPU卡安全門禁讀卡器采用SAM(PSAM)與CPU卡的安全認證，建立了完整、嚴密的密鑰管理系統，充分使用了CPU卡安全特性，包括CPU卡和SAM卡的密鑰系統。密鑰注入SAM卡后，外部無法讀取。將SAM卡插入讀寫卡設備內，通過SAM卡和CPU卡進行雙向驗證。驗證報文是由隨機因子參與計算的，同一張卡在一臺設備上刷卡，每次都不相同，徹底杜絕“偽卡”的出現；密鑰實現方式如下：通過PSAM卡：在門禁讀卡器中安裝SAM卡座，所有的認證都是由安裝在SAM卡座中的SAM卡進行運算的。PSA

10、M卡一般支持標準DES和3DES算法，并可以根據密鑰長度自動選擇算法，具有明文加MAC、密文、密文加MAC三種方式的數據和密鑰線路保護功能。通過SAM硬件模塊：所有的認證都是由安裝在門禁讀卡器中的SAM模塊進行運算的。SAM模塊一般支持標準DES和3DES算法，并可以根據密鑰長度自動選擇算法，具有明文加MAC、密文、密文加MAC三種方式的數據和密鑰線路保護功能。同方門禁讀卡器創新性地將智能卡安全認證機制引入門禁控制領域，應用PSAM卡安全認證讀寫機制，極大地提高了傳統門禁讀卡器的安全級別。產品支持Weigand26/32/34/37通訊協議，適合配套各種型號的門禁控制器。產品支持PSAM卡安全

11、認證。主要技術參數：TF-DF6000系列產品外觀：CPU卡片 TF-CS2000系列非接觸CPU卡TF-CS2000系列非接觸CPU卡是由同方股份有限公司自主研發的一款帶有TDES/DES硬件加速功能的非接觸CPU 卡。該產品支持多應用防火墻，支持內外部雙向認證，具有硬件DES處理器和真隨機數發生器，符合IEC/ISO14443標準。具備防沖突機制，支持防插拔處理和數據斷電保護機制。適合于城市通卡、市民卡、企業通卡、校園通卡、金融消費、社會保險、門禁、考勤、停車場、身份識別、安全認證等各類高端IC卡應用領域。主要性能指標：數據容量：8Kbytes；技術規范：支持PBOC2.0的電子存折/電子

12、錢包/借貸記應用；支持社保卡規范；保存時間：最短10年；擦寫次數：至少10萬次；運算速度：最大848KBps通訊速率；交易時間：標準PBOC電子錢包交易時間80ms；讀寫距離：010cm；工作溫度：-25 +70產品外觀：CPU卡門禁密鑰管理系統 在以IC卡為應用載體的信息系統中,密鑰的管理是整個系統安全運行的基礎。密鑰管理系統的主要任務是進行密鑰的生成、發行和更新，它直接關系到整個系統的安全。客戶能過此軟件自行生成和管理各類應用密鑰，自行完成卡片的初始化工作，保證了客戶擁有密鑰管理和發卡的主動權。軟件主要功能密鑰生成和管理產生新密鑰的數據可以是AB碼單、密鑰種子等形式。AB碼單實際上是密鑰種

13、子的一種形式，它將種子數據分成兩部分，分別由兩個人控制，這樣可以提高系統的安全性。卡片初始化通過CPU卡的卡片初始化功能，實現CPU卡的密鑰灌裝和卡內結構初始化的工作。CPU卡的發行工作流程不同于以往的邏輯加密卡。首先，針對用戶卡建立卡片文件結構、寫入卡片應用序列號、安裝各工作密鑰等卡片初始化工作。然后，針對PSAM卡建立卡片文件結構、寫入卡片應用序列號、安裝各工作密鑰等卡片初始化工作。 軟件功能特色通過AB碼單方式，由用戶方不同的領導或管理人員分別持有A或B碼單，確保CPU卡各類應用密鑰的安全性。通過AB碼單生成各類應用密鑰，并支持發行PSAM卡，確保了密鑰的安全性。客戶能過此軟件自行生成和

14、管理各類應用密鑰，自行完成卡片的初始化工作，保證了客戶在密鑰管理和發卡的主動權。CPU雙界面卡讀寫器 同方TF2000RF雙界面卡一體化讀寫器內置非接觸通訊模塊，能夠支持包括同方雙界面卡在內的符合ISO14443 通訊協議的智能卡。它還同時支持非接觸式IC卡操作，具有兩個SAM卡槽，使之成為名副其實的“雙界面讀卡器”，方便用戶實現對非接觸智能卡諸如加密解密、卡片雙向認證、發卡等卡片交互操作，一臺讀寫器即可完成用戶卡與SAM卡間的整個交易流程。 主要技術參數： 通訊接口：RS232 讀取范圍：非接觸方式最遠5cm（取決于卡的類型） 電源：外接12V DC 功耗： 0.5W。 電磁兼容性：符合GB

15、9813-88 4.7中B級要求。 工作頻率：13.56MHz（非接觸方式） 讀取時間：50ms 卡座壽命：10萬次 工作溫度：050（環境溫度） 工作相對濕度：35%80% 非接觸卡支持類型：符合ISO14443 通訊協議的非接觸智能卡產品外觀： 門禁控制器及門禁管理軟件隨著高科技的蓬勃發展，智能化管理已經走進了人們的社會生活，一座座智能化大廈拔地而起，適應信息的時代需要,作為跨世紀使用的建筑,必須在功能上滿足當前和未來發展的需求,成為文化和經濟發展的基地。感應式IC卡出入管理控制系統（簡稱門禁系統），具有對門戶出入控制、實時監控、保安防盜報警等多種功能，它主要方便內部員工或住戶出入，杜絕外

16、來人員隨意進出，既方便了內部管理，又增強了內部的保安,從而為用戶提供一個高效和具經濟效益的工作環境。它在功能上實現了通訊自動化(CA)、辦公自動化 (OA) 和管理自動化 (BA), 以綜合布線系統為基礎,以計算機網絡為橋梁,全面實現對通訊系統、辦公自動化系統的綜合管理。門禁系統系統作為一項先進的高科技技術防范和管理手段，在一些經濟發達的國家已經廣泛應用于科研、工業、博物館、酒店、商場、醫療監護、銀行、監獄等，特別是由于系統本身具有隱蔽性，及時性等特點，在許多領域的應用越來越廣泛。功能管理結構模式模式一：單向感應式 （讀卡器控制器出門按鈕電鎖）使用者在門外出示經過授權的感應卡，經讀卡器識別確認

17、合法身份后，控制器驅動打開電鎖放行，并記錄進門時間。按開門按鈕，打開電鎖，直接外出。適用于安全級別一般的環境，可以有效地防止外來人員的非法進入。是最常用的管理模式。模式二：雙向感應式 （讀卡器控制器讀卡器電鎖）使用者在門外出示經過授權的感應卡，經讀卡器識別確認身份后，控制器驅動打開電鎖放行，并記錄進門時間。使用者離開所控房間時，在門內同樣要出示經過授權的感應卡，經讀卡器識別確認身份后，控制器驅動打開電鎖放行，并記錄出門時間。適用于安全級別較高的環境，不但可以有效地防止外來人員的非法進入，而且可以查詢最后一個離開的人和時間，便于特定時期（例如失竊時）落實責任提供證據。模式三：卡密碼式：刷完卡后，

18、必須輸入正確的密碼，才能開門。密碼是個性化的密碼，即一人一密碼。這樣做的優點在于，用于安全性更高的場合，即使該卡片給人揀到也無法進入，還需要輸入正確的密碼。門禁控制器同方TF-MJ系列數據存儲控制器采用領先國際先進水平的高速運算電路以及Flash海量存儲技術單片機設計，集處理、存貯、通訊功能于一塊印制電路板上，具有同通訊口終端快速拆除的特點，軟件監控每個口的通訊活動，選用記憶接口處理單元，可支持由上級站裝入的微程序控制存貯器。廣泛用于門禁、考勤、簽到、會員管理、消費、客戶管理、停車場管理等感應式IC卡的應用系統。感應式IC卡單門雙向 門禁數據存儲控制板感應式IC卡雙門雙向 門禁數據存儲控制板感

19、應式IC卡四門單向 門禁數據存儲控制板 參數指標 單門控制器 雙門控制器 四門控制器 PCB電路板尺寸 160mm長*106mm寬 160mm長*106mm寬 218mm長*106mm寬 控制箱尺寸及配套電源功率360mm*283mm*78mm 12VDC 4-7A電路板功耗 5VDC 小于100mA讀卡器輸入格式 Wiegand 26 (兼容該協議下的一切讀卡器,例如 Motorola 、HID、Wiegand EM、Mifare one等. ) 可接讀卡器數量 一對 兩對 四個 可控制門輸出 一組兩組 四組 信號輸出通訊格式和波特率 RS232 RS485自適應自檢總線結構, 38400

20、波特率 用戶注冊卡數量 2萬張卡 記錄脫機存儲數量 10萬條記錄 讀卡器到控制器最大聯機距離 100米 ， 建議80米內。 控制器到PC機最大聯機距離 RS232方式：20米（建議3米） RS485方式：1200米，建議1000米內，增加擴展設備可達3000米。 總線內控制器數量最多256臺.強制門狀態為常開或者常閉功能有有有遠程開門功能有有有互鎖功能有有反潛回 防尾隨功能有有多卡同時驗證后開門功能有有有定時常開門功能有有有外接密碼鍵盤功能有有有門禁管理軟件主要功能：區域管理：可根據建筑物安全技術防范的要求，設計限制區域的通行方式。如: 單卡、雙卡、卡+密碼、門鎖的啟/閉特性。 時間管理：具有

21、多個可編程時間區，每個時間區可定義“開始時間”、“終止時間”和每星期有效日。 可預編排全年節假日，在節假日時自動屏蔽平時所有功能，并自動執行節假日程序，持卡人只可經特定通道，在特定時間區內進出所保護的區域。 中央監控：管理主機可實時監視所有門禁點電鎖的開/關，以多級電子地圖、表格方式實時顯示所有門禁點的開關狀態，并可詳細查看每次開門的時間、日期、進出人員的卡號、姓名、隸屬部門、職務、個人肖像等資料。報警功能：當系統中出現非注冊卡、權限不符、門未關、電源及通信線路故障或遭受破壞時，監控中心會收到報警信號。值班人員通過監控終端或管理主機可查明報警原因和位置，并能立刻采取相應措施。 記錄查詢：系統中

22、發生的每個事件都有詳細記錄，如每次門鎖打開和關閉的時間、開門卡編號、報警輸入的原因和位置等。并根據需要進行分類，形成年、月、日報表。聯動控制：能夠實現與電視監控、入侵報警、火警、匪警自動報警系統的聯動；實現與建筑設備監控、電梯管理、智能化管理（BMS）的聯動。 CPU卡門禁讀卡器應用方式原有門禁系統的平滑升級 如果用戶要將現有的傳統門禁升級到基于CPU卡的安全門禁系統，使用同方推出的CPU卡安全門禁系統可以在不用更換原有控制器和門禁軟件的前提下，實現平滑升級，涉及到的工作內容如下：通過原來的門禁管理系統導出系統中原有的卡號與人員的對應關系。通過同方CPU卡密鑰管理系統，生成新的CPU卡密鑰。通

23、過同方CPU卡密鑰管理系統導入原門禁管理系統中的卡號對應關系，并發行新的用戶CPU卡。通過同方CPU卡密鑰管理系統，發行PSAM卡，并安裝到同方CPU卡安全門禁讀卡器中（如果是通過SAM卡模塊方式，則發行設置卡，將各類密鑰傳遞到門禁讀卡器中）。將原來的門禁讀卡器更換為同方CPU卡安全門禁讀卡器。新門禁系統建設(使用同方門禁控制器) 如果使用同方推出的CPU卡安全門禁系統來新建用戶方的門禁系統，涉及到的工作內容如下：通過同方CPU卡密鑰管理系統，生成新的CPU卡密鑰。通過同方CPU卡密鑰管理系統，并發行新的用戶CPU卡。通過同方CPU卡密鑰管理系統，發行PSAM卡，并安裝到同方CPU卡安全門禁讀

24、卡器中（如果是通過SAM卡模塊方式，則發行設置卡，將各類密鑰傳遞到門禁讀卡器中）。通過同方CPU卡門禁管理軟件，識讀新發行的用戶卡，并將用戶卡與后臺人員基本信息建立對應關系，并下發授權到門禁控制器。安裝使用同方CPU卡安全門禁讀卡器。新門禁系統建設(使用其它品牌門禁控制器) 如果使用其它公司門禁控制器和門禁管理系統來新建用戶方的門禁系統，使用同方的CPU卡安全門禁讀卡器和配套的密鑰管理系統，可以與其它公司的門禁控制器和門禁管理系統一并使用，以實現使用CPU卡安全門禁的目的，涉及到的工作內容如下：通過同方CPU卡密鑰管理系統，生成新的CPU卡密鑰。通過同方CPU卡密鑰管理系統，并發行新的用戶CP

25、U卡。通過同方CPU卡密鑰管理系統，發行PSAM卡，并安裝到同方CPU卡安全門禁讀卡器中（如果是通過SAM卡模塊方式，則發行設置卡，將各類密鑰傳遞到門禁讀卡器中）。通過第三方公司的門禁管理軟件，通過同方的CPU卡發卡器，識讀新發行的用戶卡，并將用戶卡與后臺人員基本信息建立對應關系，并下發授權到其它公司的門禁控制器。針對同方的CPU卡發卡器，同方提供完整的二次開發接口，可滿足第三方公司門禁管理軟件通過二次開發，借助同方的CPU卡發卡器實現對卡片規定區域的寫卡操作。安裝使用同方CPU卡安全門禁讀卡器。產品優勢高安全性同方CPU卡安全門禁產品，充分應用了基于CPU卡的各項安全設計：CPU卡片：同MIFARE1卡相比， CPU卡采用強大而穩定的安全控制器，增強了卡片的安全性，而非接觸傳輸接口又能滿足快速交易的要求。非接觸式 CPU卡在現有的技術條件下是不可偽造的；認證過程中，密鑰是不在線路上以明文出現的，它每次的送出都是經過隨機數加密的，而且因為有隨機數的參加，確保每次傳輸的內容不同，保證了交易內容的合法性。所以，采用非接觸式CPU卡可以杜絕偽造卡、偽造終端、偽造交易，最終保證了交易的安全性。