1技術背景
自從2009年2月Mifare 1卡密鑰破解事件被社會媒體廣泛關注之后,非接觸邏輯加密卡的安全性問題已經成為智能卡行業各個媒體最熱門的話題之一。傳統NXP公司的Mifare 1卡算法被破解�,給門禁產品乃至整個安防行業的安全性帶來了安全危機��。可以預見,如果這一科研成果被人惡意利用���,那么大多數門禁系統都將失去存在的意義。對于Mifare 1 卡芯片出現的安全危機��,國家工業和信息部���、國家密碼管理局等主管單位第一時間下發了相關政策文件��,要求各行業���、各級單位給予充分的重視�����。
.jpg)
目前國內的政府機關、司法�、軍工�����、監獄、公安及國家重點部門等將原有ID卡或邏輯加密卡門禁系統更換成更為安全的CPU卡門禁產品已經迫在眉睫。另外�����,新建智能大廈項目中的一卡通應用等也存在著巨大的安全隱患�。
采用國產自主知識產權的CPU卡和CPU卡一卡通系統可以有效地解決目前傳統基于Mifare 1 邏輯加密卡的一卡通系統存在嚴重的安全隱患。
同方銳安科技有限公司(原同方智能卡產品公司)定位于CPU卡及RFID技術為基礎的各類行業應用,是智能卡�、電子標簽���、讀寫機具�、行業應用軟件的供應商和服務提供商�����。依托于同方股份有限公司在智能卡行業的芯片設計�����、標簽封裝����、機具制造、軟件中間件的完整產業鏈布局�,公司在CPU卡行業應用領域積累了大量的成功案例:推出了基于非接觸CPU卡技術的一卡通系統��,可廣泛地應用于政府部門、金融證券�、司法監獄��、軍隊機關、軍工企業等安全級別較高的涉密單位�、重點單位的智能樓宇一卡通系統�。
2行業背景
一卡通系統從最初的門禁系統逐漸成為廣泛應用的一卡通系統����,幾乎無所不能地涉及到單位運作管理的各個方面,從目前的應用來看��,已經衍生出考勤��、訪客�、巡更��、會議簽到�、消費����、停車場出入、電梯控制等多個子系統模塊�����,而且隨著人員身份認證�����、物品認證等需求的拓展�,智能卡系統的應用領域還在不斷擴展���。
智能樓宇一卡通系統做為建筑智能化應用系統中一個子系統��,集中保存著持卡人員的基本資料信息和一卡通系統運行數據,集中處理一卡通的系統運作��,多個應用子系統共用同一張智能卡,在同一個平臺、同一個數據庫中完成系統內所有人員的基本資料���、各子系統的讀卡信息的運作、存儲和共享,以實現門禁�、考勤���、消費等子系統模塊的應用功能�����。
智能樓宇一卡通系統應實現持卡人在消費場所的持卡消費行為; 需要實現充值、刷卡消費�、自助領取補貼等操作的歷史記錄的自助查詢功能����;同時要考慮對卡片的消費額度和次數限制�����,以保護丟失卡片者的損失���。
作為智能化系統集成的一個組成部分����,智能樓宇一卡通系統應具有開放性�,系統平臺通過OPC、SOCKET等標準的接口協議,可掛接與捆綁在IBMS、BAS等系統中,實現相應的功能整合�,實現與監控系統���、消防系統、設備管理系統聯動�����。
智能樓宇一卡通系統應實現與OA���、HR等單位運作管理系統的數據對接���,例如:通過系統間的數據整合�,一卡通系統中持卡人員基本數據可以隨著人力資源部門相關數據的變化而及時更新;ERP系統可以及時獲取一卡通系統中持卡人員考勤信息數據等。
3建設目標
通過智能樓宇CPU卡一卡通管理系統強大的軟件功能組合和完善的硬件配套設備,智能樓宇的工作人員僅憑一張CPU卡就可進行消費�、門禁出入控制��、考勤管理、會議簽到、車輛出入管理����,人員訪客出入管理等“一卡通”服務�����,并可以拓展到巡更、電梯控制等系統以及與HR系統�����、OA系統�、財務系統、ERP系統��、IBMS等系統對接���。
4卡片選型
非接觸CPU卡與Mifare 1卡片相比�,擁有獨立的CPU處理器和芯片操作系統,所以可以更靈活的支持各種不同的應用需求及更安全的設計交易流程���。非接觸式CPU卡具有三種認證方式����,持卡者合法性認證——PIN校驗,卡合法性認證——內部認證���,系統合法性認證——外部認證,對交易的各個單元(持卡人�����、卡片、終端設備)進行相互認證��,保證交易介質的合法性��。在以上認證過程中��,密鑰不在線路上以明文出現,其每次送出都經過隨機數加密�����,而且因為隨機數的參加�,確保每次傳輸的內容不同,保證了交易內容的合法性�。所以�����,采用非接觸式CPU卡可以杜絕偽造卡、偽造終端�、偽造交易���,最終保證了交易的安全性���。
基于以上分析���,智能樓宇CPU卡一卡通管理系統采用了同方TF-CS2000系列非接觸CPU卡,這是由同方自主研發的一款帶TDES/DES硬件加速功能的非接觸CPU 卡�。該產品支持多應用防火墻��,支持內外部雙向認證,具有硬件DES處理器和真隨機數發生器�,符合IEC/ISO14443標準���;具備防沖突機制���,支持防插拔處理和數據斷電保護機制��,適合各類高端CPU卡應用領域。
5系統組成
系統包含一卡通中心平臺���、交易類應用平臺、身份類應用平臺��、自助服務應用平臺�,并由密鑰管理模塊、卡片初始化模塊�、中心管理模塊�、卡務管理模塊����、消費管理模塊、門禁管理模塊���、考勤管理系統、在線巡更管理、人員訪客管理、自助查詢模塊等構成���,如圖所示。
.jpg)
(1)一卡通中心平臺系統:是一卡通的核心層,由一卡通中心數據庫及身份管理���、交易結算管理、系統管理等各類模塊組成�����,主要對一卡通的各類應用子系統和硬件終端進行綜合管理��,管理業務流和數據流。
(2)一卡通應用子系統:是一卡通的應用服務層,提供一卡通的各類應用功能管理���,包括卡務管理、綜合查詢、消費���、門禁、考勤、人員訪客管理等子系統�����。通過各類POS機具�����、讀卡設備�,采集讀寫持卡人的卡信息����,通過計算機終端���,管理各類持卡人信息�,為持卡人提供與卡相關的各類服務�。
(3)第三方應用接口:一卡通系統提供規范的接口及開放的通訊協議,方便第三方應用子系統通過統一的應用接口訪問一卡通中心平臺,實現數據共享和數據交換。
12
