欢迎访问西安广宝电子科技有限公司官网! 资料下载 | 售后服务 | 服务流程 | 联系我们
网站首页 联系我们
您现在的位置:网站首页 - 解决方案 -  一卡通门禁系统
解决方案
一卡通门禁系统
停车场通道管理系统
视频监控系统
智能楼宇对讲系统
产品中心
一卡通门禁系统
停车场通道闸系统
视频监控系统
智能楼宇对讲系统
国密门禁监控系统解决方案
发布者:本站 发布时间:2023-2-13 14:52:14 阅读:508次

国密门禁和音视频监控系统

密码应用

 

 

 

 

 

 

 

一、 国密门禁系统密码应用解决方案

1.1 门禁系统密码应用技术要求

GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的物理与

环境安全中明确提出了门禁系统的密码技术应用要求。

1.2 国密门禁系统简介

国密门禁系统主要由门禁卡(国密 CPU 卡)、国密门禁读卡器、门禁控制器、门禁发卡器、密钥注入器和 PCI-E 密码卡等硬件设备,以及门禁管理系统、门禁日志审计系统和密钥管理系统等软件组成,并通过相关密码产品 对系统提供密码安全保护。

 

 

其中,各硬件设备及软件系统作用如下:

国密 CPU 卡:用来存储用户身份信息;

国密读卡器:用来对国密 CPU 卡进行身份鉴别;

门禁控制器:根据身份鉴别结果,通过相关机械装置控制是否开门,并将相关操作信息传送至门禁管理主机;

门禁发卡器:对卡片进行发卡等初始化操作;

密钥注入器:对卡片进行密钥注入操作,将卡片 ID 与卡片密钥进行绑定;

PCI-E 密码卡:配合门禁日志审计系统使用,对进出记录进行完整性保护;

门禁管理系统:系统管理软件,用来进行权限配置、权限管理等相关操作;门禁日志审计系统:用来进行日志审计,同时配合 PCI-E 密码卡使用,对 进出记录进行完整性保护。密钥管理系统:负责密钥生成和分发,并对所有密钥进行统一管理。

1.3 国密门禁系统工作原理

(1)发卡和密钥分散

门禁读卡器和门禁卡在使用之前需要先进行发卡和密钥分散操作,该操作需要根 PSAM 卡共同参与完成,主要流程如下:

门禁读卡器发卡:将门禁读卡器中的 PSAM 卡和根 PSAM 卡同时插在发卡器上,根 PSAM 卡中的系统根密钥通过特定的安全机制进行密钥分散,分散后的密钥存储到门禁读卡器 PSAM 卡中。

门禁卡发卡:门禁卡与根 PSAM 卡共同插在发卡器上,根 PSAM 卡中的系统根密钥通过特定机制对门禁卡卡号做密钥分散,分散后的卡片密钥存储在卡片的安全存储区域中。该产品的设计符合《GM/T 0036 采用非接触卡的门禁系统密码应用技术指南》标准中密码设备、密码算法、密码协议和密钥管理等各个方面的相关要求,可应用于等保 2.0 电子门禁系统的密码应用建设和改造需求。

(2)用户身份鉴别(刷卡)

 

如上图所示:门禁卡中的安全芯片和门禁读卡器中的安全模块,采用相关密码算法,对用户进行身份鉴别。读卡器将鉴别结果反馈给控制器,由控制器来控制是否需要执行开门操作,同时将相关操作信息传输给后端管理系统,以进行管理、存储、查询、统计、考勤等相关操作。

(3)日志记录查询

控制器将用户操作记录传送至后端管理主机上的日志审计系统,日志审计系统通过内置的 PCI-E 密码卡,采用相关密码算法对日志记录进行 MAC 值计算和校验操作,以实现对日志记录的完整性保护。

1.4 国密门禁系统密码应用解决方案

 

国密门禁系统密码应用解决方案如上图所示:

国密 CPU 卡和国密门禁读卡器,采用基于 SM4 国密算法的对称加解密技术,实现用户身份鉴别。PCI-E 密码卡(配合门禁日志审计系统使用),采用基于 SM3 的 HMAC 技术,实现对电子门禁进出记录数据的完整性保护。 其中,用户身份鉴别的具体实现过程如下:

(1) 国密门禁读卡器读取国密 CPU 的卡片信息(主要是卡片 ID),并通过卡片 ID 计算该国密 CPU 卡的卡片密钥 K1。在上述过程中,K1 保存于内存中;

(2) 国密门禁读卡器通过内部的密码模块生成随机数 M1,并将该随机数回传给国密 CPU 卡。在上述过程中,M1 保存于内存中;

(3) 国密 CPU 卡调用 SM4 国密算法,以自身密钥 K1 为加密密钥,对 M1进行对称加密,获得加密后的随机数 M2,并将 M2 发送给国密门禁读卡器。在上述过程中,M2 保存于内存中;

(4) 国密门禁读卡器以卡片密钥 K1 为解密密钥,调用 SM4 国密算法,对 M1进行对称加密,获得加密后的随机数 M3,并将 M3 与 M2 进行对比,若相等则判定用户身份合法,否则判定用户身份不合法。在上述过程中,SM2 和 SM3 均保存于内存中。

门禁进出记录数据完整性保护的具体实现过程如下:

(1) 门禁控制器将用户操作信息传送给门禁管理主机;

(2) 部署在管理主机上的日志审计系统自动生成一条日志记录,通过内

置的 PCI-E 密码卡,采用基于 SM3 国密算法的 HMAC 技术,计算该条日志的 MAC 值(计为 M1),并将该条日志信息及 M1 保存至后台数据库;

(3) 当用户在日志审计系统中查看该条日志记录时,日志审计系统从后台数据库中读取该条日志信息及其 MAC 值 M1,并通过 PCI-E 密码卡,采用基于 SM3国密算法的 HMAC 技术,计算其 MAC 值(计为 M2),并将 M1 与 M2 进行比对,如果一致,则判定该条日志记录正常;如果不一致,则提示该条日志记录被篡改。

在上述过程中,M1 和 M2 均保存于内存中。

1.5 国密门禁系统密码产品

本系统所使用的相关密码产品如下表所示:

 

本系统相关密码产品已通过国家密码管理局的评测,并获得国家密码管理局颁发的产品型号认证证书。

具体如下图所示。

 

 

国密 CPU 卡

 

国密高安全门禁系统

 

PCI-E 密码卡

1.6 国密门禁系统密钥管理

光电安辰国密门禁系统所支持的密钥包括系统根密钥、卡片密钥、读卡器 密钥、读卡器工作密钥和 PCI-E 密码卡密钥。

(1)密钥体系

 

(2)密钥全生命周期

 

 

1.7 国密门禁系统密码管理措施

建立国密门禁系统密码安全管理制度和操作规范,覆盖密码建设、运维、人员、设备、密钥等密码管理相关内容。

根据国密门禁系统密码管理相关要求,设立相关密码管理及操作岗位,包括系统管理员、普通管理员、维护人员等等,合理选拔配备人员;建立密码人员管理制度,包括岗位责任制度、考核制度、培训制度、人员保密和调离制度等等。

上一篇: 资产管理资产盘点解决方案
下一篇: 矿区虹膜门禁解决方案
新闻资讯
开关电源和线性电源的区别
微耕最新6000系列门禁控制器全面国产化
人证合一验证解决方案
5G能为安防产业带来什么转变
人员无线定位系统解决方案
医院一卡通解决方案
解决方案
免布线手机云对讲系统解决方案
矿区虹膜门禁解决方案
国密门禁监控系统解决方案
资产管理资产盘点解决方案
人脸测温门禁解决方案
AB门互锁门禁解决方案
友情链接: 西安背景音乐广播系统 |  西安监控 |  西安门禁系统 |  西安门禁考勤系统 |  西安防盗报警系统 |  西安视频监控系统 |  西安楼宇对讲系统 |  西安停车场管理系统 |  西安一卡通消费系统 | 
客户服务热线:029-83298678 15909209899
Copyright © 2010-2018 xagbdz.cn All Rights Reserved. 版权所有 西安广宝电子科技有限公司
地址:陕西省西安市电子西街 西京公司  电话:029-83298678 15909209899  传真:029-81028655
陕ICP备10203719号-2    技术支持:中朗网络