国密门禁和音视频监控系统

密码应用

解

决

方

案

一、 国密门禁系统密码应用解决方案

1.1 门禁系统密码应用技术要求

GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的物理与

环境安全中明确提出了门禁系统的密码技术应用要求。

1.2 国密门禁系统简介

国密门禁系统主要由门禁卡（国密 CPU 卡）、国密门禁读卡器、门禁控制器、门禁发卡器、密钥注入器和 PCI-E 密码卡等硬件设备，以及门禁管理系统、门禁日志审计系统和密钥管理系统等软件组成，并通过相关密码产品 对系统提供密码安全保护。

其中，各硬件设备及软件系统作用如下：

国密 CPU 卡：用来存储用户身份信息；

国密读卡器：用来对国密 CPU 卡进行身份鉴别；

门禁控制器：根据身份鉴别结果，通过相关机械装置控制是否开门，并将相关操作信息传送至门禁管理主机；

门禁发卡器：对卡片进行发卡等初始化操作；

密钥注入器：对卡片进行密钥注入操作，将卡片 ID 与卡片密钥进行绑定；

PCI-E 密码卡：配合门禁日志审计系统使用，对进出记录进行完整性保护；

门禁管理系统：系统管理软件，用来进行权限配置、权限管理等相关操作；门禁日志审计系统：用来进行日志审计，同时配合 PCI-E 密码卡使用，对 进出记录进行完整性保护。密钥管理系统：负责密钥生成和分发，并对所有密钥进行统一管理。

1.3 国密门禁系统工作原理

(1)发卡和密钥分散

门禁读卡器和门禁卡在使用之前需要先进行发卡和密钥分散操作，该操作需要根 PSAM 卡共同参与完成，主要流程如下：

门禁读卡器发卡：将门禁读卡器中的 PSAM 卡和根 PSAM 卡同时插在发卡器上，根 PSAM 卡中的系统根密钥通过特定的安全机制进行密钥分散，分散后的密钥存储到门禁读卡器 PSAM 卡中。

门禁卡发卡：门禁卡与根 PSAM 卡共同插在发卡器上，根 PSAM 卡中的系统根密钥通过特定机制对门禁卡卡号做密钥分散，分散后的卡片密钥存储在卡片的安全存储区域中。该产品的设计符合《GM/T 0036 采用非接触卡的门禁系统密码应用技术指南》标准中密码设备、密码算法、密码协议和密钥管理等各个方面的相关要求，可应用于等保 2.0 电子门禁系统的密码应用建设和改造需求。

(2)用户身份鉴别(刷卡)

如上图所示：门禁卡中的安全芯片和门禁读卡器中的安全模块，采用相关密码算法，对用户进行身份鉴别。读卡器将鉴别结果反馈给控制器，由控制器来控制是否需要执行开门操作，同时将相关操作信息传输给后端管理系统，以进行管理、存储、查询、统计、考勤等相关操作。

(3)日志记录查询

控制器将用户操作记录传送至后端管理主机上的日志审计系统，日志审计系统通过内置的 PCI-E 密码卡，采用相关密码算法对日志记录进行 MAC 值计算和校验操作，以实现对日志记录的完整性保护。

1.4 国密门禁系统密码应用解决方案

国密门禁系统密码应用解决方案如上图所示：

国密 CPU 卡和国密门禁读卡器，采用基于 SM4 国密算法的对称加解密技术，实现用户身份鉴别。PCI-E 密码卡（配合门禁日志审计系统使用），采用基于 SM3 的 HMAC 技术，实现对电子门禁进出记录数据的完整性保护。 其中，用户身份鉴别的具体实现过程如下：

(1) 国密门禁读卡器读取国密 CPU 的卡片信息（主要是卡片 ID），并通过卡片 ID 计算该国密 CPU 卡的卡片密钥 K1。在上述过程中，K1 保存于内存中；

(2) 国密门禁读卡器通过内部的密码模块生成随机数 M1，并将该随机数回传给国密 CPU 卡。在上述过程中，M1 保存于内存中；

(3) 国密 CPU 卡调用 SM4 国密算法，以自身密钥 K1 为加密密钥，对 M1进行对称加密，获得加密后的随机数 M2，并将 M2 发送给国密门禁读卡器。在上述过程中，M2 保存于内存中；

(4) 国密门禁读卡器以卡片密钥 K1 为解密密钥，调用 SM4 国密算法，对 M1进行对称加密，获得加密后的随机数 M3，并将 M3 与 M2 进行对比，若相等则判定用户身份合法，否则判定用户身份不合法。在上述过程中，SM2 和 SM3 均保存于内存中。

门禁进出记录数据完整性保护的具体实现过程如下：

(1) 门禁控制器将用户操作信息传送给门禁管理主机；

(2) 部署在管理主机上的日志审计系统自动生成一条日志记录，通过内

置的 PCI-E 密码卡，采用基于 SM3 国密算法的 HMAC 技术，计算该条日志的 MAC 值（计为 M1），并将该条日志信息及 M1 保存至后台数据库；

(3) 当用户在日志审计系统中查看该条日志记录时，日志审计系统从后台数据库中读取该条日志信息及其 MAC 值 M1，并通过 PCI-E 密码卡，采用基于 SM3国密算法的 HMAC 技术，计算其 MAC 值（计为 M2），并将 M1 与 M2 进行比对，如果一致，则判定该条日志记录正常；如果不一致，则提示该条日志记录被篡改。

在上述过程中，M1 和 M2 均保存于内存中。

1.5 国密门禁系统密码产品

本系统所使用的相关密码产品如下表所示：

本系统相关密码产品已通过国家密码管理局的评测，并获得国家密码管理局颁发的产品型号认证证书。

具体如下图所示。

国密 CPU 卡

国密高安全门禁系统

PCI-E 密码卡

1.6 国密门禁系统密钥管理

光电安辰国密门禁系统所支持的密钥包括系统根密钥、卡片密钥、读卡器 密钥、读卡器工作密钥和 PCI-E 密码卡密钥。

(1)密钥体系

(2)密钥全生命周期

1.7 国密门禁系统密码管理措施

建立国密门禁系统密码安全管理制度和操作规范，覆盖密码建设、运维、人员、设备、密钥等密码管理相关内容。

根据国密门禁系统密码管理相关要求，设立相关密码管理及操作岗位，包括系统管理员、普通管理员、维护人员等等，合理选拔配备人员；建立密码人员管理制度，包括岗位责任制度、考核制度、培训制度、人员保密和调离制度等等。