国密门禁和音视频监控系统
密码应用
解
决
方
案
一、 国密门禁系统密码应用解决方案
1.1 门禁系统密码应用技术要求
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的物理与
环境安全中明确提出了门禁系统的密码技术应用要求。
1.2 国密门禁系统简介
国密门禁系统主要由门禁卡(国密 CPU 卡)、国密门禁读卡器、门禁控制器、门禁发卡器、密钥注入器和 PCI-E 密码卡等硬件设备,以及门禁管理系统、门禁日志审计系统和密钥管理系统等软件组成,并通过相关密码产品 对系统提供密码安全保护。
其中,各硬件设备及软件系统作用如下:
国密 CPU 卡:用来存储用户身份信息;
国密读卡器:用来对国密 CPU 卡进行身份鉴别;
门禁控制器:根据身份鉴别结果,通过相关机械装置控制是否开门,并将相关操作信息传送至门禁管理主机;
门禁发卡器:对卡片进行发卡等初始化操作;
密钥注入器:对卡片进行密钥注入操作,将卡片 ID 与卡片密钥进行绑定;
PCI-E 密码卡:配合门禁日志审计系统使用,对进出记录进行完整性保护;
门禁管理系统:系统管理软件,用来进行权限配置、权限管理等相关操作;门禁日志审计系统:用来进行日志审计,同时配合 PCI-E 密码卡使用,对 进出记录进行完整性保护。密钥管理系统:负责密钥生成和分发,并对所有密钥进行统一管理。
1.3 国密门禁系统工作原理
(1)发卡和密钥分散
门禁读卡器和门禁卡在使用之前需要先进行发卡和密钥分散操作,该操作需要根 PSAM 卡共同参与完成,主要流程如下:
门禁读卡器发卡:将门禁读卡器中的 PSAM 卡和根 PSAM 卡同时插在发卡器上,根 PSAM 卡中的系统根密钥通过特定的安全机制进行密钥分散,分散后的密钥存储到门禁读卡器 PSAM 卡中。
门禁卡发卡:门禁卡与根 PSAM 卡共同插在发卡器上,根 PSAM 卡中的系统根密钥通过特定机制对门禁卡卡号做密钥分散,分散后的卡片密钥存储在卡片的安全存储区域中。该产品的设计符合《GM/T 0036 采用非接触卡的门禁系统密码应用技术指南》标准中密码设备、密码算法、密码协议和密钥管理等各个方面的相关要求,可应用于等保 2.0 电子门禁系统的密码应用建设和改造需求。
(2)用户身份鉴别(刷卡)
如上图所示:门禁卡中的安全芯片和门禁读卡器中的安全模块,采用相关密码算法,对用户进行身份鉴别。读卡器将鉴别结果反馈给控制器,由控制器来控制是否需要执行开门操作,同时将相关操作信息传输给后端管理系统,以进行管理、存储、查询、统计、考勤等相关操作。
(3)日志记录查询
控制器将用户操作记录传送至后端管理主机上的日志审计系统,日志审计系统通过内置的 PCI-E 密码卡,采用相关密码算法对日志记录进行 MAC 值计算和校验操作,以实现对日志记录的完整性保护。
1.4 国密门禁系统密码应用解决方案
国密门禁系统密码应用解决方案如上图所示:
国密 CPU 卡和国密门禁读卡器,采用基于 SM4 国密算法的对称加解密技术,实现用户身份鉴别。PCI-E 密码卡(配合门禁日志审计系统使用),采用基于 SM3 的 HMAC 技术,实现对电子门禁进出记录数据的完整性保护。 其中,用户身份鉴别的具体实现过程如下:
(1) 国密门禁读卡器读取国密 CPU 的卡片信息(主要是卡片 ID),并通过卡片 ID 计算该国密 CPU 卡的卡片密钥 K1。在上述过程中,K1 保存于内存中;
(2) 国密门禁读卡器通过内部的密码模块生成随机数 M1,并将该随机数回传给国密 CPU 卡。在上述过程中,M1 保存于内存中;
(3) 国密 CPU 卡调用 SM4 国密算法,以自身密钥 K1 为加密密钥,对 M1进行对称加密,获得加密后的随机数 M2,并将 M2 发送给国密门禁读卡器。在上述过程中,M2 保存于内存中;
(4) 国密门禁读卡器以卡片密钥 K1 为解密密钥,调用 SM4 国密算法,对 M1进行对称加密,获得加密后的随机数 M3,并将 M3 与 M2 进行对比,若相等则判定用户身份合法,否则判定用户身份不合法。在上述过程中,SM2 和 SM3 均保存于内存中。
门禁进出记录数据完整性保护的具体实现过程如下:
(1) 门禁控制器将用户操作信息传送给门禁管理主机;
(2) 部署在管理主机上的日志审计系统自动生成一条日志记录,通过内
置的 PCI-E 密码卡,采用基于 SM3 国密算法的 HMAC 技术,计算该条日志的 MAC 值(计为 M1),并将该条日志信息及 M1 保存至后台数据库;
(3) 当用户在日志审计系统中查看该条日志记录时,日志审计系统从后台数据库中读取该条日志信息及其 MAC 值 M1,并通过 PCI-E 密码卡,采用基于 SM3国密算法的 HMAC 技术,计算其 MAC 值(计为 M2),并将 M1 与 M2 进行比对,如果一致,则判定该条日志记录正常;如果不一致,则提示该条日志记录被篡改。
在上述过程中,M1 和 M2 均保存于内存中。
1.5 国密门禁系统密码产品
本系统所使用的相关密码产品如下表所示:
本系统相关密码产品已通过国家密码管理局的评测,并获得国家密码管理局颁发的产品型号认证证书。
具体如下图所示。
国密 CPU 卡
国密高安全门禁系统
PCI-E 密码卡
1.6 国密门禁系统密钥管理
光电安辰国密门禁系统所支持的密钥包括系统根密钥、卡片密钥、读卡器 密钥、读卡器工作密钥和 PCI-E 密码卡密钥。
(1)密钥体系
(2)密钥全生命周期
1.7 国密门禁系统密码管理措施
建立国密门禁系统密码安全管理制度和操作规范,覆盖密码建设、运维、人员、设备、密钥等密码管理相关内容。
根据国密门禁系统密码管理相关要求,设立相关密码管理及操作岗位,包括系统管理员、普通管理员、维护人员等等,合理选拔配备人员;建立密码人员管理制度,包括岗位责任制度、考核制度、培训制度、人员保密和调离制度等等。
|