色综合久久久久综合体桃花网-久久九九热re6这里有精品10-婷婷丁香五月中文字幕-久久久久人妻精品一区二区三区

國密認(rèn)證門禁系統(tǒng) 國密門禁控制器 國密門禁讀卡器 國密門禁CPU卡 國密門禁管理軟件  國密門禁加密卡

1.1 門禁系統(tǒng)密碼應(yīng)用技術(shù)要求

GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》的物理與

環(huán)境安全中明確提出了門禁系統(tǒng)的密碼技術(shù)應(yīng)用要求。

1.2 國密門禁系統(tǒng)簡介

國密門禁系統(tǒng)主要由門禁卡（國密 CPU 卡）、國密門禁讀卡器、門禁控制器、門禁發(fā)卡器、密鑰注入器和 PCI-E 密碼卡等硬件設(shè)備，以及門禁管理系統(tǒng)、門禁日志審計系統(tǒng)和密鑰管理系統(tǒng)等軟件組成，并通過相關(guān)密碼產(chǎn)品 對系統(tǒng)提供密碼安全保護(hù)。

其中，各硬件設(shè)備及軟件系統(tǒng)作用如下：

國密 CPU 卡：用來存儲用戶身份信息；

國密讀卡器：用來對國密 CPU 卡進(jìn)行身份鑒別；

門禁控制器：根據(jù)身份鑒別結(jié)果，通過相關(guān)機械裝置控制是否開門，并將相關(guān)操作信息傳送至門禁管理主機；

門禁發(fā)卡器：對卡片進(jìn)行發(fā)卡等初始化操作；

密鑰注入器：對卡片進(jìn)行密鑰注入操作，將卡片 ID 與卡片密鑰進(jìn)行綁定；

PCI-E 密碼卡：配合門禁日志審計系統(tǒng)使用，對進(jìn)出記錄進(jìn)行完整性保護(hù)；

門禁管理系統(tǒng)：系統(tǒng)管理軟件，用來進(jìn)行權(quán)限配置、權(quán)限管理等相關(guān)操作；門禁日志審計系統(tǒng)：用來進(jìn)行日志審計，同時配合 PCI-E 密碼卡使用，對 進(jìn)出記錄進(jìn)行完整性保護(hù)。密鑰管理系統(tǒng)：負(fù)責(zé)密鑰生成和分發(fā)，并對所有密鑰進(jìn)行統(tǒng)一管理。

1.3 國密門禁系統(tǒng)工作原理

(1)發(fā)卡和密鑰分散

門禁讀卡器和門禁卡在使用之前需要先進(jìn)行發(fā)卡和密鑰分散操作，該操作需要根 PSAM 卡共同參與完成，主要流程如下：

門禁讀卡器發(fā)卡：將門禁讀卡器中的 PSAM 卡和根 PSAM 卡同時插在發(fā)卡器上，根 PSAM 卡中的系統(tǒng)根密鑰通過特定的安全機制進(jìn)行密鑰分散，分散后的密鑰存儲到門禁讀卡器 PSAM 卡中。

門禁卡發(fā)卡：門禁卡與根 PSAM 卡共同插在發(fā)卡器上，根 PSAM 卡中的系統(tǒng)根密鑰通過特定機制對門禁卡卡號做密鑰分散，分散后的卡片密鑰存儲在卡片的安全存儲區(qū)域中。該產(chǎn)品的設(shè)計符合《GM/T 0036 采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》標(biāo)準(zhǔn)中密碼設(shè)備、密碼算法、密碼協(xié)議和密鑰管理等各個方面的相關(guān)要求，可應(yīng)用于等保 2.0 電子門禁系統(tǒng)的密碼應(yīng)用建設(shè)和改造需求。

(2)用戶身份鑒別(刷卡)

如上圖所示：門禁卡中的安全芯片和門禁讀卡器中的安全模塊，采用相關(guān)密碼算法，對用戶進(jìn)行身份鑒別。讀卡器將鑒別結(jié)果反饋給控制器，由控制器來控制是否需要執(zhí)行開門操作，同時將相關(guān)操作信息傳輸給后端管理系統(tǒng)，以進(jìn)行管理、存儲、查詢、統(tǒng)計、考勤等相關(guān)操作。

(3)日志記錄查詢

控制器將用戶操作記錄傳送至后端管理主機上的日志審計系統(tǒng)，日志審計系統(tǒng)通過內(nèi)置的 PCI-E 密碼卡，采用相關(guān)密碼算法對日志記錄進(jìn)行 MAC 值計算和校驗操作，以實現(xiàn)對日志記錄的完整性保護(hù)。

1.4 國密門禁系統(tǒng)密碼應(yīng)用解決方案

國密門禁系統(tǒng)密碼應(yīng)用解決方案如上圖所示：

國密 CPU 卡和國密門禁讀卡器，采用基于 SM4 國密算法的對稱加解密技術(shù)，實現(xiàn)用戶身份鑒別。PCI-E 密碼卡（配合門禁日志審計系統(tǒng)使用），采用基于 SM3 的 HMAC 技術(shù)，實現(xiàn)對電子門禁進(jìn)出記錄數(shù)據(jù)的完整性保護(hù)。 其中，用戶身份鑒別的具體實現(xiàn)過程如下：

(1) 國密門禁讀卡器讀取國密 CPU 的卡片信息（主要是卡片 ID），并通過卡片 ID 計算該國密 CPU 卡的卡片密鑰 K1。在上述過程中，K1 保存于內(nèi)存中；

(2) 國密門禁讀卡器通過內(nèi)部的密碼模塊生成隨機數(shù) M1，并將該隨機數(shù)回傳給國密 CPU 卡。在上述過程中，M1 保存于內(nèi)存中；

(3) 國密 CPU 卡調(diào)用 SM4 國密算法，以自身密鑰 K1 為加密密鑰，對 M1進(jìn)行對稱加密，獲得加密后的隨機數(shù) M2，并將 M2 發(fā)送給國密門禁讀卡器。在上述過程中，M2 保存于內(nèi)存中；

(4) 國密門禁讀卡器以卡片密鑰 K1 為解密密鑰，調(diào)用 SM4 國密算法，對 M1進(jìn)行對稱加密，獲得加密后的隨機數(shù) M3，并將 M3 與 M2 進(jìn)行對比，若相等則判定用戶身份合法，否則判定用戶身份不合法。在上述過程中，SM2 和 SM3 均保存于內(nèi)存中。

門禁進(jìn)出記錄數(shù)據(jù)完整性保護(hù)的具體實現(xiàn)過程如下：

(1) 門禁控制器將用戶操作信息傳送給門禁管理主機；

(2) 部署在管理主機上的日志審計系統(tǒng)自動生成一條日志記錄，通過內(nèi)

置的 PCI-E 密碼卡，采用基于 SM3 國密算法的 HMAC 技術(shù)，計算該條日志的 MAC 值（計為 M1），并將該條日志信息及 M1 保存至后臺數(shù)據(jù)庫；

(3) 當(dāng)用戶在日志審計系統(tǒng)中查看該條日志記錄時，日志審計系統(tǒng)從后臺數(shù)據(jù)庫中讀取該條日志信息及其 MAC 值 M1，并通過 PCI-E 密碼卡，采用基于 SM3國密算法的 HMAC 技術(shù)，計算其 MAC 值（計為 M2），并將 M1 與 M2 進(jìn)行比對，如果一致，則判定該條日志記錄正常；如果不一致，則提示該條日志記錄被篡改。

在上述過程中，M1 和 M2 均保存于內(nèi)存中。