國密門禁和音視頻監控系統
密碼應用
解
決
方
案
一、 國密門禁系統密碼應用解決方案
1.1 門禁系統密碼應用技術要求
GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》的物理與
環境安全中明確提出了門禁系統的密碼技術應用要求。
1.2 國密門禁系統簡介
國密門禁系統主要由門禁卡(國密 CPU 卡)、國密門禁讀卡器、門禁控制器、門禁發卡器、密鑰注入器和 PCI-E 密碼卡等硬件設備,以及門禁管理系統、門禁日志審計系統和密鑰管理系統等軟件組成,并通過相關密碼產品 對系統提供密碼安全保護。
其中,各硬件設備及軟件系統作用如下:
國密 CPU 卡:用來存儲用戶身份信息;
國密讀卡器:用來對國密 CPU 卡進行身份鑒別;
門禁控制器:根據身份鑒別結果,通過相關機械裝置控制是否開門,并將相關操作信息傳送至門禁管理主機;
門禁發卡器:對卡片進行發卡等初始化操作;
密鑰注入器:對卡片進行密鑰注入操作,將卡片 ID 與卡片密鑰進行綁定;
PCI-E 密碼卡:配合門禁日志審計系統使用,對進出記錄進行完整性保護;
門禁管理系統:系統管理軟件,用來進行權限配置、權限管理等相關操作;門禁日志審計系統:用來進行日志審計,同時配合 PCI-E 密碼卡使用,對 進出記錄進行完整性保護。密鑰管理系統:負責密鑰生成和分發,并對所有密鑰進行統一管理。
1.3 國密門禁系統工作原理
(1)發卡和密鑰分散
門禁讀卡器和門禁卡在使用之前需要先進行發卡和密鑰分散操作,該操作需要根 PSAM 卡共同參與完成,主要流程如下:
門禁讀卡器發卡:將門禁讀卡器中的 PSAM 卡和根 PSAM 卡同時插在發卡器上,根 PSAM 卡中的系統根密鑰通過特定的安全機制進行密鑰分散,分散后的密鑰存儲到門禁讀卡器 PSAM 卡中。
門禁卡發卡:門禁卡與根 PSAM 卡共同插在發卡器上,根 PSAM 卡中的系統根密鑰通過特定機制對門禁卡卡號做密鑰分散,分散后的卡片密鑰存儲在卡片的安全存儲區域中。該產品的設計符合《GM/T 0036 采用非接觸卡的門禁系統密碼應用技術指南》標準中密碼設備、密碼算法、密碼協議和密鑰管理等各個方面的相關要求,可應用于等保 2.0 電子門禁系統的密碼應用建設和改造需求。
(2)用戶身份鑒別(刷卡)
如上圖所示:門禁卡中的安全芯片和門禁讀卡器中的安全模塊,采用相關密碼算法,對用戶進行身份鑒別。讀卡器將鑒別結果反饋給控制器,由控制器來控制是否需要執行開門操作,同時將相關操作信息傳輸給后端管理系統,以進行管理、存儲、查詢、統計、考勤等相關操作。
(3)日志記錄查詢
控制器將用戶操作記錄傳送至后端管理主機上的日志審計系統,日志審計系統通過內置的 PCI-E 密碼卡,采用相關密碼算法對日志記錄進行 MAC 值計算和校驗操作,以實現對日志記錄的完整性保護。
1.4 國密門禁系統密碼應用解決方案
國密門禁系統密碼應用解決方案如上圖所示:
國密 CPU 卡和國密門禁讀卡器,采用基于 SM4 國密算法的對稱加解密技術,實現用戶身份鑒別。PCI-E 密碼卡(配合門禁日志審計系統使用),采用基于 SM3 的 HMAC 技術,實現對電子門禁進出記錄數據的完整性保護。 其中,用戶身份鑒別的具體實現過程如下:
(1) 國密門禁讀卡器讀取國密 CPU 的卡片信息(主要是卡片 ID),并通過卡片 ID 計算該國密 CPU 卡的卡片密鑰 K1。在上述過程中,K1 保存于內存中;
(2) 國密門禁讀卡器通過內部的密碼模塊生成隨機數 M1,并將該隨機數回傳給國密 CPU 卡。在上述過程中,M1 保存于內存中;
(3) 國密 CPU 卡調用 SM4 國密算法,以自身密鑰 K1 為加密密鑰,對 M1進行對稱加密,獲得加密后的隨機數 M2,并將 M2 發送給國密門禁讀卡器。在上述過程中,M2 保存于內存中;
(4) 國密門禁讀卡器以卡片密鑰 K1 為解密密鑰,調用 SM4 國密算法,對 M1進行對稱加密,獲得加密后的隨機數 M3,并將 M3 與 M2 進行對比,若相等則判定用戶身份合法,否則判定用戶身份不合法。在上述過程中,SM2 和 SM3 均保存于內存中。
門禁進出記錄數據完整性保護的具體實現過程如下:
(1) 門禁控制器將用戶操作信息傳送給門禁管理主機;
(2) 部署在管理主機上的日志審計系統自動生成一條日志記錄,通過內
置的 PCI-E 密碼卡,采用基于 SM3 國密算法的 HMAC 技術,計算該條日志的 MAC 值(計為 M1),并將該條日志信息及 M1 保存至后臺數據庫;
(3) 當用戶在日志審計系統中查看該條日志記錄時,日志審計系統從后臺數據庫中讀取該條日志信息及其 MAC 值 M1,并通過 PCI-E 密碼卡,采用基于 SM3國密算法的 HMAC 技術,計算其 MAC 值(計為 M2),并將 M1 與 M2 進行比對,如果一致,則判定該條日志記錄正常;如果不一致,則提示該條日志記錄被篡改。
在上述過程中,M1 和 M2 均保存于內存中。
1.5 國密門禁系統密碼產品
本系統所使用的相關密碼產品如下表所示:
本系統相關密碼產品已通過國家密碼管理局的評測,并獲得國家密碼管理局頒發的產品型號認證證書。
具體如下圖所示。
國密 CPU 卡
國密高安全門禁系統
PCI-E 密碼卡
1.6 國密門禁系統密鑰管理
光電安辰國密門禁系統所支持的密鑰包括系統根密鑰、卡片密鑰、讀卡器 密鑰、讀卡器工作密鑰和 PCI-E 密碼卡密鑰。
(1)密鑰體系
(2)密鑰全生命周期
1.7 國密門禁系統密碼管理措施
建立國密門禁系統密碼安全管理制度和操作規范,覆蓋密碼建設、運維、人員、設備、密鑰等密碼管理相關內容。
根據國密門禁系統密碼管理相關要求,設立相關密碼管理及操作崗位,包括系統管理員、普通管理員、維護人員等等,合理選拔配備人員;建立密碼人員管理制度,包括崗位責任制度、考核制度、培訓制度、人員保密和調離制度等等。
|