常用闸机上使用的CPU一卡通系统升级方案
时间:2015-12-09 阅读:1976
产品外壳全部采用不锈钢板制作,箱体内部构件全部采用不锈钢材料或防锈防腐处理,经久耐用防锈,抗破坏力强。运转平稳,不抖动;低噪音,低功耗,节能环保。咨询!
“一卡通”系统还在应用MIFARE1卡,这种卡无论在安全性,还是在存储容量上,已逐渐不能满足日益增长的需求,根据当前应用需求的扩展,MIFARE1卡升级已势在必行。使用CPU卡替换现有的MIFARE1卡更能满足实际需要。
(一).应用升级的构想
目前,该部委使用MIFARE1卡实现了门禁、报销、医疗、消费等应用。门禁子系统通过将卡片的ID下发到门禁控制器,在刷卡时利用卡片ID与控制器中存储的信息进行比对,确认是否具备通行权限。这样比对效率是zui高的,但需要系统管理端对各门禁控制器下发数据。如果出现网络故障或更换新控制器,都需要重新下发数据,容易造成数据不一致的结果,不易管理。且目前相关子系统较多,用户制作一张卡片往往需要操作多个应用系统,使用起来比较困难。
如果对目前的门禁子系统进行升级,可以考虑一种新的应用模式。首先,对系统软件进行整合,尽量减少操作员的操作复杂度。其次,将卡载体升级为CPU卡,充分利用其存储容量和加密特性的优势。对系统进行必要升级,为每个门禁控制器设置好通行权限代码,代码根据约定好的规则进行设置。在初始阶段对每台门禁控制器进行*,这种*实际上就是向控制器写入权限代码。需要补充的是,控制器需要内置认证程序,实现对卡片认证流程的控制。对控制器的*只需要在初始化阶段进行一次。由于CPU卡存储空间增加了,且对数据的读写采取目录、文件的管理方式,可以为门禁系统单独开辟一个存储空间,并将各门禁点通行权限代码直接写入卡内。这样,每张卡片就有了自己的进出权限,在进出时CPU读卡器与门禁控制器配合,通过控制器内部的认证程序可直接对卡片进行认证。这样就省去了向门禁控制器下发数据的环节,且充分利用了CPU卡的存储容量优势。以上对门禁子系统的升级方式,在一定程度上提高了系统的安全性和易操作性,在实际应用之前还需要对这种门禁认证方式的工作效率及稳定性进行大量测试。
报销、医疗、消费与门禁子系统是相互分离的,只是利用现有的卡载体存储一些人员基础信息进行交互,由于MIFARE1卡容量限制,存储信息相当有限,限制了整个门禁系统的功能扩展。CPU卡有一个MF但可以有多个ADF,每个文件都在各自的密钥的控制下进行读写,因而可实现真正安全可靠的一卡多用。其中,密钥文件用于存放密钥,根据用户的需求和具体的应用,设置一系列的密钥,通过不同的密钥实现对卡的鉴别和对文件访问的控制。它包括制造密钥、发行密钥、内部认证密钥、外部认证密钥、消费密钥、传输密钥、签名密钥、加密密钥等。因此,可以给其他系统生成各自的存储区,并生成不同的密钥。CPU卡的认证、消费过程中,表内的MCU只是数据传递作用,具体的加解密运算、卡的读写都是在卡内操作系统控制下进行的,不同于逻辑加密卡的读写控制,从安全性角度考虑有了很大提高。
(二).系统升级总体思想
一卡多用是智能“一卡通”系统应实现的基本功能。即门禁、消费、医疗、报销系统等多个系统集于一卡,并预留出各种其它系统及应用的扩展空间,实现真正意义上的“一卡在手,便捷无忧”。
真正的智能“一卡通”系统应实现智能集中管理功能,即建立一个统一的集中管理中心,即门禁管理系统能与各子系统进行集中发卡、集中*、集中挂失、统一管理,确保各子系统数据的同步和完整,实现真正意义上各子系统间的“资源共享”。
智能“一卡通”系统应建立一个共同的数据库,实现数据的统一存放和数据共享。同时应预留各种数据接口,以便与其他智能信息管理系统连接。
除使用CPU卡作为“一卡通”系统卡载体外,还要从两个方面考虑CPU卡安全门禁的升级,包括CPU卡密钥管理系统和CPU卡门禁读卡器。
1.CPU卡密钥管理系统
在以IC卡为应用载体的“一卡通”系统中,密钥的管理是整个系统的基础。用户可以通过密钥管理系统生成、发行和更新密钥,它直接关系到整个系统的安全。用户可以分类管理各类密钥,自行完成卡片初始化,保证了用户拥有密钥管理与发卡的主动权。
密钥数据可以是AB码单、密钥种子等。AB码单实际上也是密钥种子的一种形式,它将种子分成AB两部分,分别由两个人控制,这样可以提高安全性。
在CPU卡的初始化阶段,将要完成对卡片密钥的灌装和卡内结构的初始化工作。简单来说,首先应为CPU卡建立MF密钥文件;其次,根据应用的分类,建立相应的DDF与ADF密钥文件;zui后,在各应用目录下建立EF文件。
2.CPU卡读卡器
CPU卡读卡器将认证安全机制引入门禁控制领域。采用支持CPU卡的读卡器,并应用事先制定的安全认证读写机制。可以在读卡器内部构建安全存取模块(SAM),它与CPU卡建立了完整、严密的密钥管理体系。密钥注入SAM卡后,外部无法读取。将SAM卡插入读卡设备内,通过SAM卡与CPU卡双向认证。验证报文是由随机因子参与运算的,同一张卡片在一台设备上刷卡,每次都不相同,杜绝“伪卡”的出现。
(三).系统功能扩展
为了充分利用CPU卡的安全特性与高存储性,可以将更别的安全认证对象存入卡内。比较常见的有指纹认证,在门禁识别时,可以通过指纹认证来快速准确地进行“人证同一性”认定,有效防范冒用他人证件以及伪造证件等事件的发生。
将以CPU卡作为数据存储载体的“一卡通”系统进行功能扩展,可以实现考勤、巡更、外出人员管理、访客管理、会议签到功能等,甚至更进一步地实现停车场管理、电梯管理、能源控制管理。
综上所述,由于CPU卡自身的技术优势,可以将应用CPU卡的“一卡通”系统改造成功能齐全、安全认证到位的智能化“一卡通”系统。