技術(shù)領(lǐng)域

本發(fā)明涉及門禁系統(tǒng)領(lǐng)域，具體涉及一種基于商用密碼算法的安全門禁系統(tǒng)及其實現(xiàn)方法。

背景技術(shù)

目前我國90％的門禁產(chǎn)品均是采用原始IC卡的UID號或ID卡的ID號來制作門禁卡，采用ID和IC卡的只讀特性進行身份識別使用，沒有進行加密認證或開發(fā)專用的密鑰，很少關(guān)注門禁卡片與門禁讀卡器間的加密認證，缺少安全密鑰體系的設(shè)計，而邏輯加密卡是很容易復制的載體，導致此類門禁很容易在極短時間內(nèi)被破解和復制。非法破解的人士只需采用“門禁復制器”花幾秒鐘就能完成破解、復制甚至可以修改數(shù)據(jù)，安全防護能力完全喪失！

面對門禁市場，如此嚴峻的形式國家出臺了相關(guān)政策加強門禁安全市場的政策引導，2009年國家工信部下發(fā)《關(guān)于做好應(yīng)對部分IC卡出現(xiàn)嚴重安全漏洞工作的通知》對于日后門禁系統(tǒng)及一卡通系統(tǒng)在關(guān)鍵部門和機關(guān)禁止使用IC卡作為識別卡、計費卡，必須采用更高安全的CPU卡來實現(xiàn)。將帶有密碼算法的CPU卡應(yīng)用到門禁系統(tǒng)中是當務(wù)之急。而且現(xiàn)在已有的市場上應(yīng)用的CPU卡的密碼門禁產(chǎn)品，在發(fā)卡環(huán)節(jié)無加密或是固定密鑰加密，刷卡認證環(huán)節(jié)只有簡單認證機制，還存在著較大的安全隱患。

有鑒于此，尋求一種基于商用密碼算法的安全門禁系統(tǒng)成為該領(lǐng)域技術(shù)人員的追求目標，實現(xiàn)了門禁系統(tǒng)數(shù)據(jù)存儲和傳輸?shù)陌踩煽啃?，滿足重要部門對門禁高安全加密應(yīng)用的需求，為門禁系統(tǒng)提供可靠性與安全性方面的保障，是解決現(xiàn)有門禁安全隱患的根本途徑。

發(fā)明內(nèi)容

本發(fā)明提供了一種基于商用密碼算法的安全門禁系統(tǒng)及其實現(xiàn)方法，通過在門禁系統(tǒng)控制中實現(xiàn)安全的發(fā)卡過程和三級雙向刷卡認證過程，從根本上解決了現(xiàn)有門禁系統(tǒng)存在的容易被破解和復制的安全隱患，滿足了國內(nèi)重要門禁安全安全保密性的需要，可以廣泛應(yīng)用于政府機關(guān)、軍事、金融、電信等各個行業(yè)中的重要部門部位。

一種基于商用密碼算法的安全門禁系統(tǒng)，所述安全門禁系統(tǒng)包括：門禁應(yīng)用系統(tǒng)和密鑰管理及發(fā)卡系統(tǒng)，所述門禁應(yīng)用系統(tǒng)包括：商密安全門禁讀卡器、商密安全門禁控制器和商密CPU卡；所述密鑰管理及發(fā)卡系統(tǒng)包括：商密發(fā)卡器。

所述商密安全門禁讀卡器包括：第一安全存取模塊；所述商密安全門禁控制器包括：第二安全存取模塊；所用商密CPU卡包括：第一密碼模塊；所述商密發(fā)卡器包括：第二密碼模塊。

所述第二密碼模塊將讀卡器密鑰注入到所述第一安全存取模塊中；所述第二密碼模塊將控制器密鑰注入到所述第二安全存取模塊中；所述第二密碼模塊將卡片密鑰注入到所述第一密碼模塊中。

所述第一密碼模塊與所述第一安全存取模塊完成數(shù)據(jù)加密通信，所述第一安全存取模塊將加密后的數(shù)據(jù)傳輸至所述第二安全存取模塊，所述第二安全存取模塊進行解密，將應(yīng)答結(jié)果傳輸至所述第一安全存取模塊，所述第一安全存取模塊解密所述應(yīng)答結(jié)果。

所述安全門禁系統(tǒng)還包括：商密門禁管理軟件。所述商密門禁管理軟件用于存儲所述第二安全存取模塊解密后的數(shù)據(jù)信息。

所述密鑰管理及發(fā)卡系統(tǒng)還包括：門禁密鑰管理系統(tǒng)。所述門禁密鑰管理系統(tǒng)用于控制第二密碼模塊將相應(yīng)的密鑰注入到第一密碼模塊、第一安全存取模塊和第二安全存取模塊中。

所述第一安全存取模塊、所述第二安全存取模塊、所述第一密碼模塊和所述第二密碼模塊采用多種商用密碼算法。

一種基于商用密碼算法的安全門禁系統(tǒng)的實現(xiàn)方法，包括：所述商密安全門禁讀卡器中的所述第一安全存取模塊的發(fā)卡過程；所述商密安全門禁控制器中的所述第二安全存取模塊的發(fā)卡過程；所述商密CPU卡中的所述第一密碼模塊的發(fā)卡過程，以及刷卡認證開門過程。

所述商密安全門禁讀卡器中的所述第一安全存取模塊發(fā)卡過程為：校驗所述第二密碼模塊的PIN碼，校驗成功后，所述商密發(fā)卡器向所述第一安全存取模塊獲取模塊標識和ID信息，并采用系統(tǒng)根密鑰對所述模塊標識和ID信息進行密鑰分散，生成讀卡器密鑰，通過密碼算法將所述讀卡器密鑰傳輸至所述第一安全存取模塊。

所述商密門禁CPU卡的第一密碼模塊發(fā)卡過程為：校驗所述第二密碼模塊的PIN碼，校驗成功后，所述商密發(fā)卡器向所述第一密碼模塊獲取模塊標識和ID信息，并采用系統(tǒng)根密鑰對模塊標識和ID信息進行密鑰分散，生成卡片密鑰，通過密碼算法將所述卡片密鑰安全傳輸至所述第一密碼模塊。

所述安全門禁系統(tǒng)的刷卡過程為：

(1)所述商密安全門禁讀卡器讀取所述第一密碼模塊的模塊標識和ID信息，即為UID；