[发明专利]一种基于商用密码算法的安全门禁系统及其实现方法

说明书

技术领域

本发明涉及门禁系统领域，具体涉及一种基于商用密码算法的安全门禁系统及其实现方法。

背景技术

目前我国90％的门禁产品均是采用原始IC卡的UID号或ID卡的ID号来制作门禁卡，采用ID和IC卡的只读特性进行身份识别使用，没有进行加密认证或开发专用的密钥，很少关注门禁卡片与门禁读卡器间的加密认证，缺少安全密钥体系的设计，而逻辑加密卡是很容易复制的载体，导致此类门禁很容易在极短时间内被破解和复制。非法破解的人士只需采用“门禁复制器”花几秒钟就能完成破解、复制甚至可以修改数据，安全防护能力完全丧失！

面对门禁市场，如此严峻的形式国家出台了相关政策加强门禁安全市场的政策引导，2009年国家工信部下发《关于做好应对部分IC卡出现严重安全漏洞工作的通知》对于日后门禁系统及一卡通系统在关键部门和机关禁止使用IC卡作为识别卡、计费卡，必须采用更高安全的CPU卡来实现。将带有密码算法的CPU卡应用到门禁系统中是当务之急。而且现在已有的市场上应用的CPU卡的密码门禁产品，在发卡环节无加密或是固定密钥加密，刷卡认证环节只有简单认证机制，还存在着较大的安全隐患。

有鉴于此，寻求一种基于商用密码算法的安全门禁系统成为该领域技术人员的追求目标，实现了门禁系统数据存储和传输的安全可靠性，满足重要部门对门禁高安全加密应用的需求，为门禁系统提供可靠性与安全性方面的保障，是解决现有门禁安全隐患的根本途径。

发明内容

本发明提供了一种基于商用密码算法的安全门禁系统及其实现方法，通过在门禁系统控制中实现安全的发卡过程和三级双向刷卡认证过程，从根本上解决了现有门禁系统存在的容易被破解和复制的安全隐患，满足了国内重要门禁安全安全保密性的需要，可以广泛应用于政府机关、军事、金融、电信等各个行业中的重要部门部位。

一种基于商用密码算法的安全门禁系统，所述安全门禁系统包括：门禁应用系统和密钥管理及发卡系统，所述门禁应用系统包括：商密安全门禁读卡器、商密安全门禁控制器和商密CPU卡；所述密钥管理及发卡系统包括：商密发卡器。

所述商密安全门禁读卡器包括：第一安全存取模块；所述商密安全门禁控制器包括：第二安全存取模块；所用商密CPU卡包括：第一密码模块；所述商密发卡器包括：第二密码模块。

所述第二密码模块将读卡器密钥注入到所述第一安全存取模块中；所述第二密码模块将控制器密钥注入到所述第二安全存取模块中；所述第二密码模块将卡片密钥注入到所述第一密码模块中。

所述第一密码模块与所述第一安全存取模块完成数据加密通信，所述第一安全存取模块将加密后的数据传输至所述第二安全存取模块，所述第二安全存取模块进行解密，将应答结果传输至所述第一安全存取模块，所述第一安全存取模块解密所述应答结果。

所述安全门禁系统还包括：商密门禁管理软件。所述商密门禁管理软件用于存储所述第二安全存取模块解密后的数据信息。

所述密钥管理及发卡系统还包括：门禁密钥管理系统。所述门禁密钥管理系统用于控制第二密码模块将相应的密钥注入到第一密码模块、第一安全存取模块和第二安全存取模块中。

所述第一安全存取模块、所述第二安全存取模块、所述第一密码模块和所述第二密码模块采用多种商用密码算法。

一种基于商用密码算法的安全门禁系统的实现方法，包括：所述商密安全门禁读卡器中的所述第一安全存取模块的发卡过程；所述商密安全门禁控制器中的所述第二安全存取模块的发卡过程；所述商密CPU卡中的所述第一密码模块的发卡过程，以及刷卡认证开门过程。

所述商密安全门禁读卡器中的所述第一安全存取模块发卡过程为：校验所述第二密码模块的PIN码，校验成功后，所述商密发卡器向所述第一安全存取模块获取模块标识和ID信息，并采用系统根密钥对所述模块标识和ID信息进行密钥分散，生成读卡器密钥，通过密码算法将所述读卡器密钥传输至所述第一安全存取模块。

所述商密门禁CPU卡的第一密码模块发卡过程为：校验所述第二密码模块的PIN码，校验成功后，所述商密发卡器向所述第一密码模块获取模块标识和ID信息，并采用系统根密钥对模块标识和ID信息进行密钥分散，生成卡片密钥，通过密码算法将所述卡片密钥安全传输至所述第一密码模块。

所述安全门禁系统的刷卡过程为：

(1)所述商密安全门禁读卡器读取所述第一密码模块的模块标识和ID信息，即为UID；