以色列DDS综合门禁管理系统-全程加密解决方案.ppt
《以色列DDS综合门禁管理系统-全程加密解决方案.ppt》由会员分享,可在线阅读,更多相关《以色列DDS综合门禁管理系统-全程加密解决方案.ppt(50页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、以色列DDS综合门禁管理系统全程加密解决方案以色列DDS综合门禁管理系统全程加密解决方案目 录行业背景1国内应对预案2 数据传输过程安全性分析3DDS 解决之道4DDS 新品发布5第一章行业背景2008年,德国和美国的研究人员成功破解了NXP的MIFARE CLASSIC IC(以下简称Mifare1 芯片)的安全算法,并在互联网上公布了破解芯片密码的方法。众多的Mifare1的用户开始担心自己系统的安全。通过分析Mifare1破解的原理及带来的影响,我们可以得出结论:Mifare1确实已不再安全。我们必须选择适当的产品替换Mifare1,以加强我们的系统安全!引例 The Dutch RFI
2、D public transit card,which has already cost the government$2B-no,thats not a typo-has been hacked even before it has been deployed:The first reported attack was designed by two students at the University of Amsterdam,Pieter Siekerman and Maurits van der Schee.They analyzed the single-use ticket and
3、 showed its vulnerabilities in a report.They also showed how a used single-use card could be given eternal life by resetting it to its original unused state.The next attack was on the Mifare Classic chip,used on the normal ticket.Two German hackers,Karsten Nohl and Henryk Plotz,were able to remove t
4、he coating on the Mifare chip and photograph the internal circuitry.By studying the circuitry,they were able to deduce the secret cryptographic algorithm used by the chip.While this alone does not break the chip,it certainly gives future hackers a stepping stone on which to stand.On Jan.8,2008,they
5、released a statement abut their work.破 解2008年1月21日荷兰公交卡芯片技术遭破解第一章行业背景荷兰政府警告传统芯片的安全性 lThe Dutch government has issued a warning about the security of access passes based on the widely used Mifare Classic RFID chip.This is the same technology used in Londons Oyster fare card.lDutch government institut
6、ions plan to take additional security measures,Guusje ter Horst,minister of interior affairs,wrote in a letter to parliament this week.lNXP developed the Mifare Classic RFID(radio frequency identification)chip,which is used in two million Dutch building access passes,said ter Horst.lOne billion pass
7、es with the technology have been distributed worldwide,making the security risk a global problem.A spokesperson for the ministry said that it had not yet notified other countries.lThe warning comes shortly after two research teams independently demonstrated hacks of the chips security algorithm.lGer
8、man researchers Karsten Nohl and Henryk Pltz,who first hacked parts of the chip last December,published a paper demonstrating a way to crack the chips encryption technology.The duo declined to publicly demonstrate their hack.lWe want to start a discussion first,allowing people to adjust or abandon t
9、heir systems,Nohl said.He added that he would provide a demonstration before June第一章行业背景链接:目 录行业背景1国内应对预案2 数据传输过程安全性分析3DDS 解决之道4DDS 新品发布5第二章国内应对预案2009年工业和信息化部发布了:1关于做好应对部分IC卡出现严重安全漏 洞工作的通知2009年国家密码管理局向国务院各部委印发了:2关于请协助做好IC卡系统密码管理工作的函,“关于印发重要门禁系统密码应用指南的通 知”(国密局【2009】614号)文件,对现有的重要门禁系统建设和升级改造应用提出指导意见,并
10、强制要求一些重要的场所、单位必须符合国密算法的智能 一卡通管理系统。国家应对方案2009年逻辑加密卡使用上的不安全因素,促进了CPU卡的发展只采用国密算法的只采用国密算法的CPUCPU卡,系统就安全了吗卡,系统就安全了吗?第二章国内应对预案目 录行业背景1国内应对预案2 数据传输过程安全性分析3DDS 解决之道4DDS 新品发布5控制器控制器控制器控制器第三章门禁系统数据传输过程分析读读卡器卡器卡器卡器服服服服务务器器器器卡片卡片卡片卡片WIEGANDRS485TCP/IPRS485RFID第三章服务器-控制器 RS-485协议虽然可以自成网络,但可以通过截取RS-485传输网络数据进行破解。
11、34 为解决主控软件与控制器之间数据传输的安全性问题,DDS提出了采用专有的128位密钥随机加密的解决方案,无论采用TCP/IP还是RS-485通讯,每次通讯的密码都不一样,安全性相当高!服务器-控制器 管理电脑与控制器之间的数据通常采用以太网或者RS-485接口传输,通讯协议(内容)由各门禁厂商自行定义,协议制订的严密性、完整性及安全性均由各门禁厂商自行确定,因此协议本身就难免存在一定的缺陷或漏洞,因此通讯数据有可能在传输过程中被截获并解读。1 TCP/IP协议作为当前最流行的互联网协议,虽然在数据 传输速度上有其显著的特点,但在设计之初并未考虑到未来的安全需要,协议中有诸多安全问题,特别是
12、电脑病毒的存在,使得网络门禁系统面临极大的危险。因此,通常的做法是将门禁系统的网络与其它系统彻底隔开,完全杜绝异常因素对网络系统的攻击。2即使前端读卡器和卡片用了多牢不可破的技术,但用韦根(Wiegand)作为输出,这等同於开了个大后门给人去破解你的系统。如果采用DDS的串口读卡器,控制器和读卡器之间同样可以采用专有的128位密钥的随机加密协议,确保安全性!第三章控制器-读卡器 目前绝大多数门禁控制器与读卡器之间都采用Wiegand协议传输读卡数据。由于Wiegand协议为单向传输模式,控制器只能通过增加指示灯、蜂鸣器的控制线缆实现数据的反馈,因此传输线缆线由4根增加到8根(或9根),使用成本
13、有所增加。就数据安全而言,通常情况下,读卡器至控制器采用明码传输模式,加之wiegand 传输的格式通常为26bit、34bit,因此,截取D0及D1数据线则可获取卡片信息。控制器控制器读卡器读卡器第三章读卡器-卡片在很多应用场合,读卡器直接读取卡片内固化的UID号,然后通过Wiegand协议传递给控制器。然而,卡内固化的UID号不需要通过特殊的算法或者 处理过程即可以直接获得,因而UID号极易被泄露。读取卡片内数据是一种解决方案,如PHILIPS公司的Mifare 1卡可以采用逻辑加密方式在卡片内部写入新的卡号信息,但是由于其逻辑加密过程已遭到破解,因此卡内数据的安全毫无保障。目 录行业背景
14、1国内应对预案2 数据传输过程安全性分析3DDS 解决之道4DDS 新品发布5Mifare1被破解后,NXP主推DESFire卡第四章DESFire-Mifare升级版特性1.采用NXP的Desfire EV1卡(MF3ICD214181),支持ISO14443A通信协议2.卡片支持DES/3DES/3K3DES/AES128算法3.卡片UID可固定7字节或者随机UID。4.卡片容量有2K(MF3ICD21),4K(MF3ICD41),8K(MF3ICD81)5.卡片内存数据保存时间大于10年,内存数据至少支持10万次擦写用户卡内结构划分1.卡片级:相当于电脑里的一个硬盘分区。卡片级有一个卡片
15、主密钥和一个主密钥设置。每张卡片下最多可以建立28个应用(取决于剩余容量)2.应用级:相当于这个硬盘分区下的一个目录。每个应用下最多有14个密钥和最多32个文件。密钥号为013,文件名为031。其中0号密钥为应用主密钥。3.主密钥设置相当于目录的属性。密钥默认为16字节,最长可达24字节。4.文件级:相当于这个目录下的文件。共有5类文件。标准数据文件(目前我们使用的文件类型)备份数据文件带备份机制的值文件带备份机制的线性记录文件带备份机制的循环记录文件标准数据文件的属性文件名,文件大小,通信模式,访问权限第四章DDS的DESFire技术解决方案DESFire卡管理软件:Issue_Softwa
16、re_DESFire1DESFire卡读卡器:DL-13C,DK-23C(带34键盘)2DESFire读卡器系统的组成DESFire智能卡3Mifare1卡与非接触式CPU卡技术规格比较:技术规格Mifare1卡非接触式CPU卡ISO标准ISO14443 Type AISO14443Type A/B存储管理方式分扇区/块管理文件管理访问方式只读/只写/读写/加/减对不同文件类型灵活设计认证方式密钥长度/个数6字节密码,分扇区控制16字节密钥,可多级多个密钥组合控制加密/安全模块专用不公开硬件逻辑算法(已破解)通用公开软件或硬件加密算法(金融标准)应用场合小容量存储、一般安全级别应用(如门禁系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 以色列 DDS 综合 门禁 管理 系统 全程 加密 解决方案
限制150内