拙进监狱国密CPU卡门禁系统解决方案

　　1. 概述

　　监狱、看守所、戒毒所、公安局和部队等单位的对于门禁系统的安全性要求较高，按照国家密码局文件要求，需采用国密CPU卡门禁系统。

　　广州拙进通信技术有限公司主要针对高端门禁市场，面向客户、集成商、工程商提供高质优价的高端门禁系统解决方案及产品，支持国密规范与手机CPU卡规范。

　　2. 方案构成

　　拙进通信高端门禁系统包含如下部分： 

　　卡片：采用CPU/国密CPU卡。支持M1卡。 
　　门禁感应器：支持M1卡、CPU卡、国密CPU卡、超薄卡、手机卡、NFC、RFID-SIM（移动、电信、联通） 
　　门禁控制器：大容量、功能丰富、稳定性好。 
　　发卡系统：读卡片进行数据发行操作。 
　　门禁系统：真正的B/S架构系统，大容量、跨区域支持。以用户管理流程为导向的设计思想。便于与其它系统集成。

　　2.1. 卡片

　　2.1.1. 国密CPU卡：指采用国产密码算法的CPU卡片，采用ISO14443 通讯协议，卡的能量供应比较稳定。可以根据一定的加密算法对卡片进行认证，可以进行密文数据传输，大大提高了卡片的安全。

　　2.1.2. 手机CPU卡：指与手机SIM卡结合方式的CPU卡，包括13.56M RFID-SIM卡以及NFC-SWP卡，实现手机刷卡。

　　2.2. 系统安全性特点

　　CPU卡门禁系统采用的是动态密码，并且是一次一密即同一张非接触CPU卡，每次刷卡的认证密码都不相同
　　拥有独立的CPU处理器和芯片操作系统，可以更灵活地支持各种不同的应用需求，更安全地设计交易流程，比如密钥管理、交易流程、PSAM卡以及卡片个人化。
　　卡片密钥管理采用PSAM卡方式，卡片密钥由客户掌握。
　　用户可自行采购标准国密CPU卡片。

　　2.3. CPU卡加密及制卡流程

　　CPU卡安全加密模块包括：发卡器（含可插拨式PSAM卡）、加密软件

　　密码设置：使用方首先用串口连接发卡器，通过软件给发卡器重新设置密码（由客户自己定义）
　　PSAM卡加密：使用方通过发卡器给PSAM卡进行卡片个人化与加密。包括卡片文件建立以及密钥加密。
　　CPU卡加密：使用发卡器对CPU卡进行加密。
　　CPU卡卡片应用数据发卡：将所有需要使用的卡片的数据加密写入CPU卡片，如门禁权限数据。

　　2.4. 发卡软件

　　门禁发卡软件的功能主要是根据国密SM1算法生成相应的一系列密钥，将相应的密钥进行密钥分散，实现一卡一密，通过发卡读卡器完成卡片密钥的下载。

　　软件系统生成的密钥类别有：初始密钥，保护密钥，传输密钥，主控密钥和根密钥。其中初始密钥和保护密钥是属于过程密钥，起加密线路保护的作用。传输密钥、主控密钥和根密钥用来发传输密钥卡，根密钥卡和用户卡。

　　传输密钥卡用来将传输密钥安全地导入读头芯片，然后用传输密钥做线路加密保护密钥，将根密钥从根密钥卡导入到读头芯片内的安全模块。用户卡内密钥是经过分散后的根密钥，用于读头模块含国密SM1算法进行安全认证，身份识别。 

　　2.5. 身份识别方式
　　
　　单向刷卡感应 模式 （主要配套设备：读卡器＋控制器＋出门按钮＋电锁）

　　使用者在门外出示经过授权的感应卡，经读卡器识别确认合法身份后，控制器驱动电锁开启放行，并记录进门时间。出门按开门按钮，打开电锁，直接外出。 

　　适用于安全级别一般的环境，可以有效地防止外来人员的非法进入。是最常用的管理模式。

　　双向刷卡感应 模式 （主要配套设备：读卡器＋控制器＋读卡器＋电锁）