监狱国密一卡通管理系统

　　第一章 项目概述 

　　1.1.设计原则 

　　根据某某实际情况，系统改造以“经济实用、安全可靠”为原则，按照以下原则实现：

　　1)　安全性

　　系统必须具有高安全性，满足国家密码局对国家政府机构门禁安全的管理要求，保证系统的安全。

　　2)　经济性

　　充分利用已有的硬件设备等资源，避免重复建设，减少成本。

　　3)　高可靠性

　　系统必须具有高可靠性，解决目前存在的问题，并且有适量冗余及其他保护措施，保证系统可靠运行。

　　4)　实用性

　　系统必须根据某某的情况下，系统做到简单、实用、人性化，方便某某门禁系统日常管理。

　　5)　扩展性

　　系统建设必须考虑到某某的实际情况，具有良好的扩展性，满足以后系统扩展要求。

　　6）开放性

　　系统在系统构架、采用技术等都必须要有较好的开放性，要符合开放性要求，遵循国际标准化组织的技术标准，满足不同系统之间的集成，与其他系统的产品进行组合，共同构成一个开放的、易扩充的、稳定的、统一软件的系统。

　　7)　集成性

　　系统必须具有各种接口和集成功能，实现与某某的IBMS、消防系统、监控系统的对接。

　　第二章 总体设计 

　　2.1.门禁产品厂家选型要求 

　　根据国家密码管理局对重点地点（党政机关、电力、通讯等相关场所）门禁使用的产品必须采用国密门禁（即取得国家密码管理局的商用密码产品生产定点单位证书）要求，选型的门禁系统产品厂家必须具有国家密码管理局的商用密码产品生产定点单位证书。

　　2.2.总体设计 

　　根据某某实际情况，对现有门禁系统进行更换，系统安全十分重要，整个系统设计如下：

　　1)　卡片规划

　　采用复旦微电子的国密标准的FM12AG08M01 CPU卡，卡片采用SSX0910安全芯片，实现身份识别、电子钱包和综合管理等多种功能。先发卡授权、后刷卡使用，先充值、后消费。

　　2）管理系统

　　选用华起公司的高可靠性、安全性的国密版门禁一卡通系统，整个系统基于卡通、库通、网通的原则，实现一张卡片、一个数据库、一个VLAN专网，对某某一卡通系统进行整体规划，满足某某的各种管理要求。

　　3）管理功能

　　整个系统可实现门禁控制、消费管理、会议签到、电梯控制、在线巡更、停车管理、综合查询等。可随着某某以后的管理需求而扩展。

　　4）与IBMS系统的集成

　　华起公司国密版门禁一卡通系统具有标准的OPC接口，可实现与IBMS等其它业务系统集成，实现华起的各种系统的联动和信息交互。

　　5）网络通信

　　华起公司国密版门禁一卡通系统和各种硬件设备采用TCP/IP通讯方式，通讯网络基于目前某某内部网络，保证系统各种信息的实时传递。
　　
　　2.3.体系架构 

　　华起公司国密版门禁一卡通系统采用“平台+应用（1+N）”架构，即以“C3系统”业务数据平台为基础，整合门禁、考勤、消费、会议签到、查询、公共服务等多种应用，可方便与第三方应用进行衔接扩展，从而组成一个完整的数字化智能楼宇一卡通应用系统。如下图：

　　统一设备管理

　　二次开发补丁或工具

　　第三方应用系统（如HR、 OA等）

　　2.4.卡片规划 

　　根据某某的实际清况，某某作为上海市政府机关办公场所，安全尤其重要，同时本次系统建设包含消费系统，卡片选用经过（国家密码管理局认证的SSXO910安全芯片）FM12AG08M01 CPU卡，实现身份识别、电子钱包和综合管理等多种功能。

　　卡片规划如下：

　　2.1.与现有门禁系统相比具有的优势 

　　华起公司的国密门禁系统采用“控制器+读卡器”的方式，与目前门禁系统采用“主控器+分控器+读卡器”的方式相比，具有很大优势

　　华起公司的门禁系统系统具有的优势：

　　1）门禁读卡器采用标准WG26与门禁控制器通讯，兼容性好；

　　2）控制器直接接门禁读卡器，没有分控器，便于安装，故障少；

　　3）设备机具通讯全部采用TCP/IP方式，可直接接入网络，实时性强

　　4）机具可自适应联机和脱机两种工作模式，可靠性高

　　5）充分利用现有网络资源，结构简单，节省投资，便于扩展

　　6）符合硬件高度集成的要求，集中管理、分散控制

　　2.2.“卡通、库通、网通”

　　2.2.1.卡通 

　　系统实现一次发卡，全系统通用，能同时考勤、消费、门禁、会议签到、电梯、停车等等应用，任何子系统不需要重新发卡．

　　2.2.2.库通 

　　所有数据保存在一个数据库中，建立统一一卡通公共信息平台，所有基础信息包括人员信息，设备管理、参数设置等等信息一次建立，所有子系统通用，是整个国密CPU一卡通系统的基础平台。

　　2.2.3.网通 

　　所有硬件设备采用TCP/IP通信方式，基于×××内部网络，可以通过一套平台软件实现集中管理，硬件和软件设备都可通过各种网络连通成一个有机体，方便系统的管理。

　　2.3.网络设计 

　　所有硬件设备采用TCP/IP通信方式，基于某某内部网络，为一卡通系统建立逻辑专用网络，保证一卡通系统稳定性。 

　　2.4.管理方式 

　　根据某某的实际情况，国密版门禁一卡通系统采用“集中管理、分布使用”、“集中认证、分散授权”的原则，管理采用以下模式：

　　1）整个一卡通系统的数据库采用同一数据库，实现数据库的统一集中管理,所有的客户端软件连接到同一数据库，各个客户端软件的各种信息保存到一个数据库中，实现一卡通系统“数据集中、信息共享”。

　　2）各个系统操作员的权限由系统管理员授予，各个操作员根据权限可实现分级管理。实现一卡通系统操作员权限的“集中认证、分散授权”。

　　3）在每台管理工作站上安装一套管理软件，各个操作员登录系统是根据自己的权限选择进入的系统，无需每个应用模块单独安装客户端软件，实现“集中管理、分布使用”。

　　4) 整个一卡通系统的各个业务子系统采用一张卡，实现各业务子系统的功能。

　　5) 整个一卡通系统设置唯一的卡片发行管理中心，整个系统的卡片发行由发卡中心统一完成，卡务管理中心由行政部负责管理。

　　6) 消费结算中心设在后勤管理部门，实现对消费系统的统一管理；

　　7）门禁系统由安全警戒科负责，实行集中管理，其它各子系统管理工作站分设在不同的部门，由各自的部门独立管理。

　　2.5.系统安全性设计 

　　本系统具有极为严密的密码体系，并从硬件安全、数据安全、网络安全等各个环节均采取了不同措施。

　　l 密钥体系的安全

　　（1）本系统采用达实公司的“智能卡一卡一密方法和系统”的专利技术，拥有完整严密的系统密钥体系，保证一卡通所有数据的安全。

　　（2）一卡通系统的母密钥由某某掌控，在没有密钥的情况下，任何人（包括设备厂商）都不能获取一卡通系统的重要数据。

　　（3）每套智能卡系统只有一张系统母卡，出厂时含有1/2的主密钥，另1/2的主密钥在客户安装软件时生成。软件的主密钥是分开生成的，也是唯一的，不可复制的。

　　l 卡片的安全性

　　(1) 采用采用复旦微电子的FM1208 CPU卡，卡片采用SSX0910安全芯片，卡内的每个文件具有独立密码和存取控制，每个文件的密码和存取控制都是独立的。

　　(2) 卡与读写器交换数据时采用13.56Mhz的射频信号，不易被截获，即使非法截获，也因无读写密码而不能访问卡内数据。

　　(3) 系统应用中采用“一卡一密”的加密机制、机具动态生成访问密码，防止卡片被破译。

　　(4) 以一套有效的卡片密钥管理机制，有效地防止伪卡,只有本系统发行的卡片才能在本系统使用，非本系统发行的卡片不能在本系统使用。

　　(5) 本系统的各个应用系统使用客户指定的文件，具有不同的密码，除两个公用信息文件能被本系统的设备访问外，各业务应用子系统在卡上的数据不能被其它子系统读写。

　　(7) 根据持卡人的不同身份，对卡片采用分类管理，授予不同权限和功能，增强安全性。

　　(8) 每张卡有唯一的序列号，卡在本系统内使用前要先注册发行。每张已发行的FM12AG08M01CPU卡的注册号、门禁权限和消费权限等信息被事先下载到本系统的机具内的注册表、权限表内。

　　l 设备终端件的安全性

　　（1）设备终端在载入密钥管理系统指定的密钥和算法后，能够对卡进行安全认证。保证仅有本系统授权的卡片才能在终端设备上正常使用。

　　（2）所有的设备终端在接入系统时，都必须经过管理平台的授权（通过系统子卡进行注册）才能使用，平台拒绝未经授权的终端设备接入。

　　（3）设备终端按注册和权限信息处理刷卡行为。本系统硬件机具不识别未注册发行的空卡（发卡器除外），其它系统发行的卡，被列入黑名单和无权限的卡也不能正常使用。

　　（4）每台设备终端均有唯一的地址号，计算机与设备终端之间的数据通讯采用带地址和通讯口令的通讯协议，只有地址和通讯口令均核对无误时才可访问机具内的数据。

　　（5）设备终端对传入传出的数据均经贴时间标签和DES加密后传送，以防被窃取、更改、破译。

　　（6）设置不同权限的系统管理操作卡对设备终端进行不同层次功能的操作，如系统卡，子系统卡，管理员卡、操作员卡等。

　　（7）设备终端传输的数据采用加密形式，保护敏感信息。

　　（8）设备终端可附加密码键盘，由持卡人输入密码进行校验。

　　l 数据传输的安全性

　　应用系统、硬件机具对传入传出的数据均经DES加密后传送，以防被窃取和更改。

　　l 工作站接入的安全性

　　（1）所有工作站需要在C3一卡通管理平台的授权后才能入网，入网工作站要经过身份认证才能使用，防止用户私自把设备接入一卡通专网使用或修改一卡通系统的重要数据。

　　（2）本系统的每个工作站配有一个USB加密狗，狗内注册有运行密码、软件功能授权信息和软件发行信息，防止非授权工作站侵入本系统。

　　l 应用系统的安全性

　　(1) 多级密钥管理，通过建立应用系统唯一性标识符，可以防止其它非本系统的卡片、机具和软件，甚至管理平台混入本系统使用。

　　(2) 通过系统子卡控制一卡通子系统机具工作参数的设置，能有效防止其他人员改变机具的配置。

　　(3) 本系统的每个工作站配有一个USB软件受权狗，狗内注册有运行密码、软件功能授权信息和软件发行信息，防止非授权工作站或非授权人员侵入本系统。

　　(4) 本系统使用的卡片必须先用一卡通系统配套的格式化软件对空白卡作格式化处理，然后才能发行为用户卡，避免因非法发行用户卡而造成系统混乱

　　(5) 应用系统的操作功能采用分级、分组授权，如察看、设置、增减等，未被授权的功能在该工作站上不可见，更不可用，杜绝越权操作使用。

　　(6) 系统中每一个操作员都有自己的帐号和密码。启动软件时必须登陆验证。

　　(7) 所有操作都有日志跟踪。

　　(8) 本系统的应用和数据库可以分离于不同计算机，也可合并在一起，以满足不同需求。

　　2.6.系统可靠性设计 

　　l 卡片的可靠性

　　(1) 卡内的各个业务数据是分文件独立保存，每个文件的密码和存取控制都是独立的。

　　(2) 卡与读写器交换数据时采用13.56Mhz的射频信号，不易被截获，即使非法截获，也因无读写密码而不能访问卡内数据。

　　(3) 系统应用中采用“一卡一密”的加密机制、机具动态生成访问密码，防止卡片被破译。

　　(4) 以一套有效的卡片密钥管理机制，有效地防止伪卡,只有本系统发行的卡片才能在本系统使用，非本系统发行的卡片不能在本系统使用。

　　(5) 本系统的各个应用系统使用客户指定的文件，具有不同的密码，除两个公用信息文件能被本系统的设备访问外，各业务应用子系统在卡上的数据不能被其它子系统读写。

　　(6) 根据持卡人的不同身份，对卡片采用分类管理，授予不同权限和功能，增强安全性。

　　(7) 每张卡有唯一的序列号，卡在本系统内使用前要先注册发行。每张已发行的FM12AG08M01CPU卡的注册号、门禁权限和消费权限等信息被事先下载到本系统的机具内的注册表、权限表内。

　　l 终端设备的可靠性

　　（1）终端设备具有防止冲突机制，当一张卡在操作时，另一张卡的进入或离开不会影响到第一张卡，也不会对第二张卡误操作。

　　（2）终端设备具有可靠的数据上传体系，提供数据校验机制，保证每笔上传记录的正确性和完整性，以及所有上传记录的连续性。

　　（3）终端设备具有验证机制，保证刷卡时数据读写的正确性，避免写入不正确的数据。

　　（4）具有后备电源，在临时停电的情况下，终端设备内所有数据不丢失、无错误。当电源供电恢复时，终端设备自动恢复到原供电状态。具有断电保护功能，保证数据可以保存十年。

　　（5）可以脱机工作，在临时通信中断的情况下，终端设备可正常工作。

　　（6）终端设备在黑/白名单的下载过程中，终端设备能继续正常刷卡使用。

　　（7）终端设备具有一定的防潮、防震和防干扰能力。

　　（8）在终端设备损坏时，可以通过的专用采集工具，将存储芯片的数据采集出来，保证系统数据的完整性。

　　l 网络可靠性

　　一卡通系统的建设基于某某办公网络的基础上，可以保证单点故障时不影响系统运行。

　　在通讯阻断情况下，一卡通的读写卡机具可以单机离线运行，由于本系统的卡片读写密码、使用有效期、电子钱包、身份和权限等信息均存储在卡片中、读写卡机具在进行交易时，不依赖任何其它设备可以独立完成卡片的合法性、有效性、可用性判断，进行电子钱包扣款、身份识别、权限判断操作，并将交易数据存储在本机。因此断网不会影响机具处理卡片业务。特别是基于TCP/IP协议的机具可以实时监测网络状态，自动连接网络通讯。

　　2.7.主要设备技术参数 

　　2.7.1.发卡器 

　　l 可读写FM12AG08M01非接触CPU卡；

　　l 读写距离：不小于2CM；

　　l 连接方式：与PC机通过标准RS232串行接口连接；

　　l 传输速度：大于9600bps；

　　l 电源：5VDC

　　2.7.2.消费机 

　　l 可读写FM12AG08M01非接触CPU卡；

　　l 发卡量：100 万张，可存储65500条消费记录，819200条黑名单记录

　　l 读卡时间：0.7≤ 秒

　　l 数据保持时间：10 年

　　l 显示：双面显示屏，操作员和用户可同时查看显示屏内容，能够显示本次消费金额和卡内余额；

　　l 消费模式：零售模式、定额编号模式、限时模式、限额模式、限次模式、限额+密码消费模式等；

　　l 操作温度：-10℃~50℃

　　l 尺寸： 主机（B ）：275MM ×180MM X 108MM

　　附机（A ）：180MM ×150MM X 50MM电源：

　　l 工作频率：13.56mh

　　l 读卡距离：<5CM

　　l 功率：＜3W

　　l 通讯方式：TCP/IP

　　l 主机与附机之间距离：3~5米

　　消费限额：具有单次最大消费限额和当日最大消费限额，超过限额消费必须输入密码；