國密門禁和音視頻監(jiān)控系統(tǒng)
密碼應(yīng)用
解
決
方
案
一、 國密門禁系統(tǒng)密碼應(yīng)用解決方案
1.1 門禁系統(tǒng)密碼應(yīng)用技術(shù)要求
GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》的物理與
環(huán)境安全中明確提出了門禁系統(tǒng)的密碼技術(shù)應(yīng)用要求。
1.2 國密門禁系統(tǒng)簡介
國密門禁系統(tǒng)主要由門禁卡(國密 CPU 卡)、國密門禁讀卡器、門禁控制器、門禁發(fā)卡器、密鑰注入器和 PCI-E 密碼卡等硬件設(shè)備,以及門禁管理系統(tǒng)、門禁日志審計系統(tǒng)和密鑰管理系統(tǒng)等軟件組成,并通過相關(guān)密碼產(chǎn)品 對系統(tǒng)提供密碼安全保護(hù)。
其中,各硬件設(shè)備及軟件系統(tǒng)作用如下:
國密 CPU 卡:用來存儲用戶身份信息;
國密讀卡器:用來對國密 CPU 卡進(jìn)行身份鑒別;
門禁控制器:根據(jù)身份鑒別結(jié)果,通過相關(guān)機(jī)械裝置控制是否開門,并將相關(guān)操作信息傳送至門禁管理主機(jī);
門禁發(fā)卡器:對卡片進(jìn)行發(fā)卡等初始化操作;
密鑰注入器:對卡片進(jìn)行密鑰注入操作,將卡片 ID 與卡片密鑰進(jìn)行綁定;
PCI-E 密碼卡:配合門禁日志審計系統(tǒng)使用,對進(jìn)出記錄進(jìn)行完整性保護(hù);
門禁管理系統(tǒng):系統(tǒng)管理軟件,用來進(jìn)行權(quán)限配置、權(quán)限管理等相關(guān)操作;門禁日志審計系統(tǒng):用來進(jìn)行日志審計,同時配合 PCI-E 密碼卡使用,對 進(jìn)出記錄進(jìn)行完整性保護(hù)。密鑰管理系統(tǒng):負(fù)責(zé)密鑰生成和分發(fā),并對所有密鑰進(jìn)行統(tǒng)一管理。
1.3 國密門禁系統(tǒng)工作原理
(1)發(fā)卡和密鑰分散
門禁讀卡器和門禁卡在使用之前需要先進(jìn)行發(fā)卡和密鑰分散操作,該操作需要根 PSAM 卡共同參與完成,主要流程如下:
門禁讀卡器發(fā)卡:將門禁讀卡器中的 PSAM 卡和根 PSAM 卡同時插在發(fā)卡器上,根 PSAM 卡中的系統(tǒng)根密鑰通過特定的安全機(jī)制進(jìn)行密鑰分散,分散后的密鑰存儲到門禁讀卡器 PSAM 卡中。
門禁卡發(fā)卡:門禁卡與根 PSAM 卡共同插在發(fā)卡器上,根 PSAM 卡中的系統(tǒng)根密鑰通過特定機(jī)制對門禁卡卡號做密鑰分散,分散后的卡片密鑰存儲在卡片的安全存儲區(qū)域中。該產(chǎn)品的設(shè)計符合《GM/T 0036 采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》標(biāo)準(zhǔn)中密碼設(shè)備、密碼算法、密碼協(xié)議和密鑰管理等各個方面的相關(guān)要求,可應(yīng)用于等保 2.0 電子門禁系統(tǒng)的密碼應(yīng)用建設(shè)和改造需求。
(2)用戶身份鑒別(刷卡)
如上圖所示:門禁卡中的安全芯片和門禁讀卡器中的安全模塊,采用相關(guān)密碼算法,對用戶進(jìn)行身份鑒別。讀卡器將鑒別結(jié)果反饋給控制器,由控制器來控制是否需要執(zhí)行開門操作,同時將相關(guān)操作信息傳輸給后端管理系統(tǒng),以進(jìn)行管理、存儲、查詢、統(tǒng)計、考勤等相關(guān)操作。
(3)日志記錄查詢
控制器將用戶操作記錄傳送至后端管理主機(jī)上的日志審計系統(tǒng),日志審計系統(tǒng)通過內(nèi)置的 PCI-E 密碼卡,采用相關(guān)密碼算法對日志記錄進(jìn)行 MAC 值計算和校驗(yàn)操作,以實(shí)現(xiàn)對日志記錄的完整性保護(hù)。
1.4 國密門禁系統(tǒng)密碼應(yīng)用解決方案
國密門禁系統(tǒng)密碼應(yīng)用解決方案如上圖所示:
國密 CPU 卡和國密門禁讀卡器,采用基于 SM4 國密算法的對稱加解密技術(shù),實(shí)現(xiàn)用戶身份鑒別。PCI-E 密碼卡(配合門禁日志審計系統(tǒng)使用),采用基于 SM3 的 HMAC 技術(shù),實(shí)現(xiàn)對電子門禁進(jìn)出記錄數(shù)據(jù)的完整性保護(hù)。 其中,用戶身份鑒別的具體實(shí)現(xiàn)過程如下:
(1) 國密門禁讀卡器讀取國密 CPU 的卡片信息(主要是卡片 ID),并通過卡片 ID 計算該國密 CPU 卡的卡片密鑰 K1。在上述過程中,K1 保存于內(nèi)存中;
(2) 國密門禁讀卡器通過內(nèi)部的密碼模塊生成隨機(jī)數(shù) M1,并將該隨機(jī)數(shù)回傳給國密 CPU 卡。在上述過程中,M1 保存于內(nèi)存中;
(3) 國密 CPU 卡調(diào)用 SM4 國密算法,以自身密鑰 K1 為加密密鑰,對 M1進(jìn)行對稱加密,獲得加密后的隨機(jī)數(shù) M2,并將 M2 發(fā)送給國密門禁讀卡器。在上述過程中,M2 保存于內(nèi)存中;
(4) 國密門禁讀卡器以卡片密鑰 K1 為解密密鑰,調(diào)用 SM4 國密算法,對 M1進(jìn)行對稱加密,獲得加密后的隨機(jī)數(shù) M3,并將 M3 與 M2 進(jìn)行對比,若相等則判定用戶身份合法,否則判定用戶身份不合法。在上述過程中,SM2 和 SM3 均保存于內(nèi)存中。
門禁進(jìn)出記錄數(shù)據(jù)完整性保護(hù)的具體實(shí)現(xiàn)過程如下:
(1) 門禁控制器將用戶操作信息傳送給門禁管理主機(jī);
(2) 部署在管理主機(jī)上的日志審計系統(tǒng)自動生成一條日志記錄,通過內(nèi)
置的 PCI-E 密碼卡,采用基于 SM3 國密算法的 HMAC 技術(shù),計算該條日志的 MAC 值(計為 M1),并將該條日志信息及 M1 保存至后臺數(shù)據(jù)庫;
(3) 當(dāng)用戶在日志審計系統(tǒng)中查看該條日志記錄時,日志審計系統(tǒng)從后臺數(shù)據(jù)庫中讀取該條日志信息及其 MAC 值 M1,并通過 PCI-E 密碼卡,采用基于 SM3國密算法的 HMAC 技術(shù),計算其 MAC 值(計為 M2),并將 M1 與 M2 進(jìn)行比對,如果一致,則判定該條日志記錄正常;如果不一致,則提示該條日志記錄被篡改。
在上述過程中,M1 和 M2 均保存于內(nèi)存中。
1.5 國密門禁系統(tǒng)密碼產(chǎn)品
本系統(tǒng)所使用的相關(guān)密碼產(chǎn)品如下表所示:
本系統(tǒng)相關(guān)密碼產(chǎn)品已通過國家密碼管理局的評測,并獲得國家密碼管理局頒發(fā)的產(chǎn)品型號認(rèn)證證書。
具體如下圖所示。
國密 CPU 卡
國密高安全門禁系統(tǒng)
PCI-E 密碼卡
1.6 國密門禁系統(tǒng)密鑰管理
光電安辰國密門禁系統(tǒng)所支持的密鑰包括系統(tǒng)根密鑰、卡片密鑰、讀卡器 密鑰、讀卡器工作密鑰和 PCI-E 密碼卡密鑰。
(1)密鑰體系
(2)密鑰全生命周期
1.7 國密門禁系統(tǒng)密碼管理措施
建立國密門禁系統(tǒng)密碼安全管理制度和操作規(guī)范,覆蓋密碼建設(shè)、運(yùn)維、人員、設(shè)備、密鑰等密碼管理相關(guān)內(nèi)容。
根據(jù)國密門禁系統(tǒng)密碼管理相關(guān)要求,設(shè)立相關(guān)密碼管理及操作崗位,包括系統(tǒng)管理員、普通管理員、維護(hù)人員等等,合理選拔配備人員;建立密碼人員管理制度,包括崗位責(zé)任制度、考核制度、培訓(xùn)制度、人員保密和調(diào)離制度等等。
|