以色列DDS综合门禁管理系统-全程加密解决方案.pptVIP

门禁系统数据传输过程分析控制器第三章读卡器服务器卡片WIEGANDRS485TCP/IPRS485RFID第三章服务器-控制器RS-485协议虽然可以自成网络，但可以通过截取RS-485传输网络数据进行破解。为解决主控软件与控制器之间数据传输的安全性问题，DDS提出了采用专有的128位密钥[随机加密]的解决方案，无论采用TCP/IP还是RS-485通讯，每次通讯的〝密码〞都不一样，安全性相当高！服务器-控制器管理电脑与控制器之间的数据通常采用以太网或者RS-485接口传输，通讯协议(内容)由各门禁厂商自行定义，协议制订的严密性、完整性及安全性均由各门禁厂商自行确定，因此协议本身就难免存在一定的缺陷或漏洞，因此通讯数据有可能在传输过程中被截获并解读。1TCP/IP协议作为当前最流行的互联网协议，虽然在数据传输速度上有其显著的特点，但在设计之初并未考虑到未来的安全需要，协议中有诸多安全问题，特别是电脑病毒的存在，使得网络门禁系统面临极大的危险。因此，通常的做法是将门禁系统的网络与其它系统彻底隔开，完全杜绝异常因素对网络系统的攻击。2第三章即使前端〔读卡器和卡片〕用了多牢不可破的技术，但用韦根（Wiegand）作为输出，这等同於开了个大后门给人去破解你的系统。如果采用DDS的串口读卡器，控制器和读卡器之间同样可以采用专有的128位密钥的「随机加密」协议，确保安全性！控制器-读卡器目前绝大多数门禁控制器与读卡器之间都采用Wiegand协议传输读卡数据。由于Wiegand协议为单向传输模式，控制器只能通过增加指示灯、蜂鸣器的控制线缆实现数据的反馈，因此传输线缆线由4根增加到8根(或9根)，使用成本有所增加。就数据安全而言，通常情况下，读卡器至控制器采用明码传输模式，加之wiegand传输的格式通常为26bit、34bit，因此，截取D0及D1数据线则可获取卡片信息。控制器读卡器第三章读卡器-卡片在很多应用场合，读卡器直接读取卡片内固化的UID号，然后通过Wiegand协议传递给控制器。然而，卡内固化的UID号不需要通过特殊的算法或者处理过程即可以直接获得，因而UID号极易被泄露。读取卡片内数据是一种解决方案，如PHILIPS公司的Mifare1卡可以采用逻辑加密方式在卡片内部写入新的卡号信息，但是由于其逻辑加密过程已遭到破解，因此卡内数据的安全毫无保障。DDS解决之道采用国密算法的CPU卡和读卡器采用LEGIC技术的LEGIC卡和读卡器NXPMifare升级版DESfire卡和读卡器确保了读卡器与卡片之间数据的安全性！目录行业背景国内应对预案2数据传输过程安全性分析3DDS解决之道4DDS新品发布第四章Mifare1被破解后，NXP主推DESFire卡DESFire-Mifare升级版特性采用NXP的DesfireEV1卡(MF3ICD21\41\81)，支持ISO14443A通信协议卡片支持DES/3DES/3K3DES/AES128算法卡片UID可固定7字节或者随机UID。卡片容量有2K(MF3ICD21)，4K(MF3ICD41)，8K(MF3ICD81)卡片内存数据保存时间大于10年，内存数据至少支持10万次擦写用户卡内结构划分卡片级：相当于电脑里的一个硬盘分区。卡片级有一个卡片主密钥和一个主密钥设置。每张卡片下最多可以建立28个应用(取决于剩余容量)应用级：相当于这个硬盘分区下的一个目录。每个应用下最多有14个密钥和最多32个文件。密钥号为0~13，文件名为0~31。其中0号密钥为应用主密钥。主密钥设置相当于目录的属性。密钥默认为16字节，最长可达24字节。文件级：相当于这个目录下的文件。共有5类文件。 标准数据文件(目前我们使用的文件类型) 备份数据文件 带备份机制的值文件 带备份机制的线性记录文件 带备份机制的循环记录文件标准数据文件的属性文件名，文件大小，通信模式，访问权限第四章DDS的DESFire技术解决方案DESFire卡管理软件：Issue_Software_DESFire1DESFire卡读卡器：DL-13C,DK-23C(带3×4键盘)2DESFire读卡器系统的组成DESFire智能卡3DDS的CPU技术解决方案Mifare1卡与非接触式CPU卡技术规格比较：技术规格Mifare1卡非接触式CPU卡ISO标准ISO14443TypeAISO14443TypeA/B存储管理方式分扇区/块管理文件管理访问方式只读/只写/读写/加/减对不同文件类型灵活设