课件：以色列DDS综合门禁管理系统全程加密解决方案.pptx

,以色列DDS综合门禁管理系统,全程加密解决方案,以色列DDS综合门禁管理系统,全程加密解决方案,目 录,第一章,行业背景,2008年，德国和美国的研究人员成功破解了NXP的MIFARE CLASSIC IC （以下简称Mifare1 芯片）的安全算法，并在互联网上公布了破解芯片密码的方法。 众多的Mifare1的用户开始担心自己系统的安全。通过分析Mifare1破解的原理及带来的影响，我们可以得出结论：Mifare1确实已不再安全。我们必须选择适当的产品替换Mifare1，以加强我们的系统安全！,引例,/blog/archives/2008/01/dutch_rfid_tran.html,The Dutch RFID public transit card, which has already cost the government $2B - no, thats not a typo - has been hacked even before it has been deployed: The first reported attack was designed by two students at the University of Amsterdam, Pieter Siekerman and Maurits van der Schee. They analyzed the single-use ticket and showed its vulnerabilities in a report. They also showed how a used single-use card could be given eternal life by resetting it to its original “unused“ state. The next attack was on the Mifare Classic chip, used on the normal ticket. Two German hackers, Karsten Nohl and Henryk Plotz, were able to remove the coating on the Mifare chip and photograph the internal circuitry. By studying the circuitry, they were able to deduce the secret cryptographic algorithm used by the chip. While this alone does not break the chip, it certainly gives future hackers a stepping stone on which to stand. On Jan. 8, 2008, they released a statement abut their work.,破 解,2008年1月21日 荷兰公交卡芯片技术遭破解,第一章,行业背景,荷兰政府警告传统芯片的安全性,The Dutch government has issued a warning about the security of access passes based on the widely used Mifare Classic RFID chip. This is the same technology used in Londons Oyster fare card. Dutch government institutions plan to take “additional security measures,“ Guusje ter Horst, minister of interior affairs, wrote in a letter to parliament this week. NXP developed the Mifare Classic RFID (radio frequency identification) chip, which is used in two million Dutch building access passes, said ter Horst. One billion passes with the technology have been distributed worldwide, making the security risk a global problem. A spokesperson for the ministry said that it had not yet notified other countries. The warning comes shortly after two research teams independently demonstrated hacks of the chips security algorithm. German researchers Karsten Nohl and Henryk Pltz, who first hacked parts of the chip last December, published a paper demonstrating a way to crack the chips encryption technology. The duo declined to publicly demonstrate their hack. We want to start a discussion first, allowing people to adjust or abandon their systems,“ Nohl said. He added that he would provide a demonstration before June,第一章,行业背景,链接：/security-center/computer-security-news/231144-dutch-warn-rfid-chip-hack.html,目 录,第二章,国内应对预案,国家应对方案,2009年,逻辑加密卡使用上的不安全因素，促进了CPU卡的发展 只采用国密算法的CPU卡，系统就安全了吗？,第二章,国内应对预案,目 录,控制器,第三章,门禁系统数据传输过程分析,读卡器,服务器,卡片,第三章,服务器-控制器,服务器-控制器,第三章,控制器-读卡器,控制器,读卡器,第三章,读卡器-卡片,在很多应用场合，读卡器直接读取卡片内固化的UID号，然后通过Wiegand协议传递给控制器。然而，卡内固化的UID号不需要通过特殊的算法或者 处理过程即可以直接获得，因而UID号极易被泄露。 读取卡片内数据是一种解决方案，如PHILIPS公司的Mifare 1卡可以采用逻辑加密方式在卡片内部写入新的卡号信息，但是由于其逻辑加密过程已遭到破解，因此卡内数据的安全毫无保障。,确保了读卡器与卡片之间数据的安全性！,目 录,Mifare1被破解后，NXP主推DESFire卡,第四章,DESFire-Mifare升级版,第四章,DDS的DESFire技术解决方案,DESFire读卡器系统的组成,Mifare1卡与非接触式CPU卡技术规格比较：,第四章,DDS的CPU技术解决方案,正是由于逻辑加密卡使用上的不安全因素，促进了CPU卡的发展,增强安全性,避免信息泄露,CPU卡内部的加密处理器、随机数和软件上的特性直接防止了恶意攻击可能带来的危险,可以根据一定的加密算法，进行密文数据传输， 同时采用强大而稳定的安全体系控制，增强了卡片使用及操作的安全性。,CPU卡可以做到卡与读卡器之间相互认证，避免卡片信息泄露,第四章,DDS的CPU技术解决方案-CPU卡的优势,第四章,DDS的CPU技术解决方案-CPU卡的优势,注： CPU卡物理卡号需要用普通Mifare读卡器读出，基于安全级别考虑CPU读卡器不支持读取CPU物理卡号功能 3DES算法：国际通用的一种标准算法，采用16字节密码和随机数计算的一种算法。 SM1算法：也称国密算法，是由国家密码管理局编制的一种商用密码分组标准对称算法，目前仅对部分备案公司授权使用。,Mifare1卡VS非接触式CPU卡,第四章,DDS的CPU技术解决方案-国密算法,CPU 读卡器系统的组成,封闭的环境 员工保密协议 加载在SIM卡上 不同的运算法则产生的密码 我们如何打算？,第四章,DDS LEGIC解决方案,许多人认为，较长的密码，是很好的保护措施。然而，如何妥善管理密码也非常的重要；,1,当密码管理非常差的时候，就根本不用“黑客”出马了！,2,此刻,在全球只有LIGEC 是提供具有密码管理系统的芯片厂商,密码管理系统 又称为 Master Token System Control (MTSC), 它可以帮助我们更安全的实物性的管理密码。,第四章,DDS LEGIC解决方案,第四章,独特的LEGIC MTSC主令牌密码管理系统,控制器,第四章,DDS门禁系统数据安全性,读卡器,服务器,卡片,端到端的数据安全,目 录,2019/9/1,27,可编辑,ver. 1.03,第五章,DDS新版软件发布,ver. 1.03,查看实时的事件记录 查看、创建、修改、删除持卡者 创建卡 修改持卡者的权限和其他的详细信息 激活继电器（例如：实时的打开门） 执行动作/进程 查询事件记录，统计报表 报表导出（例如：导出PDF或Excel报表到本地电脑）,通过WEB客户端登陆服务器可以实现的功能,全新WEB功能支持B/S架构,第五章,传统的AM5 ，通过单一进程处理三项任务：,读/写数据库(Database),响应用户请求(GUI),- 与控制器交换数据（Communication）,新的AM5 “Split” 版本中 ，把通讯和其它两项任务分离开了.,GUI & Database,Communication,AM5 “Split”功能介绍,第五章,第五章,AM5 “Split”功能介绍, 更多的技术细节,第五章,AM5 “Split”功能介绍,第五章,AM5 “Split”技术细节,Am5 “Split” 可以实现仅用单站点就可处理多回路信息.,可以用单个ComService 处理大量的控制器回路.,第五章,AM5 “Split”技术细节,或者安装多个 ComServices,每个 ComService 处理多个不同控制其回路,第五章,AM5 “Split”技术细节,每个ComService 可以管理多达 350 (*) 个控制回路. (* using system req. recommended by DDS),可以为特定控制器设置高优先级- 只需在“NetGroup”中设定, 特定的 ComServices 专门处理“NetGroup” .,第五章,AM5 “Split”技术细节,这样对于这些控制器网络的上行/下行数据速率会得到很大提高- 可以用于: 大厅或入口的访客发卡器 报警控制器,对于超大系统, ComServices 可以分布在不同的计算机,负载均衡,第五章,AM5 “Split”技术细节,第五章,AM5 “Split”总结,优势, AM5 的 用户界面( GUI) 不受通讯状况的影响, 可以管理数千控制器, 把事件记录快速存储到硬盘, 追踪发送的命令, 负载均衡任务分配到不同的计算机,最优性能,第五章,AM5 “Split”总结,运行环境: 超过 1500 控制器的系统 可控制超过 1500 控制器,第五章,AM5 “VPLUS”功能介绍,V+是DDS门禁与监控系统创新性的集成平台，它适应了用户无论在小系统还是大系统中对安全需求的改变。依靠DDS强大的 Amadeus5 软件平台，为视频监控、门禁控制、报警系统的无缝集成提供了稳定可靠、易于使用的解决方案。 V+提供了类似CCTV客户端的功能（实时视频、视频记录回放、视频画面的专项对比、快照、PTZ控制器等等），加上把视频记录与门禁控制记录和报警事件镜像关联起来。 所有的需求信息都被集成在一个清晰的可定制的界面中：逻辑查看摄像机，多画面视频整合，门禁系统和报警系统的实时事件。, 更多的技术细节,第五章,AM5 “VPLUS”功能介绍,第五章,DDS新一代控制器-JET,全新的电路设计和软件设计，提供更丰富的接口、更大的存储容量、更快的运算速度，预留丰富的升级空间，适应未来一段时间更复杂的安防要求； 与现有协议完全兼容，可以与TPL控制器混用，即使早起建设的系统进行升级维护，也可以放心选用JET控制器； JET保持了DDS全部Firmware自行开发的原则，避免在开放的操作系统软件平台下产生的运行故障和安全隐患； 双CPU设计，增强工业级CPU，处理速度是之前控制器的三倍 丰富的通讯接口：1个板载的TCP/IP、一个RS232/RS485、一个备份的RS485；,第五章,DDS新一代控制器-JET,兼容DDS之前所有的扩展板 读卡器独立的完整的接线端子 增加读卡器检测功能 增加读卡器保护 四个读卡器按顺序排列，代替之前的读卡器1，读卡器3，读卡器2，读卡器4排列 板载跳线可以选择读卡器的电压5V/12V,第五章,DDS新一代控制器-JET,用拨码开关代替控制器通讯的RS232/RS485跳线 增加通讯接口的防雷保护 在继电器输出端额外增加一个NC端子，便于电锁接线 额外增加三个报警检测：防拆、电源故障、后备电池电压低 8个输入点均可监测 与之前的控制器的安装孔位置一致，可以沿用之前的安装箱,RS485 加密通訉,地址 0,地址 3,地址 2,地址 1,DDS的485通讯是用随机加密协议；换句话说，每次通訉的密码都不一样。安全性相当高！ 用485还可节省安装和材料费用 - 省钱！ 每条485总缐可连接4个读卡器。用配置卡设置读卡器的地址码。 从2009年月份开始，LEGIC 还能读/写Mifare及兼容卡片；客户可很容易的从Mifare转移到LEGIC 技术平台！,第五章,DDS支持RS485通讯方式的读卡器,采用OLED屏：具有高对比度、宽视角 ，太阳光照射下仍能看清楚屏幕字体 电源反接保护，所有输入和输出口都有直流12V和静电保护 金属安装底板，以增加读卡距离的可靠性和抗干扰能力 底部用了防脱落螺丝；方便安装和维修 适合于英标和美标的安装底盒 防拆保护 采用LEGIC技术，支持多种ISO标准卡片，令牌管理系统具有高安全性,第五章,DDS OLED读卡器,输入电压：5-16V DC/工作电流：最大160mA 读卡距离：大于4cm 通讯接口：RS485，最大1200m ISO标准： ISO14443A/B ISO15693 SONY Felica 和LEGIC RF Standard 指示： 128*32像素 OLED显示屏+三色LED 键盘： 4x4键盘 键盘背光：白色高亮LED LED显示和蜂鸣器功能：刷卡后灯和蜂鸣器都由门禁控制器控制 温度范围：-30C70 C /工作湿度： 090%（非凝露） 防水等级：IP65,第五章,DDS OLED读卡器,L