淺談門禁系統的安全性

門禁系統經過幾十年的發展，無論是從總線結構、CPU選型，還是技術的成熟度、功能的完備性、性能的可靠性都有了質的飛躍。然而人們感受著高科技給他們帶來的極大便利的同時，對于一些特定領域、特定區域也帶來了諸多不安全因素。例如，系統信息遭到襲擊、IC卡邏輯加密過程遭到破解等問題層出不窮，如何利用新技術使門禁系統的安全防范措施跟得上科技的發展、更有效的阻止犯罪行為的發生，進而提升門禁系統的安全性，成為廣大門禁系統廠家研究的課題。

門禁系統的識別安全

門禁系統的前端識別終端主要有讀卡器、指紋及靜脈為主的生物識別等產品構成，前者存在著IC卡遭破解及被復制的風險，而后者又存在著系統兼容性及安全隱患的問題。

以PHILIPS公司的Mifare 1卡為例，其邏輯加密過程于2009年遭到了破解后在全球引發了軒然大波。而其在破解之前，以Mifare 1卡為載體的門禁系統占據著門禁系統的半壁江山，但是破解事件發生之后，相當一部分門禁系統已更換或升級為CPU卡或是iCLASS系列卡，國內大型的門禁系統則全部采用CPU卡系統。CPU卡系統之所以安全，主要是因為CPU卡內部擁有獨立的CPU處理器和芯片操作系統(COS系統)，所以可以更靈活的支持各種不同的應用需求，更安全的設計交易流程。CPU卡可以通過內外部認證的機制滿足不同的業務流程對安全和密鑰管理的需求?；贑PU卡的門禁讀卡器內置PSAM卡，CPU卡通過加密算法(目前主要是3DES算法及國密算法)和數據數發生器對讀卡器內的PSAM卡實現數據交互，且同一張CPU卡每次傳輸的過程都是不同的，因此無法使用空中接收的辦法來破解CPU卡的密鑰。

生物識別終端雖然理論上對識別體(如指紋、掌紋、靜脈、面部識別等)進行了有效的保護，使其幾乎無法復制，但是對系統的兼容性和系統安全性而言又存在著一定的隱患。目前，采用生物識別終端的門禁系統主要有兩種實現方式：一種是生物識別終端一體機直接控制門鎖的開啟。由于其識別終端必須安裝于人可以觸及的區域，因此，可以通過拆卸的方式即可輕松將門鎖打開。另一種是識別終端與門禁控制器分體安裝的方式，此方式需要構建兩套網絡，在生物信息授權時，需要利用自身網絡將生物識別特征碼下載到生物識別終端，而且還要將識別結果通過門禁系統網絡下載至門禁控制器，其操作較為繁瑣，兼容性較差。除此之外，生物識別終端與門禁控制器通常采用Wiegand傳輸方式，可以通過科技手段截獲數據線D0、D1的數據，從而帶來安全隱患。

門禁系統的結構安全

門禁系統的總線結構主要有以下幾種結構。

獨立非聯網一體門禁。該結構下門禁系統功能單一，通常卡片授權僅需要通過系統卡(俗稱“母卡”)來實現，且上層管理軟件可有可無。刷卡記錄提取、掛失卡下載需要通過拆下終端設備或者單獨拉線方式實現，操作極為不便。由于一體門禁直接暴露于大眾眼球，只要將其拆下，即可輕易將門鎖打開，安全性較差。

總線聯網分體門禁。此結構門禁主要通過RS-485、RS-422總線進行聯網，讀卡器安裝于門側，控制器安裝于天花板或弱電間等隱秘處，因此安全性得到一定的提升。為解決傳統總線型門禁系統存在聯網傳輸距離短、傳輸速度慢及集成性較弱的特點，又衍生出了將TCP/IP與RS-485、RS-422有機結合的二級結構門禁系統。該結構中主控器與管理電腦之間采用TCP/IP通訊方式，與分控器之間采用傳統總線通訊方式，即便是主控器與管理電腦、主控器與分控器之間的網絡出現故障，分控器仍能正常工作，可靠性大為加強。但是由于是分體門禁，門禁系統的各部分數據傳輸的安全性仍存在著一定的安全隱患。

TCP/IP結構門禁。該結構以分體結構為主，控制器與管理電腦之間直接采用TCP/IP通訊方式，通訊速度得到提升的同時，數據傳輸的安全性又成為了一個重大安全隱患。

門禁系統的數據傳輸安全

門禁系統的數據傳輸過程的安全隱患主要存在于管理電腦與控制器、控制器與讀卡器、讀卡器與卡片之間的傳輸。

管理電腦與控制器之間通常采用TCP/IP協議或者RS-485協議傳輸，由于協議內容由各門禁廠商自行定義，協議制訂的嚴密性、完整性及安全性均由各門禁廠商自行考慮，因此協議本身就難免存在一定的缺陷或漏洞，因此更容易在傳輸過程中被截獲。TCP/IP協議作為當前最流行的互聯網協議，雖然在數據傳輸速度上有其顯著的特點，卻在設計之初并未考慮到未來的安全需要，協議中有諸多安全問題，特別是電腦病毒的存在，使得網絡門禁系統面臨極大的危險。因此，通常的做法是將門禁系統的網絡與其它系統徹底隔開，完全杜絕異常因素對網絡系統的攻擊。RS-485協議雖然可以自成網絡，單由于其傳輸速率的限制，通常傳輸數據的長度要收到約束，因此無法將較長數據位的數據加密后傳輸，這樣則可以通過截斷RS-485傳輸線纜，而輕松取得數據。

控制器與讀卡器之間通常采用Wiegand協議傳輸。由于Wiegand協議為單向傳輸模式，因此讀卡器將數據傳輸至控制器之后，控制器卻無法通過D0及D1數據線反饋驗證結果，只能通過增加指示燈、蜂鳴器的控制線纜實現數據的反饋，因此造就了讀卡器傳輸線纜線芯由4芯變成了8根(或9根)，使用成本有所增加。就數據安全而言，通常情況下，讀卡器至控制器采用明碼傳輸模式，加之wiegand 傳輸的格式通常為26bit、34bit，因此，截取D0及D1數據線則可獲取卡片信息。

讀卡器與卡片之間通常采用直接讀取卡內固化的UID號，然后通過Wiegand協議傳遞給控制器。然而，卡內固化的UID號不需要通過特殊的算法或者處理過程即可以直接獲得，因而UID號極易被泄露。而PHILIPS公司的Mifare 1卡雖然可以采用邏輯加密方式在卡片內部寫入新的卡號信息，但是由于其邏輯加密過程已遭到破解，因此卡內數據的安全毫無保障。

門禁系統的數據存儲安全

門禁系統的數據主要存儲在兩個地方，一處是管理電腦的數據庫中，一處是門禁控制器的FLASH中。而數據存儲的安全隱患則主要集中于管理電腦的數據庫中。

門禁系統的數據庫通常采用SQL Server、ORCALE，也有采用ACCESS，門禁系統的所有數據，包括人事資料信息、門禁設備信息、刷卡記錄信息均存在數據庫中，因此數據庫的密碼管理及數據表中數據的表現形式顯的尤為重要。由于門禁系統可能涉及的卡片數量及門禁設備點位較多，若將此類數據予以加密后存儲，則系統運行時所有數據需要對應解密后才可以使用，運行速度受到極大影響，若數據過于龐大甚至可能導致系統的癱瘓。其次，數據加密后對于與第三方系統的極為不便。然而，數據若全部采用明碼方式存儲，一旦數據庫密碼泄露，則系統數據將面臨全面泄露的風險。

因此，建立一套安全性能更高的門禁系統，可以通過采取以下幾種方法實現：一、讀卡器與卡片采用PSAM卡認證機制進行驗證，降低卡片在與讀卡器交易過程被破解;二、讀卡器與控制器之間采用RS-485或者TCP/IP通訊方式，且將數據通過加密算法運算后傳輸;三、控制器與管理電腦之間采用TCP/IP通訊方式，同樣需要將數據通過加密算法運算后傳輸;四、軟件數據庫中存儲的數據采用部分加密的方式，加密的內容僅涉及核心的關鍵字段。

隨著安防領域對安全性的要求愈來愈高，相信在不遠的將來，傳統門禁勢必將被安全性更高的門禁系統所取代，而門禁系統的應用領域將更加廣闊。