原创 国家自主密码技术支撑重要门禁系统安全

2011-5-23 15:48 1515 1 1 分类: 工程师职场

智虎:首先,我有一些个人的观点,不一定对,请多指正。我觉得门禁系统有一个重要的功能是对进门人持有证件的真实性、合法性以及权限进行确认,也就是你是否是合法的证件。密码技术是信息安全的一个核心技术,在能够确保信息系统数据的安全性,可以对门禁系统的安全进行有效的保护。

国家密码管理局高级工程师李智虎

  我简单介绍一下国家密码管理局在这些领域里面开展的一些工作和本身的职能。国家密码管理局是列入部委管理的国家局,我们是2008年直属国务院序列,中央机关代管。按照1999年国务院颁布的《商用密码管理条例》,这是当年朱总理颁布的273号令,主管全国的密码工作。主要的工作包括相关法律法规的制定、产业队伍的管理、标准制定和发布,刚才陈总也介绍过了,在TC260下面有一个WG3,秘书处就设在我们这边。我们也有一些行业标准的制定,另外还有产品研发生产销售、市场监管执法、产品进出口等。因为密码是一个比较特殊的产品,大的话可能涉及到国家安全,小的至少也涉及到经济安全,再小至少有可能会和个人的隐私相联系。

  所以我们在这一块的管理方面,相对于其他的产品要严格一些,主要有两点:第一,我们有一个产业队伍的管理,如果要做密码产品,正常的情况下是首先成为一个商业密码的定点单位,如果你需要销售的话可能需要成为销售的定点单位,我看今天有很多单位过来,也是我们的定点单位。再一个是产品,进入这个队伍以后你的研发产品可能还需要对产品进行认证,所以管理还是比较严格。

  目前,我国共有商用密码的生产定点单位有321家,销售许可单位460家。这个统计数据可能有点早,截至2010年8月,通过国家密码管理局审查的商用密码产品有770余项,广泛应用于公安、金融、税务、海关、电力、教育、铁路、社保、医疗卫生等国民经济的重要领域。在公安方面,像二代证,每个人手上都有一个,这里面是有密码芯片的,它的读写机具是有密码模块的,实际上公安领域和住建也是密切相关,都是采用RFID的技术,而且都是使用智能卡实现。金融方面,比较多的是优盾,网银用得比较多,当然还有一些其他的,像今后的PBOC2.0,它也会涉及到密码技术,我们也在和人行的相关部门做密切的沟通。在税务方面,像增值税、发票、增值税防伪系统,包括最近提出来的远程抄报税。在海关方面,可能大家接触得稍微少一些,比如电子口岸是以密码来做支撑的。在电力方面,国家最近从“十一五”后期到“十二五”之间做智能电网,很多产品像电表里面都含有密码芯片。教育,有校园卡、校园一卡通。铁路也有铁路一票通,国家的社保卡也已经推了将近7、8年,也采用了国密的算法,还有医疗卫生等等。密码在这些重要领域的应用,较好地满足了市场应用的需求,维护了国家安全,产生了显著的社会效益和经济效益。包括在住建领域,住建部这么多年一直在做信息化建设,可能也或多或少会涉及到密码,住建部也一直和我们有比较多的合作,像IC卡应用服务中心和我们都有一些合作。

  接下来,我针对重要门禁系统国家密码管理局切入点,简单的讲一下来源。2009年针对国内IC卡出现安全漏洞,工业和信息化部向各省(区、市) 的人民政府和有关中央国家机关发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地、各机关和各部门开展对IC卡使用情况的调查及应用工作。根据这一情况,我们局也向中央和国家机关印发了《关于请协助做好IC卡系统密码管理工作的函》,向各省(区、市)密码管理部门印发了《关于加强IC 卡系统密码管理工作的通知》,对已建IC卡系统、新建IC卡系统和制定的IC卡系统相关标准都提出了具体的要求。

  这个提出来以后,我们就对国内采用IC卡的一些行业和领域做了分析,我们感觉门禁系统通用的话是在RFID或者是在非接触IC卡领域还有许多工作需要开展。我们在前期也做了一些储备工作,下面我接下来介绍一下非接触IC卡及RFID领域,国家密码管理局开展的相关工作。

  一、成立专项工作组。2006年11月,国家密码管理局从顶层规划,成立“电子标签密码应用技术体系研究专项工作组”,专项工作组主要为电子标签密码应用技术体系及相关密码技术标准和规范的研究制定,指导示范工程的建设。简单介绍一下这些单位,有4家芯片厂商,4家系统公司,还有2家专门做密码技术研究的,还有复旦大学,相当于是一个科研机构。有中电华大、上海华虹、同方微、复旦微,前三家是二代证的芯片供应商,复旦微在国内的公交卡和很多非接触卡领域的市场也非常大。兴唐和成都卫士通,兴唐是做二代证的模块,它也是安全支撑体系的建设单位,成都卫士通也是我国上市比较早的第一家信息安全企业。复旦大学、浙江琅木达、航天信息,航天信息系我们刚才提到做增值税发票系统的。还有上海华申、北京华大智宝等企业。

  二、研制轻量级密码算法。刚才几位专家也提到了算法的问题,在RFID和非接触IC卡当中,国密局在对称算法方面主要是推SM1和 SM7,SM1相当于是一个通用的密码算法,在网络里面用得比较普及。但是在2006年,我们考虑到非接触IC卡,特别是国际加密卡,它需要低成本、高速度,我们专项工作组在国密局的指导下,专项工作组组织国内密码领域有关专家进行轻量级的密码算法研究,成功研制了SM7密码算法,目前该算法已经在重要门禁、电子票证等系统当中得到的应用。

  三,制定相关标准。专项组在对商用密码在RFID的应用当中进行研究的基础上,确定了RFID密码应用安全技术体系框架和标准体系框架,并制定了相关标准,当然这个标准目前还没有发布,已经在全国范围内征求过两个意见了。主要是《射频识别系统密码应用技术要求》,包括5个部分,第1部分是密码安全保护框架及安全级别,我们确立了一个框架,对安全应用提出了4个等级的安全需求,并且对它一一的做了一些分级和如何用密码来保护。第2部分是芯片的应用技术要求,第3部分是读写机具、读写器,第4部分是通信安全要求,标签和读写机具之间,如果在门禁这个领域的话,可能是证件和读卡机之间通信的安全要求,第5部分是密钥管理的技术要求。这个标准目前是征求意见稿,可能今年的下半年能够通过国密局审查。如果大家有兴趣的话,可以找我们来索取。

  四、制定并发布了《重要门禁系统密码应用指南》。我们针对重要门禁系统密码应用的需求,也是这个专项组做的工作,研究并制订了《重要门禁系统密码应用指南》,2009年11月,国家密码管理局正式发布该指南。指南中对门禁系统的通用密码体系有一个简单的描述,因为我们通用的来做一个描述,针对具体的应用还有不同的需求,所以我们这边讲的是比较基础一点。我们认为一般情况下应该有这三个部分:第一,应用系统,这是最重要的,这是能够让我们进得去的。第二,还有一些基础的支撑,比如发卡系统和密钥管理系统,我们就不细节谈了。主要是下层的密码算法和中间的密钥管理,上层有一些密码协议,在这三层的支撑之上再有密码产品能够保证门禁系统的安全。

  国密局研制了算法、制定了标准以后还做了很多产品,可供大家使用的。比如有密码系统,当然这个密码系统写得不全,其实很多家都做了,也不一定往我们这里报,有的也许在报的过程当中,有的也许没有报,但是它通过我们审批的,我们就没有完全统计。上海华申有一个安全门禁系统,华大电子、华虹集成有 SM7的密码芯片,基本上是可以用于逻辑加密卡的。华大电子、同方微电子和复旦微电子有SM1的密码芯片。模块更多一些,有华申的模块和航天信息的,还有复旦微的最近也通过了。这些产品对于门禁的应用有了一些很好的支撑。

  我也介绍一下国密局组织做的一些试点示范,我们主要做的系统已经应用的是上海大师杯网球公开赛、全国商用密码成果展、公安部三所的新建办公楼安全门禁项目,上海商用飞机新建的办公楼,还有国家政府和重点部门的重要门禁系统,以及其他的重要门禁系统的新建和升级改造项目,这是它的一些应用案例和成果。

  随着物联网技术的兴起,智能建筑将开启宜居生活、智能生活,对数据来源的真实性、数据传输的机密性和完整性、数据存储的安全性提出了越来越高的要求,密码技术作为信息安全的核心技术将发挥更大的作用。我们欢迎更多的单位、更多的专家投入密码事业,为国民经济的发展和信息化进程确保安全作出更好的贡献。


PARTNER CONTENT

文章评论0条评论)

登录后参与讨论
EE直播间
更多
我要评论
0
1
关闭 站长推荐上一条 /3 下一条