M1卡门禁系统升级为CPU卡门禁的改造与实现

M1卡门禁系统升级为CPU卡门禁的改造与实现 广州柏杰电子科技有限公司 目 录 3一、行业背景 3二、IC卡门禁概述 4三、IC卡门禁应用现状 4四、IC卡安全性 44．1卡安全性——挑战 44．2 卡应用现状——逻辑加密卡 54．3 安全性卡片的必然选择——CPU卡 64．4 M1卡与CPU卡的比较 9五、CPU卡优势及机遇 9六、非接触式卡门禁产业机会 9七、柏杰电子非接触式卡门禁优势及特点 97．1 柏杰电子非接触式卡门禁优势 117．2 柏杰电子非接触式卡门禁特点 11八、MF1卡机器加密及非接触式卡安全体系解决 118．1密钥管理系统设计 188．2卡片安全体系设计 208．3终端设备安全体系设计 21九、柏杰电子CPU卡门禁系统升级方案 239．1产品组成与功能 329．2具体方案的实施： 34十、柏杰电子非接触式CPU卡门禁系统应用范围 一、行业背景 日前，工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。工信部的这则通知的背景是主要应用于IC卡系统的MI芯片的安全算法已遭到破解！目前全国应用此技术的IC卡也都将面临巨大的安全隐患。 2008年，德国研究员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔就享受到了成功的喜悦：他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。他们所破解的MI芯片的安全算法，正是目前全世界应用最广泛的非接触IC卡的安全算法！这一科研成果被人恶意利用，那么大多数门禁系统都将失去存在的意义，而其他应用此种技术的IC卡也都将面临巨大的安全隐患。 目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡，没有去进行加密认证或开发专用的密钥，其安全隐患远比Mifare卡的破解更危险，非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国内大多数门禁产品都不具备安全性原因之一，是因为早期门禁产品的设计理论是从国外引进过来的，国内大部分厂家长期以来延用国外做法，采用ID和IC卡的只读特性进行身份识别使用，很少关注卡片与门禁机具间的加密认证，缺少安全密钥体系的设计，而ID卡是很容易可复制的载体，导致此类门禁很容易在极短时间内被破解和复制。 二、IC卡门禁概述 系统概述：以IC卡为载体实现身份识别及出入控制。 系统组成： 身份载体：卡片或卡片+密码 识别认证设备：门禁读卡器（或称门禁读头） 控制部分：门禁控制器 执行部分：电锁、道闸、闸机等通道出入控制设备 其它：发卡器、开门按钮、运行网络环境、及相关附件 感应式IC卡门禁系统具有对场所出入控制、实时监控、保安防盗报警等多种功能，它主要方便内部人员出入，杜绝外来人员随意进出，既方便了内部管理，又增强了内部的保安,从而为用户提供一个便捷、高效的工作和生活环境。 三、IC卡门禁应用现状 门禁系统以综合布线系统为基础，以计算机网络为桥梁，在功能上实现了通讯和管理自动化。 门禁系统作为一项先进的安防和管理手段，以其自身的优势——以主动控制替代了被动监视的方式，已经广泛应用于部队、企业、银行、政府机关及相关事业单位区等领域。 四、IC卡安全性 4．1卡安全性——挑战 目前现有的门禁系统中，使用的门禁卡绝大多数属于逻辑加密卡或只读卡（如M1卡、ID卡)。 M1卡的“安全门”事件——M1卡的破解、复制，作为门禁系统身份识别的重要载体IC卡的安全性面临巨大挑战。 2009年初国家相关部委作出了关于做好应对部分IC卡出现严重安全漏洞工作的通知，因此，卡片安全性已引起了我国政府有关部门的高度重视，并要求尽快采取应对措施。 4．2 卡应用现状——逻辑加密卡 非接触式IC卡可分为逻辑加密卡和CPU卡。 非接触式逻辑加密卡是通过加密逻辑模块进行操作控制的，完全被动的接收外部处理命令，保护模块的校验值是固定的，传输数据多是明文，容易产生安全隐患。 早期投入应用的非接触IC卡技术多为逻辑加密卡，比如最为著名的Philips公司（现NXP）的Mifare1卡片。非接触逻辑加密卡技术以其低廉的成本，简明的交易流程，较简单的系统架构，迅速得到了用户的青睐，并得到了快速的应用和发展。据不完全统计，截至去年年底，国内各领域非接触逻辑加密卡的发卡量已经达到数亿张。 随着非接触逻辑加密卡不断应用的过程，非接触逻辑加密卡技术的不足之处也日益暴露，难以满足更高的安全性和更复杂的多应用的需求。特别是2008年10月，互联网上公布了破解MIFARE CLASSIC IC芯片（以下简称M1芯片）密码的方法，不法分子利用这种方法可以很低的经济成本对采用该芯片的各类“一卡通”、门禁卡进行非法充值或复制，带来很大的社会安全隐患。因此，非接触CPU卡智能卡技术正成为一种技术上更新换代的选择。 4．3 安全性卡片的必然选择——CPU卡 非接触式IC卡可分为逻辑加密卡和CPU卡。 非接触逻辑加密卡的安全认证依赖于每个扇区独立的KEYA和KEYB的校验，可以通过扇区控制字对KEYA和KEYB的不同安全组合，实现扇区数据的读写安全控制。非接触逻辑加密卡的个人化也比较简单，主要包括数据和各扇区KEYA、KEYB的更新，在期间所有敏感数据包括KEYA和KEYB都是直接以明文的形式更新。 由于KEYA和KEYB的校验机制，只能解决卡片对终端的认证，而无法解决终端对卡片的认证，即我们俗称的“伪卡”的风险。 非接触逻辑加密卡，即密钥就是一个预先设定的确定数，无论用什么方法计算密钥，最后就一定要和原先写入的数一致，就可以对被保护的数据进行读写操作。因此无论是一卡一密的系统还是统一密码的系统，经过破解就可以实现对非接触逻辑加密卡的解密。很多人认为只要是采用了一卡一密、实时在线系统或非接触逻辑加密卡的ID号就能避免密钥被解密，其实，非接触逻辑加密卡被解密就意味着M1卡可以被复制，使用在线系统尽可以避免被非法充值，但是不能保证非法刷卡开门，即复制一张一样ID号的M1卡，就可以进行非法刷卡开门。现在的技术使用FPGA就可以完全复制。基于这个原理，M1的门禁卡也是不安全的。目前国内80%的门禁产品均是采用原始IC卡的ID号或ID卡的ID号去做门禁卡，根本没有去进行加密认证或开发专用的密钥，其安全隐患远远比Mifare卡的破解更危险，非法破解的人士只需采用的是专业的技术手段就可以完成破解过程，导致目前国内大多数门禁产品都不具备安全性原因之一，是因为早期门禁产品的设计理论是从国外引进过来的，国内大部分厂家长期以来延用国外做法，采用ID和IC卡的只读特性进行身份识别使用，很少关注卡与机具间的加密认证，缺少钥匙体系的设计；而ID卡是很容易可复制的载体，导致所有的门禁很容易几乎可以在瞬间被破解复制；这才是我们国内安防市场最大的灾难。 CPU卡内部结构 非接触式CPU卡内的集成电路中带有微处理器CPU、存储单元（包括随机存储器RAM、程序存储器ROM（FLASH）、用户数据存储器EEPROM）以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理和数据安全保护等功能。 （1）非接触CPU卡的特点（与存储器卡相比较） 芯片和COS的安全技术为CPU卡提供了双重的安全保证自带操作系统的CPU卡对计算机网络系统要求较低，可实现脱机操作；可实现真正意义上的一卡多应用，每个应用之间相互独立，并受控于各自的密钥管理系统。存储容量大，可提供1K-64K字节的数据存储。 （2）独立的保密模块 -- 使用相应的实体SAM卡密钥实现加密、解密以及交易处理，从而完成与用户卡之间的安全认证。 4．4 M1卡与CPU卡的比较 众所周知，密钥管理系统（Key Management System），也简称KMS，是IC项目安全的核心。如何进行密钥的安全管理，贯穿着IC卡应用的整个生命周期。 非接触CPU卡智能卡与非接触逻辑加密卡相比，均采用ISO14443 通讯协议，但非接触逻辑加密卡中目前安全性最高的M1卡只做到IO14443A-3的协议层，而CPU卡不仅在协议层做到ISO14443A-4，同时兼容ISO14443B协议，其拥有独立的CPU处理器和芯片操作系统，非接触式CPU卡内集成电路包括CPU、RAM、ROM、EEPROM，以及固化在ROM中的操作系统COS，它可以根据一定的加密算法对卡片进行认证，可以进行密文数据传输，大大提高了卡片的安全。所以可以更灵活的支持各种不同的应用需求，更安全的设计交易流程。但同时，与非接触逻辑加密卡系统相比，非接触CPU卡智能卡的系统显得更为复杂，需要进行更多的系统改造，比如密钥管理、交易流程、PSAM卡以及卡片个人化等。密钥通常分为充值密钥（ISAM卡），减值密钥（PSAM卡），外部认证密钥（SAM卡）和全能密钥（ASAM卡）。 非接触CPU卡智能卡可以通过内外部认证的机制，例如像建设部定义的电子钱包的交易流程，高可靠的满足不同的业务流程对安全和密钥管理的需求。对电子钱包圈存可以使用圈存密钥，刷卡开门可以使用刷卡开门密钥，清算可以使用TAC密钥，更新数据可以使用卡片应用维护密钥，卡片个人化过程中可以使用卡片传输密钥、卡片主控密钥、应用主控密钥等，真正做到一钥一用。 CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互发送认证的随机数，可以实现以下功能： (1) 通过终端设备上SAM卡实现对卡的认证。 (2) CPU卡与终端设备上的SAM卡的相互认证，实现对卡终端的认证。 (3) 通过ISAM卡对CPU卡进行充值操作，实现安全的储值。 (4) 通过PSAM卡对CPU卡进行减值操作，实现安全的扣款。 (5) 在终端设备与CPU卡中传输的数据是加密传输。 (6) 通过对CPU卡发送给SAM卡的MAC1，SAM卡发送给CPU的MAC2和由CPU卡返回的TAC，可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张CPU卡每次传输的过程中都是不同的，因此无法使用空中接收的办法来破解CPU卡的密钥。 同MIFARE1卡相比， CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接口又能满足快速交易的要求（如公交的快速通过）。其原因在于：首先，非接触式 CPU卡在现有的技术条件下是不可伪造的；其次，非接触式CPU卡具有三种认证方式，持卡者合法性认证——PIN校验，卡合法性认证——内部认证，系统合法性认证——外部认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认证，保证交易介质的合法性；再次，在以上认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。 同时，非接触CPU卡的大容量存储空间又可以满足预期的大金额消费应用所要求的更多客户信息的存储。而这时安全就不仅仅是存储在卡内的电子货币的安全，还包括个人信息的安全，非接触式CPU卡的安全机制可以为此提供良好的保障。 综上所述，非接触逻辑加密卡与非接触CPU卡同属非接触IC卡，但这两种卡片是完全不同级别的卡。M1卡属于逻辑加密卡，是在在EEPROM的基础上，在芯片内增加一些密码控制逻辑电路，芯片生产出来后，逻辑电路就不能修改了，因此卡片功能也不会有太大变化。逻辑加密卡的功能介于存储器卡与CPU卡之间，它具有一定的保密逻辑功能，不象存储器卡那样可以被自由擦写；但不如CPU卡能进行复杂的密码计算，因此适用于一些需要保密功能，但对保密功能要求又不是很高的场合。 CPU卡是真正意义上的智能卡，就是常说的SmartCard，卡内集成电路中包括中央处理器（CPU）、只读存储器（ROM）、随机存取存储器(RAM)、电可擦除可编程只读存储器（EEPROM）等主要部分，犹如一台超小型电脑。具有信息量大、防伪安全性高、可脱机作业，可多功能开发等优点。 M1与CPU卡的安全性比较 M1卡 非接触CPU卡 相关国际 ISO14443 Type A-3 ISO14443 Type A-4及ISO14443 Type B 载波频率 13.56 MHz 13.56 MHz 传输数率 106 Kbps 106 Kbps 发送信号调制 ASK 100%（信号有断续） ASK 10%（TypeB信号连续） 存储空间/分区 最大4K字节，固定扇区，分块管理 2K/8K/16K可选，文件管理，灵活设计 访问权限控制 只读/只写/读写/加/减 对不同文件类型灵活设计认证方式只读/只写/读写/加/减 密钥长度/个数 6字节密码，分扇区控制 16字节密钥，可多级多个密钥组合控制 加密/认证算法 专用不公开硬件逻辑算法（已被破解） 通用公开软件或硬件加速算法（金融标准），可定制 读写/安全模块 算法内置密钥外送。认证方式为卡片与专用基站芯片认证（认证通讯协议已破解） 通用读写模块透明传输，配合SAM密钥算法，认证在双方卡内部进行，传输中为加密后的随机数 交易流程 简单不，需自定义防拔流程 有银行标准规范，也可由用户灵活设计，内置防拔流程 一卡多用 困难，不方便 完全支持一卡多用，灵活、安全、方便 五、CPU卡优势及机遇 CPU卡采用ISO14443A/B通讯协议，卡的能量供应比较稳定。可以根据一定的加密算法对卡片进行认证，可以进行密文数据传输，大大提高了卡片的安全。 CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接口又能满足快速交易的要求。 CPU卡的大容量存储空间又可以满足系统的扩展需求。 CPU卡是真正意义上的智能卡，犹如一台超小型电脑。具有信息量大、防伪安全性高、可脱机作业，可多功能开发等优点。CPU卡可广泛应用于身份识别、金融交易等领域。 六、非接触式卡门禁产业机会 综上所述Mifare one算法被破解给我们门禁产品乃至整个安防行业的安全性敲响了警钟。目前国内的政府机关、军队系统、军工系统、涉密单位、公安系统及国家重点部门等将原有ID卡或逻辑加密卡门禁系统更换成更为安全的CPU卡门禁产品已经迫在眉睫，这有助于不断提高我国IC卡信息安全工作水平，有效防止不法分子利用违法手段进行攻击和破坏，保证国家利益不受损失。 有效防范门禁产品安全问题的根本解决方案就是升级改造现有ID卡或逻辑加密卡门禁机具及卡片，并逐步将ID或逻辑加密卡门禁产品替换为更为安全可靠的CPU卡安全门禁产品。 为了应对当前M1卡破解问题，基于自主国产知识产权的CPU卡、CPU卡读写设备、CPU卡COS系统及CPU卡密钥管理系统等。广州柏杰电子科技有限公司于2009年初适时推出非接触式CPU卡安全门禁系列产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。 七、柏杰电子非接触式卡门禁优势及特点 7．1 柏杰电子非接触式卡门禁优势 柏杰电子科技有限公司与复旦微电子及NXP公司携手，共同致力于研究柏杰电子自主国产知识产权的CPU卡读写设备及CPU卡密钥管理系统并产业化。 同时为了应对当前M1卡破解问题，柏杰电子现已推出符合国家密码管理局国密算法的柏杰电子非接触式卡安全门禁系列产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。 其具体优势表现为 ： 1、 高安全性 柏杰电子科技有限公司的CPU卡安全门禁产品，充分应用了基于CPU卡的各项安全设计： --- CPU卡片同MIFARE1卡相比， CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接口又能满足快速交易的要求。非接触式 CPU卡在现有的技术条件下是不可伪造的；认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。 ----CPU卡门禁读卡器的安全性特质：柏杰电子科技有限公司的CPU卡安全门禁读卡器内置有PSAM卡插槽和SAM模块，用户可以通过发行PSAM卡或使用SAM认证模块来存储各类应用密钥，当通过门禁读卡器读取CPU卡的过程中，CPU卡具有三种认证方式，持卡者合法性认证——PIN校验，卡合法性认证——内部认证，系统合法性认证——外部认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认证，保证交易介质的合法性。 2、完善的密钥管理体系 通过柏杰电子科技有限公司的CPU卡安全门禁密钥管理系统，最终用户可以按CPU卡密钥管理流程生成和管理各类CPU卡应用密钥，并通过密钥管理系统生成的密钥完成对用户使用的CPU卡的初始化工作。 3、良好的兼容性 柏杰电子科技有限公司的CPU卡安全门禁系列产品，充分考虑到门禁读卡器与第三方门禁控制器厂家的技术兼容性，支持多种输出格式（包括Wiegand26Bit、Wiegand32Bit、Wiegand34Bit、Wiegand37Bit），支持更灵活的电压范围（9-12V），与国内外多家主流门禁控制器厂家成功对接。 4、灵活的对接方式 针对柏杰电子科技有限公司的的CPU卡发卡器，柏杰电子科技有限公司的提供读卡助手功能，第三方公司门禁管理软件可以在不进行任何修改的前提下，实现对CPU卡内信息的对接；同时柏杰电子科技有限公司的提完整的二次开发接口，可满足第三方公司门禁管理软件通过二次开发，借助柏杰电子科技有限公司的的CPU卡发卡器实现对卡片规定区域的写卡操作，实现与第三方公司门禁产品的灵活对接。 5、平滑升级，保护投资 系统提供多种运行方式，针对客户现有的系统提供接口，可以实现新建系统与原系统的无缝对接和平滑升级；客户可以根据自身已有或新建系统的实际情况，选择使用CPU卡安全门禁的对接方式，有效满足对系统建设高可用性和灵活性的要求。 6、实施简单、使用方便 系统的安装、调试简单，后期的运营维护也十分简单方便，系统提供可靠的性能和高度的安全性。 7．2 柏杰电子非接触式卡门禁特点  柏杰电子非接触CPU卡门禁系统采用的是动态密码，并且是一用一密即同一张非接触CPU卡，每次刷卡的认证密码都不相同 拥有独立的CPU处理器和芯片操作系统，可以更灵活地支持各种不同的应用需求，更安全地设计交易流程，比如密钥管理、交易流程、SAM卡以及对卡片进行个性化等。 八、MF1卡机器加密及非接触式卡安全体系解决方案 8．1密钥管理系统设计 1、设计原则 广州柏杰电子科技有限公司系列CPU卡系统密钥的安全控制和管理，是应用系统安全的关键，本方案遵循以下几条设计原则： · 密钥管理系统采用标准金融通用加密算法，采用用户单位密钥管理总中心，用户单位一卡通系统管理应用中心两级管理体制，实现公共主密钥的安全共享； · 在充分保证密钥安全性的基础上，支持密钥的生成、注入、导出、备份、恢复、更新、服务等功能，实现密钥的安全管理； · 密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同的权限； · 用户可根据实际使用的需要，选择密钥管理系统不同的配置和不同功能； · 密钥服务以硬件加密机或通用加密硬件设备为主，辅助以密钥卡的形式提供； · 密钥存储以密钥卡、硬件加密机或加密硬件设备的形式提供，而密钥备份采用密钥卡的形式。 2、系统结构 密钥体系结构图 3、各类型卡功能描述 · 发行总控卡（及其传输卡）：存放总控密钥，总控密钥是密钥系统的根密钥，由2位领导依次输入密码，系统根据一定算法生成；其传输卡，用来认证发行总控卡及产生保护密钥，保护其它密钥装载到中心主密钥卡中。 · 业务总控卡：存放有区别不同业务的分散码，例如区别充值、消费、外部认证、内部认证、应用维护密钥、PIN重装、应用PIN解锁等业务的分散码。分散码由院校业务部门人工输入或由系统随机产生。 · 中心主密钥卡（及其传输卡）：存放各类工作密钥，包括外部认证密钥、应用维护密钥、消费密钥、充值密钥、PIN解锁密钥等。工作密钥由发行总控卡的根密钥经过业务总控卡的分散码分散后导出而生成。其传输卡，用来认证中心主密钥卡和产生保护密钥，保护其密钥装载到加密机/EPASS中。 4、密钥卡类型及数量 根据以上设计和相关要求，确定本系统采用的密钥卡类型及数量如下： 密钥卡名称 使用空白卡类型 数量（张） 发行总控卡 密钥母卡 1 发行总控卡传输卡 接触式CPU卡 1 业务总控卡 接触式CPU卡 1 中心主密钥卡 密钥母卡 1 中心主密钥传输卡 接触式CPU卡 1 以上为做一套密钥保存介质所需最少卡片数量，为了防止密钥卡在保存过程中有卡片意外损坏，而导致系统有可能无法正常运行，建议做两套密钥卡。 5、密钥系统密钥的产生与保存 （1）发行总控卡及传输卡的生成 发行总控密钥由院校相关负责人负责生成。在制作人员辅助下，并保证环境安全情况下，由2位领导依次输入8位数字的密码，系统根据一定算法产生发行总控密钥，制作出发行总控卡及其传输卡。 产生流程图 发行总控卡产生流程图 发行总控卡密钥产生说明： 发行总控卡中主要存放了三条密钥：主控密钥、总控密钥以及保护密钥(传输 密钥)，具体产生如下： 主控密钥：系统随机生成；总控密钥：领导输入；保护密钥(又称传输密钥)：总控卡中取16字节的随机数作为保护密钥。 发行总控卡传输卡密钥产生说明： 发行总控传输卡主要存放两条密钥：主控密钥和保护密钥(传输密钥)，具体产生如下： 主控密钥：系统随机生成； 保护密钥(又称传输密钥)：发行总控传输卡中的保护密钥与发行总控卡中的保护密钥值一致；在发行总控传输卡中的密钥属性其实为内部认证密钥。 （2）业务总控卡的生成 业务总控卡中的所有业务分散码均由业务总控卡随机产生。保证环境安全情况下，根据业务分散码和保护密码，制作出业务总控卡。 产生流程图 业务分散卡产生流程图 业务总控卡密钥产生说明： 主控密钥：系统随机生成。PIN密码：一个固定的6个字符的密码，非接触式CPU卡门禁一卡通管理中心输入。 （3）中心主密钥卡及传输卡的生成 中心主密钥卡由非接触式CPU卡门禁一卡通管理中心负责生成。系统验证业务总控卡保护密码，用业务分散码分别对发行总控密钥进行分散产生中心主密钥，制作出中心主密钥卡及其传输卡。 产生流程图 中心主密钥卡产生流程图 中心主密钥卡密钥产生说明： 中心主密钥卡中主要存放了多条密钥：卡片主控密钥、保护密钥(传输密钥)和 多条工作密钥，具体产生如下： 主控密钥：由发行总控传输卡的保护密钥，通过PBOC分散算法分散中心主密钥卡的出厂序列号。 保护密钥(又称传输密钥)：直接从中心主密钥卡取16字节的随机数作为保护密钥。密钥KEY1….密钥KEYn：这n个密钥的产生过程是：用业务总控卡的n个分散码，分别对发行总控卡中的总控密钥进行分散自动产生而输出卡外。所有加解密均是在卡片中进行，外界无法获取，断电自动清除。 中心主密传输卡密钥产生说明： 主控密钥：固定值写入到卡片中； 保护密钥(又称传输密钥)：与中心主密钥卡的保护密钥值一致；在中心主密传输卡中的密钥属性为内部认证密钥。 6、加密标准 工作密钥加密算法和解密算法采用3DES（ANSI X3.92:1981 数据加密算法）。 个人识别码（PIN）加密算法采用标准：ISO 9564：1991 银行业务—个人识别号的管理于安全。 报文认证码（MAC）算法由银行管理部门决定，采用规范中的一种。可采用ANSI X3.92:1981 数据加密算法 7、非接触式CPU卡门禁一卡通系统密钥规划 “非接触式CPU卡门禁一卡通”系统交易过程中使用的密钥有：主密钥、工作密钥、扇区种子密钥、卡片扇区密钥、个人密码种子密钥、卡片个人密码密钥，由这六个密钥组成金钥匙非接触式CPU卡门禁一卡通系统的密钥体系。各种密钥的用途、生成、存储、传输和使用参见下表： 密钥管理规划一览表 用途 生成 存储 传输 使用 主密钥 用于工作密钥/种子密钥的加密 由用户单位生成 ①门禁读卡器：保存在PSAM卡上 ②发卡机：保存在加密机上或加密保存于电子加密钥匙中 不在网络上传输，由工作人员设置到存储介质上。 ①门禁读卡器：对接收到的加密工作密钥/种子密钥进行解密 ②发卡机：对需传输的工作密钥进行。 工作 密钥 用于加密传输的关键据域，生成数据包的信息校验码（MAC） 由银行密钥管理系统或金钥匙“非接触式CPU卡门禁一卡通”系统生成 ①门禁读卡器：保存在PSAM卡上。 ②发卡机：保存在加密机上或加密电子加密钥匙中 在网络上按银行加密标准加密传输， ①门禁读卡器：对传输的交易数据进行加密/解密 ②发卡机：对传输的交易数据进行加密/解密 扇区 种子 密钥 用于分散卡片扇区密钥。 由用户单位生成 ①门禁读卡器：保存在PSAM卡上。 ②发卡系统：保存在加密机或电子加密钥匙中 不在网络上传输，由专业管理人员设置到存储介质上。 ①发卡系统：分散卡片扇区密钥，对卡片控制扇区进行初始化； ②门禁读卡器：分散卡片扇区密钥，登录卡片 卡片 扇区 登录 密钥 用于控制卡片扇区的登录权限 由种子密钥及分散因子通过分散算法生成。 ①卡片：保存在控制扇区 ②门禁读卡器：根据种子密钥及卡片的分散因子动态生成 不传输 ①发卡系统：登录卡片扇区，对卡片数据扇区进行初始化； ②门禁读卡器： 控制对卡片扇区的登录，判断卡片的合法性。 个人 密码 种子 密钥 用于分散卡片上保存的一半个人密钥。 由用户单位生成 ①门禁读卡器：不保存。 ②发卡系统：保存在加密机或电子加密钥匙中 不在网络上传输，由专业管理人员设置到存储介质上。 ①发卡系统：分散卡片的个人密钥，对卡片公用扇区密码块进行初始化； ②门禁读卡器：不使用。 卡片 个人 密码 密钥 用于加密卡片的个人密码（PIN） 由非接触式CPU卡门禁一卡通系统生成 ①门禁读卡器：保存一半（固定不变） ②卡片：保存另一半（变化） 不传输 ①发卡系统：合成固定和卡片变化的密钥后，对个人密码加密，对卡片公用扇区密码块进行初始化； ②门禁读卡器：合成门禁读卡器和卡片的密钥后，对个人密码加密，判断个人密码的合法性。 8．2卡片安全体系设计 1、风险性分析 · 卡片密码 ——由于卡片里涉及到金融交易数据及个人隐私，为防止别人盗用，卡片必须具有完善的加密体制。 · 卡片数据——由于卡片里涉及到金融交易数据，根据中国人民银行IC卡管理规范，IC卡里必须保证数据的安全性及其稳定性。 · 卡片扇区功能 ——在IC卡里的单个扇区损坏的情况下，IC卡应具备自动将损坏扇区里的数据转移到另外的扇区的功能。 · 卡片算法 ——为防止加密算法被人破解，IC卡里必须具备多种加密算法，并可自由组合，增加其安全性。 · 卡片保障机制——IC卡应具有全世界唯一的ID号，防止出现几张卡片混用一个ID号的情况。 2、安全性规划及实施 作为信息载体的基本单元，非接触式CPU卡门禁一卡通”系统采用PHILIPS公司的逻辑加密的非接触式加密IC芯片上海复旦的FM1208卡或DESFire MF3来进行实现。 密码标准采用国际标准DES/ 3DES/HASH/MD5等算法。另外，每张卡片具有全世界唯一的序列号，并具有严密的逻辑运算和逻辑加密功能，操作时卡机数据校验采用CRC方式，需经双向三次论证，确保卡机在数据交换之前，两者进行互相身份合法性鉴别，从而对卡片的安全性做了保证。 卡片的读写机制本身固有的安全性 卡片具有先进的数据通信加密并双向验证密码系统；且具有防重叠功能：能在同一时间处理重叠在卡片读写器天线的有效工作距离内的多张重叠的卡片。 卡片与读写器通信使用握手式半双工通信协议;卡片上有高速的CRC协处理器,符合CCITT标准。 本系统特有的安全性 为保证系统的密钥安全性，广州柏杰电子科技有限公司首创密钥分段管理的方法对密钥进行管理与控制，有效防止密钥泄露——即终端设备必须用授权卡授权及与主机连网授权两方面均获得授权才可正常使用。 · 授权卡: 授权卡不同于一般的用户卡，是专门为了完成主机与终端设备间的密钥传递而发行的管理用卡。终端设备通过特定方法完成与授权卡之间的信息交换（即授权过程），获取其必须的密钥信息。这是终端设备访问用户卡的先决条件之一。 · 连网授权: 终端设备除需使用授权卡授权外，还必须与主机连网，由主机下载另一部分密钥信息，终端对两部分信息组合得到完整密钥，才可对卡片操作。大大提高了整个系统的安全性。 · IC卡安全管理 : 对用户IC卡的制卡、发卡、挂失、补卡、销卡、黑（白）名单管理、制卡和领用等过程需制定一套严密完整的制度和实施方法，以保证门禁系统的安全可靠性，保证控制器、持卡人、后台管理中心的安全。 这一部分主要体现在系统化发卡过程，明确硬件设备管理规则和人员安排规则和方法，需要由负责门禁系统的管理机构制定。 3、突发事件故障处理及防范措施 · 卡片丢失：持卡人一旦丢失或损坏了卡片，有可能带来个人经济损失、权限盗用以及诸多不便。为此，系统设计并实现了多种挂失方法：电话自助挂失、网上自助挂失、触摸屏资讯通上自助挂失、自助挂失机自助挂失、各站点报失等。 · 卡片损坏：系统提供副卡（临时卡、刷卡开门卡）以便临时使用。 · 卡内可以存储多笔刷卡，数据要有校验功能，当系统完全瘫痪时，可根据卡内信息来恢复。 · 卡片具有数据自维护功能，使得后台管理中心脱机工作时的数据有安全保证； 8．3终端设备安全体系设计 1、设备风险性分析 · 设备的授权——防止非法产品入网流通使用，所有门禁读卡器须经授权才能在非接触式CPU卡门禁一卡通网络上使用。 · 设备的交易合法性 · 防止过期卡片使用 · 设备存储数据——应能做到防止数据泄露，断电后能够继续运行使用。 2、设备安全性规划及实施 · 注册／授权双向认证：产品具有特定的注册／授权双向互认功能，防止非法产品入网流通使用。 · 使用权限及有效期识别：可设置1—256类卡，授予不同权限，满足不同刷卡开门对象或若干下属独立核算单位的类别管理。严密的有效期识别功能，能有效的防止过期卡片使用。 · 非法卡、黑卡报警功能：门禁读卡器广泛使用黑、白名单技术，对卡片进行合法性验证，并记录非法卡使用情况，有效防止非法卡片的流通。对黑卡以及各种非法卡使用状态，本机将自动识别并提示相应的报警代码，提示工作人员采取相应措施处理，防止的流通使用。 · 个人密码使用：可选使用，可设置刷卡开门与个人密码使用的对应关系。 · 逻辑开机锁：操作员可设置键盘锁定与开锁。 · PSAM卡接口：安全性达到金融级别要求。 · 终端设备子网采用星型拓扑结构：任何一台终端出现故障，都不影响其他设备及整个系统。 · 存储数据：门禁控制器中存放的刷卡开门明细是带刷卡开门交易认证码存放的，可以防止篡改。数据中心的数据加密存放，防止数据泄露。在终端设备比较集中的场所，如办公楼等地方，均配置UPS，在设备比较分散的地方，终端设备配置后备电池，以此保障终端设备在断电后能够继续运行使用。 3、卡片校验的安全性 卡片校验的安全体系的设计，主要体现在以下几个方面： · 密钥管理：通过制定一套完整的密钥管理体系，来保证刷卡开门过程的安全性和门禁读卡器具使用的安全性。门禁读卡器具的密钥保存在PSAM卡中，无法读取，能够保障交易安全。 · 用户IC卡的合法性认证：当用户IC卡在门禁读卡器上刷卡时，门禁读卡器首先需要验证IC卡的合法性。验证通过后，门禁读卡器需要进一步检查该IC卡是否在黑（白）名单中、是否为止付卡或过期卡等，若都不是，才确认该卡是合法的。 · 用户使用的安全性和完整性：用户IC卡门禁读卡器之间进行双向身份认证，并且IC卡中每次刷卡开门受到限制。 · 门禁读卡器使用的安全性：管理中心设置唯一的门禁读卡器门禁读卡器具识别号。另外，为了防止伪造或非法使用门禁读卡器，保证门禁读卡器使用的安全感性，需要为每个合法操作员发放一张操作员卡，经过操作员卡后，门禁读卡器才能接受刷卡开门。 · 门禁读卡器中的刷卡开门数据的安全：门禁控制器保存刷卡开门明细和该刷卡开门明细交易认证码。进行数据采集时，将刷卡开门明细和刷卡开门交易认证码一起上传，结算中心可以对该刷卡开门交易认证码进行校验，以保证刷卡开门数据的真实性和完整性。 4、系统使用的安全性 系统使用安全方案的设计，主要体现在以下几个方面： · IC卡的合法性认证：门禁读写器采用联机工作方式。当IC卡在门禁读卡器上刷卡时，门禁读卡器先进行初步认证，然后上传相应的卡信息和密钥信息到控制器，门禁控制器判断该IC卡是否在黑（白）名单中、是否为禁止卡或过期卡等，若都不是，才确认该卡是合法的。 · 身份识别的安全性和完整性：用户IC卡和门禁读写器之间双向身份认证，并且IC卡中的权限设置上限。 · 门禁读卡器使用的安全性：因为门禁读卡器是联机工作，身份识别及认证点是固定的地点，所以门禁读写器使用的安全性主要是终端硬件的安全和管理上的安全。 九、柏杰电子CPU卡门禁系统升级方案 目前在现有的楼宇门禁系统中，使用的门禁卡绝大多数属于Mifare One(简称M1卡) 。近期由于M1卡被破解，M1卡的复制、解密等情况随时有可能发生，对现有门禁系统安全产生了严重影响。使用CPU卡代替M1卡成为门禁系统升级的必然趋势。如何将一个M1卡的门禁系统升级为CPU卡系统，我们提出以下方案。 在一个门禁管理系统中，主要包括以下几个部分： 管理中心是一个软件平台，负责整个系统的协调、指挥工作，主要功能包括:规定和调整系统设置要求并实行；负责监控主要的进入口和公共场所；负责处理门禁系统发生的警报；负责提供对事件记录；负责发卡注册。 门禁控制单元是硬件平台，是类似于通道管理性质的各类控制器，如：门锁控制器、电梯控制器、停车场控制器和考勤终端等(可扩充功能)，都属于门禁控制单元。门禁控制单元是管理中心设置的各种管理手段的执行设备。 门禁系统中门禁单元设备的标准配置如下图。 读卡器是门禁控制系统当中的卡识别设备，将用户刷卡信息传送给控制器和管理系统，供控制系统进行判断处理。 电锁、闸机等是门禁系统的执行机构，执行对门、通道的开关控制。 在整个门禁管理系统中，门禁IC卡是安全管理的核心。此次M1卡被破解，正是将门禁系统的最核心的安全控制打破。要解决门禁系统的安全问题，需将M1卡替换为CPU卡。而整个系统中与卡片有直接交互的只有两个地方：后台系统中的发卡子系统和最前端的识别系统，即门禁读卡头。对于绝大多数门禁系统而言，门禁读卡头只是将卡片卡号读取出来通过控制器送到后台系统，系统通过卡号及后台授权情况进行控制。这样我们在进行系统升级改造时，只需要改造门禁读卡头和发卡子系统，使之能够识别读写CPU卡，并对CPU卡完成认证，其他系统和软件都无需改动，即可快速完成从M1卡到CPU卡的迁移。 9．1产品组成与功能 柏杰电子科技有限公司推出的CPU卡安全门禁系统由以下几个部分组成：CPU卡安全门禁读卡器、CPU卡发卡器、安全门禁密钥管理系统、CPU卡片、门禁控制器、门禁管理软件。 9．1．1卡片选型 FM1208及MIFARE DESfire MF3系列非接触CPU卡是一款带有TDES/DES硬件加速功能的非接触CPU卡。该产品支持多应用防火墙，支持内外部双向认证，具有硬件DES处理器和真随机数发生器，符合IEC/ISO14443A/B标准。具备防冲突机制，支持防插拔处理和数据断电保护机制。 卡片——参数 数据容量：8Kbytes（可选2/4/8/16Kbytes）； 技术规范：支持PBOC2.0的 电子存折/电子钱包/借贷记应用；支持社保卡规范； 保存时间：最短10年； 擦写次数：至少50万次； 运算速度：最大848KBps通讯速率； 交易时间：标准PBOC电子钱包交易时间<80ms； 读写距离：0~10cm； 工作温度：-25℃~+70℃ 9．1．2、门禁读卡器 PK-U600系列门禁读卡器 门禁读卡器 创新性地将智能卡认证——SAM卡安全认证机制引入门禁控制领域 采用柏杰电子自主研发的CPU卡加密机制，芯片采用国家密码管理局安全认证算法 支持Wiegand26/34、RS485通讯协议，适合配套各型号门禁控制器 读取范围：5~10cm 工作电压：DC12×(1±5%)V 工作温度：-20℃～50℃ 通讯协议：Wiegand26/34 或RS485 工作频率：13.56KHz 读卡速率：106Kbps 读取时间：<150ms 9．1．3、门禁控制器 门禁数据存储控制器简称门禁控制器，柏杰电子科技有限公司的NET.U系列数据存储控制器采用领先国际先进水平的高速运算电路以及Flash海量存储技术单片机设计，集处理、存贮、通讯功能于一块印制电路板上，具有同通讯口终端快速拆除的特点，软件监控每个口的通讯活动，选用记忆接口处理单元，可支持由上级站装入的微程序控制存贮器。单片机设计具有固有的可靠性，而扩充了瞬态保护功能，自动自检功能更增强了这种可靠性。可以脱机存储非接触式IC卡读卡器的wiegand26/34 格式的读卡信息、时间信息和当时的状态信息。广泛用于门禁、考勤、签到、会员管理、消费、客户管理、停车场管理等非接触式IC卡的应用系统。 领先国际先进水平的高速运算电路以及Flash海量存储技术设计，反应速度胜人一筹。 · 第十代产品更显成熟品味。 · 广泛的成功案例使您更加放心。 · 平易近人的多语言Windows软件操作界面，简单实用，功能强大，无需专业知识即刻轻松掌握，安装快捷，培训更加轻松。 · 独立自主的知识产权和开放式的数据通讯协议，使您的系统集成更加便捷，享受更加周到、细致、尖端的技术支持。 外形 通讯方式 名称 485通讯方式 单门双向门禁控制器 485通讯方式 双门双向门禁控制器 485通讯方式 四门单向门禁控制器 外形 通讯方式 名称 TCP/IP通讯方式 单门双向门禁控制器 TCP/IP通讯方式 双门双向门禁控制器 TCP/IP通讯方式 四门单向门禁控制器 PCB尺寸 160mm 长 *106mm 宽 160mm 长 *106mm 宽 218mm 长 *106mm 宽 功能 可以管一个门的进门刷卡和出门按钮，或者进出门都刷卡 可以管两个门的进门刷卡和出门按钮，或者进出门都刷卡 可以管四个门的进门刷卡和出门按钮 可接读卡器数量 一对 两对 四个 可控制门输出 一组 两组 四组 基本参数 控制箱尺寸： 273mm*228mm*65mm 配套电源功率： 12VDC 4-7A 电路板功耗： 小于100mA 读卡器输入格式：Wiegand 26 (兼容该协议下的一切读卡器，例如 Motorola、HID、EM、Mifare one等。 ) 输出继电器最大负载电流：7A 开门延时时间： 0-600秒可调 最大联网数： 485控制器为一条总线255台（建议80台以内），TCP/IP网络型控制器 不限台数。 运行温度： -40 至 70摄氏度 运行湿度： 10-90％RH，无冷凝 用户注册卡数量： 2万张卡权限 记录脱机存储数量： 10万条存储记录 停电保护措施： 高速闪存设计，永不丢失。 读卡器到控制器最大联机距离： 100米，建议80米内。 包装组件（购买机箱电源后）： 电路板，机箱，电源，电源线，串口通讯线（485控制器才有），安装软件光盘，简明安装手册，合格证，钥匙(两片)，外包装纸箱 扩展功能： 消防联动 门联动 门长时间未关闭报警 非法闯入报警 非法卡刷卡报警 胁迫报警功能 （如果不连接消防及报警联动扩展板，则只具备软件界面的报警提示，并驱动电脑音箱予以报警。如果连接扩展板，则具备硬件报警输出功能，可驱动灯光或者警笛等设备） 强制门状态为常开或者常闭功能 远程开门功能 互锁功能 （双门和四门控制器具备控制器多门互锁功能。） 反潜回 防尾随功能 多卡同时验证后开门功能 定时常开门功能 电子地图功能 紧急关门功能（紧急双闭） 首卡开门 外接密码键盘功能 (卡＋密码，超级通行密码) 9．1．4、门禁管理系统软件 智能门禁管理软件的主要功能 区域管理：可根据建筑物安全技术防范的要求，设计限制区域的通行方式。如: 单卡、双卡、卡+密码、门锁的启/闭特性。 时间管理：具有多个可编程时间区，每个时间区可定义“开始时间”、“终止时间”和每星期有效日。可预编排全年节假日，在节假日时自动屏蔽平时所有功能，并自动执行节假日程序，持卡人只可经特定通道，在特定时间区内进出所保护的区域。 中央监控：管理主机可实时监视所有门禁点电锁的开/关，以多级电子地图、表格方式实时显示所有门禁点的开关状态，并可详细查看每次开门的时间、日期、进出人员的卡号、姓名、隶属部门、职务、个人肖像等资料。 报警功能：当系统中出现非注册卡、权限不符、门未关、电源及通信线路故障或遭受破坏时，监控中心会收到报警信号。值班人员通过监控终端或管理主机可查明报警原因和位置，并能立刻采取相应措施。 记录查询：系统中发生的每个事件都有详细记录，如每次门锁打开和关闭的时间、开门卡编号、报警输入的原因和位置等。并根据需要进行分类，形成年、月、日报表。 联动控制：能够实现与电视监控、入侵报警、火警、匪警自动报警系统的联动；实现与建筑设备监控、电梯管理、智能化管理（BMS）的联动。 智能门禁管理软件是为中国市场的需求而开发，并根据中国的国情、工作时间及生活习惯而设计，采用中文窗口的设计方式，因此非常容易操作，可在短时间内熟悉软件的应用，软件可进行各种编程；如时区编程，级别编程，通行卡编程等，也可进行各种报告打印，以方便管理层检查。 我们每年都在软件的开发升级上都投入大量的人力物力，并拥有多名经验丰富的软硬件开发工程师，所设计的软件不但可单独与门禁系统配合使用，同时还赠送了 考勤管理、在线巡更管理、定额就餐管理、会议签到等功能模块。也可以根据一卡通的原理和其他公司的停车场管理软件、消费管理软件等配合使用。 控制管理软件的特点： 功能强大：我们的软件以专业的目光为您考虑到您对出入管理控制的各个方面的需要，并结合中国国情选配智能考勤管理系统、就餐管理系统。并可以享受软件的及时升级和扩展服务，使得您的系统具备更强大的功能。 操作简单：我们的软件在设计时就重视您在使用时的便捷要求。全中文的操作界面，完善的说明文档和简洁的操作界面，只要具备基本电脑操作常识即可胜任管理工作。也使得您的操作者在交接管理工作时方便、快捷。同时也使得培训工作变得轻松快捷而卓有成效。 使用安全：密码保护的进入程序，避免非授权人员操作和篡改数据。保证您数据的安全性和可靠性。可以多用户管理，不同权限级别的操作员拥有不同的操作权限和级别，不同部门的人拥有不同的软件功能。 兼容性强，升级方便。可以兼容 windows2000、XP、Vista 等微软的操作系统，推荐您在XP上安装和操作本系统。可以方便地进行软件升级，获得更新软件版本，功能更加强大，操作更加方便，界面更加友好。 门禁管理基本功能、扩展功能和行业性专业功能 本软件已经囊括了市面上95%的门禁管理功能，并以合理的方式组织起来，使得操作更加便捷，更容易让操作员管理和学习。当然，我们也将继续留意和重视客户的新的需求，并在合适的时候开发到新的软件版本里去，并且可以保持操作简单便捷的设计风格，让用户享受更好的软件功能带来的愉悦。 门禁管理的基本功能 灵活的权限管理 可以设置某个人能过哪几个门，或者某个人能过所有的门。也可设置某些人能过哪些门。设置结果可以按门或者按人来排列，用户可以很清晰地看到 某个门哪些人能过，或者某个人可以通过哪些门。一目了然，并可以打印或者输出到Excel报表中。 时间段权限管理功能 可以设置某个人对某个门，星期几可以进门，每天三个几点到几点可以进门。 脱机运行 通过软件设置上传后，控制器会记住所有权限和记录所有信息，即使电脑软件和电脑关闭，系统依然可以正常脱机正常运行，即使停电信息也永不丢失。 实时监控 照片显示 门状态显示功能 可以实时监控所有门刷卡情况和进出情况，可以实时显示刷卡人预先存储在电脑里的照片，以便保安人员和本人核对。如果接上了门磁信号线，用户可以一目了然看到哪些门是开着的，哪些门是关着的。合法卡的实时记录以绿色的方式显示，非法卡的记录以橙色的方式记录，报警记录以红色的方式显示，便于提醒保安人员注意。如果加装视频门禁设备，还可以在客户刷卡的时候进行实时的照相和录像。 实时提取功能 用户可以边实时监控，边自动提取控制器内的记录，刷一条就上传一条到电脑数据库里。 强制关门和强制开门功能 如果某些门需要长时间打开的话，可以通过软件设置其为常开，某些门需要长时间关闭不希望任何人进入的话，可以设置为常闭。或者某些特定时候，例如需要关门抓贼等也可以设置为常闭。 远程开门功能 管理员可以在接到指示后，点击软件界面上的“远程开门”按钮远程地打开某个门。远程开门记录通过设置也是可以形成记录的。 门禁管理的扩展功能 门内人数快速查询 、人员快速定位查询、卡＋密码 功能、超级通行密码功能、消防报警及紧急开门功能 、联动输出功能 、非法闯入报警 或者叫做强行开门报警。门长时间未关闭报警 、非法卡刷卡报警、定时上传权限功能 、操作员分部门管理功能及首卡开门。 门禁管理的行业性高级专业功能 界面锁定功能、胁迫报警、反潜回 防尾随 功能、互锁、多卡开门、定时常开门 定时常闭门 功能、紧急关门功能 、电子地图功能、刷卡开关门设置 刷一下合法卡，继电器开，刷一下继电器关。 可扩展的考勤管理功能模块 可扩展的在线巡更功能 可扩展的定额就餐功能 可扩展的会议签到功能 可扩展的防盗报警功能 9．1．5、CPU卡安全门禁密钥管理系统 在以IC卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新，它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户拥有密钥管理和发卡的主动权。 软件主要功能 （1）密钥生成和管理 密钥卡中新密钥的产生主要有两类方式，即直接在密钥卡中产生新密钥、在其它安全设备中产生新密钥然后装载到密钥卡中。产生新密钥的数据可以是AB码单、密钥种子等形式。AB码单实际上是密钥种子的一种形式，它将种子数据分成两部分，分别由两个人控制，这样可以提高系统的安全性。 （2）卡片初始化 通过CPU卡的卡片初始化功能，实现CPU卡的密钥灌装和卡内结构初始化的工作。 CPU卡的发行不同于以往的逻辑加密卡。 首先，针对用户卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作。 然后，针对PSAM卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作。 软件功能特色 通过AB码单方式，由用户方不同的领导或管理人员分别持有A或B码