M1卡门禁系统升级为CPU卡门禁的改造与实现

M1卡门禁系统升级为CPU卡门禁的改造与实现 广州柏杰电子科技有限公司 目 录 一、行业背 景 .................................................................................................................................... 2 二、IC卡门禁概 述 ........................................................................................................................... 2 三、IC卡门禁应用现 状 ................................................................................................................... 3 四、IC卡安全 性 ............................................................................................................................... 3 4(1卡安全性——挑 战 ........................................................................................................... 3 4(2 卡应用现状——逻辑加密 卡 ........................................................................................ 3 4(3 安全性卡片的必然选择——CPU 卡 ........................................................................... 4 4(4 M1卡与CPU卡的比 较 ............................................................................................... 5 五、CPU卡优势及机 遇 ..................................................................................................................... 8 六、非接触式卡门禁产业机 会 ........................................................................................................ 8 七、柏杰电子非接触式卡门禁优势及特 点 .................................................................................... 8 7(1 柏杰电子非接触式卡门禁优 势 .................................................................................... 8 7(2 柏杰电子非接触式卡门禁特 点 .................................................................................. 10 八、MF1卡机器加密及非接触式卡安全体系解决方 案 ............................................................. 10 8(1密钥管理系统设 计 ......................................................................................................... 10 8(2卡片安全体系设 计 ......................................................................................................... 17 8(3终端设备安全体系设 计 ................................................................................................. 19 九、柏杰电子CPU卡门禁系统升级方 案 .................................................................................... 20 9(1产品组成与功 能 ............................................................................................................. 22 9(2具体的实 施: ......................................................................................................... 31 十、柏杰电子非接触式CPU卡门禁系统应用范围 .................................................................... 33 共34页 第1页 一、行业背景 日前，工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。工信部的这则通知的背景是主要应用于IC卡系统的MI芯片的安全算法已遭到破解～目前全国应用此技术的IC卡也都将面临巨大的安全隐患。 2008年，德国研究员亨里克?普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕?诺尔就享受到了成功的喜悦:他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。他们所破解的MI芯片的安全算法，正是目前全世界应用最广泛的非接触IC卡的安全算法～这一科研成果被人恶意利用，那么大多数门禁系统都将失去存在的意义，而其他应用此种技术的IC卡也都将面临巨大的安全隐患。 目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡，没有去进行加密认证或开发专用的密钥，其安全隐患远比Mifare卡的破解更危险，非法破解的人士只需采用专业的技术手段就可以完成破解过程。导致目前国 第2页 其它:发卡器、开门按钮、运行网络环境、及相关附件 感应式IC卡门禁系统具有对场所出入控制、实时监控、保安防盗报警等多种功能，它主要方便卡应用现状——逻辑加密卡 非接触式IC卡可分为逻辑加密卡和CPU卡。 非接触式逻辑加密卡是通过加密逻辑模块进行操作控制的，完全被动的接收外部处理命令，保护模块的校验值是固定的，传输数据多是明文，容易产生安全隐患。 早期投入应用的非接触IC卡技术多为逻辑加密卡，比如最为著名的Philips公司(现NXP)的Mifare1卡片。非接触逻辑加密卡技术以其低廉的成本，简明的交易流程，较简单的系统架构，迅速得到了用户的青睐，并得到了快速的应用和发展。据不完全统计，截至去年年底，国 第3页 随着非接触逻辑加密卡不断应用的过程，非接触逻辑加密卡技术的不足之处也日益暴露，难以满足更高的安全性和更复杂的多应用的需求。特别是2008年10月，互联网上公布了破解MIFARE CLASSIC IC芯片(以下简称M1芯片)密码的，不法分子利用这种方法可以很低的经济成本对采用该芯片的各类“一卡通”、门禁卡进行非法充值或复制，带来很大的社会安全隐患。因此，非接触CPU卡智能卡技术正成为一种技术上更新换代的选择。 4(3 安全性卡片的必然选择——CPU卡 非接触式IC卡可分为逻辑加密卡和CPU卡。 非接触逻辑加密卡的安全认证依赖于每个扇区独立的KEYA和KEYB的校验，可以通过扇区控制字对KEYA和KEYB的不同安全组合，实现扇区数据的读写 安全控制。非接触逻辑加密卡的个人化也比较简单，主要包括数据和各扇区KEYA、KEYB的更新，在期间所有敏感数据包括KEYA和KEYB都是直接以明文的形式更新。 由于KEYA和KEYB的校验机制，只能解决卡片对终端的认证，而无法解决终端对卡片的认证，即我们俗称的“伪卡”的风险。 非接触逻辑加密卡，即密钥就是一个预先设定的确定数，无论用什么方法计算密钥，最后就一定要和原先写入的数一致，就可以对被保护的数据进行读写操作。因此无论是一卡一密的系统还是统一密码的系统，经过破解就可以实现对非接触逻辑加密卡的解密。很多人认为只要是采用了一卡一密、实时在线系统或非接触逻辑加密卡的ID号就能避免密钥被解密，其实，非接触逻辑加密卡被解密就意味着M1卡可以被复制，使用在线系统尽可以避免被非法充值，但是不能保证非法刷卡开门，即复制一张一样ID号的M1卡，就可以进行非法刷卡开门。现在的技术使用FPGA就可以完全复制。基于这个原理，M1的门禁卡也是不安全的。目前国 第4页 非接触式CPU卡M1卡与CPU卡的比较 众所周知，密钥管理系统(Key Management System)，也简称KMS，是IC项目安全的核心。如何进行密钥的安全管理，贯穿着IC卡应用的整个生命周期。 非接触CPU卡智能卡与非接触逻辑加密卡相比，均采用ISO14443 通讯协议，但非接触逻辑加密卡中目前安全性最高的M1卡只做到IO14443A-3的协议层，而CPU卡不仅在协议层做到ISO14443A-4，同时兼容ISO14443B协议，其拥有独立的CPU处理器和芯片操作系统，非接触式CPU卡 第5页 所以可以更灵活的支持各种不同的应用需求，更安全的交易流程。但同时，与非接触逻辑加密卡系统相比，非接触CPU卡智能卡的系统显得更为复杂，需要进行更多的系统改造，比如密钥管理、交易流程、PSAM卡以及卡片个人化等。密钥通常分为充值密钥(ISAM卡)，减值密钥(PSAM卡)，外部认证密钥(SAM卡)和全能密钥(ASAM卡)。 非接触CPU卡智能卡可以通过 第6页 同时，非接触CPU卡的大容量存储空间又可以满足预期的大金额消费应用所要求的更多客户信息的存储。而这时安全就不仅仅是存储在卡 第7页 五、CPU卡优势及机遇 CPU卡采用ISO14443A/B通讯协议，卡的能量供应比较稳定。可以根据一定的加密算法对卡片进行认证，可以进行密文数据传输，大大提高了卡片的安全。 CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接 口又能满足快速交易的要求。 CPU卡的大容量存储空间又可以满足系统的扩展需求。 CPU卡是真正意义上的智能卡，犹如一台超小型电脑。具有信息量大、防伪安全性高、可脱机作业，可多功能开发等优点。CPU卡可广泛应用于身份识别、金融交易等领域。 六、非接触式卡门禁产业机会 综上所述Mifare one算法被破解给我们门禁产品乃至整个安防行业的安全性敲响了警钟。目前国为了应对当前M1卡破解问，基于自主国产知识产权的 CPU卡读写设备、CPU卡COS系统及CPU卡密钥管理系统等。广州CPU卡、 柏杰电子科技有限公司于2009年初适时推出非接触式CPU卡安全门禁系列产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。 七、柏杰电子非接触式卡门禁优势及特点 7(1 柏杰电子非接触式卡门禁优势 柏杰电子科技有限公司与复旦微电子及NXP公司携手，共同致力于研究柏杰电子自主国产知识产权的CPU卡读写设备及CPU卡密钥管理系统并产业化。 共34页 第8页 同时为了应对当前M1卡破解问题，柏杰电子现已推出符合国家密码管理局国密算法的柏杰电子非接触式卡安全门禁系列产品，并同时推出将原有ID卡或非接触逻辑加密卡门禁系统升级为更为安全可靠的非接触CPU卡改造方案。 其具体优势表现为 : 1、 高安全性 柏杰电子科技有限公司的CPU卡安全门禁产品，充分应用了基于CPU卡的各项安全设计: --- CPU卡片同MIFARE1卡相比， CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接口又能满足快速交易的要求。非接触式 CPU卡在现有的技术条件下是不可伪造的;认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的 共34页 第9页 4、灵活的对接方式 针对柏杰电子科技有限公司的的CPU卡发卡器，柏杰电子科技有限公司的提供读卡助手功能，第三方公司门禁管理软件可以在不进行任何修改的前提下，实现对CPU卡柏杰电子非接触式卡门禁特点 柏杰电子非接触CPU卡门禁系统采用的是动态密码，并且是一用一密即同一张非接触CPU卡，每次刷卡的认证密码都不相同 拥有独立的CPU处理器和芯片操作系统，可以更灵活地支持各种不同的应用需求，更安全地设计交易流程，比如密钥管理、交易流程、SAM卡以及对卡片进行个性化等。 八、MF1卡机器加密及非接触式卡安全体系解决方案 8(1密钥管理系统设计 1、设计原则 广州柏杰电子科技有限公司系列CPU卡系统密钥的安全控制和管理，是应用系统安全的关键，本方案遵循以下几条设计原则: 密钥管理系统采用金融通用加密算法，采用用户单位密钥管理总中心，用户单位一卡通 共34页 第10页 系统管理应用中心两级管理体制，实现公共主密钥的安全共享; 在充分保证密钥安全性的基础上，支持密钥的生成、注入、导出、备份、 恢复、更新、服务 等功能，实现密钥的安全管理; 密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、 使用等操作具有不 同的权限; 用户可根据实际使用的需要，选择密钥管理系统不同的配置和不同功能; 密钥服务以硬件加密机或通用加密硬件设备为主，辅助以密钥卡的形式提供; 密钥存储以密钥卡、硬件加密机或加密硬件设备的形式提供，而密钥备份采用密钥卡的形式。 2、系统结构 密钥体系结构图 3、各类型卡功能描述 发行总控卡(及其传输卡):存放总控密钥，总控密钥是密钥系统的根密钥，由2位领 导依次输入密码，系统根据一定算法生成;其传输卡，用来认证发行总控卡及产生保护密钥，保护其它密钥装载到中心主密钥卡中。 业务总控卡:存放有区别不同业务的分散码，例如区别充值、消费、外部认证、 第11页 护其密钥装载到加密机/EPASS中。 4、密钥卡类型及数量 根据以上设计和相关要求，确定本系统采用的密钥卡类型及数量如下: 以上为做一套密钥保存介质所需最少卡片数量，为了防止密钥卡在保存过程中有卡片意外损坏，而导致系统有可能无法正常运行，建议做两套密钥卡。 5、密钥系统密钥的产生与保存 (1)发行总控卡及传输卡的生成 在制作人员辅助下，并保证环境安 发行总控密钥由院校相关负责人负责生成。 全情况下，由2位领导依次输入8位数字的密码，系统根据一定算法产生发行总控密钥，制作出发行总控卡及其传输卡。 产生流程图 发行总控卡产生流程图 共34页 第12页 发行总控卡密钥产生说明: 发行总控卡中主要存放了三条密钥:主控密钥、总控密钥以及保护密钥(传输 密钥)，具体产生如下: 主控密钥:系统随机生成;总控密钥:领导输入;保护密钥(又称传输密钥):总控卡中取16字节的随机数作为保护密钥。 发行总控卡传输卡密钥产生说明: 发行总控传输卡主要存放两条密钥:主控密钥和保护密钥(传输密钥)，具体产生如下: 主控密钥:系统随机生成; 保护密钥(又称传输密钥):发行总控传输卡中的保护密钥与发行总控卡中的保护密钥值一致;在发行总控传输卡中的密钥属性其实为 第13页 主控密钥:系统随机生成。PIN密码:一个固定的6个字符的密码，非接触式CPU卡门禁一卡通管理中心输入。 (3)中心主密钥卡及传输卡的生成 中心主密钥卡由非接触式CPU卡门禁一卡通管理中心负责生成。系统验证业务总控卡保护密码，用业务分散码分别对发行总控密钥进行分散产生中心主密钥，制作出中心主密钥卡及其传输卡。 产生流程图 中心主密钥卡产生流程图 中心主密钥卡密钥产生说明: 中心主密钥卡中主要存放了多条密钥:卡片主控密钥、保护密钥(传输密钥)和 多条工作密钥，具体产生如下: 主控密钥:由发行总控传输卡的保护密钥，通过PBOC分散算法分散中心主密钥卡的出厂序列号。 保护密钥(又称传输密钥):直接从中心主密钥卡取16字节的随机数作为保护密钥。密钥 共34页 第14页 KEY1….密钥KEYn:这n个密钥的产生过程是:用业务总控卡的n个分散码，分别对发行总控卡中的总控密钥进行分散自动产生而输出卡外。所有加解密均是在卡片中进行，外界无法获取，断电自动清除。 中心主密传输卡密钥产生说明: 主控密钥:固定值写入到卡片中; 保护密钥(又称传输密钥):与中心主密钥卡的保护密钥值一致;在中心主密传输卡中的密钥属性为 第15页 共34页 第16页 8(2卡片安全体系设计 1、风险性分析 卡片密码 ——由于卡片里涉及到金融交易数据及个人隐私，为防止别人盗用，卡片必须具有 完善的加密体制。 卡片数据——由于卡片里涉及到金融交易数据，根据中国人民银行IC卡管理规范，IC卡里 必须保证数据的安全性及其稳定性。 卡片扇区功能 ——在IC卡里的单个扇区损坏的情况下，IC卡应具备自动将损坏扇区里的数 据转移到另外的扇区的功能。 卡片算法 ——为防止加密算法被人破解，IC卡里必须具备多种加密算法，并可自由组合， 增加其安全性。 卡片保障机制——IC卡应具有全世界唯一的ID号，防止出现几张卡片混用一个ID号的情况。 2、安全性规划及实施 作为信息载体的基本单元，非接触式CPU卡门禁一卡通”系统采用PHILIPS公司的逻辑加密的非接触式加密IC芯片上海复旦的FM1208卡或DESFire MF3来进行实现。 密码标准采用国际标准DES/ 3DES/HASH/MD5等算法。另外，每张卡片具有全世界唯一的序列号，并具有严密的逻辑运算和逻辑加密功能，操作时卡机数据校验采用CRC方式，需经双向三次论证，确保卡机在数据交换之前，两者进行互相身份合法性鉴别，从而对卡片的安全性做了保证。 卡片的读写机制本身固有的安全性 共34页 第17页 卡片具有先进的数据通信加密并双向验证密码系统;且具有防重叠功能:能在同一时间处理重叠在卡片读写器天线的有效工作距离 第18页 卡片损坏:系统提供副卡(临时卡、刷卡开门卡)以便临时使用。 卡 第19页 密钥管理:通过制定一套完整的密钥管理体系，来保证刷卡开门过程的安全性和门禁读卡 器具使用的安全性。门禁读卡器具的密钥保存在PSAM卡中，无法读取，能够保障交易安全。 用户IC卡的合法性认证:当用户IC卡在门禁读卡器上刷卡时，门禁读卡器首先需要验证 IC卡的合法性。验证通过后，门禁读卡器需要进一步检查该IC卡是否在黑(白)名单中、是否为止付卡或过期卡等，若都不是，才确认该卡是合法的。 用户使用的安全性和完整性:用户IC卡门禁读卡器之间进行双向身份认证， 并且IC卡中 每次刷卡开门受到限制。 门禁读卡器使用的安全性:管理中心设置唯一的门禁读卡器门禁读卡器具 识别号。另外， 为了防止伪造或非法使用门禁读卡器，保证门禁读卡器使用的安全感性，需要为每个合法操作员发放一张操作员卡，经过操作员卡后，门禁读卡器才能接受刷卡开门。 门禁读卡器中的刷卡开门数据的安全:门禁控制器保存刷卡开门明细和该刷卡开门明细交 易认证码。进行数据采集时，将刷卡开门明细和刷卡开门交易认证码一起上传，结算中心可以对该刷卡开门交易认证码进行校验，以保证刷卡开门数据的真实性和完整性。 4、系统使用的安全性 系统使用安全方案的设计，主要体现在以下几个方面: 卡的合法性认证:门禁读写器采用联机工作方式。当IC卡在门禁读卡器上刷卡时， 门禁读卡器先进行初步认证，然后上传相应的卡信息和密钥信息到控制器，门禁控制 器判断该IC卡是否在黑(白)名单中、是否为禁止卡或过期卡等，若都不是，才确 认该卡是合法的。 身份识别的安全性和完整性:用户IC卡和门禁读写器之间双向身份认证，并且IC 卡中的权限设置上限。 门禁读卡器使用的安全性:因为门禁读卡器是联机工作，身份识别及认证点是固定的 地点，所以门禁读写器使用的安全性主要是终端硬件的安全和管理上的安全。 九、柏杰电子CPU卡门禁系统升级方案 目前在现有的楼宇门禁系统中，使用的门禁卡绝大多数属于Mifare One(简称M1卡) 。近期由于M1卡被破解，M1卡的复制、解密等情况随时有可能发生，对现有门禁系统安全产生了严重影响。使用CPU卡代替M1卡成为门禁系统升级的必然趋势。如何将一个M1卡的门禁系统升级为CPU卡系统，我们提出以下方案。 在一个门禁管理系统中，主要包括以下几个部分: 共34页 第20页 管理中心是一个软件平台，负责整个系统的协调、指挥工作，主要功能包括:规定和调整系统设置要求并实行;负责监控主要的进入口和公共场所;负责处理门禁系统发生的警报;负责提供对事件记录;负责发卡注册。 门禁控制单元是硬件平台，是类似于通道管理性质的各类控制器，如:门锁控制器、电梯控制器、停车场控制器和考勤终端等(可扩充功能)，都属于门禁控制单元。门禁控制单元是管理中心设置的各种管理手段的执行设备。 门禁系统中门禁单元设备的标准配置如下图。 读卡器是门禁控制系统当中的卡识别设备，将用户刷卡信息传送给控制器和管理系统，供控制系统进行判断处理。 电锁、闸机等是门禁系统的执行机构，执行对门、通道的开关控制。 在整个门禁管理系统中，门禁IC卡是安全管理的核心。此次M1卡被破解，正是将门禁系统的最核心的安全控制打破。要解决门禁系统的安全问题，需将M1卡替换为CPU卡。而整个系统中与卡片有直接交互的只有两个地方:后台系统中的发卡子系统和最前端的识别系统，即门禁读卡头。对于绝大多数门禁系统而言，门禁读卡头只是将卡片卡号读取出来通过控制器送到后台系统，系统通过卡号及后台授权情况进行控制。这样我们在进行系统升级改造时，只需要改造门禁读卡头和发卡子系统，使之能够识别读写CPU卡，并对CPU卡完成认证，其他系统和软件都无需改动，即可快速完成从M1卡到CPU卡的迁移。 共34页 第21页 9(1产品组成与功能 柏杰电子科技有限公司推出的CPU卡安全门禁系统由以下几个部分组成:CPU卡安全门禁读卡器、CPU卡发卡器、安全门禁密钥管理系统、CPU卡片、门禁控制器、门禁管理软件。 9(1(1卡片选型 FM1208及MIFARE DESfire MF3系列非接触CPU卡是一款带有TDES/DES硬件加速功能的非接触CPU卡。该产品支持多应用防火墙，支持 第22页 门禁读卡器 创新性地将智能卡认证——SAM卡安全认证机制引入门禁控制领域 采用柏杰电子自主研发的CPU卡加密机制，芯片采用国家密码管理局安全认证算法 RS485通讯协议，适合配套各型号门禁控制器 支持Wiegand26/34、 读取范围:5~10cm 工作电压:DC12×(1?5%)V 工作温度:-20?,50? 通讯协议:Wiegand26/34 或RS485 工作频率:13.56KHz 读卡速率:106Kbps 读取时间:<150ms 9(1(3、门禁控制器 门禁数据存储控制器简称门禁控制器，柏杰电子科技有限公司的NET.U系列数据存储控制器采用领先国际先进水平的高速运算电路以及Flash海量存储技术单片机设计，集处理、存贮、通 讯功能于一块印制电路板上，具有同通讯口终端快速拆除的特点，软件监控每个口的通讯活动， 共34页 第23页 选用记忆接口处理单元，可支持由上级站装入的微程序控制存贮器。单片机设计具有固有的可靠性，而扩充了瞬态保护功能，自动自检功能更增强了这种可靠性。可以脱机存储非接触式IC卡读卡器的wiegand26/34 格式的读卡信息、时间信息和当时的状态信息。广泛用于门禁、考勤、签到、会员管理、消费、客户管理、停车场管理等非接触式IC卡的应用系统。 领先国际先进水平的高速运算电路以及Flash海量存储技术设计，反应速度胜人一筹。 第十代产品更显成熟品味。 广泛的成功案例使您更加放心。 平易近人的多语言Windows软件操作界面，简单实用，功能强大，无需专业知识即刻轻松掌握，安装快捷，培训更加轻松。 独立自主的知识产权和开放式的数据通讯协议，使您的系统集成更加便捷，享受更加周到、细致、尖端的技术支持。 共34页 第24页 基本参数 控制箱尺寸: 273mm*228mm*65mm 配套电源功率: 12VDC 4-7A 电路板功耗: 小于100mA 读卡器输入格式:Wiegand 26 (兼容该协议下的一切读卡器，例如 Motorola、 EM、Mifare one等。 ) HID、 输出继电器最大负载电流:7A -600秒可调 开门延时时间: 0 最大联网数: 限台数。 运行温度: -40 至 70摄氏度 运行湿度: 10-90,RH，无冷凝 用户注册卡数量: 2万张卡权限 485控制器为一条总线255台(建议80台以高速闪存设计，永不丢失。 100米，建议80米 第25页 消防联动 门联动 门长时间未关闭报警 非法闯入报警 非法卡刷卡报警 胁迫报警功能 (如果不连接消防及报警联动扩展板，则只具备软件界面的报警提示，并驱动电脑音箱予以报警。如果连接扩展板，则具备硬件报警输出功能，可驱动灯光或者警笛等设备) 强制门状态为常开或者常闭功能 远程开门功能 互锁功能 (双门和四门控制器具备控制器多门互锁功能。) 反潜回 防尾随功能 多卡同时验证后开门功能 定时常开门功能 电子地图功能 紧急关门功能(紧急双闭) 首卡开门 外接密码键盘功能 (卡，密码，超级通行密码) 9(1(4、门禁管理系统软件 智能门禁管理软件的主要功能 区域管理:可根据建筑物安全技术防范的要求，设计限制区域的通行方式。如: 单卡、双卡、卡+密码、门锁的启/闭特性。 时间管理:具有多个可编程时间区，每个时间区可定义“开始时间”、“终止时间”和每星期有效日。可预编排全年节假日，在节假日时自动屏蔽平时所有功能，并自动执行节假日程序，持卡人只可经特定通道，在特定时间区 第26页 报警功能:当系统中出现非注册卡、权限不符、门未关、电源及通信线路故障 或遭受破坏时，监控中心会收到报警信号。值班人员通过监控终端或管理主机可查明报警原因和位置，并能立刻采取相应措施。 记录查询:系统中发生的每个事件都有详细记录，如每次门锁打开和关闭的时间、开门卡编号、报警输入的原因和位置等。并根据需要进行分类，形成年、月、日报表。 联动控制:能够实现与电视监控、入侵报警、火警、匪警自动报警系统的联动;实现与建筑设备监控、电梯管理、智能化管理(BMS)的联动。 智能门禁管理软件是为中国市场的需求而开发，并根据中国的国情、工作时间及生活习惯而设计，采用中文窗口的设计方式，因此非常容易操作，可在短时间 第27页 操作简单:我们的软件在设计时就重视您在使用时的便捷要求。全中文的操作界面，完善的说明文档和简洁的操作界面，只要具备基本电脑操作常识即可胜任管理工作。也使得您的操作者在交接管理工作时方便、快捷。同时也使得培训工作变得轻松快捷而卓有成效。 使用安全:密码保护的进入程序，避免非授权人员操作和篡改数据。保证您数据的安全性和可靠性。可以多用户管理，不同权限级别的操作员拥有不同的操作权限和级别，不同部门的人拥有不同的软件功能。 兼容性强，升级方便。可以兼容 windows2000、XP、Vista 等微软的操作系统，推荐您在XP上安装和操作本系统。可以方便地进行软件升级，获得更新软件版本，功能更加强大，操作更加方便，界面更加友好。 门禁管理基本功能、扩展功能和行业性专业功能 本软件已经囊括了市面上95%的门禁管理功能，并以合理的方式组织起来，使得操作更加便捷，更容易让操作员管理和学习。当然，我们也将继续留意和重视客户的新的需求，并在合适的时候开发到新的软件版本里去，并且可以保持操作简单便捷的设计风格，让用户享受更好的软件功能带来的愉悦。 门禁管理的基本功能 灵活的权限管理 可以设置某个人能过哪几个门，或者某个人能过所有的门。也可设置某些人能过哪些门。设置结果可以按门或者按人来排列，用户可以很清晰地看到 某个门哪些人能过，或者某个人可以通过哪些门。一目了然，并可以打印或者输出到Excel报表中。 时间段权限管理功能 可以设置某个人对某个门，星期几可以进门，每天三个几点到几点可以进门。 脱机运行 通过软件设置上传后，控制器会记住所有权限和记录所有信息，即使电脑软件和电脑关闭，系统依然可以正常脱机正常运行，即使停电信息也永不丢失。 实时监控 照片显示 门状态显示功能 可以实时监控所有门刷卡情况和进出情况，可以实时显示刷卡人预先存储在电脑里的照片，以便保安人员和本人核对。 如果接上了门磁信号线，用户可以一目了然看到哪些门是开着的，哪些门是关着的。合法卡的实时记录以绿色的方式显示，非法卡的记录以橙色的方式记录，报警记录以红色的方式显示，便于提醒保安人员注意。如果加装视频门禁设备，还可以在客户刷卡的时候进行实时的照相和录像。 第28页 共34页 实时提取功能 用户可以边实时监控，边自动提取控制器 第29页 9(1(5、CPU卡安全门禁密钥管理系统 在以IC卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新，它直接关系到整个系统的安全。客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户拥有密钥管理和发卡的主动权。 软件主要功能 (1)密钥生成和管理 密钥卡中新密钥的产生主要有两类方式，即直接在密钥卡中产生新密钥、在其它安全设备中产生新密钥然后装载到密钥卡中。产生新密钥的数据可以是AB码单、密钥种子等形式。AB码单实际上是密钥种子的一种形式，它将种子数据分成两部分，分别由两个人控制，这样可以提高系统的安全性。 (2)卡片初始化 通过CPU卡的卡片初始化功能，实现CPU卡的密钥灌装和卡CPU卡的发行工作流程不同于以往的逻辑加密卡。 首先，针对用户卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作。 然后，针对PSAM卡建立卡片文件结构、写入卡片应用序列号、安装各工作密钥等卡片初始化工作。 软件功能特色 通过AB码单方式，由用户方不同的领导或管理人员分别持有A或B码单，确保CPU卡各类应用密钥的安全性。 通过AB码单生成各类应用密钥，并支持发行密钥母卡和PSAM卡，确保了密钥的安全性。 客户能过此软件自行生成和管理各类应用密钥，自行完成卡片的初始化工作，保证了客户在密钥管理和发卡的主动权。 共34页 第30页 9(2具体方案的实施: 9(2(1方式一、原有门禁系统的平滑升级 如果用户要将现有的传统门禁升级到基于CPU卡的安全门禁系统，使用柏杰电子科技有限公司的推出的CPU卡安全门禁系统可以在不用更换原有控制器和门禁软件的前提下，实现平滑升级，涉及到的工作--通过柏杰电子科技有限公司的CPU卡密钥管理系统，并发行新的用户CPU卡。 --通过柏杰电子科技有限公司的CPU卡密钥管理系统，发行PSAM卡，并安装到柏杰电子科技有限公司的CPU卡安全门禁读卡器中。 --通过柏杰电子科技有限公司的CPU卡门禁管理软件，识读新发行的用户卡，并将用户卡与后台人员基本信息建立对应关系，并下发授权到门禁控制器。 --安装使用柏杰电子科技有限公司的CPU卡安全门禁读卡器。 共34页 第31页 9(2(3方式三、新门禁系统(其它品牌门控器) 如果使用其它公司门禁控制器和门禁管理系统来新建用户方的门禁系统，使用柏杰电子科技有限公司的的CPU卡安全门禁读卡器和配套的密钥管理系统，可以与其它公司的门禁控制器和门禁管理系统一并使用，以实现使用CPU卡安全门禁的目的，涉及到的工作 第32页 经过与国际及国 第33页