南昌祥和电子有限公司---致力于企业智能一卡通和生物识别系统的研制与开发

您选择的门禁产品通信是否存在安全隐患??

发布时间: 2019-06-13   点击量: 218

您正在使用的门禁产品是否是使用“明文”进行数据通讯的?

安全性问题只能依靠RS485物理网络布线进行“专网隔离”实现是否太过简单而导致很不安全?

如果系统是加密传输的,那使用的是何种国际标准加密算法?

如果是“自主研发”的加密算法,加密强度如何?并且如何保证自身研发人员或专门技术人员不会恶意攻击?

如何实现厂家或用户任何单方面都不能破解的安全产品?

经过一系列的盘问,或许你已经对您的系统安全已经十分担忧了.安全的门禁产品应该是如何的呢?

物理层安全保护措施

基于TCP/IP设备的一卡通系统,每一台设备都等同于常规使用的个人电脑.因此在企业内部网络规划阶段,可以完全依照传统的物理隔离方式,将一卡通系统内的设备与企业主干网通过组网接线或VLAN进行物理隔离.在一卡通系统与企业主干网之间,可以使用防火墙进行隔离.从而实现一卡通系统与企业内部网安全对接、数据共享.此种方法是传统且有用的一种措施,专用的银行网络系统便属于此类.但是此方法却不能解决恶意的物理接入,即非法并联进入系统,这就需要在应用层通过软件来实现安全保护.

应用层安全保护措施

一、数据传输:

传输可靠性:因为周围环境的干扰,造成数据在网络传输过程中发生变化.——可以在报文结构中设置CRC校验,确保数据的正确性.

数据完整性:因为周围环境的干扰或数据冲突,造成数据在网络传输过程中丢失.——报文结构中的报文长度校验,以及数据包结构中的MD5数字摘要技术,可以确保数据的完整性.

二、黑客攻击:

非法用户通用软件系统接管:使用厂家或第三方供应商提供的标准软件,去控制非本系统的其他单位的同类型系统.——由用户掌握的[系统用户化密码],确保系统的安全性.即便是相同的软件,由于使用的用户化密码不同,也不能操纵非本系统的同类型设备.并且由于用户掌握用户密码,厂商严格控制加密算法另外一半密码,任何单方面都不可能伪造出合法的控制命令,因此也就避免了内部的舞弊行为.

历史数据重发:在数据传输时简单的并联接入网络,并监听截获当前发送的命令,然后在将来的某一时刻重新发送.——采用基于国际标准DES加密算法的DDSS动态流数据加密技术,3DES加密强度极高、 并且保证每次数据传输使用的DES加密键随机产生,一组通讯使用一个随机密码,每组各不相同.这样即便是相同的PC使用相同的软件发送相同的命令,由于每次加密键随机产生各不相同,所发送出去的加密后的命令也就各不相同.

报文数据防伪:在数据传输过程中截获数据,快速的恶意修改后再放回网络.——在数据包结构中采用CRC校验和MD5数字摘要技术,结合DDSS动态流数据加密技术,确保数据报文无法更改.一旦更改将不能通过校验,均会被视为非法命令不予执行.

IP伪装接管:当系统中合法的PC管理机使用合法软件与设备建立连接后,黑客机伪装自己的IP,取代原合法的PC管理机,操纵系统内设备.——先DDSS动态流加密就已经是黑客的一个极大的障碍.其次,建立连接时PC管理机会提供自己的硬件网卡MAC地址,设备在命令中都会验证此MAC是否合法.即IP相同但是网卡的物理MAC不同,也会被认为是非法用户,在硬件物理层确保安全性.

国际标准加密算法:

DES:数据加密标准(Data Encryption Stard,DES)出自 IBM 的研究工作,并在 1997 年被美国政府正式采纳,IBM 曾对 DES 拥有几年的时间,但是在 1983 年已到期.它是使用广泛的秘钥系统,特别是在保护金融数据的安全中,通常自动取款机(Automated Teller Machine,ATM)都使用 DES.

DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生至大 64 位的分组大小.这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半.使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但后一个循环不交换.

DES算法具有极高安全性,到目前为止,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有用的办法.而56位长的密钥的穷举空间为256,这意味着如果一台计算机的速度是每一秒种检测一百万个密钥,则它搜索完全部密钥就需要将近2285年的时间

MD5:散列函数可以将任意长度的数据字符串转换成定长结果.散列函数只能单向工作,对于检索明文它毫无作用.然而,它提供了一种数字标识,这种数字标识仅特定于一个数据,如果纯数据文本有任何更改(甚至包括添加或除去一个空格)该标识也将更改.散列函数在这方面确实做得很好,这意味着可以使用一个适当的散列函数来确认给定的数据未被更改.这个散列值称为数据摘要.数据摘要对于给定数据来说是很小的并且实际上是的,它通常用作数字签名和数字时间戳记中的元素.

MD2、MD4 和 MD5 是由 Ron Rivest 开发的用于数字签名应用程序的数据-摘要算法,在数字签名应用程序中将数据压缩成摘要,然后由私钥加密.MD2 是为 8 位计算机系统设计的,而 MD4 和 MD5 是为 32 位计算机系统开发的.MD4 是在 1990 开发的,现在它被认为是不安全的.

RSA 实验室将 MD5 描述为“系有安全带的 MD4”,它虽然比 MD4 慢,但却被认为是安全的.与使用 MD4 时相同,会填补明文数据以确保其位的长度加上 448 可以被 512 整除.然后添加表示原始数据长度的 64 位二进数,然后使用循环压缩函数在 512 位块中处理该数据,每块都要经过四轮各不相同的处理

DDSS:本公司门禁产品采用高等动态数据流加密技术,对二路通讯端口的数据进行动态加密.通讯使用动态随机密码进行MD5+DES加密,每组通讯使用不同的加密键值DESKey,一组一密极大提高系统通讯安全性.

联系我们

联系人:张总

电话:13732980168

地址:南昌市八一大道99号洪城数码广场B座1003

扫描二维码
进入官方手网

Copyright ©南昌祥和电子有限公司  技术支持:江西华邦.JPG  联系人:张总 电话:13732980168地址:南昌市八一大道99号洪城数码广场B座1003