您正在使用的門禁產品是否是使用“明文”進行數據通訊的?

安全性問題只能依靠RS485物理網絡布線進行“專網隔離”實現是否太過簡單而導致很不安全?

如果系統是加密傳輸的,那使用的是何種國際標準加密算法?

如果是“研發”的加密算法,加密強度如何?并且如何保障自身研發人員或專門技術人員不會惡意攻擊?

如何實現廠家或用戶任何單方面都不能破解的安全產品?

經過一系列的盤問,或許你已經對您的系統安全已經十分擔憂了.安全的門禁產品應該是如何的呢?

物理層安全保護措施

基于TCP/IP設備的一卡通系統,每一臺設備都等同于常規使用的個人電腦.因此在企業內部網絡規劃階段,可以完全依照傳統的物理隔離方式,將一卡通系統內的設備與企業主干網通過組網接線或VLAN進行物理隔離.在一卡通系統與企業主干網之間,可以使用防火墻進行隔離.從而實現一卡通系統與企業內部網安全對接、數據共享.此種方法是傳統且有用的一種措施,專用的銀行網絡系統便屬于此類.但是此方法卻不能解決惡意的物理接入,即非法并聯進入系統,這就需要在應用層通過軟件來實現安全保護.

應用層安全保護措施

一、數據傳輸:

傳輸可靠性:因為周圍環境的干擾,造成數據在網絡傳輸過程中發生變化.——可以在報文結構中設置CRC校驗,確定數據的正確性.

數據完整性:因為周圍環境的干擾或數據沖突,造成數據在網絡傳輸過程中丟失.——報文結構中的報文長度校驗,以及數據包結構中的MD5數字摘要技術,可以確定數據的完整性.

二、黑客攻擊:

非法用戶通用軟件系統接管:使用廠家或第三方供應商提供的標準軟件,去控制非本系統的其他單位的同類型系統.——由用戶掌握的[系統用戶化密碼],確定系統的安全性.即便是相同的軟件,由于使用的用戶化密碼不同,也不能操縱非本系統的同類型設備.并且由于用戶掌握用戶密碼,廠商嚴格控制加密算法另外一半密碼,任何單方面都不可能偽造出合法的控制命令,因此也就避免了內部的舞弊行為.

歷史數據重發:在數據傳輸時簡單的并聯接入網絡,并監聽截獲當前發送的命令,然后在將來的某一時刻重新發送.——采用基于國際標準DES加密算法的DDSS動態流數據加密技術,3DES加密強度高、 并且保障每次數據傳輸使用的DES加密鍵隨機產生,一組通訊使用一個隨機密碼,每組各不相同.這樣即便是相同的PC使用相同的軟件發送相同的命令,由于每次加密鍵隨機產生各不相同,所發送出去的加密后的命令也就各不相同.

報文數據防偽:在數據傳輸過程中截獲數據,惡意修改后再放回網絡.——在數據包結構中采用CRC校驗和MD5數字摘要技術,結合DDSS動態流數據加密技術,確定數據報文無法更改.一旦更改將不能通過校驗,均會被視為非法命令不予執行.

IP偽裝接管:當系統中合法的PC管理機使用合法軟件與設備建立連接后,黑客機偽裝自己的IP,取代原合法的PC管理機,操縱系統內設備.——先DDSS動態流加密就已經是黑客的一個很大的障礙.其次,建立連接時PC管理機會提供自己的硬件網卡MAC地址,設備在命令中都會驗證此MAC是否合法.即IP相同但是網卡的物理MAC不同,也會被認為是非法用戶,在硬件物理層確定安全性.

國際標準加密算法:

DES:數據加密標準（Data Encryption Stard,DES）出自 IBM 的研究工作，IBM 曾對 DES 擁有幾年的時間,但是在 1983 年已到期.它是使用廣泛的秘鑰系統,特別是在保護金融數據的安全中,通常自動取款機（Automated Teller Machine,ATM）都使用 DES.

DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位,產生至大 64 位的分組大小.這是一個迭代的分組密碼,使用稱為 Feistel 的技術,其中將加密的文本塊分成兩半.使用子密鑰對其中一半應用循環功能,然后將輸出與另一半進行“異或”運算；接著交換這兩半,這一過程會繼續下去,但后一個循環不交換.

DES算法,到目前為止,除了用窮舉搜索法對DES算法進行攻擊外,還沒有發現更有用的辦法.而56位長的密鑰的窮舉空間為256,這意味著如果一臺計算機的速度是每一秒種檢測一百萬個密鑰,則它搜索完全部密鑰就需要將近2285年的時間

MD5:散列函數可以將任意長度的數據字符串轉換成定長結果.散列函數只能單向工作,對于檢索明文它毫無作用.然而,它提供了一種數字標識,這種數字標識僅特定于一個數據,如果純數據文本有任何更改（甚至包括添加或除去一個空格）該標識也將更改.散列函數在這方面確實做得很好,這意味著可以使用一個適當的散列函數來確認給定的數據未被更改.這個散列值稱為數據摘要.數據摘要對于給定數據來說是很小的并且實際上是的,它通常用作數字簽名和數字時間戳記中的元素.

MD2、MD4 和 MD5 是由 Ron Rivest 開發的用于數字簽名應用程序的數據-摘要算法,在數字簽名應用程序中將數據壓縮成摘要,然后由私鑰加密.MD2 是為 8 位計算機系統設計的,而 MD4 和 MD5 是為 32 位計算機系統開發的.MD4 是在 1990 開發的,現在它被認為是不安全的.

RSA 實驗室將 MD5 描述為“系有安全帶的 MD4”,它雖然比 MD4 慢,但卻被認為是安全的.與使用 MD4 時相同,會填補明文數據以確定其位的長度加上 448 可以被 512 整除.然后添加表示原始數據長度的 64 位二進數,然后使用循環壓縮函數在 512 位塊中處理該數據,每塊都要經過四輪各不相同的處理

DDSS:本公司門禁產品采用高等動態數據流加密技術,對二路通訊端口的數據進行動態加密.通訊使用動態隨機密碼進行MD5+DES加密,每組通訊使用不同的加密鍵值DESKey,一組一密提高系統通訊安全性.