门禁凭证系列——(1/3)门禁卡如何影响门禁系统安全

此前我们给大家详细介绍过门禁系统中的门禁控制器以及底层通讯技术OSDP是如何影响门禁系统安全性的。相对于固定安装的控制器或读卡器，由于门禁卡片（或门禁凭证）通常非常的小巧且在我们的生活或工作的各种场景里司空见惯，我们可能会经常忽略其本身的重要性。
事实上，在门禁系统中从门禁凭证到后台的管理软件，威胁无处不在，只有端到端的对于每一个环节都提高了安全性，整个门禁系统才是可靠的。

接下来我们会分三篇文章来介绍门禁卡片（门禁凭证）是如何影响门禁系统安全，以及如果我们现在正在使用不安全的门禁卡片，同时又需要应对安全威胁时，我们应该如何解决这种问题。

门禁卡如何影响门禁系统安全？

门禁卡片是门禁凭证中最常用的一种形态。我们通过对卡片内部芯片的读取来实现身份认证。那么，门禁系统的安全性就不单止是取决于读卡器或控制器所使用的技术，也同时取决于卡片所使用的技术。一整套安防门禁系统的每一环节都非常重要！这也是为何市面上的凭证卡价格可以有很大的差别。

接下来，我们简要了解一下门禁卡片类型和作用原理，就能知道卡片技术如何影响门禁系统的安全性。

门禁卡片的分类虽然都是门禁卡片，但不同的卡片技术之间的差异是巨大的。我们常见的卡片有以下的分类：

图1 卡片的分类方式

根据通讯方式来分类，我们可以将门禁卡分为接触式卡片和非接触式卡片。

接触式卡片：主要有磁条卡和接触式芯片卡。早期的银行卡以及现在的信用卡都是磁条卡，现在很多银行卡也会用到接触式芯片。

非接触式卡：也称为感应卡，是现在用的最多的卡片。这类卡片在读卡时不用和读卡器直接接触，非常灵活、方便，因而成为了主流的门禁卡解决方案的首选。非接触式卡片分为低频、高频和超高频等几种。低频卡是一种相对比较老旧的卡片技术，现在用的比较少了。高频卡是现在主流用的使用最多的卡片技术。超高频卡是作为一种补充，主要在一些超远距离的读卡应用上使用。正因为非接触式的门禁卡使用灵活的，因此如何选择一个安全可靠的非接触式门禁卡，如何在方便与安全中取得合理的平衡，是至关重要的问题。

按技术来对卡片分类如上图所示，就不一一赘述了。除上图中的单独技术的卡片，有些卡片可能复合了其中的几种技术。

2
非接触式门禁卡片的工作原理门禁卡片逐渐靠近读卡器时，读卡器周围会产生感应磁场。当卡片进入磁场，在相对比较近的距离时，接收到足够的能量，并激活卡片内的线圈和芯片进行运作。这时，读卡器就能够与卡片进行交互，并开始读取卡片中的信息。

图2 卡片与读卡器通信过程

在这个过程中，读卡器对卡片进行验证，某些高安全性的卡片也会对读卡器进行验证（双重验证）。我们通过读卡的过程很自然就能看得出最重要的风险点：卡片在磁场中会被读卡器读取卡片的信息。那么如果有装置可以伪装成读卡器，是否也就可以将卡片的信息读取，从而复制卡片呢？
当然，这是一个复杂的过程，我们从卡片的演进历史来了解一下不同类型的卡片是如何影响安全性的。
3
非接触式门禁卡片技术的演进非接触式卡片技术自诞生到现在，经过了多次技术演进——

图3 卡片认证技术的演进

20世纪70年代诞生的磁条卡改变了我们一直以来使用钥匙进出的习惯，使得我们进出场所可以变得电子化，同时得以追踪门禁的使用数据。之后诞生的 Wiegand （韦根）卡更是将数据嵌入卡片内部，但此时的门禁卡刷卡时容易被磨损，且制卡的流程比较复杂，在强磁环境里也容易失效。

进入到90年代后，无线射频识别技术（RFID）被引入到卡片技术中。射频技术，由于其具备非接触式访问控制的特点，不需要卡和读卡器之间的物理接触，并且识别数据以数字化的形式存储在卡内的集成电路芯片上等优势，迅速地推广开来。根据射频信号的频率高低，门禁卡片的频率分为低频、高频和超高频三种类型。低频门禁卡片的频率在125KHz左右，高频门禁卡片的频率在13.56MHz左右，超高频门禁卡片的频率在860MHz到960MHz之间。

第一代技术是125K赫兹低频卡片，很多地方称为ID卡，典型的卡片有Prox卡、Indala卡，EM卡等等。这种卡是没有加密的，里面只有卡号，任何人都能读取，所以应用比较单一。这是因为低频门禁卡片的射频信号较弱，容易被干扰和复制。人们可以通过读取低频门禁卡片的信息并复制出相同的卡片，从而冒充持卡人进入受限区域。即便是这样，在日常生活中对于安全性要求不是很高的场景——比如居民小区——几乎超过50%的居民小区的门禁卡都在还在使用这一代的技术。但随着我们生活、工作中技术的不断演进，门禁卡片的应用场景远非仅仅控制进出那么简单，我们对于门禁卡片的安全性和多场景应用提出了更高的要求。
通俗的讲，射频技术频率越高，可以传输的信息也越多，效率也更高。第二代技术的13.56兆赫兹的高频卡片里可以传输更多的信息，这可以让我们在其中存储用户信息，并且采取加密算法保护卡片安全。高频门禁卡片的射频信号较强，相对较难被干扰和复制，采用了加密技术，使得破解门禁系统变得相对困难。第二代技术的卡片问世后最典型的应用就是交通卡，我们可以在卡片中存储金额，并且可以做金额的加减运算，使用起来非常方便。并且金额信息也有密钥保护。但因为是早期的技术，所以随着时间的推移，更多新型安全威胁的产生，安全程度已逐步降低。
第三代卡片是在第二代卡片的基础上，HID 在物理架构不变的情况下，提供了加固的加密技术，推出了多层安全技术的 Secure Identity Object™ (SIO)。它是用于存储安全身份识别数据（例如用户 ID）的加密保护数据模型。它使用AES128的加密方式对数据进行加密，同时对数据进行数字签名（防复制）。这基本上解决了卡片技术本身的不安全问题。不过第三代卡片虽然安全性提高了，但由于其灵活性和可移植性的制约，在过去十年间，市面上已经推出了第四代的卡片技术。
和原来的三代卡片相比，第四代卡片在技术上有了本质的提升。主要代表有HID 和 Assa Abloy 集团共同推出的Seos凭证技术、国内的国密 CPU卡以及MIFARE Desfire卡等。第四代卡片不仅仅是“卡片”，而是一个“卡片”操作系统。假如说我们把前面几代卡片比作U盘，或者是带加密的U盘，那么第四代卡片技术就像一台功能完备的PC电脑一样。HID 和 Assa Abloy 集团共同推出的Seos凭证技术中的操作系统不光是可以在卡片里运行，也可以在移动设备里运行。所以Seos凭证可以很方便的实现移动门禁——通过手机就可以开门。由于第四代卡片更像是操作系统，我们可以安装不同应用，而且各个应用之间也可以用密钥独立分开来，相互之间可以做到互不干扰，安全保密性方面是毋庸置疑的。

另外， 超高频门禁卡片的射频信号更强，能够在更远的距离内进行身份验证，但成本及技术要求也相对较高，如超高频射频容易被金属，及液体等吸收能量，从而影响读卡效果，所以并不适合所有场合使用。一般而言，超高频应用多用于大型停车场或有远场身份识别的场景，如大型区域（大型学校或医院等）巡逻等。

通过以上的介绍，我们可以看到在过去30年间，门禁卡技术随着时间推移已经迭代了多次，并为人们提供了更加安全，更加方便的技术，加强了门禁系统的安全性为了保护建筑安全和人员安全，选择最先进的技术和安全措施至关重要。HID作为安全身份验证解决方案的可信赖供应商，多年来不断推出更新的门禁卡技术，使得门禁系统更加智能和高效。这种技术可以提供准确的身份验证和访问控制，确保只有授权人员才能进入特定区域。与传统的门禁系统相比，HID的技术具有更高的安全性和便利性。它可以防止潜在的入侵和欺诈行为，同时减少人为错误和管理成本。
我们应该清楚的意识到，选择门禁卡技术时，应该选择最新的、最先进的技术，以及充分考虑具备供应的可靠性。这样才能确保建筑物的长远安全性，并有效地保护人员和财产免受潜在的威胁。

上一篇:HID 2024年安防趋势报告：生物识别技术加速发展成为主流趋势之一 HID Origo™技术伙伴项目旨在帮助技术合作伙伴更快、更有效地满足客户需求：下一篇