2026年国密CPU门禁系统技术方案文档信息项目内容文档名称2026年国密CPU门禁系统技术方案版本号DAGM-MJ-SFV1.0编制日期2026年说明资料仅供相互学习请勿用于商用第一章 行业背景与市场分析1.1 市场安全需求趋势随着信息技术的快速发展和国家安全战略的深入推进各行业对门禁管控系统的安全性要求日益严格。传统门禁系统普遍存在以下安全隐患密钥配置简单普通门禁系统将密钥直接配置到读卡器中安全性极低加密算法落后大量门禁系统仍采用早期的私有加密算法缺乏标准化保障易被破解复制技术门槛低导致卡片被复制、门禁被破解的事件频发缺乏监管合规无法满足国家对关键信息基础设施的安全管理要求1.2 高安全场所的刚性需求以下重点场所对门禁系统有着严格的合规性要求应用场所安全等级特殊要求监狱、看守所极高必须使用国家认可的高强度加密算法全流程防复制银行、金融机构极高核心区域需符合金融行业安全标准公检法机关高政府机密区域需使用国产密码算法机场、火车站高重点区域需满足交通运输行业安全规范国有院校、科研院所中高涉密区域需符合教育行业安全标准医院中高药房、档案室等区域需严格管控央企、国企中高核心区域需符合企业安全管理制度1.3 国密门禁发展的必要性基于国家密码管理局发布的商用密码管理条例国家关键信息基础设施必须采用国产密码算法。在这一政策背景下国密CPU门禁系统应运而生成为高安全场所门禁建设的首选方案。第二章 技术原理与安全机制2.1 国密SM1算法概述SM1算法是国家密码管理局认定和公布的密码算法标准属于国家商用密码算法体系的重要组成部分。与公开的国际算法如AES、DES不同SM1算法采用非公开设计其算法细节仅由国家密码管理部门掌握从根本上保证了算法的安全性。2.1.1 SM1算法核心特点特性说明算法类型对称分组密码算法分组长度128位密钥长度128位算法保密性非公开算法算法细节受国家保护国际认可部分密码算法标准已成为国际标准合规性符合国家密码商用相关法律法规要求2.1.2 SM1算法安全优势┌─────────────────────────────────────────────────────────────┐ │ SM1算法安全优势对比 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ 非公开设计 │ → │ 国家认证 │ → │ 自主可控 │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ ↓ ↓ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ 防止逆向分析 │ │ 满足合规 │ │ │ └─────────────┘ └─────────────┘ │ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ 128位密钥 │ → │ 高强度加密 │ → │ 防暴力破解 │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘2.2 国密门禁 vs 普通门禁 安全性对比对比维度普通门禁系统国密CPU门禁系统密钥存储方式密钥配置在读卡器中易被提取密钥存储在PSAM卡物理隔离加密算法私有算法或国际公开算法国家认证SM1非公开算法密钥复杂度通常为4-8字节16字节超长密钥密码管理单一密钥集中管理母卡/子卡分级管理体系卡片复制难度低可被通用设备复制高需专业设备和母卡授权破解成本低技术门槛低极高需国家级破解能力合规性无特定要求符合国家密码商用法规适用场景普通办公楼、住宅监狱、银行、公检法等高安全场所2.3 PSAM卡认证机制详解2.3.1 PSAM卡简介PSAM卡Provisioning Secure Access Module是国密门禁系统的核心安全模块是一种具备高安全特性的CPU卡。每个国密门禁读卡器必须配备专用PSAM卡才能正常工作。2.3.2 PSAM卡分类体系┌─────────────────────┐ │ 国密门禁系统 │ │ PSAM卡管理体系 │ └──────────┬──────────┘ │ ┌────────────────┼────────────────┐ ▼ ▼ ▼ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ 母卡 │ │ 写卡子卡 │ │ 读卡器子卡 │ │ (Master卡) │ │(User Writer)│ │(Reader Card)│ └─────────────┘ └─────────────┘ └─────────────┘ │ │ │ ▼ ▼ ▼ 项目最高密码 用户卡数据 读卡器认证 管理权限 写入授权 卡片识别卡类型数量要求核心功能重要程度母卡每个项目1张项目最大密码管理卡可创建子卡★★★★★写卡子卡每个项目1张对用户卡进行数据写入和加密授权★★★★☆读卡器子卡每个读卡器1张与用户卡进行双向密码认证★★★★★2.3.3 认证流程原理┌──────────────────────────────────────────────────────────────────┐ │ 国密门禁双重认证流程 │ └──────────────────────────────────────────────────────────────────┘ ┌─────────┐ ┌──────────────┐ ┌──────────────┐ │ 用户卡 │ ───→ │ 国密读卡器 │ ───→ │ PSAM卡(子卡) │ │ │ │ │ │ │ │ ·用户信息│ │ ·读取卡片数据│ │ ·密码匹配认证│ │ ·加密数据│ │ ·转发认证请求│ │ ·数据解密验证│ └─────────┘ └──────────────┘ └──────────────┘ │ ▼ ┌──────────────┐ │ 认证结果判断 │ └──────────────┘ │ ┌───────────┴───────────┐ ▼ ▼ ┌─────────┐ ┌─────────┐ │ 认证通过 │ │ 认证失败 │ │ 开门放行 │ │ 拒绝访问 │ └─────────┘ └─────────┘ 认证要点 1. 用户卡贴近读卡器 2. 读卡器提取卡片加密数据 3. PSAM卡(子卡)执行SM1算法解密验证 4. 密码信息匹配成功后方可读取数据 5. 控制器执行开门指令第三章 系统设备组成3.1 产品体系概览国密CPU门禁系统DAGM系列由以下核心设备组成3.2 核心设备清单设备名称型号功能描述数量说明国密门禁读卡器DAGM-MJ-RW支持SM1算法认证支持CPU卡/国密卡识别每门1台国密门禁控制器DAGM-MJ-4MB四门双向控制器管理门禁权限和记录根据门数配置国密人脸读头DAGM-MJ-AIRW人脸识别国密认证一体化设备每门1台国密发卡器DAGM-MJ-FKQPSAM卡母卡设置、用户卡数据写入每项目1台PSAM空白卡—空白智能卡用于制作母卡/子卡根据项目规模配置3.3 设备连接架构┌─────────────────────────────────────────────────────────────┐ │ 国密门禁系统架构图 │ └─────────────────────────────────────────────────────────────┘ ┌─────────────────┐ │ 管理主机 │ │ (国密发卡软件) │ └────────┬────────┘ │ │ USB/TCP │ ┌────────▼────────┐ │ 国密发卡器 │ │ DAGM-MJ-FKQ │ └────────┬────────┘ │ ┌──────────────┼──────────────┐ │ │ │ ▼ ▼ ▼ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ 母卡 │ │写卡子卡 │ │ 用户卡 │ │(密码管理)│ │(授权写入)│ │(员工卡片)│ └─────────┘ └─────────┘ └─────────┘ │ │ 发卡授权 ▼ ┌─────────────────────────────────────────────────────────────┐ │ 门禁网络 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ 国密读卡器 │ │ 国密读卡器 │ │ 国密人脸读头│ │ │ │DAGM-MJ-RW │ │DAGM-MJ-RW │ │DAGM-MJ-AIRW│ │ │ │ 子卡 │ │ 子卡 │ │ 子卡 │ │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ │ └────────────────────┼────────────────────┘ │ │ │ │ │ ┌──────────▼──────────┐ │ │ │ 国密门禁控制器 │ │ │ │ DAGM-MJ-4MB │ │ │ │ (四门双向) │ │ │ └──────────┬──────────┘ │ │ │ │ │ ┌────────────────────┼────────────────────┐ │ │ ▼ ▼ ▼ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 门磁 │ │ 门磁 │ │ 门磁 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 电锁 │ │ 电锁 │ │ 电锁 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘第四章 密码管理与配置流程4.1 密码管理体系国密门禁系统采用多级密码分管机制实现密码的分权管理4.1.1 密钥结构密钥类型长度存储位置用途说明项目主密钥16字节母卡项目最高权限密码管理所有子卡写卡密钥16字节写卡子卡对用户卡进行数据写入授权读卡密钥16字节读卡器子卡与用户卡进行双向认证4.1.2 密码安全特性┌────────────────────────────────────────┐ │ 密码安全特性 │ ├────────────────────────────────────────┤ │ │ │ ✓ 密钥长度16字节128位 │ │ │ │ ✓ 密码错误次数限制有效防止暴力破解 │ │ │ │ ✓ 物理隔离存储密钥存储于PSAM卡中 │ │ │ │ ✓ 分级管理母卡→子卡→用户卡 │ │ │ │ ✓ SM1算法国家认证非公开加密算法 │ │ │ │ ✓ 双向认证读卡器子卡与用户卡互相验证 │ │ │ └────────────────────────────────────────┘4.2 母卡制作流程母卡是整个项目中最重要的密码管理卡必须妥善保管。4.2.1 母卡制作步骤┌─────────────────────────────────────────────────────────────┐ │ 母卡制作流程 │ └─────────────────────────────────────────────────────────────┘ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ Step 1 │ │ Step 2 │ │ Step 3 │ │ 准备阶段 │ ──→ │ PSAM初始化 │ ──→ │ 密码设置 │ └──────────────┘ └──────────────┘ └──────────────┘ │ │ │ ▼ ▼ ▼ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │·准备空白PSAM卡│ │·将PSAM卡插入 │ │·通过发卡软件 │ │ │ │ 发卡器卡槽1 │ │ 设置16字节 │ │·打开国密PSAM │ │ │ │ 密码数据 │ │ 制作软件 │ │·执行初始化 │ │ │ │ │ │ 命令 │ │·记录保存密码 │ └──────────────┘ └──────────────┘ └──────────────┘ │ ┌──────────────────────────────────────────┘ │ ▼ ┌──────────────┐ ┌──────────────┐ │ Step 4 │ │ 完成 │ │ 密码写入 │ ──→ │ 母卡制作 │ └──────────────┘ └──────────────┘ │ ▼ ┌──────────────┐ │·PSAM卡成为 │ │ 项目母卡 │ │ │ │·可创建子卡 │ │·密码要牢记 │ └──────────────┘4.2.2 母卡制作注意事项⚠️ 重要提醒母卡密码为16字节超长密钥必须妥善记录保存密码丢失后可使用空白PSAM卡重新制作母卡需牢记密码建议将密码备份存放在安全的密码管理器中母卡是项目最高权限卡需物理安全保管4.3 子卡制作与配置4.3.1 写卡子卡配置写卡子卡用于对用户卡进行数据写入和加密授权。配置流程 ┌────────────────────────────────────────────────┐ │ │ │ ① 准备空白PSAM卡 │ │ │ │ │ ▼ │ │ ② 将空白卡插入发卡器 │ │ │ │ │ ▼ │ │ ③ 使用母卡授权认证 │ │ │ │ │ ▼ │ │ ④ 通过发卡软件配置写卡密钥 │ │ │ │ │ ▼ │ │ ⑤ 写卡子卡制作完成可对用户卡进行授权写入 │ │ │ └────────────────────────────────────────────────┘4.3.2 读卡器子卡配置每个国密读卡器必须配置一张专用子卡用于与用户卡进行密码认证。配置流程 ┌────────────────────────────────────────────────┐ │ │ │ ① 准备空白PSAM卡数量读卡器数量 │ │ │ │ │ ▼ │ │ ② 将空白卡插入发卡器 │ │ │ │ │ ▼ │ │ ③ 使用母卡授权认证 │ │ │ │ │ ▼ │ │ ④ 通过发卡软件配置读卡器认证密钥 │ │ │ │ │ ▼ │ │ ⑤ 将配置好的子卡插入对应读卡器卡槽 │ │ │ │ │ ▼ │ │ ⑥ 读卡器激活可正常识别用户卡 │ │ │ └────────────────────────────────────────────────┘4.4 用户卡发行流程┌─────────────────────────────────────────────────────────────┐ │ 用户卡发行流程 │ └─────────────────────────────────────────────────────────────┘ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ 准备用户卡 │ ──→ │ 读卡器子卡 │ ──→ │ 写卡子卡 │ │ (空白CPU卡) │ │ 已配置 │ │ 已配置 │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ │ │ └──────────────┬───────────────────────┘ │ ▼ ┌─────────────────┐ │ 发卡器连接 │ │ 发卡软件运行 │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ 写入用户信息 │ │ ·姓名/工号 │ │ ·权限时段 │ │ ·门禁权限 │ │ ·加密签名 │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ 用户卡制作完成 │ │ 可在门禁使用 │ └─────────────────┘第五章 PSAM卡配置计算5.1 配置原则根据国密门禁系统设计规范每个门点需要配置独立的专业设备具体配置规则如下配置原则按每个门配一个国密读卡器出门用出门按钮计算5.2 PSAM卡数量计算公式配置项数量说明母卡1张项目唯一的最高密码管理卡写卡子卡1张用于写用户卡数据的专用子卡读卡器子卡N张每个读卡器配置1张总公式总PSAM卡数 1 1 N门数 N 25.3 配置实例5.3.1 单门配置1个门点┌────────────────────────────────────────┐ │ 单门项目PSAM卡配置 │ ├────────────────────────────────────────┤ │ │ │ 母卡 1张 │ │ 写卡子卡 1张 │ │ 读卡器子卡 1张 │ │ ───────────────────── │ │ 合计 3张 │ │ │ └────────────────────────────────────────┘5.3.2 10门配置10个门点┌────────────────────────────────────────┐ │ 10门项目PSAM卡配置 │ ├────────────────────────────────────────┤ │ │ │ 母卡 1张 │ │ 写卡子卡 1张 │ │ 读卡器子卡 10张 │ │ ───────────────────── │ │ 合计 12张 │ │ │ └────────────────────────────────────────┘5.3.3 常用规模配置速查表项目规模门数N母卡写卡子卡读卡器子卡PSAM卡总数小型项目1门1张1张1张3张小型项目5门1张1张5张7张中型项目10门1张1张10张12张中型项目20门1张1张20张22张大型项目50门1张1张50张52张大型项目100门1张1张100张102张第六章 应用场景解决方案6.1 监狱/看守所需求痛点解决方案防止在押人员非法复制门禁卡国密SM1算法PSAM卡认证无法被复制核心区域需多重验证国密读卡器人脸识别双重认证密码管理需分权母卡/子卡分级管理密码分管高度防篡改非公开算法国家认证推荐配置国密门禁读卡器(DAGM-MJ-RW) 国密门禁控制器(DAGM-MJ-4MB) 国密人脸读头(DAGM-MJ-AIRW)6.2 银行/金融机构需求痛点解决方案核心区域门禁需金融级安全SM1算法满足金融行业安全标准密钥管理需合规审计PSAM卡体系支持审计追溯金库等极高安全区域人脸国密CPU卡双重认证防止内部人员违规分级密码管理权限最小化推荐配置国密人脸读头(DAGM-MJ-AIRW) 国密门禁控制器(DAGM-MJ-4MB) PSAM卡全套6.3 公检法机关需求痛点解决方案涉密区域需使用国产密码完全符合国家密码商用要求案件档案室高度安全国密读卡器权限时段控制内部人员分级管控母卡管理权限细分满足政府安全合规要求通过相关安全认证推荐配置国密门禁读卡器(DAGM-MJ-RW) 国密门禁控制器 PSAM卡全套6.4 机场/火车站需求痛点解决方案重点区域需高安全认证SM1算法PSAM卡双重保障大量人员快速通行支持CPU卡高速识别安检区域分权限管控多级权限时段管理系统稳定可靠工业级设备7×24小时运行推荐配置国密门禁读卡器(DAGM-MJ-RW) 国密门禁控制器(DAGM-MJ-4MB)第七章 系统优势总结7.1 核心优势一览┌─────────────────────────────────────────────────────────────┐ │ 国密CPU门禁系统核心优势 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 算法安全 │ │ │ │ ·国家密码管理局认证SM1算法 │ │ │ │ ·非公开算法防止逆向分析 │ │ │ │ ·128位超长密钥防暴力破解 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 密钥管理 │ │ │ │ ·PSAM卡物理隔离存储 │ │ │ │ ·母卡/子卡分级管理体系 │ │ │ │ ·密码错误次数限制 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 防复制能力 │ │ │ │ ·用户卡数据加密写入 │ │ │ │ ·读卡器与卡片双向认证 │ │ │ │ ·需专业母卡授权才能发行 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 合规保障 │ │ │ │ ·符合国家密码商用法律法规 │ │ │ │ ·满足高安全场所建设要求 │ │ │ │ ·支持安全合规审计 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘7.2 适用场所速查安全等级推荐场所配置建议★★★★★ 极高监狱、军械库、金库全套国密设备人脸识别★★★★☆ 高银行、公检法、涉密区域国密读卡器PSAM卡全套★★★☆☆ 中高机场、医院、国有院校国密读卡器控制器★★☆☆☆ 中等央企、国企、写字楼根据需求选配第八章 产品选型指南8.1 设备型号对照表产品类型型号规格参数适用场景国密读卡器DAGM-MJ-RW支持SM1算法、PSAM卡槽标准门禁点位国密门禁控制器DAGM-MJ-4MB四门双向、控制能力中大型项目国密人脸读头DAGM-MJ-AIRW人脸识别国密认证高安全出入口国密发卡器DAGM-MJ-FKQUSB连接、发卡软件项目初始化8.2 项目配置清单模板┌─────────────────────────────────────────────────────────────┐ │ 国密门禁系统项目配置清单 │ ├─────────────────────────────────────────────────────────────┤ │ 项目名称________________ 门数______ │ ├─────────────────────────────────────────────────────────────┤ │ 设备名称 │ 型号 │ 数量 │ 单位 │ ├─────────────────────────────────────────────────────────────┤ │ 国密门禁读卡器 │ DAGM-MJ-RW │ ____ │ 台 │ │ 国密门禁控制器 │ DAGM-MJ-4MB │ ____ │ 台 │ │ 国密人脸读头 │ DAGM-MJ-AIRW │ ____ │ 台 │ │ 国密发卡器 │ DAGM-MJ-FKQ │ 1 │ 台 │ ├─────────────────────────────────────────────────────────────┤ │ PSAM卡配置 │ ├─────────────────────────────────────────────────────────────┤ │ 空白PSAM卡 │ — │ N2 │ 张 │ │ (N门数) │ ├─────────────────────────────────────────────────────────────┤ │ 说明 │ │ 1. N2 1(母卡) 1(写卡子卡) N(读卡器子卡) │ │ 2. 每个门点需配置1台读卡设备和1张读卡器子卡 │ │ 3. 出门可采用出门按钮或出门读卡器 │ └─────────────────────────────────────────────────────────────┘附录附录A术语表术语全称说明SM1State Secret Algorithm 1国家密码管理局认证的分组密码算法PSAMProvisioning Secure Access Module安全访问模块用于密钥安全存储CPU卡Central Processing Unit Card内置CPU芯片的智能卡支持加密运算国密National Secret国产密码算法的简称PSAM母卡Master PSAM Card项目最高密码管理权限卡PSAM子卡Slave PSAM Card具体业务使用的PSAM卡附录B参考标准《商用密码管理条例》《信息安全技术 信息系统安全等级保护基本要求》《国家密码管理局发布的SM1算法规范》