当前位置：首页 > news >正文

基于国家密码管理局发布的商用密码管理条例，国家关键信息基础设施必须采用国产密码算法。在这一政策背景下，国密CPU门禁系统应运而生，成为高安全场所门禁建设的首选方案杜绝NFC普及、卡片复制、射频嗅探泛滥

news 2026/4/24 17:19:36

2026年国密CPU门禁系统技术方案

文档信息

项目	内容
文档名称	2026年国密CPU门禁系统技术方案
版本号	DAGM-MJ-SFV1.0
编制日期	2026年
说明	资料仅供相互学习，请勿用于商用！

第一章行业背景与市场分析

1.1 市场安全需求趋势

随着信息技术的快速发展和国家安全战略的深入推进，各行业对门禁管控系统的安全性要求日益严格。传统门禁系统普遍存在以下安全隐患：

密钥配置简单：普通门禁系统将密钥直接配置到读卡器中，安全性极低
加密算法落后：大量门禁系统仍采用早期的私有加密算法，缺乏标准化保障
易被破解复制：技术门槛低，导致卡片被复制、门禁被破解的事件频发
缺乏监管合规：无法满足国家对关键信息基础设施的安全管理要求

1.2 高安全场所的刚性需求

以下重点场所对门禁系统有着严格的合规性要求：

应用场所	安全等级	特殊要求
监狱、看守所	极高	必须使用国家认可的高强度加密算法，全流程防复制
银行、金融机构	极高	核心区域需符合金融行业安全标准
公检法机关	高	政府机密区域需使用国产密码算法
机场、火车站	高	重点区域需满足交通运输行业安全规范
国有院校、科研院所	中高	涉密区域需符合教育行业安全标准
医院	中高	药房、档案室等区域需严格管控
央企、国企	中高	核心区域需符合企业安全管理制度

1.3 国密门禁发展的必要性

基于国家密码管理局发布的商用密码管理条例，国家关键信息基础设施必须采用国产密码算法。在这一政策背景下，国密CPU门禁系统应运而生，成为高安全场所门禁建设的首选方案。

第二章技术原理与安全机制

2.1 国密SM1算法概述

SM1算法是国家密码管理局认定和公布的密码算法标准，属于国家商用密码算法体系的重要组成部分。与公开的国际算法（如AES、DES）不同，SM1算法采用非公开设计，其算法细节仅由国家密码管理部门掌握，从根本上保证了算法的安全性。

2.1.1 SM1算法核心特点

特性	说明
算法类型	对称分组密码算法
分组长度	128位
密钥长度	128位
算法保密性	非公开算法，算法细节受国家保护
国际认可	部分密码算法标准已成为国际标准
合规性	符合国家密码商用相关法律法规要求

2.1.2 SM1算法安全优势

┌─────────────────────────────────────────────────────────────┐ │ SM1算法安全优势对比 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ 非公开设计 │ → │ 国家认证 │ → │ 自主可控 │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ ↓ ↓ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ 防止逆向分析 │ │ 满足合规 │ │ │ └─────────────┘ └─────────────┘ │ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ 128位密钥 │ → │ 高强度加密 │ → │ 防暴力破解 │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘

2.2 国密门禁 vs 普通门禁安全性对比

对比维度	普通门禁系统	国密CPU门禁系统
密钥存储方式	密钥配置在读卡器中，易被提取	密钥存储在PSAM卡物理隔离
加密算法	私有算法或国际公开算法	国家认证SM1非公开算法
密钥复杂度	通常为4-8字节	16字节超长密钥
密码管理	单一密钥，集中管理	母卡/子卡分级管理体系
卡片复制难度	低，可被通用设备复制	高，需专业设备和母卡授权
破解成本	低，技术门槛低	极高，需国家级破解能力
合规性	无特定要求	符合国家密码商用法规
适用场景	普通办公楼、住宅	监狱、银行、公检法等高安全场所

2.3 PSAM卡认证机制详解

2.3.1 PSAM卡简介

PSAM卡（Provisioning Secure Access Module）是国密门禁系统的核心安全模块，是一种具备高安全特性的CPU卡。每个国密门禁读卡器必须配备专用PSAM卡才能正常工作。

2.3.2 PSAM卡分类体系

┌─────────────────────┐ │ 国密门禁系统 │ │ PSAM卡管理体系 │ └──────────┬──────────┘ │ ┌────────────────┼────────────────┐ ▼ ▼ ▼ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ 母卡 │ │ 写卡子卡 │ │ 读卡器子卡 │ │ (Master卡) │ │(User Writer)│ │(Reader Card)│ └─────────────┘ └─────────────┘ └─────────────┘ │ │ │ ▼ ▼ ▼ 项目最高密码 用户卡数据 读卡器认证 管理权限 写入授权 卡片识别

卡类型	数量要求	核心功能	重要程度
母卡	每个项目1张	项目最大密码管理卡，可创建子卡	★★★★★
写卡子卡	每个项目1张	对用户卡进行数据写入和加密授权	★★★★☆
读卡器子卡	每个读卡器1张	与用户卡进行双向密码认证	★★★★★

2.3.3 认证流程原理

┌──────────────────────────────────────────────────────────────────┐ │ 国密门禁双重认证流程 │ └──────────────────────────────────────────────────────────────────┘ ┌─────────┐ ┌──────────────┐ ┌──────────────┐ │ 用户卡 │ ───→ │ 国密读卡器 │ ───→ │ PSAM卡(子卡) │ │ │ │ │ │ │ │ ·用户信息│ │ ·读取卡片数据│ │ ·密码匹配认证│ │ ·加密数据│ │ ·转发认证请求│ │ ·数据解密验证│ └─────────┘ └──────────────┘ └──────────────┘ │ ▼ ┌──────────────┐ │ 认证结果判断 │ └──────────────┘ │ ┌───────────┴───────────┐ ▼ ▼ ┌─────────┐ ┌─────────┐ │ 认证通过 │ │ 认证失败 │ │ 开门放行 │ │ 拒绝访问 │ └─────────┘ └─────────┘ 认证要点： 1. 用户卡贴近读卡器 2. 读卡器提取卡片加密数据 3. PSAM卡(子卡)执行SM1算法解密验证 4. 密码信息匹配成功后方可读取数据 5. 控制器执行开门指令

第三章系统设备组成

3.1 产品体系概览

国密CPU门禁系统（DAGM系列）由以下核心设备组成：

3.2 核心设备清单

设备名称	型号	功能描述	数量说明
国密门禁读卡器	DAGM-MJ-RW	支持SM1算法认证，支持CPU卡/国密卡识别	每门1台
国密门禁控制器	DAGM-MJ-4MB	四门双向控制器，管理门禁权限和记录	根据门数配置
国密人脸读头	DAGM-MJ-AIRW	人脸识别+国密认证一体化设备	每门1台
国密发卡器	DAGM-MJ-FKQ	PSAM卡母卡设置、用户卡数据写入	每项目1台
PSAM空白卡	—	空白智能卡，用于制作母卡/子卡	根据项目规模配置

3.3 设备连接架构

┌─────────────────────────────────────────────────────────────┐ │ 国密门禁系统架构图 │ └─────────────────────────────────────────────────────────────┘ ┌─────────────────┐ │ 管理主机 │ │ (国密发卡软件) │ └────────┬────────┘ │ │ USB/TCP │ ┌────────▼────────┐ │ 国密发卡器 │ │ DAGM-MJ-FKQ │ └────────┬────────┘ │ ┌──────────────┼──────────────┐ │ │ │ ▼ ▼ ▼ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ 母卡 │ │写卡子卡 │ │ 用户卡 │ │(密码管理)│ │(授权写入)│ │(员工卡片)│ └─────────┘ └─────────┘ └─────────┘ │ │ 发卡授权 ▼ ┌─────────────────────────────────────────────────────────────┐ │ 门禁网络 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ 国密读卡器 │ │ 国密读卡器 │ │ 国密人脸读头│ │ │ │DAGM-MJ-RW │ │DAGM-MJ-RW │ │DAGM-MJ-AIRW│ │ │ │ +子卡 │ │ +子卡 │ │ +子卡 │ │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ │ └────────────────────┼────────────────────┘ │ │ │ │ │ ┌──────────▼──────────┐ │ │ │ 国密门禁控制器 │ │ │ │ DAGM-MJ-4MB │ │ │ │ (四门双向) │ │ │ └──────────┬──────────┘ │ │ │ │ │ ┌────────────────────┼────────────────────┐ │ │ ▼ ▼ ▼ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 门磁 │ │ 门磁 │ │ 门磁 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 电锁 │ │ 电锁 │ │ 电锁 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘

第四章密码管理与配置流程

4.1 密码管理体系

国密门禁系统采用多级密码分管机制，实现密码的分权管理：

4.1.1 密钥结构

密钥类型	长度	存储位置	用途说明
项目主密钥	16字节	母卡	项目最高权限密码，管理所有子卡
写卡密钥	16字节	写卡子卡	对用户卡进行数据写入授权
读卡密钥	16字节	读卡器子卡	与用户卡进行双向认证

4.1.2 密码安全特性

┌────────────────────────────────────────┐ │ 密码安全特性 │ ├────────────────────────────────────────┤ │ │ │ ✓ 密钥长度：16字节（128位） │ │ │ │ ✓ 密码错误次数限制：有效防止暴力破解 │ │ │ │ ✓ 物理隔离存储：密钥存储于PSAM卡中 │ │ │ │ ✓ 分级管理：母卡→子卡→用户卡 │ │ │ │ ✓ SM1算法：国家认证非公开加密算法 │ │ │ │ ✓ 双向认证：读卡器子卡与用户卡互相验证 │ │ │ └────────────────────────────────────────┘

4.2 母卡制作流程

母卡是整个项目中最重要的密码管理卡，必须妥善保管。

4.2.1 母卡制作步骤

┌─────────────────────────────────────────────────────────────┐ │ 母卡制作流程 │ └─────────────────────────────────────────────────────────────┘ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ Step 1 │ │ Step 2 │ │ Step 3 │ │ 准备阶段 │ ──→ │ PSAM初始化 │ ──→ │ 密码设置 │ └──────────────┘ └──────────────┘ └──────────────┘ │ │ │ ▼ ▼ ▼ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │·准备空白PSAM卡│ │·将PSAM卡插入 │ │·通过发卡软件 │ │ │ │ 发卡器卡槽1 │ │ 设置16字节 │ │·打开国密PSAM │ │ │ │ 密码数据 │ │ 制作软件 │ │·执行初始化 │ │ │ │ │ │ 命令 │ │·记录保存密码 │ └──────────────┘ └──────────────┘ └──────────────┘ │ ┌──────────────────────────────────────────┘ │ ▼ ┌──────────────┐ ┌──────────────┐ │ Step 4 │ │ 完成 │ │ 密码写入 │ ──→ │ 母卡制作 │ └──────────────┘ └──────────────┘ │ ▼ ┌──────────────┐ │·PSAM卡成为 │ │ 项目母卡 │ │ │ │·可创建子卡 │ │·密码要牢记 │ └──────────────┘

4.2.2 母卡制作注意事项

⚠️ 重要提醒
母卡密码为16字节超长密钥，必须妥善记录保存
密码丢失后，可使用空白PSAM卡重新制作母卡（需牢记密码）
建议将密码备份存放在安全的密码管理器中
母卡是项目最高权限卡，需物理安全保管

4.3 子卡制作与配置

4.3.1 写卡子卡配置

写卡子卡用于对用户卡进行数据写入和加密授权。

配置流程： ┌────────────────────────────────────────────────┐ │ │ │ ① 准备空白PSAM卡 │ │ │ │ │ ▼ │ │ ② 将空白卡插入发卡器 │ │ │ │ │ ▼ │ │ ③ 使用母卡授权认证 │ │ │ │ │ ▼ │ │ ④ 通过发卡软件配置写卡密钥 │ │ │ │ │ ▼ │ │ ⑤ 写卡子卡制作完成，可对用户卡进行授权写入 │ │ │ └────────────────────────────────────────────────┘

4.3.2 读卡器子卡配置

每个国密读卡器必须配置一张专用子卡，用于与用户卡进行密码认证。

配置流程： ┌────────────────────────────────────────────────┐ │ │ │ ① 准备空白PSAM卡（数量=读卡器数量） │ │ │ │ │ ▼ │ │ ② 将空白卡插入发卡器 │ │ │ │ │ ▼ │ │ ③ 使用母卡授权认证 │ │ │ │ │ ▼ │ │ ④ 通过发卡软件配置读卡器认证密钥 │ │ │ │ │ ▼ │ │ ⑤ 将配置好的子卡插入对应读卡器卡槽 │ │ │ │ │ ▼ │ │ ⑥ 读卡器激活，可正常识别用户卡 │ │ │ └────────────────────────────────────────────────┘

4.4 用户卡发行流程

┌─────────────────────────────────────────────────────────────┐ │ 用户卡发行流程 │ └─────────────────────────────────────────────────────────────┘ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ 准备用户卡 │ ──→ │ 读卡器子卡 │ ──→ │ 写卡子卡 │ │ (空白CPU卡) │ │ 已配置 │ │ 已配置 │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ │ │ └──────────────┬───────────────────────┘ │ ▼ ┌─────────────────┐ │ 发卡器连接 │ │ 发卡软件运行 │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ 写入用户信息 │ │ ·姓名/工号 │ │ ·权限时段 │ │ ·门禁权限 │ │ ·加密签名 │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ 用户卡制作完成 │ │ 可在门禁使用 │ └─────────────────┘

第五章 PSAM卡配置计算

5.1 配置原则

根据国密门禁系统设计规范，每个门点需要配置独立的专业设备，具体配置规则如下：

配置原则：按每个门配一个国密读卡器（出门用出门按钮）计算

5.2 PSAM卡数量计算公式

配置项	数量	说明
母卡	1张	项目唯一的最高密码管理卡
写卡子卡	1张	用于写用户卡数据的专用子卡
读卡器子卡	N张	每个读卡器配置1张

总公式：总PSAM卡数 = 1 + 1 + N（门数）= N + 2

5.3 配置实例

5.3.1 单门配置（1个门点）

┌────────────────────────────────────────┐ │ 单门项目PSAM卡配置 │ ├────────────────────────────────────────┤ │ │ │ 母卡： 1张 │ │ 写卡子卡： 1张 │ │ 读卡器子卡： 1张 │ │ ───────────────────── │ │ 合计： 3张 │ │ │ └────────────────────────────────────────┘

5.3.2 10门配置（10个门点）

┌────────────────────────────────────────┐ │ 10门项目PSAM卡配置 │ ├────────────────────────────────────────┤ │ │ │ 母卡： 1张 │ │ 写卡子卡： 1张 │ │ 读卡器子卡： 10张 │ │ ───────────────────── │ │ 合计： 12张 │ │ │ └────────────────────────────────────────┘

5.3.3 常用规模配置速查表

项目规模	门数N	母卡	写卡子卡	读卡器子卡	PSAM卡总数
小型项目	1门	1张	1张	1张	3张
小型项目	5门	1张	1张	5张	7张
中型项目	10门	1张	1张	10张	12张
中型项目	20门	1张	1张	20张	22张
大型项目	50门	1张	1张	50张	52张
大型项目	100门	1张	1张	100张	102张

第六章应用场景解决方案

6.1 监狱/看守所

需求痛点	解决方案
防止在押人员非法复制门禁卡	国密SM1算法+PSAM卡认证，无法被复制
核心区域需多重验证	国密读卡器+人脸识别双重认证
密码管理需分权	母卡/子卡分级管理，密码分管
高度防篡改	非公开算法，国家认证

推荐配置：国密门禁读卡器(DAGM-MJ-RW) + 国密门禁控制器(DAGM-MJ-4MB) + 国密人脸读头(DAGM-MJ-AIRW)

6.2 银行/金融机构

需求痛点	解决方案
核心区域门禁需金融级安全	SM1算法满足金融行业安全标准
密钥管理需合规审计	PSAM卡体系支持审计追溯
金库等极高安全区域	人脸+国密CPU卡双重认证
防止内部人员违规	分级密码管理，权限最小化

推荐配置：国密人脸读头(DAGM-MJ-AIRW) + 国密门禁控制器(DAGM-MJ-4MB) + PSAM卡全套

6.3 公检法机关

需求痛点	解决方案
涉密区域需使用国产密码	完全符合国家密码商用要求
案件档案室高度安全	国密读卡器+权限时段控制
内部人员分级管控	母卡管理+权限细分
满足政府安全合规要求	通过相关安全认证

推荐配置：国密门禁读卡器(DAGM-MJ-RW) + 国密门禁控制器 + PSAM卡全套

6.4 机场/火车站

需求痛点	解决方案
重点区域需高安全认证	SM1算法+PSAM卡双重保障
大量人员快速通行	支持CPU卡高速识别
安检区域分权限管控	多级权限时段管理
系统稳定可靠	工业级设备，7×24小时运行

推荐配置：国密门禁读卡器(DAGM-MJ-RW) + 国密门禁控制器(DAGM-MJ-4MB)

第七章系统优势总结

7.1 核心优势一览

┌─────────────────────────────────────────────────────────────┐ │ 国密CPU门禁系统核心优势 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 算法安全 │ │ │ │ ·国家密码管理局认证SM1算法 │ │ │ │ ·非公开算法，防止逆向分析 │ │ │ │ ·128位超长密钥，防暴力破解 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 密钥管理 │ │ │ │ ·PSAM卡物理隔离存储 │ │ │ │ ·母卡/子卡分级管理体系 │ │ │ │ ·密码错误次数限制 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 防复制能力 │ │ │ │ ·用户卡数据加密写入 │ │ │ │ ·读卡器与卡片双向认证 │ │ │ │ ·需专业母卡授权才能发行 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ 合规保障 │ │ │ │ ·符合国家密码商用法律法规 │ │ │ │ ·满足高安全场所建设要求 │ │ │ │ ·支持安全合规审计 │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘

7.2 适用场所速查

安全等级	推荐场所	配置建议
★★★★★ 极高	监狱、军械库、金库	全套国密设备+人脸识别
★★★★☆ 高	银行、公检法、涉密区域	国密读卡器+PSAM卡全套
★★★☆☆ 中高	机场、医院、国有院校	国密读卡器+控制器
★★☆☆☆ 中等	央企、国企、写字楼	根据需求选配

第八章产品选型指南

8.1 设备型号对照表

产品类型	型号	规格参数	适用场景
国密读卡器	DAGM-MJ-RW	支持SM1算法、PSAM卡槽	标准门禁点位
国密门禁控制器	DAGM-MJ-4MB	四门双向、控制能力	中大型项目
国密人脸读头	DAGM-MJ-AIRW	人脸识别+国密认证	高安全出入口
国密发卡器	DAGM-MJ-FKQ	USB连接、发卡软件	项目初始化

8.2 项目配置清单模板

┌─────────────────────────────────────────────────────────────┐ │ 国密门禁系统项目配置清单 │ ├─────────────────────────────────────────────────────────────┤ │ 项目名称：________________ 门数：______ │ ├─────────────────────────────────────────────────────────────┤ │ 设备名称 │ 型号 │ 数量 │ 单位 │ ├─────────────────────────────────────────────────────────────┤ │ 国密门禁读卡器 │ DAGM-MJ-RW │ ____ │ 台 │ │ 国密门禁控制器 │ DAGM-MJ-4MB │ ____ │ 台 │ │ 国密人脸读头 │ DAGM-MJ-AIRW │ ____ │ 台 │ │ 国密发卡器 │ DAGM-MJ-FKQ │ 1 │ 台 │ ├─────────────────────────────────────────────────────────────┤ │ PSAM卡配置 │ ├─────────────────────────────────────────────────────────────┤ │ 空白PSAM卡 │ — │ N+2 │ 张 │ │ (N=门数) │ ├─────────────────────────────────────────────────────────────┤ │ 说明： │ │ 1. N+2 = 1(母卡) + 1(写卡子卡) + N(读卡器子卡) │ │ 2. 每个门点需配置1台读卡设备和1张读卡器子卡 │ │ 3. 出门可采用出门按钮或出门读卡器 │ └─────────────────────────────────────────────────────────────┘

附录

附录A：术语表

术语	全称	说明
SM1	State Secret Algorithm 1	国家密码管理局认证的分组密码算法
PSAM	Provisioning Secure Access Module	安全访问模块，用于密钥安全存储
CPU卡	Central Processing Unit Card	内置CPU芯片的智能卡，支持加密运算
国密	National Secret	国产密码算法的简称
PSAM母卡	Master PSAM Card	项目最高密码管理权限卡
PSAM子卡	Slave PSAM Card	具体业务使用的PSAM卡