Высоконадежный контроль доступа HID Mobile Access на базе мобильных технологий. Бесключевой доступ в автомобиль, система Smart Key Бесконтактные системы доступа
Для многих общественных учреждений с большим потоком сотрудников или посетителей (например, школ, вузов и т.д.) главными требованиями к системе СКУД
являются:
-бесперебойность и скорость работы,
-невысокая цена,
-возможность быстро редактировать базу клиентов.
Именно поэтому старые добрые, проверенные годами эксплуатации технологии контроля доступа в помещения по картам
пользуются в этой нише наибольшим спросом.
Контактные или бесконтактные?
В наше время рынок достаточно насыщен качественными СКУД, поэтому потребителю остается лишь правильно выбрать тип системы. Из этой статьи можно узнать, системы СКУД
с какими типами карт и считывателей лучше установить в ваших условиях.
Во-первых, контактной карте в большинстве случаев (когда нужно обеспечить быструю и простую идентификацию) стоит предпочесть бесконтактную. Контактные карты всё-таки чаще применимы в банковских системах или домофонах, чем в СКУД, ведь они проигрывают в скорости и износостойкости.
Большинство бесконтактных карт срабатывают на расстоянии до 15 см (а некоторые и свыше 1,5 м), что не создает больших неудобств при их использовании. Передача сигнала в таких картах происходит по технологии RFID (радиочастотная идентификация).
Типы бесконтактных карт
В системах СКУД
широко применяются два типа бесконтактных карт с разной частотой работы:
- 13,56 МГц (стандарта Mifare);
- 125 кГц (proximity-карты, такие как Em Marin, HID).
Выбор здесь правильно делать исходя из необходимого уровня безопасности. В случае, если основной целью установки СКУД является ведение учета посещений, проксимити-карт будет достаточно. Если же главная задача - надежное ограничение доступа, новая технология Mifare подойдет куда лучше.
Proximity-карты
Основная проблема proximity-карт - их незащищенность от подделки, что автоматически делает уязвимой всю систему СКУД . Это происходит по причине открытости памяти таких карт для чтения, а воспользоваться этим в наше время может любой мошенник.
Если вы все-таки решили использовать этот тип карт, чтобы не переплачивать за более высокий уровень безопасности, в первую очередь обратите внимание на карты Em Marine - они самые дешевые.
Карты Mifare
Такие карты - пожалуй, лучшее решение для использования в системах СКУД
, когда в приоритете безопасность. Их основные достоинства - невысокая цена при хорошем уровне защиты. От проксимити-карт они отличаются главным образом наличием перезаписываемой памяти, защищенной шифрованием. Этим способом достигается высокий уровень противодействия копированию.
Ошибки при настройке
Но все-таки высокий уровень безопасности карт Mifare гарантируется лишь при условии грамотной настройки системы. Часто при установке СКУД по ошибке настраивают идентификацию по серийному номеру. Так как серийный номер от копирования никак не защищен, в результате все преимущества этих карт не используются, и защищенность системы остается на низком уровне. Правильная настройка подразумевает получение информации от карты из зашифрованной части памяти.
Еще одна распространенная уязвимость систем контроля кроется в использовании Wiegand-26 - интерфейса передачи информации от контроллера СКУД считывателю и обратно. Первоначально эта технология предназначалась для применения с более примитивными считывателями контактных карт, но затем ее начали использовать повсеместно. Опасность Wiegand-26 в том, что при эксплуатации с картами Mifare создаются копии серийных номеров карт. Такой проблемы удастся избежать с интерфейсом Wiegand-46.
Но если Wiegand-26 уже используется в с 125-килогерцевыми или контактными картами, есть способ не производить его замену при переходе на универсальные считыватели Mifare карт . Для этого необходимо перенастроить систему на считывание защищенного блока памяти, а не серийного номера, что достигается проведением предэмиссии карточек.
Эти нюансы довольно сложно учесть, не занимаясь установкой СКУД постоянно, поэтому монтаж систем доступа мы рекомендуем заказывать у проверенных компаний.
Контроллеры СКУД RusGuard. Сравнительные характеристики
| Серия | ACS-102 | ACS-103 (M) | ACS-105 |
|
|
|
|
| Цена | 11 890 – 26 400 руб. | 12 600 руб. | 24 000 – 31 200 руб. |
| Опции: | |||
| - WiFi | + | - | - |
| - PoE | + | - | - |
| Корпус: | |||
| - пластиковый | + | + | + |
| - металлический | + | - | + |
| - крепление на DIN рейку | - | + | - |
| Блок питания: | |||
| - встроенный | + | - | + |
| - внешний | + | + | - |
| Тип точек доступа | |||
| - дверь | + | + | + |
| - две двери | + | + | + |
| - турникет | + | + | + |
| - ворота/шлагбаум | + | - | + |
| - доп. подключение картоприемника | + | - | + |
| - доп. управление светофорами | + | - | + |
| Интерфейс связи с сервером: | |||
| - Ethernet | + | + | + |
| - CAN | + | + | + |
| Энергонезависимая память: | |||
| - ключей | 64 тыс. | 64 тыс. | 10 млн. |
| - событий | 60 тыс. | 60 тыс. | 10 млн. |
| Интерфейсы считывателей: | |||
| - TouchMemory | + | + | + |
| - Wiegand-26/37/44/52 | + | + | + |
| - Wiegand-26/37/44/52 без контр. суммы | + | + | + |
| - Wiegand-58 | - | - | + |
| - Интерфейс клавиатуры (PS\2, KBW) | + | - | + |
| - SALTO | - | - | + |
| Длина кода ключа | до 6 байт | до 6 байт | до 7 байт |
| Количество электронных выходных ключей | 8 | 2 | 8 |
| Количество независимых каналов питания с защитой | 4 | 0 | 4 |
| Количество охранных шлейфов | 2 | 0 | 2 |
| Контроль блока питания, состояния АКБ | + | - | + |
| Тампер корпуса | + | - | + |
| Температурный режим | от 0 до +50 | от 0 до +50 | от -40 до +50 |
| Гарантия | 5 лет | 3 года | 5 лет |
| Сертификация |
Сегодня доступны большинству водителей. Например, технологичные и функциональные комплексы сигнализационных установок не так дорого стоят, чтобы на них можно было экономить. Кроме того, можно приобрести отдельные компоненты, регулирующие доступ к машине и ее ответственным механизмам. К таким относится интеллектуальный ключ авто, благодаря которому реализуется дистанционная разблокировка запорного механизма. В частности, это может быть дверь, замок силового агрегата, стоппер с электронным управлением, запор багажного отсека или коробки передач.
Общие сведения о бесключевом доступе в автомобиль
Это высокотехнологичная система обеспечения охранного механизма с возможностью дистанционного интеллектуального управления. В штатном режиме заводские комплексы такого типа работают по программной схеме. То есть сам замок функционирует в связке с или специальным контроллером. Иными словами, бесключевой доступ в автомобиль или иммобилайзер представляет собой не просто отдельное устройство для бесконтактного проникновения в машину. Это зачастую и охранный механизированный комплекс, а также центральный блок приема сигнала от ключа. Простейшие штатные устройства предполагают возможность запора электростартера или двигателя через электронную систему. Отдельные модели задействуют более радикальные решения - в частности, может быть реализована схема, при которой разъединяется электрическая цепь подводки к силовому агрегату. Соответственно, посредством ключа производится восстановление искусственно разомкнутой цепи.
Принцип работы иммобилайзера
Использование различных механизмов блокировки функциональных частей автомобиля распространено во многих противоугонных комплексах. Это эффективное средство предотвращения попыток начать движение машины без ведома автовладельца. Но системы бесключевого доступа имеют свои особенности. Главная из них заключается в принципе работы самого ключа системы Smart Key, которая предполагает интеллектуальное функционирование механизмов считывания данных. В частности, распознание обеспечивают современные электромагнитные чипы и действия, информация от которых через антенну пересылается на транспондер блока управления. Столь сложный алгоритм проверки соответствия ключа предотвращает попытки и электронного взлома охранной системы. Причем важен и аспект механической противоугонной защиты, который реализуется не только остановкой функции двигателя. Обычно специалисты рекомендуют задействовать как минимум три барьерных участка, среди которых силовой агрегат, дверь и коробка передач.
Функционал системы
Практически все комплекты бесключевого доступа в качестве базовых функций выполняют операции открытия и закрытия дверей, а также пуск и остановку двигателя. Другое дело, что могут изменяться параметры работы с разными частями автомобиля. Например, для активации силового агрегата требуется лишь кнопка бесключевого доступа, которая сработает на значительном удалении, а в салон владелец сможет проникнуть только при расстоянии 1-2 м после считывания информации с RFID-карты ключа. И напротив, обратные действия с блокировкой всех обслуживаемых механизмов могут осуществляться в автоматическом порядке после удаления пользователя с программируемым ключом. Важно учитывать, что через некоторое время при полном бездействии система может также произвести автоматическую блокировку тех же дверей. Но этой функции изначально задаются параметры - в том числе по времени ожидания. Что касается дополнительного опционала, то система может совмещаться с автосигнализациями и отдельными их компонентами, среди которых датчики, багажник и т. д.
Управление системой
Все операции выполняются только с помощью оригинального ключа, который входит в комплект системы. Стандартный алгоритм управления предполагает использование электронного кодового ключа. Но также существуют и устройства, в которых реализована возможность ручного набора кода. В данном случае владельцу не нужно пользоваться кнопками дистанционного управления - он должен вставить ключ в соответствующее гнездо, после чего система автоматически произведет считывание информации системой иммобилайзера. При успешной проверке сработает бесключевой доступ с разблокировкой всех охватываемых системой блокировок. Есть и усложненные в параметре секретности устройства, в которых даже перед электронным считыванием информации может потребоваться предварительный набор пользовательского кода, открывающего доступ к самой системе иммобилайзера.
Уязвимости иммобилайзера
К сожалению, и такие системы не гарантируют абсолютной безопасности автомобиля перед действиями злоумышленников. Обойти защитный комплекс можно несколькими путями. В первую очередь каждый комплект бесключевого доступа предусматривает через который при помощи специального оснащения оператор может ввести оборудование в аварийный режим. Далее тому же двигателю можно дать любую исполнительную команду. Этот способ обхода теоретически возможен, но на практике выполнить его способен только высококвалифицированный специалист. Кроме того, можно подделать интеллектуальный ключ-авто, причем информация для этого фиксируется даже на расстоянии. Специальные фотографические устройства способны сканировать устройство, делая его электронный слепок. И это не говоря о том, что любые работы с автомобилем в сервисном автоцентре неизбежно потребуют предоставления того же ключа сотрудникам.
Производители системы Smart Key
В данном сегменте довольно привлекательные предложения разрабатывают сами производители автомобилей. Это тот случай, когда штатная аппаратура оказывается более технологичной, чем отдельные модели. К передовым решениям данного направления можно отнести устройства, реализованные в Toyota Verso, WV Touareg и BMW 6 Ser. Менее премиальный, но весьма добротный иммобилайзер предлагается в модели При этом и самостоятельные производители электронных систем для автомобилей выпускают достойные внимания устройства. Так, специалистами высоко оценивается сигнализация с бесключевым доступом в модификации BP-05 от StarLine. Хорошие отзывы получает и многофункциональная разработка Smart Start Galaxy, охватывающая широкий спектр систем для охранного контроля. Но, в выборе таких устройств не стоит забывать о ценнике, который тоже не отличается скромностью.
Сколько стоит система бесключевого доступа?
Самые примитивные системы такого типа от китайского рынка можно приобрести за 1,5-2 тыс. руб. Это модели с минимальными охранными возможностями и сомнительной надежностью. Даже если планируется приобретать устройство начального уровня без особых технологических изысков, рекомендуется обращаться к моделям с ценником не менее 3 тыс. В этом сегменте, к слову, представлены и некоторые комплекты StarLine. Более развитый в конструкционном и функциональном отношении бесключевой доступ с возможностью автоматической диагностики и совместимостью с сигнализациями обойдется в 5-7 тыс.
Плюсы бесключевого доступа
Среди первостепенных достоинств устройства можно выделить сочетание удобства при использовании и высокую степень надежности. Все же многофакторный барьер перед действиями злоумышленника, который затрагивает и силовой агрегат, и наружные замочные механизмы, обеспечивает высокую степень безопасности. Помимо этого, отмечается и функциональность таких устройств. Дело в том, что бесключевой доступ с иммобилайзером редко используется в одиночном порядке. Чаще всего устройство вводится в общий комплекс охранных или сигнализационных систем. Это значит, что с того же интеллектуального ключа пользователь получает возможность управления и другими функциями, кроме защитных.
Недостатки бесключевого доступа
Конечно, наиболее слабое место относится к уязвимостям данной технологии. Но важно понимать, что именно в практике взломы интеллектуальной защиты встречаются крайне редко. Более того, сама идея того же диагностического гнезда обусловлена необходимостью создания возможности для самого пользователя обойти систему при полной ее блокировке. Помимо этого, бесключевой доступ может доставить некоторые проблемы в реализации системы отдельного управления. Дело в том, что устройство предполагает тесное взаимодействие с центральным блоком управления. Этот нюанс означает обеспечение высокой нагрузки на местную электросеть, а также может вызвать проблемы с эксплуатацией другой электроники.
Установка
Как производится установка бесключевого доступа? Монтажные операции состоят из двух этапов - реализации электропроводки и механической установки оборудования. Что касается первой части, то от прикуривателя или аккумуляторного блока проводятся линии питания к охранным блокирующим системам. Далее производится уже механическая установка блокираторов, а при необходимости и монтаж специальных датчиков, которые тоже будут участвовать в процессе автоматизированной разблокировки. В свою очередь, смарт-ключ подключается через специальный беспроводной интерфейс к центральному блоку управления. Для этой задачи может использоваться также и отдельный контроллер.
Заключение
Бесключевым такой доступ, конечно, можно назвать лишь условно. Отличие этой системы от обычного ключа обуславливается лишь сменой физического принципа работы на электронный. Переход на электронные средства управления и контроля системами охраны происходит давно и распространение подобных устройств является вполне логичным явлением. Кроме защитных свойств, смарт-ключ ценится и за эргономичность при работе с замочными механизмами. Если обычные сигнализации практически полностью базируются на электронике, не обладая достоинствами физических блокировок, то в данном случае происходит совмещение преимуществ двух концепций. Пользователь иммобилайзера может рассчитывать и на удобство эксплуатации интеллектуального ключа, и на механическую защиту блокираторов автомобиля.
Технология санкционированного доступа в помещения при использовании мобильных устройств – это комплексное решение, объединяющее считыватели iClass SE/multiClass SE и сервисный пакет HID Global, в который входят мобильные идентификаторы, приложения для организации мобильного доступа, а также веб-сервис (специальный портал). Высоконадежный контроль доступа на базе этой технологии обеспечивают и операционные системы Android и iOS , позволяющие предоставлять или отзывать мобильные идентификаторы по каналам беспроводной связи. Для обмена информацией между смартфоном и считывателем системы контроля доступа используются решения не только на базе NFC, но и Bluetooth, обеспечивающие распознавание идентификатора на расстоянии до 2 м.
Быстрое развитие мобильных устройств оказывает влияние на различные сферы жизни общества. Например, мобильные технологии, которые внедрены в контроль доступа, позволяют объединять безопасность и комфорт, заменяя смартфонами ключи, брелоки и карты-пропуска. При этом уверенность и образовательный уровень пользователей постоянно растут, а скорость распространения технологий Bluetooth и NFC показала, что мобильный контроль доступа, реализованный с их использованием, является востребованным решением. Более того, это решение HID уже интегрировано в комплексную систему безопаности Lenel OnGuard - мультсерверную платформу для ИСБ крупных корпораций и средних офисов.
Эмуляция RFID-карты доступа с помощью технологии NFC
После того, как корпорация Google представила в 2013 году новую версию NFC для Android 4.4 под названием Host-based Card Emulation (HCE), стало возможным и экономически обоснованным внедрение сервисов NFC в контроль доступа с использованием мобильных устройств. Данное решение предоставляет целый ряд преимуществ:
- эмуляция стандартных бесконтактных карт доступа в мобильном приложении
- совместимость со считывателями с NFC модулями
- оптимальное решение для контроля доступа при идентификации на близком расстоянии – путем прикосновения смартфона к считывателю.
Технология NFC HCE поддерживается мобильными операционными системами Android 4.4 и BlackBerry и пока не поддерживается iOS.
Технология Bluetooth Smart и бесконтактный контроль доступа
Одной из причин успеха технологии Bluetooth Smart является ее использование в устройствах Apple, начиная с модели iPhone 4S, и в ОС Android 4.3. Иными словами, Bluetooth Smart является единственной бесконтактной технологией, поддерживаемой обеими основными операционными системами для мобильных устройств. Благодаря низкому энергопотреблению, отсутствию необходимости в дополнительном сопряжении с устройствами СКУД и большой дальности действия, Bluetooth Smart наилучшим образом подходит для задач, которые решает контроль доступа в помещения или на парковки.
Считыватели HID iClass SE с Bluetooth-модулем можно устанавливать на внутренней стороне двери или на расстоянии от нее, чтобы не нарушать дизайн входной группы. За счет дальности действия 2 м контроль доступа будет осуществляться также надежно, как и при ближней идентификации. А благодаря поддержке Bluetooth Smart операционными системами iOS 7 и 8, Android 4.4, BlackBerry 10 и Windows Phone® 8.1, мобильный доступ на базе этой технологии может быть реализован с использованием очень большого числа моделей смартфонов. Для активации процесса передачи идентификационного кода от телефона считывателю iClass SE системы доступа применяется запатентованная HID Global технология Twist and Go: достаточно повернуть смартфон при приближении к считывателю и ответная его вибрация проинформирует пользователя об успешной идентификации и разрешении доступа.
Удобство и простота «выдачи» идентификационных кодов
Наличие у большинства современных смартфонов системы подключения к глобальной сети позволяет управлять мобильными идентификаторами системы контроля доступа в режиме реального времени. Для централизованного управления идентификационными записями корпорация HID Global создала специальный облачный портал, существенно упрощающий работу персонала, занимающегося «выпуском пропусков». Процедура «выдачи пропуска» сотруднику выглядит следующим образом: после вода в программном интерфейсе имени и адреса электронной почты пользователя, ему автоматически отправляется приглашение с инструкциями для загрузки мобильного приложения. Когда приложение будет установлено, на смартфон передастся мобильный идентификатор, а сотрудник, администрирующий контроль доступа, получит уведомление о завершении процедуры.
Применение современных протоколов шифрования мобильных идентификаторов
Мобильные идентификаторы HID Global для системы контроля доступа являются портируемыми объектами, т.е. передаются на смартфоны беспроводным каналом связи. Они разработаны с использованием модели данных Secure Identity Object (SIO) и имеют криптографическую защиту, базирующуюся на современных протоколах и алгоритмах шифрования. При обмене данными между устройствами, осуществляющими контроль доступа (смартфонами и считывателями), применяется защищенный протокол (технология Seos), гарантирующий надежность канала независимо от используемой технологии связи.
Поддержка мобильных устройств считывателями iClass SE
Помимо смартфонов и мобильных идентификаторов, система контроля доступа на базе решения HID Mobail Access включает в себя считыватели iClass SE и multiClass SE. Эти устройства могут быть настроены на работу в режиме ближней или дальней идентификации, а наличие у них направленной антенны обеспечивает дальность считывания до 2 м (при работе с Bluetooth-модулем). iClass SE и multiClass SE поддерживают большое число стандартных технологий: iCLASS Seos®, стандартный iCLASS®, iCLASS SE, MIFARE®, MIFARE DESFire® и HID Prox, что позволяет использовать их при миграции систем контроля доступа на новые технологии.
Мобильное приложение
HID Reader Manager
для настройки СКУД со смартфона.
Видеоролик от производителя на тему "Контроль доступа с помощью мобильного телефона" можно посмотреть поэтой ссылке
.
Для получения дополнительной информации на мобильный контроль доступа HID Mobile Access
и другие решения компании
HID
обращайтесь в центральный или региональные офисы компании «АРМО-Системы», являющейся официальным российским дистрибьютором оборудования HID Global.
Если вы столкнулись с необходимостью установить систему доступа в помещение и теряетесь в бесконечном списке комплектующих, читайте эту статью, и вы узнаете, как подобрать оборудование для простой системы контроля и управления доступом (СКУД). Речь в статье пойдет о распространенном запросе «хочу, чтобы дверь открывалась по карточке». Для чего это нужно, все понимают: удобно, надежно и относительно безопасно. Начнем с замка - одного из двух основных устройств системы контроля доступа, отвечающих за безопасность.
Какой замок выбрать?
Выбор замка зависит от конструкции двери и степени защищенности от проникновения, которую вы хотите обеспечить. Замки существуют 1) электромагнитные, 2) электромеханические и 3) электрозащелки, 4) соленоидные и 5) моторные - список отсортирован по степени взломостойкости. Примерно в той же последовательности растет сложность установки замка. Цены на первые четыре вида замков сильно варьируют, а вот моторные замки дешевыми быть не могут.
Электромагнитный замок
Соединяем компоненты системы доступа
Для соединения компонентов системы контроля доступа потребуется кабель. Количество жил определяется схемой подключения, как правило, нужен или . Если замок устанавливается на дверь, как например электромеханический или соленоидный, то для механической защиты кабеля используется . Кабель с моножилой («витая пара» или силовой) в таком случае не подойдет - такой кабель не предназначен для частого изгибания.
Решение готово
Чтобы собрать простую систему контроля доступа вам потребуются: замок, карты доступа или ключи и считыватель, контроллер, кнопка выхода и источник питания. Замки бывают нормально-открытые и нормально-закрытые; выбор конкретной модели зависит от конструкции двери и требований к взломостойкости. Считыватель должен подходить для выбранного типа карт или ключей. Самый устойчивый к попыткам обмана системы - считыватель Mifare , работающий в защищенном режиме. Что касается контроллера, любой автономный контроллер доступа обеспечит необходимый минимум функций. Учет рабочего времени и расписания доступа обеспечивают сетевые контроллеры. Верх эволюции кнопок выхода - это бесконтактная кнопка выхода с подсветкой, но вполне подойдет любая другая попроще. Источник питания должен выдавать достаточный ток. Для замка лучше использовать отдельный источник, чтобы усилить стойкость системы ко взлому. Сигнальный 8-жильный кабель подойдет для соединения компонентов системы, но для подключения электромеханических и моторных замков лучше взять отдельный кабель сечением побольше.
Пользуясь этим руководством, вы без труда соберете систему контроля доступа, отвечающую вашим требованиям даже в мелочах. Чтобы сэкономить ваше время, мы подобрали наиболее часто запрашиваемые варианты комплектации в готовых решениях.
1. Обеспечивает ли СКД сохранность материальных ценностей
"Система контроля и управления доступом (СКД) - совокупность аппаратных и программных средств, направленных на ограничение и регистрацию доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории."
Из этого определения следует, что СКД выполняет две задачи:
- ограничение доступа;
- регистрация доступа.
Ограничение доступа
означает предотвращение проникновения нежелательных лиц на охраняемую территорию и помещения.
Регистрация доступа
означает распознавание того лица, которое получает доступ и фиксацию времени предоставления доступа.
Выбирать тип карты доступа следует исходя из приоритета той или иной функции СКД.
Если основная задача – регистрация, - то достаточно карты Em Marin.
Если основная задача – ограничение, - то карты типа Em Marin будет недостаточно (не только Em Marin, но и другие проксимити карты – HID, Indala, работающие на частоте 125 КГц) . Почему, - рассмотрим далее.
Ограничение доступа подразумевает, что СКД будет обеспечивать:
- защиту объекта от несанкционированного доступа;
- сохранность материальных и интеллектуальных ценностей.
Обеспечивает это система доступа с помощью своих компонентов или частей, основными из которых являются:
- Контроллер
- Считыватель
- Карта доступа
- Программное обеспечение
Надежность любой системы (и СКД в частности) определяется надежностью ее самого слабого элемента. Поэтому, все перечисленные выше компоненты СКД должны обладать равной надежностью и в равной степени обеспечивать безопасность объекта. Если какой-либо один компонент значительно ненадежнее остальных, то и надежность всей системы будет на уровне этого слабого компонента.
Таким ненадежным элементом являются карты Em Marin (наиболее популярная версия EM4100 и TK4100).
И, если в качестве карты доступа выбрана карта Em Marin, то надо понимать, что такая карта не защищена от копирования, и какими бы надежными ни были контроллеры и программное обеспечение, - защищенность всей СКД будет на низком уровне.
Em Marin – это тот ненадежный компонент, который и будет определять низкий уровень защищенности системы доступа.
2. Em Marin – слабое звено
В большинстве случаев под картой Em Marin понимается версия EM4100 или TK4100, имеющая память 64 бит, доступную только для чтения.
Память карты Em Marin (EM4100, TK4100) имеет объем 64 бита, разделенных на 5 групп данных. 9 бит отведены под заготовок, всегда “1”. Имеется 10 бит четности по рядам (P0-P9) и 4 бита четности по колонкам (PC0-PC3).
Поле данных составляет 40 бит (D00-D93), один стоповый бит (S0),- логический 0.
Биты D00 – D53 определяют фасилити карты (Facility).
Биты D60 – D93 определяют номер карты (два байта).
При использовании интерфейса Wiegand-26 с карты Em Marin фасилити считывается как биты
D40 – D53 (один байт), номер считывается как биты D60 – D93.
Всего через Wiegand-26 считывается с карты и передается в контроллер 3 байта данных (24 бита).
Память карты Em Marin открыта для чтения всегда, и нет механизма, чтобы закрыть эту память от несанкционированного считывания. Прочитав данные, не составляет труда изготовить дубликат карты. Для изготовления дубликатов карт Em Marin в настоящее время имеется большое разнообразие технических средств. Сделать такой дубликат можно даже в уличной мастерской, где предлагают ключи для домофона.
Но есть и более изощренные способы копирования карт доступа. Существуют компактные портативные считыватели, позволяющие прочитать карту Em Marin на некотором расстоянии. Злоумышленник, имеющий в кармане такой считыватель, легко прочитает карту, находясь недалеко от владельца карты (в кабинете, на улице, и т.п.), а потом изготовит ее дубликат.
3. MIFARE - надежная карта доступа
Для того, чтобы обоснованно ожидать от СКД обеспечения сохранности материальных ценностей, карты доступа должны быть на таком же высоком уровне надежности, как и остальные компоненты системы.
Карты, которые невозможно или технически сложно копировать.
И такие карты есть. Они широко известны. И стоят они совсем недорого.
Наиболее подходящим вариантом такой “защищенной” карты является карта стандарта MIFARE.
Сравним характеристики карт стандарта MIFARE и карт Em Marin (EM-4100).
Таким образом, главное отличие MIFARE – это наличие памяти для многократной чтения-записи и криптозащита этой памяти по операциям чтения и записи. Подделать такую карту практически невозможно.
Карта MIFARE может быть таким же равным по надежности звеном, как и остальные компоненты СКД.
4. Типичные ошибки при использовании карт доступа MIFARE
Ошибка 1. Считывание серийного номера карты
Но надежность карты доступа MIFARE, соизмеримая с надежностью других компонентов СКД, не появляется автоматически. Использование карт MIFARE в СКД требует более тщательной подготовки со стороны заказчика СКД. Самое главное, - нельзя для идентификации работников считывать серийный номер MIFARE (как это принято в случае Em Marin). Вернемся к сравнительной таблице вверху. В чем карты MIFARE похожи на карты Em Marin. В наличии серийного номера, всегда открытого для чтения. И только. По всем остальным параметрам – отличие. Поэтому, если в СКД для идентификации считывается серийный номер MIFARE, - это означает работу на уровне Em Marin, без защиты карты от копирования.
Чтобы правильно использовать карты MIFARE надо считывать не серийный номер, а данные из некоторого блока памяти карты (secure sector), доступ к которому защищен ключами.
Память карты MIFARE состоит из 16 секторов, каждый из которых поделен на 4 блока.
Рис.1 Структура памяти Miare 1K
Общая память, объемом 1 КБ, разделена на 16 секторов. Каждый сектор разбит на 4 блока.
Рис. 2. Структура сектора 0.
В блоке 0 хранится серийный номер и данные завода-изготовителя чипа. Блок 0 доступен только для чтения. Блоки 1 и 2 доступны для чтения-записи.. Блок 3 хранит ключи доступа, создаваемые пользователем. Заводские значения ключей A и B: FFFFFFFFFF. Заводское значение Условия Доступа (Access Condition): . Пользователь может менять эти значения по своему усмотрению.
Серийный номер формируется на заводе-изготовителе чипа MIFARE и записывается в блок 0 сектора 0. Серийный номер всегда открыт для чтения и не может быть изменен. Закрыть серийный номер от считывания невозможно. Идентифицировать персонал по серийному номеру – значит не использовать ничего из того, что заложено в карту MIFARE.
Ошибка 2. Подключения считывателя по Wiegand-26.
Ситуация, когда с карты MIFARE считывается серийный номер, а сам считыватель подключается к контроллеру через интерфейс Wiegand-26, - можно назвать типичной. Во многих системах применяется именно Wiegand-26. Но использование интерфейса Wiegand-26 для чтения серийного номера MIFARE 1K - это ошибка, которая приводит к появлению в системе дубликатов номеров карт.
Wiegand - простой проводной интерфейс связи между устройством чтения карты доступа и контроллером, широко применяемый в системах контроля доступа (СКД).
Изначально интерфейс применялся в считывателях магнитных карт и был максимально оптимизирован под простейшие считыватели. В сущности это был простой выход усилителя чтения. Из-за распространенности магнитных карт этот интерфейс стал стандартным де-факто. Позже магнитные карты были вытеснены бесконтактными картами, однако интерфейс был сохранен неизменным.
Существуют следующие разновидности интерфейса Wiegand:
Wiegand-26.
Wiegand-33.
Wiegand-34.
Wiegand-37.
Wiegand-40.
Wiegand-42...
Wiegand-26 – это самый распространенный интерфейс в СКД. Состоит из 24 бит кода и 2 бит контроля на четность.
24 бита, которые передаются по Wiegand-26, - это 3 байта. Длина серийного номера MIFARE 1K – 4 байта. Легко заметить, что полностью серийный номер карты по интерфейсу Wirgand-26 передать нельзя. Если серийные номера идут подряд, то по Weigand-26 будет передаваться в контроллер одна и та же часть серийного номера карты, а переменная часть номера считываться не будет. В результате в системе появятся одинаковые номера карт.
Для того, чтобы в системе на появлялись дубликаты номеров карт, серийный номер MIFARE 1K следует считывать полностью, т.е., все 4 байта, а для этого надо использовать интерфейс Wiegand-42.
Конечно, более правильно вообще не считывать серийный номер карты (а обращаться к данным в защищенном секторе). Вышеприведенная ситуация описана как типичная и самая распространенная ошибка при переходе на карты MIFARE.
5. Как сохранить Wiegand-26, избежать дублирования номеров и защитить карту от подделки
Необходимость сохранить интерфейс Wiegand-26 диктуется большой распространенностью контроллеров, применяемых в системах контроля доступа, в которых реализован именно Wiegand-26. При переходе на карты MIFARE вполне естественно попытаться использовать уже имеющиеся контроллеры.
Имеющиеся контроллеры с Wiуgand-26 использовать можно. Но, для того, чтобы в СКД не появлялись дубликаты номеров карт, вместо серийного номера следует считывать данные из защищенного блока MIFARE 1K (secure sector). Рассмотрим структуру остальных 15 секторов MIFARE (кроме нулевого сектора):
Рис. 3. Структура секторов 1-15. Блоки 0, 1 и 2 доступны для записи-чтения. Блок 3 хранит ключи доступа, создаваемые пользователем. Каждый сектор может быть защищен своим ключом. Можно защищать отдельно операции чтения и записи. Можно защитить как чтение, так и запись.
Для того, чтобы организовать считывание данных из защищенного блока, заказчик СКД должен провести предэмиссию карт. На этапе предэмиссии карт в выбранный блок карты MIFARE записываются уникальные номера, и, самое главное, чтение данных из этого блока защищается ключами (как это показано на Рис.4). В считыватель, также, записывается соответствующий ключ, который предъявляется для чтения выбранного блока.
Рис. 4. В блок 0 сектора 1 записан номер карты, используемый в СКД для идентификации держателя карты. Ключ A изменен. Условие доступа (Access Condition) изменено на защиту сектора от чтения-записи. Данное значение Условия Доступа означает, что для чтения блока предъявляется только ключ A (ключ B не используется). Прочитать карту можно только, зная секретный ключ пользователя. Записать в блок 0 больше ничего нельзя.
В результате получается карта, которую невозможно прочитать вне данной СКД, и которую невозможно подделать. Считыватели, которые читают данные из защищенного блока, подключаются к контроллеру по интерфейсу Wiegand-26 (имеется, также, версия интерфейса USB), что и позволяет сохранить имеющиеся контроллеры, а заменить только считыватели. Такие считыватели (читающие данные из защищенного блока) широко представлены на рынке.
Примеры
Пример 1. Переход от Em Marin к MIFARE
При использовании карт Em Marin через Wiegand-26 передается номер карты как фасилити код карты и номер карты:
Вместо имеющихся считывателей карт Em Marin подключаются считыватели MIFARE (например, типа “MF Reader” от фирмы Prox) с интерфейсом Wiegand-26, которые читают данные из защищенного блока.
В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.
Пример 2. Решение проблемы дубликатов номеров карт.
Напомним, что дубликаты номеров карт появляются, когда считыватель MIFARE подключается xерез Wiegand-26, а с карты считывается серийный номер (UID).
Например, серийный номер выглядит, как F0A1D9D5, а в контроллер передается только часть этого номера в виде: ХХХХХХ.
На этапе предэмисси карт в блок 0 сектора 0 (или другой блок по выбору пользователя) записывается та часть номера, которая ранее попадала в контроллер.
Вместо имеющихся считывателей карт MIFARE (читавших UID) подключаются считыватели MIFARE (например, типа “MF Reader” от фирмы Prox) с интерфейсом Wiegand-26, которые читают данные из защищенного блока.
В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.
