Сегмент рынка
Товары
События
Системы контроля и управления доступом (СКД) за несколько последних лет стали незаменимым средством защиты и управления на предприятии. Сегодня разработчики СКД предлагают все новые возможности контроля доступа. Клиентам остается, исходя из своих потребностей и перечня задач, которые предстоит решить СКД, сделать выбор в пользу той или иной платформы, на базе которой будет реализована система. Данная статья, в которой о преимуществах и недостатках той или иной технологии доступа рассказывает Олег Быков, генеральный директор компании Новые карточные системы (NCSJ), поможет клиентам сделать правильный выбор в пользу той или иной технологии доступа, которая не только подойдет для решения поставленных ими задач, но и обеспечит требуемый уровень безопасности.
Одним из наиболее критичных параметров выбора системы контроля и управления доступом (СКД) является вопрос безопасности. Защищенность технологии определяется ее устойчивостью ко взлому/перехвату и подмене идентификационных данных при передаче информации по радиоканалу, клонированию, несанкционированному доступу к идентификационным данным.
Система контроля и управления доступом представляет собой совокупность аппаратных и программных средств, предназначенных для ограничения и регистрации доступа людей, транспорта и других объектов в/из помещения, здания, зоны и территории.
Как следует из этого определения, СКД выполняет две основные задачи:
Выбор типа карты доступа следует производить, исходя из приоритета той или иной функции СКД. Если основная задача – регистрация, то достаточно карты Em Marin. Если основная задача – ограничение, то карты типа Em Marin будет недостаточно (не только Em Marin, но и других проксимити-карт – HID, Indala, работающих на частоте 125 КГц). Рассмотрим эти функции подробнее. Ограничение доступа подразумевает, что СКД будет обеспечивать защиту объекта от несанкционированного проникновения, а также сохранность материальных и интеллектуальных ценностей при помощи своих компонентов или частей, основными из которых являются:
Как известно, надежность любой системы, в том числе и СКД, определяется надежностью ее самого слабого элемента. Поэтому все перечисленные компоненты СКД должны обладать равным уровнем надежности и в равной степени обеспечивать безопасность объекта. Если надежность какого-либо из компонентов си- стемы значительно ниже остальных, то и уровень надежности всей системы будет определяться уровнем надежности этого слабого компонента. Именно таким наименее надежным элементом СКД и являются карты стандарта Em Marin.
Наиболее популярными и часто используемыми картами стандарта Em Marin являются версии EM4100 и TK4100. Память карт Em Marin (EM4100, TK4100) доступна только для чтения, имеет объем 64 бита, разделенных на 5 групп данных (см. рис. 1):
Биты D00 – D53 определяют фасилити-код (Facility code) карты (3 байта) Биты D60 – D93 определяют номер карты (2 байта). При использовании интерфейса Wiegand- 26 с карты Em Marin считывается и передается в контроллер 3 байта (24 бита) данных:
Память карты Em Marin открыта для чтения всегда, и механизма, способного закрыть ее от несанкционированного считывания, не существует. Поэтому мошеннику не составит труда изготовить дубликат карты, воспользовавшись широким разнообразием имеющихся сегодня технических средств. Сделать такой дубликат можно даже в мастерской, изготавливающей ключи для домофонов.
Более изощренные способы копирования карт доступа реализуются с помощью компактных портативных считывателей, позволяющих прочитать карту Em Marin на некотором расстоянии. Злоумышленник, имеющий в кармане такой считыватель, легко прочитает карту, находясь на небольшом расстоянии от держателя карты (в кабинете, на улице т. п.), а потом изготовит ее дубликат. Таким образом, если в качестве карты доступа выбрана карта Em Marin, пользователю системы следует четко понимать, что такая карта не защищена от копирования, и какими бы надежными ни были контроллеры и программное обеспечение, защищенность всей СКД будет на низком уровне.
Для того чтобы обоснованно ожидать от СКД обеспечения сохранности материальных ценностей, используемые в системе карты доступа должны быть на таком же высоком уровне надежности, как и остальные компоненты системы. Для этого в системах контроля и управления доступом необходимо использовать карты, которые невозможно или технически сложно копировать. И такие карты сегодня есть, они широко известны и стоят совсем недорого. Наиболее подходящим вариантом для использования в СКД являются карты стандарта MIFARE (см. табл. 1).
Как следует из данных таблицы 1, главное отличие карт стандарта MIFARE – это наличие памяти, предназначенной для многократного чтения/записи, и криптозащита памяти по операциям чтения и записи. Уровень защиты такой карты от подделки очень высок. Таким образом, карты MIFARE могут быть таким же равным по надежности звеном СКД, как и остальные ее компоненты.
Резюмируя сказанное, можно утверждать, что если основной задачей СКД является регистрация доступа, то карт стандарта Em Marin будет достаточно. Для решения такой задачи, как ограничение доступа, нужна более серьезная защита карт доступа от копирования и подделки по сравнению с проксимити-картами Em Marin, а также HID и Indala, работающих на частоте 125 КГц.
Необходимо отметить, что надежность карты MIFARE, соизмеримая с надежностью других компонентов СКД, не появляется автоматически. Использование карт данного стандарта в системах контроля и управления доступом требует более тщательной подготовки со стороны заказчика. Самое главное требование к обеспечению безопасности СКД на базе карт MIFARE – отказ от идентификации работников по серийному номеру карты (как это принято в случае Em Marin).
Вернемся к данным таблицы 1. Чем карты MIFARE похожи на карты Em Marin? Только наличием серийного номера, всегда открытого для чтения. По всем остальным параметрам карты этих двух стандартов отличаются друг от друга. Поэтому, если в СКД идентификация сотрудника производится путем считывания серийного номера карты MIFARE, это означает работу системы на уровне стандарта Em Marin, без защиты карты от копирования. Для того чтобы обеспечить высокий уровень безопасности СКД на базе карт MIFARE, идентификация держателя должна проводиться путем считывания данных из определенного блока памяти карты (secure sector), доступ к которому защищен ключами.
Память карты MIFARE состоит из 16 секторов, каждый из которых поделен на 4 блока (см. рис. 2). Общая память, объемом 1 КБ, разделена также на 16 секторов, каждый из которых разбит на 4 блока (см. рис. 3). В блоке 0 сектора «0» зашит серийный номер чипа и данные завода-изготовителя чипа. Блок 0 доступен только для чтения. Блоки 1 и 2 доступны для чтения/записи. Блок 3 хранит ключи доступа, создаваемые пользователем. Заводские значения ключей A и B: FFFFFFFFFF.
Заводское значение Access Condition (Условия Доступа): FF078069. Пользователь может изменять эти значения по своему усмотрению. Серийный номер формируется на заводе-изготовителе чипа MIFARE и записывается в блок 0 сектора «0». Серийный номер всегда открыт для чтения и не может быть изменен. Защитить серийный номер от считывания невозможно.
Таким образом, идентифицировать персонал по серийному номеру – значит не использовать ничего из тех возможностей, которые заложены в карту MIFARE.
Ситуацию, при которой с карты MIFARE считывается серийный номер, а сам считыватель подключается к контроллеру через интерфейс Wiegand-26, можно назвать типичной. Сегодня данный интерфейс применяется в большинстве систем контроля доступа. Однако использование последнего для считывания серийного номера MIFARE 1K является ошибкой, которая приводит к появлению в системе дубликатов номеров карт. Wiegand – простой проводной интерфейс связи между устройством для считывания карты доступа и контроллером, широко применяемый в системах контроля доступа.
Изначально данный интерфейс применялся в считывателях магнитных карт и был максимально оптимизирован под простейшие считыватели. В сущности, он представлял собой простой выход усилителя чтения. По причине широкой распространенности магнитных карт интерфейс Wiegand-26 стал стандартным дефакто. Позже, когда в сфере идентификации магнитные карты были вытеснены бесконтактными картами, интерфейс был сохранен неизменным.
Существуют следующие разновидности интерфейса Wiegand: 
Wiegand-26 – самый распространенный интерфейс в СКД. Состоит из 24 бит (3байт) кода и 2 бит контроля на четность. Поскольку длина серийного номера MIFARE 1K при передаче занимает 4 байта, легко подсчитать, что в полном объеме серийный номер карты по интерфейсу Weigand-26 передать нельзя. Если серийные номера карт идут подряд, то по Wiegand-26 в контроллер будет передаваться постоянная часть серийного номера карты, а переменная часть номера считываться не будет. В результате в системе появятся дубликаты номеров карт. Для того чтобы этого избежать, серийный номер карты MIFARE 1K, занимающий при передаче по интерфейсу 4 байта, следует считывать полностью. Добиться этого можно, используя интерфейс Wiegand-42.*
Сегодня контроллеры, применяемые в системах контроля и управления доступом с реализованным интерфейсом Wiegand- 26, распространены наиболее широко. Поэтому вполне естественно, что при переходе СКД на карты MIFARE у клиента возникает желание попытаться сохранить Wiegand-26 и использовать уже имеющиеся контроллеры. Сделать это вполне реально. При этом для того, чтобы избежать появления в системе дубликатов номеров карт, вместо серийного номера следует считывать данные из защищенного блока (secure sector) памяти MIFARE 1K.
Рассмотрим структуру остальных 15 секторов карты MIFARE (кроме сектора «0») (см. рис. 4): Блоки 0, 1 и 2 доступны для чтения/записи. Блок 3 хранит ключи доступа, создаваемые пользователем. Каждый сектор может быть защищен своим ключом. Отдельным ключом можно защищать операции чтения и записи. Чтобы организовать считывание данных из защищенного блока, заказчик СКД должен провести предэмиссию карт. На этапе предэмиссии карт в выбранный блок карты MIFARE записываются уникальные номера.
Чтение данных из этого блока защищается ключами (см. рис. 5). В считыватель также записывается соответствующий ключ, который предъявляется для чтения выбранного блока. В блок 0 сектора 1 записан номер кар- ты, используемый в СКД для идентификации держателя карты. Ключ A изменен. Access Condition (Условие Доступа) изменен на защиту сектора от чтения/записи. Данное значение Access Condition означает, что для чтения блока предъявляется только ключ A (ключ B не используется).
Прочитать карту можно, только зная секретный ключ пользователя. Записать в блок 0 больше ничего нельзя. В результате карту невозможно прочитать вне данной СКД и, соответственно, невозможно подделать. Считыватели, которые читают данные из защищенного блока, подключаются к контроллеру по интерфейсу Wiegand-26 (имеется также версия интерфейса USB), что позволяет сохранить имеющиеся в системе контроллеры, заменив только считыватели.
Такие считыватели, читающие данные из защищенного блока памяти карты, сегодня широко представлены на рынке. В их числе – MF Reader компании Prox. В заключение хотелось бы привести несколько примеров, демонстрирующих этапы миграции систем СКД со стандарта Em Marin на стандарт MIFARE, а также решение проблемы дубликатов номеров карт.
При использовании карт Em Marin в контроллер через протокол Wiegand- 26 передаются такие данные, как Facility Code (фасилити-код) и номер карты. Вместо имеющихся считывателей карт Em Marin подключаются считыватели карт MIFARE с интерфейсом Wiegand-26, которые читают данные из защищенного блока. В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.
Напомним, что дубликаты номеров карт появляются, когда считыватель MIFARE подключается через интерфейс Wiegand-26, а с карты считывается серийный номер (UID). Исключить подобную ситуацию поможет простое решение. Вместо имеющихся считывателей карт MIFARE, читавших UID, подключаются считыватели MIFARE с интерфейсом Wiegand-26, которые читают данные из защищенного блока.
Этап 1.
Если в системе контроля и управления доступом уже использовались карты MIFARE, то их нужно адаптировать для работы с новыми считывателями. Адаптация заключается в следующем (см. рис. 8). Серийный номер карты MIFARE выглядит как F0A1D9D5, а в контроллер передается только часть этого номера в виде A1D9D5 (поскольку Wiegan-26 отсекает байт F0). На этапе предэмиссии карт в блок 0 сектора 1 (или другой блок, по выбору пользователя) записывается та часть серийного номера карты, которая ранее передавалась в контроллер. Также в этот сектор в блок 3 записываются ключи и условия доступа.
Этап 2.
Предварительная «прошивка» новых карт MIFARE. Все новые карты MIFARE, которые планируется ввести в систему доступа, подвергаются предварительной «прошивке» в виде записи идентификационного номера в защищенный блок памяти. Вначале пользователь системы создает базу новых номеров (3-байтных) для новых карт MIFARE в том виде, в котором он хочет видеть эти идентификационные номера. Затем эти номера из базы записываются в новые карты, как показано на рис. 9. 3-байтный номер из базы записывается в тот же блок и сектор, как на этапе 1 (предэмиссии) (например, блок 0 сектора1). В блок 3 записываются те же ключи и условия доступа, как и на этапе 1.
Этап 3.
Новые считыватели карт программируются на считывание конкретного блока и сектора, а также в считыватели записываются соответствующие ключи доступа к считываемому сектору. Выполнив эти три этапа, заказчик решает проблему дублированных номеров. В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.
В заключение хотелось бы отметить еще раз: уровень безопасности системы контроля и управления данными напрямую зависит от защищенности карт доступа от копирования и подделки. При миграции СКД с карт стандарта Em Marin на карты стандарта MIFARE сохранить возможность использования наиболее популярного протокола передачи данных Wiegand-26 и уже имеющихся контроллеров можно, идентифицируя держателей не по номеру карты, а по данным, записанным в защищенный блок памяти карты.
Статья опубликована в журнале "ПЛАС" № 10 (174) 2011
Поделиться:
О проекте / Контакты / Политика конфиденциальности и защиты информации
Techportal.ru в соц. сетях
Журнал Технологии Защиты
13,56 МГц бесконтактные карты и брелоки Smartec формата Mifare ST-PC0x0MF и ST-PT010EM
Карты ST-PC0xxEM и брелоки ST-PT0xxEM Proximity (Em Marine)