Карти доступу критерії вибору - Статті, огляди, аналітика Карти доступу критерії вибору, Журнал ТЗ
Система контролю та управління доступом (СКУД) – сукупність апаратних та програмних засобів, спрямованих на обмеження та реєстрацію доступу людей, транспорту та інших об'єктів до (з) приміщення, будівлі, зони та території. З цього визначення випливає, що СКУД виконує два завдання: – обмеження доступу; – реєстрація доступу.Обмеження доступуозначає запобігання проникненню небажаних осіб на територію, що охороняється, і приміщення.Реєстрація доступуозначає розпізнавання тієї особи, яка отримує доступ та фіксацію часу надання доступу. Вибирати тип карти доступу слід виходячи з пріоритету тієї чи іншої функції СКУД. Чому розглянемо далі. Обмеження доступу передбачає, що СКУД забезпечуватиме: – захист об'єкта від несанкціонованого доступу; - збереження матеріальних та інтелектуальних цінностей. Забезпечує цю систему доступу за допомогою своїх компонентів або частин, основними з яких є: • Контролер • Зчитувач • Карта доступу • Програмне забезпечення Надійність будь-якої системи (і СКУД зокрема) визначається надійністю її найслабшого елемента. Тому всі перераховані вище компоненти СКУД повинні мати однакову надійність і в рівній мірі забезпечувати безпеку об'єкта. Якщо якийсь один компонент значно ненадійніший за інші, то й надійність усієї системи буде на рівні цього слабкого компонента. І якщо в якості картки доступу вибрано картку, що працює на частоті 125 КГц, наприклад стандарту Em Marin, то треба враховувати, що така карта не захищена від копіювання.
У більшості випадків такі карти мають пам'ять 64 біт, доступну тільки для читання та розділену на 5Груп даних. 9 біт відведено під заголовок, завжди «1». Є 10 біт парності по рядах (P0-P9) та 4 біти парності по колонках (PC0-PC3). Поле даних становить 40 біт (D00-D93), один стоповий біт (S0) - логічний 0. Біти D00 - D53 визначають фасиліті карти (Facility). Біти D60 – D93 визначають номер картки (два байти). При використанні інтерфейсу Wiegand-26 з карти зчитується як біт D40 – D53 (один байт), номер зчитується як біт D60 – D93. Всього через Wiegand-26 зчитується з карти і передається в контролер 3 байти даних (24 біти). Пам'ять такої карти відкрита для читання завжди, і немає механізму, щоб закрити цю пам'ять від несанкціонованого зчитування. Прочитавши дані, не важко виготовити дублікат карти. Щоправда, треба розуміти, що насамперед зловмисник має заволодіти потрібною картою. Вкрасти, наприклад. Теза про можливість рахувати карту з кишені на відстані одного метра, м'яко кажучи, лукава. Сканер розміром із «дипломат» може це зробити максимум на відстані 20–30 см, а ще потрібно цей сканер направити саме на ту кишеню, де лежить картка. До того ж є й інші способи «зламування» СКУД – наприклад, підключитися до проводів wiegand зчитувача та передати будь-який код на контролер навіть без імітатора картки. Причому тип карти вже не має значення – нехай вона хоч тисячоразово захищена. Від професіоналів складно захищатись – завжди знайдеться лужок, куди він щось просуне і свого доб'ється. Проте питання про захист карт доступу від копіювання далеко не пусте. Особливо це важливо на об'єктах, де практично будь-який несанкціонований доступ є критичним для безпеки діяльності підприємства. Невипадково тому ринок дуже швидко сформував відповідну пропозицію.
Карта доступу, яку не можна скопіюватиЗапринаймні поки що не можна. Або дуже складно та дуже дорого. Найбільш підходящим варіантом такої захищеної карти є картка стандарту Mifare. Головна її відмінність – наявність пам'яті для багаторазового читання – запису та криптозахист цієї пам'яті за операціями читання та запису. Карта Mifare може бути такою самою рівною за надійністю ланкою, як і інші компоненти СКУД.
Типові помилки при використанні карт доступу Mifare Помилка 1. Зчитування серійного номера карткиАле надійність картки доступу Mifare, порівнянна з надійністю інших компонентів СКУД, не з'являється автоматично. Використання карток Mifare в СКУД вимагає більш ретельної підготовки з боку замовника. Найголовніше – не можна для ідентифікації працівників зчитувати серійний номер Mifare. Якщо в системі для ідентифікації прочитується серійний номер Mifare, це означає роботу без захисту картки від копіювання. Щоб правильно використовувати карти Mifare, треба зчитувати не серійний номер, а дані з деякого блоку пам'яті картки (secure sector), доступ до якого захищений ключами. Пам'ять карти Mifare складається з 16 секторів, кожен з яких поділений на 4 блоки.
Мал.1 Структура пам'яті Miare 1K Загальна пам'ять об'ємом 1 Кб розділена на 16 секторів. Кожен сектор розбитий на 4 блоки.
Помилка 2. Підключення зчитувача Wiegand-26.Ситуацію, коли з карти Mifare зчитується серійний номер, а сам зчитувач підключається до контролера через інтерфейс Wiegand-26, можна назвати типовою. Багато системах застосовується саме Wiegand-26. Але використання інтерфейсу Wiegand-26 для читання серійного номера Mifare 1K – це помилка, що призводить до появи в системі дублікатів номерів карток. Wiegand – простий дротовий інтерфейс зв'язку між пристроєм читання карти доступу та контролером, що широко застосовується в СКУД. Спочатку інтерфейс застосовувався в зчитувачах wiegand-карт, для магнітних карт використовувався clock-and-data. Потім wiegand перекочував до інших типів зчитувачів, у тому числі й магнітних карт. Через отримане свого часу поширення цей інтерфейс став стандартним де-факто. Пізніше магнітні карти витіснили безконтактними картами, проте інтерфейс був збережений незмінним. Існують такі різновиди інтерфейсу Wiegand: Wiegand-26 Wiegand-33 Wiegand-34 Wiegand-37 Wiegand-40 Wiegand-42 Wiegand- 26 – це найпоширеніший інтерфейс СКУД. Складається з 24 біт коду та 2 біт контролю на парність. 24 біти, які передаються Wiegand-26, - це 3 байти. Довжина серійного номера Mifare 1K – 4 байти. Для того щоб у системі взагалі не з'являлися дублікати номерів карток, серійний номер Mifare 1K слід зчитувати повністю, тобто всі 4 байти, а для цього треба використовувати інтерфейс Wiegand-42. Звичайно, правильніше взагалі не зчитуватисерійний номер картки (а звертатися до даних у захищеному секторі). Наведена вище ситуація описана як типова і найпоширеніша помилка при переході на карти Mifare.
Як зберегти Wiegand-26, уникнути дублювання номерів і захистити карту від підробкиНеобхідність зберегти інтерфейс Wiegand-26 диктується великою поширеністю контролерів, які застосовуються в системах контролю та управління доступом, в яких реалізовано саме Wiegand-26. При переході на карти Mifare цілком природно спробувати використовувати контролери, що вже є. Наявні контролери з Wiуgand-26 можна використовувати. Але щоб у СКУД не з'являлися дублікати номерів карток, замість серійного номера слід зчитувати дані із захищеного блоку Mifare 1K (secure sector). Розглянемо структуру решти 15 секторів Mifare (крім нульового сектора):
Мал. 3. Структура секторів 1-15. Блоки 0, 1 та 2 доступні для запису-читання. Блок 3 зберігає ключі доступу, створювані користувачем. Кожен сектор може бути захищений своїм ключем. Можна захищати окремо операції читання та запису. Можна захистити як читання, і запис.
Для того, щоб організувати зчитування даних із захищеного блоку, замовник СКУД має провести передемісію карток. На етапі передемісії карток у вибраний блок картки Mifare записуються унікальні номери, і найголовніше – читання даних із цього блоку захищається ключами (як це показано на рис. 4). Зчитувач також записує відповідний ключ, який пред'являється для читання вибраного блоку.
Мал. 4. У блок 0 сектора 1 записаний номер картки, що використовується в СКУД для ідентифікації власника картки. Ключ A змінено. Умову доступу (Access Condition) змінено на захист сектора від читання-запису. Це значення умовидоступу означає, що читання блоку пред'являється лише ключ A (ключ B не використовується). Прочитати карту можна лише, знаючи секретний ключ користувача. Записати в блок 0 більше нічого не можна.
В результаті виходить карта, яку неможливо прочитати поза цією СКУД і яку неможливо підробити. Зчитувачі, які читають дані із захищеного блоку, підключаються до контролера за інтерфейсом Wiegand-26 (є також версія інтерфейсу USB), що дозволяє зберегти наявні контролери, а замінити тільки зчитувачі. Такі зчитувачі (читають дані із захищеного блоку) широко представлені на ринку.
Приклад 1. Перехід від Em Marin до MifareПри використанні карт Em Marin через Wiegand-26 передається номер картки як фасиліті код картки та номер картки:
Замість наявних зчитувачів карток Em Marin підключаються зчитувачі Mifare з інтерфейсом Wiegand-26, які читають дані із захищеного блоку. В результаті в системі зберігається прийнята нумерація карт, зберігаються контролери, але картка доступу стає захищеною від підробки та несанкціонованого зчитування.
Приклад 2. Вирішення проблеми дублікатів номерів картокНагадаємо, що дублікати номерів карток з'являються, коли зчитувач Mifare підключається через Wiegand-26, а з картки зчитується серійний номер (UID). Для виключення цієї ситуації є просте рішення. Замість наявних зчитувачів карток Mifare (що читали UID) підключаються зчитувачі Mifare з інтерфейсом Wiegand-26, які читають дані із захищеного блоку.
1-й етап.Якщо в системі вже використовувалися карти Mifare, їх потрібно адаптувати для роботи з новими зчитувачами. Адаптація полягає у наступному. Наприклад, серійний номер картки Mifare виглядає, якF0A1D9D5, а контролер передається тільки частина цього номера у вигляді A1D9D5 (оскільки Wiegan-26 відсікає байт «F0»). На етапі передемісії карток у блок 0 сектора 1 (або інший блок на вибір користувача) записується та частина серійного номера картки, яка раніше потрапляла в контролер. Також у сектор блок 3 записуються ключі та умови доступу.
Мал. 5 .Сектор 1 Mifare карти із записаною частиною серійного номера картки Mifare, ключами та Умовою Доступу тільки на читання. (Для я наявних карт)
2-й етап.Попередня прошивка нових карт Mifare. Всі нові карти Mifare, які планується ввести в систему доступу, піддаються попередньому прошивці у вигляді запису ідентифікаційного номера в захищений блок пам'яті. Спочатку користувач системи створює базу нових номерів (3 байтних) для нових карт Mifare у тому вигляді, в якому він хоче бачити ці ідентифікаційні номери. Потім ці номери з бази записуються в нові карти, як показано на малюнку нижче: 3-байтний номер з бази записується в той же блок і сектор, як на етапі 1 (передемісії) (наприклад, 0 сектор сектора 1). У блок 3 записуються самі ключі і умови доступу, як у етапі 1.
Рис 6 .Сектор 1 Mifare карти із записаним номером з бази для нових карт Mifare , ключами та Умовою Доступу тільки на читання. (Для нових карт)
3-й етап.Нові зчитувачі програмуються на зчитування конкретного блоку і сектора, а також в зчитувачі записуються відповідні ключі доступу до сектора, що зчитується. Виконавши ці три етапи, замовник вирішує проблему дубльованих номерів. В результаті в системі зберігається прийнята нумерація карт, зберігаютьсяконтролери,але карта доступу стає захищеною від підробки та несанкціонованогозчитування. Треба зауважити, що для вирішення розглянутої в статті проблеми на ринку вже кілька років як існують зчитувачі карток Mifare, які працюють з будь-якою карткою ISO-14443A за серійним номером (Mifare в цій частині відноситься до цього стандарту), а з Mifare Standard 1K/4K працюють і в захищеному режимі, подібному до описаного. Підтримуються різноманітні інтерфейси. Крім того, існує технологія, що дозволяє замовнику на об'єкті перепрограмувати зчитувачі доступу на власні ключі доступу, не знімаючи їх зі стіни. Процедура ця може проводитись хоч щотижня. Для цього використовується утиліта емісії карт, що веде власну запаролену базу даних, що зберігає всі профілі безпеки та дані про всі емітовані карти.
Увага! Копіювання матеріалів, розміщених на даному сайті допускається лише з посиланням на ресурс http://www.tzmagazine.ru
Середня оцінка цієї статті: 5(голосів:4)Ваша оцінка: