Смарт-карты и их производные — обеспечение повышенной безопасности
Сегодня бесконтактные смарт-карты с частотой 13,56 МГц, к примеру, такие как Mifare, используются для обеспечения повышенной безопасности по сравнению с бесконтактными картами с частотой 125 кГц. Системы, использующие смарт-карты, легче использовать для приложений, выходящих за рамки электронного контроля доступа, таких как пункты выдачи , кафе компаний и так далее. Но ничто не стоит на месте. В настоящее время бурно развиваются и такие технологии как мобильный доступ. Но, всё по порядку.
Все ведущие поставщики смарт-карт соответствуют стандартам ISO. Карты стандарта ISO 14443 работают в диапазоне от нуля до четырех дюймов. В то же время, карты стандарта ISO 15693 могут обеспечивать больший диапазон, хотя скорость их считывания часто ниже. Существуют запатентованные, нестандартные технологии бесконтактных смарт-карт. К примеру, такие как Indala, могут привязать вас к зависимости от единственного поставщика и потенциально ограничительным структурам ценообразования и доставки. Только при определенных обстоятельствах вы захотите их рассмотреть.
MIFARE
Одним из распространенных терминов, с которыми вы познакомитесь при изучении смарт-карт, является «MIFARE», технология от NXP Semiconductors. Mifare обеспечивает двустороннюю защищенную связь между картой и считывателем. Mifare Classic была оригинальной версией технологии Mifare, используемой в бесконтактных картах. Она хранит данные доступа в одном из своих секторов. Затем шифрует связь между картой и считывателем, чтобы сделать невозможным или, по крайней мере, очень трудным клонирование карты.
К сожалению, недостаток безопасности Mifare Classic означает, что при наличии необходимых знаний и оборудования карту можно клонировать или создать другую из серии.
Mifare DESFire
Новейший из стандартов Mifare,- Mifare DESFire, включает в себя криптографический модуль на самой карте для добавления дополнительного уровня шифрования к транзакции между картой и считывателем. Это один из самых высоких стандартов безопасности карт, доступных в настоящее время. Таким образом, MIFARE DESFire protection идеально подходит для продаж поставщикам, желающим использовать защищенные смарт-карты с несколькими приложениями в управлении доступом, схемах общественного транспорта или приложениях для электронных платежей с замкнутым циклом. Они полностью соответствуют требованиям к быстрой и высокозащищенной передаче данных, гибкой организации памяти и обеспечивают взаимодействие с существующими инфраструктурами.
Достаточно сказать, что MIFARE DESFire стала эталоном бесконтактной цифровой технологии RFID для смарт-карт. Как и в случае с бесконтактными картами, вам также необходимо убедиться, что считыватели соответствуют стандарту связи, такому как OSDP (Open Supervised Device Protocol) или Wiegand.
Существует два основных типа бесконтактных смарт-карт. Бесконтактная смарт-карта clamshell — это карта, совместимая с ISO14443, с многобайтовой памятью. Конечный пользователь может добавить больше памяти. Бесконтактная смарт-карта ISO — это карта, совместимая с ISO14443, также с многобайтовой памятью. Конечный пользователь также может сделать заказ с большим объемом памяти. Изготовленный из глянцевого ПВХ, он подходит для сублимационной печати краской. Брелоки для ключей также доступны в технологии смарт-карт.
Еще одной ценной опцией является Valid ID, уникальная функция защиты от несанкционированного доступа для бесконтактных считывателей смарт-карт, карточек и меток. Встроенный, он добавляет еще один уровень аутентификации и обеспечения целостности к традиционным смарт-картам Mifare. Действительный идентификатор помогает убедиться в том, что конфиденциальные данные доступа, запрограммированные на карте или бирке, действительно являются подлинными, а не поддельными.
Мобильный доступ — Переход к следующему шагу
Мобильные учетные данные — это версии традиционных RFID-смарт-карт и меток на базе смартфонов. Мобильные учетные данные позволяют использовать смартфоны, такие как Apple iPhone® и ряд устройств Google Android®, в качестве электронных учетных данных для контроля доступа.
Пользователям, больше не нужны различные карты-ключи для перемещения по объекту. Вместо этого на iPhone или Android-смартфоне человека, который он носит с собой, куда бы он ни пошел, будут указаны учетные данные, необходимые для входа в любую систему авторизованного доступа. Фактически, такая система может быть установлена не только на объекте, но и в их домах, автомобилях и т.д.
Обычно называемые мобильными, программными или виртуальными, учетные данные для контроля доступа на базе смартфона являются еще одним вариантом средств идентификации, объединяющим традиционные учетные данные для определения местоположения и смарт-карты для поддержки пользователя при перемещении по охраняемому объекту. Учетные данные для мобильного доступа предоставляют ряд преимуществ по сравнению с традиционными идентификаторами. Они более удобны, дешевле и более безопасны. На одном смартфоне легко добавить несколько учетных данных.
Они более удобны, потому что у пользователя всегда есть свои учетные данные, и он уже носит их с собой, куда бы он ни пошел. Учетные данные передаются конечному пользователю либо в бумажном, либо в электронном виде, например, по электронной почте или в текстовом сообщении. При этом, собственники систем управления доступом освобождаются от закупки, учета и замены физических идентификаторов.
______________________________________________
Как всегда, у новой технологии есть типичные недостатки. Прежде чем перейти на виртуальные учетные данные, следующая волна пользователей запросила решения для смартфонов, которые устранили многие проблемы, связанные с их оригинальными приложениями для смартфонов и аппаратным обеспечением, главной из которых были сложные методы внедрения. Новые решения предоставляют более простой способ распространения учетных данных с помощью функций, которые позволяют пользователю зарегистрироваться только один раз и не требуют никаких других учетных записей портала или функций активации. Удалив эти дополнительные раскрытия информации, поставщики устранили проблемы конфиденциальности, которые замедляли принятие систем, предоставляющих нам учетные данные для мобильного доступа.
Как и традиционные идентификаторы, современные программные учетные данные могут поддерживать 26-разрядный формат Wiegand наряду с пользовательскими форматами Wiegand, магнитной полосой ABA Track II и последовательными форматами данных, такими как OSDP. Они могут быть заказаны с конкретными кодами предприятия и идентификационными номерами и доставлены в точной последовательности заказанных номеров без пробелов и недопоставок.
Надежность
Многие компании по-прежнему считают, что с картой им безопаснее, но если все сделано правильно, мобильный телефон может стать гораздо более безопасным вариантом с гораздо бо́льшим количеством полезных функций. Современные телефоны обеспечивают сбор и сравнение биометрических данных, а также широкий спектр коммуникационных возможностей — от сотовой связи и Wi-Fi до Bluetooth LE и NFC.
Итог — как мобильные учетные данные, как Bluetooth, так и NFC более безопасны, чем стандартные идентификаторы. Разница в дальности считывания дает очень практичный результат с точки зрения безопасности. Установка считывателя Bluetooth на защищенной стороне двери позволит установить NFC на незащищенной стороне.
Что касается безопасности, то программные учетные данные, по определению, уже являются многофакторным решением. Мобильные учетные данные остаются защищенными параметрами безопасности смартфона, такими как биометрические данные и PIN-коды. Как только для доступа к телефону вводятся биометрические данные, PIN-код или пароль, пользователь автоматически настраивает двухфакторную проверку контроля доступа – «то, что вы знаете, и то, что у вас есть; или то, что у вас есть, и вторая форма того, что у вас есть».
После установки мобильные учетные данные не могут быть установлены на другой смартфон. Думайте об этом как о программных учетных данных, надежно привязанных к смартфону. Если смартфон утерян, поврежден или украден, процесс должен быть таким же, как и при использовании традиционных карт физического доступа. Его следует немедленно деактивировать в программном обеспечении для управления контролем доступа — с выдачей новых учетных данных в качестве замены.
Хочу подчеркнуть, что никто не может получить доступ к учетным данным, не имея доступа к телефону. Если телефон не работает, учетные данные также не будут работать. Учетные данные работают так же, как и любое другое приложение на телефоне. Телефон должен быть “включен”.
___________________________
Ведущие ридеры дополнительно используют шифрование AES при передаче данных. Поскольку сертифицированный стандарт компьютерного интерфейса Common Criteria EAS5+ обеспечивает повышенную аппаратную кибербезопасность, эти считыватели устойчивы к скиммингу, подслушиванию и повторным атакам.
Так же важно проверить, требует ли новая программная система раскрытия каких-либо конфиденциальных персональных данных конечного пользователя. Все, что необходимо для активации новых систем, — это номер телефона смартфона и ничего больше. Действительно, конфиденциальность имеет значение.
Учетные данные для смартфонов продаются таким же образом, как и традиционные бесконтактные смарт-карты с частотой 13,56 МГц — от существующего производителя к дилеру и конечным пользователям. Для дилера учетные данные со смартфона будут более удобными, менее дорогостоящими и более безопасными и могут быть доставлены лично или в электронном виде. Они быстрее выставляют счета, не имея ничего для инвентаризации или кражи. В большинстве случаев программные учетные данные могут быть интегрированы в существующую систему контроля доступа. Распространение также может осуществляться с помощью независимого программного обеспечения для контроля доступа.
Будьте умны — Убедитесь, что Ваша новая система «Умная»!
И последний бонус — если ваша новая система использует протокол Open Supervised Device Protocol (OSDP) Ассоциации индустрии безопасности (SIA), она также будет легко взаимодействовать с панелями управления или другими системами управления безопасностью, способствуя взаимодействию между устройствами безопасности, будь то с помощью мобильного устройства или карты.
С OSDP безопасность является неотъемлемой частью общего решения. OSDP находится не на одной арене с Вигандом,- это другой вид спорта и страна. Просто проверьте источник OSDP. Интеграторы могут не только предоставить решение OSDP, которое требуется заказчику, но и, используя списки продуктов, проверенных OSDP, интеграторы также могут подтвердить, что продукт был протестирован в лабораторных условиях, которые обрабатывают все необходимые сообщения, сводя к минимуму любые сбои на месте заказчика.
На сегодняшний день в списке устройств, прошедших проверку OSDP, более 25 устройств от семи различных производителей. Хотя это и не кажется чем-то большим, на самом деле так оно и есть. Многие из этих поставщиков являются производителями оборудования, имеющими среди своих клиентов множество устройств с частной маркировкой. Среди них поставщики компонентов, устройств, решений и систем. В некоторых из них представлены несколько брендов. Таким образом, даже при таком, на первый взгляд, узком перечне существует широкий выбор средств контроля доступа для обеспечения безопасности. Интеграторам будет легко выбрать продукты, которые они смогут просто интегрировать.