Мобильные идентификаторы в СКУД

От карт доступа к мобильным (виртуальным) идентификаторам. Выдача и отзыв. Настройка прав доступа. Лицензирование

Эволюция идентификаторов. От карт доступа к мобильной идентификации

Эволюция идентификаторов. От карт доступа к мобильной идентификации

© Иллюстрация презентации Мобильный доступ Proxway, компания ГК Эликс

Первая тенденция в сфере безопасной идентификации связана с появлением новых принципов цифровой безопасности в физическом доступе.

Если посмотреть, как эволюционировали доверенные идентификаторы и на каком этапе развития они находятся сейчас, то увидим, что сегодня мы используем разные носители идентификаторов: ключи, радиочастотные карты, доверенные порты для самых разных ситуаций: дома, в офисе, в гараже, гостинице и т. д.

Бесконтактные карты доступа первого поколения, работающие на частоте 125 кГц, появились на рынке 25 лет назад. Стоит отметить, что на сегодняшний день эта технология не обеспечивает должной защиты. И с учетом стремительно развивающихся технологий взлома сделать копию такой карты не представляет труда.

Смарт-карты второго поколения использовали частоту 13,56 мГц, а также шифрование, что существенно повысило безопасность.

В третьем поколении появились новые смарт-карты с повышенным уровнем безопасности. Добавились цифровая подпись и привязка к носителю.

Четвертое поколение – это полностью цифровые идентификаторы, которые используются на мобильных устройствах.

Ключевое преимущество цифровых идентификаторов в том, что для идентификации можно использовать только одно устройство.

Удобство, Подтверждение личности, Безопасность

Удобство

Возможность использовать одно устройство (смартфон) для разных СКУД обеспечивает дополнительное удобство пользователя. Например, в случае необходимости доступа в региональные офисы компании с децентрализованной системой безопасности.

И наоборот, для разграничения прав доступа, срочной или плановой смены паролей или блокировки доступа – нет необходимости в присутствии пользователя в офисе компании: все происходит удаленно. Кроме того, компания не несет дополнительных расходов на приобретение и персонализацию карт доступа.

Подтверждение личности

Другое преимущество цифровых идентификаторов состоит в том, что их можно довольно легко связывать с владельцами.

Цифровые идентификаторы хранятся в мобильных устройствах. Улучшенная привязка пользователей добавлением двойной аутентификации позволяет при необходимости заставить пользователя у определенной двери подтвердить свою идентичность.

Таким образом, гарантируется, что никто не заберет чужую карту доступа.

Безопасность

Чем выделяются цифровые идентификаторы с точки зрения безопасности? Их безопасность не зависит от чипа, что позволяет реализовывать их безопасным образом в разных устройствах. Кроме того, цифровые идентификаторы могут использовать разные способы переноса данных.

Раньше каждая радиочастотная смарт-карта использовала собственную частоту и свой стандарт. Цифровые идентификаторы в этом не нуждаются. Они могут использовать любые каналы связи, позволяя переносить информацию по каналам, которые, по сути, не является достаточно безопасными, например, по Bluetooth Smart. Перенос идентификаторов, в которые включены элементы защиты, делает перенос безопасным.

Дальность действия мобильных идентификаторов для разных типов точек прохода

Регулировка дальности передачи мобильного идентификатора определяется, исходя из показателя уровня принимаемого сигнала RSSI, который, в свою очередь сильно зависит от мощности передатчика и местоположения мобильного устройства относительно считывателя. В зависимости от типа точки прохода рекомендует настраивать дальность передачи мобильного идентификатора.

Рекомендуемые параметры для разных точек прохода (технология BLE):

  • Шлагбаум - до 10 м
  • Входная дверь - до 80 см
  • Офисная дверь (тип стен: гипсокартон, в случаях, когда в считыватель встроен металлодетектор) - до 20 см

Мобильные идентификаторы в СКУД. Обзор продуктов

Виртуальный идентификатор для смартфонов от Sigur

Описание

Виртуальный идентификатор для смартфонов от Sigur

Для использования смартфона в СКУД пользователю нужно лишь установить мобильное приложение Sigur на любой смартфон или планшет (поддерживается iOS и Android) и получить виртуальный идентификатор.

Хранение и выдачу идентификаторов контролирует только владелец системы: управление осуществляется из интерфейса Sigur также просто, как и бесконтактными картами, причем бесплатно и без использования сторонних облачных сервисов. Выдача идентификатора пользователю производится практически в 1 клик, равно как и внесение его в систему.

Механизм получения виртуального идентификатора

В Sigur генерация виртуального идентификатора производится на стороне устройства, встроенные механизмы которого обеспечивают уникальность ID. Получается, что идентификатор - это и есть само устройство, то есть непосредственно в СКУД ID не генерируется, поэтому не возникает необходимости его отправки на мобильное устройство, что является одним из преимуществ такой схемы реализации.

На само устройство отправляется только электронное письмо от сервера Sigur, содержащее ссылку для регистрации идентификатора в системе.

В результате процесс регистрации для пользователя прост и удобен - почтовое приложение есть на любом устройстве, все умеют им пользоваться, по ссылке можно перейти, пользуясь любым веб-браузером.

При переходе по ссылке формируется ответное письмо серверу, в котором содержится вся необходимая информация об устройстве, после чего в СКУД автоматически формируется связь между объектом доступа (постоянный сотрудник, посетитель) и его идентификатором.

Вся информация пересылается в зашифрованном виде.

Механизм получения виртуального идентификатора, настройка прав доступа, отзыв и блокировка виртуального идентификатора

  • На одном смартфоне может храниться несколько идентификаторов, что позволяет при помощи одного устройства получать доступ на разные объекты.
  • Настройка режимов доступа и других параметров сотрудника с мобильным идентификатором в Sigur ведется так же, как и с обычными бесконтактными картами.
  • Отзыв идентификаторов аналогичен закрытию доступа для карт, например при истечении срока действия пропуска сотруднику просто будет отказано в доступе.

Стоимость мобильных идентификаторов Sigur

Стоимость внедрения системы Sigur равна стоимости приобретения считывателей, так как идентификаторы предоставляются бесплатно.


Виртуальные идентификаторы Parsec

Выдача виртуальных идентификаторов Parsec

В случае использования смартфона в качестве идентификатора, существуют различия в работе Android-смартфонов и iPhone.

  • На iPhone с поддержкой ApplePay в целях безопасности в систему передается Device Account Number (номер виртуальной карты, не совпадающий с номером банковской карты).
  • На Android код виртуального идентификатора автоматически генерируется в приложении Parsec Card Emulator. Таким образом, зная код, отображаемый в приложении, можно занести идентификатор пользователя в систему ParsecNET еще до прибытия посетителя на объект.

Дальнейшая работа идентична работе с идентификаторами, считываемыми с обычных физических карт - в системе настраиваются группы доступа, расписания и привилегии.

Удобной особенностью является то, что можно заранее узнать, какой код поступит в систему при прикладывании смартфона к считывателю. При запуске приложения Parsec Card Emulator отобразится восьмибайтный код. В систему ParsecNET поступают первые четыре байта, но в обратном порядке. То есть старший байт, указанный в программе будет отображаться в системе как младший. Например, если код, сгенерированный в приложении Parsec Card Emulator выглядит 11.22.33.44.55.66.77.88, то в СКУД поступит код 44.33.22.11.

Безопасность мобильных идентификаторов Parsec

Современные мобильные операционные системы, такие как Android и iOS, поддерживают высокий уровень безопасности. Приложение, эмулирующее карту доступа, работает в изолированной программной среде, исключая возможность различных манипуляций, несанкционированного доступа или изменения данных другими приложениями. Кроме того, в операционной системе используются цифровая подпись и шифрование мобильных идентификаторов.

По аналогии с физическими картами, окончательное решение о предоставлении доступа в здание принимает локальная СКУД. В случае потери или кражи мобильного средства в системе контроля доступа можно заблокировать права доступа для этого устройства, для предотвращения прохода посторонних.

Помимо этого, если говорить о смартфонах с iOS, для минимизации рисков в случае потери устройства передача кода идентификатора осуществляется только после разблокировки смартфона вводом PIN-кода, Touch ID или Face ID. На смартфонах Android код передается в случае,если запущено приложении Parsec Card Emulator и смартфон не находится в спящем режиме, например активирован экран.

Стоимость внедрения виртуальных идентификаторов Parsec

При использовании виртуального идентификатора вместо обычной карты, затраты на выпуск и персонализацию карт доступа полностью отсутствуют.

Интеграция в действующие системы безопасности

Интеграция мобильного идентификатора в действующую систему СКУД ParsecNET, или любую другую, не потребует каких-либо дополнительных усилий. Для этого необходимо выполнение всего двух условий:

  • наличие считывателей, поддерживающих работу со смартфонами;
  • смартфон с ОС Android с установленным приложением Parsec Card Emulator или iPhone с поддержкой ApplePay

Мобильные идентификаторы ProxWay

Описание

В настоящее время различные идентификаторы и форматы считывания обладают некоторыми неудобствами: цена, криптостойкость, механические повреждения. Поэтому компания ProxWay выбрала в качестве канала передачи данных между считывателями и мобильными устройствами канал Bluetooth.

Концепция мобильного доступа ProxWay заключается в следующих аспектах:

Лицензирование мобильных идентификаторов

Мобильные идентификаторы сопоставимы со стоимостью карт EM-marine.В СКУД ProxWay лицензии мобильных идентификаторов хранятся в настольном считывателе ProxWay PW Desktop BLE.

Считыватель является мультиформатным, с возможностью записи информации на карты MIFARE в защищенную область памяти в режимах шифрования SL1 (CRYPTO-1), SL3 (AES), а также с использованием прикладного алгоритма шифрования «Диверсифицированные ключи».

Всего в настольный считыватель можно загрузить 16 пулов мобильных идентификаторов. Каждый пул может содержать до 65 535 лицензий. Каждый пул является динамическим, то есть, нет необходимости приобретать сразу максимальное количество идентификаторов. Можно их приобретать по мере надобности.

Минимальное количество лицензий для приобретения – 10 мобильных идентификаторов. При этом, следует отметить, что в заводском исполнении в настольный считыватель предустановлены 5 мобильных идентификаторов, которые входят в стоимость считывателя. Со считывателем поставляется SDK, для быстрой интеграции со сторонними СКУД. Существуют 2 способа интеграции: использовать COM – порт, либо использовать JSON (текстовый формат обмена, основанный на javascript).

Каким образом обеспечивается безопасность кода при передаче от смартфона к считывателю?

Передача идентификатора от телефона к считывателю осуществляется в зашифрованном виде.

Алгоритм шифрования канала передачи данных BLE соответствует ГОСТ 28147-89, согласно которому максимальная длина криптографического ключа составляет 256 бит, что существенно повышает уровень безопасности.

Интеграция в действующие системы безопасности

Интеграция мобильного идентификатора в действующую систему СКУД ParsecNET, или любую другую, не потребует каких-либо дополнительных усилий. Для этого необходимо выполнение всего двух условий:

  • наличие считывателей, поддерживающих работу со смартфонами;
  • смартфон с ОС Android с установленным приложением Parsec Card Emulator или iPhone с поддержкой ApplePay

Материалы по теме

Новости

Статьи