Первая тенденция в сфере безопасной идентификации связана с появлением новых принципов цифровой безопасности в физическом доступе.
Если посмотреть, как эволюционировали доверенные идентификаторы и на каком этапе развития они находятся сейчас, то увидим, что сегодня мы используем разные носители идентификаторов: ключи, радиочастотные карты, доверенные порты для самых разных ситуаций: дома, в офисе, в гараже, гостинице и т. д.
Бесконтактные карты доступа первого поколения, работающие на частоте 125 кГц, появились на рынке 25 лет назад. Стоит отметить, что на сегодняшний день эта технология не обеспечивает должной защиты. И с учетом стремительно развивающихся технологий взлома сделать копию такой карты не представляет труда.
Смарт-карты второго поколения использовали частоту 13,56 мГц, а также шифрование, что существенно повысило безопасность.
В третьем поколении появились новые смарт-карты с повышенным уровнем безопасности. Добавились цифровая подпись и привязка к носителю.
Четвертое поколение – это полностью цифровые идентификаторы, которые используются на мобильных устройствах.
Ключевое преимущество цифровых идентификаторов в том, что для идентификации можно использовать только одно устройство.
Возможность использовать одно устройство (смартфон) для разных СКУД обеспечивает дополнительное удобство пользователя. Например, в случае необходимости доступа в региональные офисы компании с децентрализованной системой безопасности.
И наоборот, для разграничения прав доступа, срочной или плановой смены паролей или блокировки доступа – нет необходимости в присутствии пользователя в офисе компании: все происходит удаленно. Кроме того, компания не несет дополнительных расходов на приобретение и персонализацию карт доступа.
Другое преимущество цифровых идентификаторов состоит в том, что их можно довольно легко связывать с владельцами.
Цифровые идентификаторы хранятся в мобильных устройствах. Улучшенная привязка пользователей добавлением двойной аутентификации позволяет при необходимости заставить пользователя у определенной двери подтвердить свою идентичность.
Таким образом, гарантируется, что никто не заберет чужую карту доступа.
Чем выделяются цифровые идентификаторы с точки зрения безопасности? Их безопасность не зависит от чипа, что позволяет реализовывать их безопасным образом в разных устройствах. Кроме того, цифровые идентификаторы могут использовать разные способы переноса данных.
Раньше каждая радиочастотная смарт-карта использовала собственную частоту и свой стандарт. Цифровые идентификаторы в этом не нуждаются. Они могут использовать любые каналы связи, позволяя переносить информацию по каналам, которые, по сути, не является достаточно безопасными, например, по Bluetooth Smart. Перенос идентификаторов, в которые включены элементы защиты, делает перенос безопасным.
Регулировка дальности передачи мобильного идентификатора определяется, исходя из показателя уровня принимаемого сигнала RSSI, который, в свою очередь сильно зависит от мощности передатчика и местоположения мобильного устройства относительно считывателя. В зависимости от типа точки прохода рекомендует настраивать дальность передачи мобильного идентификатора.
Рекомендуемые параметры для разных точек прохода (технология BLE):
Для использования смартфона в СКУД пользователю нужно лишь установить мобильное приложение Sigur на любой смартфон или планшет (поддерживается iOS и Android) и получить виртуальный идентификатор.
Хранение и выдачу идентификаторов контролирует только владелец системы: управление осуществляется из интерфейса Sigur также просто, как и бесконтактными картами, причем бесплатно и без использования сторонних облачных сервисов. Выдача идентификатора пользователю производится практически в 1 клик, равно как и внесение его в систему.
В Sigur генерация виртуального идентификатора производится на стороне устройства, встроенные механизмы которого обеспечивают уникальность ID. Получается, что идентификатор - это и есть само устройство, то есть непосредственно в СКУД ID не генерируется, поэтому не возникает необходимости его отправки на мобильное устройство, что является одним из преимуществ такой схемы реализации.
На само устройство отправляется только электронное письмо от сервера Sigur, содержащее ссылку для регистрации идентификатора в системе.
В результате процесс регистрации для пользователя прост и удобен - почтовое приложение есть на любом устройстве, все умеют им пользоваться, по ссылке можно перейти, пользуясь любым веб-браузером.
При переходе по ссылке формируется ответное письмо серверу, в котором содержится вся необходимая информация об устройстве, после чего в СКУД автоматически формируется связь между объектом доступа (постоянный сотрудник, посетитель) и его идентификатором.
Вся информация пересылается в зашифрованном виде.
Стоимость внедрения системы Sigur равна стоимости приобретения считывателей, так как идентификаторы предоставляются бесплатно.
В случае использования смартфона в качестве идентификатора, существуют различия в работе Android-смартфонов и iPhone.
Дальнейшая работа идентична работе с идентификаторами, считываемыми с обычных физических карт - в системе настраиваются группы доступа, расписания и привилегии.
Удобной особенностью является то, что можно заранее узнать, какой код поступит в систему при прикладывании смартфона к считывателю. При запуске приложения Parsec Card Emulator отобразится восьмибайтный код. В систему ParsecNET поступают первые четыре байта, но в обратном порядке. То есть старший байт, указанный в программе будет отображаться в системе как младший. Например, если код, сгенерированный в приложении Parsec Card Emulator выглядит 11.22.33.44.55.66.77.88, то в СКУД поступит код 44.33.22.11.
Современные мобильные операционные системы, такие как Android и iOS, поддерживают высокий уровень безопасности. Приложение, эмулирующее карту доступа, работает в изолированной программной среде, исключая возможность различных манипуляций, несанкционированного доступа или изменения данных другими приложениями. Кроме того, в операционной системе используются цифровая подпись и шифрование мобильных идентификаторов.
По аналогии с физическими картами, окончательное решение о предоставлении доступа в здание принимает локальная СКУД. В случае потери или кражи мобильного средства в системе контроля доступа можно заблокировать права доступа для этого устройства, для предотвращения прохода посторонних.
Помимо этого, если говорить о смартфонах с iOS, для минимизации рисков в случае потери устройства передача кода идентификатора осуществляется только после разблокировки смартфона вводом PIN-кода, Touch ID или Face ID. На смартфонах Android код передается в случае,если запущено приложении Parsec Card Emulator и смартфон не находится в спящем режиме, например активирован экран.
При использовании виртуального идентификатора вместо обычной карты, затраты на выпуск и персонализацию карт доступа полностью отсутствуют.
Интеграция мобильного идентификатора в действующую систему СКУД ParsecNET, или любую другую, не потребует каких-либо дополнительных усилий. Для этого необходимо выполнение всего двух условий:
В настоящее время различные идентификаторы и форматы считывания обладают некоторыми неудобствами: цена, криптостойкость, механические повреждения. Поэтому компания ProxWay выбрала в качестве канала передачи данных между считывателями и мобильными устройствами канал Bluetooth.
Концепция мобильного доступа ProxWay заключается в следующих аспектах:
Мобильные идентификаторы сопоставимы со стоимостью карт EM-marine.В СКУД ProxWay лицензии мобильных идентификаторов хранятся в настольном считывателе ProxWay PW Desktop BLE.
Считыватель является мультиформатным, с возможностью записи информации на карты MIFARE в защищенную область памяти в режимах шифрования SL1 (CRYPTO-1), SL3 (AES), а также с использованием прикладного алгоритма шифрования «Диверсифицированные ключи».
Всего в настольный считыватель можно загрузить 16 пулов мобильных идентификаторов. Каждый пул может содержать до 65 535 лицензий. Каждый пул является динамическим, то есть, нет необходимости приобретать сразу максимальное количество идентификаторов. Можно их приобретать по мере надобности.
Минимальное количество лицензий для приобретения – 10 мобильных идентификаторов. При этом, следует отметить, что в заводском исполнении в настольный считыватель предустановлены 5 мобильных идентификаторов, которые входят в стоимость считывателя. Со считывателем поставляется SDK, для быстрой интеграции со сторонними СКУД. Существуют 2 способа интеграции: использовать COM – порт, либо использовать JSON (текстовый формат обмена, основанный на javascript).
Передача идентификатора от телефона к считывателю осуществляется в зашифрованном виде.
Алгоритм шифрования канала передачи данных BLE соответствует ГОСТ 28147-89, согласно которому максимальная длина криптографического ключа составляет 256 бит, что существенно повышает уровень безопасности.
Интеграция мобильного идентификатора в действующую систему СКУД ParsecNET, или любую другую, не потребует каких-либо дополнительных усилий. Для этого необходимо выполнение всего двух условий: