В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
На рынке присутствует несколько альтернативных решений идентификации, самое распространенное из которых – технология MIFARE, ей и посвящена статья.
Технология MIFARE (MIkron FARE-collection System) Standard 1K была разработана в 1994 г. австрийской фирмой Mikron, она стала основой для создания семейства RFID-устройств с рабочей частотой 13,56 МГц. Появление технологии было обусловлено необходимостью повышения уровня безопасности доступа и защиты карт от подделки и клонирования. Технология MIFARE соответствует требованиям стандарта ISO/IEC 14443 Type A, единственным владельцем торговой марки MIFARE является компания NXP Semiconductors (Нидерланды).
Отличия и защита
Под маркой MIFARE выпускается семейство чипов Smart-карт и устройств для считывания содержащейся в них информации. Взаимодействие карта–считыватель защищено использованием криптоалгоритмов от Crypto-1 до 3DES и AES, что делает его значительно надежнее, чем при использовании EM-Marine.
Микросхема MIFARE довольно мала и может одинаково успешно встраиваться как в пластиковую карточку, так и в брелок, браслет и т.п. Выпускаются также метки MIFARE с клейкой подложкой, позволяющие превратить что угодно в бесконтактную Smart-карту.
Чипы MIFARE дают возможность не только считывать, но и многократно перезаписывать информацию во внутреннюю память, что и является одним из основных их отличий от чипов EM-Marine.
Структура памяти чипа MIFARE имеет фиксированный объем и разделена на некоторое количество секторов, каждый из которых состоит из нескольких блоков данных и одного блока хранения ключей. Блоки данных становятся доступными для чтения или записи только при условии успешной авторизации по ключу. Ключи генерируются пользователем, и каждый сектор может иметь свои ключи доступа. Используя разные ключи, можно организовать разные права доступа к одному и тому же блоку данных. При записи разной информации в разные блоки появляется возможность применения одной и той же MIFARE-карты в разных системах, например в качестве пропуска на территорию, проездного билета и платежного средства одновременно.
Единственной незащищенной информацией этих чипов является их UID (серийный номер), который прошивается на заводе и не подлежит последующему изменению.
Линейка чипов
Компания NXP Semiconductors разработала несколько разновидностей микросхем MIFARE, отличающихся рядом параметров, и активно использует их как в СКУД, так и в системах учета рабочего времени, платного доступа, платежных системах и социальных проектах. Рассмотрим несколько вариантов, наиболее подходящих, на мой взгляд, для использования в СКУД. Карты MIFARE Classic получили наибольшую распространенность в линейке, но из-за невысокой степени защиты криптоалгоритма Crypto-1 существует возможность их подделки. Чипы MIFARE Plus и MIFARE DESFire же используют общепризнанные стойкие шифры AES и 3DES. Поэтому на объектах, где действуют повышенные требования к уровню безопасности, рекомендуется применение карт MIFARE Plus.
Помимо описанных микросхем в линейке MIFARE присутствуют еще несколько решений, ориентированных для использования в качестве идентификатора СКУД, – это MIFARE ID и MIFARE Mini, которые являются по сути урезанным по количеству секторов вариантом MIFARE Classic.
Поддельные чипы
MIFARE является интеллектуальной собственностью и зарегистрированной торговой маркой компанией NXP, поэтому только она имеет право выпускать чипы под этим наименованием. Существуют также производители (в основном китайские), выпускающие поддельные чипы, технически воспроизводящие работу MIFARE, например Fudan, Belling, ISSI, HuaHong и др. Такие карты имеют более низкую стоимость (порядка 10 руб.) и могут отличаться нестабильной работой.
В системах с использованием карт MIFARE идентификация может производиться по UID карты или по защищенному паролем значению, записанному в память карты. В первом варианте память карты не задействуется, и ни о какой защите данных говорить нельзя, поскольку UID MIFARE открыт, легко узнаваем и копируем так же, как и у EM-Marine.
Для настройки защищенного режима нужно, чтобы его поддерживала пара карта–считыватель. Только такая совокупность технических средств обеспечивает должную защиту информации. В случае использования других считывателей, равно как и поддерживающих MIFARE, но не настроенных после покупки, будет задействовано только чтение UID карты. Настройка считывателя включает в себя сообщение ему реквизитов доступа к памяти карты – информации, откуда из памяти читать идентификационные данные, какой ключ (пароль) для этого использовать. В зависимости от марки MIFARE-считывателя данная настройка выполняется либо предъявлением считывателю специальной карты программирования (мастер-карты), либо проводным подключением к компьютеру со специально установленным ПО. Создание мастер-карт, равно как и инициализация (эмиссия) карт доступа, осуществляется с помощью настольного USB-считывателя, подключенного к компьютеру со специальным ПО, позволяющим выполнить тонкую настройку используемых блоков данных и ключей шифрования. Поставка карт MIFARE от производителя осуществляется также с открытыми для чтения/записи блоками памяти и выключенной криптозащитой, поэтому процесс эмиссии является необходимым для работы системы в защищенном режиме.
Для оценки существующих на рынке считывателей возьмем за основу типы карт, работу с которыми они поддерживают, и глубину работы с MIFARE. Цены приведены из расчета на 1 считыватель на октябрь 2015 г.
Для расширения функциональности СКУД считыватели, поддерживающие работу с MIFARE-картами, могут дополнительно иметь: поддержку других форматов карт, считыватель биометрического признака, например отпечатка пальца, поддержку NFC или кодонаборную клавиатуру.
При помощи специального ПО в сектор карты MIFARE записывается идентификатор. Доступ к этому сектору защищается уникальным ключом, который передается каждому из считывателей, установленных на объекте. В момент поднесения карты дверной считыватель обращается к соответствующему сектору памяти карты, предъявляя уникальный ключ. При совпадении ключей происходит считывание данных из памяти карты. Считанный идентификатор передается в контроллер, который, в свою очередь, принимает решение о предоставлении доступа.
NFC
Компания NXP Semiconductors является одним из основных разработчиков технологии NFC (Near Field Communication), повсеместно используемой в мобильных устройствах – телефонах и планшетах. При установке на устройство специального ПО, поставляемого некоторыми производителями СКУД, можно использовать его в качестве считывателя MIFARE-
карты. Это дает возможность организовать мобильное рабочее место, на котором можно просматривать информацию о сотрудниках, фиксировать их проходы.
Биометрия
Применение карты MIFARE позволяет организовать в СКУД, использующих идентификацию по биометрическому признаку, хранение шаблона в памяти самой карты. Например, для дактилоскопических технологий идентификации объем памяти карты MIFARE позволяет хранить шаблоны нескольких отпечатков пальцев, при этом пропадает необходимость хранить шаблоны в памяти считывателя или обращаться за ними к базе данных системы. Монтаж и внедрение таких систем происходят быстрее и проще.
Беспроводные замковые системы
На базе беспроводных замковых систем и карт MIFARE существует возможность организации полноценной беспроводной СКУД. Во внутреннюю память карты записывается информация о правах доступа к конкретной точке, оборудованной беспроводным замком, а при совершении прохода соответствующее событие также записывается в память карты. В комбинированным системах, в которых реализована поддержка беспроводных замков наряду с обычными контроллерами, карты MIFARE будут универсальными идентификаторами для всех типов устройств.
Для перехода на использование карт MIFARE не нужно заменять весь комплекс устройств СКУД, замене подлежат только считыватели и карты доступа. При выборе считывателя следует понимать, какой уровень безопасности на объекте нужно организовать и какие карты будут при этом использоваться.
Некоторые производители предлагают в качестве миграционного решения для перехода от EM-Marine к MIFARE гибридные считыватели, однако эта продукция мало распространена и заметно дороже, что в пересчете на весь объект может оказаться экономически невыгодно.
Вывод напрашивается сам собой – технология MIFARE со временем стала распространеннее и доступнее, стоимость карт и считывателей в значительной степени приблизилась к стоимости устройств EM-Marine, а высокий уровень защиты позволяет смело переходить на применение MIFARE.
Опубликовано: Журнал "Системы безопасности" #5, 2015
Посещений: 15334
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций