Карты доступа: критерии выбора | Журнал ТЗ | Статьи, обзоры, аналитические материалы

Автор: Олег БЫКОВ, кандидат технических наук, компания NCS
Карты доступа: критерии выбора
Система контроля и управления доступом (СКУД) – совокупность аппаратных и программных средств, направленных на ограничение и регистрацию доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.
Из этого определения следует, что СКУД выполняет две задачи:
– ограничение доступа;
– регистрация доступа.
Ограничение доступа означает предотвращение проникновения нежелательных лиц на охраняемую территорию и помещения.
Регистрация доступа означает распознавание того лица, которое получает доступ и фиксацию времени предоставления доступа.
Выбирать тип карты доступа следует исходя из приоритета той или иной функции СКУД. Почему – рассмотрим далее.
Ограничение доступа подразумевает, что СКУД будет обеспечивать:
– защиту объекта от несанкционированного доступа;
– сохранность материальных и интеллектуальных ценностей.
Обеспечивает это система доступа с помощью своих компонентов или частей, основными из которых являются:
• Контроллер
• Считыватель
• Карта доступа
• Программное обеспечение
Надежность любой системы (и СКУД в частности) определяется надежностью ее самого слабого элемента. Поэтому все перечисленные выше компоненты СКУД должны обладать равной надежностью и в равной степени обеспечивать безопасность объекта. Если какой-либо один компонент значительно ненадежнее остальных, то и надежность всей системы будет на уровне этого слабого компонента.
И если в качестве карты доступа выбрана карта, работающая на частоте 125 КГц, например стандарта Em Marin, то надо учитывать, что такая карта не защищена от копирования.

В большинстве случаев такие карты имеют память 64 бит, доступную только для чтения и разделенную на 5 групп данных. 9 бит отведены под заголовок, всегда «1». Имеется 10 бит четности по рядам (P0-P9) и 4 бита четности по колонкам (PC0-PC3).
Поле данных составляет 40 бит (D00-D93), один стоповый бит (S0) – логический 0. Биты D00 – D53 определяют фасилити карты (Facility). Биты D60 – D93 определяют номер карты (два байта). При использовании интерфейса Wiegand-26 с карты считывается как биты D40 – D53 (один байт), номер считывается как биты D60 – D93. Всего через Wiegand-26 считывается с карты и передается в контроллер 3 байта данных (24 бита).
Память такой карты открыта для чтения всегда, и нет механизма, чтобы закрыть эту память от несанкционированного считывания. Прочитав данные, не составляет труда изготовить дубликат карты.
Правда, надо понимать, что прежде злоумышленник должен завладеть нужной картой. Украсть, например. Тезис о возможности считать карту из кармана на расстоянии одного метра, мягко говоря, лукав. Сканер размером с «дипломат» может это сделать максимум на расстоянии 20–30 см, а еще нужно этот сканер направить именно на тот карман, где лежит карточка. К тому же есть и другие способы «взлома» СКУД – например, подключиться к проводам wiegand считывателя и передать любой код на контроллер даже без имитатора карточки. Причем тип карты уже значения не имеет – пусть она хоть тысячекратно защищена. От профессионалов сложно защищаться – всегда найдется щелочка, куда он что-то просунет и своего добьется.
Тем не менее вопрос о защите карт доступа от копирования далеко не праздный. Особенно это важно на объектах, где практически любой несанкционированный доступ критичен для безопасности деятельности предприятия. Не случайно поэтому рынок очень быстро сформировал соответствующее предложение.

Карта доступа, которую нельзя скопировать
По крайней мере, пока нельзя. Или очень сложно и очень дорого. Наиболее подходящим вариантом такой защищенной карты является карта стандарта Mifare.
Главное ее отличие – наличие памяти для многократного чтения – записи и криптозащита этой памяти по операциям чтения и записи. Карта Mifare может быть таким же равным по надежности звеном, как и остальные компоненты СКУД.

Типичные ошибки при использовании карт доступа Mifare
Ошибка 1. Считывание серийного номера карты
Но надежность карты доступа Mifare, соизмеримая с надежностью других компонентов СКУД, не появляется автоматически. Использование карт Mifare в СКУД требует более тщательной подготовки со стороны заказчика. Самое главное – нельзя для идентификации работников считывать серийный номер Mifare. Если в системе для идентификации считывается серийный номер Mifare, это означает работу без защиты карты от копирования.
Чтобы правильно использовать карты Mifare, надо считывать не серийный номер, а данные из некоторого блока памяти карты (secure sector), доступ к которому защищен ключами.
Память карты Mifare состоит из 16 секторов, каждый из которых поделен на 4 блока.

Рис.1 Структура памяти Miare 1K Общая память объемом 1 Кб разделена на 16 секторов. Каждый сектор разбит на 4 блока.

Рис. 2. Структура сектора 0
В блоке 0 хранится серийный номер и данные завода-изготовителя чипа. Блок 0 доступен только для чтения. Блоки 1 и 2 доступны для чтения-записи. Блок 3 хранит ключи доступа, создаваемые пользователем. Заводские значения ключей A и B: FFFFFFFFFF. Заводское значение условия доступа (Access Condition). Пользователь может менять эти значения по своему усмотрению.
Серийный номер формируется на заводе-изготовителе чипа Mifare и записывается в блок 0 сектора 0. Серийный номер всегда открыт для чтения и не может быть изменен. Закрыть серийный номер от считывания невозможно. Идентифицировать персонал по серийному номеру – значит, не использовать ничего из того, что заложено в карту Mifare.

Ошибка 2. Подключения считывателя по Wiegand-26.
Ситуацию, когда с карты Mifare считывается серийный номер, а сам считыватель подключается к контроллеру через интерфейс Wiegand-26, можно назвать типичной. Во многих системах применяется именно Wiegand-26. Но использование интерфейса Wiegand-26 для чтения серийного номера Mifare 1K – это ошибка, которая приводит к появлению в системе дубликатов номеров карт.
Wiegand – простой проводной интерфейс связи между устройством чтения карты доступа и контроллером, широко применяемый в СКУД.
Изначально интерфейс применялся в считывателях wiegand-карт, для магнитных же карт использовался clock-and-data. Потом wiegand перекочевал в другие типы считывателей, в том числе и магнитных карт. Из-за полученного в свое время распространения этот интерфейс стал стандартным де-факто. Позже магнитные карты были вытеснены бесконтактными картами, однако интерфейс был сохранен неизменным.
Существуют следующие разновидности интерфейса Wiegand:
Wiegand-26
Wiegand-33
Wiegand-34
Wiegand-37
Wiegand-40
Wiegand-42
Wiegand-26 – это самый распространенный интерфейс в СКУД. Состоит из 24 бит кода и 2 бит контроля на четность.
24 бита, которые передаются по Wiegand-26, – это 3 байта. Длина серийного номера Mifare 1K – 4 байта.
Для того чтобы в системе вообще не появлялись дубликаты номеров карт, серийный номер Mifare 1K следует считывать полностью, т. е. все 4 байта, а для этого надо использовать интерфейс Wiegand-42.
Конечно, более правильно вообще не считывать серийный номер карты (а обращаться к данным в защищенном секторе). Вышеприведенная ситуация описана как типичная и самая распространенная ошибка при переходе на карты Mifare.

Как сохранить Wiegand-26, избежать дублирования номеров и защитить карту от подделки
Необходимость сохранить интерфейс Wiegand-26 диктуется большой распространенностью контроллеров, применяемых в системах контроля и управления доступом, в которых реализован именно Wiegand-26. При переходе на карты Mifare вполне естественно попытаться использовать уже имеющиеся контроллеры. Имеющиеся контроллеры с Wiуgand-26 использовать можно. Но для того чтобы в СКУД не появлялись дубликаты номеров карт, вместо серийного номера следует считывать данные из защищенного блока Mifare 1K (secure sector). Рассмотрим структуру остальных 15 секторов Mifare (кроме нулевого сектора):

Рис. 3. Структура секторов 1–15. Блоки 0, 1 и 2 доступны для записи-чтения. Блок 3 хранит ключи доступа, создаваемые пользователем. Каждый сектор может быть защищен своим ключом. Можно защищать отдельно операции чтения и записи. Можно защитить как чтение, так и запись.

Для того чтобы организовать считывание данных из защищенного блока, заказчик СКУД должен провести предэмиссию карт. На этапе предэмиссии карт в выбранный блок карты Mifare записываются уникальные номера, и самое главное – чтение данных из этого блока защищается ключами (как это показано на рис. 4). В считыватель также записывается соответствующий ключ, который предъявляется для чтения выбранного блока.

Рис. 4. В блок 0 сектора 1 записан номер карты, используемый в СКУД для идентификации держателя карты. Ключ A изменен. Условие доступа (Access Condition) изменено на защиту сектора от чтения-записи. Данное значение условия доступа означает, что для чтения блока предъявляется только ключ A (ключ B не используется). Прочитать карту можно только, зная секретный ключ пользователя. Записать в блок 0 больше ничего нельзя.

В результате получается карта, которую невозможно прочитать вне данной СКУД и которую невозможно подделать. Считыватели, которые читают данные из защищенного блока, подключаются к контроллеру по интерфейсу Wiegand-26 (имеется также версия интерфейса USB), что и позволяет сохранить имеющиеся контроллеры, а заменить только считыватели. Такие считыватели (читающие данные из защищенного блока) широко представлены на рынке.

Пример 1. Переход от Em Marin к Mifare
При использовании карт Em Marin через Wiegand-26 передается номер карты как фасилити код карты и номер карты:

Вместо имеющихся считывателей карт Em Marin подключаются считыватели Mifare с интерфейсом Wiegand-26, которые читают данные из защищенного блока. В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.

Пример 2. Решение проблемы дубликатов номеров карт
Напомним, что дубликаты номеров карт появляются, когда считыватель Mifare подключается через Wiegand-26, а с карты считывается серийный номер (UID).
Для исключения этой ситуации есть простое решение. Вместо имеющихся считывателей карт Mifare (читавших UID) подключаются считыватели Mifare с интерфейсом Wiegand-26, которые читают данные из защищенного блока.

1-й этап. Если в системе уже использовались карты Mifare, то их нужно адаптировать для работы с новыми считывателями. Адаптация заключается в следующем.
Например, серийный номер карты Mifare выглядит, как F0A1D9D5, а в контроллер передается только часть этого номера в виде A1D9D5 (поскольку Wiegan-26 отсекает байт «F0»).
На этапе предэмиссии карт в блок 0 сектора 1 (или другой блок по выбору пользователя) записывается та часть серийного номера карты, которая ранее попадала в контроллер. Также в сектор в блок 3 записываются ключи и условия доступа.

Рис. 5 .Сектор 1 Mifare карты с записанной частью серийного номера карты Mifare, ключами и Условием Доступа только на чтение. (Дл я имеющихся карт)

2-й этап. Предварительная прошивка новых карт Mifare.
Все новые карты Mifare, которые планируется ввести в систему доступа, подвергаются предварительной прошивке в виде записи идентификационного номера в защищенный блок памяти. Вначале пользователь системы создает базу новых номеров (3 байтных) для новых карт Mifare в том виде, в котором он хочет видеть эти идентификационные номера. Затем эти номера из базы записываются в новые карты, как показано на рисунке ниже:
3-байтный номер из базы записывается в тот же блок и сектор, как на этапе 1 (предэмиссии) (например, блок 0 сектора 1). В блок 3 записываются те же ключи и условия доступа, как на этапе 1.

Рис 6 .Сектор 1 Mifare карты с записанным номером из базы для новых карт Mifare , ключами и Условием Доступа только на чтение. (Для новых карт)

3-й этап. Новые считыватели программируются на считывание конкретного блока и сектора, а также в считыватели записываются соответствующие ключи доступа к считываемому сектору.
Выполнив эти три этапа, заказчик решает проблему дублированных номеров.
В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.
Надо заметить, что для решения рассмотренной в статье проблемы на рынке уже несколько лет как существуют считыватели карт Mifare, которые работают с любой картой ISO-14443A по серийному номеру (Mifare в этой части относится к данному стандарту), а с Mifare Standard 1K/4K работают и в защищенном режиме, подобном описанному. Поддерживаются различные интерфейсы.
Кроме того, существует технология, позволяющая заказчику на объекте перепрограммировать считыватели доступа на собственные ключи доступа, не снимая их со стены. Процедура эта может проводиться хоть еженедельно. Для этого используется утилита эмиссии карт, ведущая собственную запароленную базу данных, хранящую все профили безопасности и данные обо всех эмитированных картах.

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru