Бесконтактный доступ. Что такое контроль физического доступа? Обеспечивает ли СКД сохранность материальных ценностей

Расскажем - что такое система бесключевого доступа автомобиля, как она работает и как защитить машину с данной системой от кражи.

Что это такое?

Как работает?

• Привет, я автомобиль X с идентификатором Z. А ты кто?

• Привет, я твой ключ! Код ответа ZXY56.G477.Q106.

Злоумышленнику потребуется специальный ретранслятор («удочка»), который стоит десятки тысяч евро и помощник, который должен находится рядом с ключом, т.е. рядом с Вами. Когда угонщик нажимает кнопку открытия машины, сигнал по ретранслятору передается на устройство помощника, который уже общается с брелком сигнализации. С помощью таких действий можно угнать любой автомобиль.

Приведем пример угона. Вы запарковали автомобиль около торгового центра, закрыли его и вошли. К Вашему автомобилю подходит Злоумышленник №1 с приемником, а около Вас находится Злоумышленник №2 с ретранслятором сигнала Вашего ключа. Автомобиль в этот момент идентифицирует, что Вы якобы находитесь рядом и открывается. Злоумышленник №1 садится в автомобиль и уезжает.

Как бороться?

Берется рулон бытовой фольги, отматывается на ширину погона. Получившийся квадрат складываем пополам, еще раз пополам. Четырёхслойный квадрат складываем по диагонали, вкладываем ключ и подгибаем уголки. Удобнее класть сверток в пиджак в отличие от железных коробок.

Если говорить о надежной защите от угона, то какой бы современной «сигналка» не была, нужно дополнительно устанавливать механические противоугонные средства , такие как блокираторы руля и коробки. С ними защита автомобиля будет надежнее.

С механическими системами защиты теряется смысл системы «свободные руки» - нужно время, чтобы установить и защелкнуть механический замок. К тому же, они спасают от угона машины, но не от кражи вещей в салоне. Другое дело - дополнительная метка, которая работает в другом диапазоне и по другому алгоритму, чем штатная система бесключевого доступа. Хранить её можно рядом с документами. Установить дополнительную метку можно в профессиональном противоугонном сервисе.

Другой метод - отказаться при покупке машины от функции «бесключевого доступа». По-старинке пользоваться обычным ключом, зато сбережете нервы, не опасаясь за угон.

Несмотря на большое количество разных типов идентификаторов, используемых в системах контроля доступа в помещения, карточки на протяжении многих лет являются самыми популярными.

Обусловлено это следующими факторами:

• Низкая цена (10-12 руб. за штуку). При потере карты всегда можно взять новую.
• Удобство использования. Существует множество бейджей, держателей для того, чтобы не носить идентификатор в кармане.
• Цена карточного оборудования в разы ниже биометрического (идентификация по пальцу, лицу).
• Вероятность обмана сотрудниками при использовании учета рабочего времени сведена к минимуму за счет использования дополнительных средств, как видеонаблюдение, фото идентификация, увеличенные интервалы и штрафы.

Кому подойдет система допуска по карточкам

Данное решение подойдет абсолютно любой компании, которая решила организовать пропускной режим. Оборудование поддерживает 2000 – 100 000 ключей, а некоторые экземпляры еще больше. В Москве чаще всего установку пропускных систем по карточкам заказывают:

• Офисы в бизнес-центрах;
• Сами БЦ;
• Производства;
• Склады.

Одним словом, территории, где необходимо разграничить сотрудников и случайных прохожих.

Необходимое оборудование

Подбор комплектующих зависит от поставленных задач, которая должна решать система доступа в помещение.

Самые популярные решения

Чаще всего в нашу организацию поступают заявки на установку автономных и сетевых систем контроля доступа. Рассмотрим плюсы и минусы каждой из них.

1. Автономная система (вход по карте, уход по кнопке)

Цена от 10 250 руб за монтаж одного комплекта и от 5156 руб за оборудование, которое показано на изображении ниже.

Для кого? Подойдет для тех, кто только хочет ограничить проход.

• Легко настраивается;
• Низкая стоимость.

• Нет возможности вести временной учет и получать информацию о проходах.
• Отсутствует единая система управления всеми точками прохода в помещения.
• Вся база – единое целое. Если захотите удалить выборочно одну карту определенного сотрудника, то придется удалять всю базу и заносить карточки заново.
• Отсутствует видео/фото идентификация.

Сетевая система (учет рабочего времени, вход и/или выход по карте с управлением через компьютер)

Цена работы от 12000 руб и от 10903 руб за оборудование, которое изображено на картинке ниже.

• Есть возможность объединения всех точек прохода (двери, турникеты, шлагбаумы). Управление производится через компьютер.
• Присутствует функция временного учета (кто сколько отработал, когда пришел/ушёл и т.д.).
• Есть интеграция с другими системами безопасности и учета (сигнализация, видеонаблюдение, 1С и т.п.).
• Каждому сотруднику можно задать различные права ограничения доступа (по времени, по точкам прохода).

• Стоимость по сравнению с автономными СКД.

Фотографии с наших объектов

Слаженная работа монтажной компании невозможна без профессиональных инсталляторов. Предлагаем ознакомиться с примерами наших работ.

В качестве ключей доступа могут выступать радиоуправляемые брелки, контактные ключи «таблетки» и бесконтактные идентификаторы, которые в самом распространенном случае представлены в виде карточек и брелков, но также существуют исполнения в виде билетов, наклеек, ярлыков и прочих. Также все большее распространение получают идентификаторы в формате браслетов, предназначенных использования в спортивных комплексах.

RFID -идентификаторы

Radio Frequency IDentification - метод автоидентификaции объектов посредствoм радиосигналoв со считыванием или записью данных, хрaнящиеся в RFID-метках.

Пассивные RFID-метки работают без встроенного источника энергии. Ток, индуцированный в антенне идентификатора электромагнитным полем считывателя, обеспечивает мощность, достаточную для функционирования размещённого в метке CMOS-чипа, и посылки ответного сигнала. Чип можно установить в любой корпус: карточку, брелок, браслет или стикер (наклейку). Наиболее распространенные стандарты чипов это: . Em-marine . HID . I-Code . Mifare . Temic. Максимальный радиус считывания пассивных идентификаторов зависит от диапазона рабочей частоты и размеров антенны и составляет от 10 до 100 см.

Большинство используемых в системах контроля и управления доступом карт содержат уникальный идентификационный номер, который записывается в чип на заводе-изготовителе и остается доступным только для чтения. При использовании смарт-карт кроме их серийного номера используются так же и данные, записываемые в энергонезависимую область, что практически исключает возможность подделки идентификатора. Перезаписываемые карты позволяют осуществлять запись как с открытым протоколом, так и с криптографией. Таким образом, организация СКУД на базе смарт-карт позволяет значительно повысить уровень защищенности в целом.

RFID- идентификаторы имеют следующие особенности:

• для считывания информации не обязательна прямая видимость или контакт
• процесс считывания информации происходит быстро и точно
• технология работает и в агрессивных средах, а идентификаторы могут читаться через краску, грязь, пластмассу, древесину, воду или пар
• неограниченный срок эксплуатации
• смарт-карты практически невозможно подделать
• возможность записывать достаточно большой объем информации на карты с поддержкой записи

Самые распространенные форматы идентификаторов

Карта Clamshell

• габаритные размеры 86х54х1,6 мм
• самое экономичное решение по сравнению с картами других типов
• возможность персонализации карты с помощью специальной наклейки с ламинацией
• прорезь для удобного крепления карты

Карта ISO

• габаритные размеры 86х54х0,8 мм
• качественная поверхность из PVC пластика для печати графического изображения (фотография, текст, логотип)
• прямая сублимационная или офсетная печать
• размеры и толщина стандартной кредитной карты позволяют выпускать модели с магнитной лентой для работы со стандартными считывателями щелевого типа

Брелок

• малые размеры
• возможность ношения на кольце вместе с ключами
• различное цветовое исполнение корпуса
• возможность нанести логотип

1. Обеспечивает ли СКД сохранность материальных ценностей

"Система контроля и управления доступом (СКД) - совокупность аппаратных и программных средств, направленных на ограничение и регистрацию доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории."

Из этого определения следует, что СКД выполняет две задачи:
- ограничение доступа;
- регистрация доступа.

Ограничение доступа означает предотвращение проникновения нежелательных лиц на охраняемую территорию и помещения.
Регистрация доступа означает распознавание того лица, которое получает доступ и фиксацию времени предоставления доступа.

Выбирать тип карты доступа следует исходя из приоритета той или иной функции СКД.
Если основная задача – регистрация, - то достаточно карты Em Marin.
Если основная задача – ограничение, - то карты типа Em Marin будет недостаточно (не только Em Marin, но и другие проксимити карты – HID, Indala, работающие на частоте 125 КГц) . Почему, - рассмотрим далее.

Ограничение доступа подразумевает, что СКД будет обеспечивать:
- защиту объекта от несанкционированного доступа;
- сохранность материальных и интеллектуальных ценностей.

Обеспечивает это система доступа с помощью своих компонентов или частей, основными из которых являются:

• Контроллер
• Считыватель
• Карта доступа
• Программное обеспечение

Надежность любой системы (и СКД в частности) определяется надежностью ее самого слабого элемента. Поэтому, все перечисленные выше компоненты СКД должны обладать равной надежностью и в равной степени обеспечивать безопасность объекта. Если какой-либо один компонент значительно ненадежнее остальных, то и надежность всей системы будет на уровне этого слабого компонента.

Таким ненадежным элементом являются карты Em Marin (наиболее популярная версия EM4100 и TK4100).
И, если в качестве карты доступа выбрана карта Em Marin, то надо понимать, что такая карта не защищена от копирования, и какими бы надежными ни были контроллеры и программное обеспечение, - защищенность всей СКД будет на низком уровне.

Em Marin – это тот ненадежный компонент, который и будет определять низкий уровень защищенности системы доступа.

2. Em Marin – слабое звено

В большинстве случаев под картой Em Marin понимается версия EM4100 или TK4100, имеющая память 64 бит, доступную только для чтения.

Память карты Em Marin (EM4100, TK4100) имеет объем 64 бита, разделенных на 5 групп данных. 9 бит отведены под заготовок, всегда “1”. Имеется 10 бит четности по рядам (P0-P9) и 4 бита четности по колонкам (PC0-PC3).

Поле данных составляет 40 бит (D00-D93), один стоповый бит (S0),- логический 0.
Биты D00 – D53 определяют фасилити карты (Facility).
Биты D60 – D93 определяют номер карты (два байта).
При использовании интерфейса Wiegand-26 с карты Em Marin фасилити считывается как биты
D40 – D53 (один байт), номер считывается как биты D60 – D93.
Всего через Wiegand-26 считывается с карты и передается в контроллер 3 байта данных (24 бита).

Память карты Em Marin открыта для чтения всегда, и нет механизма, чтобы закрыть эту память от несанкционированного считывания. Прочитав данные, не составляет труда изготовить дубликат карты. Для изготовления дубликатов карт Em Marin в настоящее время имеется большое разнообразие технических средств. Сделать такой дубликат можно даже в уличной мастерской, где предлагают ключи для домофона.

Но есть и более изощренные способы копирования карт доступа. Существуют компактные портативные считыватели, позволяющие прочитать карту Em Marin на некотором расстоянии. Злоумышленник, имеющий в кармане такой считыватель, легко прочитает карту, находясь недалеко от владельца карты (в кабинете, на улице, и т.п.), а потом изготовит ее дубликат.

3. MIFARE - надежная карта доступа

Для того, чтобы обоснованно ожидать от СКД обеспечения сохранности материальных ценностей, карты доступа должны быть на таком же высоком уровне надежности, как и остальные компоненты системы.
Карты, которые невозможно или технически сложно копировать.
И такие карты есть. Они широко известны. И стоят они совсем недорого.

Наиболее подходящим вариантом такой “защищенной” карты является карта стандарта MIFARE.

Сравним характеристики карт стандарта MIFARE и карт Em Marin (EM-4100).

Таким образом, главное отличие MIFARE – это наличие памяти для многократной чтения-записи и криптозащита этой памяти по операциям чтения и записи. Подделать такую карту практически невозможно.

Карта MIFARE может быть таким же равным по надежности звеном, как и остальные компоненты СКД.

4. Типичные ошибки при использовании карт доступа MIFARE

Ошибка 1. Считывание серийного номера карты

Но надежность карты доступа MIFARE, соизмеримая с надежностью других компонентов СКД, не появляется автоматически. Использование карт MIFARE в СКД требует более тщательной подготовки со стороны заказчика СКД. Самое главное, - нельзя для идентификации работников считывать серийный номер MIFARE (как это принято в случае Em Marin). Вернемся к сравнительной таблице вверху. В чем карты MIFARE похожи на карты Em Marin. В наличии серийного номера, всегда открытого для чтения. И только. По всем остальным параметрам – отличие. Поэтому, если в СКД для идентификации считывается серийный номер MIFARE, - это означает работу на уровне Em Marin, без защиты карты от копирования.

Чтобы правильно использовать карты MIFARE надо считывать не серийный номер, а данные из некоторого блока памяти карты (secure sector), доступ к которому защищен ключами.

Память карты MIFARE состоит из 16 секторов, каждый из которых поделен на 4 блока.

Рис.1 Структура памяти Miare 1K
Общая память, объемом 1 КБ, разделена на 16 секторов. Каждый сектор разбит на 4 блока.

Рис. 2. Структура сектора 0.

В блоке 0 хранится серийный номер и данные завода-изготовителя чипа. Блок 0 доступен только для чтения. Блоки 1 и 2 доступны для чтения-записи.. Блок 3 хранит ключи доступа, создаваемые пользователем. Заводские значения ключей A и B: FFFFFFFFFF. Заводское значение Условия Доступа (Access Condition): . Пользователь может менять эти значения по своему усмотрению.

Серийный номер формируется на заводе-изготовителе чипа MIFARE и записывается в блок 0 сектора 0. Серийный номер всегда открыт для чтения и не может быть изменен. Закрыть серийный номер от считывания невозможно. Идентифицировать персонал по серийному номеру – значит не использовать ничего из того, что заложено в карту MIFARE.

Ошибка 2. Подключения считывателя по Wiegand-26.

Ситуация, когда с карты MIFARE считывается серийный номер, а сам считыватель подключается к контроллеру через интерфейс Wiegand-26, - можно назвать типичной. Во многих системах применяется именно Wiegand-26. Но использование интерфейса Wiegand-26 для чтения серийного номера MIFARE 1K - это ошибка, которая приводит к появлению в системе дубликатов номеров карт.

Wiegand - простой проводной интерфейс связи между устройством чтения карты доступа и контроллером, широко применяемый в системах контроля доступа (СКД).

Изначально интерфейс применялся в считывателях магнитных карт и был максимально оптимизирован под простейшие считыватели. В сущности это был простой выход усилителя чтения. Из-за распространенности магнитных карт этот интерфейс стал стандартным де-факто. Позже магнитные карты были вытеснены бесконтактными картами, однако интерфейс был сохранен неизменным.

Существуют следующие разновидности интерфейса Wiegand:

Wiegand-26.
Wiegand-33.
Wiegand-34.
Wiegand-37.
Wiegand-40.
Wiegand-42...

Wiegand-26 – это самый распространенный интерфейс в СКД. Состоит из 24 бит кода и 2 бит контроля на четность.

24 бита, которые передаются по Wiegand-26, - это 3 байта. Длина серийного номера MIFARE 1K – 4 байта. Легко заметить, что полностью серийный номер карты по интерфейсу Wirgand-26 передать нельзя. Если серийные номера идут подряд, то по Weigand-26 будет передаваться в контроллер одна и та же часть серийного номера карты, а переменная часть номера считываться не будет. В результате в системе появятся одинаковые номера карт.

Для того, чтобы в системе на появлялись дубликаты номеров карт, серийный номер MIFARE 1K следует считывать полностью, т.е., все 4 байта, а для этого надо использовать интерфейс Wiegand-42.

Конечно, более правильно вообще не считывать серийный номер карты (а обращаться к данным в защищенном секторе). Вышеприведенная ситуация описана как типичная и самая распространенная ошибка при переходе на карты MIFARE.

5. Как сохранить Wiegand-26, избежать дублирования номеров и защитить карту от подделки

Необходимость сохранить интерфейс Wiegand-26 диктуется большой распространенностью контроллеров, применяемых в системах контроля доступа, в которых реализован именно Wiegand-26. При переходе на карты MIFARE вполне естественно попытаться использовать уже имеющиеся контроллеры.

Имеющиеся контроллеры с Wiуgand-26 использовать можно. Но, для того, чтобы в СКД не появлялись дубликаты номеров карт, вместо серийного номера следует считывать данные из защищенного блока MIFARE 1K (secure sector). Рассмотрим структуру остальных 15 секторов MIFARE (кроме нулевого сектора):

Рис. 3. Структура секторов 1-15. Блоки 0, 1 и 2 доступны для записи-чтения. Блок 3 хранит ключи доступа, создаваемые пользователем. Каждый сектор может быть защищен своим ключом. Можно защищать отдельно операции чтения и записи. Можно защитить как чтение, так и запись.

Для того, чтобы организовать считывание данных из защищенного блока, заказчик СКД должен провести предэмиссию карт. На этапе предэмиссии карт в выбранный блок карты MIFARE записываются уникальные номера, и, самое главное, чтение данных из этого блока защищается ключами (как это показано на Рис.4). В считыватель, также, записывается соответствующий ключ, который предъявляется для чтения выбранного блока.

Рис. 4. В блок 0 сектора 1 записан номер карты, используемый в СКД для идентификации держателя карты. Ключ A изменен. Условие доступа (Access Condition) изменено на защиту сектора от чтения-записи. Данное значение Условия Доступа означает, что для чтения блока предъявляется только ключ A (ключ B не используется). Прочитать карту можно только, зная секретный ключ пользователя. Записать в блок 0 больше ничего нельзя.

В результате получается карта, которую невозможно прочитать вне данной СКД, и которую невозможно подделать. Считыватели, которые читают данные из защищенного блока, подключаются к контроллеру по интерфейсу Wiegand-26 (имеется, также, версия интерфейса USB), что и позволяет сохранить имеющиеся контроллеры, а заменить только считыватели. Такие считыватели (читающие данные из защищенного блока) широко представлены на рынке.

Примеры

Пример 1. Переход от Em Marin к MIFARE

При использовании карт Em Marin через Wiegand-26 передается номер карты как фасилити код карты и номер карты:

Вместо имеющихся считывателей карт Em Marin подключаются считыватели MIFARE (например, типа “MF Reader” от фирмы Prox) с интерфейсом Wiegand-26, которые читают данные из защищенного блока.
В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.

Пример 2. Решение проблемы дубликатов номеров карт.

Напомним, что дубликаты номеров карт появляются, когда считыватель MIFARE подключается xерез Wiegand-26, а с карты считывается серийный номер (UID).

Например, серийный номер выглядит, как F0A1D9D5, а в контроллер передается только часть этого номера в виде: ХХХХХХ.

На этапе предэмисси карт в блок 0 сектора 0 (или другой блок по выбору пользователя) записывается та часть номера, которая ранее попадала в контроллер.

Вместо имеющихся считывателей карт MIFARE (читавших UID) подключаются считыватели MIFARE (например, типа “MF Reader” от фирмы Prox) с интерфейсом Wiegand-26, которые читают данные из защищенного блока.

В результате в системе сохраняется принятая нумерация карт, сохраняются контроллеры, но карта доступа становится защищенной от подделки и несанкционированного считывания.

За более чем 30-летнюю историю развития электронных СКУД, наиболее распространённые идентификаторы – RFID-карты и метки – заметно эволюционировали. RFID-карты последнего поколения представляют из себя удобные бесконтактные устройства, обеспечивающие высокий уровень защиты от подделки, копирования и отслеживания идентификатора.

Недостатки доступа по пластиковым картам

При всех своих достоинствах, RFID-карты и метки были и остаются специализированными устройствами, предназначенными именно для идентификации в системах доступа, что и приводит к основным их недостаткам.

Во-первых, требуется выпускать и персонализировать карты на каждого пользователя системы, число которых может достигать на крупных объектах нескольких десятков и даже сотен тысяч человек. Во-вторых, пользователям приходится постоянно носить с собой карту , а иногда и не одну – для проезда на парковку, доступа в здание и т.п. И, наконец, карту можно передать третьему лицу, что существенно снижает и безопасность системы , и уровень контроля, что особенно критично в системах учёта рабочего времени.

Перспективное решение: доступ по смартфону

Пытаясь решить указанные проблемы «карточных» систем доступа, сразу несколько производителей предложили собственные решения, позволяющие использовать в качестве идентификаторов мобильные устройства – например, смартфоны (а также планшеты , «умные» браслеты и часы и т.п.)

Современные решения позволяют использовать устройства на различной аппаратной и программной платформе и поддерживают множество моделей смартфонов с поддержкой NFC или BLE .

Преимущества идентификации по смартфону

Системы идентификации по смартфону обладают рядом преимуществ перед традиционными «карточными» СКУД.

Доступ по смартфону – это, прежде всего, удобно . Смартфон есть практически у каждого потенциального пользователя СКУД. Не нужно приобретать и персонализировать карты доступа, достаточно просто назначить пользователю виртуальный идентификатор. Пользователям не нужно носить с собой дополнительные устройства . Сотрудникам удалённых филиалов не нужно ехать в Бюро пропусков – они получают мобильные идентификаторы удалённо и сразу же могут проходить по смартфону. Точно так же удаленно можно и отзывать идентификаторы – например, у уволенных сотрудников.

Идентификация по смартфону повышает уровень безопасности системы. Даже если даже смартфон будет потерян или похищен, злоумышленнику придётся сначала «взломать» его защиту (например, биометрическую), чтобы запустить приложение для доступа на объект. Кроме того, смартфон всегда с собой , его редко забывают дома и практически никогда не передают коллегам , чтобы те смогли отметиться за приятеля на считывателе или пройти в помещение, в которое им не разрешён доступ.

Ещё одно весомое достоинство современных систем доступа по смартфону - поддержка идентификаторов, выданных ранее - карт и меток. То есть, в одной и той же системе, на одном и том же считывателе, пользователи могут ходить и по картам, и по смартфонам (а также, в некоторых системах, по PIN-кодам, штрих-кодам и QR-кодам). Таким образом, если на объекте уже существует "карточная" СКУД, вам н е придется заменять все выданные идентификаторы на виртуальные. Более того, в некоторых случаях не потребуется даже замена считывателя - достаточно будет приобрести только модуль активации "мобильного доступа".

Компоненты решения

Типовая система контроля доступа, основанная на идентификации по смартфону, строится из четырёх базовых компонент: портал администратора, виртуальные идентификаторы, мобильное приложение и считыватели.

Портал администратора:
позволяет удалённо управлять виртуальными идентификаторами: выдавать и отзывать их, контролировать статусы, учитывать количество активных и неактивных мобильных идентификаторов и т.п.

Виртуальный идентификатор:
аналог традиционной карты доступа. На один смартфон может быть загружено несколько различных идентификаторов.

Мобильное приложение:
просмотр доступных идентификаторов, управление режимами срабатывания, выбор интерфейса передачи данных и т.д.

Считыватели:
обеспечивают доступ по смартфону и традиционным идентификаторам (картам, PIN-коду, QR-коду)