Контакты
Подписка
МЕНЮ
Контакты
Подписка

Современные тенденции развития безопасной идентификации

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Современные тенденции развития безопасной идентификации

Примерно 20 лет назад впервые в системах безопасности начали использоваться бесконтактные карты доступа вместо широко распространенных в то время карт с магнитной полосой и карт Wiegand. Какого технологического уровня достигли карты сегодня?
С. Гордеев
Региональный менеджер
по продажам на территории
России и СНГ компании HID Global

Самая первая технология бесконтактного контроля доступа называлась HID Prox, ставшая промышленным стандартом и по сей день имеющая сотни миллионов пользователей. Спустя несколько лет начинается выпуск карт Flexpass (от компании Indala). В них используется та же частота – 125 кГц – и фазовая модуляция данных вместо частотной. Другой популярной технологией с частотой 125 кГц, которая используется для систем контроля доступа, являются карты на основе EM-чипов с амплитудной модуляцией от разработчика EM Microelectronics.

Наиболее популярен сегодня 26-битный открытый формат (иногда его называют Wiegand), который может считываться, пожалуй, любой панелью управления. С другой стороны, он обеспечивает наименьшую безопасность – любой может заказать карты с этим форматом данных, и нет никаких гарантий, что ваша карта будет уникальной.

Некоторые компании начали производить специальные форматы карт на индивидуальный заказ, и их уникальность стала гарантированной. В таких форматах карт используется больше бит, и они могут предназначаться одному системному интегратору или торговому посреднику (реселлеру). Таким образом, крупные конечные пользователи получают полный контроль за своими данными физического и логического доступа и в дальнейшем могут сами авторизовать своих поставщиков. Хорошие считыватели должны бесперебойно воспринимать карты с форматами различной длины, а не только 26 бит.

Появление Smart-карт

Появление бесконтактных карт технологии 13,56 МГц (их еще называют Smart-картами) было обусловлено повышением требований рынка к защищенности карт от копирования.

Первые бесконтактные Smart-карты появились на рынке в конце 1990-х гг. и существенно отличались от тех, что были прежде. Они создавались в соответствии с требованиями Международной организации по стандартизации (ISO), имели функцию защищенного взаимодействия благодаря использованию различных криптографических механизмов и позволяли не только считывать содержимое карты, но и хранить на ней информацию. Карты Mifare изначально разрабатывались независимой компанией NXP Semiconductors (основанной Philips) для использования в качестве электронных билетов на городском транспорте. Соответствуют стандарту бесконтактных карт ISO14443. Карты Desfire этого же производителя, выполненные также по стандарту ISO14443, были введены позже и обеспечивают более высокий уровень безопасности.

Некоторые компании начали производить специальные форматы карт на индивидуальный заказ, и их уникальность стала гарантированной. В таких форматах карт используется больше бит, и они могут предназначаться одному системному интегратору или торговому посреднику (реселлеру). Таким образом, крупные конечные пользователи получают полный контроль за своими данными физического и логического доступа и в дальнейшем могут сами авторизовать своих поставщиков

Кстати, во всех картах стандарта ISO используется так называемый серийный номер (CSN или UID). Этот номер является единственной незашифрованной информацией на карте, и его основная задача состоит в установлении защищенного взаимодействия между картой и считывающим устройством. Никогда и не предполагалось использовать его для идентификации! Однако из-за простоты их считывания стало легко производить сами считыватели для них, хотя это небезопасно. Серийный номер карты не уникален и легко подделывается и копируется. Не следует использовать его для систем безопасности.


Карты iClass от HID Global, также использующие частоту 13,56 МГц, с самого начала задумывались для применения в качестве карт безопасного контроля доступа. Они основаны на стандарте ISO15693, который позволяет считывать информацию на большем расстоянии, что крайне необходимо для бесперебойной работы и удобного доступа. Карты iClass также поддерживают стандарт ISO14443 для различного применения, где необходимо прочитать или записать большие объемы данных (например, хранение биометрических данных, торговля за безналичный расчет и т.д.). Переключение между стандартами полностью автоматизировано – наиболее подходящий стандарт используется для любой операции. Карты iClass оснащены запрограммированной информацией контроля доступа любого формата, хранящейся в зашифрованном виде в защищенном секторе карты.

Принципиальное отличие Smart-карт от карт технологии 125 кГц состоит в том, что данные на Smart-картах хранятся в зашифрованном виде (обычно 3DES). Перед тем как данные передаются на считывающее устройство, происходит ряд процессов, обеспечивающих безопасность, при которых проверяется достоверность карты и считывателя, осуществляется сессия обменов информацией между ключами кодировки. Только после этого данные шифруются с измененными ключами, и карта передает их.

Кроме того, Smart-карту, имеющую несколько областей памяти, можно легко использовать для других применений (безналичные расчеты, доступ к корпоративным средствам и т.д.).

Ведущие производители предлагают миграционные решения для перехода от технологии 125 кГц к более защищенной технологии 13,56 МГц. Для этого выпускаются мультиформатные карты и считыватели, способные одновременно читать карты различных технологий.

Возможности биометрической идентификации

Дополнительные возможности по защите персональных данных дает биометрическая идентификация. Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многие государства в ближайшей перспективе планируют ввести в обращение паспорта с биометрическими данными. Двухфакторная аутентификация (карта + биометрический признак) часто используется в СКУД для доступа в особо ответственные помещения. Крупные мировые производители биометрии, такие как L-1 (отпечаток пальца) и Schlage Recognition Systems (геометрия ладони) выпускают модели со встроенным считывателем Smart-карт, что позволяет осуществлять двухфакторную аутентификацию. При этом данные об отпечатке пальца или геометрии ладони хранятся непосредственно в карте.


Используя биометрическую идентификацию, следует помнить о вероятности возникновения ошибок FAR/FRR, то есть коэффициентов ложного пропуска (False Acceptance Rate – система предоставляет доступ незарегистрированному пользователю) и ложного отказа в доступе (False Rejection Rate – доступ запрещен зарегистрированному в системе человеку). Необходимо учитывать взаимосвязь этих показателей: искусственно снижая уровень "требовательности" системы (FAR), мы, как правило, уменьшаем процент ошибок FRR, и наоборот. На сегодняшний день все биометрические технологии являются вероятностными, ни одна из них не способна гарантировать полное отсутствие ошибок FAR/FRR. Данное обстоятельство в совокупности с относительной дороговизной продукции, на мой взгляд, является главным препятствием для широкого распространения технологии биометрической идентификации. Поэтому биометрическая аутентификация должна быть использована по крайней мере как двухфакторная – дополненная идентификацией по карте.

Современные тенденции безопасной идентификации

Можно выделить три основные:

1. Повышение требований к потребительским свойствам со стороны конечного пользователя:

  • Удобство пользования. Решения должны быть доступны для приобретения, просты в эксплуатации и не требовать специальной технической поддержки.
  • Оптимальная стоимость владения или, другими словами, соотношение цены и качества.
  • Высочайшая безопасность и защищенность от копирования и подделки.

2. Конвергенция физического и логического доступа. Сферы ИT и СКУД являются смежными. Логический доступ охватывает приложения, предназначенные для использования на персональных компьютерах и ориентированные на сетевую среду, включая безопасную идентификацию и/или вход в операционную систему ПК или сеть, защищенную электронную почту, шифрование данных, удаленный доступ через VPN. В последние годы наметилась устойчивая тенденция к конвергенции (сближению) физического и логического доступа. Все больше клиентов хотят иметь возможность получить готовое решение на одной карте.

На сегодняшний день все биометрические технологии являются вероятностными, ни одна из них не способна гарантировать полное отсутствие ошибок FAR/FRR. Данное обстоятельство в совокупности с относительной дороговизной продукции, на мой взгляд, является главным препятствием для широкого распространения технологии биометрической идентификации

3. Возможность использования различных устройств в качестве идентификаторов при условии защищенности информационных данных. В настоящее время в системах идентификации существуют две взаимосвязанные тенденции – повышение мобильности и защищенности транзакций. Основная идея состоит в том, что связанные идентификационные данные (номер карты, отпечаток пальца, денежные средства на карте) надежно защищены посредством SIO – Secure Identity Object (безопасный объект идентификации). SIO зашифрован стандартными криптографическими алгоритмами (3DES, AES, RSA...), подписан цифровой подписью и закреплен на носителе. SIO может быть помещен на различные носители – карту (iClass, Mi-fare, Desfire EV1...), USB-токен, смартфон, NFC-телефон и т.д. Уже стала реальностью возможность удаленного резервирования гостиницы с последующим проживанием в ней, минуя процедуры Check-in/Check-out на ресепшн. Достаточно, предварительно забронировав номер, приложить NFC-телефон к соответствующему считывателю на двери номера.

В будущем, чтобы соответствовать требованиям безопасной идентификации, производители будут вынуждены предоставлять дополнительные уровни защиты данных контроля доступа и тем самым быть независимыми от технологии RFID.

Опубликовано: Каталог "СКУД. Антитерроризм"-2012
Посещений: 9252

  Автор

С. Гордеев

С. Гордеев

Региональный менеджер
по продажам на территории
России и СНГ компании HID Global

Всего статей:  21

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций