Как нас найти:

[вернуться в раздел СТАТЬИ]

Системы контроля доступа на бесконтактных смарт-картах MIFARE

О.Быков
к.т.н., компания NCS

«АЛГОРИТМ БЕЗОПАСНОСТИ», №3, 2011
www.algoritm.org

Наиболее распространенный тип карт, применяемых в системах контроля доступа (СКД), — это карты Em Marin. Это проксимити карты (только чтение), работающие на частоте 125 кГц.

Карты этого стандарта являются удобным средством открывания дверей и турникетов. Не более. Эти карты не обладают никакой защищенностью, легко копируются и, соответственно, ничего не дают для защиты от несанкционированного проникновения на объект. А от современных систем контроля доступа требуется как раз предотвращение несанкционированного доступа на территорию объекта или в помещение.

В современных СКД уже используются карты доступа, отвечающие высоким требованиям по безопасности. Это бесконтактные смарт-карты стандартов MIFARE, HID iClass. Чипы таких карт имеют память для многократной записи и чтения, и доступ к этой памяти защищен ключами. Скопировать карты такого типа невозможно. Также невозможно подделать такие карты или осуществить несанкционированное считывание информации с карты.

Но, выбирая бесконтактные смарт-карты (БСК) в качестве карт доступа в СКД, следует уделять особое внимание процессу выпуска карт. В отличие от обычных карт Em Marin, бесконтактные смарт-карты имеют память для записи/чтения и механизм защиты от несанкционированного чтения или записи. И для того, чтобы в полной мере использовать имеющиеся возможности, заказчик СКД должен организовать у себя на объекте определенную процедуру выпуска карт доступа.

Задачи, которые необходимо видеть при выпуске карт доступа, можно сформулировать так:

Достижение указанных целей предусматривает следующие этапы, выполняемые на объекте заказчика СКД:

Необходимость выполнения перечисленных выше действий продиктована следующим. От фирмы-изготовителя все карты БСК приходят «открытыми», т.е. доступными для свободной записи / чтения.

Заказчик СКД должен «прошить» БСК под себя с тем, чтобы несанкционированный доступ к информации в карте был исключен.

Кроме того, в СКД не рекомендуется считывать серийный номер чипа (UID) для предоставления доступа. Серийный номер чипа всегда открыт для чтения, что позволяет потенциальному злоумышленнику видеть эту информацию. Изменить серийный номер чипа MIFARE или закрыть его для чтения невозможно.*

Поэтому лучше вместо считывания серийного номера чипа предусмотреть чтение защищенного блока памяти БСК, где хранится порядковый номер карты в системе СКД заказчика.

Этапы эмиссии БСК заключаются в следующем:

1. Создание мастер-карты.

Мастер-карта создается на основе БСК и является самой главной картой для заказчика. В мастер-карту записываются ключи, известные только владельцу предприятия — заказчика СКД или его доверенному лицу.

Мастер-карта должна надежно храниться (в сейфе) и выдаваться для выполнения определенных операций по эмиссии карт.

2. Запись ключей в устройства записи/чтения карт.

Программное обеспечение эмиссии карт обеспечивает запись ключей во все считыватели, которые будут в дальнейшем установлены в СКД. Работа этого программного обеспечения возможна только после предъявления мастер-карты считывателю, подключенному к рабочему месту эмиссии карт (который «прошит» при создании мастер-карты).

Кроме записи ключей, считыватели, которые будут устанавливаться у турникетов или замков, конфигурируются для чтения определенного (защищенного) блока памяти бесконтактной смарт-карты (вместо считывания серийного номера).

При этом считыватели разделяются на две группы:

3. Запись ключей в определенные блоки памяти тиража БСК.

Заказчик должен решить, какие блоки памяти бесконтактной смарт-карты будут использоваться в его системе (по крайней мере один блок для хранения внутреннего номера карты в СКД). Для всего тиража карт в эти блоки записываются ключи доступа. Делается это на рабочем месте эмиссии карт с помощью программного обеспечения эмиссии и устройства записи/чтения laquo;прошитого» на этапе 1.

Работа этого ПО возможна только после предъявления мастер-карты.

Таким образом, после выполнения перечисленных выше этапов все карты доступа, которые будут использоваться в СКД, оказываются «прошитыми» под заказчика и защищенными от копирования и несанкционированного считывания. Кроме того, устройства чтения карт также оказываются «прошитыми», чтобы понимать данные карты доступа.

4. Выдача карт доступа пользователям.

На рабочем месте выдачи карт (в распределенных системах таких мест может быть несколько) устанавливается соответствующее программное обеспечение и подключается устройство записи/чтения БСК. Предъявление мастер-карты для работы этого ПО не требуется, так как все карты доступа и считыватель уже «прошиты». При выдаче карты сотруднику или работнику, как минимум, фиксируется номер карты (хранящийся в защищенном блоке памяти БСК). Кроме этого, на карту доступа можно записать дополнительную информацию (например, срок действия, дату выдачи, условия доступа к тем или иным помещениям, разовый пропуск, и т.п.).

Резюмируя, перечислим еще раз основные действия заказчика СКД



* Не использовать серийный номер чипа MIFARE для предоставления доступа рекомендуется еще и по следующей причине. Длина серийного номера MIFARE составляет 4 байта. А по интерфейсу Wiegand 26 (который чаще всего используется для подключения карт-считывателя к контроллеру) передается только 3 байта. Т.е. полностью номер, считанный с карты, передать в СКД нельзя. Это приводит к появлению в системе карт с одинаковыми номерами.

[вернуться в раздел СТАТЬИ]


На главную страницу Пишите нам!