HID iCLASS, iCLASS SE & Seos: 무엇을 대체할 수 있나

세 가지 HID 13.56 MHz 계층 설명

HID Global의 13.56 MHz 스마트 카드 제품군은 단일 제품이 아니라 세 가지 아키텍처적으로 구별되는 계층으로 구성된 제품군이며, 각 계층은 자체 보안 모델, 칩 설계 및 실질적인 교체 스토리를 가지고 있습니다. 이들을 함께 묶는 것은 시설 팀이 노후된 자격 증명을 교체할 HID iCLASS 호환 키 포브 또는 카드를 찾을 때 가장 흔한 혼란의 원인입니다.

세 가지 계층은 다음과 같습니다: (1) 1세대 iCLASS 리더의 기반이 되는 레거시 iCLASS (Picopass라고도 함); (2) Picopass 기반 위에 추가 애플리케이션 다각화를 계층화한 iCLASS SE 및 iCLASS Elite; (3) 전용 보안 요소에 AES 암호화를 중심으로 구축된 HID의 현세대 플랫폼인 Seos. 각 계층은 다른 호환성 문제를 제시하므로, 이 가이드의 나머지 부분에서는 이들을 차례로 다룹니다.

세 가지 계층 모두 13.56 MHz ISO 15693 / ISO 14443 주파수 대역을 공유하며 호환 가능한 리더를 물리적으로 활성화합니다. 주파수 호환성은 유사성이 끝나는 지점입니다. 인증, 키 다각화 및 자격 증명 저장 아키텍처는 세 가지 계층에서 상당히 다르며, 호환 가능한 자격 증명이 작동하는 애플리케이션을 운반할 수 있는지 여부는 무선 주파수가 아닌 해당 아키텍처에 의해 결정됩니다.

레거시 iCLASS (Picopass) 및 호환 경로

레거시 iCLASS 자격 증명은 정의된 메모리 레이아웃에 저장된 애플리케이션과 함께 Picopass 프로토콜을 사용합니다. 사이트가 표준 구성 레거시 iCLASS를 실행하는 경우 — 오래된 기업 및 정부 설치에서 가장 일반적인 배포 — 동일한 자격 증명 형식으로 프로그래밍된 호환 가능한 공백 카드는 펌웨어 또는 하드웨어 변경 없이 기존 리더와 인증됩니다.

이것은 iCLASS 세계에서 명확한 호환 사례입니다. 리더 패널의 감사 로그에 iCLASS 2K 또는 16K 자격 증명이 표시되고 사이트에서 Elite 수준 키 다각화를 활성화하지 않은 경우, 거의 확실하게 표준 구성 영역에 있습니다. HID iCLASS 레거시 (2K/16K Picopass) 전문 공급업체에서 공급받은 형식 카드는 기존 사이트 코드 및 카드 번호로 인코딩되어 일반 프로그래밍 워크플로우를 통해 사용자에게 발급될 수 있습니다.

실질적인 요구 사항은 교체품을 올바르게 프로그래밍하기 위해 샘플 자격 증명 또는 사이트 코드 데이터가 필요하다는 것입니다. 모든 공인 설치업체가 사용할 수 있는 일반적인 읽기-쓰기 도구는 샘플 카드에서 자격 증명 데이터를 읽고 새 공백을 프로그래밍하기 위해 기록할 수 있습니다. 전문적인 공격 도구는 필요하지 않으며 적절하지도 않습니다. 이는 레거시 iCLASS에 익숙한 모든 통합업체에게 일상적인 유지 관리 프로세스입니다.

포브 사용자도 동일한 옵션을 가집니다. 동일한 Picopass 애플리케이션은 클램쉘 포브 폼 팩터에서 실행되므로, HID iCLASS 호환 키 포브 동일한 형식을 운반하는 것은 카드와 동일하게 인코딩되고 인증됩니다. 형식 및 메모리 구성이 중요하며, 물리적 케이싱은 대부분의 리더 설치에서 상호 교환 가능합니다.

사이트가 표준 구성인지 Elite인지 확실하지 않은 경우, 대량 주문을 하기 전에 하나의 호환 가능한 공백을 리더에 대해 테스트하는 것이 가장 안전한 단계입니다. 정품 표준 구성 리더는 올바르게 인코딩된 공백을 즉시 수락합니다. Elite 리더는 이를 거부하며, 이는 다음 섹션에서 다루는 보안 계층 범주에 있음을 명확하게 알려줍니다.

대규모 레거시 iCLASS 프로그램 — 아직 SE 또는 Seos로 마이그레이션하지 않은 데이터 센터, 서버 룸 및 캠퍼스 — 의 경우, 당사는 HID iCLASS 호환 키 포브 및 카드 형식을 표준 2K 및 16K Picopass 구성으로 재고를 유지합니다. 당사의 iCLASS, iCLASS SE & Seos: 계층별 호환 카드 옵션 가이드는 주문 세부 사항을 자세히 다룹니다.

iCLASS SE / Elite: 설계상 보안 강화

iCLASS SE는 근본적으로 다른 보안 아키텍처를 도입했습니다. 레거시 iCLASS가 배포의 모든 카드에서 동일한 사이트 전체 애플리케이션 키를 사용하는 반면, iCLASS SE 및 Elite 키 다각화 체계는 운영자가 보유한 루트 키에서 자격 증명당 고유한 키를 파생합니다. Elite 키로 프로그래밍된 리더는 올바르게 다각화된 응답을 제시하지 않는 모든 카드를 거부합니다. 여기에는 다중 클래스 모드에서 SE 리더에 제시된 레거시 iCLASS 표준 카드도 포함됩니다.

이 아키텍처는 의도적입니다. 이것이 iCLASS SE가 기업 및 정부 설치에서 프리미엄을 요구하는 이유입니다. 운영자가 보유한 다각화된 키로 인해 발생하는 설치된 리더 잠금은 상업적 불편함이 아니라 진정한 보안 속성입니다. 잠재적인 교체 카드는 샘플에서 애플리케이션 데이터를 단순히 복사할 수 없습니다. 검증 단계에서는 합법적인 인증 교환 중에 올바른 카드만 생성할 수 있는 다각화된 키가 필요하기 때문입니다.

따라서 iCLASS SE 및 Elite 배포를 위해 당사가 공급하는 것은 호환 가능한 공백 자격 증명입니다. 즉, HID iCLASS SE 호환 카드 올바른 칩 플랫폼과 올바른 애플리케이션 구조로 구축되었지만, 키가 미리 로드되어 있지 않습니다. 시스템의 등록 프로세스 — 일반적으로 이미 사용 중인 동일한 액세스 제어 관리 소프트웨어를 통해 수행됨 — 는 발급 중에 사이트의 다각화된 키와 자격 증명 데이터를 공백에 기록합니다.

이는 기존 공급업체로부터 새 카드를 발급하는 프로세스와 동일하며, 두 가지 차이점이 있습니다. 즉, HID 대신 당사로부터 공백을 공급받고, 단위 비용이 더 낮습니다. 발급된 자격 증명의 보안 속성은 시스템이 로드하는 키에 의해 결정되며, 공백 캐리어를 누가 제조했는지에 의해 결정되지 않습니다.

마찬가지로, 당사가 재고로 보유하고 있는 HID iCLASS Elite 호환 카드 형식은 등록 인프라를 통해 Elite 체계 키 다각화를 수용하도록 구축되었습니다. 설치업체 또는 시스템 통합업체가 리더를 Elite용으로 구성한 경우, 동일한 등록 워크플로우가 적용됩니다.

iCLASS 계층을 혼합하는 시설 — 다년간의 마이그레이션 프로그램 동안 흔히 발생하는 현실 — 의 경우, 레거시 Picopass 애플리케이션과 SE 애플리케이션 계층을 모두 운반하는 다중 기술 카드도 사용할 수 있습니다. 이를 통해 모든 카드 소지자에게 이중으로 자격 증명을 발급할 필요 없이 건물별로 레거시 리더를 단계적으로 폐지할 수 있습니다.

Seos: 보안 요소의 AES

Seos는 HID의 현재 주력 플랫폼이며 iCLASS 제품군에서 가장 정교한 자격 증명 아키텍처를 나타냅니다. 이 애플리케이션은 전용 보안 요소(변조 방지 하드웨어 인클레이브) 내에서 실행되며, 모든 자격 증명 작업은 보안 요소에서 평문으로 절대 벗어나지 않는 키를 사용하여 AES-128 또는 AES-256 암호화로 보호됩니다.

교체 구매에 대한 실질적인 결과는 iCLASS SE와 동일하지만 훨씬 더 명확하게 정의됩니다. 외부에서 작동하는 Seos 애플리케이션을 작성하는 호환 가능한 경로는 없습니다. Seos 자격 증명을 Seos 리더에 인증하는 AES 키는 보안 요소 내에 있으며 HID의 Trusted Identity Platform 또는 라이선스가 부여된 등록 인프라를 통해서만 로드됩니다. HID Seos 당사가 공급하는 공백은 정확히 다음과 같습니다. 올바른 보안 요소 칩과 올바른 Seos 애플리케이션 컨테이너를 갖춘 공백 자격 증명으로, 일반적인 발급 프로세스를 통해 시스템의 키를 받을 준비가 되어 있습니다.

이는 분실되거나 손상된 Seos 카드를 교체하는 조달 팀에게 중요합니다. 정가로 원래 시스템 통합업체를 통해 교체품을 구매할 필요가 없습니다. 호환 가능한 카드 공급업체로부터 공백 자격 증명을 조달하고, 기존 등록 스테이션을 통해 실행하고, 카드 소지자에게 발급할 수 있습니다. 리더는 공백을 누가 제조했는지 알거나 신경 쓰지 않습니다. 자격 증명이 시스템이 로드한 키를 사용하여 유효한 AES 응답을 제공하는지 여부만 중요합니다.

Seos는 HID의 모바일 및 웨어러블 자격 증명 생태계의 기반이 되는 플랫폼이기도 하지만, 이는 물리적 카드 공급과는 별개의 소프트웨어 라이선스 문제입니다. 물리적 자격 증명을 선호하거나 필요로 하는 직원을 위한 물리적 Seos 카드 및 키 포브는 호환 가능한 공백으로 조달하기 여전히 간단합니다.

데이터 센터, 연구 시설 및 금융 운영실과 같은 고보안 환경(당사의 데이터 센터 & 서버실 고보안 자격 증명 솔루션 세트에 포함된 배포 유형)의 경우 Seos 공백 자격 증명은 플랫폼이 제공하도록 설계된 AES 보안 속성을 손상시키지 않으면서 비용 효율적인 발급 경로를 제공합니다.

다른 13.56 MHz 기술과 함께 Seos를 실행하는 운영자는 당사의 MIFARE 제품군 설명: Classic, Plus, DESFire, Ultralight 가이드를 통해 병렬 스마트 카드 환경을 이해하는 데 유용할 수 있습니다. Seos 및 MIFARE DESFire 자격 증명을 모두 읽는 혼합 리더 패널이 기업 액세스 프로그램에서 점점 더 보편화되고 있기 때문입니다.

각 계층에 대해 실제로 공급하는 것

모호성을 제거하기 위해 Security ID Systems가 HID iCLASS 제품군의 각 계층에 대해 재고 및 배송하는 내용을 정확히 설명합니다.

표준 구성의 레거시 iCLASS (Picopass)의 경우: 2K 및 16K 형식의 완전 호환 가능한 공백 카드 및 키 포브를 공급합니다. 이들은 귀하의 사이트 코드 및 카드 번호 범위에 사전 인코딩되도록 주문하거나, 귀하의 자체 설치 도구 체인을 통해 인코딩하기 위한 공백으로 주문할 수 있습니다. iclass csn passthrough card compatible 형식은 전체 애플리케이션 대신 CSN 읽기 전용 모드에 의존하는 배포에도 사용할 수 있습니다.

iCLASS SE 및 Elite의 경우: 올바른 칩 플랫폼에 호환 가능한 공백 자격 증명을 공급하며, 액세스 제어 관리 시스템을 통해 등록할 준비가 되어 있습니다. 키는 당사가 아닌 귀하의 시스템에 속하므로 사전 로드된 SE 또는 Elite 자격 증명은 공급하지 않습니다. 이것이 보안 모델이 올바르게 작동하는 방식입니다.

Seos의 경우: 동일한 모델입니다. 호환 가능한 공백 Seos 자격 증명, 올바른 보안 요소 칩, 올바른 애플리케이션 컨테이너, 사전 로드된 키 없음. 인프라를 통한 등록은 귀하의 키와 자격 증명 데이터를 로드합니다.

또한 iCLASS 애플리케이션을 다른 프로토콜과 페어링하는 다양한 다중 기술 형식을 제공합니다. 이는 마이그레이션 중에 유용합니다. 예를 들어, 레거시 125 kHz proximity에서 iCLASS 또는 Seos로 이동하는 사이트는 전환 기간 동안 두 기술을 동시에 지원하는 카드가 필요한 경우가 많습니다. 당사의 13.56 MHz HF 스마트 카드 카탈로그 및 고보안 & 맞춤형 형식 섹션은 전체 다중 기술 범위를 다룹니다.

Bosch, TESA, Mul-T-Lock 또는 iCLASS 리더를 내장하는 기타 OEM 시스템을 조달하는 구매자는 동일한 계층 논리가 적용된다는 것을 알게 될 것입니다. bosch access control card compatible, tesa hotel key card compatible, 또는 smartair compatible card 와 같이 iCLASS 자격 증명 계층을 사용하는 카드는 동일한 표준 구성 대 보안 계층 분할을 따릅니다. 주문하기 전에 OEM 리더가 실행하는 iCLASS 계층을 확인하십시오.

동시에 이전 125 kHz Wiegand 시스템을 마이그레이션하는 경우 HID compatible proximity card 범위는 모든 다중 기술 페어링의 125 kHz 측면을 제공합니다.

당사의 광범위한 호환 대 정품 액세스 카드: 정직한 구매자 가이드 는 조달 논쟁을 완전히 다룹니다. 호환 가능한 공백이 상업적으로 합리적인 시기, 대량 주문 전에 확인할 사항, 기존 인프라를 통해 등록 프로세스를 관리하는 방법 등을 다룹니다.

Security ID Systems는 호환 가능한 액세스 자격 증명의 독립 공급업체입니다. 당사는 HID Global과 제휴하거나 보증하거나 상업적 관계를 맺고 있지 않습니다. HID, iCLASS, iCLASS SE, Seos 및 Picopass는 해당 소유자의 상표입니다.