De drie HID 13.56 MHz-niveaus uitgelegd
HID Global's 13.56 MHz smartcard-assortiment is geen enkel product, maar een familie van drie architectonisch verschillende niveaus, elk met zijn eigen beveiligingsmodel, chipontwerp en praktisch vervangingsverhaal. Het samenvoegen ervan is de meest voorkomende bron van verwarring wanneer facilitaire teams op zoek gaan naar een hid iclass compatibele sleutelhanger of een kaart ter vervanging van een verouderde referentie.
De drie niveaus zijn: (1) legacy iCLASS, ook wel Picopass genoemd, dat de basis vormt voor eerstegeneratie iCLASS-lezers; (2) iCLASS SE en iCLASS Elite, die extra applicatiediversificatie toevoegen bovenop de Picopass-basis; en (3) Seos, HID's huidige generatie platform gebouwd rond AES-encryptie op een dedicated secure element. Elk niveau presenteert een andere compatibiliteitsvraag, dus de rest van deze gids behandelt ze achtereenvolgens.
Alle drie de niveaus delen de 13.56 MHz ISO 15693 / ISO 14443 frequentieband en zullen fysiek een compatibele lezer activeren. Frequentiecompatibiliteit is waar de gelijkenis eindigt. De authenticatie-, sleuteldiversificatie- en referentieopslagarchitecturen zijn aanzienlijk verschillend over de drie, en die architectuur — niet de radiofrequentie — bepaalt of een compatibele referentie een werkende applicatie kan dragen.
Legacy iCLASS (Picopass) en zijn compatibele pad
Legacy iCLASS-referenties gebruiken het Picopass-protocol met een applicatie opgeslagen in een gedefinieerde geheugenindeling. Wanneer een locatie standaard geconfigureerde legacy iCLASS gebruikt — de meest voorkomende implementatie in oudere bedrijfs- en overheidsinstallaties — zullen compatibele blanco kaarten die zijn geprogrammeerd met hetzelfde referentieformaat, authenticeren met de bestaande lezers zonder enige firmware- of hardwarewijziging.
Dit is het duidelijke compatibele geval in de iCLASS-wereld. Als het auditlogboek van uw lezerpaneel iCLASS 2K- of 16K-referenties toont, en de locatie heeft geen Elite-niveau sleuteldiversificatie ingeschakeld, bevindt u zich vrijwel zeker in het standaardconfiguratiegebied. Een HID iCLASS Legacy (2K/16K Picopass) formaat kaart, afkomstig van een gespecialiseerde leverancier, kan worden gecodeerd met uw bestaande sitecode en kaartnummer en aan gebruikers worden uitgegeven via uw normale programmeerworkflow.
De praktische vereiste is dat u een voorbeeldreferentie of de sitecodedata nodig heeft om de vervangingen correct te programmeren. Gewone lees-schrijftools die beschikbaar zijn voor elke gecertificeerde installateur kunnen de referentiedata van een voorbeeldkaart lezen en vastleggen voor het programmeren van nieuwe blanco's. Geen gespecialiseerde aanvalstools zijn nodig of gepast — dit is een routine onderhoudsproces voor elke integrator die bekend is met legacy iCLASS.
Fob-gebruikers hebben dezelfde opties. Dezelfde Picopass-applicatie draait in clamshell fob-vormfactoren, dus een hid iclass compatibele sleutelhanger met hetzelfde formaat codeert en authenticeert identiek aan het kaartequivalent. Formaat en geheugenconfiguratie zijn van belang; fysieke behuizing is uitwisselbaar in de meeste lezerinstallaties.
Als u niet zeker weet of uw locatie een standaardconfiguratie of Elite is, is de veiligste stap om één compatibele blanco te testen met uw lezer voordat u een bulkbestelling plaatst. Een echte standaardconfiguratielezer accepteert een correct gecodeerde blanco onmiddellijk. Een Elite-lezer zal deze weigeren, wat u duidelijk vertelt dat u zich in de beveiligde-tiercategorie bevindt die in de volgende sectie wordt behandeld.
Voor grootschalige legacy iCLASS-programma's — datacenters, serverruimtes en campussen die nog niet zijn gemigreerd naar SE of Seos — houden we voorraad aan van hid iclass compatibele sleutelhanger en kaartformaten in standaard 2K en 16K Picopass configuraties. Onze iCLASS, iCLASS SE & Seos: Compatibele kaartopties per niveau gids behandelt de bestelspecificaties in detail.
iCLASS SE / Elite: beveiligd door ontwerp
iCLASS SE introduceerde een fundamenteel andere beveiligingsarchitectuur. Waar legacy iCLASS een site-brede applicatiesleutel gebruikt die hetzelfde is voor alle kaarten in een implementatie, leiden iCLASS SE en het Elite-sleuteldiversificatieschema een unieke sleutel per referentie af van een hoofdsleutel die in het bezit is van de operator. Een lezer die is geprogrammeerd met Elite-sleutels zal elke kaart weigeren die geen correct gediversifieerde respons presenteert — inclusief een legacy iCLASS standaardkaart die wordt aangeboden aan een SE-lezer in multi-class modus.
Deze architectuur is opzettelijk. Het is de reden waarom iCLASS SE een premium positie inneemt in bedrijfs- en overheidsinstallaties: de geïnstalleerde-lezer lock-in die wordt gecreëerd door gediversifieerde sleutels in het bezit van de operator is een echte beveiligingseigenschap, geen commercieel ongemak. Een potentiële vervangende kaart kan de applicatiegegevens van een voorbeeld niet zomaar kopiëren, omdat de verificatiestap de gediversifieerde sleutel vereist die alleen de juiste kaart zou produceren tijdens een legitieme authenticatie-uitwisseling.
Wat wij leveren voor iCLASS SE- en Elite-implementaties is daarom een compatibele blanco referentie: een hid iclass se compatibele kaart gebouwd op het juiste chipplatform met de juiste applicatiestructuur, maar zonder vooraf geladen sleutels. Het inschrijvingsproces van uw systeem — doorgaans uitgevoerd via dezelfde toegangscontrolebeheersoftware die u al gebruikt — schrijft de gediversifieerde sleutels en referentiegegevens van uw locatie naar de blanco tijdens de uitgifte.
Dit is identiek aan het proces voor het uitgeven van een gloednieuwe kaart van uw huidige leverancier, met twee verschillen: u koopt de blanco bij ons in plaats van bij HID, en de eenheidskosten zijn lager. De beveiligingseigenschappen van de uitgegeven referentie worden bepaald door de sleutels die uw systeem laadt, niet door wie de blanco drager heeft gefabriceerd.
Evenzo, de hid iclass elite compatibele kaart formaat dat we op voorraad hebben, is gebouwd om Elite-schema sleuteldiversificatie te accepteren via uw inschrijvingsinfrastructuur. Als uw installateur of systeemintegrator uw lezers heeft geconfigureerd voor Elite, is dezelfde inschrijvingsworkflow van toepassing.
Voor faciliteiten die iCLASS-niveaus combineren — een veelvoorkomende realiteit tijdens meerjarige migratieprogramma's — zijn ook multi-technologiekaarten beschikbaar die zowel een legacy Picopass-applicatie als een SE-applicatielaag bevatten. Hiermee kunt u legacy-lezers gebouw voor gebouw uitfaseren zonder dubbele referenties aan elke kaarthouder uit te geven.
Seos: AES op een secure element
Seos is HID's huidige vlaggenschipplatform en vertegenwoordigt de meest geavanceerde credential-architectuur in de iCLASS-familie. De applicatie draait binnen een toegewijd secure element — een fraudebestendige hardware-enclave — en alle credential-operaties worden beschermd door AES-128- of AES-256-encryptie met sleutels die het secure element nooit in platte tekst verlaten.
De praktische consequentie voor vervangingsaankopen is dezelfde als voor iCLASS SE, maar nog duidelijker gedefinieerd: er is geen compatibel pad dat een werkende Seos-applicatie van buitenaf schrijft. De AES-sleutels die een Seos-credential authenticeren bij een Seos-lezer bevinden zich binnen het secure element en worden uitsluitend geladen via HID's Trusted Identity Platform of een gelicentieerde inschrijvingsinfrastructuur. Een HID Seos blanco die wij leveren is daarom precies dat: een blanco credential met de juiste secure-element chip en de juiste Seos-applicatiecontainer, klaar om de sleutels van uw systeem te ontvangen via uw normale uitgifteproces.
Dit is van belang voor inkoopteams die verloren of beschadigde Seos-kaarten vervangen. U hoeft geen vervangingen aan te schaffen via uw oorspronkelijke systeemintegrator tegen de catalogusprijs. U kunt de blanco credential betrekken van een compatibele-kaartleverancier, deze door uw bestaande inschrijfstation halen en aan de kaarthouder uitgeven. De lezer weet of geeft er niet om wie de blanco heeft geproduceerd; het enige wat telt, is dat de credential een geldige AES-respons presenteert met behulp van de sleutels die uw systeem heeft geladen.
Seos is ook het platform achter HID's mobiele en draagbare credential-ecosysteem, maar dat is een softwarelicentie-vraag die losstaat van de levering van fysieke kaarten. Fysieke Seos-kaarten en -fobs voor personeel dat een fysieke credential verkiest of nodig heeft, blijven eenvoudig te verkrijgen als compatibele blanco's.
Voor omgevingen met hoge beveiliging, zoals datacenters, onderzoeksfaciliteiten en financiële operatiekamers — de soorten implementaties in onze Datacenter & Serverruimte High-Security Credentials oplossingsset — bieden Seos blanco credentials een kosteneffectief uitgiftepad zonder afbreuk te doen aan de AES-beveiligingseigenschappen die het platform moest leveren.
Operators die Seos naast andere 13.56 MHz-technologieën gebruiken, vinden mogelijk ook onze De MIFARE Familie Uitgelegd: Classic, Plus, DESFire, Ultralight gids nuttig voor het begrijpen van het parallelle smart-card landschap, aangezien gemengde lezerpanelen die zowel Seos- als MIFARE DESFire-credentials lezen steeds vaker voorkomen in toegangsbeheerprogramma's van bedrijven.
Wat wij daadwerkelijk leveren voor elke tier
Om elke dubbelzinnigheid weg te nemen, is hier precies wat Security ID Systems op voorraad heeft en verzendt voor elke tier van de HID iCLASS-familie.
Voor legacy iCLASS (Picopass) in standaardconfiguratie: wij leveren volledig compatibele blanco kaarten en fobs in 2K- en 16K-formaten. Deze kunnen vooraf gecodeerd worden besteld met uw sitecode en kaartnummerbereik, of als blanco's voor codering via uw eigen installateurstoolchain. Het iCLASS CSN passthrough-kaart compatibel formaat is ook beschikbaar voor implementaties die afhankelijk zijn van de CSN read-only modus in plaats van een volledige applicatie.
Voor iCLASS SE en Elite: wij leveren compatibele blanco credentials op het juiste chipplatform, klaar voor inschrijving via uw toegangsbeheer managementsysteem. Wij leveren geen vooraf geladen SE- of Elite-credentials omdat de sleutels toebehoren aan uw systeem, niet aan ons — dat is het beveiligingsmodel dat correct werkt.
Voor Seos: hetzelfde model. Compatibele blanco Seos-credentials, juiste secure-element chip, juiste applicatiecontainer, nul vooraf geladen sleutels. Inschrijving via uw infrastructuur laadt uw sleutels en uw credential-gegevens.
Wij voeren ook een reeks multi-technologie formaten die iCLASS-applicaties combineren met andere protocollen — nuttig tijdens migraties. Sites die bijvoorbeeld overstappen van legacy 125 kHz proximity naar iCLASS of Seos hebben vaak kaarten nodig die beide technologieën gelijktijdig dragen tijdens de overgangsperiode. Onze 13.56 MHz HF smartcards catalogus en Hoge beveiliging & Aangepaste formaten sectie behandelen het volledige multi-technologie assortiment.
Kopers die inkopen voor Bosch, TESA, Mul-T-Lock, of andere OEM-systemen die iCLASS-lezers inbedden, zullen merken dat dezelfde tier-logica van toepassing is. Een Bosch toegangscontrolekaart compatibel, tesa-hotelsleutelkaart compatibel, of een SmartAir-compatibele kaart die een iCLASS credential-laag gebruikt, volgt dezelfde standaard-config versus beveiligde-tier splitsing. Controleer welke iCLASS-tier de OEM-lezer gebruikt voordat u bestelt.
Als u tegelijkertijd een oudere 125 kHz Wiegand-omgeving migreert, biedt het HID-compatibele proximitykaart assortiment de 125 kHz-zijde van elke multi-technologie koppeling.
Onze bredere Compatibele versus originele toegangskaarten: een eerlijke kopersgids behandelt het inkoopargument volledig — wanneer compatibele blanco's commercieel zinvol zijn, wat te verifiëren voordat u in bulk bestelt, en hoe u het inschrijvingsproces via uw bestaande infrastructuur beheert.
Security ID Systems is een onafhankelijke leverancier van compatibele toegangscredentials. Wij zijn niet gelieerd aan, onderschreven door, of in enige commerciële relatie met HID Global. HID, iCLASS, iCLASS SE, Seos en Picopass zijn handelsmerken van hun respectievelijke eigenaren.
HID 13.56 MHz credential tiers: beveiligingsmodel en compatibel leveringspad
| Tier | Protocol / Chip | Authenticatiemodel | Compatibel pad | Wat wij leveren |
|---|---|---|---|---|
| Legacy iCLASS Standaard | Picopass (ISO 15693) | Site-brede applicatiesleutel, hetzelfde voor alle kaarten | Direct: compatibele blanco gecodeerd met uw sitecode en kaartnummer | Voorgecodeerde of blanco 2K/16K Picopass kaarten en fobs |
| Legacy iCLASS Elite | Picopass + Elite sleuteldiversificatie | Per kaart gediversifieerde sleutel van operator root sleutel | Alleen inschrijving: blanco accepteert de gediversifieerde sleutels van uw systeem bij uitgifte | Compatibele blanco Elite referenties voor inschrijving via uw systeem |
| iCLASS SE / SE Elite | Picopass SE + applicatiediversificatie | Per kaart gediversifieerde sleutel, SE applicatielaag | Alleen inschrijving: blanco accepteert de SE sleutels van uw systeem bij uitgifte | Compatibele blanco SE referenties; multi-tech (legacy + SE) ook beschikbaar |
| Seos | Beveiligd element, AES-128/256 | AES referentiebewerkingen binnen fraudebestendig beveiligd element; sleutels nooit blootgesteld in platte tekst | Alleen inschrijving: blanco accepteert de AES sleutels van uw systeem via gelicentieerde inschrijvingsinfrastructuur | Compatibele blanco Seos referenties met de juiste secure-element chip en applicatiecontainer |