Объяснение трех уровней HID 13.56 MHz
Линейка смарт-карт HID Global 13.56 MHz — это не один продукт, а семейство из трех архитектурно различных уровней, каждый со своей моделью безопасности, дизайном чипа и практической историей замены. Группировка их вместе является наиболее распространенным источником путаницы, когда команды по обслуживанию объектов ищут совместимый брелок hid iclass или карту для замены устаревших учетных данных.
Три уровня: (1) устаревший iCLASS, также называемый Picopass, который лежит в основе считывателей первого поколения iCLASS; (2) iCLASS SE и iCLASS Elite, которые накладывают дополнительную диверсификацию приложений поверх базового Picopass; и (3) Seos, текущая платформа HID, построенная на основе шифрования AES на выделенном защищенном элементе. Каждый уровень представляет собой отдельный вопрос совместимости, поэтому остальная часть этого руководства рассматривает их по очереди.
Все три уровня используют частотный диапазон 13.56 MHz ISO 15693 / ISO 14443 и физически активируют совместимый считыватель. Совместимость по частоте — это то, где заканчивается сходство. Архитектуры аутентификации, диверсификации ключей и хранения учетных данных существенно различаются между тремя, и именно эта архитектура — а не радиочастота — определяет, может ли совместимое удостоверение нести рабочее приложение.
Устаревший iCLASS (Picopass) и его совместимый путь
Устаревшие учетные данные iCLASS используют протокол Picopass с приложением, хранящимся в определенной структуре памяти. Когда объект использует стандартную конфигурацию устаревшего iCLASS — наиболее распространенное развертывание в старых корпоративных и государственных установках — совместимые пустые карты, запрограммированные на тот же формат учетных данных, будут аутентифицироваться с существующими считывателями без каких-либо изменений прошивки или оборудования.
Это однозначный совместимый случай в мире iCLASS. Если журнал аудита вашей панели считывателя показывает учетные данные iCLASS 2K или 16K, и объект не включил диверсификацию ключей уровня Elite, вы почти наверняка находитесь на территории стандартной конфигурации. Карта формата HID iCLASS Legacy (2K/16K Picopass) полученная от специализированного поставщика, может быть закодирована с использованием вашего существующего кода объекта и номера карты и выдана пользователям через ваш обычный рабочий процесс программирования.
Практическое требование состоит в том, что вам нужны образец учетных данных или данные кода объекта для правильного программирования замен. Обычные инструменты для чтения-записи, доступные любому сертифицированному установщику, могут считывать данные учетных данных с образца карты и записывать их для программирования новых заготовок. Специализированные инструменты для взлома не нужны и не подходят — это рутинный процесс обслуживания для любого интегратора, знакомого с устаревшим iCLASS.
Пользователи брелоков имеют те же возможности. То же приложение Picopass работает в форм-факторах брелоков-раскладушек, поэтому совместимый брелок hid iclass несущий тот же формат, кодируется и аутентифицируется идентично эквиваленту карты. Важны формат и конфигурация памяти; физический корпус взаимозаменяем в большинстве установок считывателей.
Если вы не уверены, является ли ваш объект стандартной конфигурацией или Elite, самый безопасный шаг — протестировать одну совместимую заготовку на вашем считывателе перед размещением оптового заказа. Подлинный считыватель стандартной конфигурации немедленно примет правильно закодированную заготовку. Считыватель Elite отклонит ее, что четко указывает на то, что вы находитесь в категории защищенного уровня, описанной в следующем разделе.
Для крупномасштабных программ устаревшего iCLASS — центров обработки данных, серверных комнат и кампусов, которые еще не перешли на SE или Seos — мы поддерживаем запас совместимый брелок hid iclass и форматов карт в стандартных конфигурациях Picopass 2K и 16K. Наше руководство iCLASS, iCLASS SE & Seos: Варианты совместимых карт по уровням подробно описывает особенности заказа.
iCLASS SE / Elite: защищено по замыслу
iCLASS SE представил принципиально иную архитектуру безопасности. Если устаревший iCLASS использует ключ приложения для всего объекта, который одинаков для всех карт в развертывании, то iCLASS SE и схема диверсификации ключей Elite выводят уникальный ключ для каждого учетного данных из корневого ключа, хранящегося у оператора. Считыватель, запрограммированный с ключами Elite, отклонит любую карту, которая не предоставляет правильно диверсифицированный ответ — включая стандартную карту устаревшего iCLASS, представленную считывателю SE в многоклассовом режиме.
Эта архитектура преднамеренна. Именно поэтому iCLASS SE пользуется спросом в корпоративных и государственных установках: привязка к установленному считывателю, созданная диверсифицированными ключами, хранящимися у оператора, является подлинным свойством безопасности, а не коммерческим неудобством. Предполагаемая карта-заменитель не может просто скопировать данные приложения с образца, потому что шаг проверки требует диверсифицированного ключа, который может быть произведен только правильной картой во время законного обмена аутентификацией.
То, что мы поставляем для развертываний iCLASS SE и Elite, представляет собой совместимые пустые учетные данные: совместимая карта hid iclass se построенная на правильной чиповой платформе с правильной структурой приложения, но без предварительно загруженных ключей. Процесс регистрации вашей системы — обычно выполняемый с помощью того же программного обеспечения для управления контролем доступа, которое вы уже используете — записывает диверсифицированные ключи вашего объекта и данные учетных данных на заготовку во время выдачи.
Это идентично процессу выдачи совершенно новой карты от вашего текущего поставщика, с двумя отличиями: вы получаете заготовку у нас, а не у HID, и стоимость единицы ниже. Свойства безопасности выданных учетных данных определяются ключами, которые загружает ваша система, а не тем, кто изготовил пустой носитель.
Аналогично, формат совместимая карта hid iclass elite который мы храним, создан для приема диверсификации ключей схемы Elite через вашу инфраструктуру регистрации. Если ваш установщик или системный интегратор настроил ваши считыватели для Elite, применяется тот же рабочий процесс регистрации.
Для объектов, которые смешивают уровни iCLASS — обычная реальность во время многолетних программ миграции — также доступны многотехнологические карты, несущие как устаревшее приложение Picopass, так и слой приложения SE. Это позволяет поэтапно выводить из эксплуатации устаревшие считыватели по зданиям без двойной выдачи учетных данных каждому держателю карты.
Seos: AES на защищенном элементе
Seos — это текущая флагманская платформа HID и самая сложная архитектура учетных данных в семействе iCLASS. Приложение работает внутри выделенного защищенного элемента — защищенного от несанкционированного доступа аппаратного анклава — и все операции с учетными данными защищены шифрованием AES-128 или AES-256 с ключами, которые никогда не покидают защищенный элемент в открытом виде.
Практическое следствие для замены такое же, как и для iCLASS SE, но еще более четко определенное: нет совместимого пути, который записывает рабочее приложение Seos извне. Ключи AES, которые аутентифицируют учетные данные Seos для считывателя Seos, находятся внутри защищенного элемента и загружаются исключительно через HID's Trusted Identity Platform или лицензированную инфраструктуру регистрации. Таким образом, пустая карта HID Seos , которую мы поставляем, является именно этим: пустые учетные данные с правильным чипом защищенного элемента и правильным контейнером приложения Seos, готовые к получению ключей вашей системы через ваш обычный процесс выдачи.
Это важно для закупочных команд, заменяющих утерянные или поврежденные карты Seos. Вам не нужно приобретать замены через вашего первоначального системного интегратора по прейскурантной цене. Вы можете получить пустые учетные данные у поставщика совместимых карт, пропустить их через существующую станцию регистрации и выдать держателю карты. Считыватель не знает и не заботится о том, кто изготовил заготовку; его заботит только то, что учетные данные представляют действительный ответ AES, используя ключи, загруженные вашей системой.
Seos также является платформой, лежащей в основе экосистемы мобильных и носимых учетных данных HID, но это вопрос лицензирования программного обеспечения, отдельный от поставки физических карт. Физические карты и брелоки Seos для персонала, который предпочитает или требует физические учетные данные, остаются простыми в приобретении в качестве совместимых заготовок.
Для сред с высоким уровнем безопасности, таких как центры обработки данных, исследовательские учреждения и операционные залы финансовых учреждений — виды развертываний в нашем наборе решений Высокозащищенные учетные данные для серверных комнат & центров обработки данных — пустые учетные данные Seos обеспечивают экономически эффективный путь выдачи без ущерба для свойств безопасности AES, для обеспечения которых была разработана платформа.
Операторы, использующие Seos наряду с другими технологиями 13.56 MHz, также могут найти наше Семейство MIFARE: Classic, Plus, DESFire, Ultralight руководство полезным для понимания параллельного ландшафта смарт-карт, поскольку панели смешанных считывателей, считывающие как учетные данные Seos, так и MIFARE DESFire, становятся все более распространенными в корпоративных программах доступа.
Что мы фактически поставляем для каждого уровня
Чтобы устранить любую двусмысленность, вот что именно Security ID Systems хранит и поставляет для каждого уровня семейства HID iCLASS.
Для устаревших iCLASS (Picopass) в стандартной конфигурации: мы поставляем полностью совместимые пустые карты и брелоки в форматах 2K и 16K. Их можно заказать предварительно закодированными с вашим кодом сайта и диапазоном номеров карт, или заказать в виде заготовок для кодирования с помощью вашего собственного набора инструментов установщика. Формат совместимой карты iCLASS CSN passthrough также доступен для развертываний, которые полагаются на режим только для чтения CSN, а не на полное приложение.
Для iCLASS SE и Elite: мы поставляем совместимые пустые учетные данные на правильной чиповой платформе, готовые к регистрации через вашу систему управления доступом. Мы не поставляем предварительно загруженные учетные данные SE или Elite, потому что ключи принадлежат вашей системе, а не нам — это правильная работа модели безопасности.
Для Seos: та же модель. Совместимые пустые учетные данные Seos, правильный чип защищенного элемента, правильный контейнер приложения, ноль предварительно загруженных ключей. Регистрация через вашу инфраструктуру загружает ваши ключи и данные ваших учетных данных.
Мы также предлагаем ряд многотехнологичных форматов, которые сочетают приложения iCLASS с другими протоколами — полезно во время миграции. Например, объектам, переходящим с устаревших 125 kHz proximity на iCLASS или Seos, часто требуются карты, которые одновременно поддерживают обе технологии в течение переходного периода. Наш 13.56 MHz HF Смарт-карты каталог и Высокая безопасность & Пользовательские форматы раздел охватывают полный спектр многотехнологичных решений.
Покупатели, закупающие для Bosch, TESA, Mul-T-Lock или других OEM-систем, которые встраивают считыватели iCLASS, обнаружат, что применяется та же логика уровней. Совместимая карта контроля доступа Bosch, , совместимая карта-ключ для отеляTESA или совместимая карта Smartair
, которая использует уровень учетных данных iCLASS, следует тому же разделению на стандартную конфигурацию и защищенный уровень. Перед заказом проверьте, какой уровень iCLASS использует OEM-считыватель. Если вы одновременно мигрируете старую систему 125 kHz Wiegand, ассортимент совместимых proximity-карт HID
обеспечивает сторону 125 kHz для любого многотехнологичного сопряжения. Совместимые против подлинных карт доступа: Честное руководство покупателя Наше более широкое
руководство по закупкам полностью охватывает аргументы — когда совместимые заготовки имеют коммерческий смысл, что проверять перед заказом в больших объемах и как управлять процессом регистрации через вашу существующую инфраструктуру. Security ID Systems является независимым поставщиком совместимых учетных данных доступа. Мы не связаны, не одобрены и не находимся в каких-либо коммерческих отношениях с HID Global. HID, iCLASS, iCLASS SE, Seos и Picopass являются товарными знаками соответствующих владельцев.
Уровни учетных данных HID 13.56 MHz: модель безопасности и совместимый путь поставки
| Уровень | Протокол / Чип | Модель аутентификации | Совместимый путь | Что мы поставляем |
|---|---|---|---|---|
| Устаревший стандарт iCLASS | Picopass (ISO 15693) | Ключ приложения для всего объекта, одинаковый для всех карт | Прямой: совместимая заготовка, закодированная с вашим кодом объекта и номером карты | Предварительно закодированные или чистые карты и брелоки Picopass 2K/16K |
| Устаревший iCLASS Elite | Picopass + диверсификация ключей Elite | Ключ для каждой карты, диверсифицированный от корневого ключа оператора | Только для регистрации: заготовка принимает диверсифицированные ключи вашей системы при выдаче | Совместимые чистые учетные данные Elite для регистрации через вашу систему |
| iCLASS SE / SE Elite | Picopass SE + диверсификация приложений | Диверсифицированный ключ для каждой карты, уровень приложения SE | Только для регистрации: заготовка принимает ключи SE вашей системы при выдаче | Совместимые чистые учетные данные SE; также доступны мультитехнологичные (устаревшие + SE) |
| Seos | Защищенный элемент, AES-128/256 | Операции с учетными данными AES внутри защищенного от взлома элемента; ключи никогда не раскрываются в открытом виде | Только для регистрации: заготовка принимает ключи AES вашей системы через лицензированную инфраструктуру регистрации | Совместимые чистые учетные данные Seos с правильным чипом защищенного элемента и контейнером приложения |