HID iCLASS, iCLASS SE & Seos: Những gì có thể được thay thế

Giải thích ba cấp độ HID 13.56 MHz

Dòng thẻ thông minh 13.56 MHz của HID Global không phải là một sản phẩm duy nhất mà là một họ gồm ba cấp độ kiến trúc khác biệt, mỗi cấp độ có mô hình bảo mật, thiết kế chip và câu chuyện thay thế thực tế riêng. Việc nhóm chúng lại với nhau là nguồn gốc phổ biến nhất gây nhầm lẫn khi các nhóm quản lý cơ sở tìm kiếm một móc khóa tương thích hid iclass hoặc một thẻ để thay thế một thông tin xác thực cũ.

Ba cấp độ là: (1) iCLASS cũ, còn được gọi là Picopass, là nền tảng cho các đầu đọc iCLASS thế hệ đầu tiên; (2) iCLASS SE và iCLASS Elite, bổ sung thêm lớp đa dạng hóa ứng dụng trên nền Picopass; và (3) Seos, nền tảng thế hệ hiện tại của HID được xây dựng xung quanh mã hóa AES trên một phần tử bảo mật chuyên dụng. Mỗi cấp độ đặt ra một câu hỏi tương thích khác nhau, vì vậy phần còn lại của hướng dẫn này sẽ lần lượt đề cập đến chúng.

Cả ba cấp độ đều chia sẻ băng tần 13.56 MHz ISO 15693 / ISO 14443 và sẽ kích hoạt vật lý một đầu đọc tương thích. Khả năng tương thích tần số là nơi sự tương đồng kết thúc. Kiến trúc xác thực, đa dạng hóa khóa và lưu trữ thông tin xác thực khác biệt đáng kể giữa ba cấp độ, và kiến trúc đó — chứ không phải tần số vô tuyến — chi phối liệu một thông tin xác thực tương thích có thể mang một ứng dụng hoạt động hay không.

iCLASS cũ (Picopass) và lộ trình tương thích của nó

Thông tin xác thực iCLASS cũ sử dụng giao thức Picopass với một ứng dụng được lưu trữ trong một bố cục bộ nhớ được xác định. Khi một địa điểm đang chạy iCLASS cũ cấu hình tiêu chuẩn — triển khai phổ biến nhất trong các cài đặt doanh nghiệp và chính phủ cũ hơn — các thẻ trắng tương thích được lập trình theo cùng định dạng thông tin xác thực sẽ xác thực với các đầu đọc hiện có mà không cần bất kỳ thay đổi firmware hoặc phần cứng nào.

Đây là trường hợp tương thích rõ ràng trong thế giới iCLASS. Nếu nhật ký kiểm tra của bảng điều khiển đầu đọc của bạn hiển thị thông tin xác thực iCLASS 2K hoặc 16K, và địa điểm chưa bật đa dạng hóa khóa cấp Elite, bạn gần như chắc chắn đang ở trong lãnh thổ cấu hình tiêu chuẩn. Một Thẻ định dạng HID iCLASS Legacy (2K/16K Picopass) được cung cấp từ một nhà cung cấp chuyên biệt có thể được mã hóa với mã địa điểm và số thẻ hiện có của bạn và cấp cho người dùng thông qua quy trình lập trình thông thường của bạn.

Yêu cầu thực tế là bạn cần một thông tin xác thực mẫu hoặc dữ liệu mã địa điểm để lập trình các sản phẩm thay thế một cách chính xác. Các công cụ đọc-ghi thông thường có sẵn cho bất kỳ nhà lắp đặt được chứng nhận nào có thể đọc dữ liệu thông tin xác thực từ một thẻ mẫu và ghi lại để lập trình các thẻ trắng mới. Không cần hoặc không phù hợp với các công cụ tấn công chuyên biệt — đây là một quy trình bảo trì định kỳ cho bất kỳ nhà tích hợp nào quen thuộc với iCLASS cũ.

Người dùng móc khóa có các tùy chọn tương tự. Ứng dụng Picopass tương tự chạy trong các yếu tố hình thức móc khóa vỏ sò, vì vậy một móc khóa tương thích hid iclass mang cùng định dạng mã hóa và xác thực giống hệt với thẻ tương đương. Định dạng và cấu hình bộ nhớ quan trọng; vỏ vật lý có thể hoán đổi cho nhau trong hầu hết các cài đặt đầu đọc.

Nếu bạn không chắc liệu địa điểm của mình là cấu hình tiêu chuẩn hay Elite, bước an toàn nhất là kiểm tra một thẻ trắng tương thích với đầu đọc của bạn trước khi đặt hàng số lượng lớn. Một đầu đọc cấu hình tiêu chuẩn chính hãng sẽ chấp nhận một thẻ trắng được mã hóa đúng cách ngay lập tức. Một đầu đọc Elite sẽ từ chối nó, điều này cho bạn biết rõ ràng rằng bạn đang ở trong danh mục cấp độ bảo mật được đề cập trong phần tiếp theo.

Đối với các chương trình iCLASS cũ quy mô lớn — các trung tâm dữ liệu, phòng máy chủ và khuôn viên chưa di chuyển sang SE hoặc Seos — chúng tôi duy trì kho hàng móc khóa tương thích hid iclass và các định dạng thẻ trong cấu hình Picopass 2K và 16K tiêu chuẩn. Hướng dẫn iCLASS, iCLASS SE & Seos: Tùy chọn thẻ tương thích theo cấp độ của chúng tôi bao gồm các chi tiết đặt hàng cụ thể.

iCLASS SE / Elite: được bảo mật theo thiết kế

iCLASS SE đã giới thiệu một kiến trúc bảo mật khác biệt cơ bản. Trong khi iCLASS cũ sử dụng một khóa ứng dụng toàn địa điểm giống nhau trên tất cả các thẻ trong một triển khai, iCLASS SE và sơ đồ đa dạng hóa khóa Elite tạo ra một khóa duy nhất cho mỗi thông tin xác thực từ một khóa gốc do nhà điều hành nắm giữ. Một đầu đọc được lập trình bằng khóa Elite sẽ từ chối bất kỳ thẻ nào không đưa ra phản hồi đa dạng hóa chính xác — bao gồm cả thẻ tiêu chuẩn iCLASS cũ được đưa vào đầu đọc SE ở chế độ đa lớp.

Kiến trúc này là có chủ ý. Đó là lý do tại sao iCLASS SE có giá cao trong các cài đặt doanh nghiệp và chính phủ: sự khóa chặt đầu đọc đã cài đặt được tạo ra bởi các khóa đa dạng hóa do nhà điều hành nắm giữ là một thuộc tính bảo mật thực sự, không phải là một sự bất tiện thương mại. Một thẻ thay thế tiềm năng không thể đơn giản sao chép dữ liệu ứng dụng từ một mẫu, bởi vì bước xác minh yêu cầu khóa đa dạng hóa mà chỉ thẻ chính xác mới tạo ra trong một trao đổi xác thực hợp lệ.

Do đó, những gì chúng tôi cung cấp cho các triển khai iCLASS SE và Elite là một thông tin xác thực trống tương thích: một thẻ tương thích hid iclass se được xây dựng trên nền tảng chip chính xác với cấu trúc ứng dụng chính xác, nhưng không có khóa được tải trước. Quá trình đăng ký của hệ thống của bạn — thường được thực hiện thông qua cùng một phần mềm quản lý kiểm soát truy cập mà bạn đã sử dụng — sẽ ghi các khóa đa dạng hóa và dữ liệu thông tin xác thực của địa điểm của bạn vào thẻ trống trong quá trình cấp phát.

Điều này giống hệt với quy trình cấp phát một thẻ hoàn toàn mới từ nhà cung cấp hiện tại của bạn, với hai điểm khác biệt: bạn lấy thẻ trống từ chúng tôi thay vì HID, và chi phí đơn vị thấp hơn. Các thuộc tính bảo mật của thông tin xác thực được cấp phát được xác định bởi các khóa mà hệ thống của bạn tải, không phải bởi ai đã sản xuất thẻ trống.

Tương tự, định dạng thẻ tương thích hid iclass elite mà chúng tôi có trong kho được xây dựng để chấp nhận đa dạng hóa khóa theo sơ đồ Elite thông qua cơ sở hạ tầng đăng ký của bạn. Nếu nhà lắp đặt hoặc nhà tích hợp hệ thống của bạn đã cấu hình đầu đọc của bạn cho Elite, quy trình đăng ký tương tự sẽ được áp dụng.

Đối với các cơ sở kết hợp các cấp độ iCLASS — một thực tế phổ biến trong các chương trình di chuyển kéo dài nhiều năm — các thẻ đa công nghệ mang cả ứng dụng Picopass cũ và lớp ứng dụng SE cũng có sẵn. Những thẻ này cho phép bạn loại bỏ dần các đầu đọc cũ theo từng tòa nhà mà không cần cấp phát hai thông tin xác thực cho mỗi chủ thẻ.

Seos: AES trên một phần tử bảo mật

Seos là nền tảng hàng đầu hiện tại của HID và đại diện cho kiến trúc thông tin xác thực tinh vi nhất trong dòng iCLASS. Ứng dụng chạy bên trong một phần tử bảo mật chuyên dụng — một vùng bảo mật phần cứng chống giả mạo — và tất cả các hoạt động thông tin xác thực được bảo vệ bằng mã hóa AES-128 hoặc AES-256 với các khóa không bao giờ rời khỏi phần tử bảo mật ở dạng văn bản gốc.

Hậu quả thực tế đối với việc mua hàng thay thế cũng giống như đối với iCLASS SE, nhưng được xác định rõ ràng hơn: không có đường dẫn tương thích nào ghi một ứng dụng Seos hoạt động từ bên ngoài. Các khóa AES xác thực thông tin xác thực Seos với đầu đọc Seos nằm bên trong phần tử bảo mật và được tải độc quyền thông qua Nền tảng Nhận dạng Tin cậy của HID hoặc cơ sở hạ tầng đăng ký được cấp phép. Một HID Seos thẻ trắng mà chúng tôi cung cấp chính xác là như vậy: một thông tin xác thực trắng với chip phần tử bảo mật chính xác và vùng chứa ứng dụng Seos chính xác, sẵn sàng nhận các khóa của hệ thống của bạn thông qua quy trình phát hành thông thường của bạn.

Điều này quan trọng đối với các nhóm mua sắm thay thế thẻ Seos bị mất hoặc hư hỏng. Bạn không cần phải mua hàng thay thế thông qua nhà tích hợp hệ thống ban đầu của bạn với giá niêm yết. Bạn có thể tìm nguồn thông tin xác thực trắng từ nhà cung cấp thẻ tương thích, chạy nó qua trạm đăng ký hiện có của bạn và cấp phát cho chủ thẻ. Đầu đọc không biết hoặc không quan tâm ai đã sản xuất thẻ trắng; nó chỉ quan tâm rằng thông tin xác thực trình bày một phản hồi AES hợp lệ bằng cách sử dụng các khóa mà hệ thống của bạn đã tải.

Seos cũng là nền tảng đằng sau hệ sinh thái thông tin xác thực di động và thiết bị đeo của HID, nhưng đó là một câu hỏi cấp phép phần mềm tách biệt với việc cung cấp thẻ vật lý. Thẻ và móc khóa Seos vật lý dành cho nhân viên thích hoặc yêu cầu thông tin xác thực vật lý vẫn dễ dàng mua sắm dưới dạng thẻ trắng tương thích.

Đối với các môi trường bảo mật cao như trung tâm dữ liệu, cơ sở nghiên cứu và phòng vận hành tài chính — các loại triển khai trong bộ giải pháp Trung tâm dữ liệu & Thông tin xác thực bảo mật cao phòng máy chủ của chúng tôi — thông tin xác thực trắng Seos cung cấp một đường dẫn phát hành hiệu quả về chi phí mà không ảnh hưởng đến các thuộc tính bảo mật AES mà nền tảng được thiết kế để cung cấp.

Các nhà khai thác chạy Seos cùng với các công nghệ 13.56 MHz khác cũng có thể thấy Giải thích về dòng MIFARE: Classic, Plus, DESFire, Ultralight hướng dẫn của chúng tôi hữu ích để hiểu bối cảnh thẻ thông minh song song, vì các bảng đầu đọc hỗn hợp đọc cả thông tin xác thực Seos và MIFARE DESFire ngày càng phổ biến trong các chương trình truy cập doanh nghiệp.

Những gì chúng tôi thực sự cung cấp cho mỗi cấp

Để loại bỏ mọi sự mơ hồ, đây chính xác là những gì Security ID Systems dự trữ và vận chuyển cho mỗi cấp của dòng HID iCLASS.

Đối với iCLASS (Picopass) cũ trong cấu hình tiêu chuẩn: chúng tôi cung cấp thẻ và móc khóa trắng hoàn toàn tương thích ở định dạng 2K và 16K. Chúng có thể được đặt hàng mã hóa trước theo mã trang web và phạm vi số thẻ của bạn, hoặc đặt hàng dưới dạng thẻ trắng để mã hóa thông qua chuỗi công cụ cài đặt của riêng bạn. Định dạng thẻ tương thích iclass csn passthrough cũng có sẵn cho các triển khai dựa vào chế độ chỉ đọc CSN thay vì một ứng dụng đầy đủ.

Đối với iCLASS SE và Elite: chúng tôi cung cấp thông tin xác thực trắng tương thích trên nền tảng chip chính xác, sẵn sàng để đăng ký thông qua hệ thống quản lý kiểm soát truy cập của bạn. Chúng tôi không cung cấp thông tin xác thực SE hoặc Elite được tải trước vì các khóa thuộc về hệ thống của bạn, không thuộc về chúng tôi — đó là mô hình bảo mật hoạt động chính xác.

Đối với Seos: cùng một mô hình. Thông tin xác thực Seos trắng tương thích, chip phần tử bảo mật chính xác, vùng chứa ứng dụng chính xác, không có khóa được tải trước. Đăng ký thông qua cơ sở hạ tầng của bạn sẽ tải các khóa và dữ liệu thông tin xác thực của bạn.

Chúng tôi cũng có một loạt các định dạng đa công nghệ kết hợp các ứng dụng iCLASS với các giao thức khác — hữu ích trong quá trình di chuyển. Ví dụ, các trang web chuyển từ công nghệ proximity 125 kHz cũ sang iCLASS hoặc Seos thường cần các thẻ mang cả hai công nghệ đồng thời trong giai đoạn chuyển tiếp. Thẻ thông minh HF 13.56 MHz Danh mục Bảo mật cao & Định dạng tùy chỉnh và phần của chúng tôi bao gồm đầy đủ các loại đa công nghệ.

Người mua tìm nguồn cung ứng cho Bosch, TESA, Mul-T-Lock, hoặc các hệ thống OEM khác nhúng đầu đọc iCLASS sẽ thấy logic cấp tương tự được áp dụng. Một thẻ kiểm soát truy cập bosch tương thích, thẻ khóa khách sạn tesa tương thích, hoặc thẻ tương thích smartair sử dụng lớp thông tin xác thực iCLASS tuân theo cùng một phân chia cấu hình tiêu chuẩn so với cấp bảo mật. Kiểm tra cấp iCLASS mà đầu đọc OEM đang chạy trước khi đặt hàng.

Nếu bạn đang di chuyển một hệ thống Wiegand 125 kHz cũ hơn cùng lúc, thẻ proximity tương thích HID cung cấp phía 125 kHz của bất kỳ cặp đa công nghệ nào.

Phạm vi Thẻ truy cập tương thích so với chính hãng: Hướng dẫn trung thực cho người mua rộng hơn của chúng tôi bao gồm đầy đủ lập luận mua sắm — khi nào thẻ trắng tương thích có ý nghĩa thương mại, những gì cần xác minh trước khi đặt hàng số lượng lớn và cách quản lý quy trình đăng ký thông qua cơ sở hạ tầng hiện có của bạn.

Security ID Systems là nhà cung cấp độc lập các thông tin xác thực truy cập tương thích. Chúng tôi không liên kết, được chứng thực bởi, hoặc có bất kỳ mối quan hệ thương mại nào với HID Global. HID, iCLASS, iCLASS SE, Seos và Picopass là các nhãn hiệu của chủ sở hữu tương ứng.