HID 13.56 MHz 三個等級的說明
HID Global 的 13.56 MHz 智能卡系列不是單一產品,而是三個架構上不同的等級系列,每個等級都有自己的安全模型、芯片設計和實際替換方案。當設施團隊尋找 hid iclass 兼容鑰匙扣 或替換老舊憑證的卡片時,將它們歸為一類是造成混淆的最常見原因。
這三個等級是:(1) 傳統 iCLASS,也稱為 Picopass,它是第一代 iCLASS 讀卡器的基礎;(2) iCLASS SE 和 iCLASS Elite,它們在 Picopass 基礎上增加了額外的應用程式多樣化;以及 (3) Seos,HID 當前一代平台,圍繞專用安全元件上的 AES 加密構建。每個等級都提出不同的兼容性問題,因此本指南的其餘部分將依次處理它們。
所有三個等級都共享 13.56 MHz ISO 15693 / ISO 14443 頻段,並且可以物理喚醒兼容的讀卡器。頻率兼容性是相似之處的終點。身份驗證、密鑰多樣化和憑證存儲架構在這三者之間存在實質性差異,並且該架構 — 而非射頻 — 決定了兼容憑證是否可以攜帶工作應用程式。
傳統 iCLASS (Picopass) 及其兼容路徑
傳統 iCLASS 憑證使用 Picopass 協議,其應用程式存儲在定義的記憶體佈局中。當站點運行標準配置的傳統 iCLASS 時 — 這是舊企業和政府安裝中最常見的部署 — 編程為相同憑證格式的兼容空白卡將在不進行任何固件或硬件更改的情況下與現有讀卡器進行身份驗證。
這是 iCLASS 世界中明確的兼容案例。如果您的讀卡器面板的審核日誌顯示 iCLASS 2K 或 16K 憑證,並且站點尚未啟用 Elite 級密鑰多樣化,那麼您幾乎肯定處於標準配置範圍。從專業供應商處採購的 HID iCLASS 傳統 (2K/16K Picopass) 格式卡片可以使用您現有的站點代碼和卡號進行編碼,並通過您的正常編程工作流程發放給用戶。
實際要求是您需要一個樣本憑證或站點代碼數據才能正確編程替換品。任何經過認證的安裝人員都可以使用的普通讀寫工具可以從樣本卡中讀取憑證數據並記錄下來以編程新的空白卡。不需要或不適合專業攻擊工具 — 這對於任何熟悉傳統 iCLASS 的集成商來說都是一個例行維護過程。
鑰匙扣用戶有相同的選項。相同的 Picopass 應用程式以翻蓋鑰匙扣的形式運行,因此攜帶相同格式的 hid iclass 兼容鑰匙扣 編碼和身份驗證與卡片等效。格式和記憶體配置很重要;物理外殼在大多數讀卡器安裝中是可互換的。
如果您不確定您的站點是標準配置還是 Elite,最安全的步驟是在下大宗訂單之前測試一張兼容的空白卡與您的讀卡器。真正的標準配置讀卡器將立即接受正確編碼的空白卡。Elite 讀卡器將拒絕它,這清楚地告訴您您屬於下一節中涵蓋的安全等級類別。
對於大規模的傳統 iCLASS 計劃 — 尚未遷移到 SE 或 Seos 的數據中心、服務器機房和校園 — 我們備有標準 2K 和 16K Picopass 配置的 hid iclass 兼容鑰匙扣 和卡片格式。我們的 iCLASS, iCLASS SE & Seos:按等級劃分的兼容卡選項 指南詳細介紹了訂購細節。
iCLASS SE / Elite:設計安全
iCLASS SE 引入了一種根本不同的安全架構。傳統 iCLASS 使用在部署中所有卡片上都相同的站點範圍應用程式密鑰,而 iCLASS SE 和 Elite 密鑰多樣化方案則從操作員持有的根密鑰中為每個憑證派生一個唯一的密鑰。使用 Elite 密鑰編程的讀卡器將拒絕任何未提供正確多樣化響應的卡片 — 包括在多類模式下向 SE 讀卡器呈現的傳統 iCLASS 標準卡片。
這種架構是故意的。這就是為什麼 iCLASS SE 在企業和政府安裝中享有溢價的原因:操作員持有的多樣化密鑰所創建的已安裝讀卡器鎖定是一種真正的安全屬性,而不是商業不便。潛在的替換卡不能簡單地從樣本中複製應用程式數據,因為驗證步驟需要只有正確的卡片才能在合法身份驗證交換期間生成的多元化密鑰。
因此,我們為 iCLASS SE 和 Elite 部署提供的兼容空白憑證是:一張 hid iclass se 兼容卡 基於正確的芯片平台和正確的應用程式結構構建,但沒有預加載密鑰。您的系統註冊過程 — 通常通過您已經使用的門禁管理軟件執行 — 在發放期間將您站點的多元化密鑰和憑證數據寫入空白卡。
這與從您現有的供應商發放全新卡片的過程相同,有兩個區別:您從我們這裡而不是 HID 採購空白卡,並且單位成本更低。發放憑證的安全屬性由您的系統加載的密鑰決定,而不是由誰製造空白載體決定。
同樣,我們庫存的 hid iclass elite 兼容卡 格式旨在通過您的註冊基礎設施接受 Elite 方案密鑰多樣化。如果您的安裝人員或系統集成商已為您的讀卡器配置了 Elite,則適用相同的註冊工作流程。
對於混合 iCLASS 等級的設施 — 在多年遷移計劃中常見的現實 — 也提供攜帶傳統 Picopass 應用程式和 SE 應用程式層的多技術卡片。這些卡片讓您可以逐棟建築逐步淘汰傳統讀卡器,而無需向每個持卡人雙重發放憑證。
Seos:安全元件上的 AES
Seos 是 HID 當前的旗艦平台,代表了 iCLASS 系列中最複雜的憑證架構。該應用程式在專用的安全元件(防篡改硬體飛地)中運行,所有憑證操作均受 AES-128 或 AES-256 加密保護,金鑰永遠不會以明文形式離開安全元件。
對於替換採購而言,實際結果與 iCLASS SE 相同,但定義更為明確:沒有可以從外部寫入有效 Seos 應用程式的相容路徑。用於驗證 Seos 憑證與 Seos 讀卡機的金鑰位於安全元件內部,並且僅透過 HID 的 Trusted Identity Platform 或授權的註冊基礎設施載入。因此,我們提供的 HID Seos 空白憑證正是如此:一個帶有正確安全元件晶片和正確 Seos 應用程式容器的空白憑證,準備好透過您的正常發行流程接收您系統的金鑰。
這對於更換遺失或損壞的 Seos 卡的採購團隊至關重要。您無需以標價透過原始系統整合商購買替換品。您可以從相容卡供應商處採購空白憑證,透過現有的註冊站進行處理,然後發行給持卡人。讀卡機不知道也不關心空白憑證的製造商;它只關心憑證是否使用您系統載入的金鑰提供有效的 AES 回應。
Seos 也是 HID 行動和穿戴式憑證生態系統背後的平台,但這是一個與實體卡供應分開的軟體授權問題。對於偏好或需要實體憑證的人員,實體 Seos 卡和鑰匙扣仍然可以輕鬆地作為相容空白憑證採購。
對於資料中心、研究設施和金融營運室等高安全性環境——我們 資料中心 & 伺服器機房高安全性憑證 解決方案集中的部署類型——Seos 空白憑證提供了一種經濟高效的發行路徑,而不會損害平台旨在提供的 AES 安全屬性。
同時運行 Seos 和其他 13.56 MHz 技術的營運商也可能會發現我們的 MIFARE 家族解釋:Classic、Plus、DESFire、Ultralight 指南對於理解並行的智慧卡領域很有用,因為在企業門禁程式中,同時讀取 Seos 和 MIFARE DESFire 憑證的混合讀卡機面板越來越常見。
我們實際為每個層級供應的產品
為消除任何歧義,以下是 Security ID Systems 為 HID iCLASS 系列的每個層級庫存和發貨的確切產品。
對於標準配置的舊版 iCLASS (Picopass):我們提供 2K 和 16K 格式的完全相容空白卡和鑰匙扣。這些可以預先編碼為您的站點代碼和卡號範圍,或作為空白卡訂購,以便透過您自己的安裝程式工具鏈進行編碼。對於依賴 CSN 唯讀模式而非完整應用程式的部署, iclass csn passthrough card compatible 格式也可用。
對於 iCLASS SE 和 Elite:我們在正確的晶片平台上提供相容的空白憑證,可透過您的門禁管理系統進行註冊。我們不提供預載的 SE 或 Elite 憑證,因為金鑰屬於您的系統,而不屬於我們——這是安全模型正常運作的體現。
對於 Seos:相同模型。相容的空白 Seos 憑證、正確的安全元件晶片、正確的應用程式容器、零預載金鑰。透過您的基礎設施進行註冊會載入您的金鑰和您的憑證資料。
我們還提供一系列將 iCLASS 應用程式與其他協定配對的多技術格式——在遷移期間很有用。例如,從舊版 125 kHz proximity 遷移到 iCLASS 或 Seos 的站點通常需要在過渡期間同時攜帶這兩種技術的卡片。我們的 13.56 MHz HF 智能卡 目錄和 高安全性 & 自訂格式 部分涵蓋了完整的多技術範圍。
為 Bosch、TESA、Mul-T-Lock 或其他嵌入 iCLASS 讀卡機的 OEM 系統採購的買家會發現相同的層級邏輯適用。 bosch access control card compatible, tesa hotel key card compatible或 smartair compatible card 使用 iCLASS 憑證層的卡片遵循相同的標準配置與安全層級劃分。在訂購之前,請檢查 OEM 讀卡機正在運行哪個 iCLASS 層級。
如果您同時遷移較舊的 125 kHz Wiegand 系統, HID compatible proximity card 系列提供任何多技術配對的 125 kHz 端。
我們更廣泛的 相容與真品門禁卡:誠實的買家指南 全面涵蓋了採購論點——何時相容空白憑證具有商業意義,批量訂購前需要驗證什麼,以及如何透過現有基礎設施管理註冊流程。
Security ID Systems 是一家獨立的相容門禁憑證供應商。我們與 HID Global 沒有任何附屬關係、認可或任何商業關係。HID、iCLASS、iCLASS SE、Seos 和 Picopass 是其各自所有者的商標。
HID 13.56 MHz 憑證層級:安全模型和相容供應路徑
| 層級 | 協定 / 晶片 | 驗證模型 | 相容路徑 | 我們供應的產品 |
|---|---|---|---|---|
| 傳統 iCLASS 標準 | Picopass (ISO 15693) | 全站應用程式金鑰,所有卡片均相同 | 直接:相容空白卡片,使用您的站點代碼和卡號進行編碼 | 預編碼或空白 2K/16K Picopass 卡片和鑰匙扣 |
| 傳統 iCLASS Elite | Picopass + Elite 金鑰多樣化 | 每張卡片金鑰從操作員根金鑰多樣化 | 僅限註冊:空白卡片在發行時接受您系統的多樣化金鑰 | 用於透過您的系統註冊的相容空白 Elite 憑證 |
| iCLASS SE / SE Elite | Picopass SE + 應用程式多樣化 | 每張卡片多樣化金鑰,SE 應用程式層 | 僅限註冊:空白卡片在發行時接受您系統的 SE 金鑰 | 相容空白 SE 憑證;也提供多技術(傳統 + SE) |
| Seos | 安全元件,AES-128/256 | 防篡改安全元件內的 AES 憑證操作;金鑰絕不以明文形式暴露 | 僅限註冊:空白卡片透過授權註冊基礎設施接受您系統的 AES 金鑰 | 具有正確安全元件晶片和應用程式容器的相容空白 Seos 憑證 |