HID 13.56 MHz 三个安全等级的解释
HID Global 的 13.56 MHz 智能卡系列并非单一产品,而是由三个架构上不同的层级组成的家族,每个层级都有自己的安全模型、芯片设计和实际的替换方案。当设施团队寻找 HID iCLASS 兼容钥匙扣 或卡片来替换老化的凭证时,将它们混为一谈是造成混淆的最常见原因。
这三个层级是:(1) 传统 iCLASS,也称为 Picopass,它是第一代 iCLASS 读卡器的基础;(2) iCLASS SE 和 iCLASS Elite,它们在 Picopass 基础上增加了额外的应用多样化层;以及 (3) Seos,HID 当前一代平台,围绕专用安全元件上的 AES 加密构建。每个层级都提出了不同的兼容性问题,因此本指南的其余部分将依次处理它们。
所有三个层级都共享 13.56 MHz ISO 15693 / ISO 14443 频段,并且可以物理唤醒兼容的读卡器。频率兼容性是相似之处的终点。这三个层级的认证、密钥多样化和凭证存储架构存在显著差异,并且该架构——而非射频——决定了兼容凭证是否可以承载有效应用程序。
传统 iCLASS (Picopass) 及其兼容路径
传统 iCLASS 凭证使用 Picopass 协议,其应用程序存储在定义的内存布局中。当站点运行标准配置的传统 iCLASS 时——这是旧企业和政府安装中最常见的部署——编程为相同凭证格式的兼容空白卡将无需任何固件或硬件更改即可与现有读卡器进行身份验证。
这是 iCLASS 世界中明确的兼容情况。如果您的读卡器面板的审计日志显示 iCLASS 2K 或 16K 凭证,并且站点尚未启用 Elite 级别的密钥多样化,那么您几乎肯定处于标准配置区域。从专业供应商处采购的 HID iCLASS Legacy (2K/16K Picopass) 格式卡可以编码您的现有站点代码和卡号,并通过您的正常编程工作流程发放给用户。
实际要求是您需要一个样本凭证或站点代码数据才能正确编程替换品。任何经过认证的安装人员都可以使用的普通读写工具可以从样本卡中读取凭证数据并记录下来以编程新的空白卡。不需要或不适合专业的攻击工具——这对于任何熟悉传统 iCLASS 的集成商来说都是一个例行的维护过程。
钥匙扣用户有相同的选择。相同的 Picopass 应用程序以翻盖钥匙扣的形式运行,因此 HID iCLASS 兼容钥匙扣 携带相同格式的编码和认证与卡片等效。格式和内存配置很重要;物理外壳在大多数读卡器安装中是可互换的。
如果您不确定您的站点是标准配置还是 Elite,最安全的步骤是在批量订购之前,用一张兼容的空白卡对您的读卡器进行测试。真正的标准配置读卡器会立即接受正确编码的空白卡。Elite 读卡器会拒绝它,这清楚地告诉您,您属于下一节介绍的安全层级类别。
对于大规模的传统 iCLASS 项目——尚未迁移到 SE 或 Seos 的数据中心、服务器机房和园区——我们备有标准 2K 和 16K Picopass 配置的 HID iCLASS 兼容钥匙扣 和卡片格式。我们的 iCLASS、iCLASS SE & Seos:按层级划分的兼容卡选项 指南详细介绍了订购细节。
iCLASS SE / Elite:设计安全
iCLASS SE 引入了一种根本不同的安全架构。传统 iCLASS 使用在部署中所有卡片上都相同的站点范围应用程序密钥,而 iCLASS SE 和 Elite 密钥多样化方案则从操作员持有的根密钥派生出每个凭证的唯一密钥。使用 Elite 密钥编程的读卡器将拒绝任何未提供正确多样化响应的卡片——包括在多类模式下向 SE 读卡器出示的传统 iCLASS 标准卡。
这种架构是故意的。这就是 iCLASS SE 在企业和政府安装中获得溢价的原因:操作员持有的多样化密钥所产生的已安装读卡器锁定是一种真正的安全属性,而不是商业不便。一个潜在的替换卡不能简单地从样本中复制应用程序数据,因为验证步骤需要多样化密钥,而只有正确的卡才能在合法的身份验证交换中生成该密钥。
因此,我们为 iCLASS SE 和 Elite 部署提供的是兼容的空白凭证:一张 HID iCLASS SE 兼容卡 构建在正确的芯片平台和正确的应用程序结构上,但没有预加载密钥。您的系统注册过程——通常通过您已经使用的门禁管理软件执行——在发行期间将您站点的多样化密钥和凭证数据写入空白卡。
这与您现有供应商发行全新卡片的过程相同,但有两个区别:您从我们而不是 HID 采购空白卡,并且单位成本更低。发行凭证的安全属性由您的系统加载的密钥决定,而不是由空白载体的制造商决定。
同样,我们库存的 HID iCLASS Elite 兼容卡 格式旨在通过您的注册基础设施接受 Elite 方案的密钥多样化。如果您的安装人员或系统集成商已为您的读卡器配置了 Elite,则适用相同的注册工作流程。
对于混合使用 iCLASS 层级的设施——在多年迁移计划中常见的现实——也提供同时携带传统 Picopass 应用程序和 SE 应用程序层的多技术卡。这些卡片允许您逐栋建筑逐步淘汰传统读卡器,而无需为每个持卡人双重发行凭证。
Seos:安全元件上的 AES
Seos 是 HID 当前的旗舰平台,代表了 iCLASS 系列中最复杂的凭证架构。应用程序在专用安全元件(防篡改硬件飞地)内运行,所有凭证操作均受 AES-128 或 AES-256 加密保护,密钥永远不会以明文形式离开安全元件。
对于替换采购的实际结果与 iCLASS SE 相同,但定义更清晰:没有可以从外部写入有效 Seos 应用程序的兼容路径。用于验证 Seos 凭证到 Seos 读卡器的 AES 密钥驻留在安全元件内部,并且只能通过 HID 的可信身份平台或许可的注册基础设施加载。因此,我们提供的 HID Seos 空白卡正是如此:一张具有正确安全元件芯片和正确 Seos 应用程序容器的空白凭证,准备好通过您的正常发行过程接收您系统的密钥。
这对于采购团队替换丢失或损坏的 Seos 卡很重要。您无需以标价通过原始系统集成商购买替换品。您可以从兼容卡供应商处采购空白凭证,通过您现有的注册站进行处理,然后将其发行给持卡人。读卡器不知道也不关心空白卡的制造商;它只关心凭证是否使用您的系统加载的密钥提供有效的 AES 响应。
Seos也是HID移动和可穿戴凭证生态系统背后的平台,但这属于软件许可问题,与实体卡供应无关。对于偏好或需要实体凭证的人员,Seos实体卡和钥匙扣仍然可以直接采购兼容空白卡。
对于数据中心、研究机构和金融运营室等高安全环境——这些部署属于我们的 数据中心 & 服务器机房高安全性凭证 解决方案集——Seos空白凭证提供了一种经济高效的发行途径,同时不损害该平台旨在提供的AES安全属性。
同时运行Seos和其他13.56 MHz技术的运营商也可能会发现我们的 MIFARE家族解析:Classic、Plus、DESFire、Ultralight 指南有助于理解并行的智能卡格局,因为在企业门禁项目中,同时读取Seos和MIFARE DESFire凭证的混合读卡器面板越来越常见。
我们为每个层级实际供应的产品
为消除任何歧义,以下是Security ID Systems为HID iCLASS家族每个层级库存和发货的具体产品。
对于标准配置的传统iCLASS (Picopass):我们提供完全兼容的2K和16K格式空白卡和钥匙扣。这些可以预编码您的站点代码和卡号范围,或作为空白卡订购,通过您自己的安装工具链进行编码。 iclass csn passthrough card compatible 格式也适用于依赖CSN只读模式而非完整应用程序的部署。
对于iCLASS SE和Elite:我们提供基于正确芯片平台的兼容空白凭证,可随时通过您的门禁管理系统进行注册。我们不提供预加载的SE或Elite凭证,因为密钥属于您的系统,而不属于我们——这是安全模型正常运行的表现。
对于Seos:模型相同。兼容的空白Seos凭证,正确的安全元件芯片,正确的应用程序容器,零预加载密钥。通过您的基础设施进行注册会加载您的密钥和凭证数据。
我们还提供一系列将iCLASS应用程序与其他协议配对的多技术格式——在迁移期间非常有用。例如,从传统125 kHz proximity迁移到iCLASS或Seos的站点通常需要在过渡期间同时携带这两种技术的卡片。我们的 13.56 MHz HF 智能卡 目录和 高安全性 & 自定义格式 部分涵盖了完整的多技术范围。
为Bosch、TESA、Mul-T-Lock或其他嵌入iCLASS读卡器的OEM系统采购的买家会发现相同的层级逻辑适用。 bosch access control card compatible, tesa hotel key card compatible或 smartair compatible card 使用iCLASS凭证层遵循相同的标准配置与安全层级划分。订购前请检查OEM读卡器运行的是哪个iCLASS层级。
如果您同时迁移旧的125 kHz Wiegand系统, HID compatible proximity card 系列提供任何多技术配对的125 kHz侧。
我们更广泛的 兼容与正版门禁卡:诚实的买家指南 全面涵盖了采购论证——兼容空白卡何时具有商业意义,批量订购前需要验证什么,以及如何通过现有基础设施管理注册过程。
Security ID Systems是兼容门禁凭证的独立供应商。我们与HID Global无任何关联、认可或商业关系。HID、iCLASS、iCLASS SE、Seos和Picopass是其各自所有者的商标。
HID 13.56 MHz凭证层级:安全模型和兼容供应途径
| 层级 | 协议/芯片 | 认证模型 | 兼容途径 | 我们供应的产品 |
|---|---|---|---|---|
| 传统iCLASS标准 | Picopass (ISO 15693) | 全站点应用程序密钥,所有卡片相同 | 直接:使用您的站点代码和卡号编码的兼容空白卡 | 预编码或空白2K/16K Picopass卡和钥匙扣 |
| 传统 iCLASS Elite | Picopass + Elite 密钥分散 | 每张卡的密钥均从运营商根密钥分散 | 仅限注册:空白卡在发行时接受您系统的分散密钥 | 用于通过您的系统注册的兼容空白 Elite 凭证 |
| iCLASS SE / SE Elite | Picopass SE + 应用程序分散 | 每卡分散密钥,SE 应用程序层 | 仅限注册:空白卡在发行时接受您系统的 SE 密钥 | 兼容空白 SE 凭证;也提供多技术(传统 + SE)凭证 |
| Seos | 安全元件,AES-128/256 | 防篡改安全元件内的 AES 凭证操作;密钥绝不以明文形式暴露 | 仅限注册:空白卡通过许可的注册基础设施接受您系统的 AES 密钥 | 带有正确安全元件芯片和应用程序容器的兼容空白 Seos 凭证 |