Secure Physical Access Control Enhanced Reader
Реализация систем контроля и управления доступом (СКУД) предполагает осуществление однозначной идентификации каждого пользователя системы. Одним из наиболее распространённых способов идентификации пользователей является применение персональных бесконтактных карточек. Бесконтактный считыватель с расстояния в несколько сантиметров считывает с карточки уникальный идентификатор карточки/пользователя и по внутренней линии связи передает его в контроллер СКУД, который, на основе таблицы прав доступа, принимает решение о допуске пользователя в контролируемое помещение. Поэтому, безопасность системы, в основном, определяется степенью защиты протокола обмена между карточкой и считывателем от угроз подделки/эмуляции карточки.
При этом абсолютное большинство СКУД инсталлируемых сегодня на территории СНГ, либо не поддерживают криптозащиту (т.е. хранят и передают идентификатор карточки в незащищённом виде), либо используют «закрытые» алгоритмы криптозащиты с ограниченной длиной ключа (обычно 48–96 бит). «Закрытость» алгоритма означает, что его структура является конфиденциальной информацией компании разработчика, и алгоритм не прошёл независимый аудит безопасности (например: Mifare Crypto1, EM Crypto, My-D Crypto). При этом, как правило, используется достаточно простой в реализации поточный шифр и его стойкость базируется на «секретности» самого преобразования, поэтому после его реинжиниринга, задача поиска ключа переходит из криптоаналитической плоскости в исключительно инженерную. Другой широко распространённой слабостью массовых СКУД, использующих криптографические карточки (например, MIFARE Standard) является непрозрачность или полное отсутствие подсистемы управления ключами. Часто секретные ключи карточек и считывателей определяются непосредственно производителем, следовательно, модель безопасности заказчика должна предполагать режим полного доверия производителю.
Перспективным направлением развития современных СКУД является применение бесконтактных смарт-карт, поддерживающих апробированные криптоалгоритмы с известными показателями стойкости (например, TripleDES или AES).
Наибольшей степенью защиты, среди бюджетных бесконтактных карточек, обладают DESFire EV1, поддерживающие криптоалгоритмы TripleDES (ключ до 168 бит) и AES (ключ 128 бит). Кроме того, эти карточки имеют гибкую файловую систему и поддержку механизма «транзакций», что позволяет на их основе создавать безопасные приложения микроплатежей. Также интерес представляют карточки MIFARE Ultralight C, отличающиеся меньшей стоимостью и поддерживающие алгоритм TripleDES с длиной ключа 112 бит.
Компания «Микрокрипт Текнолоджис» предлагает собственное решение задачи криптозащиты бесконтактных карт для систем контроля и управления доступом. Наше решение включает систему бесконтактных интеллектуальных считывателей, поддерживающих карточки DESFire EV1 и MIFARE Ultralight C, а также вспомогательное программное обеспечение, которое обеспечивает гибкое управление ключевой системой СКУД и аудит соответствующих операций. Основными достоинствами нашего решения являются:
Перечисленные достоинства SPACER позволяют устранить все указанные ранее проблемы, свойственные традиционным решениям на базе RFID, и создать полноценную систему безопасности на базе широкого спектра существующих СКУД.
Основные функциональные характеристики системы:
Аппаратное обеспечение системы SPACER построено на платформе SmartRF Platform и включает три типа считывателей:
«Исполнительные» считыватели выполняются в корпусе для настенного монтажа, «Корневой» и «Мастер» считыватели относятся к категории служебных и производятся в настольном исполнении.
Служебный считыватель на этапе первичной инициализации, выполняемой Заказчиком, позволяет выполнить конфигурирование (ограничение) его функциональных возможностей. Благодаря этому возможно организационно-технологическое разделение полномочий персонала, использующего эти считыватели. На уровне конфигурирования доступно разделение следующих полномочий:
Кроме того, каждый считыватель позволяет разделять полномочия операторов, путём авторизации на базе ПИН-кода (пароля). Для этого на этапе первичной инициализации считывателя можно определить два ПИН-кода: «Администратора» и «Офицера безопасности». Функциональное разделение полномочий выполняется следующим образом:
Кроме непосредственно считывателей, система включает программное обеспечение (ПО) для ОС Windows 2000/XP/2003/2008/Vista, предназначенное для настройки системы, управления считывателями и тонкой интеграции со сторонним ПО СКУД. Функции ПО системы включают:
ПО системы включает набор приложений, реализующих основные функциональные роли:
А также средства интеграции со сторонними разработчиками ПО СКУД:
Создавая нашу систему, мы руководствовались двумя принципами: обеспечение бескомпромиссной безопасности и простоты обслуживания.