Считыватель магнитных карт для смартфонов

Более 20 лет в системах контроля доступа превалирующим типом идентификатора была бесконтактная RFID-карта. Современное вытеснение смартфонами всего и вся, похоже добралось до крайне консервативной отрасли СКУД.

Тем более, что преимущества смартфона в СКУД, по сравнению с пластиковыми картами, абсолютно уничтожительные. Под катом уничтожим карточные СКУД и еще кого нибудь.

Генерация идентификатора на основе данных смартфона

У компании Parsec и RusGuard используется метод генерации виртуального идентификатора на основании уникального IMEI смартфона. Происходит это автоматически при установке соответствующего мобильного приложения. PERCo для этих целей использует IMSI, соответственно без сим-карты или с неработающей пройти идентификацию не получится.

Далее, идентификатор должен быть вручную или с помощью считывателя занесен в базу данных программного обеспечения СКУД. Далее, он попадает в контроллер.

К недостаткам генерации идентификатора на основе данных телефона можно отнести легкость подделки идентификатора. IMEI подделать достаточно просто даже для неопытного юзера.

IMSI подделать немного сложнее, потребуется так называемая мультисим-карта. Также в данном случае сим-карту можно просто передать, вставить в другой телефон и пройти идентификацию.

И конечно, не стоит забывать про разные технические приспособления, благодаря которым можно узнать IMSI скрытно от пользователя.

Ну, и самый печальный факт, ваши IMSI и IMEI, естественно, известны мобильным операторам, а значит и всем правоохранительным органам всея Руси. Примеров искренней любви между российскими компаниями и правоохранительными органами немало.

Хотите ли вы выдать ключ от всех дверей в вашей компании нашим правоохранителям? Вопрос, над которым как минимум, стоит поразмыслить, прежде чем делать выбор.

Стоимость идентификатора, генерируемого на основе данных телефона

Так в данном случае производитель не несет никаких затрат на поддержание базы данных идентификаторов, поэтому получение идентификаторов бесплатно.

Но нужно осознавать, что  система контроля доступа, с идентификаторами, генерируемыми на основе данных телефона — это дыра в безопасности размером с амбарные ворота. Вопрос о корректности производства продуктов с такими дырами, наверное, тема для отдельной статьи, ведь мы все-таки системами безопасности занимаемся.

Что такое мобильный доступ?

Доступ по смартфону подразумевает использование смартфона в качестве идентификатора.
Для этого нужен смартфон на базе iOS или Android с поддержкой NFC или BLE. Также, почти во всех случаях потребуется установить мобильное приложение, скачивается бесплатно в Apple Store или Google Play вне зависимости от вендора.

Доступ по смартфону может рассматриваться как полная замена бесконтактным RFID идентификаторам или параллельное использование с ними. Так как все считыватели кроме того, что могут считывать идентификатор со смартфона, могут считывать и обычные RFID идентификаторы.

Это может быть удобно в некоторых случаях, например: все постоянные сотрудники ходят по смартфону, а для оформления гостевых пропусков используются пластиковые карты. Ну и никто не запрещает привязать к одному человеку и смартфон, и карту, все-таки не будем забывать, что смартфон может иногда разряжаться.

Доступ по смартфону подразумевает две технологии, хотя бы одной из которых должны соответствовать считыватели, поддерживающие мобильный доступ — NFC и BLE.

• NFC (Near field communication) — технология близкой идентификации, поддерживающая мобильную технологию HCE (Host Card Emulation)
• BLE (Bluetooth Low Energy) — технология низкого энергопотребления Bluetooth.

Производители считывателей Parsec, Rusguard и PERCo, имеют в своем арсенале только NFC-модуль. Что, конечно, печально, так как сильно ограничивает возможности их использования.

Производители считывателей Nedap, HID Global, Suprema, ESMART, Salto, Sigur и ProxWay имеют полный перечень модулей в своих считывателях.

Кроме этого производители понимают что технологии мобильного доступа приходят не на пустой рынок, а на рынок уже заполненный текущими карточными СКУД. Поэтому все со всеми считывателями представленными ниже, можно использовать и классические бесконтактные смарт карты. Во-первых так будет проще организовать «переходный» период т.е. можно не менять все считыватели на мобильные разом, что может влететь в копейку, а делать это постепенно, оставив например большую часть исключительно на картах.

А во-вторых, всегда ведь найдется уникальный человек с Nokia 3310, ну или может кто то просто желает использовать карты, почему нет — мир разнообразен.

Итак, что еще можно использовать кроме смартфона:

• Бесконтактные смарт карты (в основном, это Mifare Classic, Mifare DESFire, Mifare Plus, iClass)
• Банковские карты (Mastercard, Visa, Мир)
• Смартфоны

В зависимости от конкретного вендора список идентификаторов будет меняться, но смарт карты поддерживают все.

Выдача гостевых идентификаторов

Преимущества мобильного доступа для выдачи гостевых пропусков заключаются в том, что для гостей или сотрудников работающих удалённо, нет необходимости в обязательном посещении «бюро пропусков» для оформления гостевого пропуска. Можно его выслать заранее, например, на E-mail.

Выдача гостевых идентификаторов производится по разному в зависимости от вендора:

• Выдача идентификаторов на определённое время (ESMART)
• Выдача одноразовых идентификаторов (HID, Suprema)
• Выдача QR-кода (Nedap), QR-код присылается на Е-mail, считывается с экрана телефона Мне этот вариант представляется особенно удобным т.к. не требует установки приложения на смартфон для прохождения идентификации, но есть и минус — QR-код можно легко передать.
• Выдача бессрочного идентификатора с последующим удалением его из системы СКУД вручную (все остальные), по сути ничем не отличается от гостевых бесконтактных карт которые выдаются в классических СКУД

Что будет при смене смартфона?

У любого вендора, при смене или утере смартфона, идентификатор теряется сродни утере или замене физической карты, следовательно потребуется новый виртуальный идентификатор для нового смартфона, а в случае генерации на основе данных смартфона, соответственно, будет сгенерирован новый идентификатор.

За счёт того, что приложение в режиме online проверяет все выданные ранее идентификаторы, выдача одного и того же идентификатора повторно не представляется возможной — приложение выдаст ошибку аутентификации.

На приложение любого производителя считывателей действует правило уникальности идентификаторов, вследствие чего повторение идентификатора, не должно быть, возможно, с точки зрения безопасности системы.

Передача идентификатора в контроллер СКУД

Администратор СКУД может получить коды активации от производителя разными путями:

• По электронной почте, в виде файла формата .xlsx с паролем. Так происходит у ESMART и ProxWay.
• Имеется личный кабинет Администратора, предоставляемый производителем за отдельную плату, как у Nedap и Salto, или бесплатный личный кабинет администратора как у HID.

  Мониторинг облака производится через выделенный производителем личный кабинет администратора. В нём содержатся данные обо всех выданных идентификаторах с возможностью их отзыва и выдачи удаленно.

• В остальных случаях сервер создается и мониторится самим Администратором СКУД как у Suprema, Parsec, RusGuard и Sigur.

Считываем и эмулируем карты с магнитной полосой

Время на прочтение

О том, что магнитные карты совсем скоро навсегда уйдут в историю, говорят уже не первый год. Тем не менее, хоть они и постепенно вытесняются другими технологиями (например, RFID, ISO7816), окончательно исчезать они пока даже не собираются.

Итак, в данной статье поговорим о том, как работает запись данных на карты с магнитной полосой, разберёмся, в каком формате хранится там информация, узнаем, как устроены считыватель и энкодер и, конечно же, ещё много чего интересного.

На просторах можно найти огромное количество материалов об устройстве и принципе работы RFID-карт. О магнитных же картах информации куда меньше. Для этого есть свои причины: считыватели магнитной полосы сравнительно дороги, на карту вмещается весьма малое количество данных, сама технология безнадёжно устарела. Но, как по мне, детально рассмотреть такое оборудование будет весьма интересно. А раз так — погнали!

Настоятельно рекомендую также прочитать вот эту статью: О долгой жизни и неминуемой смерти карт с магнитной полосой.

Традиционно такая карта представляет собой обычную пластиковую карту стандарта ISO7810, на обратной стороне которой мельчайшими частицами ферромагнетика нанесена магнитная полоса. В опытных образцах использовались отрезки магнитной ленты.

По напряжённости поля, необходимого для перезаписи, карты делятся на высококоэрцитивные и низкокоэрцитивные. В настоящее время применяется преимущественно первый вариант, обладающий куда большей устойчивостью к износу и внешним магнитным полям, тогда как низкокоэрцитивные полосы размагничиваются от контакта даже с маломощными магнитами

или просто от косого взгляда

О чувствительности к магнитным полям карт высококоэрцитивного типа поговорим несколько позже.

Немного о кодировании

Все карты с магнитной полосой используют F/2F-кодирование для записи данных. В нём логической единице соответствует частота сигнала, вдвое большая таковой для нуля. В качестве обозначения перехода используется смена полярности при намагничивании карты. Причина для использования такого принципа кодирования весьма простая — можно существенно упростить устройство для считывания, так как результат не будет зависеть от скорости прокатывания через него карты. Другие методы кодирования потребовали бы установку электропривода для автоматического захвата и перемещения карты или механически связанного с энкодером ролика для контроля скорости.

Сама карта имеет три дорожки, первая имеет семибитную кодировку, вторая и третья — пятибитную. Непосредственно для данных используются соответственно шесть и четыре бита, старший же бит в коде каждого символа отведён для чётности. На магнитную полосу вначале записываются младшие биты, затем — старшие.

В начале и в конце дорожки находятся символы, обозначающие начало и конец последовательности, после стоп-символа записывается контрольное значение, представляющее собой последовательный XOR всех символов на дорожке, также дополненный своим битом чётности.

Таким образом, алгоритм для считывания карты получается следующий:

• Получаем строку бит с декодера. Практически нигде не подключают магнитную головку непосредственно к контроллеру, чаще всего используют специальные микросхемы F/2F-декодеров, отправляющие уже почти готовые данные;
• Определяем начало и конец у полученных данных (поиском старт и стоп-символов);
• Считываем символы согласно кодировке, у каждого считанного символа проверяем чётность;
• Вычисляем и сверяем контрольное число;
• Если ошибок обнаружено не было, выводим готовую строку.

Помимо кодировки существует и стандарт, определяющий, что именно записано на магнитной полосе. Впрочем, в системах, отличных от платёжных (к примеру, электронные пропуска, скидочные, подарочные и клубные карты), может быть записана любая произвольная информация.

Остановимся поподробнее на банковских картах. Вот пример дампа второй дорожки:

Итак, цифры до разделителя (символа «=») — PAN (Primary Account Number), собственно, сам номер карты. Спешу вас заверить, что данные эти были созданы при помощи сервиса генерации «левых» номеров карт и не имеют никакого отношения к реальной карте.

Следующая группа из четырёх цифр — срок действия в формате YYMM. Далее идёт Service code. Это трёхзначное число, позволяющее задать ряд ограничений, к примеру, запретить использование магнитной полосы (при попытке прокатать такую карту на экране терминала загорится требование использовать чип). Более подробно значения Service code расписаны тут. По традиции, все упомянутые ссылки будут продублированы в конце поста.

Далее идут ещё пять цифр — PVV (PIN Verification Value). Первая цифра — это так называемый PIN Verification Key Index (PVKI) — идентификатор (индекс) ключа, который был использован для вычисления конкретного значения PVV. Обычно бывает в диапазоне от 1 до 6, то есть эмитент может использовать до шести различных ключей для вычисленияпроверки PVV. Оставшиеся четыре цифры представляют собой непосредственно значение PVV. Как нетрудно догадаться, это число используется для верификации PIN карты.

Последняя группа цифр в последовательности — CVV-1/CVC-1. Этот код используется для авторизации с использованием магнитной полосы. Не следует путать его с CVV-2/CVC-2, напечатанным на обратной стороне карты рядом с местом для подписи.

Большинство таких считывателей эмулируют клавиатуру, просто выводя данные дорожек, опционально добавляя перевод строки в конце. Это позволяет записывать данные карт хоть в Excel.

Разберём экземпляр. На плате отчётливо видны две микросхемы — одна отвечает за F/2F-декодирование, другая — за обработку данных и их отправку по USB. Перемычками настраивается режим работы, например, можно включить или отключить считывание одной или нескольких дорожек, либо отображение символов начала и конца каждой дорожки.

А вот и непосредственно считывающий узел. Головка закреплена в пластиковом шасси, на нём же находится платка с операционными усилителями. Точно такие же модули используются и в других изделиях компании Posiflex, например, в программируемых кассовых клавиатурах.

Магнитная головка отдельно. Она от POS-terminal’а Ingenico 5100. Отчётливо видны три её дорожки.

А вот другая головка. Такие применялись в терминалах VeriFone VX510.

Собираем считыватель сами

Как устроен заводской считыватель, разобрались. Теперь попробуем собрать свой собственный вариант.

У меня остались магнитная головка и микросхема декодера MRD531B-LQ от помершего VX510. Без проблем найдя даташит на эту микросхему (просто загуглив «MRD531 PDF»), собрал на макетке типовую схему включения.

Недолгие поиски какого-то примера работы с магнитным считывателем на МК вывели меня на библиотеку для подключения такого считывателя к Arduino.

Интерфейс подключения предельно прост: вывод CLS для контроля наличия карты и традиционные DATA/CLK для каждой из дорожек.

Как позже выяснилось, схема весьма дубовая и работает даже при существенно далёких от рекомендуемого номинала компонентах.

К головке тоже нет никаких существенных требований, при отсутствии таковой от считывателя, подойдёт даже экземпляр от кассетного магнитофона.

Если у вас нет и F/2F-декодера, а воспользоваться считывателем хочется, то можно собрать данную схему самому.

Ну что же, перейдём к самому интересному — к тому, как производится запись на магнитные карты.

Такое устройство, как нетрудно догадаться, намного сложнее и дороже считывателя. На нашей вторичке типичный энкодер стоит около восьми тысяч рублей (интересно, откуда такая цена?) при стоимости считывателя раз в десять меньше, что для меня чрезмерно дорого.

Тем не менее, мне таки повезло раздобыть экземпляр. Называется он MSR206U. Самая продвинутая модель — пишет и читает все три дорожки, поддерживает высокоэрцитивные карты. Устройство в хорошем состоянии, с блоком питания (на двадцать четыре вольта), но без USB-кабеля. Ну что же, отличный повод разобрать девайс, поскольку распиновку разъёма 8P8C я не нашёл.

Итак, аппарат чем-то напоминает считыватель, правда, примерно в полтора раза больше обычного. Спереди щель для магнитной карты, три индикаторных светодиода, обозначение модели.

Снизу резиновые ножки, наклейка с указанием модели, четыре винта, один из которых заклеен гарантийной пломбой. Мне её пришлось оторвать.

А вот и плата. Отчётливо видны мощные резисторы, два реле, микроконтроллер, ПЗУшка. Отдельного упоминания заслуживает драйвер записывающей головки: он выполнен на трёх H-мостах L293D (надо полагать, по одному на каждую дорожку). USB-интерфейс реализован на базе микросхемы конвертера USB-TTL Prolific PL-2303HX.

Распиновка, кстати, оказалась вот такая:

• Земля
• Не подключён
• 5 В

Основная часть. Маленький шлейфик (едва видимый рядом с наклеенным жёлтым скотчем) от считывающей головки. К записывающей ведёт жгут из голубых проводов. Оставшиеся провода ведут к оптопаре, детектирующей момент вставки карты, и индикаторным светодиодам. Чёрная пластиковая деталь, к которой ведут цветные провода — энкодер.

С другого ракурса. Отчётливо видны считывающая и записывающая головки. Над записывающей по-китайски аккуратно закреплена оптопара.

А вот и энкодер. На валу у него резиновый ролик, вращающийся при прокатывании карты и служащий для отслеживания её положения.

Помимо энкодера мне достались и карты. А раз так, попробуем записать что-нибудь.

Ставим поставляющийся с энкодером софт, 206DDX51. Запускаем.

В настройках указываем COM-порт, выбираем высококоэрцитивный тип карты, вводим какие-нибудь данные и жмём кнопку записи. На энкодере загорается жёлтый светодиод. Теперь прокатываем карту, и, если запись и верификация пройдены успешно, жёлтый светодиод погаснет, а зелёный — загорится. Всё, карта успешно записана. Прокатываем её в считывателе и убеждаемся, что всё успешно читается.

Разумеется, магнитные карты можно эмулировать. Многие из нас даже помнят функцию MST в некоторых телефонах Samsung. И сейчас мы попробуем разобраться с эмуляцией карт и собрать устройство для этого всего из трёх деталей (аж вспомнился пост товарища dlinyj про эмулятор RFID из трёх деталей). В этот раз, правда, всё будет намного проще.

Есть такой проект как MagSpoof. В своё время его даже упоминали здесь, но особого интереса тогда всё это не вызвало.

MagSpoof представляет собой эмулятор магнитных карт, состоящий из катушки, поле которой и будет регистрировать головка считывателя, микроконтроллера ATTiny85, а также уже оказавшегося упомянутым здесь H-моста L293D.

Код проекта был написан для платформы Arduino и может быть запущен с минимальными изменениями (лишь поменять номера ножек) практически на любой плате. Под рукой у меня как раз оказалась Mega. На ней мы и будем всё это собирать. Монтажную плату использовать на этот раз не стал, разместил всё на беспаечной макетке.

У меня не было цели изготовить полностью автономное устройство, так что отталкивался от того, что имелось у меня. Мотать катушку ради устройства, с которым я поиграюсь десять минут, а потом разберу, решительно не хотелось, так что пришлось поискать что-то подходящее в закромах. Очень кстати на глаза попалась коробка с деталями от отслуживших своё принтеров. Шаговики, направляющие, оптопары и платы HVPS оставим для каких-нибудь других опытов, а вот соленоид, из числа тех, что стоят в захватывающем механизме лазерных принтеров, будет в самый раз.

Отсоединяем от него подвижную часть (аккуратно, чтобы не потерять пружинку, нам ведь, как-никак, потом это ещё и назад ставить), и, в общем-то, всё.

Собираем схему. Выводы ENABLE, A и B L293D подключаем к цифровым пинам МК, питание логики — к пяти вольтам, питание нагрузки — к двенадцати (вообще, соленоид рассчитан на двадцать четыре вольта, но в данном опыте я бы столько не подавал, так как можно и саму головку намагнитить). Теперь забиваем свой дамп карты и заливаем скетч. Всё, можно пробовать.

Ну, где считыватель, там и POS-terminal. И на нём это тоже прекрасно срабатывает. Всё так, как нам хотелось.
Принцип работы этого эмулятора крайне прост — программа рассчитывает чётность и контрольное значение для заданной дорожки, после чего воспроизводит её на катушке при помощи H-моста, позволяющего менять полярность. По идее, если подключить записывающую головку и энкодер, а подачу тока завязать не на фиксированные тайминги, а на сигналы с энкодера, то можно даже создать устройство для записи карт.

Как показала парочка опытов, высококоэрцитивные карты весьма стойко переносят нахождение рядом с металлическими предметами и даже кратковременное присутствие магнита.

Пластиковый и ферритовый магниты вообще не смогли оказать влияния на магнитную полосу. Стереть данные удалось только неодимовым магнитом, проведя им по полосе.

Так что носить магнитные карты в кошельках с магнитными застёжками или с некоторыми ключами (например, Mottura выпускала замки, ключи от которых содержали неодимовые магниты) всё-таки не стоит.

Также не стоит забывать и про банальный износ карты. В своё время выпускавшиеся магнитные карты Maestro буквально расслаивались от частого использования, разумеется, переставая при этом читаться.

Так что в итоге?

В банковской сфере магнитные карты уже уходят в историю. Крупнейшие платёжные системы уже заявили о прекращении выпуска карт с магнитной полосой буквально через пять лет.

И даже в других областях, где такие карты применялись, RFID постепенно берёт своё.

Безусловно, RFID или смарт-карты использовать сейчас намного проще и дешевле. Впрочем, совершенно уверен, что все эти материалы смогут кому-то пригодиться.

Казнь карточных СКУД

В академических работах такой раздел обычно называют обоснованием актуальности, но, так как Хабр это курилка, как я недавно прочитал, решил добавить немного красок в эту достаточно отраслевую историю. Тем более, раз уж преимущества смартфона уничтожительные, то буду уничтожать.

Для меня все началось в 2007 году, когда я впервые приехал в Китай. Мы с товарищем, почти как Баширов и Петров, решили мотануться на пару дней в Китай и оторваться там по полной, ну и заодно найти поставщика самых популярных в России в 2007 году, так называемых, толстых карт формата EM-marine (125 Кгц).

Проклятье российского рынка СКУД — толстая карта формата EM-marine.

Это была моя первая поездка, и кроме того, что не ту страну я считал страной третьего мира, что выяснилось в ту же минуту, как я сошел с трапа в аэропорту Гонконга, а на тот момент, это лучший аэропорт мира, также выяснилось, что в самом Китае, даже в то время, карты EM-marine практически не использовали, и уже тогда там преобладали карты стандарта Mifare и считыватели отпечатка пальцев (оценка лично моя, сугубо на глазок).

А теперь, первый главный вопрос: Как вы думаете, какие карты преобладают в России в 2018 году? Правильно, карты EM-marine.

Единственное, что хоть немного успокаивает то, что у «них» ситуация немногим лучше. Компания HID Global — один из крупнейших мировых производителей СКУД, примерно оценивает, что на данный момент 40% процентов глобального рынка СКУД — это карты HID Proximity (125 Кгц), которые в плане безопасности такая же шляпа, как EM-marine. На официальном сайте HID эти карты полноценно присутствуют, и в описании нет ни словечка о том, что эти карты могут быть скопированы.

Забавный в ковычках момент заключается в том, что карта Em-Marine, StandProx стоит 12 рублей, а самая простая карта формата HID Proximity, HID ProxCard II® — 200 рублей.

Сразу напрашивается второй главный вопрос: Обречен ли российский рынок на вечное использование бесконтактных карт? И если нет, то какие технологии идут им на смену?

И здесь я позволю себе высказать свое собственное мнение — в ближайшие несколько лет ландшафт рынка серьезно изменится, и ничто, и никто этого уже не изменит.

На смену карточным СКУД придут:

• Технологии мобильного доступа
• Биометрическая идентификация

О современном положении дел в области биометрической идентификации у нас на сайте есть огромный лонгридище. А вот о технологии мобильного доступа мы подробно поговорим в этой статье.

Первой компанией, предложившей мобильный доступ массовому потребителю, стала компания HID Global, входит в конгломерат ASSA ABLOY, оборот за 2016 год — $1,2 миллиарда. Входит в топ 50 крупнейших компаний в индустрии систем безопасности.

Скан из «white paper» HID Global

Давайте 2014 год возьмем за точку отсчета момента появления технологии на рынках.

Сейчас 2018, и на рынке России вы можете найти 10 производителей, предлагающих решения для мобильного доступа.

Кажется что мы опять всех переиграли, и все остальные страны мира нам завидуют. Но дьявол, как всегда, в деталях, давайте в них вглядимся.

И вот первая деталь — российские компании представили свои продукты лишь в 2018 году, анонсировали в 2017 на выставке технических средств безопасности Securika. Но реально в продажу рабочие устройства поступили все-таки в 2018.

Вторая деталь — по количеству предложения российские производители, как всегда выигрывают, но что там с качеством. Инсайд — все плохо, но надежда есть.

Чего ждали российские производители СКУД 4 года, особенно при понимании всей катастрофичности преимуществ мобильного доступа.

NFC или Bluetooth

Для передачи идентификатора от смартфона к считывателю, используются интерфейсы связи NFC или Bluetooth. Разберем поподробней в чем разница, и какие могут быть плюсы и минусы в контексте целей СКУД.

NFC — технология ближней идентификации. Преимуществом является меньшее потребление энергии в сравнении с Bluetooth, но при этом NFC проигрывает технологии Bluetooth в дальности, NFC — дальность до 7 см, Bluetooth — дальность до 20 метров, неприхотливости к погодным условиям и скорости передачи данных.

Но большая дальность действия не всегда достоинство. NFC ввиду своей малой дальности считывания исключает возникновение проблем при передаче идентификатора, в то время как передачи по Bluetooth можно столкнуться с помехами и сигналами сторонних устройств, использующих эту радиочастоту.

Важная особенность использования технологии NFC состоит и в том, что модуль NFС недоступен на устройствах iOS, в отличии от Bluetooth которая доступна практически для всех мобильных устройств и является более универсальной.

Не нужно забывать что, специфика использования Bluetooth еще и в том, что он должен быть постоянно включен на смартфоне. Часто возникает опасение, что это будет быстро разряжать телефон. Использование технологии Bluetooth четвертого поколения, или BLE (Bluetooth Low Energy), позволяет не жертвовать зарядом телефона для использования систем мобильного доступа, поскольку передатчик включается лишь для отправки данных.

Кроме того, спецификой использования Bluetooth будет то, что если в зоне идентификации будет несколько считывателей то все они считают идентификатор и разблокируют преграждающие устройства, если иного не будет запрограммировано в контроллере СКУД, а всего скорее не будет, т.к. сложные сценарии работы поддерживают далеко не все СКУД.

Ну представьте себе ситуацию: идете вы по коридору а все двери на вашем пути отрываются, кроме того, что это смахивает на хорор, это, конечно, полностью противоречит целям СКУД. Большинство производителей позволяют регулировать дальность срабатывания для каждого конкретного считывателя, что будет хорошим решением, т.к. для двери это может быть одно, небольшое расстояние, а для шлагбаума наоборот и максимальные 20 метров — вполне рабочая конфигурация.

Преимущества мобильного доступа

Это дешевле, даже если виртуальные идентификаторы стоят денег, их нельзя потерять, сломать, их легче администрировать. А если виртуальные идентификаторы бесплатны — это катастрофически дешевле.

Это безопасней, создание дублей карт 125 Кгц, как HID Proximity, так EM-marine, процесс, который не составит труда даже для моей бабушки, моей бабушке, конечно, нет никакого интереса использовать «дыры» в вашей системе контроля доступа, но раз вы систему устанавливаете, то уже знаете, что интересующиеся есть.

К тому же, в отличие от бесконтактных карт, сами смартфоны поддерживают многофакторную аутентификацию, биометрическую идентификацию и прочие функции безопасности, которые и не снились бесконтактным картам.

Это проще администрировать. Когда идентификатор теряют, ломают, забывают дома, кто-то должен этот вопрос решить, и этот кто-то в зависимости от размеров предприятия может тратить на это достаточно значительное количество оплачиваемого времени.
Преимущество мобильного доступа в том, что смартфоны реже теряют, ломают и забывают дома.

Это эффективней, значительное снижение практики, когда сотрудники отмечают приход / уход друг за друга. В штатах, компании на этом теряют 373 миллиона долларов, по данным за 2017 год. Сколько у нас, никто не считает, возможно, широта русской души не позволяет, но судя по любви к мемам типа «эту страну не победить», думаю не меньше, чем в США.

Это экологичней, бесконтактные карты выполнены из пластика, который будет разлагаться сотни лет, а еще нужно учесть, что и производство пластика не самая экологически чистая технология. На взгляд ООН, одной этой причины достаточно, чтобы отказаться от использования пластиковых карт.

Это удобней. Доступ с помощью мобильного устройства может быть более быстрой и удобной процедурой. Например, при проезде на автотранспорте технология Bluetooth Smart с увеличенной дальностью действия позволяет открывать ворота или шлагбаумы при приближении автомобиля, при этом водителю не придется опускать стекло автомобиля и дотягиваться картой до считывателя.

Выдача виртуального идентификатора

В данном случае генерация виртуального идентификатора происходит в базе данных производителя. Далее, уже сгенерированный идентификатор выдается пользователю. Смысл его использования в том, что все идентификаторы хранятся в базе данных производителя и не могут быть выданы дважды. Т.е виртуальный идентификатор нельзя передать, он может быть активирован лишь единожды, на одном конкретном смартфоне, в одном конкретном мобильном приложении. Кроме этого, производитель контролирует уникальность выдаваемых идентификаторов, для того, чтобы избежать выдачи одного и того же идентификатора разным пользователям.

Одним из преимуществ использования виртуальных идентификаторов является то, что идентификатор  (числовой код идентификатора) пользователь в приложении посмотреть не может, а значит, идентификатор нельзя скопировать или передать.

Перехватить идентификатор при передаче от смартфона к считывателю тоже не получится, т.к. он передается в зашифрованном виде.

В зависимости от вендора, выдача производится немного различными способами:

• Компания Salto использует для передачи доступа в смартфон технологию Over the Air (OTA), которая позволяет безопасно передавать виртуальный идентификатор на смартфон пользователя в зашифрованном виде.
• В иных случаях передача идентификаторов происходит непосредственно пользователю через администратора СКУД. Таким образом на данный момент работает бренд ESMART.
• Nedap использует мобильную верификацию и сетевую передачу идентификаторов в смартфон, а также реализует выдачу бесплатного идентификатора Mace ID при регистрации нового пользователя.
• Компания HID Global в арсенале своего приложения HID Mobile Access имеет ПО администратора. При получении администратором виртуальных идентификаторов от производителя, они назначаются на пользователей и рассылаются по сети по смартфонам пользователей.

В данном случае происходит выдача готового идентификатора пользователю, который следует только активировать с помощью уникального кода активации. Приложение связывается с сервером и после сравнения подтверждает то, что данный код активации свободен, после чего идентификатор передается в приложение.

Стоимость виртуальных идентификаторов

База данных виртуальных идентификаторов ведется на серверах производителя — это, видимо, одна из причин, по которым производителями берется плата за выдачу идентификатора.

ESMART – Безопасный виртуальный идентификатор ESMART® Доступ:

• 100 рублей (Бессрочный)
• 60 рублей (7 суток)
• 40 рублей (1 Сутки)

HID
Цены установлены до конца января 2019 года.

С февраля 2019 года:

• Приблизительно 5 долларов в год — один идентификатор на 5 устройств по принципу лицензии (по примеру антивирусов).
• Облачный портал администратора бесплатный и как у Nedap предоставляется производителем.

Suprema
Сервер выдачи идентификаторов пользователям создается администратором на месте и содержится им же. Существует несколько типов пакетов:

• от 250 до 500
• от 500 до 1000
• от 1000 и больше.

Средняя цена, уточняемая производителем — 440 долларов на 100 человек бессрочно.

Suprema находится этапе становления своих мобильных решений, поэтому периодически происходит изменения прайса.

Salto
Плата берется за обслуживание облака по 2.1 Евро в год на одного пользователя.

Sigur
Предлагает бесплатные бессрочные мобильные идентификаторы, генерируемые на основе данных смартфона и программного обеспечения Sigur.

Хранение данных

Вопрос с персональными данными — тема горячая, поэтому отдельно остановимся на том, что и где хранится.

Только идентификатор: Хранится в двух местах (в данном случае идентификатор — это всего лишь уникальное длинное число):

• В базе данных производителя считывателя, она может быть с браузерным интерфейсом для доступа клиентов или программным, или быть базой данных локального хранения, недоступной извне. Это пункт только для виртуальных идентификаторов, идентификаторы, сгенерированные на основе данных смартфона, не хранятся в общей базе данных производителя.
• В приложении на телефоне пользователя
• В памяти контроллера СКУД

Идентификатор и ФИО держателя хранятся:

Вендоры предлагающие решения для мобильного доступа на рынке России

1. Nedap
У Nedap очень удобно организована работа с гостевыми пропусками, для доступа гостя ему на E-mail отправляется одноразовый штрих или QR-код, который считан с экрана смартфона.

Мобильные приложение MACE App для Android и MACE App для iOS

2. Suprema
Считыватели Suprema выделяются уникальным сочетанием методов идентификации, сочетая в одном устройстве возможностей идентификации по смартфону, биометрической идентификации и идентификации по бесконтактным картам. Из биометрии Suprema поддерживает технологии отпечатков пальцев, и распознавания лиц.

Мобильное приложение на Android BioStar 2 Mobile и BioStar 2 Mobile для iOS.

Мобильное приложение на Android — Parsec Card Emulator

Мобильное приложение на Android — RusGuard Key

5. HID
Решение от компании HID Global позволяет смартфону взаимодействовать со считывателями iCLASS SE и multiCLASS SE в ближнем режиме «Tap» (прикосновение) или на расстоянии в режиме «Twist and Go» (поворот смартфона). Технология «Twist and Go» позволяет разблокировать преграждающие устройства только после поворота смартфона пользователем на 90 градусов, что позволяет исключить случайное открытие при использовании Bluetooth.

Активная обратная связь в виде вибрации и звуковых сигналов при открывании дверей повышает удобство для пользователя.

К ценам каждого считывателя HID надо ещё прибавить $75 за Bluetooth модуль, он поставляется отдельно.

Мобильные приложения HID Mobile Access для Android и HID Mobile Access для iOS
Приложение позволяет получить на смартфон карту доступа через портал администратора. После чего пользователь может использовать телефон в качестве идентификатора доступа. Приложение BLE Config App позволяет с помощью телефона изменять конфигурацию считывателей, обновлять прошивки, получать и устанавливать конфигурацию, управлять шаблонами.

Мобильное приложение на Android — ESMART® Доступ
Мобильное приложение на iOS — ESMART® Доступ
Мобильное приложение ESMART® Конфигуратор доступно на iOS и на Android.

ESMART выделяется богатыми возможности для конфигурирования:
Типы считываемых идентификаторов:

• Чтение UID
• Работа с памятью Mifare ID, Classic, Plus в SL1
• Работа с памятью Mifare Plus в режиме SL3
• Физические и виртуальные идентификаторы ESMART® Доступ

Для всех карт Mifare можно задать количество данных, смещение, номер считываемого блока, а также ключ авторизации на сектор (Crypto1 или AES128)

ESMART® Доступ — это технология защищенного хранения и передачи физических и виртуальных идентификаторов, с безопасностью банковского уровня.
Физические карты построены на чипе JCOP (Java) и используют апплет ESMART-Доступ.
Апплет — это небольшое приложение, которое позволяет расширить функционал обычного идентификатора, подверженного копированию, до защищенного от копирования идентификатора.

В технологии ESMART® Доступ используются следующие степени защиты:

• диверсификация ключей
• проверка CMAC-подписи данных
• защита от Replay-атак

Формат выходного интерфейса — Wiegand. Можно задать произвольное количество байт данных, использованиеотключение битов четности, а также последовательность вывода байт.
Возможна индивидуальная настройка звуковой и световой индикации, с возможностью выбора цвета или порядка переливающихся между собой цветов.

Мобильное приложение PW Mobil ID для Android и PW Mobile ID для iOS
Возможности:

• Работа по NFC и BLE
• Хранение до 3-х идентификаторов одновременно
• Интуитивно понятный интерфейс: 2 кнопки (Передать идентификатор на считыватель — кнопка “открыть” и настройка “шестерёнка”)
• Запрос мобильного идентификатора непосредственно в приложении — отправка запроса на почту
• Настройка включения / отключение передачи идентификатора в считыватель по включению экрана смартфона
• Получение мобильного идентификатора по приглашению администратора.
• Конфигуратор только для Android — ProxWay Mobile Config

8. Salto
У SALTO со смартфонами поддерхивает работу серия XS4 2.0.

Мобильное приложение JustIN Mobile BLE (только с контроллерами Salto)

JustIN Mobile использует технологию Bluetooth Low Energy (BLE) для безопасной передачи  данных между смартфоном и конечными устройствами. Зашифрованный ключ, созданный в программном обеспечении управления системой доступа SALTO — ProAccess SPACE, отправляется на смартфон пользователя «По воздуху» — Over the Air — OTA.

Смартфон с приложением JustIN Mobile и прошедший процедуру регистрации и верификации пользователя, получает и расшифровывает мобильный ключ, и после этого пользователю достаточно просто коснуться иконки на экране приложения в смартфоне, чтобы открыть дверь.

9. PERCo
Оборудование PERCo, поддерживающее работу со смартфонами:

Работа со смартфонами в качестве идентификаторов поддерживается в программном обеспечении для СКУД — PERCo-Web и PERCo-S-20.

На смартфон с ОС Android должно быть установлено бесплатное приложение PERCo.Доступ. В качестве идентификатора для смартфонов с ОС Android используют уникальный идентификатор IMSI – индивидуальный номер абонента, ассоциированный с SIM-картой смартфона.

В смартфонах Apple (ОС iOS) в качестве идентификатора используется уникальный Token, привязанный к одной из банковских карт, эмулированных на смартфоне. Перед использованием в СКУД на смартфоне необходимо активировать именно эту банковскую карту. Уникальный Token не является номером банковской карты. Для смартфонов Apple установка приложения PERCo.Доступ не требуется.

Компания Sigur также как и большинство российских разработчиков, выкатили свой считыватель на Securika еще в 2017, на данный момент считыватель Sigur MR1 BLE доступен для заказа, а мобильные приложения доступны для скачивания.

Кроме смартфонов, считыватель работает с бесконтактными картами Mifare, серий — Classic, DESFire, Plus — в том числе в режиме SL3.

Также как идентификаторы можно использовать обычные банковские карты (Mastercard, Visa, МИР) с поддержкой бесконтактных платежей.

Sigur выделяется бесплатными мобильными идентификаторами, и тем что сами идентификаторы автоматически при выдаче сразу заносятся в базу данных СКУД и оттуда попадают в контроллеры. Мобильные приложения Sigur Доступ для Android Sigur Доступ для iOS.

Приложение для конфигурирования считывателей Sigur Настройки только для Android.

Выдача идентификатора на смартфон

Для того, чтобы у вас появилась возможность использовать смартфон в качестве пропуска, на смартфоне должен быть сгенерирован или выдан уникальный идентификатор, именно он будет передаваться со смартфона на считыватель, а со считывателя в контроллер, и контроллер уже в зависимости он настроек доступа будет либо предоставлять доступ, либо отказывать в нем.

Выводы

Системы контроля доступа, которые мы знаем, уже мертвы. Но индустрия, похоже, еще этого не осознала. Мобильные идентификаторы станут одним из ключевых драйверов сдвига парадигмы для контроля доступа в мире, да что там в мире, в России.

Мобильные устройства уже заменили множество повседневных предметов в нашей жизни. Причем замена происходит с ошеломляющей скоростью. Еще полгода назад я не использовал телефон для покупок, а сегодня я стараюсь избегать мест, где невозможно оплатить покупку с помощью смартфона, и у меня получается. Сегодня примерно 99,9% личных покупок я оплачиваю со смартфона. Прогресс с 0 до 99,9% за полгода впечатлил даже меня, когда я это осознал.

Приход мобильных технологий в отрасль системы безопасности произведет эффект разорвавшейся бомбы. И похоже, многих выкинет с рынка этой взрывной волной.

HID, Suprema, и Nedap — традиционно представили отличные, и не имеющие аналогов решения, традиционно за много денег.

Стратегия, которую выбирают российские производители СКУД, просматривается уже сейчас. Из российских брендов только ESMART и ProxWay представили решения сравнимые по технической реализации с иностранными вендорами. И есть производители СКУД, в том числе занимающие приличную долю на рынке, которые не представили вообще никаких решений для мобильного доступа, и соответственно, не упомянутых в данной статье.

И что самое интересное, ни ESMART, ни ProxWay не являются лидерами рынка СКУД. Я бы даже сказал это новички.

И мобильные идентификаторы и биометрия — это всего лишь начало. Еще одна тенденция, которая может оказать заметное влияние на Российский рынок — это выход на рынок СКУД производителей видеонаблюдения. HikVision представил широченную и достаточно качественную линейку СКУД.

А если вспомнить, а я об этом вспоминаю каждый раз, когда кто-то произносит словосочетание «загадочная русская душа», что один из самых отвратительных контроллеров для СКУД — Болид С-2000-2, является также и самым популярным контроллером просто за счет популярности болидовских пожарно-охранных систем. То получается, что видеонаблюдение может стать таким же паровозом для СКУД от производителей видеонаблюдения.

Еще одна значимая особенность бесконтактных карт состоит в том, что за свою более чем 30 летнюю историю они так и не вышли за рамки локального решения для контроля доступа, используемого, в-основном, в компаниях. Физические лица со времен древнего Рима и по настоящее время используют металлические ключи.

Использование смартфона вполне может быть решением и для розничного рынка. Банально, но я как фанат Airbnb просто задолбался согласовывать время, когда мне могут передать ключи от снятой мною квартиры. Насколько было бы проще, если бы я мог поставить приложение на смартфон и спокойно открывать дверь в течение всего срока аренды. В гостиницах аналогичные решения могут быть удобней существующих карточных.

Это, так или иначе, другие продукты, но технологии те же и, как на рынке видеонаблюдения, есть компании, которые предлагают решения для разных рынков под разными брендами. Так это может случиться и в СКУД.

Похоже, что многие лидеры российского рынка СКУД инстинктивно ищут спасения от будущего в прошлом. Цепляются за старый опыт, пытаясь извлечь из него то, чего в нем никогда не было и не могло быть, так как российский рынок СКУД никогда еще не стоял перед лицом таких изменений. Наверное, какое-то время такая стратегия будет работать.

Но многие — это не значит все, пара российских компаний ESMART и ProxWay представили качественные продукты на одном уровне с иностранными аналогами. Интересным подходом и бесшовной интеграцией со своей СКУД выделяется Sigur.

Все это дает нам неплохую надежду что скоро о картах EM-marine смогут вспомнить лишь старожилы, наряду с перфорированными картами, картами со штрих кодом и картами с магнитной полосой.

Еще один момент, о котором стоит упомянуть: устройства идентификации, которые мы подробно рассмотрели этой статье, лишь один из компонентов системы контроля и управления доступом, и чтобы ваша система идеально работала (а на меньшее мы несогласны) не меньше внимания стоит уделить выбору исполнительных устройств, контроллеров и программного обеспечения. И конечно, стоит обратить внимание, что интеграционные возможности у современных СКУД огромны — с охранно-пожарными системами, с системами видеонаблюдения, с доступом к компьютеру, с лифтовыми системами и много еще с чем. Так что, не забудьте прежде чем делать выбор почитать наш очередной лонгрид по выбору СКУД.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Какую технологию физического доступа выберете вы?

Проголосовали 129 пользователей.

Воздержались 27 пользователей.

Отзыв идентификатора

Отозвать идентификатор со смартфона можно двумя способами:

• Отзыв производится в ПО СКУД контроллера, после чего пользователь уже не имеет возможности пройти на объект
• Отзыв онлайн со смартфона пользователя, через ПО администратора СКУД

Отзыв идентификатора со смартфона

Если идентификаторы хранятся в облачном СКУД-интерфейсе, и у администратора есть соответствующее ПО, то возможен отзыв идентификатора удаленно. Данная технология реализована на базе приложения HID Mobile Access.

Подобную технологию также используют бренды HID, Nedap и Suprema.

В иных случаях удаление идентификатора со смартфона производится посредством удаления идентификатора в приложении или удаления самого приложения со смартфона.

Отзыв идентификаторов из контроллера СКУД

Отзыв идентификатора из контроллера СКУД производится вручную с помощью функции “Уволить сотрудника” в программном обеспечении СКУД контроллера. Действует на всех контроллерах.

Rusguard имеет в своем арсенале модуль «Администратор» в мобильном приложении, что позволяет ему среди прочего блокировать и удалять сотрудников из системы удаленно