工程商应该怎么选择门禁系统?门禁系统的基本构成由读卡器、控制器、卡片、电控锁及其他辅件组成。也就整个系统的稳定性而言,任何一个部分都是至关重要的,任何一个部件的不稳定,都会影响到整个系统的稳定性。但也就安全性而言,读卡器和卡片是最重要的,卡片也就仿佛一把“电子钥匙”,如果钥匙容易被别人复制,整个门禁控制系统也就没一点安全性可言了。
门禁系统用得最多的卡片类型和格式分别有: EM ( ID 只读)卡, Mifare one (简称 M1 可读可写)卡, logic 卡 TM 卡等。其中 EM 卡和 M1 卡几乎占据了非接触卡 90 %以上的市场份额。建议你选用 EM 卡和 M1 卡做门禁系统。其他不常用的卡,不建议你采用,因为他们的市场份额小,有可能会退出中国市场,那么以后产品的升级和扩容就会存在问题。 EM 卡的特点是:性价比好,市场占有率最高,读卡距离长,缺点是只读,适合门禁 考勤 停车场等系统,不适合非定额消费系统。如果你要考虑到消费的一卡通,就最好采用 M1 卡。如果仅仅是给门禁考勤用, EM 卡是首选。 M1 卡,优点是可读可写的多功能卡,缺点是:价格偏贵,感应距离短,适合非定额消费系统,不适合停车场系统。适用于门禁考勤,没有问题。卡片类型和读卡器类型有对应关系,请注意。如果你以前就购买了考勤系统或者消费系统,最好是继续沿用原来的卡片类型,这样的费用最低。
门禁卡识别技术的发展大概经历了以下几个阶段:
磁卡到接触式智能卡到感应卡再到非接触式智能卡。非接触式智能卡和感应卡虽然都是采用RFID,都具有免接触、使用方便的特点。但,他们之间还是有很多的不同,如下表所示:
名 称 感应卡 非接触式智能卡
频率 125KHz 13.56MHz
读/写 只读 读和写
应用 单应用 持多应用
内存容量 很小,256bits 内存容量大 (2Kbits、 16Kbits、32Kbits)
安全性 低 高(相互认证,数据加密)
从技术的发展趋势来看,非接触式智能卡取代感应卡是必然的。市场的状况也证明了这一点,在中国,非接触式智能卡已经连续几年出现2 位数的增长,非接触智能卡技术必将是下一代的主流技术,这已是不争的事实。国内、国外很多公司纷纷推出自己的非接触式智能卡和读卡器(13.56MHz),面对市场上如此众多品牌的卡片和读卡器,如何选择安全、可靠的产品?用户如何花最小的代价从感应卡技术升级到非接触式智能卡技术?这也是很多用户关心的问题。
一、 如何产品
1、 不要选择所谓的“兼容”某公司或者某品牌的读卡器
在市场上,特别是国内市场上,会有一些读卡器生产厂商声称自己的读卡器和某些国际大品牌(比如:HID 等)的读卡器兼容,建议用户不要购买这些产品。因为,其一,从技术上来讲,他们所谓的兼容可能只是兼容其中的一部分格式或技术,比如只能读取CSN 等,无法达到真正品牌一样的安全性;其二,读卡器的很多技术有专利保护的,这些模仿或兼容本来也就是一种严重的违法行为。
2、 选择专业的门禁卡和读卡器
说起专业,可能很多工程商或用户都觉得很难有一个尺度,我觉得有以下几个方面的因素。
1) 不要用CSN 做门禁的卡号
由于一些历史的原因或其他方面的原因,很多用户选择使用卡片的CSN(Card Serial Number)去做门禁的卡号。其实,用CSN 做门禁的卡号在安全上、管理上和使用上有很多的不足之处。
CSN 在有些地方也叫做UID、CUID、PUPI 等等。CSN 是没有经过任何加密的,读取它也不需要经过相互认证。它也就仿佛我们的门牌号码一样,任何人都可以看到它,安全性非常低。它在ISO 标准里的作用仅仅是做防冲突用(Anti-collision)。很多厂商都对CSN做出以下声明:
“CSN 是一个唯一的序列号,在出厂时永久性的写入设备的ROM 里,是不能被修改的并且所有的序列号都保证其唯一性。”
但是,很多加密工作者、芯片厂商和业内专家指出:“CSN 没有加密和协议层的保护,所以很容易被复制;而且,有些CSN 是可以被更改的。”
由此来看,在门禁系统上使用CSN 做卡号确实不是一个好主意,存在安全隐患。所以,HID 从来不用CSN 去做门禁的卡号,而是用非接触式智能卡中受保护的数据去做门禁卡号,这样可以在非接触式智能卡的安全性、兼容性和方便性之间达到一个完美的平衡。而且,由于CSN 是随机,所以用户根本无法获得一组连续的号码,给使用和管理上带来很多麻烦。另外,有些厂商会截取CSN 的一部分做门禁的卡号,存在卡号重复的风险。
2) 遵循的ISO 标准:对于13.56MHz 的非接触式智能卡,通常有4 个ISO 标准:
ISO14443A
ISO14443B
ISO15693
ISO18000
每种ISO 标准都包括四个部分,如:物理尺寸、频率、电源和信号接口、初始化和防冲突及传输协议等等。读卡器和卡片所遵循的ISO 标准,表现在用户面前最直接的也就是读卡器和卡片的读卡距离、通讯速率等等,比如:符合ISO15693 的产品比符合ISO14443 的产品有更远的读卡距离,但通讯速率较ISO14443 慢。作为门禁用的读卡器和卡片,它们之间的数据传输量是很小的,任何ISO 标准的通讯速率足以满足要求,但是如果有更远的读卡距离,对用户来说是最方便的,所以选择符合ISO15693 标准的卡片和读卡器对门禁系统使用者来说会更加方便一些。但是,如果用户要进行如指纹、虹膜和掌形等生物识别认证,并且把生物识别的模板存储在卡片上,也就要选择符合ISO14443 标准的产品了,因为生物识别模板有较大的数据量。也有些公司的产品可同时符合多个ISO 标准,比如:HID的iCLASS 产品,HID iCLASS 卡片在普通iCLASS 读卡器上刷卡时采用ISO15693 标准,以获得较远的读卡距离;但同一张卡片,靠近iCLASS 指纹读卡机时,会自动采用ISO14443B 标准,以获得较高的通讯速率。
二、 一个被忽略的重要问题:数据格式和卡号控制
这是一对安全性很重要的问题,但被很多用户所忽略。建议用户选择对数据格式和卡号严格控制的公司和产品。这里讲的数据格式,是指存储在卡片中的二进制的数据格式,这个格式只能被控制器所解释。卡号,是指存储在卡片中的数据,在门禁应用中用来代表一个持卡人。数据格式的多样性是非常重要的,一方面,它可以满足数量众多的用户的个性化需求,同时,用户也可以通过自己的私有格式来保证门禁系统的安全。比如,HID 目前有数千种数据格式,还推出面向最终用户的“企业1000”格式。
卡号的严格控制尤为重要。试想一下,如果对卡号没有严格的控制,门禁系统将是一个怎样的后果?那样,持同卡号卡片的人也就可以非法进入,对门禁管理系统而言,将是一个很大的灾难。对数量庞大的卡号进行严格的控制,不仅仅是技术上的问题,更多的是管理上的、经验上的和资金投入上的问题,需要公司严格的管理制度、长期的经验积累和大量的资金投入。比如,HID 内部也就采用严格的管理制度和ERP 系统,对除开放格式外的每一张卡号都进行跟踪,都在数据库中记录,无法生产出同卡号的卡片,保证卡号的唯一性。保证只将私有格式和“企业1000”格式的卡片卖给指定经销商。
三、 多技术读卡器和多技术卡片
为了方便用户以最小的成本从感应卡技术(125KHz)升级到非接触式智能卡技术(13.56MHz),有些公司推出了多技术读卡器,也有些公司推出了多技术卡片。多技术读卡器,也就是同一个读卡器可同时兼容不同的技术,可读取不同技术的卡片(大部分是CSN);多技术卡片,也就是在同一张卡片里,同时融入感应卡技术、非接触智能卡技术、磁条或接触式智能卡技术等。对于多技术读卡器,虽然表面上看起来功能很强大,但只是有其特定的应用范围——门禁系统升级。因为,其成本会很高,在普通的情况下使用对用户来讲是完全没必要的;同时,能够兼容的技术越多,对用户来说越不安全。用户在升级的时候,要根据实际情况,选择合适的方案。
HID 公司为了保护用户投资,方便用户升级,同时有多技术读卡器(RP40)和多技术卡片(2020:iCLASS Prox Card),用户可根据实际的情况,选择最节约、最合理的升级方案——采用多技术读卡器还是采用多技术卡片。
一般情况,如果用户的卡片数量比较少,可采用更换成多技术卡片的方案,这样最经济,多技术卡片既可以在旧系统的读卡器(感应卡读卡器,125KHz)上读取,也可以在新系统的读卡器(非接触式智能卡,13.56MHz)读取,原有系统不需要做任何更改。如果用户原有系统卡片数量较多,可采用多技术读卡器的升级方案。一旦用户旧的卡片全部完成更换,也就可以通过配制卡重新配制多技术读卡器,关闭旧的读卡方式,只保留新的、安全的读卡方式,这样对用户既节约了投资,也保证了安全性。