Menu
V rámci konsorcia společností IMA s.r.o. Praha a VUT Brno byl v letech 2016 až 2018 řešen projekt MV ČR “Bezpečné řízení přístupu pro kritické infrastruktury” vedený pod číslem VI20162018003.
Řešení projektu se skládalo z následujících dílčích podúkolů:
Přístupový terminál CKP.41
Modul SAM
Čipová karta
Čtečka RSW.05
Koncentrátor PCM.02-C
IMAporter Pro verze 2019
Terminál CKP.41 je koncové zařízení pro řízení přístupu. Výkonný procesor ARM Cortex s paměťovou kartou microSD umožňuje téměř neomezenou velikost seznamu povolených karet i počtu zaznamenaných událostí. Ověřovací terminál slouží k vyhodnocení přístupových práv pro identifikátor, který přijde ze čtečky po níže uvedených rozhraních. V režimu OFFLINE přímo vyhodnocuje přístupová práva a v režimu ONLINE a PSEUDO ONLINE odesílá dotazy na koncentrátor.
Je vybaven dvěma rozhraními pro připojení čteček bezkontaktních identifikačních karet s komunikačním rozhraním Wiegand, ABA nebo RS232. Tedy např. čteček standardů Mifare, Desfire, LEGIC, HID apod. Komunikace se čtečkami na rozhraní RS485 používá standardní OSDP protokol zabezpečený šifrováním podle standardu SCP02.
Osm galvanicky oddělených vstupů a bezpotenciálové přepínací kontakty čtyř relé umožňují připojení mnoha vstupních a výstupních zařízení (dveřních zámků a kontaktů, ovládacích tlačítek, turniketů apod.). Možné je rovněž připojení do systémů EZS a EPS. Komunikační rozhraní Ethernet a RS485 umožňují přenos dat a dálkovou konfiguraci a upgrade programového vybavení.
Komunikace po rozhraní RS485 nebo ETHERNET je zabezpečena šifrováním pomocí AES.
Terminál je zabudován do šedé plastové skříňky z materiálu ABS o rozměrech 240 x 160 x 60 mm.
SAM (Secure access module) je standardní kontaktní čipová karta s operačním systémem MULTOS nebo JCOP, pro kterou byl vytvořen speciální software splňující bezpečnostní požadavky projektu MVČR.
Tento software – „Ověřovatel” představuje autentizační protokol pro systémy řízení přístupu, kdy je využito čipových karet jak na straně uživatele, tak na straně ověřovatele. Software poskytuje především programové vybavení pro modul SAM, které je na straně ověřovatele a poskytuje potřebné funkce k ověření uživatele s čipovou kartou. Implementovaný autentizační protokol je založen na protokolu nulové znalosti a poskytuje silnou úroveň zabezpečení (NIST 2016-2030 a dále). Protokol v modulu SAM obsahuje 8 verzí autentizačního protokolu včetně verzí ECC (ECC až 512b).
(zdroj: https://www.vutbr.cz/vav/vysledky/detail/141483)
Karta je standardní bezkontaktní čipová karta s operačním systémem MULTOS nebo JCOP, pro kterou byl vytvořen speciální software splňující bezpečnostní požadavky projektu MVČR. Karta a SAM tvoří pár, který slouží k vzájemné autentizaci.
Tento software implementuje rozšířený autentizační protokol pro systémy řízení přístupu založené na platformách čipových karet (Basic Cards a MultOS Cards). Autentizační protokol je založen na protokolu nulové znalosti a poskytuje silnou úroveň zabezpečení (NIST 2016-2030 a dále). Protokol na kartách obsahuje 8 verzí autentizačního protokolu pro různé úrovně zabezpečení, včetně verzí ECC (ECC až 512b).
(zdroj: https://www.vutbr.cz/vav/vysledky/detail/141395)
RSW.05 je univerzální čtecí zařízení podporující technologie NFC. Tato čtečka je využitelná jak pro rozšíření možností stávajících přístupových, docházkových a jiných identifikačních systémů, tak pro ovládání jednotlivých vstupů.
V rámci projektu byly vyvíjeny a ověřovány dva typy čtečky. První varianta čtečky slouží jen k ověření karty a další vyhodnocení zajišťuje přístupový terminál. Druhá varianta čtečky s OSDP rozhraním funguje jako úložiště povolených karet a transakční pamětí průchodů, které na čtečce proběhly. V tomto případě se jedná nejen o čtečku, ale vlastně o malý přístupový systém.
Hardware obou variant čteček je shodný, jedná se tedy o jeden výrobek lišící se pouze firmwarem.
Pro obě čtečky je společná práce s vysoce zabezpečenou kartou. Veškeré kryptografické výpočty se přesunuly do SAM modulu, který má dostatečný výkon. Použití SAM modulu zajišťuje, že výrobce čtečky (IMA) nemá žádné informace o zabezpečení, takže nikdo není schopen vyrobit falešnou čtečku.
Pro komunikaci s nadřazeným systémem (řídicí jednotkou přístupového nebo jiného identifikačního systému) je čtečka vybavena podporou komunikačních rozhraní Wiegand, RS232, Ethernet a RS485 se zabezpečeným protokolem OSDP. Tato univerzální rozhraní zajišťují kompatibilitu s většinou řídicích jednotek.
Koncentrátor je průmyslové PC vlastní konstrukce společnosti IMA, které v systému IDSIMA K4 zajišťuje správu koncových terminálů a komunikaci se serverem K4.
Jádrem systému je PC modul, ke kterému jsou přes standardizovaný konektor připojeny periferie. V rámci projektu bylo rozhodnuto, že procesorový modul bude inovován na modul INTEL ATOM Congatec. Současně byla vytvořena nová distribuce operačního systému Debian, která umožňuje provádění průběžných aktualizací. Jakmile byl OS Debian sestaven, byla provedena portace aplikace K4 koncentrátor na nový OS. Pro spuštění aplikace bylo nezbytné provést její novou kompilaci pro 64 bitové prostředí, vyzkoušet přítomnost a spolupráci všech podpůrných aplikací (Apache, bash a další). Výsledné řešení je plně funkční.
Deska pro umístění modulu, vyvinutá v IMA, je vybavena čtyřmi kanály se sběrnicí RS485, rozhraním ETHERNET. Jako operační systém je použit LINUX. Pro aplikaci MVČR byl vyvinut speciální software, který na jednom komunikačním kanálu má standardní komunikaci IMA šifrovanou protokolem AES a na druhém komunikaci OSDP. Koncentrátor slouží ke sbírání informací z jednotlivých přístupových terminálů, nebo čteček s OSDP protokolem.
IMAporter Pro verze 2019 je inovovaný přístupový systém pro řízení přístupu držitelů identifikátorů do kontrolovaných prostor. Systém se skládá z centrálního serveru a distribuovaných koncových zřízení. Komunikace mezi nimi zajišťují datová rozhraní Ethernet a RS485.
Aktuálně vydaná verze IMAporter Pro pro rok 2019 je nově vybavena funkcí profilování osob. Tato funkce má za úkol, na základě informací o průchodech, vytvářet standardní profily držitelů karet a upozorňovat na situace, kdy chování těchto držitelů karet není v korelaci s jejich profilem. Dalším vylepšením nové verze je využití standardních šifrovacích nástrojů (AES, TLS, OSDP a další) pro zvýšení bezpečnosti celého systému. Zásadní zlepšení bylo provedeno na úrovni čteček bezkontaktních karet, kde je možno, přidáním rozhraní pro čipovou kartu SAM (Security Access Module), autentizovat bezkontaktní čipové karty zabezpečené algoritmy na bázi eliptických křivek EEC512. Toto řešení dává navíc uživatelům plnou kontrolu nad šifrovacími klíči.
Nechte si posílat novinky na e-mail o tom, co nového se děje v IMA a v oboru.
Design Jakub Carda / Development Digital Depo
