Přístupové systémy a DESFire EV3 – kdo smí, projde
Co je přístupový systém?
Přístupový systém (ACS – Access Control System) automaticky rozhoduje, zda konkrétní osoba smí v daný čas vstoupit na dané místo. Nahrazuje mechanické klíče elektronickými identifikátory a přidává auditovatelnost – každý průchod je zaznamenán s časem a identitou osoby.
Základní architektura systému se skládá ze čtečky, kontroléru a elektromechanického zámku nebo turniketu. Čtečka identifikuje osobu, kontrolér ověří oprávnění v databázi a v případě shody pošle pokyn k odemknutí.
Identifikační média
RFID karty a přívěsky
Nejrozšířenější identifikační médium. Karta nebo přívěsek obsahuje čip s anténou. Přiblížením ke čtečce dojde k indukčnímu napájení čipu a přenosu dat.
Frekvence a standardy:
- 125 kHz (LF) – starší technologie, EM4100, HID Prox. Nízká bezpečnost – data se přenášejí v otevřené formě, snadno klonovatelné
- 13,56 MHz (HF) – ISO 14443 (Mifare, DESFire), ISO 15693. Výrazně vyšší bezpečnost, kratší dosah (do 10 cm), rychlejší komunikace
Biometrie
Otisky prstů, geometrie ruky, rozpoznání obličeje nebo sítnice. Výhoda: nelze zapomenout ani předat. Nevýhoda: hygienické námitky u snímačů otisků, GDPR při zpracování biometrických dat.
PIN, mobilní telefon, NFC
PIN kódy se kombinují s kartou (dvou-faktorová autentizace). Mobilní přístup přes NFC nebo BLE (Bluetooth Low Energy) je moderní trend – telefon jako klíč.
Komunikace čtečka – kontrolér
Wiegand
Historicky nejrozšířenější protokol. Data (obvykle 26–37 bitů) se přenášejí po dvou vodičích (DATA0, DATA1) jednosměrně od čtečky ke kontroléru. Wiegand je nešifrovaný – odposlech na kabelu je triviální. Postupně ustupuje bezpečnějším protokolům.
OSDP (Open Supervised Device Protocol)
Moderní otevřený protokol dle IEC 60839-11-5. Komunikace probíhá po RS-485 obousměrně, přenos je šifrovaný (AES-128). Kontrolér průběžně ověřuje, zda čtečka odpovídá – sabotáž nebo výměna čtečky je detekována. OSDP v2 je standard pro instalace vyžadující vyšší bezpečnost.
Kontrolér přístupu
Kontrolér je mozkem systému. Uchovává databázi osob a oprávnění, vyhodnocuje požadavky čteček a ovládá zámky. Může pracovat online (připojen k serveru, rozhodnutí v reálném čase) nebo offline (autonomní rozhodování, synchronizace periodicky).
Kontroléry se dělí dle počtu dveří (1, 2, 4 nebo více dveří na kontrolér) a dle architektury:
- Standalone – vše v jednom (čtečka + kontrolér v jednom zařízení), pro malé instalace
- Distribuovaný – kontroléry na dveřích, centrální server pro správu
- Cloudový – kontroléry komunikují s cloudovým serverem
NFC/DESFire EV3 – bankovní bezpečnost na přístupových kartách
Co je DESFire?
MIFARE DESFire od NXP Semiconductors je čipová karta pro bezkontaktní aplikace pracující na 13,56 MHz (ISO 14443-4). Oproti starší Mifare Classic (snadno prolomitelná) nabízí DESFire plnohodnotné šifrování a flexibilní datové struktury.
Architektura karty DESFire EV3
Karta DESFire je organizována do aplikací a souborů. Jedna karta může nést desítky různých aplikací současně – přístup do firmy, docházka, firemní stravování, MHD – každá v oddělené zóně s vlastními klíči.
Paměť je rozdělena:
- Master Application – správa celé karty, PICC Master Key
- Aplikace (AID – Application Identifier) – každá má vlastní klíče a přístupová práva
- Soubory – v každé aplikaci lze vytvořit datové, hodnot, záznamy nebo cyklické soubory
Šifrovací algoritmy DESFire EV3
EV3 podporuje:
- AES-128 – symetrické šifrování, standard pro moderní instalace
- 3DES – pro zpětnou kompatibilitu
- ECC (Elliptic Curve Cryptography) – asymetrické šifrování, novinka EV3
Autentizace a komunikace
Každý přístup k aplikaci nebo souboru vyžaduje vzájemnou autentizaci (Mutual Authentication). Karta i čtečka si navzájem dokáží ověřit identitu bez odhalení klíče. Datová komunikace je šifrována a chráněna MACem – odposlech na vzduch nedá útočníkovi nic použitelného.
Transaction MAC v EV3 přidává audit trail přímo na kartě – každá transakce zanechá kryptografický otisk, který server může ověřit i zpětně.
Možnosti a aplikace DESFire EV3
- Přístupový systém s vysokou bezpečností (banky, datová centra, laboratoře)
- Kombinace přístupu, docházky a stravování na jedné kartě
- Veřejná doprava (Opencard Praha, EMV platební aplikace)
- Virtualizace karty v NFC telefonu (HCE – Host Card Emulation)
Elektromechanické zámky a blokování dveří
Systém potřebuje fyzicky zabezpečit dveře. Nejčastější komponenty:
- Elektrický zámek – napájením se odemkne (Fail-Secure) nebo zamkne (Fail-Safe). FS varianta zůstane odemčena při výpadku proudu – nutná u únikových dveří
- Elektromagnetický zámek (magnet) – drží dveře přídržnou silou 300–500 kg, bez napájení se uvolní
- Motorický zámek – motor pohybuje šroubem, bezpečnější, tišší
- Turniket / tříramenný turniket – pro vyšší průchodnost a obousměrnou kontrolu
Řízení skupin a antipassback
Sofistikované systémy umí Antipassback – osoba, která prošla dovnitř, nemůže znovu vstoupit bez předchozího odchodu. Eliminuje sdílení karet.
Time & Attendance (docházka) je přidanou hodnotou přístupového systému – záznamy průchodů se exportují do mzdového systému.