Thẻ IC và thẻ ID: Cách chọn thẻ truy cập phù hợp cho hệ thống của bạn

Bài viết này phân tích những khác biệt thực sự giữa thẻ IC và thẻ ID, không chỉ về phiên bản bảng thông số kỹ thuật mà cả những khác biệt thực sự ảnh hưởng đến quyết định mua sắm, bảo mật hệ thống và tổng chi phí sở hữu của bạn.

 

Thẻ IC và CMND: Sự khác biệt cốt lõi trong 30 giây

CMND

 

(125 kHz, ví dụ: EM4100/TK4100): Chỉ lưu trữ một số sê-ri cố định. Thẻ phát số này tới bất kỳ đầu đọc nào trong phạm vi. Không mã hóa, không có khả năng ghi, không bắt tay xác thực. Người đọc chỉ cần kiểm tra xem số đó có khớp với mục nhập cơ sở dữ liệu hay không.

thẻ IC

 

(13,56 MHz, ví dụ: MIFARE Classic/DESFire): Chứa chip vi xử lý với bộ nhớ có thể đọc và ghi được chia thành các khu vực độc lập. Hỗ trợ mã hóa, xác thực lẫn nhau giữa thẻ và đầu đọc cũng như sử dụng nhiều-ứng dụng trên một thẻ.

Đó là câu trả lời trong sách giáo khoa. Nhưng nếu bạn đang đánh giá những điều này để triển khai thực sự thì sách giáo khoa sẽ không cho bạn biết điều gì thực sự sai sót hoặc điều gì thực sự quan trọng đối với ngân sách của bạn.

 

 

Năm điểm khác biệt Thông số kỹ thuật mua sắm sẽ không cho bạn biết

 

1

Bảo mật thẻ truy cập không phải là nhị phân - Đó là một quang phổ

 

Lỗi phổ biến nhất khi mua thẻ truy cập: giả sử "Thẻ IC=an toàn, thẻ ID=không an toàn." Thực tế còn nhiều lớp hơn thế.

 

Thẻ ID không có mã hóa. Bất kỳ đầu đọc 125 kHz nào hoặc máy sao chép cầm tay trị giá 15 USD đều đọc và sao chép số sê-ri. Không có cách nào để ngăn chặn điều này ở cấp độ thẻ vì thẻ không có cơ chế xác thực.

 

Thẻ IC an toàn hơn, nhưng an toàn hơn bao nhiêu hoàn toàn phụ thuộc vào loại chip bạn chọn. MIFARE Classic, chip IC được triển khai rộng rãi nhất trên toàn cầu, sử dụng sơ đồ mã hóa có tên CRYPTO1 do các nhà nghiên cứu tại Đại học Radboud thiết kế đảo ngược hoàn toàn vào năm 2008. Ngày nay, các công cụ như Flipper Zero có thể khôi phục khóa và thẻ sao chép MIFARE Classic mà không cần thiết bị chuyên dụng.

 

Vào tháng 8 năm 2024, tình hình trở nên tồi tệ hơn: Các nhà nghiên cứu của Quarkslab đã phát hiện ra một cửa hậu phần cứng trong chip Fudan FM11RF08S, một loại chip tương thích MIFARE Classic{3}}được sử dụng rộng rãi của Shanghai Fudan Microelectronics. Cửa sau này cho phép bất kỳ ai biết về một khóa chung duy nhất có thể xâm phạm tất cả các khóa-do người dùng xác định trên các thẻ này trong vòng vài phút. Các con chip bị ảnh hưởng được triển khai trong các khách sạn, văn phòng và hệ thống vận chuyển trên khắp Hoa Kỳ, Châu Âu, Trung Quốc và Ấn Độ.

Cấp độ bảo mật	Ví dụ về chip	Mã hóa	Thích hợp cho
Không có	EM4100, TK4100 (CMND)	Không có	Đỗ xe, thẻ tạm thời cho khách
Di sản (bị xâm phạm)	MIFARE Cổ điển 1K/4K	CRYPTO1 (bị hỏng)	Chấm công-bảo mật thấp
Cấp-trung cấp	MIFARE Plus (chế độ SL3)	AES-128	Truy cập văn phòng, thẻ trường
Cao	MIFARE DESFire EV2/EV3 (được chứng nhận EAL5+)	AES-128, xác thực lẫn nhau	Trung tâm dữ liệu, cơ sở tài chính
Cao nhất	Thẻ CPU (Thẻ Java)	PKI-có khả năng	Chính phủ, quân đội

 

Một chi tiết mà bảng không thể hiển thị: MIFARE Plus có ba cấp độ bảo mật (SL1, SL2, SL3), nhưng nhiều nhà tích hợp triển khai thẻ Plus ở chế độ SL1 để tương thích ngược với các đầu đọc Cổ điển hiện có. Ở chế độ SL1, tính bảo mật của thẻ về cơ bản giống như MIFARE Classic tiêu chuẩn. Đây là tình huống phổ biến "nâng cấp thông số kỹ thuật trên giấy, không nâng cấp trong thực tế". Luôn xác nhận mức độ bảo mật nào thực sự được kích hoạt chứ không chỉ model chip nào được in trên xác nhận đơn hàng.

 

Syntek cung cấp thẻ truy cập trên tất cả năm cấp được liệt kê ở trên, từThẻ CMND EM4100/TK4100thông qua MIFARE DESFire EV2/EV3 vàThẻ CPU để kiểm soát truy cập bảo mật-cao. Mỗi thẻ IC đều có mẫu chip được in trên phiếu giao hàng, vì thẻ không có thông số kỹ thuật chip được ghi lại là thẻ bạn không thể xác minh.

 

 

 

Với mức giá 0,08–0,15 USD trên mỗi đơn vị đối với thẻ ID EM4100 so với 0,30–0,60 USD đối với MIFARE DESFire, khoản tiết kiệm trên mỗi-thẻ đối với đơn đặt hàng thẻ 5.000- trông như thật. Nhưng giá mỗi thẻ chỉ là một dòng trên bảng tổng chi phí.

 

Hệ thống thẻ ID không lưu trữ dữ liệu trên thẻ. Mọi quyết định truy cập đều yêu cầu người đọc truy vấn cơ sở dữ liệu trung tâm trong thời gian thực. Điều đó có nghĩa là mọi đầu đọc đều cần kết nối mạng (nhiều cáp hơn, nhiều điểm lỗi hơn), việc mở rộng hệ thống có nghĩa là kết nối các đầu đọc mới trở lại máy chủ và không có hoạt động ngoại tuyến: nếu mạng bị hỏng, các cửa vẫn bị khóa hoặc mặc định mở.

 

Hệ thống thẻ IC lưu trữ các quyền trên thẻ. Người đọc có thể đưa ra quyết định truy cập tại địa phương. Mở rộng hệ thống có nghĩa là triển khai đầu đọc và cấu hình các khu vực thẻ, không cần hệ thống cáp mới tới máy chủ.

 

Một công ty quản lý tài sản ở Thâm Quyến đã phát hiện ra điều này sau khi một cuộc kiểm toán nội bộ phát hiện ra rằng nhà để xe của họ đã phát hành nhiều vé tháng hơn số lượng mà hệ thống đã ghi nhận. Cuộc điều tra đã tìm ra lỗ hổng trong việc nhân viên sao chép thẻ ID 125 kHz bằng thẻ trống từ Taobao. Vì thẻ không được mã hóa nên không có rào cản kỹ thuật: bất kỳ ai có máy sao chép trị giá 15 USD đều có thể tạo ra một bản sao hoạt động. Công ty đã loại bỏ toàn bộ hệ thống thẻ ID và-triển khai lại bằng thẻ IC được mã hóa, trả tiền gấp đôi cho những gì lẽ ra phải làm một lần.

 

 

Mười sáu khu vực độc lập. Đó là những gì thẻ IC MIFARE Classic 1K tiêu chuẩn mang lại cho bạn và mỗi khu vực có thể phục vụ một ứng dụng khác nhau với các khóa mã hóa riêng: kiểm soát truy cập ở khu vực 1, chấm công ở khu vực 2, thanh toán quán cà phê ở khu vực 3.

 

Thẻ ID không thể làm được điều này. Một thẻ, một số sê-ri, một chức năng. Nếu bạn muốn thêm khoản thanh toán tại quán cà phê vào hệ thống truy cập của mình, bạn có thể cấp thẻ thứ hai hoặc thay thế toàn bộ cơ sở hạ tầng.

 

Để triển khai trong khuôn viên trường và khu công nghiệp ở nơi "một-thẻ-cho-mọi thứ" là mục tiêu, riêng điều này sẽ loại trừ thẻ ID 125 kHz. Syntek sản xuất thẻ IC đa ứng dụng và thẻ tổng hợp tần số kép kết hợp chip 125 kHz và chip 13,56 MHz trên một thân thẻ duy nhất, đây cũng là cách hoạt động của hầu hết quá trình di chuyển theo giai đoạn.

 

 

 

Điện thoại thông minh của nhân viên của bạn hoạt động NFC ở tần số 13,56 MHz, cùng tần số với thẻ IC. Điều này có nghĩa là thông tin xác thực thẻ IC có thể được cung cấp cho điện thoại, cho phép truy cập di động dựa trên NFC{2}}mà không cần thẻ vật lý.

 

Thẻ ID ở tần số 125 kHz hoàn toàn vô hình đối với phần cứng NFC của điện thoại. Không có cách giải quyết nào tồn tại. Nếu lộ trình cơ sở của bạn bao gồm khả năng truy cập di động trong vòng 3 đến 5 năm tới thì hệ thống thẻ ID 125 kHz sẽ là ngõ cụt. Để có cái nhìn sâu hơn về cách hoạt động của NFC trong hệ sinh thái kiểm soát truy cập, hãy xem Syntek'sgiới thiệu về hệ thống kiểm soát truy cập RFID.

 

 

Nếu bạn hiện đang chạy hệ thống thẻ ID 125 kHz và các lỗ hổng bảo mật khiến bạn lo ngại thì việc thay thế toàn bộ hệ thống không phải là lựa chọn duy nhất. Đầu đọc tần số kép-có thể xử lý đồng thời cả thẻ 125 kHz và 13,56 MHz. Kết hợp với thẻ tổng hợp tần số-kép (một thẻ nhúng cả chip ID và IC), bạn có thể di chuyển người dùng theo từng giai đoạn: không cần chuyển đổi-một ngày, không bị gián đoạn dịch vụ.

 

Quá trình di chuyển tần số kép thực sự mất bao lâu tùy thuộc vào số lượng điểm truy cập, tỷ lệ luân chuyển nhân viên và liệu phần mềm phụ trợ của bạn có cần cập nhật hay không. Một tòa nhà văn phòng 20{4}}cửa có thể hoàn thành sau ba tháng. Một khu công nghiệp-nhiều tòa nhà với đội ngũ nhân viên thuê ngoài và doanh thu cao có thể mất hơn một năm chỉ để loại bỏ lô thẻ cũ cuối cùng. Điểm chung là cách tiếp cận tần số kép cho phép bạn dàn trải chi tiêu vốn trong các chu kỳ ngân sách của mình thay vì hấp thụ nó dưới dạng một khoản tiền duy nhất.

Cách xác minh những gì bạn thực sự nhận được

 

Trước khi đặt hàng thẻ truy cập số lượng lớn, hãy xác nhận ba điều với nhà cung cấp của bạn: