HID: интеграции мобильных устройств в СКД
Мобильный доступ
Для того чтобы использовать мобильное устройство в целях получения доступа к различным зданиям, требуется не только решение определенной задачи. Здесь также идет речь об оптимизации, внедрении технологических преимуществ и разработке новой концепции взаимодействия пользователей со считывателями и дверными замками посредством мобильных устройств. В эпоху смартфонов и облачных приложений организации и физические лица все чаще задумываются о безопасности и защите своей личной среды. При правильной реализации мобильные средства доступа способны изменить привычные способы открывания дверей, поскольку впервые в истории мы представляем решение, одновременно повышающее безопасность и комфорт.
Мобильные тенденции
Рынок мобильных технологий по праву считается одним из наиболее инновационных и динамично развивающихся сегментов. В последние годы здесь было представлено множество интересных новинок. По прогнозам аналитических компаний в 2014 году число выпущенных смарт-устройств достигнет отметки в 1,7 миллиарда. Этот быстрый рост оказывает влияние на технологии и стандарты, используемые в мобильных устройствах, поскольку все больше людей применяют эти устройства в повседневной жизни, а также непрерывно разрабатываются новые приложения. В то же время большинство технологий, которые сегодня используются в мобильных устройствах, существуют уже давно и лишь позднее были приняты мобильным сообществом. Технология Bluetooth® была представлена в 1994 году, однако потребовалось 15 лет, чтобы сделать ее стандартом для всех мобильных устройств. Просмотр Интернет-ресурсов на мобильных устройствах был возможен с начала 2000-х годов, однако лишь после выпуска iPhone® в 2007 году использование мобильных устройств вместо компьютера получило широкое распространение. Технология NFC была впервые внедрена в телефоне Nokia® 6131 в 2006 году, и с тех пор в большинстве платформ была реализована поддержка NFC, но при этом количество рабочих сервисов на основе NFC оставляло желать лучшего.
Идея открывания дверей с помощью мобильных устройств не отличается новизной. В начале 2000-х годов были испытаны первые технологии для совершения платежей, прохода в метрополитен и открывания дверей. В некоторых странах мира соответствующие решения были представлены широкой публике. Интерес к бесконтактным технологиям всегда был огромен, однако создание удобных для пользователей и многофункциональных решений оказалось непростой задачей. В большинстве случаев применение существующих платежных карт или карт доступа рассматривается как приемлемый вариант, но лежащая в их основе технология затрудняет внедрение пригодных для масштабирования сервисов.
В прошлом было предпринято множество попыток реализации мобильного доступа с помощью различных технологий, таких как карты памяти microSD, дополнительные чехлы, MIFARE® Classic, NFC Peer-to-Peer и Bluetooth Classic, при этом использование каждого из этих вариантов было связано со своими особыми сложностями. Как показал опыт, важную роль играет наличие инфраструктуры, которая не зависит от лежащих в ее основе технологий (например, NFC или Bluetooth Smart) и способна адаптироваться к любым нововведениям в быстро изменяющейся отрасли мобильных технологий.
Технологии, поддерживающие мобильный доступ сегодня
Уверенность и образовательный уровень в использовании бесконтактных приложений и технологий, таких как NFC, Bluetooth, мобильные кошельки, iBeam™ и iBeacon™, непрерывно растут, поэтому становится все более очевидно, какие из этих технологий лучше всего подходят для мобильного контроля доступа. Независимо от выбранной технологии, мобильные устройства способны в корне изменить привычный нам способ открывания дверей. Однако от руководителей служб безопасности и отделов ИТ потребуется дополнительная работа с целью выявления мобильных технологий, оптимально подходящих для сотрудников организации и гарантирующих удобный доступ к зданиям.
Беспроводная связь ближнего радиуса действия (NFC)
Технология NFC (Near Field Communication) была разработана с целью решения дилеммы, связанной с наличием множества стандартов бесконтактной связи, однако внедрение этой технологии в мобильные устройства стало непростой задачей. До недавнего времени для эмуляции бесконтактной карты на мобильном устройстве обязательно требовался элемент безопасности (SE, Secure Element), например, SIM-карта. Для поддержки централизованной модели SE была разработана экосистема, основанная на использовании доверенных менеджеров услуг (TSM, Trusted Service Manager), что привело к созданию сложных технических процессов интеграции и бизнес-моделей, затруднявших внедрение бесконтактных приложений на основе NFC.
В 2013 году компания Google® представила новую технологию NFC для Android™ 4.4 под названием Host-based Card Emulation (HCE). HCE позволяет эмулировать бесконтактную карту в мобильном приложении без применения элемента безопасности SE. Благодаря технологии HCE стало возможным экономичное и масштабируемое внедрение сервисов на основе NFC при условии использования стандартизированной технологии карт доступа.
Компании Visa® и MasterCard® выпустили инструкции по совершению транзакций Visa payWave® и MasterCard PayPass™ посредством HCE, а компания HID Global® представила решение для мобильного контроля доступа на основе HCE и Seos. Технология HCE повышает доступность и универсальность технологии NFC, что способствует более быстрой разработке новых сервисов и улучшает положительное восприятие в среде пользователей. В то же время смартфоны iPhone, не имеющие поддержки NFC, пользуются огромной популярностью в корпоративном сегменте и широко применяются в организациях по всему миру. Количество устройств с операционной системой Android 4.4 быстро растет, однако отсутствие поддержки NFC в iPhone 4 и iPhone 5, а также тот факт, что в iPhone 6 технология NFC поддерживается только для Apple Pay™, приводят к тому, что продвижение решений на основе HCE все еще находится под вопросом.
Технология HCE для сервисов NFC
Возможность эмуляции стандартизированных бесконтактных карт в мобильном приложении
Совместимость со считывателями с поддержкой NFC при условии использования стандартизированной технологии карт
Оптимальное решение, если предпочтительно прикосновение мобильного устройства к считывателю
Не поддерживается в iPhone
Мобильные операционные системы с поддержкой NFC HCE
Android 4.4
BlackBerry® 9 и 10
Bluetooth Smart
Технология Bluetooth Smart, представленная в 2010 году в семействе стандартов Bluetooth, приобрела большую популярность в сфере здравоохранения, а теперь ведется ее активное продвижение в сфере платежей и погашения купонов. Одним из факторов успеха Bluetooth Smart стала поддержка в устройствах Apple, начиная с модели iPhone 4S. Компания Google добавила Bluetooth Smart в Android 4.3, поэтому с 31 октября 2013 года Bluetooth Smart является единственной бесконтактной технологией, которая поддерживается в обеих основных мобильных операционных системах Android и iOS. Благодаря низкому потреблению энергии, отсутствию необходимости в сопряжении и высокой дальности действия, технология Bluetooth Smart имеет большой потенциал для применения в системах мобильного доступа.
Bluetooth Smart
Отсутствие необходимости в сопряжении и низкое потребление энергии — в сочетании со стандартизированной бесконтактной технологией карт доступа Bluetooth Smart оптимально подходит для мобильного доступа.
Считыватели можно устанавливать с внутренней стороны двери или размещать незаметно для пользователей.
Возможность открывания дверей на расстоянии при парковке автомобиля или для посетителя, стоящего перед входной дверью.
Для настройки конфигурации считывателей (включая возможность обновления микропрограммного обеспечения) можно использовать устройство с поддержкой Bluetooth Smart (смартфон или планшет).
Мобильные операционные системы с поддержкой Bluetooth Smart
iOS 7 и 8
Android 4.4
BlackBerry 10
Windows Phone® 8.1
Удобство для пользователей
В современном мире мобильные устройства стали незаменимым техническим средством, которое всегда под рукой. Использование мобильных устройств для открывания дверей означает эволюцию систем физического контроля доступа, т.к. это позволяет объединить безопасность и комфорт. Увеличенная дальность действия технологии Bluetooth Smart дает новые возможности для реализации контроля доступа и размещения считывателей. Дверь можно быстро и удобно разблокировать при приближении к зданию. Считыватели с поддержкой Bluetooth Smart также отлично зарекомендовали себя на автостоянках. Теперь водителю не придется опускать стекло автомобиля и дотягиваться картой до считывателя — вместо этого ворота открываются при приближении автомобиля. Для определенных типов дверей, например, в комнатах для совещаний, где несколько считывателей могут быть расположены рядом друг с другом, вариант прикосновения физической карты доступа может быть более предпочтительным, т.к. он исключает риск ошибочного открывания двери.
Благодаря мастерству архитекторов дизайн зданий развивается во множестве новых направлений, поэтому стандартное размещение считывателей рядом с дверью может нарушать внешний вид помещений, преимущественно состоящих из стеклянных стен. Считыватели и замки, устанавливаемые с наружной стороны дверей, могут подвергаться актам вандализма. За счет увеличенной дальности действия технологии Bluetooth Smart в сочетании с направленной антенной можно повысить безопасность путем установки считывателей с внутренней стороны двери, а также разместить считыватели незаметно для пользователя в целях сохранения единого дизайна здания.
Принимая во внимание особенности бесконтактных технологий, следует учитывать, что диапазон считывания может различаться в зависимости от того, в какой среде размещается считыватель. Например, в лифте диапазон считывания значительно сокращается вследствие окружающего металла. Тип смартфона также может оказывать влияние на дальность действия считывателя. Возможности настройки конфигурации считывателей в соответствии с требуемым режимом открывания (путем прикосновения или на расстоянии) и точной регулировки оптимального диапазона считывания в зависимости от окружающей среды являются важными характеристиками продуманного решения мобильного доступа.
При реализации любого нового решения необходимо учитывать его восприятие пользователями. Первое впечатление сохраняется надолго, поэтому решение может быть отвергнуто, если оно не соответствует ожиданиям пользователей. Процедура открывания дверей с помощью мобильных устройств должна быть рациональной, интуитивно понятной и удобной, а также не требовать от пользователя выполнения слишком многих действий. Если пользователю необходимо разблокировать устройство, запустить приложение, выбрать мобильный идентификатор и затем приложить устройство к считывателю, то он вместо этого предпочтет воспользоваться своей бесконтактной картой. Кроме того, важно гарантировать одинаковое удобство для пользователей, работающих с различными мобильными платформами. Возможные различия в принципах применения устройств на базе Android и iOS могут привести сотрудников в замешательство и увеличить количество обращений в службу поддержки.
Вопросы управления
Управление пропусками и идентификационными картами может быть трудоемкой процедурой для сотрудников службы безопасности. Перед администрацией университетов стоят совсем иные задачи, когда в начале учебного года необходимо в течение кратчайшего срока выдать средства доступа для нескольких тысяч студентов. Процедуры заказа, печати и выдачи новых карт, а также регистрации утерянных карт связаны с большими временными затратами для администраторов службы безопасности, сотрудников и студентов.
Преимущества мобильных средств доступа не ограничиваются удобством при открывании дверей. Подключенные к сети мобильные устройства дают новые возможности для управления мобильными идентификаторами в режиме реального времени. Облачный портал для централизованного управления идентификационными записями существенно упрощает работу персонала, который сегодня отвечает за управление физическими пропусками.
Надежная система управления мобильными идентификаторами содержит проверенные процессы регистрации сотрудников и студентов, а функции управления мобильными идентификаторами на протяжении всего жизненного цикла повышают эффективность работы администраторов службы безопасности.
Ключевым аспектом при внедрении системы мобильного доступа является способ предоставления мобильных идентификаторов сотрудникам. После простого ввода имени пользователя и адреса электронной почты сотруднику автоматически отправляется приглашение с инструкциями по загрузке мобильного приложения. После установки и настройки приложения на мобильное устройство передается уникальный мобильный идентификатор, а по завершении этой процедуры администратор службы безопасности получает уведомление. В крупных организациях следует предусмотреть возможность массовой загрузки данных пользователей из файла. Система должна выполнить проверку данных и для каждого пользователя инициировать процедуру, состоящую из отправки приглашения по электронной почте, выпуска мобильного идентификатора и уведомления администратора после установки пользователем мобильного приложения и получения ключа.
После получения запроса система должна автоматически генерировать уникальные мобильные идентификаторы в соответствии с принятыми в организации правилами и конкретными объектами, для которых предназначены эти мобильные идентификаторы. Для выдачи мобильного идентификатора сотруднику или студенту должно быть достаточно должно быть достаточно выбрать имя пользователя и правильный мобильный идентификатор. Ввод номеров и фасилити-кодов вручную в системе физического контроля доступа (PACS) зачастую приводит к ошибкам и дополнительным затратам времени, что отрицательно сказывается на опыте персонала, занимающегося управлением мобильными идентификаторами.
Многие организации имеют офисы по всему миру, где используются различные системы контроля доступа, поэтому для сотрудников других офисов зачастую требуются гостевые пропуска. Если в организации внедрена система мобильного доступа с поддержкой нескольких мобильных идентификаторов на одном устройстве, перед командировкой или по прибытии на объект сотрудник может получить дополнительный идентификатор. Возможность использования нескольких мобильных устройств одним сотрудником является еще одним важным аспектом, поскольку iPad® и прочие планшеты становятся все более популярным рабочим инструментом.
Использование мобильных устройств для логического контроля доступа к различным сервисам — это очевидная тенденция на современном рынке. Многие организации признают преимущества объединения физического и логического контроля доступа в целях сокращения расходов и повышения уровня безопасности. Единая платформа мобильной идентификации для физического и логического контроля доступа облегчает процессы управления правами доступа для администраторов службы безопасности, позволяя сотрудникам использовать свои мобильные устройства для доступа к различным ресурсам. Администратор службы безопасности может по запросу отправлять идентификационные данные отдельному сотруднику или группе сотрудников, которые могут затем использовать эти данные для логического доступа к сервисам, требующим надежной аутентификации (например, VPN или электронная почта). Все процессы управления выполняются в рамках единой платформы мобильной идентификации.
Вопросы безопасности
Существует множество источников угроз безопасности с применением разнообразных инструментов и стратегий. Чтобы обеспечить защиту каждого звена в системе мобильного доступа и гарантировать отсутствие слабых точек в соединениях между считывателями, мобильными устройствами и внутренней инфраструктурой, требуется многоуровневая модель безопасности. В очень маловероятном случае злоумышленнику может удасться преодолеть один слой защиты, однако охраняемая дверь по-прежнему останется заблокированной.
Для управления цифровыми ключами на мобильных устройствах необходим комплексный подход к безопасности на всех участках системы — от генерирования цифровых ключей, хранения на мобильных устройствах и до управления ими на протяжении всего жизненного цикла. При разработке платформы мобильной идентификации наивысший приоритет имеет безопасность. Все мобильные идентификаторы и пользовательские данные должны содержаться в надежном хранилище, которое должно работать на основе аппаратных моделей безопасности (HSM, Hardware Security Model), где все необходимые ключи хранятся и используются при проведении криптографических операций.
Современные мобильные операционные системы, такие как Android и iOS, рассчитаны на поддержку высокого уровня безопасности. Приложения мобильного доступа должны разрабатываться таким образом, чтобы в них можно было использовать защитные функции. Приложение должно работать в изолированной программной среде, исключающей возможность доступа или изменения данных другими приложениями. Для защиты конфиденциальных данных и ключей необходимо использовать «связку ключей» — область памяти мобильного устройства для хранения конфиденциальных данных. В дополнение к функциям безопасности в мобильной операционной системе, необходимо предусмотреть цифровую подпись и шифрование мобильных идентификаторов, чтобы исключить риск манипуляций.
По аналогии с физическими картами доступа, окончательное решение о предоставлении доступа в здание принимает локальная система контроля доступа. В случае потери, кражи или взлома мобильного устройства в системе контроля доступа можно заблокировать права доступа для этого устройства, чтобы предотвратить нежелательный доступ. Если злоумышленникам все же удастся взломать мобильное устройство, атаке будут подвержены только установленные на данном устройстве мобильные идентификаторы, поскольку каждый цифровой ключ уникален. Сотрудник также скорее обнаружит потерю своего мобильного устройства, чем пропуска или карты доступа.
Еще одним преимуществом мобильных устройств по сравнению с физическими картами доступа является постоянное подключение к сети. Если администратор службы безопасности желает удалить цифровой ключ с устройства, он может отозвать мобильный идентификатор по воздуху при условии, что устройство подключено к беспроводной сети. Если сотрудник сообщает о потере устройства, администратор может немедленно отозвать мобильные идентификаторы до того, как устройство попадет в чужие руки.
Чтобы дополнительно сократить риски в случае потери устройства, мобильные идентификаторы можно настроить на взаимодействие со считывателями только после разблокировки мобильного устройства. Это означает, что неавторизованный пользователь должен ввести PIN-код либо пройти процедуру распознавания лица или отпечатков пальцев, чтобы воспользоваться возможностью доступа в здание.
Что необходимо учитывать при внедрении системы мобильного доступа
При реализации системы мобильного доступа необходимо принять во внимание некоторые аспекты, перед тем как перейти к выбору типов считывателей. Используемые модели мобильных устройств могут повлиять на выбор технологии, поскольку смартфоны iPhone до версии 5s (включительно) не поддерживают NFC. В организациях с большим количеством смартфонов iPhone единственным вариантом является технология Bluetooth Smart. Кроме того, необходимо учитывать типы дверей, для которых требуется мобильный контроль доступа. Преимуществами большого диапазона считывания можно воспользоваться на автостоянках, центральных входах и в лифтах, чтобы повысить удобство для сотрудников. На участках, где несколько считывателей располагаются рядом друг с другом, следует использовать режим с малым расстоянием считывания, чтобы исключить риск ошибочного открывания двери. Этот режим поддерживают считыватели NFC и Bluetooth Smart.
Во многих организациях применяется программная платформа для управления мобильными устройствами (MDM, Mobile Device Management). Загружаемые в эту платформу приложения работают в специальных контейнерах на мобильных устройствах. Целесообразно проверить взаимодействие системы мобильного доступа с платформой для управления мобильными устройствами, особенно если управление настройками безопасности осуществляется через эту платформу.
Кроме того, необходимо рассмотреть возможности рационального использования имеющихся физических карт доступа и считывателей. Несмотря на то, что система мобильного доступа повышает комфорт для сотрудников, некоторые организации могут рекомендовать сохранить физические карты доступа в качестве резерва, однако при этом способствовать плавному переходу на более высокий уровень безопасности и мобильности.
Подведение итогов
Новая технология открывания дверей объединяет безопасность и комфорт, превращая смартфоны и другие мобильные устройства в надежные и простые в обращении средства доступа, которые заменяют собой ключи и смарт-карты. Однако при выборе решения мобильного доступа необходимо обратить внимание на определенные аспекты. Чтобы гарантировать совместимость решения с новейшими технологиями смартфонов и предусмотреть возможности дальнейшего развития, необходимо использовать стандартную технологию карт доступа, которая поддерживает эмуляцию на разнообразных моделях мобильных телефонов, планшетов и носимых электронных устройств. Для положительного восприятия сотрудниками или студентами мобильные средства доступа должны быть не менее удобны, чем физические карты доступа.
Первое впечатление сохраняется надолго, и решение может быть отвергнуто, если оно не соответствует ожиданиям пользователей. Процедура открывания дверей с помощью мобильных устройств должна быть рациональной, интуитивно понятной и удобной, а также не требовать от пользователя выполнения слишком многих действий. Интересным преимуществом системы мобильного доступа является возможность передачи и отзыва мобильных идентификаторов почти в режиме реального времени. Кроме того, при разработке платформы мобильной идентификации необходимо обеспечить удобство и эффективность работы для администраторов. Решение мобильного доступа способно в корне изменить привычные представления об открывании дверей и взаимодействии с окружающей средой. При правильной реализации этого решения мы все сделаем шаг в будущее систем контроля доступа.