在上一章中,我們瞭解了影響門禁系統安全性的各種因素,其中通訊協定是很重要的一個環節。在眾多的安全解決方案中,我們今天重點為大家來介紹控制器和讀卡器之間的通信協議:開放式監控設備協定(OSDP, Open Supervised Device Protocol)的由來及其和其他通訊協定的差異。 『韋根(wiegand)的技術特點與OSDP的由來』 在二十世紀八十年代初期,隨著越來越多的公司尋求從傳統的鎖和鑰匙的開門方式轉向更集中統一管理的門禁控制方式,首席安全官(Chief Security Officer, CSO)不斷探尋各種方式以持續保護營業場所的環境免受外部威脅。由於時鐘和資料以及韋根(英文:Wiegand,以下統一使用中文譯名“韋根”)協定支援門禁控制系統的讀卡機和控制器之間的互通性,因此在當時被作為標準得以廣泛採用。 這些實際標準後來在二十世紀九十年代被安全行業協會正式確定為行業標準。目前安裝的90%以上的門禁系統均使用韋根(wiegand)協定,該協定由此成為門禁控制系統設備將資訊從讀卡機發送到控制器的最常用的通信方法。 韋根(wiegand)協定設備的工作原理如下: 圖1 韋根(wiegand)協定設備工作原理圖 控制器有兩條電源線用於給讀卡機進行供電,讀卡機通過D0和D1兩條信號線把卡號傳送給控制器。由於這兩條信號只能傳送卡號,沒有其它的功能,功能單一,所以要實現其他的功能的時候,比如控制器要控制讀卡機給紅燈或者綠燈信號時都需要有專門的連線來實現這部分的控制。其中也包括蜂鳴的控制器,聲音也需要有專門的連線。如果因現場實際需求,需要控制讀卡機不讀卡(如停車場出口,需要地感線圈被汽車觸發後,才啟動讀卡機讀卡功能),也需要有專門的Hold線。並且如果讀卡機要把自己的一個防拆信號傳送給控制器也需要有專門的連線。 『那麼,韋根(wiegand)技術有哪些缺陷呢』? 韋根(wiegand)標準的設計目的並不是為了滿足當今企業用戶的安全需求,而日漸複雜的威脅不斷湧現,使致力於確保資料安全傳輸的使用者面臨著更為艱巨的挑戰。從本質而言,韋根之所以缺乏當今門禁控制系統所必需的安全性,是由於其並未加密,可傳輸的距離有限,且操作效率低下,無法使控制器與讀卡機進行資料相互傳輸,因此無法進行韌體升級、配置更改、狀態更改和其他重要更新。此外,能夠學習韋(wiegand)根協定語言或者能夠獲得現成駭客設備的任何人,都可以輕鬆利用其漏洞,給採用該協議進行安防的使用者,帶來重大安全問題。 韋根(wiegand)協定單向的信號,只能從讀卡機傳送卡號給控制器。也是因為單向的工作原理,要實現控制器對於讀卡機的各種控制需要及其他的各自的連接,所以造成整個系統接線會比較多。 另外,讀卡機是單節點管理模式,一個韋根(wiegand)埠只能接一個讀卡機,這對於整個系統來講會造成一定程度的資源的浪費。另外的就是傳輸距離,基本上120米就是理論極限,實際安裝條件下,距離更短。而現實部分使用場景需要長於120米或者更遠的距離,為了規避韋根(wiegand)信號丟失,就需要就近重新佈設就地控制器,從而需要更大的設備投入。 『為了解決韋根(wiegand)種種問題,OSDP就孕育而生了』 10年前引入的開放式監控設備協定(OSDP)使門禁控制系統的能力得以顯著提升,令早已過時且容易使使用者遭受攻擊的時鐘和資料以及韋根協定相形見絀。隨著有關舊有門禁系統漏洞的相關資訊日益增多,使用者亟需採用OSDP等協定以提升整體安全狀況並支援當下及未來的技術需求。 OSDP最早是由Mercury、HID、Codebench等一起發起的。之後,這幾家公司無償的把OSDP協議授予了SIA(安全行業協會),以便這個協議可以得到更好的推廣和應用。並且OSDP協議也於2020年5月正式被國際電子電機委員會採納為國際標準,註冊標準號為IEC 60839-11-5。 圖2 OSDP的由來 自此之後OSDP在全球範圍內逐漸的發展起來,各大廠家都開始研發自己的OSDP控制器和讀卡機,因為OSDP的開放性,得以讓各家的產品之間能夠互通互聯。 『韋根(wiegand)和OSDP的對比』我們從這張圖上可以直觀的就看到韋根(wiegand)和OSDP在接線時的對比 圖3 韋根(wiegand)和OSDP接線差異 右邊是韋根(wiegand)的接線方式,除了電源線之外,其他控制線基本上要接5根以上的信號控制線。而對於OSDP來講,要簡潔很多,一對遮罩雙絞線就可以完成這部分的接線。 為什麼這裡面是雙絞線呢?因為OSDP整個技術底層是基於傳統穩定的RS-485多點匯流排標準,所以需要用遮罩雙絞線接線來完成這部分的資料傳輸。 比較下來,用了OSDP之後,接線的數量大大的減少了,同樣因為OSDP是基於RS485,所以傳輸距離也有了很大的提升,理論通訊距離從原來韋根(wiegand)的120米提升到了1,200米,是質的提升。雖然我們在實際接線的時候,讀卡機和控制器之間極少用到這麼遠的距離,但是用了OSDP之後,讀卡機和控制器之間接線距離將不再是工程安裝過程中的限制因素。透過以下這張對比表來比較一下: 圖4 韋根(wiegand)OSDP優缺點差異 韋根(wiegand)是始於40年前的一個技術,在這個技術滿足了當時的使用情況,在當時是安全的,但現在越來越跟不上時代的潮流了。而OSDP是為了解決當今所面臨的問題而發展起來的,並為未來的拓展提供了充足的發展空間。 相對于OSDP,韋根(wiegand)是不對讀卡機做監測,也不對讀卡機加密。 在加密和監控方面,OSDP在這裡分為兩個版本,V1和V2。從安全性上來講雖然V1是不加密的,但是也對讀卡機做了監測功能,也就是說讀卡機當前的狀態在不線上、使用狀況什麼、有沒有人把它拆下來這些信號都是後台可以監測到的——因為它是雙向通信的。而V2版本對線路進行了AES128的加密。 韋根(wiegand)是從讀卡機到控制器的單向傳輸傳送信號,而OSDP是基於RS-485實現控制器與讀卡機的雙向連接方式。韋根(wiegand)是單點連接,每介面只能接一台韋根(wiegand)的讀卡機,而OSDP是匯流排式的多點連接,讀卡機之間可以通過位址來進行相互區分。傳輸距離上由原來的120米提升到了1,200米。 韋根(wiegand)的功能單一,所有的功能都需要有專門的連線,導致連線繁多。而對於OSDP,兩條信號線能夠解決所有的問題——包括各種燈顏色的控制、蜂鳴的控制、防拆信號等等都可以通過2線來解決。 韋根(wiegand)的單向傳輸方式讓控制器無法對前端的讀卡機進行管理,所以必須去現場對讀卡機進行管理,而OSDP是雙向的,從後端可以完全可以實現對前端讀卡機的管理和配置,甚至於韌體的升級。 『私有化RS-485和OSDP的對比』那我們剛才提到OSDP是基於RS-485的。有些朋友可能會說很多控制器廠家很早就推出了RS-485的協定,這個協定和現在OSDP比,有什麼樣的區別呢? 圖5 私有化RS485和OSDP對比 各家公司的私有RS-485協議是不公開的,只用於各家的控制器和讀卡機。而OSDP是開放式的國際標準,通用性比較好。客戶選用了OSDP的設備後,在產品選擇上,將由很大的自由度,可以根據專案的需要,安全標準的提升,從而選擇不同型號,品牌的產品搭配成為一個完備的系統。同時,也是由於私有RS-485協議是各家自己研發的,功能的完善度也不一樣。而OSDP則受到了眾多廠家的支持,集各家之所長,功能的完善度比較強。 對於用戶而言,一旦用了某家的私有化的RS-485協定,後續無法支援其他廠家的讀卡機,可替換性比較差。但OSDP的讀卡機之間和控制器之間都可以相互相容的,不會受到單一廠家的一個限制。對於加密而言,私有的RS-485加密的水準參差不齊。反觀OSDP是有一個完整的監測和加密的一個體系的,安全性比較好。最重要的一點是雖然私有化的RS-485協議已經用了很久了,但是實際上市場上私有化RS-485協議的專案比較少。OSDP雖然說發起那個起步比較晚,對於整個行業有一個積極的推動作用。 圖6 OSDP啟蒙白皮書摘選-OSDP用戶利益 以上我們從傳統通訊協定的各種不便,聊到開放式監控協議OSDP的誕生及其技術特點。下一章中,我們來看在這樣的技術條件下,開放式監控協議OSDP如何提升安全性和運營效率。
下節預告:《OSDP是如何提升安全性和運營效率的?》 Mr.Q將在接下來的三篇文章中,給大家來系統的聊聊門禁系統中的通訊協定怎樣影響門禁系統的安全性的。 本文為第一部分,在開始介紹通訊協定是如何影響門禁系統安全性之前,我們先瞭解一下影響門禁系統的安全性有哪些環節? 門禁系統英文名稱Physical Access Control System(縮寫為PACS,物理門禁控制系統,以下統稱“門禁系統”),也就是使用各類憑證(如人臉辨識、指紋、手機、門禁卡等)開門的系統。門禁系統裡邊有各式各樣的構成部分,這是一個典型的結構圖: 『門禁系統的工作原理 』 圖1 門禁系統示意圖 一個典型的門禁系統的前端設備是由:門禁憑證(包括門禁卡、指紋識別、移動APP等)、讀卡機、電控鎖、出門按鈕(單側門)、門磁感應器等組成。這些前端設備都是通過電線電纜連線到門禁控制器。門禁控制器的後端是人機交互的介面,也就是門禁的管理軟體,通常的情況下是通過網路的方式來連接的,在較早的門禁控制器也有通過其他的例如RS-485或串口的方式來連接。 簡單的介紹一下門禁的工作過程 圖2 門禁工作示意圖 當有人刷卡的時候,卡號被送到門禁控制器。門禁控制器會查詢這個卡號有沒有許可權,如果有許可權的話——開門,並且把刷卡的記錄透過網路送給伺服器做顯示和儲存,如果沒有許可權,那麼就會拒絕這次刷卡的情況並將資訊的上傳。 『 門禁系統安全性的影響因素 』 整個門禁系統的工作過程非常的簡單,如果我們要選擇一個安全的門禁系統,有哪些影響因素呢? 我們從下面的這個架構圖開始說起 圖3 門禁系統構架圖 門禁系統工作過程中,前端使用門禁憑證刷卡,然後讀卡機讀到卡片之後把資訊傳給就地控制器,就地控制器把資訊上傳到主控制器(*部分系統或整合就地控制器於主控制器上),主控制器在將資訊處理後,一部分是執行開門,一部分是將資訊傳遞給管理軟體。 這裡的每一個環節都是有安全的風險的! 圖4 門禁系統風險示意 舉例來說: 如果門禁卡片的安全性不夠高,就可能面臨卡片被複製的風險; 讀卡器到就地控制器之間是通過電纜傳遞資訊,讀卡資訊有可能遭到竊取,會遭到重放攻擊; 就地控制器和主控制器之間傳遞的信號,包括上傳的讀卡資訊和下達的控制信號被駭客控制的話,就有可能會發送虛假或被篡改的的控制開門信號;主控制器和管理軟體之間是網線連接,網路資訊是有可能被竊取篡改,用假的主機的方式來控制主控制器。這些威脅在現在的門禁系統都有對應的安全解決方案(如下圖): 圖5 門禁安全應對方案
威脅無處不在,只有端到端的每一個環節都提高了安全性整個門禁系統才是可靠的。關於門禁系統安全性影響因素就介紹到這裡 在下一章中,我們來瞭解一下開放式設備監控協定OSDP和傳統的各種通訊協定之間有什麼差別。 下節預告:《OSDP與傳統通訊協定的對比》
有人潮的地方就有錢潮,這句話還不夠精準。 開店最重要的就是要有人潮,店家會透過各種行銷活動來增加來客率並且提升銷售營業額。 但要如何統計出一天實際『人流量與提袋率』的比例呢? 安排一個工作人員站在店門口用計數器來計數 ? NO~ NO ~NO ~這樣Old Fashion精準度低且沒有效率。 Mr.Q 這期分享實際做過的案例分享 零售業租賃『人流計數攝影機&容留系統』方案。 我們先來說說提袋率,對於實體店面提袋率是衡量業績重要指標之一,那甚麼是提袋率? 又該如何計算? 日本最大市佔率第一眼鏡連鎖店,以及在日本擁有超過700間店鋪的綜合性二手交易店,陸續在台灣插旗開立分店 它們他們是如何去進行統計的呢 ? 柏聯科技提供了 零售業租賃『人流計數攝影機&容留系統』方案。
容留系統即時統計後台實際畫面 透過柏聯科技 零售業租賃『人流計數攝影機&容留系統』方案,能精準的統計人流數,管理者能即時從後台查看各分店人流數量,快速匯出各分店人流量狀況報表,客戶可與POS系統做比對計算出提袋率,從中評估每家門市的營運狀況。 柏聯科技『人流計數攝影機&容留系統』方案能帶來的效益:
早期建置影像監視系統時,因管理單位分屬中央、地方及民間等不同單位,各單位對監視系統使用需求不盡相同,且當時監視系統以單一主機操作為設計方向,未考量到集中管理、統一介面操作及後續系統擴充等問題,導致衍生出多種規格之監視系統同時存在,且彼此互不相容之問題點
想了解更多關於伊克特斯的火焰與煙霧偵測嗎? 歡迎隨時來信詢問喔,這期Mr.Q就分享到這,後續有更多的案例我們都會定期分享給各位,我們下期見囉~ 影片來源:大愛電視台Youtube 頻道 你可能有興趣的相關產品 |
|