Identyfikacja w systemach KD off-line
O czasach, w których żyjemy można by powiedzieć „czasy on-line”. Ogromna część naszej aktywności związana jest z sieciami (różnego rodzaju) i przepływem danych, jeśli nie w czasie rzeczywistym, to prawie. No a my tu wyjeżdżamy z identyfikacją w systemach KD off-line! W rzeczywistości rozwiązania off-line w kontroli dostępu występują powszechnie.
Oto najczęstsze rozwiązania KD off-line:
- Proste systemy KD do pomieszczeń, nie wymagające rejestracji zdarzeń oraz częstej zmiany praw dostępu osób.
- Systemy KD hotelowe, dostęp do pokoi dla gości.
- Systemy KD mieszane tzn. z większą częścią systemu pracującą w trybie off-line oraz wybranymi elementami pracującymi w trybie on-line tzn. podłączonymi do stanowiska zarządzającego.
Proste systemy KD
W tym rozwiązaniu identyfikatorem najczęściej jest transponder zbliżeniowy (karta lub brelok). Wcześniej, przez wiele lat były także stosowane karty z paskiem magnetycznym, ale dzisiaj to już rzadkość. W praktyce wśród systemów KD, jedynie rozwiązania dostępu do strefy z bankomatem działają w oparciu o zapis na pasku magnetycznym, ponieważ jako identyfikatory używane są tam karty bankowe, które zapewne jeszcze przez jakiś czas będą posiadać pasek magnetyczny (ktoś kiedyś powiedział nawet, że pasek magnetyczny będzie na kartach bankowych „do końca świata i jeden dzień dłużej” ale rzeczywistość zadała temu kłam). Programowanie praw dostępu w tych rozwiązaniach następuje z wykorzystaniem specjalnych identyfikatorów (często określanych mianem „zestaw Master”) oraz ewentualnie klawiatury, o ile czytnik/kontroler taką posiada. Z punktu widzenia funkcji identyfikatora użytkownika, mamy tu do czynienia z pointerem (unikalny numer) do listy identyfikatorów uprawnionych, znajdującej się w pamięci kontrolera. W tych systemach off-line praktycznie nie ma możliwości stosowania rozbudowanych profili dostępu, w szczególności nie stosuje się siatek czasowych. Gdy czytnik/kontroler posiada klawiaturę, poza identyfikatorem stosowany jest czasami dodatkowy kod zabezpieczający (PIN kod). Poniżej przedstawiono dwa uproszczone schematy KD do drzwi. Szczególnie zwracamy uwagę na schemat z lewej strony, z tego powodu że nie jest to rozwiązanie bezpieczne (mimo to jest stosowane bo jest tanie!), ponieważ kontroler czyli sterowanie znajduje się po stronie, która nie jest chroniona!
Systemy KD hotelowe
W branży hotelarskiej, w ostatnim okresie rozpowszechniły się off-line-owe systemy kontroli dostępu do pokoi. Głównym argumentem za ich stosowaniem, zwłaszcza w przypadku obiektów istniejących i funkcjonujących, jest brak konieczności układania okablowania, które w hotelach byłoby kosztowne (duża liczba drzwi do kontroli), a także mogłoby to zaburzać estetykę wnętrz. Szczególnie w hotelach wyższej klasy, trudno sobie wyobrazić listwy natynkowe na ścianach, a nie zawsze okablowanie da się ukryć w tunelach kablowych czy nad stropem podwieszanym.
W przypadku tego systemu, identyfikator (klucz do pokoju) nie może być prostym transponderem, pointerem do bazy danych, ponieważ komunikacji z bazą nie ma! Tu zachodzi potrzeba zastosowania identyfikatora złożonego, który będzie kolektorem określonych danych. Zależnie od systemu i jego cech, tymi danymi mogą być:
- nr pokoju (czytaj zamka w drzwiach) oraz termin ważności (identyfikator gościa);
- nr piętra oraz termin ważności (np.: identyfikator sprzątaczki, otwierający wszystkie drzwi piętra, które sprząta);
- nr budynku oraz termin ważności (np.: karta managera, otwierająca wszystkie drzwi budynku);
- znacznik karty ’emergency’ otwierającej wszystkie drzwi w hotelu niezależnie od czasu, itp.
Jeśli chodzi o typ identyfikatora to najczęściej jest to karta plastikowa, formatu ISO ID-1, z różnymi nośnikami informacji, jak poniżej:
- karta z paskiem magnetycznym – ciągle są używane w hotelach;
- karta elektroniczna RFID (zbliżeniowa np: Mifare, iClass, Legic) – obecnie najbardziej popularne;
- karta elektroniczna z interfejsem stykowym – wychodzi powoli z użycia ze względu na większe koszty i trudność obsługi w porównaniu z kartami RFID.
Przy wyborze systemu należy zwrócić uwagę na poziom bezpieczeństwa użytej technologii identyfikacyjnej. Jako że prawa dostępu zapisane są na karcie, to użyta technologia powinna w sposób właściwy zabezpieczać użytkownika systemu przed podrobieniem identyfikatora, jak i przed zmianą praw dostępu.
Poniżej przedstawiono przykładowy schemat funkcjonalny systemu KD off-line dla hoteli.
W ofercie RBAS znajdziecie funkcjonalne i proste we wdrożeniu rozwiązanie KD off-line dla hoteli o nazwie handlowej HotelKD.
Systemy KD mieszane
Ostatni z rodzajów przywołanych typów systemów stosowany jest stosunkowo rzadko. Podobnie jak w przypadku rozwiązań hotelowych, głównie stosuje się go w sytuacji gdy występują problemy z układaniem okablowana i jednocześnie nie można wykorzystać transmisji bezprzewodowej. Z funkcjonalnego punktu widzenia jest to rozwiązanie niezwykle ciekawe. Zacznijmy od przykładowego schematu takiego systemu, który pozwoli nam zrozumieć jego ideę.
Jak wynika z rysunku, mamy w systemie trzy główne części:
- Stanowisko zarządzania – posiada ono cechy typowego stanowiska systemu on-line, w szczególności tworzone są na nim profile dostępu i przypisywane do osób/identyfikatorów. Ponadto na stanowisku zarządzania, dzięki czytnikowi-koderowi można przenieść profile dostępu (prawa) na identyfikator, co jest niezbędne aby identyfikator był obsługiwany w części systemu nie połączonej z stanowiskiem zarządzania (off-line).
- Drzwi systemowe – ich zadaniem jest, w uproszczeniu, odczyt i zapis odpowiednich danych z identyfikatora/w identyfikatorze. Można powiedzieć że „drzwi systemowe” pełnią w części, rolę stanowiska zarządzania i głównego punktu weryfikacji uprawnień, bo to tu wychwytywane są karty zablokowane, zgłoszone jako skradzione lub zagubione. W systemie powinna być co najmniej jedna przegroda tego typu. Jeśli jej brak, to za każdym razem, gdy zmienia się profil dostępu osoby, powinna ona z identyfikatorem zjawić się na stanowisku zarządzania. W dużych organizacjach utrudniłoby to znacząco obsługę systemu, szczególnie trudne byłoby usunięcie dostępu, jeśli osoba z identyfikatorem by się nie pojawiła przy stanowisku zarządzania.
- Przegrody off-line – przegrody (najczęściej drzwi) nie połączone ze stanowiskiem zarządzania. Decyzję o dostępie lub odmowie, sprzęt w tych punktach podejmuje w oparciu o dane odczytane z identyfikatora.
Jeśli chodzi o rodzaj identyfikatora, to w systemach mieszanych, zastosowanie mają identyfikatory złożone tzn. z odpowiednio dużym obszarem pamięci, w którym można zapisywać informacje typu:
- prawa dostępu (profile),
- zdarzenia z pokonywania przegród off-line (nie połączonych z systemem).
Istotnymi aspektami, na które należy zwrócić uwagę w przypadku systemów mieszanych są:
- Poziom bezpieczeństwa użytej technologi identyfikacyjnej (podobnie jak w rozwiązaniu dla hoteli). Jako że prawa dostępu zapisane są na karcie, to użyta technologia powinna w sposób właściwy zabezpieczać użytkownika systemu przed podrobieniem identyfikatora, jak i przed zmianą praw dostępu.
- Wielkość pamięci przeznaczonej na dane o dostępie i zdarzeniach. Ma ona kluczowy wpływ na wielkość możliwej strefy off-line (liczby przegród). Im mniejsza pamięć, tym mniejsza liczba przegród i mniejsza liczba zdarzeń zapisywanych na karcie. Najczęściej stosowane są identyfikatory z pamięcią 4..8 KB, aczkolwiek dla małych systemów nawet ok 1 KB może okazać się wystarczający.
- Usuwanie uprawnień dostępu z części off-line systemu. Wyobraźmy sobie sytuację, w której osoba zgubiła identyfikator. Do czasu wykonania działań w sprzęcie KD przegród off-line, przypadkowy znalazca, bez problemu może, dzięki zapisanym prawom na karcie, uzyskać dostęp do obszarów, do których tego dostępu nie ma. W systemie on-line usunięcie praw dostępu dla identyfikatora to sekundy a w najgorszym razie kilka minut. W rozwiązaniach off-line, aby skutecznie usunąć dostęp, należy dokonać odpowiednich wpisów w urządzeniach wszystkich przegród off-line, do których posiadacz identyfikatora miał dostęp. To może długo trwać, bo w najgorszym przypadku wymaga fizycznej wizyty przy każdej przegrodzie z odpowiednio przygotowanym identyfikatorem systemowym, posiadającym w swojej pamięci zapisy o usunięciu prawa dostępu dla innego identyfikatora (dodanie identyfikatora do czarnej listy w urządzeniu obsługującym daną przegrodę).
- W niektórych rozwiązaniach, stosuje się też „karty do przenoszenia rejestracji”. Urządzenia zainstalowane na przegrodach off-line-owych, maja bufory pamięci, w których (w zależności od konfiguracji) przechowywane mogą być:
- rejestracje alarmowe np. karty obce odczytane praz czytnik, albo użyte karty nieuprawnione, w tym z czarnej listy,
- określona liczba wszystkich rejestracji – poprawnych i alarmowych z danej przegrody.
Oczywiście takie rozwiązanie nie zastąpi komunikacji on-line, ale w sytuacjach wątpliwych lub awaryjnych umożliwia przeprowadzenie podstawowych analiz i sprawdzeń.
Tyle na razie o rozwiązaniach off-line w fizycznej kontroli dostępu – czekam na Wasze komentarze.
Pozdrawiam
Andrzej Smętek