Úvod/Slovníček pojmů z oblasti RFID a studentských průkazů

Slovníček pojmů z oblasti RFID a studentských průkazů

Srozumitelný přehled termínů, se kterými se setkáte při plánování systému studentských průkazů — čipové standardy, frekvenční pásma, šifrování, mobilní peněženky a platformy aktuálně dostupné na trhu.

Standardy a protokoly

ISO 7810— ID-1, ID-2, ID-3: Mezinárodní norma definující fyzické rozměry identifikačních karet. ID-1 (velikost kreditní karty, 85,6 × 54 mm) je formát používaný pro studentské průkazy a přístupové karty.
ISO 7816: Standard pro karty s viditelným zlatým kontaktním čipem. Definuje zapojení pinů, elektrické signály a sadu příkazů pro kontaktní čipové karty.; Karty s duálními přihlašovacími údaji využívají normu ISO 7816 pro kontaktní rozhraní a ISO 14443A pro bezkontaktní rozhraní. Bankovní čipové karty EMV jsou v souladu s normou ISO 7816.
ISO 14443A: Mezinárodní norma pro bezkontaktní čipové karty s krátkým dosahem pracující na frekvenci 13,56 MHz. Dominantní standard pro moderní univerzitní systémy, bankovnictví a řízení přístupu.; Typ A definuje modulaci, antikolizní protokol a přenosový protokol. MIFARE, DESFire, NTAG a většina současných bezkontaktních studentských průkazů vyhovuje normě ISO 14443A. Čtecí vzdálenost je obvykle 0–10 cm.
ISO 15693— Vicinity cards: Standard pro bezkontaktní čipové karty pro čtení na střední vzdálenost na frekvenci 13,56 MHz s dosahem čtení až 1–1,5 m.; Používá se pro označování knih v knihovnách, sledování majetku a některé přístupové systémy, kde je vyžadován delší dosah čtení. Pro účely identifikace a přístupových práv je méně zabezpečený než ISO 14443A.
ISO 9001: Mezinárodní norma pro řízení kvality. Certifikace ISO 9001 znamená, že výrobce dodržuje zdokumentovaný a auditovaný proces řízení kvality. Společnost CampusRFID je držitelem certifikace ISO 9001.
FIPS 140-2: Federální standard USA pro kryptografické moduly. Vyžadován pro federálně financované výzkumné laboratoře a řadu univerzitních zařízení napojených na státní správu.; Pokud univerzitní prostředí vyžaduje kryptografii ověřenou podle FIPS 140-2, musí do tohoto rámce spadat jak rodina čipů (DESFire EV2/EV3, Seos), tak proces správy klíčů u vydavatele.
NFC— Near Field Communication: Bezdrátový protokol s krátkým dosahem (≤4 cm), který rozšiřuje normu ISO 14443 o interakce typu peer-to-peer mezi telefonem a čtečkou a telefonem a tagem.; Technologie NFC zajišťuje fungování studentských průkazů v aplikacích Apple Wallet a Google Wallet. Telefon v režimu emulace karty napodobuje bezkontaktní čipovou kartu.

Rodiny čipů

Smart Card: Jakákoli karta s integrovaným mikroprocesorem nebo paměťovým čipem. Zahrnuje kontaktní (ISO 7816), bezkontaktní (ISO 14443) a duální karty. Liší se od karet pouze s magnetickým proužkem.
MIFARE Classic: Starší rodina bezkontaktních čipů NXP využívající šifrování Crypto-1 (které je dnes považováno za prolomené). Stále je široce využívána ve starších univerzitních systémech, ale nedoporučuje se pro nové instalace s vysokými nároky na zabezpečení.; Kryptografické zranitelnosti byly prokázány již v roce 2008. Karty lze klonovat pomocí běžně dostupného hardwaru. Standardní cestou upgradu je přechod na DESFire EV2/EV3.
MIFARE DESFire EV1 / EV2 / EV3: Vysoce zabezpečená rodina bezkontaktních čipů od společnosti NXP využívající šifrování AES-128 a vzájemné ověřování identity. Verze EV3 (aktuální generace) přidává funkce Secure Unique NFC a Transaction MAC.; DESFire EV2 a EV3 představují de facto standard pro moderní vysoce zabezpečené řízení přístupu v kampusech. Každá karta obsahuje více aplikací (přístup, platby, knihovna) se samostatnými klíči. Odolnost proti klonování je založena na kryptografii, nikoli pouze na utajení algoritmu.
HID iCLASS SE / Seos: Vysoce zabezpečená rodina identifikačních médií na frekvenci 13,56 MHz od společnosti HID Global. iCLASS SE je starší generace; Seos představuje současnou generaci se silnější správou klíčů a podporou mobilních přístupových údajů.; Běžné na univerzitách v Severní Americe a Velké Británii. Často nasazováno společně s Apple Wallet / Google Wallet prostřednictvím HID Mobile Access. Karty Seos využívají softwarově definovaný model, který odděluje přihlašovací údaje od fyzického nosiče karty.
LEGIC: Rodina bezkontaktních čipů od společnosti Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Má silné zastoupení na švýcarském a německy mluvícím univerzitním trhu.; LEGIC Advant podporuje šifrování AES-128 a víceaplikované přihlašovací údaje podobně jako DESFire. LEGIC Prime je starší generace a u nových instalací s vysokým zabezpečením by měla být nahrazena novější technologií.
NTAG: Rodina tagů od společnosti NXP kompatibilní s NFC Forum (NTAG213/215/216/424 DNA). Nabízí nižší náklady než DESFire, ale je vhodná pro marketing, registraci na akce a aplikace s nižšími nároky na zabezpečení.; NTAG 424 DNA přidává autentizaci zpráv pomocí AES-128, díky čemuž je vhodný pro některé přístupové scénáře. Široce se využívá pro identifikační média na univerzitních akcích a pro RFID štítky v knihovnách.
EM4100 / EM4200: Nízkofrekvenční (125 kHz) rodiny čipů určené pouze pro čtení. Při aktivaci vysílají pevné sériové číslo. Nepodporují žádné šifrování a lze je snadno klonovat.; Běžné u starších přístupových systémů a karet pro povrchová parkoviště. Nové instalace by měly namísto toho využívat frekvenci 13,56 MHz s šifrováním AES-128. Pro účely migrace se často kombinuje s HF čipy v dvoufrekvenčních kartách.

Frekvence a RFID protokoly

LF 125 kHz: Nízkofrekvenční pásmo RFID. Vyznačuje se krátkým dosahem (5–15 cm), absencí podpory šifrování a vysokou odolností vůči kovovému a vodnímu prostředí.; Dominantní technologie ve starších přístupových systémech (90. léta až nultá léta). Nové univerzitní systémy přecházejí z LF na HF frekvenci 13,56 MHz s šifrováním AES-128, protože nízkofrekvenční identifikační údaje lze velmi snadno klonovat.
HF 13.56 MHz: Vysokofrekvenční pásmo RFID využívané technologiemi ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS a Seos. Dominantní frekvence pro moderní univerzitní identifikační průkazy.; Čtecí dosah 0–10 cm v závislosti na konstrukci antény. Při spárování se správným čipem (DESFire EV2+, Seos) podporuje vzájemné ověření identity pomocí AES-128.
UHF 860–960 MHz: Ultra-vysokofrekvenční pásmo RFID. Dlouhý čtecí dosah (1–10 m) se využívá pro sledování majetku, parkování a inventarizaci knihoven – obvykle se nepoužívá pro osobní přístupové údaje.; Protokol ISO 18000-6C / EPC Gen 2. Dominantní rodinou čipů je Impinj Monza. Výhoda dlouhého dosahu s sebou nese kompromisy v oblasti soukromí a zabezpečení, kvůli kterým je UHF nevhodné pro studentské průkazy.
Read Range: Vzdálenost, na kterou dokáže čtečka spolehlivě napájet a načíst tag. Závisí na frekvenci, konstrukci antény, vysílacím výkonu a okolním prostředí.; Typický dosah LF: 5–15 cm. Dosah HF: 0–10 cm. Dosah UHF: 1–10 m. Čtečky karet s přikládáním rukou jsou záměrně vyladěny na krátký dosah, aby se zabránilo nechtěnému načtení průkazu jiného držitele.
Anti-collision: Vrstva protokolu RFID, která čtečce umožňuje detekovat a adresovat více tagů v poli současně, aniž by se jejich signály vzájemně rušily.; ISO 14443A využívá algoritmus procházení binárního stromu. Důležité pro RFID inventarizaci knihoven (čtení mnoha knih najednou) a pro situace s neúmyslným přiložením více karet (dvě karty v jedné peněžence).

Šifrování a zabezpečení

AES-128: Advanced Encryption Standard se 128bitovým klíčem. Šifrování používané v přístupových údajích MIFARE DESFire EV2/EV3 a HID Seos.; V kombinaci se vzájemným ověřením identity (výzva-odpověď) dělá AES-128 z každého přiložení karty kryptograficky podepsanou transakci. Klonování jediné karty neohrozí systém, pokud jsou klíče diverzifikované.
3DES— Triple DES: Starší symetrický šifrovací algoritmus využívající třikrát DES. Je podporován některými staršími rodinami čipů, ale v roce 2023 byl oficiálně označen institutem NIST za zastaralý.; DESFire EV1 podporoval 3DES; EV2 a EV3 přidaly AES-128 a nahradily jej. Nové instalace by měly plošně využívat AES-128.
Crypto-1: Proprietární proudová šifra používaná v MIFARE Classic. V roce 2008 byla zpětně analyzována a dnes je považována za zásadně prolomenou.; Slabiny Crypto-1 umožňují klonování karet MIFARE Classic pomocí běžně dostupného NFC hardwaru (např. Proxmark). Každý kampus, který stále používá Classic, by měl naplánovat migraci na DESFire EV2/EV3 nebo Seos.
Diversified Keys: Technika správy klíčů, kdy každá karta odvozuje jedinečný autentizační klíč z hlavního klíče a UID karty. Naklonováním jedné karty se hlavní klíč neodhalí.; Průmyslový standard pro produkční nasazení. Hlavní klíče jsou uloženy v hardwarovém bezpečnostním modulu (HSM) u vydavatele, nikoli na jednotlivých kartách. CampusRFID dokáže kódovat diverzifikované klíče přímo v našem zázemí.
Mutual Authentication: Kryptografický protokol, při kterém karta i čtečka před výměnou dat vzájemně ověří svou identitu. Zabraňuje podvodným čtečkám v získávání přihlašovacích údajů a falešným kartám v napodobování legitimních.
Replay Attack: Zachycení legitimní komunikace mezi kartou a čtečkou a její pozdější přehrání s cílem vydávat se za danou kartu. Tomu zabraňuje vzájemné ověření identity s náhodnými výzvami pro každou relaci.; Karty se statickým UID (MIFARE Classic, EM4100) jsou náchylné k útokům přehráním. Vzájemné ověření identity pomocí AES-128 (DESFire EV2+, Seos) činí každou komunikaci jedinečnou a neopakovatelnou.

Technologie mobilních přístupových údajů

Secure Element— SE: Hardwarový čip odolný proti manipulaci uvnitř telefonů a karet, který ukládá kryptografické klíče a spouští citlivý kód. Zařízení Apple a většina vlajkových lodí se systémem Android mají Secure Element.; Mobilní studentské průkazy jsou uloženy v Secure Element, nikoli v běžném úložišti aplikací. Přiložení v expresním režimu funguje, i když je telefon uzamčen, protože SE se dokáže autentizovat bez operačního systému.
HCE— Host Card Emulation: Funkce systému Android, která aplikaci umožňuje emulovat bezkontaktní chytrou kartu prostřednictvím softwaru (bez hardwarového Secure Element).; Některé platformy pro kampusové karty využívají HCE pro nevlajkové telefony s Androidem, které nemají použitelný SE. Je to méně bezpečné než přihlašovací údaje chráněné pomocí SE, ale šířeji kompatibilní.
BLE— Bluetooth Low Energy: Rádiový protokol s krátkým dosahem používaný systémem HID Mobile Access a dalšími mobilními přístupovými systémy jako alternativa nebo doplněk k NFC.; BLE má delší dosah (1–3 m) než NFC, což je užitečné pro bezdotykové interakce nebo přístup stylem „přilož a jdi“. Vyžaduje, aby čtečka podporovala BLE – mnoho novějších čteček HID to umí, většina bankovních platebních terminálů nikoli.
SIO— Secure Identity Object: Datový model společnosti HID pro přístupové údaje na technologii Seos. Odděluje přístupové údaje od samotného nosiče – stejný SIO může být uložen na kartě Seos, USB tokenu Seos nebo v mobilním telefonu.
Express Mode: Funkce Apple Wallet, která umožňuje přiložit přístupové údaje bez odemknutí telefonu nebo ověření totožnosti. Funguje až 5 hodin po vybití baterie telefonu (energetická rezerva).; Expresní režim je pro studentský průkaz klíčový – studenti by neměli mít povinnost odemykat telefon, aby mohli vstoupit do budovy nebo zaplatit za oběd. Každé přístupové údaje musí být pro expresní režim výslovně povoleny.
Apple Wallet (Student ID): Mobilní peněženka od společnosti Apple s nativní podporou pro univerzitní studentské průkazy. Distribuuje se prostřednictvím kampusových aplikací a certifikovaných kartových platforem.; Vyžaduje, aby kampus využíval podporovanou platformu (Transact, CBORD, Atrium nebo HID Mobile Access) a dokončil certifikační proces společnosti Apple. Studenti si přihlašovací údaje nahrávají v rámci aplikace kampusu, nikoli přímo v aplikaci Apple Wallet.
Google Wallet (Student ID): Platforma mobilní peněženky od společnosti Google s podporou pro studentský průkaz na telefonech s operačním systémem Android a technologií NFC. Postup nahrávání kopíruje proces v Apple Wallet.; K dispozici pro Android 9+ s platformou pro studentské průkazy, která je integrovaná s Google Wallet. Rychlý režim (Express Mode) umožňuje přiložení bez nutnosti odemknout telefon.

Výroba karet a formáty

CR80— ID-1, credit card size: Standardní formát kreditní karty: 85,6 × 54 mm × 0,76 mm. Výchozí formát pro studentský průkaz a přístupové karty.
Dual Credential Card— Dual interface card: Karta s kontaktním čipem (viditelná zlatá plošinka) i bezkontaktní RFID anténou v jednom těle. Umožňuje, aby jedna karta fungovala ve starších kontaktních čtečkách i v moderních bezkontaktních čtečkách.; Navštivte naši specializovanou produktovou stránku pro karty s duálními přihlašovacími údaji.
Magstripe— Magnetic stripe (HiCo / LoCo): Magnetický proužek na zadní straně karty. HiCo (vysoká koercivita) uchovává data déle; LoCo (nízká koercivita) je levnější a používá se pro karty s krátkou životností.; Stále častěji je nahrazován čipovými technologiemi, ale některé starší systémy v kampusech jej stále vyžadují (starší prádelny, prodejní automaty, samoobslužná knihovna). Často bývá součástí přechodových karet společně s technologií RFID.
Personalization: Fáze výroby, kdy je každá karta potištěna a zakódována specifickými údaji držitele karty: jméno, fotografie, identifikační číslo, data na magnetickém proužku a tajné klíče čipu.; Provádí se dvěma způsoby: u výrobce (hromadně personalizované karty odeslané do kampusu) nebo na místě (kampus vydává čisté karty interně). CampusRFID podporuje oba režimy.
UID— Unique Identifier: Továrně nastavené sériové číslo na každém RFID čipu. Čip jej odesílá v nešifrované podobě ještě před jakýmkoli ověřením totožnosti. Používá se k odvození diverzifikovaných klíčů.; Samotná UID by se neměla používat jako přihlašovací údaje – lze je snadno naklonovat. Slouží jako adresa pro identifikaci karty, nikoli jako tajemství.

Platformy a provoz

Campus Card Platforms: Softwarové platformy, které vydávají a spravují přihlašovací údaje v kampusu: Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Každá z nich propojuje identitu s přístupovými, platebními a stravovacími systémy (menza).; Pro srovnání jednotlivých platforem navštivte našeho průvodce systémy pro správu karet v kampusech.
CMS— Card Management System: Software používaný kanceláří pro vydávání karet k registraci držitelů karet, kódování klíčů, tisku a opětovnému vydávání karet. Často bývá součástí platformy pro správu karet v kampusu.
SSO— Single Sign-On: Identifikační protokol, který studentům umožňuje přihlásit se do aplikace pro správu karet v kampusu, LMS, Wi-Fi, systémů pro knihovny a platebních aplikací pomocí jedné sady přihlašovacích údajů. Mezi běžné protokoly patří SAML a OIDC.
MOQ— Minimum Order Quantity: Nejmenší množství, které výrobce vyprodukuje v rámci jedné výrobní šarže. Standardní MOQ společnosti CampusRFID je 500 karet.

Výběr správného čipu pro Váš kampus

Pro nové instalace a modernizace v roce 2026 se užší výběr v praxi zužuje na:

MIFARE DESFire EV2 / EV3 — nejvhodnější řešení pro evropské univerzity, silné zabezpečení AES-128, podpora více aplikací.
HID iCLASS Seos — nejvhodnější volba pro severoamerické kampusy, které již využívají infrastrukturu HID, s nativní podporou pro Apple Wallet / Google Wallet.
Karta s duálními přihlašovacími údaji — ideální řešení, pokud disponujete smíšeným parkem starších a moderních čteček a potřebujete jedinou kartu, která funguje na obou typech zařízení.

Vysoce zabezpečené přístupové karty →Karty s duálními přihlašovacími údaji →Průvodce systémy studentských průkazů →