Home/Glossario RFID e tessere campus

Glossario RFID e tessere campus

Guida di riferimento chiara per i termini che emergono durante la definizione di un programma per tessere campus: standard dei chip, bande di frequenza, crittografia, portafogli mobili e le piattaforme attualmente presenti sul mercato.

Standard e protocolli

ISO 7810— ID-1, ID-2, ID-3: Standard internazionale che definisce le dimensioni fisiche delle tessere di identificazione. Il formato ID-1 (dimensioni di una carta di credito, 85,6 × 54 mm) è il fattore di forma utilizzato per i badge per studenti e le tessere di controllo accessi.
ISO 7816: Standard per tessere dotate di un chip a contatto dorato visibile. Definisce la piedinatura, i segnali elettrici e il set di comandi per le smart card a contatto.; Le tessere a doppia credenziale utilizzano lo standard ISO 7816 per il lato a contatto e lo standard ISO 14443A per il lato contactless. Le carte bancarie con chip EMV sono conformi allo standard ISO 7816.
ISO 14443A: Standard internazionale per smart card contactless di prossimità che operano alla frequenza di 13,56 MHz. Rappresenta lo standard dominante per i moderni badge universitari, i sistemi bancari e le tessere di controllo accessi.; Il Tipo A definisce la modulazione, l'anticollisione e il protocollo di trasmissione. I chip MIFARE, DESFire, NTAG e la maggior parte delle attuali tessere universitarie contactless sono conformi allo standard ISO 14443A. La distanza di lettura tipica è compresa tra 0 e 10 cm.
ISO 15693— Vicinity cards: Standard per smart card contactless per la lettura di vicinato a 13,56 MHz, con una distanza di lettura che può raggiungere 1–1,5 m.; Utilizzato per l'etichettatura dei libri in biblioteca, la tracciabilità dei beni e in alcuni sistemi di controllo accessi in cui è richiesta una maggiore distanza di lettura. Risulta meno sicuro dello standard ISO 14443A per l'uso come credenziale.
ISO 9001: Standard internazionale per la gestione della qualità. La certificazione ISO 9001 attesta che un produttore segue un processo di qualità documentato e sottoposto a audit. CampusRFID è certificata ISO 9001.
FIPS 140-2: Standard federale degli Stati Uniti per i moduli crittografici. È richiesto per i laboratori di ricerca finanziati a livello federale e per molte strutture universitarie collegate ad enti governativi.; Quando un ambiente universitario richiede una crittografia convalidata FIPS 140-2, sia la famiglia di chip (DESFire EV2/EV3, Seos) sia il processo di gestione delle chiavi presso l'emittente devono rientrare nell'ambito di applicazione.
NFC— Near Field Communication: Protocollo wireless a corto raggio (≤4 cm) che estende lo standard ISO 14443 alle interazioni peer-to-peer tra telefono e lettore e tra telefono e tag.; La tecnologia NFC è ciò che consente il funzionamento delle credenziali universitarie su Apple Wallet e Google Wallet. Il telefono emula una smart card contactless in modalità di emulazione carta.

Famiglie di chip

Smart Card: Qualsiasi tessera dotata di un microprocessore o di un chip di memoria integrato. Include le tessere a contatto (ISO 7816), contactless (ISO 14443) e a doppia interfaccia. Si distingue dalle tessere a sola banda magnetica.
MIFARE Classic: Famiglia di chip contactless legacy di NXP che utilizza l'algoritmo Crypto-1 (oggi considerato vulnerabile). Ancora ampiamente diffusa nei sistemi universitari più datati, ma non raccomandata per nuove applicazioni ad alta sicurezza.; Le vulnerabilità crittografiche sono state dimostrate a partire dal 2008. Le tessere possono essere clonate con hardware di livello consumer. La migrazione a DESFire EV2/EV3 rappresenta il percorso di aggiornamento standard.
MIFARE DESFire EV1 / EV2 / EV3: Famiglia di chip contactless ad alta sicurezza di NXP che utilizza la crittografia AES-128 e la verifica reciproca dell'identità. La versione EV3 (generazione attuale) aggiunge le funzioni Secure Unique NFC e Transaction MAC.; I chip DESFire EV2 e EV3 rappresentano lo standard di fatto per il moderno controllo accessi ad alta sicurezza nei campus. Ogni tessera supporta più applicazioni (controllo accessi, pagamenti, biblioteca) con chiavi separate. La resistenza alla clonazione è di natura crittografica, non basata sulla semplice riservatezza della tecnologia.
HID iCLASS SE / Seos: Famiglia di credenziali ad alta sicurezza a 13,56 MHz di HID Global. La linea iCLASS SE rappresenta la generazione precedente; Seos è la generazione attuale, dotata di una gestione delle chiavi più robusta e del supporto per le credenziali mobili.; Soluzione diffusa nelle università del Nord America e del Regno Unito. Viene spesso implementata insieme a Apple Wallet e Google Wallet tramite HID Mobile Access. Le tessere Seos utilizzano un modello di credenziale definito via software che svincola la credenziale stessa dal supporto fisico della tessera.
LEGIC: Famiglia di chip contactless di Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Vanta una forte presenza nei mercati universitari svizzeri e di lingua tedesca.; La tecnologia LEGIC Advant supporta l'algoritmo AES-128 e credenziali multi-applicazione simili a DESFire. LEGIC Prime rappresenta la generazione precedente e dovrebbe essere sostituita nei nuovi progetti di controllo accessi ad alta sicurezza.
NTAG: Famiglia di tag di NXP conforme al forum NFC (NTAG213/215/216/424 DNA). Presenta un costo inferiore rispetto a DESFire, ma è idonea per il marketing, la registrazione agli eventi e applicazioni con requisiti di sicurezza meno stringenti.; Il chip NTAG 424 DNA aggiunge l'autenticazione dei messaggi AES-128, rendendolo idoneo per alcuni scenari di controllo accessi. Trova ampio impiego nelle credenziali per gli eventi universitari e nell'etichettatura RFID per le biblioteche.
EM4100 / EM4200: Famiglie di chip a sola lettura a bassa frequenza (125 kHz). Trasmettono un numero di serie fisso quando vengono alimentate. Sono prive di crittografia e facilmente clonabili.; Tecnologia comune nei sistemi di controllo accessi legacy e nelle tessere per i parcheggi di superficie. Le nuove installazioni dovrebbero utilizzare la frequenza a 13,56 MHz con crittografia AES-128. Questi chip vengono spesso abbinati a chip HF in tessere a doppia frequenza per agevolare la migrazione.

Frequenze e protocolli RFID

LF 125 kHz: Banda RFID a bassa frequenza. Caratterizzata da una portata ridotta (5–15 cm), assenza di supporto per la crittografia e un'elevata tolleranza in ambienti con presenza di metallo e acqua.; Tecnologia dominante nei sistemi di controllo accessi legacy (anni '90–2000). I nuovi impianti universitari stanno abbandonando la bassa frequenza (LF) a favore dell'alta frequenza (HF) a 13,56 MHz con crittografia AES-128, poiché le credenziali LF sono estremamente facili da clonare.
HF 13.56 MHz: Banda RFID ad alta frequenza utilizzata dagli standard ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS e Seos. Rappresenta la frequenza dominante per le moderne credenziali universitarie.; Distanza di lettura di 0–10 cm a seconda del design dell'antenna. Supporta la verifica reciproca dell'identità tramite AES-128 se abbinata al chip corretto (DESFire EV2+, Seos).
UHF 860–960 MHz: Banda RFID ad altissima frequenza. L'ampia distanza di lettura (1–10 m) viene utilizzata per il tracciamento dei beni, i parcheggi e l'inventario della biblioteca, ma in genere non per le credenziali personali.; Protocollo ISO 18000-6C / EPC Gen 2. Impinj Monza è la famiglia di chip dominante. Il vantaggio della portata comporta compromessi in termini di privacy e sicurezza che rendono l'UHF non idoneo per le applicazioni di tessera studente/badge.
Read Range: Distanza alla quale un lettore può attivare e leggere in modo affidabile un tag. Dipende dalla frequenza, dal design dell'antenna, dalla potenza di trasmissione e dall'ambiente.; Portata tipica LF: 5–15 cm. Portata HF: 0–10 cm. Portata UHF: 1–10 m. I lettori di tessere a presentazione manuale sono deliberatamente tarati per una portata ridotta, al fine di evitare la lettura del badge del titolare errato.
Anti-collision: Livello del protocollo RFID che consente a un lettore di rilevare e indirizzare simultaneamente più tag nel campo senza che i loro segnali interferiscano.; Lo standard ISO 14443A utilizza un algoritmo binario di tree-walking. È importante per l'inventario RFID della biblioteca (molti libri letti contemporaneamente) e per situazioni involontarie di presenza di più tessere (due carte nello stesso portafoglio).

Crittografia e sicurezza

AES-128: Advanced Encryption Standard con chiave a 128 bit. La crittografia utilizzata nelle credenziali MIFARE DESFire EV2/EV3 e HID Seos.; Combinato con la verifica reciproca dell'identità (challenge-response), lo standard AES-128 rende ogni accostamento della tessera una transazione firmata crittograficamente. La clonazione di una singola tessera non compromette il sistema se le chiavi sono diversificate.
3DES— Triple DES: Algoritmo di crittografia simmetrica più datato che utilizza il DES tre volte. Supportato da alcune famiglie di chip legacy, ma ufficialmente deprecato dal NIST nel 2023.; Il chip DESFire EV1 supportava il 3DES; i chip EV2 e EV3 hanno aggiunto l'AES-128 e lo hanno sostituito. Le nuove installazioni dovrebbero utilizzare esclusivamente l'AES-128.
Crypto-1: Cifrario a flusso proprietario utilizzato in MIFARE Classic. Sottoposto a reverse engineering nel 2008 e ora considerato fondamentalmente vulnerabile.; Le debolezze di Crypto-1 rendono le tessere MIFARE Classic clonabili con hardware NFC standard (ad es. Proxmark). Qualsiasi campus ancora basato su Classic dovrebbe pianificare una migrazione a DESFire EV2/EV3 o Seos.
Diversified Keys: Tecnica di gestione delle chiavi in cui ogni tessera deriva una chiave di autenticazione univoca da una chiave master e dal UID della tessera stessa. La clonazione di una tessera non rivela la chiave master.; Lo standard di settore per le installazioni di produzione. Le chiavi master risiedono in un Hardware Security Module (HSM) presso l'emittente, non sulle singole tessere. CampusRFID può codificare chiavi diversificate presso la nostra struttura.
Mutual Authentication: Protocollo crittografico in cui sia la tessera che il lettore si verificano a vicenda prima di scambiare dati. Impedisce ai lettori non autorizzati di carpire le credenziali e alle tessere contraffatte di simulare quelle legittime.
Replay Attack: Intercettazione di uno scambio legittimo tra tessera e lettore e successiva riproduzione per impersonare la tessera. Contrastata dalla verifica reciproca dell'identità con sfide casuali per sessione.; Le tessere con UID statico (MIFARE Classic, EM4100) sono vulnerabili alla riproduzione. La verifica reciproca dell'identità AES-128 (DESFire EV2+, Seos) rende ogni scambio unico e non riproducibile.

Tecnologia delle credenziali mobili

Secure Element— SE: Chip hardware resistente alle manomissioni all'interno di telefoni e tessere che memorizza le chiavi crittografiche ed esegue codice sensibile. I dispositivi Apple e la maggior parte dei top di gamma Android dispongono di un Secure Element.; Le credenziali digitali della tessera studente risiedono all'interno del Secure Element, non nella memoria comune delle app. Gli accessi rapidi funzionano anche quando il telefono è bloccato, poiché il SE può autenticarsi senza il sistema operativo.
HCE— Host Card Emulation: Funzionalità Android che consente a un'applicazione di emulare una smart card contactless tramite software (senza un Secure Element hardware).; Alcune piattaforme di gestione delle tessere campus utilizzano l'HCE per i telefoni Android non top di gamma che non dispongono di un SE utilizzabile. Meno sicuro delle credenziali basate su SE, ma più ampiamente compatibile.
BLE— Bluetooth Low Energy: Protocollo radio a corto raggio utilizzato da HID Mobile Access e altri sistemi di credenziali mobili in alternativa o in aggiunta all'NFC.; Il BLE ha una portata maggiore (1–3 m) rispetto all'NFC, utile per interazioni a mani libere o con modalità "twist-and-go". Richiede che il lettore supporti il BLE — molti lettori HID più recenti lo fanno, la maggior parte dei terminali POS bancari no.
SIO— Secure Identity Object: Il modello di dati di HID per le credenziali su Seos. Svincola la credenziale dal supporto fisico della tessera: lo stesso SIO può risiedere su una tessera Seos, su un token USB Seos o su un telefono cellulare.
Express Mode: Funzionalità di Apple Wallet che consente di utilizzare una credenziale semplicemente accostando il dispositivo, senza sbloccare il telefono o autenticarsi. Funziona fino a 5 ore dopo lo spegnimento del telefono per batteria scarica (modalità di riserva di energia).; La modalità rapida è essenziale per la tessera studente: gli studenti non devono aver bisogno di sbloccare il telefono per accedere a un edificio o pagare la mensa. Ogni credenziale deve essere specificamente abilitata per la modalità rapida.
Apple Wallet (Student ID): La piattaforma di portafoglio mobile di Apple con supporto nativo per le tessere studente universitarie. Configurato tramite le app del campus e piattaforme di tessere certificate.; Richiede che il campus utilizzi una piattaforma supportata (Transact, CBORD, Atrium o HID Mobile Access) e che completi il processo di certificazione di Apple. Gli studenti configurano la credenziale all'interno dell'app del campus, non direttamente nell'app Apple Wallet.
Google Wallet (Student ID): La piattaforma di portafoglio mobile di Google con supporto per le tessere studente su telefoni Android dotati di NFC. Il flusso di configurazione rispecchia quello di Apple Wallet.; Disponibile su Android 9+ con una piattaforma per tessere campus integrata con Google Wallet. La modalità rapida consente la lettura tramite accostamento senza sbloccare il telefono.

Produzione di tessere e formati

CR80— ID-1, credit card size: Formato standard della carta di credito: 85,6 × 54 mm × 0,76 mm. Lo standard predefinito per i badge degli studenti e le tessere di controllo accessi.
Dual Credential Card— Dual interface card: Tessera dotata sia di un chip a contatto (piastrina dorata visibile) sia di un'antenna RFID contactless in un unico corpo. Consente a un'unica tessera di funzionare sia con i lettori a contatto legacy sia con i moderni lettori contactless.; Consulti la nostra pagina di prodotto dedicata alle tessere a doppia credenziale.
Magstripe— Magnetic stripe (HiCo / LoCo): Banda di materiale magnetico sul retro di una tessera. La banda HiCo (ad alta coercitività) conserva i dati più a lungo; la banda LoCo (a bassa coercitività) è più economica e viene utilizzata per tessere a breve durata.; Sempre più spesso sostituita da credenziali basate su chip, ma ancora richiesta da alcune apparecchiature legacy del campus (sistemi di lavanderia più datati, distributori automatici, self-checkout della biblioteca). Spesso inclusa insieme alla tecnologia RFID sulle tessere di transizione.
Personalization: Fase di produzione in cui ogni tessera viene stampata e codificata con i dati specifici del titolare: nome, foto, numero identificativo, dati della banda magnetica e chiavi segrete del chip.; Eseguita in due modalità: presso il produttore (tessere pre-personalizzate in blocco inviate al campus) o in loco (il campus emette tessere neutre internamente). CampusRFID supporta entrambe le modalità.
UID— Unique Identifier: Numero di serie impostato in fabbrica su ogni chip RFID. Viene trasmesso dal chip in chiaro prima di qualsiasi autenticazione. Utilizzato per derivare chiavi diversificate.; I codici UID da soli non devono essere utilizzati come credenziale, poiché sono facilmente clonabili. Fungono da indirizzo identificativo della tessera, non da segreto.

Piattaforme e operazioni

Campus Card Platforms: Piattaforme software che emettono e gestiscono le credenziali del campus: Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Ciascuna collega l'identità ai canali di accesso, di pagamento e della mensa.; Consulti la nostra guida ai sistemi di tessere per campus per un confronto dettagliato tra le varie piattaforme.
CMS— Card Management System: Software utilizzato dall'ufficio emissione tessere per registrare i titolari dei badge, codificare le chiavi, stampare e riemettere le tessere. Spesso fa parte di una piattaforma di gestione delle tessere del campus.
SSO— Single Sign-On: Protocollo di identità che consente agli studenti di accedere all'app delle tessere del campus, all'LMS, al Wi-Fi, ai sistemi della biblioteca e alle app di pagamento con un unico set di credenziali. Protocolli comuni: SAML, OIDC.
MOQ— Minimum Order Quantity: Quantità minima che un produttore realizza in un singolo lotto. Il MOQ standard di CampusRFID è di 500 tessere.

Scegliere il chip giusto per il Suo campus

Per le nuove implementazioni e i cicli di aggiornamento nel 2026, la selezione pratica comprende:

MIFARE DESFire EV2 / EV3 — la soluzione ideale per le università europee, con una solida sicurezza AES-128 e supporto multi-applicazione.
HID iCLASS Seos — la soluzione ideale per i campus nordamericani che utilizzano già l'infrastruttura HID, con supporto nativo per Apple Wallet / Google Wallet.
Doppia credenziale — ideale quando si dispone di un parco lettori misto (legacy e moderno) e si necessita di un'unica tessera compatibile con entrambi.

Tessere di controllo accessi ad alta sicurezza →Tessere a doppia credenziale →Guida ai sistemi di gestione delle tessere campus →