Home/Woordenlijst RFID & campuskaart

Woordenlijst RFID & campuskaart

Heldere referentie voor de termen die opduiken bij het inrichten van een campuskaartprogramma — chipnormen, frequentiebanden, encryptie, mobiele wallets en de platforms die vandaag op de markt zijn.

Standaarden & protocollen

ISO 7810ID-1, ID-2, ID-3
Internationale norm die de fysieke afmetingen van identificatiekaarten definieert. ID-1 (creditcardformaat, 85,6 × 54 mm) is het formaat voor studenten- en toegangskaarten.
ISO 7816
Norm voor kaarten met een zichtbare gouden contactchip. Definieert pinout, elektrische signalen en de commandoset voor contactsmartcards.
Dual-credential-kaarten gebruiken ISO 7816 voor de contactzijde en ISO 14443A voor de contactloze zijde. Bancaire EMV-chipkaarten zijn ISO 7816-compatibel.
ISO 14443A
Internationale norm voor contactloze proximity-smartcards op 13,56 MHz. De dominante norm voor moderne campus-, bank- en toegangscontrolekaarten.
Type A definieert de modulatie, anti-collision en het transmissieprotocol. MIFARE, DESFire, NTAG en de meeste huidige contactloze campuskaarten voldoen aan ISO 14443A. Leesafstand is doorgaans 0–10 cm.
ISO 15693Vicinity-kaarten
Norm voor contactloze smartcards op 13,56 MHz met grotere leesafstand (1–1,5 m).
Gebruikt voor bibliotheekboektagging, asset-tracking en sommige toegangssystemen waar grotere leesafstand nodig is. Minder veilig dan ISO 14443A voor credentialgebruik.
ISO 9001
Internationale kwaliteitsmanagementnorm. ISO 9001-certificering betekent dat een fabrikant een gedocumenteerd, geauditeerd kwaliteitsproces volgt. CampusRFID is ISO 9001-gecertificeerd.
FIPS 140-2
Amerikaanse federale norm voor cryptografische modules. Vereist voor federaal gefinancierde onderzoekslabs en veel overheidsgerelateerde campusfaciliteiten.
Wanneer een campusomgeving FIPS 140-2-gevalideerde cryptografie vereist, vallen zowel de chipfamilie (DESFire EV2/EV3, Seos) als het sleutelbeheerproces bij de uitgever onder de scope.
NFCNear Field Communication
Draadloos protocol met korte reikwijdte (≤4 cm) dat ISO 14443 uitbreidt naar peer-to-peer telefoon-naar-lezer en telefoon-naar-tag-interacties.
NFC maakt Apple Wallet- en Google Wallet-campuscredentials mogelijk. De telefoon emuleert een contactloze smartcard in card-emulatiemodus.

Chipfamilies

Smartcard
Elke kaart met een ingebedde microprocessor of geheugenchip. Omvat contact- (ISO 7816), contactloze (ISO 14443) en dual-interface-kaarten. Onderscheidt zich van louter magneetstripkaarten.
MIFARE Classic
Verouderde NXP-contactloze chipfamilie die Crypto-1 gebruikt (inmiddels als gebroken beschouwd). Nog wijdverspreid in oudere campussystemen, maar niet aanbevolen voor nieuwe hoogbeveiligde toepassingen.
Cryptografische kwetsbaarheden zijn aangetoond sinds 2008. Kaarten kunnen worden gekloond met consumenthardware. Migratie naar DESFire EV2/EV3 is het standaard upgradepad.
MIFARE DESFire EV1 / EV2 / EV3
NXP's hoogbeveiligde contactloze chipfamilie met AES-128-encryptie en wederzijdse authenticatie. EV3 (huidige generatie) voegt Secure Unique NFC en Transaction MAC toe.
DESFire EV2 en EV3 zijn de facto standaard voor moderne hoogbeveiligde campustoegang. Elke kaart bevat meerdere applicaties (toegang, betaling, bibliotheek) met aparte sleutels. Klonbestendigheid is cryptografisch, niet alleen op obscuriteit gebaseerd.
HID iCLASS SE / Seos
Hoogbeveiligde 13,56 MHz-credentialfamilie van HID Global. iCLASS SE is de oudere generatie; Seos is de huidige met sterker sleutelbeheer en mobiele credentialondersteuning.
Veel gebruikt op Noord-Amerikaanse en Britse universiteiten. Vaak ingezet naast Apple Wallet/Google Wallet via HID Mobile Access. Seos-kaarten hanteren een softwarematig credentialmodel dat het credential loskoppelt van het kaartmedium.
LEGIC
Contactloze chipfamilie van Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Sterk vertegenwoordigd op Zwitserse en Duitstalige universiteiten.
LEGIC Advant ondersteunt AES-128 en multi-applicatie-credentials, vergelijkbaar met DESFire. LEGIC Prime is de oudere generatie en moet voor nieuwe hoogbeveiligde inzet worden gemigreerd.
NTAG
NXP's NFC Forum-compatibele tagfamilie (NTAG213/215/216/424 DNA). Goedkoper dan DESFire maar geschikt voor marketing, evenement-check-in en minder beveiligde toepassingen.
NTAG 424 DNA voegt AES-128-berichtauthenticatie toe en is geschikt voor sommige toegangsscenario's. Veel gebruikt in evenementenkaarten en RFID-bibliotheektagging.
EM4100 / EM4200
Laagfrequente (125 kHz) read-only chipfamilies. Sturen een vast serienummer wanneer ze worden geënergiseerd. Geen encryptie, eenvoudig te klonen.
Veel voorkomend in oudere toegangssystemen en parkeerkaarten. Nieuwe inzet moet 13,56 MHz met AES-128 gebruiken. Worden vaak gecombineerd met HF-chips in dual-frequentiekaarten voor migratie.

Frequenties & RFID-protocol

LF 125 kHz
Laagfrequente RFID-band. Korte reikwijdte (5–15 cm), geen encryptie-ondersteuning, zeer tolerant voor metaal- en wateromgevingen.
Dominant in oudere toegangssystemen (1990–2000). Nieuwe campussen migreren weg van LF naar HF 13,56 MHz met AES-128, omdat LF-credentials triviaal te klonen zijn.
HF 13,56 MHz
Hoogfrequente RFID-band die door ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS en Seos wordt gebruikt. De dominante frequentie voor moderne campuscredentials.
Leesafstand 0–10 cm afhankelijk van antenneontwerp. Ondersteunt AES-128 wederzijdse authenticatie bij geschikte chips (DESFire EV2+, Seos).
UHF 860–960 MHz
Ultrahoogfrequente RFID-band. Grote leesafstand (1–10 m), gebruikt voor asset-tracking, parkeren en bibliotheekinventaris — doorgaans niet voor persoonlijke credentials.
ISO 18000-6C / EPC Gen 2-protocol. Impinj Monza is de dominante chipfamilie. Het bereikvoordeel komt met privacy- en beveiligingsafwegingen die UHF ongeschikt maken voor studentenkaarttoepassingen.
Leesafstand
Afstand waarop een lezer een tag betrouwbaar kan energiseren en uitlezen. Hangt af van frequentie, antenneontwerp, zendvermogen en omgeving.
Typische LF-reikwijdte: 5–15 cm. HF: 0–10 cm. UHF: 1–10 m. Handpresentatielezers zijn bewust afgesteld op korte afstand om verkeerde kaarthouders te vermijden.
Anti-collision
RFID-protocollaag die een lezer in staat stelt meerdere tags tegelijk in het veld te detecteren en aan te spreken zonder dat hun signalen interfereren.
ISO 14443A gebruikt een binair tree-walking-algoritme. Belangrijk voor RFID-bibliotheekinventaris (veel boeken tegelijk lezen) en onbedoelde multi-kaartsituaties (twee kaarten in dezelfde portemonnee).

Encryptie & beveiliging

AES-128
Advanced Encryption Standard met 128-bits sleutel. De encryptie die wordt gebruikt in MIFARE DESFire EV2/EV3 en HID Seos-credentials.
Gecombineerd met wederzijdse authenticatie (challenge-response) maakt AES-128 elke kaarttap een cryptografisch ondertekende transactie. Eén kaart klonen breekt het systeem niet als sleutels gediversifieerd zijn.
3DESTriple DES
Oudere symmetrische encryptie-algoritme dat DES driemaal toepast. Wordt ondersteund door sommige oudere chipfamilies maar door NIST officieel uitgefaseerd in 2023.
DESFire EV1 ondersteunde 3DES; EV2 en EV3 voegen AES-128 toe en vervangen het. Nieuwe inzet moet doorgaans AES-128 gebruiken.
Crypto-1
Propriëtair stream-cipher in MIFARE Classic. In 2008 gereverse-engineered en inmiddels fundamenteel gebroken.
Door Crypto-1-zwakheden zijn MIFARE Classic-kaarten te klonen met standaard NFC-hardware (bijv. Proxmark). Elke campus die nog op Classic zit, moet een migratie naar DESFire EV2/EV3 of Seos plannen.
Gediversifieerde sleutels
Sleutelbeheertechniek waarbij elke kaart een unieke authenticatiesleutel afleidt uit een hoofdsleutel plus de UID van de kaart. Eén kaart klonen onthult de hoofdsleutel niet.
Industriestandaard voor productie-inzet. Hoofdsleutels staan in een Hardware Security Module (HSM) bij de uitgever, niet op individuele kaarten. CampusRFID kan gediversifieerde sleutels in onze fabriek encoderen.
Wederzijdse authenticatie
Cryptografisch protocol waarbij zowel kaart als lezer elkaar verifiëren vóór ze gegevens uitwisselen. Voorkomt dat malafide lezers credentials oogsten en dat malafide kaarten legitieme spoof'en.
Replay-aanval
Een legitieme kaart-lezeruitwisseling opvangen en later opnieuw afspelen om de kaart na te bootsen. Wordt verijdeld door wederzijdse authenticatie met willekeurige sessiechallenges.
Statische-UID-kaarten (MIFARE Classic, EM4100) zijn kwetsbaar voor replay. AES-128 wederzijdse authenticatie (DESFire EV2+, Seos) maakt elke uitwisseling uniek en niet-herhaalbaar.

Mobiele credentialtechnologie

Secure ElementSE
Manipulatiebestendige hardwarechip in telefoons en kaarten die cryptografische sleutels opslaat en gevoelige code uitvoert. Apple-toestellen en de meeste Android-vlaggenschepen bevatten een Secure Element.
Mobiele studentenkaarten leven in de Secure Element, niet in gewone app-opslag. Express Mode-tikken werken ook als de telefoon vergrendeld is, omdat de SE zonder de OS kan authenticeren.
HCEHost Card Emulation
Android-functie waarmee een app via software een contactloze smartcard emuleert (zonder hardware-Secure-Element).
Sommige campusplatformen gebruiken HCE voor niet-vlaggenschip-Android-telefoons zonder bruikbare SE. Minder veilig dan SE-gestuurde credentials, maar breder compatibel.
BLEBluetooth Low Energy
Draadloos protocol met korte reikwijdte dat door HID Mobile Access en andere mobiele credentialsystemen wordt gebruikt als alternatief voor of aanvulling op NFC.
BLE heeft een grotere reikwijdte (1–3 m) dan NFC, handig voor hands-free of 'twist-and-go'-interacties. Vereist een lezer die BLE ondersteunt — veel nieuwere HID-lezers wel, de meeste bank-POS-terminals niet.
SIOSecure Identity Object
HID's datamodel voor credentials op Seos. Koppelt het credential los van het kaartmedium — dezelfde SIO kan op een Seos-kaart, een Seos-USB-token of een mobiele telefoon staan.
Express Mode
Apple Wallet-functie die toelaat dat een credential wordt getikt zonder de telefoon te ontgrendelen of te authenticeren. Werkt tot 5 uur nadat de batterij van de telefoon leeg is (Power Reserve).
Express Mode is essentieel voor studentenkaarten — studenten zouden hun telefoon niet hoeven te ontgrendelen om een gebouw te betreden of lunch te betalen. Elk credential moet expliciet voor Express Mode worden ingeschakeld.
Apple Wallet (studentenkaart)
Apple's mobiele wallet-platform met native ondersteuning voor universitaire studentenkaarten. Geleverd via campus-apps en gecertificeerde kaartplatformen.
Vereist dat de campus op een ondersteund platform draait (Transact, CBORD, Atrium of HID Mobile Access) en Apple's certificeringsproces voltooit. Studenten provisioneren het credential in de campus-app, niet in de Wallet-app.
Google Wallet (studentenkaart)
Google's mobiele wallet-platform met studentenkaartondersteuning op Android-telefoons met NFC. Provisioning verloopt analoog aan Apple Wallet.
Beschikbaar op Android 9+ met een campuskaartplatform dat met Google Wallet is geïntegreerd. Express Mode laat taps toe zonder de telefoon te ontgrendelen.

Kaartproductie & formaten

CR80ID-1, creditcardformaat
Standaard creditcardformaat: 85,6 × 54 mm × 0,76 mm. Het standaardformaat voor studenten- en toegangskaarten.
Dual-credential-kaartDual-interface-kaart
Kaart met zowel een contactchip (zichtbare gouden pad) als een contactloze RFID-antenne in één kaart. Eén kaart werkt op zowel oudere contact- als moderne contactloze lezers.
Zie onze speciale dual-credential-kaarten-productpagina.
MagneetstripMagnetic stripe (HiCo / LoCo)
Strip van magnetisch materiaal op de achterkant van een kaart. HiCo (high-coercivity) houdt data langer; LoCo (low-coercivity) is goedkoper en geschikt voor kortlevende kaarten.
Steeds vaker vervangen door chipgebaseerde credentials, maar nog vereist door sommige oudere campusapparatuur (wasserij, vending, bibliotheek-uitleen). Vaak naast RFID op overgangskaarten.
Personalisatie
Productiestap waarin elke kaart wordt bedrukt en gecodeerd met kaarthoudergegevens: naam, foto, ID-nummer, magneetstripdata en geheime sleutels van de chip.
Op twee manieren: bij de fabrikant (bulk gepre-personaliseerde kaarten naar de campus) of ter plaatse (campus geeft blanco kaarten in-huis uit). CampusRFID ondersteunt beide modi.
UIDUnique Identifier
Door de fabriek ingestelde serienummer op elke RFID-chip. Wordt vóór elke authenticatie in het klaar teruggestuurd. Wordt gebruikt om gediversifieerde sleutels af te leiden.
UID's mogen niet als credential worden gebruikt — ze zijn triviaal te klonen. Ze dienen als kaart-identificerend adres, niet als geheim.

Platforms & operaties

Campuskaartplatformen
Softwareplatformen die campuscredentials uitgeven en beheren: Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Elk verbindt identiteit met toegang, betaling en horeca.
Zie onze gids voor campuskaartsystemen voor een platform-per-platform vergelijking.
CMSCard Management System
Software die het kaartuitgevende kantoor gebruikt om kaarthouders te registreren, sleutels te encoderen, kaarten af te drukken en opnieuw uit te geven. Vaak onderdeel van een campuskaartplatform.
SSOSingle Sign-On
Identiteitsprotocol waarmee studenten met één set inloggegevens kunnen aanmelden bij de campuskaart-app, het LMS, wifi, bibliotheeksystemen en betaal-apps. Veelgebruikte protocollen: SAML, OIDC.
MOQMinimum Order Quantity
Kleinste hoeveelheid die een fabrikant in één run produceert. CampusRFID's standaard MOQ is 500 kaarten.

De juiste chip kiezen voor uw campus

Voor nieuwe inzet en vervangingscycli in 2026 is de praktische shortlist:

  • MIFARE DESFire EV2 / EV3 — beste fit voor Europese universiteiten, sterke AES-128-beveiliging, multi-applicatie-ondersteuning.
  • HID iCLASS Seos — beste fit voor Noord-Amerikaanse campussen die al op HID draaien, native Apple Wallet/Google Wallet-ondersteuning.
  • Dual credential — wanneer u een gemengd parc van oude en moderne lezers heeft en één kaart moet werken op beide.
Hoogbeveiligde toegangskaarten →Dual-credential-kaarten →Gids campuskaartsystemen →
Woordenlijst RFID & campuskaart — normen, chips, frequenties | CampusRFID