Home/Słownik pojęć: RFID i karty kampusowe

Słownik pojęć: RFID i karty kampusowe

Przystępne zestawienie terminów, które pojawiają się podczas planowania programu kart kampusowych — standardy chipów, pasma częstotliwości, szyfrowanie, portfele mobilne oraz platformy dostępne obecnie na rynku.

Standardy i protokoły

ISO 7810— ID-1, ID-2, ID-3: Międzynarodowy standard określający fizyczne wymiary kart identyfikacyjnych. Format ID-1 (rozmiar karty kredytowej, 85,6 × 54 mm) jest stosowany dla kart studenckich RFID oraz kart kontroli dostępu.
ISO 7816: Standard dla kart z widocznym złotym chipem stykowym. Określa układ wyprowadzeń, sygnały elektryczne i zestaw poleceń dla stykowych kart inteligentnych.; Karty z podwójnym poświadczeniem wykorzystują standard ISO 7816 dla interfejsu stykowego oraz ISO 14443A dla interfejsu zbliżeniowego. Bankowe karty chipowe EMV są zgodne ze standardem ISO 7816.
ISO 14443A: Międzynarodowy standard dla zbliżeniowych kart inteligentnych działających na częstotliwości 13,56 MHz. Dominujący standard dla nowoczesnych kart kampusowych, bankowych i kart kontroli dostępu.; Typ A określa modulację, mechanizm antykolizyjny i protokół transmisji. MIFARE, DESFire, NTAG oraz większość współczesnych zbliżeniowych kart kampusowych jest zgodna ze standardem ISO 14443A. Zasięg odczytu wynosi zazwyczaj 0–10 cm.
ISO 15693— Karty typu vicinity: Standard zbliżeniowych kart inteligentnych do odczytu z większej odległości na częstotliwości 13,56 MHz, z zasięgiem odczytu do 1–1,5 m.; Stosowany do znakowania książek w bibliotekach, śledzenia zasobów oraz w niektórych systemach kontroli dostępu, gdzie wymagany jest większy zasięg odczytu. Mniej bezpieczny niż ISO 14443A w przypadku wykorzystania jako poświadczenie.
ISO 9001: Międzynarodowy standard zarządzania jakością. Certyfikat ISO 9001 oznacza, że producent przestrzega udokumentowanego i audytowanego procesu jakości. CampusRFID posiada certyfikat ISO 9001.
FIPS 140-2: Amerykański standard federalny dla modułów kryptograficznych. Wymagany w laboratoriach badawczych finansowanych ze środków federalnych oraz w wielu obiektach na kampusie powiązanych z administracją rządową.; Gdy środowisko kampusu wymaga kryptografii z walidacją FIPS 140-2, zakresem muszą być objęte zarówno rodzina chipów (DESFire EV2/EV3, Seos), jak i proces zarządzania kluczami u wydawcy.
NFC— Near Field Communication: Protokół komunikacji bezprzewodowej krótkiego zasięgu (≤4 cm), który rozszerza standard ISO 14443 o interakcje peer-to-peer między telefonem a czytnikiem oraz telefonem a tagiem.; NFC to technologia, dzięki której działają poświadczenia kampusowe w Apple Wallet i Google Wallet. Telefon emuluje zbliżeniową kartę inteligentną w trybie emulacji karty.

Rodziny chipów

Karta inteligentna: Każda karta z wbudowanym mikroprocesorem lub układem pamięci. Obejmuje karty stykowe (ISO 7816), zbliżeniowe (ISO 14443) oraz karty z podwójnym interfejsem. Różni się od kart wyposażonych wyłącznie w pasek magnetyczny.
MIFARE Classic: Starsza rodzina chipów zbliżeniowych NXP wykorzystująca algorytm Crypto-1 (obecnie uznawany za złamany). Nadal szeroko stosowana w starszych systemach kampusowych, ale niezalecana do nowych zastosowań o wysokim poziomie bezpieczeństwa.; Luki kryptograficzne są znane od 2008 roku. Karty mogą zostać sklonowane przy użyciu powszechnie dostępnego sprzętu. Migracja do DESFire EV2/EV3 to standardowa ścieżka aktualizacji.
MIFARE DESFire EV1 / EV2 / EV3: Rodzina chipów zbliżeniowych NXP o wysokim poziomie bezpieczeństwa, wykorzystująca szyfrowanie AES-128 oraz wzajemne uwierzytelnianie. Wersja EV3 (obecna generacja) dodaje funkcje Secure Unique NFC oraz Transaction MAC.; DESFire EV2 i EV3 to de facto standard dla nowoczesnej kontroli dostępu na kampusie o wysokim poziomie bezpieczeństwa. Każda karta obsługuje wiele aplikacji (dostęp, płatności, biblioteka) z oddzielnymi kluczami. Odporność na klonowanie opiera się na kryptografii, a nie tylko na ukrywaniu danych.
HID iCLASS SE / Seos: Rodzina poświadczeń 13,56 MHz o wysokim poziomie bezpieczeństwa firmy HID Global. iCLASS SE to starsza generacja; Seos to obecna generacja z silniejszym zarządzaniem kluczami i obsługą poświadczeń mobilnych.; Powszechnie stosowana na uniwersytetach w Ameryce Północnej i Wielkiej Brytanii. Często wdrażana równolegle z Apple Wallet / Google Wallet za pośrednictwem HID Mobile Access. Karty Seos wykorzystują model poświadczeń definiowanych programowo, który oddziela poświadczenie od nośnika karty.
LEGIC: Rodzina chipów zbliżeniowych firmy Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Silnie obecna na rynkach uniwersyteckich w Szwajcarii i krajach niemieckojęzycznych.; LEGIC Advant obsługuje szyfrowanie AES-128 oraz poświadczenia wieloaplikacyjne, podobnie jak DESFire. LEGIC Prime to starsza generacja, która powinna zostać zmigrowana w przypadku nowych wdrożeń o wysokim poziomie bezpieczeństwa.
NTAG: Rodzina tagów NXP zgodnych ze standardem NFC Forum (NTAG213/215/216/424 DNA). Tańsza niż DESFire, ale odpowiednia do celów marketingowych, rejestracji na wydarzenia i zastosowań o niższym poziomie bezpieczeństwa.; NTAG 424 DNA dodaje uwierzytelnianie wiadomości oparte na szyfrowaniu AES-128, co czyni go odpowiednim dla niektórych scenariuszy kontroli dostępu. Szeroko stosowany w poświadczeniach na wydarzenia kampusowe oraz do znakowania RFID w bibliotekach.
EM4100 / EM4200: Rodziny chipów niskiej częstotliwości (125 kHz) tylko do odczytu. Wysyłają stały numer seryjny po zasileniu. Brak szyfrowania, łatwe do sklonowania.; Powszechne w starszych systemach kontroli dostępu i kartach parkingowych. Nowe wdrożenia powinny zamiast tego wykorzystywać częstotliwość 13,56 MHz z szyfrowaniem AES-128. Często łączone z chipami HF w kartach dwuczęstotliwościowych w celu ułatwienia migracji.

Częstotliwości i protokół RFID

LF 125 kHz: Pasmo RFID niskiej częstotliwości. Krótki zasięg (5–15 cm), brak obsługi szyfrowania, bardzo wysoka tolerancja na środowiska metalowe i wodne.; Dominujące w starszych systemach kontroli dostępu (lata 90. i 2000.). Nowe wdrożenia na kampusach odchodzą od technologii LF na rzecz HF 13,56 MHz z szyfrowaniem AES-128, ponieważ poświadczenia LF są banalnie łatwe do sklonowania.
HF 13,56 MHz: Pasmo RFID wysokiej częstotliwości wykorzystywane przez standardy ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS oraz Seos. Dominująca częstotliwość dla nowoczesnych poświadczeń kampusowych.; Zasięg odczytu wynosi 0–10 cm w zależności od konstrukcji anteny. Obsługuje wzajemne uwierzytelnianie z szyfrowaniem AES-128 w połączeniu z odpowiednim chipem (DESFire EV2+, Seos).
UHF 860–960 MHz: Pasmo RFID ultra-wysokiej częstotliwości. Duży zasięg odczytu (1–10 m) wykorzystywany do śledzenia zasobów, na parkingach oraz do inwentaryzacji w bibliotekach — zazwyczaj niestosowany w przypadku poświadczeń osobistych.; Protokół ISO 18000-6C / EPC Gen 2. Impinj Monza to dominująca rodzina chipów. Przewaga w postaci zasięgu wiąże się z kompromisami w zakresie prywatności i bezpieczeństwa, które sprawiają, że technologia UHF jest nieodpowiednia dla kart studenckich RFID.
Zasięg odczytu: Odległość, z jakiej czytnik kart może niezawodnie zasilić i odczytać tag. Zależy od częstotliwości, konstrukcji anteny, mocy nadawania oraz środowiska.; Typowy zasięg LF: 5–15 cm. Zasięg HF: 0–10 cm. Zasięg UHF: 1–10 m. Czytniki kart do ręcznego zbliżania są celowo dostrojone do krótkiego zasięgu, aby uniknąć odczytania identyfikatora niewłaściwego posiadacza karty.
Antykolizja: Warstwa protokołu RFID, która pozwala czytnikowi kart na jednoczesne wykrywanie i adresowanie wielu tagów w polu bez zakłócania ich sygnałów.; Standard ISO 14443A wykorzystuje algorytm binarnego przeszukiwania drzewa (binary tree-walking). Jest to ważne w przypadku inwentaryzacji RFID w bibliotekach (jednoczesny odczyt wielu książek) oraz w sytuacjach niezamierzonego użycia wielu kart (dwie karty w tym samym portfelu).

Szyfrowanie i bezpieczeństwo

AES-128: Zaawansowany standard szyfrowania (Advanced Encryption Standard) z kluczem 128-bitowym. Szyfrowanie stosowane w poświadczeniach MIFARE DESFire EV2/EV3 oraz HID Seos.; W połączeniu z mechanizmem, jakim jest wzajemne uwierzytelnianie (wyzwanie-odpowiedź), szyfrowanie AES-128 sprawia, że każde zbliżenie karty jest transakcją podpisaną kryptograficznie. Sklonowanie pojedynczej karty nie zagraża systemowi, jeśli zastosowano klucze pochodne.
3DES— Triple DES: Starszy algorytm szyfrowania symetrycznego wykorzystujący trzykrotnie standard DES. Obsługiwany przez niektóre starsze rodziny chipów, ale oficjalnie wycofany przez NIST w 2023 roku.; DESFire EV1 obsługiwał 3DES; wersje EV2 i EV3 dodały szyfrowanie AES-128 i zastąpiły go. Nowe wdrożenia powinny w całości wykorzystywać szyfrowanie AES-128.
Crypto-1: Zastrzeżony szyfr strumieniowy stosowany w MIFARE Classic. Poddany inżynierii wstecznej w 2008 roku i obecnie uznawany za całkowicie złamany.; Słabości Crypto-1 sprawiają, że karty MIFARE Classic można sklonować za pomocą powszechnie dostępnego sprzętu NFC (np. Proxmark). Każdy kampus nadal korzystający z wersji Classic powinien zaplanować migrację do DESFire EV2/EV3 lub Seos.
Klucze pochodne: Technika zarządzania kluczami, w której każda karta generuje unikalny klucz uwierzytelniający na podstawie klucza głównego (master key) oraz UID (unikalny identyfikator) karty. Sklonowanie jednej karty nie ujawnia klucza głównego.; Standard branżowy dla wdrożeń produkcyjnych. Klucze główne znajdują się w sprzętowym module bezpieczeństwa (HSM) u wydawcy, a nie na poszczególnych kartach. CampusRFID może zakodować klucze pochodne w naszym zakładzie.
Wzajemne uwierzytelnianie: Protokół kryptograficzny, w którym zarówno karta, jak i czytnik kart weryfikują się nawzajem przed wymianą danych. Zapobiega to przechwytywaniu poświadczeń przez nieuczciwe czytniki oraz podszywaniu się nieuczciwych kart pod te legalne.
Atak powtórzeniowy: Przechwycenie legalnej wymiany danych między kartą a czytnikiem kart i jej późniejsze odtworzenie w celu podszycia się pod kartę. Zapobiega temu wzajemne uwierzytelnianie z losowymi wyzwaniami dla każdej sesji.; Karty ze statycznym UID (MIFARE Classic, EM4100) są podatne na atak powtórzeniowy. Wzajemne uwierzytelnianie z szyfrowaniem AES-128 (DESFire EV2+, Seos) sprawia, że każda wymiana danych jest unikalna i niemożliwa do odtworzenia.

Technologia poświadczeń mobilnych

Secure Element— SE: Odporny na manipulację, dedykowany układ sprzętowy wewnątrz telefonów i kart, który przechowuje klucze kryptograficzne i uruchamia wrażliwy kod. Urządzenia Apple oraz większość flagowych modeli z systemem Android są wyposażone w Secure Element.; Mobilne poświadczenia, takie jak karta studencka RFID, znajdują się wewnątrz Secure Element, a nie w standardowej pamięci aplikacji. Zbliżenia w trybie Express Mode działają nawet wtedy, gdy telefon jest zablokowany, ponieważ SE może przeprowadzić uwierzytelnienie bez udziału systemu operacyjnego.
HCE— Host Card Emulation: Funkcja systemu Android, która pozwala aplikacji na programową emulację zbliżeniowej karty inteligentnej (bez sprzętowego układu Secure Element).; Niektóre platformy obsługujące karty kampusowe wykorzystują HCE dla telefonów z systemem Android ze średniej półki, które nie posiadają użytecznego SE. Rozwiązanie to jest mniej bezpieczne niż poświadczenia oparte na SE, ale charakteryzuje się szerszą kompatybilnością.
BLE— Bluetooth Low Energy: Protokół radiowy krótkiego zasięgu wykorzystywany przez HID Mobile Access i inne systemy poświadczeń mobilnych jako alternatywa lub uzupełnienie dla NFC.; BLE ma większy zasięg (1–3 m) niż NFC, co jest przydatne w przypadku interakcji bezdotykowych lub typu 'twist-and-go'. Wymaga, aby czytnik kart obsługiwał BLE — wiele nowszych czytników HID posiada tę funkcję, w przeciwieństwie do większości bankowych terminali POS.
SIO— Secure Identity Object: Model danych firmy HID dla poświadczeń w systemie Seos. Oddziela poświadczenie od nośnika karty — to samo SIO może znajdować się na karcie Seos, tokenie USB Seos lub w telefonie komórkowym.
Express Mode: Funkcja Apple Wallet, która pozwala na zbliżenie poświadczenia bez odblokowywania telefonu lub uwierzytelniania. Działa do 5 godzin po rozładowaniu baterii telefonu (Power Reserve).; Tryb Express Mode jest niezbędny w przypadku kart studenckich RFID — studenci nie powinni musieć odblokowywać telefonu, aby wejść do budynku lub zapłacić za obiad. Każde poświadczenie musi być specjalnie włączone dla trybu Express Mode.
Apple Wallet (karta studencka RFID): Platforma portfela mobilnego Apple z natywną obsługą uniwersyteckich kart studenckich RFID. Udostępniana za pośrednictwem aplikacji kampusowych i certyfikowanych platform kartowych.; Wymaga, aby kampus korzystał z obsługiwanej platformy (Transact, CBORD, Atrium lub HID Mobile Access) i przeszedł proces certyfikacji Apple. Studenci dodają poświadczenie wewnątrz aplikacji kampusowej, a nie w aplikacji Wallet.
Google Wallet (karta studencka RFID): Platforma portfela mobilnego Google z obsługą kart studenckich RFID na telefonach z systemem Android wyposażonych w NFC. Proces udostępniania jest analogiczny do Apple Wallet.; Dostępna na systemie Android 9+ z platformą kart kampusowych zintegrowaną z Google Wallet. Tryb Express Mode pozwala na zbliżenia bez odblokowywania telefonu.

Produkcja kart i formaty

CR80— ID-1, rozmiar karty kredytowej: Standardowy format karty kredytowej: 85,6 × 54 mm × 0,76 mm. Domyślny format dla kart studenckich RFID oraz kart kontroli dostępu.
Karta z podwójnym poświadczeniem— Karta z podwójnym interfejsem: Karta posiadająca zarówno chip stykowy (widoczny złoty styk), jak i zbliżeniową antenę RFID w jednej obudowie. Pozwala jednej karcie współpracować ze starszymi czytnikami stykowymi oraz nowoczesnymi czytnikami zbliżeniowymi.; Zapraszamy do zapoznania się z naszą dedykowaną stroną produktu: karty z podwójnym poświadczeniem.
Pasek magnetyczny— Pasek magnetyczny (HiCo / LoCo): Pasek materiału magnetycznego na odwrocie karty. HiCo (wysoka koercja) przechowuje dane dłużej; LoCo (niska koercja) jest tańszy i stosowany w kartach o krótkiej żywotności.; Coraz częściej zastępowany przez poświadczenia oparte na chipach, ale nadal wymagany przez niektóre starsze urządzenia na kampusie (starsze pralnie, automaty sprzedające, wypożyczalnie w bibliotekach). Często umieszczany obok RFID na kartach przejściowych.
Personalizacja: Etap produkcji, na którym każda karta jest drukowana i kodowana danymi specyficznymi dla posiadacza: imieniem i nazwiskiem, zdjęciem, numerem identyfikacyjnym, danymi na pasku magnetycznym oraz tajnymi kluczami chipa.; Wykonywana na dwa sposoby: u producenta (masowo wstępnie spersonalizowane karty wysyłane na kampus) lub na miejscu (kampus wydaje czyste karty we własnym zakresie). CampusRFID obsługuje oba te tryby.
UID (unikalny identyfikator)— Unikalny identyfikator: Fabrycznie ustawiony numer seryjny na każdym chipie RFID. Zwracany przez chip jawnym tekstem przed jakimkolwiek uwierzytelnieniem. Używany do generowania kluczy pochodnych.; Same numery UID nie powinny być używane jako poświadczenie — są one banalnie łatwe do sklonowania. Służą jako adres identyfikujący kartę, a nie jako element tajny.

Platformy i operacje

Platformy kart kampusowych: Platformy oprogramowania, które wydają i zarządzają poświadczeniami kampusowymi: Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Każda z nich łączy tożsamość z systemami kontroli dostępu, płatności i stołówek studenckich.; Zapraszamy do zapoznania się z naszym przewodnikiem po systemach kart kampusowych, gdzie znajdą Państwo porównanie poszczególnych platform.
CMS— System zarządzania kartami (Card Management System): Oprogramowanie używane przez biuro wydające karty do rejestracji posiadaczy kart, kodowania kluczy, drukowania i ponownego wydawania kart. Często stanowi część platformy kart kampusowych.
SSO— Single Sign-On (Jednokrotne logowanie): Protokół tożsamości, który pozwala studentom logować się do aplikacji karty kampusowej, systemu LMS, sieci Wi-Fi, systemów bibliotecznych i aplikacji płatniczych za pomocą jednego zestawu poświadczeń. Popularne protokoły: SAML, OIDC.
Minimalna wielkość zamówienia (MOQ)— Minimum Order Quantity: Najmniejsza ilość, jaką producent wyprodukuje w jednej serii. Standardowa minimalna wielkość zamówienia (MOQ) w CampusRFID wynosi 500 kart.

Wybór odpowiedniego chipa dla Państwa kampusu

W przypadku nowych wdrożeń i cykli wymiany w 2026 roku, praktyczna krótka lista przedstawia się następująco:

MIFARE DESFire EV2 / EV3 — najlepszy wybór dla europejskich uniwersytetów, silne szyfrowanie AES-128, obsługa wielu aplikacji.
HID iCLASS Seos — najlepszy wybór dla kampusów w Ameryce Północnej korzystających już z infrastruktury HID, natywna obsługa Apple Wallet / Google Wallet.
Karta z podwójnym poświadczeniem — gdy posiadają Państwo mieszaną flotę starszych i nowoczesnych czytników kart i potrzebują jednej karty, która będzie współpracować z obydwoma systemami.

Karty kontroli dostępu o wysokim poziomie bezpieczeństwa →Karty z podwójnym poświadczeniem →Przewodnik po systemach kart kampusowych →