NFC и Bluetooth в СКУД – новые возможности

Идея использования мобильных устройств (смартфонов, планшетов) в качестве идентификатора для систем физического и логического доступа далеко не нова – так же, как не нова и идея применения технологии NFC в качестве связующего звена между считывателями и мобильными устройствами

Алексей Умнов
Технический консультант компании HID Global

В прошлом было предпринято множество попыток реализации мобильного доступа с помощью различных технологий. Как показал полученный опыт, важную роль играет наличие инфраструктуры, которая не зависит от лежащих в ее основе технологий связи (таких как NFC или Bluetooth Smart) и способна адаптироваться к любым нововведениям в быстро изменяющейся отрасли мобильных устройств. Первые считыватели, поддерживающие технологию NFC, стали доступны более 3 лет назад. Однако одной только поддержки NFC в мобильном устройстве и считывателе недостаточно для построения безопасной и надежной системы мобильного доступа.

HCE и Bluetooth Smart

До недавнего времени для эмуляции бесконтактной карты на мобильном устройстве обязательно требовался так называемый элемент безопасности (Secure Element – SE), например SIM-карта. Для поддержки централизованной модели SE была разработана экосистема, основанная на использовании доверенных менеджеров услуг (Trusted Service Manager – TSM), что привело к созданию сложных технических процессов интеграции и бизнес-моделей, затруднявших внедрение бесконтактных приложений на основе NFC.

В 2013 г. компания Google в рамках своей операционной системы Android 4.4 представила новую технологию для NFC под названием Host-Based Card Emulation (HCE). Данная технология позволяет эмулировать бесконтактную карту в мобильном приложении без применения элемента безопасности SE. Благодаря HCE стало возможным экономичное и масштабируемое внедрение сервисов на основе NFC при условии использования стандартизированной технологии карт доступа.

После появления технологии HCE было представлено коммерческое решение для мобильного контроля доступа на основе HCE и Seos. Технология HCE повышает доступность и универсальность NFC, что способствует более быстрой разработке новых сервисов и улучшает положительное восприятие в среде пользователей.

Существенным минусом, ограничивающим применение одной только технологии NFC, является отсутствие ее поддержки у большинства аппаратов на базе операционной системы Apple iOS. Эти мобильные устройства пользуются огромной популярностью в корпоративном сегменте и широко применяются в организациях по всему миру. Количество гаджетов с операционной системой Android 4.4 быстро растет, однако отсутствие поддержки NFC в iPhone 4 и iPhone 5, а также тот факт, что в iPhone 6 технология NFC поддерживается только для Apple Pay, приводят к тому, что продвижение решений на основе HCE все еще находится под вопросом.

Технология Bluetooth Smart (другое название – BLE), представленная в 2010 г. в семействе стандартов Bluetooth, сразу же приобрела большую популярность за счет пониженного энергопотребления и отсутствия необходимости в процедуре сопряжения устройств (как в случае с классическим Bluetooth).

В мобильных устройствах на базе платформы Google поддержка Bluetooth Smart реализована, начиная с версии Android 4.3. Поэтому сегодня Bluetooth Smart является единственной бесконтактной технологией, которая поддерживается в обеих основных мобильных операционных системах – Android и iOS. Технология BLE имеет большой потенциал для применения в решениях мобильного доступа еще и за счет большей (по сравнению с NFC) дальности действия, что дает возможность:

  • устанавливать считыватели с внутренней стороны двери или размещать незаметно для пользователей (решаются проблемы, связанные с защитой от вандализма или с повышенными требованиями к эстетическому виду помещений);
  • комфортно осуществлять доступ при проезде на стоянку/в гараж или в других случаях, требующих большого расстояния идентификации.

Технология жестов

Разумеется, увеличенное расстояние чтения требуется далеко не всегда. Зачастую это наоборот может вызвать определенные неудобства. Если, например, имеется проходная в здание с несколькими турникетами, расположенными параллельно, то именно небольшая (до 10 см) дальность считывания гарантирует владельцу смартфона идентификацию на считывателе, соответствующем турникету, через который осуществляется проход.

Для удобства применения мобильного устройства как на малом, так и на увеличенном расстояниях была разработана специальная технология жестов, получившая название Twist & Go. В сочетании с Bluetooth Smart метод Twist & Go позволяет удобно открывать двери на большом расстоянии путем простого поворота смартфона на 90 град. при приближении к считывателю, совместимому с мобильными средствами доступа. На малом же расстоянии между считывателем и мобильным устройством для осуществления процедуры доступа в помещение требуется сделать то же самое, что и при использовании обычной бесконтактной карты, – просто поднести смартфон к считывателю, никак его специальным образом не поворачивая. Таким образом, технология Twist & Go дает возможность избежать случайного считывания мобильного идентификатора при нахождении смартфона в зоне действия считывателя. Новая методика открывания дверей и ворот с помощью определенного жеста повышает удобство для пользователей и становится основой для множества дополнительных приложений в будущем.

Управление системой

Управление пропусками и идентификационными картами может быть весьма трудоемкой процедурой, особенно когда стоит задача в короткий промежуток времени выдать средства доступа для большого количества сотрудников. Процедуры заказа, печати и выдачи новых карт, а также регистрации утерянных карт связаны с большими временными затратами для администраторов службы безопасности и сотрудников бюро пропусков.


Преимущества мобильных средств доступа не ограничиваются одним удобством при открывании дверей. Подключенные к сети мобильные устройства дают новые возможности управления мобильными идентификаторами в режиме реального времени. Облачный портал для централизованного управления идентификационными записями сущетвенно упрощает работу персонала, который сегодня отвечает за управление физическими пропусками. Система управления мобильными идентификаторами предоставляет удобные средства регистрации новых пользователей, а функции управления на протяжении всего их жизненного цикла повышают эффективность работы администраторов службы безопасности.


Ключевым аспектом при внедрении системы мобильного доступа является способ предоставления мобильных идентификаторов сотрудникам. После простого ввода имени пользователя и адреса электронной почты сотруднику автоматически отправляется приглашение с инструкциями по загрузке мобильного приложения на смартфон. После установки и настройки приложения на устройство передается уникальный мобильный идентификатор, а по завершении этой процедуры администратор службы безопасности получает уведомление. В крупных организациях следует предусмотреть возможность массовой загрузки данных пользователей из файла. Система выполняет проверку данных, и для каждого пользователя инициируется процедура, состоящая из отправки приглашения по электронной почте, выпуска идентификатора и уведомления администратора после установки пользователем мобильного приложения и получения ключа.


Многие организации имеют офисы по всему миру, где используются различные системы контроля доступа, поэтому для сотрудников других офисов зачастую требуются гостевые пропуска. Если в организации внедрена система мобильного доступа с поддержкой нескольких мобильных идентификаторов на одном устройстве, то перед командировкой (или по прибытии на объект) сотрудник может получить дополнительный идентификатор.

Аспекты безопасности

При разработке системы мобильного доступа наивысший приоритет был отдан обеспечению безопасности решения. Существует множество источников угроз безопасности с применением разнообразных инструментов и стратегий. Чтобы обеспечить защиту каждого звена в системе доступа и гарантировать отсутствие слабых точек в соединениях между считывателями, устройствами и внутренней инфраструктурой, была разработана и внедрена многоуровневая модель безопасности. В маловероятном случае злоумышленнику удастся преодолеть один слой защиты, однако охраняемая дверь по-прежнему останется заблокированной.

Современные мобильные операционные системы, такие как Android и iOS, рассчитаны на поддержку высокого уровня безопасности. Приложение мобильного доступа работает в изолированной программной среде (Sandbox), исключающей возможность доступа или изменения данных другими приложениями. В дополнение к функциям безопасности в операционной системе используются цифровая подпись и шифрование мобильных идентификаторов, чтобы исключить риск манипуляций.

По аналогии с физическими картами окончательное решение о предоставлении доступа в здание принимает локальная СКУД. В случае потери или кражи мобильного средства в системе контроля доступа можно заблокировать права доступа для этого устройства, чтобы предотвратить нежелательный проход. Кстати, сотрудник, скорее всего, гораздо раньше обнаружит потерю своего смартфона или планшета, чем пропуска или карты.

Еще одним преимуществом мобильных устройств по сравнению с физическими картами доступа является постоянное подключение к сети. Если сотрудник сообщает о потере своего устройства, администратор службы безопасности может немедленно отозвать идентификатор до того, как устройство попадет в чужие руки.

Чтобы дополнительно сократить риски в случае потери устройства, мобильные идентификаторы можно настроить на взаимодействие со считывателями только после разблокировки гаджета. Это означает, что неавторизованный пользователь должен ввести PIN-код либо пройти процедуру распознавания лица или отпечатков пальцев, чтобы воспользоваться возможностью доступа в здание.

Конвергенционные возможности

Преимущества контроля доступа с помощью мобильных устройств заставляют многие компании и организации серьезно задуматься над внедрением надежных мобильных технологий физического и логического контроля доступа в своих зданиях и ИТ-инфраструктуре. В ближайшем будущем, кроме получения цифровых идентификаторов и их "предъявления" на считывателях на дверях, смартфоны также будут способны генерировать одноразовые пароли для доступа к сетям или облачным и Web-приложениям. Другими словами, мобильный телефон, используемый в качестве пропуска в здание, в сочетании с личным планшетом или ноутбуком будет служить средством аутентификации при доступе к VPN, в беспроводных и внутрикорпоративных сетях, облачных и Web-приложениях, клиентах SSO и прочих электронных ресурсах. В некоторых случаях телефоны заменят собой карты доступа, однако во многих других ситуациях будут дополнять их, повышая безопасность и удобство для пользователей. Главная цель состоит в том, чтобы не просто изменить форм-фактор средств доступа для решения определенных задач, а в том, чтобы рационально использовать мобильные платформы и связанные с ними технологии в целях создания единых решений для обеспечения защиты доступа к дверям, данным и облачным приложениям.

Потенциал ускоренного внедрения решений мобильного доступа определяет одно из основных направлений развития отрасли. Такие перспективные технологии, как NFC и Bluetooth Smart, являются важными составляющими процесса развития, поскольку смартфоны становятся неотъемлемой частью экосистемы для выпуска, управления и использования средств надежной идентификации.

Опубликовано: Журнал "Системы безопасности" #2, 2015