Beveiligingssystemen bestaan vaak uit sensoren, zoals kaartlezers en bewegingsdetectoren, die communiceren met een controller of soms direct met een server. Om die verbindingen tot stand te brengen, worden allerlei technieken gebruikt. Hieronder volgt een overzicht van een aantal bekende technieken met uitleg over werking en eventuele voordelen en nadelen.
“Good old” Wiegand
Wiegand is een communicatieprotocol dat traditioneel wordt gebruikt in de toegangscontrolesector, voornamelijk voor de verbinding tussen kaartlezers en toegangscontrolepanelen. Het protocol is vernoemd naar John R. Wiegand, die het effect ontdekte dat aan de basis ligt van de technologie. Wiegand-protocollen zijn bekend om hun eenvoud, betrouwbaarheid en het vermogen om over relatief lange afstanden te werken zonder significante signaaldegradatie.
In een Wiegand-gebaseerd systeem worden unieke gegevens van een toegangspas of token door een lezer via een Wiegand-interface naar een controlepaneel verzonden. De interface gebruikt een reeks van draden om binaire data te versturen, typisch met één draad per bit, plus extra draden voor aarding en voeding.
Bekabeling en Kabellengtes
De bekabeling voor een Wiegand-interface bestaat meestal uit een afgeschermde kabel die drie belangrijke lijnen bevat: Data0, Data1, en Ground. De Data0 en Data1 lijnen worden gebruikt voor het versturen van de binaire gegevens, waarbij de staat van deze lijnen de binaire waarden 0 en 1 vertegenwoordigt. Wiegand-systemen kunnen betrouwbaar communiceren over afstanden tot 150 meter, wat ze geschikt maakt voor een breed scala aan toegangscontrolescenario’s, van kleine kantoren tot grote campusomgevingen.
Beveiligingsniveau
Hoewel het Wiegand-protocol een hoge mate van betrouwbaarheid en eenvoud biedt, wordt het qua beveiliging als minder robuust beschouwd dan nieuwere technologieën. Dit komt doordat de informatie die over de Wiegand-interface wordt verzonden niet versleuteld is, wat het vatbaar maakt voor onderschepping en duplicatie door onbevoegden. In moderne toepassingen wordt het Wiegand-protocol vaak vervangen of aangevuld met meer beveiligde communicatiemethoden, zoals OSDP (Open Supervised Device Protocol), dat versleuteling en bidirectionele communicatie biedt.
Ondanks deze beperkingen blijft Wiegand een populaire keuze voor veel toegangscontrolesystemen, vooral in situaties waar de bestaande infrastructuur het gebruik van geavanceerdere protocollen niet toelaat of waar de eenvoud en bewezen betrouwbaarheid van het systeem de voorkeur hebben.
Seriële Communicatie in Toegangscontrole: RS485, RS422, RS232
Seriële communicatieprotocollen zoals RS485, RS422, en RS232 spelen een cruciale rol in de infrastructuur van toegangscontrolesystemen, door het mogelijk maken van betrouwbare dataoverdracht tussen apparaten zoals lezers, controllers, en beheersystemen. Deze protocollen hebben elk hun eigen kenmerken en toepassingen, variërend van basis connectiviteit in kleine systemen tot complexe netwerken in uitgebreide beveiligingsomgevingen.
RS485
RS485 is een twee-draads, differentiële seriële interface die bekend staat om zijn vermogen om betrouwbare communicatie te bieden over lange afstanden en in elektrisch lawaaierige omgevingen. Het ondersteunt multipoint communicatie, waardoor meerdere apparaten (tot 32 of meer met repeaters) op één enkele buslijn kunnen worden aangesloten.
RS485 gebruikt twisted pair-kabels, wat helpt bij het verminderen van elektrische storing en het ondersteunen van gegevensoverdracht over afstanden tot 1200 meter.
Hoewel RS485 op zichzelf geen gegevensencryptie biedt, kan het gecombineerd worden met encryptieprotocollen op hogere niveaus om beveiligde communicatie te waarborgen.
RS422
RS422, vergelijkbaar met RS485, is een differentiële seriële interface die hoge snelheden en lange afstanden ondersteunt. Het verschil ligt in de point-to-point communicatiestructuur, waardoor het ideaal is voor één-zender-multiple-ontvangersconfiguraties.
Net als RS485 maakt RS422 gebruik van twisted pair-kabels en kan het communiceren over afstanden tot 1200 meter.
RS422 biedt op zichzelf geen versleuteling, maar kan veiliger worden gemaakt door integratie met encryptietechnologieën in de applicatielaag.
RS232
RS232 is een van de oudste seriële communicatieprotocollen, ontworpen voor point-to-point communicatie tussen twee apparaten. Het wordt gekenmerkt door zijn eenvoudige implementatie en werd traditioneel gebruikt voor directe verbindingen, zoals tussen computers en modems of printers.
RS232 maakt typisch gebruik van DB9 of DB25 connectors met een maximale aanbevolen communicatieafstand van ongeveer 15 tot 30 meter, veel korter dan RS485 of RS422.
Net als de andere seriële protocollen, biedt RS232 geen ingebouwde encryptie en is het vatbaar voor onderschepping. Het gebruik ervan in beveiligingsgevoelige toepassingen vereist aanvullende beveiligingsmaatregelen.
Terwijl RS485 en RS422 de voorkeur genieten voor complexe netwerken en lange afstandscommunicatie binnen toegangscontrolesystemen, biedt RS232 een eenvoudige oplossing voor kortere verbindingen en directe communicatie tussen apparaten. Het selecteren van het juiste protocol hangt af van de specifieke vereisten van het systeem, inclusief de noodzakelijke communicatieafstand, het aantal apparaten in het netwerk, en de vereiste beveiligingsniveaus. In moderne toepassingen wordt vaak aanbevolen om deze traditionele protocollen te combineren met geavanceerde beveiligingsmaatregelen om de integriteit en vertrouwelijkheid van data te waarborgen. RS485 is momenteel het meest gebruikte protocol bij seriële verbindingen.
IP-verbindingen: TCP en HTTP Communicatie
In de hedendaagse toegangscontrolesystemen spelen IP-verbindingen een belangrijke rol door het bieden van flexibele, schaalbare en krachtige communicatieopties. Deze systemen maken vaak gebruik van het Transmission Control Protocol (TCP) en het Hypertext Transfer Protocol (HTTP) om gegevens tussen apparaten en systemen over te dragen. Deze protocollen werken bovenop het Internet Protocol (IP), dat de basis vormt voor dataoverdracht in netwerken.
TCP/IP-verbindingen
TCP is een betrouwbaar, verbindingsgeoriënteerd protocol dat een consistente dataoverdracht tussen twee punten op een netwerk garandeert. Het wordt veel gebruikt in toegangscontrolesystemen voor taken die een hoge betrouwbaarheid vereisen, zoals het overbrengen van toegangslogs of het bijwerken van firmware.
TCP/IP-communicatie maakt gebruik van standaard Ethernet-bekabeling (zoals Cat5e, Cat6), ondersteunend afstanden tot 100 meter direct, met de mogelijkheid om grotere afstanden en netwerksegmenten te overbruggen via netwerkapparatuur zoals routers en switches.
TCP/IP biedt op zichzelf geen encryptie, maar kan worden beveiligd met protocollen zoals TLS (Transport Layer Security) voor het versleutelen van data en het waarborgen van een veilige communicatie over het netwerk.
HTTP en HTTPS Communicatie
HTTP is een applicatielaagprotocol dat wordt gebruikt voor het overbrengen van hypertextgegevens tussen webbrowsers en servers. In toegangscontrolesystemen wordt HTTP vaak gebruikt voor het beheren van apparaten via webinterfaces en voor API-integraties. Voor beveiligde communicatie wordt HTTPS gebruikt, wat HTTP over TLS/SSL is.
HTTPS biedt een hoge mate van beveiliging door de communicatie tussen de client en de server te versleutelen, waardoor het geschikt is voor gevoelige toepassingen zoals het beheer van toegangscontrolesystemen.
HTTP(S) maakt eenvoudige integratie met andere systemen en internetgebaseerde diensten mogelijk, waardoor toegangscontrolesystemen kunnen profiteren van cloud-gebaseerde opslag, remote beheer en real-time updates.
IP-verbindingen bieden toegangscontrolesystemen een hoge mate van flexibiliteit, schaalbaarheid en integratiemogelijkheden. TCP/IP zorgt voor betrouwbare communicatie over lokale netwerken en het internet, terwijl HTTP en HTTPS essentieel zijn voor webgebaseerde beheertools en API-interacties. De keuze voor TCP, HTTP of HTTPS hangt af van de specifieke vereisten van het toegangscontrolesysteem, inclusief beveiligingsbehoeften, systeemarchitectuur en de noodzaak voor integratie met externe diensten. Het implementeren van veilige configuraties en het gebruik van versleutelingsprotocollen zoals TLS is cruciaal om de veiligheid en privacy van data binnen deze systemen te waarborgen.
Open Supervised Device Protocol (OSDP)
Het Open Supervised Device Protocol (OSDP) is een communicatieprotocol ontwikkeld door de Security Industry Association (SIA) om een geavanceerdere, veiligere vervanging te bieden voor het traditionele Wiegand-systeem in toegangscontrolesystemen. OSDP biedt een reeks functies die zijn ontworpen om de interoperabiliteit tussen verschillende fabrikanten te verbeteren, de beveiliging te verhogen, en de mogelijkheid voor tweewegcommunicatie tussen apparaten te bieden.
OSDP gebruikt seriële of IP-gebaseerde communicatie om informatie te versturen tussen een toegangscontrolepaneel en een lezer, inclusief maar niet beperkt tot biometrische data, PIN-codes, en kaartgegevens. In tegenstelling tot Wiegand, dat een unidirectioneel protocol is, ondersteunt OSDP bidirectionele communicatie, wat betekent dat het controlepaneel kan reageren op de lezer of deze kan configureren, firmware-updates kan uitvoeren, en de status kan controleren.
OSDP kan worden geïmplementeerd over bestaande RS-485 bekabeling, wat het een kosteneffectieve upgrade maakt voor systemen die al op deze infrastructuur zijn gebaseerd. RS-485 ondersteunt communicatie over langere afstanden dan Wiegand, tot 1200 meter, waardoor OSDP geschikt is voor grotere toegangscontrolesystemen.
Een van de belangrijkste voordelen van OSDP is de nadruk op beveiliging. Het protocol ondersteunt Secure Channel, een methode voor het versleutelen van communicatie tussen apparaten om bescherming te bieden tegen afluisteren en replay-aanvallen. Dit maakt gebruik van AES-128 versleuteling, wat een significant hoger beveiligingsniveau biedt dan oudere protocollen.
Voordelen van OSDP
Door de standaardisatie kunnen apparaten van verschillende fabrikanten naadloos samenwerken binnen een toegangscontrolesysteem. Dat is waarom fabrikanten de standaard hebben omarmd en toepassen op hun portfolio aan kaartlezers en biometrische apparaten.
De ondersteuning voor tweewegcommunicatie en lange kabellengtes maakt complexe configuraties en systeemuitbreidingen eenvoudiger.
Met Secure Channel biedt OSDP robuuste bescherming tegen een scala aan digitale dreigingen.
De mogelijkheid om firmware op afstand bij te werken en nieuwe functies toe te voegen, zorgt ervoor dat systemen langer actueel blijven zonder hardware te vervangen.
OSDP vertegenwoordigt een belangrijke stap voorwaarts in de evolutie van communicatieprotocollen voor toegangscontrolesystemen, met aanzienlijke verbeteringen op het gebied van beveiliging, interoperabiliteit, en functionaliteit. Het biedt een solide basis voor het bouwen van moderne, veilige toegangscontrolesystemen die kunnen groeien en evolueren in overeenstemming met de behoeften van een organisatie.
Secure Control Protocol (SSCP)
SSCP is een protocol ontworpen om veilige communicatie tussen apparaten binnen toegangscontrolesystemen te waarborgen. Het is ontwikkeld met het oog op het bieden van geavanceerde beveiligingsfuncties om de communicatie te beschermen tegen digitale aanvallen, zoals man-in-the-middle-aanvallen en replay-aanvallen. Het wordt beheerd door de SPAC-Alliance.
SSCP maakt gebruik van moderne cryptografische technieken om de data-integriteit en vertrouwelijkheid te waarborgen. Dit omvat het gebruik van AES-128-bit encryptie voor het versleutelen van berichten en SHA-256 voor het verifiëren van de authenticiteit van de berichten. Het protocol is ontworpen om flexibel te zijn in zijn implementatie, ondersteunend verschillende soorten hardware en communicatietechnologieën.
Aangezien SSCP kan worden geïmplementeerd over diverse communicatie-interfaces, zoals RS-232, RS-485, en TCP/IP netwerken, variëren de vereisten voor bekabeling en kabellengtes afhankelijk van de gekozen technologie. Voor RS-485 bijvoorbeeld, kan het communiceren over afstanden tot 1200 meter, terwijl TCP/IP-gebaseerde implementaties afhankelijk zijn van netwerkinfrastructuur en -apparatuur.
SSCP’s focus op beveiliging maakt het bijzonder geschikt voor toepassingen waar gevoelige informatie, zoals biometrische gegevens of toegangscontrolecommando’s, moet worden beschermd. De naleving van NIST SP800-108 aanbevelingen voor sleutelgeneratie en het gebruik van robuuste encryptie- en handtekeningmechanismen zorgen voor een hoog niveau van beveiliging tegen hedendaagse cyberdreigingen.
Voordelen van SSCP
SSCP Ondersteunt een breed scala aan apparaten en communicatietechnologieën, waardoor het flexibel inzetbaar is in verschillende toegangscontrolesystemen.
SSCP biedt geavanceerde beveiligingsmaatregelen om data te beschermen die wordt overgedragen tussen apparaten.
Hoewel ontworpen voor gebruik binnen specifieke systemen of netwerken, kan de aanpak van SSCP integratie met diverse hardware en netwerkomgevingen vergemakkelijken.
SSCP biedt een krachtig kader voor het beveiligen van communicatie binnen toegangscontrolesystemen, met een sterke nadruk op encryptie, authenticiteit, en flexibiliteit. Het protocol is een belangrijke overweging voor organisaties die hun beveiligingsinfrastructuur willen versterken tegen geavanceerde bedreigingen, terwijl ze tegelijkertijd de compatibiliteit en functionaliteit van hun systemen behouden.
Draadloze communicatie
Draadloze communicatietechnologieën worden steeds vaker toegepast in toegangscontrole- en beveiligingssystemen vanwege de mogelijkheden op het gebied van flexibiliteit, schaalbaarheid en de mogelijkheid voor innovatieve toepassingen. Hier zijn enkele van de meest gebruikte draadloze opties:
Wi-Fi
Maakt gebruik van standaard IEEE 802.11-protocollen voor draadloze netwerkcommunicatie over korte tot middellange afstanden. Ondersteunt geavanceerde encryptie (zoals WPA3) en netwerkbeveiligingstechnieken om de dataoverdracht te beveiligen.
Geschikt voor toegangscontrolesystemen die verbinding maken met een bestaand netwerk voor gegevensuitwisseling, apparaatbeheer en monitoring op afstand. Typisch effectief binnen een bereik van 100 meter binnenshuis, afhankelijk van de omgevingsfactoren en de gebruikte hardware.
Bluetooth en Bluetooth Low Energy (BLE)
Een draadloze technologie bedoeld voor het uitwisselen van data over korte afstanden, met BLE die zich richt op apparaten met laag energieverbruik. Biedt functies zoals encryptie en beveiligde sleuteluitwisseling om communicatie te beschermen. Effectief voor korte afstanden, meestal tot 10 meter, wat het ideaal maakt voor toegangspunten waar nabijheid vereist is.
Veel gebruikt voor mobiele toegangscontrole, waarbij smartphones en andere mobiele apparaten dienen als identificatiemiddelen.
Near Field Communication (NFC)
Een set communicatieprotocollen die twee apparaten in staat stellen met elkaar te communiceren wanneer ze zich binnen ongeveer 4 cm van elkaar bevinden. Beperkt tot enkele centimeters dus, hetgeen onbedoelde of ongeautoriseerde toegang vermindert. Bovendien wordt encryptie toegepast waardoor het moeilijker is om communicatie te onderscheppen of beïnvloeden.
NFC wordt voornamelijk gebruikt voor contactloze toegangscontrole, zoals toegangspassen en virtuele toegangspassen, waarbij veiligheid en gemak belangrijk zijn of voor configuratiedoeleinden.
Zigbee en Z-Wave
Draadloze communicatiestandaarden ontworpen voor de automatisering van woningen en gebouwen, met een focus op laag energieverbruik en veilige, betrouwbare communicatie over korte tot middellange afstanden.
Gebruikt in slimme sloten en sensoren binnen toegangscontrole- en beveiligingssystemen voor gebouwen.
LoRa en LoRaWAN
Low Power Wide Area Network (LPWAN) technologieën ontworpen voor langeafstandscommunicatie bij een laag stroomverbruik.
Ideaal voor toepassingen waar langeafstandscommunicatie nodig is, zoals bij toegangscontrole in grote, open ruimtes of bij het monitoren van afgelegen locaties.
Cellular Networks (GSM, 3G, 4G, 5G)
Mobiele netwerktechnologieën die brede dekking bieden en de mogelijkheid voor datacommunicatie over lange afstanden. De netwerken gebruiken sterke encryptie en beveiliging op netwerkniveau, hoewel de specifieke beveiligingsmaatregelen kunnen variëren afhankelijk van de provider en de gebruikte technologie.
Gebruikt voor toegangscontrolesystemen die een betrouwbare verbinding vereisen buiten het bereik van traditionele draadloze netwerken, inclusief remote site management en real-time alerts.
De evolutie van draadloze communicatietechnologieën en de mogelijkheid voor readers om direct met servers te communiceren, hebben significante implicaties voor de topologieën van toegangscontrolesystemen. Deze ontwikkelingen bieden nieuwe flexibiliteit in ontwerp en implementatie, maar brengen ook uitdagingen en overwegingen met zich mee, vooral met betrekking tot de veiligheid en fysieke plaatsing van componenten.
Systeemtopologieën
Met de capaciteit voor readers om direct via IP-netwerken (zoals Wi-Fi of cellulaire verbindingen) met servers te communiceren, verschuift de traditionele gecentraliseerde topologie naar meer gedecentraliseerde of netwerkgebaseerde benaderingen. Dit kan de noodzaak voor lokale controllers verminderen en maakt systemen schaalbaarder en flexibeler qua installatie en beheer.
In een setup waarbij readers intelligent genoeg zijn om direct met de server te communiceren, kunnen ze ook beslissingen nemen op het ‘edge’ niveau (bij de deur zelf), zoals het verlenen van toegang op basis van vooraf gedownloade toestemmingslijsten. Dit vermindert de afhankelijkheid van constante netwerkconnectiviteit voor toegangscontrolebeslissingen en kan de systeemprestaties verbeteren door de belasting van de centrale server te verminderen.
Veiligheidsuitdagingen
De zorg dat het elektrische slot of sluitplaat ontsloten kan worden vanaf de onveilige kant van de deur geplaatst wordt, benadrukt het belang van fysieke beveiliging in systeemontwerp. Idealiter moeten alle beveiligingsgevoelige componenten (zoals strikes of elektronische sloten) aan de beveiligde zijde van de deur worden geïnstalleerd om manipulatie of sabotage te voorkomen. Leveranciers als Suprema leveren daar slimme oplossingen voor.
Directe communicatie tussen readers en servers vereist sterke netwerkbeveiliging, waaronder encryptie, authenticatiemechanismen, en regelmatige software-updates om kwetsbaarheden te patchen. Dit is cruciaal om het risico van cyberaanvallen, zoals man-in-the-middle-aanvallen of hackingpogingen, te minimaliseren.
De mogelijkheid voor readers om direct met servers te communiceren, biedt aanzienlijke voordelen voor de ontwerpflexibiliteit en schaalbaarheid van toegangscontrolesystemen. Echter, het vereist zorgvuldige planning en ontwerp om de integriteit en veiligheid van het systeem te waarborgen, met bijzondere aandacht voor de fysieke plaatsing van beveiligingscomponenten en de implementatie van robuuste netwerkbeveiligingsmaatregelen. Het balanceren van deze factoren is cruciaal voor het creëren van effectieve, veilige toegangscontrolesystemen in het tijdperk van geavanceerde draadloze communicatie.