Przewodnik po breloczkach RFID

Jul 01, 2026

Zostaw wiadomość

Breloki RFID do kontroli dostępu: przewodnik dla kupujących po typach, kompatybilności, bezpieczeństwie i zaopatrzeniu OEM

 

RFID Key Fob

Brelok RFID to mały, bezdotykowy dokument uwierzytelniający, zawierający chip i antenę, który umożliwia identyfikację użytkownika na czytniku bez kontaktu fizycznego. Tyle jest proste. To, co najbardziej zastanawia większość kupujących, to wszystko, co następuje: czy brelok faktycznie będzie komunikował się z czytnikami już przykręconymi do ściany, czy chip będzie odporny na działanie urządzenia do klonowania o wartości 30 euro i czy dostawca będzie w stanie poprawnie zakodować 5000 jednostek przed wysyłką. Ten przewodnik został napisany dla osób, które podejmują decyzje - menedżerów IT i obiektów przeprowadzających aktualizację, a także dla zespołów zakupowych zaopatrujących się w duże ilości breloków RFID.

Najdroższym błędem w tej kategorii jest zamawianie wyłącznie na podstawie częstotliwości. Częstotliwość jest konieczna, ale niewystarczająca. Poniżej zgodność, bezpieczeństwo i źródło informacji są traktowane jako trzy decyzje, które faktycznie decydują o tym, czy wdrożenie się powiedzie - i w przybliżeniu według tej kolejności ryzyka.

 

Jak działa brelok RFID (i dlaczego ma to znaczenie przy zakupie)

 

Pilot pasywny nie ma baterii. Kiedy antena znajdzie się w polu czytnika, pobiera energię z tego pola, budzi chip, a on odpowiada. W podstawowym systemie odpowiedzią jest po prostu stały identyfikator; w bezpiecznym systemie brelok i czytnik dokonują kryptograficznego uzgadniania przed wymianą jakichkolwiek poufnych informacji. Kontroler za czytnikiem sprawdza następnie tę tożsamość pod kątem reguł dostępu i otwiera drzwi - lub rejestruje odmowę.

Wynikają z tego dwie praktyczne konsekwencje. Po pierwsze, ponieważ breloczki pasywne pobierają energię z czytnika, zwykle wytrzymują ponad dekadę bez konserwacji, dlatego też prawie w każdym budynku używa się ich zamiast-aktywnych tagów zasilanych bateryjnie. Po drugie, różnica między „breloczek wysyła numer” a „breloczek udowadnia, kim jest” to cała historia bezpieczeństwa -, o której decyduje się na poziomie chipa, zanim w ogóle pomyślisz o obudowie lub brandingu. Jeśli chcesz poznać fizykę bardziej szczegółowo, zobacz ten podziałjak breloki RFID sprawdzają się w kontroli dostępu.

 

Częstotliwość i typ chipa: decyzja o zgodności

 

Istnieją trzy pasma częstotliwości i nie współdziałają ze sobą. Czytnik 125 kHz nie może odczytać breloka 13,56 MHz i odwrotnie. W każdym paśmie rodzina chipów i standard komunikacyjny jeszcze bardziej zawężają kompatybilność.

Zespół Typowy zakres odczytu Wspólne chipy/standardy Najlepsze dla
125 kHz (LF) 2–10 cm EM4100, TK4100, HID Prox, T5577 Dostęp do starszych wersji, niski koszt
13,56 MHz (HF) 2–8 cm MIFARE Classic, DESFire, NTAG, ISO 14443/15693 Bezpieczny dostęp, mobilny, tranzytowy
860–960 MHz (UHF) 1–10 m EPC Gen2, ISO 18000-6C Śledzenie zasobów, pojazdów, logistyki
Król 183*203 37*37*193 108szt

 

125 kHz (niska częstotliwość)

LF jest stary, tani i wybacza hałas metalowy i elektryczny. Chipsy jakBreloki EM4100 i TK4100nadawaj stały numer-tylko do odczytu. Problemem jest także niezawodność: stały numer bez szyfrowania może zostać skopiowany w ciągu kilku sekund za pomocą niedrogiego powielacza. Wybierz LF tylko wtedy, gdy dopasowujesz istniejące czytniki LF lub gdy klonowanie po prostu nie jest częścią Twojego modelu zagrożenia - powiedzmy szatnia na siłowni, a nie centrum danych.

 

13,56 MHz (wysoka częstotliwość)

HF jest ustawieniem domyślnym w przypadku każdego nowego wdrożenia, w którym liczy się bezpieczeństwo. Reguluje go norma ISO/IEC 14443 (przy czym norma ISO/IEC 15693 obejmuje chipy bliskie-dalszego zasięgu), dlatego też dane uwierzytelniające HF współpracują ze zgodnymi czytnikami bez zakłóceń. Dominują trzy rodziny chipów:

MIFARE Classic 1K- ogromna liczba zainstalowanych rozwiązań, niski koszt i powód, dla którego nadal dostarczane są w dużych ilościach. Jednak jego szyfr Crypto-1 został złamany publicznie wiele lat temu, dlatego należy go traktować jako dane uwierzytelniające dla wygody, a nie jako zabezpieczenie. To rozsądny wybór w przypadku członkostwa, cateringu bezgotówkowego lub drzwi wewnętrznych, gdzie klon jest raczej irytacją niż naruszeniem. ABrelok 13,56 MHz MIFARE 1Kobejmuje większość tych przypadków.

MIFARE DESFire EV3- bieżący punkt odniesienia w zakresie-dostępu o wysokim poziomie bezpieczeństwa. Zgodnie z dokumentacją DESFire firmy NXP wykorzystuje szyfrowanie sprzętowe AES-128,-wzajemne uwierzytelnianie w trzech{5}}przebiegach i zarządzanie kluczami-aplikacji, a układ scalony posiada certyfikat Common Criteria EAL5+- tej samej klasy, jakiej wymagają chipy bankowe i e-paszporty. Jest wstecznie kompatybilny z EV2 i EV1, co sprawia, że ​​migracja etapowa jest realistyczna. Jeśli określasz budynek rządowy, aptekę szpitalną lub siedzibę firmy, jest to punkt wyjścia, a nie modernizacja do rozważenia później.

NTAG (NFC)- zaprojektowany z myślą o interakcjach-czytelnych na telefonie, a nie o ograniczonym dostępie. Przydatne w przypadku przepustek dla gości, uwierzytelniania produktów i marketingu, mniej w przypadku bezpiecznych drzwi.

 

UKF

UHF odczytuje w metrach, a nie w centymetrach, czyli dokładnie to, czego chcesz w przypadku palet i pojazdów, a dokładnie tego, czego nie chcesz w przypadku drzwi, gdzie odczytanie kogoś dwa pokoje dalej jest ryzykowne. Zachowaj UHF do śledzenia zasobów i identyfikacji bram/pojazdów.

Jeśli rozważasz pasma na podstawie całkowitego kosztu, a nie ceny naklejki, to porównanie kosztu danych uwierzytelniających kontroli dostępu 125 kHz i 13,56 MHz jest przydatnym uzupełnieniem, podobnie jak bliższe spojrzenie nadobór odpowiedniej częstotliwości dla breloków RFID.

uhf

 

Lista kontrolna zgodności, której nikt nie uruchamia, dopóki nie jest za późno

 

Większość nieudanych zamówień ma jedną podstawową przyczynę: kupujący dopasował częstotliwość i przejął resztę. W praktyce cztery rzeczy muszą obejmować częstotliwość -, standard komunikacji, rodzinę chipów i format danych uwierzytelniających (UID, kod obiektu lub zastrzeżona zaszyfrowana aplikacja). Czytnik HID Prox zignoruje typowy brelok EM4100 125 kHz, mimo że oba są „125 kHz”, ponieważ format jest inny. Przed jakimkolwiek zamówieniem zbiorczym wykonaj następujące czynności:

  • Zidentyfikuj model czytnika.Przeczytaj etykietę na zainstalowanym czytniku lub sprawdź dokumentację panelu. Marka i wersja oprogramowania sprzętowego mają znaczenie. - niektóre czytniki akceptują aplikację DESFire-o większym bezpieczeństwie dopiero po aktualizacji oprogramowania sprzętowego.
  • Sprawdź istniejące poświadczenie pracy.Wydrukowane oznaczenia lub szybki skan czytnikiem diagnostycznym zwykle ujawniają typ i format chipa.
  • Potwierdź format, a nie tylko chip.Zapytaj, czy system uwierzytelnia się za pomocą UID, kodu obiektu lub zaszyfrowanej aplikacji za pomocą określonych kluczy.
  • Poproś o próbkę i przetestuj ją na swoich aktywnych czytnikach.Ten jeden krok pozwala uniknąć prawie wszystkich-awarii na dużą skalę.
  • Wyjaśnij kluczową własność.W przypadku DESFire i innych zaszyfrowanych systemów zdecyduj, kto będzie posiadał klucze główne i w jaki sposób będą one różnicowane przed produkcją, a nie po.

Kiedy podczas wdrażania łączysz dwa pokolenia czytelników, aBrelok z podwójną-częstotliwościązawierający zarówno chip LF, jak i HF, pozwala jednym poświadczeniem otwierać jednocześnie stare i nowe drzwi - często jest to różnica między weekendową zmianą a miesiącem równoległych systemów. W szczególności w przypadku środowisk HID ta uwaga dotyczyzamawianie danych uwierzytelniających zgodnych z HID Prox-obejmuje szczegóły formatu, które przyciągają ludzi.

 

RFID a NFC: jedno jest podzbiorem drugiego

 

NFC nie jest technologią konkurencyjną dla RFID -. Jest to wyspecjalizowany fragment technologii RFID HF o częstotliwości 13,56 MHz, który dodaje-dwukierunkową komunikację, dzięki której telefon może działać jako czytnik lub dokument uwierzytelniający. Każde urządzenie NFC wykorzystuje zasady RFID; nie każdy system RFID obsługuje technologię NFC.

To rozróżnienie decyduje o tym, czy telefony mogą zastąpić breloki w Twoim budynku. Zarówno emulacja karty hosta systemu Android, jak i dane uwierzytelniające oparte na portfelu Apple-mogą działać jako klucze dostępu, ale tylko wtedy, gdy obsługują je czytnik, oprogramowanie-kontroli dostępu i metoda-udostępniania poświadczeń. Starsze czytniki LF w ogóle nie mogą korzystać z telefonu. W rzeczywistości większość organizacji korzysta z obu rozwiązań: szyfrowanych breloków dla pracowników i wykonawców, mobilnych danych uwierzytelniających umieszczonych na wierzchu, tam gdzie obsługuje je flota czytników. Pełny podział znajduje się w tym przewodnikuróżnica między RFID i NFC.

 

Klonowanie i bezpieczeństwo: co faktycznie można skopiować

 

„Czy można go sklonować?” ma trzy szczere odpowiedzi w zależności od chipa:

  • Banalnie klonowalne- naprawiono-układy UID LF (EM4100, TK4100) i dowolny niezaszyfrowany system-tylko UID. Ręczna kopiarka robi to w jednym przebiegu.
  • Klonowane z wysiłkiem- Klasyczny MIFARE. Słabe strony Crypto-1 są publiczne, więc zdeterminowany atakujący dysponujący odpowiednimi narzędziami może odzyskać klucze.
  • Zaprojektowane tak, aby były odporne na klonowanie- DESFire EV3 i inne dane uwierzytelniające oparte na AES-, które opierają się na wzajemnym uwierzytelnianiu, dynamicznych kluczach sesji i dywersyfikacji poszczególnych-kluczy uwierzytelniających, dzięki czemu złamanie jednego breloka nie naruszy bezpieczeństwa systemu.

Powszechny mit, że „za pomocą telefonu można skopiować dowolny identyfikator RFID”, łączy odczytanie otwartego znacznika NTAG z pokonaniem uwierzytelnienia kryptograficznego. Telefon może emulować zwykły tag NFC; nie może sfałszować uścisku dłoni DESFire. Pełniejsze omówienie modelu zagrożeń można znaleźć w tym przeglądzieBezpieczeństwo danych RFID.

Jednak wybór chipa to tylko połowa bezpiecznego wdrożenia. Projekt systemu niesie resztę:

  • Zamień starsze okablowanie Wiegand naOSDP, który obsługuje szyfrowaną, nadzorowaną komunikację czytnika-z-kontrolerem.
  • Używaćkluczowa dywersyfikacjawięc każde poświadczenie wywodzi unikalny klucz z klucza głównego.
  • Stosowaćuprawnienia oparte na rolach-. Model-kontroli dostępu oparty na rolach NIST - standard ANSI/INCITS - to punkt odniesienia, z którego korzysta większość platform dostępu w przedsiębiorstwach i dokładnie odwzorowuje sposób, w jaki budynki faktycznie przydzielają dostęp według funkcji zadania.
  • Uruchomićregularne audyty: przeglądaj logi, unieważniaj nieużywane poświadczenia, zmieniaj klucze i aktualizuj oprogramowanie czytnika.
  •  

Prawdziwa migracja, od początku do końca

 

Poniższy wzór jest typowy dla-biura średniej wielkości, które rezygnuje ze starzejących się czytników LF, i pokazuje, dlaczego wcześniejsze decyzje się kumulują.

Budynek wyposażony w piloty EM4100 125 kHz podejmuje decyzję o modernizacji po tym, jak najemca zgłosi zduplikowane dane uwierzytelniające. Zamiast wymieniać wszystko na raz, instalują czytniki obsługujące DESFire EV3-piętro po piętrze i wydają breloki z podwójną-częstotliwością, dzięki czemu pracownicy zachowują przez cały czas jedno uwierzytelnienie. Klucze główne są generowane i przechowywane przez klienta, zróżnicowane w zależności od breloka i wstrzykiwane w fabryce przed wysyłką. Czytelnicy przechodzą do OSDP po przekroczeniu każdego piętra. Stare drzwi obsługujące tylko LF działają na tym samym breloku do czasu wymiany ostatniego czytnika, kiedy to funkcja LF jest po prostu wycofywana z oprogramowania. Żadnego ponownego wystawienia poświadczeń, żadnej kolejki w lobby.

RFID system

Poniższy wzór jest typowy dla-biura średniej wielkości, które rezygnuje ze starzejących się czytników LF, i pokazuje, dlaczego wcześniejsze decyzje się kumulują.

Budynek wyposażony w piloty EM4100 125 kHz podejmuje decyzję o modernizacji po tym, jak najemca zgłosi zduplikowane dane uwierzytelniające. Zamiast wymieniać wszystko na raz, instalują czytniki obsługujące DESFire EV3-piętro po piętrze i wydają breloki z podwójną-częstotliwością, dzięki czemu pracownicy zachowują przez cały czas jedno uwierzytelnienie. Klucze główne są generowane i przechowywane przez klienta, zróżnicowane w zależności od breloka i wstrzykiwane w fabryce przed wysyłką. Czytelnicy przechodzą do OSDP po przekroczeniu każdego piętra. Stare drzwi obsługujące tylko LF działają na tym samym breloku do czasu wymiany ostatniego czytnika, kiedy to funkcja LF jest po prostu wycofywana z oprogramowania. Żadnego ponownego wystawienia poświadczeń, żadnej kolejki w lobby.

 

 

Nie chodzi o konkretną markę, - chodzi o to, że etapowe,-kluczowe podejście oparte na dwóch-częstotliwościach zamienia przełomowe-i-zastąpienie w zadanie w tle. Ten plan jest możliwy tylko dlatego, że chip (DESFire) i współczynnik kształtu (podwójna-częstotliwość) zostały wybrane z myślą o migracji.

 

Obudowa i materiały: dopasuj środowisko, a nie katalog

Obudowa rzadko zmienia znacząco zasięg odczytu, ale decyduje o tym, jak długo brelok przetrwa. Wydajność zestawu chipów i anten; skorupa zapewnia trwałość.

 

Tworzywo Charakter Gdzie to pasuje
Plastik ABS Lekki, tani, neutralny na sygnale Dostęp do biur i mieszkań
Epoksyd Błyszczący,-wodoodporny i stabilny Do użytku na zewnątrz lub-do intensywnego noszenia
Silikon Miękkie, elastyczne i łagodne tłumienie sygnału Siłownie, obszary mokre
Skóra Poczucie premium, markowe Hotele, prezenty firmowe
Drewno Zrównoważony, charakterystyczny Marki-skoncentrowane na ekologii lub{1}}designie

 

W przypadku trudnych warunków należy określić szczelność IP67/IP68, stopień ochrony od -25 stopni do +85 stopni i odporność na promieniowanie UV w przypadku wszystkiego, co pozostawione jest na zewnątrz. W tym artykule omówiono-obok-obok dwóch najpopularniejszych powłokPorównanie breloczków ABS i epoksydowych. Jeżeli wygląd jest częścią wymagań, askórzany brelok RFIDlubdrewniany, ekologiczny-breloczek do kluczynosi logo znacznie lepiej niż formowany ABS.

 

Programowanie: trzy sposoby kodowania breloka

 

„Programowanie” oznacza zapisywanie tożsamości, kluczy lub danych dostępowych w chipie. Sposób, w jaki to zrobisz, zależy od skali i bezpieczeństwa:

  1. Fabryczne wstępne kodowanie-.Dostawca zapisuje UID lub dane uwierzytelniające przed wysyłką. Najszybszy w przypadku dużych wdrożeń i systemów hotelowych; nie są potrzebne-narzędzia dostępne w witrynie.
  2. Kodowanie-w witrynie.Poświadczenia wydajesz za pomocą nagrywarki USB lub oprogramowania rejestrującego panelu dostępu. Najlepiej, gdy zadania często się zmieniają i chcesz mieć bezpośrednią kontrolę.
  3. Bezpieczne wstrzyknięcie klucza.W przypadku systemów DESFire i AES klucze szyfrujące i aplikacje są udostępniane w kontrolowanych warunkach, często w fabryce, więc poświadczeń nie można powielić bez autoryzacji.

W przypadku zamówień zbiorczych należy z góry uzgodnić praktyczne szczegóły: przepustowość kodowania, obsługę błędów, unikalność UID, synchronizację bazy danych i rejestrowanie audytu. Przedsiębiorstwa zazwyczaj podłączają kodowanie do swojego systemu kadrowego lub tożsamości, dzięki czemu włączanie i wyłączanie automatycznie zwiększa status danych uwierzytelniających.

 

Typowe wdrożenia

 

Biura centralnie zarządzają wejściami, windami, piętrami i parkingami, aktualizując uprawnienia bez dotykania sprzętu. Hotele wystawiają dane uwierzytelniające, które wygasają w momencie realizacji transakcji -. Mechanika została wyjaśniona w tym artykulejak działają karty-klucze hotelowe. Szpitale blokują apteki, laboratoria i dokumentację, korzystając z uprawnień-opartych na rolach w celu zapewnienia zgodności. Uniwersytety łączą dostęp, bibliotekę, frekwencję i płatności bezgotówkowe w jednym dokumencie uwierzytelniającym. Obiekty przemysłowe zamykają strefy niebezpieczne i pomieszczenia ze sprzętem według roli i zmiany. W każdym przypadku zwycięski ruch jest taki sam: wybierz chip odpowiadający poziomowi zagrożenia, a następnie pozwól oprogramowaniu zająć się resztą.

 

Zakupy i zaopatrzenie OEM

 

Cena jest ostatnią rzeczą, którą należy optymalizować, a nie pierwszą. Przeanalizuj wymagania, następnie chip, następnie dostosowanie, a na końcu dostawca.

Wybór chipów według poziomu bezpieczeństwa

  • Niski(mieszkalne, parkingowe): EM4100 / TK4100 / HID Prox.
  • Średni(biura, szkoły, sale gimnastyczne): MIFARE Classic 1K lub NTAG.
  • Wysoki(finanse, opieka zdrowotna, rząd): DESFire EV3 z AES i wzajemnym uwierzytelnianiem.
  •  

Personalizacja (OEM/ODM)

Kupujący masowo rzadko chcą zapasów generycznych. Typowe opcje obejmują laserowe lub jedwabne-drukowanie logo metodą sitodruku, kodowanie UID i wstępne-programowanie, numerowanie seryjne, niestandardowe kolory i formy oraz integrację kodów QR i kodów kreskowych -, a wszystkie one wspierają budowanie marki, śledzenie zasobów i zapobieganie-podrabianiu. Porównaj je z zakresem dostawcyMożliwości OEM/ODMprzed popełnieniem.

 

MOQ, czas realizacji i weryfikacja

Ogólnie rzecz biorąc, modele standardowe obejmują 100–500 sztuk, standardowe OEM 500–3000 sztuk, a w pełni niestandardowe formy 5000+ sztuk, przy czym koszt jednostkowy gwałtownie spada przy wolumenie. Czas realizacji wynosi około 2–5 dni w przypadku produktów magazynowych, 7–15 dni w przypadku standardowego OEM i 15–30+ dni w przypadku narzędzi niestandardowych; wbudowany bufor do testów zatwierdzania próbek i kodowania. Sprawdzając dostawcę, potwierdź autentyczność chipów (NXP, HID), wsparcie w zakresie kodowania i-testowania zgodności, certyfikat ISO/CE/RoHS oraz - nie-podlegającą negocjacjom - próbkę fizyczną przed masową produkcją.

 

wniosek

Wybierz chip odpowiadający rzeczywistemu poziomowi zagrożenia, przed złożeniem zamówienia na dużą skalę sprawdź zgodność z rzeczywistymi czytnikami i traktuj szyfrowanie, OSDP, dywersyfikację kluczy i uprawnienia oparte na rolach-jako jeden system, a nie cztery opcje. W przypadku witryn o wysokim-bezpieczeństwie trwałym rozwiązaniem jest DESFire EV3 w połączeniu z kluczem-ścieżką etapowej migracji. Cała reszta - obudowa, kolor, branding - jest późniejsza niż podjęcie właściwych trzech decyzji.

Jeśli planujesz modernizację lub zamówienie zbiorcze, sprawdzenie zgodności i przetestowanie próbki przed produkcją pozwoli zaoszczędzić znacznie więcej niż kosztuje. Możesz poprosić o ocenę próbki lub wycenę, aby potwierdzić, że breloki pasują do Twojego systemu, zanim cokolwiek trafi do oprzyrządowania.

 

Często zadawane pytania

 

Czy dowolny brelok RFID może współpracować z dowolnym czytnikiem?

Nie. Częstotliwość, standard komunikacji, rodzina chipów i format danych uwierzytelniających muszą być zgodne. Dwa piloty „125 kHz” mogą nadal być niekompatybilne, jeśli format jest inny.

 

Który brelok RFID jest najbezpieczniejszy?

MIFARE DESFire EV3 z AES-128 i wzajemnym uwierzytelnianiem to obecny standard wysokiego bezpieczeństwa, posiadający certyfikat EAL5+ porównywalny z chipami bankowymi.

 

Czy breloki RFID można klonować?

Naprawiono-breloki UID LF, które można łatwo sklonować, MIFARE Classic można sklonować przy niewielkim wysiłku, a dane uwierzytelniające DESFire/AES zostały specjalnie zaprojektowane tak, aby były temu odporne.

 

Czy breloki RFID wymagają baterii?

Nie. Breloki pasywne pobierają energię z pola czytnika i zwykle działają przez dekadę lub dłużej.

 

Czy smartfon może zastąpić brelok do kluczy?

Czasami. Telefony NFC mogą działać jako dane uwierzytelniające, jeśli czytnik i oprogramowanie to obsługują, ale starsze systemy LF w ogóle nie mogą korzystać z telefonów. Wiele witryn obsługuje oba.

 

Co powinienem zrobić w przypadku zagubienia breloka?

Zgłoś to, natychmiast dezaktywuj w systemie - nie są potrzebne żadne zmiany zamka - wydaj zamiennik z zapasowych zapasów i przejrzyj logi dostępu z danego okresu.

 

Jakie jest typowe MOQ i czas realizacji niestandardowych breloków?

Standardowe zamówienia OEM zwykle zaczynają się od około 500–3 000 sztuk i mają czas realizacji wynoszący 7–15 dni; niestandardowe formy wymagają większych objętości i dłuższego czasu obróbki. Zawsze najpierw poproś o próbkę.

Wyślij zapytanie