QR (Quick response code) – один из самых популярных идентификаторов и носителей информации в мире. Свою популярность он обрел в начале 2000-х годов в Японии, а после распространился по всему миру. Пользователи оценили прежде всего скорость его работы, а также значительно больший объем данных, который может быть в нем зашифрован, по сравнению с привычным штрих-кодом.
До недавнего времени QR-коды редко использовались в СКУД в качестве основного идентификатора. В первую очередь из-за его слабой защищенности от копирования и передачи. QR-код может быть сфотографирован камерой смартфона, и полученное изображение можно использовать для идентификации или передачи третьим лицам.
Однако развитие СКУД позволило наделить QR-коды дополнительными средствами для обеспечения безопасности, что значительно расширяет сферу их использования. Рассмотрим два основных сценария применения QR-кодов на объекте: базовый и безопасный.
Базовый сценарий (нешифрованные QR-коды)
А. Использование экосистемы RusGuard
В RusGuard Soft для сотрудника или посетителя создается электронная карточка, где указывается номер его ключа. Этот ключ используется для создания статичного нешифрованного QR-кода.
Нешифрованный код никак не защищен от копирования. Такой код можно отсканировать, например, при помощи камеры смартфона и получить код сотрудника, который записан в базу RusGuard.
Средствами RusGuard Soft этот QR-код может быть распечатан на бумажном носителе. Далее пользователь подносит пропуск с напечатанным QR-кодом к считывателю R-10 MF (QR), считыватель передает код в контроллер, где происходит проверка ключа. Если код есть базе RusGuard, то доступ будет разрешен.
Б. Использование сторонних приложений и сервисов
Нешифрованный QR-код может быть сгенерирован не в RusGuard Soft, а в стороннем приложении. Это может быть любая система, интегрированная со СКУД RusGuard. В качестве примера рассмотрим систему регистрации и учета посетителей VisitorControl, так как очень часто QR-коды в качестве идентификатора используются именно для организации прохода гостей.
Оператор бюро пропусков в системе VisitorControl создает нового посетителя и присваивает ему ключ. Информация о новом посетителе и его ключе автоматически передается в СКУД RusGuard. Оператор в VisitorControl печатает гостевой пропуск с QR-кодом и передает посетителю. Посетитель сканирует QR-код при помощи считывателя R-10 MF (QR) и проходит через точку доступа.
Плюсы
Это наиболее простой и быстрый для внедрения способ организации доступа с использованием QR-кодов. Для внедрения потребуется лишь принтер для создания бумажных пропусков. При использовании термопринтера стоимость эксплуатации такого решения будет минимальной.
Минусы
Выданный пропуск никак не защищен от копирования и передачи третьим лицам. Полученный пропуск можно сфотографировать на камеру смартфона и пройти на объект, используя фотографию пропуска.
Немного усилить безопасность в этом случае поможет установка сжатых сроков действия пропуска (например, три часа, а не весь день), а также контроль со стороны сотрудников СБ (охранник должен убедиться в том, что пользователь, получивший пропуск, сразу отправился к турникетам и прошел идентификацию.
Безопасный сценарий (динамические шифрованные QR-коды)
А. Использование экосистемы RusGuard
Сотрудник или посетитель создает новый пропуск в своем смартфоне, используя бесплатное приложение RusGuard Key. Сформированный пропуск имеет уникальный ключ, который сотрудник передает администратору СКУД любым доступным способом (электронная почта, SMS, мессенджер). Оператор сохраняет этот ключ в электронной карточке сотрудника.
Сгенерированный из ключа QR-код надежно зашифрован с использованием стандарта шифрования AES-128. Поэтому данные при распознавании QR-кода через камеру смартфона представляют собой лишь набор символов, из которых невозможно вычленить сам ключ.
Еще одним элементом защиты является динамическая смена QR-кода: новый QR-код генерируется при каждом показе пропуска в мобильном приложении. При этом сам ключ остается неизменным.
Администратор СКУД может установить значение времени, в течение которого будет валиден сгенерированный QR-код. Это может быть всего одна минута или же несколько часов. То есть, если в течение одной минуты после генерации QR-код не был отсканирован считывателем, то в дальнейшем пройти с его помощью на объект уже не получится. Благодаря этому в значительной степени решается проблема передачи QR-кода третьим лицам.
Б. Использование сторонних приложений и сервисов
Функционал динамических шифрованных кодов может использоваться при работе СКУД RusGuard со сторонними приложениями и сервисами.
В качестве примера также будем использовать интеграцию RusGuard с VisitorControl. В этом случае создание карточки посетителя, генерация QR-кода и передача его посетителю будет происходить штатными средствами VisitorControl. Однако главный компонент безопасности – ключ шифрования AES-128 задается в RusGuard Soft. Этот ключ администратор VisitorControl будет использовать для создания динамических шифрованных QR-кодов.
Сгенерированный код благодаря интеграции автоматически попадает в базу данных RusGuard и, соответственно, в контроллер определенной точки доступа. Также штатными средствами VisitorControl администратор отправляет QR-код посетителю. В этот код уже прописано время создания и время окончания действия пропуска, поэтому такой вариант также является относительно безопасным.
Такой функционал по работе с динамическими приложениями может быть использован и в рамках мобильных приложений за счет использования API RusGuard. Например, это может быть мобильное приложение жилого комплекса, в котором жилец может выпустить одноразовый код для визита гостей, или приложение фитнес-клуба, которое позволит организовать проход резидентов без дополнительных идентификаторов (карты, брелки).
Плюсы
Динамические шифрованные коды обеспечиваются приемлемый уровень безопасности: такой код невозможно подделать за счет использования в нем шифрования, а постоянная смена QR-кода делает его передачу третьим лицам бессмысленной. При этом скорость чтения кода и срабатывания исполнительных устройств (двери, турникета) остается аналогичной скорости обычного нешифрованного QR-кода.
Минусы
Внедрение таких кодов в сторонних системах требует наличия интеграции с RusGuard, а также должной подготовки у администратора СКУД. Если говорить о внедрении функционала в мобильных приложениях, то заказчику потребуется помощь квалифицированного разработчика, способного добавить функционал по работе с QR-кодами в уже существующее приложение.