JIS - Jednotný Identifikační Systém
Historie systému JIS
V roce 1997 jsme ve spolupráci s některými odborníky katedry informatiky Západočeské univerzity v Plzni zahájili vývoj vlastního přístupového systém „JIS“ (Jednotný Identifikační Systém). Hlavním kritériem byla vysoká bezpečnost systému i identifikačního média. Na tomto projektu se pro nás exkluzivně podílely renomované zahraniční firmy ze SRN a USA (Temic, HEV a Cross Inc.). Firma Temic poctila naši firmu důvěrou a v roce 1997 jsme navštívili jejich vývojové laboratoře. Na základě této osobní zkušenosti a vstřícnosti jsme do pilotního projektu systému JIS vybrali bezkontaktní kartu s čipem e5560, resp. e5561 s vysokým stupněm zabezpečení. Přestože čip byl používán v USA armádou, obdrželi jsme zde k programování čipu výhradní exkluzivitu. Karta e5561 je vybavena přídavným kryptografickým modulem pro symetrické šifrování protokolem AUT64. Osazení čipu do karty bylo prováděno v USA frimou Cross Inc., neboť v Evropě vhodná technologie pro zapouzdření do tak "tlusté" karty nebyla. Tloušťku karty způsoboval přídavný kryptografický modul. Karty s čipy e5560 resp. e5561 byly po celou dobu používání bezpečné a všechny pokusy technicky zdatných uživatelů o její prolomení byly neúspěšné.
Komponenty systému JIS a programové moduly byly vyvinuty a jsou vyráběny naší firmou. Pro správu životního cyklu identifikačních karet včetně jejich personifikace jsme zakoupili vhodnou technologii a pro toto pracoviště vyvinuli vlastní programové vybavení. Tím jsme docílili komplexní řešení systému JIS, který dnes používá asi 37.000 tisíc uživatelů a v provozu je více než 1000 snímačů karet v různých službách a aplikacích. Systém JIS dále rozšiřujeme a zdokonalujeme podle přání našich zákazníků.
Naše zkušenosti získané při zavádění kartových systémů pro větší množství uživatelů, jsou dostatečnou kvalifikací pro činnost v této oblasti. Realizujeme implementace do jiných systémů, jejich upgrade za provozu i plynulý přechod na systémy odlišné. Tyto změny prováděné za plného provozu proběhly plynule a bez komplikací. Část karet v systému je nasazeno v duálním provedení a s podporu PKI aplikací. Systém JIS je v původní instalaci provozován dnes asi s přístupovými body pro 20.000 uživatelů, dále v modifikované verzi na Jihočeské univerzitě v Českých Budějovicích a ve specifické modifikaci v Nemocnici a.s. České Budějovice.
Koncepce systému JIS
Koncepce Jednotného Identifikančího Systému vychází z centrálního databázového systému (Oracle, PostGress), kde jsou uloženy datové údaje, nastavená pravidla a záznamy událostí. Jedná se o řešení, kde ID médium funguje jen jako jednoznačný identifikátor. Interakce s kartami probíhá prostřednictvím komunikačního serveru KS a komunikačního klientu KK, který funguje jako řídící člen pro určitou skupinu snímačů. Koncepce využívá infrastrukturu počítačové sítě ethernet na bázi protokolu TCP/IP. Mezi komunikačním klientem a snímači karet je použit proprietární protokol komunikující po standardní sériové lince RS-485. Koncepce systému JIS je na obrázku (č.1). V této architektuře je systém JIS odolný proti nepředvídaným výpadkům počítačové sítě či výpadku centrálního serveru JIS, kdy úlohu serveru suplují jednotlivý komunikační klienti KK. Výpadek tak postihne pouze probíhající update, kdy tímto vlivem nemůže dojít k propagaci uživatele do příslušného KK. Po obnově komunikace se update automaticky dokončí.
Funkce a správa systému JIS
Uživatel s transponderem, tj. např. kartou, tuto přiloží ke snímači. Pokud se jedná o kartu s kryptografickým modulem, dojde nejprve k ověření pravosti karty vygenerováním výzvy a porovnáním kryptoklíče. Pokud je vše v pořádku, dojde k požadované službě a transakce je v systému zaznamenána. Příslušná práva uživatelům nastavují konkrétní správci systému k jimi svěřeným uzlům. Jedná se zejména o přiřazení časových pásem a rozsahu povolených funkcí (např. zapínání a vypínání příslušného okruhu EZS a podobně). Správce uzlu přistupuje do správy systému JIS z libovolného operačního systému standardním webovým prohlížečem, prostřednictvím bezpečného síťového protokolu. Správce může měnit nastavení pouze v jemu svěřené skupině snímačů (uzlu). Správu uzlu a jeho zapojení ukazují 2 obrázky (č. 3 a 4) Globální konfiguraci systému, tj. např. přidávání snímačů, uzlů, upgrade a správu lokálních správců provádí administrátor systému JIS.
Identifikační médium
Systém JIS podporuje transpondéry s pracovními kmitočty 125 kHz a 13,56 MHz. Pro kmitočet 125 kHz je systém provozován na běžné karty R/O např. typu H4002 speciálně vybaven pro bezpečné R/W karty typu e5561 s kryptografickým modulem. Systém JIS lze upravit na libovolnou kartu tohoto pracovního kmitočtu. V pásmu kmitočtu 13,56 MHz systém pracuje s kartami standardu MIFARE, resp. ISO 14443-A nebo lze systém upravit pro standard dle ISO 14443-B. Systém JIS umožňuje přechod na karty s čipem DESFire dle ISO 14443-4.
Softwarové vybavení
Systém JIS je vybaven programovými moduly zajišťujícími chod systému. Databáze a komunikační moduly jsou postaveny na OS Linux a Oracle. Programové vybavení je děleno a licencováno podle velikosti systému a počtu uživatelů. Maximální počet uživatelů není omezen, avšak dosavadní provozní zkušenosti jsou ověřeny pro asi 37.000 uživatelů. Maximální počet snímačů, resp. přístupových bodů není rovněž omezen. Dosavadní provozní zkušenosti jsou ověřeny pro celkem 550 snímačů.
Základní technické údaje systému JIS
Maximální počet uživatelů |
Neomezen (dosud 50.000) |
Maximální počet snímačů |
Neomezen (dosud 550) |
Pracovní napětí |
12 V DC |
Maximální doba odezvy |
0,6 sec. u ověřování e5561, jinak 0,3 sec. |
Identifikační média |
e5560, e5561, H4002, Flexcard, Mifare, |
Subsystémy |
EZS, EPS, CCTV |
Komunikace |
Proprietární, TCP/IP |
Hardwarové komponenty systému JIS
Přístupový systém JIS se skládá z následujících základních prvků:
Snímače karet
Snímače pracují na jednom z pracovních kmitočtů 125kHz nebo 13,56MHz anebo jsou osazovány snímače pracujících na obou uvedených kmitočtech současně. Podle způsobu montáže se vyrábějí ve čtyřech základních provedeních: Pod povrch, na povrch, na stůl a do venkovního prostředí. Snímače jsou připojeny do modulu AX a jeho prostřednictvím přes datovou sběrnici k řídícímu modulu E.
Svorkovnice rozhraní
Jedná se o tzv. "modul AX". Je osazován mimo snímač a zajišťuje připojení snímače k napájecímu napětí, k datové sběrnici a dalším spolupracujícícm systémů (EZS, EPS, CCTV). Modul ovládá výstupní prvek, např. elektrický otvírač, turniket, parkovací závoru a podobně a je vybaven dvěma optickými vstupy.
Řídící modul E
Modul funguje jako komunikační klient KK. Prostřednictvím datové sběrnice řídí a ovládá skupinu snímačů jednoho uzlu. Modul E je připojen prostřednictvím sítě ethernet do řídícího serveru systému JIS.
Server JIS
Obsahuje SQL databázový server, Komunikační server KS a interface pro přístup z počítačů všech správců systému.
Počítače správců
Jedná se o běžný PC IBM kompatibilní počítač s operačními systémy Windows, Linux a MAC, s nainstalovaným standardním www prohlížečem (Mozilla Firefox, MS Internet Explorer, Safari, atp.), připojeným do PC sítě. Konto pro bezpečné spojení je zajištěno protokolem HTTPS. Konto správců zřizuje administrátor systému JIS.
Napájecí zdroje
K napájení systému se používají zdroje s malým bezpečným napětím v rozsahu 10,5 až 15 V DC, SELV. V převážné části jsou používány zálohované zdroje.