Přihlásit | Registrovat
Univerzita Tomáše Bati ve Zlíně
TRILOBIT
Autorizačný systém pomocou technológie rádiofrekvenčnej identifikácie

Autorizačný systém pomocou technológie rádiofrekvenčnej identifikácie

Juraj Vaculík | 1. 12. 2011 0:00:00
Zařazení: Bezpečnost|Číslo 2/2011|Vědecká stať

Juraj Vaculík

Žilinská univerzita vŽiline
Fakulta prevádzky a ekonomiky dopravy aspojov, Univerzitná 1, 010 26  Žilina, Slovenská republika
email: juvac@fpedas.uniza.sk

Jiří Tengler

Žilinská univerzita vŽiline
Fakulta prevádzky a ekonomiky dopravy aspojov, Univerzitná 1, 010 26  Žilina, Slovenská republika
email: tengler@fpedas.uniza.sk

Abstrakt:
Jedným zo základných bezpečnostných opatrení je riadenie prístupu do priestorov a k objektom. Cieľom príspevku je prezentovať možnosť hardvérového a softvérového riešenia modelu autorizačného systému, na báze technológií automatickej identifikácie, menovite technológie RFID. Keďže technológia RFID sa vo veľkom množstve prípadov používa na označovanie aidentifikáciu materiálov apredmetov, úlohou bolo navrhnúť taký systém, ktorý spĺňa požiadavky trhu, azároveň zabezpečiť jednoduchú obsluhu prostredníctvom pasívneho prvku, ktorý identifikuje vstupujúcu osobu na základe RFID identifikátora, ktorý je tejto osobe priradený.

Abstract:
One of the basic safety measures, control access to the premiseswhere the object. Aim of this paper is to present the possibility ofhardware and software solution model authorization system,based automatic identification technology, namely RFID technology. As RFID technology is in many cases used for markingand identifying materials and objects, the task was to design a system that meets market requirements while ensuring easyoperation from a passive elements, which identifies a person under vstupujúcu RFID identifier that this person assigned.

Klíčová slova:
Rádiofrekvenčná identifikácia

Key words:
Radio-frequency identification

Úvod

Technológia RFID sa stále viac uplatňuje nielen v oblasti výroby a logistiky, ale taktiež v každodennom živote ľudí, napríklad v bezkontaktných kartách v zabezpečených vstupoch budov, pri lyžiarskych lanovkách a v celej rade ďalších aplikácií. Hlavný potenciál tejto technológie podľa analytických spoločností spočíva v zefektívnení dodávateľských reťazcov v logistike, nepochybný je aj jej prínos pre ďalšiu automatizáciu priemyslových procesov.

Systémy kontroly a riadenia prístupu (Access Control System - ACS) sú integrovanou alebo autonómnou súčasťou bezpečnostných systémov alebo systémov riadenia budov alebo celých areálov a plnia tieto základné funkcie:

  • umožňujú nastaviť a riadiť pohyb osôb, prípadne objektov,
  • monitorujú pohyb osôb v objekte, zobrazujú informácie o pohybe a aktuálnom mieste ich pobytu,
  • monitorujú stavy a udalosti z jednotlivých prístupových miest,
  • zabezpečujú blokovanie opakovaného vstupu v jednom smere (anti-passback),
  • realizujú povolenie prístupu po identifikácii užívateľov.

Základnou požiadavkou autorizačných systémov je identifikácia a autorizácia osôb. Systém kontroly vstupov zabezpečuje kontrolovaný vstup do chránených častí objektu - pre každý objekt samostatne - na základe prideľovaných prístupových oprávnení.

Výkladový slovník definuje autorizáciu ako: „Postup, vedúci k poskytnutiu, alebo odmietnutiu prístupu na základe práv pridelených autoritou, alebo odmietnutia prístupu na základe práv pridelených autoritou. Spravidla jej predchádza autentifikácia, teda overenie identity“, pričom:

  • autorizáciu môžeme charakterizovať ako proces, v ktorom sa overuje aké služby, a v akom rozsahu smie využívať subjekt, ktorý vstupuje do systému na základe identifikácie a  autentifikácie ako ďalších prvkov verifikácie,
  • verifikácia je komplexný proces identifikácie a autentizácie na overovanie užívateľa.
  • identifikácia je realizovaná priradením identifikačného prostriedku objektu v riadiacom programovom vybavení. Autorizácia osôb môže byť prostredníctvom viacerých identifikátorov, ako napr. čipová karta, bezkontaktná karta alebo biometrický údaj.

Autentifikáciou zisťujeme overenie identity - kto je používateľ. To znamená, že užívateľ predkladá overovateľovi dôkaz, že je tým, za koho sa prezentuje. To sa deje buď vzájomne dohodnutým špecifickým spôsobom, alebo všeobecne uznávaným dokladom. V bežnom živote je to napríklad preukaz poistenca alebo občiansky preukaz, v elektronickom svete to môže byť napríklad heslo, SMS kód, bezpečnostný certifikát. Autentifikácia sa podľa spôsobu dokazovania identity objektu delí na tri základné skupiny:

  • Autentifikácia na znalostnej báze (somethink to know): autentifikačnému systému predkladáme dôkaz o tom, že máme znalosť o istej informácií. Sem patrí autentifikácia všetkými druhmi hesiel a PIN  kódov. Heslo sa systému predkladá buď priamo v otvorenej forme, alebo sa pri dokazovaní jeho znalosti vyžaduje istý spôsob interakcie (systémy výzva - odpoveď).  V prípade autentizácie je možné následne zadať napríklad tajné heslo.
  • Autentifikácia na báze vlastníctva (something to have): predkladáme dôkaz o vlastníctve identifikačného prvku. Do tejto kategórie patria všetky systémy  čipových a magnetických kariet, prístupových kalkulátorov a hardvérových kľúčov. Dôkaz o vlastníctve predmetu sa väčšinou realizuje nepriamo, dokazovaním vlastníctva informácií uložených na predmete (prístupové kalkulátory), alebo poskytnutím celého predmetu na preskúmanie (karty s magnetickým prúžkom). 
  • Autentifikácia na báze danosti (something to be): dokazujeme svoju identitu pomocou neoddeliteľného fyzického základu. Do tejto kategórie patria všetky biometrické metódy a dokazujú identitu  človeka na základe jeho vonkajších telesných znakov (zrenica, dúhovka, odtlačok prstu), alebo jeho životných prejavov (analýza reči, podpisu).

Metódy automatickej identifikácie

Metódy automatickej identifikácie (AIDC Automatic Identification and Data Capture) môžeme rozdeliť na metódy autentifikácie na báze vlastníctva (čiarové kódy, smart karty, RFID) a na báze danosti (biometria). Pričom sa uvedené metódy v reálnom použití vzájomne kombinujú a dopĺňajú. Tieto systémy majú rozličné režimy verifikácie, z globálneho hľadiska však pracujú na rovnakom princípe. V prvom rade ide o zistenie totožnosti používateľa, následne porovnanie načítaných dát s údajmi v databáze a nakoniec priradenie prístupových práv. V prípade použitia autentizácie vlastníctvom identifikačného predmetu môžeme spôsoby identifikácie členiť podľa technológie média. Vlastná technológia identifikačného média súvisí s fyzikálnym princípom prenosu informácie medzi prvkom autentizácie a snímačom. V zásade možno médiá rozdeliť na:

  • optické (čiarový kód, OCR),
  • magnetické (karty s magnetickým pruhom),
  • induktívne (karty s kovovými prvkami),
  • pamäťové čipy (čipové karty, prívesky),
  • rádiofrekvenčné (RFID identifikátory)

Fyzický prístup do budov, kancelárií, počítačových miestností, alebo do izieb v modernom hoteli je príkladom riešenia fyzickej bezpečnosti s využitím elektronických identifikačných predmetov, riadiaceho systému a elektronicky riadených zábran – zámkov, dverných systémov, závor a pod.. Špecifickým rysom všetkých prístupových systémov je silná závislosť na technickom vybavení. Dodávatelia prístupových systémov preto spravidla ponúkajú jednoúčelové systémy viazané na konkrétnu produktovú radu technického vybavenia.

V súčasnosti majú prístupové autorizačné systémy väčšinou hierarchickú architektúru technického vybavenia, a na jej vrchole je riadiaca jednotka, ktorá komunikuje s podriadenými vyhodnocovacími jednotkami prostredníctvom sériovej zbernice, alebo sériových liniek. Riadiaca jednotka je spojená s nadriadeným počítačovým serverom priamo prostredníctvom siete LAN alebo s použitím prevodníka. Úlohou riadiacej jednotky je načítanie definície prístupových pravidiel z nadradeného servera, distribúcia týchto pravidiel na vyhodnocovacie jednotky a zber stavových a prevádzkových údajov prístupového systému. Vyhodnocovacie jednotky sú prepojené priamo so systémom elektronického zámku dverí s elektronickými čítačkami,  prípadne aj s ďalšími komponentmi.

Svojou architektúrou sú tieto systémy určené do stredných a veľkých inštalácií, ktoré obslúžia vďaka dĺžke prenosových liniek - až 1200 m - a vhodne zvolenému počtu riadiacich jednotiek. Pre veľmi malé, alebo dokonca autonómne (jednodverové) systémy nie je hierarchická architektúra ekonomicky efektívna.

Autorizačné systémy s technológiou RFID

Prínos technológie RFID je ten, že nie je potrebná priama viditeľnosť - to znamená, že produkt môže byť skenovaný aj cez plastové obaly, pričom identifikátory nemusia byť vôbec natočené priamo k čítačke. Týmto načítaním sa odbúrava ľudská práca, kedy sa napríklad paleta alebo produkt s identifikátorom naskenuje aj keď dopravný pás nesie náklad okolo čítačky.

Pri tvorbe aplikácií spravidla spoločnosť vytvorí sieť RFID čítačiek napríklad okolo dverí, nákladných rámp a v skladoch. Keď manipulujeme s paletou a presunieme ju cez bránu, je načítaný jej identifikátor, ktorý je poslaný na aplikačný server. Ten si nájde obsah palety a priradí obsah palety do skladu. Následne sa paleta uloží do skladu napríklad Sklad A, Ulička 2, Regál A3 stred. Všetky tieto dáta zaznamená systém čítačiek a systém dokáže ihneď poskytnúť informácie, kde sa daný produkt nachádza. Špeciálnou vlastnosťou tohto systému je možnosť hľadať výrobok aj opačným smerom, teda kde sa produkt s určitým EPC číslom nachádza. Má to význam napr. pri sledovaní záručných dôb, kde sú v prvom rade vyskladňované produkty s kratšou dobou záruky.

Aby sa informácie o výrobkoch nemuseli zadávať ručne, existuje sieť EPC Network. V tejto sieti je možné vyhľadávať výrobky podľa mena. Na prepojenie medzi menom a kódom slúži služba ONS - „Object Name Service“ obdoba DNS v klasickom svete počítačov.

V aplikačnom systéme sa o výrobku vytvára PML - „Physical Markup Language“ záznam pričom PML je založené na základe jazyka XML. Je dôležité, aby aplikácie vyhodnocovali viacnásobné načítanie a manipuláciu s produktmi na základe porovnania EPC kódu. Môže sa totiž stať, že paleta alebo produkt s čipom prejde dvakrát okolo čítačky a to by znamenalo, že načítaním by došlo k nezhode so skutočným stavom.

Najviac rozšírené oblasti použitia patrí označovanie kartónov, paliet, kontejnerov a to nielen pre potreby distribučných firiem, ale aj obchodných reťazcov. Vo vývoji sú napríklad aplikácie na kontrolu vyprázdňovania odpadových nádob na triedený alebo netriedený odpad. Pre maloobchodný predaj je zaujímavá aplikácia účtovania na pokladni, to znamená, že všetko by načítal skener na pokladni v krátkom okamihu, čím by sa radikálne urýchlil prechod cez pokladňu. V poľnohospodárstve sa označujú zvieratá čipmi RFID na identifikáciu alebo vyhľadávanie.

Návrh modelu autorizačného systému pomocou technológie RFID

Autorizačné systémy sú primárne určené k riadeniu fyzického prístupu osôb do budov a priestorov na základe elektronickej identifikácie týchto osôb a zistenie práva prístupu na danom mieste a čase.

Spoločnosť, alebo podnik uvažujúci o implementácii RFID musí zhodnotiť efektívnosť a rentabilitu investície, pretože tá samozrejme nemôže byť zaručená pre každý typ aplikácie. Do nákladov je potrebné započítať napríklad aj úpravy nadväzujúceho softvéru, technickú podporu či nutné školenia zamestnancov.

Model bol vytvorený v prostredí middlewaru OnID, ktorý používame pre modelovanie a simuláciu procesov, s využitím webových technológií ako PHP a MySQL. 

Navrhovaný systém (obrázok 1) sa skladá z dvoch hlavných častí – interný okruh a externý okruh. Tieto okruhy sú navzájom prepojené. Hlavnou úlohou modelu je identifikovať vstupujúci subjekt na báze jednoznačného identifikačného čísla a na jeho základe rozpoznať práva jednotlivých užívateľov. 

Každá oprávnená osoba, ktorá vstupuje do systému je identifikovaná unikátnym číslom, ktoré získame načítaním RFID čipu. Pri vstupe sa musia autentizovať pomocou tohto prideleného čipu, ktorý je nositeľom ich oprávnení. Podľa jednoznačného čísla systém povolí alebo zamietne požadovanú akciu.

Každá zmena je zaznamenaná v histórii a oprávnená osoba si ju môže kvôli kontrole kedykoľvek prezrieť. V histórii sú zaznamenané v časovej súslednosti všetky prihlásenia a odhlásenia s prehľadom práv, ktoré v tej dobe daný užívateľ mal. Jednotlivé práva môžu byť pridelené nielen jednotlivcom ale podľa funkcie subjektov hromadne - celej skupine osôb. 

modelsystemuRFID

Obr. 1  Model navrhovaného RFID systému

Modul 1 – vstup do systému - funkcia: pri načítaní identifikátoru čítačkou sú dáta prichádzajúce cez procesor „intermec“ poslané do procesora „decoupler“, kde sú následne vytriedené a pripravené na ďalšie použitie - základná zostava procesorov je vlastne sústava prvkov, ktorá je nutná v každej takejto aplikácii je na obr. 2.

Modul 2 - výstupy a uloženie do databázy - výstupy slúžia na sledovanie stavu čítania. Majú rovnakú funkciu avšak ich výstup je v inom grafickom rozhraní - dáta, ktoré nám pripravil EarlyDecoupler sú v dvoch prípadoch poslané na výstup, čo znamená, že v reálnom čase môžeme sledovať načítavanie identifikátorov a informácií o nich. V treťom prípade sú tie isté dáta poslané cez časový a dátumový transformačné procesory, ktoré im priradia čas a dátum a následne sú uložené do databázy „onid“ s definovaným formátom.

Modul 3 – autorizačné porovnanie - autorizačné porovnanie znamená, že identifikátor, ktorý vstupuje do procesora Check1vstup je porovnaný s referenčnou tabuľkou. Referenčná tabuľka je zoznam identifikátorov, ktoré majú prístup do daného systému a majú určité užívateľské práva. Tento procesor vykonáva identifikáciu vstupujúcej osoby. A to na princípe, že dopytuje referenčnú tabuľku, t.j. prichádzajúce identifikátory sú triedené na základe pridelených práv v referenčnej tabuľke. Odmietnuté identifikátory sú zapísané do databázy. Vpustené identifikátory následne vstupujú do systému, pričom sú uložené do databázy so vstupným parametrom.

Modul 4 - Príchod a odchod - rieši otázku príchodu a odchodu identifikátorov/objektov do a zo systému. V procesore „NacitanieB“ sa z referenčnej tabuľky načítava hodnota „count“, podľa vstupujúceho  identifikačného čísla identifikátoru do premennej BBB. Po načítaní sú dve možnosti pokračovania.

Každý prichádzajúci identifikátor nesie so sebou informáciu, pomocou ktorej ho filtre prepustia ďalej. Ak prichádzame, identifikátor nesie hodnotu „0“ a smeruje do vetvy príchodu, kde sa identifikátoru následne pridelí hodnota „1“. Ak je identifikátor načítaný druhýkrát, prvý filter ho odmietne pretože má nastavenú hodnotu na „1“, pričom ho prepustí druhý filter do vetvy odchodu. Tam sa identifikátoru v databáze opäť priradí hodnota „0“.

Zhrnutie poznatkov

Jednoznačne označený objekt, to znamená označený identifikátorom, vstupuje do oblasti čítania, kde sa na krátky moment zastaví, pretože čaká na autorizačné povolenie pre prechod cez bránu.

V momente keď je identifikátor načítaný, spracuje ho čítačka a pošle do aplikácie. Na úvod mu aplikácia pridelí časovú a dátumovú značku, s ktorými sa zapíše vstupujúci identifikátor do databázy pre sledovanie vstupu. Následne pokračuje do porovnávacieho procesora, kde je identifikačné číslo identifikátoru porovnávané s referenčnou tabuľkou. V referenčnej tabuľke je zoznam identifikátorov s povoleným vstupom. Ak sa prichádzajúci identifikátor nenachádza v tabuľke procesor ho upozorní, že nemá práva na prechod cez bránu pričom ho nepustí ďalej a uloží jeho pokus o prístup do databázy ako odmietnutý identifikátor. V inom prípade, ak je identifikačné číslo zhodné s identifikátorom v referenčnej tabuľke, tento procesor ho vpustí do systému a uloží toto povolenie do databázy vstupu.

V referenčnej tabuľke je pri každom identifikátoru uložený parameter, ktorý indikuje či je daný identifikátor už v systéme, alebo tam nie je. Štandardne je pri každom novom identifikátoru nastavená hodnota nula, čo znamená, že je mimo systému.   

Vstupujúci identifikátor je v referenčnej tabuľke a bol vpustený do systému. V tom momente sa však načítava parameter, ktorý ma identifikátor v referenčnej tabuľke. V našom prípade tam má nulu, čiže subjekt vstupuje do systému, identifikátor so všetkými informáciami sa uloží do databázy príchodu a aplikácia spustí prehrávač, v ktorom sa spustí uvítacia správa.

Ak má vstupujúci identifikátor v parametri číslo jedna, v tom prípade je vedený vo vetve odchodu, čo znamená, že identifikačné číslo a doplňujúce informácie sú uložené v databáze odchodu a prehratá je správa pre odchod.

Ukážka vlastného riešenia

Vzhľadom na rozsah a "nezaujímavosť a prílišné detaily" vlastného technického riešenia si ukážeme len riešenie niektorých modulov v prostredí riadiaceho middlewaru OnID a to modul1, modul2 vstup do systému z RFID brány a zápis do databázy a modul 4 - príchod a odchod, na základe overenia prostredníctvo modulu 3. 

 bod2

Obr. 2. Modul 2 - Výstupy a zápis do databázy

bod4

Obr. 3.  Modul 4 - príchod a odchod

Záver

Príspevok ukazuje možnosť využitia technológie RFID ako nástroja pre realizáciu prístupových systémov. Súčasťou riešenia bolo aj overovanie spoľahlivosti tohto systému a vyhodnotenie jeho účinnosti, vzhľadom na čitateľnosť RFID prvkov.  Testy sme realizovali snavrhovaným modelom aaplikáciou. Primárne sme použili tagy M-Shield aM-Nano, ako aj jeden tag Alien skonštrukciou smart label pre odskúšanie funkčnosti aschopností systému. Merania boli zamerané na umiestnenie tagu pri bežnej prevádzke, tak ako sú bežne nosené. Predpokladom bolo, že vreálnej prevádzke by každý pracovník mal nosiť identifikačný preukaz so sebou avrámci možnosti aj na viditeľnom mieste. Úspešnosť čítania bola 99,99 % - vyskytla sa jedna chyba ato pri umiestnení na páse objektu. Predpokladáme, že počas testu sa identifikátor mohol otočiť do polohy, vktorej vysielal spätný signál zlým smerom apreto antény nezachytili jeho vysielanie.

Grantová podpora:

  • 077-059ŽU-4/2010 - Implementácia nových technológií do vzdelávania (vytvorenie RFID laboratória ako podporného prvku pre vzdelávanie)
  • 1/0149/10 Difúzne procesy nových mobilných služieb a ich hodnotový reťazec
  • OPV-2009/1.2/01-SORO - Systematizácia pokrokových technológií a poznatkov medzi priemyselnou sférou a univerzitným prostredím
  • 089-068ŽU-4/2010 Aplikácia RFID pri sledovaní pohybu diplomových a bakalárskych prác v rámci univerzitného campusu

Referencie

[1] Czorič L.: Návrh autorizačného systému pomocou technológie RFID, diplomová práca, Žilinská univerzita, 2011
[2] Loveček T., Bezpečnostné systémy: bezpečnosť informačných systémov, vysokoškolská učebnica, 1. vyd. - V Žiline : Žilinská univerzita, 2007,  ISBN 978-80-8070-767-5.
[3] Madleňák R., Elektronický obchod, skriptá, ŽU v Žiline, F PEDAS, 2004. ISBN 80-8070-192-X
[4] Švadlenka L., MADLEŇÁK, R. Elektronické obchodování. Pardubice : Institut Jana Pernera, 2007. ISBN 80-86530-40-X
[5] Kolarovszki, P. - Michálek, I.: Zásady implementácie a integrácie RFID v prostredí Supply chain manažmentu. In: Svět informačních systémů 2008, medzinárodná konferencia. Zlín: Univerzita Tomáše Bati ve Zlíně, 14.-15.4. 2008, s. 196-201,  ISBN 80-7318-697-5.
[6] Kolarovszki, P., Hnatová, Z. Umiestnenie a orientácia RFID štítkov ako jeden z faktorov úspešného snímania poštových zásielok, In: Postpoint 2009: Globalization - a chance for postservices!?: Žilina, 16.-18.9.2009


Odborný vědecký časopis Trilobit | © 2009 - 2017 Fakulta aplikované informatiky UTB ve Zlíně | ISSN 1804-1795