Alustan turvallisuusarkkitehtuuri
Alla olevassa kaaviossa on yleiskatsaus Salto Space - Data-on-Card - on-premises-teknologia-alustajärjestelmästä ja sen yksittäisistä komponenteista.
Tällä sivulla on yleiskatsaus turvallisuusstandardeihin ja -käytäntöihin, jotka liittyvät kuhunkin Salto Spacen osa-alueeseen.

1. Salto Space front-end ja Salto Space back-end
Salto Space on HTTPS TLS -verkkosovellus, ja Salto-palvelun ja käyttäjän selaimen välillä käytetään JSON-RPC-viestintäprotokollaa.
Ylläpitäjien on annettava voimassa oleva käyttäjätunnus ja salasana, jotta he voivat kirjautua front-end-sovellukseen. Valitusta konfiguraatiosta riippuen nämä tunnistetiedot validoidaan joko Salto-tietokantaa tai LDAP-protokollan kautta toimivaa hakemistopalvelua vasten.
Salasanat tallennetaan tietokantaan vahvoja salausalgoritmeja käyttäen.
2. Salto Space back-end ja SQL-tietokanta
Tietokannan ja Salto-palvelun välinen viestintä on suojattu TLS-protokollalla.
3. SQL-tietokanta
Tämä sijaitsee turvallisessa paikassa asiakkaan datakeskuksessa (tietokanta sijaitsee asiakkaan tiloissa). Loogista pääsyä tietokantaan hallitaan käyttäjätunnuksen ja salasanatodennuksen avulla. Tämä todennus voi tapahtua SQL- tai Windows-tilassa tietokannan asennusprosessin aikana tehtyjen asetusten perusteella.
Arkaluonteiset tiedot, kuten käyttäjätunnukset ja salausavaimet, salataan.
Pääsy tietokantaan tapahtuu vain Salto Space -palvelun kautta. Käyttäjät eivät pääse suoraan tietokantaan.
4. Salto Space back-end ja ovipääte / yhdyskäytävä
Salto-palvelun ja Salto-kulunvalvontalaitteiden tai -yhdyskäytävien välinen viestintä tapahtuu Ethernetin välityksellä, ja tämä viestintä on suojattu suojatulla UDP-datagrammeihin perustuvalla verkkoprotokollalla. Molemmat osapuolet todennetaan vastavuoroisesti, ja käytössä ovat vahvat salausalgoritmit. Käytetyt salausavaimet salataan ja säilytetään turvallisesti.
Salto-palvelun ja Salto-kulunvalvontajärjestelmän ovipäätteen tai yhdyskäytävien välillä on todennusprosessi, jonka avulla jaetaan yhteinen istuntoavain, mikä suojaa viestintää.
5. Ovipääte, seinälukija, yhdyskäytävä ja solmu
Salto*-yhdyskäytävien ja -solmujen välinen langallinen viestintä perustuu fyysiseen RS485-viestintään, ja se on suojattu vahvalla suojausprotokollalla. Tässä viestinnässä käytetään vahvoja salausalgoritmeja. Käytetyt salausavaimet salataan ja säilytetään turvallisesti.
*Ovipääte, seinälukija ja yhdyskäytävät sekä solmu on.
6. Solmun / sisäisen solmun ovilukko. Suoraan tai toistimen kautta
- Salto RFnet: Salto käyttää IEEE 802.15.4 -standardiin perustuvaa RF-viestintäprotokollaa, jossa kaikki sovellustietoja sisältävät merkkijonot todennetaan ja salataan suojatussa tilassa, jossa käytetään vahvoja salausalgoritmeja. Käytetyt salausavaimet salataan ja säilytetään turvallisesti.
- BLUEnet: Tämä viestintä perustuu BLE-viestintäprotokollaan, joka käyttää ovien kanssa kommunikointiin taajuushyppelymekanismia. Datakehikot todennetaan ja salataan suojatussa tilassa käyttäen vahvoja salausalgoritmeja. Käytetyt salausavaimet salataan ja säilytetään turvallisesti.
7. Kortin seinälukija / elektroniset lukot
Korttien lukemiseen ja tietojen suojaamiseen liittyvä turvallisuus riippuu käytetystä kortista eli itse kortin tekniikasta, MIFARE DESFire EV2, HID iClass jne., siten, että salausmekanismi perustuu kortin tekniikkaan, AES, DES, 3DES, Crypto1 jne.
Kortit on suojattu Salto-suojausavaimilla. Nämä suojausavaimet siirretään kortteihin, kun SALTOn suojattu laite luo (myöntää) sovelluksen: NCoder ja/tai seinälukijat.
Lisäksi Salto tarjoaa erityyppisiä käyttäjän todennusprosesseja, joita voidaan yhdistää (kaksivaiheinen todennus) asennuksen turvallisuuden lisäämiseksi: kortti + PIN, kortti + biometria tai PIN + biometria.
8. Kulkupisteet ja kannettava ovienohjelmointilaite
Suojausavaimet salataan ja lähetetään Salto-käyttöpisteisiin Salton kannettavalla ovienohjelmointilaitteella. Salton kulkupiste todentaa ovienohjelmointilaitteen vahvan salausalgoritmin avulla.
9. Salto Space back-end ja NCoder
Salto Space -palvelun ja Salto NCoderin välinen viestintä on suojattu suojatulla salausprotokollalla.
10. JustIN Mobile – digitaaliset avaimet
Yhteydet Salton JustIN Mobile -pilvipalveluun Salto ProAccess Space -tilanhallintaohjelmistosta tai JustIN Mobile -sovelluksesta suojataan HTTPS-protokollalla. API:n luottamukselliset tiedot tallennetaan hajautetussa muodossa JustIN Mobile -pilvipalveluun.
NCoder salaa digitaalisen avaimen ja koteloi sen tunnisteeseen. Tämän tunnisteen voi avata vain Salto-kulkupiste, mikä tarkoittaa, että digitaalinen avain on salattu päästä päähän, NCoderista lukijaan. Tunnistetta ei koskaan tallenneta JustIN Mobile -pilvipalveluun. JustIN Mobile -pilvipalvelu toimii siltana back endin ja mobiilisovelluksen välillä.
Sama pätee, jos käytetään kolmannen osapuolen pilvipalvelua: NCoder luo tunnisteen, ja vain Salto-käyttöpisteen lukija voi avata sen. Tämä tarkoittaa, että tässäkin tapauksessa mobiiliavaimeen sovelletaan päästä päähän -salausta.
11. JustIN-mobiilisovellus ja älylukot
Salausalgoritmit suojaavat Salto-yhteyspisteen ja mobiilisovelluksen välisen viestinnän. Tällä mekanismilla vältetään replay-hyökkäys ja taataan tunnisteen eheys.