Сборка безопасного самодельного RFID-замка на ESP8266 и PN532

Почему этот проект нужен

RFID‑замки на рынке иногда уязвимы: внешний модуль легко обойти механическим воздействием, а у многих устройств отсутствует удобный интерфейс управления картами. Этот проект показывает, как сделать безопасную систему, где считыватель и управляющий контроллер находятся внутри, а управление доступом ведётся через локальную веб‑панель. Вы получите: локальный контроль пользователей, возможность отзыва карт, интеграцию с существующим замком и базовые меры безопасности для предотвращения простого обхода.

Что потребуется

Ниже — локализованный и расширенный список компонентов и инструментов.

• WeMos D1 Mini (ESP8266). Подойдёт NodeMCU при желании.
• Одноканальное реле 5 В (реле для управления цепью замка, на твердотельном модуле или механическое — по выбору).
• PN532 RFID/NFC модуль (рекомендуем за компактность и дальность считывания). Альтернатива: MFRC522, RDM6300 или Wiegand‑интерфейсные считыватели для интеграции с системами доступа.
• Набор Dupont проводов (male–female или female–female), или женская «berg» шина для удобного соединения.
• Micro‑USB кабель для питания и прошивки.
• Паяльник и припой; изолента или термоусадочные трубки для надёжной изоляции.
• Источник питания 5 В для питания модуля и реле (может потребоваться отдельный источник для реле в зависимости от тока замка).
• Электронный дверной замок (соленоид/электромеханический замок) с разрывным переключателем питания или управляющим контактом, который можно переключать реле.
• Комплект RFID карт/меток и при необходимости смартфон с NFC (если модуль поддерживает смартфон‑NFC).

Важно: при работе с цепями питания дверного замка соблюдайте правила безопасности. Если не уверены, привлеките электрика.

Короткая методика работы

1. Скачать и распаковать прошивку ESP-RFID.
2. Прошить WeMos D1 Mini через ESPHomeFlasher.
3. Настроить точки доступа и параметры PN532 в веб‑интерфейсе.
4. Подключить PN532 и реле к D1 Mini по SPI и GPIO.
5. Зарегистрировать пользователей и карты в веб‑интерфейсе.
6. Подключить контакты замка к реле и проверить работу.

Прошивка D1 Mini (ESP-RFID)

1. Скачайте архив esp-rfid-1.0.2.zip и распакуйте на рабочем столе. В архиве есть файл generic.bin. При желании можно попробовать нестабильную сборку v1.3.3, но она может содержать баги.

2. Скачайте и запустите ESPHomeFlasher (доступна версия для Windows/macOS/Linux).

3. Подключите D1 Mini или NodeMCU к компьютеру через Micro‑USB.

4. В ESPHomeFlasher нажмите обновить список COM‑портов и выберите порт, в который подключено устройство.

5. Нажмите “Browse” и укажите файл generic.bin из распакованной папки.

6. Нажмите “Flash ESP” и дождитесь завершения. Процесс займёт несколько секунд.

После прошивки устройство автоматически перезапустится и создаст открытый Wi‑Fi‑точку доступа для первичной настройки.

Настройка параметров RFID в веб‑интерфейсе

1. Подключите смартфон к Wi‑Fi сети ESP-RFID‑xxxxx (открытая сеть). Отключите мобильный интернет при подключении, чтобы устройство по IP открывалось локально.

2. Откройте браузер и перейдите по адресу http://192.168.4.1. Логин: admin (по умолчанию).

3. Перейдите в Menu > Hardware Settings и выберите параметры:

   • Reader Type: PN532
   • SPI SS: GPIO‑2 (если используется SPI)
   • Оставьте остальные параметры по умолчанию и нажмите Save

4. Menu > Settings > General Settings: смените Admin Password на сложный пароль. Это критично для безопасности.

5. При необходимости измените Host Name и настройте Auto Restart (опционально).

6. Menu > Wireless Network: задайте надёжный пароль для точки доступа или выберите Client и подключите устройство к вашей ЛВС. Если подключаете к домашней сети — назначьте статический IP в настройках роутера для удобства.

7. Нажмите Save & Reboot. Подождите перезапуска.

Важно: смена пароля администратора и Wi‑Fi‑пароля обязательна. Не используйте простые пароли вроде “admin”.

Подключение PN532 и реле к D1 Mini (схема)

Отключите питание перед подключением модулей. Ниже — удобная таблица соответствия выводов. Пояснения: PN532 в этой конфигурации работает по SPI; реле использует один цифровой вход для сигнала.

Пример: подключите выход реле INPUT к выбранному GPIO D4, а питание реле — к 5 В и GND. Если реле требует 5 В и потребляет значительный ток, используйте отдельный источник питания для реле и замка, общий минус с ESP.

Переключите DIP‑переключатель PN532 в режим SPI (обычно положения 0 и 1). Если установлены неверно, модуль не будет отвечать по SPI.

Если вы не уверены в распиновке вашего PN532, сравните маркировку на плате с документацией производителя.

Регистрация RFID карт и пользователей

1. Подайте питание на D1 Mini.
2. Подключитесь к сети esp‑rfid и откройте http://192.168.4.1.
3. Menu > Users.
4. Поднесите RFID‑карту или метку к PN532. На экране появится форма для добавления нового пользователя с ID карты.
5. Введите имя владельца карты.
6. Выберите Access Type: Always, Disabled или Administrator. Добавьте как минимум одну карту с правами Administrator — это ваша запасная карта для управления.
7. При необходимости задайте поле Valid until, чтобы доступ автоматически истёк.
8. Нажмите Save Changes.

Совет: держите резервную карту администратора в надёжном месте.

Подключение к дверному замку и тестирование

• Реле действует как разрыв или замыкание цепи питания замка. Подключите управляющие провода замка к контактам реле по схеме, соответствующей типу замка (NC/NO).
• Для электромагнитного замка чаще используют питание для удержания открытого состояния; для соленоидного замка — управление питанием по замыканию.
• После подключения, в веб‑интерфейсе Menu > Hardware Settings есть кнопка Test. Нажмите её для проверки срабатывания реле при отсутствии карты.

Проверьте работу: при сканировании карты с правами Always или Administrator реле должно переключиться и замок — сработать. Если нет — проверьте питание реле, правильность GPIO и распиновку PN532.

Меры безопасности и лучшие практики

Important: Безопасность — ключевой аспект. Вот набор мер, чтобы система не стала уязвимостью:

• Смена паролей: обязательно смените админ‑пароль и Wi‑Fi пароль по умолчанию.
• Ограничение физического доступа: размещайте D1 Mini и реле внутри защищённого корпуса, чтобы злоумышленник не добрался до пайки и не замкнул провода.
• Разделение питания: используйте отдельный источник питания для реле/замка, а также объединяйте общие минусы корректно. Это уменьшит риск перегорания ESP при пиках тока.
• Мониторинг: по возможности подключите логирование или интеграцию с локальной системой логов, чтобы видеть попытки доступа.
• Резервное отключение: добавьте механический выключатель или таймер, который отключает систему на период обслуживания.
• Ограничение сети: если подключаете устройство к домашней сети, используйте VLAN или сегмент гостевой сети, чтобы изолировать устройство от остальной сети.

Дополнительно: включите периодическую перезагрузку (Auto Restart) только если это необходимо; автоперезагрузка помогает при утечках памяти, но скрывает причину сбоев.

Отладка и распространённые проблемы

1. PN532 не отвечает:

   • Проверьте DIP‑переключатели — должен быть включён SPI.
   • Проверьте питание 5 В и общий GND.
   • Убедитесь, что в настройках выбран Reader Type = PN532 и SPI SS указан правильный GPIO.

2. Реле не срабатывает:

   • Проверьте, подаётся ли сигнал на GPIO реле (измерьте мультиметром).
   • Проверьте питание самого реле и допустимый ток.
   • Убедитесь, что в интерфейсе задан правильный вывод для управления реле.

3. Карта читается, но доступ не даёт:

   • Проверьте Access Type и дату истечения.
   • Убедитесь, что UID карты записан корректно (иногда считыватели возвращают UID в другом формате).

4. Слабый радиус чтения:

   • Попробуйте другую антенну или другой тип метки. PN532 обычно чувствителен к ориентации метки.

Критерии приёмки

• Устройство прошито и обеспечивает доступ к веб‑интерфейсу.
• Минимум одна карта с правами администратора зарегистрирована.
• Реле корректно переключает цепь замка при сканировании карты.
• Пароли изменены, устройство защищено физически.

Альтернативные подходы

• Wiegand‑считыватель + контроллер доступа: если ваш замок требует корпоративного интерфейса, используйте Wiegand и готовые контроллеры. Это дороже, но стандартизировано.
• MFRC522: дешевле PN532, но может иметь меньший радиус чтения и сложнее с NFC‑смартфонами.
• Готовые коммерческие контроллеры с облачной интеграцией: удобны для управления и резервирования, но дают зависимость от внешних сервисов.

Когда этот DIY‑подход не подходит

• Если требуется соответствие требованиям безопасности объекта с высоким уровнем защиты (сертификация, аудит).
• Если нет возможности физически защитить электронные компоненты от взлома.

Роли и чек‑листы при вводе в эксплуатацию

Инсталлятор (электрик / техник):

• Проверил питание и нагрузку реле.
• Установил устройство в защищённый короб.
• Подключил замок и проверил механическую часть.

Администратор (владелец):

• Изменил admin‑пароль и Wi‑Fi‑пароль.
• Зарегистрировал минимум одну админ‑карту и тестовую карту.
• Прописал правила Access Type и даты истечения.

Оператор (тот, кто выдает карты):

• Ввел имя владельца и назначил тип доступа.
• Сохранил резервный список карт и журнал выдачи.

Мини‑шпаргалка распайки (cheat sheet)

• PN532: VCC = 5 V, GND = G, MOSI = D7, MISO = D6, SCK = D5, SS = D8 (или как указано в настройках).
• Реле IN = D4 (в примере), VCC = 5 V, GND = GND.
• Если реле активируется при LOW, поменяйте логику в настройках или используйте инвертирующий транзистор.

Безопасность данных и приватность

• Система хранит минимум персональных данных: имя владельца карты и UID метки. Храните журнал доступа локально и защищайте резервные копии.
• Если используете смартфоны с NFC, убедитесь, что UID смартфона не пересылается в облако без шифрования.
• Для предприятий: рассмотрите шифрование логов и регулярное удаление старых записей.

Краткое резюме и рекомендации

Собранная DIY‑система даёт локальный, управляемый и относительно безопасный доступ по RFID. Проект подходит для домашних и малых офисных применений, требует базовых навыков пайки и конфигурации сетевых устройств. Обязательные шаги ради безопасности: смена паролей, изоляция модулей, резервная админ‑карта и ограничение доступа по сети.

Ключевые советы:

• Всегда меняйте пароли по умолчанию.
• Размещайте электронику внутри защищённого корпуса.
• Проводите тесты работы реле и долговременные испытания перед сдачей в эксплуатацию.

FAQ

Q: Можно ли использовать смартфон вместо карты?
A: Да, если PN532 поддерживает NFC‑режим для смартфонов, вы можете зарегистрировать UID смартфона как метку. Учтите различия в UID и безопасность.

Q: Что делать, если у меня мощный замок с высоким потреблением?
A: Используйте отдельный источник питания для замка и реле, подбирайте реле с подходящим номиналом и применяйте промежуточное реле/твердотельный модуль, рассчитанный на ток замка.

Q: Нужно ли подключать устройство к интернету?
A: Необязательно. Для локального управления можно оставить устройство в режиме Access Point. Подключение к локальной сети даёт удобство и возможность централизованного логирования, но требует дополнительных мер безопасности.

Summary:

• Локальная безопасная система доступа на ESP8266 + PN532.
• Прошивка ESP‑RFID, настройки SPI, регистрация карт, подключение реле к замку.
• Меры безопасности: смена паролей, физическая защита, изоляция питания.