新聞中心

EEPW首頁 > 測試測量 > 設計應用 > 電子護照安全機制及測試

電子護照安全機制及測試

作者: 時間:2011-05-18 來源:網(wǎng)絡 收藏

  911事件之后,以安全防偽、航空保安和出入境管制為目標的機讀旅行證件技術(shù)不斷發(fā)展,就是其中之一。目前已有安全措施覆蓋芯片制造、生產(chǎn)印刷和簽發(fā)使用。電子化在帶來便利的同時也帶來了安全防偽抗攻擊的新課題,作為標準化產(chǎn)品,改變安全配置項意味著系統(tǒng)性升級改造。當前狀況適合采用哪種、如何驗證是否達到最初設計預期、如何兼容未來技術(shù)發(fā)展正成為焦點。本文結(jié)合的多種,分析其優(yōu)缺點,給出了系統(tǒng)安全驗證解決方案,為產(chǎn)品的驗收、逐代推出和升級改造提供參考依據(jù)。

本文引用地址:http://m.butianyuan.cn/article/194957.htm

  

  電子護照安全機制

  在ICAO制訂的標準DOC9303中,定義了兩類安全機制,即數(shù)據(jù)認證機制和訪問控制機制。數(shù)據(jù)認證機制包括被動認證(Passive Authentication,PA)和主動認證(Active Authentication,AA);訪問控制機制包括基本訪問控制(Basic Access Control,BAC)和擴展訪問控制(Extended Access Control,EAC),最近又基于PACE(Password Authenticated Connection Establishment)協(xié)議,作為BAC的補充制定了SAC(Supplemental Access Control)規(guī)范。在ICAO標準中,對PA/AA/BAC/SAC有明確定義并制定了詳細的標準,在歐洲BSI標準中則制訂了EAC相關(guān)標準,分別為EAC v1.11和EAC v2.0,另外制定了針對v1.11的測試標準EAC v1.12,EAC作為可選安全選項在荷蘭、比利時、芬蘭等國已使用,美英日尚未使用,默認接受克隆欺詐。

  

  基于以上安全機制,可將電子護照劃分為四代,第一代為明文,僅支持PA;第二代支持BAC/AA;第三代支持SAC;第四代支持EAC。其中第一代實現(xiàn)了電子化,但安全準確性由檢查系統(tǒng)(IS)來保證,明文通信易被偷聽和克隆;第二代加入了BAC或AA,BAC基于DES和Hash實現(xiàn)線路保護,AA則實現(xiàn)芯片真?zhèn)悟炞C,能防偷聽克??;第三代引入SAC增強了BAC線路保護低熵特性,基于DH/ECDH算法建立了更強的線路保護;第四代為EAC,實現(xiàn)芯片身份真?zhèn)悟炞C并基于非對稱算法對檢查系統(tǒng)身份真?zhèn)芜M行驗證。目前實際發(fā)行國家多采用第二代BAC,而第四代EAC多在歐洲國家使用,第三代SAC剛出現(xiàn)不久,預計將會逐步取代第二代BAC。

  電子護照安全機制的局限性

  在安全防偽技術(shù)中,有三個要求:身份認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性(見表1)。

  

  BAC通過挑戰(zhàn)應答協(xié)議實現(xiàn),即以MRZ的哈希值為種子進行密鑰分散得到基本訪問密鑰對(KENC,KMAC), 然后通過GetChallenge和Mutual Authentication兩條指令實現(xiàn)挑戰(zhàn)應答協(xié)議,建立會話密鑰并結(jié)合包含隨機數(shù)的消息序列計數(shù)器進行基于對稱密鑰算法的線路保護。BAC的缺點是通過MRZ中的證件號、出生日期和有效期來生成共享密鑰,具有有限的隨機性且基于對稱密鑰算法,改進方法包括:MRZ要OCR讀二維條形碼而非目視;增加私鑰計算長度。


上一頁 1 2 3 下一頁

關(guān)鍵詞: 電子護照 安全機制 測試

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉