新聞中心

EEPW首頁 > 測(cè)試測(cè)量 > 設(shè)計(jì)應(yīng)用 > 電子護(hù)照安全機(jī)制及測(cè)試

電子護(hù)照安全機(jī)制及測(cè)試

作者: 時(shí)間:2011-05-18 來源:網(wǎng)絡(luò) 收藏

  911事件之后,以安全防偽、航空保安和出入境管制為目標(biāo)的機(jī)讀旅行證件技術(shù)不斷發(fā)展,就是其中之一。目前已有安全措施覆蓋芯片制造、生產(chǎn)印刷和簽發(fā)使用。電子化在帶來便利的同時(shí)也帶來了安全防偽抗攻擊的新課題,作為標(biāo)準(zhǔn)化產(chǎn)品,改變安全配置項(xiàng)意味著系統(tǒng)性升級(jí)改造。當(dāng)前狀況適合采用哪種、如何驗(yàn)證是否達(dá)到最初設(shè)計(jì)預(yù)期、如何兼容未來技術(shù)發(fā)展正成為焦點(diǎn)。本文結(jié)合的多種,分析其優(yōu)缺點(diǎn),給出了系統(tǒng)安全驗(yàn)證解決方案,為產(chǎn)品的驗(yàn)收、逐代推出和升級(jí)改造提供參考依據(jù)。

本文引用地址:http://m.butianyuan.cn/article/194957.htm

  

  電子護(hù)照安全機(jī)制

  在ICAO制訂的標(biāo)準(zhǔn)DOC9303中,定義了兩類安全機(jī)制,即數(shù)據(jù)認(rèn)證機(jī)制和訪問控制機(jī)制。數(shù)據(jù)認(rèn)證機(jī)制包括被動(dòng)認(rèn)證(Passive Authentication,PA)和主動(dòng)認(rèn)證(Active Authentication,AA);訪問控制機(jī)制包括基本訪問控制(Basic Access Control,BAC)和擴(kuò)展訪問控制(Extended Access Control,EAC),最近又基于PACE(Password Authenticated Connection Establishment)協(xié)議,作為BAC的補(bǔ)充制定了SAC(Supplemental Access Control)規(guī)范。在ICAO標(biāo)準(zhǔn)中,對(duì)PA/AA/BAC/SAC有明確定義并制定了詳細(xì)的標(biāo)準(zhǔn),在歐洲BSI標(biāo)準(zhǔn)中則制訂了EAC相關(guān)標(biāo)準(zhǔn),分別為EAC v1.11和EAC v2.0,另外制定了針對(duì)v1.11的測(cè)試標(biāo)準(zhǔn)EAC v1.12,EAC作為可選安全選項(xiàng)在荷蘭、比利時(shí)、芬蘭等國(guó)已使用,美英日尚未使用,默認(rèn)接受克隆欺詐。

  

  基于以上安全機(jī)制,可將電子護(hù)照劃分為四代,第一代為明文,僅支持PA;第二代支持BAC/AA;第三代支持SAC;第四代支持EAC。其中第一代實(shí)現(xiàn)了電子化,但安全準(zhǔn)確性由檢查系統(tǒng)(IS)來保證,明文通信易被偷聽和克??;第二代加入了BAC或AA,BAC基于DES和Hash實(shí)現(xiàn)線路保護(hù),AA則實(shí)現(xiàn)芯片真?zhèn)悟?yàn)證,能防偷聽克隆;第三代引入SAC增強(qiáng)了BAC線路保護(hù)低熵特性,基于DH/ECDH算法建立了更強(qiáng)的線路保護(hù);第四代為EAC,實(shí)現(xiàn)芯片身份真?zhèn)悟?yàn)證并基于非對(duì)稱算法對(duì)檢查系統(tǒng)身份真?zhèn)芜M(jìn)行驗(yàn)證。目前實(shí)際發(fā)行國(guó)家多采用第二代BAC,而第四代EAC多在歐洲國(guó)家使用,第三代SAC剛出現(xiàn)不久,預(yù)計(jì)將會(huì)逐步取代第二代BAC。

  電子護(hù)照安全機(jī)制的局限性

  在安全防偽技術(shù)中,有三個(gè)要求:身份認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性(見表1)。

  

  BAC通過挑戰(zhàn)應(yīng)答協(xié)議實(shí)現(xiàn),即以MRZ的哈希值為種子進(jìn)行密鑰分散得到基本訪問密鑰對(duì)(KENC,KMAC), 然后通過GetChallenge和Mutual Authentication兩條指令實(shí)現(xiàn)挑戰(zhàn)應(yīng)答協(xié)議,建立會(huì)話密鑰并結(jié)合包含隨機(jī)數(shù)的消息序列計(jì)數(shù)器進(jìn)行基于對(duì)稱密鑰算法的線路保護(hù)。BAC的缺點(diǎn)是通過MRZ中的證件號(hào)、出生日期和有效期來生成共享密鑰,具有有限的隨機(jī)性且基于對(duì)稱密鑰算法,改進(jìn)方法包括:MRZ要OCR讀二維條形碼而非目視;增加私鑰計(jì)算長(zhǎng)度。


上一頁 1 2 3 下一頁

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉