产品有关的证件 [安全证件产品的开发与实践]

　　摘要：本文以电子护照为例，对安全证件产品的安全性、功能性、互操作性、可靠性、耐久性、质量控制等工程要求进行了介绍。 　　关键词：安全证件；电子护照 　　
　　The Development and Application of Secure Document
　　
　　LIN Qiu
　　（Shanghai Huahong Integrated Circuit Co.,Ltd, Shanghai, 201203, China）
　　
　　Abstract: For the secure documents, electronic passport as an example, the engineering requirements of the security, functionality, interoperability, reliability and durability, quality control are introduced.
　　Keywords: Secure document; Electronic passport
　　
　　1前言
　　
　　安全证件泛指采用特定安全技术，可用于证明持有人身份从而获得某种授权或资格的证件，包括旅行证件（护照、签证、海员证、通行证等）、驾驶执照、军警人员证件等多种形式。其中，护照是由某一国家或机构签发，供持证人用于国际旅行的的官方证件。“9・11”事件后，在国际民航组织（International Civil Aviation Organization，ICAO）的倡导下，世界大多数国家都在积极实施电子护照项目，加强出入境管理，防范恐怖活动。电子护照是在纸质护照中嵌入存有持证人的基本信息和生物特征信息等数据的非接触式智能卡，且能完成特定安全算法的新型电子证件。由于结合了光学字符识别（OCR）技术、非接触式通讯技术、智能卡芯片安全技术、生物识别技术和公共密钥技术等多种先进的通信、防伪与加密技术，所以电子护照能很好地解决传统护照在跨国使用时易受伪造的问题，同时也大大提高了合法持证人的通关效率。而电子护照应用系统更是一个复杂的产品系统，可能是自互联网技术应用以来全球最大的一项国际性系统工程，其主要特点是跨国界的互通互用，涉及产品互通兼容性、秘密信息交换、国际交互认证、个人隐私保护、多种应用技术融合和系统集成，乃至不同国家的安全体系等等。因此，作为全球性电子护照系统的基础部件，电子护照产品的开发需要解决安全性、可靠（耐久）性、功能性和互操作性问题，满足全球互用和信息安全的要求。本文将以电子护照为例，重点介绍安全证件产品开发的工程要求和具体实践，供大家探讨。
　　
　　2安全准则
　　
　　我们知道，信息安全与信息本身的特征、信息的存储、传输和处理技术密切相关，与系统的硬件、软件以及它们所构成的安全防范体系密切联系在一起，使信息或数据的机密性、完整性和可用性得到有效的控制和保护，防止非授权的访问以及各种缘由的信息泄漏和破坏，确保系统能连续可靠地运行。所有这些都需要采用各种行之有效的安全保障措施，这些措施包括了信息产品自身的安全控制技术、信息产品研发及生产环境的技术的或程序的安全控制措施、信息产品交付过程的技术的或程序的安全控制措施、信息产品使用环境的安全控制措施、构建系统应实现的技术和程序的安全控制的策略等。因此，正是由于电子护照在国际间人员交往中所扮演的重要角色，及其所存放的隐私数据的敏感性，必须采用各种逻辑或物理的安全措施来确保其机密性、完整性和可用性。符合ICAO规范[1,2]的第一代电子护照采用非接触式智能卡芯片，含有至少32K字节的数据存储空间，用于存放持证人的个人信息，诸如姓名、出生日期、国籍，以及持证人的面相作为生物特征数据。这些数据可以很容易通过非接触式读写设备从护照中读取，同时也进行了防篡改和防伪造的保护，如：强制的被动认证（Passive Authentication，PA），允许读写设备检查数据的一致性；强制的基本访问控制（Basic Access Control，BAC），防止持证人未知情形下的访问；可选的主动认证（Active Authentication，AA），通过公私钥机制防止芯片复制。第二代电子护照则采用更多的生物特征信息，包括指纹或虹膜，并通过扩展访问控制（Extended Access Control，EAC）[3]对隐私敏感数据进行保护。同时，产品在整个生命周期内的安全性也必须得到保证，包括产品设计、加工制造、生产测试、发行交付、物流运输等各个环节都必须纳入安全管理的范畴之内。
　　ICAO指导文件突出建议：电子护照采用的芯片IC和（或）软件COS，应遵循相应的安全准则[4]和保护轮廓[5,6]，且通过EAL4+级别的认证或验证[7]。《信息技术安全通用评估准则》（Common Criteria for Information Technology Security Evaluation，简称CC，即GB/T-18336，idt ISO/IEC 15408），正是国内外信息安全测评认证的基础标准，已得到世界范围内的广泛认可。通过产品的信息安全测评，开发者能够从良好的开发实践和正确的安全工程中获得最大限度的保证，提高IC卡产品的安全技术和安全保障能力；同时可以为行业用户提供客观、公平、公正的第三方的检测报告，以便于用户合理的选择产品，降低选型风险，维护用户的利益。
　　满足ICAO建议的EAL4+等级要求的安全认证工作，主要关注如下两个方面：
　　 （1） 安全技术测评
　　利用安全目标、功能规范和完备的接口规范、指导性文件、系统设计和模块设计及其实现，从不同层次或抽象级别上表示安全功能，以保证安全功能要求的实现且满足预期使用环境对其安全性的要求；通过开发者自身的测试和充分性分析，以及评估者的独立功能性测试、脆弱性分析和穿透性测试（时间分析、扰动攻击、旁路攻击、随机性检测等），确认产品达到了预期的安全目标，实现了安全功能。
　　 （2） 安全管理评估
　　具备有效的配置管理和缺陷跟踪制度，使产品实现过程有序，变更过程可控，减少意外和未授权修改；对整个生命周期中的开发、生产、交付等环境、流程、工具、技术等中采用合理有效的安全保护措施或检测手段（门禁控制、区域管理、环境监控、人员安全、安全策略等），保证产品或信息的机密性和完整性。
　　由此可见，产品满足EAL4+安全等级要求，说明企业有能力开发出具有一定安全性、满足一定安全要求的产品，使最终用户能够判断无论从技术上还是管理上，产品的产生过程是完整而规范的，对其安全性保障是充分而能有效实现其自身价值的。中国实施统一的信息安全认证认可体系，与国际上的测评机构保持同样的工作程序和质量水平，在具体测评方法上也依照国际上认可的通用评估方法，从而保证了无论是测评认证程序还是具体方法都与国外测评机构一致。国内诸多厂商的电子护照相关产品都已通过测评认证，为产品应用走出国门打下了坚实基础。
　　
　　3符合性
　　
　　如前文所述，电子护照必须满足互通互用要求，可在世界各地的边检口岸使用，也即：各种不同的查验系统能够读取所有的护照（信息）――数据结构相同但芯片却可能来自不同的制造商，而且查验系统能够正确地使用所获取的信息。2008年，国际民航组织对生物识别信息在机读旅行证件中的存储种类、存储方式、数据逻辑结构[8]、基础架构[9]等方面进行了明确规定。随着技术的进步和实践经验的积累，ICAO、英国标准协会（British Standards Institution，BSI）等权威机构此后又陆续提出了一系列的技术指引或测试规范，在应用技术及安全方法上极大地保证了电子护照的全球互操作性。
　　参考开放系统互连OSI（Open System Interconnection）层次模型，电子护照（芯片IC+软件COS）及查验系统（读写设备）的符合性内容的层次划分，如表1所示。
　　功能性和互操作性测试的具体项目如表2和表3所示。
　　对于护照证本，也必须满足抗老化和耐久性测试要求[19]，包括：笔划涂写、扭弯曲、开合翻折、敲章、高低温存储、工作环境、温度循环、抗X-射线/化学品等测试内容。
　　
　　4质量控制
　　
　　电子护照的发行部署，将对所有参与者或角色（申请数据录入、个人化、边检流程、政府部门等）带来更大复杂性的挑战，BSI针对申请材料（生物特征）的数据采集、准备和标准化、质量要求以及传输等制定了强制性的技术指引TR-03104系列和测试规范TR-0318系列，以保证生物特征数据和电子护照生产的质量。
　　
　　5后记
　　
　　截至2010年底，全球已有90多个国家和地区推行电子护照，包括中国的港澳和台湾地区。中国从2011年7月1日起，凡是在北京符合因公护照申请要求的人员，都可以申领因公电子护照，外交部将于9月开始在北京之外的辽宁、浙江、福建三个试点省签发因公电子护照，并逐步向全国推广，计划于2012年完成因公电子护照项目在全国的签发。在欧美等发达国家或地区，电子护照技术已经完成了产业化，促进了相关安全技术应用于电子签证、身份证件等领域，并将进一步向多功能应用方向发展。
　　上海华虹集成电路有限责任公司设计开发的SHC1124安全产品[20]，从项目立项、规格定义伊始，就完全遵照CC准则以及ICAO规范的要求，严格管理产品开发过程，并通过了国内信息处理产品标准符合性测试和EAL4+安全测评认证，以及国外安全技术测试和ICAO电子护照符合性测试，可以应用于安全证件、身份识别、金融支付、访问控制、签名认证等领域。公司将继续致力于对产品的全过程控制和持续改进，提升国内在以智能卡为代表的高安全应用领域的研究水平，不断为各行各业提供满足客户应用要求的安全产品。
　　
　　参考文献
　　[1] ICAO Doc 9303, Machine Readable Travel Documents, Part 1 - Machine Readable Passports, Sixth Edition, 2006, International Civil Aviation Organization
　　[2] ICAO Doc 9303, Machine Readable Travel Documents, Part 3 - Machine Readable Official Documents, Third Edition, 2008, International Civil Aviation Organization
　　[3] Technical Guideline Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC), Version 1.11, TR-03110, Bundesamt für Sicherheit in der Informationstechnik (BSI), 21.02.2008
　　[4] Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 3, July 2009, .de
　　[5] Common Criteria Protection Profile Machine Readable Travel Document with "ICAO Application", Basic Access Control, Version 1.10, BSI-PP-0055, 25th March 2009
　　[6] Common Criteria Protection Profile Machine Readable Travel Document with "ICAO Application", Extended Access Control, Version 1.10, BSI-PP-0056, 25th March 2009
　　[7] Guide to Interfacing e-MRTDs and Inspection Systems，Version-1.0, Date - February 14, 2005, published by authority of the secretary general, International Civil Aviation Organization
　　[8] Machine Readable Travel Documents Technical Report, Development of a Logical Data Structure - LDS, For Optional Capacity Expansion Technologies, Revision - 1.7, published by authority of the secretary general, International Civil Aviation Organization, LDS 1.7, 2004-05-18
　　[9] Machine Readable Travel Documents Technical Report, PKI for Machine Readable Travel Documents Offering ICC Read-Only Access, Version 1.1, October 01, 2004, published by authority of the secretary general, International Civil Aviation Organization
　　[10] RF Protocol and Application Test Standard For E-Passport - Part 2: Tests for Air Interface, Initialisation, Anticollision and Transport Protocol, Version 1.02, Feb 20, 2007
　　[11] BSI TR-03105 Part 2 Test Plan for ICAO compliant MRTD with Secure Contactless Integrated Circuit (Layer 1-4), Version 2.2, 01.12.2009
　　[12] RF Protocol and Application Test Standard For E-Passport - Part 4: E-Passport Reader Tests for Air Interface, Initialisation, Anticollision and Transport Protocol, Version 1.01, Feb 20, 2007
　　[13] BSI TR-03105 Part 4 Test plan for ICAO compliant Proximity Coupling Device (PCD) on Layer 2-4 Version 2.2, 17.03.2010
　　[14] RF Protocol and Application Test Standard For E-Passport - Part 3: Tests for Application Protocol and Logical Data Structure, Version 1.01, Feb 20, 2007
　　[15] BSI TR-03105 Part 3.1 Test plan for Application Protocol and Logical Data Structure (Layer 6-7), Version 1.1.1, 14.11.2008
　　[16] BSI TR-03105 Part 3.2 Test plan for eMRTDs with Advanced Security Mechanisms -EAC 1.11, Version 1.12, 03.10.2008
　　[17] EAC Tests for Security Implementation, v1.12, Oct 3,2008
　　[18] BSI TR-03105 Part 5.1 Test plan for ICAO compliant Inspection Systems with EAC Version 1.2,11.09.2009, 11.09.2009
　　[19] Technical Report Durability of Machine Readable Passports v3.2, 30-08-2006
　　[20] 安全控制芯片SHC1124综述，林秋，《卡技术与安全》2010年4月刊
　　
　　作者简介
　　林秋，合肥工业大学工学硕士，复旦大学MBA，长期致力于团队管理和工程实践，以及智能卡系统应用及其安全技术的研究。