www.久久久久|狼友网站av天堂|精品国产无码a片|一级av色欲av|91在线播放视频|亚洲无码主播在线|国产精品草久在线|明星AV网站在线|污污内射久久一区|婷婷综合视频网站

當(dāng)前位置:首頁 > 測試測量 > 測試測量
[導(dǎo)讀]電子護(hù)照作為二代身 份證后的另一個重量級身份識別產(chǎn)品,必然要經(jīng)歷不同階段的演化,尤其是安全機(jī)制,基于第二代BAC已是成熟技術(shù),新引進(jìn)的SAC作為第三代在實(shí)現(xiàn)上也已比較成熟,假以時日必能得到推廣,而歐洲標(biāo)準(zhǔn)EAC作為第四代和一種更為復(fù)雜的安全機(jī)制,必將引起重視并影響電子護(hù)照的發(fā)展和升級換代。

  911事件之后,以安全防偽、航空保安和出入境管制為目標(biāo)的機(jī)讀旅行證件技術(shù)不斷發(fā)展,電子護(hù)照就是其中之一。目前已有安全措施覆蓋芯片制造、生產(chǎn)印刷和簽發(fā)使用。電子化在帶來便利的同時也帶來了安全防偽抗攻擊的新課題,作為標(biāo)準(zhǔn)化產(chǎn)品,改變安全配置項(xiàng)意味著系統(tǒng)性升級改造。當(dāng)前狀況適合采用哪種安全機(jī)制、如何驗(yàn)證安全機(jī)制是否達(dá)到最初設(shè)計(jì)預(yù)期、如何兼容未來技術(shù)發(fā)展正成為焦點(diǎn)。本文結(jié)合電子護(hù)照的多種安全機(jī)制,分析其優(yōu)缺點(diǎn),給出了系統(tǒng)安全測試驗(yàn)證解決方案,為電子護(hù)照產(chǎn)品的測試驗(yàn)收、逐代推出和升級改造提供參考依據(jù)。

  

  電子護(hù)照安全機(jī)制

  在ICAO制訂的標(biāo)準(zhǔn)DOC9303中,定義了兩類安全機(jī)制,即數(shù)據(jù)認(rèn)證機(jī)制和訪問控制機(jī)制。數(shù)據(jù)認(rèn)證機(jī)制包括被動認(rèn)證(Passive Authentication,PA)和主動認(rèn)證(Active Authentication,AA);訪問控制機(jī)制包括基本訪問控制(Basic Access Control,BAC)和擴(kuò)展訪問控制(Extended Access Control,EAC),最近又基于PACE(Password Authenticated Connection Establishment)協(xié)議,作為BAC的補(bǔ)充制定了SAC(Supplemental Access Control)規(guī)范。在ICAO標(biāo)準(zhǔn)中,對PA/AA/BAC/SAC有明確定義并制定了詳細(xì)的測試標(biāo)準(zhǔn),在歐洲BSI標(biāo)準(zhǔn)中則制訂了EAC相關(guān)標(biāo)準(zhǔn),分別為EAC v1.11和EAC v2.0,另外制定了針對v1.11的測試標(biāo)準(zhǔn)EAC v1.12,EAC作為可選安全選項(xiàng)在荷蘭、比利時、芬蘭等國已使用,美英日尚未使用,默認(rèn)接受克隆欺詐。

  

  基于以上安全機(jī)制,可將電子護(hù)照劃分為四代,第一代為明文,僅支持PA;第二代支持BAC/AA;第三代支持SAC;第四代支持EAC。其中第一代實(shí)現(xiàn)了電子化,但安全準(zhǔn)確性由檢查系統(tǒng)(IS)來保證,明文通信易被偷聽和克隆;第二代加入了BAC或AA,BAC基于DES和Hash實(shí)現(xiàn)線路保護(hù),AA則實(shí)現(xiàn)芯片真?zhèn)悟?yàn)證,能防偷聽克??;第三代引入SAC增強(qiáng)了BAC線路保護(hù)低熵特性,基于DH/ECDH算法建立了更強(qiáng)的線路保護(hù);第四代為EAC,實(shí)現(xiàn)芯片身份真?zhèn)悟?yàn)證并基于非對稱算法對檢查系統(tǒng)身份真?zhèn)芜M(jìn)行驗(yàn)證。目前實(shí)際發(fā)行國家多采用第二代BAC,而第四代EAC多在歐洲國家使用,第三代SAC剛出現(xiàn)不久,預(yù)計(jì)將會逐步取代第二代BAC。

  電子護(hù)照安全機(jī)制的局限性

  在安全防偽技術(shù)中,有三個要求:身份認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性(見表1)。

  

  BAC通過挑戰(zhàn)應(yīng)答協(xié)議實(shí)現(xiàn),即以MRZ的哈希值為種子進(jìn)行密鑰分散得到基本訪問密鑰對(KENC,KMAC), 然后通過GetChallenge和Mutual Authentication兩條指令實(shí)現(xiàn)挑戰(zhàn)應(yīng)答協(xié)議,建立會話密鑰并結(jié)合包含隨機(jī)數(shù)的消息序列計(jì)數(shù)器進(jìn)行基于對稱密鑰算法的線路保護(hù)。BAC的缺點(diǎn)是通過MRZ中的證件號、出生日期和有效期來生成共享密鑰,具有有限的隨機(jī)性且基于對稱密鑰算法,改進(jìn)方法包括:MRZ要OCR讀二維條形碼而非目視;增加私鑰計(jì)算長度。

  SAC基于PACE協(xié)議技術(shù)并通過引入非對稱算法建立跟密碼無關(guān)的更強(qiáng)的會話密鑰。當(dāng)卡片既支持PACE又支持BAC時,必須使用PACE,通關(guān)檢查系統(tǒng)必須具有PACE功能。PACE協(xié)議中使用了DH或ECDH算法,這種算法也在EAC的CA(Chip Authentication)中使用,可以認(rèn)為SAC正是ICAO將CA通過PACE協(xié)議形式引入的,這種技術(shù)仍是基于芯片運(yùn)算的(需支持AES),故該功能在電子護(hù)照推廣中對芯片運(yùn)算功能有要求。SAC的特點(diǎn)是采用密鑰交換算法,其有效性依賴于計(jì)算離散對數(shù)的難度,需要防重演攻擊和中間人攻擊,SAC采取的措施是通過隨機(jī)數(shù)來協(xié)商一個臨時全局參數(shù)用來防重演攻擊,認(rèn)證令牌用來防中間人攻擊。

  EAC的特點(diǎn)是加入了證書期限并進(jìn)行了管理,包括芯片認(rèn)證(CA)和終端認(rèn)證(TA)兩個步驟,其中CA是類似AA的技術(shù),用于驗(yàn)證電子護(hù)照中芯片的真實(shí)性,支持算法有:DH算法和ECDH算法,需要讀取DG14中公鑰信息通過密鑰交換算法產(chǎn)生新的加密通道用的密鑰對(KENC,KMAC);

  

  TA則用于認(rèn)證外部終端并檢查權(quán)限是否可訪問敏感數(shù)據(jù),在認(rèn)證外部終端時通過CVCA-》DV-》IS的證書鏈形式來認(rèn)證(其中CVCA=國家檢查CA-》發(fā)布DV證書, DV=證件檢查機(jī)構(gòu)-》發(fā)布IS證書,IS=自動化邊防檢查系統(tǒng)-》讀取護(hù)照芯片資料并做通關(guān)),認(rèn)證過程中可能會更新芯片中某些信息如最新日期、EF.CVCA中的信任點(diǎn)甚至切換使用算法類型等,支持的算法有:RSA、RSA-PSS和ECDSA等。TA需要外部證書PKI系統(tǒng)甚至ICAO PKD的支持,該功能用于認(rèn)證通關(guān)檢查系統(tǒng)或讀卡設(shè)備的合法性,實(shí)現(xiàn)了完整的雙向信任評價機(jī)制。

  電子護(hù)照安全機(jī)制測試

  目前電子護(hù)照認(rèn)證測試仍依賴于國外第三方機(jī)構(gòu),且隨著CPU技術(shù)發(fā)展,破解密鑰所需時間越來越短而護(hù)照有效期長達(dá)5或10年,安全機(jī)制及測試仍需進(jìn)一步研究和升級。此外,各國部署后支持的特征不太一樣,有的僅支持第一代PA,有的則支持到第二代BAC甚至第四代EAC,這種差異性也造成了安全漏洞。

  本文給出的測試系統(tǒng)由RFID電子護(hù)照識讀系統(tǒng)、測試平臺軟件、測試套件組成,具體見圖4。其中測試套件分為安全抗攻擊測試、一致性測試、兼容性測試。

  

  安全抗攻擊測試包括:RFID技術(shù)導(dǎo)致的近場隱蔽掃描;RFID技術(shù)導(dǎo)致的隱蔽跟蹤;14443協(xié)議層面的抗攻擊測試;防克隆防略讀測試;防竊聽測試;持有人生物特征數(shù)據(jù)泄漏導(dǎo)致的安全漏洞;安全算法本身脆弱性測試。

  該部分測試在一致性測試套件中并不涉及,與芯片攻擊測試不同,該部分是基于安全機(jī)制和經(jīng)驗(yàn)分享后的安全漏洞,是針對應(yīng)用而言的,而芯片攻擊測試是基于硬件的,采用如SPA/DPA、SEMA/DEMA、DFA、時間分析攻擊/差分耗時攻擊等技術(shù)。

  一致性測試即協(xié)議符合度測試,不同安全機(jī)制采用不同的安全測試標(biāo)準(zhǔn)。BAC一致性測試在ICAO測試規(guī)范中有詳細(xì)定義,主要包括:(1)Select和Read Binary兩條最小命令集指令(2)BAC保護(hù)模式和BAC未保護(hù)模式下使用這兩條指令分別讀16個LDS文件測試。在建立BAC會話密鑰中使用的另外兩條基本指令是Get Challenge和External Authentication。SAC尚未定義測試規(guī)范,可參照EAC中CA測試部分,下面重點(diǎn)介紹EAC測試。

  如圖5所示,實(shí)現(xiàn)EAC由幾個部分組成:PKD、國家電子護(hù)照簽發(fā)機(jī)構(gòu)、國家電子護(hù)照驗(yàn)證機(jī)構(gòu)、支持EAC功能的電子護(hù)照。EAC測試分為EAC一致性測試、EAC護(hù)照和IS兼容性測試、PKD互用性測試。EAC本身不能阻止精確拷貝和芯片替換,有非對稱算法運(yùn)算功能的芯片提供認(rèn)證運(yùn)算,而之外的所有設(shè)施均只為提供證書管理和使用,最高層證書是由國家簽發(fā)驗(yàn)證機(jī)構(gòu)簽發(fā)的自簽名證書且在接收國為信任起點(diǎn)或證書鏈最高端。

  

  在PKD架構(gòu)下實(shí)現(xiàn)的EAC一致性測試架構(gòu)見圖5,實(shí)現(xiàn)了發(fā)證領(lǐng)證-》國內(nèi)海關(guān)(出關(guān))-》國外海關(guān)(入關(guān))-》國外海關(guān)(出關(guān))-》國內(nèi)海關(guān)(入關(guān))等操作的測試。國家B發(fā)行電子護(hù)照,該護(hù)照在本國的海關(guān)出關(guān)通過相應(yīng)的IS檢查系統(tǒng)包含的證書鏈(CVCA(國家B)-》國內(nèi)DV-》IS)驗(yàn)證EAC,完成人臉指紋或虹膜的安全檢查,到國家A,則基于國家A的IS檢查系統(tǒng)的證書鏈(CVCA(國家B)-》國外DV-》IS)驗(yàn)證EAC,完成人臉指紋或虹膜的安全檢查,返回國內(nèi)則類似操作。ICAO PKD起到存儲共享作用。

  BSI給出的EAC一致性測試結(jié)合EAC子過程CA/TA、證書鏈、訪問權(quán)限、日期信任點(diǎn)更新等測試點(diǎn)對安全機(jī)制進(jìn)行符合度測試,依據(jù)是測試標(biāo)準(zhǔn)EAC v1.12,主要包括了如下幾個部分(表2)。

  

  測試系統(tǒng)從不同角度給出了安全機(jī)制的測試,兼容性測試關(guān)注的是卡機(jī)兼容問題,安全抗攻擊測試關(guān)注的是安全漏洞,而一致性測試則致力于協(xié)議符合度。測試系統(tǒng)需要隨著技術(shù)的不斷更新而不斷改進(jìn),一個持續(xù)改進(jìn)的系統(tǒng)對產(chǎn)品的穩(wěn)定性、安全性有積極意義。

  本文小結(jié)

  電子護(hù)照作為二代身 份證后的另一個重量級身份識別產(chǎn)品,必然要經(jīng)歷不同階段的演化,尤其是安全機(jī)制,基于第二代BAC已是成熟技術(shù),新引進(jìn)的SAC作為第三代在實(shí)現(xiàn)上也已比較成熟,假以時日必能得到推廣,而歐洲標(biāo)準(zhǔn)EAC作為第四代和一種更為復(fù)雜的安全機(jī)制,必將引起重視并影響電子護(hù)照的發(fā)展和升級換代。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉