文 中國機動車輛安全鑒定檢測中心　王永捷　劉健康

?

淺析“電子往來港澳通行證”運用的防偽技術(shù)

文 中國機動車輛安全鑒定檢測中心王永捷劉健康

作為法定出入境證件，其安全防偽特性至關(guān)重要。本文對電子往來港澳通行證的視覺防偽設(shè)計及電子防偽技術(shù)等方面進行了介紹。

往來港澳通行證是內(nèi)地居民往來港澳地區(qū)的出入境證件。2014年9月15日，全國公安機關(guān)出入境管理部門全面啟用了電子往來港澳通行證（2014版往來港澳通行證）。該舉措旨在進一步便利內(nèi)地居民往來港澳地區(qū)，提高證件簽發(fā)和查驗效率，增強證件防偽性能。

本文作者所在的中國機動車輛安全鑒定檢測中心于2013年起承接了電子往來港澳通行證的設(shè)計研發(fā)及生產(chǎn)任務(wù)。為提高國家法定證件的安全防偽性能，保障公民合法權(quán)益，該中心在電子往來港澳通行證的視覺防偽設(shè)計及電子防偽技術(shù)等方面進行了積極的探索和研究。（如圖1）

圖1　電子往來港澳通行證樣式

一、視覺防偽

（一）卡面設(shè)計

卡體的藍(lán)色基調(diào)繼續(xù)沿用了舊版的本式證件顏色，卡面設(shè)計清新、自然。方案的創(chuàng)作理念來自于我國著名的工藝美術(shù)設(shè)計大師韓美林先生，采用手繪長城和區(qū)花以及代表吉祥如意的云紋為創(chuàng)作元素，卡中所用元素皆為韓美林原創(chuàng)。背面的迂回線條設(shè)計靈感源于連環(huán)畫中云紋的表現(xiàn)手法，同時又似花形的蔓藤纏繞，如此巧妙設(shè)計既簡潔又生動。正面整個底紋的排線設(shè)計與背面遙相呼應(yīng)，連續(xù)迂回的紋路又似指紋的表現(xiàn)形式，具有很強的藝術(shù)性及防偽性。

從防偽角度看，卡面設(shè)計中的防偽特征明顯易識，便于邊檢快速識別和大眾認(rèn)知。一級防偽采用了劈線、光變油墨、扭索、套印、接線、浮雕、彩虹印刷等技術(shù)，一級防偽為肉眼觀察，不需要借助任何儀器，屬于大眾識別；二級防偽采用了漸變縮微文字和雙色無色熒光，漸變縮微文字需要借助放大鏡方可看清縮微文字的內(nèi)容；雙色無色熒光在紫外光源下顯現(xiàn)紅色長城和綠色山體（三級防偽識別特征不便于向社會公布）。本卡所采用的防偽技術(shù)特征與人民幣的防偽效果相同。（如圖2、圖3）

（二）防偽膜設(shè)計

防偽膜的設(shè)計也是本卡的一大亮點，其中照片右下角的方形多色篆章是“中”字的變形，“中”字代表中國，以篆字方章形式予以表現(xiàn)，將傳統(tǒng)文化與現(xiàn)代技術(shù)相結(jié)合，通過衍射技術(shù)實現(xiàn)多層次的顏色變化，可謂設(shè)計之巧妙。另外，衍射技術(shù)還體現(xiàn)在不同的設(shè)計元素上，三色飄帶通過轉(zhuǎn)動卡體產(chǎn)生律動和綿延效果；逐漸變小的圓球設(shè)計猶如晶瑩剔透的水晶球，不同角度觀察產(chǎn)生立體滾動效果；不同長度及寬度的線條排列設(shè)計具有連續(xù)的動畫韻律效果。

圖2　卡體正面防偽識別特征

圖3　卡體背面防偽識別特征

圖4　全息膜防偽識別特征

全息膜的設(shè)計同樣采用了防偽技術(shù)。一級防偽主要有動態(tài)-消色全息、色彩控制及多通道合成、連續(xù)動作效果、光透鏡效果及多色光變；二級防偽包括點陣全息-縮微圖文、激光再現(xiàn)、縮微文字、超線全息等技術(shù)（三級防偽技術(shù)也不便示于公眾）。整卡的全息膜設(shè)計效果復(fù)雜多變，富于靈動，展現(xiàn)了新時代防偽產(chǎn)品的魅力和韻味。（如圖4）

二、電子防偽

電子往來港澳通行證采用國際民航組織（ICAO）DOC 9303規(guī)定的1型機讀標(biāo)準(zhǔn)形式，內(nèi)置非接觸式電子芯片，卡體表面印制加載指定的圖文及防偽特征。電子通行證使用個人化設(shè)備進行個人化制作，證件正面通過熱轉(zhuǎn)移方式打印持證人個人資料，證件背面通過可擦寫熱敏方式打印簽注等信息。電子通行證產(chǎn)品符合（ICAO）DOC 9303號文件第3部分第1卷相關(guān)要求，其中電性能部分須符合ISO 14443標(biāo)準(zhǔn)要求。

（一）智能芯片的基本要求（如表1）

（二）非接觸卡專用指標(biāo)要求

1.交變磁場

（1）在表2給出的平均磁場強度的磁場內(nèi)暴露后，卡應(yīng)能正常工作。

磁場的峰值強度被限制在磁場平均強度的33倍。

（2）在12A/m、13.56MHz頻率的磁場中暴露后，卡能繼續(xù)正常工作。

2.交變電場

在表3給出的平均電場強度的電場內(nèi)暴露后，卡能正常工作。

電場的峰值強度被限制在電場平均強度的33倍。

3.射頻功率和信號接口：7816（接觸）、14443（非接觸）

表1　智能芯片基本要求

表2　交變磁場

表3　交變電場

4.工作頻率：13.56MHz±7KHz

5.工作場強：1.5A/m-7.5A/m

6.負(fù)載調(diào)制：調(diào)制深度，1.5A/m時30mV

（三）數(shù)字防偽機制

電子往來港澳通行證采用了成熟的數(shù)字安全防偽機制，使用了國際通用的加解密算法和數(shù)字證書技術(shù)，為電子往來港澳通行證的制證、發(fā)行、過關(guān)認(rèn)證和數(shù)據(jù)傳輸筑起了一道堅實的防線。

1.對稱加密算法

電子往來港澳通行證采用的對稱加密算法是Triple-DES算法，也即3DES算法，主要應(yīng)用于電子往來港澳通行證的權(quán)限認(rèn)證和數(shù)據(jù)鏈路加解密。

（1）對稱加密算法定義

在對稱加密算法中，加密使用的密鑰和解密使用的密鑰是相同的（對稱加密）。也就是說，加密和解密都是使用的同一個密鑰，也稱單密鑰算法或傳統(tǒng)加密算法。例如Single-DES、Triple-DES、AES、DEA等。（如圖5）

圖5　對稱密碼算法示意圖

（2）對稱加密算法特點

·算法簡單、速度快，被加密的數(shù)據(jù)塊長度可以很大。

·密鑰在加密方和解密方之間傳遞和分發(fā)必須通過安全通道進行

·需要保存的密鑰太多。（如圖6）

圖6　對稱加密算法用戶需保存的密鑰數(shù)

（3）DES（Data Encryption Standard）數(shù)據(jù)加密標(biāo)準(zhǔn)

DES加密算法是由 IBM 研究在1977年提出的。并被美國國家標(biāo)準(zhǔn)局宣布為數(shù)據(jù)加密標(biāo)準(zhǔn)DES，主要用于民用敏感信息的加密。

DES加密特點：

·分組加密算法：明文和密文為64位分組長度；

·對稱算法：加密和解密除密鑰編排不同外，使用同一算法；

·密鑰長度：56位，每個第8位為奇偶校驗位；

·采用混亂和擴散的組合，每個組合采用替代和置換方法，共16輪運算；

· 只使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運算，運算速度快，通用性強，易于實現(xiàn)。

DES加密過程：

DES具有算法容易實現(xiàn)、速度快、通用性強等優(yōu)點，但也有密鑰位數(shù)少、保密強度較差、密鑰管理復(fù)雜等缺點。

（4）Triple-DES數(shù)據(jù)加密算法

Triple-DES算法是在Single-DES的基礎(chǔ)上采用三重和雙長度密鑰加密的方法，算法步驟為：

A.發(fā)送方使用密鑰K1進行第一次DES加密；

B.發(fā)送方用密鑰K2對上一結(jié)果進行DES解密；

C.發(fā)送方再用K1對上一結(jié)果進行第二次DES加密；

D.接收方相應(yīng)地使用K1解密、K2加密、再用K1解密。

對稱密鑰加密在密鑰的生成、管理、分發(fā)等環(huán)節(jié)比較復(fù)雜，也不能實現(xiàn)數(shù)字簽名，無法保證加解密的唯一性和不可否認(rèn)性。在電子往來港澳通行證數(shù)字防偽機制采用對稱密鑰算法的同時，也采用了非對稱加密算法，從而克服對稱密鑰存在的問題。

2.非對稱加密算法

電子往來港澳通行證采用了國際通用的非對稱算法RSA，使用數(shù)字證書、電子簽名和電子驗簽等安全機制，保證電子往來港澳通行證的唯一性和不可否認(rèn)性。

（1）非對稱加密算法定義

非對稱加密算是指加密與解密的密鑰不同，且由其中一個極難推導(dǎo)出另一個，也稱雙密鑰算法或公開密鑰算法。例如RSA算法加密密鑰是公開的，被稱為公鑰；解密密鑰是保密的，稱為私鑰。而加密算法和解密算法都是公開的，每個用戶有一個對外公開的加密密鑰和對外保密的解密密鑰。（如圖7）

圖7　非對稱加密算法示意圖

（2）非對稱加密算法特點

·算法復(fù)雜、速度慢，被加密的數(shù)據(jù)塊長度不宜太大；

·公鑰在加密方和解密方之間傳遞和分發(fā)不必通過安全通道進行。（如圖8）

圖8　非對稱加密算法用戶需保存的密鑰數(shù)

（3）RSA 算法

由美國麻省理工大學(xué)的Ron Rivest， Adi Shamir 和Len Adleman于1977年研制并于1978年首次發(fā)表，是整個編碼學(xué)歷史上最大的變革，與以前的所有方法都截然不同。一方面，公開密鑰算法是基于數(shù)學(xué)函數(shù)而不是替代和置換；更為重要的一方面，公開密鑰是非對稱的，用到兩個不同的密鑰：一個用于加密，一個用于解密。

RSA算法特點：

·RSA是一種分組密碼算法；

· RSA既可用于加密，又可用于數(shù)字簽名，已得到廣泛采用；

·RSA依賴以下的假定：基于分解大整數(shù)的困難性；

·RSA已被許多標(biāo)準(zhǔn)化組織（如ISO、ITU、IETF和SWIFT等）接納。

RSA加解密方法（如圖9）：

圖9　非對稱加解密示意圖

如果A想給B發(fā)送一個報文，A就用B的公開密鑰加密報文數(shù)據(jù)。

B收到報文數(shù)據(jù)后就用B的私有密鑰解密報文，其他收到這個報文數(shù)據(jù)的人都無法解密，因為只有B才有B的私有密鑰。

RSA數(shù)字簽名技術(shù)是用摘要算法對報文數(shù)據(jù)計算，產(chǎn)生一個摘要信息，將摘要信息用發(fā)送者的私鑰加密，與報文數(shù)據(jù)一起傳送給接收者。數(shù)字驗簽是用發(fā)送者的公鑰解密被加密的摘要信息，然后用摘要算法對收到的報文數(shù)據(jù)計算，產(chǎn)生一個摘要信息，與解密出的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改；否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。

RSA簽名算法之所以是對報文數(shù)據(jù)的摘要進行加密，而不是對原報文數(shù)據(jù)進行加密。原因是RSA加解密運算復(fù)雜，被加密的報文數(shù)據(jù)越多，消耗時間越多，因此僅對其摘要進行加密（摘要算法是不可逆的、難以實現(xiàn)“碰撞”的），與對原報文數(shù)據(jù)直接簽名的效果是一致的。

往來港澳通行證電子化是旅行證件發(fā)展的趨勢，也在一定程度上體現(xiàn)了國家、地區(qū)的經(jīng)濟發(fā)展形象。新版通行證的設(shè)計研發(fā)，顯著提高了證件的安全防偽性能，將傳統(tǒng)的國家法定證件賦予了更多的科技含量和時代特色。