淺析“電子往來港澳通行證”運用的防偽技術

文 中國機動車輛安全鑒定檢測中心　王永捷　劉健康

?

淺析“電子往來港澳通行證”運用的防偽技術

文 中國機動車輛安全鑒定檢測中心王永捷劉健康

作為法定出入境證件，其安全防偽特性至關重要。本文對電子往來港澳通行證的視覺防偽設計及電子防偽技術等方面進行了介紹。

往來港澳通行證是內地居民往來港澳地區的出入境證件。2014年9月15日，全國公安機關出入境管理部門全面啟用了電子往來港澳通行證（2014版往來港澳通行證）。該舉措旨在進一步便利內地居民往來港澳地區，提高證件簽發和查驗效率，增強證件防偽性能。

本文作者所在的中國機動車輛安全鑒定檢測中心于2013年起承接了電子往來港澳通行證的設計研發及生產任務。為提高國家法定證件的安全防偽性能，保障公民合法權益，該中心在電子往來港澳通行證的視覺防偽設計及電子防偽技術等方面進行了積極的探索和研究。（如圖1）

圖1　電子往來港澳通行證樣式

一、視覺防偽

（一）卡面設計

卡體的藍色基調繼續沿用了舊版的本式證件顏色，卡面設計清新、自然。方案的創作理念來自于我國著名的工藝美術設計大師韓美林先生，采用手繪長城和區花以及代表吉祥如意的云紋為創作元素，卡中所用元素皆為韓美林原創。背面的迂回線條設計靈感源于連環畫中云紋的表現手法，同時又似花形的蔓藤纏繞，如此巧妙設計既簡潔又生動。正面整個底紋的排線設計與背面遙相呼應，連續迂回的紋路又似指紋的表現形式，具有很強的藝術性及防偽性。

從防偽角度看，卡面設計中的防偽特征明顯易識，便于邊檢快速識別和大眾認知。一級防偽采用了劈線、光變油墨、扭索、套印、接線、浮雕、彩虹印刷等技術，一級防偽為肉眼觀察，不需要借助任何儀器，屬于大眾識別；二級防偽采用了漸變縮微文字和雙色無色熒光，漸變縮微文字需要借助放大鏡方可看清縮微文字的內容；雙色無色熒光在紫外光源下顯現紅色長城和綠色山體（三級防偽識別特征不便于向社會公布）。本卡所采用的防偽技術特征與人民幣的防偽效果相同。（如圖2、圖3）

（二）防偽膜設計

防偽膜的設計也是本卡的一大亮點，其中照片右下角的方形多色篆章是“中”字的變形，“中”字代表中國，以篆字方章形式予以表現，將傳統文化與現代技術相結合，通過衍射技術實現多層次的顏色變化，可謂設計之巧妙。另外，衍射技術還體現在不同的設計元素上，三色飄帶通過轉動卡體產生律動和綿延效果；逐漸變小的圓球設計猶如晶瑩剔透的水晶球，不同角度觀察產生立體滾動效果；不同長度及寬度的線條排列設計具有連續的動畫韻律效果。

圖2　卡體正面防偽識別特征

圖3　卡體背面防偽識別特征

圖4　全息膜防偽識別特征

全息膜的設計同樣采用了防偽技術。一級防偽主要有動態-消色全息、色彩控制及多通道合成、連續動作效果、光透鏡效果及多色光變；二級防偽包括點陣全息-縮微圖文、激光再現、縮微文字、超線全息等技術（三級防偽技術也不便示于公眾）。整卡的全息膜設計效果復雜多變，富于靈動，展現了新時代防偽產品的魅力和韻味。（如圖4）

二、電子防偽

電子往來港澳通行證采用國際民航組織（ICAO）DOC 9303規定的1型機讀標準形式，內置非接觸式電子芯片，卡體表面印制加載指定的圖文及防偽特征。電子通行證使用個人化設備進行個人化制作，證件正面通過熱轉移方式打印持證人個人資料，證件背面通過可擦寫熱敏方式打印簽注等信息。電子通行證產品符合（ICAO）DOC 9303號文件第3部分第1卷相關要求，其中電性能部分須符合ISO 14443標準要求。

（一）智能芯片的基本要求（如表1）

（二）非接觸卡專用指標要求

1.交變磁場

（1）在表2給出的平均磁場強度的磁場內暴露后，卡應能正常工作。

磁場的峰值強度被限制在磁場平均強度的33倍。

（2）在12A/m、13.56MHz頻率的磁場中暴露后，卡能繼續正常工作。

2.交變電場

在表3給出的平均電場強度的電場內暴露后，卡能正常工作。

電場的峰值強度被限制在電場平均強度的33倍。

3.射頻功率和信號接口：7816（接觸）、14443（非接觸）

表1　智能芯片基本要求

表2　交變磁場

表3　交變電場

4.工作頻率：13.56MHz±7KHz

5.工作場強：1.5A/m-7.5A/m

6.負載調制：調制深度，1.5A/m時30mV

（三）數字防偽機制

電子往來港澳通行證采用了成熟的數字安全防偽機制，使用了國際通用的加解密算法和數字證書技術，為電子往來港澳通行證的制證、發行、過關認證和數據傳輸筑起了一道堅實的防線。

1.對稱加密算法

電子往來港澳通行證采用的對稱加密算法是Triple-DES算法，也即3DES算法，主要應用于電子往來港澳通行證的權限認證和數據鏈路加解密。

（1）對稱加密算法定義

在對稱加密算法中，加密使用的密鑰和解密使用的密鑰是相同的（對稱加密）。也就是說，加密和解密都是使用的同一個密鑰，也稱單密鑰算法或傳統加密算法。例如Single-DES、Triple-DES、AES、DEA等。（如圖5）

圖5　對稱密碼算法示意圖

（2）對稱加密算法特點

·算法簡單、速度快，被加密的數據塊長度可以很大。

·密鑰在加密方和解密方之間傳遞和分發必須通過安全通道進行

·需要保存的密鑰太多。（如圖6）

圖6　對稱加密算法用戶需保存的密鑰數

（3）DES（Data Encryption Standard）數據加密標準

DES加密算法是由 IBM 研究在1977年提出的。并被美國國家標準局宣布為數據加密標準DES，主要用于民用敏感信息的加密。

DES加密特點：

·分組加密算法：明文和密文為64位分組長度；

·對稱算法：加密和解密除密鑰編排不同外，使用同一算法；

·密鑰長度：56位，每個第8位為奇偶校驗位；

·采用混亂和擴散的組合，每個組合采用替代和置換方法，共16輪運算；

· 只使用了標準的算術和邏輯運算，運算速度快，通用性強，易于實現。

DES加密過程：

DES具有算法容易實現、速度快、通用性強等優點，但也有密鑰位數少、保密強度較差、密鑰管理復雜等缺點。

（4）Triple-DES數據加密算法

Triple-DES算法是在Single-DES的基礎上采用三重和雙長度密鑰加密的方法，算法步驟為：

A.發送方使用密鑰K1進行第一次DES加密；

B.發送方用密鑰K2對上一結果進行DES解密；

C.發送方再用K1對上一結果進行第二次DES加密；

D.接收方相應地使用K1解密、K2加密、再用K1解密。

對稱密鑰加密在密鑰的生成、管理、分發等環節比較復雜，也不能實現數字簽名，無法保證加解密的唯一性和不可否認性。在電子往來港澳通行證數字防偽機制采用對稱密鑰算法的同時，也采用了非對稱加密算法，從而克服對稱密鑰存在的問題。

2.非對稱加密算法

電子往來港澳通行證采用了國際通用的非對稱算法RSA，使用數字證書、電子簽名和電子驗簽等安全機制，保證電子往來港澳通行證的唯一性和不可否認性。

（1）非對稱加密算法定義

非對稱加密算是指加密與解密的密鑰不同，且由其中一個極難推導出另一個，也稱雙密鑰算法或公開密鑰算法。例如RSA算法加密密鑰是公開的，被稱為公鑰；解密密鑰是保密的，稱為私鑰。而加密算法和解密算法都是公開的，每個用戶有一個對外公開的加密密鑰和對外保密的解密密鑰。（如圖7）

圖7　非對稱加密算法示意圖

（2）非對稱加密算法特點

·算法復雜、速度慢，被加密的數據塊長度不宜太大；

·公鑰在加密方和解密方之間傳遞和分發不必通過安全通道進行。（如圖8）

圖8　非對稱加密算法用戶需保存的密鑰數

（3）RSA 算法

由美國麻省理工大學的Ron Rivest， Adi Shamir 和Len Adleman于1977年研制并于1978年首次發表，是整個編碼學歷史上最大的變革，與以前的所有方法都截然不同。一方面，公開密鑰算法是基于數學函數而不是替代和置換；更為重要的一方面，公開密鑰是非對稱的，用到兩個不同的密鑰：一個用于加密，一個用于解密。

RSA算法特點：

·RSA是一種分組密碼算法；

· RSA既可用于加密，又可用于數字簽名，已得到廣泛采用；

·RSA依賴以下的假定：基于分解大整數的困難性；

·RSA已被許多標準化組織（如ISO、ITU、IETF和SWIFT等）接納。

RSA加解密方法（如圖9）：

圖9　非對稱加解密示意圖

如果A想給B發送一個報文，A就用B的公開密鑰加密報文數據。

B收到報文數據后就用B的私有密鑰解密報文，其他收到這個報文數據的人都無法解密，因為只有B才有B的私有密鑰。

RSA數字簽名技術是用摘要算法對報文數據計算，產生一個摘要信息，將摘要信息用發送者的私鑰加密，與報文數據一起傳送給接收者。數字驗簽是用發送者的公鑰解密被加密的摘要信息，然后用摘要算法對收到的報文數據計算，產生一個摘要信息，與解密出的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改；否則說明信息被修改過，因此數字簽名能夠驗證信息的完整性。

RSA簽名算法之所以是對報文數據的摘要進行加密，而不是對原報文數據進行加密。原因是RSA加解密運算復雜，被加密的報文數據越多，消耗時間越多，因此僅對其摘要進行加密（摘要算法是不可逆的、難以實現“碰撞”的），與對原報文數據直接簽名的效果是一致的。

往來港澳通行證電子化是旅行證件發展的趨勢，也在一定程度上體現了國家、地區的經濟發展形象。新版通行證的設計研發，顯著提高了證件的安全防偽性能，將傳統的國家法定證件賦予了更多的科技含量和時代特色。