機讀旅行證件安全對象（SOD）解析及改進的核驗方法

沈孝東 葛利軍

1. 公安部第一研究所 2. 北京市微技術研究所

引言

“9·11”事件后，各國紛紛啟用機讀旅行證件加強出入境管理，防范恐怖活動，目前，全球已有100多個國家和地區推行機讀旅行證件。2003年ICAO-NTWG文件提出PKI安全措施并被認可。ICAO規范實施PKI技術的目的，是使機讀旅行證件的接收國家和一些需對機讀旅行證件進行核驗的授權機構能對存儲在機讀旅行證件芯片中的數據進行真實性和完整性的核驗。PKI適用于非安全傳輸渠道，特別適合各國對機讀旅行證件的查驗情況。

PKI是一種遵循既定標準的密鑰管理平臺，它為機讀旅行證件應用提供加密和數字簽名等密碼服務所必需的密鑰和證書管理，從而在機讀旅行證件使用過程中達到信息的保密性、真實性、完整性和不可否認性。在PKI系統中，國家簽名認證機構（CSCA）簽發數字證書，證書含有用戶身份信息和公鑰。PKI查驗方依賴ICAO發布的信任根來驗證對方的PKI用戶證書鏈，從而獲得對方機讀旅行證件是否真實可信。證書撤銷方案是PKI技術中重要的一部分，針對目前機讀旅行證件查驗系統，證書撤銷方案有一定的優勢，但也存在不足之處，Openssl軟件包中證書鏈驗證模塊滿足不了新應用場景中的證書撤銷方案，為此本文提出一種改進的證書鏈驗證模塊，滿足新場景下機讀旅行證件查驗過程，具有高效安全的特性。

一、目前核驗方法和文件信息格式

（一）機讀旅行證件公鑰基礎設施

機讀旅行證件使用被動認證保護證件中存儲數據的真實性和完整性[1]。這一安全機制以數字簽名為基礎，包含如下公鑰基礎設施實體：

（1）國家簽名認證機構（CSCA）：每個國家建立單一的國家簽名認證機構作為其在電子機讀旅行證件方面的國家信任點。該國家簽名認證機構為一個或多個國家證件簽名者簽發公鑰證書。國家簽名認證機構還定期發布證書撤銷列表（CRL），說明所簽發的證書是否有被撤銷的。

（2）證件簽名者（CDS）：證件簽名者用數字簽名方式對存儲在電子機讀旅行證件中的數據進行簽名，該簽名存儲在電子機讀旅行證件的證件安全對象中。

（3）查驗系統：查驗系統用于驗證機讀旅行證件的數字簽名，包括證書鏈的確認，以及驗證存儲在電子機讀旅行證件中的電子數據的真實性和完整性。

（4）國家證書列表簽名者：國家證書列表簽名者是通過電子方式發布國家簽名認證機構證書列表的一個選擇性實體，以支持國家簽名認證機構證書的雙邊分發機制。

（5）公鑰目錄（PKD）服務器：為實現ICAO全球機讀旅行證件互相驗證要求，所有需要對機讀旅行證件進行檢查的機構，必須能夠獲得機讀旅行證件發行國的CSCA證書，以便對需要檢查的機讀旅行證件進行核驗。為此，需要建立一個公鑰目錄服務器，提供CSCA和CRL的下載。其次，ICAO機讀旅行證件發行國也可以通過雙邊外交途徑交換彼此的CSCA和CRL。PKD服務器也為全國各省、市、自治區提供CSCA和CRL下載平臺。

根據ICAO規范，機讀旅行證件通過被動認證機制對SOD進行簽名驗證，核實芯片數據的真實性和完整性，ICAO要求各機讀旅行證件發行國采取基于PKI技術來實現這一安全保障[2]。SOD文件是機讀旅行證件中已簽名數據類型，用于保持其中簽名的完整性，SOD文件必須采用特異編碼規則（DER）格式數據。所以機讀旅行證件查驗系統包括SOD文件解析、證書驗證和證書鏈驗證等幾部分。

（二）機讀旅行證件查驗流程

機讀旅行證件查驗系統通過讀取芯片中數據組（DG1、DG2和SOD等）和CSCA證書，就可以對芯片SOD的真實性和完整性進行核驗。查驗系統主要驗證數據組（DG1、DG2等）的HASH值是否與SOD中存儲的HASH值相等，還有CDS證書是否有效，如果都正確，則確保芯片中數據的真實性和完整性。機讀旅行證件查驗流程如下：

（1）獲取芯片中DG1、DG2和SOD等數據；

（2）解析SOD讀取數字簽名Signature，驗簽Signature 是否有效；

（3）計算DG1、DG2的HASH值，與SOD存儲的HASH值進行比較，驗證通過則證明芯片中存儲的數據真實性和完整性。

機讀旅行證件查驗主要包括SOD文件解析、證書驗證與證書鏈驗證，查驗流程如圖1所示。

（三）SOD文件信息格式

ASN.1是一種國際標準，它為抽象數據的描述說明定義了一種記法，使用抽象法對各種編程語言定義的數據類型進行了重新定義，將所有數據類型分為基本型和結構型兩種。ASN.1的標準化編碼規則有BER、DER、PER和CER等[3]。

SOD文件編碼格式采用DER編碼，DER是BER編碼的一種特殊形式，專門用于具有安全特性的應用場景，如涉及加密技術和要求編碼信息唯一的場景。為了保證編碼結果的唯一性，DER編碼在BER編碼的基礎上增加了一些規則，其中對整數的定義描述如下：

（1）數據長度不大于0x7F，稱為“短形式”，Length 占1字節，直接把長度賦給Length；

（2）數據長度大于0x7F，稱為“長形式”，把數據長度L表示為字節碼，計算其長度n，然后把n與0x80進行“位或”運算的結果賦給Length的第一個字節。

（四）機讀旅行證件證書驗證和證書鏈驗證

機讀旅行證件證書驗證包括CRL證書驗證、CDS證書驗證和證書鏈驗證。

CRL驗證依賴于CRL證書的內容和CRL證書公鑰對應的私鑰。驗證CRL是否有效，主要包括用CSCA公鑰驗簽CRL，然后查看該證書是否在CRL中，如果在，則證書撤銷，不再進行其他驗證，否則進行其他有效性驗證。

CDS證書驗證依賴于證書的內容和證書公鑰對應的私鑰。證書內容主要包括序列號、公鑰、用戶名、簽發者、CSCA簽名和其他一些附屬信息等。通常證書驗證過程包括以下要點：

（1）驗證證書內容是正確和完整的，沒有被篡改，CSCA簽名是正確的；

（2）驗證證書是有效的，在有效期內并且沒有被撤銷；

（3）驗證CSCA證書是信任的證書，確認用戶的身份。

證書鏈驗證主要是接收國驗證簽發國證書鏈的過程。比如用戶A和用戶B的證書是不同CSCA簽發的，分別是CSCA1和CSCA2。為了確保B能夠正確驗證自己的證書，A必須給B發送A證書、CSCA1證書，這兩個證書就構成了一個完整的證書鏈。B接收到A發送過來的整個證書鏈后，進行驗證的操作流程如下：

（1）從CSCA1提取公鑰，驗證用戶證書A的合法性和有效性；

（2）利用根CSCA1的公鑰驗證根CSCA1證書的合法性和有效性（因為它是一個自簽名根證書）；

（3）B查找自己的信任證書庫（通常是一些CSCA根證書列表），查看上述CSCA1根證書是否在信任列表中，如果在，則驗證通過，否則不通過。

對于每一個簽發國可以有多個CSCA，但只有一個CRL，CRL是簽發國最新的CSCA頒發的，對CDS進行驗簽，需要對整個證書鏈驗簽。Openssl驗證模塊執行流程首先查找CDS對應的CSCA，然后查看CSCA頒發的CRL中是否有此CDS，如果有則返回CDS證書撤銷，如果沒有則對CDS證書鏈進行驗證。當被撤銷的CDS證書是較早CSCA頒發的，而較早CSCA沒有簽發CRL證書，則CDS證書進行驗證時，首先會查找CSCA簽發的CRL證書，這時候會返回找不到CRL證書，而不再進一步驗證。

二、SOD文件解析與改進的核驗方法

（一）SOD文件解析

SOD文件內容采用DER編碼，為了便于信息提取，需要對其進行解析。DER編碼信息數據是一種樹型結構，可方便用可擴展標識語言XML來表示，比如整數、序列都可以用XML的元素類型表示[4]，XML語言具有簡單靈活的標準格式，為SOD文件的解析提供了一種描述和交換數據的方法。因此本文采用XML語言來解析SOD文件內容。

解析模塊由四部分組成，具體功能如下：

（1）解析ASN.1抽象語法信息，并根據解析規則將其解析為XML SCHEMA；

（2）解析DER編碼，解析后表示成一個SAX事件流，其中每一個元素擁有一個名字；

（3）根據（1）中解析的XML SCHEMA給SAX事件流命名，使得SAX事件流擁有XML SCHEMA規定的名字；

（4）ASN.1信息解析后采用SAX事件流表示，這個過程通過解析ASN.1信息并根據信息的每一部分生成SAX事件，數據類型使用數據元素、數據值及字符串表示。

SOD文件通過解析模塊做語法匹配，解析為可讀的XML編碼文件，如下所示：

（二）證書鏈驗證

本文中機讀旅行證件查驗程序基于Openssl軟件包，SOD文件的CDS進行CRL驗證時，首先查找與此CDS對應的CSCA，再查找CSCA生成的CRL，如果CDS編號在CRL中則此證書撤銷，不再驗證證書鏈，否則需要進一步驗證證書鏈。如果CDS在證書鏈中找不到對應的CSCA生成的CRL，則返回找不到有效的CRL證書，不再進行驗證。由于一個國家可以有多個CSCA，但只有一個CRL，而生成CRL證書的CSCA與生成CDS證書的CSCA不是同一個證書，所以在進行CRL驗證時，常常出現找不到有效CRL證書的情況。

為此，本文在CRL驗證時，首先查找CRL對應的CSCA，通過遍歷證書鏈上所有相同的CSCA，查找最新的CSCA對CRL進行驗證。由于CRL由最新的CSCA進行簽發，所以能夠通過CRL驗簽，進而實現對證書鏈的驗證。核驗系統執行結果如圖2所示。

三、結語

本文系統介紹了SOD文件信息編碼，針對這種編碼給出了有效的解析方案，實現了快速獲取SOD文件相關簽名、HASH值等信息，方便SOD文件被動驗證工作。本文還通過分析現有簽名驗簽過程，特別是現有CRL驗證過程，對無法解決簽名CRL的CSCA與CDS的CSCA一致問題，給出了一種有效的CRL驗簽方案，解決了目前簽名驗簽方案的不足。隨著信息技術的發展，PKI技術將擴展到新的應用場景，大規模PKI技術和新場景應用將成為未來進一步探究的內容。

周轉箱循環與行李自動分揀系統

果雪瑩1張燕鳴1李東1彭峰2

1. 公安部第一研究所 2. 上海睿豐自動化系統有限公司

摘 要：民航領域客流日益增長，旅客安檢通關環節承受著越來越大的壓力，降低安檢人員的勞動強度、提高安檢工作的效率、準確匹配旅客及其行李的需求越來越強烈。周轉箱循環與行李自動分揀系統在傳統X光機安全檢查的基礎上集成人臉識別系統、RFID識別系統、自動分揀系統和周轉箱循環系統。系統準確高效地自動分揀可疑行李，將安檢員從運送周轉箱、尋找和拿取可疑行李至手檢工作臺、尋找行李主人、將可疑行李取回復檢等繁瑣工作中解脫出來。系統確保安檢員專注于安檢圖像的判讀，從而提高安檢質量與效率及旅客的通行率。

關鍵詞：人臉識別 周轉箱 射頻識別 可疑行李 自動分揀 X光機 安檢

引言

隨著社會的發展，民航領域客流量日益增長。據中國民用航空局2019年發布的數據，北京首都機場以10098萬人次位于2018年全國機場年吞吐量排名第一，比2017年增長5.4%。另外上海浦東、廣州白云、成都雙流、深圳寶安、昆明長水、上海虹橋、重慶江北、杭州蕭山機場也依次入榜單前十，年吞吐量在7401萬人至3824萬人次之間，前十名中年增長幅度最大的是深圳寶安機場，年增長8.2%；增幅最低的上海虹橋機場年增長4.2%。年吞吐量超過1000萬人次的機場有37個。

民航旅客的隨身小件行李需要放入周轉箱中通過

X光機完成安檢。在非自動分揀的情況下，當安檢員發現屏幕圖像中有可疑物品時，需要將視線離開屏幕圖像，在輸送帶上尋找待開檢的包裹、親自拿取或告訴其他安檢工作人員拿取待開檢包裹送給開包員，此時若停帶將引起包裹擁堵，降低通過率；若不停帶，后續包裹的圖像還在屏幕上移動，安檢員無法專注判讀后續包裹，降低安檢判讀的質量，可能出現危險品漏判的嚴重后果。開包員手檢完成后還要將開檢的包裹送回X光機入口進行復檢。檢測完成后周轉箱需要從X光機出口由人工送回到入口。在客流量比較大的機場，少量的待開檢包裹就會造成大批旅客在安檢環節滯留。旅客安檢通關環節承受著越來越大的壓力。

二、系統集成

自動分揀系統在物流、倉儲領域中已經被應用了幾十年。交運行李自動分揀系統在國內外民航領域的應用已經非常廣泛。但旅客隨身小件行李的分揀自動化應用，尤其在國內還沒有廣泛開展。隨著技術的發展，基于對安檢現場的工作流程的了解，筆者研發團隊針對安檢員人工識別、拿取待開檢包裹和人工運送周轉箱的問題進行了剖析，通過集成掃碼器、分揀器、X射線機圖像與RFID匹配、信息傳輸等領域的技術，設計出一套可供安檢現場使用的“周轉箱循環與自動分揀系統”，在不降低安檢效率的同時，達到人包與安檢圖像的完全對應，提高安檢的準確性和可靠性。

（一）結構設計

采用模塊化設計方式，將整個系統分解為多個單元，降低了系統的噪聲，提高了安裝、維修方便性和系統的可靠性。解決了機械運動部件連續工作的安全性和可靠性問題。整個系統盡可能的“小巧”且功能強大。

（二）軟件設計

1. 包裹圖像的分隔

女漢子是什么事都扛上身，力求比男人更有力量更能干活，看著大咧咧，內心卻很敏感，屬于外強中干。而女強人更多的是驅動別的男人干活，她們或許外貌柔美，但內心絕對堅強，有本事讓男人聽她的命令。女強人，辛苦別人。女漢子，苦了自己。

為了使包裹圖像與周轉箱RFID匹配，首先需要周轉箱之間保持一定的間距，但是由于輸送帶邊緣或圖像背景差等原因，依然會產生影響包裹圖像分隔的因素，需要通過背景處理等方法分隔包裹圖像。

2. 包裹圖像與周轉箱RFID匹配

由于安檢現場諸多不確定因素，會影響包裹在輸送帶上的位置，對包裹圖像與周轉箱RFID的匹配產生影響，通過對包裹位置跟蹤、輸送帶運行方式控制等方法，降低外來因素對匹配產生的影響。

（三）硬件設計

為了在強金屬干擾環境中（金屬輥道下方或皮帶輸送機承重鋼板中間）準確的識別周轉箱，專門設計定制RFID標簽、RFID天線和采集器。定制的RFID標簽、RFID天線和采集器具有抗強金屬干擾的性能。

（四）系統的整體控制

通過光障、傳送帶電機信號輸入對整套傳送帶系統邏輯控制，實現整套系統的正常流程和非正常流程的控制。實現周轉箱的逐次填充、安檢機入口的周轉箱間距控制、周轉箱RFID讀取控制、安檢機與系統的傳送帶聯動控制、安檢機出口的周轉箱去間距與急停后處理控制、分揀器的RFID識別與危險行李分揀控制、周轉箱是否為空的識別控制、空周轉箱的回收等功能。

每個模塊有其特殊工作，各模塊之間由系統總體控制，能夠很好地保障包裹圖像的分隔和包裹圖像與周轉箱RFID匹配。

三、工作流程

X光機入口側，周轉箱在備用輸送機上被加載上新的RFID信息。旅客刷臉后從備用輸送機上領取周轉箱，人臉識別系統將旅客信息與周轉箱RFID信息綁定。旅客將隨身行李放入周轉箱時，旅客與行李的信息被自動對應起來。待檢輸送機上的RFID掃描器掃描周轉箱信息并傳送給X光機。

周轉箱通過X光機，在顯示器屏幕上呈現安檢圖像，由安檢員判讀其是否符合安全標準。符合標準的行李經出口輸送機到達行李提取處，等待旅客領取。出口輸送機末端配有周轉箱清空判斷系統，通過紅外圖像自動識別周轉箱是否被清空。

被清空的周轉箱被系統自動送入回程輸送機，回到X光機入口側的備用輸送機上供后續旅客領取，周轉箱的循環輸送過程至此結束。

對未被清空的周轉箱，系統自動報警提醒旅客取走周轉箱里遺留的物品。對于超時未取的行李，系統也可以根據設定的時限報警提示將其移至取包臺。待旅客取走后，安檢員將周轉箱送至周轉箱清空判斷系統。

對判讀環節中不符合安全標準的行李，安檢員用鼠標點擊屏幕上圖像可疑區域標識可疑行李。可疑行李隨周轉箱經過出口輸送機上的分揀器時被自動分揀到可疑包裹輸送帶上，送到開包檢查處。開包檢查處的安檢員請旅客配合手檢。手檢完成后，該安檢員將行李連同周轉箱一起放入復檢輸送帶上回到X光機入口側，手檢后的行李經過復檢輸送機上的分揀器時，系統自動將其插入到待檢輸送機上進行復檢。

系統為旅客帶來了愉悅的通關體驗，在保證安全的前提下縮短了安檢時間，提高了安檢工作人員的工作效率，降低了勞動強度，符合人體工程學，外觀滿足大眾審美。

四、實際應用

在周轉箱循環與行李自動分揀系統產品研制的過程中，武漢、廣州等機場對此產品進行了關注。受限于機場現有空間布局，需要協調出相應的空間以放置這套高度自動化的分揀系統進行實際應用。目前工程技術人員已經在廣州機場實地勘察制定布置方案，將根據客戶的需求選擇相應的配置進場試用。

五、結語

本系統將使用后的周轉箱通過系統自動輸送到安檢設備入口備用，取代人工搬運周轉箱的工作，極大提高了安檢工作效率。系統還使安檢員在不停帶的情況下，通過鼠標點擊屏幕標識可疑包裹，自動將可疑包裹分揀到可疑包裹輸送帶上，并直接傳送給開包員。從而保障了安檢員對屏幕圖像的關注度，提高了安檢質量和旅客通過率。另外，還實現了旅客與所攜帶行李的對應關系，行李與安檢圖像的精確匹配的功能。使安全檢查工作更加準確和可靠。