机读旅行证件安全对象（SOD）解析及改进的核验方法

沈孝东 葛利军

1. 公安部第一研究所 2. 北京市微技术研究所

引言

“9·11”事件后，各国纷纷启用机读旅行证件加强出入境管理，防范恐怖活动，目前，全球已有100多个国家和地区推行机读旅行证件。2003年ICAO-NTWG文件提出PKI安全措施并被认可。ICAO规范实施PKI技术的目的，是使机读旅行证件的接收国家和一些需对机读旅行证件进行核验的授权机构能对存储在机读旅行证件芯片中的数据进行真实性和完整性的核验。PKI适用于非安全传输渠道，特别适合各国对机读旅行证件的查验情况。

PKI是一种遵循既定标准的密钥管理平台，它为机读旅行证件应用提供加密和数字签名等密码服务所必需的密钥和证书管理，从而在机读旅行证件使用过程中达到信息的保密性、真实性、完整性和不可否认性。在PKI系统中，国家签名认证机构（CSCA）签发数字证书，证书含有用户身份信息和公钥。PKI查验方依赖ICAO发布的信任根来验证对方的PKI用户证书链，从而获得对方机读旅行证件是否真实可信。证书撤销方案是PKI技术中重要的一部分，针对目前机读旅行证件查验系统，证书撤销方案有一定的优势，但也存在不足之处，Openssl软件包中证书链验证模块满足不了新应用场景中的证书撤销方案，为此本文提出一种改进的证书链验证模块，满足新场景下机读旅行证件查验过程，具有高效安全的特性。

一、目前核验方法和文件信息格式

（一）机读旅行证件公钥基础设施

机读旅行证件使用被动认证保护证件中存储数据的真实性和完整性[1]。这一安全机制以数字签名为基础，包含如下公钥基础设施实体：

（1）国家签名认证机构（CSCA）：每个国家建立单一的国家签名认证机构作为其在电子机读旅行证件方面的国家信任点。该国家签名认证机构为一个或多个国家证件签名者签发公钥证书。国家签名认证机构还定期发布证书撤销列表（CRL），说明所签发的证书是否有被撤销的。

（2）证件签名者（CDS）：证件签名者用数字签名方式对存储在电子机读旅行证件中的数据进行签名，该签名存储在电子机读旅行证件的证件安全对象中。

（3）查验系统：查验系统用于验证机读旅行证件的数字签名，包括证书链的确认，以及验证存储在电子机读旅行证件中的电子数据的真实性和完整性。

（4）国家证书列表签名者：国家证书列表签名者是通过电子方式发布国家签名认证机构证书列表的一个选择性实体，以支持国家签名认证机构证书的双边分发机制。

（5）公钥目录（PKD）服务器：为实现ICAO全球机读旅行证件互相验证要求，所有需要对机读旅行证件进行检查的机构，必须能够获得机读旅行证件发行国的CSCA证书，以便对需要检查的机读旅行证件进行核验。为此，需要建立一个公钥目录服务器，提供CSCA和CRL的下载。其次，ICAO机读旅行证件发行国也可以通过双边外交途径交换彼此的CSCA和CRL。PKD服务器也为全国各省、市、自治区提供CSCA和CRL下载平台。

根据ICAO规范，机读旅行证件通过被动认证机制对SOD进行签名验证，核实芯片数据的真实性和完整性，ICAO要求各机读旅行证件发行国采取基于PKI技术来实现这一安全保障[2]。SOD文件是机读旅行证件中已签名数据类型，用于保持其中签名的完整性，SOD文件必须采用特异编码规则（DER）格式数据。所以机读旅行证件查验系统包括SOD文件解析、证书验证和证书链验证等几部分。

（二）机读旅行证件查验流程

机读旅行证件查验系统通过读取芯片中数据组（DG1、DG2和SOD等）和CSCA证书，就可以对芯片SOD的真实性和完整性进行核验。查验系统主要验证数据组（DG1、DG2等）的HASH值是否与SOD中存储的HASH值相等，还有CDS证书是否有效，如果都正确，则确保芯片中数据的真实性和完整性。机读旅行证件查验流程如下：

（1）获取芯片中DG1、DG2和SOD等数据；

（2）解析SOD读取数字签名Signature，验签Signature 是否有效；

（3）计算DG1、DG2的HASH值，与SOD存储的HASH值进行比较，验证通过则证明芯片中存储的数据真实性和完整性。

机读旅行证件查验主要包括SOD文件解析、证书验证与证书链验证，查验流程如图1所示。

（三）SOD文件信息格式

ASN.1是一种国际标准，它为抽象数据的描述说明定义了一种记法，使用抽象法对各种编程语言定义的数据类型进行了重新定义，将所有数据类型分为基本型和结构型两种。ASN.1的标准化编码规则有BER、DER、PER和CER等[3]。

SOD文件编码格式采用DER编码，DER是BER编码的一种特殊形式，专门用于具有安全特性的应用场景，如涉及加密技术和要求编码信息唯一的场景。为了保证编码结果的唯一性，DER编码在BER编码的基础上增加了一些规则，其中对整数的定义描述如下：

（1）数据长度不大于0x7F，称为“短形式”，Length 占1字节，直接把长度赋给Length；

（2）数据长度大于0x7F，称为“长形式”，把数据长度L表示为字节码，计算其长度n，然后把n与0x80进行“位或”运算的结果赋给Length的第一个字节。

（四）机读旅行证件证书验证和证书链验证

机读旅行证件证书验证包括CRL证书验证、CDS证书验证和证书链验证。

CRL验证依赖于CRL证书的内容和CRL证书公钥对应的私钥。验证CRL是否有效，主要包括用CSCA公钥验签CRL，然后查看该证书是否在CRL中，如果在，则证书撤销，不再进行其他验证，否则进行其他有效性验证。

CDS证书验证依赖于证书的内容和证书公钥对应的私钥。证书内容主要包括序列号、公钥、用户名、签发者、CSCA签名和其他一些附属信息等。通常证书验证过程包括以下要点：

（1）验证证书内容是正确和完整的，没有被篡改，CSCA签名是正确的；

（2）验证证书是有效的，在有效期内并且没有被撤销；

（3）验证CSCA证书是信任的证书，确认用户的身份。

证书链验证主要是接收国验证签发国证书链的过程。比如用户A和用户B的证书是不同CSCA签发的，分别是CSCA1和CSCA2。为了确保B能够正确验证自己的证书，A必须给B发送A证书、CSCA1证书，这两个证书就构成了一个完整的证书链。B接收到A发送过来的整个证书链后，进行验证的操作流程如下：

（1）从CSCA1提取公钥，验证用户证书A的合法性和有效性；

（2）利用根CSCA1的公钥验证根CSCA1证书的合法性和有效性（因为它是一个自签名根证书）；

（3）B查找自己的信任证书库（通常是一些CSCA根证书列表），查看上述CSCA1根证书是否在信任列表中，如果在，则验证通过，否则不通过。

对于每一个签发国可以有多个CSCA，但只有一个CRL，CRL是签发国最新的CSCA颁发的，对CDS进行验签，需要对整个证书链验签。Openssl验证模块执行流程首先查找CDS对应的CSCA，然后查看CSCA颁发的CRL中是否有此CDS，如果有则返回CDS证书撤销，如果没有则对CDS证书链进行验证。当被撤销的CDS证书是较早CSCA颁发的，而较早CSCA没有签发CRL证书，则CDS证书进行验证时，首先会查找CSCA签发的CRL证书，这时候会返回找不到CRL证书，而不再进一步验证。

二、SOD文件解析与改进的核验方法

（一）SOD文件解析

SOD文件内容采用DER编码，为了便于信息提取，需要对其进行解析。DER编码信息数据是一种树型结构，可方便用可扩展标识语言XML来表示，比如整数、序列都可以用XML的元素类型表示[4]，XML语言具有简单灵活的标准格式，为SOD文件的解析提供了一种描述和交换数据的方法。因此本文采用XML语言来解析SOD文件内容。

解析模块由四部分组成，具体功能如下：

（1）解析ASN.1抽象语法信息，并根据解析规则将其解析为XML SCHEMA；

（2）解析DER编码，解析后表示成一个SAX事件流，其中每一个元素拥有一个名字；

（3）根据（1）中解析的XML SCHEMA给SAX事件流命名，使得SAX事件流拥有XML SCHEMA规定的名字；

（4）ASN.1信息解析后采用SAX事件流表示，这个过程通过解析ASN.1信息并根据信息的每一部分生成SAX事件，数据类型使用数据元素、数据值及字符串表示。

SOD文件通过解析模块做语法匹配，解析为可读的XML编码文件，如下所示：

（二）证书链验证

本文中机读旅行证件查验程序基于Openssl软件包，SOD文件的CDS进行CRL验证时，首先查找与此CDS对应的CSCA，再查找CSCA生成的CRL，如果CDS编号在CRL中则此证书撤销，不再验证证书链，否则需要进一步验证证书链。如果CDS在证书链中找不到对应的CSCA生成的CRL，则返回找不到有效的CRL证书，不再进行验证。由于一个国家可以有多个CSCA，但只有一个CRL，而生成CRL证书的CSCA与生成CDS证书的CSCA不是同一个证书，所以在进行CRL验证时，常常出现找不到有效CRL证书的情况。

为此，本文在CRL验证时，首先查找CRL对应的CSCA，通过遍历证书链上所有相同的CSCA，查找最新的CSCA对CRL进行验证。由于CRL由最新的CSCA进行签发，所以能够通过CRL验签，进而实现对证书链的验证。核验系统执行结果如图2所示。

三、结语

本文系统介绍了SOD文件信息编码，针对这种编码给出了有效的解析方案，实现了快速获取SOD文件相关签名、HASH值等信息，方便SOD文件被动验证工作。本文还通过分析现有签名验签过程，特别是现有CRL验证过程，对无法解决签名CRL的CSCA与CDS的CSCA一致问题，给出了一种有效的CRL验签方案，解决了目前签名验签方案的不足。随着信息技术的发展，PKI技术将扩展到新的应用场景，大规模PKI技术和新场景应用将成为未来进一步探究的内容。

周转箱循环与行李自动分拣系统

果雪莹1张燕鸣1李东1彭峰2

1. 公安部第一研究所 2. 上海睿丰自动化系统有限公司

摘 要：民航领域客流日益增长，旅客安检通关环节承受着越来越大的压力，降低安检人员的劳动强度、提高安检工作的效率、准确匹配旅客及其行李的需求越来越强烈。周转箱循环与行李自动分拣系统在传统X光机安全检查的基础上集成人脸识别系统、RFID识别系统、自动分拣系统和周转箱循环系统。系统准确高效地自动分拣可疑行李，将安检员从运送周转箱、寻找和拿取可疑行李至手检工作台、寻找行李主人、将可疑行李取回复检等繁琐工作中解脱出来。系统确保安检员专注于安检图像的判读，从而提高安检质量与效率及旅客的通行率。

关键词：人脸识别 周转箱 射频识别 可疑行李 自动分拣 X光机 安检

引言

随着社会的发展，民航领域客流量日益增长。据中国民用航空局2019年发布的数据，北京首都机场以10098万人次位于2018年全国机场年吞吐量排名第一，比2017年增长5.4%。另外上海浦东、广州白云、成都双流、深圳宝安、昆明长水、上海虹桥、重庆江北、杭州萧山机场也依次入榜单前十，年吞吐量在7401万人至3824万人次之间，前十名中年增长幅度最大的是深圳宝安机场，年增长8.2%；增幅最低的上海虹桥机场年增长4.2%。年吞吐量超过1000万人次的机场有37个。

民航旅客的随身小件行李需要放入周转箱中通过

X光机完成安检。在非自动分拣的情况下，当安检员发现屏幕图像中有可疑物品时，需要将视线离开屏幕图像，在输送带上寻找待开检的包裹、亲自拿取或告诉其他安检工作人员拿取待开检包裹送给开包员，此时若停带将引起包裹拥堵，降低通过率；若不停带，后续包裹的图像还在屏幕上移动，安检员无法专注判读后续包裹，降低安检判读的质量，可能出现危险品漏判的严重后果。开包员手检完成后还要将开检的包裹送回X光机入口进行复检。检测完成后周转箱需要从X光机出口由人工送回到入口。在客流量比较大的机场，少量的待开检包裹就会造成大批旅客在安检环节滞留。旅客安检通关环节承受着越来越大的压力。

二、系统集成

自动分拣系统在物流、仓储领域中已经被应用了几十年。交运行李自动分拣系统在国内外民航领域的应用已经非常广泛。但旅客随身小件行李的分拣自动化应用，尤其在国内还没有广泛开展。随着技术的发展，基于对安检现场的工作流程的了解，笔者研发团队针对安检员人工识别、拿取待开检包裹和人工运送周转箱的问题进行了剖析，通过集成扫码器、分拣器、X射线机图像与RFID匹配、信息传输等领域的技术，设计出一套可供安检现场使用的“周转箱循环与自动分拣系统”，在不降低安检效率的同时，达到人包与安检图像的完全对应，提高安检的准确性和可靠性。

（一）结构设计

采用模块化设计方式，将整个系统分解为多个单元，降低了系统的噪声，提高了安装、维修方便性和系统的可靠性。解决了机械运动部件连续工作的安全性和可靠性问题。整个系统尽可能的“小巧”且功能强大。

（二）软件设计

1. 包裹图像的分隔

女汉子是什么事都扛上身，力求比男人更有力量更能干活，看着大咧咧，内心却很敏感，属于外强中干。而女强人更多的是驱动别的男人干活，她们或许外貌柔美，但内心绝对坚强，有本事让男人听她的命令。女强人，辛苦别人。女汉子，苦了自己。

为了使包裹图像与周转箱RFID匹配，首先需要周转箱之间保持一定的间距，但是由于输送带边缘或图像背景差等原因，依然会产生影响包裹图像分隔的因素，需要通过背景处理等方法分隔包裹图像。

2. 包裹图像与周转箱RFID匹配

由于安检现场诸多不确定因素，会影响包裹在输送带上的位置，对包裹图像与周转箱RFID的匹配产生影响，通过对包裹位置跟踪、输送带运行方式控制等方法，降低外来因素对匹配产生的影响。

（三）硬件设计

为了在强金属干扰环境中（金属辊道下方或皮带输送机承重钢板中间）准确的识别周转箱，专门设计定制RFID标签、RFID天线和采集器。定制的RFID标签、RFID天线和采集器具有抗强金属干扰的性能。

（四）系统的整体控制

通过光障、传送带电机信号输入对整套传送带系统逻辑控制，实现整套系统的正常流程和非正常流程的控制。实现周转箱的逐次填充、安检机入口的周转箱间距控制、周转箱RFID读取控制、安检机与系统的传送带联动控制、安检机出口的周转箱去间距与急停后处理控制、分拣器的RFID识别与危险行李分拣控制、周转箱是否为空的识别控制、空周转箱的回收等功能。

每个模块有其特殊工作，各模块之间由系统总体控制，能够很好地保障包裹图像的分隔和包裹图像与周转箱RFID匹配。

三、工作流程

X光机入口侧，周转箱在备用输送机上被加载上新的RFID信息。旅客刷脸后从备用输送机上领取周转箱，人脸识别系统将旅客信息与周转箱RFID信息绑定。旅客将随身行李放入周转箱时，旅客与行李的信息被自动对应起来。待检输送机上的RFID扫描器扫描周转箱信息并传送给X光机。

周转箱通过X光机，在显示器屏幕上呈现安检图像，由安检员判读其是否符合安全标准。符合标准的行李经出口输送机到达行李提取处，等待旅客领取。出口输送机末端配有周转箱清空判断系统，通过红外图像自动识别周转箱是否被清空。

被清空的周转箱被系统自动送入回程输送机，回到X光机入口侧的备用输送机上供后续旅客领取，周转箱的循环输送过程至此结束。

对未被清空的周转箱，系统自动报警提醒旅客取走周转箱里遗留的物品。对于超时未取的行李，系统也可以根据设定的时限报警提示将其移至取包台。待旅客取走后，安检员将周转箱送至周转箱清空判断系统。

对判读环节中不符合安全标准的行李，安检员用鼠标点击屏幕上图像可疑区域标识可疑行李。可疑行李随周转箱经过出口输送机上的分拣器时被自动分拣到可疑包裹输送带上，送到开包检查处。开包检查处的安检员请旅客配合手检。手检完成后，该安检员将行李连同周转箱一起放入复检输送带上回到X光机入口侧，手检后的行李经过复检输送机上的分拣器时，系统自动将其插入到待检输送机上进行复检。

系统为旅客带来了愉悦的通关体验，在保证安全的前提下缩短了安检时间，提高了安检工作人员的工作效率，降低了劳动强度，符合人体工程学，外观满足大众审美。

四、实际应用

在周转箱循环与行李自动分拣系统产品研制的过程中，武汉、广州等机场对此产品进行了关注。受限于机场现有空间布局，需要协调出相应的空间以放置这套高度自动化的分拣系统进行实际应用。目前工程技术人员已经在广州机场实地勘察制定布置方案，将根据客户的需求选择相应的配置进场试用。

五、结语

本系统将使用后的周转箱通过系统自动输送到安检设备入口备用，取代人工搬运周转箱的工作，极大提高了安检工作效率。系统还使安检员在不停带的情况下，通过鼠标点击屏幕标识可疑包裹，自动将可疑包裹分拣到可疑包裹输送带上，并直接传送给开包员。从而保障了安检员对屏幕图像的关注度，提高了安检质量和旅客通过率。另外，还实现了旅客与所携带行李的对应关系，行李与安检图像的精确匹配的功能。使安全检查工作更加准确和可靠。