第二代居民身份证安全策略研究

最新推荐文章于 2024-09-14 19:55:29 发布

三三%

最新推荐文章于 2024-09-14 19:55:29 发布

阅读量407

点赞数

文章标签：网络人工智能安全

本文链接：https://blog.csdn.net/m0_73650888/article/details/131492524

版权

第二代居民身份证采用了非接触式IC卡技术，结合数字加密和印刷防伪措施确保安全。身份证芯片使用了自主知识产权的加密算法和安全防伪系统，防止数据被复制或篡改。同时，通过指纹信息的加入和全国居民身份证挂失申报系统的建立，增强了防伪性能，有效防止冒用他人身份证的犯罪行为。

摘要由CSDN通过智能技术生成

第二代居民身份证安全策略研究

问题背景

居民身份证是我国能够证明证件持有人身份并可据此从事各种经济社会活动的法定证件。随着社会和技术的发展，原有的第一代居民身份证已不能完全满足现实需要。根据国务院的要求，公安局于2004年部署换发第二代身份证试点工作，先后在北京、天津、上海、浙江、广东等5个省市试点。2006年3月16日，中国公安部召开第二代居民身份证换发工作新闻发布会，目前二代居民身份证已全面落实，一代居民身份证已废止。第二代居民身份证已在社会各领域得到广泛应用。第二代居民身份证换发工作对提高我国人口管理工作现代化水平，推动我国信息化建设，促进我国社会主义现代化建设和经济体制改革、户籍管理制度改革，保障公民合法权益，便利公民进行社会活动，构建社会和谐社会，都具有十分重要的意义。

问题分析

由于居民身份证被赋子了重要的法律地位，且涉及范围广、使用频繁，与人们的日常生活和社会活动息息相关，印在身份证上的公民身份号码是每个公民唯一的、终身不变的身份代码，将伴随每个人一生，申请办理医疗保险、驾驶执照、建立个人金融账户等。均统一使用公民身份号码。由此可见，居民身份证的安全性可能会影响到人们生活的方方面面，如果安全性得不到足够的保障,犯罪分子利用便携式读卡器能够非接触地读取别人的身份证信息，便可以轻易地伪造信用卡或借记卡等，轻则可能泄露隐私，重则可能带来直接的经济损失。据统计，在澳大利亚，窃取他人身份犯罪得来的收益已成为诈骗案件中最大的经济来源之一，每年受害人的损失总计高达 60 亿澳元左右；2003 年在美国超过 1000 万人因身份被盗用而成为受害者，总体损失达 500 亿美元；在英国平均每年 10 万人成为受害者，损失达3700 万英镑；在加拿大平均每年 2 万人成为受害者，损失达 2200 万加元；在全世界，每年因身份被犯罪分子盗用后而导致的损失可能高达 1000 亿美元。这些犯罪行为使受害人的积蓄被骗，信用等级下降，受害人可能会与银行、借贷公司、股票经纪人，甚至政府产生纠纷,或者可能失去工作机会、失去贷款资格等，甚至莫名其妙的被警察逮捕。因此，对居民身份证明的安全防伪要求极高。

技术特性

中国第二代居民身份证设计与发放工作由公安部和原信息产业部联合负责，由公安部委托清华大学微电子学研究所和清华同方微电子有限公司等共同研制。第二代居民身份证的尺寸大小为长 85.6mm、宽 54mm、厚0.9mm，属于非接触式集成化 IC 卡（Integrated Circuit Card )。IC 卡是将集成电路芯片镶嵌于塑料基片中，封装成卡的形式，它因体积小、存储容量大、安全性高、使用方便等优点被广泛应用于各行各业。IC 卡分为存储卡(Memory Card ),逻辑加密卡（Logical Encrypt Card）和 CPU 卡（CPU Card ）。根据 IC 卡与阅读器之间在交换信息时是否接触，IC 卡也可分为接触式和非接触式两类。第二代居民身份证所采用的非接触式 IC 卡属于射频识别系统（Radio Frequency Identification, RFID）中的一种低频应用，其工作频率为 13.56MHz。

第二代居民身份证具有视读和机读两种功能，总体分为硬件和软件两大系统，其中软件系统——“人口信息管理系统”由国内相关部门负责开发，而硬件系统又分为四大技术环节，即芯片系统、IC 卡封装、验证机具和人像采集系统，后期还新增了指纹采集系统，这些关键技术皆由公安机关指定的定点资格企业负责生产。有关部门制造新身份证的卡体后,发放到国内各地的制证中心，制证中心将采集来的居民信息打印在卡体上。制造卡体的化学材料、采集信息的电子设备、芯片以及防伪技术等上游工作均采用具有自主知识产权的中国技术。证件信息的存储和证件查询使用了数据库技术和网络技术，既可以实现全国范围的联网快速查询和身份识别，也可以进行公安机关与各行政管理部门的网络互查。第二代居民身份证完全由我国自主研发和制作，公安机关确保公民相关身份信息的安全。

第二代居民身份证在制证材料、防伪技术、制证系统、制证设备方面取得了很大的进步，很多技术处于国际领先水平，并且具有自主知识产权。第二代居民身份证从安全性能方面来讲，主要采用两个方面的防伪措施。一个是数字防伪措施，用于机读信息的防伪，就是把持证人的照片图像和身份项目内容等个人信息进行编码和数字化后写人芯片,采用数字加密的办法，选用我国自行研制和生产的第二代居民身份证的专用芯片，采用第二代居民身份证安全防伪密码系统、密钥管理系统（芯片上使用的是 256 位的 ECC 密码)，公安部已经组织专家鉴定第二代居民身份证安全防伪密码系统，可以有效起到证件防伪的作用，防止伪造

证件或篡改证件机读信息内容，国产商用密码的应用使其安全性在国际上仍处于较高水平。另一个是印刷防伪技术，即证件表面的视读防伪，主要是采用高新技术制作的防伪膜、防伪标识和印刷防伪技术，第二代居民身份证采用自行研发制证设备，除了打印系统外，制证设备都是我国自行研制的,具有一定的防伪功能,世界上除中国外鲜有如此大规模的制证系统,这些对第二代居民身份证的信息安全具有重要作用。

公民在公安机关办理第二代居民身份证时，公安机关采集公民数码照片，并与本人身份信息（姓名、性别、住址、出生日期、公民身份号码等）技术合成后，通过计算机专网传输到制证中心（所)，制作出合格证件。一方面将公民的身份信息打印在证件的表面，另一方面将这些身份信息通过加密处理存人证件内部的芯片里。第二代居民身份证使用容量为4K 的非接触式 IC 卡芯片(即 RFID 芯片或 RFID 标签)作为机读存储器,目前只使用了1K,存储的数据包括身份证表面能看到的所有信息（包括照片）。2013 年 1 月 1 日起支持带指纹信息的身份证的制作与应用，将来还可增加公民的血型等信息。RFID 标签包含一个或一组半导体芯片，以及一个收发无线电射频信号的天线。其安全问题涉及三个方面：①存储在芯片上的数据安全性；②芯片本身是否安全；③利用射频信号进行的数据信息传输是否安全。第二代居民身份证将密码技术作为主要的防伪手段，从安全存储、安全认证和安全通信等角度确保了机读机验的信息安全性。

2011年10月新修订的《居民身份证法》规定了公民申领、换领，补领居民身份证应当登记指纹信息； 2013 年底，公安部推动建立全国居民身份证挂失申报系统，这有助于进一步增强身份证防伪性能，社会用证单位能够快速、准确地进行人、证一致性认定，解决目前存在的因居民身份证丢失而出现的无法挂失注销、新证旧证可同时使用等问题，有效防止因相貌相似、难于区分等导致的冒用他人身份证的违法犯罪行为的发生。

工作原理

第二代居民身份证系统是基于RFID技术的，基本的RFID系统是由RFID阅读器、RFID标签及后端数据库三部分组成。

阅读器

阅读器是无线射频识别系统的基本组件之一,RFID 阅读器负责向标签发射读取信号并接受标签的应答，对标签的对象标识信息进行解码,将对象标识信息和标签上其他相关信息传输到主机以供处理。阅读器的频率决定了射频识别系统的工作频段，阅读器的功率直接影响射频识别的距离，它一般通过应用软件对射频标签写入或读取其携带的数据信息。阅读器天线产生的电磁场根据天线的极化方式和阅读器发射的电磁场功率产生一个可以识别电子标签的可识别区域。

电子标签

电子标签是由 IC 芯片和无线通信天线组成的微型电路，每个标签都具有唯一的电子编码。电子标签通常没有微处理器，仅由数千个逻辑门电路组成。电子标签和阅读器之间的通信距离受到多个参数的影响，特别是通信频率。RFID 目前主要使用两种通信频率：13.56MHz 和 860～960MHz，第二代居民身份证的工作频率采用前者。根据标签获得能量的方式不同，标签又分为主动式、半被动式和被动式三种。主动式标签由内置电池供电，并能主动向阅读器发送射频信号，通信距离可达1 000m以上；半被动式标签也有内置电池，但只对输人的传输信号进行响应，最大通信距离为100m；被动式标签没有内置电池，它在接收到阅读器发出的电磁波信号后，将部分电磁能量转化为供自己工作的能量从而做出响应，最大通信距离为10m。

系统工作时，阅读器发出微波查询信号，电子标签收到微波查询能量信号后将其一部分整流为直流电源，供电子标签内的电路工作，另一部分微波能量信号被电子标签内保存的数据信息调制后反射回阅读器。阅读器接收反射回的幅度调制信号，从中提取出电子标签中保存的标识性数据信息。系统工作过程中，阅读器发出微波信号与接收反射回来的幅度调制信号是同时进行的。反射回来的信号强度较发射信号要弱得多，因此技术实现的难点在于同频接收。

后端数据库

后端数据库是 RFID 面向应用的支撑软件，主要负责实现与企业或组织应用相关的数据管理功能。后端数据库能够将产品信息、跟踪日志、主要管理信息等和一个特定的标签联系起来。通常假设后端的计算和存储能力很强大，可存储所有电子标签的信息，并能够与标签阅读器之间建立安全的连接。

解决方案

访问控制

为防止 RFID 电子标签内容的泄露，保证仅有授权实体才可以读取和处理相关标签上的信息，必须建立相应的访问控制机制。Weis 等提出一种基于散列函数的访问控制协议，标签的初始状态是锁定的，只能发送一种元标识符，该标识符是某个密钥的散列值，只有授权阅读器才能够在后方系统中查找对应的密钥并将其发送给标签,标签通过对密钥进行散列运算来验证其合法性，并返回明文形式的标识符，短时间内解除锁定状态，从而为阅读器提供一种身份认证机制和中等强度的访问控制机制。

标签认证

为防止电子标签的伪造和标签内容的滥用，必须在通信之前对电子标签的身份进行认证。目前，结合电子标签资源有限的特点，已提出了多种标签认证方案。

消息加密

如果阅读器和标签之间的无线通信是以明文方式进行的，攻击者能够获取消息并利用RFID 电子标签上的内容。加密算法的应用将是对抗这类攻击的典型解决方案。数据在传输时受到物理影响而可能面临某种干扰，可以把这种模型扩展为一个隐藏的攻击者。攻击者的类型可以分为两种：试图窃听数据，试图修改数据。前者的行为表现为被动状态，试图通过窃听传输线路发现秘密而达到非法目的；后者处于主动状态，操作传输数据并为了其个人利益而修改它。

加密过程可以用来防止主动攻击和被动攻击。为此传输数据（明文）可以在传输前改变(加密)，使隐藏的攻击者不能推断出信息的真实内容（明文）。

加密的数据传输总是按相同的模式进行：传输数据（明文）被密钥 K和加密算法变换为秘密数据（密文）。不了解加密算法和加密密钥 K，隐藏的攻击者就无法解释所记录的数据，即从密文当中不可能重现传输数据。在接收器中，使用解密密钥 K'和解密算法再把加密数据变换回原来的形式。如果加密密钥 K 和解密密钥 K'是相同的，或者相互间有直接的关系，则这种加密解密算法称为对称密码算法。否则为非对称密码算法。对射频识别系统来说，最常用的算法是对称密码算法（如序列密码）。为了克服密钥的产生和分配问题，系统应按照“一次一密法”原则创建流密码。使用所谓的伪随机数序列来获取得真正的随机序列，伪随机序列用伪随机数发生器产生。“一次一密”密钥是由随机数产生的而且只能使用一次，然后被销毁，因此其安全性非常高。

基于安全机制与安全技术的应用，第二代居民身份证芯片及其存储的内容无法复制，无法伪造，高度防伪，芯片可以与读卡器进行相互认证，通过机读信息进行安全性确认。芯片存储容量大，写人的信息可划分安全等级，分区存储姓名、地址、照片等信息。卡片中的每个数据存储扇区都有相应的读密码和写密码，按照管理需要授权读写，也可以将变动信息（如住址变动）追加写人。芯片使用特定的逻辑加密算法，有利于证件制发、使用中的安全管理，增强防伪功能。芯片和电路线圈在证卡内封装，能够保证证件在各种环境下都可以正常使用，且寿命在十年以上，并且具有读写速度快，使用方便，易于保管，以及便于各用证部门使用计算机网络核查等优点。

在证件芯片内身份信息的读取上，只有公安机关和社会用证部门及单位使用专门机在10 厘米距离内才能读取，对一般用于查验、检查第二代居民身份证的阅读机具，也是按照有关规定进行专门配置的，所以，证件内的身份信息安全可以得到保证。第二代居民身份证还具备可增添新住址（居民变换住址后的新地址）的功能，可随时将新信息增加到第二代居民身份证信息内。假冒的第二代居民身份证虽然表面看起来和真证类似，但是其内部没有相应的专门芯片，不能通过机读设备的检验。

总之，为了保证第二代居民身份证的安全，除了采用传统的物理防伪技术外，还建立了基于密码技术的信息防伪体系，配合《居民身份证法》对身份证使用的有效管理，从而可确保第二代居民身份证的安全，为各种实名制应用提供可靠的身份认证支撑。目前已广泛用于公安、银行、通信、铁路、航空、宾馆、网吧等社会生活领域。