沈孝東 葛利軍

1. 公安部第一研究所 2. 北京市微技術(shù)研究所

引言

“9·11”事件后，各國紛紛啟用機讀旅行證件加強出入境管理，防范恐怖活動，目前，全球已有100多個國家和地區(qū)推行機讀旅行證件。2003年ICAO-NTWG文件提出PKI安全措施并被認可。ICAO規(guī)范實施PKI技術(shù)的目的，是使機讀旅行證件的接收國家和一些需對機讀旅行證件進行核驗的授權(quán)機構(gòu)能對存儲在機讀旅行證件芯片中的數(shù)據(jù)進行真實性和完整性的核驗。PKI適用于非安全傳輸渠道，特別適合各國對機讀旅行證件的查驗情況。

PKI是一種遵循既定標準的密鑰管理平臺，它為機讀旅行證件應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而在機讀旅行證件使用過程中達到信息的保密性、真實性、完整性和不可否認性。在PKI系統(tǒng)中，國家簽名認證機構(gòu)（CSCA）簽發(fā)數(shù)字證書，證書含有用戶身份信息和公鑰。PKI查驗方依賴ICAO發(fā)布的信任根來驗證對方的PKI用戶證書鏈，從而獲得對方機讀旅行證件是否真實可信。證書撤銷方案是PKI技術(shù)中重要的一部分，針對目前機讀旅行證件查驗系統(tǒng)，證書撤銷方案有一定的優(yōu)勢，但也存在不足之處，Openssl軟件包中證書鏈驗證模塊滿足不了新應(yīng)用場景中的證書撤銷方案，為此本文提出一種改進的證書鏈驗證模塊，滿足新場景下機讀旅行證件查驗過程，具有高效安全的特性。

一、目前核驗方法和文件信息格式

（一）機讀旅行證件公鑰基礎(chǔ)設(shè)施

機讀旅行證件使用被動認證保護證件中存儲數(shù)據(jù)的真實性和完整性[1]。這一安全機制以數(shù)字簽名為基礎(chǔ)，包含如下公鑰基礎(chǔ)設(shè)施實體：

（1）國家簽名認證機構(gòu)（CSCA）：每個國家建立單一的國家簽名認證機構(gòu)作為其在電子機讀旅行證件方面的國家信任點。該國家簽名認證機構(gòu)為一個或多個國家證件簽名者簽發(fā)公鑰證書。國家簽名認證機構(gòu)還定期發(fā)布證書撤銷列表（CRL），說明所簽發(fā)的證書是否有被撤銷的。

（2）證件簽名者（CDS）：證件簽名者用數(shù)字簽名方式對存儲在電子機讀旅行證件中的數(shù)據(jù)進行簽名，該簽名存儲在電子機讀旅行證件的證件安全對象中。

（3）查驗系統(tǒng)：查驗系統(tǒng)用于驗證機讀旅行證件的數(shù)字簽名，包括證書鏈的確認，以及驗證存儲在電子機讀旅行證件中的電子數(shù)據(jù)的真實性和完整性。

（4）國家證書列表簽名者：國家證書列表簽名者是通過電子方式發(fā)布國家簽名認證機構(gòu)證書列表的一個選擇性實體，以支持國家簽名認證機構(gòu)證書的雙邊分發(fā)機制。

（5）公鑰目錄（PKD）服務(wù)器：為實現(xiàn)ICAO全球機讀旅行證件互相驗證要求，所有需要對機讀旅行證件進行檢查的機構(gòu)，必須能夠獲得機讀旅行證件發(fā)行國的CSCA證書，以便對需要檢查的機讀旅行證件進行核驗。為此，需要建立一個公鑰目錄服務(wù)器，提供CSCA和CRL的下載。其次，ICAO機讀旅行證件發(fā)行國也可以通過雙邊外交途徑交換彼此的CSCA和CRL。PKD服務(wù)器也為全國各省、市、自治區(qū)提供CSCA和CRL下載平臺。

根據(jù)ICAO規(guī)范，機讀旅行證件通過被動認證機制對SOD進行簽名驗證，核實芯片數(shù)據(jù)的真實性和完整性，ICAO要求各機讀旅行證件發(fā)行國采取基于PKI技術(shù)來實現(xiàn)這一安全保障[2]。SOD文件是機讀旅行證件中已簽名數(shù)據(jù)類型，用于保持其中簽名的完整性，SOD文件必須采用特異編碼規(guī)則（DER）格式數(shù)據(jù)。所以機讀旅行證件查驗系統(tǒng)包括SOD文件解析、證書驗證和證書鏈驗證等幾部分。

（二）機讀旅行證件查驗流程

機讀旅行證件查驗系統(tǒng)通過讀取芯片中數(shù)據(jù)組（DG1、DG2和SOD等）和CSCA證書，就可以對芯片SOD的真實性和完整性進行核驗。查驗系統(tǒng)主要驗證數(shù)據(jù)組（DG1、DG2等）的HASH值是否與SOD中存儲的HASH值相等，還有CDS證書是否有效，如果都正確，則確保芯片中數(shù)據(jù)的真實性和完整性。機讀旅行證件查驗流程如下：

（1）獲取芯片中DG1、DG2和SOD等數(shù)據(jù)；

（2）解析SOD讀取數(shù)字簽名Signature，驗簽Signature 是否有效；

（3）計算DG1、DG2的HASH值，與SOD存儲的HASH值進行比較，驗證通過則證明芯片中存儲的數(shù)據(jù)真實性和完整性。

機讀旅行證件查驗主要包括SOD文件解析、證書驗證與證書鏈驗證，查驗流程如圖1所示。

（三）SOD文件信息格式

ASN.1是一種國際標準，它為抽象數(shù)據(jù)的描述說明定義了一種記法，使用抽象法對各種編程語言定義的數(shù)據(jù)類型進行了重新定義，將所有數(shù)據(jù)類型分為基本型和結(jié)構(gòu)型兩種。ASN.1的標準化編碼規(guī)則有BER、DER、PER和CER等[3]。

SOD文件編碼格式采用DER編碼，DER是BER編碼的一種特殊形式，專門用于具有安全特性的應(yīng)用場景，如涉及加密技術(shù)和要求編碼信息唯一的場景。為了保證編碼結(jié)果的唯一性，DER編碼在BER編碼的基礎(chǔ)上增加了一些規(guī)則，其中對整數(shù)的定義描述如下：

（1）數(shù)據(jù)長度不大于0x7F，稱為“短形式”，Length 占1字節(jié)，直接把長度賦給Length；

（2）數(shù)據(jù)長度大于0x7F，稱為“長形式”，把數(shù)據(jù)長度L表示為字節(jié)碼，計算其長度n，然后把n與0x80進行“位或”運算的結(jié)果賦給Length的第一個字節(jié)。

（四）機讀旅行證件證書驗證和證書鏈驗證

機讀旅行證件證書驗證包括CRL證書驗證、CDS證書驗證和證書鏈驗證。

CRL驗證依賴于CRL證書的內(nèi)容和CRL證書公鑰對應(yīng)的私鑰。驗證CRL是否有效，主要包括用CSCA公鑰驗簽CRL，然后查看該證書是否在CRL中，如果在，則證書撤銷，不再進行其他驗證，否則進行其他有效性驗證。

CDS證書驗證依賴于證書的內(nèi)容和證書公鑰對應(yīng)的私鑰。證書內(nèi)容主要包括序列號、公鑰、用戶名、簽發(fā)者、CSCA簽名和其他一些附屬信息等。通常證書驗證過程包括以下要點：

（1）驗證證書內(nèi)容是正確和完整的，沒有被篡改，CSCA簽名是正確的；

（2）驗證證書是有效的，在有效期內(nèi)并且沒有被撤銷；

（3）驗證CSCA證書是信任的證書，確認用戶的身份。

證書鏈驗證主要是接收國驗證簽發(fā)國證書鏈的過程。比如用戶A和用戶B的證書是不同CSCA簽發(fā)的，分別是CSCA1和CSCA2。為了確保B能夠正確驗證自己的證書，A必須給B發(fā)送A證書、CSCA1證書，這兩個證書就構(gòu)成了一個完整的證書鏈。B接收到A發(fā)送過來的整個證書鏈后，進行驗證的操作流程如下：

（1）從CSCA1提取公鑰，驗證用戶證書A的合法性和有效性；

（2）利用根CSCA1的公鑰驗證根CSCA1證書的合法性和有效性（因為它是一個自簽名根證書）；

（3）B查找自己的信任證書庫（通常是一些CSCA根證書列表），查看上述CSCA1根證書是否在信任列表中，如果在，則驗證通過，否則不通過。

對于每一個簽發(fā)國可以有多個CSCA，但只有一個CRL，CRL是簽發(fā)國最新的CSCA頒發(fā)的，對CDS進行驗簽，需要對整個證書鏈驗簽。Openssl驗證模塊執(zhí)行流程首先查找CDS對應(yīng)的CSCA，然后查看CSCA頒發(fā)的CRL中是否有此CDS，如果有則返回CDS證書撤銷，如果沒有則對CDS證書鏈進行驗證。當被撤銷的CDS證書是較早CSCA頒發(fā)的，而較早CSCA沒有簽發(fā)CRL證書，則CDS證書進行驗證時，首先會查找CSCA簽發(fā)的CRL證書，這時候會返回找不到CRL證書，而不再進一步驗證。

二、SOD文件解析與改進的核驗方法

（一）SOD文件解析

SOD文件內(nèi)容采用DER編碼，為了便于信息提取，需要對其進行解析。DER編碼信息數(shù)據(jù)是一種樹型結(jié)構(gòu)，可方便用可擴展標識語言XML來表示，比如整數(shù)、序列都可以用XML的元素類型表示[4]，XML語言具有簡單靈活的標準格式，為SOD文件的解析提供了一種描述和交換數(shù)據(jù)的方法。因此本文采用XML語言來解析SOD文件內(nèi)容。

解析模塊由四部分組成，具體功能如下：

（1）解析ASN.1抽象語法信息，并根據(jù)解析規(guī)則將其解析為XML SCHEMA；

（2）解析DER編碼，解析后表示成一個SAX事件流，其中每一個元素擁有一個名字；

（3）根據(jù)（1）中解析的XML SCHEMA給SAX事件流命名，使得SAX事件流擁有XML SCHEMA規(guī)定的名字；

（4）ASN.1信息解析后采用SAX事件流表示，這個過程通過解析ASN.1信息并根據(jù)信息的每一部分生成SAX事件，數(shù)據(jù)類型使用數(shù)據(jù)元素、數(shù)據(jù)值及字符串表示。

SOD文件通過解析模塊做語法匹配，解析為可讀的XML編碼文件，如下所示：

（二）證書鏈驗證

本文中機讀旅行證件查驗程序基于Openssl軟件包，SOD文件的CDS進行CRL驗證時，首先查找與此CDS對應(yīng)的CSCA，再查找CSCA生成的CRL，如果CDS編號在CRL中則此證書撤銷，不再驗證證書鏈，否則需要進一步驗證證書鏈。如果CDS在證書鏈中找不到對應(yīng)的CSCA生成的CRL，則返回找不到有效的CRL證書，不再進行驗證。由于一個國家可以有多個CSCA，但只有一個CRL，而生成CRL證書的CSCA與生成CDS證書的CSCA不是同一個證書，所以在進行CRL驗證時，常常出現(xiàn)找不到有效CRL證書的情況。

為此，本文在CRL驗證時，首先查找CRL對應(yīng)的CSCA，通過遍歷證書鏈上所有相同的CSCA，查找最新的CSCA對CRL進行驗證。由于CRL由最新的CSCA進行簽發(fā)，所以能夠通過CRL驗簽，進而實現(xiàn)對證書鏈的驗證。核驗系統(tǒng)執(zhí)行結(jié)果如圖2所示。

三、結(jié)語

本文系統(tǒng)介紹了SOD文件信息編碼，針對這種編碼給出了有效的解析方案，實現(xiàn)了快速獲取SOD文件相關(guān)簽名、HASH值等信息，方便SOD文件被動驗證工作。本文還通過分析現(xiàn)有簽名驗簽過程，特別是現(xiàn)有CRL驗證過程，對無法解決簽名CRL的CSCA與CDS的CSCA一致問題，給出了一種有效的CRL驗簽方案，解決了目前簽名驗簽方案的不足。隨著信息技術(shù)的發(fā)展，PKI技術(shù)將擴展到新的應(yīng)用場景，大規(guī)模PKI技術(shù)和新場景應(yīng)用將成為未來進一步探究的內(nèi)容。

周轉(zhuǎn)箱循環(huán)與行李自動分揀系統(tǒng)

果雪瑩1張燕鳴1李東1彭峰2

1. 公安部第一研究所 2. 上海睿豐自動化系統(tǒng)有限公司

摘 要：民航領(lǐng)域客流日益增長，旅客安檢通關(guān)環(huán)節(jié)承受著越來越大的壓力，降低安檢人員的勞動強度、提高安檢工作的效率、準確匹配旅客及其行李的需求越來越強烈。周轉(zhuǎn)箱循環(huán)與行李自動分揀系統(tǒng)在傳統(tǒng)X光機安全檢查的基礎(chǔ)上集成人臉識別系統(tǒng)、RFID識別系統(tǒng)、自動分揀系統(tǒng)和周轉(zhuǎn)箱循環(huán)系統(tǒng)。系統(tǒng)準確高效地自動分揀可疑行李，將安檢員從運送周轉(zhuǎn)箱、尋找和拿取可疑行李至手檢工作臺、尋找行李主人、將可疑行李取回復(fù)檢等繁瑣工作中解脫出來。系統(tǒng)確保安檢員專注于安檢圖像的判讀，從而提高安檢質(zhì)量與效率及旅客的通行率。

關(guān)鍵詞：人臉識別 周轉(zhuǎn)箱 射頻識別 可疑行李 自動分揀 X光機 安檢

引言

隨著社會的發(fā)展，民航領(lǐng)域客流量日益增長。據(jù)中國民用航空局2019年發(fā)布的數(shù)據(jù)，北京首都機場以10098萬人次位于2018年全國機場年吞吐量排名第一，比2017年增長5.4%。另外上海浦東、廣州白云、成都雙流、深圳寶安、昆明長水、上海虹橋、重慶江北、杭州蕭山機場也依次入榜單前十，年吞吐量在7401萬人至3824萬人次之間，前十名中年增長幅度最大的是深圳寶安機場，年增長8.2%；增幅最低的上海虹橋機場年增長4.2%。年吞吐量超過1000萬人次的機場有37個。

民航旅客的隨身小件行李需要放入周轉(zhuǎn)箱中通過

X光機完成安檢。在非自動分揀的情況下，當安檢員發(fā)現(xiàn)屏幕圖像中有可疑物品時，需要將視線離開屏幕圖像，在輸送帶上尋找待開檢的包裹、親自拿取或告訴其他安檢工作人員拿取待開檢包裹送給開包員，此時若停帶將引起包裹擁堵，降低通過率；若不停帶，后續(xù)包裹的圖像還在屏幕上移動，安檢員無法專注判讀后續(xù)包裹，降低安檢判讀的質(zhì)量，可能出現(xiàn)危險品漏判的嚴重后果。開包員手檢完成后還要將開檢的包裹送回X光機入口進行復(fù)檢。檢測完成后周轉(zhuǎn)箱需要從X光機出口由人工送回到入口。在客流量比較大的機場，少量的待開檢包裹就會造成大批旅客在安檢環(huán)節(jié)滯留。旅客安檢通關(guān)環(huán)節(jié)承受著越來越大的壓力。

二、系統(tǒng)集成

自動分揀系統(tǒng)在物流、倉儲領(lǐng)域中已經(jīng)被應(yīng)用了幾十年。交運行李自動分揀系統(tǒng)在國內(nèi)外民航領(lǐng)域的應(yīng)用已經(jīng)非常廣泛。但旅客隨身小件行李的分揀自動化應(yīng)用，尤其在國內(nèi)還沒有廣泛開展。隨著技術(shù)的發(fā)展，基于對安檢現(xiàn)場的工作流程的了解，筆者研發(fā)團隊針對安檢員人工識別、拿取待開檢包裹和人工運送周轉(zhuǎn)箱的問題進行了剖析，通過集成掃碼器、分揀器、X射線機圖像與RFID匹配、信息傳輸?shù)阮I(lǐng)域的技術(shù)，設(shè)計出一套可供安檢現(xiàn)場使用的“周轉(zhuǎn)箱循環(huán)與自動分揀系統(tǒng)”，在不降低安檢效率的同時，達到人包與安檢圖像的完全對應(yīng)，提高安檢的準確性和可靠性。

（一）結(jié)構(gòu)設(shè)計

采用模塊化設(shè)計方式，將整個系統(tǒng)分解為多個單元，降低了系統(tǒng)的噪聲，提高了安裝、維修方便性和系統(tǒng)的可靠性。解決了機械運動部件連續(xù)工作的安全性和可靠性問題。整個系統(tǒng)盡可能的“小巧”且功能強大。

（二）軟件設(shè)計

1. 包裹圖像的分隔

女漢子是什么事都扛上身，力求比男人更有力量更能干活，看著大咧咧，內(nèi)心卻很敏感，屬于外強中干。而女強人更多的是驅(qū)動別的男人干活，她們或許外貌柔美，但內(nèi)心絕對堅強，有本事讓男人聽她的命令。女強人，辛苦別人。女漢子，苦了自己。

為了使包裹圖像與周轉(zhuǎn)箱RFID匹配，首先需要周轉(zhuǎn)箱之間保持一定的間距，但是由于輸送帶邊緣或圖像背景差等原因，依然會產(chǎn)生影響包裹圖像分隔的因素，需要通過背景處理等方法分隔包裹圖像。

2. 包裹圖像與周轉(zhuǎn)箱RFID匹配

由于安檢現(xiàn)場諸多不確定因素，會影響包裹在輸送帶上的位置，對包裹圖像與周轉(zhuǎn)箱RFID的匹配產(chǎn)生影響，通過對包裹位置跟蹤、輸送帶運行方式控制等方法，降低外來因素對匹配產(chǎn)生的影響。

（三）硬件設(shè)計

為了在強金屬干擾環(huán)境中（金屬輥道下方或皮帶輸送機承重鋼板中間）準確的識別周轉(zhuǎn)箱，專門設(shè)計定制RFID標簽、RFID天線和采集器。定制的RFID標簽、RFID天線和采集器具有抗強金屬干擾的性能。

（四）系統(tǒng)的整體控制

通過光障、傳送帶電機信號輸入對整套傳送帶系統(tǒng)邏輯控制，實現(xiàn)整套系統(tǒng)的正常流程和非正常流程的控制。實現(xiàn)周轉(zhuǎn)箱的逐次填充、安檢機入口的周轉(zhuǎn)箱間距控制、周轉(zhuǎn)箱RFID讀取控制、安檢機與系統(tǒng)的傳送帶聯(lián)動控制、安檢機出口的周轉(zhuǎn)箱去間距與急停后處理控制、分揀器的RFID識別與危險行李分揀控制、周轉(zhuǎn)箱是否為空的識別控制、空周轉(zhuǎn)箱的回收等功能。

每個模塊有其特殊工作，各模塊之間由系統(tǒng)總體控制，能夠很好地保障包裹圖像的分隔和包裹圖像與周轉(zhuǎn)箱RFID匹配。

三、工作流程

X光機入口側(cè)，周轉(zhuǎn)箱在備用輸送機上被加載上新的RFID信息。旅客刷臉后從備用輸送機上領(lǐng)取周轉(zhuǎn)箱，人臉識別系統(tǒng)將旅客信息與周轉(zhuǎn)箱RFID信息綁定。旅客將隨身行李放入周轉(zhuǎn)箱時，旅客與行李的信息被自動對應(yīng)起來。待檢輸送機上的RFID掃描器掃描周轉(zhuǎn)箱信息并傳送給X光機。

周轉(zhuǎn)箱通過X光機，在顯示器屏幕上呈現(xiàn)安檢圖像，由安檢員判讀其是否符合安全標準。符合標準的行李經(jīng)出口輸送機到達行李提取處，等待旅客領(lǐng)取。出口輸送機末端配有周轉(zhuǎn)箱清空判斷系統(tǒng)，通過紅外圖像自動識別周轉(zhuǎn)箱是否被清空。

被清空的周轉(zhuǎn)箱被系統(tǒng)自動送入回程輸送機，回到X光機入口側(cè)的備用輸送機上供后續(xù)旅客領(lǐng)取，周轉(zhuǎn)箱的循環(huán)輸送過程至此結(jié)束。

對未被清空的周轉(zhuǎn)箱，系統(tǒng)自動報警提醒旅客取走周轉(zhuǎn)箱里遺留的物品。對于超時未取的行李，系統(tǒng)也可以根據(jù)設(shè)定的時限報警提示將其移至取包臺。待旅客取走后，安檢員將周轉(zhuǎn)箱送至周轉(zhuǎn)箱清空判斷系統(tǒng)。

對判讀環(huán)節(jié)中不符合安全標準的行李，安檢員用鼠標點擊屏幕上圖像可疑區(qū)域標識可疑行李?？梢尚欣铍S周轉(zhuǎn)箱經(jīng)過出口輸送機上的分揀器時被自動分揀到可疑包裹輸送帶上，送到開包檢查處。開包檢查處的安檢員請旅客配合手檢。手檢完成后，該安檢員將行李連同周轉(zhuǎn)箱一起放入復(fù)檢輸送帶上回到X光機入口側(cè)，手檢后的行李經(jīng)過復(fù)檢輸送機上的分揀器時，系統(tǒng)自動將其插入到待檢輸送機上進行復(fù)檢。

系統(tǒng)為旅客帶來了愉悅的通關(guān)體驗，在保證安全的前提下縮短了安檢時間，提高了安檢工作人員的工作效率，降低了勞動強度，符合人體工程學(xué)，外觀滿足大眾審美。

四、實際應(yīng)用

在周轉(zhuǎn)箱循環(huán)與行李自動分揀系統(tǒng)產(chǎn)品研制的過程中，武漢、廣州等機場對此產(chǎn)品進行了關(guān)注。受限于機場現(xiàn)有空間布局，需要協(xié)調(diào)出相應(yīng)的空間以放置這套高度自動化的分揀系統(tǒng)進行實際應(yīng)用。目前工程技術(shù)人員已經(jīng)在廣州機場實地勘察制定布置方案，將根據(jù)客戶的需求選擇相應(yīng)的配置進場試用。

五、結(jié)語

本系統(tǒng)將使用后的周轉(zhuǎn)箱通過系統(tǒng)自動輸送到安檢設(shè)備入口備用，取代人工搬運周轉(zhuǎn)箱的工作，極大提高了安檢工作效率。系統(tǒng)還使安檢員在不停帶的情況下，通過鼠標點擊屏幕標識可疑包裹，自動將可疑包裹分揀到可疑包裹輸送帶上，并直接傳送給開包員。從而保障了安檢員對屏幕圖像的關(guān)注度，提高了安檢質(zhì)量和旅客通過率。另外，還實現(xiàn)了旅客與所攜帶行李的對應(yīng)關(guān)系，行李與安檢圖像的精確匹配的功能。使安全檢查工作更加準確和可靠。