证件数字防伪系统

企业名称:公安部第一研究所

产品概况：
本产品是十一五期间，由公安部第一研究所（北京中盾安全技术开发公司）承担的国家科技支撑项目"国家法定证件关键技术研究与应用示范"专项子课题的科技成果。
    数字防伪系统平台由自主设计开发的口令管理系统、卡发行管理系统、个人化防伪应用系统和验证防伪应用系统构成，包括自主研制的口令生成器、口令派发器、证件初始化设备、证件发行设备、证件核验设备等5种防伪设备、1款授权卡、1款密钥备份卡、1款密钥存储卡及1款电子证件专用芯片。通过构建以防伪算法和防伪机制为核心，以防伪设备为支撑，以口令管理系统、口令发行系统、个人化防伪应用系统、验证防伪应用系统为运行平台，实现证件专用防伪口令在系统中安全产生、传递，使用。具有安全性高、应用灵活的特点。
    本产品主要应用于重大活动与重要场所证件数字防伪，提供了一套从证件密钥生成、派发、芯片初始化、证件制作直到验证，贯穿证件制作、使用全过程的安全机制，及相应的设备、软件的防伪应用系统平台。系统从分级管理、分权制约、授权操作等技术手段，改进了以往单纯依靠设备来实施安全的工作方式，将防伪算法、防伪口令放在受保护的全局环境内运行，保证了关键要素全过程安全。

关键技术指标：
1） 证件专用芯片
 工作频率为13.56MHz；
 射频接口通信方式
    下行为10%的ASK调制，
         上行为BPSK负载调制；
 数据传输速率为106Kbps/212Kbps自适应；
 内嵌专用防伪算法IP核；
 8byte芯片序列号；
 4K字节EEPROM；
 支持存储区配置,最大8种模式；
 支持身份验证和访问控制；
 支持独立的读/写口令控制；
 数据保持时间时间大于10年；
 擦写次数大于10万次；
 ESD为4000伏。
2） 证件发行设备
     a）口令生成器/派发器
 32位RISC CPU核，最高主频96MHz；
 公钥算法引擎；
 DES/3DES引擎；
 物理噪声源生成真随机数，随机数发生码率64Kbps；
 安全检测与防护单元；
 支持USB2.0串行接口，全速率12Mbps工作模式；
 支持ISO7816-3协议(T=0)接口，最高速率310Kbps；
 支持UART串行接口，最高通信速率为115.2Kbps；
 USB接口供电；
 工作温度：0℃～＋50℃；
 外形尺寸：122.5mm×88.51mm×25.48mm
     b）发行/核验设备
 支持ISO14443B型通信协议；
 射频接口数据传输速率106或212Kbps；
 支持USB2.0串行接口，全速率12Mbps工作模式；
 支持ISO7816-3协议接口，最高通信速率310Kbps；
 支持UART串行接口，最高通信速率115.2Kbps。
 内置天线；
 双色LED和蜂鸣器提示设备工作状态；
 支持休眠模式和一键唤醒功能；
 对ISO14443B型卡的有效读写距离为0～2cm；
 USB供电，无需外接电源；
 工作温度：0℃～＋45℃；
 外形尺寸：122.5mm×88.51mm×25.48mm
3） 口令管理系统及卡发行管理系统
a）口令管理系统
 网络配置管理：系统各网络终端注册、配置管理；
 系统用户管理：各权限用户注册登录、配置管理；
 业务用户管理：应用用户数据信息及安全信息的版本控制；
 设备注册登记管理：专用设备注册、配置管理；
 系统数据库管理：数据库备份与恢复；
 系统日志管理：对系统操作及业务操作日志审计；
 网络终端检测：网络终端权限鉴别和运行状态检测；
 系统用户检测：系统用户权限鉴别；
 设备检测：专用设备运行状态及权限检测；
 任务调度、配置：任务的调度、配置及任务执行情况的统计；
 口令生成：用户口令的生成、导出、备份、恢复等操作；
 口令派发：用户口令写入到SAM和授权卡中；
 支持10000组用户口令的数据管理；
 支持每类设备百万级的派发数据管理；
 单个读写设备及授权卡的派发时间不大于2秒；
b）卡发行管理系统
 系统注册：管理终端和操作终端的注册、注销，SAM和授权卡的注册、注销；
 人员注册：管理员和操作员的注册、密码重置、注消；
 任务管理：任务配置、登录、退出、注册；
 事件审计：任务进程、执行结果的审计；
 安全备份：对数据库保存的数据进行安全备份并保证备份数据的完整性。
 接口通讯与设备管理；
 安全控制模块权限与身份管理；
 预初始化/初始化操作管理；
 产品检测；
 产品修复；
 监测与审计
 可支持5000万以上读写设备及卡发行的数据管理。
 单卡发行时间不大于1秒；
4） 证件制作与个人化及验证防伪应用系统
根据活动需要，完成多种尺寸和材质证件的制作；一证多用，满足活动对注册、查验、报到和显示等不同方面的需求；电子证件的查验时间小于1秒。
产品创新点：
1）自主证件芯片
   自主设计、国内制作了证件专用芯片。在芯片设计方面，存储区结构和加密机制多是为小额付费应用设计的，存储区结构固定，而本项目所研制的芯片，针对大型活动身份证件应用设计，可灵活配置的数据存储结构，在二次开发和应用中具有更高的自主性和灵活性。同时，所研制的芯片与目前国内、外用量最大的国外M1芯片和TI电子标签芯片相比，安全上提供身份核验、访问权限控制、容量4K字节、通信速率106/212Kbps可调、ESD为4KV，在安全性、容量、速率和ESD方面都优于后两者。
2）自主研制设备
   自主研制了4种安全控制模块、发行及核验机具、口令生成和口令派发器等发行设备。在安全模块和发行设备方面，通过采用国内设计的高安全芯片和真随机数芯片，并使用硬件状态监控的方式，解决了程序测试态保护，防止芯片内数据泄漏、拷贝和剖析，以及生成口令的随机性和主口令算法的安全性问题；其次，设备的嵌入式软件解决了口令的安全生成、导入、导出、备份、恢复以及自毁等底层控制问题；与国内、外同类产品相比，我们研制的产品通过优化设计，在单一芯片上实现ISO14443-B与ISO15693多协议兼容及106/212Kbps两种数据传输速率灵活配置。提供身份核验、数据完整性保护，对敏感数据进行安全保护。在工作模式、数据传输速率、安全性方面更加优越。
3）自主开发系统
    自主设计开发的口令管理、卡发行管理等防伪系统，采用了身份认证、访问控制、信息加密等信息安全技术，通过系统数据库、上位机和下位机的联合控制，解决了万级版本口令的生成、存储、备份、恢复和千万级设备、授权卡派发等操作的管理、控制、统计、审计等问题；与单一数据统计系统相比，更适合流水线生产、功能更强、系统更灵活可靠。
4）自主安全机制
    通过自主设计的4个数字防伪算法和采用的身份认证、权限管理和信息完整性保护机制，建立了证件的安全防伪机制。利用自主研制的芯片、设备和系统，搭建了完整的数字防伪平台，并将安全机制贯穿证件生产、制作、发放和使用全部环节；
5）其他创新
   获得了外观设计专利1项，集成电路布图设计登记证书1项，