生成带有个性化数据和唯一机器数据的身份证件的制作方法

相关申请

本申请要求于2014年8月19日提交的、发明人为markandrewjoynes等人且标题为“generatinganidentitydocumentwithpersonalizationdataanduniquemachinedata”的临时申请序列号62/039,147的优先权，通过引用将该申请结合于此。

本公开一般涉及身份证件，并且更具体地，涉及用于生成身份证件的方法和装置。

背景技术：

安全措施对于生成和验证身份证件(诸如机器可读旅行证件(mrtd)(例如，护照、签证等)、安全徽章、雇员卡式钥匙，以及金融卡(例如，信用卡、借记卡、各种类型的商店会员卡等))的系统和/或设备是非常重要的。在缺乏健壮的安全措施的情况下生成和验证身份证件时，可能无法确定例如何时这样的证件包括了伪造品或者是使用未经授权的生成这些证件的设备和/或系统结果。

附图说明

当结合下面的附图考虑以下描述时，将更容易地理解实施例，并且在附图中相同的附图标记表示相同的组件，其中：

图1是示出身份证件生成环境的示例的功能性框图；

图2是用于生成身份证件的示例方法的流程图；

图3是用于生成身份证件的另一示例方法的流程图；以及

图4示出了由身份证件生成系统(诸如图1中所示的身份证件生成系统)生成的示例身份证件。

具体实施方式

简而言之，公开了用于生成身份证件(例如，护照、其它政府id、驾驶执照、安全徽章、卡式钥匙、金融卡等)的方法和装置。在一个实施例中，方法和身份证件生成系统(例如，包括具有打印系统的机器的系统，该打印系统有时可以被称为“打印机制”)获得与身份证件生成系统相关的唯一的机器数据，诸如例如印刷电路板标识符(id)的机器标识符(id)、数字处理器id或其它证件生成系统组件id，它是全局唯一的，例如，它将不会是与任何其它授权身份证件生成系统相关的id。还可以以任何其它合适的方式获得全局唯一的id，诸如通过获得来自系统的各种组件的静态元素的集合的方式，获取全局唯一的id，所述静态元素为值贡献了足够的熵(entropy)，以确保唯一可再现的身份。方法和装置还可以获得与身份证件的预期持有者相关的个性化数据，诸如姓名、出生日期、社会安全号、地址、护照的机器可读区(mrz)数据、上述个性化数据的组合，和/或可以取决于要生成的身份证件的类型的任何其它合适的个性化数据。

此外，方法和装置可以生成唯一的机器和个性化数据对象。在一个示例中，唯一的机器和个性化数据对象包括唯一的机器数据的值和个性化数据的值。然后，方法和装置可以对唯一的机器和个性化数据对象进行数字签名。如果期望，则方法和装置可以从唯一的机器和个性化数据对象生成散列值，并且可以对散列值进行数字签名。方法和装置可以使用身份证件生成系统的密码引擎(例如，编程的处理器、离散逻辑或其它电路)对唯一的机器和个性化数据对象或在一些实施例中对从其生成的散列值进行数字签名，其中密码引擎提供将机器id与从生成该证件的机器生成的证件的持有者的个性化数据绑定的安全签名操作。密码引擎电路也可以被称为安全签名功能(ssf)。方法和装置还可以将经签名的唯一的机器和个性化数据对象或在一些实施例中从其生成的散列值结合到身份证件中。下面进一步详细描述方法和装置，以及附加的和/或替代的方法和/或装置的更多实施例。

在其它优点中，例如，公开的方法和装置允许在身份证件(诸如护照、其它政府id、许可证、雇员徽章、卡式钥匙和金融卡(例如，信用卡、借记卡、各种类型的商店会员卡等))的生成和随后验证中健壮的安全性。经签名的唯一的机器和个性化数据将与身份证件的预期持有者相关的个性化数据与被授权生成该身份证件的具体身份证件生成系统配对。然后为了确认身份证件的可靠性，如下面进一步描述的，可以在随后的验证过程期间确认个性化数据(下文有时称为“个人数据(persodata)”)的这种配对和完整性。对于身份证件生成系统(例如，包括具有打印系统的机器的系统)使用全局唯一的id确保例如相同型号打印系统的其他购买者不会生成有效的身份证件，因为本文描述的验证过程将指示个人数据与被授权生成身份证件的具体身份证件生成系统(例如，客户授权的或政府授权的系统)不配对。本领域技术人员将认识到其它优点。

图1是示出身份证件生成环境100的示例的功能框图。示例身份证件生成环境100包括身份证件生成系统102(诸如护照生成系统、其它政府id生成系统、雇员徽章生成系统、卡式钥匙生成系统、金融卡生成系统等)。护照生产系统和方法也一般性地在于2004年8月31日公布的标题为“passportproductionsystemandmethod”的美国专利no.6,783,067中描述，整体上通过引用将该专利结合于此。

如图1所示，身份证件生成系统102包括身份证件生成/个性化设备104(例如，打印系统)和控制器106。在其它示例中，身份证件生成系统102可以被认为是具有与身份证件生成/个性化设备104不同的控制器106的身份证件生成/个性化设备104。在另外的其它示例中，控制器106可以在身份证件生成/个性化设备104中实现。身份证件生成系统102使得身份证件108包括与身份证件的预期持有者相关的个性化数据与被授权生成身份证件108的具体身份证件生成系统102的配对。示例性身份证件生成环境100还包括如下面进一步描述的、具有向控制器106提供个人数据的个人数据数据库110的客户服务器。

身份证件生成/个性化设备104可以包括激光模块112和芯片编码模块114。在一些实施例中，身份证件生成/个性化设备104可以包括喷墨模块116。在其中例如身份证件生成/个性化设备104是具有激光打印系统的机器、或者包括具有激光打印系统的机器的实施例中，激光模块112可以包括控制板118和具有存储器120的处理器，其中存储器存储全局唯一的机器标识符(umd)。控制板118可以包括密码引擎电路122(例如，编程的处理器、离散逻辑或其它电路)，诸如提供将umd绑定到身份证件108的预期持有者的个性化数据(pd)的安全签名操作的联邦信息处理标准140-2密码引擎。如上面所指出的，密码引擎电路122还可以被称为安全签名功能(ssf)。在其它示例中，密码引擎电路122可以被包括在身份证件生成环境100中的其它合适的位置。例如，密码引擎电路122可以被包括在控制器106中。

如本文进一步描述的，控制器106可以包括控制个性化数据与身份证件生成系统102的配对的配对处理器124。配对处理器124可以与可以在控制器106的外部(如图1所示)的或与控制器106一体的显示器126通信。控制器106还可以包括个人数据准备模块128，该模块可以与证件签名者130或“文件签名者”130通信。如下面所讨论的，当个性化数据与身份证件生成系统102的配对被包括在身份证件108的芯片或其它存储设备的签名内容中时，使用文件签名者130。

如图1所示，示例性身份证件生成环境100还包括制造商证书授权机构(ca)132、制造商登记授权机构(ra)134、国家签名ca(csca)(或其他客户ca)136以及csca登记授权机构138。在允许密码引擎电路122使用身份证件生成系统102的制造商或身份证件生成/个性化设备104的制造商的私钥的示例中，具有ssf的密码引擎电路122可以经由与配对处理器124的双向通信链路，向制造商ra134发布对制造商的公钥证书的请求。然后，制造商ra134可以使得制造商ca132通过制造商ra134和制造商ca132之间的双向通信链路(诸如，在优选实施例中，通过制造商ra134和制造商ca132之间的空气间隙的无线通信链路)发布制造商的公钥证书。替代在线自动化链接的方式，请求和/或密钥发布也可以是手动的(例如，通过手动链接离线的)。根据期望和/或合适，本文讨论的其它链接也可以是手动的或自动的。然后，制造商的公钥证书可以经由相同的双向通信链路在去往密码引擎电路122的方向被发布到密码引擎电路122。如本文所述的密钥交换和数字签名可以是任何合适的类型。例如，本文所述的方法和装置/系统可以采用椭圆曲线密码制(ecc)、rsa或一个或多个任何合适技术。

当身份证件108是例如卡式钥匙、雇员徽章等时，可以允许具有ssf的密码引擎电路122使用制造商的私钥来将个性化数据与身份证件生成系统102配对。可以例如通过控制板118或具有存储器120的处理器的方式来指示这种许可。但是，当例如身份证件108是诸如护照、政府id、驾驶执照、金融卡(取决于金融卡的发行者的要求)等证件时，可以不允许密码引擎电路122使用身份证件生成系统102的制造商的私钥。在这种情况下，向其预期持有者发布身份证件108的实体(例如，政府)可以指示csca136将发布该发布实体(例如，发布政府)的公钥证书，或者以其它方式与该发布实体相关联的公钥证书。如此一来，密码引擎电路122可以经由与配对处理器124的双向通信链路，向cscara138发布对发布实体的公钥证书的请求。然后，cscara138可以使csca136以通过cscara138和csca136之间的双向通信链路的方式，发布实体(例如，政府)的公钥证书。然后，发布实体的公钥证书可以经由相同的双向通信链路在去往密码引擎电路122的方向被发布到密码引擎电路122。

在生成身份证件108的过程中，在一些示例中，配对处理器124可以获得与身份证件生成系统102相关的唯一的机器数据umd(例如，如上面讨论的全局唯一id)。在优选实施例中，全局唯一id可以从身份证件生成系统102本身获得。在另一个示例中，全局唯一id可以从来自系统的各种组件的静态元素的级联获得，所述静态元素为值贡献了足够的熵，以确保唯一可再现的身份。配对处理器然后可以向密码引擎电路122发送随机询问。密码引擎电路122可以利用与密码引擎电路122相关联的私钥对随机询问进行数字签名，在身份证件生成系统102是可靠的情况下，该私钥将是身份证件108的制造商或发布实体的私钥。然后，密码引擎电路122可以将经签名的随机询问返回到配对处理器124。配对处理器124可以使用如上所述获得的制造商或发布实体的公钥证书来确认密码引擎电路122正在使用与公钥证书相对应的私钥，并且因此提供正确的ssf并且被授权在身份证件生成中使用。

具体地，在发布如上所述的公钥证书时，由配对处理器124使用的公钥证书的命名属性被配置为包括用于身份证件生成系统102的umd。因此，配对处理器124可以首先读取公钥证书的命名属性以确定预期的匹配umd，然后评估与经签名的随机询问一起返回的umd是否与由配对处理器124从身份证件生成/个性化设备104检索的umd匹配。例如，对于匹配，相同的公钥证书也能够验证应用于随机询问的数字签名，从而证明机器(例如，身份证件生成/个性化设备104或身份证件生成系统102)与具有ssf的密码引擎电路122的匹配。

可以在初始安装身份证件生成系统102时，执行用于确认机器与具有ssf的密码引擎电路122的匹配的这个所述处理，以确保正确的配对。这个处理还可以在每次“启动”时执行，以确保身份证件生成系统102的持续的完整性(例如，持续的匹配)。这个处理还可以用于每个打印作业的提交，例如涉及一个或一批证件/数据的每个作业，以保持机器/密码引擎电路122的配对具有完整性的保证。

参考上面的讨论，具有ssf的加密引擎电路和/或本文所述的任何其它“电路”、“逻辑”、“模块”等可以例如被实现为执行适当指令的一个或多个处理器，或者可以通过在计算机可读存储介质上存储可执行指令来实现，其中可执行指令可由一个或多个处理器执行，以使得一个或多个处理器执行本文所述的动作，或者可以以包括上述示例方式的任意合适组合的硬件或任何其它合适的方式实现。

一旦已经进行上面提到的确认来指示由密码引擎电路122提供的ssf是正确的ssf，并且该ssf被授权用于身份证件生成，身份证件生成就可以例如如下进行。在描述这个示例身份证件生成时，还将参考图2，图2是用于生成身份证件的示例方法的流程图。

图2中所示的方法以及本文所述的每个示例方法都可以由执行软件的一个或多个适当编程的控制器或处理器来执行。该方法还可以在硬件中实施，或在硬件和硬件执行软件的组合中实施。合适的硬件可以包括一个或多个专用集成电路(asic)、状态机、现场可编程门阵列(fpga)、数字信号处理器(dsp)和/或其它合适的硬件。虽然参考所示的流程图(例如，在图2中)描述了(一个或多个)方法，但是将认识到可以使用执行与(一个或多个)方法相关联的动作的许多其它方式。例如，一些操作的顺序可以改变，并且所描述的操作中有一些可以是可选的。此外，虽然可以参考示例身份证件生成环境100和/或身份证件生成系统102来描述(一个或多个)方法，但是将认识到，(一个或多个)方法也可以由其它设备和/或系统来实现，并且身份证件生成环境100和/或身份证件生成系统102可以实现其它方法。

如图2所示，例如，当通过如上所述的配对处理器124获得与身份证件生成系统102相关的唯一机器数据umd时，方法在块200处开始。如块202所示，获得与身份证件的预期持有者相关的个性化数据pd。例如，可以由配对处理器124从具有个人数据数据库110的客户服务器获得个性化数据或“个人数据”。参考上面的讨论，客户可以是发布身份证件108的实体(诸如在护照的情况下的政府实体)。

如块204所示，生成包括唯一的机器数据的值和个性化数据的值的唯一的机器和个性化数据对象。例如，唯一的机器和个性化数据对象可以是umd和pd的级联或者可以包括umd和pd的级联。在一个实施例中，配对处理器124可以生成唯一的机器和个性化数据对象。

如块206所示，唯一的机器和个性化数据对象可以被数字签名。例如，配对处理器124可以经由单向通信链路(像本文所述的所有通信链路一样，其可以是任何合适的通信链路，包括任何合适的有线或无线通信链路)将唯一的机器和个性化数据对象传送到具有ssf的密码引擎电路122。然后，通过如上所述的获得适当的对应的公钥证书(例如，制造商公钥证书或客户公钥证书)的方式，密码引擎电路122可以通过使用已经与ssf122相关联的私钥来使用ssf对唯一的机器和个性化数据对象进行签名。经签名的唯一的机器和个性化数据对象可以是由“mpf”表示的smpf，其中mpf反映唯一的机器和个性化数据对象也可以被称为“机器个人指纹”，例如个性化数据和umd绑定或配对(诸如通过级联)在一起的数据对象。

经签名的唯一的机器和个性化数据对象smpf可以经由单向通信链路(或者，在另一个实施例中，经由双向通信链路，该双向通行链路还被用来将唯一的机器和个性化数据对象传送到加密引擎电路122以用于签名)返回到配对处理器124，并且如块208所示并且如关于图3进一步讨论的，经签名的唯一的机器和个性化数据对象smpf可以结合到身份证件中。

继续参考图1并且现在转到图3，图3是用于生成身份证件的另一个示例方法的流程图。从下面的公开将认识到，图3的部分示出了关于图2示出和描述的方法的一个或多个示例实现的进一步细节。如图3所示，方法可以包括参照图2的块200、202和204描述的动作。如块300所示，方法可以包括生成唯一的机器和个性化数据对象的散列值，该散列值可以表示为hmpf。但是，如同参照图2和3中的方法描述的其它动作，块300可以是可选的并且可以不生成散列值hmpf。

如块302所示，方法可以包括对唯一的机器和个性化数据对象进行数字签名，或者，如果执行块300，则生成散列值，以生成也如同对应于图2所讨论的密码对象smpf。如块304所示，方法可以包括将smpf以及在一些情况下还有元数据(诸如日期和/或时间)编码到可打印的文本串中。在示例中，可以由配对处理器124执行smpf和可选的元数据的编码。

如块306所示，方法可以包括经由个人数据准备模块128提交作为结果的文本串，该个人数据准备模块可以格式化作为结果的文本串，以用于在身份证件108上打印。将认识到，身份证件生成系统102可以为多于一个人生成多于一个身份证件108，例如，身份证件生成系统102可以生成护照或其它身份证件的堆或其它分组，为了更健壮的安全性，每个护照或其它身份证件具有上面提到的配对。在任何情况下，个人数据准备模块128都可以格式化作为结果的文本串，用于作为微文本打印在身份证件108上，并且在一些实施例中，配对处理器124还可以或可替代地将文本串格式化为条形码，并将条形码信息提交到个人数据准备模块128。个人数据准备模块128反而可以格式化将被发送到身份证件生成/个性化设备(例如，具有打印系统的机器)104的作为结果的信息，用于在身份证件108的表面上进行打印。

另外，在一些实施例中，配对处理器124还可以或可替代地填充数据对象，并提交作为结果的文本串，用于包括在将被包括在身份证件108中的芯片或其它存储设备的签名内容中。如果期望，则配对处理器124可以填充数据对象并且提交具有其它合适内容的作为结果的文本串，诸如具有一个或多个其它数据组(诸如由国际民航组织(icao)标准化的那些数据组)的在格式化的可选数据组中的经签名的数据对象，用于包括在构成身份证件108的电子机器可读旅行证件(emrtd)(例如，护照)中的芯片或其它存储设备的签名内容中。

芯片或其它存储设备可以是例如可以用在例如金融卡中的rfid芯片、microsd芯片，或任何合适的芯片或其它存储设备。更具体地，芯片或其它存储设备的签名内容可以从配对处理器124发送到个人数据准备模块128再到文件签名者130，并且因此如可以从图1看到的，芯片或其它存储设备的签名内容可以通过客户的私钥进行签名。个人数据准备模块128可以负责格式化芯片或其它存储设备的签名数据对象的部分或全部内容，其中特定的签名对象可以形成仅一个数据组的内容。对于其中经签名的唯一的机器和个性化数据特征可以包括在签名对象中的一些通用epassport(电子护照)系统，这种实现方式可能是期望的。例如，在优选实施例中，可以填充数据组13(dg13)，并且可以适当地配置其它数据组。在一些实施例中，可以向文件签名者130提交整个内容的散列。然后可以将芯片或其它存储设备的签名内容发送到芯片编码模块114，用于插入到身份证件108中。

如块308所示，方法还可以包括检索smpf(如上面所讨论的，smpf是组合的唯一的机器数据和个性化数据对象的签名或其散列的签名)、从身份证件108检索个人数据(有时称为“pd”)、将pd与从适用的公钥证书的命名属性获得的umd组合，并且通过使用组合的pd和umd以及从适用的公钥证书获得的公共密钥，来验证smpf是有效的数字签名。如果发现签名有效，则确认身份证件108的可靠性，并且更具体地，确认与身份证件的预期持有者相关的个性化数据与具体身份证件生成系统102之间的配对。如果没有发现签名是有效的，则身份证件生成系统102可能不是被授权用于生成身份证件108的身份证件生成系统，和/或个性化数据可能不是被授权在生成身份证件108时与身份证件生成系统102一起使用的个性化数据。此外，在优选实施例中，如果没有发现签名是有效的，则可以防止身份证件生成系统102进行操作，从而，例如，如果身份证件生成系统102从供应链被盗窃，则确保其不能被结合经签名的唯一的机器和个性化数据特征来使用。

图4示出了由身份证件生成系统(诸如身份证件生成系统102)生成的示例身份证件108。如图4所示，身份证件108可以包括基板400，该基板可以是如下所述的例如包含身份证件108的其它元素的护照的页面。在另一个示例中，基板400可以是其上布置有政府id、驾驶执照、金融卡或其它合适的身份证件(诸如本文所述的身份证件的示例类型)的元素的材料。

参考上面的讨论，与身份证件的预期持有者相关的个性化数据402(例如，姓名、地址等)可以被打印在基板400上。个性化数据402可以与被用于生成经签名的唯一的机器和个性化数据对象的个性化数据相同或不同。基板400上的另一个元素404可以是经签名的唯一的机器和个性化数据对象。在一些实施例中，参考上面的讨论，元素404可以是经签名的散列、经签名的唯一的机器的编码和个性化数据对象等。

如果期望，则基板400还可以包括磁条406，诸如但不限于身份证件108是金融卡的情况。经签名的唯一的机器和个性化数据对象可以以类似于上述在身份证件108上打印条形码的方式结合到磁条406中。基板400还可以包括芯片或其它合适的存储设备408(诸如rfid芯片、microsd芯片或如上所述的任何合适的芯片或存储设备)。芯片或其它存储设备408可以包括签名内容，该签名内容包括经签名的文本串和如上面所讨论的其它合适内容。

除了其它优点，例如，所公开的方法和装置允许在身份证件(诸如护照、其它政府id、许可证、雇员徽章、卡式钥匙，金融卡等)的生成和随后验证中的健壮的安全性。经签名的唯一的机器和个性化数据将与身份证件的预期持有者相关的个性化数据与被授权生成该身份证件的特定身份证件生成系统配对。将全局唯一的id用于身份证件生成系统确保了相同型号打印系统的其他购买者不会生成有效的身份证件，因为验证过程将指示个人数据没有与被授权生成身份证件的特定身份证件生成系统配对。

为了说明和描述而给出了前面的描述。该说明并不旨在是详尽的或将本发明限制到所公开的示例性实施例。鉴于上述教导，许多修改和变化是可能的。意图是本发明的范围不受这些实施例的详细描述的限制，而是由所附的权利要求限制。