Контакт ПродажбиРегистрирайте се безплатно

Проверка на самоличността чрез ICAO и NFC

Пълен контрол на документи за самоличност съгласно ICAO 9303. Включва MRZ сканиране, NFC чип четене, PACE/BAC/CAN, SOD валидиране, пасивна автентификация, активна автентификация и чип автентификация.

Защо проверка на самоличността от ICAO/NFC?

ProjectAssistant интегрира пълна ICAO 9303 реализация за проверка на паспорти и лични документи. Чрез MRZ сканиране и NFC комуникация се извличат данни като име, дата на раждане, националност, номер на документа и снимка директно от защитения чип. Това потвърждава автентичността на документа за самоличност в съответствие със законовите изисквания за идентификация и документация.

  • Без ръчно въвеждане — всички данни автоматично от DG1 и DG2
  • Контрол съгласно стандартите за сигурност ICAO 9303
  • Откриване на фалшификации чрез SOD и хеш верига
  • Поддръжка за PACE, CAN, BAC
  • Контрол на качеството на снимките и документите

Стъпка 1: Сканиране на MRZ

Проверката започва със сканиране на машинно четимата зона (MRZ) на лична карта или паспорт. Мобилното приложение използва наслагване на камера на живо с автоматично откриване на:

  • Тип MRZ (TD1, TD2, TD3)
  • Проверка на контролната сума
  • CAN-отклонение за PACE
  • Номер на документа, дата на раждане, дата на валидност

Въз основа на MRZ се изчисляват ключовете за BAC или PACE и започва NFC четенето.

Стъпка 2: NFC достъп (PACE / BAC / CAN)

Приложението винаги първо опитва PACE — това е модерно, по-безопасно и по-бързо. Ако документът не поддържа PACE, системата преминава към BAC или CAN.

Ред на протоколите

  • PACE (предпочитан) – съвременни протоколи, ECDH/ECDSA, по-сигурен
  • CAN – чрез номер за достъп до карта (при карти за самоличност на ЕС)
  • BAC – стари паспорти и лични карти

PACE поток (GA1 → GA4)

  1. GA1: Стартиране на споразумение за ключ (съпоставяне на OID → крива)
  2. GA2: ECDH обмен
  3. GA3: Nonce-mapping + взаимна автентификация
  4. GA4: Извличане на ключ за сигурна кореспонденция

Резултат: ENC-ключ и MAC-ключ, с които се защищават всички следващи APDU.

Стъпка 3: Четене на групи данни (DG1-DG15)

Приложението чете всички необходими групи данни от чипа. В твоята реализация се четат DG1, DG2, DG7, DG11 и DG12, в зависимост от страната и наличността.

  • DG1 – Машинно четими данни (име, дата на раждане, номер на документа)
  • DG2 - Сканиране на лицето / снимка
  • DG7 - Подписи (в някои страни)
  • DG11 - Допълнителни лични данни
  • DG12 - Информация за документа
  • SOD - Документ за сигурност на обекта (хеш и корен на подписа)

Данните се прехвърлят автоматично към вашия EmployeeIdentityModel.

Стъпка 4: SOD проверка и пасивна автентификация

SOD съдържа хеш стойностите на всяка група данни и цифров подпис на издаващата държава. PA валидира:

  • Хеш верига: DG1 хеш = SOD хеш
  • Подпис: PKI подпис с CSCA & DS сертификати
  • Валидност и отмяна на сертификата

Ако SOD-проверката е успешна, документът е криптографски автентичен.

Стъпка 5: Активна автентификация

Ако документът го поддържа, приложението извършва активна автентификация. По този начин проверяваме дали чипът е оригинален и не е клониран.

  • Предизвикателство → Отговор
  • ECDSA / RSA верификация
  • Защита срещу копиране

Ако подписът е правилен, чипът е уникален и не е копиран.

Стъпка 6: Удостоверяване на чипа

Чипът за удостоверяване на автентичност замества активното удостоверяване при съвременните електронни лични карти. Той потвърждава автентичността на чипа чрез нов ECDH обмен.

  • ECDH с чип-частен ключ
  • Нови сесийни ключове
  • Пълно доказателство за автентичност

Връзка със служител

След успешна верификация всички данни автоматично се свързват със служителя:

  • Име, дата на раждане, националност
  • Номер на документа, дата на валидност
  • Снимка от DG2
  • Контролен дневник, включващ PACE/BAC/CAN подробности

Документът се появява автоматично в системата за документи на служителите.