NFC护照验证：芯片读取如何打击证件欺诈 (ZH)

NFC（近场通信）护照验证直接通过用户的智能手机读取现代护照封皮中嵌入的加密签名芯片——这与机场自助通关闸机使用的芯片是同一种。由于芯片中存储的生物识别数据由签发政府的私钥签名，因此经过物理篡改或数字克隆的证件无法生成有效的签名，使其几乎无法通过NFC读取验证。

基于摄像头的证件检查可以发现许多欺诈行为。而基于芯片的验证则能发现摄像头遗漏的部分：那些看起来视觉正确但包含与芯片数据不符的高质量伪造品和被篡改的真实证件。

主要收获

• 几乎所有国家的现代护照都包含一个由国际民用航空组织 (ICAO) 9303标准定义的eMRTD（电子机读旅行证件）芯片。
• 芯片存储持有人的生物识别数据和照片，由签发政府的私钥签名——这些数据未经加密签名验证是无法更改的。
• NFC（近场通信）读取通过现代智能手机即可读取该芯片，无需专业硬件。
• 被动认证——验证芯片的数字签名与发行方公钥——是核心的防伪检查。主动认证则通过挑战-响应机制证明芯片是原件，而非克隆。
• Didit NFC读取服务每次读取费用为0.15美元，覆盖220多个国家和地区的14,000多种证件类型，并与OCR和生物识别检查在同一会话中运行。

eMRTD芯片包含什么

ICAO 9303定义了每个eMRTD芯片必须遵循的数据结构。芯片的主要存储组织成逻辑数据组（LDG）。其中与验证最相关的是：

• LDG 1 — 机读区（MRZ）数据：与生物数据页底部打印的两行或三行字符相同——姓名、证件号码、国籍、出生日期、有效期和校验位。
• LDG 2 — 编码面部图像：持有人的照片，采用标准化的JPEG 2000格式。
• LDG 7 — 显示肖像（用于某些证件）：肖像的第二种表示。
• LDG 15 — 主动认证公钥：用于挑战-响应步骤，证明芯片未被克隆。

所有这些数据组都由证件签名证书（DSC）进行数字签名，而DSC本身又由签发国的国家签名证书颁发机构（CSCA）签名——CSCA是每个国家维护并发布到ICAO公钥目录的信任根。

被动认证与主动认证

被动认证是基线检查。读取器从芯片中提取签名数据组，重构哈希值，并根据签发国的公钥验证数字签名。如果签名有效，则数据是真实的。如果芯片数据中的任何内容被修改——即使是姓名中的一个字符——签名检查也会失败。

这是击败最常见物理和数字伪造的检查。攻击者可以更改打印的生物数据页；他们无法在没有有效签名密钥的情况下更改芯片数据，而该密钥只有签发政府持有。

主动认证更进一步。读取器向芯片发送一个随机挑战；芯片使用存储在硬件中永不离开芯片的私钥进行响应。这证明芯片是原件——而不是从被攻破的读取中复制的克隆。主动认证可防止芯片数据被读取并复制到空白NFC卡上的情况。

BAC/PACE（访问控制）：在任何数据读取之前，芯片需要一个从MRZ数据（证件号码、出生日期和有效期）派生的密钥才能解锁。这可以防止静默读取；必须手持实体证件（或已知MRZ）才能启动读取。

为什么NFC在高级别检查中优于仅使用摄像头的验证

基于摄像头的OCR读取的是打印页面。高质量的伪造品可以通过复制正确的字体、布局和全息图外观来通过视觉检查。芯片则不同：它存储的数据受非对称加密保护，并锚定到政府密钥，任何伪造者都无法访问。

当涉及到AI生成的证件欺诈时，这种差距变得最为明显。生成逼真假身份证的工具可以制作出能够击败模板匹配和视觉检查的证件。但它们无法生成带有有效政府签名有效载荷的芯片，因为它们没有签名密钥。

对于受监管的行业——金融服务、游戏、电信——保证水平至关重要。许多框架（例如欧洲的eIDAS 2.0）将芯片验证的身份视为比单独视觉检查更高保证级别的身份。

OCR回退和证件覆盖范围

并非所有证件都带有NFC芯片。驾照、旧护照以及许多新兴市场的国民身份证不包含eMRTD芯片。Didit的证件验证覆盖220多个国家和地区的14,000多种证件类型：支持芯片的证件进行NFC读取；所有其他证件通过OCR和图像完整性分析进行处理。

实际上，NFC验证和OCR在同一会话中作为互补信号运行。对于带有芯片的护照，Didit会读取芯片并交叉验证芯片数据与打印的MRZ——芯片数据与打印数据之间的差异本身就是一个强烈的欺诈信号。

Didit如何提供帮助

Didit NFC读取是一个在验证会话中激活的模块。无需专业硬件：现代Android和iOS智能手机都包含NFC读取器，Didit托管SDK透明地处理与芯片的交互。

用户流程很简单：扫描MRZ（摄像头），然后将手机靠近护照封面（NFC）。Didit处理BAC/PACE，读取数据组，运行被动认证，并可选地运行主动认证。芯片读取结果——包括提取的姓名、照片、证件号码和认证结果——输入到与生物识别活体检测相同的会话决策中。

# 使用您配置的工作流程创建启用NFC的会话
curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "your-nfc-workflow-id",
    "vendor_data": "user-4521",
    "callback": "https://your-backend.com/webhook"
  }'

价格：每次NFC读取0.15美元。结合身份验证（0.15美元）和被动活体检测（0.10美元），可以以0.40美元的价格实现芯片验证的KYC流程，每月500次免费检查，无最低消费。

使用案例

高保证金融开户——投资平台、经纪公司和私人银行开户需要超越标准KYC的身份保证，受益于芯片验证，这满足eIDAS和同等框架下的最高保证等级。

欧洲金融科技和数字银行KYC——欧盟反洗钱法规日益将芯片验证的身份视为最强的远程验证形式，等同于现场检查。

加密货币交易所合规——处理大额交易或服务高风险司法管辖区的交易所使用NFC读取来消除仅摄像头验证留下的伪造风险。

旅行和酒店预检——酒店连锁店和航空公司运行数字入住流程，使用NFC读取将客人在预订时声明的护照与入住时的实体证件进行匹配，无需排队。

常见问题

NFC读取费用是多少？

每次读取0.15美元，每月500次免费检查，无最低消费。

哪些护照和证件支持NFC读取？

所有符合ICAO 9303标准的eMRTD证件——这包括193个ICAO成员国在2006年之后签发的几乎所有护照，以及许多现代国民身份证。Didit覆盖14,000多种证件类型；没有芯片的旧证件会自动回退到OCR。

NFC读取是否取代OCR？

不——它们相互补充。OCR读取打印页面；NFC读取芯片。两者之间的差异本身就是一个欺诈信号。Didit在同一会话中同时运行两者。

用户需要任何特殊硬件吗？

不需要。任何具有NFC功能的现代智能手机（Android 4.4+或iPhone 7+）都可以读取eMRTD芯片。Didit SDK在托管验证流程中处理交互。

如果芯片读取失败会发生什么？

芯片读取失败或不存在时，证件步骤会回退到仅OCR处理。您可以在工作流程构建器中配置，根据您的保证要求，失败的NFC读取是软信号（会话继续，标记待审查）还是硬性阻止。

准备好开始了吗？

NFC读取是Didit可组合身份基础设施中的一个模块——将其与被动活体检测、人脸1:1比对、AML筛选等结合在一个工作流程中。

• 阅读文档 → docs.didit.me
• 在平台中查看 → 用户验证产品页面
• 查看价格 → 定价 — NFC读取0.15美元，每月500次免费检查
• 免费开始 → business.didit.me