解決方案

安全管理(lǐ)

市場需求

        自(zì)美國911事件後,世界各國均加強了對護照和(hé)簽證的(de)安全性措施。為(wèi)适應國際旅行證件發展趨勢,滿足全球反恐協作和(hé)實現邊境管制合作的(de)需要,外交部領事司于2009年(nián)開始在國內(nèi)實施電子(zǐ)護照。電子(zǐ)護照與紙質護照之間最大的(de)差别就是增加了芯片,如(rú)何提高(gāo)電子(zǐ)護照及其應用的(de)安全性,是電子(zǐ)護照應用的(de)根本保障。

安全管理(lǐ)系統主要為(wèi)電子(zǐ)護照及其應用提供安全保障,主要需要解決如(rú)下問題:

  • 空白護照本的(de)安全,包括芯片的(de)安全,保障空白護照本的(de)芯片在無授權的(de)前提下不能被寫入信息。

  • 電子(zǐ)護照制作過程中的(de)安全性,地(dì)方外辦在制作電子(zǐ)護照過程中,大量的(de)制證數據在外交部與地(dì)方外辦之間傳輸和(hé)存儲,需要保障制證數據不被洩露和(hé)修改。

  • 電子(zǐ)護照在使用過程中,需要防止芯片被克隆,芯片數據被篡改和(hé)被随意訪問。

方案設計

安全管理(lǐ)系統總體框架設計如(rú)下圖所示: 

        電子(zǐ)護照的(de)制作涉及到空白護照生産廠家、外交部、地(dì)方外辦三類單位,安全管理(lǐ)系統需要提供從空白護照的(de)生産到電子(zǐ)護照的(de)制作發放全過程的(de)安全保護,并提供電子(zǐ)護照應用的(de)安全保障。

具體設計如(rú)下:

  • 外交部安全管理(lǐ)系統主要包括管理(lǐ)CA系統、證照簽名根系統、證照發布子(zǐ)系統、證照簽名注冊系統、證照簽名服務系統、對稱密鑰管理(lǐ)系統六部分,通過數字簽名技術和(hé)對稱密鑰技術,保障電子(zǐ)護照制作和(hé)應用的(de)安全。

  • 由外交部對稱密鑰管理(lǐ)(中心端)生成對稱密鑰,并分發給空白護照生産廠家和(hé)有打照權的(de)地(dì)方外辦。空白護照生産廠家生産空白護照,并對空白護照操作初始化,将護照号、對稱密鑰等信息寫入芯片內(nèi),确保隻有被授權的(de)制證點才能對護照操作。

  • 地(dì)方外辦從外交部中心庫獲取加密的(de)制證信息,通過對稱密鑰管理(lǐ)(制證點)解密制證信息 。

  • 通過調用部中心簽名服務對寫入護照芯片的(de)相關信息簽名,将簽名和(hé)護照信息(個人基本信息、指紋、簽名、面部照片等信息)等信息寫入護照芯片。

方案特點

        本方案遵循國際民航組織ICAO關于電子(zǐ)護照的(de)相關标準和(hé)國家密碼管理(lǐ)局的(de)相關要求,遵守國內(nèi)關于護照、密碼管理(lǐ)、信息安全的(de)法律和(hé)法規,提供電子(zǐ)護照制作及其應用的(de)安全保障。

  • 采用對稱密鑰技術保障空白護照和(hé)信息傳輸的(de)安全。

  • 采用數字簽名技術保障護照芯片信息不被篡改。

  • 采用非對稱密鑰技術保障護照芯片不被克隆。

  • 基于PKI的(de)授權保護機制控制護照芯片信息的(de)訪問權限。

應用效果

        本系統是按照國際民航組織ICAO關于電子(zǐ)護照的(de)标準建立的(de)電子(zǐ)護照的(de)證件簽名系統,與ICAO-PKD系統進行對接,使我國頒發的(de)電子(zǐ)護照能夠在世界各國得到認證和(hé)通關,達到電子(zǐ)護照全球互聯互通的(de)目的(de)。目前已應用于我國外交部、地(dì)方外辦、海外使領館的(de)電子(zǐ)護照制作。