安全管理
自美國911事件後,世界各國均加強了對護照和簽證的安全性措施。為適應國際旅行證件發展趨勢,滿足全球反恐協作和實現邊境管製合作的需要,外交部領事司於2009年開始在國內實施電子護照。電子護照與紙質護照之間最大的差別就是增加了芯片,如何提高電子護照及其應用的安全性,是電子護照應用的根本保障。
安全管理係統主要為電子護照及其應用提供安全保障,主要需要解決如下問題:
空白護照本的安全,包括芯片的安全,保障空白護照本的芯片在無授權的前提下不能被寫入信息。
電子護照製作過程中的安全性,地方外辦在製作電子護照過程中,大量的製證數據在外交部與地方外辦之間傳輸和存儲,需要保障製證數據不被泄露和修改。
電子護照在使用過程中,需要防止芯片被克隆,芯片數據被篡改和被隨意訪問。
安全管理係統總體框架設計如下圖所示:
電子護照的製作涉及到空白護照生產廠家、外交部、地方外辦三類單位,安全管理係統需要提供從空白護照的生產到電子護照的製作發放全過程的安全保護,並提供電子護照應用的安全保障。
具體設計如下:
外交部安全管理係統主要包括管理CA係統、證照簽名根係統、證照發布子係統、證照簽名注冊係統、證照簽名服務係統、對稱密鑰管理係統六部分,通過數字簽名技術和對稱密鑰技術,保障電子護照製作和應用的安全。
由外交部對稱密鑰管理(中心端)生成對稱密鑰,並分發給空白護照生產廠家和有打照權的地方外辦。空白護照生產廠家生產空白護照,並對空白護照操作初始化,將護照號、對稱密鑰等信息寫入芯片內,確保隻有被授權的製證點才能對護照操作。
地方外辦從外交部中心庫獲取加密的製證信息,通過對稱密鑰管理(製證點)解密製證信息 。
通過調用部中心簽名服務對寫入護照芯片的相關信息簽名,將簽名和護照信息(個人基本信息、指紋、簽名、麵部照片等信息)等信息寫入護照芯片。
本方案遵循國際民航組織ICAO關於電子護照的相關標準和國家密碼管理局的相關要求,遵守國內關於護照、密碼管理、信息安全的法律和法規,提供電子護照製作及其應用的安全保障。
采用對稱密鑰技術保障空白護照和信息傳輸的安全。
采用數字簽名技術保障護照芯片信息不被篡改。
采用非對稱密鑰技術保障護照芯片不被克隆。
基於PKI的授權保護機製控製護照芯片信息的訪問權限。
本係統是按照國際民航組織ICAO關於電子護照的標準建立的電子護照的證件簽名係統,與ICAO-PKD係統進行對接,使我國頒發的電子護照能夠在世界各國得到認證和通關,達到電子護照全球互聯互通的目的。目前已應用於我國外交部、地方外辦、海外使領館的電子護照製作。