電子證照
隨著經濟的發展,各種證照在我國已得到了廣泛應用,證照在經濟發展和日常生活中的地位日益重要,但傳統的紙質證照容易被假冒仿製,給人們的生活帶來了諸多的困擾,嚴重限製了證照應用的進一步發展。通過電子證照取代傳統的紙質證照,提高證照的防偽性,已成為證照應用的主流發展趨勢。 電子證照主要通過往電子證照芯片裏寫入持證人的信息(如麵部相片、簽名等生物特征信息)來提高電子證照的防偽性,保證電子證照芯片數據的安全是電子證照安全的根本保障。
具體如下:
電子證照芯片如果被複製克隆,將出現一人持有多本同樣證照的情況,很容易造成管理漏洞。
在電子證照的製作和應用過程中,如果芯片數據被篡改,將出現電子證照被他人冒用的情況。
電子證照在使用過程中需要被各種專業設備讀取芯片信息來驗證電子證照的真偽,如果沒有一種授權訪問保護機製,隨意一台專業設備就可以讀取。
電子證照的芯片信息,無法保障持證人的隱私信息不被泄漏。
麵部相片、簽名等信息容易被偽造,辨別難度高,需要在芯片裏寫入持證人具有唯一性的生物特征信息,保證電子證照與持證人的一致性。
證照申請、審批、製作、發放、注銷等辦理環節需要有完善的管理流程。
電子證照涉及到空白證照生產企業、信息采集點、製證中心、製證點多個環節,需要保證數據在傳輸和存儲過程中的安全可靠。
電子證照總體框架設計如下圖所示:
本方案包括業務支撐係統、安全管理係統、生物特征采集係統、外網申報係統幾部分,涉及的對象包括製證中心、空白證照生產廠家、製證點、采集點。其中業務支撐係統和安全管理係統等關鍵業務係統部署在安全可靠的電子證照專用網絡內,提供外網申報便利辦照人申請電子證照,外網與電子證照專用網通過安全隔離與信息化交換平台進行數據交換。
具體設計如下:
製證中心安全管理係統主要包括管理CA係統、證照簽名根係統、證照發布子係統、證照簽名注冊係統、證照簽名服務係統、對稱密鑰管理(中心端)六部分,通過數字簽名技術和對稱密鑰技術,保障電子證照製作和應用的安全。
由製證中心對稱密鑰管理(中心端)生成對稱密鑰,並分發給空白證照生產點和製證點。
空白證照生產點主要部署初始化係統和對稱密鑰管理係統(初始化點),對空白證照進行初始化操作,將證照號、對稱密鑰等信息寫入芯片內,確保隻有被授權的製證點才能對證照芯片進行寫入操作。
製證點從製證中心中心庫獲取加密的製證信息,通過對稱密鑰管理(製證點)解密製證信息。
通過調用製證中心簽名服務對寫入證照芯片的相關信息簽名,將簽名和個人證照信息(包括個人基本信息和指紋、簽名、麵部照片等信息)等信息寫入證照芯片。
通過業務支撐係統實現對電子證照的管理,覆蓋電子證照的申請、審批、製作、發放、注銷的全部業務流程。
建設外網申報係統采集和上報辦證人的申辦信息,外網申報係統與電子證照業務支撐係統之間通過安全隔離與信息交換平台進行數據交換。
建設生物特征采集點采集辦證人的指紋、照片、簽名等生物特征信息,生物特征采集點可部署在電子證照安全網絡內,也可部署在脫網環境內。
本方案遵循國際相關組織關於電子證照的相關標準和國家密碼管理局的相關要求,遵循國內關於電子證照、密碼管理、信息安全的法律和法規,提供電子證照製作和應用的安全保障。
采用數字證書和數字簽名技術保障證照芯片不被克隆,芯片數據不被篡改。
基於PKI的授權保護機製,確保對證照芯片數據的訪問必須得到證照發行方授權。
通過證照持有人的生物特征信息(指紋、麵部圖像、手寫簽名)確保證照持有人與證照的一致性。
對生物特征信息進行加密采集、傳輸和存儲,保障證照持有人的生物特征信息不被泄露。
結合用戶的實際情況建設完善的電子證照業務支撐係統,覆蓋電子證照的申請、審批、製作、發放、注銷的全部業務流程,規範電子證照的管理。
本方案涵蓋了電子證照芯片製作、信息采集、證照查驗、證照發放等電子證照的全業務流程,解決了傳統紙質證照易篡改、易偽造、易冒用等諸多問題。目前已應用於外交部電子護照項目,含指紋、麵部圖像和手寫簽名的電子護照已基本取代傳統的紙質電子護照。