安全管理
自(zì)美(měi)國(guó)911事件後,世界各國γ(guó)均加強了(le)對(duì)護照(zhào)和(hé)簽證的(de)安全性措施。為(wèi)适應國(guφó)際旅行(xíng)證件發展趨勢,滿足全球反恐協作和(hé)實現(xiàn)邊境管制(zhì)合作的(de★)需要(yào),外交部領事司于2009年(nián)開(kāi)始在國(guó)內(nèi)實施電(diàn)子(zǐ)護照(zhào)。電(diàn)子(zǐ)護照(₩zhào)與紙(zhǐ)質護照(zhào)之間(jiān)最大(dà)的(de)差别就(jiù)是增加了>(le)芯片,如(rú)何提高(gāo)電(diàn)子(zǐ)護照(zhào)及其應用(yòng)的(de)安全性,是(sh✘ì)電(diàn)子(zǐ)護照(zhào)應用(yòng)的(de)根本保障。
安全管理系統主要(yào)為(wèi)電(diàn)子(zǐ)護照(zhào)及其應用(yòng)提供安全保障,主要(yào)需要(yào)解決±如(rú)下(xià)問(wèn)題:
空(kōng)白(bái)護照(zhào)本的(de)安全,包括芯片的(de)安全,保障空(kōng)白(bái)護照(zhào)本的(de)芯片在無授權的(de)前提下ε(xià)不(bù)能(néng)被寫入信息。
電(diàn)子(zǐ)護照(zhào)制(zhì)作過程中的(de)安全性,地(dì)方外辦在制(zhì)作(zuò∞)電(diàn)子(zǐ)護照(zhào)過程中,大(dà)量的(de)制(zhì)證數(shù)據在外交部與地(↑dì)方外辦之間(jiān)傳輸和(hé)存儲,需要(yào)保障制(zhì)證數(shù)據不(bù)被洩露和(hé)修改$。
電(diàn)子(zǐ)護照(zhào)在使用(yòng)過程中,需要(yào)防止芯片被克隆,芯片數(shù)據被篡改和(hé)被随意訪問(wèn)。
安全管理系統總體(tǐ)框架設計(jì)如(rú)下(xià)圖所示:
電(diàn )子(zǐ)護照(zhào)的(de)制(zhì)作涉及到(dào)空(kōng)白(bái)護照(zhào)生産廠(chǎng)家(jiā)、外交₹部、地(dì)方外辦三類單位,安全管理系統需要(yào)提供從(cóng)空(kōng)白(bái)護照(zhào)的(de)生産₽到(dào)電(diàn)子(zǐ)護照(zhào)的(de)制(zhì)作發放(fàng)全過程的(de)安全保護,并提供電(diàn)子(φzǐ)護照(zhào)應用(yòng)的(de)安全保障。
具體(tǐ)設計(jì)如(rú)下(xià):
外交部安全管理系統主要(yào)包括管理CA系統、證照(zhào)簽名根系統、證照(zhào♦)發布子(zǐ)系統、證照(zhào)簽名注冊系統、證照(zhào)簽名服務系統、對(duì)稱密鑰管理系統六部'分(fēn),通(tōng)過數(shù)字簽名技(jì)術(shù)和(hé)對(duì)稱密鑰技(jì)術(shù),保障電(diàn)子(zǐ)護照(zhào)制( zhì)作和(hé)應用(yòng)的(de)安全。
由外交部對(duì)稱密鑰管理(中心端)生成對(duì)稱密鑰,并分(fēn)發給空(kōng)白(bái)護照(zhào)生産廠(chǎng)家(j♥iā)和(hé)有(yǒu)打照(zhào)權的(de)地(dì)方外辦。空(kōng)白(bái)護照(zhào)生(shēn✔g)産廠(chǎng)家(jiā)生産空(kōng)白(bái)護照(zhào),并對(duì)空(kōng)白(bái)護照(zhào)操作初始化(h<uà),将護照(zhào)号、對(duì)稱密鑰等信息寫入芯片內(nèi),确保隻有(yǒu)被授權的(de)制(zΩhì)證點才能(néng)對(duì)護照(zhào)操作。
地(dì)方外辦從(cóng)外交部中心庫獲取加密的(de)制(zhì)證信息,通(tōng)過對(duì)稱密鑰管理(制®(zhì)證點)解密制(zhì)證信息 。
通(tōng)過調用(yòng)部中心簽名服務對(duì)寫入護照(zhào)芯片的(de)相(xiàng)關信息簽名,将簽名和(hé)護照(zhào)•信息(個(gè)人(rén)基本信息、指紋、簽名、面部照(zhào)片等信息)等信息寫入護照(zhào)芯片。
本方案遵循國(guó)際民(mín)航組織ICAO關于電(diàn)子(zǐ)護照'(zhào)的(de)相(xiàng)關标準和(hé)國(guó)家(jiā)密碼管理局的(de)相(xiàng)關要(yào)求,遵守國(guó)內(nèi)關于護照(zh±ào)、密碼管理、信息安全的(de)法律和(hé)法規,提供電(diàn)子(zǐ)護照(zhào)制(zhì)作及其應用(yònαg)的(de)安全保障。
采用(yòng)對(duì)稱密鑰技(jì)術(shù)保障空(kōng)白(bái)護照(zhào)和(hé)信息傳輸的(de)安全。
采用(yòng)數(shù)字簽名技(jì)術(shù)保障護照(zhào)芯片信息不(bù)被篡改。
采用(yòng)非對(duì)稱密鑰技(jì)術(shù)保障護照(zhào)芯片不(bù)被克隆。
基于PKI的(de)授權保護機(jī)制(zhì)控制(zhì)護照(zhào)芯片信息的(de)訪問(wèn)權限。
本系統是按照(zhào)國(gu¥ó)際民(mín)航組織ICAO關于電(diàn)子(zǐ)護照(zhào)的(de)标準建立的(de)電(diàn☆)子(zǐ)護照(zhào)的(de)證件簽名系統,與ICAO-PKD系統進行(xíng)對(duì)接,使我國(guó)頒發的(de)電(diàn)子(zǐ)護照(zhào)能(néng)夠在世界各國(guó)得(de)到↓(dào)認證和(hé)通(tōng)關,達到(dào)電(diàn)子(zǐ)護照(zhào)全球互聯互通(tōng)的(de)目的(de)。目前已應γ用(yòng)于我國(guó)外交部、地(dì)方外辦、海(hǎi)外使領館的(de)電(diàn)子•(zǐ)護照(zhào)制(zhì)作。