外交外事

安全管理

市场需求

        自美国911事件后,世界各国均加强了对护照和签证的安全性措施。为适应国际旅行证件发展趋势,满足全球反恐协作和实现边境管制合作的需要,外交部领事司于2009年开始在国内实施电子护照。电子护照与纸质护照之间最大的差别就是增加了芯片,如何提高电子护照及其应用的安全性,是电子护照应用的根本保障。

安全管理系统主要为电子护照及其应用提供安全保障,主要需要解决如下问题:

  • 空白护照本的安全,包括芯片的安全,保障空白护照本的芯片在无授权的前提下不能被写入信息。

  • 电子护照制作过程中的安全性,地方外办在制作电子护照过程中,大量的制证数据在外交部与地方外办之间传输和存储,需要保障制证数据不被泄露和修改。

  • 电子护照在使用过程中,需要防止芯片被克隆,芯片数据被篡改和被随意访问。

方案设计

安全管理系统总体框架设计如下图所示: 

        电子护照的制作涉及到空白护照生产厂家、外交部、地方外办三类单位,安全管理系统需要提供从空白护照的生产到电子护照的制作发放全过程的安全保护,并提供电子护照应用的安全保障。

具体设计如下:

  • 外交部安全管理系统主要包括管理CA系统、证照签名根系统、证照发布子系统、证照签名注册系统、证照签名服务系统、对称密钥管理系统六部分,通过数字签名技术和对称密钥技术,保障电子护照制作和应用的安全。

  • 由外交部对称密钥管理(中心端)生成对称密钥,并分发给空白护照生产厂家和有打照权的地方外办。空白护照生产厂家生产空白护照,并对空白护照操作初始化,将护照号、对称密钥等信息写入芯片内,确保只有被授权的制证点才能对护照操作。

  • 地方外办从外交部中心库获取加密的制证信息,通过对称密钥管理(制证点)解密制证信息 。

  • 通过调用部中心签名服务对写入护照芯片的相关信息签名,将签名和护照信息(个人基本信息、指纹、签名、面部照片等信息)等信息写入护照芯片。

方案特点

        本方案遵循国际民航组织ICAO关于电子护照的相关标准和国家密码管理局的相关要求,遵守国内关于护照、密码管理、信息安全的法律和法规,提供电子护照制作及其应用的安全保障。

  • 采用对称密钥技术保障空白护照和信息传输的安全。

  • 采用数字签名技术保障护照芯片信息不被篡改。

  • 采用非对称密钥技术保障护照芯片不被克隆。

  • 基于PKI的授权保护机制控制护照芯片信息的访问权限。

应用效果

        本系统是按照国际民航组织ICAO关于电子护照的标准建立的电子护照的证件签名系统,与ICAO-PKD系统进行对接,使我国颁发的电子护照能够在世界各国得到认证和通关,达到电子护照全球互联互通的目的。目前已应用于我国外交部、地方外办、海外使领馆的电子护照制作。


其他解决方案