本文主要介绍符合全球性ICAO 9303标准并用于国际环境中的电子旅行身份证件。本文讨论全球电子护照的推行以及在电子护照标准基础上制作居民身份证的标准化、市场规模以及未来发展等问题。
1)ICAO框架
ICAO(国际民航组织)已经规定在护照中使用非接触式芯片,将生物识别信息嵌入护照中要基于当前智能卡行业经过验证的技术标准。最终的ICAO/PKI /BAC(基本存取控制)规范在2005年5月通过,最终的ICAO/PKI/EAC(扩展存取控制)规范在2006年6月通过。
ICAO TAG(技术顾问组)/MRTD规范草案采用这些规范以及ICAO出版的9303号文件中的规范设计MRTD(机读旅行证件)。ICAO TAG/MRTD规范符合ISO(国际标准化组织)标准。如图1所示,最新版本的9303号文件包含以下三个部分:
第1部分(第六版):机读护照(MRP)规范。
第2部分:机读签证(MRV)规范——芯片没有变化。
第3部分:官方旅行身份证件(如身份证)的各种证件格式规范。
图1:ICAO9303号文件概述
9303号文件第一部分以三篇内容对护照的规范进行介绍:
第1部分—第1篇,不带附加数据存储的机读护照,2005年
第1部分—第2篇,具有生物识别能力的电子护照(E-Passport)规范,2005年
第1部分——9303号文件第1部分(第六版)补充内容
为了应对在MRTD中引入生物识别信息时所遇到的困难,ICAO在选择技术和考虑互用性时评估了以下技术因素:
护照簿、数据格式、内容以及存储要求
耐用性和可靠性规范,以及性能(速度、精确度和相关属性)
电子护照读卡器规范和数据检索标准
数据保护协议
生物识别数据标准
与MRTD登记、更新、边境管制以及自动化识别系统兼容
冗余性(当机器辅助技术出现故障时,能够采用类似的人工操作方法,以对证件持有者的身份进行检验)
向下兼容性(例如,用于没有电子护照读卡器的环境)
ICAO已批准将面部识别作为强制性生物识别标志并允许其成员使用指纹和/或虹膜识别作为可选的生物识别方式。这些生物识别数据的存储格式必须经过优化压缩。图像采用JPEG、JPEG2000或WSQ格式压缩,可实现最佳匹配的最小尺寸如下:
压缩的标准格式面部图像为15-20 Kbyte
压缩的标准格式指纹图像为10 Kbyte
压缩的标准格式虹膜图像为30 Kbyte
虽然面部数据格式被认为不够可靠,但生物标记数据的图像格式被认为是可互用的存储格式。因此,面部数据格式的存储和使用是除“由签发国自行决定的”图像数据之外唯一被允许的格式。
2. 从护照到电子护照的过渡
从护照到电子护照的过渡依区域策略的不同而不同。为此,对特定区域有所了解是很重要的。
主流安全方案是结合了生物面部数据的ICAO/PKI/BAC标准。只有新加坡选择了将生物面部图像和拇指指纹结合起来的ICAO/PKI/EAC标准,并于2006年4月开始签发。主动认证(AA)目前在以下10个国家采用:比利时、奥地利、芬兰、荷兰、捷克、爱尔兰、列支敦士登、香港、德国(第二代电子护照)和爱沙尼亚。
生物识别的主流是在电子护照中存储一张正面照片。目前只有以下国家在其电子护照中存储了指纹数据:泰国(2005年6月)、新加坡(2006年4月)和德国(2007年11月)。只有德国符合新的EAC安全框架标准,所有欧盟成员国都需要遵照该标准。
可通过以下三种解决方案将IC、模块以及Inlay嵌入电子护照簿:
a) 中间页:日本、澳大利亚
b) 持证人页:爱尔兰、英国、芬兰、荷兰、丹麦、挪威
c) 封页:美国、德国、西班牙、香港、意大利及许多其他国家
2.1) 欧洲电子护照的实施情况
当欧盟委员会2252/2004号条例(2004年12月13日)规定了电子护照和旅行证件的安全特征及生物识别标准之后,欧盟颁布了针对其所有成员国推行电子护照的规定。2006年8月是最迟日期,这些电子护照要求将护照持有者的数码照片连同其他资料,如姓名、出生日期及国籍等都存储在旅行证件内的一枚芯片上。这些电子资料由名为基本存取控制(BAC)的安全协议(由ICAO批准的协议技术)保护并通过被动式认证(PA)。通过将BAC应用到第一代电子护照簿,它就可以通过一个检验系统从数据页读取印刷MRZ(机读区域)的信息,这是获得在芯片上读取数据权限的密钥。同时,芯片上存储的数据是不能改变的,因为护照签发机关采用了独一无二的数字签名以确认数据的真实性(被动式认证)。
2006年6月,欧盟委员会发布新条例,规定在欧盟成员国的护照上增加两枚指纹作为附加生物识别信息,要求最晚于2009年6月全面施行。指纹代表着更加敏感的生物数据,通过高级数据保护协议—扩展存取控制(EAC)的保护,可以防止非授权访问。此外,EAC在其他方面还满足推行指纹的额外数据保护要求。首先,EAC机制执行BAC协议并通过在非对称密钥对上运行最新版本的PKI(公钥基础设施)检查芯片和检验系统的真实性。其次,对于检验而言,各国边境管制区域的系统都要求配备护照签发国的证书文件作为获得存储在芯片上的指纹存取的前提条件。EAC还支持通过在数据传输过程中建立强大的对话密钥来实现最为安全的数据编码。因此,由于敏感数据存储在防篡改旅行证件中,欧盟公民可享受最高级别的安全性和隐私保护。
2.2) 北美和亚洲地区电子护照的实施情况
根据美国入境政策要求,“免签证计划(VWP)”的所有成员国都必须在2006年10月推行电子护照。否则,他们将失去VW资格。欧盟的大多数成员国以及日本、新加坡、澳大利亚、新西兰和文莱都已按时达标。
除VWP成员国外,既非欧盟成员国也非US VWP成员国的其他一些国家也推行了电子护照,比如泰国、俄罗斯联邦、香港和马来西亚。美国国务院已经于2006年8月开始在其自己的签发流程中施行该程序。除欧盟以外,只有新加坡实施了结合左右拇指指纹的类似EAC安全方案。而大多数国家则实施了BAC安全方案。
3) 市场
3.1) 国家
从已经实施电子护照的国家数量上可以大概了解全球电子护照的运行情况。
表1:全球的电子护照施行情况
| 时间 | 实施国家和地区数量 |
| 2004年 | 1个国家 |
| 2005年 | 7个国家 |
| 2006年 | 33个国家 |
| 2007年 | 40个国家(估计) |
比利时于2004年11月采用该计划,它是第一个采用该计划的国家。2005年,泰国(5月)、瑞典、挪威和澳大利亚(10月)、德国和新西兰(11月)加入该计划。2006年,英国和日本(3月)、法国和新加坡(4月)、冰岛(5月)、奥地利(6月)、葡萄牙(7月)、美国、丹麦、西班牙、芬兰、荷兰、希腊、立陶宛、卢森堡、斯洛文尼亚、波兰和立陶宛(8月)、捷克共和国、俄罗斯联邦、安道尔共和国和瑞士(9月)、圣马力诺、爱尔兰、列支敦士登和意大利(10月)加入该计划。2007年初,包括中国香港(2月)和爱沙尼亚(5月)在内的其他国家和地区开始签发电子护照。这40个国家和地区的人口总数约为 10亿。
ICAO目前有189个成员国,但只有108个成员国流通机读旅行证件。预计到2010年底,在这108个国家中,约有70%的国家公民将持有电子护照。
3.2) 数量(签发的电子护照)
签发的电子护照数量少于2004年第四季度开始的量产阶段的集成电路(IC)数量。下表只反映已签发电子护照所用的芯片数量。
表2:全球签发电子护照所用芯片的数量
| 时间 | 芯片数量 |
| 2004年 | < 100万枚芯片 |
| 2005年 | < 500万枚芯片 |
| 2006年 | 4000万枚芯片 |
| 2007年 | 7000万枚芯片 |
4) 价值链中的市场供应商
签发电子护照的40个国家为价值链中的不同供应商提供支持。当前的情况是:
表3:价值链中的市场供应商
| 供应商 | 数量 |
| 电子护照制造商 | 25个安全的(和/或国有)印刷厂 |
| 电子封面/inlay | 10个制造商 |
| 操作系统/应用软件 | 12个供应商 |
| IC/封装 | 7个供应商 |
注:操作系统和IC提供20多个组合,因为一些操作系统/应用供应商必须将软件装在不只一个IC平台上。
5) 未来的电子身份
5.1) 欧洲的计划
除了签发新一代电子护照(2006年8月是欧盟成员国的官方截止日期)以外,在2007年到2009年,所有成员国还要开展两个额外的计划:
在“申根国”边境采用新技术实施边境管制系统
在签发办公室实现用于数据采集的指纹技术
采用新技术实现边境管制系统可提高安全性,识别和验证流程都采用生物标记技术。国家在签发第二代电子护照之前,必须实现用于数据采集的指纹技术。
许多欧盟成员国都认为在签发第二代电子护照之后签发公民电子身份证(eID)应该可以实现,因为将采用与电子护照相似的技术。签发电子身份证主要有两方面的原因:
比如数据采集、PKI、IT网络、边境管制系统等基础设施的重新利用将会更加有效并具有成本效益
由于身份证的伪造将变得更加困难,因此,可提高申根区内边境管制的安全性
在欧洲,约有20%的居民持有电子护照,约有80-90%的居民持有身份证。在大多数成员国,身份证是必须持有的证件。在欧洲旅游,身份证是典型的、也是最普遍的旅行证件。因此,要增加边境的安全性,当要求采用新的边增管制流程时,欧盟居民应同时使用电子护照和eID身份证。
2005年秋季,欧盟委员会公布了各项计划的最低安全建议,比如其14351/2005号条例中的居民eID身份证。这些旅行计划由各个成员国的内政部(MoI)管理。这些计划包含三大方面:
申根签证适用于在欧洲最多逗留90天的外国人,根据0269/2006号条例规定,外国人所持有的护照的签证页内必须有ID2格式生物识别数据、安全印刷和MRZ
根据14351/2005号条例建议,适用于欧洲居民的eID身份证,内有基于芯片的、1D1格式的生物标记数据
适用于在欧洲延长逗留期限的外国人的居住许可证,比如学生、工作和旅游者,根据1030/2002号条例,内有基于芯片的、ID1格式的生物识别数据(正在制定规范)
5.2) 美国的计划
除了当前针对持有电子护照的美国居民、持有护照/电子护照的VWP成员国的外国人和持有采集了生物数据的护照的非VWP成员国的外国人的计划以外,签证和采集旅行者的生物数据是一个新的常旅客计划,当前正在测试阶段。该测试计划名为PASS-Card(旅客出入安全系统卡)。该计划的用户群是在 WHTI(西半球旅行计划)范围内越境旅游的美国公民。该计划基于美国标准。在PASS卡中存储的信息(包括生物识别数据,该数据存储在后台系统中)结合 eID身份证一起使用。
作者:英飞凌科技股份公司资深业务拓展总监 Detlef Houdeau博士
