编辑导语：在科技十分发达的今日，电子护照已经成为了全世界采用的护照标准，给人们出行带来了极大的便利，本篇文章作者分享了有关电子护照的前世今生，感兴趣的一起来看一下。

1998年，马来西亚发行电子护照，也是世界上第一个发行电子护照的国家。

到了今天，电子护照已经成为全世界所采用的护照标准，它究竟有着怎样的魅力，与传统护照之间又有哪些区别呢？

一、为什么发行电子护照

国际民航组织ICAO是联合国的专门机构，于2002年颁布《机读旅行证件》(9303号文件)第二版，其中规定了电子护照的制作规范和技术细节。

在过去20年中，越来越多的国家采用ICAO 9303标准发行电子护照。

2008年底，已经有62个国家及地区成功发行，发展至今，有193个国家及地区加入 ICAO 成为成员国，超过 124 个国家已实际发行电子护照。

对此，我们整理了一份全球主要国家及地区实际发行护照情况的统计表。

从2021年8月2日起，所有欧洲国家必须发放符合ICAO 9303标准的电子护照，这也意味着从现在开始所有欧洲人的身份都可以通过RFID阅读器去做可信身份验证。

电子护照的普及，就是为了各国海关、入境时能够高效且准确核验护照本身是否真实，打击伪造、涂改、冒用、非法转让等违法现象。

二、电子护照有什么特殊之处

从视觉效果上看，电子护照与传统护照似乎没什么区别，只是多了一个标识。

这个标识，意味着这本护照当中具备一个RFID（射频识别）芯片，其中存储了有关护照和护照持有人的数据，可以通过RFID阅读器进行读取。

芯片中的数据，除了我们的姓名、出生日期、护照号码、高清头像等信息之外，还具有唯一识别号和数字签名作为保护措施。

就像我们手中持有的二代居民身份证，内部同样植入了RFID芯片，当我们乘坐飞机或高铁时，只需要拿身份证刷在闸机上刷一下就可以核验身份。

而这个闸机本身，就是一个RFID阅读器，可以和RFID芯片进行交互，从中读取信息。

在我国，除了护照之外，往来港澳台通行证、港澳居民来往内地通行证、台湾居民来往大陆通行证等证件，同样采用ICAO 9303标准在证件内部植入了芯片。

护照作为全球唯一通行证件，是我们每个人去往其他国家的唯一身份证明，其重要性不言而喻。

具备RFID芯片的电子护照，在机场或是通关口岸也可以通过专有设备去核验证件的真实性。

但这是不是意味着，有人可以在不知情的情况下，通过RFID阅读器去读取我的护照信息？

三、电子护照的安全性

答案当然是“否”。

电子护照采用了基本访问控制协议（BAC）来最大程度降低风险，基本访问控制要求护照中的RFID芯片与RFID阅读器之间的初始交互包括用于建立安全通信通道的协议。

为确保只有经过授权的RFID阅读器才能读取数据，基本访问控制在护照芯片中存储了一对加密的秘钥。

当阅读器试图读取护照时，它会执行一个挑战——应答协议与阅读器进行加解密交互。如果解密成功，芯片才会释放数据内容。

否则，阅读器被视为未经授权，芯片就会拒绝阅读器的访问。

而解密的方法，就是输入我们护照上的MRZ码。

这就是为什么我们在读取护照芯片前，必须先通过OCR（光学字符识别）技术扫描MRZ码，正是一个为了防止他人在不知情的情况下能随意读取我们护照的安全措施。

四、电子护照核验的数字化应用

随着移动互联网时代的到来以及近几年全球疫情的爆发，企业纷纷开始数字化转型，将自身业务由线下转移到线上，与此同时也暴露出非常严重的问题。

根据知名数据库Lexis Nexis以及反欺诈服务公司Arkose Labs最新发布的报告中显示，2021年各行业欺诈率爆发式增长。

其中新开账户占比高达1/4，因身份欺诈带来的企业成本上升，高达20.6%。

身份核验已经成为全球性难题，在线上业务当中，越来越需要核验用户真实身份，从而预防身份盗窃、金融诈骗、洗钱及恐怖主义融资。

另一方面，全球金融监管对于合规方面的管控也在持续加强。

因违反AML和MiFID合规，212人被罚款9930万美金。

澳洲联邦银行因三年中5.3万次可疑转账，被处7亿澳元（折合人民币34亿元）罚款。

高盛因1MDB案，被多家监管机构罚款总额达68亿美金。

因身份信息不合规问题，中国人民银行处罚各家银行及 1000 名中高管高达6.28亿人民币。

将核验电子护照能力形成可广泛应用的数字化服务，迫在眉睫。

随着技术的不断革新，读取RFID芯片已经不再局限于线下专有设备，我们手中具备NFC（近场通信）功能的智能手机，也拥有同样的能力，能够读取护照芯片并且核验电子护照真伪。

以智能手机为载体，用户可以在APP中自主读取电子护照芯片中的信息，企业同样不需要额外付出人力，就可以准确的得知结果。

该能力目前已在全球范围内广泛应用于金融、电子政务、智慧社区、酒店等领域，有效打击了身份造假、洗钱等非法行为。

五、数据隐私保护措施

产品侧，是以SDK的方式集成到APP中，通过APP调用手机上的NFC功能读取护照芯片。

为了防止在数据传输过程中出现外泄等安全隐患，当APP发起调用时，前端SDK读取结果仅为一串用于查询用的ID以及经国密算法加密后的证件信息密文。

之后在通过后端API接口输入这段查询ID和密文信息，以获取解密秘钥，拿到解密秘钥后APP再自行解密获取全部的证件明文信息。

护照中的身份信息属于用户最为敏感的个人信息，正是这样一套基于国密算法完整的加解密流程。

才能确保整个数据传输过程中是安全的，企业才可以放心的将这套能力应用在各个场景，安全的核验用户身份。

本文由 @薇笑时好美 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自 Unsplash，基于 CC0 协议。