主持人(Kevin Gillick):
女士们、先生们:早上好!
欢迎大家参加第五届电子证照生物识别论坛。
我叫Kevin,是全球平台组织的执行理事。全球平台是一个非营利组织,我们一直开发规格和标准,来促进智能卡的兼容性。今天我会发言,给大家一个机会,更多的了解我们GP组织,我也非常高兴GP组织有机会来共同组织这场活动,这是中国智能卡联盟和我们共同主办的,我向GP所有人员表示感谢。
今天,大家看一下议程,我们的议程分四个不同的主题。我们今天的第一个主题是EID,也就是电子身份,或者叫电子证照和它在国家层面的发展。然后我们会听一下成功的商业EID,在EID和护照项目上的发展。今天下午会谈一下项目的分析,以及包括生物识别和安全的一些趋势。
我还想花点时间感谢活动的主要赞助商:英飞凌公司、Smartrac,我们感谢大家对我们的支持,感谢你们给我们提供的赞助。
下面按照议程继续下去,下面我给大家介绍一下GP规范程序方面的情况。我首先跟大家讲一下智能卡,它的题目很长,包括使用开放标准,包括端到端的互操作性,这是在变化情况下。这包括很多内容,首先是一个开放的标准,但是人们还不是很明白,或者很多人不明白什么是开放标准,所以,首先我跟大家介绍一下这方面。然后再说一说端到端的互操作性,如果没有端到端的互操作性,如果不能统一操作,你的任何东西都没有办法进行交流,没有办法实施。另外还有变革问题,即使有了开放标准,而且也有了端到端的互操作性,比如说技术等等,我们可能会遇到各种各样的变化,这是不可避免的,而且有些情况是不可预测的,所以,我们如何能够在这种变化的情况下做到以上这一点,我觉得这是非常重要的,特别是对于智能卡管理者来讲尤为重要。
首先,我们从不同角度来理解,GP是一个组织,很多人可能还不是很了解GP组织,首先我跟大家介绍一下GP组织,我们把它放在互操作的话题下来探讨这个组织。我们也谈到了这个变化情况,我们知道不管是市场,还是标准本身,都是端到端的,我跟大家介绍一些真实的例证,具体的变化,如何支持相应的标准规则。当大家理解了这个之后,我们才能够知道发卡之中和发卡之后的情况。我会跟大家介绍一下比如说欧美等国家的情况。然后跟大家讲一下GP工作组织,它基于政府工作处理来做的。GP是99年建立起来的,所以很快就到十周年了。一开始的时候,我们GP是国际建立起来的,它建立一个开放平台(组织),最早是作为开放平台的组织出现的这样一个架构,推广相关的技术,然后放弃了所有相关的国际业务,这样各个组织从政府部门来了很多人士,这些人到一起,在整个智能卡的话题下进行工作,来探讨相关的标准,所以在GP这当中找到所有相关的专家。
另外一个意思,当我们把GP技术无偿贡献给业内之后,我们就形成了一家跨行业的(覆盖全行业的)大组织,以便能够使我们各种标准进一步商业化。这是端到端的一架构,是三层,一个是卡层,一个是设备层,还有一个是系统层,就是希望每一层都能实现互操作,所以在谈到GP标准一些技术的时候,他们完全可以把其标准的各种各样的卡设备和系统进行互相操作,所以,这就是GP的最大优势所在。当然了,即使你有专属权的设备,系统也是没有问题的,如果你是其它类型的系统也没有问题。我们知道我们的规格和标准设计是非常灵活的,不论你选择任何一种,你都能够选择其中一种、几种或者全部,然后满足自己不同的需求,不同企业、不同专业的需求,所以这些种类在很多政府部门,在一些发卡商当中,都会得到广泛的欢迎。
这就是我们主要的策略,就是我们希望进一步推动我们重要策略的实施,为了能够维护我们的种类,或者说规格的稳定性,以便能够进一步推动实施,我们会根据市场需求进行相关的改变,而不是为了更好的技术,或者是为了花架子而做改变,这是我们为了保证稳定性的目的。所以,各种各样的标准也好,规格也好,你不能说总变来变去,变来变去,人们会无所适从,所以必须保证它的稳定性,这样能够得到一个更好的控制环境。所以,我们看到美国国防部的例子的时候,我们知道当时有些新技术出来了,当时需要变化,同时我们需要引入这些变化,然后把所有已经部署的技术都得进行改变,所以,如果想在新的平台、新的技术上开发使用新的应用,比如说生物识别等等,无论是任何的应用,这些符合GP相应的API,就是说不管出了什么新技术、新东西,只要能符合GP的API,而且GP的API能够满足很多这样的技术,所以就能很快的把这些东西整合到一起,使它们能够互相合作,所以,这是一个重大优势。另外,我们会保证你能有反向的兼容性。另外,我们还会有真实应用的移动性,就是标准化等等,我们还会提供安全框架给我们的市场以满足需求。
另外我们通过跟一些合作伙伴的合作,也是希望能够进一步促进不同的设备、不同系统之间界面更好的互操作性的提高。我们通过合作,不管是在应用,还是在其它业界层面上都达到了统一。当然我们的增长还是非常快的。现在来讲,我们已经有超过两亿的卡了。到2007年底就超过1.95亿的(GP)卡片在全世界部署出来。还有在全世界有超过14亿张(GSM)卡使用到GP的技术中,也就是说OTA的下载。这样的下载是非常安全的,同时也可以随时激活各种各样的应用。现在我们GP技术芯卡的估计也会超过七千万。无论是金融、政府、移动通讯等等领域,我们有70多个项目在实施。
大家看到的是我们的成员,成员很多,都是比较知名的大型公司,比如像DNP,这里有芯片公司,还有卡制造商,还有系统集成商,还有卡生命周期管理公司,还有系统集成商等等都是我们的成员,所以,所有这些LOGO几乎代表了GP业内完整的价值链的各个角落。同时还有欧洲的,有北美的,还有亚太区的企业,来自世界各地,所有,这些种类范围非常之广,可以涵盖到价值链的各个角落,以及世界的各个地方。
下面我们就介绍一下标准和规格对于ID项目的影响,我们现在越来越多的使用到智能卡,政府都需要实施ID项目。他们这样做可以极大的控制诈骗、犯罪等情况,同时也可以随着发展减少相应的成本,比如说文件成本、人工成本,同时也可以提高整个安全性,无论是逻辑上的,还是安全性。同时美国政府也希望能够使各种各样的操作更加简便。我们一方面希望能够提高安全性,另外也不想使工作变得更加麻烦。所以,我们也希望减少更多的投资(风险),同时政府也希望把更好的服务提供给社会。所以,他们就希望能够将最近证明的同时使可靠的技术实施起来。另外,我们政府也希望是一种开放性的、安全的同时可以进行拓展的技术能够实施(智能卡的部署)。同时,我们政府就可以在不断变化的市场当中立于不败之地。
另外,我们还希望能够通过各种各样的服务,来增加附加值的提高,比如说我们有了ID之后,我们可以采取应取的应用,比如说交通一卡通、小额支付等等,另外政府也希望保证技术的稳定性,减少成本,所有这些都是政府的期望值所在。所以,为了能够达到这一点,我们相信我们还有很多工作需要做。另外,这是ID项目希望的,但是我们有很多挑战,比如是关于技术的决定,因为有可能是在项目一开始的阶段做出的,可是现在来讲,我们市场变化很快,你怎么能知道你最初做的决定是对的呢?所以政府就需要找出这样的方法,来找到最可靠的这样一种技术,来选择最好的技术,但是很多情况下很难做到这一点,所以这就有风险,所以政府就需要更多的,或者是最让他们满意的解决方案,就是说能够在应用的可能中,在不明朗的时候做出选择,这并不是我们的选择。另外政府还有一个担心忧虑,找到一种解决办法满足他们的需求,而且这种技术是安全的、节省成本的。为了应对这种挑战,我们在解决办法当中就需要一个标准化,就是说基于可靠的,同时是已经部署了的规格实施,比如说这些规格支持发展中出现的变化,就是实践当中的变化,同时也可以通过供应商购买开放性的解决方式来减少成本,另外可以达到规模经济效益节省成本,同时可以简化过程,加速新的技术实施速率,同时也可以减少部署EID项目的时间,同时又可以提供出合作项目的框架(用同一种语言、同一种声音)。
另外,我们希望找到标准,我们希望能够给大家把这些标准分类一下,让大家看一看,以便解除疑惑,首先就是国际标准,就是ISO标准,它包括七个成员国家,基本上会把成员国代表相应的专家找到一起来制定技术标准,以便在全世界来实施。另外,除了这一点,还有我们业界的标准,业内的标准它们就是一些产业组织,一些用户组织,他们以会员为基础,比如像GP,我们就是业内的一个组织,业内的标准制定者,我们会把业界的专家请到进行制定标准,同时也会请各地的专家来进行制定标准。另外还有相应的应用标准,比如CEN,就是个人身份证实标准,这就是一个很好的例子。对我们政府来说最重要的是什么呢?也就是需要明白,我们有这么多的标准,像ISO,还有业界的标准等等,所以,对于政府来讲,用什么样的标准没有硬性要求,你们选择什么样的技术没有硬性要求,只要自己需要就好,我们现在有这么多技术,有这么多的应用,你可以做各种各样的,你自己选择的具体办法来做工作。比如说数据的交流,还是信息,还是信息流的管理等等,都是不同的应用,这都是ID可以做到的。所以,我们给政府给予的是什么呢?我们只要做到业界的标准,就是把资源放在内部自己需要做的标准,特别是应用标准上面就可以了,而不是建大而全什么都有的架构,你只要做符合自己的,同时是适合自己的,有针对性的(应用)标准就可以了。
我们有很多相应的例证,比如说在EID方面,从政府的角度来讲,美国国防部的例子是我想重点讲的,我们谈到终端对终端的技术,国防部只用于退役军人,它不用于其它部门,只用于国防部。国防部有一千一百万张(TAKE)卡已经发放了,它有技术设施予以支持,他们在19个国家2000多个工作点都发放了TAKE卡,然后出现了9.11事件,美国政府又推出了一个新的方案,叫做国土保卫部一个新的秘密,不光是国防部,包括所有政府部门都用一个通用的安全卡叫做PIV卡,国防部现在要改变所有的卡,就遇到了现在的挑战,现在的挑战就是怎么样大规模的来发放,并且和原有的一千一百万张卡的标准能够兼容,他希望对于经销商和供应商来说,要保证公平的招标,多投的采购。还有一个要求,希望利用现有的智能卡的投资和机构设施,因为已经发放了一千一百万张卡,有数据的管理和设施策略不能完全抛弃。那么他们是怎么做到这些要求的呢?国防部使用了基地已有的东西,包括规格。另外还包括方法、数据集成、个人化的方法,包括集中和分布式的处理防御,他们也希望这两个系统标准是稳定的,他们也觉得现在的标准不能够放弃。而他们的经销商已经在帮助他们做好了准备,进行无缝的过渡,这也是很好的迹象。
另外,我们也谈到了应用标准和产业标准。在变化面前,国防部只需要关注他们的应用标准,比如我们看到(菲普斯)201进行全面的调整,他们让产业去考虑怎么调整产业标准,来适应他们的变化,所以产业的平台扩展什么都是产业去做的。实际上这套工作不是很困难的,大家看一下GP的基础设施,这些基础设施已经建立了。蓝色是比较要做到的改变,要从TAKE到PIV卡要做的改变,比如要做身份的登记,验证过程都要改变,他们要重新定义PIV卡是什么样的,GP能够包容所有其它的东西,所以他们有了PIV的数据,要把它放到PIV卡当中现有的设施只用改一下豹纹的条件,在现有的基础设施上就能适应要求,并且能够非常安全的使新的卡片得以使用,并且能把新的业务放到已经在使用的一千一百万张卡当中,这样能延长卡的寿命,并且能够减少马上要更换一千一百万张卡的工作量,所以他们的工作就是终端对终端的开放基础设施,一开始就这样做能够帮助他们克服改变,那么他们用TAKE使用开放式、兼容式的技术能够帮助他们适应今后的改变。
下面我跟大家介绍一下政府工作小组,我们有50个成员都非常支持我们这项工作。我们了解到一点,有很多大规模的政府项目正在出台,不管是居民身份证,还是员工证,还是军人的证件,全球有很多项目都是在酝酿当中,我们也看到有更多政府他们需要更明确的信息,开放式、兼容性的解决方案到底是什么样的,现在我们很难进行定义,很难表达,所以他们告诉我们产业部,我们想买这样的东西,政府是需要我们帮助的,我们也知道政府在寻求帮助的时候,他们希望找到顾问,或者是系统的集成商,能够找到他们的最佳实践,希望他们提供一些帮助和咨询。所以,我们GP所做的就是有针对性的去活动,帮助这些政府,帮助这些经销商来做一个桥梁。
我们现在做的事情是写了一个白皮书,这个白皮书谈到我们GP的价值主张,以及和身份管理的关系。谈到白皮书的时候,我们也拍了一些照片,也就是说它也讲到左上方身份管理系统的样子在智能卡(出现)之前的样子。第二张讲的是身份管理在智能卡出现之后的变迁,左下方是现在我们可以看到,在新的基础设施下GP的技术怎么样来支持兼容性,来支持变化。在右下方(白皮书)还讲了子系统,或者零件下使用GP规格和标准之后的作用。白皮书可以从网站上免费下载的,它可以帮助大家了解一些重要的信息,以及终端对终端、适应变化等。
我们在这方面做了很多工作,第一件事情就是我们要推动宣传GP技术的一些好处,特别是对于大规模的政府电子证照项目的一些帮助。因为我们希望它能够使用现有的技术,而不是重新开发他们自己的技术,或者是把自己限制在高专利的解决方案当中,因为高专利不可能适应今后的变化,我们在宣传是怎么做的呢?我们写了很多论文,我们进行公众的演讲,包括我今天做的事情,我们要会见政府机构,和他们交流,介绍我们的能力。另外我们还写了一些论文,把ISO和GP的技术放到一块去进行融合、比较,比如说ISO(7271)和我们GP的比较。我们做的第二件事就是和全球的标准机构进行合作,包括标准委员会(布鲁塞尔)的兼容性小组,还有IBS(国际民航组织)都和我们有广泛的合作。我们做的第三件事,我们也认识到现有的组织性的规格尽管非常稳定,使用非常广泛,但是可能还是有一些差距,也就是说我们对于一个具体的终端用户来说,还需要进行增加和调整。在了解了我们现在的差距,并且进行弥补。我们做的第四件事情,我们政府工作小组(成员)经常会开会,来讨论重点技术,这样技术委员会开发一些规格,不是为了技术而技术,他们开发的规格是听取了政府工作小组的建议,专门为政府有针对性的开发技术,比如说我们经常谈到生物识别在卡片中的应用,我们也和生物识别卡的技术小组进行讨论,来谈生物识别技术应该怎么样针对政府的要求使用到卡片当中。还有一个是加密技术,加密技术有各种各样的选择,我们要了解政府的关注,来和技术小组做出最好的合作。另外,我们还要定义安全信息交换在CMS和MCS的交换,这样就能更好的满足政府的需要。
在这里我要强调一下标准规格和技术是无关的,不管是GP,还是其它什么技术,也不管是哪个供应商提供的技术,它是一个通用的标准,它使政府选择一种技术,同时能够保证安全,另外也保证兼容性。我们的规格和标准一旦开发出来,都是免费交给产业,所以,如果你们感兴趣,可以免费的下载。如果你们是经销商,你们也可以下载以后,根据一些标准来开发你们的产品和技术,把它投放到市场。
我的演讲时间到了,非常感谢大家!
