1 范圍

      本標(biāo)準(zhǔn)規(guī)定了基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別的技術(shù)框架，包括技術(shù)架構(gòu)、業(yè)務(wù)流程、功能要求和安全要求。

      本標(biāo)準(zhǔn)適用于基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別系統(tǒng)的設(shè)計(jì)、開發(fā)與集成。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 26238-2010 信息技術(shù) 生物特征識(shí)別術(shù)語(yǔ)

      GB/T 34975-2017 信息安全技術(shù) 移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

      GB/T 34978-2017 信息安全技術(shù) 移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求

      GB/T 35273-2017 信息安全技術(shù) 個(gè)人信息安全規(guī)范

      GB/T 35281-2017 信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求

      GB/T 36651-2018 信息安全技術(shù) 基于可信環(huán)境的生物特征識(shí)別身份鑒別協(xié)議框架

3 術(shù)語(yǔ)和定義、縮略語(yǔ)

3.1 術(shù)語(yǔ)和定義

      GB/T 26238-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T 26238-2010中的一些術(shù)語(yǔ)和定義。

3.1.1

      生物特征識(shí)別 biometrics

      基于個(gè)體的行為特征和生物學(xué)特征，對(duì)該個(gè)體進(jìn)行的自動(dòng)識(shí)別。

      注：“個(gè)體”限指人。

      ［GB/T 26238-2010，定義2.1.2］

3.1.2

      生物特征項(xiàng) biometric feature

      從生物特征樣本中提取的，用于比對(duì)的數(shù)值或標(biāo)記。

      ［GB/T 26238-2010，定義2.2.2.2.2.4］

3.1.3

      生物特征識(shí)別器 biometric matcher

      基于個(gè)體的行為特征和生物學(xué)特征執(zhí)行用戶驗(yàn)證時(shí)使用的組件。

3.1.4

      生物特征樣本 biometric sample

      先于生物特征項(xiàng)提取，且從生物特征采集子系統(tǒng)獲得的模擬的或數(shù)字的生物識(shí)別特征的表示。

      ［GB/T 26238-2010，定義2.2.2.2.2.10］

3.1.5

      生物特征模板 biometric template

      參考的生物特征項(xiàng)的集合，已存儲(chǔ)的生物特征項(xiàng)的集合，可直接與探針生物特征樣本的生物特征項(xiàng)進(jìn)行比對(duì)。

      ［GB/T 26238-2010，定義2.2.2.2.2.9.2］

3.1.6

      比對(duì) comparison

      估算、計(jì)算或測(cè)量生物特征探針與生物特征參考之間的相似度和相異度。

      ［GB/T 26238-2010，定義2.2.4.1.2］

3.1.7

      執(zhí)行環(huán)境 execution environment

      存在于移動(dòng)設(shè)備中，能夠?yàn)閼?yīng)用程序在移動(dòng)設(shè)備中的運(yùn)行提供必要的能力支持的軟硬件集合。

      注：一般包括硬件處理單元、易失性存儲(chǔ)單元、非易失性存儲(chǔ)單元、操作系統(tǒng)、調(diào)用接口等組件。

3.1.8

      身份鑒別 identity authentication

      驗(yàn)證實(shí)體所聲稱的身份的動(dòng)作。

3.1.9

      呈現(xiàn)攻擊 presentation attack

      以干擾生物特征識(shí)別系統(tǒng)的操作為目的，針對(duì)生物特征數(shù)據(jù)采集模塊的一種攻擊行為。

      [ISO/IEC 30107-1:2016，定義3]

3.1.10

      依賴方 relying party

      依賴于其他實(shí)體（例如身份鑒別服務(wù)器）提供的關(guān)于用戶的鑒別結(jié)果，對(duì)用戶所使用的資源或者系統(tǒng)進(jìn)行授權(quán)的實(shí)體。

      ［GB/T 36651-2018，定義3.6］

3.1.11

      移動(dòng)智能終端 smart mobile terminal

      能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運(yùn)行應(yīng)用軟件的移動(dòng)終端。

3.1.12

      可信應(yīng)用 trusted application

      運(yùn)行在可信環(huán)境下，為客戶端軟件或其他應(yīng)用提供安全相關(guān)服務(wù)的軟件。

3.1.13

      可信應(yīng)用管理 trusted application management

      提供應(yīng)用發(fā)行管理和安全模塊管理功能的系統(tǒng)。

3.1.14

      可信環(huán)境 trusted environment

      用戶設(shè)備上的安全區(qū)域，可保證加載到其內(nèi)部數(shù)據(jù)的安全性，包括保密性、完整性和可用性等，如可信執(zhí)行環(huán)境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊界的保護(hù)區(qū)域。

      ［GB/T 36651-2018，定義3.1］

3.2 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      REE：富執(zhí)行環(huán)境（Rich Execution Environment）

      SDK：軟件開發(fā)工具包（Software Development Kit）

      SE：安全元件（Secure Element）

      SSL：安全套接層（Secure Socket Layer）

      TCM：可信密碼模塊（Trusted Cryptography Module）

      TEE：可信執(zhí)行環(huán)境（Trusted Execution Environment）

      TLS：傳輸層安全（Transport Layer Security）

4 概述

      本標(biāo)準(zhǔn)規(guī)范了基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別技術(shù)框架，并通過身份鑒別協(xié)議實(shí)現(xiàn)身份鑒別注冊(cè)、身份鑒別和身份鑒別注銷等業(yè)務(wù)流程。

      通常用戶先進(jìn)行身份鑒別注冊(cè)，在成功注冊(cè)后，會(huì)為本次注冊(cè)過程生成相應(yīng)的用戶鑒別密鑰并與本次注冊(cè)過程進(jìn)行綁定。在對(duì)用戶進(jìn)行身份鑒別時(shí)，首先通過移動(dòng)智能終端所支持的生物特征識(shí)別器對(duì)用戶進(jìn)行驗(yàn)證，只有在驗(yàn)證通過后才能夠具備權(quán)限使用注冊(cè)過程中生成并綁定的用戶鑒別密鑰，實(shí)現(xiàn)服務(wù)器端對(duì)用戶的身份鑒別。在身份鑒別注銷過程中，移動(dòng)智能終端和服務(wù)器端將注冊(cè)關(guān)系以及對(duì)應(yīng)綁定的用戶鑒別密鑰刪除。

      本標(biāo)準(zhǔn)可為移動(dòng)智能終端上基于生物特征識(shí)別技術(shù)的身份鑒別相關(guān)應(yīng)用的設(shè)計(jì)、開發(fā)、使用提供統(tǒng)一的基礎(chǔ)技術(shù)架構(gòu)，以此技術(shù)框架為基準(zhǔn)，為相關(guān)功能單元、接口、協(xié)議提出功能和安全的基本要求。基于該技術(shù)框架實(shí)現(xiàn)的指紋識(shí)別身份鑒別應(yīng)用案例可參見附錄A。

      本標(biāo)準(zhǔn)涉及個(gè)人信息保護(hù)的相關(guān)技術(shù)要求，應(yīng)符合GB/T 35273-2017和GB/T 34978-2017的規(guī)定。

5 技術(shù)架構(gòu)

5.1 總體架構(gòu)

      基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別技術(shù)框架主要包括移動(dòng)智能終端和服務(wù)器側(cè)的若干功能單元，總體技術(shù)架構(gòu)如圖1所示。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。