1 范圍

      本標準規(guī)定了基于生物特征識別的移動智能終端身份鑒別的技術(shù)框架，包括技術(shù)架構(gòu)、業(yè)務(wù)流程、功能要求和安全要求。

      本標準適用于基于生物特征識別的移動智能終端身份鑒別系統(tǒng)的設(shè)計、開發(fā)與集成。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 26238-2010 信息技術(shù) 生物特征識別術(shù)語

      GB/T 34975-2017 信息安全技術(shù) 移動智能終端應(yīng)用軟件安全技術(shù)要求和測試評價方法

      GB/T 34978-2017 信息安全技術(shù) 移動智能終端個人信息保護技術(shù)要求

      GB/T 35273-2017 信息安全技術(shù) 個人信息安全規(guī)范

      GB/T 35281-2017 信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求

      GB/T 36651-2018 信息安全技術(shù) 基于可信環(huán)境的生物特征識別身份鑒別協(xié)議框架

3 術(shù)語和定義、縮略語

3.1 術(shù)語和定義

      GB/T 26238-2010界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T 26238-2010中的一些術(shù)語和定義。

3.1.1

      生物特征識別 biometrics

      基于個體的行為特征和生物學(xué)特征，對該個體進行的自動識別。

      注：“個體”限指人。

      ［GB/T 26238-2010，定義2.1.2］

3.1.2

      生物特征項 biometric feature

      從生物特征樣本中提取的，用于比對的數(shù)值或標記。

      ［GB/T 26238-2010，定義2.2.2.2.2.4］

3.1.3

      生物特征識別器 biometric matcher

      基于個體的行為特征和生物學(xué)特征執(zhí)行用戶驗證時使用的組件。

3.1.4

      生物特征樣本 biometric sample

      先于生物特征項提取，且從生物特征采集子系統(tǒng)獲得的模擬的或數(shù)字的生物識別特征的表示。

      ［GB/T 26238-2010，定義2.2.2.2.2.10］

3.1.5

      生物特征模板 biometric template

      參考的生物特征項的集合，已存儲的生物特征項的集合，可直接與探針生物特征樣本的生物特征項進行比對。

      ［GB/T 26238-2010，定義2.2.2.2.2.9.2］

3.1.6

      比對 comparison

      估算、計算或測量生物特征探針與生物特征參考之間的相似度和相異度。

      ［GB/T 26238-2010，定義2.2.4.1.2］

3.1.7

      執(zhí)行環(huán)境 execution environment

      存在于移動設(shè)備中，能夠為應(yīng)用程序在移動設(shè)備中的運行提供必要的能力支持的軟硬件集合。

      注：一般包括硬件處理單元、易失性存儲單元、非易失性存儲單元、操作系統(tǒng)、調(diào)用接口等組件。

3.1.8

      身份鑒別 identity authentication

      驗證實體所聲稱的身份的動作。

3.1.9

      呈現(xiàn)攻擊 presentation attack

      以干擾生物特征識別系統(tǒng)的操作為目的，針對生物特征數(shù)據(jù)采集模塊的一種攻擊行為。

      [ISO/IEC 30107-1:2016，定義3]

3.1.10

      依賴方 relying party

      依賴于其他實體（例如身份鑒別服務(wù)器）提供的關(guān)于用戶的鑒別結(jié)果，對用戶所使用的資源或者系統(tǒng)進行授權(quán)的實體。

      ［GB/T 36651-2018，定義3.6］

3.1.11

      移動智能終端 smart mobile terminal

      能夠接入移動通信網(wǎng)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運行應(yīng)用軟件的移動終端。

3.1.12

      可信應(yīng)用 trusted application

      運行在可信環(huán)境下，為客戶端軟件或其他應(yīng)用提供安全相關(guān)服務(wù)的軟件。

3.1.13

      可信應(yīng)用管理 trusted application management

      提供應(yīng)用發(fā)行管理和安全模塊管理功能的系統(tǒng)。

3.1.14

      可信環(huán)境 trusted environment

      用戶設(shè)備上的安全區(qū)域，可保證加載到其內(nèi)部數(shù)據(jù)的安全性，包括保密性、完整性和可用性等，如可信執(zhí)行環(huán)境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊界的保護區(qū)域。

      ［GB/T 36651-2018，定義3.1］

3.2 縮略語

      下列縮略語適用于本文件。

      REE：富執(zhí)行環(huán)境（Rich Execution Environment）

      SDK：軟件開發(fā)工具包（Software Development Kit）

      SE：安全元件（Secure Element）

      SSL：安全套接層（Secure Socket Layer）

      TCM：可信密碼模塊（Trusted Cryptography Module）

      TEE：可信執(zhí)行環(huán)境（Trusted Execution Environment）

      TLS：傳輸層安全（Transport Layer Security）

4 概述

      本標準規(guī)范了基于生物特征識別的移動智能終端身份鑒別技術(shù)框架，并通過身份鑒別協(xié)議實現(xiàn)身份鑒別注冊、身份鑒別和身份鑒別注銷等業(yè)務(wù)流程。

      通常用戶先進行身份鑒別注冊，在成功注冊后，會為本次注冊過程生成相應(yīng)的用戶鑒別密鑰并與本次注冊過程進行綁定。在對用戶進行身份鑒別時，首先通過移動智能終端所支持的生物特征識別器對用戶進行驗證，只有在驗證通過后才能夠具備權(quán)限使用注冊過程中生成并綁定的用戶鑒別密鑰，實現(xiàn)服務(wù)器端對用戶的身份鑒別。在身份鑒別注銷過程中，移動智能終端和服務(wù)器端將注冊關(guān)系以及對應(yīng)綁定的用戶鑒別密鑰刪除。

      本標準可為移動智能終端上基于生物特征識別技術(shù)的身份鑒別相關(guān)應(yīng)用的設(shè)計、開發(fā)、使用提供統(tǒng)一的基礎(chǔ)技術(shù)架構(gòu)，以此技術(shù)框架為基準，為相關(guān)功能單元、接口、協(xié)議提出功能和安全的基本要求。基于該技術(shù)框架實現(xiàn)的指紋識別身份鑒別應(yīng)用案例可參見附錄A。

      本標準涉及個人信息保護的相關(guān)技術(shù)要求，應(yīng)符合GB/T 35273-2017和GB/T 34978-2017的規(guī)定。

5 技術(shù)架構(gòu)

5.1 總體架構(gòu)

      基于生物特征識別的移動智能終端身份鑒別技術(shù)框架主要包括移動智能終端和服務(wù)器側(cè)的若干功能單元，總體技術(shù)架構(gòu)如圖1所示。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。