國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)

1、（征求意見稿）編制說明國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架（征求意見稿）編制說明一、工作簡況1.1 任務(wù)來源根據(jù)國標(biāo)委綜合2017128號文件關(guān)于下達(dá)2017年第四批國家標(biāo)準(zhǔn)制修訂計劃的通知安排，國家標(biāo)準(zhǔn)制定計劃信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架（計劃號20173598-T-469）由TC260（全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會）歸口上報及執(zhí)行，主管部門為國家標(biāo)準(zhǔn)化管理委員會。1.2 主要起草單位和工作組成員本標(biāo)準(zhǔn)由浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司主要負(fù)責(zé)起草，中國科學(xué)院數(shù)據(jù)

2、與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股份有限公司、北京曠視科技有限公司、北京中科虹霸科技有限公司、深圳市匯頂科技股份有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院等單位共同參與該標(biāo)準(zhǔn)的起草工作。1.3 主要工作過程(1) 2017年7月，本標(biāo)準(zhǔn)研制申請在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會獲得立項批準(zhǔn)，浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司作為研制項目牽頭單位，組建了標(biāo)準(zhǔn)研制工作組，編制工作組包括生物特征識別企業(yè)、科研院所、應(yīng)用與研發(fā)機(jī)構(gòu)、IT企業(yè)、終端廠商、安全公司等超過20多家單位，在移動智能終端、生物特征識別、身份鑒別與認(rèn)證領(lǐng)域具有廣泛的代表性，編制組成立之后，進(jìn)行了相關(guān)技術(shù)規(guī)范資料的研究和產(chǎn)業(yè)調(diào)研，形成了草

3、案1.0版。(2) 2017年8月，本標(biāo)準(zhǔn)研制項目在北京召開了啟動會議，標(biāo)準(zhǔn)編制組來自14家單位共17名代表出席了會議，螞蟻金服技術(shù)標(biāo)準(zhǔn)部介紹了本標(biāo)準(zhǔn)立項背景，標(biāo)準(zhǔn)適用范圍、主要內(nèi)容，對標(biāo)準(zhǔn)草案中墓于生物特征識別技術(shù)的移動智能終端身份鑒別技術(shù)架構(gòu)”進(jìn)行了討論，由此對標(biāo)準(zhǔn)化對象、范圍等標(biāo)準(zhǔn)啟動之初應(yīng)明確的問題進(jìn)行了初步的探討。標(biāo)準(zhǔn)草案在討論修改后，2018年9月形成草案1.1版(3) 2017年10月，螞蟻金服公司代表本標(biāo)準(zhǔn)編制組，在TC260左WG4作組全體會議上進(jìn)行了匯報，根據(jù)本次會議上WG4家與代表提出的建議，(征求意見稿)編制說明國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別

4、技術(shù)框架明確了本標(biāo)準(zhǔn)與WG4物特征識別身份鑒別相關(guān)標(biāo)準(zhǔn)的關(guān)系，為確保整體標(biāo)準(zhǔn)體系的兼容一致，標(biāo)準(zhǔn)草案在編制組內(nèi)再次進(jìn)行討論和修改，對技術(shù)架構(gòu)和關(guān)鍵術(shù)語進(jìn)行了調(diào)整，保持與其他標(biāo)準(zhǔn)的一致性，形成草案1.3版。(4) 2017年11月，增加了具有代表性的終端廠商和芯片廠商如華為、三星、高通等參加到本標(biāo)準(zhǔn)的編制組中。編制組在北京召開第二次全體會議，修改討論從10月會議周以來的各方建議和修改情況，在技術(shù)框架方面達(dá)成一致意見，形成了草案2.0版，同時充實(shí)了標(biāo)準(zhǔn)的技術(shù)內(nèi)容。(5) 2017年12月，國家標(biāo)準(zhǔn)化管理委員會正式下達(dá)本國家標(biāo)準(zhǔn)制定計劃號。(6) 2018年1月，標(biāo)準(zhǔn)編制組內(nèi)持續(xù)進(jìn)行討論和修改，調(diào)整

5、完善技術(shù)架構(gòu)，形成標(biāo)準(zhǔn)草案3.0版。(7) 2018年2月，TC260-WG4作組召開專家審查會議，對本標(biāo)準(zhǔn)草案進(jìn)行了研究和評議，同意通過該標(biāo)準(zhǔn)草案的審查，并建議本標(biāo)準(zhǔn)盡快形成征求意見稿。(8) 2018年3月，標(biāo)準(zhǔn)編制組召開第三次全體會議，全體編制組成員討論修改了技術(shù)架構(gòu)圖，對可信執(zhí)行環(huán)境統(tǒng)一規(guī)范為可信環(huán)境”，兼容包括TEESE、TC靜可信執(zhí)行環(huán)境類型，并與WG4關(guān)標(biāo)準(zhǔn)保持一致同時，精簡了對可信部分的描述。針對專家審查會議中提出的基本級和增強(qiáng)級劃分的修改建議，結(jié)合產(chǎn)業(yè)和應(yīng)用實(shí)際情況，根據(jù)TE序口SE勺結(jié)合應(yīng)用情況，對可信環(huán)境的安全要求進(jìn)行了基本級和增強(qiáng)級的劃分，在技術(shù)框架描述部分進(jìn)行了規(guī)范。

6、形成標(biāo)準(zhǔn)草案4.0版。(9) 2018年3月-4月，TC260-WG4作組內(nèi)對本標(biāo)準(zhǔn)草案進(jìn)行了征求意見，反饋意見集中在文字和編輯性修改方面，經(jīng)過修改和調(diào)整，形成標(biāo)準(zhǔn)草案5.0版。(10) 2018年4月，TC260S漢會議周WG4體會議對標(biāo)準(zhǔn)草案5.0進(jìn)行審閱和投票，建議吸納和處理會議上提出的修改建議，形成征求意見稿。(征求意見稿)編制說明國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架1.4 各階段意見處理情況工作組第一版草案階段，共收到反饋意見12條，5條采納，1條未采納，6條部分采納。工作組第二版草案階段，共收到反饋意見27條，19條采納，2條未采納，6條部分采納。工作

7、組第三版草案階段，共收到專家審查意見5條，4條采納，1條部分采納。工作組第四版草案階段，共收到工作組內(nèi)反饋意見22條，15條采納，4條未采納，3條部分采納。具體參見意見匯總處理表。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題2.1 本標(biāo)準(zhǔn)編制原則(1) 本標(biāo)準(zhǔn)的編寫按照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則的要求進(jìn)行。(2) 本標(biāo)準(zhǔn)的編制原則是符合移動智能終端生物特征識別產(chǎn)業(yè)應(yīng)用現(xiàn)狀，滿足并兼容現(xiàn)階段多種生物識別技術(shù)應(yīng)用于移動智能終端的技術(shù)實(shí)現(xiàn)。2.2 本標(biāo)準(zhǔn)編制思路標(biāo)準(zhǔn)的制定以大量多年的技術(shù)實(shí)踐應(yīng)用積累之上，基于生物特征識別的移動智能終端身份鑒別技術(shù)框架

8、，規(guī)范基于生物特征識別的移動智能終端身份鑒別的功能模塊與信息安全要求，主要技術(shù)內(nèi)容有大量實(shí)踐與應(yīng)用驗(yàn)證為基礎(chǔ)，具備可行性；標(biāo)準(zhǔn)編制團(tuán)隊由國內(nèi)典型移動端生物特征識別應(yīng)用服務(wù)提供商、主流終端制造商、軟件開發(fā)商、科研機(jī)構(gòu)和標(biāo)準(zhǔn)研究機(jī)構(gòu)組成，具有廣泛代表性；在制定過程中遵循“科學(xué)嚴(yán)謹(jǐn)、尊重實(shí)際、高效安全、切實(shí)可行”的思路，首先，確定研究計劃；其次，在研究計劃基礎(chǔ)上進(jìn)行文獻(xiàn)查詢、產(chǎn)品調(diào)研和專家咨詢，最終形成標(biāo)準(zhǔn)草稿；再次，基于標(biāo)準(zhǔn)草稿進(jìn)行更進(jìn)一步專家咨詢，并進(jìn)行實(shí)際開發(fā)驗(yàn)證，確保標(biāo)準(zhǔn)的可行性和安全性；最后，在以上基礎(chǔ)之上形成最終標(biāo)準(zhǔn)文本。2.3 本標(biāo)準(zhǔn)草案主要內(nèi)容本標(biāo)準(zhǔn)規(guī)范基于生物特征識別的移動智能終端

9、身份鑒別技術(shù)框架，規(guī)范基于生物特征識別的移動智能終端身份鑒別業(yè)務(wù)流程、各功能單元的功能要求和安全要求。本標(biāo)準(zhǔn)適用于基于生物特征識別的移動智能終端身份鑒別的設(shè)計、開發(fā)與集成。是基于生物特征識別的身份鑒別技術(shù)基礎(chǔ)性標(biāo)準(zhǔn)之一。主要技術(shù)內(nèi)容包括：技術(shù)框架、業(yè)務(wù)流程、通訊協(xié)議、功能要求和安全要求。(1) 技術(shù)架構(gòu)：基于生物特征識別的移動智能終端身份鑒別技術(shù)框架主(征求意見稿)編制說明國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架要包括移動智能終端和服務(wù)器側(cè)的若干功能單元；移動智能終端側(cè)一般包括移動應(yīng)用、身份鑒別中間件、身份鑒別可信應(yīng)用、生物特征識別器、采集元件等功能單元。本標(biāo)準(zhǔn)所規(guī)范

10、的技術(shù)框架基于可信環(huán)境實(shí)現(xiàn)，運(yùn)行于移動智能終端的身份鑒別協(xié)議解析、用戶生物特征采集、比對、存儲與呈現(xiàn)攻擊檢測等均應(yīng)在可信環(huán)境中進(jìn)行。本標(biāo)準(zhǔn)中，可信環(huán)境的具體實(shí)現(xiàn)方式可采用TEE或TEE與SE組合使用的方式。根據(jù)安全需求，單獨(dú)采用TEE可作為安全基本級的可信環(huán)境，采用TEE與SE的組合使用可作為安全增強(qiáng)級的可信環(huán)境，其他的可信環(huán)境實(shí)現(xiàn)方式不在本標(biāo)準(zhǔn)規(guī)定范圍之內(nèi)。(2) 服務(wù)器側(cè)包括身份鑒別服務(wù)器和依賴方服務(wù)器。身份鑒別服務(wù)器包括身份鑒別服務(wù)模塊，可具備可信應(yīng)用管理和可信設(shè)備管理等模塊。(3) 業(yè)務(wù)流程與通訊協(xié)議：規(guī)范移動智能終端生物特征識別身份鑒別的業(yè)務(wù)流程，與正在研制中GB/TAAAAA-AA

11、AA信息安全技術(shù)基于可信環(huán)境的生物特征識別身份鑒別協(xié)議框架保持一致，包括注冊、鑒別以及解注冊等流程；(4) 功能要求：主要對移動智能終端和服務(wù)側(cè)各功能單元提出功能要求；(5) 安全要求：主要規(guī)范移動智能終端基于生物特征識別的身份鑒別技術(shù)框架內(nèi)各功能單元安全要求、通信安全要求和身份鑒別協(xié)議安全要求。(6) 附錄A和附錄B作為資料性附錄，對可信執(zhí)行環(huán)境進(jìn)行了概述性介紹，同時以基于指紋識別的身份鑒別應(yīng)用為案例，為標(biāo)準(zhǔn)讀者和使用方提供概念性和應(yīng)用案例方面的參考。三、主要試驗(yàn)【或驗(yàn)證】情況分析本標(biāo)準(zhǔn)主要起草單位包括浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司、中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股

12、份有限公司、北京曠視科技有限公司、北京中科虹霸科技有限公司、深圳市匯頂科技股份有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息中心以及華為、三星、高通等單位，都是移動智能終端生物特征識別身份鑒別行業(yè)內(nèi)重要的具有廣泛代表性的生產(chǎn)與應(yīng)用廠商，本部分所提出的主要技術(shù)要求在主要廠商內(nèi)進(jìn)行了實(shí)驗(yàn)驗(yàn)證，另一方面是本部分提出的技術(shù)要求也是行業(yè)代表性企業(yè)協(xié)商一致共同認(rèn)可的實(shí)際做法，具備可行性（征求意見稿）編制說明國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架和通用共性。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)暫未發(fā)現(xiàn)相關(guān)知識產(chǎn)權(quán)問題五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果作為重要的身份認(rèn)證識別技術(shù)，

13、移動智能終端上使用的生物特征識別技術(shù)在公共安全、金融、社保、遠(yuǎn)程支付與認(rèn)證等眾多領(lǐng)域有著廣泛的應(yīng)用。近年來，隨著移動互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，移動智能終端上采用生物特征識別技術(shù)已成為眾多移動智能終端的標(biāo)準(zhǔn)配置，是實(shí)現(xiàn)移動智能終端上個性化授權(quán)、增強(qiáng)安全性、提高使用方便性和用戶體驗(yàn)的重要技術(shù)手段，成為實(shí)現(xiàn)基于移動網(wǎng)絡(luò)的注冊、授權(quán)和遠(yuǎn)程支付等應(yīng)用的重要安全保障，對于推進(jìn)我國社會的信息化深度和廣度發(fā)展具有重要的意義。產(chǎn)業(yè)和應(yīng)用迅猛發(fā)展的同時，也存在諸多問題，當(dāng)前各個廠家移動智能終端上的生物特征識別自成體系，無法互聯(lián)互通，業(yè)界還沒有建立規(guī)范統(tǒng)一的技術(shù)架構(gòu)，導(dǎo)致移動智能終端廠商和應(yīng)用開發(fā)商需要適配多套方案，嚴(yán)

14、重增加了制造和開發(fā)成本。本標(biāo)準(zhǔn)將系統(tǒng)研究目前業(yè)界已有技術(shù)成果，參考現(xiàn)有國際國內(nèi)標(biāo)準(zhǔn)，結(jié)合實(shí)際應(yīng)用，形成規(guī)范統(tǒng)一的技術(shù)架構(gòu)（含鑒別流程和協(xié)議接口）。另一方面，生物特征識別技術(shù)是利用人類生物特征的唯一性和穩(wěn)定性進(jìn)行身份鑒別的自動識別技術(shù)，但特征信息一旦泄露被惡意利用則無法通過修改來挽回，故此，保障移動智能終端生物特征識別信息的安全異常重要。目前尚沒有技術(shù)標(biāo)準(zhǔn)規(guī)范統(tǒng)一的技術(shù)框架和安全要求，亟需從國家層面規(guī)范基于生物特征識別的移動智能終端身份鑒別技術(shù)框架，降低產(chǎn)業(yè)鏈研發(fā)與生產(chǎn)成本，提高網(wǎng)絡(luò)可信空間的安全性。本標(biāo)準(zhǔn)結(jié)合已有標(biāo)準(zhǔn)和現(xiàn)實(shí)情況重點(diǎn)考慮生物特征識別信息的安全保護(hù)。制定應(yīng)用于移動智能終端的生物特征

15、識別身份鑒別技術(shù)的相關(guān)標(biāo)準(zhǔn)和規(guī)范，對提高產(chǎn)品互聯(lián)互通性，降低開發(fā)成本、引導(dǎo)并促進(jìn)移動智能終端生物特征識別技術(shù)與產(chǎn)業(yè)的健康快速發(fā)展具有重要意義。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況國際方面，與生物特征識別安全相關(guān)的國際標(biāo)準(zhǔn)化活動主要由ISO/IECJTC1/SC27-WG制定，本標(biāo)準(zhǔn)與SC27/WG引前已經(jīng)發(fā)布的生物特征識別安全國際標(biāo)準(zhǔn)技術(shù)內(nèi)容保持一致。另外，ISO/IECJTC1/SC37負(fù)責(zé)生物特征識別基砒性（征求意見稿）編制說明國家標(biāo)準(zhǔn)信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架技術(shù)標(biāo)準(zhǔn)制定，在基礎(chǔ)性技術(shù)上，本標(biāo)準(zhǔn)與SC37相關(guān)國際標(biāo)準(zhǔn)在技術(shù)內(nèi)容上保持一致。本標(biāo)準(zhǔn)較新出現(xiàn)的術(shù)語

16、定義如“呈現(xiàn)攻擊”采用了國際標(biāo)準(zhǔn)ISO/IEC30107信息技術(shù)生物特征識別呈現(xiàn)攻擊檢測給出的定義，呈現(xiàn)攻擊及呈現(xiàn)攻擊檢測的概念在本標(biāo)準(zhǔn)的引入，具備一定先進(jìn)性。本標(biāo)準(zhǔn)在研制與驗(yàn)證過程中，正在同步推動國際標(biāo)準(zhǔn)化工作，以本標(biāo)準(zhǔn)主要技術(shù)內(nèi)容為基礎(chǔ)，正在進(jìn)行ISO/IECJTC1/SC27SP«SecurityFrameworkforBiometricAuthenticationonMobileDevices»研究項目的研究。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本部分主要術(shù)語定義采用國家標(biāo)準(zhǔn)GB/T26238-2010信息技術(shù)生物特征識別術(shù)語、針對通用技術(shù)的特定模態(tài)的生

17、物特征識別進(jìn)行規(guī)范，是生物特征識別基礎(chǔ)技術(shù)標(biāo)準(zhǔn)。涉及到移動應(yīng)用服務(wù)器和終端軟件方面的安全要求，與現(xiàn)有國家標(biāo)準(zhǔn)GB/T35281-2017信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求、GB/T34975-2017信息安全技術(shù)移動智能終端應(yīng)用軟件安全技術(shù)要求和測試評價方法保持一致。在研標(biāo)準(zhǔn)信息安全技術(shù)基于可信執(zhí)行環(huán)境的生物識別身份鑒別協(xié)議框架主要規(guī)范基于可信執(zhí)行環(huán)境的生物識別身份鑒別協(xié)議及其協(xié)議細(xì)節(jié)，規(guī)范協(xié)議主要數(shù)據(jù)結(jié)構(gòu)框架，而本標(biāo)準(zhǔn)規(guī)范移動智能終端生物特征識別身份鑒別技術(shù)框架，規(guī)范主要功能模塊、業(yè)務(wù)流程和安全要求。在技術(shù)內(nèi)容上與現(xiàn)行相關(guān)標(biāo)準(zhǔn)保持一致，互為兼容配套。八、重大分歧意見的處理經(jīng)過和依據(jù)本標(biāo)準(zhǔn)草案在編制過程中沒有重大分歧。九、標(biāo)準(zhǔn)性質(zhì)的建議本標(biāo)準(zhǔn)應(yīng)作為