虹膜識別系統(tǒng)技術(shù)要求

1、信息安全技術(shù)虹膜識別系統(tǒng)技術(shù)要求Information security technology- Technical requirements for iris recognition system目錄前 言III引 言IV范圍1規(guī)范性引用文件1術(shù)語和定義1基本功能要求3自包含3虹膜圖像采集與處理3用戶標(biāo)識3用戶登記4用戶識別4識別失敗的判定及處理4防偽造5警告與報(bào)警5基本性能要求5錯誤接受率和錯誤拒絕率5響應(yīng)時(shí)間5適用范圍5使用安全條件5分等級技術(shù)要求5第一級技術(shù)要求5基本功能要求5基本性能要求6自身安全功能要求6自身安全保證要求7第二級技術(shù)要求8基本功能要求8基本性能要求9自身安全功能要求

2、9自身安全保證要求10第三級技術(shù)要求11基本功能要求11基本性能要求12自身安全功能要求12自身安全保證要求14附錄 A15（資料性附錄）15虹膜識別基本原理15虹膜識別系統(tǒng)的組成與功能15組成與相互關(guān)系15虹膜識別系統(tǒng)功能簡要說明15虹膜識別系統(tǒng)各模塊主要功能說明15虹膜識別系統(tǒng)的工作流程15虹膜識別機(jī)制的主體與客體16附錄 B（資料性附錄）虹膜識別系統(tǒng)功能和性能要素與分等級要求的對應(yīng)關(guān)系18附錄 C（規(guī)范性附錄）主、客體的訪問操作關(guān)系19適用于第一級的主、客體之間的訪問操作關(guān)系19適用于第二級和第三級的主、客體之間的訪問操作關(guān)系19適用于第三級的主客體與圖像數(shù)據(jù)庫之間的訪問操作關(guān)系20附錄

3、D（規(guī)范性附錄）虹膜特征序列數(shù)據(jù)庫數(shù)據(jù)結(jié)構(gòu)21參考文獻(xiàn)22 PAGE * ROMAN IV引言本標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所要求級別的虹膜識別系統(tǒng)，說明不同級別的虹膜識別系統(tǒng)的不同技術(shù)要求。虹膜是瞳孔和鞏膜之間的環(huán)狀組織，是人眼的可見部分。作為人體生物特征識別的虹膜識別，與其他生物特征識別和非生物特征識別一樣，具有鑒別用戶身份真實(shí)性的功能。虹膜特征識別技術(shù)由于其高效、準(zhǔn)確、難以偽造等特性受到關(guān)注。為了對虹膜識別技術(shù)進(jìn)行規(guī)范，推動我國具有自主知識產(chǎn)權(quán)的虹膜識別技術(shù)的發(fā)展，為信息系統(tǒng)安全保護(hù)及社會保安提供有效、實(shí)用的人體身份鑒別手段，有必要制定虹膜識別系統(tǒng)的安全標(biāo)準(zhǔn)。附錄 A 是對虹膜識

4、別原理的簡要介紹。虹膜識別系統(tǒng)由軟件系統(tǒng)和硬件系統(tǒng)組成。軟件系統(tǒng)即虹膜信息處理系統(tǒng)，用以實(shí)現(xiàn)虹膜圖像處理、用戶登記、用戶識別、虹膜圖像存儲管理、虹膜特征存儲管理等功能；硬件系統(tǒng)包括虹膜圖像采集系統(tǒng)以及支持虹膜信息處理軟件系統(tǒng)運(yùn)行的硬件環(huán)境。上述軟硬件系統(tǒng)構(gòu)成一個完整的信息處理系統(tǒng)，實(shí)現(xiàn)虹膜識別功能。虹膜識別系統(tǒng)的輸入信息是虹膜圖像， 輸出信息是識別結(jié)果。能夠?qū)缒ぷR別系統(tǒng)的運(yùn)行進(jìn)行操作和干預(yù)的是系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員等特權(quán)用戶。這些特權(quán)用戶必須經(jīng)過確認(rèn)授權(quán)以后，才能實(shí)施所規(guī)定的操作。虹膜識別系統(tǒng)可以看成是一個由各個軟、硬件模塊組成的專用的計(jì)算機(jī)應(yīng)用系統(tǒng)。本標(biāo)準(zhǔn)將重點(diǎn)描述：作為專用系

5、統(tǒng)所具備的虹膜識別功能和性能要求；作為計(jì)算機(jī)應(yīng)用系統(tǒng)的虹膜識別系統(tǒng)的軟、硬件系統(tǒng)的自身安全要求；虹膜識別系統(tǒng)運(yùn)行環(huán)境的安全要求。根據(jù)應(yīng)用環(huán)境的不同，虹膜識別系統(tǒng)可以有獨(dú)立運(yùn)行和聯(lián)機(jī)運(yùn)行兩種模式。獨(dú)立運(yùn)行模式：將組成虹膜識別系統(tǒng)的虹膜識別機(jī)制全部封裝在一個專用的機(jī)箱中，構(gòu)成一個獨(dú)立的系統(tǒng)，其應(yīng)用領(lǐng)域是社會公共安全防范（如門禁）。這時(shí)，虹膜識別系統(tǒng)通過確定的外部接口為安全防范控制提供支持。其輸入信息是所采集的虹膜圖像，輸出信息是控制傳感系統(tǒng)的控制信號。聯(lián)機(jī)運(yùn)行模式：將組成虹膜識別系統(tǒng)的虹膜識別機(jī)制嵌入在信息系統(tǒng)中，在組成信息系統(tǒng)的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的支持下，構(gòu)成一個實(shí)現(xiàn)虹膜識別的子系統(tǒng)，并通過確

6、定的外部接口為信息系統(tǒng)用戶的身份鑒別提供支持。這時(shí)，虹膜識別系統(tǒng)的輸入信息是虹膜圖像，輸出信息是為信息系統(tǒng)的用戶身份鑒別功能提供支持的虹膜特征識別結(jié)果。上述虹膜識別系統(tǒng)的不同運(yùn)行模式是根據(jù)應(yīng)用需要確定的。從虹膜識別系統(tǒng)的組成與原理的角度看，并沒有本質(zhì)上的區(qū)別。因此，本標(biāo)準(zhǔn)的編寫沒有對不同運(yùn)行模式的情況加以區(qū)分。需要特別說明的是，本標(biāo)準(zhǔn)所描述的技術(shù)要求是指虹膜識別系統(tǒng)所涉及的技術(shù)要素的要求。為了滿足不同情況對虹膜識別系統(tǒng)的不同要求，本標(biāo)準(zhǔn)分三個級別對虹膜識別系統(tǒng)所涉及的功能和性能的技術(shù)要求以及相應(yīng)的自身安全的技術(shù)要求分別進(jìn)行了描述。其中，第 1 級為最低要求，第 3 級為最高要求。附錄 B 的表

7、B.1 是虹膜識別系統(tǒng)功能和性能要素與分等級要求的對應(yīng)關(guān)系的簡明表示。需要指出的是，虹膜識別系統(tǒng)的自身安全保護(hù)是與其運(yùn)行模式和實(shí)現(xiàn)的功能密切相關(guān)的。比如，獨(dú)立運(yùn)行模式不涉及信息的網(wǎng)上傳輸，因而不涉及網(wǎng)上信息傳輸?shù)陌踩Ｗo(hù)問題。在理解和使用本標(biāo)準(zhǔn)時(shí)，應(yīng)從實(shí)際出發(fā)，根據(jù)虹膜識別系統(tǒng)的運(yùn)行模式和實(shí)現(xiàn)的功能確定其自身的安全保護(hù)要求。本標(biāo)準(zhǔn)第 4 章和第 5 章分別是對虹膜識別系統(tǒng)基本功能和基本性能要求的綜合描述，第 6 章是對不同等級的虹膜識別系統(tǒng)在基本功能與性能、安全功能和安全保證方面的不同技術(shù)要求的描述。其中， 宋體加粗字表示相應(yīng)要求在該等級中第一次出現(xiàn)。信息安全技術(shù)虹膜識別系統(tǒng)技術(shù)要求范圍本標(biāo)準(zhǔn)

8、規(guī)定了用虹膜識別技術(shù)為身份鑒別提供支持的虹膜識別系統(tǒng)的技術(shù)要求。本標(biāo)準(zhǔn)適用于按信息安全等級保護(hù)的要求所進(jìn)行的虹膜識別系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，對虹膜識別系統(tǒng)的測試、管理也可參照使用。規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T 20273-2006信

9、息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求術(shù)語和定義GB 17859-1999 和 GB/T 20271-2006 確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。人體生物特征識別biometrics，biometric authentification以人體的某種生物特征信息作為身份依據(jù)進(jìn)行用戶識別的方法。通過測度該種人體生物特征，為每一個人產(chǎn)生出可以用電子方式存儲、檢索和比對的特征信息，并用這種特征信息進(jìn)行用戶識別。3.2虹膜iris人體眼球中介于瞳孔與鞏膜之間的環(huán)狀生理組織，是人眼的可見部分。3.3虹膜識別iris recognition以虹膜特征作為識別人體身份的方法，是人體生物特征識別方法的一種。3

10、.4虹膜識別機(jī)制iris recognition mechanism按照確定的策略和方法，實(shí)現(xiàn)虹膜特征識別功能的所有軟、硬件裝置的總稱。3.5虹膜識別系統(tǒng)iris recognition system實(shí)現(xiàn)虹膜識別功能的專用信息處理系統(tǒng)。虹膜識別系統(tǒng)可以是一個由軟、硬件構(gòu)成的獨(dú)立系統(tǒng)，也可以是在信息系統(tǒng)已有平臺上運(yùn)行的嵌入式系統(tǒng)。3.6虹膜圖像采集器iris image grabber虹膜識別系統(tǒng)的一個部件，用于進(jìn)行虹膜圖像采集。3.7自包含self-contained虹膜識別系統(tǒng)的一項(xiàng)重要的功能特性。如果一個虹膜識別系統(tǒng)具有虹膜圖像采集器和虹膜信息處理軟、硬件，能夠獨(dú)立實(shí)現(xiàn)虹膜圖像采集、虹膜圖

11、像處理、虹膜特征序列生成及虹膜特征序列比對等虹膜識別系統(tǒng)的各項(xiàng)功能，則稱其為自包含式系統(tǒng)，或稱其具有自包含功能。3.8用戶user指虹膜識別系統(tǒng)用以識別的對象，分為一般用戶和特權(quán)用戶。3.9一般用戶和特權(quán)用戶general user and special user一般用戶和特權(quán)用戶由虹膜識別系統(tǒng)的管控人員根據(jù)應(yīng)用需求確定。例如，當(dāng)虹膜識別用于信息系統(tǒng)的用戶身份鑒別時(shí)，具有普通權(quán)限的用戶可為一般用戶，具有特殊權(quán)限的用戶（如信息系統(tǒng)管理員、安全員和審計(jì)員等）可為特權(quán)用戶。3.10用戶登記user enrollment分析用戶虹膜圖像、提取虹膜數(shù)字特征、產(chǎn)生并存貯模板特征序列的過程。3.11用戶識

12、別user recognition分析用戶虹膜圖像、提取虹膜數(shù)字特征、產(chǎn)生樣本特征序列，并將該樣本特征序列與已存貯的模板特征序列進(jìn)行比對，用以識別用戶身份的過程。用戶識別分為用戶辨識和用戶確認(rèn)。3.12用戶辨識user identification將所產(chǎn)生的樣本特征序列與已存貯的指定范圍內(nèi)的所有用戶的模板特征序列進(jìn)行比對（1：N 比對），選出相符的用戶，以揭示用戶的實(shí)際身份。3.13用戶確認(rèn)user validation將所產(chǎn)生的樣本特征序列與按用戶標(biāo)識信息給定的已存儲的用戶的模板特征序列進(jìn)行比對（1：1 比對），以確定用戶所聲稱的身份。314特征序列characteristic sequen

13、ce由虹膜圖像數(shù)字特征組成的數(shù)據(jù)序列。虹膜圖像數(shù)字特征是通過對虹膜圖像進(jìn)行分析提取的。特征序列包括模板特征序列和樣本特征序列。3.15模板特征序列template characteristic sequence對采集到的用戶登記虹膜圖像進(jìn)行分析提取所生成的特征序列。產(chǎn)生模板特征序列的目的必須是用于用戶登記。3.16樣本特征序列sample characteristic sequence對采集到的用戶虹膜圖像進(jìn)行分析提取所生成的特征序列。產(chǎn)生樣本特征序列的目的必須是用于用戶識別。3.17虹膜識別數(shù)據(jù)iris authentication data用于進(jìn)行虹膜識別的數(shù)據(jù)，包括模板特征序列數(shù)據(jù)和樣本

14、特征序列數(shù)據(jù)以及虹膜識別過程中用到的其它數(shù)據(jù)。3.18候選者candidate通過用戶辨識所確定的用戶。該用戶是在已進(jìn)行過用戶登記的所有用戶中選出的符合當(dāng)前樣本特征序列數(shù)據(jù)要求的用戶。3.19虹膜特征序列數(shù)據(jù)庫iris characteristic sequence database專門用于存放虹膜模板特征序列數(shù)據(jù)的數(shù)據(jù)庫，簡稱為虹膜特征序列數(shù)據(jù)庫。3.20不透明數(shù)據(jù)（opaque data）不透明數(shù)據(jù)是虹膜特征序列數(shù)據(jù)庫記錄的組成部分，由模板特征序列、有效載荷和防偽數(shù)據(jù)組成。3.21有效載荷payload封裝在不透明數(shù)據(jù)中的由用戶給出的數(shù)據(jù)，如：密鑰等，在用戶識別成功時(shí)可以將有效載荷釋放出來

15、，用以對該用戶進(jìn)行授權(quán)等操作。3.22比對次數(shù)march time在測試過程中，同一虹膜組織的所有模板特征序列與同一虹膜組織的所有樣本特征序列之間的所有比對，計(jì)為一次比對。在統(tǒng)計(jì)比對次數(shù)時(shí)，同一虹膜組織生成的所有模板特征序列或由其生成的所有樣本特征序列都分別被看作是同一特征序列。不同比對的總次數(shù)稱為總比對次數(shù)。3.23錯誤接受率false accept rate在進(jìn)行樣本特征序列與模板特征序列的比對過程中，對于本該產(chǎn)生拒絕結(jié)果的比對，錯誤地產(chǎn)生了接受結(jié)果，產(chǎn)生這類錯誤結(jié)果的比對次數(shù)，與總比對次數(shù)的比率的測定值。3.24錯誤拒絕率false reject rate在進(jìn)行樣本特征序列與模板特征序列

16、的比對過程中，對于本該產(chǎn)生接受結(jié)果的比對，錯誤地產(chǎn)生了拒絕結(jié)果，產(chǎn)生這類錯誤結(jié)果的比對次數(shù)，與總比對次數(shù)的比率的測定值?；竟δ芤笞园粋€完整的虹膜識別系統(tǒng)應(yīng)具有自包含功能。虹膜圖像采集與處理應(yīng)提供對虹膜圖像進(jìn)行采集與處理的功能。虹膜圖像采集與處理應(yīng)滿足以下要求：由虹膜圖像采集設(shè)備按要求進(jìn)行虹膜圖像的采集；按要求對采集到的虹膜圖像進(jìn)行處理，產(chǎn)生用于進(jìn)行用戶登記和用戶識別的虹膜特征序列數(shù)據(jù)信息。用戶標(biāo)識應(yīng)提供用戶標(biāo)識功能。用戶標(biāo)識應(yīng)滿足以下要求：所有用戶在用戶登記時(shí)都進(jìn)行用戶標(biāo)識；用戶標(biāo)識以用戶名和用戶標(biāo)識符（ID）實(shí)現(xiàn)；應(yīng)確保同一信息系統(tǒng)中用戶標(biāo)識的唯一性。用戶登記基本要求應(yīng)提供用戶登記功

17、能。用戶登記應(yīng)滿足以下要求：只應(yīng)將獲準(zhǔn)進(jìn)行登記的用戶的虹膜特征序列作為模板特征序列存入特征序列數(shù)據(jù)庫；同一用戶在相關(guān)的信息系統(tǒng)中的模板特征序列應(yīng)具有相同的數(shù)據(jù)庫記錄結(jié)構(gòu)（見附錄 D），以保持模板特征序列的一致性，便于信息共享和集中管理；用戶登記是一次性過程，即對同一特征序列數(shù)據(jù)庫的用戶只應(yīng)登記一次；應(yīng)對用戶登記進(jìn)行審計(jì)。兩幅圖像要求以兩幅以上（含兩幅）圖像生成的虹膜特征序列實(shí)現(xiàn)用戶登記。四幅圖像要求以四幅以上（含四幅）圖像生成的虹膜特征序列實(shí)現(xiàn)用戶登記。用戶識別基本要求應(yīng)提供用戶識別功能。用戶識別包括用戶辨識和用戶確認(rèn)兩種功能。用戶辨識應(yīng)滿足以下要求：進(jìn)行用戶辨識時(shí)，用戶虹膜圖像是唯一的用戶辨

18、識信息；將實(shí)時(shí)采集的用戶虹膜圖像生成的樣本特征序列與存貯的模板特征序列逐一進(jìn)行比對， 產(chǎn)生用于用戶辨識的比對結(jié)果。用戶確認(rèn)應(yīng)滿足以下要求：進(jìn)行用戶確認(rèn)時(shí)，需要虹膜圖像信息和用戶標(biāo)識信息；根據(jù)用戶標(biāo)識信息，從特征序列數(shù)據(jù)庫中檢索出該用戶的模板特征序列；將實(shí)時(shí)采集的用戶虹膜圖像生成的樣本特征序列與檢索出的用戶模板特征序列進(jìn)行比對，產(chǎn)生用于用戶確認(rèn)的比對結(jié)果。兩幅圖像要求以兩幅圖像以上（含兩幅）生成的虹膜特征序列實(shí)現(xiàn)用戶識別。四幅圖像要求以四幅圖像以上（含四幅）生成的虹膜特征序列實(shí)現(xiàn)用戶識別。識別失敗的判定及處理虹膜識別系統(tǒng)在識別過程中，當(dāng)出現(xiàn)以下情形中的一項(xiàng)或多項(xiàng)時(shí)，系統(tǒng)應(yīng)能準(zhǔn)確地判斷出識別失?。?/p>

19、設(shè)備故障：不能成功采集圖像；像質(zhì)障礙：采集的圖像質(zhì)量不適于生成模板特征序列或生成樣本特征序列；超時(shí)斷開：終端操作超時(shí)斷開；數(shù)據(jù)庫故障：特征序列數(shù)據(jù)庫故障且在規(guī)定嘗試次數(shù)內(nèi)未能消除；嘗試超次：對用戶確認(rèn)與用戶辨識，應(yīng)分別設(shè)定警告次數(shù)閾值，連續(xù)警告次數(shù)大于該閾值時(shí)視作失敗。對識別失敗的處理，應(yīng)提供以下功能：制定識別失敗返回值表；在出現(xiàn)識別失敗情況時(shí)，按照失敗返回值表返回錯誤代碼或錯誤值；針對不同識別失敗原因進(jìn)行相應(yīng)處理。防偽造虹膜識別系統(tǒng)應(yīng)具有防偽造功能。根據(jù)不同等級的要求，防偽造功能應(yīng)有選擇地滿足以下要求：防照片偽造：應(yīng)能檢測或防止使用照片偽造識別圖像；防隱形鏡片偽造：應(yīng)能檢測或防止在隱形鏡片上

20、復(fù)制偽造識別圖像；防復(fù)制偽造：應(yīng)能檢測或防止對當(dāng)前用戶識別數(shù)據(jù)的復(fù)制和非授權(quán)保存；防錄像偽造：應(yīng)能檢測或防止使用錄像偽造識別圖像；防死亡虹膜偽造：應(yīng)能檢測或防止用已經(jīng)死亡的虹膜組織取代活體虹膜組織。警告與報(bào)警虹膜識別系統(tǒng)的警告與報(bào)警應(yīng)滿足以下要求：進(jìn)行用戶確認(rèn)時(shí)，如用戶不是所給 ID 或其他用戶身份信息的持有者，或在進(jìn)行用戶辨識時(shí)， 已存貯的模板特征序列中無用戶的候選者，應(yīng)給出警告信息；檢測出偽造識別圖像、識別數(shù)據(jù)，或復(fù)制圖像、數(shù)據(jù)，或非授權(quán)保存圖像、數(shù)據(jù)，或非授權(quán)數(shù)據(jù)庫操作時(shí)，應(yīng)給出報(bào)警信息?；拘阅芤箦e誤接受率和錯誤拒絕率虹膜識別系統(tǒng)的錯誤接受率和錯誤拒絕率應(yīng)能進(jìn)行調(diào)節(jié)，使其中之一變大時(shí)

21、另一個變小，以滿足不同的應(yīng)用需要。不同等級的虹膜識別系統(tǒng)應(yīng)分別滿足以下的錯誤接受率和錯誤拒絕率要求：在總測試次數(shù)不小于一萬次時(shí)，錯誤接受率不大于萬分之一，錯誤拒絕率不大于百分之一；在總測試次數(shù)不小于十萬次時(shí)，錯誤接受率不大于十萬分之一，錯誤拒絕率不大于百分之一；在總測試次數(shù)不小于三十萬次時(shí)，錯誤接受率不大于三十萬分之一，錯誤拒絕率不大于千分之一。響應(yīng)時(shí)間虹膜識別系統(tǒng)功能的實(shí)現(xiàn)，應(yīng)在充分考慮承載其運(yùn)行的處理器速度 、存儲器容量、數(shù)據(jù)處理量和其它相關(guān)因素的基礎(chǔ)上，采取有效的算法，確保其時(shí)間與速度能滿足使用的需要。適用范圍虹膜識別系統(tǒng)的適用范圍應(yīng)滿足：適用于各種人種的虹膜識別，既能用于深色虹膜人種，

22、也能用于淺色虹膜人種；既能用于本地用戶的虹膜識別，也能用于遠(yuǎn)程用戶的虹膜識別；既能用于一般用戶的虹膜識別，也能用于特權(quán)用戶的虹膜識別。使用安全條件虹膜識別系統(tǒng)所提供的使用安全條件應(yīng)滿足：采用無傷害照明。分等級技術(shù)要求第一級技術(shù)要求基本功能要求自包含應(yīng)按 4.1 的要求實(shí)現(xiàn)自包含功能。虹膜圖像采集與處理應(yīng)按 4.2 的要求實(shí)現(xiàn)圖像處理功能。用戶標(biāo)識應(yīng)按 4.3 的要求實(shí)現(xiàn)用戶標(biāo)識功能。用戶登記應(yīng)按 4.4 的要求從以下方面實(shí)現(xiàn)用戶登記功能：對一般用戶和特權(quán)用戶，按 4.4.1 和 4.4.2 的要求進(jìn)行用戶登記；以數(shù)據(jù)庫或文件形式將用戶模板特征序列進(jìn)行存儲；有效載荷數(shù)據(jù)部分可為空。簽名部分可為空

23、。用戶識別應(yīng)按 4.5 的要求從以下方面實(shí)現(xiàn)用戶識別功能：對一般用戶和特權(quán)用戶，按 4.5.1 和 4.5.2 的要求進(jìn)行用戶識別；用樣板特征序列進(jìn)行用戶辨識和用戶確認(rèn)。識別失敗判定及處理應(yīng)按 4.6 的要求，從以下方面實(shí)現(xiàn)識別失敗判定及處理功能：對設(shè)備故障、像質(zhì)障礙、超時(shí)斷開所引起的識別失敗事件進(jìn)行判定；在同一用戶連續(xù) 4 次未能通過用戶確認(rèn)或用戶辨識時(shí)，做出識別失敗判定；在用戶未能通過用戶確認(rèn)或用戶辨識時(shí)顯示識別失敗信息；按 4.6 中的相應(yīng)要求，實(shí)現(xiàn)識別失敗處理功能。防偽造應(yīng)具有以下防偽造功能：按 4.7 中防復(fù)制偽造的要求檢測并防止偽造用戶識別圖像；在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止

24、違例進(jìn)程并取消服務(wù)。基本性能要求錯誤接受率和錯誤拒絕率要求應(yīng)按 5.1 的要求進(jìn)行錯誤接受率與錯誤拒絕率設(shè)計(jì)，并同時(shí)滿足：錯誤接受率不大于萬分之一；錯誤拒絕率不大于百分之一。響應(yīng)時(shí)間要求應(yīng)按 5.2 關(guān)于響應(yīng)時(shí)間的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。適用范圍要求應(yīng)按 5.3 關(guān)于適用范圍的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。使用安全條件要求應(yīng)按 5.4 關(guān)于使用安全條件的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。自身安全功能要求物理安全要求環(huán)境安全應(yīng)按 GB/T 20271-2006 中 6.2.1.1 的要求，對運(yùn)行虹膜識別的軟、硬件環(huán)境進(jìn)行保護(hù)。設(shè)備安全每臺虹膜識別設(shè)備都應(yīng)有明顯的無法除去的標(biāo)記，以防更換和方便丟失后查

25、找。記錄介質(zhì)安全應(yīng)按 GB/T 20271-2006 中 6.2.1.3 的要求，對存放虹膜特征序列數(shù)據(jù)的脫機(jī)存儲介質(zhì)應(yīng)進(jìn)行保護(hù)。運(yùn)行安全要求風(fēng)險(xiǎn)分析應(yīng)按 GB/T 20271-2006 中 6.2.2.1 的要求，從以下方面進(jìn)行虹膜識別系統(tǒng)的風(fēng)險(xiǎn)分析：根據(jù)用戶使用要求和使用環(huán)境，對虹膜識別系統(tǒng)進(jìn)行設(shè)計(jì)前的風(fēng)險(xiǎn)分析，確定系統(tǒng)的安全需求；對運(yùn)行中的虹膜識別系統(tǒng)，定期或根據(jù)需要進(jìn)行動態(tài)風(fēng)險(xiǎn)分析，發(fā)現(xiàn)安全漏洞，確定安全對策。系統(tǒng)安全性檢測分析應(yīng)按 GB/T 20271-2006 中 6.2.2.2 的要求，從以下方面對虹膜識別系統(tǒng)的安全性進(jìn)行檢測分析：對支持虹膜識別系統(tǒng)運(yùn)行的操作系統(tǒng)進(jìn)行安全性檢測分

26、析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對虹膜識別系統(tǒng)自身的安全性進(jìn)行檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施。安全審計(jì)應(yīng)按 GB/T 20271-2006 中 6.2.2.3 的要求，從以下方面設(shè)計(jì)虹膜識別系統(tǒng)的安全審計(jì)功能：按要求對需要審計(jì)的事件做出響應(yīng)；按要求產(chǎn)生審計(jì)數(shù)據(jù)；按要求對審計(jì)數(shù)據(jù)進(jìn)行保護(hù)；按要求提供審計(jì)事件的查閱功能。備份與故障恢復(fù)應(yīng)按 GB/T 20271-2006 中 6.2.2.5 的要求，設(shè)置虹膜識別系統(tǒng)的信息備份與恢復(fù)功能。數(shù)據(jù)安全要求系統(tǒng)管理員身份鑒別應(yīng)按 GB/T 20271-2006 中 6.2.3.1 的要求，對虹膜識別系統(tǒng)的系統(tǒng)管理員進(jìn)行身份鑒別，確認(rèn)其身份的真

27、實(shí)性。訪問控制應(yīng)按 GB/T 20271-2006 中 6.2.3.2 的要求，根據(jù)附錄 C 表 C.1 所表示的主、客體對應(yīng)關(guān)系及操作規(guī)則，實(shí)現(xiàn)對虹膜識別數(shù)據(jù)的訪問控制。數(shù)據(jù)完整性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.3.3 的要求和 GB/T 20273-2006 中 5.2.1.4 的要求，從以下方面實(shí)現(xiàn)對虹膜識別數(shù)據(jù)的完整性保護(hù)：對被存儲的模板特征序列數(shù)據(jù)和樣本特征序列數(shù)據(jù)進(jìn)行完整性保護(hù)；對被傳輸?shù)哪０逄卣餍蛄袛?shù)據(jù)和樣本特征序列數(shù)據(jù)進(jìn)行完整性保護(hù)；對被處理的模板特征序列數(shù)據(jù)和樣本特征序列數(shù)據(jù)進(jìn)行完整性保護(hù)。數(shù)據(jù)保密性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.2.

28、3.4 的要求和 GB/T 20273-2006 中 5.2.1.5 的要求，從以下方面對虹膜識別數(shù)據(jù)進(jìn)行保密性保護(hù)：對被存儲的模板特征序列數(shù)據(jù)和樣本特征序列數(shù)據(jù)進(jìn)行保密性保護(hù)；對被傳輸?shù)哪０逄卣餍蛄袛?shù)據(jù)和樣本特征序列數(shù)據(jù)進(jìn)行保密性保護(hù)；對動態(tài)使用資源中的模板特征序列數(shù)據(jù)和樣本特征序列數(shù)據(jù)進(jìn)行剩余敏感信息保護(hù)。自身安全保證要求虹膜識別系統(tǒng)自身安全保護(hù)按 GB/T 20271-2006 中 6.2.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)的自身安全保護(hù)：確保虹膜識別系統(tǒng)程序的完整性；確保虹膜識別系統(tǒng)的正確、不間斷運(yùn)行；確保虹膜識別系統(tǒng)有可靠的時(shí)間戳支持；確保虹膜識別設(shè)備在受到物理攻擊時(shí)能及時(shí)

29、進(jìn)行報(bào)告。虹膜識別系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)按 GB/T 20271-2006 中 6.2.5 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)：按 GB/T 20271-2006 中 6.2.5.1 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的配置管理；按 GB/T 20271-2006 中 6.2.5.2 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的分發(fā)和操作；按 GB/T 20271-2006 中 6.2.5.3 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的開發(fā)；按 GB/T 20271-2006 中 6.2.5.4 的要求，進(jìn)行虹膜識別系統(tǒng)的文檔編寫；按 GB/T 20271-2006 中 6.2.5.5 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的生命周期支持設(shè)計(jì)；按 GB

30、/T 20271-2006 中 6.2.5.6 的要求，進(jìn)行虹膜識別系統(tǒng)的測試；按 GB/T 20271-2006 中 6.2.5.7 的要求，進(jìn)行虹膜識別系統(tǒng)的脆弱性評定。虹膜識別系統(tǒng)安全管理按 GB/T 20271-2006 中 6.2.6 的要求，從以下方面實(shí)現(xiàn)虹膜識別系統(tǒng)的安全管理，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度：虹膜識別系統(tǒng)的功能管理；虹膜識別系統(tǒng)的安全屬性管理；虹膜識別系統(tǒng)的數(shù)據(jù)管理。第二級技術(shù)要求基本功能要求自包含應(yīng)按 4.1 的要求實(shí)現(xiàn)自包含功能。虹膜圖像采集與處理應(yīng)按 4.2 的要求實(shí)現(xiàn)圖像處理功能。用戶標(biāo)識應(yīng)按 4.3 的要求實(shí)現(xiàn)用戶標(biāo)識功能。用戶登記應(yīng)按 4.4

31、的要求從以下方面實(shí)現(xiàn)用戶登記功能：對一般用戶和特權(quán)用戶，按 4.4.1 和 4.4.2 的要求進(jìn)行用戶登記；以數(shù)據(jù)庫形式將用戶模板特征序列進(jìn)行存儲；有效載荷數(shù)據(jù)部分的數(shù)據(jù)不應(yīng)為空；簽名數(shù)據(jù)部分可為空。用戶識別應(yīng)按 4.5 的要求從以下方面實(shí)現(xiàn)用戶識別功能：對一般用戶和特權(quán)用戶，按 4.5.1 和 4.5.2 的要求進(jìn)行用戶識別；用樣板特征序列進(jìn)行用戶辨識和用戶確認(rèn)。識別失敗的判定及處理應(yīng)按 4.6 的要求，從以下方面實(shí)現(xiàn)識別失敗的判定及處理功能：對 4.6 中設(shè)備故障、像質(zhì)障礙、超時(shí)斷開、數(shù)據(jù)庫故障所引起的識別失敗事件進(jìn)行判定；在同一用戶連續(xù) 4 次未能通過用戶確認(rèn)或用戶辨識時(shí)，做出識別失敗判

32、定；應(yīng)在虹膜特征序列數(shù)據(jù)庫出現(xiàn)故障時(shí)顯示故障信息；應(yīng)在用戶未能通過用戶確認(rèn)或用戶辨識時(shí)顯示識別失敗信息；按 4.6 中的相應(yīng)要求，實(shí)現(xiàn)識別失敗處理功能。防偽造應(yīng)具有以下防偽造功能：按 4.7 中防照片偽造、防隱形鏡片偽造、防復(fù)制偽造的要求檢測并防止偽造用戶識別圖像；在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)。警告與報(bào)警應(yīng)按 4.8 的要求實(shí)現(xiàn)警告與報(bào)警功能。基本性能要求錯誤接受率和錯誤拒絕率要求應(yīng)按 5.1 的要求進(jìn)行錯誤接受率與錯誤拒絕率設(shè)計(jì)，并同時(shí)滿足：錯誤接受率不大于十萬分之一；錯誤拒絕率不大于百分之一。響應(yīng)時(shí)間要求應(yīng)按 5.2 關(guān)于響應(yīng)時(shí)間的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。適用

33、范圍要求應(yīng)按 5.3 關(guān)于適用范圍的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。使用安全條件要求應(yīng)按 5.4 關(guān)于使用安全條件的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。自身安全功能要求物理安全要求環(huán)境安全應(yīng)按 GB/T 20271-2006 中 6.3.1.1 的要求，從以下方面對虹膜識別系統(tǒng)的運(yùn)行環(huán)境進(jìn)行安全保護(hù)：對安裝虹膜圖像采集器的環(huán)境應(yīng)進(jìn)行保護(hù)；對運(yùn)行虹膜識別系統(tǒng)的軟、硬件環(huán)境應(yīng)進(jìn)行保護(hù)。設(shè)備安全每臺虹膜識別設(shè)備都應(yīng)有明顯的無法除去的標(biāo)記，以防更換和方便丟失后查找。記錄介質(zhì)安全應(yīng)按 GB/T 20271-2006 中 6.3.1.3 的要求，對存放虹膜特征序列數(shù)據(jù)的脫機(jī)存儲介質(zhì)進(jìn)行保護(hù)。運(yùn)行安全要求風(fēng)險(xiǎn)分析應(yīng)按

34、GB/T 20271-2006 中 6.3.2.1 的要求，從以下方面進(jìn)行虹膜識別系統(tǒng)的風(fēng)險(xiǎn)分析：根據(jù)用戶使用要求和使用環(huán)境，對虹膜識別系統(tǒng)進(jìn)行系統(tǒng)設(shè)計(jì)前的風(fēng)險(xiǎn)分析，確定系統(tǒng)的安全需求；對設(shè)計(jì)完成的虹膜識別系統(tǒng)，進(jìn)行運(yùn)行前的靜態(tài)風(fēng)險(xiǎn)分析，以發(fā)現(xiàn)系統(tǒng)的潛在安全隱患，并提出改進(jìn)措施；對運(yùn)行中的虹膜識別系統(tǒng)，定期或根據(jù)需要進(jìn)行動態(tài)風(fēng)險(xiǎn)分析，發(fā)現(xiàn)安全漏洞，確定安全對策。系統(tǒng)安全性檢測分析應(yīng)按 GB/T 20271-2006 中 6.3.2.2 的要求，從以下方面對虹膜識別系統(tǒng)的安全性進(jìn)行檢測分析：對支持虹膜識別系統(tǒng)運(yùn)行的操作系統(tǒng)進(jìn)行安全性檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對支持虹膜識別系統(tǒng)運(yùn)行

35、的數(shù)據(jù)庫管理系統(tǒng)進(jìn)行安全性檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對支持虹膜識別系統(tǒng)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對虹膜識別系統(tǒng)自身的安全性進(jìn)行檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施。安全審計(jì)應(yīng)按 GB/T 20271-2006 中 6.3.2.4 的要求，從以下方面設(shè)計(jì)虹膜識別系統(tǒng)的安全審計(jì)功能：按要求對偽造虹膜圖像、偽造特征序列數(shù)據(jù)或篡改識別結(jié)果數(shù)據(jù)、企圖保存虹膜圖像、非授權(quán)保存特征序列數(shù)據(jù)、非授權(quán)進(jìn)行數(shù)據(jù)庫操作等事件做出響應(yīng)；按要求產(chǎn)生審計(jì)數(shù)據(jù)；按要求對審計(jì)數(shù)據(jù)進(jìn)行保護(hù)；按要求對審計(jì)事件進(jìn)行分析；按要求提供審計(jì)事件的查閱功能；按要求對網(wǎng)絡(luò)環(huán)境的審計(jì)

36、進(jìn)行集中管理。備份與故障恢復(fù)應(yīng)按 GB/T 20271-2006 中 6.3.2.6 的要求，從以下方面設(shè)置虹膜識別系統(tǒng)的備份與故障恢復(fù)功能：設(shè)置信息備份功能，并在虹膜識別系統(tǒng)運(yùn)行中出現(xiàn)致使信息丟失的故障時(shí)，能進(jìn)行信息恢復(fù)；設(shè)置系統(tǒng)備份功能，并在虹膜識別系統(tǒng)運(yùn)行中出現(xiàn)致使系統(tǒng)無法運(yùn)行的故障時(shí)，能進(jìn)行恢復(fù)。數(shù)據(jù)安全要求系統(tǒng)管理員身份鑒別應(yīng)按 GB/T 20271-2006 中 6.3.3.1 的要求，對虹膜識別系統(tǒng)的系統(tǒng)管理員進(jìn)行身份鑒別。確認(rèn)其身份的真實(shí)性。訪問控制應(yīng)按 GB/T 20271-2006 中 6.3.3.4 和 6.3.3.5 的要求，根據(jù)附錄 C 表 C.2 所表示的主、客體對

37、應(yīng)關(guān)系及操作規(guī)則，通過對主、客體設(shè)置敏感標(biāo)記，實(shí)現(xiàn)對虹膜識別數(shù)據(jù)和虹膜特征序列數(shù)據(jù)信息的訪問控制。數(shù)據(jù)完整性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.3.3.7 的要求和 GB/T 20273-2006 中 5.3.1.7 的要求，從以下方面實(shí)現(xiàn)對虹膜識別數(shù)據(jù)的完整性保護(hù)：對被存儲的虹膜識別數(shù)據(jù)進(jìn)行完整性保護(hù)；對被傳輸?shù)暮缒ぷR別數(shù)據(jù)進(jìn)行完整性保護(hù)；對被處理的虹膜識別數(shù)據(jù)進(jìn)行完整性保護(hù)。數(shù)據(jù)保密性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.3.3.8 的要求和 GB/T 20273-2006 中 5.3.1.8 的要求，從以下方面對虹膜識別數(shù)據(jù)進(jìn)行保密性保護(hù)：對被存儲的虹膜識別數(shù)據(jù)

38、進(jìn)行保密性保護(hù)；被傳輸?shù)暮缒ぷR別數(shù)據(jù)進(jìn)行保密性保護(hù)；對動態(tài)使用資源中的虹膜識別數(shù)據(jù)進(jìn)行剩余信息保護(hù)。自身安全保證要求虹膜識別系統(tǒng)自身安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.3.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)的自身安全保護(hù)：確保虹膜識別系統(tǒng)程序的完整性；確保虹膜識別系統(tǒng)的正確、不間斷運(yùn)行；確保虹膜識別機(jī)制不會被旁路；確保虹膜識別系統(tǒng)有可靠的時(shí)間戳支持；確保虹膜識別設(shè)備在受到物理攻擊時(shí)能及時(shí)進(jìn)行報(bào)告；通過故障容錯、服務(wù)優(yōu)先級和資源分配，增強(qiáng)虹膜識別系統(tǒng)自身安全性；通過對與虹膜識別系統(tǒng)的會話限制，保護(hù)虹膜識別系統(tǒng)免遭相應(yīng)攻擊。虹膜識別系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)應(yīng)按 GB/T 2027

39、1-2006 中 6.3.5 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)：按 GB/T 20271-2006 中 6.3.5.1 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的配置管理；按 GB/T 20271-2006 中 6.3.5.2 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的分發(fā)和操作；按 GB/T 20271-2006 中 6.3.5.3 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的開發(fā)；按 GB/T 20271-2006 中 6.3.5.4 的要求，進(jìn)行虹膜識別系統(tǒng)的文檔編寫；按 GB/T 20271-2006 中 6.3.5.5 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的生命周期支持設(shè)計(jì)；按 GB/T 20271-2006 中 6.3.5.6 的要求

40、，進(jìn)行虹膜識別系統(tǒng)的測試；按 GB/T 20271-2006 中 6.3.5.7 的要求，進(jìn)行虹膜識別系統(tǒng)的脆弱性評定。虹膜識別系統(tǒng)安全管理應(yīng)按 GB/T 20271-2006 中 6.3.6 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)的安全管理，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度：虹膜識別系統(tǒng)的功能管理；虹膜識別系統(tǒng)的安全屬性管理；虹膜識別系統(tǒng)的數(shù)據(jù)管理；虹膜識別系統(tǒng)安全角色的定義與管理；虹膜識別系統(tǒng)安全機(jī)制的集中管理。第三級技術(shù)要求基本功能要求自包含應(yīng)按 4.1 的要求實(shí)現(xiàn)自包含功能。虹膜圖像采集與處理應(yīng)按 4.2 的要求實(shí)現(xiàn)虹膜圖像的采集與處理功能。用戶標(biāo)識應(yīng)按 4.3 的要求實(shí)現(xiàn)用戶

41、標(biāo)識功能。用戶登記應(yīng)按 4.4 的要求從以下方面實(shí)現(xiàn)用戶登記功能：對一般用戶，按 4.4.1 和 4.4.2 的要求進(jìn)行用戶登記；對特權(quán)用戶，按 4.4.1 和 4.4.3 的要求進(jìn)行用戶登記；有效載荷、模板特征序列應(yīng)以相應(yīng)級別的密碼進(jìn)行加密保護(hù)；以數(shù)據(jù)庫形式將用戶模板特征序列進(jìn)行存儲；虹膜特征序列數(shù)據(jù)庫數(shù)據(jù)結(jié)構(gòu)中的簽名數(shù)據(jù)部分不應(yīng)為空；用戶虹膜圖像可根據(jù)需要以數(shù)據(jù)庫形式保存；用戶面部照片可根據(jù)需要采集并保存。用戶識別應(yīng)按 4.5 的要求從以下方面實(shí)現(xiàn)用戶識別功能：對一般用戶，按 4.5.1 和 4.5.2 的要求，以兩幅虹膜圖像生成的虹膜特征序列作為樣板特征序列進(jìn)行用戶識別；對特權(quán)用戶，按

42、4.5.1 和 4.5.3 的要求，以四幅虹膜圖像生成的虹膜特征序列作為樣板特征序列進(jìn)行用戶識別；用樣板特征序列進(jìn)行用戶辨識和用戶確認(rèn)。識別失敗的判定及處理應(yīng)按 4.6 的要求，從以下方面實(shí)現(xiàn)識別失敗的判定及處理功能：能對 4.6 中設(shè)備故障、像質(zhì)障礙、超時(shí)斷開、數(shù)據(jù)庫故障、嘗試超次等所引起的識別失敗事件進(jìn)行判定；能在同一用戶連續(xù) 3 次未能通過用戶確認(rèn)或用戶辨識時(shí)，做出識別失敗判定；應(yīng)在虹膜特征序列數(shù)據(jù)庫出現(xiàn)故障時(shí)顯示故障信息；應(yīng)在用戶未能通過用戶確認(rèn)或用戶辨識時(shí)顯示識別失敗信息；按 4.6 中的相應(yīng)要求，制定明確的識別失敗處理策略，實(shí)現(xiàn)識別失敗處理功能防偽造應(yīng)具有以下防偽造功能：按 4.7

43、 中防照片偽造、防隱形鏡片偽造、防復(fù)制偽造、防錄像偽造、防死亡虹膜偽造的要求檢測并防止偽造用戶識別圖像；在檢測出偽造或非授權(quán)操作事件時(shí)應(yīng)終止違例進(jìn)程并取消服務(wù)。警告和報(bào)警應(yīng)按 4.8 的要求實(shí)現(xiàn)警告和報(bào)警設(shè)計(jì)?；拘阅芤箦e誤接受率和錯誤拒絕率要求應(yīng)按 5.1 的要求進(jìn)行錯誤接受率與錯誤拒絕率設(shè)計(jì)，并同時(shí)滿足：錯誤接受率不大于三十萬分之一；錯誤拒絕率不大于千分之一。響應(yīng)時(shí)間要求應(yīng)按 5.2 關(guān)于響應(yīng)時(shí)間的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。適用范圍要求應(yīng)按 5.3 關(guān)于適用范圍的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。使用安全條件要求應(yīng)按 5.4 關(guān)于使用安全條件的要求進(jìn)行虹膜識別系統(tǒng)的設(shè)計(jì)。自身安全功能要求物理

44、安全要求環(huán)境安全應(yīng)按 GB/T 20271-2006 中 6.4.1.1 的要求，從以下方面對虹膜識別系統(tǒng)的運(yùn)行環(huán)境進(jìn)行安全保護(hù)：對安裝虹膜圖像采集器的環(huán)境應(yīng)進(jìn)行保護(hù)；對運(yùn)行虹膜識別的軟、硬件環(huán)境應(yīng)進(jìn)行保護(hù)；對傳輸虹膜識別系統(tǒng)信息的網(wǎng)絡(luò)環(huán)境進(jìn)行保護(hù)。設(shè)備安全每臺虹膜識別設(shè)備都應(yīng)有明顯的無法除去的標(biāo)記，以防更換和方便丟失后查找。記錄介質(zhì)安全應(yīng)按 GB/T 20271-2006 中 6.4.1.3 的要求，從以下方面對脫機(jī)存放虹膜識別系統(tǒng)數(shù)據(jù)的介質(zhì)進(jìn)行安全保護(hù)：對存放虹膜特征序列數(shù)據(jù)的脫機(jī)存儲介質(zhì)應(yīng)進(jìn)行保護(hù)；對存放虹膜圖像數(shù)據(jù)、面部照片的脫機(jī)存儲介質(zhì)進(jìn)行保護(hù)。運(yùn)行安全要求風(fēng)險(xiǎn)分析應(yīng)按 GB/T 2

45、0271-2006 中 6.4.2.1 的要求，從以下方面進(jìn)行虹膜識別系統(tǒng)的風(fēng)險(xiǎn)分析：根據(jù)用戶使用要求和使用環(huán)境，對虹膜識別系統(tǒng)進(jìn)行系統(tǒng)設(shè)計(jì)前的風(fēng)險(xiǎn)分析，確定系統(tǒng)的安全需求；對設(shè)計(jì)完成的虹膜識別系統(tǒng)，進(jìn)行運(yùn)行前的靜態(tài)風(fēng)險(xiǎn)分析，以發(fā)現(xiàn)系統(tǒng)的潛在安全隱患，并提出改進(jìn)措施；對運(yùn)行中的虹膜識別系統(tǒng)，定期或根據(jù)需要進(jìn)行動態(tài)風(fēng)險(xiǎn)分析，發(fā)現(xiàn)安全漏洞，確定安全對策。系統(tǒng)安全性檢測分析應(yīng)按 GB/T 20271-2006 中 6.4.2.2 的要求，從以下方面對虹膜識別系統(tǒng)的安全性進(jìn)行檢測分析：對支持虹膜識別系統(tǒng)運(yùn)行的操作系統(tǒng)進(jìn)行安全性檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對支持虹膜識別系統(tǒng)運(yùn)行的數(shù)據(jù)庫管理

46、系統(tǒng)進(jìn)行安全性檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對支持虹膜識別系統(tǒng)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施；對虹膜識別系統(tǒng)自身的安全性進(jìn)行檢測分析，發(fā)現(xiàn)其安全性問題，提出補(bǔ)救措施。安全審計(jì)應(yīng)按 GB/T 20271-2006 中 6.4.2.4 的要求，從以下方面設(shè)計(jì)虹膜識別系統(tǒng)的安全審計(jì)功能：按要求對偽造虹膜圖像、偽造特征序列數(shù)據(jù)或篡改識別結(jié)果數(shù)據(jù)、企圖保存虹膜圖像、非授權(quán)保存特征序列數(shù)據(jù)、非授權(quán)進(jìn)行數(shù)據(jù)庫操作等事件做出響應(yīng)；按要求產(chǎn)生審計(jì)數(shù)據(jù)；按要求對審計(jì)數(shù)據(jù)進(jìn)行保護(hù)；按要求對審計(jì)事件進(jìn)行分析；按要求提供審計(jì)事件的查閱功能；按要求對網(wǎng)絡(luò)環(huán)境的審計(jì)進(jìn)行集中管理

47、。備份與故障恢復(fù)應(yīng)按 GB/T 20271-2006 中 6.4.2.6 的要求，設(shè)置虹膜識別系統(tǒng)的備份與故障恢復(fù)功能：設(shè)置信息備份功能，并在虹膜識別系統(tǒng)運(yùn)行中出現(xiàn)致使信息丟失的故障時(shí)，能進(jìn)行信息恢復(fù)；設(shè)置系統(tǒng)備份功能，并在虹膜識別系統(tǒng)運(yùn)行中出現(xiàn)致使系統(tǒng)無法運(yùn)行的故障時(shí)，能進(jìn)行恢復(fù)。數(shù)據(jù)安全要求系統(tǒng)管理員身份鑒別應(yīng)按 GB/T 20271-2006 中 6.4.3.1 的要求，對虹膜識別系統(tǒng)的系統(tǒng)管理員進(jìn)行身份鑒別，確認(rèn)其身份的真實(shí)性。訪問控制應(yīng)按 GB/T 20271-2006 中 6.4.3.4 和 6.4.3.5 的要求，根據(jù)附錄 C 表 C.2 和表 C.3 所表示的主、客體對應(yīng)關(guān)系及

48、操作規(guī)則，通過對主、客體設(shè)置附加敏感標(biāo)記，實(shí)現(xiàn)對虹膜識別數(shù)據(jù)、虹膜特征序列數(shù)據(jù)、面部照片及有效載荷數(shù)據(jù)信息的訪問控制。對虹膜特征序列數(shù)據(jù)庫的訪問控制粒度應(yīng)為庫/表級、記錄級、字段級。數(shù)據(jù)完整性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.4.3.7 的要求和 GB/T 20273-2006 中 5.4.1.7 的要求，從以下方面實(shí)現(xiàn)對虹膜識別數(shù)據(jù)的完整性保護(hù)：對被存儲的虹膜識別數(shù)據(jù)進(jìn)行完整性保護(hù)；對被傳輸?shù)暮缒ぷR別數(shù)據(jù)進(jìn)行完整性保護(hù)；對被處理的虹膜識別數(shù)據(jù)進(jìn)行完整性保護(hù)。數(shù)據(jù)保密性保護(hù)應(yīng)按 GB/T 20271-2006 中 6.4.3.8 的要求和 GB/T 20273-2006 中 5

49、.4.1.8 的要求，從以下方面對虹膜識別數(shù)據(jù)進(jìn)行保密性保護(hù)：對被存儲的虹膜識別數(shù)據(jù)進(jìn)行保密性保護(hù)；對被傳輸?shù)暮缒ぷR別數(shù)據(jù)進(jìn)行保密性保護(hù)；對動態(tài)使用資源中的虹膜識別數(shù)據(jù)進(jìn)行剩余信息保護(hù)。自身安全保證要求虹膜識別系統(tǒng)自身安全保護(hù)應(yīng)按 GB/T 20271-2006 中 6.4.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)的自身安全保護(hù)：確保虹膜識別系統(tǒng)程序的完整性；確保虹膜識別系統(tǒng)數(shù)據(jù)的完整性；確保虹膜識別系統(tǒng)的正確、不間斷運(yùn)行；確保虹膜識別機(jī)制不會被旁路；確保虹膜識別機(jī)制不會被替換；確保虹膜識別系統(tǒng)有可靠的時(shí)間戳支持；確保虹膜識別設(shè)備在受到物理攻擊時(shí)能及時(shí)進(jìn)行報(bào)告；通過故障容錯、服務(wù)優(yōu)先級和資

50、源分配增強(qiáng)虹膜識別系統(tǒng)自身安全性；通過對與虹膜識別系統(tǒng)的會話限制保護(hù)虹膜識別系統(tǒng)的免遭相應(yīng)攻擊。虹膜識別系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)應(yīng)按 GB/T 20271-2006 中 6.4.5 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)：按 GB/T 20271-2006 中 6.4.5.1 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的配置管理；按 GB/T 20271-2006 中 6.4.5.2 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的分發(fā)和操作；按 GB/T 20271-2006 中 6.4.5.3 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的開發(fā)；按 GB/T 20271-2006 中 6.4.5.4 的要求，進(jìn)行虹膜識別系統(tǒng)的文檔編寫；按 GB/T 202

51、71-2006 中 6.4.5.5 的要求，實(shí)現(xiàn)虹膜識別系統(tǒng)的生命周期支持設(shè)計(jì)；按 GB/T 20271-2006 中 6.4.5.6 的要求，進(jìn)行虹膜識別系統(tǒng)的測試；按 GB/T 20271-2006 中 6.4.5.7 的要求，進(jìn)行虹膜識別系統(tǒng)的脆弱性評定。虹膜識別系統(tǒng)安全管理應(yīng)按 GB/T 20271-2006 中 6.4.6 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)虹膜識別系統(tǒng)的安全管理，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度：虹膜識別系統(tǒng)的功能管理；虹膜識別系統(tǒng)安全屬性的管理；虹膜識別系統(tǒng)數(shù)據(jù)的管理；虹膜識別系統(tǒng)安全角色的定義與管理；虹膜識別系統(tǒng)安全機(jī)制的集中管理。附錄A（資料性附錄） 虹膜識別

52、基本原理虹膜識別系統(tǒng)的組成與功能組成與相互關(guān)系回答信息處理模塊特征數(shù)據(jù)傳輸、存儲管理數(shù)據(jù)存儲、傳輸管理模塊圖像數(shù)據(jù)傳輸、存儲管理圖 A.1 給出了虹膜識別系統(tǒng)的基本組成與相互關(guān)系。圖 像采 集模 塊圖 像處 理分 析模 塊用 戶登記處理模 塊統(tǒng)功能簡要說明圖 A.1虹膜識別系統(tǒng)的組成與相互關(guān)系用戶識別處理模 塊虹膜識別系虹膜識別系統(tǒng)包含圖像采集、圖像處理分析、用戶登記處理、用戶識別處理、數(shù)據(jù)存儲傳輸管理、回答信息處理等功能模塊。這些模塊用以實(shí)現(xiàn)兩種基本功能：用戶登記和用戶識別。進(jìn)行用戶登記或識別時(shí)，由圖像采集模塊采集用戶虹膜圖像，經(jīng)圖像處理分析模塊處理，當(dāng)用戶登記時(shí)，由用戶登記處理模塊生成用戶

53、登記信息并存入數(shù)據(jù)庫；當(dāng)用戶識別時(shí)，由用戶識別處理模塊生成用戶識別信息， 并將識別信息與登記信息進(jìn)行比對，得出識別結(jié)果。用戶登記是一次性過程，一個用戶只登記一次。用戶登記信息應(yīng)具有一致的形式，以加強(qiáng)安全管理并節(jié)省資源。虹膜識別系統(tǒng)各模塊主要功能說明虹膜識別系統(tǒng)各模塊主要功能說明如下：虹膜圖像采集模塊：按要求采集被識別對像的虹膜圖像；虹膜圖像處理模塊：按要求對采集到的虹膜圖像進(jìn)行分析處理，產(chǎn)生用于進(jìn)行用戶登記和用戶識別處理的虹膜特征序列數(shù)據(jù)信息。圖像處理分析模塊包括圖像處理和圖像分析兩個子模塊。圖像處理子模塊將虹膜圖像變化為經(jīng)過一定數(shù)字處理的虹膜圖像；圖像分析子模塊是將經(jīng)過數(shù)字處理的虹膜圖像信息

54、轉(zhuǎn)化為某種非圖像信息；用戶登記處理模塊：根據(jù)虹膜圖像處理模塊提供的信息，進(jìn)行用戶登記處理，并將虹膜特征數(shù)據(jù)信息和/或虹膜圖像數(shù)據(jù)信息提交數(shù)據(jù)存儲管理模塊進(jìn)行存儲；用戶識別處理模塊：根據(jù)虹膜圖像處理模塊提供的信息，以及由數(shù)據(jù)存儲管理模塊所提供的信息，進(jìn)行用戶識別處理，并按識別結(jié)果形成回答信息；虹膜數(shù)據(jù)存儲傳輸管理模塊：按確定的數(shù)據(jù)結(jié)構(gòu)，對虹膜圖像數(shù)據(jù)和虹膜特征數(shù)據(jù)進(jìn)行存儲管理，為用戶登記處理和用戶識別處理提供支持，回答信息處理模塊：根據(jù)需要將來自用戶識別處理模塊的回答信息轉(zhuǎn)換成所要求的表示形式， 為上層應(yīng)用提供支持。虹膜識別系統(tǒng)的工作流程圖 A.2 展示虹膜識別的工作流程。有是有無信號是否傳輸無

55、否用戶登記處理目的處理分析虹膜圖像用戶鑒別生成模板特征序列處理分析虹膜圖像采 集圖 像實(shí)時(shí)檢測使用信號向用戶系統(tǒng)傳送虹膜圖像（或和面部照片）辨識 確認(rèn)用戶辨識/確認(rèn)樣本序列與給定庫紀(jì)錄做 1：1 比對樣本序列與所有庫紀(jì)錄做 1：N 比對提取給定 ID 對應(yīng)的庫紀(jì)錄生成樣本特征序列將新生成的紀(jì)錄加入模板數(shù)據(jù)庫生成模板數(shù)據(jù)庫記錄提 取 用 戶 機(jī) 密 數(shù)據(jù)：有效載荷加入圖像庫產(chǎn)生用戶辨識結(jié)果產(chǎn)生用戶身份確認(rèn)結(jié)果登記結(jié)束用戶系統(tǒng)圖 A.2虹膜識別的工作流程虹膜識別機(jī)制的主體與客體作為用于用戶身份鑒別的專用信息安全機(jī)制，虹膜識別系統(tǒng)是一個專用的信息處理系統(tǒng)。其主體與客體分別是在一定范圍內(nèi)的實(shí)體成分。主

56、體虹膜識別機(jī)制中有兩類主體：一類是特權(quán)用戶，包括系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員；另一類是處理專門事務(wù)的系統(tǒng)進(jìn)程。系統(tǒng)管理員的主要職責(zé)是，通過專門為管理員提供的操作界面進(jìn)行系統(tǒng)安裝、啟動，并對存放虹膜圖像的圖像庫和存放模板特征序列的數(shù)據(jù)庫進(jìn)行維護(hù)，以及進(jìn)行用戶登記；系統(tǒng)安全員的主要功能是，進(jìn)行主、客體敏感信息的設(shè)置，這些敏感信息是實(shí)現(xiàn)主、客體之間訪問控制的基礎(chǔ)；系統(tǒng)審計(jì)員的主要功能是設(shè)置審計(jì)機(jī)制，查看和處理審計(jì)信息。嵌入在信息系統(tǒng)中的虹膜識別機(jī)制，其系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員可以由信息系統(tǒng)的相應(yīng)人員承擔(dān)?？腕w虹膜識別機(jī)制中的客體是指主體所能操作的對象，包括作為數(shù)據(jù)存儲的對象和為用戶服

57、務(wù)的進(jìn)程。前者主要包括：虹膜圖像、面部照片、模板特征序列、樣本特征序列、特征序列數(shù)據(jù)庫、有效載荷、用戶確認(rèn)結(jié)果、用戶辨識結(jié)果；后者主要包括：系統(tǒng)管理員操作進(jìn)程、數(shù)據(jù)庫操作進(jìn)程、安全員操作進(jìn)程、審計(jì)員操作進(jìn)程。附錄B（資料性附錄）虹膜識別系統(tǒng)功能和性能要素與分等級要求的對應(yīng)關(guān)系表 B.1虹膜識別系統(tǒng)功能和性能要素與分等級要求的對應(yīng)關(guān)系功能與性能要素第一級要求第二級要求第三級要求基本功能要素自包含功能虹膜圖像采集與處理功能用戶標(biāo)識用戶登記基本要求兩幅圖像要求四幅圖像要求用戶識別基本要求兩幅圖像要求四幅圖像要求識別失敗的判定及處理a)設(shè)備故障b)像質(zhì)障礙c)超時(shí)斷開 d)數(shù)據(jù)庫故障e)嘗試超次不可偽

58、造識別a)防照片偽造b)防隱形鏡片偽造c)防復(fù)制偽造d)防錄像偽造e)防死亡虹膜偽造警告與報(bào)警基本性能要素錯誤接受率和錯誤拒絕率 a)不大于萬分之一和百分之一b)不大于十萬分之一和百分之一c)不大于三十萬分之一和千分之一響應(yīng)時(shí)間適用范圍使用安全條件*注：表中“*”表示該級對相應(yīng)的功能或性能要素有要求。主、客體的訪問操作關(guān)系適用于第一級的主、客體之間的訪問操作關(guān)系表 C.1 表示適用于第一級的虹膜識別系統(tǒng)中主體與客體之間的訪問操作關(guān)系。表 C.1適用于第一級的訪問操作關(guān)系（模板特征序列以數(shù)據(jù)庫或文件形式存貯）主體對應(yīng)客體允許操作不允許操作特征序列生成進(jìn)程虹膜圖像模板特征序列樣本特征序列圖像變換、圖像分析、特征表述復(fù)制、傳輸、修改、保存用戶登記進(jìn)程模板特征序列將模板特征序列存入數(shù)據(jù)庫或文件系統(tǒng)復(fù)制、傳輸、修改、保存用戶識別進(jìn)程樣本特征序列特征序列文件樣本特征序列與數(shù)據(jù)庫或文件系統(tǒng)中的模板特征序列比對復(fù)制，傳輸，修改，保存應(yīng)用系統(tǒng)通信接口進(jìn)程用戶確認(rèn)結(jié)果用戶辨識結(jié)果（候選者）傳送識別（確認(rèn)或辨識）結(jié)果修改適用于第二級和第三級的主、客體之間的訪問操作關(guān)系表 C.2 表示適用于第二級和第三級的虹膜識別系統(tǒng)中主體與客體之間的訪問操作關(guān)系。表 C.2適用于第二級和第三級的訪問操作關(guān)系（模板特征序列以數(shù)據(jù)庫形式存貯）主體對應(yīng)客體