《信息安全技術(shù)基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別技術(shù)框架》

GB/TXXXXX—XXXX

身份鑒別技術(shù)框架

1范圍

本標(biāo)準(zhǔn)規(guī)定了基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別的技術(shù)框架、業(yè)務(wù)流程、功能要求和安全

要求。

本標(biāo)準(zhǔn)適用于基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)與集成。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22186-2016信息安全技術(shù)具有中央處理器的IC卡芯片安全技術(shù)要求

GB/T26238-2010信息技術(shù)生物特征識(shí)別術(shù)語(yǔ)

GB/T34975-2017信息安全技術(shù)移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T34978-2017信息安全技術(shù)移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求

GB/T35273-2017信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35281-2017信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求

GB/TAAAAA-AAAA信息安全技術(shù)基于可信環(huán)境的生物特征識(shí)別身份鑒別協(xié)議框架

ISO/IEC30107.1:2016信息技術(shù)生物特征識(shí)別呈現(xiàn)攻擊檢測(cè)第1部分：框架（Information

technology-Biometricpresentationattackdetection-part1:Framework）

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

GB/T26238-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

生物特征識(shí)別biometrics

基于個(gè)體的行為特征和生物學(xué)特征，對(duì)該個(gè)體進(jìn)行的自動(dòng)識(shí)別。

注：“個(gè)體”限指人。

[GB/T26238-2010，定義2.1.2]

3.1.2

生物特征項(xiàng)biometricfeature

從生物特征樣本中提取的，用于比對(duì)的數(shù)值或標(biāo)記。

[GB/T26238-2010，定義2.2.2.2.2.4]

3.1.3

生物特征識(shí)別器biometricmatcher

基于個(gè)體的行為特征和生物學(xué)特征執(zhí)行用戶(hù)驗(yàn)證時(shí)使用的組件。

2

GB/TXXXXX—XXXX

[GB/TAAAAA-AAAA，定義3.12]

3.1.4

生物特征樣本biometricsample

先于生物特征項(xiàng)提取，且從生物特征采集子系統(tǒng)獲得的模擬的或數(shù)字的生物識(shí)別特征的表示。

[GB/T26238-2010，定義2.2.2.2.2.10]

3.1.5

生物特征模板biometrictemplate

參考的生物特征項(xiàng)的集合，已存儲(chǔ)的生物特征項(xiàng)的集合，可直接與探針生物特征樣本的生物特征項(xiàng)

進(jìn)行比對(duì)。

[GB/T26238-2010，定義2.2.2.2.2.9.2]

3.1.6

比對(duì)comparison

估算、計(jì)算或測(cè)量生物特征探針與生物特征參考之間的相似度和相異度。

[GB/T26238-2010，定義2.2.4.1.2]

3.1.7

執(zhí)行環(huán)境executionenvironment

存在于移動(dòng)設(shè)備中的軟硬件集合，能夠?yàn)閼?yīng)用程序在移動(dòng)設(shè)備中的運(yùn)行提供必要的能力支持，一般

包括硬件處理單元、易失性存儲(chǔ)單元、非易失性存儲(chǔ)單元、操作系統(tǒng)、調(diào)用接口等組件。

3.1.8

身份鑒別identityauthentication

在計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中確認(rèn)操作者身份的過(guò)程，從而確定該用戶(hù)是否具有對(duì)某種資源的訪(fǎng)問(wèn)

和使用權(quán)限，進(jìn)而使計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的訪(fǎng)問(wèn)策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶(hù)獲

得資源的訪(fǎng)問(wèn)權(quán)限，保證系統(tǒng)和數(shù)據(jù)的安全，以及授權(quán)訪(fǎng)問(wèn)者的合法利益。

3.1.9

呈現(xiàn)攻擊presentationattack

以干擾生物特征識(shí)別系統(tǒng)的操作為目的，針對(duì)生物特征數(shù)據(jù)采集模塊的一種攻擊行為。

[ISO/IEC30107-1：2016，定義3.5]

3.1.10

依賴(lài)方relyingparty

依賴(lài)于其他實(shí)體（例如身份鑒別服務(wù)器）提供的關(guān)于用戶(hù)的鑒別結(jié)果，對(duì)用戶(hù)所使用的資源或者系

統(tǒng)進(jìn)行授權(quán)的實(shí)體。

[GB/TAAAAA-AAAA，定義3.14]

3.1.11

移動(dòng)智能終端smartmobileterminal

3

GB/TXXXXX—XXXX

能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用程序開(kāi)發(fā)接口的開(kāi)放操作系統(tǒng)，并能夠安裝和運(yùn)行應(yīng)用軟

件的移動(dòng)終端。

3.1.12

可信應(yīng)用trustedapplication

運(yùn)行在可信環(huán)境下，為客戶(hù)端軟件或其他應(yīng)用提供安全相關(guān)服務(wù)的軟件。

3.1.13

可信應(yīng)用管理trustedapplicationmanagement

提供應(yīng)用發(fā)行管理和安全模塊管理功能的系統(tǒng)。

3.1.14

可信環(huán)境trustedenvironment

用戶(hù)設(shè)備上的安全區(qū)域，該安全區(qū)域可更好保證加載到該環(huán)境內(nèi)部的代碼和數(shù)據(jù)的安全性，包括保

密性和完整性，如TEE、SE、TCM或其他具備安全邊界的保護(hù)區(qū)域。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

CA：證書(shū)認(rèn)證機(jī)構(gòu)（CertificationAuthority）

REE：富執(zhí)行環(huán)境（Richexecutionenvironment）

SDK：軟件開(kāi)發(fā)工具包（Softwaredevelopmentkit）

SE：安全單元（SecureElement）

SSL：安全套接層（SecureSocketLayer）

TA：可信應(yīng)用（TrustedApplication）

TAM：可信應(yīng)用管理（TrustedApplicationManagement）

TE：可信環(huán)境（TrustedEnvironment）

TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）

TLS：傳輸層安全（TransportLayerSecurity）

TCM：可信密碼模塊（TrustedCryptographyModule）

4概述

本標(biāo)準(zhǔn)規(guī)范了基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別技術(shù)框架，并通過(guò)身份鑒別協(xié)議實(shí)現(xiàn)身份

鑒別注冊(cè)、身份鑒別和身份鑒別注銷(xiāo)等業(yè)務(wù)流程。

通常用戶(hù)先進(jìn)行身份鑒別注冊(cè)，在成功注冊(cè)后，會(huì)為本次注冊(cè)過(guò)程生成相應(yīng)的用戶(hù)鑒別密鑰并與本

次注冊(cè)過(guò)程進(jìn)行綁定。在對(duì)用戶(hù)進(jìn)行身份鑒別時(shí)，首先通過(guò)移動(dòng)智能終端所支持的生物特征識(shí)別器對(duì)用

戶(hù)進(jìn)行驗(yàn)證，只有在驗(yàn)證通過(guò)后才能夠具備權(quán)限使用注冊(cè)過(guò)程中生成并綁定的用戶(hù)鑒別密鑰，實(shí)現(xiàn)服務(wù)

器端對(duì)用戶(hù)的身份鑒別。在身份鑒別注銷(xiāo)過(guò)程中，移動(dòng)智能終端和服務(wù)器端將注冊(cè)關(guān)系以及對(duì)應(yīng)綁定的

用戶(hù)鑒別密鑰刪除。

本標(biāo)準(zhǔn)可為移動(dòng)智能終端上基于生物特征識(shí)別技術(shù)的身份鑒別相關(guān)應(yīng)用的設(shè)計(jì)、開(kāi)發(fā)、使用提供統(tǒng)

一的基礎(chǔ)技術(shù)架構(gòu)，以此技術(shù)框架為基準(zhǔn)，為相關(guān)功能單元、接口、協(xié)議提出功能和安全的基本要求。

基于該技術(shù)框架實(shí)現(xiàn)的身份鑒別應(yīng)用案例可參見(jiàn)附錄B。

4

GB/TXXXXX—XXXX

本標(biāo)準(zhǔn)涉及個(gè)人信息保護(hù)的相關(guān)技術(shù)要求，應(yīng)符合GB/T35273-2017和GB/T34978-2017的規(guī)定。

5技術(shù)架構(gòu)

5.1總體框架

基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別技術(shù)框架主要包括移動(dòng)智能終端和服務(wù)器側(cè)的若干功

能單元，總體技術(shù)框架如圖1所示。

圖1基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別技術(shù)框架

移動(dòng)智能終端側(cè)一般包括移動(dòng)應(yīng)用、身份鑒別中間件、身份鑒別可信應(yīng)用、生物特征識(shí)別器、采集

元件等功能單元。本標(biāo)準(zhǔn)所規(guī)范的技術(shù)框架基于可信環(huán)境實(shí)現(xiàn)，運(yùn)行于移動(dòng)智能終端的身份鑒別協(xié)議解

析、用戶(hù)生物特征采集、比對(duì)、存儲(chǔ)與呈現(xiàn)攻擊檢測(cè)等均應(yīng)在可信環(huán)境中進(jìn)行。本標(biāo)準(zhǔn)中，可信環(huán)境的

具體實(shí)現(xiàn)方式可采用TEE或TEE與SE組合使用的方式。根據(jù)安全需求，單獨(dú)采用TEE可作為安全基本級(jí)的

5

GB/TXXXXX—XXXX

可信環(huán)境，采用TEE與SE的組合使用可作為安全增強(qiáng)級(jí)的可信環(huán)境，其他的可信環(huán)境實(shí)現(xiàn)方式不在本標(biāo)

準(zhǔn)規(guī)定范圍之內(nèi)。

服務(wù)器側(cè)包括身份鑒別服務(wù)器和依賴(lài)方服務(wù)器。身份鑒別服務(wù)器包括身份鑒別服務(wù)模塊，可具備可

信應(yīng)用管理和可信設(shè)備管理等模塊。

5.2移動(dòng)智能終端側(cè)功能單元

5.2.1移動(dòng)應(yīng)用

移動(dòng)應(yīng)用是移動(dòng)智能終端中使用生物特征識(shí)別身份鑒別功能的應(yīng)用軟件。移動(dòng)應(yīng)用通常安裝運(yùn)行在

REE中。當(dāng)需要基于生物特征識(shí)別進(jìn)行用戶(hù)身份鑒別時(shí)，通過(guò)身份鑒別中間件調(diào)用位于可信環(huán)境中的身

份鑒別可信應(yīng)用進(jìn)而啟動(dòng)生物特征識(shí)別器實(shí)現(xiàn)對(duì)用戶(hù)的生物特征識(shí)別，并基于身份鑒別協(xié)議與依賴(lài)方和

身份鑒別服務(wù)器進(jìn)行交互完成對(duì)用戶(hù)的身份鑒別過(guò)程。

5.2.2身份鑒別中間件

身份鑒別中間件為移動(dòng)應(yīng)用提供了身份鑒別服務(wù)的相關(guān)操作接口，負(fù)責(zé)REE中移動(dòng)應(yīng)用與可信環(huán)境

中身份鑒別可信應(yīng)用之間身份鑒別相關(guān)的通信。

身份鑒別中間件可是集成在移動(dòng)智能終端操作系統(tǒng)中的系統(tǒng)服務(wù)，也可是集成在移動(dòng)應(yīng)用中的專(zhuān)有

SDK，或者是運(yùn)行于移動(dòng)智能終端中的獨(dú)立應(yīng)用軟件。

5.2.3身份鑒別可信應(yīng)用

身份鑒別可信應(yīng)用負(fù)責(zé)身份鑒別協(xié)議的解析和處理，并負(fù)責(zé)管理其所支持的生物特征識(shí)別器，基于

鑒別協(xié)議中所選擇的的生物特征識(shí)別器完成對(duì)用戶(hù)的生物特征驗(yàn)證過(guò)程。

身份鑒別可信應(yīng)用負(fù)責(zé)對(duì)身份鑒別相關(guān)的用戶(hù)鑒別密鑰的管理，包括用戶(hù)鑒別密鑰的生成、存儲(chǔ)、

使用和刪除。

身份鑒別可信應(yīng)用可通過(guò)預(yù)置方式在出廠(chǎng)前安裝在移動(dòng)智能終端中，也可通過(guò)遠(yuǎn)程動(dòng)態(tài)下載方式安

裝在移動(dòng)智能終端中。

5.2.4生物特征識(shí)別器

生物特征識(shí)別器是位于移動(dòng)智能終端上的一個(gè)生物特征識(shí)別系統(tǒng)，能夠基于生物特征識(shí)別技術(shù)對(duì)用

戶(hù)生物特征進(jìn)行驗(yàn)證，一般由特征采集模塊、特征存儲(chǔ)模塊和特征比對(duì)模塊等構(gòu)成，其中：

a)特征采集模塊通過(guò)生物特征采集元件采集用戶(hù)的生物特征樣本，并對(duì)符合采集質(zhì)量要求的生物

特征樣本進(jìn)一步提取出生物特征項(xiàng)，以用于后續(xù)的特征存儲(chǔ)模塊或特征比對(duì)模塊。

b)特征存儲(chǔ)模塊用于存儲(chǔ)用戶(hù)錄入的生物特征模板。

c)特征比對(duì)模塊通過(guò)將所采集的用戶(hù)生物特征樣本與特征存儲(chǔ)模塊中已錄入的一個(gè)或多個(gè)生物

特征模板進(jìn)行比對(duì)，并對(duì)比對(duì)結(jié)果進(jìn)行識(shí)別決策，判斷用戶(hù)是否驗(yàn)證通過(guò)。

5.2.5采集元件

采集元件與生物特征識(shí)別器連接，可被生物特征識(shí)別器調(diào)用并對(duì)用戶(hù)的生物特征樣本進(jìn)行采集。

5.3服務(wù)器側(cè)功能單元

5.3.1依賴(lài)方

依賴(lài)方主要負(fù)責(zé)提供移動(dòng)應(yīng)用的后臺(tái)服務(wù)，基于身份鑒別協(xié)議與移動(dòng)應(yīng)用和身份鑒別服務(wù)器進(jìn)行交

互，完成身份鑒別的各個(gè)業(yè)務(wù)流程。

6

GB/TXXXXX—XXXX

在身份鑒別過(guò)程中，依賴(lài)方從身份鑒別服務(wù)器獲得用戶(hù)的身份鑒別結(jié)果，并根據(jù)鑒別結(jié)果提供相應(yīng)

權(quán)限的服務(wù)或資源。

5.3.2身份鑒別服務(wù)器

5.3.2.1概述

身份鑒別服務(wù)器包括身份鑒別服務(wù)模塊和可信管理模塊。其中，身份鑒別服務(wù)模塊是必選模塊，主

要負(fù)責(zé)在服務(wù)器側(cè)對(duì)身份鑒別注冊(cè)關(guān)系進(jìn)行管理，對(duì)身份鑒別協(xié)議進(jìn)行解析并驗(yàn)證，并向依賴(lài)方提供身

份鑒別結(jié)果?？尚殴芾砟K主要負(fù)責(zé)對(duì)移動(dòng)智能終端和身份鑒別可信應(yīng)用進(jìn)行可信管理。

5.3.2.2身份鑒別服務(wù)模塊

身份鑒別服務(wù)模塊主要負(fù)責(zé)：

a)在身份鑒別注冊(cè)業(yè)務(wù)流程中，校驗(yàn)注冊(cè)過(guò)程中所使用生物特征識(shí)別器的真實(shí)性和完整性，創(chuàng)建

和存儲(chǔ)用戶(hù)新申請(qǐng)的身份鑒別注冊(cè)關(guān)系，存儲(chǔ)注冊(cè)過(guò)程中生成的用戶(hù)鑒別密鑰并與注冊(cè)關(guān)系進(jìn)

行綁定；

b)在身份鑒別業(yè)務(wù)流程中，校驗(yàn)鑒別過(guò)程中所使用生物特征識(shí)別器的真實(shí)性和完整性，識(shí)別此次

業(yè)務(wù)中所使用的身份鑒別注冊(cè)關(guān)系，并使用綁定的用戶(hù)鑒別密鑰對(duì)身份鑒別協(xié)議中的信息進(jìn)行

驗(yàn)證；

c)在身份鑒別注銷(xiāo)業(yè)務(wù)流程中，刪除相應(yīng)的身份鑒別注冊(cè)關(guān)系以及綁定的用戶(hù)鑒別密鑰。

d)將身份鑒別結(jié)果通過(guò)可信的方式傳遞給依賴(lài)方。

5.3.2.3可信管理

可信管理主要包括：

a)可信應(yīng)用管理模塊，負(fù)責(zé)對(duì)身份鑒別可信應(yīng)用的生命周期管理，包括下載、安裝、更新以及刪

除等操作。如在移動(dòng)智能終端側(cè)使用了安全單元，也負(fù)責(zé)對(duì)安全單元中的可信應(yīng)用的生命周期

進(jìn)行管理。

b)可信設(shè)備管理模塊，負(fù)責(zé)對(duì)移動(dòng)智能終端可信設(shè)備列表進(jìn)行管理。

6業(yè)務(wù)流程

基于生物特征識(shí)別的移動(dòng)智能終端身份鑒別一般包括：注冊(cè)、鑒別和注銷(xiāo)三個(gè)業(yè)務(wù)流程，應(yīng)符合

GB/TAAAAA-AAAA關(guān)于業(yè)務(wù)流程的規(guī)定。

7通訊協(xié)議

7.1身份鑒別協(xié)議

身份鑒別協(xié)議應(yīng)符合GB/TAAAAA-AAAA第7章關(guān)于協(xié)議接口的規(guī)定，可參考GB/TAAAAA-AAAA附錄C

中關(guān)于協(xié)議接口的描述。

7.2可信管理協(xié)議

服務(wù)器側(cè)可通過(guò)可信管理協(xié)議對(duì)智能終端側(cè)的可信應(yīng)用、可信設(shè)備進(jìn)行生命周期管理，包括對(duì)可信

應(yīng)用的安裝、卸載、更新等管理操作。本標(biāo)準(zhǔn)中不具體規(guī)定可信管理協(xié)議。

在進(jìn)行管理操作之前，宜對(duì)通信雙方進(jìn)行身份鑒別，并建立安全通信通道。

7

GB/TXXXXX—XXXX

8功能要求

8.1移動(dòng)智能終端側(cè)功能單元

8.1.1移動(dòng)應(yīng)用

移動(dòng)應(yīng)用要求如下：

a)應(yīng)能基于身份鑒別協(xié)議與依賴(lài)方進(jìn)行交互，實(shí)現(xiàn)身份鑒別注冊(cè)、身份鑒別、身份鑒別注銷(xiāo)等業(yè)

務(wù)流程；

b)應(yīng)能通過(guò)調(diào)用身份鑒別中間件與身份鑒別可信應(yīng)用進(jìn)行交互，實(shí)現(xiàn)身份鑒別注冊(cè)、身份鑒別、

身份鑒別注銷(xiāo)等業(yè)務(wù)流程。

c)應(yīng)能對(duì)用戶(hù)身份進(jìn)行唯一性標(biāo)識(shí)，一個(gè)用戶(hù)可對(duì)應(yīng)多個(gè)身份鑒別注冊(cè)關(guān)系，一個(gè)身份鑒別注冊(cè)

關(guān)系應(yīng)只對(duì)應(yīng)于一個(gè)用戶(hù)。

d)宜設(shè)置生物特征識(shí)別身份鑒別失敗嘗試次數(shù)限制，在失敗次數(shù)超出限制后，應(yīng)限制用戶(hù)繼續(xù)嘗

試或者引導(dǎo)用戶(hù)使用其他方式進(jìn)行身份鑒別。

8.1.2身份鑒別中間件

身份鑒別中間件提供的功能接口要求如下：

a)宜支持獲取身份鑒別可信應(yīng)用版本號(hào)；

b)宜支持獲取可被身份鑒別可信應(yīng)用支持的生物特征識(shí)別器信息，如生物特征識(shí)別器的實(shí)現(xiàn)模式

（指紋、虹膜、人臉等）、版本號(hào)等；

c)應(yīng)支持身份鑒別注冊(cè)、身份鑒別以及身份鑒別注銷(xiāo)操作接口等；

d)宜支持獲取移動(dòng)智能終端的設(shè)備唯一性標(biāo)識(shí)。

e)可對(duì)移動(dòng)應(yīng)用的調(diào)用權(quán)限進(jìn)行校驗(yàn)，如采用與身份鑒別服務(wù)器直接進(jìn)行信息交互的方式實(shí)現(xiàn)。

8.1.3身份鑒別可信應(yīng)用

身份鑒別可信應(yīng)用要求如下：

a)宜能向身份鑒別中間件提供身份鑒別可信應(yīng)用版本號(hào)；

b)應(yīng)能對(duì)身份鑒別協(xié)議進(jìn)行解析并驗(yàn)證其真實(shí)性和完整性，實(shí)現(xiàn)身份鑒別注冊(cè)、身份鑒別以及身

份鑒別注銷(xiāo)等業(yè)務(wù)流程；

c)應(yīng)能支持在移動(dòng)智能終端側(cè)對(duì)身份鑒別注冊(cè)關(guān)系進(jìn)行管理，包括對(duì)與注冊(cè)關(guān)系相綁定的用戶(hù)鑒

別密鑰的管理，如生成、存儲(chǔ)、使用和刪除等；

d)宜建立生物特征識(shí)別器驗(yàn)證過(guò)程與用戶(hù)身份鑒別注冊(cè)關(guān)系之間的對(duì)應(yīng)關(guān)系，如通過(guò)生物特征模

板摘要值進(jìn)行關(guān)聯(lián)等；

e)應(yīng)能對(duì)所支持的位于移動(dòng)智能終端中的生物特征識(shí)別器進(jìn)行管理，包括獲取生物特征識(shí)別器信

息，調(diào)用生物特征識(shí)別器對(duì)用戶(hù)身份進(jìn)行驗(yàn)證并獲得驗(yàn)證結(jié)果等；

f)應(yīng)具備對(duì)用戶(hù)鑒別密鑰的使用控制，只有當(dāng)從生物特征識(shí)別器獲得的驗(yàn)證結(jié)果指示用戶(hù)身份驗(yàn)

證通過(guò)后才能使用用戶(hù)鑒別密鑰；

g)宜對(duì)所在的移動(dòng)智能終端進(jìn)行設(shè)備唯一性標(biāo)識(shí)，用于服務(wù)器側(cè)的可信設(shè)備管理。

8.1.4生物特征識(shí)別器

生物特征識(shí)別器功能要求如下：

a)應(yīng)可提供型號(hào)及版本信息，且具有唯一標(biāo)識(shí)；

b)宜具備對(duì)呈現(xiàn)攻擊檢測(cè)和防范的能力；

8

GB/TXXXXX—XXXX

c)特征采集模塊

1)應(yīng)支持使用采集元件采集用戶(hù)生物特征樣本，并將其轉(zhuǎn)化成適合生物特征識(shí)別處理的數(shù)據(jù)

格式；

2)應(yīng)具有明確的用戶(hù)提示，告知用戶(hù)對(duì)其生物特征樣本進(jìn)行了采集，若采集過(guò)程分為多次進(jìn)

行，宜向用戶(hù)明示每一次采集的進(jìn)度；

3)應(yīng)支持對(duì)采集的用戶(hù)生物特征樣本進(jìn)行質(zhì)量判斷，并從通過(guò)質(zhì)量判斷的用戶(hù)生物特征樣本

中提取用戶(hù)生物特征項(xiàng)，用于后續(xù)的生物特征存儲(chǔ)或生物特征比對(duì)；

4)宜采用不可逆的方式從用戶(hù)生物特征樣本中提取出生物特征項(xiàng)；

d)特征存儲(chǔ)模塊

1)同一用戶(hù)在同一生物特征存儲(chǔ)模塊中應(yīng)只對(duì)應(yīng)唯一的身份標(biāo)識(shí)；不能使用相同的用戶(hù)身份

標(biāo)識(shí)去標(biāo)識(shí)兩個(gè)或以上不同用戶(hù)；應(yīng)能夠把登記的用戶(hù)生物特征模板與該用戶(hù)的身份標(biāo)識(shí)

進(jìn)行關(guān)聯(lián)；

2)應(yīng)只允許具有合法權(quán)限的實(shí)體錄入、訪(fǎng)問(wèn)、讀取或刪除生物特征存儲(chǔ)模塊中的用戶(hù)生物特

征數(shù)據(jù)；

3)宜支持同一用戶(hù)在生物特征存儲(chǔ)模塊中登記兩個(gè)或多個(gè)生物特征模板；

4)應(yīng)具備異常情況判定及處理能力，如生物特征模板登記、讀取或刪除失敗時(shí)應(yīng)具有相應(yīng)處

理機(jī)制。

e)特征比對(duì)模塊

1)應(yīng)能夠?qū)⑤斎氲挠脩?hù)生物特征模板和已在生物特征存儲(chǔ)模塊中登記的生物特征模板進(jìn)行

比對(duì)，計(jì)算出比對(duì)得分；根據(jù)比對(duì)得分進(jìn)行識(shí)別結(jié)果判定，并能夠輸出識(shí)別結(jié)果；

2)應(yīng)具備異常情況判定及處理功能，包括但不限于比對(duì)失敗、識(shí)別決策失敗時(shí)的相應(yīng)處理機(jī)

制。

8.2服務(wù)器側(cè)功能單元

8.2.1依賴(lài)方

依賴(lài)方要求如下：

a)應(yīng)能基于身份鑒別協(xié)議與移動(dòng)應(yīng)用進(jìn)行交互，實(shí)現(xiàn)身份鑒別注冊(cè)、身份鑒別、身份鑒別注銷(xiāo)等

業(yè)務(wù)流程；

b)應(yīng)能基于身份鑒別協(xié)議與身份鑒別服務(wù)器進(jìn)行交互，實(shí)現(xiàn)身份鑒別注冊(cè)、身份鑒別、身份鑒別

注銷(xiāo)等業(yè)務(wù)流程；

c)應(yīng)能根據(jù)身份鑒別結(jié)果授權(quán)用戶(hù)訪(fǎng)問(wèn)服務(wù)器相應(yīng)的服務(wù)或資源。

8.2.2身份鑒別服務(wù)器

身份鑒別服務(wù)器要求如下：

a)應(yīng)能基于身份鑒別協(xié)議與依賴(lài)方進(jìn)行交互，對(duì)身份鑒別協(xié)議進(jìn)行解析并驗(yàn)證，實(shí)現(xiàn)身份鑒別注

冊(cè)、身份鑒別、身份鑒別注銷(xiāo)等業(yè)務(wù)流程；

b)應(yīng)能夠在服務(wù)器側(cè)對(duì)身份鑒別注冊(cè)關(guān)系進(jìn)行管理，包括生成、維護(hù)和刪除等；

c)宜在服務(wù)器側(cè)校驗(yàn)生物特征識(shí)別器驗(yàn)證過(guò)程與用戶(hù)身份鑒別注冊(cè)關(guān)系之間的對(duì)應(yīng)關(guān)系，如通過(guò)

生物特征模板摘要值等方式；

d)宜具備可信應(yīng)用管理和可信設(shè)備管理能力。

9安全要求

9

GB/TXXXXX—XXXX

9.1移動(dòng)智能終端側(cè)安全要求

9.1.1移動(dòng)應(yīng)用

移動(dòng)應(yīng)用要求如下：

a)應(yīng)符合GB/T34975-2017第4章安全技術(shù)要求；

b)應(yīng)采取有效的技術(shù)手段，確認(rèn)與其通信的依賴(lài)方或身份鑒別服務(wù)器的真實(shí)性。

9.1.2可信環(huán)境

9.1.2.1可信環(huán)境總體安全要求

可信環(huán)境應(yīng)具備安全邊界，在環(huán)境內(nèi)部應(yīng)提供技術(shù)手段，對(duì)位于可信環(huán)境中的代碼和數(shù)據(jù)的安全性

提供保證，如保密性、完整性和可用性等。

9.1.2.2可信執(zhí)行環(huán)境

可信執(zhí)行環(huán)境應(yīng)實(shí)現(xiàn)：

a)從可信代碼開(kāi)始進(jìn)行安全啟動(dòng)，通過(guò)簽名校驗(yàn)等方法保證信任鏈的傳遞以確保TEE啟動(dòng)過(guò)程的

完整性；

b)通過(guò)硬件的隔離和系統(tǒng)的控制，保護(hù)高安全性數(shù)據(jù)的存儲(chǔ)安全，如用戶(hù)生物特征數(shù)據(jù)、用戶(hù)鑒

別密鑰、身份鑒別可信應(yīng)用數(shù)據(jù)和代碼安全等；

c)通過(guò)加密、隔離、認(rèn)證等方式，對(duì)移動(dòng)智能終端內(nèi)不同實(shí)體間的通信信道、終端同外界的通信

通道的數(shù)據(jù)傳輸進(jìn)行安全性保護(hù)；

d)通過(guò)訪(fǎng)問(wèn)權(quán)限的設(shè)置等方式保證功能和數(shù)據(jù)不被非法訪(fǎng)問(wèn)或者不恰當(dāng)?shù)脑L(fǎng)問(wèn)；

e)通過(guò)軟硬件結(jié)合的安全措施保證終端的安全配置不被更改并具備相應(yīng)的提示機(jī)制；

f)通過(guò)對(duì)固件、密鑰、永久數(shù)據(jù)等數(shù)據(jù)的保護(hù)策略保證TEE自身的安全性，為運(yùn)行在其上的可信

應(yīng)用提供安全保護(hù)；

g)通過(guò)生命周期管理、訪(fǎng)問(wèn)驗(yàn)證等措施保證對(duì)運(yùn)行在其上的可信應(yīng)用進(jìn)行安全管理；

h)采集元件應(yīng)通過(guò)TEE中具有訪(fǎng)問(wèn)權(quán)限的可信應(yīng)用進(jìn)行調(diào)用，調(diào)用過(guò)程中應(yīng)保證獨(dú)占性。

可信執(zhí)行環(huán)境有關(guān)說(shuō)明可參見(jiàn)附錄A。

9.1.2.3安全單元

安全單元提供一個(gè)安全的數(shù)據(jù)存儲(chǔ)和運(yùn)算環(huán)境，可用于存儲(chǔ)密鑰、用戶(hù)生物特征數(shù)據(jù)等敏感信息，

安全單元：

a)應(yīng)符合GB/T22186-2016的規(guī)定；

b)宜具備應(yīng)用訪(fǎng)問(wèn)控制機(jī)制，確保只有具備訪(fǎng)問(wèn)權(quán)限的外部實(shí)體才能夠訪(fǎng)問(wèn)安全單元中的相應(yīng)應(yīng)

用。

9.1.3身份鑒別可信應(yīng)用

應(yīng)采取有效的技術(shù)手段，確保身份鑒別可信應(yīng)用的生命周期管理如下載、安裝、更新、卸載等的安

全可控。身份鑒別可信應(yīng)用安全要求如下:

a)可采取有效的技術(shù)手段，對(duì)生物特征識(shí)別器的真實(shí)性和完整性進(jìn)行校驗(yàn)。

b)應(yīng)具備訪(fǎng)問(wèn)控制機(jī)制，確保只有具備訪(fǎng)問(wèn)權(quán)限的移動(dòng)應(yīng)用才能通過(guò)身份鑒別中間件對(duì)身份鑒別

可信應(yīng)用進(jìn)行訪(fǎng)問(wèn)調(diào)用；

c)宜支持對(duì)生物特征識(shí)別器的真實(shí)性和完整性進(jìn)行校驗(yàn)；

10

GB/TXXXXX—XXXX

d)在完成身份鑒別業(yè)務(wù)流程后，身份鑒別可信應(yīng)用應(yīng)及時(shí)清除內(nèi)存中的臨時(shí)數(shù)據(jù)；

e)應(yīng)采取有效的技術(shù)手段，確保身份鑒別注冊(cè)流程中生成的用戶(hù)密鑰的隨機(jī)性，并應(yīng)采取有效的

技術(shù)手段，確保對(duì)生成的用戶(hù)密鑰的安全存儲(chǔ)和使用。

9.1.4生物特征識(shí)別器

應(yīng)具備有效的技術(shù)手段對(duì)生物特征識(shí)別器的真實(shí)性、完整性進(jìn)行校驗(yàn)。生物特征識(shí)別器安全要求如

下：

a)特征采集模塊

1)應(yīng)具備有效的安全機(jī)制，確保生物特征樣本采集、質(zhì)量判斷、呈現(xiàn)攻擊檢測(cè)、生物特征項(xiàng)

提取和傳輸過(guò)程中的用戶(hù)生物特征數(shù)據(jù)的機(jī)密性和完整性；

2)應(yīng)及時(shí)清除未通過(guò)質(zhì)量判斷的用戶(hù)生物特征樣本，并確保其不可恢復(fù)；

3)生物特征項(xiàng)提取結(jié)束后應(yīng)及時(shí)清除用戶(hù)的生物特征樣本，并確保其不可恢復(fù)；

4)宜結(jié)合移動(dòng)智能終端所具有的可信執(zhí)行環(huán)境或安全單元實(shí)現(xiàn)上述安全機(jī)制。

b)特征存儲(chǔ)模塊

1)應(yīng)具有有效的安全機(jī)制，確保已登記用戶(hù)生物特征模板與該用戶(hù)標(biāo)識(shí)之間的正確關(guān)聯(lián)關(guān)

系，防止被非法修改與獲??；

2)應(yīng)具備有效的安全機(jī)制，確保在對(duì)生物特征存儲(chǔ)模塊中用戶(hù)生物特征數(shù)據(jù)進(jìn)行操作時(shí)，如

存儲(chǔ)和傳輸時(shí)，用戶(hù)生物特征數(shù)據(jù)的機(jī)密性和完整性，并在操作完成后對(duì)操作過(guò)程中的臨

時(shí)數(shù)據(jù)（如存儲(chǔ)或傳輸過(guò)程中，留存在設(shè)備動(dòng)態(tài)內(nèi)存中的與生物特征樣本等數(shù)據(jù)），進(jìn)行

及時(shí)清除并確保不可恢復(fù)；

3)宜采用加密方式對(duì)用戶(hù)生物特征模板數(shù)據(jù)進(jìn)行存儲(chǔ)；

4)對(duì)于已刪除的用戶(hù)生物特征模板數(shù)據(jù)，應(yīng)及時(shí)進(jìn)行清除并確保不可恢復(fù)；

5)宜結(jié)合移動(dòng)設(shè)備所具有的可信執(zhí)行環(huán)境或安全單元實(shí)現(xiàn)上述安全機(jī)制。

c)特征比對(duì)模塊

1)應(yīng)具備有效的安全機(jī)制，確保在進(jìn)行生物特征比對(duì)操作時(shí)，生物特征模板讀取的準(zhǔn)確性；

2)生物特征數(shù)據(jù)不被竊取或篡改；

3)相似度計(jì)算結(jié)果不被竊取或篡改；

4)識(shí)別決策結(jié)果不被竊取或篡改；

5)比對(duì)結(jié)束后，應(yīng)及時(shí)清除用戶(hù)生物特征數(shù)據(jù)和比對(duì)過(guò)程中所產(chǎn)生的其他臨時(shí)數(shù)據(jù)（如比對(duì)

得分等）應(yīng)設(shè)定比對(duì)失敗嘗試次數(shù)限制，比對(duì)失敗次數(shù)超出限制后，應(yīng)采取相應(yīng)的失敗處

理機(jī)制；

6)應(yīng)采取有效的安全機(jī)制，確保識(shí)別結(jié)果輸出時(shí)的完整性，不被非法篡改。

9.2服務(wù)器側(cè)安全要求

9.2.1依賴(lài)方

依賴(lài)方安全要求如下：

a)應(yīng)符合GB/T35281-2017中規(guī)定的安全要求。

b)應(yīng)采取有效的安全機(jī)制，校驗(yàn)身份鑒別服務(wù)器返回的身份鑒別結(jié)果的完整性和真實(shí)性，并應(yīng)通

過(guò)校驗(yàn)鑒別協(xié)議報(bào)文中的動(dòng)態(tài)信息如隨機(jī)數(shù)等來(lái)防止重放攻擊；

9.2.2身份鑒別服務(wù)器

身份鑒別服務(wù)器安全要求如下：

11

GB/TXXXXX—XXXX

a)應(yīng)符合GB/T35281-2017中規(guī)定的安全要求；

b)應(yīng)采取有效的安全機(jī)制，確保與其通信的依賴(lài)方身份的真實(shí)性；

c)應(yīng)采取有效的技術(shù)手段，校驗(yàn)身份鑒別業(yè)務(wù)流程中所使用的生物特征識(shí)別器的真實(shí)性和完整

性；

d)應(yīng)通過(guò)校驗(yàn)鑒別協(xié)議報(bào)文中的動(dòng)態(tài)信息如隨機(jī)數(shù)等來(lái)防止身份鑒別業(yè)務(wù)流程中的重放攻擊。

9.3通信安全要求

模塊間通信安全要求如下：

a)應(yīng)能采用有效的技術(shù)手段，確保移動(dòng)應(yīng)用與依賴(lài)方之間通信雙方身份真實(shí)性、通信數(shù)據(jù)的機(jī)密

性、完整性，包括但不限于采取密碼算法和安全協(xié)議（如SSL/TLS等）。

b)應(yīng)能采用有效的技術(shù)手段，確保依賴(lài)方與身份鑒別服務(wù)器之間通信雙方身份真實(shí)性、通信數(shù)據(jù)

的保密性、完整性，包括但不限于采取密碼算法和安全協(xié)議（如SSL/TLS等）。

c)應(yīng)能采用有效的技術(shù)手段，確保移動(dòng)應(yīng)用與身份鑒別可信應(yīng)用之間通信雙方身份真實(shí)性、通信

數(shù)據(jù)的完整性。

d)應(yīng)能采用有效的技術(shù)手段，確保身份鑒別可信應(yīng)用與生物特征識(shí)別器之間通信數(shù)據(jù)的機(jī)密性和

完整性。

9.4身份鑒別協(xié)議安全要求

身份鑒別協(xié)議安全要求如下：

a)身份鑒別協(xié)議中應(yīng)包含動(dòng)態(tài)信息如挑戰(zhàn)碼、隨機(jī)數(shù)等用以防止重放攻擊。

b)身份鑒別注冊(cè)業(yè)務(wù)中生成的用戶(hù)鑒別密鑰，宜采用非對(duì)稱(chēng)密碼算法實(shí)現(xiàn)。

12

GB/TXXXXX—XXXX

AA

附錄A

附錄B（資料性附錄）

附錄C可信執(zhí)行環(huán)境說(shuō)明

一般來(lái)說(shuō)，運(yùn)行在移動(dòng)設(shè)備中的開(kāi)放執(zhí)行環(huán)境被稱(chēng)為富執(zhí)行環(huán)境，富執(zhí)行環(huán)境為運(yùn)行其中的應(yīng)用程

序提供開(kāi)放、豐富的運(yùn)行能力支持，但安全保護(hù)能力相對(duì)較弱?？尚艌?zhí)行環(huán)境是指運(yùn)行在移動(dòng)設(shè)備中的

隔離執(zhí)行環(huán)境，相對(duì)于富執(zhí)行環(huán)境，具備較強(qiáng)的安全能力，可信執(zhí)行環(huán)境保證各種敏感數(shù)據(jù)在一個(gè)可信

環(huán)境中被安全傳輸、存儲(chǔ)、處理，并為可信應(yīng)用提供一個(gè)安全的執(zhí)行環(huán)境。在移動(dòng)智能終端，可信執(zhí)行

環(huán)境確保數(shù)據(jù)機(jī)密性、完整性、可用性和訪(fǎng)問(wèn)權(quán)限；保證人機(jī)交互、密碼輸入、生物特征交互、可信信

息的輸出，為安全載體提供可信操作環(huán)境,如圖A.1所示。

圖A.1可信執(zhí)行環(huán)境示意圖

以安全啟動(dòng)為例，移動(dòng)智能終端安全啟動(dòng)代碼應(yīng)進(jìn)行完整性驗(yàn)證，當(dāng)驗(yàn)證通過(guò)后執(zhí)行安全啟動(dòng)過(guò)程。

安全啟動(dòng)信任鏈可信根源于安全芯片，覆蓋芯片安全環(huán)境啟動(dòng)，終端安全環(huán)境啟動(dòng)。安全啟動(dòng)過(guò)程是指

通過(guò)簽名驗(yàn)證方法(具體實(shí)現(xiàn)依賴(lài)于芯片制造商)來(lái)檢驗(yàn)TEE啟動(dòng)過(guò)程的每一個(gè)階段，以確保TEE內(nèi)軟件鏡

13

GB/TXXXXX—XXXX

像的完整性，防止對(duì)軟件進(jìn)行非授權(quán)或者惡意的修改。安全啟動(dòng)過(guò)程保證了TEE的安全功能被正確地初

始化，并且這個(gè)初始化過(guò)程不受REE的攻擊，同時(shí)使固件的版本符合TEE版本更新策略。

安全啟動(dòng)也伴隨著一個(gè)信任鏈，即整個(gè)過(guò)程開(kāi)始于一個(gè)可信代碼（即這個(gè)代碼的完整性受到保障）

或者信任根，之后在執(zhí)行其它代碼之前都要驗(yàn)證其可靠性。對(duì)于在安全啟動(dòng)過(guò)程中哪些代碼需要驗(yàn)證本

部分不具體定義。安全啟動(dòng)的代碼也可以通過(guò)空中下載技術(shù)以代碼鏡像的方式進(jìn)行更新。為了保證代碼

更新的安全性，在更新代碼之前必須驗(yàn)證更新鏡像的可靠性和完整性。

14

GB/TXXXXX—XXXX

BB

附錄D

附錄E（資料性附錄）

附錄F基于指紋識(shí)別的身份鑒別應(yīng)用

在實(shí)際應(yīng)用中，基于指紋識(shí)別的身份鑒別應(yīng)用主要可分為注冊(cè)和鑒別兩個(gè)流程。

注冊(cè)流程一般為：

a)用戶(hù)在智能終端通過(guò)移動(dòng)應(yīng)用向移動(dòng)應(yīng)用服務(wù)器發(fā)起指紋身份鑒別注冊(cè)請(qǐng)求；

b)移動(dòng)應(yīng)用服務(wù)器判斷是否允許此次指紋身份鑒別注冊(cè)請(qǐng)求，如允許，向身份鑒別服務(wù)器轉(zhuǎn)發(fā)身

份鑒別注冊(cè)請(qǐng)求；

c)身份鑒別服務(wù)器判斷是否允許此次指紋身份鑒別注冊(cè)請(qǐng)求，如允許，返回指紋身份鑒別注冊(cè)請(qǐng)

求響應(yīng)，并經(jīng)移動(dòng)應(yīng)用服務(wù)器返回給移動(dòng)應(yīng)用；

d)移動(dòng)應(yīng)用通過(guò)調(diào)用身份鑒別中間件將注冊(cè)請(qǐng)求響應(yīng)發(fā)送至身份鑒別可信應(yīng)用中進(jìn)行處理；

e)身份鑒別可信應(yīng)用對(duì)身份鑒別注冊(cè)請(qǐng)求響應(yīng)進(jìn)行處理，在用戶(hù)智能終端本地隨機(jī)生成與此身份

鑒別相關(guān)聯(lián)的用戶(hù)鑒別非對(duì)稱(chēng)密鑰對(duì)，并調(diào)用指紋識(shí)別認(rèn)證器對(duì)用戶(hù)進(jìn)行驗(yàn)證。用戶(hù)驗(yàn)證通

過(guò)后，將用戶(hù)鑒別密鑰公鑰與相綁定的用戶(hù)指紋模板標(biāo)識(shí)等信息使用移動(dòng)設(shè)備認(rèn)證密鑰簽名

后返回給移動(dòng)應(yīng)用；

f)移動(dòng)應(yīng)用將信息經(jīng)移動(dòng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)至身份鑒別服務(wù)器進(jìn)行驗(yàn)證；

g)身份鑒別服務(wù)器對(duì)信息進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后在身份鑒別服務(wù)器端保存注冊(cè)關(guān)系以及對(duì)應(yīng)的用

戶(hù)鑒別密鑰公鑰、用戶(hù)指紋模板標(biāo)識(shí)等，并返回指紋身份鑒別注冊(cè)結(jié)果至移動(dòng)應(yīng)用服務(wù)器；

h)移動(dòng)應(yīng)用服務(wù)器將指紋身份鑒別注冊(cè)結(jié)果返回至移動(dòng)應(yīng)用；

i)結(jié)束指紋身份鑒別注冊(cè)流程。

鑒別流程一般為：

a)用戶(hù)在智能終端側(cè)通過(guò)移動(dòng)應(yīng)用向移動(dòng)應(yīng)用服務(wù)器發(fā)起指紋身份鑒別請(qǐng)求；

b)移動(dòng)應(yīng)用服務(wù)器識(shí)別出對(duì)應(yīng)的指紋身份鑒別注冊(cè)關(guān)系并判斷是否繼續(xù)此次身份鑒別請(qǐng)求，如繼

續(xù)，向身份鑒別服務(wù)器端轉(zhuǎn)發(fā)身份鑒別請(qǐng)求；

c)身份鑒別服務(wù)器識(shí)別出對(duì)應(yīng)的身份鑒別注冊(cè)關(guān)系并判斷是否繼續(xù)此次身份鑒別請(qǐng)求，如繼續(xù)，

返回身份鑒別請(qǐng)求響應(yīng)，并經(jīng)移動(dòng)應(yīng)用服務(wù)器返回給移動(dòng)應(yīng)用；

d)移動(dòng)應(yīng)用通過(guò)調(diào)用身份鑒別中間件將指紋身份鑒別請(qǐng)求響應(yīng)發(fā)送至身份鑒別可信應(yīng)用進(jìn)行處

理；

e)身份鑒別可信應(yīng)用對(duì)指紋身份鑒別請(qǐng)求響應(yīng)進(jìn)行處理，識(shí)別出對(duì)應(yīng)的身份鑒別注冊(cè)關(guān)系，并調(diào)

用指紋識(shí)別認(rèn)證器基于此前綁定的指紋模板標(biāo)識(shí)對(duì)用戶(hù)進(jìn)行指紋驗(yàn)證；

f)如果用戶(hù)通過(guò)指紋驗(yàn)證，身份鑒別可信應(yīng)用使用與該身份鑒別注冊(cè)關(guān)系相關(guān)聯(lián)的用戶(hù)鑒別密鑰

私鑰對(duì)包含用戶(hù)指紋模板標(biāo)識(shí)信息在內(nèi)的鑒別數(shù)據(jù)進(jìn)行處理后返回給移動(dòng)應(yīng)用；

g)移動(dòng)應(yīng)用將鑒別數(shù)據(jù)經(jīng)移動(dòng)應(yīng)用服務(wù)器轉(zhuǎn)發(fā)至身份鑒別服務(wù)器進(jìn)行驗(yàn)證；

h)身份鑒別服務(wù)器使用已保存的與該身份鑒別注冊(cè)關(guān)系相關(guān)聯(lián)的用戶(hù)鑒別密鑰公鑰對(duì)鑒別數(shù)據(jù)

簽名進(jìn)行驗(yàn)證。驗(yàn)證結(jié)束后返回身份鑒別結(jié)果至移動(dòng)應(yīng)用服務(wù)器；

15

GB/TXXXXX—XXXX

i)移動(dòng)應(yīng)用服務(wù)器將身份鑒別結(jié)果返回至移動(dòng)應(yīng)用；

j)結(jié)束身份鑒別流程。

16

GB/TXXXXX—XXXX