1 范圍

      本標準規定了基于生物特征識別的移動智能終端身份鑒別的技術框架，包括技術架構、業務流程、功能要求和安全要求。

      本標準適用于基于生物特征識別的移動智能終端身份鑒別系統的設計、開發與集成。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 26238-2010 信息技術 生物特征識別術語

      GB/T 34975-2017 信息安全技術 移動智能終端應用軟件安全技術要求和測試評價方法

      GB/T 34978-2017 信息安全技術 移動智能終端個人信息保護技術要求

      GB/T 35273-2017 信息安全技術 個人信息安全規范

      GB/T 35281-2017 信息安全技術 移動互聯網應用服務器安全技術要求

      GB/T 36651-2018 信息安全技術 基于可信環境的生物特征識別身份鑒別協議框架

3 術語和定義、縮略語

3.1 術語和定義

      GB/T 26238-2010界定的以及下列術語和定義適用于本文件。為了便于使用，以下重復列出了GB/T 26238-2010中的一些術語和定義。

3.1.1

      生物特征識別 biometrics

      基于個體的行為特征和生物學特征，對該個體進行的自動識別。

      注：“個體”限指人。

      ［GB/T 26238-2010，定義2.1.2］

3.1.2

      生物特征項 biometric feature

      從生物特征樣本中提取的，用于比對的數值或標記。

      ［GB/T 26238-2010，定義2.2.2.2.2.4］

3.1.3

      生物特征識別器 biometric matcher

      基于個體的行為特征和生物學特征執行用戶驗證時使用的組件。

3.1.4

      生物特征樣本 biometric sample

      先于生物特征項提取，且從生物特征采集子系統獲得的模擬的或數字的生物識別特征的表示。

      ［GB/T 26238-2010，定義2.2.2.2.2.10］

3.1.5

      生物特征模板 biometric template

      參考的生物特征項的集合，已存儲的生物特征項的集合，可直接與探針生物特征樣本的生物特征項進行比對。

      ［GB/T 26238-2010，定義2.2.2.2.2.9.2］

3.1.6

      比對 comparison

      估算、計算或測量生物特征探針與生物特征參考之間的相似度和相異度。

      ［GB/T 26238-2010，定義2.2.4.1.2］

3.1.7

      執行環境 execution environment

      存在于移動設備中，能夠為應用程序在移動設備中的運行提供必要的能力支持的軟硬件集合。

      注：一般包括硬件處理單元、易失性存儲單元、非易失性存儲單元、操作系統、調用接口等組件。

3.1.8

      身份鑒別 identity authentication

      驗證實體所聲稱的身份的動作。

3.1.9

      呈現攻擊 presentation attack

      以干擾生物特征識別系統的操作為目的，針對生物特征數據采集模塊的一種攻擊行為。

      [ISO/IEC 30107-1:2016，定義3]

3.1.10

      依賴方 relying party

      依賴于其他實體（例如身份鑒別服務器）提供的關于用戶的鑒別結果，對用戶所使用的資源或者系統進行授權的實體。

      ［GB/T 36651-2018，定義3.6］

3.1.11

      移動智能終端 smart mobile terminal

      能夠接入移動通信網，具有能夠提供應用程序開發接口的開放操作系統，并能夠安裝和運行應用軟件的移動終端。

3.1.12

      可信應用 trusted application

      運行在可信環境下，為客戶端軟件或其他應用提供安全相關服務的軟件。

3.1.13

      可信應用管理 trusted application management

      提供應用發行管理和安全模塊管理功能的系統。

3.1.14

      可信環境 trusted environment

      用戶設備上的安全區域，可保證加載到其內部數據的安全性，包括保密性、完整性和可用性等，如可信執行環境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊界的保護區域。

      ［GB/T 36651-2018，定義3.1］

3.2 縮略語

      下列縮略語適用于本文件。

      REE：富執行環境（Rich Execution Environment）

      SDK：軟件開發工具包（Software Development Kit）

      SE：安全元件（Secure Element）

      SSL：安全套接層（Secure Socket Layer）

      TCM：可信密碼模塊（Trusted Cryptography Module）

      TEE：可信執行環境（Trusted Execution Environment）

      TLS：傳輸層安全（Transport Layer Security）

4 概述

      本標準規范了基于生物特征識別的移動智能終端身份鑒別技術框架，并通過身份鑒別協議實現身份鑒別注冊、身份鑒別和身份鑒別注銷等業務流程。

      通常用戶先進行身份鑒別注冊，在成功注冊后，會為本次注冊過程生成相應的用戶鑒別密鑰并與本次注冊過程進行綁定。在對用戶進行身份鑒別時，首先通過移動智能終端所支持的生物特征識別器對用戶進行驗證，只有在驗證通過后才能夠具備權限使用注冊過程中生成并綁定的用戶鑒別密鑰，實現服務器端對用戶的身份鑒別。在身份鑒別注銷過程中，移動智能終端和服務器端將注冊關系以及對應綁定的用戶鑒別密鑰刪除。

      本標準可為移動智能終端上基于生物特征識別技術的身份鑒別相關應用的設計、開發、使用提供統一的基礎技術架構，以此技術框架為基準，為相關功能單元、接口、協議提出功能和安全的基本要求。基于該技術框架實現的指紋識別身份鑒別應用案例可參見附錄A。

      本標準涉及個人信息保護的相關技術要求，應符合GB/T 35273-2017和GB/T 34978-2017的規定。

5 技術架構

5.1 總體架構

      基于生物特征識別的移動智能終端身份鑒別技術框架主要包括移動智能終端和服務器側的若干功能單元，總體技術架構如圖1所示。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。