GBT27912-2011金融服务生物特征识别安全框架.pdf 70页

'ICS03．360；35．240．40A11雷园中华人民共和国国家标准GB／T27912—2011金融服务生物特征识别安全框架2011—12-30发布Financialservices——BiometricsmSecurityframework(IS019092—1：2006，MOD)2012—02-01实施丰瞀熊鬻瓣警瓣瞥星发布中国国家标准化管理委员会仅1p 标准分享网www.bzfxw.com免费下载GB／T27912—2011目次前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯’⋯⋯⋯⋯⋯’⋯。‘引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··】范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2符合性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·3规范性引用文件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·4术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯，5缩略语⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯，6生物特征识别技术概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7技术方面的考虑⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··8生物特征识别结构的基本原理⋯⋯⋯⋯⋯⋯⋯⋯··9管理和安全要求⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯-10安全基础设施⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··11生物特征身份确认的控制目标⋯⋯·⋯⋯⋯⋯⋯附录A(资料性附录)事件日志⋯⋯⋯⋯⋯⋯⋯⋯··附录B(规范性附录)生物特征登记⋯⋯⋯⋯⋯⋯··附录C(规范性附录)安全考虑⋯⋯⋯⋯⋯⋯⋯⋯··附录D(规范性附录)生物特征识别设备的安全要求附录E(资料性附录)现有的应用⋯⋯⋯⋯⋯⋯⋯··参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··工Ⅲ，●●0，，加M他毖丛盯∞驰叭∞明 标准分享网www.bzfxw.com免费下载刖置GB／T27912—2011本标准按照GB／T1．1—2009给出的规则起草。本标准修改采用ISO190921：2006《金融服务生物特征识别第1部分：安全框架》(英文版)。本标准与ISO19092—1：2006的技术性差异如下：a)删除全文中涉及ISO19092～2的内容(因ISO19092—2提案已被ISO中止，且删除这些内容并不影响标准的完整性)；b)删除原标准中的10．1．2，因为本节中的密钥名称全部来自于已经终止的ISO190922；c)10．1．2(原标准10．1．3)数字签名中“哈希算法应满足相关ISO标准(或者等同的国家标准)的具体要求”改为“哈希算法应满足相关国家标准的具体要求”；d)删除10．1．2(原标准10．1．3)数字签名中的列项“应通过明文文本数据进行哈希运算，文本由一个或多个BiometricHeader和BiometricData类型的值组成，除了类型BiometricHeader和BiometricData值之外，还应包括一个IntegⅢyBlock类型的值”；e)10．1．2和10．1．3(原标准10．1．3和10．1．4)中的“密钥管理技术，如表1所示，应按照相关ISO、ISO／IEC标准(或者等同的国家标准)的具体规定执行，例如ISO11568，或者ISO／IEC11770”改为“密钥管理技术应按相关国家标准的具体规定执行”；f)删除原标准中的表1(其后表格的编号都减去1)；g)10．1．3基于数据机密性目的的加密中“加密算法应按相关的ISO标准(或者等同国家标准)的具体规定执行”改为“加密算法应按相关的国家标准的具体规定执行”；h)11．3．1中表12(原标准中表13)的147项：“密钥产生使用密钥产生算法，具体如ISO标准(或者等同的国家标准)”修改为“密钥产生使用密钥产生算法，具体见相关的国家标准”；i)附录A．3．4的列项d)中的“参考模板描述(例如，生物特征OID)”修改为“参考模板描述(例如，生物特征目标标识符)”；j)删除IsO19092—1：2006的附录B．2，因为该处描述的个体身份识别标准不适合我国国情。本标准还做了下列编辑性修改：——将原文中的“本国际标准”、“ISO19092”、“ISO19092的本部分”、“本部分”修改为“本标准”；——删除国际标准的前言；——为全文统一起见，将4．21等错误率的定义中的“交叉率(crossoverrate)”改称“交叉错误率(crossovererrorrate)”；——9．3．3的列项a)中提到的再登记的要求：“使用原始的凭证材料，而并非已经存在的生物特征模板。该方式可提供足够的保证水平，这依赖于已存在的生物特征模板和技术的可靠性和可用性”修改为“使用原始的凭证材料，而并非已经存在的生物特征模板。该方式可提供足够的保证水平，这依赖于原始的凭证材料的可靠性和可用性”(勘误)；——11．4．5的表22集成电路卡(ICC)生命周期控制中的300项“除非CDF处于激活状态或者再激活状态时，否则Ic不能用于金融交易”修改为“除非CDF处于激活状态或者再激活状态时，否则ICC不能用于金融交易”(勘误)；——c．8中的“对单因子生物特征识别系统使用简单概率模型[20]，在N个用户中不出现系统错误匹配的概率Pr为”修改为“对单因子生物特征识别系统使用简单概率模型[20]，在N个用户中出现系统错误匹配的概率Pr为”(勘误)。T 标准分享网www.bzfxw.com免费下载GB／T27912—2011本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC／TC180)归口。本标准负责起草单位：中国金融电子化公司。本标准参加起草单位：中国农业银行、中信银行、上海银晨智能识别科技有限公司、北京中科虹霸科技有限公司、北京握奇数据系统有限公司、杭州中正生物认证技术有限公司、中国人民银行兴化市中心支行、中国人民银行太原市中心支行、中国人民银行石家庄市中心支行。本标准主要起草人：王平娃、陆书春、李曙光、刘运、赵征、林松、曾文斌、邱显超、余伟华、汪雪林、梁敏、吕瑛、仲志辉、张龙龙、李军。Ⅱ 标准分享网www.bzfxw.com免费下载引言GB／T27912—2011随着计算机技术的引人，商业模式已经发生重大变化。电子交易替代从前的纸质交易，降低了成本，提高了效率。这些交易处于一个开放的网络环境中，存在数据被破坏的风险，金融业需求采取相应的措施应对这些风险。生物特征识别，即“你是谁或者能做什么”的识别方式，已经出现若干年，包括如指纹识别、声音识别、眼睛扫描、脸像识别等。生物特征识别技术在可靠性不断提高的同时，成本逐步降低，使其在金融业的实施成为可能。本标准描述了使用生物特征识别技术作为鉴别机制，保护金融业的远程电子访问或本地物理访问的机制和过程。生物特征识别技术可用作物理或逻辑访问的人员身份鉴别。逻辑访问可包括对应用、服务或者授权的访问。本标准可促进生物特征识别在金融业内的应用，并促进生物特征识别信息的管理成为商业机构信息安全管理的组成部分。本标准通过使用生物特征识别技术，提供强度更高的鉴别方式和多因子鉴别机制，为公钥基础设施(PKl)提供更强的鉴别机制。另外，本标准允许重复确认产生数字签名的人实际上就是有权限访问私钥的人。生物特征识别系统的广泛应用建立在一系列因素之上，已有的生物特征识别技术在这些因素上表现各异，这些因素包括：——便利性和易用性；——外在的安全水平；——性能；——非侵犯性。本标准所讨论的鉴别机制限于封闭性用户群体，群体成员已同意使用生物特征识别技术进行身份识别。这些协议可为显性的形式(如服务协议)，或者隐性的形式(如访问某设施即表明具有执行某交易的动机)。监管不确定人员的系统不在本标准讨论的范围之内。本标准阐述的技术用于维护生物特征信息的完整性和机密性，及提供鉴别机制。然而，本标准并不确保某项具体实现足够安全。金融机构有责任设置适当的全业务流程并进行必要的控制，以确保业务流程安全运行。此外，为验证与本标准的一致性，控制措施应包括适当的审计测试。Ⅲ 标准分享网www.bzfxw.com免费下载1范围金融服务生物特征识别安全框架GB／T27912—2011本标准规定了金融业使用生物特征识别机制鉴别人员身份的安全框架，介绍了生物特征识别技术的类型，阐述了有关应用问题。本标准也描述了实现架构，详细规定了有效管理的最小安全要求，也为专业人员提供了控制目标和使用建议。本标准包括：——使用生物特征识别技术，通过验证其声称的身份或识别其个体身份，对参与金融服务的人员和雇员身份进行鉴别；——根据风险管理的要求，对用户登记时提交的凭证进行确认，以支持身份鉴别；——在整个生命周期内，包括登记、传输、存储、身份确认、身份识别以及终止等过程，对生物特征信息进行管理#——生物特征识别信息在其生命周期内的安全性，包括数据完整性、源鉴别和机密性；——生物特征识别机制在逻辑和物理访问控制中的应用；——保护金融机构及其客户的监控措施；——在整个生物特征识别信息生命周期中所使用的物理硬件的安全性。本标准不包括：——个体生物特征识别信息的隐私权和所有权；——有关数据采集、信号处理与生物特征数据匹配、以及生物特征匹配决策流程等方面的具体技术；——生物特征识别技术在非鉴别方面的便利性应用，如语音识别、用户交互和匿名访问控制等方面的使用。本标准适用于由于数据机密性或其他原因而对生物特征信息进行加密的强制方式。尽管本标准并未阐述采用生物特征识别技术对业务应用系统的具体要求和限制，但其他标准可讨论这些问题。2符合性如果生物特征鉴别系统的具体实现满足本标准的管理和安全要求，那么可声称其符合本标准。采用了本标准建议的密码报文要求，且采取了适当策略、措施和操作过程的生物特征鉴别系统，就可声称其符合本标准。通过满足本标准的第9章和第10章中的管理和安全要求，就可以满足生物特征鉴别系统很多方面的符合性要求，并且能够验证其实现方法、相关策略、操作过程是否达到第11章中的确认控制目标。相关机构能够使用附录A中规定的生物特征事件日志来记录与本标准操作方面要求的符合性。3规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件，仅注日期的版本适用于本文l 标准分享网www.bzfxw.com免费下载GB／T27912—2011件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO102023金融交易卡使用集成电路卡的金融交易系统的安全结构第3部分：密钥关系(FinancialtransactioncardsSecurityarchitectureoffinancialtransactionsystemsusingintegratedcircuitcardsPart3：Cryptographickeyrelationships)Is0／IEC19790信息技术安全技术密码模块的安全要求(InformationtechnologySecuritytechniquesSecurityrequirementsforcryptographicmodules)4术语和定义下列术语和定义适用于本文件。4．1适应adaptation自动更新或刷新参考模板的过程。4．2尝试attempt在生物特征识别系统中，出于登记、确认或者识别的目的，提交个体身体局部的生物特征样本。注：可允许个体进行多次登记、确认或者识别尝试。4．3预分类binning基于内在的生物特征模式信息对数据库的划分。4．4生物特征biometric人类生理上的或行为上的可测量特征，并由此可以可靠地区分某个人不同于其他人，以便识别登记者的身份，或者确认其所声称的已登记的身份。4．5生物特征鉴别biometricauthentication通过确认或者识别，确认个体身份的过程。4．6生物特征数据biometricdata从生物特征样本中提取的信息，用于产生参考模板或者匹配模板。4．7生物特征身份识别biometricidentification用所提交的生物特征样本，与登记的某些或者全部参考模板的一对多比较过程，以确定个体的身份。4．8生物特征识别策略(BP)biometricpolicy(BP)命名的规则集，标明生物特征模板应用对于某团体或者某类应用具有统一的安全要求。4．9生物特征实施声明(BPS)biometricpracticestatement(BPS)某个组织在生物特征模板生命周期(例如，创建、管理和消除)内遵守的实施声明，包括业务、法律、规则、技术事项等。2 标准分享网www.bzfxw.com免费下载GB／T27912—20114．10生物特征样本biometricsample经过采集和处理得到的初始(原始)生物特征数据。4．11生物特征识别系统biometricsystem能采集、提取、比对和返回决策结果(匹配／不匹配)的自动化系统。4．12生物特征身份确认biometricverification基于所声称的身份(例如用户ID、账号)，比较匹配模板与其特定的参考模板是否符合的过程。4．13采集capture获取某个生物特征样本。4．14身份声称claimofidentity生物特征识别系统进行身份确认时，所声称身份的参考模板或登记者的名称或者索引。4．15声称者claimant提交生物特征样本，以进行身份确认的人。4．16机密性confidentiality指信息对未授权个体、实体或者过程不可用或者不被泄露的属性。EISO／TR13569：2005；ISO15782—1：2003；IsO／IEc13335—1：2004]4．17密码交换cryptographicexchange在密钥保护之下，进行数据或密码要素的安全传输或存储。4．18决策策略decisionpolicy生物特征识别系统通过决策策略提供匹配与否的决定，包括以下因素：——生物特征识别系统的匹配阈值；一一每次交易所允许的匹配尝试次数；——每个声称者登记的参考模板的数目；——每个声称者登记的不同的生物特征样本(例如，不同的指纹)数目；——声称者进行登记时使用的生物特征识别技术的数目(例如，指纹、声音)；——在匹配过程中使用内部控制，用以检测生物特征样本是否相同。注：在匹配给定用户过程中，生物特征识别系统中的串行、并行、加权或者融合决策模型，可使用多个参考模板(例如，多生物特征识别系统和由多指纹创建、存储参考模板的系统)。4．19加密encryption通过密码算法，将明文(可读)转化为密文(不可读)的可逆转换，以隐藏明文信息内容。4．20登记enrolment从某个人身上收集生物特征样本并生成和存储生物特征参考模板的过程。注：也见初始登记initialenroIment(4．36)和再登记re-enro[ment(4．47)。3 标准分享网www.bzfxw.com免费下载GB／T27912—20114．21等错误率(EER)equalerrorrate(EER)设定系统的决策阈值，以使错误匹配率等于错误失配率，在这种情况下的错误的概率或者百分比，也称为交叉错误率。4．22提取extraction特征提取featureextraction把原始的生物特征数据转换成处理过的生物特征数据的过程，用于模板比较或者创建参考模板。4．23面部特征识别facebiometrics基于面部独有特性的生物特征识别技术，包括可见光谱范围内的特征，红外线光谱范围内的特征，或者两者都包括。4．24获取失败failuretoacquire在生物特征识别系统采集生物特征样本或从样本提取生物特征数据时，出现的不足以产生一个参考模板或者匹配模板的失败现象。4．25登记失败failuretoenrolment在生物特征识别系统采集一个或多个生物特征样本或从样本提取生物特征数据时，出现的不足以产生参考模板的失败现象。4．26错误接受率(FAR)falseacceptancerate(FAR)在一对一系统中，生物特征识别系统错误地识别某个个体，或者未能拒绝冒名顶替者的概率。注：对于一个正向(确认)系统，可用错误接受的次数除以冒名顶替者尝试身份确认的次数来估计。4．27错误匹配率(FMR)falsematchrate(FMR)对于单个模板比较尝试，通过匹配算法，发生错误匹配的比率。注：对于使用一次尝试就决定是否接受的生物特征识别系统，FMR等于FAR。当多个尝试组合起来以决定是否接受时，FAR在系统层次上比FMR更有意义。4．28错误失配率(FNMR)falsenon-matchrate(FNMR)对于单个模板比较尝试，通过匹配算法，没有匹配成功的比率。注：对于使用一次尝试就决定是否接受的生物特征识别系统，FNMR等于FRR。当多个尝试组合起来以决定是否接受时，FRR在系统层次上比FNMR更有意义。4．29错误拒绝率(FRR)falserejectionrate(FRR)生物特征识别系统不能识别真实登记者的概率。注：对于一个正向(确认)系统，可用错误拒绝的次数除以登记者尝试身份确认的次数来估计。4．30筛选filtering通过使用用户的生物特征以外的信息，例如性别、年龄或者种族等，对数据库进行划分。4．31指形识别fingergeometry基于一个或多个手指的形状和尺寸的独有特性的生物特征识别技术。4 标准分享网www.bzfxw.com免费下载GB／T27912—20114．32指纹识别fingerprintbiometrics基于个人指尖上脊线和谷线的独有特性的生物特征识别技术(例如手指细节和手指模式匹配)。4．33手形识别handgeometry，handidentification基于手的形状和尺寸的独有特性的生物特征识别技术。4．34冒名顶替者impostor提交生物特征样本，有意或者无意地试图被鉴别为其他登记者的人。4．35信息安全informationsecurity保障信息的机密性、完整性和可用性，以及其他属性，如真实性、可说明性、抗抵赖性和可靠性。DSO／[EC17799：z005]4．36初始登记initialenrolment首次登记某个人的生物特征数据的过程，个人应提供某种鉴别方式，例如口令或者ID，以建立或者确认身份。注：见登记(enrolment，4．20)和再登记(re-enrolment4．47)。4．37完整性integrity保护信息的正确度和完整度的特性。[ISO／IEC13335—1：2004]4．38虹膜识别技术irisbiometrics基于虹膜的独有特性的生物特征识别技术。4．39匹配match将一匹配模板和先前存储的参考模板进行比较，并对两者之间的相似度或相关度进行打分的过程。4．40匹配模板matchtemplate代表声称者生物特征的数据，提取于声称者的生物特征样本，由生物特征识别系统用于与一个或者多个预存的参考模板进行比较。4．41多生物特征鉴别mnlti-biometricauthentication使用两个或者多个不同生物特征的生物特征鉴别机制。注：例如，指形识别技术结合虹膜识别技术，或者声音识别技术结合面部特征识别技术。4．42多因子鉴别multi-factorauthentication使用两个或者多个因子的鉴别机制：——知识因子，“个体知道的某些事情”；——持有因子，“个体拥有的某些事情”；——生物特征因子，“个体本身具有或者能做的某些事情”。 GB／T27912—20114．43一对多one-to-many生物特征身份识别。4．44一对一on．to-one生物特征身份确认。4．45手掌识别palmbiometrics基于手掌独有特性的生物特征识别技术，包括纹路／细节信息和／或手掌线条。4．46原始生物特征数据rawbiometricdata从传感设备采集的，未经处理的数字形式的生物特征数据(例如指纹图像或者声音流)，适合后续处理以创建生物特征样本或模板。4．47再登记re-enroiment在某个体的生物特征数据至少已经登记过一次后，又对其生物特征数据进行登记的过程。注：见登记(enrolment，4．20)和初始登记(initialenrolment4．36)。4．48参考模板referencetemplate代表登记者生物特征的数据，从登记者的生物特征样本中提取，通常由生物特征识别系统存储使用，用于与随后提交的匹配模板进行比较。4．49注册registration某人在获准登记并分配电子身份标识之前，通过向生物特征服务提供商提供凭证，以证明其身份的过程。4，50视网膜特征识别retinalbiometrics基于视网膜独有特性的生物特征识别技术。4．51风险管理riskmanagement指导和控制某个组织有关风险的各种措施。[ISO／IEC指南73：2002]4．52分值score对两个模板进行匹配，其相似度的数值表示。注：产生生物特征分值的具体方式和表明匹配与否的正确性一样，取决于每个生物特征厂商。4．53签名特征识别signatureverificationbiometrics基于手写签名或者其他签写符号的笔迹独特性的生物特征识别技术。4．54单因子鉴别single-factorauthentication使用单一因子进行鉴别：——知识因子，“个体知道的某些事情”；6 GB／T27912—2011——持有因子，“个体拥有的某些事情”；——生物特征因子，“个体本身具有的某些事情”。4．55模板template代表个体的生物特征的数据，由生物特征识别系统用于执行生物特征匹配。注：见匹配模板matchtemplate(4．40)和参考模板referencetemplate(448)。4．56阈值threshold某一数值点，在其之上，两个进行比较的模板的相似程度足够建立“匹配”关系，在其之下，两个进行比较的模板的相似程度足够低到建立“不匹配”关系。注：阈值可在系统管理级进行调整，以降低错误匹配率FalseMatchRate(4．27)或者降低错误失配率FalseNon-matchRate(4．28)。4．57声音特征识别voicebiometrics基于讲话者声音的声学信息独特性的生物特征识别技术。5缩略语AES高级加密标准(AdvancedEncryptionStandard)ATM自动柜员机(AutomatedTellerMachine)BISMS生物特征信息安全管理系统(BiometricsInformationSecurityManagementSystem)CA认证机构(CertificaitonAuthority)DEA数据加密算法(DataEncryptionAlgorithm)DES数据加密标准(DataEncryptionStandard)DSV动态签名验证(DynamicSignatureVerification)Ic集成电路(IntegratedCircuit)ICC集成电路卡(IntegratedCircuitCard)ID身份标识(Identification)·KEK密钥加密密钥(KeyEncryptionKey)PKI公钥基础设施(PublicKeyInfrastructure)6生物特征识别技术概述6．I介绍生物特征识别技术阐述了用于金融交易中的有关确认个体身份的问题。注册是正式生物特征登记的先决条件。每个人应在获准登记之前，通过向生物特征识别服务提供者提供凭证，以证明其身份。这确保生物特征参考模板确实属于该登记者拥有。生物特征身份识别建立在某种生理或行为特性能够可靠地区分某个人这一被广泛接受的事实之上。生物特征识别技术包括自动收集和比较这些特性。这些特性的数字形式存储在电子介质上，被用于确认个体的身份。使用生物特征识别技术的典型鉴别过程包括下列基本步骤：a)采集生物特征数据；b)评估所采集的生物特征数据的质量，如有必要需重新采集；c)处理所采集的生物特征数据； GB／T27912—2011d)把处理过的生物特征数据与先前登记过的模板进行比较，以决定是否匹配；该匹配过程能用于生物特征身份确认或者生物特征身份识别。有三种基本的生物特征识别过程：登记、确认和识别。——登记是收集某个人的生物特征样本，以及随后产生和存储有关此人的生物特征参考模板的过程。登记过程可承担收集该个体的其他信息的功能，这些信息可把他们与某个组织、账号或者权限集相联系。在不允许重复登记的情况下，可在登记之前进行一个一对多的比较以确保该个体未以其他名称保存在数据库中。如果没有发现匹配，则可将该模板和其相应的信息附加于该个体的数据库条目中(见9．3)。——确认是“一对一”的比较过程。该过程用新采集样本产生的匹配模板与先前产生并存储在数据库或者ID卡中的参考模板进行比较。如果新采集样本与先前的模板相匹配，身份声明就得到认可或确认。——身份识别是“一对多”的比较过程。该过程需要用新采集样本产生的匹配模板和数据库中的所有模板进行比较。身份识别经常被用于确定某个人先前在系统中是否登记过。某些系统使用外部标识符(例如，电话号码)来减少搜索，其身份识别成为“～对少数”。——现代计算技术的出现，使得生物特征识别技术成为在许多领域进行身份识别的可行选择。能用于代表某个个体的特性包括指纹、声纹、虹膜模式、手形、脸像、视网膜模式和签名，这些基本是当今主流的生物特征识别技术。以下段落将给出这些技术的筒短介绍。然而，这些并非当今仅有的生物特征特性，其他还包括手掌识别、头声学、手腕静脉、身体气味、耳朵形状和击键动态特征。随着技术的发展，可应用的特性也在扩充。6．2指纹特征识别个体指尖上的脊线和谷线被认为是该个体独有的。一百多年来，执法机构已经把指纹图像分类成Henry类型及其子类型(即指纹模式，例如环、螺纹和拱形)，也通过匹配脊线末端和分岔的细节点来确定身份。同一只手上不同的手指也有不同的指纹，即使是同卵双胞胎之间也不同。绝大多数现代的指纹匹配技术集中于手指图像内的独特点，即细节点。细节点是个体的脊线分岔(bifurcate)或结束的所在处。图像算法提取这些细节点，创建代表这些细节点的专有模板。模式匹配系统基于与细节点相对应的全部脊线。系统也能分析手指的细微的汗腺毛孔或者两个关键点(例如中心点和三角点)之间的脊线的数量。指纹特征识别技术既能用于确认，又能用于识别。可影响不同个体的指纹和降低图像采集质量的情形包括脏、干燥或者裂开的指纹。年龄、性别和体形大小，也对手指图像有影响，手指放置于采集仪上的方式(包括旋转、移动和压力大小)等也有影响。尽管指纹的采集通常并不被认为具有侵犯性，但是公众仍可见到政府执法组织以往对指纹的负面使用记录。许多指纹系统正被众多公司加以市场化，该项技术的成本、规模和速度已经由于竞争环境而取得重大的进步。6．3声音特征识别声音特征识别(也称“话者识别”)可追溯到五十年前。在数字计算出现之前的早先系统使用若干个模拟滤波器输出，按时间平均后进行匹配。当今的数字话者识别系统对讲话者的声学特征建立模型，该特征能区分不同的个体，并对于单个个体保持时间上的稳定性。这些声学模式反映了解剖学特征(例如，喉咙和口腔的尺寸和形状)和熟练行为(例如，音调、讲话模式)特征。声音特征识别系统能采用三种语音输入方式的任何一种：文本依赖方式、文本提示方式和非文本依赖的说话方式。大多数话者识别应用系统使用文本依赖输入方式，该方式包括一个或多个语音口令的选择和登记。文本提示方式要求用户重复具体的单词、短语或者数字。文本提示的输入方式用于易于出现磁带录制的冒名顶替者的场所。非文本依赖的输入即自由讲话。8 GB／T27912—2011声音特征识别能用于“质询一响应”类型的话者确认，在Is0／IEc7816-11中被归类为“动态生物特征身份确认”。执法机构的话者识别应用系统通常使用非文本依赖的输入方式，因为它不需要具体单词的登记或输入。将输入的语音加以“数字化”从而创建为一系列数字信号。采用数学方法从这些数字信号中提取一部分得到简化的特征集。声音特征识别技术通常用于身份确认，很少用于身份识别。周围环境的噪声大小是收集初始和随后的声音样本的障碍。声音特征识别系统也必须考虑到声音随年龄增长而发生的变化，可根据已被确认的讲话者声音的变化，更新声音模板以增强适应性。许多公司把话者识别引擎作为大型声音处理、控制、切换系统的一部分加以市场推广。声音生物特征的采集被认为不具有侵犯性。该技术几乎不需要额外的硬件，可直接利用已有的麦克风和声音传输技术实现。通过普通的电话(有线或者无线)，可提供长距离的功能实现。但是，登记声音和通过麦克风或声音传输方式的取样间的差别会使得该方法的性能有所下降。6．4虹膜特征识别眼睛的虹膜是环绕瞳孔的有色部分。虹膜的成像使用了独特的解剖特征，例如，光环、腺管、细丝、斑点、凹陷、光线阴影和条纹等，组成了复杂的虹膜图案。虹膜特征识别机制包括对眼睛照明、图像采集、通过特殊的摄像机搜寻独特点等。虹膜特征识别既能用于身份确认，又能进行身份识别。虹膜图像能通过照相机从大于0．33132的距离处在合理的少量配合下自动获取。虹膜特征识别系统利用了自动眼睛检测和高级照相技术。对于公众，虹膜特征识别系统比视网膜系统容易使用得多。根据医学文献，虹膜在角膜后面，天生就保护得很好，长期(数10年)保持稳定。虹膜成像并未被认为具有高侵犯性，因为即使对于一些低复杂度的系统，其最小传感器距离也在75D"lm到100mm之间。普通的隐形跟镜不会对虹膜图像产生影响，但是带标记的隐形眼镜可能产生影响。眼镜和太阳镜引起的反射也可能是个问题。6．5视网膜特征识别视网膜是眼睛的内部结构。视网膜特征识别技术借助了视网膜上的血管图案。视网膜特征识别涉及了对眼睛照明、图像采集、通过特定摄像机搜寻独特特性等技术机制。精确的视网膜图像需要眼睛与扫描仪近乎完美的配合，需要眼睛非常靠近扫描仪，并且需要大量的努力和训练。眼睛和扫描仪配合不当可能引起大量的登记失败和高的失配率，同时这项技术在历史上也具有较低的错误匹配率。视网膜特征识别既能用于身份确认，又能用于身份识别。视网膜图案具有高度的独特性，但是视网膜的结构在人的一生中会发生变化。该项技术要求非常靠近视网膜成像仪，成像仪对瞳孔的强光扫描令大多数人感觉不适。6．6面部特征识别面部特征识别技术通常包括通过某人的脸像，来识别或确认某个人的身份。绝大多数面部特征识别方案使用标准的照相技术，利用了可见光谱采集的图像。另一种可选的方式是使用红外线照相机采集人们脸部独特的热量发射模式，称为面部热成像。可见光系统从采集的面部图像中提取出独有特性。可见光谱面部图像的建模方式包括主成分分析、局部特征分析、神经网络、弹性图理论与多分辨率分析等方式。主成分分析或者“Eigenface”技术，通过加权组合一组基本脸建立特定面部的模型。通过收集多个面部图像，然后用数学方式制定表达这些面部的最佳模型而构建基本脸集。局部特征分析定位并匹配面部的关键特征点，与指纹的细节点提取类似。面部特征识别既能用于身份确认，又能用于身份识别。可见光范围内的面部身份识别技术所面临的挑战包括如何降低姿势、表情、发型、面部毛发、化妆、灯光等各种变化的影响。尽管某些面部身份识别系统使用运动成像技术，某些系统可能需要固定的或摆姿势的用户配合以采集图像。所有系统均在处理图像时，自动检测某个人的头和定位面部。面部身9 GB／T27912—2011份识别的主要优势是，无需用户配合、无需手持、持续工作并被大多数用户所接受。在可见光谱，当身份识别不确定的时候，未经训练的操作人员也能辅助该系统。6，7手形识别手形识别应用于物理访问控制、考勤等已经20多年了。手形识别系统使用相机阵列从多个角度扫描手的形状。传感器可判定手是否处于正确的位置。手形识别使用了手、手指和指节的尺寸和形状，来构成一系列标识性数字系列。该模板是最小的模板之一，仅需要储存9个字节。操作时需要使用一个令牌或者PIN，因为该技术仅在确认模式下使用。患关节炎、风湿病的用户和那些缺失手指或者手过大的人可能会有困难。手形便于使用，几乎无需训练。使用手扫描仪的过程被认为无侵犯性并为公众所接受。指形识别是和该技术相关的生物特征识别技术，该技术仅扫描、提取几个手指特征，而非整只手。6．8签名识别手写签名可通过签名的形状和签名者在签名过程中手移动的方式进行识别。基于手移动的生物特性的签名识别被称为动态签名验证(DSV)。这些系统采集了我们签名的方式，使用如钢笔的角度、完成签名的时间、钢笔的加速度和速度、签名所使用的压力以及钢笔离开纸面的频率等等特性。电子笔、写字板能用于采集签名特征。数字化签名通常用于确认模式而非身份识别模式。传感设备高度敏感，使用时间长容易磨损，因此需要特别小心的维护。由于DSV并不基于静态的图像，伪造就非常困难。由于手写签名是当今声称身份的最让人接受的方式之一，～些公司对DSV系统加以市场推广，签名确认的公众接受度也很高。6．9静脉特征识别静脉鉴别方式使用了人体皮下组织的静脉图案来区别不同的个体。静脉图案通过近红外光读取。当使用近红外光照射皮下静脉时，静脉中扩散的血红蛋白吸收了近红外光，皮下静脉就在图像上形成了阴影。使用图像处理技术将阴影部分从所采集的图像中提取出来，形成静脉图案。随之而形成的血管图案使用血管结构特性进行比较，例如方向和分岔，或者使用图案本身。在实施阶段，手的血管图案，例如手掌、手背、手指的血管图案，用于鉴别，因为手的这些组成部分很容易接触传感器。已经有各种产品开发出来适应这些手的组成部分。由于这些产品有很多功能帮助引导用户进行正确使用，例如基于图像处理技术检测手的位置，它们已经达到了高可用性和稳定的鉴别精度。由于静脉鉴别机制使用的血管图案是隐藏在身体内的信息，因此，它通常不为一般使用环境中的其他人所知晓，使得冒名顶替非常困难。采用手掌、手指、手背等静脉鉴别方式的许多产品，已经被多家金融服务公司”的ATM以及访问控制系统所采用。7技术方面的考虑7．1生物特征识别系统特性对于金融服务的应用，应考虑生物特征识别系统的以下特性——公众接受度和政策考虑；——抗欺骗性(见附录c)；——所选择的生物特征的普遍性；——所选择的生物特征的惟一性；——生物特征识别系统的准确度；】o ——生物特征的稳定性；——模板存储要求(即模板大小)；——系统有效性；——声称者样本和所登记的模板之间的比较速度——环境和接口因素。7．2普遍性GB／T27912—2011为了让生物特征识别系统体现其价值，目标群的几乎所有人都应该能成功地使用该系统。如果存在可用的另一种替代方式来鉴别或者识别那些不能使用生物特征识别系统的人群，则允许存在少许例外人群。应特别注意代替方式的设计和管理，以便使其不会成为系统的弱点或易攻击点。所有的生物特征识别技术都有与之相关的可测的错误率，因此有时厂商的声称可能引起误导。绝大多数这样的错误来自两类用户：a)不能提供传感器所需要的生物特征的个体；b)不能提供稳定的或者高质量的样本，导致错误失配现象的个体。这些个体被视为生物特征识别的“例外个体”。经验表明，他们要么没有可重复测量的生物特征，要么长期遇到“获取失败”的系统错误。不同技术和产品厂商所产生的“例外个体”的比率不一样。多生物特征的使用是这些“例外个体”问题的潜在解决方案，因为作为一个个体，在两个或者多个生物特征方面都是“例外个体”的可能性远低于在单个生物特征技术范围内是“例外个体”的可能性。对于那些不具备关键生物特征的用户也可选择其他的身份识别因子替代，例如PIN。尽管经常需要为普遍鉴别方式提供另外的可选方式，但是这些可选方式或许会降低整个系统的安全性。例如，使用口令作为替代，攻击者可有意地以不能进行生物特征识别为借口，以访问健壮性较低的鉴别机制。7．3独特性独特性描述了某生物特征对于群体的每个个体区别于其他个体的程度。在一个理想的系统中，不存在任何的不确定性：群体中每个个体所测量的生物特征均与其他个体不一样。这仅当特征本身对于每个个体都是独一无二的时候才能出现，这些个体的特征需要排列的数目足够大，以容纳整个群体”，同时该生物特征识别系统能足够细地、可重复地测量特性，产生该特性的独特电子模拟量。经验和研究提供了绝大多数群体生物特征识别特征独特性的一些想法。例如，指纹研究已经有多年了，人们一致认为个体之问的指纹图案是各不相同的。越来越多的最新研究表明，虹膜和视网膜的图案也是独特的。另一方面，例如，两个同卵双胞胎的面部特征未必独特。因此，每个生物特征识别技术的属性都是不相同的，应该对其进行评估，以决定何种技术对于给定的应用系统可提供所需要的独特性等级。7．4精确性生物特征识别技术也会发生统计错误，以至冒名顶替者也可能会被授权访问受保护的资源，而合法的用户却被拒绝访问。生物特征识别系统在1：1确认尝试方式中不能拒绝冒名顶替者，或者在1：N识别尝试中错误地标识某个个体的概率，称作系统的错误匹配率(FMR)；生物特征识别系统在合法的1：1确认尝试方式中不能确认已登记的个体，或者不能在1：N身份识别尝试中标识某个已登记的个体的概率，称作系统的错误失配率(FNMR)。本标准所讨论的这些技术都已达到了错误匹配和错误失配指标的一定等级。系统的FMR和FNMR具有负相关性，因此调整生物特征识别系统安全性的设置以降低FMR，却11 GB／T27912—2011会导致FNMR的提高，反之亦然。两个生物特征模板是否匹配基于以下的比较：a)匹配尝试所得的分数；b)系统的匹配阈值。严格来说，系统的FMR和FNMR并不是由管理者“调整”。相反，管理者调整的是单个阈值，在阈值之上，两个模板宣布为匹配，在阈值之下，两个模板宣布为不匹配。因此，不可能调整一个错误率却不影响另一个：两个错误率都是单个阈值的函数。系统配置人员的操作环境通常规定了应该限制什么类型的错误，同时承担着潜在提高另一种错误类型的代价。例如，高安全性的设备通常使系统FMR最小化，同时却承担着提高系统FNMR的代价，反之，客户服务设备通常使FNMR最小化，但却承担着提高FMR的风险。由于FMR和FNMR之间的关系，系统的FMR只有结合FNMR时，才有意义，反之亦然。任何系统均能通过简单地拒绝所有尝试而宣称0％的FMR，或者通过接受每一次尝试而宣称0％的FNMR。合理的生物特征识别系统将同时提供较低的FMR和FNMR。生物特征识别系统的FMR等于其FNMR的值就是等错误率(EER)或者交叉错误率。注1：某些生物特征识别系统不允许调整阈值，也不使用EEREl7]。该比率提供了整体匹配准确性的有用的简单描述，因为低EER的系统比高EER的系统更可能进行准确的运算。然而，几乎很少有配置人员真正使用错误匹配和错误失配率等同的系统。依据他们的运算环境，绝大多数系统选择强调便利性或者安全性。比较不同生物特征识别技术的精确性时，配置人员宜评估由什么方面构成错误匹配和错误失配的可接受程度，然后决定采用何种或几种技术，达到两种计量方式的所需等级。注2：FMR和FNMR不能单独用于决定整个系统的精确性：系统的登记失败率，或者用户不能提供足够独特或者可重复的生物特征数据进行登记的百分率，是匹配错误率所不能反映的关键因素。某些生物特征识别技术的能力使得其可部署为采用身份识别方式，或者“单因子鉴别”。单因子鉴别方式无需个体提供具有系统安全性和便利性含义的卡片、令牌或者用户名形式的惟一身份标识符。c．8将进～步讨论这些问题。错误率能通过独立的测试或者生产厂商提供的测试产生。上述两种测试测出的错误率均仅能反映在严格控制的测试环境下的性能，而不能反映根据决策策略所部署环境下的性能。决策策略是生物特征识别系统提供是否匹配策略的逻辑行为，包括具体实现的因素。为了测量生物特征识别系统在现实环境中的牲能，宜将系统的错误率与其决策策略结合起来进行评估。生物特征识别系统的决策策略的一个主要因素就是允许进行确认或识别的尝试次数。在生物特征识别系统中，“尝试”是指个体提供可用的生物特征样本给生物特征识别系统，即某个指纹、声音模式、或者虹膜图像。注3：在某些生物特征识别系统中，一次尝试包括了在较短时间内对多个生物特征样本的比较。面部扫描系统能在几秒钟的周期内获得多个面部图像，为每个图像产生匹配模板，判断是否所获取的图像中有一个超出阈值，然后得出匹配结果。在这种情况下，“尝试”可持续到系统超时为止。绝大多数生物特征识别系统允许个体在超时或者阻止下一步尝试之前，进行多次确认或识别尝试，例如，为了与其登记的模板进行确认，可允许个体在采集仪上放置指纹三次。通常的决策策略就是如果三次尝试中任何一次成功，就可授权访问。在该决策策略下，系统的有效FNMR将低于单次尝试情况下的FNMR，即如果有多次的尝试，用户在身份确认过程中，更有可能确认通过。然而，该决策策略提高了系统有效的FMR，因为冒名顶替者可有多次机会提供生物特征数据以击败系统。生物特征识别系统的决策策略的另外一个因素，就是与给定用户相关的登记模板的数目。许多生物特征识别系统从一个用户获取两个登记模板，例如从左边和右边的指纹获取，以减轻手指损害对系统的影响和降低授权用户的错误失配事件。如果系统允许用户与其登记的任何模板进行确认，系统的有效FNMR可比其单次尝试情况下的FNMR要低，即用户更有可能与其所登记的模板之一进行身份确12 GB／T27912—2011认。然而，该决策策略提高了系统的有效FMR，因为冒名顶替者有多次机会与所登记的生物特征数据进行匹配。其他可影响系统精确性的决策策略因素包括以下几点：——每个声称者所登记独特生物特征的样本(例如，不同的指纹)数目；——声称者所登记的生物特征识别技术的数目(例如，指纹、声音)；——为检测相似或不相似的生物特征样本而在匹配过程中使用的内部控制措施，例如，比较连续的两个模板，以决定个体是否在放置不同的手指尝试错误(欺骗性)匹配；——在生物特征识别系统中使用串行、并行、加权或者融合的决策模型，该生物特征识别系统对给定的用户匹配过程使用了多次参考模板(例如，多生物特征识别系统，也就是通过多个指纹创建和存储参考模板的系统)。生物特征识别系统的安全性要求部署人员评估决策策略对FMR和FNMR的影响．以确定生物特征识别系统部署后的性能。生物特征识别系统的有效FMR和有效FNMR代表了其错误率，同时需考虑部署人员的决策策略的所有因素。根据组织的需要，基于风险评估，设定整体的决策策略(包括阈值)。7．5性能评估评估生物特征识别产品的性能时，理解各种能影响FMR和FNMR(见C．5)测定的因素很重要。不同产品所报告的性能指标可能是在不同的环境下进行测定而得到的，因此，不能对它们进行直接比较。宜考虑以下因素：——谁是测试中的用户，他们是如何选择的?理想情况下，用户宜在真正的应用环境中从可代表使用系统的人群中随机选择。然而，在一些情况下，测试用户并不真正代表真实世界用户。如果测试群体来自产品厂商的雇员群体，他们与目标用户在教育水平、文化背景和其他可影响所选生物特征识别系统的因素方面也许有显著不同。——测试用户是怎么培训的?测试者的训练对参与的用户宜尽可能与真正的系统用户一样接近。测试者通常比真实用户得到更仔细的培训，要么自觉(提高测量的性能)要么非自觉(由于产品厂商对其产品的积极性)。有一个相关问题是在正式的测试过程开始之前，测试群体使用系统有多长时间。通常来说，用户刚开始使用系统时，性能比较低，当他们习惯系统后，性能将提升和稳定。——在测试过程中使用什么阈值?因为样本和存储的模板之间错误匹配率和错误失配率依赖于阈值设定，测试过程中的系统FMR和FNMR将同样地受到所选择的阈值的影响。FMR和FNMR宜在一个相同的阈值下进行报告。——每次身份确认会话中允许几次尝试?绝大多数测量基于在生物特征识别系统确认身份时只进行单次尝试。然而，某些测量则基于在一次允许用户进行多次尝试的“会话”中的综合结果。系统的决策策略，包括每次身份确认会话所允许的尝试次数，将允许由相同的单次比较的错误匹配率和错误失配率产生不同的系统FNMR和FMR。显然，如果用户进行身份确认时提供多次尝试，FNMR将较低，FMR将较高。——阔题用户从测试中系统性地消除了码?通常，在登记时，有一些用户“无法获取”。这通常叫做“登记失败”。如果登记要求设置很高，问题用户能在测试登记时加以系统性消除。当然，消除问题用户将降低随后在测试中所测定的错误匹配率，导致较好的系统性能。——成功扮演其他用户的动机是什么?在某些生物特征识别系统中，一个用户如果想这么做，有更好的机会获取错误的匹配，例如，如果其努力的话，用户可有更好的机会模仿其他用户的签名、声音或者键盘动态规律。因此FMR的测量受测试方式的影响。在某些测试中，如果用户能成功地假冒其他用户的身份，那么他们可直接获得利益回报。在其他测试中，他们不存在利益13 GB／T27912—2011回报。最后，通过对收集到的生物特征数据库进行交叉测试来执行错误匹配测试，以观察任何一个样本是否可能会与另一个人的样本匹配。——测试情形是怎么与真实应用进行比较的?测试主体是被安排在舒服的房间使用系统吗?如果是这样，实际应用可能包括在坏天气、在户外或在黑暗中进行身份确认吗?用户将必须站着进行确认吗?他们着装方式不一样吗，例如穿着厚重的冬衣，这会在某些方面影响确认性能?这些都是决定测试结果是否会与实际环境下的结果准确匹配的重要因素。——测试组织是公平的吗?某些测试由独立组织实施。其他由销售生物特征识别产品的厂商，或者其他为了使产品看上去好或者不好的厂商组织实施。独立的测试组织更可能以没有偏见的方式对产品进行测试，而并非在最好的情况下对具体的产品或技术进行测试。——进行测试以来，产品是否有变化?产品经常变化。你看见的测试结果也许来自于与今天所用产品不同的某个版本。通常这意味着性能将会提高或效率将会相同，但是成本降低了。尽管可能性较小，但硬件和软件的变化也有可能会降低性能。在为你的应用选择生物特征识别产品之前，明白这些问题非常重要。生物特征识别性能依赖于准确的安装条件和用户条件，可能很难测量，需要测量比其他产品性能测量多得多的变量，例如，测量计算机系统每小时能支持的交易数量或者一个磁盘驱动器的的访问速度要相对容易得多。当选择生物特征识别系统时，要确信你明白性能是如何测量的，以及系统在你的应用环境中是如何使用的。没有测试环境能够替代真实应用环境。生物特征识别产品厂商无法复制所有潜在顾客的使用条件，因此宜假定产品厂商会自然地偏好于美化他们的产品。因此顾客宜进行最终测试，以了解系统在他们的特定条件下是如何执行的。7．6互操作性金融机构签发的生物特征模板宜于以机构的生物特征识别信息管理策略和措施使用。8生物特征识别结构的基本原理8．1生物特征识别系统模型所有的生物特征识别系统均具备通过对个体的某些生理特性与所存储的同样特性的信息进行匹配，以识别个体的功能。生物特征识别系统的方式、应用和实施措施各不相同，在生物特征识别标准中，理解生物特征识别系统模型和绝大多数应用系统的基本方法很重要。所有的生物特征识别系统由下列子系统组成：——数据收集；——信号处理(特征提取)；——匹配；——存储；——决策；——传输。注：在动态生物特征身份确认中，使用了“质询展示”子系统。传输是生物特征数据在两个物理上并非配置在同一抗篡改的安全模块里面的两个组件之间移动。传输可在任何两个组件之间进行，这依赖于具体产品厂商的实施机制，同时，在某些系统中可以不存在传输。任何生物特征识别系统均在特定环境中运行，在评估系统的安全性时应加以考虑。11．2阐述了生物特征识别系统的两个主要域：a)物理域，待确认或者身份识别的主体处于其中；】4 GB／T27912—2011b)逻辑域，生物特征数据计算处理在其中进行。数据收集设备提供了从物理域到电子处理域的桥梁作用。而且，某些生物特征识别技术具备足够低的交叉错误率，适合大规模的单因子鉴别方式。从安全性和便利性的角度来看，单因子鉴别更有意义(见c．4．3)。每个主要的组件在8．2～8．8中有更多细节描述。8．2数据采集子系统数据采集子系统包括输入设备或者传感器，从用户读取生物特征信息，把其转化成适合生物特征识别系统的其他部分进行处理的形式。它连接物理域与逻辑域。实例包括各种传感器，例如，摄像头、指纹采集仪、特定的签名笔或者签名板、麦克风和其他针对所选生物特征特性的具体输入设备。该子系统的输出是原始的生物特征数据，可进行本地处理或者传输到其他地方。为了成功地识别用户，作为样本的生物特征特性应与用户所登记进行比较的模板相似。这加强了对数据采集传感器的设计要求，也可能导致对用户训练的要求。某些特性会随着时间慢慢变化，为了使所存储的参考模板适应这些变化，生物特征识别系统可进行同步凋整适应(见c．7．3和C．7)。也可在公开基础上，对用户记录按照新登记模板进行再登记(通常由应用发起)。在使用过程中，把生物特征特性提交给传感器，传感器把特性转换成适合进一步处理的电子信号。给定系统的所有传感器应足够相似，以便由某个传感器测定的特性与其他传感器测定的相同特性相匹配，以便用户可在任何地方得到相同的确认。这要求传感器应保持时间的一致，或者决定于内部的稳定特性，或者通过自动校准。某些系统在传感器或者信号处理路径上包括自动质量控制特性，这些系统能检测到可能导致高错误失配率的低质量信号。数据采集子系统的性能和输出受到以下方面变化的影响：——采用的生物特征模式；——生物特征向传感器的呈现方式；一一传感器本身的性能；——周围环境条件(例如，灯光、背景噪音)。8．3传输子系统传输子系统提供在数据采集、信号处理、决策、存储和匹配等组件之间传递信息的能力。所提供的连接机制可以是点对点模式或者一个系统与多个子系统连接的网络模式。进行通讯的系统组件可处于本地或者远程，在同一安全信封内，例如，抗篡改安全模块(见附录D)，或者在分离的安全信封内。传输子系统不必是单一的，实际上可由多种不同的传输介质组成，例如以太网、租用线路、无线等。这些介质可以提供也可以不提供安全服务(如所连接的各子系统之间的数据机密性、数据完整性和源鉴别服务等)。8．4信号处理子系统信号处理子系统从数据采集子系统接收原始数据，然后把数据转换成匹配子系统所需要的形式。对于待测量的不同生物特征特性和不同厂商的生物特征识别系统，具体的处理方式有所不同。系统可对输入的信号进行质量分析，以确定其是否适合使用。如果信号不能通过质量测试，那么信号将被拒绝。根据登记策略，用户可能需要提供另一份生物特征。为了去除噪声和其他对匹配过程多余的信息，可应用信号过滤机制。这包括从信号中去除高频或者低频数据。信号可通过某种方式进行标准化，例如模拟信号的电压可调整到某个可接受的限制范围内，视频图】5 GB／T27912—2011像可调整至亮度和对比度的标准范围内。一旦输入的信号调整到满意时，就将信号进行分析，提取将由匹配子系统所使用的特性。某些生物特征识别系统需要比较原始数据，因此这一步不要求。特性提取就是把原始数据转化成一套特征值，并将其提交给匹配过程。特征的类型因不同的生物特征技术而不同。指纹系统通常搜寻物理特征，例如脊线的分岔和端点；系统将提取特征集，特征集中的每个特征均表明该特征的类型，特性的位置和它的角度等。另一方面，声音识别系统可记录诸如信号不同频率分量的能量这样的特征。特性提取的结果就是形成比原始数据信号容量小得多和更易于使用的数据。通常来说，一旦原始数据已经处理，通过已经处理的数据或者模板重构原始数据是不可行的。8．5匹配子系统匹配子系统从信号处理子系统接收到处理过的生物特征数据，将其与来自存储子系统的生物特征模板进行比较。匹配子系统在生物特征识别系统中起着关键的作用。匹配器由以下子组件构成：——时序器；——匹配计分模块；——适应模块(可选)。时序器执行匹配模块、适应模块操作行为的排序工作，以及把匹配计分传送给决策子系统执行不同的功能。匹配计分模块测定声称者样本和模板之间的相似性。每次对样本和特定模板的比较，产生一个分数值，该分数值表明样本和模板匹配得如何。分数的计算方式因生物特征识别技术而不同，但是通常方式包括距离矩阵(见E15])、概率测定和归一化相关。最后，分数值宜与生物特征识别主体的正向身份识别的置信度相关联，该分数可纳入到金融机构授权策略的所有商业规则和风险策略中，并成为一个考虑因素。该置信度可作为决策子系统实现交易授权策略的考虑因素，采纳生物特征作为一个鉴别因子。在身份确认的最简单形式中，时序器把声称者样本和登记模板提交给匹配器，并把结果传递给决策子系统。决策子系统产生一个关于声称者是否是其所声称的身份的是非决定。然而，匹配计分模块和时序器之间的相互影响可能会对执行身份识别的系统产生作用，例如，在某身份识别模式中，时序器可考虑增加其他的有关声称者样本的索引和预分类信息，以将匹配器的计算工作集中到最有可能匹配的样本上。也可将决策子系统的反馈信息纳人到身份识别流程，以引导对最可能的匹配登记模板的搜索。某些系统使用时序器和匹配器，根据决策子系统的反馈，对登记模板进行更新，以适应逐步变更的用户的生物特征特性(见c．7)。应用程序(例如，交易授权系统)以什么样的方式使用决策处理结果取决于于应用程序的目的。该层次的行为不属于决策子系统本身，但是属于应用程序的一部分。最常见的是，如果决策表明某个声称者的模板与其身份匹配，那么，应用系统将授权用户某个等级的权限。然而，在其他系统中，目标则是确认用户是否包含在模板数据库中，例如，当某个金融服务雇员试图在某账务程序中登记(而他／她已经是其中的成员)时，可以避免重复记录。在这种情况下，只有当用户的样本与现有数据库中的任何模板均不匹配时，应用程序才会“接受”该用户。8．6决策子系统决策子系统收到来自匹配子系统的分数值，通过基于业务风险和风险策略的置信值，解释分数值结果。基于模式匹配子系统所计算的分数，决策子系统返回关于声称者的正向身份识别的二进制“是”或者“否”。在绝大多数情况下，决策基于单个阈值。如果分数在阈值之上，那么系统将得出用户的确是拥16 GB／T27912—2011有模板的个体的结论。如果不在阈值之上，那么系统将表明该用户并非那个个体。在更复杂的情况下，决策子系统可能需要匹配个体提交的3份样本中的一个，或者在更高安全场合需要匹配三种特征中的两种。应用程序(例如，交易授权系统)以什么样的方式使用决策处理结果取决于于应用程序的目的。该层次的行为不属于决策子系统本身，但是属于应用程序的一部分。最常见的是，如果决策表明某个声称者的模板与其身份匹配，那么，应用系统将授权用户某个等级的权限。然而，在其他系统中，目标则是确认用户是否包含在模板数据库中，例如，当某个人试图在某账务程序中登记(而他／她已经是其中的成员)时，可以避免重复记录。在这种情况下，只有当用户的样本与现有数据库中的任何模板均不匹配时，应用程序才会“接受”该用户。8．7存储子系统存储子系统为登记的用户保存模板。根据匹配子系统的需要，它提供登记模板的增加、删除和检索功能。存储子系统根据系统架构和预期的功能，可为单个用户包含一个模板或大量模板。例如，模板可存储在：——生物特征设备中的物理保护介质；——计算机系统的常规数据库；——便携的令牌，例如智能卡。为每个用户存储的数据总是包括用户的模板，但是也可包括其他信息。如果同一数据库用于用户鉴别以外的目的，也可包括与生物特征识别系统完全不相关的数据。8．8便携式令牌当便携式令牌，例如，智能卡与生物特征识别技术一起使用时，那么第8章所述的任何一个(或者未提及的)生物特征识别子系统可驻留在令牌中。最常见的卡部署模型(从最低到最高的令牌成本)是：——“持卡身份”，令牌不包含任何生物特征模板或者子系统，用于与卡外生物特征身份确认系统一起提供双因子鉴别机制；——“离卡匹配”，持有一个或多个模板的生物特征存储子系统部署在令牌中，所有其他的生物特征子系统均在令牌之外；——一“卡内匹配”，匹配和存储子系统均在令牌中，数据采集在令牌之外；决策子系统的信号处理既可在令牌中，也可在令牌外；——“内嵌式卡片”，所有的生物特征识别子系统(包括传感器)均在令牌中，身份确认可不需要与任何外部系统进行交互。“持卡身份”模式与带有核心数据库的无卡生物特征识别系统实现机制没有显著不同。令牌包含与个体参考模板相关的某个惟一值。拥有该令牌的个体提供该值来宣称其身份。该值用于简化模板数据库中对个体参考模板的定位，无需通过生物特征匹配进行搜寻。总之，令牌和生物特征提供双因子鉴别机制。该模式把无卡执行机制的风险和令牌成本最小化，但是并未提供分散模板管理的好处。其他三种模式通过把参考模板装载在令牌中，去除了集中模板管理和数据库支持的需要。然而，分散的模板存储提高了攻击者变换和替换模板的风险。公共共享参考模板带来的其他风险和机密性适用于“离卡匹配”模型。在该模型中，令牌应把个体的参考模板发给外部的身份确认系统。该种暴露使得模板易于遭受“浏览”窃取或者其他攻击。“卡内匹配”模式避免了与“离卡匹配”模式相关的模板暴露的风险。该模式并不发送参考模板给外部系统。相反，令牌接收生物特征样本或者匹配模板，仅发送生物特征匹配结果和决策控制信息。由于在进行身份确认时，令牌并不跨越接口向外部系统传送参考模板，“内嵌式卡片”模式很大程度上避免了篡改和浏览风险。然而内嵌式令牌会因为对令牌的粗暴操作和保管而出现传感器故障，会因17 GB／T27912—201I为传感器脏或受损而出现低质量采样，会因为较低的采样质量和有限的处理能力而出现更高的失败率(包括FMR和FNMR)。9管理和安全要求9．1基础应用在生物特征识别系统中存在三种基础应用：a)登记(创建随后用于身份确认或者识别的生物特征模板)；b)身份确认(用户声称其身份，并提供生物特征以证明其身份)；c)身份识别(系统搜索数据库，查找与其所提供的生物特征相匹配的模板)。9．2核心安全要求本条规定了为每个应用程序管理和保护生物特征信息、存储及传输生物特征信息、为了一致性和审计目的而维护事件日志的要求。以下的核心要求适用于任何使用生物特征信息的应用程序和环境。a)应采取合适的机制维护生物特征数据和两个组件之间鉴别结果的完整性，可使用：·密码机制，例如数字签名；·物理保护，其中不包括任何传输，所有的组件都驻留在同一抗篡改的单元中；b)应采取合适机制互相鉴别发送组件和接收组件之间生物特征数据的来源、目的地以及鉴别结果，可使用：·密码机制，例如数字签名；·物理保护，其中不包括任何传输，所有的组件都驻留在同一抗篡改的单元中；c)如果愿意，可采取合适机制确保任何两个组件之间和所有组件内部生物特征数据的机密性，可使用：·密码机制，例如数字签名；·物理保护，其中不包括任何传输，所有的组件都驻留在同一抗篡改的单元中。这些生物特征识别应用程序均由8．1所描述的组件构成。9．3登记9．3．1撅述登记就是用户身份(可通过用户声称．或者通过预先的业务关联，或者通过间接文档确认，如护照、公民身份证、驾照或者出生证明等)与生物特征模板数据绑定，生物特征模板数据输入到系统数据库或合适的便携式令牌中的过程。绑定信息由组织自由决定，可以是一个或多个间接文档的某些代表值的哈希值。注：也可能有必要对业务的有效性及个体代表其自身进行交易的合法性进行验证。因此，金融机构通常审查公司组建资料、企业信用报告、确定管理人员和授权签名者的董事局决议以及其他业务凭证，作为身份确认流程的一部分。登记过程包括在数据采集过程中采集的原始生物特征数据。信号处理结果产生一个模板，对该模板进行安全的存储。如果合适的话，样本数据可提交给匹配子系统进行身份识别，以确定登记者是否已经注册。如有必要，匹配子系统组件可检索尽可能多的模板。也可实现其他方式的登记，例如存储来自众多登记者的原始数据，以批量方式提交产生模板数据。9．3．2初始登记初始登记是为了创建生物特征模板，首次对登记者进行的生物特征数据采集。除了9．2的核心要18 GB／T27912—201求，以下登记要求也适用。a)应采取适当的机制和程序确保登记操作人员拥有授权以完成对登记者的登记(例如，对登记功能的访问控制)；b)应采取适当的机制和程序在采集登记者的生物特征数据之前，确认其身份。可使用间接材料，如照片鉴别；c)应采取适当的机制和程序确保生物特征信息与登记者的绑定，以使登记过程中所采集的生物特征信息属于该登记者，可使用：·物理保护，例如令牌，其中不存在信息传输，所有组件均驻留在同一抗篡改单元中，如ISO／IEC19790所述；注：1SO134911包含了类似的内容，与金融服务有特定的关联性。·手工过程，例如参考号，通过该参考号可追溯其对应的生物特征信息；d)每个生物特征识别组件应至少满足应用系统的最小安全等级，应满足或者超过与可控环境中等级2的物理安全要求等同的条件，至少满足不可控环境中等级3的物理安全要求条件，见附录D；e)从登记过程开始，生物特征数据的完整性与真实性应在整个生命周期中得到保持。而且，应记录模板的签发日期，并在整个生物特征生命周期中保持其完整性。9．3．3再登记再登记适用于对生物特征模板的更新，例如：——更新生物特征数据，例如，使用生物特征生命周期的安全策略；——变更生物特征源，例如，使用不同的手指；——变更生物特征技术，例如，从手指图像切换到虹膜扫描；⋯一当生物特征设备不再可互操作时，对其进行变更，例如，从指纹传感器A转移到指纹传感器B。再登记的安全要求与登记的要求一样。鉴别登记者的要求可通过任何下列方式之一的再登记过程得到满足。a)使用原始的凭证材料，而并非已经存在的生物特征模板。该方式可提供足够的保证水平，这依赖于原始的凭证材料的可靠性和可用性；b)使用生物特征模板，而并非已经存在的间接材料。依赖于已存的生物特征模板和技术的可靠性和可用性，该方式可比仅仅依赖间接材料，提供更高等级的保证；c)使用生物特征模板和已经存在的间接材料。该方式可比仅仅依赖间接材料或者生物特征模板，提供更高等级的保证。某些生物特征识别技术和鉴别机制无需更新模板中的生物特征数据，因此之前的模板和新模板除签发日期外本质上相同(见c．7，参考有关更新和适应之间的安全风险区别)。进行再登记时，需要终止先前的模板，并还可能需要对先前的模板进行存档。9．4身份确认在身份确认过程中，用户提交所声称的身份和进行测定所需要的生物特征特性。通常基于所声称的身份，系统提取用户的模板，并将其与从所测定特性产生的特征进行比较，以确定用户是否确实是所声称身份的拥有者。身份确认过程包括数据采集子系统所采集的原始生物特征数据、信号处理子系统所产生的样本生物特征特性、从存储库中提取的特定生物特征模板和匹配子系统进行的样本特性和模板的比较。匹配19 GB／T27912—201所产生的分数可提交给决策流程，也可给应用程序，在其中，进行分数评估和确定“是／否”的布尔值。如果决策过程与应用程序相分离，那么应用程序将仅接收布尔结果。尽管生物特征模板的调整适应在匹配子系统中进行，但是是否接受调整适应并更新所存储的登记模板也可涉及到决策子系统(见C．7)。生物特征数据包括原始特征数据、所处理的样本数据和生物特征模板。除了9．2中的核心要求，以下要求、建议和其他身份确认的考虑因素也适用。a)应在至少满足附录D中等级3要求的抗篡改的安全模块内的物理限制环境中，或者提供相当水平的安全性的物理环境中执行匹配子系统，具体由金融机构决定。可通过各种与卡内匹配无关的架构来满足这些要求；b)不同的生物特征机制的错误率各不相同。由于物理特性和人员行为的不同属性，很难达成一致和通用的生物特征识别错误率。为确定准确错误率而涉及到的变量包括与正确使用生物特征识别技术、环境条件和用户培训及接受度相关的各种因素。本标准假定这些生物特征识别系统在理想条件下执行；c)对于身份确认系统，生物特征识别技术的相应错误失配率应符合易于操作的要求，且应不超过102(见C．6)；d)也应考虑登记错误率，以便不出现重大用户服务问题。评估整个系统的安全性时，部署人员应记住7．4所阐述的决策策略观点。本标准要求的单次尝试错误匹配率和错误失配率，与有效的错误匹配率和错误失配率之间存在重大区别。系统的有效错误匹配率和错误失配率是表征部署人员考虑决策策略的所有因素的错误率。例如，对多个登记模板的系统，其决策策略允许对给定用户提供多次尝试，将比单次尝试错误匹配率拥有更高的有效错误匹配率。这是由于在身份确认过程中，在一定程度上冒名顶替者的模板与登记模板之间匹配的可能性提高了。例如，生物特征识别技术可拥有10“的FMR，但是，由于其实现方式，易产生更高的真实错误匹配率。由于生物特征识别技术的特性，用户在为要实现的系统确定具体的准确要求时，应小心地平衡安全风险、谨慎的业务行为和应用描述，另外也宜与产品厂商一起确保随后采取最优的测试流程。9．5身份识别基于一套生物特征模板，身份识别过程用于识别出大群体中的个体。用户提交所要求的生物特征特性，系统就把生物特征数据与系统数据库中的模板集进行比较。在最简单的情况下，系统只要一发现第一个匹配模板，就停止模板核查，返回与该匹配模板关联的身份，作为用户的身份。更复杂的变化也是可能的。例如，为了确认匹配的用户不多于一个，系统可将用户的生物特征样本与系统数据集中的所有模板进行比较。在存在多个匹配的情况下，系统可把用户确认为最符合样本数据的模板的所有者，或者也可以使用其他方式。身份识别过程包括数据采集阶段所采集的原始生物特征数据、信号处理子系统所产生的样本生物特征特性、从存储库中提取的多个生物特征模板以及匹配子系统进行的多个样本模板的比较。匹配所产生的候选人列表可提交给决策过程，也可提交给应用程序，在那里对候选人列表进行评估并确定一个假定的身份。如果决策过程与应用是分开的，那么应用将仅接收结果。身份识别的安全要求和9．4一样，除此之外还有身份识别的其他考虑。本标准建议，对于单因子鉴别的生物特征识别系统宜采用明显低得多的系统错误匹配和错误失配率。单因子鉴别系统如何确定合适的错误失配和错误匹配率，依赖于身份识别的尝试次数、执行尝试所对应的数据库的大小和整个决策策略(见C．8)。为了确保实现身份识别系统的最高系统精度(尤其在大数据库的情况下)，有必要利用高质量的传20 6B／T27912—2011感器(通常比身份确认系统需要更高)以产生高质量的样本数据。也有可能需要设定更高的阈值。如果生物特征识别系统用于阻止某些个体登记，那么关键就是使登记的质量足够高从而能够进行精确的搜索。低质量的登记则更可能使个体多次注册。9．6传输和存储9．6．1概述传输过程位于登记之后，身份确认或者身份识别之前，在这个过程中生物特征模板被传递到其存储位置。9．2描述不同子系统之间的关系。登记过程创建模板，并把其传输到～个或者多个存储地点，由身份确认和身份识别程序进行访问。存储地点可以是中心数据库、本地存储或者移动式令牌，例如智能卡。统一模板规范很重要，以便某个金融服务机构创建的模板能够被其他机构使用。多个产品厂商的共同的标准化方案可使解决方案易于制定，促进竞争和降低用户成本。9．6．2传输登记过程发生的地点、生物特征模板创建和存储的地点可能不相同，因此包括传输。传输的要求见9．2的核心要求。9．6．3中心数据库在本模型中，生物特征数据(原始生物特征数据、样本生物特征数据和生物特征模板)存储在中心数据库中，身份确认和身份识别在线进行。除了9．2的核心要求以外，存储的要求还包括应采取适当的访问控制机制，阻止对存储的生物特征数据(见C．4风险问题)的未授权访问。9．6．4生物特征令牌在本模型中，生物特征模板存储在便携式设备中，例如智能卡，借此身份确认或者身份识别无需集中进行。卡之外的系统可向卡载人参考模板。在这时，卡应鉴别外围系统，或者参考模板应具备完整性。在进行身份确认的时候，用户通过提交令牌和他们的现场生物特征样本，声称其身份。系统通过密码机制鉴别参考模板或者令牌，然后，从令牌中提取用户的参考模板。系统接着比较参考模板和生物特征样本，确定用户是否为其所声称身份的拥有者。在某些情况下，若干模板存储在令牌中，例如家庭成员，可使用身份识别模式。身份确认(或者身份识别)过程如前所述，但是生物特征组件的系统架构在实现方面各有不同。令牌可仅限于存储，在这种实现下，令牌仅提供生物特征模板的存储，所有其他系统组件均在令牌以外。在这种实现中，模板应从令牌中导出。其他的令牌可包括除了数据采集和应用程序组件之外的所有的系统组件。在这种实现中，模板从不会暴露在令牌的限制范围之外，仅身份确认结果从令牌中导出。在其他实现中，令牌可包含整个身份确认和应用过程。如果任何的身份确认过程发生在安全令牌边界之外，那么任何存储在令牌中的参考模板应按本标准中所规定的进行完整性保护。如果没有采用密码保护机制提供数据完整性和源鉴别服务，那么生物特征模板容易受到篡改和替换的攻击。Ic卡的登记、鉴别和周边安全框架的处理过程具体见ISO／IEC7816—11，其他的指导可从ISO10202中获取。除了9．2中的核心要求和9．4、9．5中的其他要求之外，对令牌的要求是，应采取适当的访问控制机制阻止对所存储的生物特征模板的未授权访问(风险问题见C．4)。21 GB／T27912—20119．7终止和存档9．7．1终止终止是删除用户的生物特征数据，或者使数据废弃的过程。生物特征数据的终止依赖于各种因素：a)雇佣关系终止；b)用户使用的有效期已满(例如，智能卡用户，其卡已经达到了有效期)；注：终止需要在再登记之前进行。c)由于更新的版本出现，生物特征识别技术已经过期；d)采用不同的生物特征识别技术替代先前的技术；e)生物特征数据变化足够大，需要产生新的样本；f)已经制定一种新的鉴别方式；g)生物特征数据已经受到威胁；h)法律或制度条款。在使用生物特征数据的任何场所，以下终止要求和推荐适用于所有的应用程序和环境；一保存生物特征数据所需的周期依赖于应用。业务应用可要求对生物特征数据存档一个延长期。由于这样或那样的原因，建议对这些事件提供历史审计，具体内容包括在附录A中；——生物特征数据的使用有可能在某个时期内被“冻结”或受到“限制”。这类似于贷记卡的授权由于诸如欺诈等行为而受到的限制。根据调查结果，生物特征数据可被再次激活或者指定为终止状态。9．7．2存档存档是将生物特征数据存储一个预定的或不确定的时期的过程。失效13期属于登记过程的一部分。失效13期表明了宜进行再登记的日期。除了9．2的核心要求以外，还有一个存档要求，即应有访问控制机制阻止对已存档的生物特征数据的未授权访问(风险问题见c．4)。9．8符合性和事件日志任何鉴别系统有关符合性和准确性的要求，通常通过对事件日志的审计追踪而确定。本标准提供以下建议：——宜根据组织的生物特征信息安全管理系统(BIsMs)策略、措施和程序，周期性确认本标准所规定的生物特征识别系统的符合性；——第11章宜使用在符合性过程中；——宜在身份确认材料的采集中使用附录A中规定的记录格式。事件日志提供的频度及其总结记录可用于改善BISMS，并衡量组织策略、措施和程序的有效性。可通过内部组织，或者外部第三方确认其符合性。确认的结果通常在组织内是机密的。独立的第三方可确认其符合性，或者签发正式的可公开的证明报告。10安全基础设施10．1组件10．1．1安全架构建立第8章描述的组件所必需的生物特征识别功能可包含在生物特征识别服务提供者(Biometrie22 GB／T27912—2011ServiceProvider，BSP)中。保护生物特征信息所必需的密码功能可包含在单独的密码服务提供者(CryptographicServiceProvider，CSP)中，或者包含在BSP、应用层或中间件架构层内。”在一种可能的实现体制中，应用提交生物特征识别函数调用给架构层。架构层将BSP与应用隔离开，它将生物特征识别函数调用提交给BSP。BSP处理生物特征识别函数调用，并且通过与CSP直接通信来管理所有的密码功能。函数响应从BSP返回给架构层，再返回给应用。另一种可选的方式是，应用提交生物特征识别函数调用给架构层。架构层管理CSP提供的密码功能，并且管理BSP提供的生物特征识别功能“。从CSP和BSP返回的调用响应通过架构层返回给应用。在第三种方式中，应用直接向CSP提交密码函数调用，向BSP直接提交生物特征识别函数调用。不使用中间件架构。来自CSP和BSP的调用响应直接返回给应用。10．1．2数字签名以下要求适用于采用数字签名保护生物特征信息，提供完整性：——哈希算法应满足相关国家标准的具体要求；——密钥管理技术应按相关国家标准的具体规定执行。10．1．3基于数据机密性目的的加密采用加密机制保护生物特征信息适用以下要求：一加密算法应按相关的国家标准的具体规定执行；～一密钥管理技术应按相关国家标准的具体规定执行。10．2物理技术10．2．1物理技术是阻止和／或检测未授权泄露、修改或者替换敏感信息的保护机制，例如，抗篡改安全模块(TRSM)不会以明文形式泄漏对称或者非对称密钥。物理技术，例如ISO／IEC19790所描述和参考文献[16]中所讨论的那些，包括：一一防篡改机制，它可以产生已经有攻击发生的肉眼可见的证据，铡如，平滑性、模制的包装、由于化学攻击的变色、证据磁带，或者全息封签；——篡改响应机制，它可以检测未授权访问并发起对抗措施，例如清除内存，或者把系统设置成安全状态；——抗篡改机制，抵抗物理破坏，例如加固的包装以抵抗钻孔，或者抗酸性洗涤的混合物。10．2．2该机制要挫败的攻击类型与攻击者的经验有关，如下面对攻击者的分类描述(见E183)：——等级1(聪明的外部人员)：通常很聪明，但是可能没有足够的系统知识。他们仅可访问中等复杂的设备，并且通常只是试图利用系统的已有漏洞，而不是创建新的漏洞；——等级2(具备相关知识的内部人员)：有充分的专业技术教育和经验。他们对系统的各个部分有不同程度的理解，但会潜在访问其中的大部分。他们经常拥有进行分析的高度复杂的工具和设备；—等级3(受资助的组织)：能够召集由具有相关技能和互补技能专家组成的团队，并有大量资金资源的支持。他们能够使用最先进的分析工具对系统进行深入的分析，设计复杂的攻击。他们可使用等级2的人员作为攻击团队的成员。10．2．3这些保护机制的实际设计和执行是不完备的。在设计生物特征设备、实施环境和业务应用时，应进行风险分析以确定适当的物理技术。设计应考虑到仅仅基于ISO19790的物理技术不可能描述来23 GB／T27912—2011自生物特征安全边界之外的攻击风险，即检测生物特征识别系统的漏洞，如通过人工伪造进行欺骗。以下物理保护的要求适用于本标准。——生物特征设备应满足或者超过附录D中规定的等级3的安全要求，或者在物理安全环境内满足附录D中规定的等级2的安全要求。——密码设备应满足或超过IS0／IEC19790等级3的安全要求，或者在物理安全环境内满足Iso／IEC19790等级2的安全要求。11生物特征身份确认的控制目标11．1周期性审查和审计考虑和其他组织一样，金融服务很大程度上依赖于信息技术(IT)的使用，需要保护和管理这些资产的安全，包括生物特征信息。为满足这些管理责任，应为生物特征信息提供安全性，且信息安全的管理应成为组织的管理计划的重要组成部分。金融服务组织应致力于通过以负责的方式使用生物特征识别技术来达到或超过行业标准和惯例，通过管理生物特征识别技术的安全性，把它作为整个基于策略的信息安全管理程序的一部分来达到目标。该程序宜包括施加适当的控制并监控其有效性。与组织的策略一致，业务和程序仅能通过系统性、周期性的安全审查得以确保。存在两种基本的安全审查类型：——内部安全审查；——由独立的信息安全专业机构指导进行的外部审查。内部或者外部安全审查使用的控制标准可由内部产生，或者来自公认的标准，例如本标准。因此，出于内部审计或者外部审计的目的，11章包括评估生物特征识别系统与本标准的要求的符合性的指南。本章的控制目标是可以对生物特征识别系统进行评估和审计的控制标准。本章描述的控制标准为已经实施了生物特征识别系统的组织提出了业务、操作和技术使用的推荐准则。现有信息安全管理程序的安全策略和惯例，例如ISO13569中描述的和ISO17799中更广泛的条款，已经描述了这些控制目标的一部分。生物特征识别系统可驻留于或者使用IT基础设施，因此，环境控制适用于任何生物特征识别技术的安全实施。生物特征识别系统可采用某些形式的密码保护体制，例如基于数据机密性的加密，基于数据完整性和源鉴别的数字签名。如果使用了密码保护，那么，密钥管理控制应适用于生物特征识别技术的安全实施。生物特征识别系统通过采集生物特征数据来产生、分配、使用和最后终止模板，以此对个体进行登记。这一点类似于公钥基础设施(PKI)的证书注册过程，在某些情况下，生物特征识别技术被整合进PKI。11．2环境控制11．2．1安全策略组织维护控制，目标是提供合理的保证，确保存在有关生物特征信息的安全策略和准则，并且由公认的策略管理机构进行维护。见表1。24 表1安全策略GB／T27912—2011控制标准：信息安全策略生物特征信息安全管理系统(BISMS)的生物特征识别策略(BP)文档由管理层批准、发布并采取适当的1方式通知所有的雇员、客户和生物特征识别系统的用户。在一个组织中可存在多个BPBP最少应包括：a)信息安全的定义，其总体目标和范围，和进行信息共享的能动机制的安全的重要性；b)有关管理意图、支撑信息安全的目标和原理的声明；c)对组织非常重要的安全策略、原理、标准和符合性要求的简明解释，包括：·与法律、规章和合同要求的一致性；·安全教育要求；2·病毒和其他危害性软件的阻止和检测；·密码要求；·业务连续性管理；·违背安全策略的后果；d)信息安全管理的一般和具体职责的定义，包括安全事故；e)支持该策略的参考文档3存在定义好的审查流程，包括职责和审查日期，以维护生物特征识别安全策略控制标准：策略管理机构4组织建立管理团队，该团队拥有规定和批准BP的最终权力和职责策略管理机构(或等同的团队)已经对业务、立法和制度风险进行了测定评估，以确定包括在应用策略和准则中的安全要求和操作程序，以达到以下目的：5a)本条中具体规定的环境控制；b)11．3具体规定的密钥管理控制；c)11．4具体规定的生物特征管理控制控制标准：策略管理6根据所规定的审查流程，核准和修订BP，包括维护BP的职责和审查日期7组织将BP应用的公共部分公布给所有的适当用户8用户可获得生物特征识别安全策略的重大修订内容11．2．2安全组织组织维护控制，目标是提供合理的保证，确保：——提供信息安全的管理指导和支持；——组织内信息安全得到正确的管理；——第三方访问的设施、系统和信息资产的安全性得到维护；——当这些功能的职责已经外包给其他组织或者实体时，信息安全应得到维护。见表2。 GB／T27912—2011表2安全组织控制标准：信息安全基础设施高层管理和／或高级管理信息安全委员会，该委员会确保存在对与安全有关的活动的清晰指导和可见9的管理支持10存在管理团队或者安全委员会，调整信息安全措施和程序的实施11应明确规定保护个体资产和执行具体安全过程的职责12应建立对新信息处理设施的管理授权过程，并保证得到遵守控制标准：第三方访问的安全性13存在并遵守控制第三方访问组织生物特征信息处理设施的程序14在存在需要与第三方场所进行连接的地方，执行风险评估以确定安全隐患和具体的控制要求15涉及第三方访问组织的生物特征信息处理设施的约定是基于正式合同的，包括所有的必要安全要求控制标准：外包如果组织将所有或部分信息系统的管理和控制、网络和／或桌面环境进行外包，则组织的安全要求在各16方间约定的台同中进行阐述11．2．3资产分类和管理组织维护控制，目的是提供合理的保证，确保生物特征资产和信息受到了适当等级的保护。见表3。表3评估分类和管理控制标准：资产的衡量为所有主要资产标识拥有者的身份，例如：——生物特征数据(尤其是模板)；17一生物特征识别硬件和／或软件(包括现场的生物特征阅读器)；密码硬件和／或软件。同时．拥有者维护适当控制的职责18重要资产的清单目录由组织进行维护控制标准：信息分类组织已经执行生物特征信息分类，并且考虑到共享或约束信息的业务需求而对信息采取了相关保护控19制措施，也考虑了与这些需求相关的业务影响(例如，对信息的未授权访问和损害)规定了相应程序，确保生物特征信息按照组织的分类方案和相应保护控制机制，如授权阅读或者修改20某项事件El志，执行了生物特征信息的标识和处理11．2．4人员安全组织维护控制，目标是提供合理的保证措施，确保人员和采用的措施加强并支持了组织运作的可信性。见表4。 表4人员安全GB／T27912—2011控制标准：人员安全21组织的生物特征安全策略详细规定了安全角色和职责，并正式记录在工作描述中的适当位置22在申请工作时，对终身雇员进行确认检查23雇员签署保密(不泄露)协议，作为雇佣的原始条款和条件的一部分对合同人员的控制进行记录，包括：a)捆绑对合同人员的要求；24b)合同要求，包括根据定约人个体的行为对损害进行的补偿；c)定约人个体的审计和监控组织的所有雇员和相关第三方的用户接受有关组织策略和程序的培训。组织的策略和程序详细规定以下内容：25a)每个角色的培训要求和培训程序；b)每个角色的再培训周期和再培训程序26进行周期性审查，确认密钥管理和生物特征信息管理相关的行为所涉及的个体的持续可信赖情况存在正式的纪律处理过程。该过程对违背组织安全策略和程序的雇员采用。组织的策略和程序详细27规定了对个体未授权行为、未授权使用机构和未授权使用系统等行为的制裁。当雇员的合同终止时，采取适当和及时的行为，使得控制性和安全性不会因为这些事件而削弱11．2．5物理和环境安全组织维护控制，目标是提供合理的保证，确保：——限制对放置无其他保护机制的生物特征识别系统设施的物理访问(例如附录D的要求)，只能由适当的授权个体访问，并且设施受到保护，避免来自环境的危险；——防止资产的丢失、损害或者泄露和业务行为的中断；——防止信息和信息处理设备的泄露和窃取。见表5。表5物理和环境安全控制标准：安全区域通过在业务边界和存有生物特征识别系统的设施周围，创建定义清晰的安全周界(即物理屏障)，形成28物理保护机制29包含生物特征识别系统的建筑或者场所的周界是可靠的(即周界不宜存在容易发生侵入的缺口)存在有人值守的接受区域或者其他控制物理访问的方式，限制对存有生物特征识别系统的建筑物或者30场所的访问，只能由授权个体访问为防止未授权访问和损害，关键或者敏感的生物特征识别系统组件存放在具有适当物理屏障的安全31区域32根据安全策略使用保护区域，保护具有安全要求的办公室、房间和设施33安装入侵检测系统并定期进行测试，覆盖所有通向安全区域的外围的门34无人的安全区域一直受到警戒 GB／T27912—2011表5(续)控制标准：安全区域35要求所有的人员佩戴可见的身份标识，并鼓励质询任何投有佩戴可见身份标识的人员36控制对设备的访问，限制只能由授权的人员进行所有进入和离开存放有生物特征识别系统的设施的人员均需进行登记(即安全维护所有访问的审计37追踪)38对存放有生物特征识别系统的设施的参观访问者进行监督，记录他们进人和离开的日期和时间仅当需要的时候，第三方支持服务人员被有限批准访问存有生物特征识别系统的设施，这些访问要进39行授权和监督40经常审查和更新对存有生物特征识别系统的设施的访问权控制标准：设备安全41设置和保护设备，以降低来自环境威胁和危险的风险，以及未授权访问的机会42保护设备，避免供电中断和电力异常43保护电力和承载数据或支持生物特征识别服务的通信电缆，使其不受监听或者受到损害44按照制造商的说明书和其他文档程序维护设备，确保其持续的可用性和完整性45使用安全程序和控制措施，保护在组织周界之外使用的设备包含有存储介质(即固定的硬盘)的设备的所有项目均要进行检查，以在处理或重用之前确定它们是否46包含敏感数据。包含有不再进行操作使用的敏感数据的存储设备要进行物理销毁或者安全重写47设备信息和属于组织的软件未经授权，不能带出规定场所11．2．6操作管理组织维护控制，目标是提供合理的保证，确保：——对组织的信息处理设施的正确和安全的操作；——系统失败的风险最小化；——保护系统和信息的完整性，抵御病毒和恶意软件；——通过使用事故报告和响应程序，把来自安全事故和故障的损害最小化——安全地处理介质，以保护介质免于损害、窃取和未授权访问。见表6。表6操作管理控制标准：操作程序和职责48生物特征识别系统操作程序被记人文档并得到维护49存在正式的管理职责和程序，以控制生物特征识别系统的设备、软件和操作程序的所有变更50职权和责任区域分离，以降低未授权修改或者信息或服务的误用机会51开发和测试设施与操作设施分开控制标准：系统规划和接受52监控容量要求，制定未来容量要求的规划，确保适当的处理能力和存储能力53建立新的信息系统、升级和建立新版本的接受标准，在接受之前执行合适的系统测试 表6(续)GB／T27912—2011控制标准：阻止恶意软件54阻止病毒和恶意软件，采用检测和阻止程序，执行适当的用户告知过程控制标准：事故报告和响应55存在正式的事故报告程序，以及事故响应程序，列出接到事故报告就要采取的相应行动56要求生物特征识别系统的用户注意和报告观察到的，或者怀疑的系统或服务的安全漏洞或威胁57存在并遵守报告硬件、软件和固件故障的程序，或者新的特性要求的程序58存在并遵守能够确保差错得到报告且已采取正确行动的程序59存在并遵守事故管理职责和程序，确保对安全事故的快速、有效、有序响应控制标准：介质处理和安全对可移出计算机的介质的管理程序应考虑以下标准：a)如果不再需要，那么应将任何从组织中移出的可再用介质的以前内容擦除；60b)所有从组织移出的介质均要求授权，并进行记录，维持审计追踪；c)遵照制造商的特殊规定，所有的介质存储在安全、保密的环境中6l不再需要时，介质被安全地处理掉62应具备信息处理和存储的程序，并应遵循这些程序，以防止这些信息遭到未授权泄露或者误用63保护系统文档资料，防止未授权访问11．2．7系统访问管理组织维护控制，目标是提供合理的保证，确保对生物特征识别系统的管理组件的访问和对生物特征访问控制系统控制资源的访问只限于正确授权的个体。见表7。表7系统访问管理控制标准；用户访问管理访问控制策略定义和以正式文档形式规定了业务的访问控制要求，至少包括以下：a)角色和相应的访问许可权；64b)每个用户的鉴别流程；c)职责的分隔；d)执行特定操作的人数(如，m取n的规则)65遵守授权访问所有多用户信息系统和服务的正式用户注册和注销程序66限制和控制权限的分配和使用67通过正式管理过程，控制口令的分配68每隔固定的一段时间就审查用户的访问权控制标准：网络访问控制69只为用户提供那些已经被授权使用的特定服务的直接访问70控制从用户终端到计算机服务的路径71如果允许，那么远程用户的访问应受到鉴别72与远程计算机系统的连接要鉴别 表7(续)控制标准：网络访问控制73对诊断端口的访问进行安全的控制74采用台适的控制机制(如，防火墙)保护组织的内部网络域，防止第三方来自外部网络域的访问75采取合适的控制机制限制用户的可用服务(例如，HTTP、FTP等)，与组织的访问控制策略保持一致76采取合适的路由控制机制，确保计算机连接和信息流不违背组织的业务应用访问控制策略77组织使用的所有网络服务的安全属性由组织形成文档控制标准：操作系统访问控制78使用自动的终端认证，鉴别与特殊场所和可移动设备的连接79使用安全登录过程访问组织的系统80所有用户拥有惟一的身份标识符(用户ID)用于他们个人并惟一使用，以便追踪到活动相应的责任人81采用合适的口令管理系统，提供有效、交互式的设施，可确保合格的口令82限制和严格控制系统工具程序的使用83如果需要的话，基于风险评估，给用户提供警报服务服务于生物特征识别系统的终端在规定的超时时间内无活动，则使终端不再激活，以阻止未授人员的84访问85限制连接时间，为高风险应用系统提供额外的安全控制标准：应用访问控制86限制对信息和应用系统功能的访问，与访问控制策略保持一致87限制和控制对程序源码库的访问11．2．8系统开发和维护组织维护控制，目标是提供合理的保证，确保系统开发和维护行为得到了正确的批准，以维护系统的完整性。见表8。表8系统开发和维护控制标准：系统开发和维护88新系统或加强现有系统的业务要求详细规定了控制要求89对于运行系统上的软件实现，存在变更控制标准并得到遵守90对于计划中的软件发布和修改，存在变更控制标准并得到遵守91存在对于应急软件修复的变更控制标准并得到遵守92保护和控制测试数据93严格的控制对程序源码库的访问94通过使用正式的变更控制标准，严格控制变更的执行，使信息系统的中断风险最小化95当操作系统发生变更时，审查和测试应用系统96不鼓励对软件包的修改并严格控制关键的变更97控制、检察软件的购买、使用和修改，以防止可能的隐蔽通道和特洛伊代码98采取控制机制，保护外包的软件开发30 GB／T27912—201111．2．9业务连续性管理组织维护控制，目标是提供合理的保证，确保在发生灾难或者密钥泄露时操作的连续性。见表9。表9业务持续性管理控制标准：业务连续性管理流程99组织拥有制定和维护其业务连续性计划的可管理流程100组织拥有基于适当风险评估基础之上的业务连续性计划战略101维护着单一的业务连续性计划框架，确保所有的计划是一致的，并标识了进行测试和维护的优先级102通过经常的审查，测试业务连续性计划，确保它们是最新的、有效的组织的业务连续性计划包括生物特征识别系统所有关键组件，包括硬件、软件和密钥，在一个或者多个103失效的情况下，这些组件的灾难恢复过程104采取合适的灾难恢复过程，以防止关键安全组件遭到泄露105经常性备份基本的业务信息和软件副本。这些副本的安全要求与信息备份的控制机制一致106容灾设备和备份介质保持安全的距离，以避免来自主要场所的灾难的损害如果计算资源、软件和／或数据被破坏或怀疑被破坏，那么使用的恢复程序包括：a)如何重建物理安全环境；b)终止哪些生物特征模板；107c)在什么环境下，销毁和存档密钥；d)如何安全地分发新的密钥(如有的话)；e)如何重新登记主体生物特征识别系统连续性计划应包括在自然或者其他的灾难发生时，在重新建立安全环境之前，在原108来的场所，或者在远程的热备份点保护其设施的计划控制标准：密钥泄露组织有关密钥泄露的业务连续性计划描述了：要通知谁，要对系统的软件和硬件、对称和非对称密钥、109先前生成的签名和加密数据采取什么样的行动11．2．10监控和符合性组织维护控制，目标是提供合理的保证，确保：——组织遵循法律要求；——确保遵循组织的安全策略和程序；——系统审计流程的有效性得到最大化，系统审计流程的干扰最小化——能检测到未授权系统的使用。见表10。31 GB／T27912—2011表10监控和符合性控制标准：遵守法律和制度的要求110组织拥有程序，确保对于每个信息系统，所有相关法令、制度和合同要求都以文档形式进行明确的规定111执行适当的程序，确保在有关知识产权的材料使用和特定软件产品的使用方面，符合法律限制要求112保护组织的重要记录，防止丢失、破坏和篡改(见9．7)113存在程序，确保个人得到保护，与相关法律制度一致114管理层授权信息处理设施的使用，应用控制机制阻止这些设施的误用115采取合适的控制机制，确保符合国家协议、法律、制度或者其他控制访问或者密码控制的使用的手段组织的生物特征识别系统机密性策略和程序包括以下内容：a)机密信息的类型；b)非机密信息的类型；116c)提供信息给执法官员的策略；d)可提供给公民的信息；e)信息可根据拥有者的要求进行披露的情形；f)泄露机密信息的任何其他情形控制标准：安全策略和技术符合性的审查117管理层负责确保他们职责领域内的安全程序得咀正确执行118对组织的生物特征识别系统进行周期性审查，以确保符合安全策略和标准119周期性核查组织的生物特征识别系统，以符合安全执行标准控制标准：系统审计考虑——120规划和执行运行系统的审计，以便使业务流程的中断风险最小化12l保护对系统审计工具的访问，以阻止可能的误用或者泄露控制标准：监控系统访问和使用122建立监控生物特征识别系统使用的程序，经常性审查监控活动的结果在认可的时期内，建立和保留记录异常和其他安全相关事件的审计日志，以协助以后的调查和访问控123制监控124建立监控生物特征信息处理设施的使用程序，经常性审查监控活动的结果11．2．11事件日志组织维护控制，目标是提供合理的保证，确保：——精确、完整地记录有关重要环境、密钥管理和生物特征信息生命周期的事件目志——维护活动和存档的事件日志的机密性和完整性；——根据公布的业务行为，事件日志进行完整和机密地存档；——授权的人员周期性审查事件日志。见表11。 表11事件日志GB／T27912—2011控制标准：事件日志125生物特征识别系统适当地产生自动的(电子化的)和人工的事件日志日志条目包括的元素如下：a)条目的日期和时间；b)条目的序列号；126c)条目的类型；d)源(终端、端口、地点、客户等)；e)制作日志条目的实体标识。见9．8控制标准：记录的事件进行13志记录的生物特征登记信息包括：a)申请者提供的身份识别文档的类型；b)如果可以的话，记录身份识别文档的身份识别数据、号码或者两者的组合(例如，申请者的驾照号码)；127c)申请和身份识别文档副本的存储地点；d)接受申请的实体的标识；e)如果可能的话，确认身份识别文档的方式；D如果可以的话，登记操作者的名字涉及密钥材料的事件日志包括：a)密钥的产生和安装；b)密钥的备份和／或恢复；128c)从服务回收、销毁或者终止密钥材料；d)存档密钥的存放或者取消；e)对称密钥或者非对称私钥的泄露关于密码和生物特征设备生命周期管理的事件日志包括以下：a)设备收据；b)存储设备的增加或移除；129c)设备用途；d)设备卸载；e)有关设备使用和维修的指派；f)设备停用对安全敏感事件加以13志记录：a)读取或者写下的安全敏感文件或者记录，包括事件日志；+b)安全敏感数据的删除；c)安全策略变更；d)使用鉴别机制，既包括成功的，也包括未成功的(包括多次失败的鉴别尝试)；130e)系统崩溃、硬件失败和其他异常；f)计算机操作员和系统管理员，和／或系统安全人员采取的行动；g)实体从属关系的变更；h)绕过加密／鉴别流程或程序的决定；i)对生物特征识别系统或者任何组件的访问 GB／T27912—2011表11(续)控制标准：记录的事件其他有必要采用抗抵赖机制的有关身份确认和身份识别的高风险应用的考虑包括：a)在鉴别过程中采集和使用的生物特征样本的留置；13lb)基于预定基础上所保留的生物特征样本的删除；c)对源身份确认或者身份识别结果的确认能力；d)对阻止涉及法律的生物特征样本的重放的保护机制132事件日志不记录任何对称密钥、非对称私钥或者生物特征信息的明文值133为了准确记录，计算机时钟保持同步控制标准：事件日志保护134以防止未授权修改或者破坏的形式维护当前的和存档的事件日志135保护当前和存档的自动的事件日志，防止修改和替换136用于对事件日志进行签名的私钥不用于其他任何目的控制标准：事件日志存档137生物特征识别系统周期性对事件日志数据进行存档作为威胁评估和减缓过程的持续性程序的一部分，执行周期性的风险评估，以确定保存存档事件日志138的合适时间长度控制标准：事件日志的审查139现有的和存档的事件日志仅可由授权的个体困有效的业务或者安全原因而进行恢复140周期性审查事件日志141现有和存档的事件日志的审查包括确认事件日志的完整性，异常、未授权或者可疑活动的识别和跟踪11．3密钥管理生命周期控制11．3．1密钥产生组织维护控制，目标是提供合理的保证，确保密钥的产生与行业标准一致。见表12。表12密钥产生控制标准：密钥产生142密钥产生使用随机数发生器(RBG)，或者伪随机数发生器(PRBG)，如ISO／IEC18031所述143需要素数时，使用素数产生器产生密钥，如ISO／IEC18032所述密钥应在安全密码设备中产生，该设备满足下列条件之一：144——Iso／IEC19790的等级3要求；——IsO／IEc19790的等级2要求，并且包含在物理安全环境中145在物理控制的环境中产生密钥146密钥产生需要有授权的人员进行相应的控制147密钥产生使用密钥产生算法，具体见相关的国家标准148密钥产生按照应用的BISMS行为和程序，产生相应的密钥长度149在使用之前，测试和确认用于密钥产生和硬件／软件的接口的可信赖度150在事件日志中记录密钥产生事件34 GB／T27912—201111．3．2密钥存储、备份和恢复组织维护控制，目标是提供合理的保证，确保私钥的机密性和维护着它们的完整性。见表13。表13密钥存储、备份和恢复控制标准：密钥存储、备份和恢复如果基于备份和存储的目的，从安全密码模块输出一个非对称私钥或者对称密钥，移动到安全存储的地方，那么该密钥要使用安全的密钥管理方案进行输出：a)作为在密钥加密密钥之下的密文，仅用于KEK，至少具有3DES的双倍密钥长度的DEA的强度或AES的强度；151b)作为加密的密钥片断，使用双重控制和分割持有，仅用于加密，并且至少具有3DES的双倍密钥长度的DEA的强度或AES的强度；c)作为明文直接注入另外一个安全密码模块，例如使用双重控制的密钥传输设备；d)作为在双重控制和密钥分割下的对称密钥组件如果备份非对称私钥或者对称密钥，那么由授权人员使用物理安全环境中的双重控制机制对其进行存152储和恢复如果备份非对称私钥或者对称密钥，那么密钥的恢复将在与备份流程相同的安全方案下进行，使用双153重控制154采取适当的程序，确保在整个生命周期内，维护非对称私钥或者对称密钥的完整性155非对称公钥或者对称密钥可允许的备份和恢复周期遵从BISMS策略、行为和程序156根据BP和BPS，定期测试备份和恢复程序157在事件日志中记录密钥存储、备份和恢复活动11．3．3密钥分发组织维护控制，目标是提供合理的保证，确保在原始和随后的分发过程中维持密钥的完整性和真实性。见表14。表14密钥分发控制标准：公钥分发158通过公钥证书，提供生物特征识别系统的公钥和任何相关参数的完整性和源鉴别159建立并以文档形式规定公钥证书的分发机制160应周期性变更(重新产生)公钥证书，与BISMS策略、行为和程序保持一致控制标准：私钥分发应通过分发流程，维护非对称私钥和任何相关参数的完整性和真实性，例如把密钥注人到生物特征阅161读设备，该设备处在物理安全密钥产生／载入设施中162建立并以文档形式规定私钥的分发机制163在事件日志中记录生物特征识别系统的私钥分发活动 GB／T27912—2011表14(续)控制标准：对称密钥分发一应通过分发流程，维护对称密钥和任何相关参数的完整性和真实性，例如把密钥注入到生物特征阅读164设备，该设备处在物理安全密钥产生／载人设施中165建立和以文档形式规定对称密钥的分发机制166在事件日志中记录生物特征识别系统采取的对称密钥分发活动11．3．4密钥用途组织维护控制，目标是提供合理的保证，确保密钥仅用于在计划的场所用于计划的功能。见表15。表15密钥用途控制标准：密钥用途产生和使用密钥，仅用于计划目的，在密钥产生过程中对它们进行规定和文档化，包括：——用于数据完整性和源鉴别的非对称密钥对；——用于生物特征设备源鉴别的非对称密钥对；167——用于生物特征数据完整性和源鉴别的对称密钥；—～用于生物特征设备源鉴别的对称密钥；——用于生物特征数据机密性的对称密钥11．3．5密钥销毁和存档组织维护控制，目标是提供合理的保证，确保：一在密钥的生命周期结束时，完全销毁密钥；～保持存档密钥的机密性，且不再被使用。见表16。表16密钥销毁和存档控制标准：密钥销毁168BP和BPS详细规定谁被授权销毁密钥，如何销毁密钥(例如，令牌交出、令牌销毁，或者密钥覆盖)169在生命周期的最后，销毁密钥的所有副本和片断(存档密钥例外)170在事件日志中记录生物特征识别系统采取的密钥销毁行动控制标准：密钥存档——BP和BPS规定：a)存档机构的身份；171b)密铜存档的形式(例如，加密、秘密分享、组件)；c)存档机制中规定的安全控制172存档的CA密钥应与现在正在使用的密钥具有相同的或更高等级的安全控制】73在存档周期结束时，在物理安全环境中使用双重控制机制销毁所有存档的密钥174采取合适的机制，确保存档的密钥永远不会重新使用 表16(续)GB／T27912—2011控制标准：密钥存档175采取合适的机制，确保存档的密钥在技术允许条件下在最短时间恢复176周期性确认存档的密钥，确保它们在存档周期最后进行了适当的销毁177在事件日志中记录所有存档的访问11．3．6密码设备生命周期组织维护控制，目标是提供合理的保证，确保：——把对密码硬件的访问限制于适当的授权个体一密钥硬件功能正确执行。见表17。表17密码设备生命周期控制标准：设备装运8178通过挂号信方式采用防篡改的包装从制造商发送密码设备的策略和程序要求控制标准：设备收据6179一收到来自制造商的密码设备，授权的人员检查防篡改的包装，以确定封签是否完整180一收到来自制造商的密码设备，就执行接受测试并验证固件设置18l在使用前，测试用于私钥存储和恢复的设备以及这些设备的接口的完整性182在事件日志中记录设备的接收控制标准：设备使用前人库。为阻止篡改，应在安全场所存放密码硬件，对密码硬件的访问限制于授权人员，具备以下特性：——管理每个设备的来源、到达、状况、出发和目的地的设备清单控制和程序；——将访问限制于授权人员的访问控制和程序；183——在事件日志中报告所有成功或失败的物理访问尝试情况；处理非正常事件、安全中断和调查报告等的突发事件处理和程序；验证控制有效性的审计处理和程序184在抗篡改包装中存储密码硬件185在不少于两位可信的雇员在现场的情况下，执行密码硬件的处理186在事件日志中记录设备出入库信息控制标准：设备安装8为阻止篡改或者替换，由授权人员按照流程安装密码硬件：187一在不少于两位可信的雇员在现场的情况下，执行安装f——使用具有远程设备鉴别能力的自动初始化流程进行安装188在事件日志中记录设备安装情况 GB／T27912—2011表17(续)控制标准：设备用途。189存在文档化策略和程序并加以遵守，以周期性地验证正确的处理190在不少于两位可信的雇员在现场的情况下，当CA密码硬件出现故障检修时，提供诊断支持191在事件日志中记录设备用途控制标准：设备卸载‘192在不少于两位可信的雇员在现场的情况下，移除密码硬件193在事件日志中记录设备卸载情况控制标准：设备服务和维修8194服务或者维修场所是安全的地方，清单控制和访问限制于授权人员在不少于两位可信的雇员在现场的情况下，执行密码硬件服务或者用新的硬件、固件或者软件维修，除195非密钥已经移除196在事件El志中记录设备服务和维修的目的地197一收到维护或维修过的密码硬件，就进行接受测试和固件设置确认控制标准：设备停用“198在不少于两位可信的雇员在现场的情况下，将使用的密码硬件分解并永久性移除的过程199如果设备从服务中永久性移除，则从设备中擦除包含在设备内用于密码目的的任何密钥200如果设备容器提供防篡改的特性并且设备将从服务中永久移除，那么该容器要销毁201设备容器要安全存储，直到销毁202在事件Et志中记录设备停用情况。在本阶段，密码设备从制造厂装运，发给组织。6在本阶段，生物特征识别系统接受从制造厂接到的密码设备。。在本阶段，密码设备已经从制造厂收到，在安装之前，存储在可控制的环境中。6在本阶段，密码设备从存储点移出，安装到生产环境，准备使用。安装包括所有密钥材料的载人。。在本阶段，密码设备处于完全操作模式。‘在本过程，密码设备从生产环境移出。8在本过程，使用新的硬件、固件或者软件维护或者维修密码设备。“在本过程，拆解密码设备，由此从使用中永久性拆除。11．4生物特征信息生命周期11．4．1登记组织维护控制，目标是提供合理的保证，确保：——正确地识别和鉴别了登记者；登记者的生物特征数据是准确的、核准的和完整的。见表18。 表18登记GB／T27912—2011控制标准：登记要求203个体登记和参考模板创建的鉴别程序符合BP和BPS登记流程要求，个体登记者应准备和提交适当的身份识别凭证，与适当的保证等级相当，具体如BP和204BPS所述205登记流程确认了登记者的身份，与BP和BPS保持一致206登记流程确认了登记者的授权，遵守BP和BPS207登记流程确认了登记操作人员的身份和授权，遵守BP和BPS控制标准：核查登记数据的错误和变更208登记流程应核查生物特征数据的质量和登记者的身份识别凭证，以防错误和遗漏如果BP和BPS要求，生物特征识别系统要核实登记者的生物特征数据和所声称身份的独特性，并采取209相应的行动，具体如BP和BPS所述控制标准：登记者通知210当参考模板已经产生和分发时，生物特征识别系统签发一份带外通知给登记者当用户激活应用时(例如，向ATM插入卡)，生物特征识别系统被动发起身份识别过程，在这样的生物211特征身份确认系统中的申请登记者要清楚和同意使用本过程11．4．2模板生命周期组织维护控制，目标是提供合理的保证，确保生物特征模板正确、安全地产生、确认、存储传输、分发和终止。见表19。表19模板生命周期控制标准：模板产生212生物特征识别系统使用的参考模板组件符合并且不与BP和BPS冲突213生物特征识别系统产生参考模板，该参考模板包括了BP的标识符，可能包括BPS身份认证214生物特征识别系统产生参考模板，在关键的模板扩展项中包括惟一的用户身份标识符215生物特征识别系统产生参考模板，在关键的模板扩展项中包括惟一的参考模板签发者身份标识符生物特征识别系统确保，使用由它生成的生物特征参考模板所需的最少数目和类型的鉴别要素可由符216合组织安全策略和准则的应用程序和设备进行加强生物特征识别系统确保，使用由它生成的生物特征参考模板所需的最少数目和类型的生物特征标识符217可由符合组织安全策略和准则的应用程序和设备进行加强218生物特征识别系统不能用相同的惟一用户身份标识符为两个用户产生参考模板219生物特征识别系统不能用相同的生物特征数据为两个用户产生参考模板控制标准：模板确认220生物特征识别系统在接受和分发模板之前，确认登记者生物特征数据新产生的模板221生物特征识别系统确认新产生的模板在现有模板集中是惟一的39 GB／T27912～2011表19(续)控制标准；模板确认生物特征识别系统确认新产生的模板包含足够的数据点，以获得身份确认和身份识别的错误匹配率，222与BP和BPS一致生物特征识别系统确保，当其产生的生物特征参考模板因为某些原因不能使用时，最少数目和类型的223可替代、降级鉴别要素可由符合组织安全策略和准则的应用程序和设备进行加强生物特征识别系统确保，当其产生的生物特征参考模板因为某些原因不能使用时，最少数目和类型的224可替代、降级生物特征标识符可由符合组织安全策略和准则的应用程序和设备进行加强控制标准：横板存储和传输225生物特征识别系统应确保模板在传输过程中的完整性和来源的真实性226生物特征识别系统应确保模板在存储时的完整性和来源的真实性227生物特征识别系统应确保对处在存储阶段的模板进行访问控制控制标准；模板分发一使用以下的一个或多个机制在生物特征识别系统内分发模板：a)集中模式就是，模板存储在一个单一的地方，例如数据库，包含所有其他用于身份确认或身份识别访问的模板；228b)分布式模式就是，模板传输到一个或者多个地方，包含一部分或其他所有用于身份确认或身份识别访问的模板；c)令牌模式就是，模板存储在可移动的介质中，例如智能卡，包含一个或多个个体的模板，用于身份确认或身份识别访问229如果使用集中模式，那么生物特征识别系统拥有策略和过程，以确认模板安全分发到集中存储位置——230如果使用分布式模式，那么生物特征识别系统拥有策略和过程，以确认模板安全分发到所有存储位置如果使用令牌模式，那么生物特征识别系统拥有策略和过程，以确认模板被安全地注人到设备中且令231牌被安全地签发给登记者232分发确认被记录在事件日志中控制标准：模板终止233。BP和BPS详细规定了谁可以终止模板234BP和BPS详细规定了何种情况下可终止模板235BP和BPS详细规定了何种情况下应终止模板236生物特征识别系统确认要求终止某模板的个体(例如，登记者)的身份和授权．237当可行的时候，生物特征识别系统在发生模板终止的时候通知登记者238遵照BP和BPS的要求，处理并验证模板终止要求239如附录A所述，在事件日志中记录模板终止情况240当模板终止时，所有模板的实例被清除9在可选的降级鉴别要素被认为提供了较低等级保障的情况下，组织有责任确保应用程序相应地调整访问行为。40 GB／T27912—201111．4．3身份确认和身份识别过程控制组织维护控制，目标是提供合理的保证，确保遵照协定的参数，安全执行身份确认和识别活动的控制。见表20。表20身份确认和身份识别过程控制控制标准：样本采集(原始数据)应采取适当的程序和／或机制确保，准确处理原始数据，创建有足够数据点的样本数据进行实体鉴别，241与BP和BPS保持一致采取适当的机制确保，当生物特征识别机制不能工作时，根据BP和BPS，存在其他可用的替代鉴别机242制。当使用替代机制时，宜谨记存在引人严重安全漏洞的风险控制标准：样本传输243在传输过程中，保护样本的完整性，防止修改244在传输过程中，保护样本数据的真实性，防止替换245在传输过程中，保护样本数据的抗抵赖性，防止否认，如BP和BPS所规定的那样控制标准：模板传输246在传输过程中，保护模板的完整性，防止修改247在传输过程中，保护模板数据的真实性，防止替换248在传输过程中，保护模板数据的抗抵赖性，防止否认，如BP和BPS所规定的那样控制标准：匹配(计分)249错误匹配率遵守BP和BPS的规定250保护匹配(计分)的结果，防止修改和替换控制标准：决策251保护决策结果(是／否)，防止修改和替换11．4．4生物特征设备生命周期控制组织维护控制，目标是提供合理的保证，确保：——将对生物特征设备的访问限制于正确授权的个体一生物特征设备正确实现其功能。见表21。表21生物特征设备生命周期控制控制标准：设备装运。252生物特征设备应以防篡改的包装方式，通过可靠的装运过程从制造商发送控制标准：设备接收6253一收到来自制造商的生物特征设备，就要求授权的人员检查防篡改的包装，以确定封条是否未被动过254在事件日志中记录设备接收 GB／T27912—2011表21(续)控制标准：设备使用前保管。为阻止篡改，应在安全场所存放生物特征设备，对生物特征设备的访问限制于授权人员，具备以下特性：——管理每个设备的来源、到达、状态、出发和目的地等的清单控制准则和流程；255——防止被非授权人员接触到的访问控制准则和流程；——处理非正常事件、安全中断或者调查报告等事件的准则和流程；——确认控制有效性的审计准则和流程256对清单控制过程的审计，周期性地确认其准确性并统计每个生物特征设备的地点和状态257在事件日志中记录失败或者成功的物理访问尝试情况258在事件日志中记录所有的事件及其解决方法259周期性执行对事件日志的审计，确认访问控制和事件控制情况控制标准：设备安装“260由授权人员执行生物特征设备的安装261在激活之前，测试生物特征设备的身份确认和身份识别能力262在激活之前，测试生物特征设备的密码运算能力263在事件日志中记录设备安装情况控制标准：设备使用。264存在并遵守文档化的实践与流程，以周期性地确认正确处理过程265存在并遵守文档化的实践与流程，以提供诊断期间的诊断支持266生物特征设备符合或者超过相当于附录D中等级3的要求控制标准：设备卸载‘267由授权人员执行生物特征设备的卸载工作268从生物特征设备删除所有的生物特征和／或密码材料269在事件日志中记录设备卸载情况控制标准：设备服务和维修e270在控制环境中进行服务和维修，产品清单控制和访问限制于授权人员271在事件日志中记录用于服务和维修的设备名称控制标准：设备停用“272由授权人员执行生物特征设备的停用活动42 表21(续)GB／T27912—2011控制标准：设备停用“273从停用的生物特征设备中删除所有的生物特征和／或密码材料274如果设备容器提供防篡改的特性，且设备是永久性退出服务，那么要销毁容器275在事件日志中记录设备停用情况。在本阶段，生物特征设备从制造厂装运，发给存储设施，或者处于生物特征识别系统的直接控制，或者置于第三方的存储设施中。6在本阶段，存储设施接受从制造厂接到的生物特征设备。。在本阶段，生物特征设备已经从制造厂收到，在安装之前，存储在受控环境下的存储设施中。4在本阶段，生物特征设备从存储点移出，安装到生产地点准备使用。安装包括所有密钥材料和生物特征模板的载人。。在本阶段，生物特征设备处于完全操作模式。‘在本过程，生物特征设备从生产阶段进行物理移除。8在本过程，使用新的硬件、固件或者软件维护或者维修生物特征设备。“在本过程，生物特征设备从使用中永久性移出。11．4．5集成电路卡(ICC)生命周期控制组织维护控制，目标是提供合理的保证，确保：——Icc的准备工作进行了安全控制；——Icc的应用准备工作进行了安全控制；——在ICC签发之前，使ICC可用；——Icc进行安全的存储和分发；——安全地控制ICC的失效和重新激活；——返回到组织的ICC要安全地终止其使用。见表22。ISO／IEC7816—11提供了有关生命周期控制的更多细节描述。更多关于ICC使用的其他指南可见ISO10202。表22集成电路卡(ICC)生命周期控制控制标准：ICC制造8276在专有数据进入1CC(智能卡)的制造过程之前，制造过程的安全性要符合卡签发人所要求的安全等级从专有数据(例如，专有的密码算法或者密钥)和／或其他机密元素与Ic结合开始，就应应用以下安全要求。——在安全环境中执行所有过程，在该环境中进行访问控制，维护专有数据的机密性；277——仅通过使用生产密钥来访问Ic的受控区域(遵照Iso102023的具体规定)(在不同制造阶段之间，可能使用不同的生产密钥)；——在存储和传输阶段，1c和ICC(例如，智能卡)受到物理保护和密码保护基于安全和审计的目的，在Ic中记录以下数据：——Ic制造商标识符；278——制造商的Ic类型标识符；——嵌入式／ICC汇编程序标识符43 GB／T27912—2011表22(续)控制标准：tcc制造8279作为制造过程的一部分，要确认IC的完整性(例如，检查统计样本)，以保证其符台协定的参考技术规范280ICC(例如智能卡)的生产要得到正确的核准281存在并遵守文档化的流程，确保ICC(例如智能卡)进行了安全和准确的处理和文档化控制标准：ICC个人化“282卡签发者负责卡的个人化过程个人化过程处于适当密钥的控制之下(具体规定可参考1so10202—3)，包括通用数据文件(CDF)数据和283Ic的相关密钥的装载284基于安全审计目的，卡的个人化执行者应被记录在Ic中控制标准：通用数据文件(CDF)激活。285卡签发人负责CDF的激活286通过安全控制的过程进行CDF的激活287在CDF个人化流程的最后进行CDF的激活，或者作为之后的单独流程288在ICC(例如，智能卡)中指示CDF的激活基于安全审计的目的，宜在ICC(例如，智能卡)中记录CDF激活者标识符、激活日期和CDF激活者的289序列号控制标准：应用数据文件(ADF)的分派8290该过程仅在卡签发者的控制下进行291为了防止未授权的ADF分派，要使用适当的密钥(如ISO102023所述)执行密钥交换控制标准：应用数据文件(ADF)的个人化。292应用程序提供商负责ADF个人化过程293为了防止未授权的个人化，要使用适当的密钥(如ISO10202—3所述)执行密钥交换控制标准：应用数据文件(ADF)的激活’294应用提供商负责ADF激活295通过安全控制的过程进行ADF的激活296在ADF定制化流程的最后进行ADF的激活，或者作为之后的单独流程297在ICC(例如，智能卡)中指示ADF的激活298仅当CDF处于激活状态或者再激活状态时，才能激活ADF控制标准：智能卡使用299除非卡已经个人化，否则ICC(例如，智能卡)不能签发300除非CDF处于激活状态或者再激活状态时，否则ICC不能用于金融交易301没有应用提供商的核准，不可能进行ADF安全参数的更新302为防止未授权修改，要使用适当的密钥(如ISO10202—3所述)执行密钥交换控制标准：应用数据文件(ADF)的失效303ICC(例如智能卡)中要指明ADF失效情况304只有应用提供商能使ADF失效，或者定义ADF的失效条件 表22(续)GB／T27912—2011控制标准：应用数据文件(ADF)的失效305当ADF失效时，ADF不能执行任何金融交易306可在应用提供商的直接控制下，执行ADF读取和ADF再激活行为307为防止ADF未授权失效，要使用适当的密钥(如ISO10202—3所述)执行窑钥交换控制拆准?通用数据文件(CDF)失效308在ICC(例如智能卡)中指示CDF失效状态309只有应用提供商能使CDF失效，或者定义CDF的失效条件3lO当CDF失效时，CDF不能执行任何金融交易31l可在应用提供商的直接控制下，执行CDF读取和CDF再激活行为312为防止CDF未授权失效，要使用适当的密钥(如ISO10202—3所述)执行密钥交换控制标准：通用数据文件(CDF)再激活313在1CC(例如智能卡)中通过激活状态指示CDF再激活314再激活CDF的过程要在卡签发者的控制下进行，以便ICC(例如智能卡)可重新用于金融交易315为防止CDF未授权再激活，要使用适当的密钥(如ISO10202—3所述)执行密钥交换控制标准：应用数据文件(ADF)再激活316在ICC(例如智能卡)中通过激活状态指示ADF再激活317再激活ADF的过程要在卡签发者的控制下进行，以便ICC(例如智能卡)可重新用于金融交易318为防止ADF未授权再激活，要使用适当的密钥(如ISO10202—3所述)执行密钥交换控制标准：ICC分发319存在和遵守文档化的程序，确保智能卡能安全分发320在分发之前，ICC(例如智能卡)进行安全的存放321在事件日志中记录ICC(例如智能卡)的分发情况控制标准：应用数据文件(ADF)终止322在ICC(例如智能卡)中指示ADF终止323应用提供商有责任进行ADF的终止324当ADF终止时，ADF永久性(不可能再激活)的终止，不能执行任何金融交易325应用提供商有责任预防ADF的终止326为防止ADF未授权终止，要使用适当的密钥(如IS0102023所述)执行密钥交换控制标准：通用数据文件(CDF)终止327在ICC(例如智能卡)中指示CDF终止328应用提供商有责任进行CDF的终止329当CDF终止时，CDF永久性(不可能再激活)不能执行任何金融交易330卡签发者有责任防止CDF的终止331为防止DDF未授权终止，要使用适当的密钥(具体如1SO]02023所述)执行密钥交换控制标准：密钥终止332在ADF终止以后，保留在ADF中的所有密钥要在应用提供商的控制下失效45 GB／T27912—2011表22(续)控制标准：密钥终止333本过程并不排除对以前可读信息的后续读取(如ISO102023所述)334在ADF终止后和Ic的驻留值传输之后，所有保留在CDF中的密钥要在卡签发者的控制下失效335本过程并不排除随后读取以前可读的CDF信息(如ISO10202—3所述)336在终止所有密钥以后，密码功能要通过使它们不能再使用的方式失效。智能卡的制造过程包括IC半导体的设计和软件设计、Ic制造、IC封装和Ic嵌入。。智能卡的制作由两部分组成：卡的个人化和CDF的激活。。CDF激活过程准备ICC(智能卡)在金融交易中由持卡人使用。。ADF的制作由三部分组成：ADF分派、ADF个人化和ADF激活。ADF分派包括Ic中对存储进行分派。。ADF个人化包括ADF相关密钥和数据的装载。’ADF的激活准备ADF在金融交易中由持卡人使用。 A．1概述附录A(资料性附录)事件日志GB／T27912—2011通过提供审计追踪的事件日志的证据，确认鉴别系统的一致性和准确性的符合度。事件日志有两个阶段：活动阶段，通过鉴别机制在事件日志中采集事件。存档阶段，日志从活动状态移出，进入存储状态。A．2管理要求本附录要求电子的或人工的事件日志的产生和维护宜符合¨．2．11规定的控制目标。以下是维护事件日志的建议：a)宜采取合适的机制维护活动事件日志的完整性，以便：·能检测到事件条目的删除；·能检测到事件条目的增加；·能检测到事件条目的修改；b)宜采取合适的机制提供事件日志源的鉴别；c)每30天或3000个事件(以先发生者为准)，活动事件日志宜至少存档一次；d)宜采取合适的机制提供对活动事件日志的访问控制，以便：·活动的事件日志不能被存档的事件日志替换；·只有批准的过程可在事件日志中增加条目；·只有批准的过程可从事件El志中删除条目；·只有批准的过程可修改事件日志；·只有批准的人员可读取事件日志；e)存档事件宜在新的活动日志和新的存档日志中采集，至少包括以下信息：·表示存档事件的指示符；·存档事件的日期和时间；·事件条目的总体数(可选)；·事件类型的小计(可选)；·新的存档日志和新的活动日志的顺序号；f)存档日志宜长期保存，其期限与安全策略和谨慎的业务准则以及法律和制度的要求相符。A．3内容要求A．3．1登记以下是登记事件的日志建议：a)在每个成功的登记过程中应采集以下信息47 GB／T27912—2011·成功的登记事件的记录指示符；·登记的日期和时间；·模板描述(例如，生物特征头)；·登记者标识符；·登记操作人员标识符；·登记发生时的生物特征识别策略；·证书序列号(可选)；·可选数据(例如，用途标识)；b)在每个失败的登记过程中应采集以下信息·失败的登记事件记录指示符；·登记的日期和时间；·模板描述(例如，生物特征头)；·登记者标识符；·登记操作人员标识符；·登记操作人员内容；·可选数据(例如，用途标识)。A．3．2身份确认和身份识别以下为身份确认事件的日志建议。在每个失败的身份确认过程中应采集以下信息——失败的身份确认事件记录指示符；——身份确认失败的日期和时间；——模板描述(例如，生物特征头)；——可选数据(例如，用途标识)。A．3．3终止和撤销以下为终止和撤销事件的日志建议。在每个终止和撤销过程中应采集以下信息：——失败的终止和撤销事件记录指示符；——终止和撤销的日期和时间；——参考模板；——可选数据(例如，用途标识)。A．3．4传输和存储以下为分发事件的日志建议。a)在每次终止和撤销过程中应采集以下信息·增加到数据库的事件记录指示符；·增加的日期和时间；·模板描述(例如，生物特征头)；·登记者标识符；·登记操作人员标识符；·证书身份确认(可选)；·可选数据(例如，用途标识)；48 b)在每次修改存储系统中的模板过程中应采集以下信息：·模板修改事件记录指示符；·修改的日期和时间；·模板描述(例如，生物特征头)；·参考模板标识符；·登记者标识符；·登记操作人员标识符；·证书身份确认(可选)；·可选数据(例如，用途标识)；c)在每次删除存储系统中的模板过程中应采集以下信息：·数据库的删除事件的指示符；·删除的日期和时间戳；·参考模板描述；·登记者标识符；·登记操作人员标识符；·证书身份确认(可选)；·可选数据(例如，用途标识)；d)在每次把生物特征信息注入到令牌的过程中应采集以下信息·表明签发令牌的指示符；·日期和时间戳；·参考模板描述(例如，生物特征目标标识符)；·登记者标识符；·登记操作人员标识符；·证书身份确认(可选)；·可选数据(例如，用途标识)；e)每天应采集以下概要信息：·产生概要记录的日期和时间戳；·存储系统的增加、删除和修改的总数；·成功的登记的总数；·失败的登记的总数；·签发的带有生物特征模板的令牌总数；·成功的身份确认的总数；·失败的身份确认的总数；·成功的身份识别的总数；·失败的身份识别的总数；·添加和阅读事件日志的总数，包括现有的概要记录。GB／T27912—201149 GB／T27912—20f1B．1概述附录B(规范性附录)生物特征登记通过登记过程，采集个体的生物特征数据，用于访问机构的金融服务或者由雇员内部使用。为满足本标准的要求，应在授权的采集场所登记申请者。应对所记录的生物特征确认它确实属于实际的用户。为了预先排除错误、欺骗或者其他不希望的生物特征数据进入系统，关键就是在批准的采集场所对所有发出的生物特征数据进行确认。登记过程由以下步骤组成：a)个体身份的确认；b)生物特征样本的采集；c)质量核查和对匹配能力的确认；d)生物特征数据传输和存储。B．2质量核查和匹配能力的确认在申请者离开场所之前，需要对所采集的生物特征数据进行接受度的自动核查。经验表明，对所采集的样本的接受度的人工判断不是总与众多生物特征识别系统一样精确。为保证生物特征样本已经进行精确的记录和存储，宜把申请的生物特征与新存储的生物特征模板进行现场的匹配。 c．1概述附录C(规范性附录)安全考虑GB／T27912—2011本附录标明了生物特征识别系统中安全方面的考虑和可能遭受的攻击或者存在的弱点。当可行的时候，将描述可能的攻击点和一套可能的解决方案。进一步的信息可见参考文献[17]。c．2使用错误身份的个体的注册每个用户在获准登记前应向生物特征识别系统的所有者证明自己的身份。这保证了生物特征参考模板真正与登记的个体的身份绑定，而不是与登记者所声称的其他身份绑定。如果某个体能使用错误的身份登记，那么就破坏了安全性(见表C．1)。表C．1错误的身份注册登录或者攻击点保护机制相关的组件——采集；～处理；登记过程定义良好和受控制的登记过程——传输；——存储C．3数据采集中的欺诈倾向性“伪造攻击”攻击者通过所采集的信息，模仿真实用户的生物特征进行伪造。伪造物接下来被用于假冒生物特征识别系统的用户。这种攻击包括两个独立的步骤：——采集代表一个或者多个其他用户的生物特征信息；a)使用所采集的生物特征信息装配成生物特性的模型，并在生物特征阅读器上使用该模型。阻止从个体采集生物特征信息是不切实际的，因此，该防护措施可针对使用用户生物特性的伪造模型(见表C．2)。表C．2伪造攻击登录或者攻击点保护机制相关组件a)标准的生物特征采集设备，用于攻击；a)能检测伪造生物特性的b)用各种方法采集必要数据，用于构造人造设备：生物特征采集设备(例·从个体采集(照片上的脸、水杯上的指纹)；如，检测温度和脉搏的指·从生物特征识别系统采集原始生物特征数据纹采集仪)；——采集或者模板数据(窃听装置、访问数据库等)；b)通过现场人员监控身份·安装伪造的生物特征阅读器，用户认为其是确认现场，或者通过如摄真正系统的一部分，通过那些阅读器采集全像头之类的电子方式部生物特征样本 GB／T27912—2011C．4传输和存储中数据保护C．4．1概述生物特征数据在系统组件之问传输或者存储是有弱点的。其可能被中断、记录或者伪造，或者替换数据可能注入到其位置。当生物特征识别系统用于金融服务时，关键是要保护数据防止这类攻击。这要求保证整个传输系统的数据完整性。如果使用完整性机制保证不接受更改或者重复的数据，那么中断和替换攻击就不可能实现。在某些应用中，源鉴别也很重要。典型的，这点用来确认数据是在一个有效的生物特征阅读器上采集。登记和身份确认操作所处理的信息服务于不同的目的。在登记过程中，处理过的信号写入模板存储。可施加额外的限制，例如首先搜索确认同一个体并未登记。在身份确认过程中，所处理的信号与登记用户在现有数据库中的一个或者多个模板进行比较。这可以是一对一的身份确认，以确定用户是否匹配其所声称的人的模板，或者是一对多的身份确认，以力图识别哪个登记的模板与未知用户匹配。应保护模板防止替换，防止替换存储的模板本身，或者替换在存储介质和匹配子系统之间路径上的模板。保护程度和类型依赖于存储子系统和整个生物特征识别系统的属性。如果整个生物特征识别系统(包括模板存储在内)包含在一个单一的物理安全单元中，那么不需要额外的保护措施。但是如果模板存储在独立计算机的数据库中，那么要求完整性措施，以确保匹配子系统收到的模板是预定的那个。同样，如果模板存储在物理安全令牌中，而在身份确认过程中采用的其他生物特征子系统却驻留在分开的设备中，则也要求完整性措施，确保模板数据的完整性和源鉴别。这些保护机制保证令牌中的模板没有被更改或者替换，而且其由可信方创建。C．4．2伪造／重放生物特征数据的注入攻击者采集随后将被注入到系统中的生物特征数据，这样就将攻击者识别为数据被采集的那个个体(见表C．3)。表C．3伪造／重放的数据登录或者攻击点保护机制相关的组件a)通信接口(本地或者远程)；a)密码完整性保护机制，例如，——采集；数字签名；——传输；b)模板数据库或者令牌b)接口和线缆的物理保护——存储C．4．3在所选定的样本和模板之间的匹配攻击者通过将其自身的生物特性与系统数据库中的大量模板进行验证，试图发现一个或多个个体，其生物特征数据与他足够类似，以成功验证他自己与其他人一样。众多生物特征识别技术均有这种可能：任何非零错误匹配率表明，一定存在某些个体能与其他模板进行确认。在相应的攻击中，攻击者尽力发现一个与选定人员生物特征数据相匹配的模板。攻击者可选择具有高等级授权或其他他们感兴趣的特性的人员。攻击者尽力发现与目标人员相匹配的模板。如果发现一个，则他与匹配模板的拥有者串通，以伪冒目标人员(见表c．4)。52 表C．4选定的样本匹配搜索GB／T27912—2011登录或者攻击点保护机制相关的组件a)限制对模板数据的访问：·限制对数据库或者目录的访问；a)通常的生物特征鉴别接口；·在允许访问个体的生物特b)生物特征数据以电子方式注征数据之前，要求通过第——存储入系统；二种因素成功核准；c)直接访问比对过程·对模板数据使用便携式存储(例如，智能卡)；b)针对模板数据库中的数据，限制发起身份确认的请求C．4．4模板对之间的匹配搜索除了攻击者搜寻数据库任意两个模板之间的匹配，而不是搜寻与特定用户的数据之间的匹配之外，这种攻击与c．4．3描述的类似。如果发现了两个足够相似的模板，那么，攻击者将尝试说服两个人中的一个一起合谋伪冒匹配对中的另外一个人(见表c．5)。表C．5模板对之间的匹配登录或者攻击点保护机制相关的组件a)限制对模板数据的访问：·限制对数据库或者目录的访问；a)通常的生物特征鉴别接口；·在允许访问个体的生物特b)生物特征数据以电子方式注征数据之前，要求通过第——存储入系统；=种因素成功核准；c)直接访问比对过程·对模板数据使用便携式存储(例如，智能卡)；b)针对模板数据库中的数据，限制发起身份确认的请求C．5修改身份确认结果生物特征设备正确获得样本和模板，执行比较，但是攻击者能在身份确认结果被使用之前改变结果(见表C．6)。 GB／T27912—2011表C．6修改身份确认结果登录或者攻击点保护机制相关的组件a)将身份确认结果向使用该结果的系统／设备进行传输的a)对二进制身份确认结果进行传输；路径；加密完整性核查；——匹配；b)生物特征识别决策中，或者在b)软件执行的保护性环境一决策结果的传输过程中包含的未保护软件C．6错误匹配(FM)对错误不匹配(FNM)C．6．1概述匹配子系统比较所提交的生物特征样本和存储的模板时，产生的分数如果超出了特定闽值，可说是代表“匹配”，如果没有超出闭值，就代表“失配”。在身份确认应用中使用的最简单的决策策略可以是，如果“匹配”发生，就“接受”用户对其身份的宣称，如果“失配”发生，就拒绝其宣称。然而，所有的运行的生物特征识别系统使用更复杂的决策策略，例如，绝大多数身份确认系统允许用户至少三次尝试去产生超过“匹配”阈值的分数，因此，如果三次结果有一次出现了足够的分数，也就产生了“接受”所宣称的身份。由此，对于身份确认系统，“错误接受”率由“错误匹配”(FM)率和决策策略所决定，同时，“错误拒绝”率由“错误不匹配”(FNM)率和决策策略共同决定。FM和FNM之间的关系是反相关的，因为在好的和坏的匹配之间存在重叠。另一个指标就是当FM--FNM时的值，即等错误率。生物特征识别系统越好，这个值越低。不好的匹配通常形成钟形的分布曲线。好的匹配也形成一个相似的曲线，在差匹配区域出现另外一组FNM，称为bi～modal分布。设定一个高的阈值则从好的读取(所有在阈值之上的)中消除了所有不好的读取(所有在阈值之下的)，但是允许了错误失配。设定较低的阈值从好的读取(所有在闯值之上的)中消除了大多数不好的读取(所有在阈值之下的)，但是允许了错误的匹配。c．6．2不合适的阈值设定不合适地调整错误拒绝率(FRR)或者错误接受率(FAR)可导致未授权的个体获得访问机会，或者授权个体被拒绝访问(见表c．7)。表c．7不合适的阈值登录或者攻击点保护机制相关组件a)登记过程；定义良好的FRR和FAR参数的匹配；b)身份确认过程；策略、控制和审计程序一一决策c)身份识别过程C．6．3不合适的设备校准合法的操作者(维护人员)在进行常规维护或安装时可能破坏生物特征设备。另一方面，对手可以54 GB／T27912—2011物理方式访问生物特征设备，修改设备的配置。任何一种情况都可导致服务丢失、升高的FRR，或者升高的FAR(见表C．8)。表C．8不合适的设备校准登录或者攻击点保护机制相关组件a)登记过程；定义良好的FRR和FAR参数的一一采集b)身份确认过程；策略、控制和审计程序c)身份识别过程C．6．4不良设备或非法系统性能一个生物特征设备或系统可能因为硬件或软件的缺陷，或者由于该设备运行的环境条件超过了正常参数，而允许更高的FRR或FAR(见表C．9)。表c．9不良设备或系统性能登录点与攻击点保护机制相关组件a)检测FRR或FAR不可接受等——采集；a)确认过程；级的监控机制；一一处理；b)软件和硬件组件的质量控制；b)识别过程一一匹配；c)生物特征识别系统的严格的、——决策正式的和／或非正式的测试C．7分数和阈值C．7．1攻击一个攻击者可能会利用匹配的结果来获得信息以便威胁整个系统。两种这样的攻击在C．7．2和C．7．3中有所描述。C．7．2爬山攻击根据给定的阈值或实际的匹配分数，确认操作的结果，可能会是布尔值：“是”(肯定的匹配)或“否”(否定的匹配)。生物特征样本在生物特征识别技术模块内和已登记的模板进行比较，以此来产生一个分数。这个分数接下来与之前已定义的阈值进行比较，用来证实提供样本的主体是否是模板的合法持有人。当由生物特征识别技术得到的匹配分数通过一种开放的标准方法向应用程序传输时，这就成为一个安全的问题。在这种情况下，攻击者可以写～个欺诈程序，通过提供一个随机产生的样本来对生物特征识别技术系统性地进行询问，并监视输出的分值，以维护对样本的修改，这样可以使它更接近于模板代表的原始输入数据。攻击者这样可以系统性地修改样本以不断获得更高的分数直到符合决策阈值。这样的攻击叫做爬山攻击(见表C．10)。更多信息见参考文献[19]。55 GB／T27912—2011表C．10爬山攻击侵入与攻击点保护机制相关组件a)返回按足够步长不断增加的采集；生物特征识别技术与应用之阃的分数，而不是连续的分数；传输；接口b)应用和生物特征识别技术间匹配的相互鉴别C．7．3更新和适应一个模板的更新通常是由应用发起的，并且它和以相同的技术重新进行登记一样，可能利用最初的模板作为输入的数据。在成功的确认匹配基础上，适应性调整由生物特征技术自动执行。当执行更新时，攻击者提交未授权人员的样本进入更新功能以产生一个伪造的新模板，这是可能的，这个模板之后可以被储存在被授权的个人用户的数据库里。通过适应性调整，由于新样本和已登记的模板通过了确认匹配，他们就被认为属于同一个人(见表c．11)。表c．11更新和适应侵入与攻击点(正确)保护机制相关组件a)数据库的访问控制；a)生物特征识别技术与应用之b)更新功能执行的授权控制(例间的接口；如，只有管理员才能执行该功传输；能，和登记的控制相同)；一存储b)数据库接口c)应用和生物特征识别技术间的相互鉴别这些系统可以用三级决策过程，并用两个独立的阈值一如果分数超过上界阈值，系统表明样本数据与模板相匹配，无需再做任何工作；一一如果分数超过下界阈值，但未达到上界阈值，系统表明样本数据与模板匹配，模板需要利用样本的数据进行更新；一如果分数低于下界阈值，系统表明样本数据与模板不匹配，不会再进行其他动作。一一对于这些系统，需要注意“爬山攻击”。C．8单因子鉴别对多因子鉴别使用多因子鉴别通常被认为能够提高系统安全性，因为只有破坏多重鉴别因子才能击败鉴别过程。然而，增加鉴别因子也会产生很多问题，包括：一因为必须记忆和使用额外的鉴别因子而对顾客造成不便；——增加机构管理多重识别因子如卡和PIN的维护成本；——当工作人员们不能访问资源时，降低生产效率(即高错误拒绝率h一一当降级确认机制允许冒名顶替者有意被拒绝或者登记失败时，可以绕开系统以攻击次级鉴别机制。如果使用者借助于不安全的技术管理多重鉴别因子，那么太多的鉴别因子会降低系统的安全性，例56 GB／T27912—2011如使用者写下多口令系统的口令以免忘记它们。然而，一个过于不严密的鉴别策略会导致资料丢失，数据机密性的破坏，以及因欺诈、延误客户被窃身份的恢复和其他原因而导致的对机构信任的丧失。当决定了在一个鉴别系统中鉴别因子的数量后，确定能获得的安全性和其他成本间的比例是非常重要的，例如客户失望和维护组合系统的成本。一些生物特征识别系统达到了足够低的错误匹配率，他们可以用单一的生物特征识别方法执行确认和识别功能。另一些系统则需要多样的方法才能够获得这样的结果。当只有一个鉴别因子——生物特征识别时，这样的能力使得这些技术成为理想的候选者。例如，考虑以一个阈值运行的单因子的生物特征识别系统，其单独对比中的错误匹配率为Pr[FM]。假设我们要使用有N个银行登记用户的生物特征识别系统。一般来说，该生物特征识别系统会“划分”数据库，根据生物特征内的信息(诸如指纹分类)或其他信息(如年龄，性别)把登记用户划分到不同的组中。“渗透率”P，是指每次处理过程中已登记数据库被搜寻的平均几率。因此，平均起来每次处理都会要求有P×N个生物样品与存储着的生物特征样本进行对比。对单因子生物特征识别系统使用简单概率模型[20]，在N个用户中出现系统错误匹配的概率Pr为：Pr[$stemFalseMatch]一l一(1一Pr[FM])““例如，假设在单一对比下的错误匹配率为10，渗透率为0．5，那么在N--1000个用户中相应的系统错误匹配率为1：]00。换句话说，在有1000个用户的生物数据库分区内使用单一对比错误匹配率为I：100000的生物特征法，能够得出系统错误匹配率为1：200的结论。这要求任何一种只采用单一策略的单因子生物特征识别系统要达到极高的精确度。下一个问题是在鉴别系统中单个的因子应当具有较高等级的完整性，以防止软件被替换或欺骗性的攻击。当生物特征识别系统符合本标准列出的安全要求，特别是关于“伪造的生物特性”的那些有关重放或伪造的数据和源鉴别的要求时，就认为该生物特征识别系统符合了该标准。这是因为单一策略的生物特征识别系统仅依赖于用于“登录”系统的单一生物特征模板的完整性。除非在这些领域采用健壮的技术，否则鉴别系统的安全性就会降低。总之，当决定是否采用单一的、以生物特征识别为基础的鉴别系统时，还有很多其他的因素需要考虑。包括在错误匹配方面的生物特征识别的精确性，目标人群的数量和系统安全性，这样才能在达到系统安全目标的同时，更便于用户使用。C．9测试评估生物特征识别设备的错误率是技术测试过程的一部分。除此之外，几乎没有共识。回顾生物特征识别设备测试中的技术问题，可以看出在术语和协议方面具有很多冲突。为解决这个问题并使错误率测试更加合理化，英国政府发布了一个叫做“生物特征识别设备性能测试和报告最佳实践”的文件。它的目的是在测试错误率的过程中建议生物特征识别技术团体在处理和报告技术测试时参照“最佳实践”。由于生物特征识别设备、传感器、产品说明书、数据采集方法、目标应用和群体的广泛性，这使得不可能提出一个精确的统一的测试协议。另一方面，一些特别的术语、理念和原则能够被应用于广泛的设备和测试条件中。第一个问题是关于术语。通常来说错误被描述为“错误接受”和“错误拒绝”。遗憾的是，这些术语在访问控制和广泛的身份识别团体中具有完全不同的含义，这会使得当比较跨应用的文件时出现混乱。术语“错误匹配”和“错误失配”，以及“错误的肯定”和“错误的否定”，则不存在这样的问题。前面的术语更易被接受，因为它更简练，并且对于问题更具有描述性。第二个问题是是否错误率应当报告为：57 GB／T27912—2011a)在上述单一比较的类型中错误的概率；b)“排序统计(rankorderstatistic)”是指在登记了N个模板的数据库中，样本处在前M个候选者中的平均概率。方法a)被更多的研究者所接受，因为它没有将报告的错误与数据库的大小相关联，并且它包括了更多的信息。对于任何大小的数据库而言，“排序统计(rankorderstatistic)”可以从错误匹配和失配的错误率中获得，反之则不行。最后，最重要的问题是，如何评估这些错误率。这个问题占据了“最佳实践”文件的大部分，但是在这里我们只给一个简明的总结。一个通常的问题是，生物特征识别设备本身没有错误率。错误只产生于使用者在特定应用中使用设备的过程中。这意味着“在指纹设备中错误率是什么”这个问题的提出是不完善的。更好的问题应该是“在一个未被监管的、室内的环境中，当指纹设备被熟悉的工作人员使用时，预计的错误率如何?”成年人在室内使用指纹系统时，并且没有测试熟悉性、监管等的影响时，这是无法被预估的。这意味着对于错误率和生物特征识别设备的完整回答需要对所有可能的人群进行测试。测试十分昂贵，以至于即使是单一的人群在单一的应用中，也很少对单一的设备进行测试。然而，众所周知的是下面的这些环境和人群对错误率的影响：很少使用的使用者比熟练的使用者造成的错误要多；年轻人在使用指纹系统时比年长的人造成的错误少；室外环境比室内环境更具挑战性。因此，如果我们得出了在室内环境中熟练的使用者的结果，我们就可以知道对于室外的设备，对不常用的使用者而言错误率更高。第二个问题是系统策略也会影响错误率。例如，若登记了两种方法(如两个食指)并且允许与任何一个匹配时，则系统的错误失配率会降低，但这是以牺牲错误匹配率为代价的。使用数学方法，各种系统策略，如多模板登记，测试错误率会近似(有时是非常不准确的，因为不知道的数据的相关性)转化为系统错误率。其他的系统策略，例如通过拒绝低质量的注册图像，仅允许“好”的使用者的方法，会阻止一些人使用系统，但同时也会产生较低的系统错误率。最后的原则是测试是自愿的、受监管的，因而也是与配合的使用者来一起进行的。会提供激励给自愿者以使他们正确地使用系统，从而产生较低的错误失配率。两个个体测量数据偶然的匹配会产生错误匹配率。这些被称为“零努力”伪冒者。对伪冒者的错误匹配率的脆弱性和不配合用户的错误失配率的影响从未被测量过。因此，测试中的心理环境是不符合“真实世界”应用的目标的。总之，错误匹配率和错误失配率的测试仅仅是大致地提供了系统中可能存在的错误。无论测试多么具有广泛性并被精心设计，结果都不能称为是对“真实世界”性能的准确预测。c．10开放系统对封闭系统表c．12描述使用生物特征识别技术的两种类型鉴别系统：开放系统和封闭系统。表C．12开放和封闭系统特性封闭(专有的)系统开放系统使用的生物特征识别知识(如指纹、声音、虹使用的生物特征识别知识并非是敏感的，而是膜)是专有的，或对公众是保密的公共的信息软件在不同的系统中，使用者不能用相同的生物特在不同的系统中，使用者可以用相同的生物特征识别技术和生物特征识别数据征识别技术和数据生物特征阅读器被限定在私人的和被控制的硬件生物特征阅读器处在开放的空间中空间内 表C．12(续)GB／T27912—2011特性封闭(专有的)系统开放系统生物特征识别信息在系统外是不能被共享的，在不同组织的控制下，生物持征汉别信息可眦在很多个生物特征识别系统中共享，并可以跨越因为这会降低系统性能或有可能侵害系统不同的权限生物特征识别信息是机密的，因此在传输和存生物特征识别信息被视为非机密的数据，因此数据储时需要加密在储存和传输时无需以机密的理由再进行加密使用者的生物特征识别数据被以未授权的方当使用者的生物特征识别数据被以未授权的式泄露出去时，生物特征识别信息就变成无效方式泄露时，并不会使生物特征识别信息变成无的了效的在封闭的系统中(自包含的、有限的使用者、单个企业)，适用以下的特性：——通过生物特征识别保护机制提供的安全性会通过以下方式被增强，使生物特征识别系统的细节成为机密的，使生物特征识别系统使用者的身份成为机密的，以及使生物特征识别的数据成为机密的；——将生物特征识别数据保密是有可能的，因此一个封闭的系统可以通过此获得安全收益。因此，像密码或物理性的保护机制可以被使用，以此来保证生物特征识别数据在两个甚至更多组件中的机密性；——某些机制可以被使用，以保证生物特征识别信息不会在系统外被分享，使用者不会在不同的系统中使用相同的生物特征识别技术和数据；一一某些机制可以被使用，来保证生物特征阅读器被限定在私人的和可控制的空间内；——一某些机制可蹦被使用，来保证在系统中被使用的生物特征识别的特定知识是机密的；——某些设备可以被使用，来保证在终止后使用者的生物特征识别信息可以被从任何一个鉴别系统的组件中删除，以防止生物特征识别信息未经授权的泄露。在开放的系统中(全局和无所不在的、大量的使用者，相同的生物特征识别技术被不同的制造商和组织使用)，包括了以下的特性：a)当生物特征识别信息被两个或更多的系统分享时，保护的质量不会使任何系统中的生物特征识别安全性降低或破坏，即一个系统中保护的水平由于糟糕的实现被破坏时，这不会影响到其他系统中的保护水平；b)使用“专有模型”建立的生物特征识别解决方法的安全性会被从本质上破坏。“专有模型”的安全性假设和开放系统是相互冲突的；注：生物特征识别系统和生物特征识别方法的细节是不会被保密的[13]，当——生物特征阅读器的设备有时处在公共空间时；～生物特征识别系统的使用者是已知或可被认知的时；一对手可以在生物特征识别系统外收集生物特征识别样本时；一样本的生物特征识别数据建立在相似的生物特征识别技术上，并且生物特征识别模板在不同的系统和组织间被分享时。c)生物特征识别技术必须是足够健壮的，例如一个系统中使用者的相似的生物特征识别数据不能破坏其他系统的安全性。一个系统中提供的保护的质量不会被其他生物特征识别系统降低或破坏(例如当不同系统中的生物特征识别数据被不同的使用者共享时)；d)在使用相同生物特征识别技术的不同生物特征识别系统中，任何一个系统应当是独立的；59 GB／T27912—2011e)当一个系统的使用者同时也是另一个系统的使用者时，全局生物特征识别结构的安全性是不能被降低的。c．11生物特征识别数据的泄漏／丢失为了保证整个生物特征识别系统的完整性和精确性，生物特征识别数据的机密性可能是不需要的但也许出于隐私权、法律保护或客户满意等其他因素，这又是需要的(见表C．13)。表c．13泄漏／丢失侵入与攻击点保护机制相关组件a)携带原始生物特征识别数据a)运用加密来防止生物特征识——采集和经处理过的生物特征识别别信息未经授权的泄露——处理样本或模板的所有接口b)物理保护所有接I=l(如，在单～传输b)支持生物特征识别模板的存独的物理安全模块中进行所～存储储介质有处理)C．12数据压缩为了减少数据传输量，很多系统使用压缩算法来处理原始生物特征数据、模板数据。接收端在使用前对数据解压缩。压缩算法有两种明显的分类：，——有损的；——无损的。在无损系统当中，解压缩信号和最初输入的信号在每个细节上都是完全相同的。而在有损系统中，为了达到明显地减小数据量的作用，某些数据的准确性被牺牲掉了。有损压缩在某些生物特征识别技术中是能够被接受的，而其他的则不能接受。由于压缩所造成的信号降级的程度和生物特征识别系统身份确认的精确性间是存在着某种平衡的。C．13系统风险控制降级机制的存在，例如I=I令或次级生物特征识别，能够阻止有目的的伪冒者进行鉴别尝试或在系统中进行登记。通过使主鉴别或登记方式(通常它是两种方式中较健壮的一个)失效，伪冒者就能转而攻击次级生物特征识别或鉴别技术。60 D．1物理上的安全性附录D(规范性附录)生物特征识别设备的安全要求GB／T27912—2011本附录主要规定了生物特征识别设备所需的安全要求，该设备被用在一个保护敏感性信息的系统内。有三种逐渐递增的安全等级：等级1、等级2和等级3。划分这三种等级的目的是尽可能涵盖更多有可能采用生物特征识别设备的应用和环境。生物特征识别设备应使用物理安全机制，以限制对设备内容的未授权访问，也可以防止未授权的使用和设备安装时对设备的修改(包括对整个设备的替换)。所有在设备内部的硬件、软件、固件和数据组件都应当被保护。一个完全以软件实现的生物特征识别系统，生物特征识别组件的物理安全性仅由主机平台提供，不适用本标准的安全要求。依靠生物特征识别设备中的物理安全机制，未授权的物理访问、使用或修改都有很大可能被检测到，因为这些操作将留下可见的痕迹(即防篡改)，并且／或者在进行这些操作的过程中，生物特征识别设备也可够采取适当的措施来保护机密和隐私的信息以及在生物特征识别设备内的关键参数(即篡改响应)。本附录为生物特征识别设备的这三种等级分别定义了一般物理安全要求。通常来说：——安全等级1要求最低限度的物理保护；——安全等级2要求额外的防篡改的机制；——安全等级3增加了为可移动的盖子和门使用具有篡改检测和篡改响应机制的强封装的要求。篡改检测和篡改响应并不是替代防篡改的机制。当生物特征识别设备允许物理访问时(例如由设备的制造商或其他的授权人访问)，本附录为维护访问接口规定了安全要求。D．2通用的物理安全要求以下这些要求应被应用于所有的生物特征识别设备：——文档应具体规定生物特征识别设备的物理安全机制所采用的安全等级；——文档应具体规定生物特征识别设备的物理安全机制。如果一个生物特征识别设备中包括了需要对设备内容进行物理访问的维护角色，或者如果生物特征识别设备被设计为允许物理访问(例如由设备的制造商或被授权的个人访问)，则应当应用下面的这些内容：a)应定义一个维护访问接口；b)维护访问接口应包括所有访问生物特征识别设备内容的路径，包括任何可移动的盖子或门；c)维护访问接口内的任何盖子或门应使用适当的物理安全机制保护；d)当维护访问接口被访问时，所有机密信息和关键的安全参数应当被归零；e)文档应当具体规定维护访问接口，以及当维护访问接口被访问时，所有机密信息和关键的安全参数是如何被归零的。61 GB／T27912—2011D．3安全等级D．3．1安全等级1以下这些要求应用于所有等级1的生物特征识别设备：——生物特征识别设备应由产品级组件组成，这些组件中包括标准的钝化技术(例如在设备电路系统上使用类似涂层的东西或密封的覆盖物，以防止环境或物理的破坏)；——当执行物理维护时，生物特征识别设备内包含的机密信息和其他未被保护的关键安全参数应被归零。归零应由操作者按程序执行，也可以通过生物特征识别设备自动地执行。如果生物特征识别设备包含在一个封闭的或可移除的外壳中，那么应使用产品级的包装或可移除的外壳。D．3．2安全等级2除了安全等级1的一般要求之外，以下要求适用于所有安全等级2的设备。当试图对设备进行物理访问时，生物特征识别设备应提供篡改的证据(如在盖子上、封装上或封签上)。这可通过使用防篡改的覆盖物(例如防篡改的钝化材料或防篡改的覆盖钝化层的材料)对生物特征识别设备进行覆盖或者保护具有防篡改的封装的生物特征识别设备，以此来阻止直接的观察、探查、或对设备的操作，并且提供篡改企图的证据。如果应用防篡改覆盖物或封装，那么它在可见光谱范围内应是不透明的。如果使用了防篡改的封装，并且封装包括了任何的门或可移动的覆盖物，则这些门或覆盖物应使用物理或逻辑钥匙用能够抵抗工具的机械锁锁住，或者它们应由防篡改的封签保护。生物特征识别设备的防篡改封装物在可见光谱范围内应是不透明的。D．3．3安全等级3除了安全等级l和2的一般要求之外，以下是所有安全等级3的生物特征识别设备适用的要求。如果生物特征识别设备包括了任何门或可移动的覆盖物，或者维护访问接口已经定义，则设备应包括篡改响应和归零电路。当门被打开，覆盖物被挪动，或者维护访问接口被访问时，这些篡改响应和归零电路应当立刻将所有机密信息和关键安全参数归零。当生物特征识别设备中包含机密信息或关键安全参数时，篡改响应和归零电路应一直运行。如果生物特征识别设备包括了通风孔或缝隙，这些孔和缝隙应当这样构造：能够阻止未检测到的对封装内部的物理检测(例如，应当至少有一个90度的弯曲或者使用牢固的阻塞物质)。生物特征识别设备应被坚固的不透光的防篡改覆盖物(例如一个硬的不透明环氧钝化物)覆盖，或者应进行封装，使对封装的移动或渗透的企图很可能会造成生物特征识别设备严重的破坏(即设备不再工作)。62 E．1现金柜台附录E(资料性附录)现有的应用GB／T27912—2011无法使用自动服务系统例如自动柜员机的支付，可在安全现金柜台由一个授权的柜员进行。在一些受控制的区域中，柜员经监督人许可进入现金柜台。～旦被许可进入受控区域，现金柜台将一直由柜员进行操作。这套系统确保只有被授权人方可进入现金柜台的指定区域，并且要求监督者监督柜员以确定他／她仍然在受控区域。如果生物特征识别技术用以控制进入该区域，那么就可限定仅被授权人员可进入受控区域及操作现金柜台，这样就不需要监督人不间断的监视了。现金柜台只需在顾客使用其进行交易时进行管理即可。现金箱在柜员离开现金柜台时能被自动禁用并受到保护，直至授权的柜员再次到来。进入现金柜台区域可以通过生物特征识别技术进行更好的控制，因为柜员可能共享PIN或密钥，但不能共享他们的生物特征。每笔交易都可和一个特定的柜员相联系，因为通过生物特征控制显示的是谁进人或退出了受控区域，而不是哪一个密码被使用过。因为访问可被限定在～小部分被授权人，生物特征识别技术可以采用一对多的匹配来识别被授权的柜员。当生成取款人访问控制事件日志记录的审计追踪时，通过包括时间、日期和雇员身份信息，访问控制系统可以使个人在受控区域的进出与之关联起来。E．2钞票分发一些依靠人员管理的取款机进行一般操作时要求双重控制。这些设备仅在至少两名工作人员一直出现在顾客服务区域时才可以被使用，同时双方应当相互可见。生物特征识别技术可以保证只有被授权提款的员工才可进出服务区域，并保持一直在场，同时位于双重控制要求的位置。另外，基于生物特征识别技术的取款机可以用来保证设备仅在至少两名经授权的工作人员在客户服务区域并且相互可见的情况下才能操作。增加生物特征识别技术可以创造一个控制柜员的环境，并无需银行管理人员的监视。通过事件日志，基于生物特征识别技术的自动售货机和服务区域可实现自动的活动监控。这就可以把不间断在场服务人员的时间减少至仅仅在付款时，以满足客户的要求。E．3支票欺诈检测一些金融机构已经应用基于生物特征识别技术的欺诈检测系统，这个系统可以把银行客户在支票上的签名与预留签名相比对。在这个系统中，当一个银行客户开立一个账户时，登记过程的一部分就包括用客户签名来生成～个他／她的签名样本。这个签名样本被存入～个与客户账号或其他标识符相联的数据库。当登记的客户填写了一张支票用以付款时，支票上的签名就连同账户信息一同被提取出来。支票验证使用生物特征签名识别技术自动完成。如果出现的签名评分低于依赖应用的闯值，就会出现警告并且支票会被列入异常列表。此时银行雇员将会启用人工验证来确定此签名是否存在明显不一致。如果银行雇员认为支票上的签名涉嫌欺诈，就可能询问客户是否真的签发了该支票。银行客户肯63 GB／T27912—2011定的答复将导致银行兑付支票。否定的答复将导致银行拒付支票。在支票欺诈的案件中，账号会被加入“不良支票”的数据库(支票验证服务)，它可被用来发现支票欺诈嫌疑人，从而达到拒绝支付的目的。另外，如果银行确定签发并兑付了欺诈支票，则可能关闭该账户。 参考文献GB／T27912—2011[】]Gb／T21079，1银行业务安全加密没膏}(零售)第1部分：概念、需求和评估方法(GB／T21079．1—2007，ISo1349l1，M()I))[2]ISO，／IEC78161l识别卡集成电路卡第1J部分：通过生物方法的身份验证[3]1SO10202(所有部分)金融交易#使用集成电路卡的金融交易系统的安全体系[4]ISO11568(所有部分)银行业务密钥管理(零售1[5]ISO／1EC11770(所有部分)信息技术安全技术密钥管理[6]ISO／IEC13335～1：2004信息技术安全技术信息和通信技术的安全管理第l部分：信息和通信技术的安全管理的概念和模型[7]1SO／TR13569：2005金融服务信息安全指南[8]ISO15782—1：2003金融业务证书管理第1部分：公钥证书[9]ISO／IECl7799：2005信息技术安全技术信息安全管理的实现代码Elo]ISO／IEC1803l信息技术安全技术随机比特的产生[11]ISO／IEC18032信息技术安全技术质数的产生[12]1SO／IEC19784—1：2006信息技术生物特征应用程序接口第1部分：BioAPI规范[13]ISO15782(所有部分)银行业务证书管理[14]IsO／1Ec导则73：2002风险管理词汇在标准中使用的指南l5『PANKANTI，IAINeta1．Persona[ElectronicIdentificationInANetworkedSociety，Kluwer，199916ANDERSON，ROSSandKUHN，MARKUS．TamperResistanceaCautionaryNore，ProceedingsoftheSecondUSENIXWorkshoponElectronicCommerce，November199617隙．MAYTAS，STEPHENM．，S7IAPI，E7FON，JEFF，ABiometricStandardforInformationManagementandSecurity，ComputerandSecurity，July，200018ABRAHAM，D．(；．，D()I，AN，(；．M．，D()UIjI。E，(；．P．andSTEVENS，J．v．TransactionSecuritySystem，IBMSystemsJournal，v30no2，199119DR．s(】UTAR，COI。IN，BiometricSystemPerformanceandSecurity，PresentedatIEEEWorkshoponAutomaticIdentificationAdvancedTechnologies，September1999．http：／／www．mytec．com／papers／hiilclimbing．htmlE20]WAYMAN，J．I。．ErrorRateEquationsfortheGeneralBiometricSystem，IEEERoboticsandAutomationMagazine，March1999'