GB∕T 36094-2018
基本信息
标准号: GB∕T 36094-2018
中文名称:信息技术 生物特征识别 嵌入式BioAPI
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:3018KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36094-2018 信息技术 生物特征识别 嵌入式BioAPI
GB∕T36094-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.240.15
中华人民共和国国家标准
GB/T36094—2018/ISO/IEC29164:2011信息技术生物特征识别
嵌入式BioAPI
Information technology-BiometricsEmbedded BioAPI(ISO/IEC29164:2011,IDT)
2018-03-15发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-10-01实施
符合性
规范性引用文件
术语和定义
5缩略语
6嵌人式BioAPI环境
6.1嵌人式BioAPI运行环境
6.2嵌人式BioAPI的安全性·
7嵌人式BioAPI的通用架构
8结构
9嵌人式BioAPI的Patron格式
10嵌人式BioAPI的安全块格式·10.1
安全块格式所有人·
安全块格式所有人标识符
安全块格式名称·
安全块格式标识符·
安全块格式的ASN.1对象标识符
使用范围
版本标识符
CBEFF版本
数据类型、格式与编码·
从设备ID字段[S]
命令字段『C
状态/错误字段[E
生物特征识别模态编码
12命令定义
管理命令
模板管理命令
登记命令
生物特征处理命令
GB/T36094—2018/IS0/IEC29164:2011Ⅲ
GB/T36094—2018/ISO/IEC29164:2011附录A(规范性附录)
符合性要求
附录B(资料性附录)
顿实现示例
附录C(资料性附录)
多场景下的命令交换示例
N.ai..................
.....................
iiKAoNhikAca
本标准按照GB/T1.1一2009给出的规则起草。GB/T36094—2018/IS0/IEC29164:2011本标准使用翻译法等同采用ISO/IEC29164:2011《信息技术生物特征识别嵌人式BioAPI》。与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T26237(所有部分)信息技术生物特征识别数据交换格式[ISO/IEC19794(所有部分);
-GB/T28826.2一2014信息技术公用生物特征识别交换格式框架第2部分:生物特征识别注册机构操作规程(ISO/IEC19785-2:2006,NEQ)请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本标准起草单位:广州广电运通金融电子股份有限公司、长春鸿达光电子与生物统计识别技术有限公司、广州广电卓识智能科技有限公司、北京天诚盛业科技有限公司、广州广电运通信息科技有限公司、浙江蚂蚁小微金融服务集团有限公司、中国电子技术标准化研究院、北京旷视科技有限公司、公安部第研究所,厦门市数韬软件科技有限公司,广东霸菱科技有限公司,深圳市铭图创新科技有限公司本标准主要起草人:胡静宜、罗攀峰、梁添才、王欣、章烈飘、柯文辉、林冠辰、彭程、张永、落红卫刘旭东、郑征、杨波、张鑫、高健、翁展、蒋奇伟、徐俊、金晓峰、郑城、秦日臻。iiiKAoNikAca
GB/T36094—2018/ISO/IEC29164:2011引言
嵌入式系统环境与常规运算环境之间区别颇多。首先,嵌人式系统在处理功能、内存(或存储)空间、操作系统支持以及资源配套方面较为受限。因此,为嵌入式系统配置更多通用接口的做法可能并不合适。对于嵌人式生物特征识别技术来说,识别算法和传感器常被封装进硬件或固件模块中。其次,嵌人式系统设计人员在设计系统软件和固件时并不关心系统在生物特征识别技术上的实现细节,而偏向于通过集成一个外部模块来实现部分或全部生物特征识别功能。对于将生物特征识别功能集成到软件或固件的应用来说,本标准并不适用。此类应用中使用的是BioAPI(GB/T30267.1一2013)或其无框架版本(见带Amd.2的ISO/IEC19784-1)。本标准定义的接口提供与此类生物特征识别模块直连。该接口定义综合考虑了接口提供的服务以及发送给生物特征识别模块的命令的报文格式和预期的来自这些模块的响应的报文格式本标准旨在为不能实现BioAPI(见GB/T30267.1)的所有生物特征识别系统提供一个通用接口。之前,由于BioAPI对处理能力和内存空间要求范围相当大,因此产生了一些不同的解决方案。其一为无需BioAPI框架而直接使用BioAPI,BioAPI框架是最耗费处理和内存的组件之一。此BioAPI版本称为无框架BioAPI。不过,这个方案尽管对几类应用(如带有操作系统的移动设备中安装的生物特征识别小程序及生物特征识别服务)有大的帮助,但它的要求超出了嵌人式系统的能力范围。因此,本标准提出了一个名为嵌人式BioAPI的全新解决方案,完全不同于上述的无框架BioAPI。嵌人式BioAPI可用于遥控装置、车库开启装置、汽车点火装置、门禁装置、内存卡、鉴权令牌以及手持武器等。相比更常见的应用场景,一个标准接口在这些应用环境下的实用性并不突出,但它具备以下两大重要优势:
当某厂商产品线上的多个设备或组件(仅指内置了数据采集装置的设备或组件,如遥控设备)仅在内置数据采集装置或生物特征识别技术上存在区别时(例如:设备A采用内置指纹数据采集装置或算法,而设备B采用面部识别摄像头或功能),标准接口可以帮助该厂商以单个代码库满足多设备生产需求。而由手单代码库有助手简化配置管理,因此可以提高生产效率;帮助数据采集设备OEM厂商以单OEM组件或固件实现多设备厂商支持(即无需考虑数据采集装置内置于何种设备)。
本标准中,适合部署嵌入式BioAPI的设备称为“嵌人式BioAPI子组件”。请注意,其他类型的设备同样可以采用本标准,但为了更好地理解本标准,我们在此仅围绕嵌人式BioAPI进行描述。本标准并未说明对嵌人式BioAPI子组件等设备的要求,但列明了对实现嵌人式BioAPI所需设备的要求。IV
HiiKAoNiKAca
1范围
GB/T36094—2018/IS0/IEC29164:2011信息技术生物特征识别嵌入式BioAPI本标准为设计用于集成到内存空间和运算能力受限的嵌人式系统的硬件生物特征识别模块提供一个标准接口。本标准为此类基于硬件的生物特征模块规定了完整的接口。此接口称为嵌人式BioAPI,它由这些模块所要实现的命令的规范来定义。该规范分为以下两层:底层实现,该规范针对底层实现定义了一个框架以及所有命令及其对应的响应对的编码。作为一个单主/多从半双工协议,可以经由任何通信接口在任何物理和链路层实现这些报文。这些通信接口的定义不属于本标准覆盖范围;一个基于C语言的函数的报头描述,供那些有以下想法的制造商使用:提供C语言库作为整个嵌人式系统的集成软件开发包。关于安全,本标准定义了两类设备:A类设备:此类设备由于缺乏处理能力,因此没有实现任何安全机制:一B类设备:此类设备实现了用以达到保密性、完整性和/或真实性的安全机制,推荐使用。本标准定义了B类设备的一组最低要求,但设备的安全机制不在本标准范围内。底层实现不在本标准规范部分范围内,而是作为资料性附录(见附录B)予以提供。安全机制虽然在本标准中有所考虑,但它们不在本标准范围内,请参考其他相关标准。特别是密钥管理也不在本标准范围内,希望在应用本标准前予以处理。嵌入式BioAPI子组件或任何适合实现嵌人式BioAPI的设备的规格和要求不在本标准范围内。2符合性
声称符合本标准的生物特征识别模块应覆盖本标准规范性要求的所有必选项。只要不修改本标准陈述的行为的前提下,符合本标准的生物特征识别模块可以提供附加的功能。有关符合性要求的更详细列表见附录A。3规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T28826.1一2012信息技术公用生物特征识别交换格式框架第1部分:数据元素规范(ISO/IEC19785-1:2006MOD)
GB/T30267.1一2013信息技术生物特征识别应用程序编程接口第1部分:Bi0API规范(ISO/IEC19784-1:2006.IDT)
ISO/IEC19784-1/Amd.3:2010信息技术生物特征识别应用程序编程接口第1部分:BioAPI规范修正案3支持证书和安全主张的交换以及其他安全方面(Informationtechnology一Biometricapplication programming interface-Part 1:BioAPI specification-Amendment 3: Support for interchange of certificates and security assertions,and other security aspects)ISO/IEC19785-2信息技术公用生物特征识别交换格式框架第2部分:生物特征识别注册机1
iiiKAoNikAca
GB/T36094—2018/IS0/IEC29164:2011构操作规程(Information technologyCommonbiometricexchange formats framework-Part2:Pro-cedures for the operation of the biometric registration authority)ISO/IEC19785-3:2007信息技术公用生物特征识别交换格式框架第3部分:Patron格式规范(Information technologyCommon biometric exchange formats frameworkPart3:Patron formatspecifications)
ISO/IEC19794(所有部分)信息技术生物特征识别数据交换格式(InformationTechnologyBiometric data interchange formats)ISO/IEC24761:2009信息技术安全技术生物特征数据认证上下文(InformationtechnologySecurity techniques-Authentication context for biometrics)4术语和定义
下列术语和定义适用于本文件
注:功能及数据元并不单独列于本章.而是随本标准正文逐一介绍4.1
生物特征识别模块biometricmodule用于实现与生物特征识别模态相关的部分或全部功能的基于硬件的模块。这些功能包括数据采集、样本处理、比对、存储、登记或任何前述功能的组合。注:生物特征识别模块还可提供其他功能,如发送外部业务的激活信号,但此类功能不在本标准范围内4.2
生物特征样本biometricsample
直接从传感器获得的或经过进一步处理的生物特征信息,注:见GB/T30267.1一2013中的原始生物特征样本、中间生物特征样本和已处理生物特征。4.3
生物特征模板biometrictemplate适于存储的生物特征样本或者生物特征样本的集合。其可以作为后续比对的参考。4.4
嵌入式BioAPI子组件embeddedBioAPI subcomponent可被系统集成商整合进复杂系统或设备的子组件。注1:子组件可能是由第三方或设备商自行提供。注2:本标准并未介绍对嵌人式BioAPI子组件等设备的要求,但列明了对实现嵌人式BioAPI所需设备的要求。4.5
嵌入式系统embeddedsystem
为实现一个或多个专用功能而设计的专用计算机系统,有时存在实时运算限制。注:通常该系统被内置于一个完整设备,包括硬件固件及机械部件。相比之下,一台通用型计算机如个人电脑可以通过编程执行各种不同的任务。4.6
顿frame
构成设备间通信中的命令或响应报文的一组字节。4.7
通用处理单元generalprocessingunit数字系统中负责控制部分或全部信息处理的单元,通常为微处理器、微控制器或内置微处理器的子系统。
iiiKANiKAca
主机host
嵌人式系统的处理单元,与生物特征识别模块直连。4.9
GB/T36094—2018/IS0/IEC29164:2011master embedded BioAPI interface主嵌入式BioAPI接口下载标准就来标准下载网
发送命令和接受响应的嵌人式BioAPI子集4.10
已处理的生物特征样本processed biometric sample可用作比对的生物特征样本。
会话密钥
sessionkey
用于加密或鉴权的密钥,每次会话使用不同的密钥注:会话期可定义为电源开/关之间的时间段或设备连接/断连之间的时间段等。当检测到某会话触犯安全机制时,该会话将被视为已过期,
从嵌入式BioAPI接slaveembeddedBioAPIinterface接收命令和发送响应的嵌人式BioAPI的子集4.13
反template
生物特征模板。
模板存储容量template storagecapacity可存储于一个生物特征识别模块的生物特征模板BIR数量。缩略语
下列缩略语适用于本文件。
BIR:生物特征信息记录(BiometricInformationRecord)OEM:原始设备制造商(OriginalEquipmentManufacturer)PoS:服务点终端(PointofServiceterminal)RFU.预留备用(ReservedforFutureUse)SDK:软件开发工具包(SoftwareDevelopersKit)6嵌入式BioAPI环境
6.1嵌入式BioAPI运行环境
嵌入式BioAPI为安装于嵌入式系统的生物特征识别模块提供标准接口。通常情况下,嵌入式系统的内存空间较小且计算功能较低,以致于无法支持BioAPI(GB/T30267.1一2013)或其无框架版本(见ISO/IEC19784-1/Amd.2)。这意味着本标准中定义的接口使应用与生物特征识别模块之间直连连接,而无需使用操作系统解决方案或高级编程语言。该接口的定义综合考虑了接口提供的业务以及生物特征识别模块所接收命令的报文格式和所发送响应的报文格式。没有对待底层实现的细节,此类细节示例参见附录B和附录C。为更好地了解嵌人式BioAPI的应用环境,以图1为例进行说明。图1代表一种服务点(PoS)终端3
GB/T36094—2018/IS0/IEC29164:2011(比如接受信用卡支付的商店中用的终端)的模块,图中,将两种生物特征识别模态整合为一种单一形式(例如,指纹和手写签名)。按照应用的设计,可根据实际场景选择其中一种生物特征识别模态Pos
OEM模组1
处理单元
主机)
指纹模组:
-比对
OEM模组2
指纹模组:
-数据采集
-中间信号处理
-最终信号处理
1OEM模组3
手写签名模组:
中间信号处理
最终信号处理
图1基于嵌入式BioAPI子组件的生物特征识别系统示例为了实现此类PoS终端,制造商应将所需的生物特征识别算法和数据采集装置集成到系统中。因为嵌人式系统的处理功能有限,该终端搭载的微控制器可能无法支持复杂算法。为此,制造商选择向生物特征技术供应商采购已安装所需服务的硬件模块。如图1所示:通过一个内置所需服务的独立硬件模块来解决手写签名问题,只需要(通过数据采集装置)提供原始生物特征样本(见ISO/IEC19794-7)以及(通过PoS处理单元)提供用户的已登记的生物特征模板。
通过两个级联的独立模块来解决指纹识别问题。其中一个独立模块支持所需服务和比对功能,但需要与另一个模块对接以获取数据采集装置接口;另一个独立模块内置数据采集装置和最终信号处理算法(见ISO/IEC19794-2)。第一个独立模块不需要输人生物特征样本,但需要录人用户已登记的生物特征模板,这样才能与第二个独立模块提取出的已处理的生物特征样本进行比对。
在以上示例中,模块应提供所需的生物特征识别服务,比如:指纹:采集指纹并与用户模板比对;手写签名:
比对:提供用户的原始生物特征样本及其存储模板(这些模板存储在一个数据库或个人设备中,例如智能卡)比对。
其他系统和模块可能需要其他功能,例如,服务和命令(见第9章)。例如,它们可能需要具备模板的存储功能或登记功能。
注意,本标准仅规定了针对安全方面的API要求,而并没指定任何必选安全算法或密钥交换机制这些安全机制还有待确定,比如用户设备之间或各供应商设备之间通信采用的安全机制。本标准建议使用标准化的安全机制,如ISO/IECJTC1SC27中定义的那些。嵌人式BioAPI为全BioAPI衍生而来,只不过针对嵌人环境进行了特殊定制处理。与一般BioAPI相比,嵌人式BioAPI具备以下特点:a)无需框架组件,也不需要利用组件注册表(即应用与生物特征服务提供商(BSP)组件之间存在直连接口):
b)包含全BioAPI功能的子集(例如,嵌人式BioAPI不支持一对多比对或相关原语);4
最大程度减少了所需处理的状态;c)
d)缺少回调机制;
未使用数据句柄;
f)不支持功能提供方接口(FPI);选项缩减至最少。
GB/T36094—2018/ISO/IEC29164:2011嵌人式BioAPI保持了生物特征识别技术的中立,提供通过通用接口实现生物特征识别登记和验证所需要的基本功能。数据格式(生物特征识别数据信息记录)应当符合GB/T30267.1:2013和ISO/IEC19794的相关部分(已发表)的规定。嵌人式BioAPI组件一般为软件或固件,二者均关联到具体的硬件数据采集设备。嵌入式系统通常存在以下限制:内存和存储空间限制;
处理器尺寸和处理速度限制;
操作系统支持限制;
只支持单个且需要硬连线的数据采集设备;d)
只能独立运行(无法连接到网络)。e)
6.2嵌入式BioAPI的安全性
本标准定义了两种设备:
A类设备:此类设备由于不提供处理功能以及面向便捷而非安全的设计目的等,因此未采用任何安全机制;
B类设备:此类设备采用了相关安全机制以确保保密性,完整性以及ACBio实例生成。这些机制及其对应算法还有密钥信息取决于目标设备,且将在执行前共享给应用。若只支持加密,BIR的BDB将被加密,若只支持完整性保护,将保证SHB和BDB串接的完整性:若同时支持加密和完整性保护,优先进行加密注:强烈推荐使用B类设备。下文给出了对B类设备的安全要求,但具体采用何种安全机制不在本标准讨论范围。B类设备中,生物特征数据利用BIR中的安全块(SecurityBlock)进行交换,具体定义见第10章。因此,生物特征数据利用BIR中的安全块进行交换。通信中采用的安全机制可通过底层协议添加,但本标准不负责对此进行额外说明。由于A类设备未采用任何安全机制,因此所有已交换生物特征信息的使用并无涉及BIR中的安全块,具体定义见ISO/IEC19784-1/Amd.3及GB/T28826.12012。7嵌入式BioAPI的通用架构
支持嵌人式BioAPI的生物特征识别模块对应的通用架构由两个组件构成,二者需要进行交互以提供生物特征识别相关功能。其中一个组件为通用处理单元,又称主机。该组件负责提供整机顶层功能,需要与负责完成部分或全部生物特征识别操作(处理、储存、登记以及验证)的嵌入式BioAPI子组件(即生物特征识别模块)相连。嵌入式BioAPI的设计目的在于将嵌入式BioAPI子组件(嵌人式生物特征识别子组件)集成到主机设备。目前存在以下两种集成方式:a)独立型嵌人式BioAPI子组件(1类):指集成了生物特征数据采集装置、存储器和算法的单个嵌人式BioAPI子组件;
b)组合型嵌人式BioAPI子组件(2类):指集成了以下至少一项或多项(非全部)功能的单个嵌人式BioAPI子组件:
1)生物特征数据采集装置一用于感应和采集原始生物特征数据;2)生物特征存储器一用于模板数据的板载存储;5
GB/T36094—2018/IS0/IEC29164:2011生物特征识别算法一用于处理和比对生物特征数据。3)
两种集成方式如图2所示。
1类嵌入式设备
生物特征识别应用
处理器/
存储器
采集装置
OEM模组
2类嵌入式设备
生物特征识别应用
采集器
OEM模组
处理器
OEM模组
图2实现OEM生物特征识别模块的不同方式存储器
1类(独立型嵌人式设备)模块为安装于遥控设备的OEM指纹数据采集装置或芯片板。该模块提供完整的生物特征识别器件,包括指纹数据采集装置、处理器、固件(内置生物特征数据处理和比对算法)以及板载存储器(最多可储存5个指纹模板)2类(组合型嵌人式设备)模块为支持面部图像捕提的原厂CCD摄像头(即生物特征数据采集设备)。该摄像头内置于具备面部图像比对功能的家用门禁装置和生物特征识别模块中。这种应用环境下,模板存储与存储控制由应用独立完成或由生物特征识别模块完成。图3对以上两种模块进行了归纳。如图所示,支持嵌入式BioAPI的硬件模组负责执行主机系统要求的部分或全部生物特征识别功能,它通过一个标准接口与主机系统通信,而此处的标准接口即为嵌人式BioAPI。另外,此模块还可能与其他嵌入式BioAPI生物特征识别模块直连。主机
嵌入式BioAPI接口
硬件模组
搬入式BioAPI接口
(可选)
嵌入式BioAPI接口
硬件模组
嵌入式BioAPI接口
(可选)
入式BioAPI接口
硬件模组
嵌入式BioAPI接口
(可选)
嵌入式BioAPI接口
硬件模组
嵌入式BioAPI接口
(可选)
图3嵌入式BioAPI系统的通用架构可选
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36094—2018/ISO/IEC29164:2011信息技术生物特征识别
嵌入式BioAPI
Information technology-BiometricsEmbedded BioAPI(ISO/IEC29164:2011,IDT)
2018-03-15发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-10-01实施
符合性
规范性引用文件
术语和定义
5缩略语
6嵌人式BioAPI环境
6.1嵌人式BioAPI运行环境
6.2嵌人式BioAPI的安全性·
7嵌人式BioAPI的通用架构
8结构
9嵌人式BioAPI的Patron格式
10嵌人式BioAPI的安全块格式·10.1
安全块格式所有人·
安全块格式所有人标识符
安全块格式名称·
安全块格式标识符·
安全块格式的ASN.1对象标识符
使用范围
版本标识符
CBEFF版本
数据类型、格式与编码·
从设备ID字段[S]
命令字段『C
状态/错误字段[E
生物特征识别模态编码
12命令定义
管理命令
模板管理命令
登记命令
生物特征处理命令
GB/T36094—2018/IS0/IEC29164:2011Ⅲ
GB/T36094—2018/ISO/IEC29164:2011附录A(规范性附录)
符合性要求
附录B(资料性附录)
顿实现示例
附录C(资料性附录)
多场景下的命令交换示例
N.ai..................
.....................
iiKAoNhikAca
本标准按照GB/T1.1一2009给出的规则起草。GB/T36094—2018/IS0/IEC29164:2011本标准使用翻译法等同采用ISO/IEC29164:2011《信息技术生物特征识别嵌人式BioAPI》。与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T26237(所有部分)信息技术生物特征识别数据交换格式[ISO/IEC19794(所有部分);
-GB/T28826.2一2014信息技术公用生物特征识别交换格式框架第2部分:生物特征识别注册机构操作规程(ISO/IEC19785-2:2006,NEQ)请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本标准起草单位:广州广电运通金融电子股份有限公司、长春鸿达光电子与生物统计识别技术有限公司、广州广电卓识智能科技有限公司、北京天诚盛业科技有限公司、广州广电运通信息科技有限公司、浙江蚂蚁小微金融服务集团有限公司、中国电子技术标准化研究院、北京旷视科技有限公司、公安部第研究所,厦门市数韬软件科技有限公司,广东霸菱科技有限公司,深圳市铭图创新科技有限公司本标准主要起草人:胡静宜、罗攀峰、梁添才、王欣、章烈飘、柯文辉、林冠辰、彭程、张永、落红卫刘旭东、郑征、杨波、张鑫、高健、翁展、蒋奇伟、徐俊、金晓峰、郑城、秦日臻。iiiKAoNikAca
GB/T36094—2018/ISO/IEC29164:2011引言
嵌入式系统环境与常规运算环境之间区别颇多。首先,嵌人式系统在处理功能、内存(或存储)空间、操作系统支持以及资源配套方面较为受限。因此,为嵌入式系统配置更多通用接口的做法可能并不合适。对于嵌人式生物特征识别技术来说,识别算法和传感器常被封装进硬件或固件模块中。其次,嵌人式系统设计人员在设计系统软件和固件时并不关心系统在生物特征识别技术上的实现细节,而偏向于通过集成一个外部模块来实现部分或全部生物特征识别功能。对于将生物特征识别功能集成到软件或固件的应用来说,本标准并不适用。此类应用中使用的是BioAPI(GB/T30267.1一2013)或其无框架版本(见带Amd.2的ISO/IEC19784-1)。本标准定义的接口提供与此类生物特征识别模块直连。该接口定义综合考虑了接口提供的服务以及发送给生物特征识别模块的命令的报文格式和预期的来自这些模块的响应的报文格式本标准旨在为不能实现BioAPI(见GB/T30267.1)的所有生物特征识别系统提供一个通用接口。之前,由于BioAPI对处理能力和内存空间要求范围相当大,因此产生了一些不同的解决方案。其一为无需BioAPI框架而直接使用BioAPI,BioAPI框架是最耗费处理和内存的组件之一。此BioAPI版本称为无框架BioAPI。不过,这个方案尽管对几类应用(如带有操作系统的移动设备中安装的生物特征识别小程序及生物特征识别服务)有大的帮助,但它的要求超出了嵌人式系统的能力范围。因此,本标准提出了一个名为嵌人式BioAPI的全新解决方案,完全不同于上述的无框架BioAPI。嵌人式BioAPI可用于遥控装置、车库开启装置、汽车点火装置、门禁装置、内存卡、鉴权令牌以及手持武器等。相比更常见的应用场景,一个标准接口在这些应用环境下的实用性并不突出,但它具备以下两大重要优势:
当某厂商产品线上的多个设备或组件(仅指内置了数据采集装置的设备或组件,如遥控设备)仅在内置数据采集装置或生物特征识别技术上存在区别时(例如:设备A采用内置指纹数据采集装置或算法,而设备B采用面部识别摄像头或功能),标准接口可以帮助该厂商以单个代码库满足多设备生产需求。而由手单代码库有助手简化配置管理,因此可以提高生产效率;帮助数据采集设备OEM厂商以单OEM组件或固件实现多设备厂商支持(即无需考虑数据采集装置内置于何种设备)。
本标准中,适合部署嵌入式BioAPI的设备称为“嵌人式BioAPI子组件”。请注意,其他类型的设备同样可以采用本标准,但为了更好地理解本标准,我们在此仅围绕嵌人式BioAPI进行描述。本标准并未说明对嵌人式BioAPI子组件等设备的要求,但列明了对实现嵌人式BioAPI所需设备的要求。IV
HiiKAoNiKAca
1范围
GB/T36094—2018/IS0/IEC29164:2011信息技术生物特征识别嵌入式BioAPI本标准为设计用于集成到内存空间和运算能力受限的嵌人式系统的硬件生物特征识别模块提供一个标准接口。本标准为此类基于硬件的生物特征模块规定了完整的接口。此接口称为嵌人式BioAPI,它由这些模块所要实现的命令的规范来定义。该规范分为以下两层:底层实现,该规范针对底层实现定义了一个框架以及所有命令及其对应的响应对的编码。作为一个单主/多从半双工协议,可以经由任何通信接口在任何物理和链路层实现这些报文。这些通信接口的定义不属于本标准覆盖范围;一个基于C语言的函数的报头描述,供那些有以下想法的制造商使用:提供C语言库作为整个嵌人式系统的集成软件开发包。关于安全,本标准定义了两类设备:A类设备:此类设备由于缺乏处理能力,因此没有实现任何安全机制:一B类设备:此类设备实现了用以达到保密性、完整性和/或真实性的安全机制,推荐使用。本标准定义了B类设备的一组最低要求,但设备的安全机制不在本标准范围内。底层实现不在本标准规范部分范围内,而是作为资料性附录(见附录B)予以提供。安全机制虽然在本标准中有所考虑,但它们不在本标准范围内,请参考其他相关标准。特别是密钥管理也不在本标准范围内,希望在应用本标准前予以处理。嵌入式BioAPI子组件或任何适合实现嵌人式BioAPI的设备的规格和要求不在本标准范围内。2符合性
声称符合本标准的生物特征识别模块应覆盖本标准规范性要求的所有必选项。只要不修改本标准陈述的行为的前提下,符合本标准的生物特征识别模块可以提供附加的功能。有关符合性要求的更详细列表见附录A。3规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T28826.1一2012信息技术公用生物特征识别交换格式框架第1部分:数据元素规范(ISO/IEC19785-1:2006MOD)
GB/T30267.1一2013信息技术生物特征识别应用程序编程接口第1部分:Bi0API规范(ISO/IEC19784-1:2006.IDT)
ISO/IEC19784-1/Amd.3:2010信息技术生物特征识别应用程序编程接口第1部分:BioAPI规范修正案3支持证书和安全主张的交换以及其他安全方面(Informationtechnology一Biometricapplication programming interface-Part 1:BioAPI specification-Amendment 3: Support for interchange of certificates and security assertions,and other security aspects)ISO/IEC19785-2信息技术公用生物特征识别交换格式框架第2部分:生物特征识别注册机1
iiiKAoNikAca
GB/T36094—2018/IS0/IEC29164:2011构操作规程(Information technologyCommonbiometricexchange formats framework-Part2:Pro-cedures for the operation of the biometric registration authority)ISO/IEC19785-3:2007信息技术公用生物特征识别交换格式框架第3部分:Patron格式规范(Information technologyCommon biometric exchange formats frameworkPart3:Patron formatspecifications)
ISO/IEC19794(所有部分)信息技术生物特征识别数据交换格式(InformationTechnologyBiometric data interchange formats)ISO/IEC24761:2009信息技术安全技术生物特征数据认证上下文(InformationtechnologySecurity techniques-Authentication context for biometrics)4术语和定义
下列术语和定义适用于本文件
注:功能及数据元并不单独列于本章.而是随本标准正文逐一介绍4.1
生物特征识别模块biometricmodule用于实现与生物特征识别模态相关的部分或全部功能的基于硬件的模块。这些功能包括数据采集、样本处理、比对、存储、登记或任何前述功能的组合。注:生物特征识别模块还可提供其他功能,如发送外部业务的激活信号,但此类功能不在本标准范围内4.2
生物特征样本biometricsample
直接从传感器获得的或经过进一步处理的生物特征信息,注:见GB/T30267.1一2013中的原始生物特征样本、中间生物特征样本和已处理生物特征。4.3
生物特征模板biometrictemplate适于存储的生物特征样本或者生物特征样本的集合。其可以作为后续比对的参考。4.4
嵌入式BioAPI子组件embeddedBioAPI subcomponent可被系统集成商整合进复杂系统或设备的子组件。注1:子组件可能是由第三方或设备商自行提供。注2:本标准并未介绍对嵌人式BioAPI子组件等设备的要求,但列明了对实现嵌人式BioAPI所需设备的要求。4.5
嵌入式系统embeddedsystem
为实现一个或多个专用功能而设计的专用计算机系统,有时存在实时运算限制。注:通常该系统被内置于一个完整设备,包括硬件固件及机械部件。相比之下,一台通用型计算机如个人电脑可以通过编程执行各种不同的任务。4.6
顿frame
构成设备间通信中的命令或响应报文的一组字节。4.7
通用处理单元generalprocessingunit数字系统中负责控制部分或全部信息处理的单元,通常为微处理器、微控制器或内置微处理器的子系统。
iiiKANiKAca
主机host
嵌人式系统的处理单元,与生物特征识别模块直连。4.9
GB/T36094—2018/IS0/IEC29164:2011master embedded BioAPI interface主嵌入式BioAPI接口下载标准就来标准下载网
发送命令和接受响应的嵌人式BioAPI子集4.10
已处理的生物特征样本processed biometric sample可用作比对的生物特征样本。
会话密钥
sessionkey
用于加密或鉴权的密钥,每次会话使用不同的密钥注:会话期可定义为电源开/关之间的时间段或设备连接/断连之间的时间段等。当检测到某会话触犯安全机制时,该会话将被视为已过期,
从嵌入式BioAPI接slaveembeddedBioAPIinterface接收命令和发送响应的嵌人式BioAPI的子集4.13
反template
生物特征模板。
模板存储容量template storagecapacity可存储于一个生物特征识别模块的生物特征模板BIR数量。缩略语
下列缩略语适用于本文件。
BIR:生物特征信息记录(BiometricInformationRecord)OEM:原始设备制造商(OriginalEquipmentManufacturer)PoS:服务点终端(PointofServiceterminal)RFU.预留备用(ReservedforFutureUse)SDK:软件开发工具包(SoftwareDevelopersKit)6嵌入式BioAPI环境
6.1嵌入式BioAPI运行环境
嵌入式BioAPI为安装于嵌入式系统的生物特征识别模块提供标准接口。通常情况下,嵌入式系统的内存空间较小且计算功能较低,以致于无法支持BioAPI(GB/T30267.1一2013)或其无框架版本(见ISO/IEC19784-1/Amd.2)。这意味着本标准中定义的接口使应用与生物特征识别模块之间直连连接,而无需使用操作系统解决方案或高级编程语言。该接口的定义综合考虑了接口提供的业务以及生物特征识别模块所接收命令的报文格式和所发送响应的报文格式。没有对待底层实现的细节,此类细节示例参见附录B和附录C。为更好地了解嵌人式BioAPI的应用环境,以图1为例进行说明。图1代表一种服务点(PoS)终端3
GB/T36094—2018/IS0/IEC29164:2011(比如接受信用卡支付的商店中用的终端)的模块,图中,将两种生物特征识别模态整合为一种单一形式(例如,指纹和手写签名)。按照应用的设计,可根据实际场景选择其中一种生物特征识别模态Pos
OEM模组1
处理单元
主机)
指纹模组:
-比对
OEM模组2
指纹模组:
-数据采集
-中间信号处理
-最终信号处理
1OEM模组3
手写签名模组:
中间信号处理
最终信号处理
图1基于嵌入式BioAPI子组件的生物特征识别系统示例为了实现此类PoS终端,制造商应将所需的生物特征识别算法和数据采集装置集成到系统中。因为嵌人式系统的处理功能有限,该终端搭载的微控制器可能无法支持复杂算法。为此,制造商选择向生物特征技术供应商采购已安装所需服务的硬件模块。如图1所示:通过一个内置所需服务的独立硬件模块来解决手写签名问题,只需要(通过数据采集装置)提供原始生物特征样本(见ISO/IEC19794-7)以及(通过PoS处理单元)提供用户的已登记的生物特征模板。
通过两个级联的独立模块来解决指纹识别问题。其中一个独立模块支持所需服务和比对功能,但需要与另一个模块对接以获取数据采集装置接口;另一个独立模块内置数据采集装置和最终信号处理算法(见ISO/IEC19794-2)。第一个独立模块不需要输人生物特征样本,但需要录人用户已登记的生物特征模板,这样才能与第二个独立模块提取出的已处理的生物特征样本进行比对。
在以上示例中,模块应提供所需的生物特征识别服务,比如:指纹:采集指纹并与用户模板比对;手写签名:
比对:提供用户的原始生物特征样本及其存储模板(这些模板存储在一个数据库或个人设备中,例如智能卡)比对。
其他系统和模块可能需要其他功能,例如,服务和命令(见第9章)。例如,它们可能需要具备模板的存储功能或登记功能。
注意,本标准仅规定了针对安全方面的API要求,而并没指定任何必选安全算法或密钥交换机制这些安全机制还有待确定,比如用户设备之间或各供应商设备之间通信采用的安全机制。本标准建议使用标准化的安全机制,如ISO/IECJTC1SC27中定义的那些。嵌人式BioAPI为全BioAPI衍生而来,只不过针对嵌人环境进行了特殊定制处理。与一般BioAPI相比,嵌人式BioAPI具备以下特点:a)无需框架组件,也不需要利用组件注册表(即应用与生物特征服务提供商(BSP)组件之间存在直连接口):
b)包含全BioAPI功能的子集(例如,嵌人式BioAPI不支持一对多比对或相关原语);4
最大程度减少了所需处理的状态;c)
d)缺少回调机制;
未使用数据句柄;
f)不支持功能提供方接口(FPI);选项缩减至最少。
GB/T36094—2018/ISO/IEC29164:2011嵌人式BioAPI保持了生物特征识别技术的中立,提供通过通用接口实现生物特征识别登记和验证所需要的基本功能。数据格式(生物特征识别数据信息记录)应当符合GB/T30267.1:2013和ISO/IEC19794的相关部分(已发表)的规定。嵌人式BioAPI组件一般为软件或固件,二者均关联到具体的硬件数据采集设备。嵌入式系统通常存在以下限制:内存和存储空间限制;
处理器尺寸和处理速度限制;
操作系统支持限制;
只支持单个且需要硬连线的数据采集设备;d)
只能独立运行(无法连接到网络)。e)
6.2嵌入式BioAPI的安全性
本标准定义了两种设备:
A类设备:此类设备由于不提供处理功能以及面向便捷而非安全的设计目的等,因此未采用任何安全机制;
B类设备:此类设备采用了相关安全机制以确保保密性,完整性以及ACBio实例生成。这些机制及其对应算法还有密钥信息取决于目标设备,且将在执行前共享给应用。若只支持加密,BIR的BDB将被加密,若只支持完整性保护,将保证SHB和BDB串接的完整性:若同时支持加密和完整性保护,优先进行加密注:强烈推荐使用B类设备。下文给出了对B类设备的安全要求,但具体采用何种安全机制不在本标准讨论范围。B类设备中,生物特征数据利用BIR中的安全块(SecurityBlock)进行交换,具体定义见第10章。因此,生物特征数据利用BIR中的安全块进行交换。通信中采用的安全机制可通过底层协议添加,但本标准不负责对此进行额外说明。由于A类设备未采用任何安全机制,因此所有已交换生物特征信息的使用并无涉及BIR中的安全块,具体定义见ISO/IEC19784-1/Amd.3及GB/T28826.12012。7嵌入式BioAPI的通用架构
支持嵌人式BioAPI的生物特征识别模块对应的通用架构由两个组件构成,二者需要进行交互以提供生物特征识别相关功能。其中一个组件为通用处理单元,又称主机。该组件负责提供整机顶层功能,需要与负责完成部分或全部生物特征识别操作(处理、储存、登记以及验证)的嵌入式BioAPI子组件(即生物特征识别模块)相连。嵌入式BioAPI的设计目的在于将嵌入式BioAPI子组件(嵌人式生物特征识别子组件)集成到主机设备。目前存在以下两种集成方式:a)独立型嵌人式BioAPI子组件(1类):指集成了生物特征数据采集装置、存储器和算法的单个嵌人式BioAPI子组件;
b)组合型嵌人式BioAPI子组件(2类):指集成了以下至少一项或多项(非全部)功能的单个嵌人式BioAPI子组件:
1)生物特征数据采集装置一用于感应和采集原始生物特征数据;2)生物特征存储器一用于模板数据的板载存储;5
GB/T36094—2018/IS0/IEC29164:2011生物特征识别算法一用于处理和比对生物特征数据。3)
两种集成方式如图2所示。
1类嵌入式设备
生物特征识别应用
处理器/
存储器
采集装置
OEM模组
2类嵌入式设备
生物特征识别应用
采集器
OEM模组
处理器
OEM模组
图2实现OEM生物特征识别模块的不同方式存储器
1类(独立型嵌人式设备)模块为安装于遥控设备的OEM指纹数据采集装置或芯片板。该模块提供完整的生物特征识别器件,包括指纹数据采集装置、处理器、固件(内置生物特征数据处理和比对算法)以及板载存储器(最多可储存5个指纹模板)2类(组合型嵌人式设备)模块为支持面部图像捕提的原厂CCD摄像头(即生物特征数据采集设备)。该摄像头内置于具备面部图像比对功能的家用门禁装置和生物特征识别模块中。这种应用环境下,模板存储与存储控制由应用独立完成或由生物特征识别模块完成。图3对以上两种模块进行了归纳。如图所示,支持嵌入式BioAPI的硬件模组负责执行主机系统要求的部分或全部生物特征识别功能,它通过一个标准接口与主机系统通信,而此处的标准接口即为嵌人式BioAPI。另外,此模块还可能与其他嵌入式BioAPI生物特征识别模块直连。主机
嵌入式BioAPI接口
硬件模组
搬入式BioAPI接口
(可选)
嵌入式BioAPI接口
硬件模组
嵌入式BioAPI接口
(可选)
入式BioAPI接口
硬件模组
嵌入式BioAPI接口
(可选)
嵌入式BioAPI接口
硬件模组
嵌入式BioAPI接口
(可选)
图3嵌入式BioAPI系统的通用架构可选
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。