GB∕T 36651-2018
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36651-2018 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架
GB∕T36651-2018
标准压缩包解压密码:www.bzxz.net
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36651—2018
信息安全技术
基于可信环境的生物特征
识别身份鉴别协议框架
Information security techniquesBiometricauthenticationprotocolframeworkbasedontrustedenvironment2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
规范性引用文件
术语和定义
缩略语
协议框架
协议流程和规则
注册流程
鉴别流程
注销流程
协议接口
生物特征识别密钥管理器接口
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
参考文献
协议消息
协议消息相关数据结构
协议接口
GB/T36651-2018
本标准按照GB/T1.1-2009给出的规则起草。GB/T36651-—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国科学院数据与通信保护研究教育中心、中国银联股份有限公司、联想(北京)有限公司、浙江蚂蚁小微金融服务集团有限公司、国民认证科技(北京)有限公司、北京数字认证股份有限公司、华为技术有限公司、三六零科技股份有限公司、中国信息通信研究院、数安时代科技股份有限公司、广州广电运通金融电子股份有限公司、北京旷视科技有限公司。本标准主要起草人:荆继武、刘丽敏、回春野、杨楠、钱文飞、李俊、陈星、辛知、傅大鹏、常新苗、程斌、张屹、傅山、张永强、林冠辰、张鑫m
1范围
信息安全技术基于可信环境的生物特征识别身份鉴别协议框架
GB/T366512018
本标准规定了基于可信环境的生物特征识别身份鉴别协议框架,包括协议框架、协议流程、协议规则以及协议接口等内容。
本标准适用手生物特征识别身份鉴别服务的开发、测试和评估2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010信息安全技术术语3术语和定义
GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1
trustedenvironment
可信环境
用户设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性、完整性和可用性等,如可信执行环境(TEE)、安全元件(SE)、可信密码模块(TCM)或其他具备安全边界的保护区域。3.2
生物特征识别身份鉴别biometricauthentication采用生物特征识别技术对用户的身份进行鉴别。3.3
生物特征识别密钥管理器biometricauthenticationkeymanager负责维护身份鉴别服务器鉴别用户时需要的相关信息(例如密钥)的实体。3.4
biometricauthenticationkeymanageridentifier生物特征识别密钥管理器标识符用来标识生物特征识别密钥管理器,供身份鉴别服务器检索厂商公钥及生物特征识别密钥管理器相关信息。
用户设备userdevice
包含生物特征识别密钥管理器的计算设备。3.6
依赖方relyingparty
依赖于其他实体(例如身份鉴别服务器)提供的关于用户的鉴别结果,对用户所使用的资源或者系统进行授权的实体。
应用程序标识符
applicationidentifier
该标识符使用统一资源定位符表示,用来唯一标识依赖方的某一应用程序。1
GB/T36651—2018
身份服务提供方
identity provider
提供身份管理服务的实体。
生物特征识别器
biometricmatcher
利用人体所固有的生理特征或行为特征来进行个人身份识别的组件。3.10
生物特征识别身份鉴别服务器
biometric authentication server部署在依赖方或者身份服务提供方的生物特征识别身份鉴别服务软件。注:本标准中简称“身份鉴别服务器”。3.11
authenticator
鉴别器
由生物特征识别密钥管理器及其相关联的生物特征识别器组成的实体3.12
发现discovery
身份鉴别服务器确定用户设备是否支持本协议,若支持则获取生物特征识别密钥管理器相关信息的过程。
userauthenticationpublickey
鉴别公钥
生物特征识别密钥管理器在用户注册过程中生成的密钥对的公钥。3.14
鉴别私钥
user authentication private key生物特征识别密钥管理器在用户注册过程中生成的密钥对的私钥。3.15
密钥注册keyregistration
生物特征识别密钥管理器将其产生的鉴别公钥安全传输到身份鉴别服务器并安全存储的过程。3.16
key registration data
密钥注册数据
由生物特征识别密钥管理器构建的与密钥注册有关的数据,包含生物特征识别密钥管理器的标识符,新生成的鉴别公钥,以及其他一些与生物特征识别密钥管理器相关的数据,注:例如生物特征识别密钥管理器使用的密码算法以及注册计数器和签名计数器的值等。3.17下载标准就来标准下载网
注册计数器registrationcounter生物特征识别密钥管理器的单调递增的计数器。每使用生物特征识别密钥管理器进行一次注册操作,该计数器值递增一次。
server challenge
服务器挑战
身份鉴别服务器在身份鉴别协议请求中提供的随机值3.19
签名计数器signcounter
生物特征识别密钥管理器的单调递增的计数器。每使用一次鉴别私钥,该计数器值递增一次。3.20
用户验证
userverification
生物特征识别密钥管理器使用生物特征识别器识别用户。2
厂商公钥vendorpublickey
GB/T36651—2018
用户设备的制造厂商在生物特征识别密钥管理器中预先植入的用于证明生物特征识别密钥管理器身份的密钥对的公钥。
厂商私钥
vendorprivatekey
用户设备的制造厂商在生物特征识别密钥管理器中预先植入的用于证明生物特征识别密钥管理器身份的密钥对的私钥。
4缩略语
下列缩略语适用于本文件。
AppID:应用程序标识符(ApplicationIdentifier)ASN.l:抽象语法标记(AbstractSyntaxNotationOne)BAP:生物特征识别身份鉴别协议(BiometricAuthenticationProtocol)BAPV:生物特征识别身份鉴别协议版本(BiometricAuthenticationProtocolVersion)bkmID:生物特征识别密钥管理器标识符(BAPKeyManagerIdentifier)IdP:身份服务提供方(IdentityProvider)IPSec:IP安全协议(InternetProtocolSecurity)KeylD:密钥标识符(KeyIdentifier)KRD:密钥注册数据(KeyRegistrationData)SE:安全元件(SecureElement)SSL:安全套接层(SecureSocketsLayer)TE:可信环境(TrustedEnvironment)TLS:安全传输层协议(TransportLayerSecurity)TCM:可信密码模块(TrustedCryptographyModule)VPN:虚拟专用网络(VirtualPrivateNetwork)5协议框架
5.1概述
本标准定义基于可信环境的生物特征识别身份鉴别协议,不规定可信环境(TE)的实现方式。本标准规定可信环境中的生物特征识别密钥管理器应完成的功能以及功能接口参数,不规定具体实现方式。本标准不规定生物特征识别器验证用户的方式。协议框架如图1所示,在基于可信环境的生物特征识别身份鉴别协议框架中,用户使用用户设备通过用户代理访问依赖方提供的应用,依赖方使用身份服务提供方(IdP)提供的身份鉴别服务对用户的身份进行鉴别。用户代理可以是安装在用户设备上的浏览器或者其他应用。可信环境部署在用户设备内,用于提供安全可靠的环境,保证用户信息的安全性。图中虚线框内表示鉴别器,包据生物特征识别密钥管理器和生物特征识别器。生物特征识别器将生物特征识别结果返回给生物特征识别密钥管理器。生物特征识别密钥管理器应部署在可信环境中。生物特征识别器可以部署在可信环境中,也可以在可信环境外部部署。生物特征识别密销管理器和依赖方可针对生物特征识别器部署的位置采取不同的安全策略,本标准不规定安全策略的相关内容。3
GB/T36651-—2018
用户设备
可循环装(TE)
生易特链识影密钢管理添
生物特
生物特
型物特
蛋识膜
生物择
征筑票
装极方(RP)
依赖方(我户
我装方(RP)
邢产代理
图1协议框架
身份服务提代方cdP)
身管服务提供方BPB)
身份服务端供方A(IdPA)
身份客减务酒
在协议框架中,身份鉴别服务器和生物特征识别密钥管理器直接创建或处理身份鉴别协议消息:身份鉴别服务器可以由依赖方(即依赖方本身也是IdP的情况)实现,也可以由与依赖方具有信任关系的IdP实现,图1中描述的是由与依赖方具有信任关系的IdP实现的场景。身份鉴别服务器中存储有用户的鉴别公钥,该公钥是用户在使用生物特征识别密钥管理器向身份鉴别服务器注册时,生物特征识别密钥管理器生成的鉴别公钥。生物特征识别密钥管理器集成在可信环境中,存储有厂商私钥和鉴别私钥。鉴别私钥是用户在使用该生物特征识别密钥管理器向身份鉴别服务器注册时,生物特征识别密钥管理器生成的鉴别私钥,用于身份鉴别服务器鉴别用户的身份。生物特征识别密钥管理器可以与多个生物特征识别器进行交互
本标准不规定IdP将身份鉴别协议消息递交给生物特征识别密钥管理器的具体实现方式。例如:当身份鉴别服务器属于独立于依赖方的IdP时,依赖方可将用户设备使用重定向机制重定向到身份鉴别服务器,使得身份鉴别服务器可以直接与用户设备交互,从而将身份鉴别协议消息递交给生物特征识别密钥管理器,当依赖方内部部署IdP时,应保证转发信息的安全性。本标准凡涉及密码算法的相关内容,按国家有关法规实施:凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。基于可信环境的生物特征识别身份鉴别协议由生物特征识别密钥管理器和身份鉴别服务器之间的三种会话组成。在进行这三种会话前,身份鉴别服务器通过调用发现方法检查用户设备是否支持本协议。三种会话如下:
注册:用户将生物特征识别密钥管理器生成的鉴别公钥注册到身份鉴别服务器;鉴别:用户使用已注册的生物特征识别密钥管理器进行身份鉴别;注销:用户将注册到身份鉴别服务器的鉴别公钥删除。在这三种会活的协议流程中,协议参与方应保护协议消息数据的机密性,宜采用安全传输层协议(TLS)、安全套接层虚拟专用网络(SSLVPN)或者IP安全协议(IPSec)协议:生物特征识别密钥管理器在收到身份鉴别服务器的消息时,应对身份鉴别服务器的真实性进行验证,本标准中涉及生物特征识别密钥管理器验证身份鉴别服务器真实性的方法,宜采用证书方式或者其他可以验证身份鉴别服务器真实性的方法。
5.2注册
GB/T36651-—2018
在用户向身份鉴别服务器进行注册的流程中,用户使用的生物特征识别密钥管理器创建一对新的鉴别公私钥并且将鉴别私钥保存在生物特征识别密钥管理器中,将鉴别公钥注册在身份鉴别服务器中。注册流程见图2.协议消息参见附录A生特特征供联率
钢特理器
用户代理
生物特能讯房器
图2注册流程
注册流程如下:
依毅方
身份器联
服务器
用户使用用户设备中的用户代理访问依赖方,当用户需要进行生物特征识别身份鉴别注册时,a
依赖方将用户定向到身份鉴别服务器(可以使用HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式)b)
身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送注册请求消息:用户设备的生物特征识别密钥管理器在收到身份鉴别服务器的注册请求消息时,验证身份鉴别服务器的真实性,验证通过则提示用户选择可用的生物特征识别器,否则拒绝该消息。用户选择合适的生物特征识别器,使用生物特征识别信息解锁生物特征识别密钥管理器(如果用户之前未将生物特征识别信息登记到该生物特征识别器,则进行登记:如果用户已进行登记,则使用已登记的生物特征识别信息完成解锁过程),完成用户生物特征识别验证。用户生物特征识别验证成功后,生物特征识别密钥管理器创建一对与生物特征识别密钥管理器、身份鉴别服务器相关联的唯一的鉴别公私钥,鉴别私钥保存在本地的生物特征识别密钥管理器,并且不充许从生物特征识别密钥管理器导出:如果生物特征识别密钥管理器没有能力保存鉴别私钥,则该生物特征识别密钥管理器将鉴别私钥进行加密·然后将加密后的鉴别私钥保存在用户设备中,用于加密用户私钥的密钥则保存在生物特征识别密钥管理器中并且不允许从生物特征识别密钥管理器导出。
生物特征识别密钥管理器生成密钥注册数据(密钥注册数据中包含上一步生成的鉴别公钥):然后生成注册响应消息(注册响应消息中包含密钥注册数据,以及使用厂商私钥对密钥注册数据进行签名的签名值),将注册响应消息发送到身份鉴别服务器。身份鉴别服务器使用厂商公钥验证注册响应消息中的签名·签名正确则提取出鉴别公钥并保e
存该鉴别公钥(同时应保存该鉴别公钥与用户之间的对应关系)。5.3鉴别
在鉴别流程中,用户通过生物特征识别密钥管理器使用鉴别私钥对服务器挑战签名,向身份鉴别服务器证明其拥有该私钥,完成身份鉴别过程。鉴别流程见图3,协议消息参见附录A。5
GB/T36651-2018
鉴别流程如下:
生物待至识别摄
钢管理器
生物特全视图
用户代理
图3鉴别流程
恢款方
身价器测
服务器
用户使用用户设备中的用户代理访问依赖方,当用户需要进行生物特征识别身份鉴别时,依赖方将用户定向到身份鉴别服务器(可以使用HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式。b)
身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送鉴别请求消息:用户设备的生物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别服务器的真实性,验证通过则提示用户选择可用的生物特征识别器,否则拒绝该消息。c)
用户选择合适的生物特征识别器,使用生物特征识别信息解锁生物特征识别密钥管理器,生物特征识别密钥管理器选择相应的鉴别私钥对服务器挑战签名。d)
生物特征识别密钥管理器将签名后的挑战发送到身份鉴别服务器e
身份鉴别服务器使用相应的鉴别公钥对签名验证成功后,用户鉴别成功。5.4注销
在注销流程中,身份鉴别服务器剧除相应的鉴别公钥,生物特征识别密钥管理器剧除相应的鉴别私钥。注销流程见图4,协议消息参见附录A。用户
生物特往识刻者
劳管理器
注销流程如下:
用户代理
图4注销流程
佳赖方
身份整别
服务票
用户在身份鉴别成功后,发起注销流程,依赖方将用户定向到身份鉴别服务器(可以使用HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式)。身份鉴别服务器删除相应的鉴别公钥,并向生物特征识别密钥管理器发送注销请求消息。用户设备的生物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别服务器的真实性,验证通过则删除相应的鉴别私钥,否则拒绝该消息。6协议流程和规则
6.1注册流程
6.1.1概述
图5描述用户注册流程(图中实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息6
GB/T36651—2018
流由图例中的右侧实体到左侧实体或者是重定向消息流,双向箭头表示两个实体进行交互以完成某操作),其中步骤a)~步骤d)是用户使用已注册的账户(使用用户名口令或者数字证书进行身份鉴别的账户)登陆身份鉴别服务器的过程。用户
注册流程如下:
生物特程识制
光明管理车
图5注册详细流程
用户访问依赖方,发起注册流程;a
依赖方将用户导向到身份鉴别服务器;规
牙做器制
身份鉴别服务器验证用户身份(如:可使用用户名口令、数字证书等方式,或用户重新注册一个新的账户);
身份鉴别服务器验证用户通过后,生成注册请求消息;身份鉴别服务器将注册请求消息发送至生物特征识别密钥管理器:生物特征识别密钥管理器发起本地用户校验,提示用户使用生物特征识别信息进行身份验证;用户提交生物识别信息,例如指纹、虹膜等信息;生物特征识别密钥管理器验证用户提交的生物识别信息,验证通过后,生成一对新的鉴别公私钥,然后生成注册响应消息,注册响应消息中包含使用厂商私钥对鉴别私钥等信息的签名生物特征识别密钥管理器将注册响应消息返回给身份鉴别服务器;身份鉴别服务器使用厂商公钥验证注册响应消息,验证成功后存储相关信息,否则返回错误信息;
身份鉴别服务器将结果返回给依赖方注册流程处理规则
身份鉴别服务器生成注册请求规则身份鉴别服务器生成注册请求应遵循以下步骤:创建注册请求消息,并初始化注册请求消息的各个参数,至少应包括服务器挑战等参数(参见a
附录A);
将注册请求消息发送给生物特征识别密钥管理器。b)
6.1.2.2生物特征识别密钥管理器处理注册请求规则生物特征识别密钥管理器处理注册请求应遵循以下步骤:验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息;a)
解析注册请求消息,判断注册请求消息是否包含必要的参数以及每个参数是否符合要求,若符合要求则执行以下步骤,否则拒绝该消息;提示用户选择生物特征识别器,用户选择后,使用用户选择的生物特征识别器验证用户,验证7
GB/T36651—2018
通过后执行以下操作,否则返回错误:d)
创建注册响应消息,并根据注册请求消息的参数初始化注册响应消息的参数将注册响应消息发送给身份鉴别服务器。身份鉴别服务器处理注册响应规则6.1.2.3
身份鉴别服务器处理注册响应应遵循以下步骤:a)
解析注册响应消息,判断注册响应消息是否包含必要的参数以及每个参数是否符合要求,若符合要求则执行以下步骤,否则拒绝该消息;b)
使用厂商公钥验证注册响应消息中签名的正确性;c
如果注册响应消息通过验证,将相关信息保存在身份鉴别服务器。6.2鉴别流程
6.2.1概述
图6描述鉴别流程(图中流程实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息流由图例中的右侧实体到左侧实体或者是重定向消息流)。国
鉴别流程如下:
生物特征乳端
密明管开器
鉴别详细流程
用户访问依赖方,发起鉴别流程;依赖方将用户导向到身份鉴别服务器;身份鉴别服务器生成鉴别请求消息;身份器购
依装方
身份鉴别服务器将鉴别请求消息发送至生物特征识别密钥管理器;e)生物特征识别密钥管理器发起本地用户校验,提示用户使用生物特征识别信息进行身份验证;f)
用户提交生物识别信息,例如指纹、虹膜等信息;生物特征识别密钥管理器验证用户提交的生物识别信息,验证通过后,生成鉴别响应消息;生物特征识别密钥管理器将鉴别响应消息返回给身份鉴别服务器:身份鉴别服务器验证鉴别响应消息;身份鉴别服务器将结果返回给依赖方。鉴别流程处理规则
身份鉴别服务器生成鉴别请求规则身份鉴别服务器生成鉴别请求应遵循以下步骤:a)
创建鉴别请求消息,并初始化鉴别请求消息的各个参数,至少应包括服务器挑战等参数(参见附录A);
b)将鉴别请求消息发送给生物特征识别密钥管理器。6.2.2.2生物特征识别密钥管理器处理鉴别请求规则生物特征识别密钥管理器处理鉴别请求应遵循以下步骤a)
GB/T36651—2018
验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息;解析鉴别请求消息,判断鉴别请求消息是否包含必要的参数以及每个参数是否符合要求,若符合要求则执行以下步骤,否则拒绝该消息;提示用户选择生物特征识别器,用户选择后,使用用户选择的生物特征识别器验证用户,验证通过后执行以下操作,否则返回错误;创建鉴别响应消息,并根据鉴别请求消息的参数初始化鉴别响应消息的各个参数;将鉴别响应消息发送给身份鉴别服务器。6.2.2.3
身份鉴别服务器处理鉴别响应规则身份鉴别服务器处理鉴别响应应遵循以下步骤解析鉴别响应消息,判断鉴别响应消息是否包含必要的参数以及每个参数是否符合要求,若符a
合要求则执行以下步骤,否则拒绝该消息;b)
使用鉴别公钥验证鉴别响应消息的正确性c)如果验证通过,则鉴别成功,否则失败。6.3注销流程
6.3.1概述
图7描述注销流程(图中流程实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息流由图例中的右侧实体到左侧实体)图
注销流程如下:
生物格翟识票
家明饮理您
图7注销详细流程
用户登陆身份鉴别服务器,发起注销流程;a
依报方
身份鉴别服务器生成注销请求消息,删除与该用户相关的数据;身零别
服务酒
身份鉴别服务器将注销请求消息发送至生物特征识别密钥管理器:生物特征识别密钥管理器删除用户相关数据。d)
注销流程处理规则
身份鉴别服务器生成注销请求规则身份鉴别服务器生成注销请求应遵循以下步骤:9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。