GB/T 38671—2020 信息安全技术 远程人脸识别系统技术要求 前言 本标准按照GB/T 1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：公安部第一研究所、北京数字认证股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、北京旷视科技有限公司、重庆中科云从科技有限公司、中国信息安全测评中心、中国金融认证中心、中国电子技术标准化研究院、四川远鉴科技有限公司、深圳市亚略特生物识别科技有限公司、深圳市腾讯计算机系统有限公司、广州广电运通金融电子股份有限公司、中科天地科技有限公司。 本标准主要起草人：郑征、刘军、胡志昂、张翔、李敏、陈星、吕盟、李军、王宇航、李哲、王学华、刘琳、卢玉华、许玉娜、郝春亮、沈思成、王玉坚、汤海鹏、刘梦涛、张默男。 目次 1 范围 2 规范性引用文件 3 术语、定义和缩略语 3.1 术语和定义 3.2 缩略语 4 概述 4.1 系统参考模型 4.2 客户端说明 4.3 服务器端说明 4.4 安全传输通道 5 安全分级 6 功能要求 6.1 基本级要求 6.2 增强级要求 7 性能要求 7.1 基本级要求 7.2 增强级要求 8 安全功能要求 8.1 基本级要求 8.2 增强级要求 9 安全保障要求 9.1 基本级要求 9.2 增强级要求 附录A（资料性附录）远程人脸识别系统基本级和增强级对应关系 附录B（资料性附录）远程人脸识别系统安全描述 参考文献 1 范围 本标准规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求。 本标准适用于采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的研制和测试，系统的管理可参照使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18336.3—2015 信息技术安全技术 信息技术安全评估准则 第3部分：安全保障组件 GB/T 20271—2006 信息安全技术 信息系统通用安全技术要求 GB/T 26238—2010 信息技术生物特征识别术语 GB/T 29268.1—2012 信息技术生物特征识别性能测试和报告 第1部分：原则与框架 GB/T 36651—2018 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架 3 术语、定义和缩略语 3.1 术语和定义 GB/T 20271—2006、GB/T 26238—2010、GB/T 29268.1—2012和GB/T 36651—2018界定的以及下列术语和定义适用于本文件。 3.1.1 生物特征识别 (biometrics)；生物特征识别 (biometric recognition)：基于个体的行为特征和生物学特征，对个体进行的识别。注：“个体”限指人。 3.1.2 人脸识别 (face recognition)：以人面部特征作为识别个体身份的一种个体生物特征识别方法。其通过分析提取用户人脸图像数字特征产生样本特征序列，并将该样本特征序列与已存储的模板特征序列进行比对，用以识别用户身份。注：从应用方式不同，人脸识别可分为人脸验证和人脸辨识。 3.1.3 活体人脸 (live face)：有生命的真实人脸。 3.1.4 人脸验证 (face verification)：人脸识别应用之一，将所产生的样本特征序列与按用户标识信息所给定的已存储的用户的模板特征序列进行比对(1:1比对)，以确认用户是否为所声明的身份。 3.1.5 人脸辨识 (face identification)：人脸识别应用之一，将所产生的样本特征序列与已存储的指定范围内的所有模板特征序列进行比对(1:N比对)，确定用户身份。 3.1.6 特征序列 (characteristic sequence)：由人脸图像数字...