GB/T 30266-2013
基本信息
标准号: GB/T 30266-2013
中文名称:信息技术 识别卡 卡内生物特征比对
标准类别:国家标准(GB)
英文名称:Information technology—Identification cards—On-card biometric comparison
标准状态:现行
发布日期:2013-12-31
实施日期:2014-07-15
出版语种:简体中文
下载格式:.pdf .zip
下载大小:10269004
标准分类号
标准ICS号:信息技术、办公机械设备>>信息技术应用>>35.240.15识别卡和有关装置
中标分类号:电子元器件与信息技术>>计算机>>L64数据媒体
关联标准
采标情况:ISO/IEC 24787:2010 IDT
出版信息
出版社:中国标准出版社
页数:40页
标准价格:65.0
出版日期:2014-07-15
相关单位信息
起草人:金倩、冯敬、高林、龙德帆、霍红文、乔申杰
起草单位:中国电子技术标准化研究院、北京握奇智能科技有限公司
归口单位:全国信息技术标准化技术委员会(SAC/TC 28)
提出单位:全国信息技术标准化技术委员会(SAC/TC 28)
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:全国信息技术标准化技术委员会(SAC/TC 28)
标准简介
本标准建立了
———在集成电路卡(ICC)内实施生物特征样本比对和返回决策的需求;
———卡内生物特征比对的安全策略。
本标准还建立了允许卡外预比对计算的命令和规则。
本标准未建立
———卡外比对实现的需求;
———卡内系统实现的需求;
———存储和比对的指定形式需求。
class="f14" style="padding-top:10px; padding-left:12px; padding-bottom:10px;"> 本标准按照GB/T1.1—2009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC24787:2010《信息技术识别卡卡内生物特征比对》。
本标准做了下列编辑性修改:
———删除国际标准前言,增加国家标准前言;
———根据中文使用习惯,删除了国际标准的4.2;
———国际标准的7.1.4.1.1存在编辑性错误,7.1.4.1.1修改为7.1.4.2,相应地,国际标准的7.1.4.2、7.1.4.3、7.1.4.4、7.1.4.5分别修改为7.1.4.3、7.1.4.4、7.1.4.5、7.1.4.6;
———删除了国际标准的参考文献。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
———GB/T26237.1—2010 信息技术 生物特征识别数据交换格式 第1部分:框架(ISO/IEC19794-1:2006,MOD)
———GB/T26237.2—2011 信息技术 生物特征识别数据交换格式 第2部分:指纹细节点数据(ISO/IEC19794-2:2005,NEQ)
———GB/T26237.3—2011 信息技术 生物特征识别数据交换格式 第3部分:指纹型谱数据(ISO/IEC19794-3:2006,MOD)
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本标准起草单位:中国电子技术标准化研究院、北京握奇智能科技有限公司。
本标准主要起草人:金倩、冯敬、高林、龙德帆、霍红文、乔申杰。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T16649.4—2010 识别卡 集成电路卡 第4 部分:用于交换的结构、安全和命
令(ISO/IEC7816-4:2005,IDT)
ISO/IEC7816-11:2004 识别卡 集成电路卡 第11部分:通过生物方法的身份验证
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 符合性 1
3 规范性引用文件 1
4 术语和定义 2
5 缩略语 3
6 使用ICC的生物特征匹配体系结构 4
7 卡内比对应用的总体框架 6
8 协同工作 14
附录A (规范性附录) 文件控制参数的一般TLV 结构 16
附录B(规范性附录) 卡内生物特征比对的安全策略 17
附录C (资料性附录) 用于卡内比对的APDU 示例 19
附录D (资料性附录) 生物特征比对的软件共享接口 22
附录E (资料性附录) 关于卡内比对安全机制的建议 24
附录F(资料性附录) 协同工作的卡内比对体系结构 26
附录G (资料性附录) 卡内生物特征比对机制实现示例 29
附录H (资料性附录) 当需要时卡执行WSR会话的状态图 32
class="f14" style="padding-top:10px; padding-left:12px; padding-bottom:10px;"> 本标准按照GB/T1.1—2009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC24787:2010《信息技术识别卡卡内生物特征比对》。
本标准做了下列编辑性修改:
———删除国际标准前言,增加国家标准前言;
———根据中文使用习惯,删除了国际标准的4.2;
———国际标准的7.1.4.1.1存在编辑性错误,7.1.4.1.1修改为7.1.4.2,相应地,国际标准的7.1.4.2、7.1.4.3、7.1.4.4、7.1.4.5分别修改为7.1.4.3、7.1.4.4、7.1.4.5、7.1.4.6;
———删除了国际标准的参考文献。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
———GB/T26237.1—2010 信息技术 生物特征识别数据交换格式 第1部分:框架(ISO/IEC19794-1:2006,MOD)
———GB/T26237.2—2011 信息技术 生物特征识别数据交换格式 第2部分:指纹细节点数据(ISO/IEC19794-2:2005,NEQ)
———GB/T26237.3—2011 信息技术 生物特征识别数据交换格式 第3部分:指纹型谱数据(ISO/IEC19794-3:2006,MOD)
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本标准起草单位:中国电子技术标准化研究院、北京握奇智能科技有限公司。
本标准主要起草人:金倩、冯敬、高林、龙德帆、霍红文、乔申杰。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T16649.4—2010 识别卡 集成电路卡 第4 部分:用于交换的结构、安全和命
令(ISO/IEC7816-4:2005,IDT)
ISO/IEC7816-11:2004 识别卡 集成电路卡 第11部分:通过生物方法的身份验证
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 符合性 1
3 规范性引用文件 1
4 术语和定义 2
5 缩略语 3
6 使用ICC的生物特征匹配体系结构 4
7 卡内比对应用的总体框架 6
8 协同工作 14
附录A (规范性附录) 文件控制参数的一般TLV 结构 16
附录B(规范性附录) 卡内生物特征比对的安全策略 17
附录C (资料性附录) 用于卡内比对的APDU 示例 19
附录D (资料性附录) 生物特征比对的软件共享接口 22
附录E (资料性附录) 关于卡内比对安全机制的建议 24
附录F(资料性附录) 协同工作的卡内比对体系结构 26
附录G (资料性附录) 卡内生物特征比对机制实现示例 29
附录H (资料性附录) 当需要时卡执行WSR会话的状态图 32
标准图片预览
标准内容
ICS35.240.15
中华人民共和国国家标准
GB/T30266—2013/IS0/IEC24787:2010信息技术识别卡卡内生物特征比对Information technologyIdentification cardsOn-card biometric comparison(ISO/IEC24787:2010,IDT)
2013-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-07-15实施
符合性
规范性引用文件
术语和定义
缩略语
使用ICC的生物特征匹配体系结构卡内比对应用的总体框架
协同工作
附录A(规范性附录)
附录B(规范性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
附录H(资料性附录)
文件控制参数的一般TLV结构
卡内生物特征比对的安全策略
用于卡内比对的APDU示例
生物特征比对的软件共享接口·关于卡内比对安全机制的建议
协同工作的卡内比对体系结构
卡内生物特征比对机制实现示例GB/T30266—2013/ISO/IEC24787:2010Ⅲ
当需要时卡执行WSR会话的状态图32
本标准按照GB/T1.1一2009给出的规则起草GB/T30266—2013/IS0/IEC24787:2010本标准使用翻译法等同采用ISO/IEC24787:2010《信息技术识别卡卡内生物特征比对》。本标准做了下列编辑性修改:
删除国际标准前言,增加国家标准前言:根据中文使用习惯,删除了国际标准的4.2;国际标准的7.1.4.1.1存在编辑性错误,7.1.4.1.1修改为7.1.4.2,相应地,国际标准的7.1.4.2、7.1.4.3、7.1.4.4、7.1.4.5分别修改为7.1.4.3、7.1.4.4、7.1.4.5、7.1.4.6;删除了国际标准的参考文献
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T26237.1—20101
生物特征识别数据交换格式第1部分:框架(ISO/IEC信息技术
19794-1:2006,MOD)
GB/T26237.2—2011
信息技术
(ISO/IEC19794-2:2005,NEQ)
GB/T26237.3—2011信息技术
(ISO/IEC19794-3:2006,MOD)
生物特征识别数据交换格式
第2部分:指纹细节点数据
生物特征识别数据交换格式
第3部分:指纹型谱数据
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本标准起草单位:中国电子技术标准化研究院、北京握奇智能科技有限公司。本标准主要起草人:金倩、冯敬、高林、龙德帆、霍红文、乔申杰。GB/T30266—2013/IS0/IEC24787:2010引言
卡内生物特征比对,在ISO/IEC7816-11:2004《识别卡集成电路卡第11部分:通过生物方法的身份验证》中也称卡内匹配,是一种结合了集成电路卡(ICC)技术和生物技术的增强保密性的解决方案。生物特征比对过程在ICC内执行的情况下,它可以提供一个更安全的生物特征鉴别。与卡外比对(卡外匹配)相比,卡内比对不需要将ICC内的生物特征参考数据发送到接口设备上。因此,即使ICC丢失或被盗,存储在ICC内的生物特征参考数据也无法被复制,因而仍能保持其秘密性。ISO/IEC7816-11和ISO/IEC19785-3《信息技术公用生物特征识别交换格式框架(CBEFF)第3部分:实体格式规范》覆盖了卡外比对和简单的卡内比对技术。使用在“真实”世界中获得的生物特征样本的最健全的生物比对过程需要很高的计算强度。相比之下,由于芯片低功耗、小尺寸的需求以及低成本卡的需求等阻碍了它们更快速的进步,使得ICC上能获得的CPU能力和其他资源的成长性会比较慢。将生物传感器嵌入到ICC上仍然是目前的技术挑战。由于这些情况,工业界需要一个不包括卡外比对、系统和卡之间比对的新的标准用于卡内比对。本标准对以下内容进行了规定并提供了建议:卡内比对过程的体系结构描述
一卡内比对过程协同工作的体系结构描述,协同工作可以通过预处理计算来减轻ICC的工作负载;
卡内比对阈值和其他安全问题的管理本文件的发布机构提请注意,声明符合本文件时,可能涉及到第8章与协同工作相关的专利的使用。
本文件的发布机构对于该专利的真实性、有效性和范围无任何立场、该专利持有人已向ISO和IEC保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行谈判。该专利持有人的声明已在ISO和IEC备案。相关信息可以通过以下联系方式获得:
ExploitTechnologiesPteLtd.,30BiopolisStreet,
#09-02Matrix,
Singapore138671
请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
1范围
本标准建立了
信息技术
GB/T30266—2013/ISO/IEC24787:2010卡内生物特征比对
识别卡
在集成电路卡(ICC)内实施生物特征样本比对和返回决策的需求;卡内生物特征比对的安全策略。本标准还建立了允许卡外预比对计算的命令和规则本标准未建立
卡外比对实现的需求;
卡内系统实现的需求;
存储和比对的指定形式需求。
符合性
个卡内比对系统宜称符合本标准的前提是它应符合7.1.2~7.1.5、7.2.1~7.2.8、8.1、8.2.2~8.2.3的规定。免费标准bzxz.net
一张符合本标准的卡应:
采用以下两个数据集进行个人化:·生物特征参考对象处理数据,如7.1.2所描述;:用于生物特征验证的配置数据,如7.1.3所描述;支持带多应用功能的ICC的共享接口,如7.1.4所描述;支持重试计数器管理,如7.1.5所描述;符合7.2.1和7.2.8中所规定的卡内比对实现的要求;符合8.1、8.2.2和8.2.3中所规定的协同工作实现的要求。生物特征鉴别可能会与其他鉴别机制,如PIN等共存。这种共存的规则应遵守的GB/T16649.4—2010。
生物特征数据应使用GB/T16649.4中规定的文件结构或数据对象的形式来组织和管理:如果生物特征数据以文件结构的形式来组织,则系统还应完全符合ISO/IEC7816-11的规定;a)
如果生物特征数据以数据对象的形式来组织和管理.则卡应符合GB/T16649.4中对数据对象处理的规定
生物特征数据对象的编码应符合ISO/IEC7816-11和ISO/IEC19785-3。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16649.4—2010
识别卡
令(ISO/IEC7816-4:2005IDT)集成电路卡第4部分:用于交换的结构、安全和命识别卡
ISO/IEC7816-11:2004
集成电路卡
第11部分:通过生物方法的身份验证(Identifica1
GB/T30266—2013/ISO/IEC24787:2010tion cards-Integrated circuit cards -Part 1l: Personal verification through biometric methods)ISO/IEC19785-1信息技术公用生物特征识别交换格式框架(CBEFF)第1部分:数据元素规范(Informationtechnology-CommonBiometricExchangeFormatsFrameworkPart1:Dataelementspecification)
ISO/IEC19785-3:2007信息技术公用生物特征识别交换格式框架(CBEFF)第3部分:实体格式规范(Informationtechnology—CommonBiometricExchangeFormatsFramework—Part3:Patron format specifications)ISO/IEC19794(所有部分)信息技术生物特征识别数据交换格式[InformationtechnologyBiometricdatainterchangeformatsallparts)]ISO/IEC29794-1:2009信息技术生物特征样本质量第1部分:框架(Informationtechnology-Biometricsamplequality-Part1:Framework)4术语和定义
下列术语和定义适用于本文件
辅助数据
号auxiliarydata
依赖于生物特征形态,而且与生物特征参考有关,但不包含生物特征参考或生物特征样本的数据。示例:方向、尺度等数据。
生物特征识别
biometrics
基于行为特性和生物特性的个体自动识别。[SC37SD2协调生物识别词汇]
生物特征声称biometricclaim
关于生物特征采集主体是或不是指定的或非指定的生物特征参考来源的声称。[SC37SD2协调生物识别词汇]
生物特征数据
biometricdata
处于任何处理阶段的生物特征样本或生物特征样本的聚集、生物特征参考、生物特征项或生物特征特性。
[SC37SD2协调生物识别词汇]
biometricdataformat
生物特征数据格式
表示生物特征数据的结构。
生物特征信息模板
biometric information template关于相关生物特征数据的描述信息。[ISO/IEC7816-11:2004]
生物特征产品标识符
fbiometricproductidentifier
在ISO/IEC19785-1注册机构注册的惟一标识符。2
主biometricproperty
生物特征特性
GB/T30266—2013/IS0/IEC24787:2010自动从生物特征样本中估计的或获得的生物特征数据主体的描述性属性。[SC37SD2协调生物识别词汇]
biometricreference
生物特征参考
用于比对的、属于生物特征数据主体的一个或多个已存储的生物特征样本、生物特征模板或生物特征识别模型。
[SC37SD2协调生物识别词汇]
biometricverificationsystem
生物特征验证系统
实施生物特征声称确认过程的系统。[SC37SD2协调生物识别词汇]
installation
当应用被上载到ICC后,执行安装规程的卡操作系统将需要的参数写入到ICC内的非易失存储器上。
on-cardcomparison
卡内比对
在ICC上执行比对和做出决策,在这种情况下,生物特征参考数据被保存在卡内以增强安全性和隐私性。
off-cardcomparison
卡外比对
在卡外通过生物特征验证系统对照存储在卡内的生物特征参考数据执行的生物特征比对。4.14
预比对计算
pre-comparison computation
为加快随后的卡内生物特征数据比对过程而在ICC外执行的计算规程,该规程需要(开放的)卡内辅助数据来计算可供使用的元数据。4.15
work-sharing
协同工作
将比对过程的计算工作分配在卡和生物特征接口设备之间。注:协同工作卡内比对是卡内比对的一种类型,4.16
卡内系统
system-on-card
生物特征验证系统(包括数据获取、处理和比对)完全位于卡内。注:卡内系统比对是卡内比对的一种类型。4.17
归零数据
zeroize data
已被消磁、擦除或覆写的电子化存储数据。[ANSIX9.17]
缩略语
下列缩略语适用于本文件。
GB/T30266—2013/ISO/IEC24787:2010AID:应用标识符(applicationidentifier)ADF:应用专用文件(applicationdedicatedfile)APDU:应用协议数据单元(applicationprotocoldataunit)AUT:鉴别(authenticate)
BER:基本编码规则(basicencodingrules)BIT:生物特征信息模板(biometricinformationtemplate)CRT:控制引用模板(controlreferencetemplate)CPU:中央处理单元(centralprocessingunit)DF:专用文件(dedicatedfile)DF.CIA:专用文件,密码信息应用(dedicatedfile,cryptographicinformationapplication)EF:基本文件(elementaryfile)FCI:文件控制信息(filecontrolinformation)FCP:文件控制参数(filecontrolparameter)FMR:错误匹配率(falsematchrate)ICC:集成电路卡(integratedcircuitcard)MAC:消息鉴别码(messageauthenticationcode)MSE:管理安全环境(managesecurityenvironment)RFU:保留供将来使用(reservedforfutureuse)SW1-SW2:状态字节(statusbytes)TLV:标记-长度-值(tag-length-value)WScP:协同工作计算协议(work-sharingcomputationprotocol)WSR:协同工作请求(work-sharingrequest)6使用ICC的生物特征匹配体系结构6.1
以下各条详细说明了进行生物特征匹配时,与ISO/IEC7816兼容的卡与其生物特征验证系统之间功能分配的4种方式。仅6.3和6.4在本标准规定范围之内执行注册,即从采集用户的生物特征样本用于创建生物特征参考到上传用户信息到卡。这不适用于6.5中规定的卡内系统比对。
6.2卡外比对
卡外比对是指在生物特征验证系统端执行生物特征验证。卡作为用户生物特征参考的存储设备。图1提供了此过程步骤的示意图。为执行验证,生物特征验证系统将获取ICC的访问权限并读取用户的生物特征参考。生物特征验证系统的任务是采集生物特征样本并执行生物特征验证。如果生物特征验证成功,则生物特征验证系统将改变其安全状态,并可以从卡内下载进一步的信息以进行后续的交互。如果验证失败,进一步的访问将被拒绝
通常使用密码算法在卡和生物特征验证系统之间做互鉴别。为了保护卡和生物特征验证系统之间的通信,在传输任何模板或数据之前应建立安全通道。示例:对于一个物理访问系统(如门禁系统),生物特征参考和访间码存储在ICC中。生物特征验证系统从卡上读取生物特征参考,并执行生物特征验证。如果验证成功,则生物特征验证系统从卡上读取访问码并将其发送到后台系统,从而将访问通道打开。
图像/
信号处理
GB/T30266—2013/IS0/IEC24787:2010决策
图1采用卡外匹配方式的生物特征鉴别通用体系结构6.3卡内比对(卡内无传感器)
卡内比对是指在卡内执行生物特征样本的验证。图2给出了此过程的示意图。ICC的CPU应有足够的处理能力来执行匹配过程。注册过程与卡外比对相同或相似为执行卡内比对,生物特征验证系统采集生物特征样本并提取生物特征数据。所生成的生物特征数据被上载到卡内以供验证。验证过程在卡内执行。如果验证成功,则卡的安全状态被更新,并发送相应的信号到后台系统
为了保护卡和生物特征验证系统之间的通信,建议采用一个安全、可信的通道(采用符合ISO/IEC7816的安全报文传输、ISO/IEC24761定义的用于分布式比对验证的机制)。示例:对于一张卡,它能使用一个永不脱离卡的密钥来生成数字签名。当一个请求发送到卡要求初始化生成数字签名时,卡端返回的响应报文为安全状态错误。这表明需要验证用户身份。用户将所需的生物特征样本呈现给生物特征验证系统以生成生物特征数据,之后将其传输给ICC。ICC将此新采集的生物特征数据与卡内存储的生物特征参考比对,如果比对成功,则ICC更新安全状态,该安全状态允许ICC在接收到相应的APDU报文后生成数字签名。数据
图像/
信号处理
图2采用卡内匹配方式的生物特征鉴别通用体系结构6.4协同工作卡内比对
除比对规程不同外,协同工作卡内比对与卡内比对其他的过程相同。图3给出了此过程的示意图。当ICC不具备足够的处理能力执行生物特征数据比对时,可采用此类比对。某些需要大计算量的过程,例如一个数学变换,可以发送给生物特征验证系统执行该计算。计算的结果发送回ICC供卡内计算匹配程度和最终决策。在预比对计算过程中,卡和生物特征验证系统之间存在通信。安全、可信的通5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T30266—2013/IS0/IEC24787:2010信息技术识别卡卡内生物特征比对Information technologyIdentification cardsOn-card biometric comparison(ISO/IEC24787:2010,IDT)
2013-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-07-15实施
符合性
规范性引用文件
术语和定义
缩略语
使用ICC的生物特征匹配体系结构卡内比对应用的总体框架
协同工作
附录A(规范性附录)
附录B(规范性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
附录H(资料性附录)
文件控制参数的一般TLV结构
卡内生物特征比对的安全策略
用于卡内比对的APDU示例
生物特征比对的软件共享接口·关于卡内比对安全机制的建议
协同工作的卡内比对体系结构
卡内生物特征比对机制实现示例GB/T30266—2013/ISO/IEC24787:2010Ⅲ
当需要时卡执行WSR会话的状态图32
本标准按照GB/T1.1一2009给出的规则起草GB/T30266—2013/IS0/IEC24787:2010本标准使用翻译法等同采用ISO/IEC24787:2010《信息技术识别卡卡内生物特征比对》。本标准做了下列编辑性修改:
删除国际标准前言,增加国家标准前言:根据中文使用习惯,删除了国际标准的4.2;国际标准的7.1.4.1.1存在编辑性错误,7.1.4.1.1修改为7.1.4.2,相应地,国际标准的7.1.4.2、7.1.4.3、7.1.4.4、7.1.4.5分别修改为7.1.4.3、7.1.4.4、7.1.4.5、7.1.4.6;删除了国际标准的参考文献
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T26237.1—20101
生物特征识别数据交换格式第1部分:框架(ISO/IEC信息技术
19794-1:2006,MOD)
GB/T26237.2—2011
信息技术
(ISO/IEC19794-2:2005,NEQ)
GB/T26237.3—2011信息技术
(ISO/IEC19794-3:2006,MOD)
生物特征识别数据交换格式
第2部分:指纹细节点数据
生物特征识别数据交换格式
第3部分:指纹型谱数据
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本标准起草单位:中国电子技术标准化研究院、北京握奇智能科技有限公司。本标准主要起草人:金倩、冯敬、高林、龙德帆、霍红文、乔申杰。GB/T30266—2013/IS0/IEC24787:2010引言
卡内生物特征比对,在ISO/IEC7816-11:2004《识别卡集成电路卡第11部分:通过生物方法的身份验证》中也称卡内匹配,是一种结合了集成电路卡(ICC)技术和生物技术的增强保密性的解决方案。生物特征比对过程在ICC内执行的情况下,它可以提供一个更安全的生物特征鉴别。与卡外比对(卡外匹配)相比,卡内比对不需要将ICC内的生物特征参考数据发送到接口设备上。因此,即使ICC丢失或被盗,存储在ICC内的生物特征参考数据也无法被复制,因而仍能保持其秘密性。ISO/IEC7816-11和ISO/IEC19785-3《信息技术公用生物特征识别交换格式框架(CBEFF)第3部分:实体格式规范》覆盖了卡外比对和简单的卡内比对技术。使用在“真实”世界中获得的生物特征样本的最健全的生物比对过程需要很高的计算强度。相比之下,由于芯片低功耗、小尺寸的需求以及低成本卡的需求等阻碍了它们更快速的进步,使得ICC上能获得的CPU能力和其他资源的成长性会比较慢。将生物传感器嵌入到ICC上仍然是目前的技术挑战。由于这些情况,工业界需要一个不包括卡外比对、系统和卡之间比对的新的标准用于卡内比对。本标准对以下内容进行了规定并提供了建议:卡内比对过程的体系结构描述
一卡内比对过程协同工作的体系结构描述,协同工作可以通过预处理计算来减轻ICC的工作负载;
卡内比对阈值和其他安全问题的管理本文件的发布机构提请注意,声明符合本文件时,可能涉及到第8章与协同工作相关的专利的使用。
本文件的发布机构对于该专利的真实性、有效性和范围无任何立场、该专利持有人已向ISO和IEC保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行谈判。该专利持有人的声明已在ISO和IEC备案。相关信息可以通过以下联系方式获得:
ExploitTechnologiesPteLtd.,30BiopolisStreet,
#09-02Matrix,
Singapore138671
请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
1范围
本标准建立了
信息技术
GB/T30266—2013/ISO/IEC24787:2010卡内生物特征比对
识别卡
在集成电路卡(ICC)内实施生物特征样本比对和返回决策的需求;卡内生物特征比对的安全策略。本标准还建立了允许卡外预比对计算的命令和规则本标准未建立
卡外比对实现的需求;
卡内系统实现的需求;
存储和比对的指定形式需求。
符合性
个卡内比对系统宜称符合本标准的前提是它应符合7.1.2~7.1.5、7.2.1~7.2.8、8.1、8.2.2~8.2.3的规定。免费标准bzxz.net
一张符合本标准的卡应:
采用以下两个数据集进行个人化:·生物特征参考对象处理数据,如7.1.2所描述;:用于生物特征验证的配置数据,如7.1.3所描述;支持带多应用功能的ICC的共享接口,如7.1.4所描述;支持重试计数器管理,如7.1.5所描述;符合7.2.1和7.2.8中所规定的卡内比对实现的要求;符合8.1、8.2.2和8.2.3中所规定的协同工作实现的要求。生物特征鉴别可能会与其他鉴别机制,如PIN等共存。这种共存的规则应遵守的GB/T16649.4—2010。
生物特征数据应使用GB/T16649.4中规定的文件结构或数据对象的形式来组织和管理:如果生物特征数据以文件结构的形式来组织,则系统还应完全符合ISO/IEC7816-11的规定;a)
如果生物特征数据以数据对象的形式来组织和管理.则卡应符合GB/T16649.4中对数据对象处理的规定
生物特征数据对象的编码应符合ISO/IEC7816-11和ISO/IEC19785-3。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16649.4—2010
识别卡
令(ISO/IEC7816-4:2005IDT)集成电路卡第4部分:用于交换的结构、安全和命识别卡
ISO/IEC7816-11:2004
集成电路卡
第11部分:通过生物方法的身份验证(Identifica1
GB/T30266—2013/ISO/IEC24787:2010tion cards-Integrated circuit cards -Part 1l: Personal verification through biometric methods)ISO/IEC19785-1信息技术公用生物特征识别交换格式框架(CBEFF)第1部分:数据元素规范(Informationtechnology-CommonBiometricExchangeFormatsFrameworkPart1:Dataelementspecification)
ISO/IEC19785-3:2007信息技术公用生物特征识别交换格式框架(CBEFF)第3部分:实体格式规范(Informationtechnology—CommonBiometricExchangeFormatsFramework—Part3:Patron format specifications)ISO/IEC19794(所有部分)信息技术生物特征识别数据交换格式[InformationtechnologyBiometricdatainterchangeformatsallparts)]ISO/IEC29794-1:2009信息技术生物特征样本质量第1部分:框架(Informationtechnology-Biometricsamplequality-Part1:Framework)4术语和定义
下列术语和定义适用于本文件
辅助数据
号auxiliarydata
依赖于生物特征形态,而且与生物特征参考有关,但不包含生物特征参考或生物特征样本的数据。示例:方向、尺度等数据。
生物特征识别
biometrics
基于行为特性和生物特性的个体自动识别。[SC37SD2协调生物识别词汇]
生物特征声称biometricclaim
关于生物特征采集主体是或不是指定的或非指定的生物特征参考来源的声称。[SC37SD2协调生物识别词汇]
生物特征数据
biometricdata
处于任何处理阶段的生物特征样本或生物特征样本的聚集、生物特征参考、生物特征项或生物特征特性。
[SC37SD2协调生物识别词汇]
biometricdataformat
生物特征数据格式
表示生物特征数据的结构。
生物特征信息模板
biometric information template关于相关生物特征数据的描述信息。[ISO/IEC7816-11:2004]
生物特征产品标识符
fbiometricproductidentifier
在ISO/IEC19785-1注册机构注册的惟一标识符。2
主biometricproperty
生物特征特性
GB/T30266—2013/IS0/IEC24787:2010自动从生物特征样本中估计的或获得的生物特征数据主体的描述性属性。[SC37SD2协调生物识别词汇]
biometricreference
生物特征参考
用于比对的、属于生物特征数据主体的一个或多个已存储的生物特征样本、生物特征模板或生物特征识别模型。
[SC37SD2协调生物识别词汇]
biometricverificationsystem
生物特征验证系统
实施生物特征声称确认过程的系统。[SC37SD2协调生物识别词汇]
installation
当应用被上载到ICC后,执行安装规程的卡操作系统将需要的参数写入到ICC内的非易失存储器上。
on-cardcomparison
卡内比对
在ICC上执行比对和做出决策,在这种情况下,生物特征参考数据被保存在卡内以增强安全性和隐私性。
off-cardcomparison
卡外比对
在卡外通过生物特征验证系统对照存储在卡内的生物特征参考数据执行的生物特征比对。4.14
预比对计算
pre-comparison computation
为加快随后的卡内生物特征数据比对过程而在ICC外执行的计算规程,该规程需要(开放的)卡内辅助数据来计算可供使用的元数据。4.15
work-sharing
协同工作
将比对过程的计算工作分配在卡和生物特征接口设备之间。注:协同工作卡内比对是卡内比对的一种类型,4.16
卡内系统
system-on-card
生物特征验证系统(包括数据获取、处理和比对)完全位于卡内。注:卡内系统比对是卡内比对的一种类型。4.17
归零数据
zeroize data
已被消磁、擦除或覆写的电子化存储数据。[ANSIX9.17]
缩略语
下列缩略语适用于本文件。
GB/T30266—2013/ISO/IEC24787:2010AID:应用标识符(applicationidentifier)ADF:应用专用文件(applicationdedicatedfile)APDU:应用协议数据单元(applicationprotocoldataunit)AUT:鉴别(authenticate)
BER:基本编码规则(basicencodingrules)BIT:生物特征信息模板(biometricinformationtemplate)CRT:控制引用模板(controlreferencetemplate)CPU:中央处理单元(centralprocessingunit)DF:专用文件(dedicatedfile)DF.CIA:专用文件,密码信息应用(dedicatedfile,cryptographicinformationapplication)EF:基本文件(elementaryfile)FCI:文件控制信息(filecontrolinformation)FCP:文件控制参数(filecontrolparameter)FMR:错误匹配率(falsematchrate)ICC:集成电路卡(integratedcircuitcard)MAC:消息鉴别码(messageauthenticationcode)MSE:管理安全环境(managesecurityenvironment)RFU:保留供将来使用(reservedforfutureuse)SW1-SW2:状态字节(statusbytes)TLV:标记-长度-值(tag-length-value)WScP:协同工作计算协议(work-sharingcomputationprotocol)WSR:协同工作请求(work-sharingrequest)6使用ICC的生物特征匹配体系结构6.1
以下各条详细说明了进行生物特征匹配时,与ISO/IEC7816兼容的卡与其生物特征验证系统之间功能分配的4种方式。仅6.3和6.4在本标准规定范围之内执行注册,即从采集用户的生物特征样本用于创建生物特征参考到上传用户信息到卡。这不适用于6.5中规定的卡内系统比对。
6.2卡外比对
卡外比对是指在生物特征验证系统端执行生物特征验证。卡作为用户生物特征参考的存储设备。图1提供了此过程步骤的示意图。为执行验证,生物特征验证系统将获取ICC的访问权限并读取用户的生物特征参考。生物特征验证系统的任务是采集生物特征样本并执行生物特征验证。如果生物特征验证成功,则生物特征验证系统将改变其安全状态,并可以从卡内下载进一步的信息以进行后续的交互。如果验证失败,进一步的访问将被拒绝
通常使用密码算法在卡和生物特征验证系统之间做互鉴别。为了保护卡和生物特征验证系统之间的通信,在传输任何模板或数据之前应建立安全通道。示例:对于一个物理访问系统(如门禁系统),生物特征参考和访间码存储在ICC中。生物特征验证系统从卡上读取生物特征参考,并执行生物特征验证。如果验证成功,则生物特征验证系统从卡上读取访问码并将其发送到后台系统,从而将访问通道打开。
图像/
信号处理
GB/T30266—2013/IS0/IEC24787:2010决策
图1采用卡外匹配方式的生物特征鉴别通用体系结构6.3卡内比对(卡内无传感器)
卡内比对是指在卡内执行生物特征样本的验证。图2给出了此过程的示意图。ICC的CPU应有足够的处理能力来执行匹配过程。注册过程与卡外比对相同或相似为执行卡内比对,生物特征验证系统采集生物特征样本并提取生物特征数据。所生成的生物特征数据被上载到卡内以供验证。验证过程在卡内执行。如果验证成功,则卡的安全状态被更新,并发送相应的信号到后台系统
为了保护卡和生物特征验证系统之间的通信,建议采用一个安全、可信的通道(采用符合ISO/IEC7816的安全报文传输、ISO/IEC24761定义的用于分布式比对验证的机制)。示例:对于一张卡,它能使用一个永不脱离卡的密钥来生成数字签名。当一个请求发送到卡要求初始化生成数字签名时,卡端返回的响应报文为安全状态错误。这表明需要验证用户身份。用户将所需的生物特征样本呈现给生物特征验证系统以生成生物特征数据,之后将其传输给ICC。ICC将此新采集的生物特征数据与卡内存储的生物特征参考比对,如果比对成功,则ICC更新安全状态,该安全状态允许ICC在接收到相应的APDU报文后生成数字签名。数据
图像/
信号处理
图2采用卡内匹配方式的生物特征鉴别通用体系结构6.4协同工作卡内比对
除比对规程不同外,协同工作卡内比对与卡内比对其他的过程相同。图3给出了此过程的示意图。当ICC不具备足够的处理能力执行生物特征数据比对时,可采用此类比对。某些需要大计算量的过程,例如一个数学变换,可以发送给生物特征验证系统执行该计算。计算的结果发送回ICC供卡内计算匹配程度和最终决策。在预比对计算过程中,卡和生物特征验证系统之间存在通信。安全、可信的通5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。