《信息安全技術(shù) 基于生物特征識別的移動智能終端身份鑒別技術(shù)框架-編制說明》

國家標準《信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國標委綜合〔2017〕128號文件《關(guān)于下達2017年第四批國家標準制修

訂計劃的通知》安排,國家標準制定計劃《信息安全技術(shù)基于生物特征識別的

移動智能終端身份鑒別技術(shù)框架》（計劃號20173598-T-469）由TC260（全國信

息安全標準化技術(shù)委員會）歸口上報及執(zhí)行，主管部門為國家標準化管理委員會。

1.2主要起草單位和工作組成員

本標準由浙江螞蟻小微金融服務(wù)集團股份有限公司主要負責起草，中國科學(xué)

院數(shù)據(jù)與通信保護研究教育中心、北京數(shù)字認證股份有限公司、北京曠視科技有

限公司、北京中科虹霸科技有限公司、深圳市匯頂科技股份有限公司、中國電子

技術(shù)標準化研究院等單位共同參與該標準的起草工作。

1.3主要工作過程

（1）2017年7月，本標準研制申請在全國信息安全標準化技術(shù)委員會獲得

立項批準，浙江螞蟻小微金融服務(wù)集團股份有限公司作為研制項目牽頭

單位，組建了標準研制工作組，編制工作組包括生物特征識別企業(yè)、科

研院所、應(yīng)用與研發(fā)機構(gòu)、IT企業(yè)、終端廠商、安全公司等超過20多家

單位，在移動智能終端、生物特征識別、身份鑒別與認證領(lǐng)域具有廣泛

的代表性，編制組成立之后，進行了相關(guān)技術(shù)規(guī)范資料的研究和產(chǎn)業(yè)調(diào)

研，形成了草案1.0版。

（2）2017年8月，本標準研制項目在北京召開了啟動會議，標準編制組來

自14家單位共17名代表出席了會議，螞蟻金服技術(shù)標準部介紹了本標準

立項背景，標準適用范圍、主要內(nèi)容，對標準草案中“基于生物特征識

別技術(shù)的移動智能終端身份鑒別技術(shù)架構(gòu)”進行了討論，由此對標準化

對象、范圍等標準啟動之初應(yīng)明確的問題進行了初步的探討。標準草案

在討論修改后，2018年9月形成草案1.1版

（3）2017年10月，螞蟻金服公司代表本標準編制組，在TC260-在WG4工作

組全體會議上進行了匯報，根據(jù)本次會議上WG4專家與代表提出的建議，

明確了本標準與WG4生物特征識別身份鑒別相關(guān)標準的關(guān)系，為確保整

體標準體系的兼容一致，標準草案在編制組內(nèi)再次進行討論和修改，對

國家標準《信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

技術(shù)架構(gòu)和關(guān)鍵術(shù)語進行了調(diào)整，保持與其他標準的一致性，形成草案

1.3版。

（4）2017年11月，增加了具有代表性的終端廠商和芯片廠商如華為、三星、

高通等參加到本標準的編制組中。編制組在北京召開第二次全體會議，

修改討論從10月會議周以來的各方建議和修改情況，在技術(shù)框架方面達

成一致意見，形成了草案2.0版，同時充實了標準的技術(shù)內(nèi)容。

（5）2017年12月，國家標準化管理委員會正式下達本國家標準制定計劃

號。

（6）2018年1月，標準編制組內(nèi)持續(xù)進行討論和修改，調(diào)整完善技術(shù)架構(gòu)，

形成標準草案3.0版。

（7）2018年2月，TC260-WG4工作組召開專家審查會議，對本標準草案進行

了研究和評議，同意通過該標準草案的審查，并建議本標準盡快形成征

求意見稿。

（8）2018年3月，標準編制組召開第三次全體會議，全體編制組成員討論

修改了技術(shù)架構(gòu)圖，對可信執(zhí)行環(huán)境統(tǒng)一規(guī)范為“可信環(huán)境”，兼容包括

TEE、SE、TCM等可信執(zhí)行環(huán)境類型，并與WG4相關(guān)標準保持一致同時，

精簡了對可信部分的描述。針對專家審查會議中提出的基本級和增強級

劃分的修改建議，結(jié)合產(chǎn)業(yè)和應(yīng)用實際情況，根據(jù)TEE和SE的結(jié)合應(yīng)用

情況，對可信環(huán)境的安全要求進行了基本級和增強級的劃分，在技術(shù)框

架描述部分進行了規(guī)范。形成標準草案4.0版。

（9）2018年3月-4月，TC260-WG4工作組內(nèi)對本標準草案進行了征求意見，

反饋意見集中在文字和編輯性修改方面，經(jīng)過修改和調(diào)整，形成標準草

案5.0版。

（10）2018年4月，TC260武漢會議周WG4全體會議對標準草案5.0進行審閱

和投票，建議吸納和處理會議上提出的修改建議，形成征求意見稿。

1.4各階段意見處理情況

工作組第一版草案階段，共收到反饋意見12條，5條采納，1條未采納，6

條部分采納。工作組第二版草案階段，共收到反饋意見27條，19條采納，2條

國家標準《信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

未采納，6條部分采納。工作組第三版草案階段，共收到專家審查意見5條，4

條采納，1條部分采納。工作組第四版草案階段，共收到工作組內(nèi)反饋意見22

條，15條采納，4條未采納，3條部分采納。具體參見意見匯總處理表。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

2.1本標準編制原則

（1）本標準的編寫按照GB/T1.1-2009《標準化工作導(dǎo)則第一部分：標

準的結(jié)構(gòu)和編寫規(guī)則》的要求進行。

（2）本標準的編制原則是符合移動智能終端生物特征識別產(chǎn)業(yè)應(yīng)用現(xiàn)

狀，滿足并兼容現(xiàn)階段多種生物識別技術(shù)應(yīng)用于移動智能終端的技術(shù)實

現(xiàn)。

2.2本標準編制思路

標準的制定以大量多年的技術(shù)實踐應(yīng)用積累之上，基于生物特征識別的移動

智能終端身份鑒別技術(shù)框架，規(guī)范基于生物特征識別的移動智能終端身份鑒別的

功能模塊與信息安全要求，主要技術(shù)內(nèi)容有大量實踐與應(yīng)用驗證為基礎(chǔ)，具備可

行性；標準編制團隊由國內(nèi)典型移動端生物特征識別應(yīng)用服務(wù)提供商、主流終端

制造商、軟件開發(fā)商、科研機構(gòu)和標準研究機構(gòu)組成，具有廣泛代表性；在制定

過程中遵循“科學(xué)嚴謹、尊重實際、高效安全、切實可行”的思路，首先，確定

研究計劃；其次，在研究計劃基礎(chǔ)上進行文獻查詢、產(chǎn)品調(diào)研和專家咨詢，最終

形成標準草稿；再次，基于標準草稿進行更進一步專家咨詢，并進行實際開發(fā)驗

證，確保標準的可行性和安全性；最后，在以上基礎(chǔ)之上形成最終標準文本。

2.3本標準草案主要內(nèi)容

本標準規(guī)范基于生物特征識別的移動智能終端身份鑒別技術(shù)框架，規(guī)范基于

生物特征識別的移動智能終端身份鑒別業(yè)務(wù)流程、各功能單元的功能要求和安全

要求。本標準適用于基于生物特征識別的移動智能終端身份鑒別的設(shè)計、開發(fā)與

集成。是基于生物特征識別的身份鑒別技術(shù)基礎(chǔ)性標準之一。

主要技術(shù)內(nèi)容包括：技術(shù)框架、業(yè)務(wù)流程、通訊協(xié)議、功能要求和安全要求。

（1）技術(shù)架構(gòu)：基于生物特征識別的移動智能終端身份鑒別技術(shù)框架主

要包括移動智能終端和服務(wù)器側(cè)的若干功能單元；移動智能終端側(cè)一般

包括移動應(yīng)用、身份鑒別中間件、身份鑒別可信應(yīng)用、生物特征識別器、

采集元件等功能單元。本標準所規(guī)范的技術(shù)框架基于可信環(huán)境實現(xiàn)，運

國家標準《信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

行于移動智能終端的身份鑒別協(xié)議解析、用戶生物特征采集、比對、存

儲與呈現(xiàn)攻擊檢測等均應(yīng)在可信環(huán)境中進行。本標準中，可信環(huán)境的具

體實現(xiàn)方式可采用TEE或TEE與SE組合使用的方式。根據(jù)安全需求，

單獨采用TEE可作為安全基本級的可信環(huán)境，采用TEE與SE的組合使

用可作為安全增強級的可信環(huán)境，其他的可信環(huán)境實現(xiàn)方式不在本標準

規(guī)定范圍之內(nèi)。

（2）服務(wù)器側(cè)包括身份鑒別服務(wù)器和依賴方服務(wù)器。身份鑒別服務(wù)器包

括身份鑒別服務(wù)模塊，可具備可信應(yīng)用管理和可信設(shè)備管理等模塊。

（3）業(yè)務(wù)流程與通訊協(xié)議：規(guī)范移動智能終端生物特征識別身份鑒別的

業(yè)務(wù)流程，與正在研制中GB/TAAAAA-AAAA《信息安全技術(shù)基于可信

環(huán)境的生物特征識別身份鑒別協(xié)議框架》保持一致，包括注冊、鑒別以

及解注冊等流程；

（4）功能要求：主要對移動智能終端和服務(wù)側(cè)各功能單元提出功能要求；

（5）安全要求：主要規(guī)范移動智能終端基于生物特征識別的身份鑒別技

術(shù)框架內(nèi)各功能單元安全要求、通信安全要求和身份鑒別協(xié)議安全要

求。

（6）附錄A和附錄B作為資料性附錄，對可信執(zhí)行環(huán)境進行了概述性介

紹，同時以基于指紋識別的身份鑒別應(yīng)用為案例，為標準讀者和使用方

提供概念性和應(yīng)用案例方面的參考。

三、主要試驗【或驗證】情況分析

本標準主要起草單位包括浙江螞蟻小微金融服務(wù)集團股份有限公司、中國科

學(xué)院數(shù)據(jù)與通信保護研究教育中心、北京數(shù)字認證股份有限公司、北京曠視科技

有限公司、北京中科虹霸科技有限公司、深圳市匯頂科技股份有限公司、中國電

子技術(shù)標準化研究院、國家信息中心以及華為、三星、高通等單位，都是移動智

能終端生物特征識別身份鑒別行業(yè)內(nèi)重要的具有廣泛代表性的生產(chǎn)與應(yīng)用廠商，

本部分所提出的主要技術(shù)要求在主要廠商內(nèi)進行了實驗驗證，另一方面是本部分

提出的技術(shù)要求也是行業(yè)代表性企業(yè)協(xié)商一致共同認可的實際做法，具備可行性

和通用共性。

四、知識產(chǎn)權(quán)情況說明

本標準暫未發(fā)現(xiàn)相關(guān)知識產(chǎn)權(quán)問題。

國家標準《信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

作為重要的身份認證識別技術(shù)，移動智能終端上使用的生物特征識別技術(shù)在

公共安全、金融、社保、遠程支付與認證等眾多領(lǐng)域有著廣泛的應(yīng)用。近年來，

隨著移動互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，移動智能終端上采用生物特征識別技術(shù)已成為

眾多移動智能終端的標準配置，是實現(xiàn)移動智能終端上個性化授權(quán)、增強安全性、

提高使用方便性和用戶體驗的重要技術(shù)手段，成為實現(xiàn)基于移動網(wǎng)絡(luò)的注冊、授

權(quán)和遠程支付等應(yīng)用的重要安全保障，對于推進我國社會的信息化深度和廣度發(fā)

展具有重要的意義。

產(chǎn)業(yè)和應(yīng)用迅猛發(fā)展的同時，也存在諸多問題，當前各個廠家移動智能終端

上的生物特征識別自成體系，無法互聯(lián)互通，業(yè)界還沒有建立規(guī)范統(tǒng)一的技術(shù)架

構(gòu)，導(dǎo)致移動智能終端廠商和應(yīng)用開發(fā)商需要適配多套方案，嚴重增加了制造和

開發(fā)成本。本標準將系統(tǒng)研究目前業(yè)界已有技術(shù)成果，參考現(xiàn)有國際國內(nèi)標準，

結(jié)合實際應(yīng)用，形成規(guī)范統(tǒng)一的技術(shù)架構(gòu)（含鑒別流程和協(xié)議接口）。

另一方面，生物特征識別技術(shù)是利用人類生物特征的唯一性和穩(wěn)定性進行身

份鑒別的自動識別技術(shù)，但特征信息一旦泄露被惡意利用則無法通過修改來挽

回，故此，保障移動智能終端生物特征識別信息的安全異常重要。目前尚沒有技

術(shù)標準規(guī)范統(tǒng)一的技術(shù)框架和安全要求，亟需從國家層面規(guī)范基于生物特征識別

的移動智能終端身份鑒別技術(shù)框架，降低產(chǎn)業(yè)鏈研發(fā)與生產(chǎn)成本，提高網(wǎng)絡(luò)可信

空間的安全性。本標準結(jié)合已有標準和現(xiàn)實情況重點考慮生物特征識別信息的安

全保護。

制定應(yīng)用于移動智能終端的生物特征識別身份鑒別技術(shù)的相關(guān)標準和規(guī)范，

對提高產(chǎn)品互聯(lián)互通性，降低開發(fā)成本、引導(dǎo)并促進移動智能終端生物特征識別

技術(shù)與產(chǎn)業(yè)的健康快速發(fā)展具有重要意義。

六、采用國際標準和國外先進標準情況

國際方面，與生物特征識別安全相關(guān)的國際標準化活動主要由ISO/IEC

JTC1/SC27-WG5制定，本標準與SC27/WG5目前已經(jīng)發(fā)布的生物特征識別安全國

際標準技術(shù)內(nèi)容保持一致。另外，ISO/IECJTC1/SC37負責生物特征識別基礎(chǔ)性

技術(shù)標準制定，在基礎(chǔ)性技術(shù)上，本標準與SC37相關(guān)國際標準在技術(shù)內(nèi)容上保

持一致。

本標準較新出現(xiàn)的術(shù)語定義如“呈現(xiàn)攻擊”采用了國際標準ISO/IEC30107

國家標準《信息安全技術(shù)基于生物特征識別的移動智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

《信息技術(shù)生物特征識別呈現(xiàn)攻擊檢測》給出的定義，呈現(xiàn)攻擊及呈現(xiàn)攻擊檢

測的概念在本標準的引入，具備一定先進性。

本標準在研制與驗證過程中，正在同步推動國際標準化工作，以本標準主要

技術(shù)內(nèi)容為基礎(chǔ)，正在進行ISO/IECJTC1/SC27SP《SecurityFrameworkfor

BiometricAuthenticationonMobileDevices》研究項目的研究。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

本部分主要術(shù)語定義采用國家標準GB/T26238-2010《信息技術(shù)生物

特征識別術(shù)語》、針對通用技術(shù)的特定模態(tài)的生物特征識別進行規(guī)范，是生

物特征識別基礎(chǔ)技術(shù)標準。涉及到移動應(yīng)用服務(wù)器和終端軟件方面的安全

要求，與現(xiàn)有國家標準GB/T35281-2017《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)

用服務(wù)器安全技術(shù)要求》、GB/T34975-2017《信息安全技術(shù)移動智能終端

應(yīng)用軟件安全技術(shù)要求和測試評價方法》保持一致