《信息安全技術(shù) 基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架-編制說明》

國家標(biāo)準(zhǔn)《信息安全技術(shù)基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國標(biāo)委綜合〔2017〕128號文件《關(guān)于下達(dá)2017年第四批國家標(biāo)準(zhǔn)制修

訂計(jì)劃的通知》安排,國家標(biāo)準(zhǔn)制定計(jì)劃《信息安全技術(shù)基于生物特征識別的

移動(dòng)智能終端身份鑒別技術(shù)框架》（計(jì)劃號20173598-T-469）由TC260（全國信

息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)）歸口上報(bào)及執(zhí)行，主管部門為國家標(biāo)準(zhǔn)化管理委員會(huì)。

1.2主要起草單位和工作組成員

本標(biāo)準(zhǔn)由浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司主要負(fù)責(zé)起草，中國科學(xué)

院數(shù)據(jù)與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股份有限公司、北京曠視科技有

限公司、北京中科虹霸科技有限公司、深圳市匯頂科技股份有限公司、中國電子

技術(shù)標(biāo)準(zhǔn)化研究院等單位共同參與該標(biāo)準(zhǔn)的起草工作。

1.3主要工作過程

（1）2017年7月，本標(biāo)準(zhǔn)研制申請?jiān)谌珖畔踩珮?biāo)準(zhǔn)化技術(shù)委員會(huì)獲得

立項(xiàng)批準(zhǔn)，浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司作為研制項(xiàng)目牽頭

單位，組建了標(biāo)準(zhǔn)研制工作組，編制工作組包括生物特征識別企業(yè)、科

研院所、應(yīng)用與研發(fā)機(jī)構(gòu)、IT企業(yè)、終端廠商、安全公司等超過20多家

單位，在移動(dòng)智能終端、生物特征識別、身份鑒別與認(rèn)證領(lǐng)域具有廣泛

的代表性，編制組成立之后，進(jìn)行了相關(guān)技術(shù)規(guī)范資料的研究和產(chǎn)業(yè)調(diào)

研，形成了草案1.0版。

（2）2017年8月，本標(biāo)準(zhǔn)研制項(xiàng)目在北京召開了啟動(dòng)會(huì)議，標(biāo)準(zhǔn)編制組來

自14家單位共17名代表出席了會(huì)議，螞蟻金服技術(shù)標(biāo)準(zhǔn)部介紹了本標(biāo)準(zhǔn)

立項(xiàng)背景，標(biāo)準(zhǔn)適用范圍、主要內(nèi)容，對標(biāo)準(zhǔn)草案中“基于生物特征識

別技術(shù)的移動(dòng)智能終端身份鑒別技術(shù)架構(gòu)”進(jìn)行了討論，由此對標(biāo)準(zhǔn)化

對象、范圍等標(biāo)準(zhǔn)啟動(dòng)之初應(yīng)明確的問題進(jìn)行了初步的探討。標(biāo)準(zhǔn)草案

在討論修改后，2018年9月形成草案1.1版

（3）2017年10月，螞蟻金服公司代表本標(biāo)準(zhǔn)編制組，在TC260-在WG4工作

組全體會(huì)議上進(jìn)行了匯報(bào)，根據(jù)本次會(huì)議上WG4專家與代表提出的建議，

明確了本標(biāo)準(zhǔn)與WG4生物特征識別身份鑒別相關(guān)標(biāo)準(zhǔn)的關(guān)系，為確保整

體標(biāo)準(zhǔn)體系的兼容一致，標(biāo)準(zhǔn)草案在編制組內(nèi)再次進(jìn)行討論和修改，對

國家標(biāo)準(zhǔn)《信息安全技術(shù)基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

技術(shù)架構(gòu)和關(guān)鍵術(shù)語進(jìn)行了調(diào)整，保持與其他標(biāo)準(zhǔn)的一致性，形成草案

1.3版。

（4）2017年11月，增加了具有代表性的終端廠商和芯片廠商如華為、三星、

高通等參加到本標(biāo)準(zhǔn)的編制組中。編制組在北京召開第二次全體會(huì)議，

修改討論從10月會(huì)議周以來的各方建議和修改情況，在技術(shù)框架方面達(dá)

成一致意見，形成了草案2.0版，同時(shí)充實(shí)了標(biāo)準(zhǔn)的技術(shù)內(nèi)容。

（5）2017年12月，國家標(biāo)準(zhǔn)化管理委員會(huì)正式下達(dá)本國家標(biāo)準(zhǔn)制定計(jì)劃

號。

（6）2018年1月，標(biāo)準(zhǔn)編制組內(nèi)持續(xù)進(jìn)行討論和修改，調(diào)整完善技術(shù)架構(gòu)，

形成標(biāo)準(zhǔn)草案3.0版。

（7）2018年2月，TC260-WG4工作組召開專家審查會(huì)議，對本標(biāo)準(zhǔn)草案進(jìn)行

了研究和評議，同意通過該標(biāo)準(zhǔn)草案的審查，并建議本標(biāo)準(zhǔn)盡快形成征

求意見稿。

（8）2018年3月，標(biāo)準(zhǔn)編制組召開第三次全體會(huì)議，全體編制組成員討論

修改了技術(shù)架構(gòu)圖，對可信執(zhí)行環(huán)境統(tǒng)一規(guī)范為“可信環(huán)境”，兼容包括

TEE、SE、TCM等可信執(zhí)行環(huán)境類型，并與WG4相關(guān)標(biāo)準(zhǔn)保持一致同時(shí)，

精簡了對可信部分的描述。針對專家審查會(huì)議中提出的基本級和增強(qiáng)級

劃分的修改建議，結(jié)合產(chǎn)業(yè)和應(yīng)用實(shí)際情況，根據(jù)TEE和SE的結(jié)合應(yīng)用

情況，對可信環(huán)境的安全要求進(jìn)行了基本級和增強(qiáng)級的劃分，在技術(shù)框

架描述部分進(jìn)行了規(guī)范。形成標(biāo)準(zhǔn)草案4.0版。

（9）2018年3月-4月，TC260-WG4工作組內(nèi)對本標(biāo)準(zhǔn)草案進(jìn)行了征求意見，

反饋意見集中在文字和編輯性修改方面，經(jīng)過修改和調(diào)整，形成標(biāo)準(zhǔn)草

案5.0版。

（10）2018年4月，TC260武漢會(huì)議周WG4全體會(huì)議對標(biāo)準(zhǔn)草案5.0進(jìn)行審閱

和投票，建議吸納和處理會(huì)議上提出的修改建議，形成征求意見稿。

1.4各階段意見處理情況

工作組第一版草案階段，共收到反饋意見12條，5條采納，1條未采納，6

條部分采納。工作組第二版草案階段，共收到反饋意見27條，19條采納，2條

國家標(biāo)準(zhǔn)《信息安全技術(shù)基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

未采納，6條部分采納。工作組第三版草案階段，共收到專家審查意見5條，4

條采納，1條部分采納。工作組第四版草案階段，共收到工作組內(nèi)反饋意見22

條，15條采納，4條未采納，3條部分采納。具體參見意見匯總處理表。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

2.1本標(biāo)準(zhǔn)編制原則

（1）本標(biāo)準(zhǔn)的編寫按照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)

準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則》的要求進(jìn)行。

（2）本標(biāo)準(zhǔn)的編制原則是符合移動(dòng)智能終端生物特征識別產(chǎn)業(yè)應(yīng)用現(xiàn)

狀，滿足并兼容現(xiàn)階段多種生物識別技術(shù)應(yīng)用于移動(dòng)智能終端的技術(shù)實(shí)

現(xiàn)。

2.2本標(biāo)準(zhǔn)編制思路

標(biāo)準(zhǔn)的制定以大量多年的技術(shù)實(shí)踐應(yīng)用積累之上，基于生物特征識別的移動(dòng)

智能終端身份鑒別技術(shù)框架，規(guī)范基于生物特征識別的移動(dòng)智能終端身份鑒別的

功能模塊與信息安全要求，主要技術(shù)內(nèi)容有大量實(shí)踐與應(yīng)用驗(yàn)證為基礎(chǔ)，具備可

行性；標(biāo)準(zhǔn)編制團(tuán)隊(duì)由國內(nèi)典型移動(dòng)端生物特征識別應(yīng)用服務(wù)提供商、主流終端

制造商、軟件開發(fā)商、科研機(jī)構(gòu)和標(biāo)準(zhǔn)研究機(jī)構(gòu)組成，具有廣泛代表性；在制定

過程中遵循“科學(xué)嚴(yán)謹(jǐn)、尊重實(shí)際、高效安全、切實(shí)可行”的思路，首先，確定

研究計(jì)劃；其次，在研究計(jì)劃基礎(chǔ)上進(jìn)行文獻(xiàn)查詢、產(chǎn)品調(diào)研和專家咨詢，最終

形成標(biāo)準(zhǔn)草稿；再次，基于標(biāo)準(zhǔn)草稿進(jìn)行更進(jìn)一步專家咨詢，并進(jìn)行實(shí)際開發(fā)驗(yàn)

證，確保標(biāo)準(zhǔn)的可行性和安全性；最后，在以上基礎(chǔ)之上形成最終標(biāo)準(zhǔn)文本。

2.3本標(biāo)準(zhǔn)草案主要內(nèi)容

本標(biāo)準(zhǔn)規(guī)范基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架，規(guī)范基于

生物特征識別的移動(dòng)智能終端身份鑒別業(yè)務(wù)流程、各功能單元的功能要求和安全

要求。本標(biāo)準(zhǔn)適用于基于生物特征識別的移動(dòng)智能終端身份鑒別的設(shè)計(jì)、開發(fā)與

集成。是基于生物特征識別的身份鑒別技術(shù)基礎(chǔ)性標(biāo)準(zhǔn)之一。

主要技術(shù)內(nèi)容包括：技術(shù)框架、業(yè)務(wù)流程、通訊協(xié)議、功能要求和安全要求。

（1）技術(shù)架構(gòu)：基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架主

要包括移動(dòng)智能終端和服務(wù)器側(cè)的若干功能單元；移動(dòng)智能終端側(cè)一般

包括移動(dòng)應(yīng)用、身份鑒別中間件、身份鑒別可信應(yīng)用、生物特征識別器、

采集元件等功能單元。本標(biāo)準(zhǔn)所規(guī)范的技術(shù)框架基于可信環(huán)境實(shí)現(xiàn)，運(yùn)

國家標(biāo)準(zhǔn)《信息安全技術(shù)基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

行于移動(dòng)智能終端的身份鑒別協(xié)議解析、用戶生物特征采集、比對、存

儲與呈現(xiàn)攻擊檢測等均應(yīng)在可信環(huán)境中進(jìn)行。本標(biāo)準(zhǔn)中，可信環(huán)境的具

體實(shí)現(xiàn)方式可采用TEE或TEE與SE組合使用的方式。根據(jù)安全需求，

單獨(dú)采用TEE可作為安全基本級的可信環(huán)境，采用TEE與SE的組合使

用可作為安全增強(qiáng)級的可信環(huán)境，其他的可信環(huán)境實(shí)現(xiàn)方式不在本標(biāo)準(zhǔn)

規(guī)定范圍之內(nèi)。

（2）服務(wù)器側(cè)包括身份鑒別服務(wù)器和依賴方服務(wù)器。身份鑒別服務(wù)器包

括身份鑒別服務(wù)模塊，可具備可信應(yīng)用管理和可信設(shè)備管理等模塊。

（3）業(yè)務(wù)流程與通訊協(xié)議：規(guī)范移動(dòng)智能終端生物特征識別身份鑒別的

業(yè)務(wù)流程，與正在研制中GB/TAAAAA-AAAA《信息安全技術(shù)基于可信

環(huán)境的生物特征識別身份鑒別協(xié)議框架》保持一致，包括注冊、鑒別以

及解注冊等流程；

（4）功能要求：主要對移動(dòng)智能終端和服務(wù)側(cè)各功能單元提出功能要求；

（5）安全要求：主要規(guī)范移動(dòng)智能終端基于生物特征識別的身份鑒別技

術(shù)框架內(nèi)各功能單元安全要求、通信安全要求和身份鑒別協(xié)議安全要

求。

（6）附錄A和附錄B作為資料性附錄，對可信執(zhí)行環(huán)境進(jìn)行了概述性介

紹，同時(shí)以基于指紋識別的身份鑒別應(yīng)用為案例，為標(biāo)準(zhǔn)讀者和使用方

提供概念性和應(yīng)用案例方面的參考。

三、主要試驗(yàn)【或驗(yàn)證】情況分析

本標(biāo)準(zhǔn)主要起草單位包括浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司、中國科

學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、北京數(shù)字認(rèn)證股份有限公司、北京曠視科技

有限公司、北京中科虹霸科技有限公司、深圳市匯頂科技股份有限公司、中國電

子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息中心以及華為、三星、高通等單位，都是移動(dòng)智

能終端生物特征識別身份鑒別行業(yè)內(nèi)重要的具有廣泛代表性的生產(chǎn)與應(yīng)用廠商，

本部分所提出的主要技術(shù)要求在主要廠商內(nèi)進(jìn)行了實(shí)驗(yàn)驗(yàn)證，另一方面是本部分

提出的技術(shù)要求也是行業(yè)代表性企業(yè)協(xié)商一致共同認(rèn)可的實(shí)際做法，具備可行性

和通用共性。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)暫未發(fā)現(xiàn)相關(guān)知識產(chǎn)權(quán)問題。

國家標(biāo)準(zhǔn)《信息安全技術(shù)基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

作為重要的身份認(rèn)證識別技術(shù)，移動(dòng)智能終端上使用的生物特征識別技術(shù)在

公共安全、金融、社保、遠(yuǎn)程支付與認(rèn)證等眾多領(lǐng)域有著廣泛的應(yīng)用。近年來，

隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，移動(dòng)智能終端上采用生物特征識別技術(shù)已成為

眾多移動(dòng)智能終端的標(biāo)準(zhǔn)配置，是實(shí)現(xiàn)移動(dòng)智能終端上個(gè)性化授權(quán)、增強(qiáng)安全性、

提高使用方便性和用戶體驗(yàn)的重要技術(shù)手段，成為實(shí)現(xiàn)基于移動(dòng)網(wǎng)絡(luò)的注冊、授

權(quán)和遠(yuǎn)程支付等應(yīng)用的重要安全保障，對于推進(jìn)我國社會(huì)的信息化深度和廣度發(fā)

展具有重要的意義。

產(chǎn)業(yè)和應(yīng)用迅猛發(fā)展的同時(shí)，也存在諸多問題，當(dāng)前各個(gè)廠家移動(dòng)智能終端

上的生物特征識別自成體系，無法互聯(lián)互通，業(yè)界還沒有建立規(guī)范統(tǒng)一的技術(shù)架

構(gòu)，導(dǎo)致移動(dòng)智能終端廠商和應(yīng)用開發(fā)商需要適配多套方案，嚴(yán)重增加了制造和

開發(fā)成本。本標(biāo)準(zhǔn)將系統(tǒng)研究目前業(yè)界已有技術(shù)成果，參考現(xiàn)有國際國內(nèi)標(biāo)準(zhǔn)，

結(jié)合實(shí)際應(yīng)用，形成規(guī)范統(tǒng)一的技術(shù)架構(gòu)（含鑒別流程和協(xié)議接口）。

另一方面，生物特征識別技術(shù)是利用人類生物特征的唯一性和穩(wěn)定性進(jìn)行身

份鑒別的自動(dòng)識別技術(shù)，但特征信息一旦泄露被惡意利用則無法通過修改來挽

回，故此，保障移動(dòng)智能終端生物特征識別信息的安全異常重要。目前尚沒有技

術(shù)標(biāo)準(zhǔn)規(guī)范統(tǒng)一的技術(shù)框架和安全要求，亟需從國家層面規(guī)范基于生物特征識別

的移動(dòng)智能終端身份鑒別技術(shù)框架，降低產(chǎn)業(yè)鏈研發(fā)與生產(chǎn)成本，提高網(wǎng)絡(luò)可信

空間的安全性。本標(biāo)準(zhǔn)結(jié)合已有標(biāo)準(zhǔn)和現(xiàn)實(shí)情況重點(diǎn)考慮生物特征識別信息的安

全保護(hù)。

制定應(yīng)用于移動(dòng)智能終端的生物特征識別身份鑒別技術(shù)的相關(guān)標(biāo)準(zhǔn)和規(guī)范，

對提高產(chǎn)品互聯(lián)互通性，降低開發(fā)成本、引導(dǎo)并促進(jìn)移動(dòng)智能終端生物特征識別

技術(shù)與產(chǎn)業(yè)的健康快速發(fā)展具有重要意義。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

國際方面，與生物特征識別安全相關(guān)的國際標(biāo)準(zhǔn)化活動(dòng)主要由ISO/IEC

JTC1/SC27-WG5制定，本標(biāo)準(zhǔn)與SC27/WG5目前已經(jīng)發(fā)布的生物特征識別安全國

際標(biāo)準(zhǔn)技術(shù)內(nèi)容保持一致。另外，ISO/IECJTC1/SC37負(fù)責(zé)生物特征識別基礎(chǔ)性

技術(shù)標(biāo)準(zhǔn)制定，在基礎(chǔ)性技術(shù)上，本標(biāo)準(zhǔn)與SC37相關(guān)國際標(biāo)準(zhǔn)在技術(shù)內(nèi)容上保

持一致。

本標(biāo)準(zhǔn)較新出現(xiàn)的術(shù)語定義如“呈現(xiàn)攻擊”采用了國際標(biāo)準(zhǔn)ISO/IEC30107

國家標(biāo)準(zhǔn)《信息安全技術(shù)基于生物特征識別的移動(dòng)智能終端身份鑒別技術(shù)框架》（征求意見稿）編制說明

《信息技術(shù)生物特征識別呈現(xiàn)攻擊檢測》給出的定義，呈現(xiàn)攻擊及呈現(xiàn)攻擊檢

測的概念在本標(biāo)準(zhǔn)的引入，具備一定先進(jìn)性。

本標(biāo)準(zhǔn)在研制與驗(yàn)證過程中，正在同步推動(dòng)國際標(biāo)準(zhǔn)化工作，以本標(biāo)準(zhǔn)主要

技術(shù)內(nèi)容為基礎(chǔ)，正在進(jìn)行ISO/IECJTC1/SC27SP《SecurityFrameworkfor

BiometricAuthenticationonMobileDevices》研究項(xiàng)目的研究。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本部分主要術(shù)語定義采用國家標(biāo)準(zhǔn)GB/T26238-2010《信息技術(shù)生物

特征識別術(shù)語》、針對通用技術(shù)的特定模態(tài)的生物特征識別進(jìn)行規(guī)范，是生

物特征識別基礎(chǔ)技術(shù)標(biāo)準(zhǔn)。涉及到移動(dòng)應(yīng)用服務(wù)器和終端軟件方面的安全

要求，與現(xiàn)有國家標(biāo)準(zhǔn)GB/T35281-2017《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)

用服務(wù)器安全技術(shù)要求》、GB/T34975-2017《信息安全技術(shù)移動(dòng)智能終端

應(yīng)用軟件安全技術(shù)要求和測試評價(jià)方法》保持一致