《信息安全技術(shù) 基于可信環(huán)境的生物特征識別身份鑒別協(xié)議》

GB/TXXXXX—XXXXGB/TXXXXX—XXXXICS?FORMTEXT35.040FORMTEXTL80中華人民共和國國家標(biāo)準(zhǔn)GB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????FORMTEXT信息安全技術(shù)基于可信環(huán)境的生物特征識別身份鑒別協(xié)議FORMTEXTInformationsecuritytechniques-BiometricauthenticationprotocolbasedontrustedenvironmentFORMTEXT（征求意見稿）（本稿完成時間：2017年6月）（在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施 信息安全技術(shù)基于可信環(huán)境的生物特征識別身份鑒別協(xié)議范圍本標(biāo)準(zhǔn)規(guī)定了基于可信環(huán)境的生物特征識別身份鑒別協(xié)議，包括協(xié)議框架、協(xié)議流程、協(xié)議要求以及協(xié)議接口等內(nèi)容。本標(biāo)準(zhǔn)適用于生物特征識別身份鑒別服務(wù)協(xié)議的開發(fā)、測試和評估。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T25069-2010信息安全技術(shù)術(shù)語RFC2396統(tǒng)一資源標(biāo)識：通用語法（UniformResourceIdentifiers(URI):GenericSyntax）術(shù)語和定義GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。3.1應(yīng)用程序標(biāo)識符AppID使用統(tǒng)一資源標(biāo)識符（應(yīng)符合RFC2396的規(guī)定）表示，用來標(biāo)識依賴方（見3.15）。3.2鑒別密鑰標(biāo)識符authenticationkeyidentifier該標(biāo)識符唯一標(biāo)識某用戶使用某生物特征識別密鑰管理器（見3.5）在某身份鑒別服務(wù)器（見3.7）上注冊的某一密鑰。3.3鑒別器authenticator由生物特征識別密鑰管理器（見3.5）和與該生物特征識別密鑰管理器相關(guān)聯(lián)的生物特征識別器（見3.12）組成的實體。3.4生物特征識別身份鑒別biometricauthentication采用生物特征識別技術(shù)對用戶的身份進行鑒別。3.5生物特征識別密鑰管理器biometricauthenticationkeymanager負(fù)責(zé)維護身份鑒別服務(wù)器（見3.7）鑒別用戶時需要的相關(guān)信息（例如密鑰）的實體。3.6生物特征識別密鑰管理器標(biāo)識符biometricauthenticationkeymanagerID使用統(tǒng)一資源標(biāo)識符（應(yīng)符合RFC2396的規(guī)定）表示，用來標(biāo)識生物特征識別密鑰管理器。身份鑒別服務(wù)器可以通過該標(biāo)識符檢索廠商公鑰及生物特征識別密鑰管理器相關(guān)信息。3.7生物特征識別身份鑒別服務(wù)器biometricauthenticationserver部署在依賴方或者身份服務(wù)提供方（見3.9）的生物特征識別身份鑒別服務(wù)軟件，簡稱身份鑒別服務(wù)器。3.8發(fā)現(xiàn)discovery身份鑒別服務(wù)器確定用戶設(shè)備是否支持本協(xié)議，若支持則同時獲取生物特征識別密鑰管理器相關(guān)信息。3.9身份服務(wù)提供方identityprovider提供身份管理服務(wù)的實體。3.10密鑰注冊keyregistration生物特征識別密鑰管理器將生物特征識別密鑰管理器產(chǎn)生的鑒別公鑰安全傳輸?shù)缴矸蓁b別服務(wù)器并安全存儲的過程。3.11密鑰注冊數(shù)據(jù)KeyRegistrationData生物特征識別密鑰管理器構(gòu)建的密鑰注冊數(shù)據(jù)，密鑰注冊數(shù)據(jù)包含生物特征識別密鑰管理器的標(biāo)識符，新生成的鑒別公鑰，以及其他一些與生物特征識別密鑰管理器相關(guān)的數(shù)據(jù)，例如生物特征識別密鑰管理器使用的密碼算法以及計數(shù)器的值等。密鑰注冊數(shù)據(jù)使用生物特征識別密鑰管理器的廠商私鑰簽名。3.12生物特征識別器matcher生物特征識別密鑰管理器執(zhí)行用戶驗證時使用的組件。3.13注冊registration本協(xié)議定義的操作類型中的一種，用戶使用生物特征識別密鑰管理器生成新的公私鑰并與該用戶在身份鑒別服務(wù)器上的某一帳號相關(guān)聯(lián)。3.14注冊計數(shù)器registrationcounter生物特征識別密鑰管理器的單調(diào)遞增的計數(shù)器。每使用生物特征識別密鑰管理器進行一次注冊操作，該計數(shù)器遞增一次。3.15依賴方relyingparty使用基于可信環(huán)境的生物特征識別身份鑒別協(xié)議鑒別用戶的Web站點或者其他實體，依賴方也可以作為身份服務(wù)提供商提供身份管理服務(wù)。3.16服務(wù)器挑戰(zhàn)serverchallenge身份鑒別服務(wù)器在身份鑒別協(xié)議請求中提供的隨機值。3.17簽名計數(shù)器signcounter生物特征識別密鑰管理器的單調(diào)遞增的計數(shù)器。每使用一次鑒別私鑰，該計數(shù)器遞增一次。身份鑒別服務(wù)器使用該計數(shù)器防止生物特征識別密鑰管理器克隆攻擊。3.18簽名數(shù)據(jù)SignedData生物特征識別密鑰管理器構(gòu)建的簽名數(shù)據(jù)應(yīng)包含生物特征識別密鑰管理器的基本信息、生物特征識別密鑰管理器相關(guān)的密碼算法信息以及計數(shù)器值。簽名數(shù)據(jù)使用相應(yīng)的鑒別私鑰進行簽名。3.19可信環(huán)境trustedenvironment用戶設(shè)備上的安全區(qū)域，該安全區(qū)域可更好保證加載到該環(huán)境內(nèi)部的代碼和數(shù)據(jù)的安全性，包括機密性和完整性，如TEE、SE、TPM或其他具備安全邊界的保護區(qū)域。3.20鑒別公鑰/鑒別私鑰UAuth.pub/UAuth.priv生物特征識別密鑰管理器在用戶注冊過程中生成的密鑰。鑒別公鑰是密鑰對的公鑰，鑒別私鑰是密鑰對的私鑰。3.21用戶設(shè)備userdevice包含生物特征識別密鑰管理器的計算設(shè)備。3.22用戶驗證userverification生物特征識別密鑰管理器授權(quán)密鑰使用的過程。3.23廠商證書vendorcertificate與廠商密鑰相關(guān)的公鑰證書，應(yīng)符合GB/T20518-2006的規(guī)定。3.24廠商公鑰/廠商私鑰vendorpublickey/venderprivatekey用于證明生物特征識別密鑰管理器真實性的公/私鑰。3.25廠商根證書vendorrootcertificate廠商證書的根證書，廠商證書與該證書形成證書鏈。該證書應(yīng)符合GB/T20518-2006的規(guī)定?？s略語下列縮略語適用于本文件：BKMID：生物特征識別密鑰管理器標(biāo)識符（BAPKeyManagerID）BAPV：生物特征識別身份鑒別協(xié)議版本（BiometricAuthenticationProtocolVersion）IdP：身份服務(wù)提供方（IdentityProvider）KeyID：密鑰標(biāo)識符（KeyIdentifier）KRD：密鑰注冊數(shù)據(jù)（KeyRegistrationData）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）協(xié)議框架概述本標(biāo)準(zhǔn)定義基于可信環(huán)境的生物特征識別身份鑒別協(xié)議，不規(guī)定可信環(huán)境的實現(xiàn)方式。本標(biāo)準(zhǔn)規(guī)定可信環(huán)境中的生物特征識別密鑰管理器應(yīng)完成的功能以及功能接口參數(shù)，不規(guī)定具體實現(xiàn)方式。本標(biāo)準(zhǔn)不規(guī)定生物特征識別器驗證用戶的方式。協(xié)議框架如圖1所示，圖中虛線框內(nèi)表示鑒別器。協(xié)議框架在基于可信環(huán)境的生物特征識別身份鑒別協(xié)議框架中，兩個實體直接創(chuàng)建或處理身份鑒別協(xié)議消息：-身份鑒別服務(wù)器，可以由依賴方（即依賴方本身也是IdP的情況）實現(xiàn)，也可以由與依賴方具有信任關(guān)系的IdP實現(xiàn)，圖1中描述的是由與依賴方具有信任關(guān)系的IdP實現(xiàn)的場景。身份鑒別服務(wù)器中存儲有用戶的鑒別公鑰，該公鑰是用戶在使用生物特征識別密鑰管理器向身份鑒別服務(wù)器注冊時，生物特征識別密鑰管理器生成的鑒別公鑰。-生物特征識別密鑰管理器，集成在可信環(huán)境中。生物特征識別密鑰管理器中存儲有廠商私鑰。生物特征識別密鑰管理器中存儲鑒別私鑰，該私鑰是用戶在使用該生物特征識別密鑰管理器向身份鑒別服務(wù)器注冊時，生物特征識別密鑰管理器生成的鑒別私鑰。生物特征識別密鑰管理器可以與多個生物特征識別器進行交互。生物特征識別器可以集成在可信環(huán)境中，也可以集成在可信環(huán)境外，生物特征識別密鑰管理器和依賴方可針對生物特征識別器集成的位置采取不同的安全策略，本標(biāo)準(zhǔn)不規(guī)定安全策略的相關(guān)內(nèi)容。本標(biāo)準(zhǔn)不規(guī)定身份服務(wù)提供方將身份鑒別協(xié)議消息遞交給生物特征識別密鑰管理器的具體實現(xiàn)方式。例如：當(dāng)身份鑒別服務(wù)器屬于獨立于依賴方的IdP時，依賴方可將用戶設(shè)備使用重定向機制重定向到身份鑒別服務(wù)器，使得身份鑒別服務(wù)器可以直接與用戶設(shè)備交互，從而將身份鑒別協(xié)議消息遞交給生物特征識別密鑰管理器；當(dāng)依賴方本身也是IdP時，身份鑒別協(xié)議消息可由依賴方轉(zhuǎn)發(fā)，但應(yīng)保證轉(zhuǎn)發(fā)信息的安全性?；诳尚怒h(huán)境的生物特征識別身份鑒別協(xié)議由生物特征識別密鑰管理器和身份鑒別服務(wù)器之間的三種會話組成。這三種會話分別是注冊、鑒別以及注銷。注冊：用戶將生物特征識別密鑰管理器注冊到身份鑒別服務(wù)器。鑒別:用戶使用之前注冊的生物特征識別密鑰管理器進行身份鑒別。注銷：用戶將注冊到身份鑒別服務(wù)器的鑒別密鑰信息刪除。在這三種會話的協(xié)議流程中，協(xié)議參與方應(yīng)保護協(xié)議消息數(shù)據(jù)的機密性，宜采用TLS協(xié)議或者IPSec協(xié)議。生物特征識別密鑰管理器在收到身份鑒別服務(wù)器的消息時，應(yīng)對身份鑒別服務(wù)器的真實性進行驗證，本標(biāo)準(zhǔn)不規(guī)定生物特征識別密鑰管理器驗證身份鑒別服務(wù)器真實性的方法，宜采用證書方式或者其他可以驗證身份鑒別服務(wù)器真實性的方法。注冊在用戶向身份鑒別服務(wù)器進行注冊的流程中，用戶使用的生物特征識別密鑰管理器創(chuàng)建一對新的鑒別密鑰對，并且將鑒別私鑰保存在生物特征識別密鑰管理器中，將鑒別公鑰注冊在身份鑒別服務(wù)器中。注冊流程見圖2，協(xié)議消息參見附錄A。注冊流程用戶使用用戶設(shè)備中的用戶代理訪問依賴方，當(dāng)用戶需要進行生物特征識別身份鑒別注冊時，依賴方將用戶定向到身份鑒別服務(wù)器（可以使用HTTP重定向方式將用戶設(shè)備重定向到身份鑒別服務(wù)器，或者使用消息轉(zhuǎn)發(fā)方式）。身份鑒別服務(wù)器向用戶設(shè)備中的生物特征識別密鑰管理器發(fā)送注冊請求消息；用戶設(shè)備的生物特征識別密鑰管理器在收到身份鑒別服務(wù)器的注冊請求消息時，驗證身份鑒別服務(wù)器的真實性，驗證通過則提示用戶選擇可用的生物特征識別器，否則拒絕該消息。用戶選擇合適的生物特征識別器，使用生物特征識別信息解鎖生物特征識別密鑰管理器（如果用戶之前未將生物特征識別信息登記到該生物特征識別器，則進行登記；如果用戶已進行登記，則使用已登記的生物特征識別信息完成解鎖過程），完成用戶生物特征識別驗證。用戶生物特征識別驗證成功后，生物特征識別密鑰管理器創(chuàng)建一對與生物特征識別密鑰管理器、身份鑒別服務(wù)器相關(guān)聯(lián)的唯一的鑒別公私鑰對，鑒別私鑰保存在本地的生物特征識別密鑰管理器，并且不會離開生物特征識別密鑰管理器（如果生物特征識別密鑰管理器沒有能力保存鑒別私鑰，則該生物特征識別密鑰管理器可將鑒別私鑰進行加密，然后保存在用戶設(shè)備中）。生物特征識別密鑰管理器生成密鑰注冊數(shù)據(jù)（密鑰注冊數(shù)據(jù)中包含上一步生成的鑒別公鑰），然后生成注冊響應(yīng)消息（注冊響應(yīng)消息中包含密鑰注冊數(shù)據(jù)，以及使用廠商私鑰對密鑰注冊數(shù)據(jù)進行簽名的簽名值），將注冊響應(yīng)消息發(fā)送到身份鑒別服務(wù)器。身份鑒別服務(wù)器使用廠商公鑰驗證注冊響應(yīng)消息中的簽名，簽名正確則提取出鑒別公鑰并保存該鑒別公鑰（同時應(yīng)保存該鑒別公鑰與用戶之間的對應(yīng)關(guān)系）。鑒別在鑒別流程中，用戶通過生物特征識別密鑰管理器使用鑒別私鑰對服務(wù)器挑戰(zhàn)簽名，向身份鑒別服務(wù)器證明其擁有該私鑰，完成身份鑒別過程。鑒別流程見圖3，協(xié)議消息參見附錄A。鑒別流程用戶使用用戶設(shè)備中的用戶代理訪問依賴方，當(dāng)用戶需要進行生物特征識別身份鑒別時，依賴方將用戶定向到身份鑒別服務(wù)器（可以使用HTTP重定向方式將用戶設(shè)備重定向到身份鑒別服務(wù)器，或者使用消息轉(zhuǎn)發(fā)方式）。身份鑒別服務(wù)器向用戶設(shè)備中的生物特征識別密鑰管理器發(fā)送鑒別請求消息；用戶設(shè)備的生物特征識別密鑰管理器在收到身份鑒別服務(wù)器的鑒別請求消息時，驗證身份鑒別服務(wù)器的真實性，驗證通過則提示用戶選擇可用的生物特征識別器，否則拒絕該消息。用戶選擇合適的生物特征識別器，使用生物特征識別信息解鎖生物特征識別密鑰管理器，生物特征識別密鑰管理器選擇相應(yīng)的鑒別私鑰對服務(wù)器挑戰(zhàn)簽名。生物特征識別密鑰管理器將簽名后的挑戰(zhàn)發(fā)送到身份鑒別服務(wù)器。身份鑒別服務(wù)器使用相應(yīng)的鑒別公鑰對簽名驗證成功后，用戶鑒別成功。注銷在注銷流程中，身份鑒別服務(wù)器刪除相應(yīng)的鑒別公鑰，生物特征識別密鑰管理器刪除相應(yīng)的鑒別私鑰。注銷流程見圖4，協(xié)議消息參見附錄A。注銷流程用戶在身份鑒別成功后，發(fā)起注銷流程，依賴方將用戶定向到身份鑒別服務(wù)器（可以使用HTTP重定向方式將用戶設(shè)備重定向到身份鑒別服務(wù)器，或者使用消息轉(zhuǎn)發(fā)方式）。身份鑒別服務(wù)器刪除相應(yīng)的鑒別公鑰，并向生物特征識別密鑰管理器發(fā)送注銷請求消息。用戶設(shè)備的生物特征識別密鑰管理器在收到身份鑒別服務(wù)器的鑒別請求消息時，驗證身份鑒別服務(wù)器的真實性，驗證通過則提示用戶選擇可用的生物特征識別器，否則拒絕該消息。用戶通過生物特征識別器解鎖生物特征識別密鑰管理器后，生物特征識別密鑰管理器刪除相應(yīng)的鑒別私鑰。協(xié)議流程和要求注冊流程概述圖5描述用戶注冊流程：注冊詳細(xì)流程注冊流程處理規(guī)則身份鑒別服務(wù)器生成注冊請求規(guī)則身份鑒別服務(wù)器應(yīng)遵循以下步驟：創(chuàng)建注冊請求消息，并初始化注冊請求消息的各個參數(shù)，至少應(yīng)包括服務(wù)器挑戰(zhàn)等參數(shù)（參見附錄A）。將注冊請求消息發(fā)送給生物特征識別密鑰管理器。生物特征識別密鑰管理器處理注冊請求規(guī)則生物特征識別密鑰管理器應(yīng)遵循以下步驟：驗證身份鑒別服務(wù)器的真實性，驗證成功則執(zhí)行以下步驟，否則拒絕該消息。解析注冊請求消息，判斷注冊請求消息是否包含必要的參數(shù)以及每個參數(shù)是否符合要求，若符合要求則執(zhí)行以下步驟，否則拒絕該消息。提示用戶選擇生物特征識別器，用戶選擇后，使用用戶選擇的生物特征識別器驗證用戶，驗證通過后執(zhí)行以下操作，否則返回錯誤。創(chuàng)建注冊響應(yīng)消息，并根據(jù)注冊請求消息的參數(shù)初始化注冊響應(yīng)消息的參數(shù)。將注冊響應(yīng)消息發(fā)送給身份鑒別服務(wù)器。身份鑒別服務(wù)器處理注冊響應(yīng)規(guī)則身份鑒別服務(wù)器應(yīng)遵循以下步驟：解析注冊響應(yīng)消息，判斷注冊響應(yīng)消息是否包含必要的參數(shù)以及每個參數(shù)是否符合要求，若符合要求則執(zhí)行以下步驟，否則拒絕該消息。使用廠商公鑰驗證注冊響應(yīng)消息中簽名的正確性。如果注冊響應(yīng)消息通過驗證，將相關(guān)信息保存在身份鑒別服務(wù)器。鑒別流程概述圖6描述鑒別流程。鑒別詳細(xì)流程鑒別流程處理規(guī)則身份鑒別服務(wù)器生成鑒別請求規(guī)則身份鑒別服務(wù)器應(yīng)遵循以下步驟：創(chuàng)建鑒別請求消息，并初始化鑒別請求消息的各個參數(shù)，至少應(yīng)包括服務(wù)器挑戰(zhàn)等參數(shù)（參見附錄A）。將鑒別請求消息發(fā)送給生物特征識別密鑰管理器。生物特征識別密鑰管理器處理鑒別請求規(guī)則生物特征識別密鑰管理器應(yīng)遵循以下步驟：驗證身份鑒別服務(wù)器的真實性，驗證成功則執(zhí)行以下步驟，否則拒絕該消息。解析鑒別請求消息，判斷鑒別請求消息是否包含必要的參數(shù)以及每個參數(shù)是否符合要求，若符合要求則執(zhí)行以下步驟，否則拒絕該消息。 提示用戶選擇生物特征識別器，用戶選擇后，使用用戶選擇的生物特征識別器驗證用戶，驗證通過后執(zhí)行以下操作，否則返回錯誤。創(chuàng)建鑒別響應(yīng)消息，并根據(jù)鑒別請求消息的參數(shù)初始化注冊響應(yīng)消息的各個參數(shù)。將鑒別響應(yīng)消息發(fā)送給身份鑒別服務(wù)器。身份鑒別服務(wù)器處理鑒別響應(yīng)規(guī)則身份鑒別服務(wù)器應(yīng)遵循以下步驟：解析鑒別響應(yīng)消息，判斷鑒別響應(yīng)消息是否包含必要的參數(shù)以及每個參數(shù)是否符合要求，若符合要求則執(zhí)行以下步驟，否則拒絕該消息。使用鑒別公鑰驗證鑒別響應(yīng)消息的正確性。如果驗證通過，則鑒別成功，否則失敗。注銷流程概述該操作允許服務(wù)器向生物特征識別密鑰管理器請求刪除某用戶的鑒別密鑰。注銷詳細(xì)流程注銷流程處理規(guī)則身份鑒別服務(wù)器生成注銷請求規(guī)則身份鑒別服務(wù)器應(yīng)遵循以下步驟：創(chuàng)建注銷請求消息，并初始化注銷請求消息的各個參數(shù)（參見附錄A）。刪除身份鑒別服務(wù)器上與該用戶相關(guān)的數(shù)據(jù)。將注銷請求消息發(fā)送到生物特征識別密鑰管理器。生物特征識別密鑰管理器處理注銷請求規(guī)則生物特征識別密鑰管理器應(yīng)遵循以下步驟：解析注銷請求消息，判斷注銷響應(yīng)消息是否包含必要的參數(shù)以及每個參數(shù)是否符合要求，若符合要求則執(zhí)行以下步驟，否則拒絕該消息。刪除用戶的相關(guān)數(shù)據(jù)，若刪除失敗，則操作失敗。協(xié)議接口概述本協(xié)議的主要接口是生物特征識別密鑰管理器接口，關(guān)系如圖8所示：協(xié)議接口生物特征識別密鑰管理器接口是生物特征識別密鑰管理器提供給身份鑒別服務(wù)器的接口，身份鑒別服務(wù)器可以通過用戶代理（例如瀏覽器）調(diào)用該接口完成本協(xié)議規(guī)定的操作。生物特征識別密鑰管理器接口概述本章定義了生物特征識別密鑰管理器的接口，該接口包含三個方法，分別是發(fā)現(xiàn)方法、執(zhí)行操作方法和通知結(jié)果方法等。發(fā)現(xiàn)方法身份鑒別服務(wù)器調(diào)用該方法，檢查用戶設(shè)備是否支持本協(xié)議，該方法的參數(shù)應(yīng)包括用于接收生物特征識別密鑰管理器發(fā)現(xiàn)數(shù)據(jù)的發(fā)現(xiàn)回調(diào)函數(shù)（見7.2.5）以及用于接收錯誤碼和錯誤信息的異常回調(diào)函數(shù)（見7.2.7）。執(zhí)行操作方法身份鑒別服務(wù)器調(diào)用該方法，執(zhí)行本協(xié)議的三種操作，如注冊操作、鑒別操作或者注銷操作。該方法的參數(shù)應(yīng)包括傳遞的協(xié)議消息、用于接收響應(yīng)消息的響應(yīng)回調(diào)函數(shù)（見7.2.6）以及用于接收錯誤碼和錯誤信息的異常回調(diào)函數(shù)（見7.2.7）。通知結(jié)果方法當(dāng)身份鑒別服務(wù)器接收并處理協(xié)議消息后，應(yīng)調(diào)用該方法，將身份鑒別服務(wù)器的處理結(jié)果返回給生物特征識別密鑰管理器。該方法的參數(shù)應(yīng)包括服務(wù)器的處理結(jié)果（示例參見附錄C）。發(fā)現(xiàn)回調(diào)函數(shù)發(fā)現(xiàn)回調(diào)函數(shù)用于生物特征識別密鑰管理器在異步執(zhí)行完成發(fā)現(xiàn)過程后將發(fā)現(xiàn)數(shù)據(jù)返回給身份鑒別服務(wù)器。該回調(diào)函數(shù)的參數(shù)應(yīng)包括發(fā)現(xiàn)的結(jié)果（示例參見附錄C）。響應(yīng)回調(diào)函數(shù)響應(yīng)回調(diào)函數(shù)用于生物特征識別密鑰管理器在異步執(zhí)行完成操作（例如注冊、鑒別）后將協(xié)議消息返回給身份鑒別服務(wù)器。該回調(diào)函數(shù)的參數(shù)應(yīng)包括協(xié)議響應(yīng)消息（示例參見附錄C）。異?；卣{(diào)函數(shù)異?；卣{(diào)函數(shù)用于生物特征識別密鑰管理器在異步執(zhí)行操作時返回操作的錯誤信息。該回調(diào)函數(shù)的參數(shù)應(yīng)包括錯誤信息（示例參見附錄C）。

（資料性附錄）協(xié)議消息本附錄所有數(shù)據(jù)格式采用ASN.1（GB/T16262-2006）描述。協(xié)議消息協(xié)議消息是本協(xié)議的各個參與方交互時傳遞的消息，ASN.1描述如下：BAPMessage::=SEQUENCE{bapProtocolMessageOCTETSTRING,additionalDataOCTETSTRING}bapProtocolMessage：協(xié)議消息，例如注冊請求消息（參見附錄A.2）、注冊響應(yīng)消息（參見附錄A.3）、鑒別請求消息（參見附錄A.4）、鑒別響應(yīng)消息（參見附錄A.5）、注銷請求消息（參見附錄A.6）等。additionalData：附加參數(shù)。注冊請求消息RegistrationRequest::=SEQUENCE{headerOperationHeader,challengePrintableString,usernamePrintableString}header：操作頭，header.op的值應(yīng)為“Reg”，ASN.1描述參見附錄B.4。challenge：身份鑒別服務(wù)器提供的挑戰(zhàn)值。username：用戶在某依賴方的帳號名稱。注冊響應(yīng)消息RegistrationResponse::=SEQUENCE{headerOperationHeader,fcParamsFinalChallengeParams,assertionRegistrationAssertion}header：操作頭，header.op應(yīng)為“Reg”，ASN.1描述參見附錄B.4。fcParams：最終挑戰(zhàn)參數(shù)FinalChallengeParams，ASN.1描述參見附錄B.5。該參數(shù)使用UTF8編碼，然后使用[RFC4627]定義的序列化方法序列化后，再使用base64url[RFC4648]對其進行編碼后的值。assertions：注冊請求斷言，生物特征識別密鑰管理器的響應(yīng)數(shù)據(jù)，ASN.1描述如下：RegistrationAssertion::=SEQUENCE{assertionSchemePrintableString(BAPV1TLV),assertionRegAssertion,extsSEQUENCEOFExtensionOPTIONAL}assertionScheme：用來編碼斷言的斷言模式名稱，該值為“BAPV1TLV”。exts：生物特征識別密鑰管理器支持的擴展，ASN.1描述參見附錄B.3。assertion：注冊斷言，ASN.1描述如下：RegAssertion::={krdKRD,sigBITSTRING}krd：密鑰注冊對象，ASN.1描述參見附錄B.9。sig：使用廠商私鑰對krd進行簽名后的簽名值。鑒別請求消息AuthenticationRequest::=SEQUENCE{headerOperationHeader,challengePrintableString}header：操作頭，header.op的值應(yīng)為“Auth”，ASN.1描述參見附錄B.4。challenge：服務(wù)器提供的挑戰(zhàn)值。鑒別響應(yīng)消息AuthenticationResponse::=SEQUENCE{headerOperationHeader,fcParamsFinalChallengeParams,assertionsAuthAssertion}header：操作頭，header.op應(yīng)為“Auth”，ASN.1描述參見附錄B.4。fcParams：最終挑戰(zhàn)參數(shù)FinalChallengeParams，ASN.1描述參見附錄B.5。該參數(shù)使用UTF8編碼，然后使用[RFC4627]定義的序列化方法序列化后，再使用base64url[RFC4648]對其進行編碼后的值。assertions：AuthAssertion對象，生物特征識別密鑰管理器針對鑒別請求生成的簽名斷言，ASN.1描述如下：AuthAssertion::=SEQUENCE{assertionSchemePrintableString(BAPV1TLV),assertionSignAssertion,extsSEQUENCEOFExtensionOPTIONAL}assertionScheme：用來編碼斷言的斷言模式名稱，該值為“BAPV1TLV”。exts：生物特征識別密鑰管理器支持的擴展，ASN.1描述參見附錄B.3。assertion：生物特征識別密鑰管理器針對鑒別請求數(shù)據(jù)生成的簽名數(shù)據(jù)，ASN.1描述如下：SignAssertion::={signDataSignData,sigBITSTRING}signData：簽名數(shù)據(jù)，ASN.1描述參見附錄B.10。sig：使用鑒別私鑰對signData進行簽名后的簽名值。注銷請求消息DeregistrationRequest::=SEQUENCE{headerOperationHeader,bapKeyManagersSEQUENCEOFDeregisterBAPKeyManager}header：操作頭，header.op應(yīng)為“Dereg”，ASN.1描述參見附錄B.4。bapKeyManagers：要注銷的生物特征識別密鑰管理器（DeregisterBAPKeyManager）列表，DeregisterBAPKeyManager的ASN.1描述如下：DeregisterBAPKeyManager::=SEQUENCE{bkmaIDPrintableString,keyIDPrintableString}bkmaID：要注銷的生物特征識別密鑰管理器的生物特征識別密鑰管理器ID（BKMAID）。keyID：與鑒別私鑰相關(guān)聯(lián)的唯一的密鑰標(biāo)識符（KeyID），KeyID在某一BKMAID范圍內(nèi)是唯一的。（資料性附錄）協(xié)議消息相關(guān)數(shù)據(jù)結(jié)構(gòu)本附錄是協(xié)議消息相關(guān)數(shù)據(jù)結(jié)構(gòu)的ASN.1描述。版本Version::=SEQUENCE{majorINTEGER,minorINTEGER}major：主要版本。minor：次要版本本標(biāo)準(zhǔn)的協(xié)議主要版本為1，次要版本為0。操作類型Operation::=PrintableString{Register(Reg),Authentication(Auth),Deregister(Dereg)}本標(biāo)準(zhǔn)有以下三種操作類型：Reg：注冊Auth：鑒別Dereg：注銷擴展Extension::=SEQUENCE{idPrintableString,dataPrintableString,fail_if_unknownBOOLEAN}該結(jié)構(gòu)描述的是在各種操作中使用的通用擴展。id：擴展的標(biāo)識符。data：該值可包含任意值，身份鑒別服務(wù)器和生物特征識別密鑰管理器應(yīng)對該值的語義協(xié)商一致。該值可以為空。fail_if_unknown：當(dāng)fail_if_unknown是false時表示未知擴展應(yīng)被忽略,當(dāng)fail_if_unknown是TRUE時表示未知擴展應(yīng)導(dǎo)致錯誤。操作頭OperationHeader::=SEQUENCE{bapvVersion,opOperation,appIDPrintableString,serverDataPrintableStringOPTIONAL,extsSEQUENCEOFExtensionOPTIONAL}bapv：基于可信環(huán)境的生物特征識別身份鑒別協(xié)議版本，ASN.1描述參見附錄B.1。op：值應(yīng)為“Reg”,“Auth”或者“Dereg”?；诳尚怒h(huán)境的生物特征識別身份鑒別協(xié)議操作的類型，ASN.1描述參見附錄B.2。appID：依賴方應(yīng)用程序標(biāo)識符。serverData：依賴方創(chuàng)建的會話標(biāo)識符。exts：擴展名列表，ASN.1描述參見附錄B.3。最終挑戰(zhàn)參數(shù)FinalChallengeParams::=SEQUENCE{appIDPrintableString,challengePrintableString}appID：該參數(shù)值設(shè)置為操作頭的appID參數(shù)值。challenge：該參數(shù)值設(shè)置為注冊請求或鑒別請求中的服務(wù)器挑戰(zhàn)參數(shù)值,服務(wù)器挑戰(zhàn)是服務(wù)器提供的隨機參數(shù)值。生物特征識別密鑰管理器信息身份鑒別服務(wù)器可以獲取生物特征識別密鑰管理器相關(guān)信息，例如生物特征識別密鑰管理器廠商在生成廠商密鑰時所使用的相關(guān)算法和信息，以及生物特征識別密鑰管理器生成鑒別公私鑰時所使用的相關(guān)算法和信息。身份鑒別服務(wù)器可以使用生物特征識別密鑰管理器相關(guān)提供方的服務(wù)來獲取這些信息。斷言描述信息AssertionInfo::=SEQUENCE{versionVersion,modeAuthenticationMode,signatureAlgAndEncodingINTEGER,publicKeyAlgAndEncodingINTEGEROPTIONAL}version：斷言的版本，ASN.1描述參見附錄B.1。mode：斷言模式。signatureAlgAndEncoding：該值代表簽名算法相關(guān)信息，身份鑒別服務(wù)器和生物特征識別密鑰管理器應(yīng)對該值的語義協(xié)商一致，即能夠通過該值在身份鑒別過程中使用一致的簽名算法和相關(guān)參數(shù)。在使用我國相關(guān)簽名密碼算法時，應(yīng)符合《GB/T32918.2-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第2部分:數(shù)字簽名算法》和《GB/T32905-2016信息安全技術(shù)SM3密碼雜湊算法》。publicKeyAlgAndEncoding：該值代表公鑰算法相關(guān)信息，身份鑒別服務(wù)器和生物特征識別密鑰管理器應(yīng)對該值的語義協(xié)商一致，即能夠通過該值在身份鑒別過程中使用一致的公鑰算法和相關(guān)參數(shù)。在使用我國相關(guān)公鑰密碼算法時，應(yīng)符合《GB/T32918-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法》（所有部分）。publicKeyAlgAndEncoding：用戶驗證方式，ASN.1描述如下：AuthenticationMode::=INTEGER{explicitly(0x01)}explicitly：應(yīng)進行顯式的用戶驗證，例如指紋輸入、虹膜掃描等。生物特征識別密鑰管理器計數(shù)器值Counters::=SEQUENCE{SignCounterINTEGER,RegCounterINTEGER}SignCounter：生物特征識別密鑰管理器執(zhí)行簽名操作的次數(shù)。RegCounter：生物特征識別密鑰管理器執(zhí)行注冊操作的次數(shù)。密鑰注冊數(shù)據(jù)KRD::=SEQUENCE{bkmIDPrintableString,assertionInfoAssertionInfo,challengeHashBITSTRING,keyIDPrintableString,countersCounters,uauthPubKeyOCTETSTRING}bkmID：生物特征識別密鑰管理器ID。assertionInfo：斷言描述信息，ASN.1描述參見附錄B.7。challengeHash：服務(wù)器挑戰(zhàn)的雜湊值。keyID：鑒別私鑰ID。counters：生物特征識別密鑰管理器計數(shù)器值，ASN.1描述參見附錄B.8。uauthPubKey：生成的鑒別公鑰。簽名數(shù)據(jù)SignData::=SEQUENCE{bkmIDPrintableString,assertionInfoAssertionInfo,nonceOCTETSTRING,challengeHashOCTETSTRING,keyIDPrintableString,countersCounters}bkmID：生物特征識別密鑰管理器ID。assertionInfo：斷言描述信息，ASN.1描述參見附錄B.7。nonce：生物特征識別密鑰管理器生成的隨機臨時參數(shù)值。challengeHash：服務(wù)器挑戰(zhàn)的雜湊值。keyID：鑒別私鑰ID。counters：生物特征識別密鑰管理器計數(shù)器值，ASN.1描述參見附錄B.8。發(fā)現(xiàn)數(shù)據(jù)DiscoveryData::=SEQUENCE{supportedBAPVersionsSEQUENCEOFVersion,clientVendorPrintableString,clientVersionVersion,availableBAPKeyManagersSEQUENCEOFPrintableString}描述：supportedBAPVersions：支持的基于可信環(huán)境的生物特征識別身份鑒別協(xié)議版本，ASN.1描述參見附錄B.1。clientVendor：生物特征識別密鑰管理器廠商。clientVersion：生物特征識別密鑰管理器版本。availableBAPKeyManagers：可使用的生物特征識別密鑰管理器ID。錯誤碼ErrorCode::=INTEGER{NO_ERROR(0x0),WAIT_USER_ACTION(0x1),INSECURE_TRANSPORT(0x2),USER_CANCELLED(0x3),UNSUPPORTED_VERSION(0x4),NO_SUITABLE_BAPKEYMANAGER(0x5),PROTOCOL_ERROR(0x6),UNTRUSTED_FACET_ID(0x7),KEY_DISAPPEARED_PERMANENTLY(0x09),BAPKEYMANAGER_ACCESS_DENIED(0x0c),USER_NOT_RESPONSIVE(0x0e),INSUFFICIENT_BAPKEYMANAGER_RESOURCES(0x0f),USER_LOCKOUT(0x10),USER_NOT_ENROLLED(0x11),UNKNOWN(0xff)}描述：NO_ERROR：操作完成，沒有錯誤發(fā)生。WAIT_USER_ACTION：等待用戶操作。INSECURE_TRANSPORT：不安全的傳輸，例如沒有使用HTTPS。USER_CANCELLED：用戶取消當(dāng)前操作。UNSUPPORTED_VERSION：生物特征識別密鑰管理器不支持該版本的協(xié)議消息。NO_SUITABLE_BAPKEYMANAGER：沒有與身份鑒別服務(wù)器策略相匹配的生物特征識別密鑰管理器。PROTOCOL_ERROR：發(fā)生協(xié)議錯誤。UNTRUSTED_FACET_ID：不受信任的依賴方應(yīng)用程序。KEY_DISAPPEARED_PERMANENTLY：鑒別私鑰丟失并且無法恢復(fù)。BAPKEYMANAGER_ACCESS_DENIED：生物特征識別密鑰管理器拒絕訪問。USER_NOT_RESPONSIVE：用戶長時間無響應(yīng)。INSUFFICIENT_BAPKEYMANAGER_RESOURCES：生物特征識別密鑰管理器沒有足夠的資源執(zhí)行操作。USER_LOCKOUT：由于用戶鎖定，操作無法執(zhí)行。USER_NOT_ENROLLED：用戶沒有登記。UNKNOWN：以上沒有列出的其他錯誤。

（資料性附錄）協(xié)議接口生物特征識別密鑰管理器接口定義interfacebap{voiddiscover(DiscoveryCallbackcompletionCallback,ErrorCallbackerrorCallback);voidprocessBAPOperation(BAPMessagemessage,BAPResponseCallbackcompletionCallback,ErrorCallbackerrorCallback);voidnotifyBAPResult(intresponseCode,BAPMessageBAPResponse);};發(fā)現(xiàn)方法voiddiscover(DiscoveryCallbackcompletionCallback,ErrorCallbackerrorCallback)身份鑒別服務(wù)器調(diào)用該方法，檢查用戶設(shè)備是否支持本協(xié)議，發(fā)現(xiàn)方法參數(shù)參見表1。發(fā)現(xiàn)方法參數(shù)參數(shù)類型可為空可選描述completionCallbackDiscoveryCallback（參見附錄C.5）否否用于接收生物特征識別密鑰管理器發(fā)現(xiàn)數(shù)據(jù)的回調(diào)函數(shù)errorCallbackErrorCallback（參見附錄C.7）否否用于接收錯誤碼和錯誤信息的回調(diào)函數(shù)返回類型：void。執(zhí)行操作方法voidprocessBAPOperation(BAPMessagemessage,BAPResponseC