信息技术安全技术生物特征识别信息的保护要求-标准文本

ICS 35.040L80中华人民共和国国家GB/TXXXXX—XXXX     信息技术安全技术生物特征识别信息的保护要求Informationtechnology—Securitytechniques—Biometricinformationprotection（ISO/IEC24745:2011,MOD）（征求意见稿）（本稿完成日期：2019/6/18）（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）XXXX-XX-XX发布XXXX-XX-  实施目  次TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc4076169"前言II引言III1范围12规范性引用文件13术语、定义和缩略语13.1术语和定义13.2缩略语54生物特征识别系统64.1生物特征识别系统介绍64.2生物特征识别系统操作流74.3生物特征参考与身份参考84.4生物特征识别系统与身份管理系统94.5个人信息与通用唯一标识符104.6社会属性105生物特征识别系统安全要求115.1生物特征识别系统信息安全保护要求115.2生物特征识别系统安全威胁与应对措施125.3生物特征识别信息的数据库记录安全146生物特征识别信息管理要求176.1生物特征识别信息安全威胁176.2生物特征识别信息保护要求与指南176.3监管与政策要求186.4生物特征识别信息生命周期管理186.5生物特征识别系统所有者责任207生物特征识别系统应用模型与安全要求207.1生物特征识别系统应用模型207.2生物特征应用模型的安全要求21附录A（资料性附录）数据库身份与生物特征信息安全绑定与使用33附录B（资料性附录）生物特征识别系统安全加密算法36附录C（资料性附录）可更新生物特征参考的框架37附录D（资料性附录）可更新生物特征参考的技术示例40附录E（资料性附录）生物特征识别水印42参考文献45前  言本部分按照GB/T1.1-2009和GB/T20000.2-2009给出的规则起草。本部分修改采用ISO/IEC24745：2011《信息技术安全技术生物特征识别信息保护》。本部分与国际标准ISO/IEC24745：2011的主要差异如下：在第2章引用了GB/T26238－2010《信息技术生物特征识别术语》、GB/T32907-2016《信息安全技术SM4分组密码算法》、GB/T35273－2017《信息安全技术个人信息安全规范》、GB/T35276－2017《信息安全技术SM2密码算法使用规范》；修改了术语3.1.24个人信息的定义；在4.1章的生理特征列项中增加声纹；在4.3章图2中将驾照号码改成身份证号码；在6.4.2章中增加采集子系统与后台服务器传输生物特征识别信息时，应采用加密等安全措施要求；在6.4.2章中增加如果涉及生物特征识别信息出境情形，个人信息控制者应根据相关政策和标准要求，进行评估，同时向个人信息主体告知并征求其同意授权；在6.4.4章中增加存储个人生物特征识别信息时，应采取技术措施处理后再进行存储的要求；在6.5章中增加不得共享、转让个人生物特征识别信息，不得公开披露个人生物特征识别信息的要求；在5.2.3章中删除部分段落，具体描述调整为参见附录C，其提供了一种可更新生物特征参考的实施框架；将ISO/IEC24745：2011中指定的密码算法替换为符合国家管理要求的密码算法。本部分由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：北京赛西科技发展有限责任公司、中国电子技术标准化研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、联想（北京）有限公司、国民认证科技（北京）有限公司、格尔软件股份有限公司本标准主要起草人：许东阳、郝春亮、刘贤刚、姚相振、孙彦、林冠辰、陈星、蔡磊、杨楠、李俊等引  言随着互联网成为日常生活的一部分，各种服务正在通过以互联网方式提供，如网上银行，远程医疗等。为了以安全的方式提供这些服务，主体与所提供服务之间的鉴别机制需求变得更为重要。目前已经开发的鉴别机制包括基于令牌的方案、口令和交易验证码、基于公钥的数字签名方案以及使用生物特征识别技术的鉴别方案等。生物特征识别技术，包括基于行为和生理特征的个体自动识别特征已经成熟，这些生物特征信息包括指纹图像、语音、虹膜图像、面部图像等。生物特征识别技术的成本一直在下降，它们的可靠性一直在增加，现在用作身份鉴别机制是可行的。生物特征身份鉴别引入了个人信息和鉴别安全之间的潜在差异。一方面，生物特征理想上是一个不变的属性，与个人相关联而且不同。凭证与人员的这种绑定提供了强有力的鉴别保障。另一方面，这种强大的约束力也对生物特征识别系统的安全性提出了挑战，如非法处理生物特征数据等。通常的更改密码或发新令牌解决办法是不可用于生物特征识别鉴别，因为生物特征，无论是内在的生理特性或个人行为的特点，难以或不可能改变。可以注册另一个手指或眼睛，但是选择通常是有限的。因此，采取适当的对策来维护一个安全的生物特征识别系统和保护个人信息安全是至关重要的。生物特征识别系统通常将生物特征识别关联信息与其他个人信息绑定在一起，以鉴别个人。在这种情况下，需要绑定来确保包含生物信息记录的安全性。生物特征识别关联信息与其他个人信息和跨区共享的联系越来越多，保障生物特征识别信息的安全并遵守各种个人信息法律法规，使组织带来了新的挑战。信息技术安全技术生物特征识别信息的保护要求范围本标准规定了生物特征识别信息的安全保护要求，包括生物特征识别系统的威胁和对策、生物特征信息和身份主体之间绑定的安全要求、应用模型以及个人信息保护要求等。本标准规定了以下内容:分析生物特征和生物特征系统应用模型所固有的威胁和对策；在生物特征参考和身份参考之间进行绑定的安全要求；用于存储和比对生物特征参考并具有不同场景的生物特征识别系统应用模型；在处理生物特征信息过程中保护个人信息的指南。本标准适用于生物特征识别系统的设计、开发与集成。本标准不包括与物理安全、环境安全和密码技术中的密钥管理相关的一般管理问。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T26238－2010信息技术生物特征识别术语GB/T32907－2016信息安全技术SM4分组密码算法GB/T35273－2017信息安全技术个人信息安全规范GB/T35276－2017信息安全技术SM2密码算法使用规范术语、定义和缩略语术语和定义GB/T26238－2010界定的以及下列术语和定义适用于本文件。鉴别authentication在计算机及计算机网络系统中确认操作者身份真实性的过程。注1：包括在实体可以在域中进行注册和识别之前，确定所声称身份真实性的信任程度的过程。注2：尽管该定义是通用的，在本标准中指以人为主体的生物特征身份鉴别。辅助数据auxiliarydata依赖于主体的数据，是可更新的生物特征信息的一部分，可能需要在验证期间或者为了验证目的，重建假名标识符。注1：如果辅助数据是可更新的生物特征信息的一部分，它不一定存储在与对应的假名标识符相同的地方。注2：辅助数据可能包含多样化的数据要素（即多样化数据）。注3：辅助数据不是生物特征信息验证期间的比对要素。注4：辅助数据由生物特征识别系统在登记过程中生成。示例：由生物特征识别样本派生的密码。有关PI和AD的具体示例，请参见附录D表D.1。生物特征biometriccharacteristic可检测到的个体生理或行为特征，可以从其中提取可识别的、可重复的生物特征，以便自动识别个体。生物特征识别数据biometricdata生物特征样本、生物特性、生物特征模型、生物性质、原始描述数据的生物特征识别特征，或上述数据的聚合。生物特征数据主体biometricdatasubject在生物特征识别系统内的包含生物特征信息的个人。生物特征项biometricfeature从生物特征样本中提取的用于比对的数字或标签。生物特征识别信息隐私biometricinformationprivacy控制生物特征识别信息在整个生命周期的收集、转移、使用、存储、归档、处置和更新的权利。生物特征识别模型biometricmodel由一个或多个生物特征产生的存储功能（取决于生物特征识别数据的主体）。注：比对功能是将存储功能应用于生物特征样本的生物特征，从而给出比对得分。示例：存储功能的示例包括隐马尔可夫模型、高斯混合模型或者人工神经网络。生物特征识别属性biometricproperty由生物测定样本估计或导出的生物特征数据对象的描述性属性。示例：指纹可以通过脊流的生物特征识别属性（即拱形，螺纹和回路类型）来分类；可以使用面部图像来估计年龄或性别。生物特征参考biometricreference属于生物特征数据主体，并用于比对的一个或多个存储的生物特征样本、生物特征模板或生物特征识别模型。注：能更新的生物特征识别参考被称为可更新生物特征识别参考。示例：护照上的面部图像；居民身份证上的指纹细节模板；数据库中用于识别说话人的高斯混合模型。生物特征样本biometricsample在生物特征提取之前从生物特征识别采集设备或生物特征识别采集子系统获取的生物特征的模拟或数字表示。生物特征识别系统biometricsystem基于个体的行为和生理特征对个体进行自动识别的系统。生物特征模板biometrictemplate一组存储的与探针生物特征直接进行比对的生物特征。声明claim身份断言。声明主体claimant声明身份的个人。声明可以通过多种方式进行验证，其中一些方法可能基于生物特征识别技术。通用标识符commonidentifier用于在物理或逻辑分离的数据库中关联身份参考和生物特征参考的标识符。多样性diversification为了加强安全和个人信息保护的目的，特意从一个数据主体获得的一个或多个生物特征样本的创建多个独立的变换的生物特征参考。辩识identification对登记的生物特征数据库执行搜索的过程，以找到并返回单个个体属性的身份参考。标识符identifier用于唯一地表征特定域中的实体的一个或多个属性。具有俱乐部名称的俱乐部会员号码、健康保险卡号以及保险公司名称、IP地址和通用唯一标识符。身份identity可用于描述自身状态、外观或其他品质的一组实体属性或特征。身份管理系统identitymanagementsystem在一个域的整个信息生命周期中控制实体身份信息的系统。身份参考identityreference非生物特征识别属性，它是一个标识符，该标识符的值在域中实体存在的持续时间内保持不变。不可逆性irreversibility根据生物特征样本或特征创建生物特征参考的变换的性质，使得变换的生物特征参考的知识不能用于确定关于生成生物特征样本或特征的任何信息。个人信息personallyinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物特征识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。关于个人信息的范围和类型可参见GB/T35273－2017附录A。匿名标识符pseudonymousidentifier可更新生物特征参考的一部分，其通过受保护的身份表示某个域内的个人或数据主体，并且可以通过采集的生物特征识别样本和辅助数据（如有）进行验证。匿名标识符不包含任何允许检索原始生物特征样本，原始生物特征或其拥有者的真实身份的信息。匿名标识符在服务域之外没有任何意义。加密的生物特征数据与一个允许检索纯文本数据的密码不是一个匿名标识符。匿名标识符是生物特征参考验证期间的比对要素。有关匿名标识符PI和AD的具体例子，见附录D表D.1。匿名标识符编码器pseudonymousidentifierencoder一种系统、过程或算法，可基于生物特征样本或生物特征模板生成由匿名标识符（PI）和可能的辅助数据（AD）组成的可更新的生物特征参考。可更新性renewability变换或过程的属性，该属性可以创建从相同数据主体获得的一个或多个生物特征识别样本中导出的多个独立变换生物特征参考，并且可以用于识别个体而不揭示有关于原始参考的信息。可更新生物特征参考renewablebiometricreference可撤销的或可再生的标识符，其通过从所采集的生物特征样本（重新）构建的受保护的二进制身份来表示在特定域内的个体或数据主体。可更新的生物特征参考由一个匿名标识符和额外的生物特征验证或识别所需的可选数据元素组成，如辅助数据。可吊销性revocability防止将来成功验证特定生物特征识别参考和相应身份参考的能力。可能因实体出现在吊销清单上而发生实体驳回。安全通道securechannel提供交换消息的保密性和真实性的通信信道。令牌token存储生物特征参考以及在一些情况下执行机载生物特征比对的物理设备。智能卡，USBKey或电子护照中的RFID芯片。不可链接性unlinkability两个或多个生物特征识别参考的特性，无法相互链接或与各自的来源主体链接。验证verification确认生物特征采集过程主体的个体是所声明的身份参考来源的生物特征识别过程。缩略语下列缩略语适用于本文件。AD：辅助数据（AuxiliaryData）AFIS：自动指纹识别系统（AutomatedFingerprintIdentificationSystems）BR：生物特征参考（BiometricReference）CI：通用标识符（CommonIdentifier）OCC：卡上比对（On-CardComparison）DBBR：包含生物特征参考的数据库（DatabasecontainingBiometricReference）DBIR：包含身份参考的数据库（DatabasecontainingIdentityReference）IdMS：身份管理系统（IdentityManagementSystem）IR：身份参考（IdentityReference）MAC：消息鉴别码（MessageAuthenticationCode）PDA：个人数字助理（PersonalDigitalAssistant）PET：隐私增强技术（PrivacyEnhancingTechnology）PI：匿名标识符（PseudonymousIdentifier）PIC：匿名标识符比对器（PseudonymousIdentifierComparator）PIE：匿名标识符编码器（PseudonymousIdentifierEncoder）PIR：匿名标识符解码器（PseudonymousIdentifierRecoder）RBR：可更新生物特征参考（RenewableBiometricReference）RFID：射频标识（RadioFrequencyIdentification）TTP：可信第三方（TrustedThirdParty）USB：通用串口总线UniversalSerialBus）UUID：通用唯一标识符（UniversalUniqueIdentifier）：箭头表示数据x的简单信息流或交互式协议的启动，其交换数据可能全部或部分取决于x。注1：当使用例如ISO/IEC7816-4的安全消息传送系统时，x可能被加密。注2：例如，当使用零知识技术时，交互式协议可能不会在x上传输任何信息。生物特征识别系统生物特征识别系统概述生物特征识别系统根据一个或多个生理（身体的物理特性，例如指纹）或者行为（个体所做的事情，例如行走）特征对个体进行自动识别。生理特征包括但不限于：—指纹；—人脸；—虹膜；—声纹；—手型；—指静脉/掌静脉；—视网膜；—DNA；—掌纹。行为特征包括但不限于：—签名；—步态；—语音。以下是有助于良好的主体识别和可靠的识别性能的生物特征属性：—普遍性：每个个体都应该有自己的特点；—独特性：每个个体都应该有一个明显的特征；—持久性：特性不应随时间而变化，例如随着时间的变化；—可收集性：这些特征应该很容易从主体收集；—重复性：特征应该足够明确和可重复实现主体的识别。从应用角度来看，还应该考虑以下附加属性：—性能，主要是指个体识别的成功率；—可接受性，代表个体使用生物特征系统的意愿程度；—防欺骗性，代表使用生物特征识别的复制品绕过生物特征识别系统的复杂程度。为了验证或辨识个体，生物特征识别系统处理一个或多个探针样本，以便与存储的生物特征参考进行比对。生物特征参考可以是一个生物特征样本（例如代表生物特征的图像）或一组生物特征（即从图像衍生的模板），也可以是由多个特征组成的生物特征识别模型。具体而言，生物特征非常难以改变，所以可以假定在应用中生物特征不可变，他们的攻击可以对个体产生永久性的后果。生物特征识别系统操作流生物特征识别系统概念架构图1描绘了一个生物特征识别系统的操作流，生物特征识别系统通常由五个子系统组成：—生物特征识别数据采集子系统，包含生物特征识别采集设备或传感器，用于从生物特征处采集信号并将这些信号转换为生物特征识别样本，例如指纹图像、面部图像或语音记录。—信号处理子系统，该子系统从生物特征识别样本中提取生物特征，从而输出可与从其他生物特征识别样本中提取的特征进行比对的数字或标签。在此过程中，注册过程中提取的生物特征作为生物特征参考存储在数据存储子系统中，用于识别和验证过程。—数据存储子系统，该子系统主要用作注册数据库，在该数据库中注册的生物特征参考与身份参考进行链接。此类数据可能包含生物特征识别数据和非生物特征识别数据，例如与主体相关的身份参考。实际上，由于安全和个人信息保护方面的原因，通常情况下DBIR和DBBR在逻辑上或物理上是分开的。附录A中给出了DBIR与DBBR绑定的详细。—比对子系统，该子系统用于确定采集的生物特征样本（或衍生特征）与存储的生物特征参考之间的相似性。在验证过程中使用的一对一比对的情况下，将采集的生物特征样本与生物特征识别数据主体的存储生物特征参考进行比对，从而得到比对得分。然而，在识别过程中使用的一对多的比对中，将生物特征识别数据主体的提取特征与多个生物特征识别数据主体的一组生物特征参考进行比对，从而返回一组比对得分。—决策子系统，该子系统根据比对得分和包括阈值的一个或多个决策策略来确定采集的生物特征样本和生物特征参考是否具有相同的来源（生物特征识别主体）。在验证过程中，可以根据比对得分接受或拒绝生物特征识别数据主体。在识别过程中将显示符合决策策略的候选身份列表。生物特征识别系统涉及三个主要功能过程：—注册过程：根据注册策略为生物特征识别采集过程的主体创建和存储注册数据记录。主体通常将他的生物特征与身份参考一同展示给传感器。对采集的生物特征样本进行处理，从而提取为生物特征参考，并在注册数据库中注册。—辨识过程：根据采集的和提取的生物特征来搜索注册数据库，以便返回候选列表。候选列表由一定的个体组成，此类个体的参考与比对子系统中的特征匹配并且具有高于预定义阈值的相似性得分值。—验证过程：该过程测试生物特征识别采集过程主体的个人是指定的生物特征识别参考的来源。主体向采集设备提供他身份声明的身份参考以及他们的一项或多项生物特征，该采集设备获取一个或多个生物特征识别样本，用于与所声明身份的身份参考链接的生物特征识别参考进行比对。验证过程可能会对主体的个人信息造成一定的影响，因为此过程需要生物特征参考和身份参考。识别过程需要对注册数据库进行详尽的搜索。因此，这一过程也有可能会对个体的个人信息产生影响。通常情况下认为与辨识过程相比，验证过程更不容易侵犯个人信息安全。上述五个子系统代表技术和功能块，此类技术和功能块负责采集、处理、存储、比对和决定生物特征识别数据的处理。除此之外，还可能包含其他功能子系统—参考自适应子系统，该子系统使用从成功的验证或识别过程中提取的新生物特征对参考进行修改。生物特征识别系统通常采用自适应，以便反映外部因素，并将其对识别率的影响降至最低。其也可以用于减弱参考老化的潜在影响。也可以根据预先确定的策略自动执行无监督自适应。通常情况下，监督自适应由应用程序调用，并且基于特定的应用程序标准。例如，当生物特征识别比对中得分不高但其他因素明确支持所声称的身份时，可以调用监督自适应。由于较低的比对得分可能会导致系统驳回真正的用户，因此应在建立生物特征识别系统的早期阶段考虑采用参考自适应子系统。—管理子系统，该子系统根据相关的法律、司法和社会约束以及个人信息保护要求来控制生物特征识别系统的整体政策、实施和使用。说明性示例包括以下内容：-在生物特征识别处理期间向主体提供个人信息保护相关信息；-存储并格式化生物特征参考或生物特征识别交换数据；-为包括生物特征识别数据的个人信息保密性和完整性的加密和数字签名机制制定决策；-分析整个生物特征识别系统的漏洞和安全攻击，并实施适当的对策；-为裁决或分数输出做出最终仲裁；-为决策子系统设定阈值；-控制操作环境和非生物特征识别数据存储；-为主体的个人信息提供适当的保障。生物特征参考与身份参考在任何特定的域中，一个人只能有一个标识符，但可以有多个身份参考来标识该域中的人。每个身份参考都是唯一标识特定域中实体身份的属性或属性的组合。身份参考也可能是个人属性的组合。生物特征参考是属于一个人的多种属性之一，以识别一个域中的人。本标准将身份属性划分为非生物特征识别属性和生物特征识别属性。为保持简洁性，非生物特征识别属性被称为身份参考（IP），生物特征识别属性被称为生物特征参考（BR）。图2中展示了身份参考和生物特征参考的一些示例。此处周围的框表示可用于识别个人的一组属性。身份参考与生物特征参考生物特征识别系统与身份管理系统身份管理系统（IdMS）在任何领域都有一个重要的功能，以避免身份冲突或歧义（有关IdMS的更多详细信息，请参阅ISO/IEC24760-1）。鉴别系统需要在定义明确的域内完成准确的识别和验证过程，并且需要与注册和注册过程建立明确的关系，此类过程可能位于同一域中，也可以从另一个域调用。当生物特征识别技术用于提供鉴别服务时，IdMS可以向生物特征识别系统发出鉴别请求（图3中的a），并且生物特征识别系统可以向IdMS提供鉴别结果（图3中的b）。生物特征识别系统作为IdMS的鉴别服务提供商个人信息与通用唯一标识符一些生物特征识别系统使用电子护照中的面部图像等生物特征样本来直接识别人，而其他系统则使用生物特征如指纹的细节点和面部的特征系数来间接识别与身份参考相关的人。这种能够将生物特征数据链接到主体的能力使得生物特征参考被视为个人信息。由于其自身的独特性，生物特征参考可用作通用唯一标识符（UUID）。通用唯一标识符（UUID）是一种身份参考，该身份参考可用于在各个数据库之间链接个人信息，从而对个人信息构成潜在威胁。出于这一原因，将生物特征参考用作唯一通用标识符（UUID）这一观点已经引发重大关注。除非明确证明需要这样做，否则不得将生物特征参考用作通用唯一标识符。通用唯一标识符（UUID）对个人信息构成了潜在风险，因为该标识符可以在包含相应个人信息的数据库中对个人进行监控和跟踪。当使用生物特征参考或其与身份参考的绑定时，可以将其划分为个人信息，而根据特定的域，此类信息可能对个体而言是非常重要的如果在数据库中使用生物特征识别数据作为唯一通用标识符（UUID），则应考虑进行满足可撤销性和可更新性要求的设计，以限制这种交叉比对，例如使用本标准中所述的多样化参考。社会属性生物特征识别系统的应用总是具有社会维度，这些可以参考关于相关的法律法规（例如与个人信息保护有关），而其他方面（例如使用这些系统的主体的可接受性）则是非常主观的，这些有助于良好的系统实现。系统的可接受性可能受宗教、种族和文化因素以及个人心理特征的影响。在生物特征识别系统的所有部署中，负责此类系统操作的人员和组织应认识到，应通过适当的安全机制保护生物特征识别数据，从而满足有关法律要求（个人信息保护），并有助于其被社会和个人所接受。使用生物特征识别技术的系统设计者和操作员应通过同样的方式确保遵守以下内容的法律义务和良好做法：—健康和安全；—可达性，确保在尽可能广泛的人群中以较低的身体和认知难度对系统进行使用，尤其是针对身体或精神残疾的主体；—可用性，其可以提供在使用方面有效、高效和令人满意的系统。ISO/IECTR24714-1生物特征识别系统安全要求生物特征识别系统信息安全保护要求保密性生物特征识别系统应保护信息免受未经授权的访问或披露。在生物特征识别系统中，在登记过程中存储在生物特征参考数据库中的生物特征参考在验证和识别过程中被传送到比对子系统。在这个过程中，生物特征参考可以被未经授权的实体访问，并且可以被读取，或者可以揭示与其身份信息的绑定。由于生物特征敏感，未经授权的数据披露可能会导致严重的个人信息安全威胁。存储和传输的生物特征识别数据的保密性可以通过访问控制和各种形式的加密技术获得，如使用SM2或SM4加密算法，应满足相应的GB/T35276-2017、GB/T32907－2016要求。各种形式的加密算法，对称或不对称密码，可用于提供数据保密性。有关更多详细信息，请参见附录B.1。完整性生物特征识别系统应维护生物特征识别信息的准确性和完备性。生物特征参考的完整性对于确保整个生物特征识别系统的安全至关重要。鉴别过程的完整性取决于生物特征参考的完整性。如果生物特征参考或采集和提取的生物特征不可信，则所得到的鉴别结果也将是不可信的。出于以下一个或多个原因，可能会出现不可信的生物特征参考或样本：硬件或软件故障导致的意外损坏；没有攻击者的干预，由授权实体（即授权者或系统所有者）意外或有意修改真实的生物特征参考；攻击者修改（包括替代）被授权的使用者的生物特征参考。生物特征识别系统应通过访问控制来实现数据完整性保护，防止未经授权访问生物特征数据或通过使用加密技术进行完整性检查。完整性保护可能需要与其他技术（如时间戳）相结合，以防止重复使用被盗生物特征数据和重放攻击。可以使用各种技术，如消息鉴别码（MAC）或数字签名来提供数据完整性。有关更多详细信息，请参阅附录B.2。某些情况需要保密性和完整性。如果需要保密性和完整性保护，则可以使用加密、MAC或数字签名。另一种可能性是使用ISO/IEC19772标准中的鉴别加密。当智能卡用于生物特征参考存储或比对（第8章，模型B，E，F，G和H）时，应使用符合ISO/IEC7816-4的安全消息机制保障生物特征识别数据完整性和保密性。可更新性与可撤销性生物特征识别系统的安全问题涉及到生物特征参考的侵害。各种威胁可能会危及生物特征参考。例如，攻击者可能非法获取包含生物特征参考的令牌，或者可能试图通过假接受通过伪造或伪造的生物特征获得未经授权的访问。在受到侵害的情况下，需要撤销以防止攻击者未来（或继续）未经授权的访问。或者，数据库安全漏洞会导致未经授权的生物特征参考和其他个人数据的暴露。如果生物特征参考受到这样的侵害，强烈需要撤销受侵害的参考，并将合法的数据主体与新的生物特征参考联系起来。应该指出的是，撤销和更新生物特征参考并不意味更新当事人的生物特征。可再生性和可撤销性只能提供解决侵害的生物特征参考的手段，而不能解决受损害的生物特征。除了受损之外，可能出于多种原因需要对生物特征参考进行更改。例如，生物特征参考可能仅在规定的时间段内有效（与密码的方式类似）。如果在该时间段内仍然需要生物特征参考，则可以更新、撤销和替换该参考。生物特征识别系统安全威胁与应对措施系统组件安全威胁与措施生物特征识别系统的威胁和对策威胁对策数据采集传感器欺骗采集/重放来自传感器的信号-活体检测-多模态生物特征识别-挑战/应答信号处理在处理过程中未经授权处理数据-使用可信算法比对操作比对分数⎯安全的服务器或客户端-受信任的OCC存储数据库受侵害-未经授权披露BR/IR-未经授权更换BR/IR-未经授权修改BR/IR-未经授权删除BR/IR-可撤销和可更新的生物特征参考-数据分离-数据库访问控制⎯签名BR/RBR/IR-加密BR/RBR/IR决策爬山攻击-安全通道-隐藏来自主体的比对得分阈值操作-阈值设置的访问控制-阈值保护为了安全评估和认证生物特征识别系统的模块化组件，参考ISO/IEC19792以获取更多信息。比对和决策组件在一个认证的单一模块中的实施构成了对比分数操纵的威胁的有效对策。在这里，为了防止登山攻击，需要额外的隐藏比对得分的对策。组件更换的威胁适用于所有子系统。针对这种威胁，使用涉及数字签名组件的库存控制可能是有效的对策。生物特征识别系统的威胁和对策见表1所示，下面对涉及的具体系统组件进行说明：—传感器欺骗是指人造的，因此是非活体的生物特征。传感器欺骗的一个对策是基于对象的生理活动的识别作为生命迹象检测，拒绝已知的人工制品类型的活体检测。—组件更换包括替换生物特征识别系统的组件（如比对或决策子系统），以便控制它并获得所需的输出。—爬山攻击是对生物特征样本进行系统修改，以获得逐渐提高的比对得分，直到满足判定阈值。—阈值操作是改变决策子系统的阈值，使得生物特征系统容易接受假冒的生物特征样本。—可撤销和可更新的生物特征参考是通过对不同应用、组织或公司的多样化手段创建的，但与同一主体相关。主体可能有多个RBR。—数据分离是指在逻辑上或物理上分离各个数据元素的安全对策（例如部分在令牌上，部分在数据库中，见7.2）。数据分离可应用于数据元素，如IR，BR，PI和AD。生物特征信息传输过程威胁与措施生物特征识别系统各部件之间的通信通道可能会受侵害，进而危及整个系统的安全。此类风险尤其与分布式体系结构相关。数据传输的过程如图4所示，并在表2中进行了总结。在表2中，如果通过网络对比对子系统和决策子系统进行干扰，则T1、T2和T3的威胁及其对策也同样适用于T4。生物特征识别系统安全威胁生物特征传输过程的威胁和对策数据威胁对策数据采集-信号处理（T1）生物特征样本和特征窃听—加密/安全通道信号处理-比对（T2）重放—挑战/响应强力—超时策略存储-比对(T3)生物特征参考窃听—加密/安全通道重放—挑战/响应中间人—加密/安全通道—使用数字签名或MAC对生物特征识别数据进行完整性检查爬山—粗略分数—安全通道比对-决策（T4）比对得分比对得分操纵—安全通道注：在经过认证的单个模块中实施比对和决策组件构成了针对比对得分威胁操纵的有效对策。为进行说明，下面提供了针对上述威胁的简要描述：—窃听是指在生物特征识别系统的组件传输敏感信息期间对此类信息进行监听；—中间人攻击是指攻击者可以读取、插入和修改双方之间通信的生物特征识别数据，而任何一方无需知道已建立的链接已遭受攻击。表2中的对策列表并不是穷尽列举的。宜执行风险分析，以识别应用程序中的威胁。适当的对策应到位，此类对策可以包含规程以及技术对策。请参见ITU-TX.1086ISO19092:2008以及ISO/IEC19792可更新性措施生物特征参考的可更新性是针对存储和传输威胁的一项对策。为了允许撤销或更新生物特征参考，生物特征参考的创建过程应支持多样化的过程。多样化涉及从相同的生物特征中生成多个独立的参考，此类特征可用于更新生物特征参考，或者为不同的应用程序提供独立参考。多样化过程应是不可逆转的。转换后的生物特征参考不应具有唯一可链接性。附录C提供了一种可更新生物特征参考的实施框架描述。生物特征识别信息的数据库记录安全单数据库生物特征识别信息记录安全如图1所示，需要将身份参考（IR）与生物特征参考（BR）进行逻辑连接以执行生物特征鉴别操作。根据所存储的数据记录（如身份参考、生物特征参考等），有多种适用的场景可用于描述此类绑定的安全性。此类场景显示了数据元素组合并对相关的安全特性进行了概述，具体如下：场景1：存储原始IR和原始BR。IR和BR都不提供保密性和完整性。不提供可更新性和可撤销性。场景2：存储原始IR和加密BR。IR未提供保密性和完整性。提供BR的保密性。根据加密操作模式，可能会在BR上提供弱形式的完整性。未提供可更新性和可撤销性。场景3：存储原始IR和鉴别BR。仅提供BR的完整性。场景4：存储原始IR和BR的鉴别加密形式。提供BR的保密性和完整性。场景5：存储加密IR和原始BR。提供IR的保密性。根据加密操作模式，可能会在IR上提供弱形式的完整性。场景6：存储鉴别IR和原始BR。仅提供IR的完整性。场景7：存储IR的鉴别加密形式和原始BR。仅提供IR的保密性和完整性。场景8：加密并存储原始IR和原始BR。提供IR和BR的保密性。根据加密操作模式，可能会在IR和BR上提供弱形式的完整性。场景9：鉴别并存储原始IR和原始BR。提供IR和BR的完整性。—场景10：存储IR和BR的鉴别加密形式。提供IR和BR的保密性和完整性。—场景11：加密并存储原始IR和鉴别BR。提供IR和BR的保密性。提供BR的完整性。根据加密操作模式，可能会在IR上提供弱形式的完整性。—场景12：鉴别并存储原始IR和加密BR。提供IR和BR的完整性。仅提供BR的保密性。—场景13：加密并存储鉴别IR和原始BR。提供IR和BR的保密性。提供IR的完整性。根据底层加密算法的操作模式，可能会在BR上提供弱形式的完整性。—场景14：鉴别并存储加密IR和原始BR。提供IR和BR的完整性。仅提供IR的保密性。—场景15：存储原始IR和多样化BR。提供BR的可更新性和可撤销性，并提供BR的有限保密性和完整性。—场景16：鉴别并存储原始IR和多样化BR。提供IR和BR的完整性。也提供BR的可更新性和可撤销性。—场景17：存储IR和多样化BR的鉴别加密形式。提供IR和BR的完整性和保密性。提供BR的可更新性和可撤销性。—场景18：加密并存储原始IR和多样化BR。提供IR和BR的保密性。根据操作模式，可能会在IR和BR上提供弱形式的完整性。提供BR的可更新性和可撤销性。—场景19：加密原始IR，鉴别并存储多样化BR。提供IR和BR的完整性。仅提供BR的保密性、可更新性和可撤销性。表3总结了所描述的场景和相关的安全考虑事项。存储在单个数据库中的数据记录的保密性，完整性和可更新性场景安全要求保密性完整性可更新性对策IRBRIRBRBR2O∆原始IR和加密BR3O原始IR和鉴别BR4OO原始IR和鉴别加密BR5O∆加密IR和原始BR6O鉴别IR和原始BR7OO鉴别加密IR和原始BR8OO∆∆加密（IR和BR）9OO鉴别（IR和BR）10OOOO鉴别加密（IR和BR）11OO∆O加密（IR和鉴别BR）12OOO鉴别（IR和加密BR）13OOO∆加密（鉴别IR和BR）14OOO鉴别（加密IR和BR）15O原始IR和多样化BR16∆OOO鉴别（IR和多样化BR）17OOOOO鉴别加密（IR和多样化BR）18OO∆∆O加密（IR和多样化BR）19OOOO鉴别（IR和加密，多样化BR）注：O是要求，∆是弱要求。ISO/IEC19785通过规定生物特征识别信息记录（BIR）的标准结构，规定了通用生物特征识别交换格式框架（CBEFF），以促进基于生物特征识别的应用程序和系统的互操作性。在ISO/IEC19785-4中将安全块（SB）格式指定为保持BIR的完整性并加密/解密BIR中的生物特征识别数据分离数据库生物特征识别信息记录安全在存储IR、BR或RBR时，如果需要保护个人信息，建议将其单独存储，因为这两者的暴露会导致更严重的个人信息泄露。即使IR和BR被分隔成不同的存储区域，如果它们由同一个操作人员控制，则保护也不会起任何作用。为使这种分离有效，应由不同的操作人员用自己的密钥对其进行控制，以保护它们的DB（数据库）内容。当IR和BR分离时，两者之间应存在连接方式。一个通用标识符CI便可实现这一点。类似的论点同样适用于以PI和AD形式存储RBR。PI和AD的物理或逻辑分离可降低安全风险，宜使用物理分离。如果在基于分布式存储的模型中使用了令牌，则宜将AD存储在令牌上，并将PI存储在客户端或服务器上。如果使用带有通用标识符的分离DB，则数据库应由持有不同加密密钥的单独操作人员进行控制。在表4中展示了使用分离数据库的场景。保密性、完整性和可更新性/可撤销性的安全要求是相同的。然而，即使只有一个IR和BR被暴露，个人信息泄露的影响也会变小。如果一个数据库受侵害且其内容被非法修改，则两个数据库的操作人员应该能够检测到这种情况。同样的道理，在数据库的使用过程中，如果持有正确密钥的合法数据库操作人员对数据库的内容进行修改，则其他数据库应能够检测到此类修改。在此类情况下，需要进行更安全的绑定。通用标识符（CI）的实施示例参见附录A。分离数据库中存储的数据记录的保密性、完整性以及可更新性安全要求IR对策BR对策保密性完整性可更新性IRBRIRBRBRO∆通用标识符，原始IR通用标识符，加密BRO通用标识符，原始IR通用标识符，鉴别BROO通用标识符，原始IR通用标识符，鉴别加密BRO∆通用标识符，加密IR通用标识符，原始BRO通用标识符，鉴别IR通用标识符，原始BROO通用标识符，鉴别加密IR通用标识符，原始BROO∆∆通用标识符，加密IR通用标识符，加密BROO通用标识符，鉴别IR通用标识符，鉴别BROOOO通用标识符，鉴别加密IR通用标识符，鉴别加密BROO∆O通用标识符，加密IR通用标识符，鉴别加密BROOO通用标识符，鉴别IR通用标识符，鉴别加密BROOO∆通用标识符，鉴别加密IR通用标识符，加密BROOO通用标识符，鉴别加密IR通用标识符，鉴别BR∆O通用标识符，匿名标识符，IR通用标识符，辅助数据∆OOO通用标识符，鉴别PI，鉴别IR通用标识符，鉴别ADOOOOO通用标识符，鉴别加密（PI和IR）通用标识符，鉴别加密ADOO∆∆O通用标识符，加密（PI和IR）通用标识符，加密ADOOOOO通用标识符，鉴别（加密PI和IR）通用标识符，鉴别（加密AD）注：O是要求，∆是弱要求。生物特征识别信息管理要求生物特征识别信息安全威胁由于生物特征数据属于个人信息，ISO/IEC29100专门针对系统定义了一个通用的个人信息保护框架。这是一个通用框架，涉及组织、技术、处理和存储个人信息的IT系统的程序和监管。生物特征识别数据的使用涉及多个个人信息安全威胁，必须予以解决：生物特征数据可能会被滥用，而非用于数据主体最初预期和同意的目的。生物特征参考可以允许检索或分析，如数据主体的健康状况或推断医疗信息和种族背景。生物特征可用于将同一数据库或不同应用程序中的主体链接起来，从而跨不同的数据库。个人信息与存储的生物特征与不可链接性有关。有关于商业生物特征识别应用的管辖权和社会考虑的更详细描述请参考ISO/IECTR24714-1。生物特征识别信息保护要求与指南不可逆性为了防止将生物特征数据用于除最初预期以外的任何目的，生物特征数据应为在储存之前通过不可逆变换进行处理。特征提取算法通常通过数据冗余消除提供一种不可逆形式，这增加了使用提取特征提取医学或种族数据的难度；使用仅系统操作人员或数据主体知道的密钥执行加密操作，可限制在未经授权的情况下对生物特征识别数据进行访问；匿名标识符通过不可逆转换提供了一种限制对数据主体的生物特征进行访问的手段。附录D中的表D.1给出了生成匿名标识符的转换概述。不可链接性所存储的生物特征参考在应用程序或数据库间应保持不可链接性。可以通过可以组合的各种机制提供不可链接性：如果纯文本生物特征参考是可链接的，并且对密钥进行适当管理以避免链接，则应用程序之间使用不同密钥或机制的生物特征参考的加密将阻止数据主体的链接；通过多样化过程创建的独立和不可链接匿名标识符可阻止数据主体之间进行链接；RBR中IR和BR，或者PI和AD的逻辑或物理分离可防止完整数据记录的访问；在应用程序之间使用的不同的生物特征识别模式，不兼容的特征提取算法或生物特征识别数据交换格式可以防止数据主体之间进行链接。注：所使用的不同的生物特征识别模式，不兼容的特征提取算法或数据交换格式可能会对系统的互操作性构成挑战。保密性为了避免对生物特征参考进行未经授权的实体访问，进而导致个人信息安全风险，应对生物特征参考进行保密处理。可使用以下机制来确保保密性：与使用集中数据库相反，通过将生物特征参考存储在个人令牌或卡上进行数据分离是降低因集中数据库安全漏洞所引发的个人信息安全风险的一种对策（例如，攻击者非法访问集中数据库并发布其内容）；使用仅身份管理系统的操作人员或数据主体可知的密钥对生物特征参考进行加密。注：使用令牌存储生物特征识别数据无法保证保密性，除非对数据进行逻辑保护和物理保护以防止泄露。监管与政策要求作为一种个人信息，生物特征信息的收集、转让、使用、存储和处置受各种个人信息保护的法律和法规管辖。生物特征识别技术的所有部署应该是按照所有适用的法律法规执行。生物特征识别信息生命周期管理采集除非法律法规另有规定，否则在收集生物特征识别信息之前，有关组织应取得主体的同意。在取得主体的同意时，有关组织应充分告知主体以下内容：所采集的生物特征识别信息的类型和数量；数据主体不想注册或无法注册时，还应告知可用替代程序的信息；收集的目的以及生物特征识别信息的保留时间；有关于生物特征识别系统中所采集的生物特征识别信息处理方式的描述；有关于生物特征识别信息管理负责人的信息，包括他/她的姓名、组织机构、职位、联系方式等。在没有正当监管理由的情况下收集生物特征识别信息会对个体的生物特征识别信息安全产生很大影响。即使有关组织在创建生物特征参考之前已获得主体的同意，应仅提取为达到目的所需的最少生物特征识别信息，这将减少受侵害的风险。传输向其他组织传输生物特征识别信息时，生物特征识别信息处理的有关方应同意受或义务的约束，以保护此类信息。生物特征识别信息的传递只有在主体同意的情况下才能进行，除非主体默认提供服务或者法律要求。在获得主体的同意之前，有关组织应提供以下内容：生物特征识别信息传输的第三方的相关信息；传输的生物特征识别信息的内容和数量；传输的目的以及转移的生物特征识别信息的保留时间。从主体的角度来看，将生物特征识别信息转移给第三方在本质上等同于直接向第三方提供生物特征识别信息。因此，除非法律允许，否则需要事先获得主体的同意。采集子系统与后台服务器传输生物特征识别信息时，应采用加密等安全措施。在生物特征识别系统的操作过程中，跨境转移尤为常见，如果涉及生物特征识别信息出境情形，个人信息控制者应根据相关政策和标准要求，进行评估，同时向个人信息主体告知并征求其同意授权。出于这一原因，必须对可能由第三方处理的传输生物特征识别信息时应更加谨慎。使用使用是指访问、处理或修改组织内的生物特征识别信息。除非法律另有规定，否则在使用生物特征识别信息之前，必须获得主体的同意。如果有关组织希望将收集的生物特征识别信息用于除已向该主体指定的目的以外的其他目的，则有关组织应获得主体的同意，并提供一份对该生物特征识别信息的附加用途和保留期限的完整描述。应避免功能扩大或生物特征识别信息的扩展使用，例如可以确定主体的健康或遗传的信息。存储生物特征识别信息通常存储在数据存储子系统中，如图1所示，然而，该子系统可能是分布式子系统。为了满足个人信息保护要求，在存储过程中，可能需要将信息识别为个人敏感信息。有关组织应将所收集的生物特征识别信息与主体的其他个人信息进行逻辑或物理分离，以减少组合信息受损对个人信息的安全影响。有必要采取适当保护措施，以确保生物特征参考及其相关IR的保密性和完整性。为了对生物特征样本的非法分布和滥用进行追踪，可以采用附录E中所述的生物特征识别水印方案。存储个人生物特征识别信息时，应采取技术措施处理后再进行存储，例如仅存储个人生物特征识别信息的摘要。除非确有必要，否则应避免存储生物特征样本。归档与数据备份归档是指对生物特征识别信息进行长期或永久存储的过程。当组织在获取主体同意后收集生物特征识别信息时，该项同意可包含一个到期日期，以便指定所采集的生物特征识别信息的存储期限。在过期数据之外保存归档的生物特征识别信息可能会违反同意条件并造成侵犯个人信息安全的风险。已归档生物特征识别信息的访问限制也应与等效的操作生物特征识别信息相同。尽管与归档的原因不同，但如果备份数据在过期时没有进行充分的保护和处理，数据备份会对个人信息造成类似的威胁。系统安全与隐私政策应解决安全存储和控制对包含生物特征识别和其他个人信息的存档和备份数据的访问。废弃在以下情况下，生物特征识别信息披露的组织或第三方应安全地处理生物特征识别信息：生物特征识别信息的收集目的已经实现或确定为不必要；生物特征识别信息的保留期限已过期；主体撤回对生物特征识别信息收集的同意权，或者生物特征识别信息的使用改变，但是生物特征识别信息的主体不同意使用新的信息。在处理所存储的生物特征识别信息的过程中，有必要确保对所有相关数据进行识别与安全处理，尤其是在分布式存储的情况下。系统安全与隐私政策应指定待废弃数据清单中的生物特征识别以及其他个人信息。此类信息应包括归档和备份数据。策略还应对适当的程序和保障措施进行说明，以确保数据的完整和安全处理。生物特征识别系统所有者责任生物特征识别系统所有者应负责生物特征识别信息的适当管理，以保护信息并保障主体在组织内对生物特征识别信息的权利。为满足这些义务，生物特征识别系统所有者应：向主体提供在信息的生命周期内控制其生物特征识别信息的方法，包括向第三方提供此类信息时。这意味着在收集生物特征识别信息时，生物特征识别系统所有者应取得主体的同意。提供同意撤回的机制。除非法律法规或服务的条款另有规定，否则主体可在其认为有必要时请求从接收生物特征识别信息的组织或任何第三方处撤回其同意。生物特征识别系统所有者应为主体提供适当的手段，以帮助主体提出此类请求并从生物特征识别系统中移除相应的生物特征识别信息。提供适当的安全措施，从而防止对生物特征识别信息和相关的生物特征识别系统本身的保密性、完整性和可用性造成攻击。最大程度确保用于识别或验证决策的信息是完整、准确和最新的。在这种情况下，信息指的是个人信息以及与主体相关的生物特征识别信息。低质量的生物特征参考可能会导致系统接受攻击者，进而对主体的个人信息安全造成影响。对主体访问其生物特征识别信息的任何请求做出响应。主体可以要求生物特征识别系统所有者允许查看自己的生物特征识别信息，询问生物特征识别信息的使用细节或向第三方转移生物特征识别信息，并在必要时对信息中的任何错误进行纠正。不得共享、转让个人生物特征识别信息，不得公开披露个人生物特征识别信息。对任何导致主体生物特征识别信息受损的违规行为进行。生物特征识别系统所有者应向主体通知涉及主体生物特征识别信息盗窃、丢失、损坏、未经授权披露或未经授权修改的任何违规行为。生物特征识别系统应用模型与安全要求生物特征识别系统应用模型生物特征识别系统可以通过考虑生物特征信息和身份的位置来分类、引用和比对，如表5所示。在安全性方面，在转移或存储过程中，每个模型都具有与管理生物特征参考和身份参考相关的特定优势和劣势。从概念上而言，存在许多模型，本标准仅考虑了目前在实际应用中部署的八种模型。生物特征识别系统的应用模型存储服务器客户端令牌分布式比对服务器ABG客户端CDEH令牌F部署地点可以描述如下：服务器是一个通过网络与客户端进行远程连接的计算机。“生物特征识别鉴别服务器”是服务器的一种形式。客户端是执行通用操作系统的PC或其等同物。客户端的本质属性在于其为生物特征识别系统提供前端服务，并与服务器或令牌交互。生物特征识别传感器单元可以连接至或嵌入客户端。在本标准中将PDA和某些智能手机考虑为客户端。令牌是一种便携式物理设备，它可以支持生物特征参考存储，并且在某些情况下允许进行生物特征识别比对。生物特征识别存储令牌包括USBKey、电子护照和智能卡。智能卡可以集成卡上比对应用程序，用于生物特征识别比对和决策。注：可将通过接口连接到客户端的生物特征识别传感器和客户端内的嵌入式传感器模块视