国家标准计划《信息技术 安全技术 生物特征识别信息的保护要求》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 北京赛西科技发展有限责任公司 、广州广电运通金融电子股份有限公司 、浙江蚂蚁小微金融服务集团股份有限公司 、中国电子技术标准化研究院 、联想(北京)有限公司 、国民认证科技(北京)有限公司 。
35 信息技术、办公机械 |
35.040 字符集和信息编码 |
本标准修改采用ISO/IEC国际标准:ISO/IEC 24745:2011。
采标中文名称:信息技术 安全技术 生物特征识别信息的保护要求。
随着互联网成为日常生活的一部分,各种服务正在通过以互联网方式提供,如网上银行,远程医疗等。
为了保障这些服务的安全,需要主体之间的身份鉴别机制。
目前已经开发的鉴别机制包括基于令牌的方案、个人身份和交易号码(PIN / TAN)、基于公钥的数字签名方案以及使用生物特征识别技术的认证方案等。
生物特征识别技术,包括基于行为和生理特征的个体自动识别特征已经成熟,这些生物特征信息包括指纹图像、语音、虹膜图像、面部图像等。
生物识别技术的成本一直在下降,它们的可靠性一直在增加,用作身份鉴别机制是可行的。
生物特征身份鉴别引入了隐私和鉴别保障之间的潜在差异。
一方面,生物特征理想上是一个不变的属性,与个人相关联而且不同。
凭证与人员的这种绑定提供了强有力的认证保证。
另一方面,这种强大的约束力也对生物识别系统的安全性提出了挑战,如非法处理生物特征数据等。
通常的更改密码或发新令牌解决办法是不可用于生物识别认证,因为生物特征,无论是内在的生理特性或个人行为的特点,难以或不可能改变。
可以注册另一个手指或眼睛,但是选择通常是有限的。
因此,采取适当的对策来维护一个安全的生物识别系统和保障数据的隐私是至关重要的。
生物识别系统通常将生物识别关联信息与其他个人识别信息(PII)绑定在一起,以认证个人。
在这种情况下,需要绑定来确保包含生物信息记录的安全性。
生物识别关联信息与其他PII和共享的联系越来越多,生物识别信息使组织带来了新的挑战,以保证生物信息的安全,并遵守各种隐私条例。
本标准规范统一的生物特征识别信息的安全保护要求,从而实现安全、便捷、统一的生物识别信息安全保护框架,提高安全性,促进产业健康发展。
标准范围: 本标准规范了生物特征识别信息的安全保护要求,包括生物特征识别系统的威胁和对策,生物特征信息和身份主体之间安全绑定的安全要求,应用模型以及隐私保护要求等。 本标准适用于生物特征识别系统的设计、开发与集成。 本标准不包括与物理安全有关的一般管理问题,以及密码技术的环境安全和密钥管理。 主要技术内容: 主要技术内容包括:生物特征识别系统的威胁和对策,生物特征信息和身份主体之间安全绑定的安全要求,应用模型以及隐私保护要求等。 作为个人身份信息,生物特征信息的收集,转让,使用,存储和处置受各种隐私和数据保护的法律和法规管辖。生物识别技术的所有部署应该是按照所有适用的法律法规执行。 生物识别系统通常由五个子系统组成:生物特征数据采集子系统、信号处理子系统、数据存储子系统、比较子系统、决策子系统。 生物识别系统涉及三个主要功能过程: - 注册过程:创建和存储一个人的注册数据,按照注册策略记录是谁的采集过程。主体通常呈现他/她的生物统计学特征。获取的生物特征样本被处理以提取登记数据库中的特征作为身份参考。 - 标识过程:根据获取和提取的生物特征搜索登记数据库,返回候选人列表。候选人名单由个人匹配、比较子系统中的特征,并且具有比预定义更高的相似度得分阈值。 - 验证过程:测试生物特征获取过程的主体,与生物特征参考进行比较,以确定声称人身份。