GB/T36651-2018
信息安全技术基于可信环境的生物特征识别身份鉴别协议框架
Informationsecuritytechniques—Biometricauthenticationprotocolframeworkbasedontrustedenvironment
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2019-05-01
- 文件格式PDF
- 文本页数24页
- 文件大小1.50M
以图片形式预览信息安全技术基于可信环境的生物特征识别身份鉴别协议框架
信息安全技术基于可信环境的生物特征识别身份鉴别协议框架
国家标准 GB/T36651一2018 信息安全技术基于可信环境的生物特征 识别身份鉴别协议框架 Informationsecuritytechniques一Biometricauthenticationprotocol frameworkbasedontrustedenvironmment 2018-10-10发布 2019-05-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB/36651一2018 目 次 前言 范围 2 规范性引用文件 3 术语和定义 缩略语 协议框架 5.1概述 5.2注册 5.3鉴别 5,4注销 协议流程和规则 6.1注册流程 6,2鉴别流程 6.3注销流程 协议接口 7.1概述 7.2生物特征识别密钥管理器接口 附录A(资料性附录)协议消息 附录B(资料性附录)协议消息相关数据结构 附录c资料性附录协议接口 19 参考文献 2
GB/36651一2018 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位:科学院数据与通信保护研究教育中心、银联股份有限公司、联想(北京 有限公司,浙江蚂蚁小微金融服务集团有限公司、国民认证科技(北京)有限公司,北京数字认证股份有 限公司、华为技术有限公司、三六零科技股份有限公司、信息通信研究院、数安时代科技股份有限公 司、广州广电运通金融电子股份有限公司、北京旷视科技有限公司
本标准主要起草人:荆继武、刘丽敏、回春野、杨楠、钱文飞、李俊、陈星、辛知傅大鹏、常新苗、程斌、 张屹、傅山、张永强、林冠辰、张鑫
GB/36651一2018 信息安全技术基于可信环境的生物特征 识别身份鉴别协议框架 范围 本标准规定了基于可信环境的生物特征识别身份鉴别协议框架,包括协议框架、协议流程、协议规 则以及协议接口等内容
本标准适用于生物特征识别身份鉴别服务的开发、,测试和评估
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T25069一2010信息安全技术术语 术语和定义 GB/T250692010界定的以及下列术语和定义适用于本文件
3.1 可信环境trustedenviromment 用户设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性,完整性和可用性等,如可 信执行环境(TEE)、安全元件(SE)、可信密码模块(TCM)或其他具备安全边界的保护区域
3.2 生物特征识别身份鉴别biometrieauthentieationm 采用生物特征识别技术对用户的身份进行鉴别
3.3 生物特征识别密钥管理器biometricauthentieationkeymanager 负责维护身份鉴别服务器鉴别用户时需要的相关信息(例如密钥)的实体
3,4 1anageridentifier 生物特征识别密钥管理器标识符biometricauthentieation nkesy 用来标识生物特征识别密钥管理器,供身份鉴别服务器检索厂商公钥及生物特征识别密钥管理器 相关信息
3.5 用户设备userdeviee 包含生物特征识别密钥管理器的计算设备
3.6 依赖方relyingparty 依赖于其他实体(例如身份鉴别服务器)提供的关于用户的鉴别结果,对用户所使用的资源或者系 统进行授权的实体
3. 应用程序标识符applieationidentifier 该标识符使用统一资源定位符表示,用来唯一标识依赖方的某一应用程序
GB/T36651一2018 3.8 身份服务提供方identityprovider 提供身份管理服务的实体
3.9 生物特征识别器 biometricmatcher 利用人体所固有的生理特征或行为特征来进行个人身份识别的组件
3.10 生物特征识别身份鉴别服务器biomet ricauthenticationseryer 部署在依赖方或者身份服务提供方的生物特征识别身份鉴别服务软件
注:本标准中简称“身份鉴别服务器”
3.11 鉴别器authentieator 由生物特征识别密钥管理器及其相关联的生物特征识别器组成的实体
3.12 发现discovery 身份鉴别服务器确定用户设备是否支持本协议,若支持则获取生物特征识别密钥管理器相关信息 的过程
3.13 鉴别公钥 userauthentieationpublickey 生物特征识别密钥管理器在用户注册过程中生成的密钥对的公钥
3.14 鉴别私钥userauthenticationprivatekey 生物特征识别密钥管理器在用户注册过程中生成的密钥对的私钥
3.15 密钥注册keyregistratonm 生物特征识别密钥管理器将其产生的鉴别公钥安全传输到身份鉴别服务器并安全存储的过程
3.16 密钥注册数据keyregistrationdata 由生物特征识别密钥管理器构建的与密钥注册有关的数据,包含生物特征识别密钥管理器的标识 符,新生成的鉴别公钥,以及其他一些与生物特征识别密钥管理器相关的数据
注:例如生物特征识别密钥管理器使用的密码算法以及注册计数器和签名计数器的值等 3.17 注册计数器registrationcounter 生物特征识别密钥管理器的单调递增的计数器
每使用生物特征识别密钥管理器进行一次注册操 作,该计数器值递增一次
3.18 服务器挑战sererchalene 身份鉴别服务器在身份鉴别协议请求中提供的随机值
3.19 签名计数器sigcounter 生物特征识别密钥管理器的单调递增的计数器
每使用一次鉴别私钥该计数器值递增一次
3.20 用户验证 Iser verifieatiom 生物特征识别密钥管理器使用生物特征识别器识别用户
GB/36651一2018 3.21 厂商公钥vendorpublickey 用户设备的制造厂商在生物特征识别密钥管理器中预先植人的用于证明生物特征识别密钥管理器 身份的密钥对的公钥
3.22 厂商私钥 ”privatekey Vend0r 用户设备的制造厂商在生物特征识别密钥管理器中预先植人的用于证明生物特征识别密钥管理器 身份的密钥对的私钥
缩略语 下列缩略语适用于本文件 ApID应用程序标识符(Applieationldentifer ASN.l;抽象语法标记(AbstractSyntaxNotationOne BAP:生物特征识别身份鉴别协议(BiometricAuthenticationProtocol BAPV:生物特征识别身份鉴别协议版本(BiometricAuthenticationProtocolVersion bkmlD;生物特征识别密钥管理器标识符(BAPKeyManagerldentifier dP:身份服务提供方(IdentityProvider) IPSec:IP安全协议InternetProtocolSecurity KeylID:密钥标识符(KeyIdentifier KRD:密钥注册数据KeyRegistrationData SE:安全元件(SecureElement ssL;安全套接层(SecureSoeketsLayer) TE;可信环境(TrustedEnvironment) TIs;安全传输层协议(TransportLayerSecurity TCM可信密码模块(TrustedCryptographyModule VPN;虚拟专用网络(VirtualPrivateNetwork) S 协议框架 5.1概述 本标准定义基于可信环境的生物特征识别身份鉴别协议,不规定可信环境(TE)的实现方式
本标 准规定可信环境中的生物特征识别密钥管理器应完成的功能以及功能接口参数,不规定具体实现方式
本标准不规定生物特征识别器验证用户的方式
协议框架如图1所示,在基于可信环境的生物特征识 别身份鉴别协议框架中,用户使用用户设备通过用户代理访问依赖方提供的应用,依赖方使用身份服务 提供方(IdP)提供的身份鉴别服务对用户的身份进行鉴别
用户代理可以是安装在用户设备上的浏览 器或者其他应用
可信环境部署在用户设备内,用于提供安全可靠的环境,保证用户信息的安全性
图 中虚线框内表示鉴别器,包括生物特征识别密钥管理器和生物特征识别器
生物特征识别器将生物特 征识别结果返回给生物特征识别密钥管理器
生物特征识别密钥管理器应部署在可信环境中
生物特 征识别器可以部署在可信环境中,也可以在可信环境外部部署
生物特征识别密钥管理器和依赖方可 针对生物特征识别器部署的位置采取不同的安全策略,本标准不规定安全策略的相关内容
GB/T36651一2018 依赖方(RP 用户设备 依粮方RP 可信环境(TE) 依赖方(RP 鉴别器 用户代理 身份服务提供方c(ldPc 生物特征识别密钥管理器 身份服务提供方BIdPBD 身份服务提供方AldPA) 身份鉴别服务器 生物特 生物特 征识别 征识别 器人 器mn 生物特 生物特 征识别 征识别 器1 器n 用户 图1协议框架 在协议框架中,身份鉴别服务器和生物特征识别密钥管理器直接创建或处理身份鉴别协议消息 身份鉴别服务器可以由依赖方(即依赖方本身也是IdP的情况)实现,也可以由与依赖方具有 信任关系的IdP实现,图1中描述的是由与依赖方具有信任关系的IdP实现的场景
身份鉴 别服务器中存储有用户的鉴别公钥,该公钥是用户在使用生物特征识别密钥管理器向身份鉴 别服务器注册时,生物特征识别密钥管理器生成的鉴别公钥
生物特征识别密钥管理器集成在可信环境中,存储有厂商私钥和鉴别私钥
鉴别私钥是用户 在使用该生物特征识别密钥管理器向身份鉴别服务器注册时,生物特征识别密钥管理器生成 的鉴别私钥用于身份鉴别服务 务器鉴别用户的身份
生物特征识别密钥管理器可以与多个生 物特征识别器进行交互 本标准不规定ldP将身份鉴别协议消息递交给生物特征识别密钥管理器的具体实现方式
例如 当身份鉴别服务器属于独立于依赖方的IdP时,依赖方可将用户设备使用重定向机制重定向到身份鉴 别服务器,使得身份鉴别服务器可以直接与用户设备交互,从而将身份鉴别协议消息递交给生物特征识 别密钥管理器;当依赖方内部部署ldP时,应保证转发信息的安全性
本标准凡涉及密码算法 按国家有关法规实施;凡涉及采用密码技术解决保密性、完整 的相关内容 性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准
基于可信环境的生物特征识别身份鉴别协议由生物特征识别密钥管理器和身份鉴别服务器之间的 三种会话组成
在进行这三种会话前,身份鉴别服务器通过调用发现方法检查用户设备是否支持本协 议
三种会话如下 注册;用户将生物特征识别密钥管理器生成的鉴别公钥注册到身份鉴别服务器 -鉴别:用户使用已注册的生物特征识别密钥管理器进行身份鉴别 注销;用户将注册到身份鉴别服务器的鉴别公钥删除
在这三种会话的协议流程中,协议参与方应保护协议消息数据的机密性,宜采用安全传输层协议 TLS),安全套接层虚拟专用网络(SSLVPN)或者IP安全协议(IPSee)协议
生物特征识别密钥管理 器在收到身份鉴别服务器的消息时,应对身份鉴别服务器的真实性进行验证,本标准中涉及生物特征识 别密钥管理器验证身份鉴别服务器真实性的方法,宜采用证书方式或者其他可以验证身份鉴别服务器 真实性的方法
GB/36651一2018 5.2注册 在用户向身份鉴别服务器进行注册的流程中,用户使用的生物特征识别密钥管理器创建 一对新的 鉴别公私钥并且将鉴别私钥保存在生物特征识别密钥管理器中,将鉴别公钥注册在身份鉴别服务器中 注册流程见图2,协议消息参见附录A
生物特征识别 钥管理器 身份鉴别 用户代理 依赖方 服务器 生物特征识别器 用户 图2注册流程 注册流程如下: 用户使用用户设备中的用户代理访问依赖方,当用户需要进行生物特征识别身份鉴别注册时 a 依赖方将用户定向到身份鉴别服务器(可以使用HTTP重定向方式将用户设备重定向到身份 整别服务器,或者使用消息转发方式y 身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送注册请求消息;用户设备的生 b 物特征识别密钥管理器在收到身份鉴别服务器的注册请求消息时,验证身份鉴别服务器的真 实性,验证通过则提示用户选择可用的生物特征识别器,否则拒绝该消息
用户选择合适的生物特征识别器,使用生物特征识别信息解锁生物特征识别密钥管理器(如果 用户之前未将生物特征识别信息登记到该生物特征识别器,则进行登记;如果用户已进行登 用户生 物特征识别验证成功后,生物特征识别密钥管理器创建 与生物特征识别密钥管理器、身份 鉴别服务器相关联的唯 鉴别私钥保存在本地的生物特征识别密钥管理器,并 且不允许从生物特征识别密钥管理器导出
如果生物特征识别密钥管理器没有能力保存鉴别 私钥,则该生物特征识别密钥管理器将鉴别私钥进行加密,然后将加密后的鉴别私钥保存在用 户设备中,用于加密用户私钥的密钥则保存在生物特征识别密钥管理器中并且不允许从生物 特征识别密钥管理器导出 生物特征识别密钥管理器生成密钥注册数据密钥注册数据中包含上一步生成的鉴别公钥). 然后生成注册响应消息(注册响应消息中包含密钥注册数据,以及使用厂商私钥对密钥注册数 据进行签名的签名值),将注册响应消息发送到身份鉴别服务器
身份鉴别服务器使用厂商公钥验证注册响应消息中的签名,签名正确则提取出鉴别公钥并保 存该鉴别公钥(同时应保存该鉴别公钥与用户之间的对应关系). 5.3鉴别 在鉴别流程中,用户通过生物特征识别密钥管理器使用鉴别私钥对服务器挑战签名,向身份鉴别服 务器证明其拥有该私钥,完成身份鉴别过程
鉴别流程见图3,协议消息参见附录A
GB/T36651一2018 生物特征识别密 钥管理器 身份鉴别 用户代理 依校方 服务器 生物征别 用户 图3鉴别流程 鉴别流程如下 用户使用用户设备中的用户代理访问依赖方,当用户需要进行生物特征识别身份鉴别时,依赖 a 方将用户定向到身份鉴别服务器(可以使用HTTP重定向方式将用户设备重定向到身份鉴别 服务器,或者使用消息转发方式 b 身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送鉴别请求消息;用户设备的生 物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别服务器的真 实性,验证通过则提示用户选择可用的生物特征识别器,否则拒绝该消息
用户选择合适的生物特征识别器,使用生物特征识别信息解锁生物特征识别密钥管理器,生物 特征识别密钥管理器选择相应的鉴别私钥对服务器挑战签名
生物特征识别密钥管理器将签名后的挑战发送到身份鉴别服务器
d e 身份鉴别服务器使用相应的鉴别公钥对签名验证成功后,用户鉴别成功
5.4注销 在注销流程中,身份鉴别服务器删除相应的鉴别公钥,生物特征识别密钥管理器删除相应的鉴别私 钥
注销流程见图4,协议消息参见附录A
用户 身份鉴别 依赖方 用户代理 生物特征识别密 服务器 钥管理器 图4注销流程 注销流程如下 a 用户在身份鉴别成功后,发起注销流程,依赖方将用户定向到身份鉴别服务器(可以使用 HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式. 身份鉴别服务器制除相应的鉴别公钥,并向生物特征识别密钥管理器发送注销脖求消息
用 b 户设备的生物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别 服务器的真实性,验证通过则删除相应的鉴别私钥,否则拒绝该消息 6 协议流程和规则 6.1注册流程 6.1.1概述 图5描述用户注册流程(图中实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息
GB/36651一2018 流由图例中的右侧实体到左侧实体或者是重定向消息流,双向箭头表示两个实体进行交互以完成某操 作),其中步骤a)步骤d)是用户使用已注册的账户(使用用户名口令或者数字证书进行身份鉴别的账 户)登陆身份鉴别服务器的过程
身份签别 生物特征识别 依赖方 服务器 密钥管理器 图5注册详细流程 注册流程如下: 用户访问依赖方,发起注册流程; a 依赖方将用户导向到身份鉴别服务器; b 身份鉴别服务器验证用户身份如;可使用用户名口令、数字证书等方式,或用户重新注册一个 c 新的账户); 身份鉴别服务器验证用户通过后,生成注册请求消息, d 身份鉴别服务器将注册请求消息发送至生物特征识别密钥管理器; e 生物特征识别密钥管理器发起本地用户校验,提示用户使用生物特征识别信息进行身份验证; 用户提交生物识别信息,例如指纹、虹膜等信息 g 生物特征识别密钥管理器验证用户提交的生物识别信息、验证通过后,生成一对新的鉴别公 h 私钥,然后生成注册响应消息,注册响应消息中包含使用厂商私钥对鉴别私钥等信息的签名; 生物特征识别密钥管理器将注册响应消息返回给身份鉴别服务器; 身份鉴别服务器使用厂商公钥验证注册响应消息,验证成功后存储相关信息,否则返回错误 j 信息; kk 身份鉴别服务器将结果返回给依赖方
6.1.2注册流程处理规则 6.1.2.1身份鉴别服务器生成注册请求规则 身份鉴别服务器生成注册请求应遵循以下步骤 创建注册请求消息,并初始化注册请求消息的各个参数,至少应包括服务器挑战等参数(参见 a 附录A); 将注册请求消息发送给生物特征识别密钥管理器
b 6.1.2.2生物特征识别密钥管理器处理注册请求规则 生物特征识别密钥管理器处理注册请求应遵循以下步骤 验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息; a b 解析注册请求消息,判断注册请求消息是否包含必要的参数以及每个参数是否符合要求,若 符合要求则执行以下步骤,否则拒绝该消息 提示用户选择生物特征识别器,用户选择后,使用用户选择的生物特征识别器验证用户,验证
GB/T36651一2018 通过后执行以下操作,否则返回错误 d 创建注册响应消息,并根据注册请求消息的参数初始化注册响应消息的参数 将注册响应消息发送给身份鉴别服务器
e 6.1.2.3身份鉴别服务器处理注册响应规则 身份鉴别服务器处理注册响应应遵循以下步骤 解析注册响应消息,判断注册响应消息是否包含必要的参数以及每个参数是否符合要求,若符 a 合要求则执行以下步骤,否则拒绝该消息; b 使用厂商公钥验证注册响应消息中签名的正确性; 如果注册响应消息通过验证,将相关信息保存在身份鉴别服务器
6.2鉴别流程 6.2.1概述 图6描述鉴别流程(图中流程实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息 流由图例中的右侧实体到左侧实体或者是重定向消息流》
身份鉴别 生物特征识别 N器 依校力 密句管理器 图6鉴别详细流程 鉴别流程如下 用户访问依赖方,发起鉴别流程, a) b) 依赖方将用户导向到身份鉴别服务器 身份鉴别服务器生成鉴别请求消息, c d 身份鉴别服务器将鉴别请求消息发送至生物特征识别密钥管理器; 生物特征识别密钥管理器发起本地用户校验,提示用户使用生物特征识别信息进行身份验证; e 用户提交生物识别信息,例如指纹、虹膜等信息 f 生物特征识别密钥管理器验证用户提交的生物识别信息,验证通过后,生成鉴别响应消息; 日 生物特征识别密钥管理器将鉴别响应消息返回给身份鉴别服务器; h 身份鉴别服务器验证鉴别响应消息; 身份鉴别服务器将结果返回给依赖方 6.2.2鉴别流程处理规则 6.2.2.1身份鉴别服务器生成鉴别请求规则 身份鉴别服务器生成鉴别请求应遵循以下步骤 创建鉴别请求消息,并初始化鉴别请求消息的各个参数,至少应包括服务器挑战等参数(参见 a
GB/36651一2018 附录A); b 将鉴别请求消息发送给生物特征识别密钥管理器
6.2.2.2生物特征识别密钥管理器处理鉴别请求规则 生物特征识别密钥管理器处理鉴别请求应遵循以下步骤 验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息 a b 解析鉴别请求消息,判断鉴别请求消息是否包含必要的参数以及每个参数是否符合要求,若 符合要求则执行以下步骤,杏则拒绝该消息; 提示用户选择生物特征识别器,用户选择后,使用用户选择的生物特征识别器验证用户,验证 通过后执行以下操作,否则返回错误 创建鉴别响应消息,并根据鉴别请求消息的参数初始化鉴别响应消息的各个参数 d 将鉴别响应消息发送给身份鉴别服务器
6.2.2.3身份鉴别服务器处理鉴别响应规则 身份鉴别服务器处理鉴别响应应遵循以下步骤: 解析鉴别响应消息,判断鉴别响应消息是否包含必要的参数以及每个参数是否符合要求,若符 a 合要求则执行以下步骤,否则拒绝该消息; b 使用鉴别公钥验证鉴别响应消息的正确性; 如果验证通过,则鉴别成功,否则失败
6.3注销流程 6.3.1概述 图7描述注销流程(图中流程实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息 流由图例中的右侧实体到左侧实体) 身份鉴别 生物特征识别 然依物 代 服务盛 来们理器 [用广 图7注销详细流程 注销流程如下 用户登陆身份鉴别服务器,发起注销流程; aa 身份鉴别服务器生成注销请求消息,删除与该用户相关的数据; b 身份鉴别服务器将注销请求消息发送至生物特征识别密钥管理器 c 生物特征识别密钥管理器删除用户相关数据
6.3.2注销流程处理规则 6.3.2.1身份鉴别服务器生成注销请求规则 身份鉴别服务器生成注销请求应遵循以下步骤
GB/T36651一2018 创建注销请求消息,并初始化注销请求消息的各个参数(参见附录A); a b 删除身份鉴别服务器上与该用户相关的数据 c 将注销请求消息发送到生物特征识别密钥管理器
6.3.2.2生物特征识别密钥管理器处理注销请求规则 生物特征识别密钥管理器处理注销请求应遵循以下步骤 解析注销请求消息,判断注销响应消息是否包含必要的参数以及每个参数是否符合要求,若符 a 合要求则执行以下步骤,否则拒绝该消息; b 删除用户的相关数据
协议接口 7.1概述 本协议的主要接口是生物特征识别密钥管理器接口,关系如图8所示 生物特征识别 生物特征识别密钥管理器 身份签别服务器 密钥管理器接口 身份服务提供方dP 生物特征 生物特征 识别器1 识别器" 用户 图8协议接口 生物特征识别密钥管理器接口是生物特征识别密钥管理器提供给身份鉴别服务器的接口,身份鉴 别服务器可以通过用户代理例如浏览器)调用该接口完成本协议规定的操作
7.2生物特征识别密钥管理器接口 7.2.1概述 本章定义了生物特征识别密钥管理器的接口,该接口包含三个方法,分别是发现方法、执行操作方 法和通知结果方法
7.2.2发现方法 身份鉴别服务器调用该方法,检查用户设备是否支持本协议,该方法的参数参见附录c
7.2.3执行操作方法 身份鉴别服务器调用该方法,执行本协议的注册操作、鉴别操作或者注销操作
该方法的参数包括 传递的协议消息,示例参见附录C
7.2.4通知结果方法 当身份鉴别服务器接收并处理协议消息后,应调用该方法,将身份鉴别服务器的处理结果返回给生 物特征识别密钥管理器
该方法的参数包括服务器的处理结果,示例参见附录c 10
GB/36651一2018 附 录 A 资料性附录 协议消息 本附录所有数据格式采用GB/T162622006的规定描述
A.1协议消息 协议消息是本协议的各个参与方交互时传递的消息,ASN.1描述如下 BAPMessage:;=SEQUENCE OCTETSTRING. bapProtocolMessage additionalData CTETSTRING apProtoolMesage;协议消息,例如注册请求消息(参见A.2),注册响应消息(参见A.3),鉴别请 求消息(参见A.4),鉴别响应消息(参见A.5),注销请求消息(参见A.6)等
additionalData;附加参数
注册请求消息 RegistrationRequest::=SEQUENCE header OperationHeader, challenge PrintableString, PrintableString sername leader;操作头,header.op的值应为“Reg",.AsN.1描述参见B4 ehallenge;身份鉴别服务器提供的挑战值
username,用户在某依赖方的账号名称
A.3注册响应消息 RegistrationResponse:;=SEQUENCE header OperationHeader, FinalChallengeParams, fcParams assertion RegistrationAssertion header;操作头,header.op应为“Reg”,ASN.1描述参见B.4
eParams;最终挑战参数FinalChallengeParams,ASN.1描述参见B.5
该参数使用UTF8编码 然后使用[RFC4627]定义的序列化方法序列化后,再使用base64url[RFC4648]对其进行编码后的值
tions:注册请求断言,生物特征识别密钥管理器的响应数据,ASN.1描述如下 assert RegistrationAesertion:1=sEQUENCE assertionScheme PrintablString(BAPv1TLv RegAssertion" assertion 11
GB/T36651一2018 sSEQUENCEOFExtensionOPTIONAL. eXts assertionSche neme;用来编码断言的断言模式名称,该值为“BAPV1TLV” exts;生物特征识别密钥管理器支持的扩展,ASN.1描述参见B.3 assert tion;注册断言,.ASN.1描述如下 RegAssert tion:;= krd KRD. BITSTRING sig krd:密钥注册数据,ASN.1描述参见B.9. ig;使用厂商私钥对krd进行签名后的签名值
A.4鉴别请求消息 AuthenticationRequest:;=SEQUENCE header OperationHeader, chalenge PrintableString header;操作头,header.op的值应为“Auth”,ASN.1描述参见B.4
hallenge;服务器提供的挑战值
A.5鉴别响应消息 AuthenticationResponse;;=sEQUENCE header OperationHeader, FinalChallengeParams, fcParams assertions AuthAssertion header;操作头,header.op应为“Auth”,ASN.1描述参见B.4
fcParams;最终挑战参数FinalChallengeParams,ASN.1描述参见B.5
该参数使用UTF8编码, 然后使用[RFC4627]定义的序列化方法序列化后,再使用base64url[RFC4648]对其进行编码后的值
assertions;AuthAssertion对象,生物特征识别密钥管理器针对鉴别请求生成的签名断言,ASN.1 描述如下 AuthAssertion:;=SEQUENCE assertionSchemme PrintableString(BAPV1TLV). SignAssertion, assertion sSEQUENCEOFExtensionOPTIONAL. exts assertionScheme;用来编码断言的断言模式名称,该值为“BAPV1TV” exts;生物特征识别密钥管理器支持的扩展,ASN.1描述参见B.3
assertion;生物特征识别密钥管理器针对鉴别请求数据生成的签名断言,ASN.1描述如下 Sign" .ssertion:;= sgnData SignData, 12
GB/36651一2018 B1TSTRING sig sgnData.待签名数据.AsN.l描述参见B.10. sig;使用鉴别私钥对signData进行签名后的签名值
A.6注销请求消息 SEQUENCE DeregistrationRe equest:;一 header OperationHeader, iterBAPKeyManager bapKeyManagersSEQUENCEOFDer regIs header:操作头,header.op应为“Dereg”,ASN.1描述参见B.4
bapKeyManagers: 要注销的生物特征识别密钥管理器(DeregisterBAPKeyManager)列表,Deregis terBAPKeyManager的ASN.1描述如下 DeregisterBAPKeyManager::=SEQUENCE bkmaID PrintableString keylD PrintableString bkmaD;要注销的生物特征识别密钥管理器的生物特征识别密钥管理器标识符(bkmID) keyD:与鉴别私钥相关联的唯一的密钥标识符(KeyID),对于具有相同bkmlD的生物特征识别密 钥管理器,KeyID是唯一的
13
GB/T36651一2018 附 录 B 资料性附录) 协议消息相关数据结构 本附录是协议消息相关数据结构的ASN.1描述 B.1版本 ersion::=SEQUENCE INTEGER major INTEGER minor major:主要版本
minor:次要版本 本标准的协议主要版本为1,次要版本为0. B.2操作类型 PrintableStrng(Register(Rcg),Ahenticeation(Ah).Deregister(Dereg)7 Operation::= 本标准有以下三种操作类型 注册 Reg: Auth:鉴别 Dereg:注销 B.3扩展 Extension:;=SEQUENCE id PrintableString, data PrintableString, ailL_if_unknownB0oLEAN 该结构描述的是在各种操作中使用的通用扩展
id;扩展的标识符
data;该值可包含任意字符串,身份鉴别服务器和生物特征识别密钥管理器应对该值的语义协商一 致
该值可以为空
ailL_if_unknown;当fail_if_unknown是false时表示未知扩展应被忽略,当fail_if_unknown是 TRUE时表示未知扩展应导致错误
B.4操作头 SEQUENCE OperationHeader: Version, bapV 14
GB/36651一2018 Operation op PintabeString" aplD serverData PrinmtableStringoPTIoNAL. SEQUENCEOFExtensionOPTIONAI exts bapv;基于可信环境的生物特征识别身份鉴别协议版本,ASN.1描述参见B.1
op;值应为“Reg”,“Auth”或者“Dereg”
基于可信环境的生物特征识别身份鉴别协议操作的类型. ASN.1描述参见B.2. appID;依赖方应用程序标识符 erverData依赖方创建的会话标识符
扩展名列表,ASN.1描述参见B.3
exts B.5最终挑战参数 FinalChallengeParams::=SEQUENCE PrintableString, appID PintabesString challenge ppD该参数值设置为操作头的apD参数值 ehallenge;该参数值设置为注册请求或鉴别请求中的服务器挑战参数值,服务器挑战是服务器提供 的随机参数值
B.6生物特征识别密钥管理器信息 身份鉴别服务器可以获取生物特征识别密钥管理器相关信息,例如生物特征识别密钥管理器厂商 在生成厂商密钥时所使用的相关算法和信息,以及生物特征识别密钥管理器生成鉴别公私钥时所使用 的相关算法和信息
身份鉴别服务器可以使用生物特征识别密钥管理器相关提供方的服务来获取这些 信息
B.7断言描述信息 Assertionlnfo:;=SEQUENCE Version version AuthenticationMode. mode signatureAlgAndEncoding INTEGER publiekeyAlgAndEncodingINTEGEROPTIONAL version;断言的版本,ASN.1描述参见B1
mode;断言模式
signatureAlgAndEneoding;该值代表签名算法相关信息,身份鉴别服务器和生物特征识别密钥管 理器应对该值的语义协商一致,即能够通过该值在身份鉴别过程中使用一致的签名算法和相关参数 publicKeyAlgAndEncoding;该值代表公钥算法相关信息,身份鉴别服务器和生物特征识别密钥管 理器应对该值的语义协商一致,即能够通过该值在身份鉴别过程中使用一致的公钥算法和相关参数 15
GB/T36651一2018 ubliekeyAgAndEncoding;用户验证方式.AsN.1描述如下 Authentication mnMole- INTEGERexplieitly(0x01 expliecitly;应进行显式的用户验证,例如指纹输人、虹膜扫描等
B.8生物特征识别密钥管理器计数器值 Counters:;=SEQUENCE6 INTEGER. Signl 1Counter RegCounter INTEGER SignCounter;签名计数器的值
RegCounter:注册计数器的值
B.9 密钥注册数据 KRD::=SEQUENCE bkmlD PrintableString, assertionlnfo Assertionlnfo. challengeHash BITSTRING, keylD PrintableString, counters Counters OcTETsTRING uauthPubKey bkmlD;生物特征识别密钥管理器标识符
ssertionlnfo;断言描述信息,AsN.1描述参见B.7
ehallengeHash;服务器挑战的杂凑值
keyID;鉴别私钥标识符
ounters;生物特征识别密钥管理器计数器值,ASN.1描述参见B.8. uauthPubKey;生成的鉴别公钥
B.10待签名数据 SignData:;=SEQUENCE bkmlD PrintableString assertionlnfo Assertionlnfo OcTETsTRING nonce OCTETSTRING. dhalengeHash PintableString keyID Co counters ounters bkmlD生物特征识别密钥管理器标识符
assert rtionlnfo;断言描述信息,ASN.1描述参见B.7 nonce;生物特征识别密钥管理器生成的随机临时参数值
16
GB/36651一2018 dhallengeHash;服务器挑战的杂凑值
keyID鉴别私钥标识符
counters;生物特征识别密钥管理器计数器值,ASN.1描述参见B.8 B.11 发现数据 DiscoveryDat SEQUENCE ata:;一 tedBAPVersions SEQUENCEOFVersion, support clientVendor PrintableString" clientVersion Version, avalableBAPKeyManager、sEQUENCEoFPrinmtableString" 描述: portedBAPVersions;支持的基于可信环境的生物特征识别身份鉴别协议版本,ASN.1描述参 supp 见B.1
dhntVvendor生物特征识别密钥管理器厂商 direntversion;生物特征识别密钥管理器版本
availableBAPKeyManagers;可使用的生物特征识别密钥管理器标识符
B.12错误码 ErorCode:;=INTEGER No_ERROR(0x0). wAIT_USER_AcTION(0xl). INsEcURE_TRANSPORT(0x2) USER_cANCELLED(0x3). UNsUPPORTED_VERSION0x4). NO_sUITABLE_BAPKEYMANAGER(0x5). PROrOcO1_ERROR(Ox6) UNTRUSTED_FACET_ID0x7). KEY_DISAPPEARED_PERMANENTIY(0x09). BAPKEYMANAGER_ACCESs_DENIED(Ox0c). USER_NOT_RESPONSIVE(0xOe). INSUFFICIENT_BAPKEYMANAGER_REsoURCES(0x0f). USER_L0CKOUT(0xl0) USER_NOT_ENROLLED(Oxll) UNKNOWN0xff 描述 NO_ERROR:操作完成,没有错误发生
wAIT_USER_ACTION;等待用户操作
INSECURE_TRANSPORT:不安全的传输,例如没有使用HTTPS. USER_CANCELLED;用户取消当前操作
17
GB/T36651一2018 UNsUPPORTEDVERSION生物特征识别密钥管理器不支持该版本的协议消息
NO_SUITABLE_BAPKEYMANAGER;没有与身份鉴别服务器策略相匹配的生物特征识别密钥 管理器 PRoTocOL_ERROR:发生协议错误
UNTRUSTED_FACET_ID;不受信任的依赖方应用程序
KEY_DISAPPEARED_PERMANENTLY:鉴别私钥丢失并且无法恢复
BAPKEYMANAGER_ACCESS_DENIED生物特征识别密钥管理器拒绝访问 USER_NOT__RESPONSIVE:用户长时间无响应
NsUFFICIENT_BAPKEYMANAGER_REsOURCES,生物特征识别密钥管理器没有足够的资 源执行操作
USER_LOCKOUT:由于用户锁定,操作无法执行
USER_N0T_ENROLLED用户没有登记 UNKNOWN:以上没有列出的其他错误
18
GB/36651一2018 附录 C 资料性附录 协议接口 生物特征识别密钥管理器接口定义 C.1 iinterfacebap voiddiscover(DiscoveryCalbackcompletionCalback,ErorCalbackerrorCalback). voidprocessBAPOperationBAPMessagenmessage,BAPResponseCalbackcompletionCal- Iback,ErrorCalbackerrorCallback); vodnoifyBAPResult(intresponseCode,BAPMessageBAPResponse); C.2发现方法 orCallback oiddiscover(DiscoveryCallback.completioncallack,Erorcallack error 身份鉴别服务器调用该方法,检查用户设备是否支持本协议,发现方法参数参见表C.1
表C.1发现方法参数 参数 类型 可为空 可选 描述 用于接收生物特征识别密钥 CI completionCalback 否 否 参见C.5) 管理器发现数据的回调 ErrorCallback 否 用于接收错误码和错误信息的回调 errorCalback 否 参见C.7 返回类型:void
c.3执行操作方法 BAPMe BAPRe voidprocessBAPOperation seCalbackcompletionCalback, essagemessage esponse ErrorCalbackerrorCalback 身份鉴别服务器调用该方法,执行本协议的三种操作,如注册操作、鉴别操作或者注销操作,执行操 作方法参数参见表C.2 表c.2执行操作方法参数 类型 可为空 参数 可选 描述 BAPMe 生物特征识别密钥管理器将处 lessage 否 否 message 参见A.l 理的BAPMessage BAPResponseCallback 用于接收生物特征识别密钥管理器发送 completionCalback 否 给ldP的身份鉴别服务器的响应消息 参见C.6 ErrorCallback 否 否 errorCallback 用于接收错误码和信息的回调 参见C.7 19
GB/T36651一2018 返回类型:void
C.4 通知结果方法 seCode,BAPMes oidnotifyBAPResultintrespons ssagebapResponse) 当身份鉴别服务器接收并处理协议消息后,应调用该方法,将身份鉴别服务器响应状态码返回给生 物特征识别密钥管理器,通知结果方法参数参见表C.3
表c.3通知结果方法参数 类型 可为空 参数 可选 描述 responseCode 否 否 服务器响应状态码 int 否 BAPMessage(参见A.1 该响应状态码对应的响应消息 bapResponse 返回类型:void
C.5DiscoveryCallback回调 DiscoveryCalback回调用于生物特征识别密钥管理器在异步执行完成发现过程后将发现数据返 回给身份鉴别服务器
ealbackDiscoveryCallback=void(DiscoveryDatadata) 参数 data;DiscoveryData类型(参见B.1l1),描述当前身份鉴别服务器可使用的生物特征识别密钥管理 器和生物特征识别密钥管理器当前的状态
c.6BAPResposeCaback回调 BAPResponseCallback回调用于生物特征识别密钥管理器在异步执行完成操作(例如注册、鉴别 后将协议消息返回给身份鉴别服务器
参数 cealbackBAPResponseCalback=vod(BAPMessagebapResponse): 参数 bapResponse:BAPMessage类型(参见A.1),生物特征识别密钥管理器返回的响应消息
ErrorCalbaek回调 ErorCallback回调用于生物特征识别密钥管理器在异步执行操作时返回错误码和信息
cealbackErrorCalback void(Erorcodle.code) 参数 ode;ErorCode类型,ErrorCode接口(参见B.12)中的值,用于描述操作的结果
20
GB/36651一2018 考文 参 献 [1]GB/T16262.1一2006信息技术抽象语法记法一(ASN.1)第1部分;基本记法规范 [2] GB/T16262.2一2006信息技术抽象语法记法一(ASN.1)第2部分:信息客体规范 [3 GB/T16262.32006信息技术抽象语法记法一(ASN.1)第3部分;约束规范 [门 GB/T16262.4一2006信息技术抽象语法记法一ASN.1第4部分:ASN.1规范的参 数化 [5]FID0UAFProtocolSpeeification:FIDOAIlianceReviewDraft05Oetober2016[s/OL] [2016-10-05].https;//fidoaliance.org/specs/fdouafv.1rd20161005/fdouafprotocoll.lrd20161005.html [6]Theapplieation/jonMediaTypeforJavaSeriptObjetNotaton(IsoN),RFc4627[s oL].[2006-07]
htp: //www.ietf.org/rfc/rfc4627.txt Enoding,RFc4648[s/oL].[200610叮.htps;/ [7]TheBasel6,Base32,andBase64Data www.ietf.org/rfc/rfc4648.txt
信息安全技术基于可信环境的生物特征识别身份鉴别协议框架GB/T36651-2018
随着信息技术的迅猛发展,网络安全问题日益突出。在这种情况下,如何确保用户的身份信息得到有效的保护,成为了当今互联网领域面临的重要挑战之一。
为了解决这个问题,信息安全技术专家们提出了基于生物特征识别的身份鉴别技术。与传统的密码认证方式相比,生物特征识别技术具有不可伪造性、不可遗忘性、易于使用等优点,因此被广泛运用于各种领域。
然而,由于生物特征识别技术本身存在的一些不足之处,如容易被攻击、难以更新等问题,使得其应用范围受到了一定程度的限制。为了弥补这些不足,信息安全专家们提出了基于可信环境的生物特征识别身份鉴别协议框架GB/T36651-2018。
GB/T36651-2018是中国国家标准化委员会发布的一项标准,旨在为生物特征识别技术的应用提供更加全面、系统的保障。该协议框架的主要原理是,在生物特征识别过程中建立可信的环境,对用户身份进行有效的鉴别和验证。
具体而言,GB/T36651-2018要求系统在识别用户身份前,必须先对用户的生物特征数据进行加密处理,并将加密结果保存在可信执行环境(TEE)内。只有在完成身份鉴别和授权验证后,才会将解密结果传回普通执行环境(REE),从而确保用户的身份信息得到充分的保护。
目前,基于GB/T36651-2018协议框架的生物特征识别技术已经广泛应用于金融、政务、医疗等领域。值得一提的是,该协议框架还具有较强的可扩展性和通用性,能够为各种生物特征识别技术的应用提供有效的支持。
总之,信息安全技术基于可信环境的生物特征识别身份鉴别协议框架GB/T36651-2018是当今网络安全领域的一个重要进展。随着这一技术的不断发展和完善,相信它将在未来的互联网应用中发挥越来越重要的作用。
