1、ICS 35.240.15 A 90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX.4 XXXX 居民身份网络认证 信息采集设备 第 4 部分:移动终端安全技术要求 CTID online authentication Information acquisition devices Part 4: Security technical requirements for mobile terminal (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA/T XXXX.4 XXXX I 目 次
2、 前言 . II 引言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 1 4 总则 . 1 4.1 概述 . 1 4.2 作用 . 2 5 移动终端信息采集功能模块 . 2 5.1 整体框架 . 2 5.2 人脸图像采集控件模块 . 3 5.3 信息获取控件模块 . 3 5.4 安全存储模块 . 3 6 安 全 功能要求 . 3 6.1 一般要求 . 3 6.2 人脸图像采集控件模块要求 . 3 6.3 信息获取控件模块要求 . 4 6.4 安全存储模块要求 . 4 参考文献 . 6 图 1 居民身份网
3、络认证系统 整体技术框架 . 2 图 2 终端整体框架 . 3 GA/T XXXX.4 XXXX II 前 言 GA/T XXXX居民身份网络认证 信息采集设备分为四个部分: 第 1部分:居民身份证开通网证读卡器; 第 2部分:自助开通网证设备; 第 3部分:批量开通网证设备; 第 4部分:移动终 端安全技术要求。 本部分为 GA/T XXXX的第 4部分。 本 部分 按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文 件 的发布机构不承担识别这些专利的责任。 本 部分 由公安部社会公共安全应用基础标准化技术委员会提出并归口。 本 部分 起草单位:公安部
4、第一研究所、北京中盾安信科技发展有限公司、北京中盾安全技术开发公 司、华为技术有限公司、联想(北京)有限公司、浙江蚂蚁小微金融服务集团有限公司、公安部安全与 警用电子产品质量检测中心。 本 部分 主要起草人: 张治安 、 吴国英 、王川、 浮欣 、 张翔、常 新苗、 王思善 、 李俊 、 谷晨 、 王昕 。 GA/T XXXX.4 XXXX III 引 言 居民身份 网络认证 是国家实施网 络可信身份战 略实施的重要环节之一。由于互联网的虚拟性特点 , 传统的身份认证方式已无法适应网络用户应用的需求 ,而网络身份认证存在着认证方式多种多样、身份 信息真假难辨等弊端 ,并引发了数据泄露、身份冒用
5、、隐私传播等新的安全问题 ,甚至威胁到了国家安全。 为此 , 亟需从标准化角度开展研究 ,构建安全、便捷、统一的居民身份网络认证技术框架 ,为在网络空间 标识居民身份和认证提供安全保障 ,为提高我国网络身份管理水平、实现网络社会治理现代化提供技术 支持。 在居民身份网络认证应用场景中,移动终端的便捷性,使得其成为使用频率最高的应用终端 。 为了 有效保障居民身份网络认证的安全性,推进行业健康持续发展,特制定本部分。 GA/T XXXX.4 XXXX 1 居民身份网络认证 信息采集设备 第 4 部分:移动终端安全技术要求 1 范围 GA/T XXXX的本部分规定了移动终端信息采集功能模块的安全功
6、能要求。 本部分适用于移动终端侧 居民身份网络认证产品的设计开发,和业务依赖方对不同安全等级的居民 身份网络认证功能实现进行选择时的参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅 注 日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适 用于本文件。 GA/T XXXX 居民身份网络认证 通用术语 GA/T XXXX 居民身份网络认证 整体技术框架 GA/T XXXX.3 居民身份网络认证 认证服务 第 3部分:信息获取控件接口要求 GA/T XXXX.4 居民身份网络认证 认证服务 第 4部分:人脸图像采集控件技术要求
7、 JR/T 0156 2017 移动终端支付可信环境技术规范 3 术语、定义和缩略语 3.1 术语和定义 GA/T XXXX居民身份网络认证 通用术语 界定 的术语和定义适用于本文件。 3.2 缩略语 下列缩略语适用于本文件。 REE: 富执行环境( Rich Execution Environment) RTC: 实时时钟( Real Time Clock) SE: 安全单元( Secure Element) SFS: 安全文件系统( Secure File System) TEE: 可信执行环境( Trusted Execution Environment) TUI: 可信用户接口( Tr
8、usted User Interface) 4 总则 4.1 概述 在 GA/T XXXX居民身份网络认证 整体技术框架 给出的 居民身份网络认证系统整体技术框架中, 本部分规范的对象处于图 1所示的“标准 12”位置。 GA/T XXXX.4 XXXX 2 标准 12 标准 1 . 居民身份网络认证 通用术语 标准 2 . 居民身份网络认证 整体技术框架 标准 3 . 居民身份网络认证 网络可信凭证和网络标识格式要求 标准 4 . 居民身份网络认证 认证服务 第 1 部分 : 认证分级 标准 5 . 居民身份网络认证 认证服务 第 2 部分 : 服务接口要求 标准 6 . 居民身份网络认证
9、认证服务 第 3 部分 : 信息获取控件接口要求 标准 7 . 居民身份网络认证 认证服务 第 4 部分 : 人脸图像采集控件技术要求 标准 8 . 居民身份网络认证 认证服务 第 5 部分 : 人脸比对引擎接口要求 标准 9 . 居民身份网络认证 信息采集设备 第 1 部分 : 居民身份证开通网证读卡器 标准 10 . 居民身份网络认证 信息采集设备 第 2 部分 : 自助开通网证设备 标准 11 . 居民身份网络认证 信息采集设备 第 3 部分 : 批量开通网证设备 标准 12 . 居民身份网络认证 信息采集设备 第 4 部分 : 移动终端安全技术要求 居民身份网络认证 服务系统 网证 应
10、用 服务 接口 网证管理 数据存储 生物特征 验证 网证验证 网证 居民身份 网络标识 应用程序 居民 网证应用客户端 应用程序 人脸图像 采集控件 信息 获取控件 网证 网证应用服务端 签名验签 应用程序服务器 数据存储 居民身份 网络标识 签名验签 身份信息核验 业务服务 身份信息验证 标识管理 网证应用系统 居民 身份 证开 通网 证读 卡器 人脸图像 采集控件 网证 管理 服务 接口 标准 12 网证 开通 网证 冻结 网证 解冻 网证 注销 网证 口令重置 人脸 验证 网证管理 客户端 图 1 居民身份网络认证系统整体技术框架 4.2 作用 本部分明确了移动终端不同安全环境下的技 术
11、要求和目标,以便于终端侧居民身份网络认证产品的 设计开发和业务依赖方对不同安全等级的身份认证功能实现进行参考。 5 移动终端信息采集功能模块 5.1 整体框架 移动终端根据其业务的功能不同,可包括 应用程序和网证应用相关模块。其中,网证应用相关模块 主要包括人脸图像采集控件模块、 信息获取控件模块和安全存储模块,见图 2。应用程序根据业务功能 的需求,在业务阶段选择调用人脸图像采集控件模块、信息获取控件模块和安全存储模块进行信息采集。 GA/T XXXX.4 XXXX 3 移动终端 人脸图像采集控件 模块 ( 见 5 . 2 ) 网证 信息获取控件模块 ( 见 5 . 3 ) 安全存储模块 (
12、 见 5 . 4 ) 应用程序 图 2 终端整体框架 5.2 人脸图像采集控件模块 通过集成符合 GA/T XXXX.4的人脸图像采集控件,实现在网证开通和身份认证阶段采集人脸图像, 向应用程序输出符合身份认证要求的人脸图像 数据 。 5.3 信息获取控件模块 通过集成符合 GA/T XXXX.3的信息获取控件,实现在网证开通和身份认证阶段采集网证、网证口令 等信 息,进行信息加密处理后向应用程序输出符合身份认证的数据。 5.4 安全存储模块 实现对网证的安全存储和读取。 6 安全功能要求 6.1 一般要求 移动终端基础安全包括移动终端硬件安全能力和可信应用隔离运行安全能力。移动终端硬件安全能
13、 力和可信应用隔离运行安全能力应满足 JR/T 0156 2017的要求。移动终端的安全目 标是系统各模块所 具有的安全功能可 防御相应的安全威胁,保证网证应用保护的资产完整性、机密性和可用性,具体如下: a) 实现人脸图像采集控件模块 的传感器固件及驱动的完整性、可用性和功能接口的授权访问; b) 网证应用业务相关敏感数 据能防窃取、防篡改、防重放; c) 保证完整性,避免核心功能被篡改; d) 各功能模块之间的通信信道能防止数据窃取、防止恶意样本注入; e) 硬件和软件接口能实施访问控制,防止非法应用调用。 6.2 人脸图像采集控件模块要求 6.2.1 基础安全功能要求 GA/T XXXX
14、.4 XXXX 4 人脸图像采集控件模块的基础安全 功能要求包括: a) 传感器固件应有完整性和可用性保护; b) 传感器驱动程序应有完整性和可用性保护; c) 应能实施访问权限控制,防止人脸数据被窃取; d) 应无残留的人脸源数据; e) 应保证采集过程的关联性。 6.2.2 增强安全功能要求 人脸图像采集控件模块的增强安全功能要求包括但不限于以下内容: a) 人脸图像采集控件模块和调用方之间的通信应受到安全机制保护,防止非授权访问; b) 人脸图像采集控件模块所使用的内存应受 TEE 安全保护或者使用单独物理隔离的内存,不应使 用非安全环境的内存; c) 所有数据传输都应通过安全信道传输,
15、不应经过 REE,确保不被重放攻 击; d) 应从 RTC 设备获取时间戳。 6.3 信息获取控件模块要求 6.3.1 基础安全功能要求 信息获取控件模块的基础安全功能要求包括: a) 应对应用程序传入的数据进行鉴权通过后再执行对应的操作; b) 应具备访问控 制机制,防止身份认证数据包和过程数据被非授权访问; c) 应在生成身份认证数据包后彻底 清除过程数据,并防止数据回滚; d) 应使用国密密码管理机构认可的商用密码算法对身份认证数据包中敏感数据(如人脸图像)进 行机密性和完整性保护。 6.3.2 增强安全功能要求 信息获取控件模块的增强安全功能要求包括但不限于以下内容: a) 应使用安全
16、随机数生成器; b) 应在符合 JR/T 0156-2017 中的可信执行环境中生成身份认证数据包; c) 应能够防止软件被回退到有漏洞的版本; d) 对加密、鉴权、完整性保护的根密钥应使用 SFS 存储; e) 对传出的身份认证数据信息加 密密钥应受 SE 保护。 6.4 安全存储模块要求 6.4.1 基础安全功能要求 安全存储模块的基础安全 功能要求包括: a) 应实施访问权限控制,防止非授权应用的访问; b) 数据删除应具备防回滚能力; c) 应在实体鉴权通过后进行网证的存储; d) 应在用户鉴权通过后进行网证信息读取或管理操作。 6.4.2 增强安全功能要求 安全存储模块的增强安全功能
17、要求包括但不限于以下内容: GA/T XXXX.4 XXXX 5 a) 应使 用 TEE、 TUI 保证用户身份鉴权信息不被窃取; b) 应基于硬件安全机制保证网证与移动终端的绑定关系; c) 应使用 SE 存储网证; d) 应具备防硬件攻击、防侧信道攻击的能力。 GA/T XXXX.4 XXXX 6 参 考 文 献 1 GB/T 36651-2018 信息安全技术 基于可信环境的生物特征识别 身份鉴别协议框架 2 YD/T 2844.1-2015 移动终端可信环境技术要求 第 1部分:总体 3 TAF-WG4-AS0026-V1.0.0:2018移动终端基于 TEE的人脸识别安全评估方法 _
