1、旦国liCS 03.360;35.240.40 A 11 目和国国家标准-+1: /、中华人民GB/T 27912-2011 金融服务生物特征识别安全框架Financial services-Biometrics一Security framework CISO 19092-1: 2006 , MOD) 2012-02-01实施2011-12-30发布发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会A 1a.6537Sa. 106问呻iff,、¥ 再飞与zi今.;lj,事、码筋伪/、,GIB/1l 27912-2011 目次前言.1 引言.皿1 范围-2 符合性.3 规范性引用
2、文件-4 术语和定义25 缩略语76 生物特征识别技术概述77 技术方面的考虑108 生物特征识别结构的基本原理149 管理和安全要求四川安全基础设施11 生物特征身份确认的控制目标.24 附录A(资料性附录)事件日志u附录B(规范性附录)生物特征登记50附录c(规范性附录)安全考虑.附录D(规范性附录)生物特征识别设备的安全要求61附录E(资料性附录)现有的应用63参考文献. . . . . . . . . . . . . 65 G/T 27912一2011. 蝴._目。昌本标准按照GB/T1. 1-2009给出的规则起草。本标准修改采用ISO19092-1 :2006(金融服务生物特征识别
3、第1部分:安全框架(英文版)。本标准与ISO19092-1:2006的技术性差异如下:a) 删除全文中涉及ISO19092-2的内容(因ISO19092-2提案已被ISO中止,且删除这些内容并不影响标准的完整性); b) 删除原标准中的10.1.2,因为本节中的密钥名称全部来自于已经终止的ISO19092-2; c) 10.1.2(原标准10.1. 3)数字签名中哈希算法应满足相关ISO标准(或者等同的国家标准)的具体要求改为哈希算法应满足相关国家标准的具体要求;d) 删除10.1.2(原标准10.1.3)数字签名中的列项应通过明文文本数据进行哈希运算,文本由一个或多个BiometricHea
4、der和BiometricData类型的值组成,除了类型BiometricHeader和BiometricDa ta值之外,还应包括一个IntegrityBock类型的值;e) 10. 1. 2和10.1.3(原标准10.1. 3和10.1.4)中的密钥管理技术,如表1所示,应按照相关ISO、ISO/IEC标准(或者等同的国家标准)的具体规定执行,例如ISO11568,或者ISO/IEC 11770改为密钥管理技术应按相关国家标准的具体规定执行;f) 删除原标准中的表1(其后表格的编号都减去1); g) 10. 1. 3基于数据机密性目的的加密中加密算法应按相关的ISO标准(或者等同国家标准)
5、的具体规定执行改为加密算法应按相关的国家标准的具体规定执行气h) 11.3.1中表12(原标准中表13)的147项密钥产生使用密钥产生算法,具体如ISO标准(或者等同的国家标准)修改为密钥产生使用密钥产生算法,具体见相关的国家标准;i) 附录A.3. 4的列项d)中的参考模板描述(例如,生物特征OID)修改为参考模板描述(例如,生物特征目标标识符);j) 删除ISO19092-1:2006的附录B.2,因为该处描述的个体身份识别标准不适合我国国情。本标准还做了下列编辑性修改:一一将原文中的本国际标准、ISO19092、ISO19092的本部分飞本部分修改为本标准;一一删除国际标准的前言;一一为
6、全文统一起见,将4.21等错误率的定义中的交叉率(crossoverra te)改称交叉错误率(crossover error rate); 一-9.3. 3的列项a)中提到的再登记的要求使用原始的凭证材料,而并非已经存在的生物特征模板。该方式可提供足够的保证水平,这依赖于己存在的生物特征模板和技术的可靠性和可用性修改为使用原始的凭证材料,而并非已经存在的生物特征模板。该方式可提供足够的保证水平,这依赖于原始的凭证材料的可靠性和可用性(勘误); 一一11.4. 5的表22集成电路卡(lCC)生命周期控制中的300项除非CDF处于激活状态或者再激活状态时,否则IC不能用于金融交易修改为除非CDF
7、处于激活状态、或者再激活状态时,否则ICC不能用于金融交易气勘误); 一一一C.8中的对单因子生物特征识别系统使用简单概率模型20J,在N个用户中不出现系统错误匹配的概率Pr为修改为对单因子生物特征识别系统使用简单概率模型20J,在N个用户中出现系统错误匹配的概率Pr为(勘误)。I GB/T 27912-2011 本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准负责起草单位:中国金融电子化公司。本标准参加起草单位z中国农业银行、中信银行、上海银晨智能识别科技有限公司、北京中科虹霸科技有限公司、北京握奇数据系统有限公司、杭州中正生物认证技术有限公司、中
8、国人民银行兴化市中心支行、中国人民银行太原市中心支行、中国人民银行石家庄市中心支行。本标准主要起草人:王平娃、陆书春、李曙光、刘运、赵征、林松、曾文斌、邱显超、余伟华、汪雪林、梁敏、吕瑛、仲志辉、张龙龙、李军。E 国-GB/T 27912一20门51 随着计算机技术的引人,商业模式已经发生重大变化。电子交易替代从前的纸质交易,降低了成本,提高了效率。这些交易处于一个开放的网络环境中,存在数据被破坏的风险,金融业需求采取相应的措施应对这些风险。生物特征识别,即你是谁或者能做什么的识别方式,已经出现若干年,包括如指纹识别、声音识别、眼睛扫描、脸像识别等。生物特征识别技术在可靠性不断提高的同时,成本
9、逐步降低,使其在金融业的实施成为可能。本标准描述了使用生物特征识别技术作为鉴别机制,保护金融业的远程电子访问或本地物理访问的机制和过程。生物特征识别技术可用作物理或逻辑访问的人员身份鉴别。逻辑访问可包括对应用、服务或者授权的访问。本标准可促进生物特征识别在金融业内的应用,并促进生物特征识别信息的管理成为商业机构信息安全管理的组成部分。本标准通过使用生物特征识别技术,提供强度更高的鉴别方式和多因子鉴别机制,为公钥基础设施(PKD提供更强的鉴别机制。另外,本标准允许重复确认产生数字签名的人实际上就是有权限访问私钥的人。生物特征识别系统的广泛应用建立在一系列因素之上,已有的生物特征识别技术在这些因素
10、上表现各异,这些因素包括:一一一便利性和易用性;一一外在的安全水平;一一性能;一一非侵犯性。本标准所讨论的鉴别机制限于封闭性用户群体,群体成员已同意使用生物特征识别技术进行身份识别。这些协议可为显性的形式(如服务协议),或者隐性的形式(如访问某设施即表明具有执行某交易的动机)。监管不确定人员的系统不在本标准讨论的范围之内。本标准阐述的技术用于维护生物特征信息的完整性和机密性,及提供鉴别机制。然而,本标准并不确保某项具体实现足够安全。金融机构有责任设置适当的全业务流程并进行必要的控制,以确保业务流程安全运行。此外,为验证与本标准的一致性,控制措施应包括适当的审计测试。m出1 范围金融服务生物特征
11、识别安全框架G/T 27912-2011 本标准规定了金融业使用生物特征识别机制鉴别人员身份的安全框架,介绍了生物特征识别技术的类型,阐述了有关应用问题。本标准也描述了实现架构,详细规定了有效管理的最小安全要求,也为专业人员提供了控制目标和使用建议。本标准包括:一一-使用生物特征识别技术,通过验证其声称的身份或识别其个体身份,对参与金融服务的人员和雇员身份进行鉴别;一一根据风险管理的要求,对用户登记时提交的凭证进行确认,以支持身份鉴别;一一一在整个生命周期内,包括登记、传输、存储、身份确认、身份识别以及终止等过程,对生物特征信息进行管理:生物特征识别信息在其生命周期内的安全性,包括数据完整性、
12、源鉴别和机密性;生物特征识别机制在逻辑和物理访问控制中的应用;一一保护金融机构及其客户的监控措施;一一在整个生物特征识别信息生命周期中所使用的物理硬件的安全性。本标准不包括:一一个体生物特征识别信息的隐私权和所有权;有关数据采集、信号处理与生物特征数据匹配、以及生物特征匹配决策流程等方面的具体技术;一一生物特征识别技术在非鉴别方面的便利性应用,如语音识别、用户交互和匿名访问控制等方面的使用。本标准适用于由于数据机密性或其他原因而对生物特征信息进行加密的强制方式。尽管本标准并未阐述采用生物特征识别技术对业务应用系统的具体要求和限制,但其他标准可讨论这些问题。2 符合性如果生物特征鉴别系统的具体实
13、现满足本标准的管理和安全要求,那么可声称其符合本标准。采用了本标准建议的密码报文要求,且采取了适当策略、措施和操作过程的生物特征鉴别系统,就可声称其符合本标准。通过满足本标准的第9章和第10章中的管理和安全要求,就可以满足生物特征鉴别系统很多方面的符合性要求,并且能够验证其实现方法、相关策略、操作过程是否达到第11章中的确认控制目标。相关机构能够使用附录A中规定的生物特征事件日志来记录与本标准操作方面要求的符合性。3 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文-GB/T 27912一2011件。凡是不注日期的引用文件,其最新版本(包括所有
14、的修改单)适用于本文件。ISO 10202-3 金融交易卡使用集成电路卡的金融交易系统的安全结构第3部分:密钥关系(Financial transaction cards-Security architecture of financial transaction systems using integrated circuit cards-Part 3: Cryptographic key relationships) ISO/IEC 19790信息技术安全技术密码模块的安全要求(Informationtechnology-Security techniques-Security requi
15、rements for cryptographic modules) 4 术语和定义4. 1 适应adaptation 样本。/ 识别登记生物特征身份识别biometric identification 用所提交的生物特征样本,与登记的某些或者全部参考模板的一对多比较过程,以确定个体的身份。4.8 生物特征识别策略(BP)biometric policy CBP) 命名的规则集,标明生物特征模板应用对于某团体或者某类应用具有统一的安全要求。4.9 生物特征实施声明(BPS)biometric practice statement (BPS) 某个组织在生物特征模板生命周期(例如,创建、管理和消
16、除)内遵守的实施声明,包括业务、法律、规则、技术事项等。2 GB/T 27912-20门4. 10 生物特征样本biometric sample 经过采集和处理得到的初始(原始)生物特征数据。4. 11 生物特征识别系统biometric system 能采集、提取、比对和返回决策结果(匹配/不匹配)的自动化系统。4.12 生物特征身份确认biometric verification 基于所声称的身份(例如用户ID、账号),比较匹配模板与其特定的参考模板是否符合的过程。4. 13 采集capture 获取某个生物特征一一声称者进行登记时使用的生物特征识别技术的数目(例如,指纹、声音); 在匹配
17、过程中使用内部控制,用以检测生物特征样本是否相同。注:在匹配给定用户过程中,生物特征识别系统中的串行、并行、加权或者融合决策模型,可使用多个参考模板(例如,多生物特征识别系统和由多指纹创建、存储参考模板的系统)。4. 19 加密encryption 通过密码算法,将明文(可读)转化为密文(不可读)的可逆转换,以隐藏明文信息内容。4.20 登记enrolment 从某个人身上收集生物特征样本并生成和存储生物特征参考模板的过程。注:也见初始登记initialenrolment (4.36)和再登记re-enrolment(4. 47)。3 、-GB/T 27912-2011 4.21 等错误率(E
18、ER)equal error rate (EER) 设定系统的决策阔值,以使错误匹配率等于错误失配率,在这种情况下的错误的概率或者百分比,也称为交叉错误率。4.22 提取extraction 特征提取feature extraction 把原始的生物特征数据转换成处理过的生物特征数据的过程,用于模板比较或者创建参考模板。4.23 面部特征识别face biometrics 基于面部独有特性的生物特征识别技术,包括可见光谱范围内的特征,红外线光谱范围内的特征,或者两者都包括。4.24 菠取失败failure to acquire 在生物特征识别系统采集生物特征样本或从样本提取生物特征数据时,出现
19、的不足以产生一个参考模板或者匹配模板的失败现象。4.25 登记失败failure to enrolment 在生物特征识别系统采集一个或多个生物特征样本或从样本提取生物特征数据时,出现的不足以产生参考模板的失败现象。4.26 错误接受率(FAR)false acceptance rate (FAR) 在一对一系统中,生物特征识别系统错误地识别某个个体,或者未能拒绝冒名顶替者的概率。注:对于一个正向(确认)系统,可用错误接受的次数除以冒名顶替者尝试身份确认的次数来估计。4.27 错误E配率(FMR)false match rate (FMR) 对于单个模板比较尝试,通过匹配算法,发生错误匹配的比
20、率。注:对于使用一次尝试就决定是否接受的生物特征识别系统,FMR等于FAR,当多个尝试组合起来以决定是否接受时,FAR在系统层次上比FMR更有意义。4.28 错误失配率(FNMR)false non-match rate (FNMR) 对于单个模板比较尝试,通过匹配算法,没有匹配成功的比率。注:对于使用一次尝试就决定是否接受的生物特征识别系统,FNMR等于FRR,当多个尝试组合起来以决定是否4.29 接受时,FRR在系统层次上比FNMR更有意义。错误拒绝率(FRR)false rejection rate (FRR) 生物特征识别系统不能识别真实登记者的概率。注:对于一个正向(确认)系统,可用
21、错误拒绝的次数除以登记者尝试身份确认的次数来估计。4.30 筛选filtering 通过使用用户的生物特征以外的信息,例如性别、年龄或者种族等,对数据库进行划分。4.31 指形识别finger geometry 基于一个或多个手指的形状和尺寸的独有特性的生物特征识别技术。4 -GB/T 27912-2011 4.32 指纹识别fingerprint biometrics 基于个人指尖上脊线和谷线的独有特性的生物特征识别技术(例如手指细节和手指模式匹配)。4.33 4.34 4.35 4.36 手形识别hand geometry , hand identification 基于手的形状和尺寸的独
22、有特性的生物特征识别技术。冒名顶替者impostor 提交生物特征样本,有意或者元意地试图被鉴别为其他登记者的人。信息安全information security 保障信息的机密性、完整性和可用性,以及其他属性,如真实性、可说明性、抗抵赖性和可靠性。ISO/IEC 17799: 2005J 初始登记initial enrolment 首次登记某个人的生物特征数据的过程,个人应提供某种鉴别方式,例如口令或者ID,以建立或者确认身份。注:见登记Cenrolment,4. 20)和再登记Cre-enrolment4. 47)。4.37 4.38 4.39 完整性integrity 保护信息的正确度和
23、完整度的特性。ISO/IEC 13335-1: 2004J 虹膜识别技术iris biometrics 基于虹膜的独有特性的生物特征识别技术。匹配match 将一匹配模板和先前存储的参考模板进行比较,并对两者之间的相似度或相关度进行打分的过程。4.40 匹配模板match template 代表声称者生物特征的数据,提取于声称者的生物特征样本,由生物特征识别系统用于与一个或者多个预存的参考模板进行比较。4.41 多生物特征鉴别muIti-biometric authentication 使用两个或者多个不同生物特征的生物特征鉴别机制。注:例如,指形识别技术结合虹膜识别技术,或者声音识别技术结合
24、面部特征识别技术。4.42 多因子鉴别multi-factor authentication 使用两个或者多个因子的鉴别机制:一一一知识因子,个体知道的某些事情;一一一持有因子,个体拥有的某些事情;生物特征因子,个体本身具有或者能做的某些事情。5 -GB/T 27912一20114.43 4.44 4.45 一对多one-to-many 生物特征身份识别。一对一one-to-one 生物特征身份确认。手掌识别palm biometrics 基于手掌独有特性的生物特征识别技术,包括纹路/细节信息和/或手掌线条。ISO/IEC指南73:2002J_-二二/4.52 分值score 对两个模板进行匹
25、配,其相似度的数值表示。声音流),适合后续处其身份的注:产生生物特征分值的具体方式和表明匹配与否的正确性一样,取决于每个生物特征厂商。4.53 4.54 6 签名特征识别signature verification biometrics 基于手写签名或者其他签写符号的笔迹独特性的生物特征识别技术。单因子鉴别single-factor authentication 使用单一因子进行鉴别:一一一知识因子,个体知道的某些事情;-卢一GS/T 27912-2011 持有因子,个体拥有的某些事情;生物特征因子,个体本身具有的某些事情。4.55 模板template 代表个体的生物特征的数据,由生物特征识
26、别系统用于执行生物特征匹配。注2见匹配模板matchtemp!ate( 4. 40)和参考模板referencetemp!ateC 4.48)。4.56 阐值threshold 某一数值点,在其之上,两个进行比较的模板的相似程度足够建立匹配关系,在其之下,两个进行比较的模板的相似程度足够低到建立芝在匹配旦关磊。:二二三飞飞/ -伫注:阔值可在系统管rl!l!级进行坷撞了以降低错步坦四己率EalseMatch 4_. 27)或者降低错误失配率Fa!seNon-match RateC 4.28) 0 /乞./_/三/4.57 /少/vOCKbiometrics 学信息独特性的生物特征识别技术。 1
27、 /声/级加密相准(Advan伊圳d豆乌i咐叫、-8甲白.晶泣剖)川l川!自动柜员机(Au叫44iedt/Edd山th川leAES ATMi BISMS CA . DEA DES DSV IC 生物特伯古占油沾f)启息,启息自息、安全管理系系J街统(叫日凶i封om叫(81t1formatiun Secdrity Man;,gernl1nt System) ;认证机柑(rtifiCi.onAthorty)! l散据加密算法(DaEn夏忡电nlAlgkhh/ M据加密据准(1)ataEncr沁t-S吟dard丁/ 山5签名/验iJE(Dynamic Signat山k:Verificatio川/ /
28、 / 集城电路(lntegratedCircuil) / ICC 成路卡(lntegratedCircuit Card) ID 6 6. 1 介绍生物特征识别技术阐述了用于金融交易中的有关确认个体身份的问题。注册是正式生物特征登记的先决条件。每个人应在获准登记之前,通过向生物特征识别服务提供者提供凭证,以证明其身份。这确保生物特征参考模板确实属于该登记者拥有。生物特征身份识别建立在某种生理或行为特性能够可靠地区分某个人这一被广泛接受的事实之上。生物特征识别技术包括自动收集和比较这些特性。这些特性的数字形式存储在电子介质上,被用于确认个体的身份。使用生物特征识别技术的典型鉴别过程包括下列基本步骤
29、:a) 采集生物特征数据;b) 评估所采集的生物特征数据的质量,如有必要需重新采集;c) 处理所采集的生物特征数据;7 GB/T 27912-2011 d) 把处理过的生物特征数据与先前登记过的模板进行比较,以决定是否匹配;该匹配过程能用于生物特征身份确认或者生物特征身份识别。有三种基本的生物特征识别过程:登记、确认和识别。一一-登记是收集某个人的生物特征样本,以及随后产生和存储有关此人的生物特征参考模板的过程。登记过程可承担收集该个体的其他信息的功能,这些信息可把他们与某个组织、账号或者权限集相联系。在不允许重复登记的情况下,可在登记之前进行一个一对多的比较以确保该个体未以其他名称保存在数据
30、库中。如果没有发现匹配,则可将该模板和其相应的信息附加于该个体的数据库条目中(见9.3)。一-确认是一对一的比较过程。该过程用新采集样本产生的匹配模板与先前产生并存储在数据库或者ID卡中的参考模板进行比较。如果新采集样本与先前的模板相匹配,身份声明就得到认可或确认。一-身份识别是一对多的比较过程。该过程需要用新采集样本产生的匹配模板和数据库中的所有模板进行比较。身份识别经常被用于确定某个人先前在系统中是否登记过。某些系统使用外部标识符(例如,电话号码)来减少搜索,其身份识别成为一对少数。一-现代计算技术的出现,使得生物特征识别技术成为在许多领域进行身份识别的可行选择。能用于代表某个个体的特性包
31、括指纹、声纹、虹膜模式、手形、脸像、视网膜模式和签名,这些基本是当今主流的生物特征识别技术。以下段落将给出这些技术的简短介绍。然而,这些并非当今仅有的生物特征特性,其他还包括手掌识别、头声学、手腕静脉、身体气昧、耳朵形状和击键动态特征。随着技术的发展,可应用的特性也在扩充。6.2 指纹特征识别个体指尖上的脊线和谷线被认为是该个体独有的。一百多年来,执法机构已经把指纹图像分类成Henry类型及其子类型(即指纹模式,例如环、螺纹和拱形),也通过匹配脊线末端和分岔的细节点来确定身份。同一只手上不同的手指也有不同的指纹,即使是同卵双胞胎之间也不同。绝大多数现代的指纹匹配技术集中于手指图像内的独特点,即
32、细节点。细节点是个体的脊线分岔(bifurcate)或结束的所在处。图像算法提取这些细节点,创建代表这些细节点的专有模板。模式匹配系统基于与细节点相对应的全部脊线。系统也能分析手指的细微的汗腺毛孔或者两个关键点(例如中心点和三角点)之间的脊线的数量。指纹特征识别技术既能用于确认,又能用于识别。可影响不同个体的指纹和降低图像采集质量的情形包括脏、干燥或者裂开的指纹。年龄、性别和体形大小,也对手指图像有影响,手指放置于采集仪上的方式(包括旋转、移动和压力大小)等也有影响。尽管指纹的采集通常并不被认为具有侵犯性,但是公众仍可见到政府执法组织以往对指纹的负面使用记录。许多指纹系统正被众多公司加以市场化
33、,该项技术的成本、规模和速度已经由于竞争环境而取得重大的进步。6.3 声音特征识别声音特征识别(也称话者识别)可追溯到五十年前。在数字计算出现之前的早先系统使用若干个模拟滤波器输出,按时间平均后进行匹配。当今的数字话者识别系统对讲话者的声学特征建立模型,该特征能区分不同的个体,并对于单个个体保持时间上的稳定性。这些声学模式反映了解剖学特征(例如,喉咙和口腔的尺寸和形状)和熟练行为(例如,音调、讲话模式)特征。声音特征识别系统能采用三种语音输入方式的任何一种:文本依赖方式、文本提示方式和非文本依赖的说话方式。大多数话者识别应用系统使用文本依赖输入方式,该方式包括一个或多个语音口令的选择和登记。文
34、本提示方式要求用户重复具体的单词、短语或者数字。文本提示的输入方式用于易于出现磁带录制的冒名顶替者的场所。非文本依赖的输入即自由讲话。-一-一GB/T 27912-2011 声音特征识别能用于质询-响应类型的话者确认,在ISO/IEC7816-11中被归类为动态生物特征身份确认。执法机构的话者识别应用系统通常使用非文本依赖的输入方式,因为它不需要具体单词的登记或输入。将输入的语音加以数字化从而创建为一系列数字信号。采用数学方法从这些数字信号中提取一部分得到简化的特征集。声音特征识别技术通常用于身份确认,很少用于身份识别。周围环境的噪声大小是收集初始和随后的声音样本的障碍。声音特征识别系统也必须
35、考虑到声音随年龄增长而发生的变化,可根据已被确认的讲话者声音的变化,更新声音模板以增强适应性。许多公司把话者识别引擎作为大型声音处理、控制、切换系统的一部分加以市场推广。声音生物特征的采集被认为不具有侵犯性。该技术几乎不需要额外的硬件,可直接利用已有的麦克风和声音传输技术实现。通过普通的电话(有线或者元线),可提供长距离的功能实现。但是,登记声音和通过麦克风或声音传输方式的取样间的差别会使得该方法的性能有所下降。6.4 虹膜特征识别眼睛的虹膜是环绕瞌孔的有色部分。虹膜的成像使用了独特的解剖特征,例如,光环、腺管、细丝、斑点、凹陷、光线阴影和条纹等,组成了复杂的虹膜图案。虹膜特征识别机制包括对眼
36、睛照明、图像采集、通过特殊的摄像机搜寻独特点等。虹膜特征识别既能用于身份确认,又能进行身份识别。虹膜图像能通过照相机从大于0.33m的距离处在合理的少量配合下自动获取。虹膜特征识别系统利用了自动眼睛检测和高级照相技术。对于公众,虹膜特征识别系统比视网膜系统容易使用得多。根据医学文献,虹膜在角膜后面,天生就保护得很好,长期(数10年)保持稳定。虹膜成像并未被认为具有高侵犯性,因为即使对于一些低复杂度的系统,其最小传感器距离也在75mm到100mm之间。普通的隐形眼镜不会对虹膜图像产生影响,但是带标记的隐形眼镜可能产生影响。眼镜和太阳镜引起的反射也可能是个问题。6.5 视网膜特征识别视网膜是眼睛的
37、内部结构。视网膜特征识别技术借助了视网膜上的血管图案。视网膜特征识别涉及了对眼睛照明、图像采集、通过特定摄像机搜寻独特特性等技术机制。精确的视网膜图像需要眼睛与扫描仪近乎完美的配合,需要眼睛非常靠近扫描仪,并且需要大量的努力和训练。眼睛和扫描仪配合不当可能引起大量的登记失败和高的失配率,同时这项技术在历史上也具有较低的错误匹配率。视网膜特征识别既能用于身份确认,又能用于身份识别。视网膜图案具有高度的独特性,但是视网膜的结构在人的一生中会发生变化。该项技术要求非常靠近视网膜成像仪,成像仪对睡孔的强光扫描令大多数人感觉不适。6.6 面部特征识别面部特征识别技术通常包括通过某人的脸像,来识别或确认某
38、个人的身份。绝大多数面部特征识别方案使用标准的照相技术,利用了可见光谱采集的图像。另一种可选的方式是使用红外线照相机采集人们脸部独特的热量发射模式,称为面部热成像。可见光系统从采集的面部图像中提取出独有特性。可见光谱面部图像的建模方式包括主成分分析、局部特征分析、神经网络、弹性图理论与多分辨率分析等方式。主成分分析或者Eigenface技术,通过加权组合一组基本脸建立特定面部的模型。通过收集多个面部图像,然后用数学方式制定表达这些面部的最佳模型而构建基本脸集。局部特征分析定位并匹配面部的关键特征点,与指纹的细节点提取类似。面部特征识别既能用于身份确认,又能用于身份识别。可见光范围内的面部身份识
39、别技术所面临的挑战包括如何降低姿势、表情、发型、面部毛发、化妆、灯光等各种变化的影响。尽管某些面部身份识别系统使用运动成像技术,某些系统可能需要固定的或摆姿势的用户配合以采集图像。所有系统均在处理图像时,自动检测某个人的头和定位面部。面部身9 -GB/T 27912-20门份识别的主要优势是,元需用户配合、无需手持、持续工作并被大多数用户所接受。在可见光谱,当身份识别不确定的时候,未经训练的操作人员也能辅助该系统。6. 7 手形识别像处理技术检测手的位置,它们已经达到苓宵可用性和稳定的鉴别精案是隐藏在身体内的信息,因此y在通常不为二-般使用环境中的其多/ff琐JJ-K乞F已口阳产多仲T、1的飞
40、式7 技术方面的考虑7. 1 生物特征识别系统特性对于金融服务的应用,应考虑生物特征识别系统的以下特性:一二公众接受度和政策考虑;一-抗欺骗性(见附录。;一一一所选择的生物特征的普遍性;一一所选择的生物特征的惟一性;一-生物特征识别系统的准确度;10 -一-一一生物特征的稳定性;-一一模板存储要求(即模板大小); 一一系统有效性;一一声称者样本和所登记的模板之间的比较速度;一一环境和接口因素。7.2 普遍性GB/T 27912-2011 为了让生物特征识别系统体现其价值,目标群的几乎所有人都应该能成功地使用该系统。如果存在可用的另一种替代方式来鉴别或者识别那些不能使用生物特征识别系统的人群,则
41、允许存在少许例外人群。应特别注意代替方式的设计和管理,以便使其不会成为系统的弱点或易攻击点。所有的生物特征识别技术部研aj主的可测的一需品大多数这样的错误来自两类院户:-二三a) 不能提供传感算所需如生物特征的个体;/ / -b) 不能提供指定的或者高质量的样本,导致错误失配现象的10气。为生i特征识别的例外个体。经验表明,他们要么7.4 精确性生物特征识别技术也会发生统计错误,以至冒名顶替者也可能会被授权访问受保护的资源,而合法的用户却被拒绝访问。生物特征识别系统在1: 1确认尝试方式中不能拒绝冒名顶替者,或者在1: N 识别尝试中错误地标识某个个体的概率,称作系统的错误匹配率(FMR);生
42、物特征识别系统在合法的1 : 1确认尝试方式中不能确认已登记的个体,或者不能在1: N身份识别尝试中标识某个已登记的个体的概率,称作系统的错误失配率(FNMR)。本标准所讨论的这些技术都已达到了错误匹配和错误失配指标的一定等级。系统的FMR和FNMR具有负相关性,因此调整生物特征识别系统安全性的设置以降低FMR,却-GB/T 27912-2011 会导致FNMR的提高,反之亦然。两个生物特征模板是否匹配基于以下的比较:的匹配尝试所得的分数;b) 系统的匹配|明值。严格来说,系统的FMR和FNMR并不是由管理者调整。相反,管理者调整的是单个阔值,在阔值之上,两个模板宣布为匹配,在阔值之下,两个模
43、板宣布为不匹配。因此,不可能调整一个错误萃却不影响另一个:两个错误率都是单个阔值的函数。系统配置人员的操作环境通常规定了应该限制什么类型的错误,同时承担着潜在提高另一种错误类型的代价。例如,高安全性的设备通常使系统FMR最小化,同时却承担着提高系统FNMR的代价,反之,客户服务设备通常使FNMR最小化,但却承担着提高FMR的风险。由于FMR和FNMR之间的关系,系统的FMR只有结合FNMR时,才有意义,反之亦然。任何系统均能通过简单地拒绝所有尝试而宣称0%的FMR,或者通过接受每一次尝试而宣称0%的FNMR。合理的生物特征识别系统将同时提供较低的FMR和FNMR。生物特征识别系统的FMR等于其
44、FNMR的值就是等错误率CEER)或者交叉错误率。注,:某些生物特征识别系统不允许调整阙值,也不使用EER17。该比率提供了整体匹配准确性的有用的简单描述,因为低EER的系统比高EER的系统更可能进行准确的运算。然而,几乎很少有配置人员真正使用错误匹配和错误失配率等同的系统。依据他们的运算环境,绝大多数系统选择强调便利性或者安全性。比较不同生物特征识别技术的精确性时,配置人员宜评估由什么方面构成错误匹配和错误失配的可接受程度,然后决定采用何种或几种技术,达到两种计量方式的所需等级。注2:FMR和FNMR不能单独用于决定整个系统的精确性:系统的登记失败率,或者用户不能提供足够独特或者可重复的生物
45、特征数据进行登记的百分率,是匹配错误率所不能反映的关键因素。某些生物特征识别技术的能力使得其可部署为采用身份识别方式,或者单因子鉴别。单因子鉴别方式无需个体提供具有系统安全性和便利性含义的卡片、令牌或者用户名形式的惟一身份标识符。C.8将进一步讨论这些问题。错误率能通过独立的测试或者生产厂商提供的测试产生。上述两种测试测出的错误率均仅能反映在严格控制的测试环境下的性能,而不能反映根据决策策略所部署环境下的性能。决策策略是生物特征识别系统提供是否匹配策略的逻辑行为,包括具体实现的因素。为了测量生物特征识别系统在现实环境中的J性能,宜将系统的错误率与其决策策略结合起来进行评估。生物特征识别系统的决
46、策策略的一个主要因素就是允许进行确认或识别的尝试次数。在生物特征识别系统中,尝试是指个体提供可用的生物特征样本给生物特征识别系统,即某个指纹、声音模式、或者虹膜图像。注3:在某些生物特征识别系统中,一次尝试包括了在较短时间内对多个生物特征样本的比较。面部扫描系统能在几秒钟的周期内获得多个面部图像,为每个图像产生匹配模板,判断是否所获取的图像中有一个超出阂值,然后得出匹配结果。在这种情况下,尝试可持续到系统超时为止。绝大多数生物特征识别系统允许个体在超时或者阻止下一步尝试之前,进行多次确认或识别尝试,例如,为了与其登记的模板进行确认,可允许个体在采集仪上放置指纹三次。通常的决策策略就是如果三次尝
47、试中任何一次成功,就可授权访问。在该决策策略下,系统的有效FNMR将低于单次尝试情况下的FNMR,即如果有多次的尝试,用户在身份确认过程中,更有可能确认通过。然而,该决策策略提高了系统有效的FMR,因为冒名顶替者可有多次机会提供生物特征数据以击败系统。生物特征识别系统的决策策略的另外一个因素,就是与给定用户相关的登记模板的数目。许多生物特征识别系统从一个用户获取两个登记模板,例如从左边和右边的指纹获取,以减轻手指损害对系统的影响和降低授权用户的错误失配事件。如果系统允许用户与其登记的任何模板进行确认,系统的有效FNMR可比其单次尝试情况下前FNMR要低,即用户更有可能与其所登记的模板之一进行身份确回-一一一GB/T 27912-2011 认。然而,该决策策略提高了系统的有效FMR,因为冒名顶替者有多次机会与所登记的生物特征数据进行匹配。其他可影响系统精确性的决策策略因素包括以下几点:一一每个声称者所登记独特生
