路径: 主页 > GB/T > 第226页 > GB/T 36094-2018 | 标准编号 | GB/T 36094-2018 (GB/T36094-2018) | | 中文名称 | 信息技术 生物特征识别 嵌入式BioAPI | | 英文名称 | Information technology -- Biometrics -- Embedded BioAPI | | 行业 | 国家标准 (推荐) | | 中标分类 | L70 | | 国际标准分类 | 35.240.15 | | 字数估计 | 42,472 | | 发布日期 | 2018-03-15 | | 实施日期 | 2018-10-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36094-2018
Information technology--Biometrics--Embedded BioAPI
ICS 35.240.15
L70
中华人民共和国国家标准
信息技术 生物特征识别 嵌入式BioAPI
(ISO/IEC 29164:2011,IDT)
2018-03-15发布
2018-10-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 符合性 1
3 规范性引用文件 1
4 术语和定义 2
5 缩略语 3
6 嵌入式BioAPI环境 3
6.1 嵌入式BioAPI运行环境 3
6.2 嵌入式BioAPI的安全性 5
7 嵌入式BioAPI的通用架构 5
8 帧结构 7
9 嵌入式BioAPI的Patron格式 9
10 嵌入式BioAPI的安全块格式 9
10.1 安全块格式所有人 9
10.2 安全块格式所有人标识符 9
10.3 安全块格式名称 9
10.4 安全块格式标识符 9
10.5 安全块格式的ASN.1对象标识符 9
10.6 使用范围 9
10.7 版本标识符 9
10.8 CBEFF版本 9
10.9 概述 10
10.10 规范 10
11 数据类型、格式与编码 10
11.1 从设备ID字段[S] 10
11.2 命令字段[C] 10
11.3 状态/错误字段[E] 11
11.4 生物特征识别模态编码 12
12 命令定义 12
12.1 管理命令 13
12.2 模板管理命令 16
12.3 登记命令 17
12.4 生物特征处理命令 19
附录A(规范性附录) 符合性要求 25
附录B(资料性附录) 帧实现示例 27
附录C(资料性附录) 多场景下的命令交换示例 29
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC 29164:2011《信息技术 生物特征识别 嵌入式BioAPI》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 26237(所有部分) 信息技术 生物特征识别数据交换格式[ISO/IEC 19794(所有
部分)];
---GB/T 28826.2-2014 信息技术 公用生物特征识别交换格式框架 第2部分:生物特征识
别注册机构操作规程(ISO/IEC 19785-2:2006,NEQ)
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本标准起草单位:广州广电运通金融电子股份有限公司、长春鸿达光电子与生物统计识别技术有限
公司、广州广电卓识智能科技有限公司、北京天诚盛业科技有限公司、广州广电运通信息科技有限公司、
浙江蚂蚁小微金融服务集团有限公司、中国电子技术标准化研究院、北京旷视科技有限公司、公安部第
一研究所、厦门市数韬软件科技有限公司、广东霸菱科技有限公司、深圳市铭图创新科技有限公司。
本标准主要起草人:胡静宜、罗攀峰、梁添才、王欣、章烈剽、柯文辉、林冠辰、彭程、张永、落红卫、
刘旭东、郑征、杨波、张鑫、高健、翁展、蒋奇伟、徐俊、金晓峰、郑城、秦日臻。
引 言
嵌入式系统环境与常规运算环境之间区别颇多。首先,嵌入式系统在处理功能、内存(或存储)空
间、操作系统支持以及资源配套方面较为受限。因此,为嵌入式系统配置更多通用接口的做法可能并不
合适。对于嵌入式生物特征识别技术来说,识别算法和传感器常被封装进硬件或固件模块中。
其次,嵌入式系统设计人员在设计系统软件和固件时并不关心系统在生物特征识别技术上的实现
细节,而偏向于通过集成一个外部模块来实现部分或全部生物特征识别功能。
对于将生物特征识别功能集成到软件或固件的应用来说,本标准并不适用。此类应用中使用的是
BioAPI(GB/T 30267.1-2013)或其无框架版本(见带Amd.2的ISO/IEC 19784-1)。
本标准定义的接口提供与此类生物特征识别模块直连。该接口定义综合考虑了接口提供的服务以
及发送给生物特征识别模块的命令的报文格式和预期的来自这些模块的响应的报文格式。
本标准旨在为不能实现BioAPI(见GB/T 30267.1)的所有生物特征识别系统提供一个通用接口。
之前,由于BioAPI对处理能力和内存空间要求范围相当大,因此产生了一些不同的解决方案。其一为
无需BioAPI框架而直接使用BioAPI,BioAPI框架是最耗费处理和内存的组件之一。此BioAPI版本
称为无框架BioAPI。不过,这个方案尽管对几类应用(如带有操作系统的移动设备中安装的生物特征
识别小程序及生物特征识别服务)有大的帮助,但它的要求超出了嵌入式系统的能力范围。因此,本标
准提出了一个名为嵌入式BioAPI的全新解决方案,完全不同于上述的无框架BioAPI。
嵌入式BioAPI可用于遥控装置、车库开启装置、汽车点火装置、门禁装置、内存卡、鉴权令牌以及
手持武器等。相比更常见的应用场景,一个标准接口在这些应用环境下的实用性并不突出,但它具备以
下两大重要优势:
---当某厂商产品线上的多个设备或组件(仅指内置了数据采集装置的设备或组件,如遥控设备)
仅在内置数据采集装置或生物特征识别技术上存在区别时(例如:设备A采用内置指纹数据
采集装置或算法,而设备B采用面部识别摄像头或功能),标准接口可以帮助该厂商以单个代
码库满足多设备生产需求。而由于单代码库有助于简化配置管理,因此可以提高生产效率;
---帮助数据采集设备OEM厂商以单OEM 组件或固件实现多设备厂商支持(即无需考虑数据
采集装置内置于何种设备)。
本标准中,适合部署嵌入式BioAPI的设备称为“嵌入式BioAPI子组件”。请注意,其他类型的设
备同样可以采用本标准,但为了更好地理解本标准,我们在此仅围绕嵌入式BioAPI进行描述。本标准
并未说明对嵌入式BioAPI子组件等设备的要求,但列明了对实现嵌入式BioAPI所需设备的要求。
信息技术 生物特征识别 嵌入式BioAPI
1 范围
本标准为设计用于集成到内存空间和运算能力受限的嵌入式系统的硬件生物特征识别模块提供一
个标准接口。本标准为此类基于硬件的生物特征模块规定了完整的接口。此接口称为嵌入式BioAPI,
它由这些模块所要实现的命令的规范来定义。该规范分为以下两层:
---底层实现,该规范针对底层实现定义了一个框架以及所有命令及其对应的响应对的编码。作
为一个单主/多从半双工协议,可以经由任何通信接口在任何物理和链路层实现这些报文。这
些通信接口的定义不属于本标准覆盖范围;
---一个基于C语言的函数的报头描述,供那些有以下想法的制造商使用:提供C语言库作为整
个嵌入式系统的集成软件开发包。
关于安全,本标准定义了两类设备:
---A类设备:此类设备由于缺乏处理能力,因此没有实现任何安全机制;
---B类设备:此类设备实现了用以达到保密性、完整性和/或真实性的安全机制,推荐使用。本标
准定义了B类设备的一组最低要求,但设备的安全机制不在本标准范围内。
底层实现不在本标准规范部分范围内,而是作为资料性附录(见附录B)予以提供。
安全机制虽然在本标准中有所考虑,但它们不在本标准范围内,请参考其他相关标准。特别是密钥
管理也不在本标准范围内,希望在应用本标准前予以处理。
嵌入式BioAPI子组件或任何适合实现嵌入式BioAPI的设备的规格和要求不在本标准范围内。
2 符合性
声称符合本标准的生物特征识别模块应覆盖本标准规范性要求的所有必选项。只要不修改本标准
陈述的行为的前提下,符合本标准的生物特征识别模块可以提供附加的功能。
有关符合性要求的更详细列表见附录A。
3 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 28826.1-2012 信息技术 公用生物特征识别交换格式框架 第1部分:数据元素规范
(ISO/IEC 19785-1:2006,MOD)
GB/T 30267.1-2013 信息技术 生物特征识别应用程序编程接口 第1部分:BioAPI规范
(ISO/IEC 19784-1:2006,IDT)
ISO/IEC 19784-1/Amd.3:2010 信息技术 生物特征识别应用程序编程接口 第1部分:BioAPI
ISO/IEC 19785-2 信息技术 公用生物特征识别交换格式框架 第2部分:生物特征识别注册机
ISO/IEC 19785-3:2007 信息技术 公用生物特征识别交换格式框架 第3部分:Patron格式规
specifications)
ISO/IEC 24761:2009 信息技术 安全技术 生物特征数据认证上下文 (Information
4 术语和定义
下列术语和定义适用于本文件。
注:功能及数据元并不单独列于本章,而是随本标准正文逐一介绍。
4.1
生物特征识别模块 biometricmodule
用于实现与生物特征识别模态相关的部分或全部功能的基于硬件的模块。这些功能包括数据采
集、样本处理、比对、存储、登记或任何前述功能的组合。
注:生物特征识别模块还可提供其他功能,如发送外部业务的激活信号,但此类功能不在本标准范围内。
4.2
生物特征样本 biometricsample
直接从传感器获得的或经过进一步处理的生物特征信息。
注:见GB/T 30267.1-2013中的原始生物特征样本、中间生物特征样本和已处理生物特征。
4.3
生物特征模板 biometrictemplate
适于存储的生物特征样本或者生物特征样本的集合。其可以作为后续比对的参考。
4.4
可被系统集成商整合进复杂系统或设备的子组件。
注1:子组件可能是由第三方或设备商自行提供。
注2:本标准并未介绍对嵌入式BioAPI子组件等设备的要求,但列明了对实现嵌入式BioAPI所需设备的要求。
4.5
嵌入式系统 embeddedsystem
为实现一个或多个专用功能而设计的专用计算机系统,有时存在实时运算限制。
注:通常该系统被内置于一个完整设备,包括硬件、固件及机械部件。相比之下,一台通用型计算机如个人电脑可
以通过编程执行各种不同的任务。
4.6
帧 frame
构成设备间通信中的命令或响应报文的一组字节。
4.7
数字系统中负责控制部分或全部信息处理的单元,通常为微处理器、微控制器或内置微处理器的子
系统。
4.8
主机 host
嵌入式系统的处理单元,与生物特征识别模块直连。
4.9
发送命令和接受响应的嵌入式BioAPI子集。
4.10
可用作比对的生物特征样本。
4.11
会话密钥 sessionkey
用于加密或鉴权的密钥,每次会话使用不同的密钥。
注:会话期可定义为电源开/关之间的时间段或设备连接/断连之间的时间段等。当检测到某会话触犯安全机制
时,该会话将被视为已过期。
4.12
接收命令和发送响应的嵌入式BioAPI的子集。
4.13
模板 template
生物特征模板。
4.14
可存储于一个生物特征识别模块的生物特征模板BIR数量。
5 缩略语
下列缩略语适用于本文件。
6 嵌入式BioAPI环境
6.1 嵌入式BioAPI运行环境
嵌入式BioAPI为安装于嵌入式系统的生物特征识别模块提供标准接口。通常情况下,嵌入式系
统的内存空间较小且计算功能较低,以致于无法支持BioAPI(GB/T 30267.1-2013)或其无框架版本
(见ISO/IEC 19784-1/Amd.2)。
这意味着本标准中定义的接口使应用与生物特征识别模块之间直连连接,而无需使用操作系统解
决方案或高级编程语言。该接口的定义综合考虑了接口提供的业务以及生物特征识别模块所接收命令
的报文格式和所发送响应的报文格式。没有对待底层实现的细节,此类细节示例参见附录B和附录C。
为更好地了解嵌入式BioAPI的应用环境,以图1为例进行说明。图1代表一种服务点(PoS)终端
(比如接受信用卡支付的商店中用的终端)的模块,图中,将两种生物特征识别模态整合为一种单一形式
(例如,指纹和手写签名)。按照应用的设计,可根据实际场景选择其中一种生物特征识别模态。
图1 基于嵌入式BioAPI子组件的生物特征识别系统示例
为了实现此类PoS终端,制造商应将所需的生物特征识别算法和数据采集装置集成到系统中。因
为嵌入式系统的处理功能有限,该终端搭载的微控制器可能无法支持复杂算法。为此,制造商选择向生
物特征技术供应商采购已安装所需服务的硬件模块。如图1所示:
---通过一个内置所需服务的独立硬件模块来解决手写签名问题,只需要(通过数据采集装置)提
供原始生物特征样本(见ISO/IEC 19794-7)以及(通过PoS处理单元)提供用户的已登记的生
物特征模板。
---通过两个级联的独立模块来解决指纹识别问题。其中一个独立模块支持所需服务和比对功
能,但需要与另一个模块对接以获取数据采集装置接口;另一个独立模块内置数据采集装置和
最终信号处理算法(见ISO/IEC 19794-2)。第一个独立模块不需要输入生物特征样本,但需
要录入用户已登记的生物特征模板,这样才能与第二个独立模块提取出的已处理的生物特征
样本进行比对。
在以上示例中,模块应提供所需的生物特征识别服务,比如:
---指纹:采集指纹并与用户模板比对;
---手写签名:
比对:提供用户的原始生物特征样本及其存储模板(这些模板存储在一个数据库或个人设备
中,例如智能卡)比对。
其他系统和模块可能需要其他功能,例如,服务和命令(见第9章)。例如,它们可能需要具备模板
的存储功能或登记功能。
注意,本标准仅规定了针对安全方面的API要求,而并没指定任何必选安全算法或密钥交换机制。
这些安全机制还有待确定,比如用户设备之间或各供应商设备之间通信采用的安全机制。本标准建议
使用标准化的安全机制,如ISO/IEC JTC1SC27中定义的那些。
嵌入式BioAPI为全BioAPI衍生而来,只不过针对嵌入环境进行了特殊定制处理。与一般BioAPI
相比,嵌入式BioAPI具备以下特点:
a) 无需框架组件,也不需要利用组件注册表(即应用与生物特征服务提供商(BSP)组件之间存在
直连接口);
b) 包含全BioAPI功能的子集(例如,嵌入式BioAPI不支持一对多比对或相关原语);
c) 最大程度减少了所需处理的状态;
d) 缺少回调机制;
e) 未使用数据句柄;
f) 不支持功能提供方接口(FPI);
g) 选项缩减至最少。
嵌入式BioAPI保持了生物特征识别技术的中立,提供通过通用接口实现生物特征识别登记和验
证所需要的基本功能。数据格式(生物特征识别数据信息记录)应当符合 GB/T 30267.1:2013和
ISO/IEC 19794的相关部分(已发表)的规定。
嵌入式BioAPI组件一般为软件或固件,二者均关联到具体的硬件数据采集设备。
嵌入式系统通常存在以下限制:
a) 内存和存储空间限制;
b) 处理器尺寸和处理速度限制;
c) 操作系统支持限制;
d) 只支持单个且需要硬连线的数据采集设备;
e) 只能独立运行(无法连接到网络)。
6.2 嵌入式BioAPI的安全性
本标准定义了两种设备:
---A类设备:此类设备由于不提供处理功能以及面向便捷而非安全的设计目的等,因此未采用
任何安全机制;
---B类设备:此类设备采用了相关安全机制以确保保密性、完整性以及ACBio实例生成。这些
机制及其对应算法还有密钥信息取决于目标设备,且将在执行前共享给应用。若只支持加密,
BIR的BDB将被加密;若只支持完整性保护,将保证SHB和BDB串接的完整性;若同时支持
加密和完整性保护,优先进行加密。
注:强烈推荐使用B类设备。下文给出了对B类设备的安全要求,但具体采用何种安全机制不在本标准讨论范围。
B类设备中,生物特征数据利用BIR中的安全块(SecurityBlock)进行交换,具体定义见第10章。
因此,生物特征数据利用BIR中的安全块进行交换。通信中采用的安全机制可通过底层协议添加,但
本标准不负责对此进行额外说明。由于A类设备未采用任何安全机制,因此所有已交换生物特征信息
的使用并无涉及BIR中的安全块,具体定义见ISO/IEC 19784-1/Amd.3及GB/T 28826.1-2012。
7 嵌入式BioAPI的通用架构
支持嵌入式BioAPI的生物特征识别模块对应的通用架构由两个组件构成,二者需要进行交互以
提供生物特征识别相关功能。其中一个组件为通用处理单元,又称主机。该组件负责提供整机顶层功
能,需要与负责完成部分或全部生物特征识别操作(处理、储存、登记以及验证)的嵌入式BioAPI子组
件(即生物特征识别模块)相连。
嵌入式BioAPI的设计目的在于将嵌入式BioAPI子组件(嵌入式生物特征识别子组件)集成到主
机设备。目前存在以下两种集成方式:
a) 独立型嵌入式BioAPI子组件(1类):指集成了生物特征数据采集装置、存储器和算法的单个
嵌入式BioAPI子组件;
b) 组合型嵌入式BioAPI子组件(2类):指集成了以下至少一项或多项(非全部)功能的单个嵌入
式BioAPI子组件:
1) 生物特征数据采集装置-用于感应和采集原始生物特征数据;
2) 生物特征存储器-用于模板数据的板载存储;
3) 生物特征识别算法-用于处理和比对生物特征数据。
两种集成方式如图2所示。
图2 实现OEM生物特征识别模块的不同方式
1类(独立型嵌入式设备)模块为安装于遥控设备的OEM指纹数据采集装置或芯片板。该模块提
供完整的生物特征识别器件,包括指纹数据采集装置、处理器、固件(内置生物特征数据处理和比对算
法)以及板载存储器(最多可储存5个指纹模板)。
2类(组合型嵌入式设备)模块为支持面部图像捕捉的原厂CCD摄像头(即生物特征数据采集设
备)。该摄像头内置于具备面部图像比对功能的家用门禁装置和生物特征识别模块中。这种应用环境
下,模板存储与存储控制由应用独立完成或由生物特征识别模块完成。
图3对以上两种模块进行了归纳。如图所示,支持嵌入式BioAPI的硬件模组负责执行主机系统
要求的部分或全部生物特征识别功能,它通过一个标准接口与主机系统通信,而此处的标准接口即为嵌
入式BioAPI。另外,此模块还可能与其他嵌入式BioAPI生物特征识别模块直连。
图3 嵌入式BioAPI系统的通用架构
如图4所示,当支持BioAPI的系统需要使用本标准下的设备,那么开发人员将把该嵌入式BioAPI
设备视为BioAPI标准框架下的单元,并开发出相应的生物特征识别服务提供方(BSP)(具体定义见
GB/T 30267.1-2013)。对于应用或BioAPI框架下的接口,此BSP应遵从GB/T 30267.1-2013;同
时,当BSP与嵌入式BioAPI设备直接对接时,还应遵从本标准。换而言之,开发人员不得不将与嵌入
式BioAPI设备直连的功能进行GB/T 30267.1-2013封装。
图4 嵌入式BioAPI和BioAPI组件之间的关系
8 帧结构
当考虑到生物特征识别模块或主机的限制时,通信报文方面有以下注意事项:
---最大支持65KB的已处理生物特征样本和模板在模块间传输,而对于原始数据(例如,用于虹
膜识别的红外眼球......
|