ICS35.040L80中華人民共和國國家標準GB/T20979—2007信息安全技術虹膜識別系統技術要求Informationsecuritytechnology-TechnicalrequirementsforirisrecognitionSystem2007-06-18發布2007-11-01實施中華人民共和國國家質量監督檢驗檢疫總局發布中國國家標準化管理委員會

中華人民共和國國家標準信息安全技術虹膜識別系統技術要求GB/T20979-2007中國標準出版社出版發行北京西城區復興門外三里河北街16號郵政編碼：100045電話：01051299090.685220062007年10月第一版書號：155066·1-29961版權專有侵權必究舉報電話：（010)68522006

GB/T20979—2007前言引言范圍2規范性引用文件3術語和定義4基本功能要求4.1自包含·4.2虹虹膜圖像采集與處理4.3用戶標識4.4用戶登記4.5用戶識別4.6識別失敗的判定及處理4.7防偽造4.8警告與報警5基本性能要求5.1錯誤接受率和錯誤拒絕率5.2響應時間5.3適用范圍5.4使使用安全條件6分等級技術要求6.1第一級技術要求6.1.1基本功能要求6.1.2基本性能要求…·6.1.3白身安全功能要求6.1.4自身安全保證要求6.2第二級技術要求66.2.1基本功能要求6.2.2基本性能要求6.2.3白身安全功能要求6.2.4自身安全保證要求…6.3第三級技術要求……6.3.1基本功能要求·………….6.3.2基本性能要求…6.3.3自身安全功能要求…………126.3.4自身安全保證要求·14附錄A（資料性附錄）虹膜識別基本原理15虹膜識別系統的組成與功能A.115A.1.1組成與相互關系15

GB/T20979—2007A.1.2虹膜識別系統功能簡要說明A.1.3虹膜識別系統各模塊主要功能說明A.2虹膜識別系統的工作流程·····…···········…·····…··…··…·····…··…··15A.3虹膜識別機制的主體與客體附錄B（資料性附錄）虹膜識別系統功能和性能要素與分等級要求的對應關系18附錄C（規范性附錄）主、客體的訪問操作關系C.1適用于第一級的主、客體之間的訪問操作關系·19適用于第二級和第三級的主、客體之間的訪問操作關系C.2C.3適用于第三級的主客體與圖像數據庫之間的訪問操作關系20附錄D（規范性附錄）虹膜特征序列數據庫數據結構…212

GB/T20979一2007前本標準的附錄（、附錄D是規范性附錄，附錄A、附錄B是資料性附錄。本標準由全國信息安全標準化技術委員會提出并歸口。本標準起草單位：北京凱平艾森信息技術有限公司、最高人民法院機關服務局信息技術服務處本標準主要起草人：王介生、吉增瑞、孫際泉、王靜、王欽、徐金偉、白杰

GB/T20979—2007本標準用以指導設計者如何設計和實現具有所要求級別的虹膜識別系統，說明不同級別的虹膜識別系統的不同技術要求。虹膜是睦孔和鞏膜之間的環狀組織,是人眼的可見部分。作為人體生物特征識別的虹膜識別,與其他生物特征識別和非生物特征識別一樣,具有鑒別用戶身份真實性的功能。虹膜特征識別技術由于其高效、準確、難以偽造等特性受到關注。為了對虹膜識別技術進行規范，推動我國具有自主知識產權的虹膜識別技術的發展.為信息系統安全保護及社會保安提供有效、實用的人體身份鑒別手段.有必要制定虹膜識別系統的安全標準。附錄A是對虹膜識別原理的簡要介紹。虹膜識別系統由軟件系統和硬件系統組成。軟件系統即虹膜信息處理系統.用以實現虹膜圖像處理、用戶登記、用戶識別、虹膜圖像存儲管理、虹膜特征存儲管理等功能;硬件系統包括虹膜圖像采集系統以及支持虹膜信息處理軟件系統運行的硬件環境。上述軟硬件系統構成一個完整的信息處理系統，實現虹膜識別功能。虹膜識別系統的輸入信息是虹膜圖像，輸出信息是識別結果。能夠對虹膜識別系統的運行進行操作和干預的是系統管理員、系統安全員和系統審計員等特權用戶。這些特權用戶必須經過確認授權以后才能實施所規定的操作。虹膜識別系統可以看成是一個由各個軟、硬件模塊組成的專用的計算機應用系統。本標準將重點描述：作為專用系統所具備的虹膜識別功能和性能要求;作為計算機應用系統的虹膜識別系統的軟、硬件系統的自身安全要求;虹膜識別系統運行環境的安全要求。根據應用環境的不同,虹膜識別系統可以有獨立運行和聯機運行兩種模式。獨立運行模式：將組成虹膜識別系統的虹膜識別機制全部封裝在一個專用的機箱中，構成一個獨立的系統，其應用領域是社會公共安全防范(如門禁)。這時.虹膜識別系統通過確定的外部接口為安全防范控制提供支持。其輸入信息是所采集的虹膜圖像，輸出信息是控制傳感系統的控制信號。聯機運行模式：將組成虹膜識別系統的虹膜識別機制嵌入在信息系統中，在組成信息系統的計算機系統和網絡系統的支持下.構成一個實現虹膜識別的子系統,并通過確定的外部接口為信息系統用戶的身份鑒別提供支持。這時,虹膜識別系統的輸入信息是虹膜圖像，輸出信息是為信息系統的用戶身份鑒別功能提供支持的虹膜特征識別結果。上述虹膜識別系統的不同運行模式是根據應用需要確定的。從虹膜識別系統的組成與原理的角度看，并沒有本質上的區別。因此，本標準的編寫沒有對不同運行模式的情況加以區分。需要特別說明的是，本標準所描述的技術要求是指虹膜識別系統所涉及的技術要素的要求。為了滿足不同情況對虹膜識別系統的不同要求，本標準分三個級別對虹膜識別系統所涉及的功能和性能的技術要求以及相應的自身安全的技術要求分別進行了描述。其中，第1級為最低要求，第3級為最高要求。附錄B的表B.1是虹膜識別系統功能和性能要素與分等級要求的對應關系的簡明表示。需要指出的是,虹膜識別系統的自身安全保護是與其運行模式和實現的功能密切相關的。比如.獨立運行模式不涉及信息的網上傳輸.因而不涉及網上信息傳輸的安全保護問題。在理解和使用本標準時.應從實際出發.根據虹膜識別系統的運行模式和實現的功能確定其自身的安全保護要求。本標準第4章和第5章分別是對虹膜識別系統基本功能和基本性能要求的綜合描述，第6章是對不同等級的虹膜識別系統在基本功能與性能、安全功能和安全保證方面的不同技術要求的描述。其中.宋體加粗字表示相應要求在該等級中第一次出現

GB/T20979—2007信息安全技術虹膜識別系統技術要求1范圍本標準規定了用虹膜識別技術為身份鑒別提供支持的虹膜識別系統的技術要求。本標準適用于按信息安全等級保護的要求所進行的虹膜識別系統的設計與實現，對虹膜識別系統的測試、管理也可參照使用。規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本標準.然而，鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB17859—1999計算機信息系統安全保護等級劃分準則GB/T20271—2006信息安全技術信息系統通用安全技術要求信息安全技術GB/T20273-2006數據庫管理系統安全技術要求術語和定義GB17859--1999和GB/T20271—2006確立的以及下列術語和定義適用于本標準。3.1人體生物特征識別Biometrics,biometricauthentification以人體的某種生物特征信息作為身份依據進行用戶識別的方法。通過測度該種人體生物特征為每一個人產生出可以用電子方式存儲、檢索和比對的特征信息.并用這種特征信息進行用戶識別，32虹膜iis人體眼球中介于隨孔與鞏膜之間的環狀生理組織,是人眼的可見部分3.3虹膜識別irisrecognition以虹膜特征作為識別人體身份的方法,是人體生物特征識別方法的一種3.4虹膜識別機制irisrecognitionmechanism按照確