信息安全技术 远程人脸识别系统技术要求
Information security technology -- Technical requirements for remote face recognition system
1 范围
本标准规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求。
本标准适用于采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的研制和测试,系统的
管理可参照使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 26238-2010 信息技术 生物特征识别术语
GB/T 29268.1-2012 信息技术 生物特征识别性能测试和报告 第1部分:原则与框架
GB/T 36651-2018 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架
3 术语、定义和缩略语
3.1 术语和定义
GB/T 20271-2006、GB/T 26238-2010、GB/T 29268.1-2012和GB/T 36651-2018界定的以及
下列术语和定义适用于本文件。
3.1.1
生物特征识别
基于个体的行为特征和生物学特征,对个体进行的识别。
注:“个体”限指人。
3.1.2
人脸识别
以人面部特征作为识别个体身份的一种个体生物特征识别方法。其通过分析提取用户人脸图像数字特征产生样本特征序列,并将该样本特征序列与已存储的模板特征序列进行比对,用以识别用户身份。
注:从应用方式不同,人脸识别可分为人脸验证和人脸辨识。
3.1.3
活体人脸
有生命的真实人脸。
3.1.4
人脸验证
人脸识别应用之一,将所产生的样本特征序列与按用户标识信息所给定的已存储的用户的模板特
征序列进行比对(1∶1比对),以确认用户是否为所声明的身份。
3.1.5
人脸辨识
人脸识别应用之一,将所产生的样本特征序列与已存储的指定范围内的所有模板特征序列进行比
对(1∶N 比对),确定用户身份。
3.1.6
特征序列
由人脸图像数字特征组成的数据序列。
注:特征序列包括模板特征序列和样本特征序列。
3.1.7
模板特征序列
对采集到的用户登记人脸图像进行分析提取所生成的特征序列。
注:产生模板特征序列的目的是用于用户登记。
3.1.8
样本特征序列
对采集到的用户人脸图像进行分析提取所生成的特征序列。
注:产生样本特征序列的目的是用于用户识别。
3.1.9
相似度
两个生物特性相似程度的一个实数;数值越大两个生物特性越相似。
3.1.10
阈值
做出判定所依据的边界值(或值集)。
3.1.11
错误接受率
人脸验证过程中,将冒充者识别为已注册个体的比率,用百分比表示。
注:错误接受率也被称作认假率。
3.1.12
错误拒绝率
人脸验证过程中,将真实人错误拒绝的比率,用百分比表示。
注:错误拒绝率也被称作拒真率。
3.2 缩略语
下列缩略语适用于本文件。
CG:计算机动画
EAL:评估保障级
FAR:错误接受率
FRR:错误拒绝率
SE:安全单元
TEE:可信应用执行环境
TCM:可信密码模块
UID:用户标识
4 概述
4.1 系统参考模型
远程人脸识别系统由客户端、服务器端、安全传输通道组成。系统由客户端实现人脸的采集,经安全传输通道传输,在服务器端远程进行比对。
客户端由环境检测、人脸图像采集、活体检测、质量检测、安全管理等模块组成,模块通常在可信环境中执行。可信环境指用户设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性、完整性和可用性等,如TEE、SE、TCM或其他具备安全边界的保护区域。本标准不规定可信环境的具体实现方式。
服务器端由活体判断、质量判断、人脸数据注册、人脸数据库、人脸识别、比对策略、安全管理等模块组成。
4.2 客户端说明
4.2.1 环境检测
对人脸采集的环境条件进行检测,判断人脸特征采集所处的环境是否满足采集要求,从而决定是否
启动人脸采集。
4.2.2 人脸图像采集
对输入的图片或者视频等样本数据进行分析处理,提取满足质量条件的人脸图像,以便进行人脸特
征提取和比对。
4.2.3 活体检测
对采集主体是否为活体人脸、是否受到假体人脸攻击进行检测和判断。条件允许时,可在客户端判断人脸比对对象是否为真实有效的人脸。活体检测不通过则不进行下一步处理。
4.2.4 质量检测
对人脸图像的质量进行判断。该模块经常和人脸检测与采集模块在一起,输出质量最佳的人脸图
片进行后续的特征建模与比对。人脸质量检测不通过则不进行下一步处理。
4.2.5 安全管理
对客户端密码、配置参数、用户数据等敏感数据等进行安全管理。
4.3 服务器端说明
4.3.1 活体判断
对客户端活体人脸检测过程中采集的信息进行二次判断,结合客户端检测结果,完成最终活体
判断。
4.3.2 质量判断
对上传到服务器端的生物特征信息的质量进行判断。
4.3.3 人脸数据库
对人脸数据进行生命周期管理,数据内容包括人脸特征模板、人脸辅助信息、用户属性数据、人脸比
对数据等。人脸特征模板主要用来存储人脸的特定信息,以便计算机能够快速、准确的进行生物特征比对。辅助信息主要用于活体检测或多模态检测。用户属性数据主要用于用户检索,包括用户标识UID、姓名等。
4.3.4 人脸数据注册
通过客户端采集、服务端批量导入实现人脸数据注册。
通过人脸模板登记过程,实现用户原始人脸图像或用户特征数据(必要时脱敏或加密的数据)与用
户标识之间绑定关系的建立。
4.3.5 人脸识别
4.3.5.1 人脸验证
将样本特征序列与注册的模板特征序列进行比对,确定两张人脸是否为同一个人。
4.3.5.2 人脸辨识
将样本特征序列与一定范围内的已登记模板特征序列进行比对,根据比对得分进行排序,找出最为
相似的已登记模板特征序列,从而确认用户身份。
4.3.6 比对策略
基于用户信息、客户端信息等不同条件,设置不同环境下的比对策略。
4.3.7 安全管理
服务器端密码管理、安全审计、授权访问等安全管理功能。
4.4 安全传输通道
客户端与服务器端应建立数据传输通道的安全策略和规程,通过安全控制措施实现数据传输安全。
5 安全分级
远程人脸识别系统的功能、性能和安全要求分为基本级和增强级,黑体字为增强级相对于基本级新增的要求,基本级和增强级的简要对应关系参见附录A,系统安全描述参见附录B。本标准凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及采用密码技术解决机密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。
6 功能要求
6.1 基本级要求
6.1.1 用户标识
应从以下方面设计和实现系统的身份标识功能:
a) 所有用户在用户登记时都进行用户标识;
b) 应具唯一性;
c) 应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
6.1.2 人脸图像采集与处理
人脸图像采集与处理应具有以下功能:
a) 应防止人脸数据采集过程中个人信息等数据被泄露;
b) 宜对采集到的数据进行完整性、一致性校验;
c) 宜跟踪和记录数据采集过程,支持人脸采集数据的可追溯性;
d) 宜确保采集数据的真实性;
e) 采集后应清除残留信息。
6.1.3 人脸图像质量判断
客户端和服务器端均应具备人脸采集样本质量判断的能力,质量判断应至少包括以下几个方面:
a) 人脸图片的模糊程度;
b) 人脸图片的明暗程度;
c) 人脸图片的人脸角度;
d) 人脸图片的完整程度。
6.1.4 活体检测
6.1.4.1 主动配合式活体检测
应支持根据检测主体的主动式反应进行活体人脸检测,通过指令要求用户进行相关动作并判断人
脸的真实有效性,指令包括但不限于以下方式:
a) 点头、抬头、左右转头、张嘴、眨眼等;
b) 唇语、说指定的数字或者文字等。
6.1.4.2 被动无交互式活体检测
应支持检测主体无需主动配合动作模式下的活体人脸检测,包括但不限于以下方式:
a) 可见光下根据主体的脸部细节微小变化判断是否为活体;
b) 根据检测主体接收特定波段光源照射后产生的反馈,进而判断是否为活体。
示例1:采用近红外光源照射人脸,通过采集人脸在近红外光源下的图像视频进行人脸肤质材料的分析,从而判定是否为活体。
示例2:采用多摄像头、深度传感器等传感器设备,通过采集人脸的三维立体信息进行动态立体重建、动态变焦等三维分析,从而判定是否为活体。
6.1.5 人脸数据注册管理
6.1.5.1 人脸数据注册
注册方式包括现场注册、远程注册两种方式。
若用户使用客户端设备进行注册时,注册过程应在可信环境中进行。
6.1.5.2 人脸数据注销
人脸数据注销应满足以下要求:
a) 注销参与者是有关闭意愿的用户本人。
b) 在注销前对授权注销者进行身份验证。
c) 注销后,存储器中的人脸数据应销毁,不可重复使用,下次使用需重新采集。
6.1.5.3 人脸数据注册加载
人脸数据注册过程中批量加载人脸数据时,本项功能应:
a) 建立不同数据源、不同安全域之间采集数据加载安全策略、加载方式和访问控制机制;
b) 确保人脸数据加载过程中的数据正确性和一致性;
c) 确保人脸数据加载过程中数据的安全保护;
d) 记录并保存人脸数据加载过程中人脸等个人信息数据的处理过程。
6.1.6 用户鉴别
6.1.6.1 鉴别时机
应在人脸识别系统安全功能实施所要求的动作之前,先对提出该动作要求的用户进行鉴别,未通过
鉴别者不予执行。
评论
发表评论