ГОСТ Р 58230-2018 Информационные технологии. Идентификационные карты. Биометрическое сравнение на идентификационной карте

Обложка ГОСТ Р 58230-2018 Информационные технологии. Идентификационные карты. Биометрическое сравнение на идентификационной карте
Обозначение
ГОСТ Р 58230-2018
Наименование
Информационные технологии. Идентификационные карты. Биометрическое сравнение на идентификационной карте
Статус
Действует
Дата введения
2019.01.01
Дата отмены
-
Заменен на
-
Код ОКС
35.240.15

ГОСТ Р58230-2018

(ИСО/МЭК 24787:2010)

ГруппаП85

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ИДЕНТИФИКАЦИОННЫЕ КАРТЫ

Биометрическое сравнение на идентификационной карте

Information technology. Identification cards. On-cardbiometric comparison

ОКС35.240.15

Датавведения 2019-01-01

Предисловие

Предисловие

1ПОДГОТОВЛЕН Федеральным государственным бюджетным образовательнымучреждением высшего образования "Московский государственныйтехнический университет имени Н.Э.Баумана (национальныйисследовательский университет)" (МГТУ им.Н.Э.Баумана) и Федеральнымгосударственным унитарным предприятием "Всероссийскийнаучно-исследовательский институт стандартизации и сертификации вмашиностроении" (ВНИИНМАШ) на основе собственного перевода нарусский язык англоязычной версии стандарта, указанного в пункте 4,при консультативной поддержке АО "Ангстрем-Т" и Некоммерческогопартнерства "Русское биометрическое общество"

2ВНЕСЕН Техническим комитетом по стандартизации ТК 098 "Биометрия ибиомониторинг"

3УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства потехническому регулированию и метрологии от 25 сентября 2018 г. N651-ст

4Настоящий стандарт является модифицированным по отношению кмеждународному стандарту ИСО/МЭК 24787:2010* "Информационныетехнологии. Идентификационные карты. Биометрическое сравнение наидентификационной карте" (ISO/IEC 24787:2010 "Informationtechnology - Identification cards - On-card biometric comparison",MOD). При этом в него не включены ссылочные международные стандартыпримененного международного стандарта, которые нецелесообразноприменять в российской стандартизации в связи с наличиемнациональных и межгосударственных стандартов, идентичных ссылочныммеждународным стандартам. При этом дополнительные слова и ссылки,включенные в текст стандарта для учета потребностей национальнойэкономики Российской Федерации, выделены курсивом.**
________________
*Доступ к международным и зарубежным документам, упомянутым здесь идалее по тексту, можно получить, перейдя по ссылке на сайт ;
** В оригиналеобозначения и номера стандартов и нормативных документов в разделах"Предисловие", 3 "Нормативные ссылки", приложении ДА приводятсяобычным шрифтом, отмеченные в этих разделах знаком "**" и остальныепо тексту документа выделены курсивом. - Примечания изготовителябазы данных.

Техническая поправка куказанному международному стандарту Cor 1:2013, принятая после егоофициальной публикации, внесена в текст настоящего стандарта ивыделена двойной вертикальной линией, расположенной на поляхнапротив соответствующего текста, а обозначение и год принятиятехнической поправки приведены в скобках после соответствующеготекста.

Сведения о соответствииссылочных национальных и межгосударственных стандартовмеждународным стандартам, использованным в качестве ссылочных впримененном международном стандарте, приведены в дополнительномприложении ДА

5ВВЕДЕН ВПЕРВЫЕ

6Некоторые элементы настоящего стандарта могут быть объектамипатентных прав. Международная организация по стандартизации (ИСО) иМеждународная электротехническая комиссия (МЭК) не несутответственности за установление подлинности каких-либо или всехтаких патентных прав

Правилаприменения настоящего стандартаустановлены в статье26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "Остандартизации в Российской Федерации"**.Информация об изменениях кнастоящему стандарту публикуется вежегодном (по состоянию на 1января текущего года) информационномуказателе "Национальныестандарты", а официальныйтекст изменений и поправок ежемесячном информационном указателе"Национальные стандарты".В случае пересмотра (замены) илиотмены настоящего стандартасоответствующее уведомление будетопубликовано в ближайшем выпускеежемесячного информационного указателя"Национальные стандарты".Соответствующая информация, уведомлениеи тексты размещаются также винформационной системе общегопользования - на официальномсайте Федерального агентства потехническому регулированию и метрологиив сети Интернет(www.gost.ru)

Введение

Биометрическое сравнениена идентификационной карте, определенное в ГОСТ Р ИСО/МЭК 7816-11, являетсяединственным решением с использованием карт на интегральных схемах(integrated circuit cards, ICC) и биометрических технологий,обеспечивающим повышенную конфиденциальность и более безопасноебиометрическое распознавание, так как процесс биометрическогосравнения выполняется

на ICC. Вотличие от биометрического сравнения вне идентификационной карты(техническая поправка Cor 1:2013) биометрическое сравнение наидентификационной карте (техническая поправка Cor 1:2013) нетребует передачи данных биометрического контрольного шаблона из ICCв устройство

сопряжения.Поэтому даже в случае утери или кражи ICC данные биометрическогоконтрольного шаблона, хранящиеся на ней, не смогут быть скопированыи останутся конфиденциальными.

ГОСТ Р ИСО/МЭК 7816-11 и нормативныйдокумент* устанавливают требования к технологиям

биометрического сравнения вне идентификационной карты (техническаяпоправка Cor 1:2013) и простого биометрического сравнения наидентификационной карте (техническая поправка Cor 1:2013).

Самые надежныетехнологии биометрического сравнения, использующие биометрическиеобразцы, полученные от реального источника, требуют высокойвычислительной мощности. В то же время, производительностьпроцессора и другие ресурсы ICC улучшаются медленнее, так кактребования низкого энергопотребления, малых размеров чипа, низкойсебестоимости карт и т.д. являются препятствием для их болеебыстрого развития. Встраивание биометрических считывателей в ICC -по-прежнему технически сложная задача.

_______________

* См.[1].

Врезультате необходимо разработать новый стандарт, устанавливающийтребования к биометрическому сравнению на идентификационной карте(техническая поправка Cor 1:2013), за исключением биометрическогосравнения вне идентификационной карты (техническая поправка Cor1:2013) и биометрического сравнения в системе на идентификационнойкарте (техническая поправка Cor 1:2013).

Настоящийстандарт устанавливает требования и дает рекомендации:

- поописанию структуры процесса биометрического сравнения наидентификационной карте (техническая поправка Cor 1:2013);

- описаниюструктуры процесса биометрического сравнения на идентификационнойкарте с распределением нагрузки (техническая поправка Cor 1:2013),что позволит уменьшить нагрузку на ICC с помощью предварительныхвычислений;

-управлению значениями порогов и другим аспектам безопасности прибиометрическом сравнении на идентификационной карте (техническаяпоправка Cor 1:2013).

1Область применения

Настоящий стандартустанавливает:

-требования к выполнению сравнения биометрических образцов ипринятию решения на идентификационной карте;

-принципы обеспечения безопасности при биометрическом сравнении наидентификационной карте.

Настоящий стандарт такжеустанавливает команды и правила для проведения предварительныхвычислений, выполняющихся вне идентификационной карты.

Настоящий стандарт неустанавливает требования:

- квыполнению биометрического сравнения вне идентификационной карты(техническая поправка Cor 1:2013);

-системе на идентификационной карте;

-хранению и процессу сравнения применительно к конкретнымбиометрическим модальностям.

2Соответствие

Система наидентификационной карте, в которой осуществляется биометрическоесравнение (техническая поправка Cor 1:2013), соответствуетнастоящему стандарту, если она соответствует требованиям, указаннымв 7.1.2-7.1.5, 7.2.1-7.2.8, 8.1 и 8.2.2-8.2.3.

Идентификационная карта,соответствующая требованиям настоящего стандарта, должна:

1) быть персонализированадвумя наборами данных:

-обработанные данные биометрического контрольного шаблона объекта всоответствии с 7.1.2,

-данные конфигурации для биометрического распознавания всоответствии с 7.1.3;

2) поддерживать общийинтерфейс для ICC с несколькими приложениями в соответствии с7.1.4;

3) поддерживатьуправление счетчиком попыток в соответствии с 7.1.5;

4)соответствовать требованиям, установленным в 7.2.1 и 7.2.8 длябиометрического сравнения на идентификационной карте (техническаяпоправка Cor 1:2013);

5) соответствоватьтребованиям, установленным в 8.1, 8.2.2. и 8.2.3 к распределениюнагрузки.

Биометрическоераспознавание может быть реализовано совместно с другимимеханизмами аутентификации, такими как ПИН-код. Данная реализациядолжна соответствовать требованиям ГОСТ Р ИСО/МЭК 7816-4.

Биометрические данныедолжны быть организованы и управляться с использованием файловойструктуры или объектов данных в соответствии с требованиямиГОСТ Р ИСО/МЭК 7816-4. При этомесли биометрические данные:

а) организованы сиспользованием файловой структуры, тогда система должна полностьюсоответствовать требованиям ГОСТ РИСО/МЭК 7816-11;

b) организованы иуправляются с использованием объектов данных, тогдаидентификационная карта должна соответствовать требованиям ГОСТ Р ИСО/МЭК 7816-4 к обработкеобъекта данных.

Кодирование объектовбиометрических данных должно соответствовать требованиям ГОСТ Р ИСО/МЭК 7816-11 инормативному документу*.

_______________

*См. [1].

3Нормативные ссылки

Внастоящем стандарте использованы нормативные ссылки на следующиестандарты:

ГОСТISO/IEC 2382-37-2016 Информационные технологии. Словарь. Часть37. Биометрия

ГОСТ РИСО МЭК 7816-3-2013 Карты идентификационные. Карты наинтегральных схемах. Часть 3. Карты с контактами. Электрическийинтерфейс и протоколы передачи

ГОСТ Р ИСО/МЭК 7816-4-2013 Картыидентификационные. Карты на интегральных схемах. Часть 4.Организация, защита и команды для обмена

ГОСТ Р ИСО/МЭК 7816-11-2013 Картыидентификационные. Карты на интегральных схемах. Часть 11.Верификация личности биометрическими методами

ГОСТ Р ИСО/МЭК 19785-1-2008Автоматическая идентификация. Идентификация биометрическая. Единаяструктура форматов обмена биометрическими данными. Часть 1.Спецификация элементов данных

ГОСТ Р ИСО/МЭК 19785-2-2008Автоматическая идентификация. Идентификация биометрическая. Единаяструктура форматов обмена биометрическими данными. Часть 2.Процедуры действий регистрационного органа в области биометрии

ГОСТISO/IEC 19794-1-2015 Информационные технологии. Биометрия.Форматы обмена биометрическими данными. Часть 1. Структура

ГОСТ Р ИСО/МЭК 19794-2-2013Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 2. Данные изображения отпечаткапальца - контрольные точки

ГОСТ Р ИСО/МЭК 19794-3-2009Автоматическая идентификация. Идентификация биометрическая. Форматыобмена биометрическими данными. Часть 3. Спектральные данныеизображения отпечатка пальца

ГОСТ Р ИСО/МЭК 19794-4-2014Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 4. Данные изображения отпечаткапальца

ГОСТ Р ИСО/МЭК 19794-5-2013Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 5. Данные изображения лица

ГОСТ Р ИСО/МЭК 19794-6-2014Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 6. Данные изображения радужнойоболочки глаза

ГОСТ Р ИСО/МЭК 19794-7-2009Автоматическая идентификация. Идентификация биометрическая. Форматыобмена биометрическими данными. Часть 7. Данные динамикиподписи

ГОСТ Р ИСО/МЭК 19794-8-2015Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 8. Данные изображения отпечаткапальца - остов

ГОСТ Р ИСО/МЭК 19794-9-2015Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 9. Данные изображения сосудистогорусла

ГОСТ Р ИСО/МЭК 19794-10-2010Автоматическая идентификация. Идентификация биометрическая. Форматыобмена биометрическими данными. Часть 10. Данные геометрии контуракисти руки

ГОСТ Р ИСО/МЭК 19794-11-2015Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 11. Обрабатываемые данные динамикиподписи

ГОСТ Р ИСО/МЭК 19794-14-2017Информационные технологии. Биометрия. Форматы обменабиометрическими данными. Часть 14. Данные ДНК

ГОСТ Р ИСО/МЭК 29794-1-2012Информационные технологии. Биометрия. Качество биометрическихобразцов. Часть 1. Структура

Примечание - Припользовании настоящим стандартом целесообразно проверить действиессылочных стандартов в информационной системе общего пользования -на официальном сайте Федерального агентства по техническомурегулированию и метрологии в сети Интернет или по ежегодномуинформационному указателю "Национальные стандарты", которыйопубликован по состоянию на 1 января текущего года, и по выпускамежемесячного информационного указателя "Национальные стандарты" затекущий год. Если заменен ссылочный стандарт, на который дананедатированная ссылка, то рекомендуется использовать действующуюверсию этого стандарта с учетом всех внесенных в данную версиюизменений. Если заменен ссылочный стандарт, на который данадатированная ссылка, то рекомендуется использовать версию этогостандарта с указанным выше годом утверждения (принятия). Если послеутверждения настоящего стандарта в ссылочный стандарт, на которыйдана датированная ссылка, внесено изменение, затрагивающееположение, на которое дана ссылка, то это положение рекомендуетсяприменять без учета данного изменения. Если ссылочный стандартотменен без замены, то положение, в котором дана ссылка на него,рекомендуется применять в части, не затрагивающей эту ссылку.

4Термины и определения

Внастоящем стандарте применены термины по ГОСТISO/IEC 2382-37 и ГОСТ Р ИСО/МЭК7816-11, а также следующие термины с соответствующимиопределениями:

4.1вспомогательные данные (auxiliary data): Данные,зависящие от особенностей биометрической модальности и связанные сбиометрическим контрольным шаблоном, но не содержащиебиометрический контрольный шаблон или биометрический образец.

Пример- Такие данные,как ориентация,масштабирование и т.п.,являются вспомогательнымиданными.

4.2 идентификаторбиометрического продукта (biometric productidentifier): Уникальный идентификатор, присвоенный биометрическомупродукту в регистрирующем органе в соответствии с ГОСТ Р ИСО/МЭК 19785-1.

4.3 установка(installation): Запись требуемых параметров в энергонезависимуюпамять карты на интегральной схеме (ICC) операционной системой ICC,выполняющей процедуру установки после того, как приложениезагружено в ICC.

4.4биометрическое сравнение на идентификационной карте (on-cardbiometric comparison) (техническая поправка Cor 1:2013): Выполнениепроцесса биометрического сравнения и принятия решения на карте наинтегральной схеме, где хранятся данные биометрическогоконтрольного шаблона, с целью повышения безопасности иконфиденциальности.

4.5биометрическое сравнение вне идентификационной карты(off-card biometric comparison) (техническая поправка Cor 1:2013):Выполнение процесса биометрического сравнения вне идентификационнойкарты путем биометрической верификации с использованиембиометрического контрольного шаблона, хранящегося наидентификационной карте.

4.6предварительные вычисления (pre-comparisoncomputation): Процедура расчета, выполняемая вне ICC, требующая(открытых) вспомогательных данных, хранящихся на идентификационнойкарте, для расчета метаданных, которые могут быть использованы дляускорения последующего процесса биометрического сравнения данных наидентификационной карте.

4.7 распределениенагрузки (work-sharing): Разделение вычислительной нагрузкипроцесса сравнения между идентификационной картой и биометрическимустройством сопряжения.

Примечание- Биометрическое сравнение на идентификационной карте сраспределением нагрузки (техническая поправка Cor 1:2013) являетсяодним из типов биометрического сравнения на идентификационной карте(техническая поправка Cor 1:2013).

4.8 системана идентификационной карте (system-on-card):Система биометрической верификации на идентификационной карте,предназначенная для получения биометрических данных, их обработки исравнения.

Примечание- Биометрическое сравнение в системе на идентификационной карте(техническая поправка Cor 1:2013) является одним из типовбиометрического сравнения на идентификационной карте (техническаяпоправка Cor 1:2013).

4.9 обнуленныеданные (zeroize data): Сохраненные в электронном видеданные, которые были размагничены, стерты или перезаписаны.

5Обозначения и сокращения

Внастоящем стандарте применены следующие сокращения:

AID - идентификаторприложения (application identifier);

ADF - назначенный файлприложения (application dedicated file);

APDU - блок данныхпротокола приложения (application protocol data unit);

AUT - аутентификация(authentication);

BER - базовые правилакодирования (basic encoding rules);

BIT - биометрическийинформационный шаблон (biometric information template);

CRT - шаблон управляющихссылок (control reference template);

CPU - центральныйпроцессор (central processing unit);

DF - назначенный файл(dedicated file);

DF.CIA - назначенный файлприложения для кодирования информации (dedicated file,cryptographic information application);

EF - элементарный файл(elementary file);

FCI - контрольнаяинформация файла (file control information);

FCP - контрольныйпараметр файла (file control parameter);

ICC - карта наинтегральной схеме (integrated circuit card);

MAC - код аутентификациисообщения (message authentication code);

MSE - среда безопасности(manage security environment);

RFU - зарезервированы длябудущего использования (reserved for future use);

SW1-SW2 - байты состояния(status bytes);

TLV - тег, длина,значение (tag, length, value);

WSCP - протоколвычислений распределения нагрузки (work-sharing computationprotocol);

WSR - запрос нараспределение нагрузки (work-sharing request);

ВЛС - вероятность ложногосовпадения (FMR, false match rate);

ОС - операционная система(OS, operational system).

6Структура биометрического сравнения с использованием ICC

6.1Общие положения

Вследующих подразделах подробно описаны четыре метода распределениянагрузки при выполнении биометрического сравнения междуидентификационной картой, отвечающей требованиям ГОСТ Р ИСО/МЭК 7816-3, ГОСТ Р ИСО/МЭК 7816-4, ГОСТ Р ИСО/МЭК 7816-11 и системойбиометрической верификации. Только 6.3 и 6.4 входят в областьприменения настоящего стандарта.

Дляосуществления биометрической регистрации пользователь предоставляетбиометрический образец для создания биометрического контрольногошаблона, после чего данные пользователя загружаются

наидентификационную карту. Этот процесс не относится кбиометрическому сравнению на идентификационной карте (техническаяпоправка Cor 1:2013), как указано в 6.5.

6.2Биометрическое сравнение вне идентификационной карты (техническаяпоправка Cor 1:2013)

Биометрическое сравнениевне идентификационной карты (техническая поправка Cor 1:2013)означает, что процесс биометрической верификации проводится всистеме биометрической верификации.

Идентификационная карта в данном случае выступает в роли хранилищадля биометрического контрольного шаблона (или несколькихбиометрических контрольных шаблонов) пользователя. Схема процессапредставлена на рисунке 1.

Для выполнения попыткибиометрической верификации система биометрической верификациидолжна получить доступ к ICC и считать данные биометрическогоконтрольного шаблона пользователя. Система биометрическойверификации в данном случае предназначена для регистрациибиометрического образца и выполнения биометрической верификации.При положительном результате биометрической верификации системабиометрической верификации изменит свой статус безопасности. Этотпроцесс может включать считывание дополнительной информации сидентификационной карты для последующих транзакций. В случаеотрицательного результата дальнейший доступ будет запрещен.

Шифрование обычноиспользуют для взаимной проверки подлинности идентификационнойкарты и системы биометрической верификации. Для защиты процессаобмена данными между системой биометрической верификации иидентификационной картой защищенный канал должен быть создан доначала передачи любого шаблона или данных.

Пример- Рассмотрим системуконтроля доступа, вкоторой биометрическийконтрольный шаблон икод доступа хранятсяна ICC.Система биометрическойверификации считываетбиометрический контрольныйшаблон сидентификационной карты ивыполняет биометрическуюверификацию. В случаеположительного результатабиометрической верификациисистема считывает коддоступа сидентификационной карты ипередает его сервернойсистеме, котораяоткрывает дверь.

Рисунок 1 - Общаяархитектура для биометрического распознавания с использованиемсравнения вне идентификационной карты

6.3Биометрическое сравнение на идентификационной карте (считыватель невстроен в карту) (техническая поправка Cor 1:2013)

Биометрическое сравнениена идентификационной карте (техническая поправка Cor 1:2013)

означает, чтоверификация биометрического образца выполняется наидентификационной карте. Схема процесса представлена на рисунке 2.Процессор ICC должен иметь достаточную вычислительную мощность длявыполнения сравнения. Процесс биометрической регистрации совпадаетили аналогичен процессу биометрической регистрации прибиометрическом сравнении вне идентификационной карты.

Длявыполнения биометрического сравнения на идентификационной карте(техническая поправка Cor 1:2013) система биометрическойверификации регистрирует биометрический образец и извлекаетбиометрические данные. Созданные биометрические данные загружаютсяна идентификационную

карту длявыполнения биометрической верификации. При положительном результатебиометрической верификации статус безопасности идентификационнойкарты обновляется, и соответствующий сигнал отправляется всерверную систему.

Для защиты процессаобмена данными между системой биометрической верификации иидентификационной картой рекомендуется использовать проверенныйзащищенный канал (с использованием безопасного обмена сообщениями всоответствии с требованиями ГОСТ РИСО/МЭК 7816 и механизмами распределения функций сравнения прибиометрической верификации, определенными в нормативномдокументе*.

_______________

*См. [2].

Пример- Рассмотримидентификационную карту свозможностью созданияцифровых подписей сиспользованием ключа,который никогда непередается сидентификационной карты.Запрос, отправленный наидентификационную карту сцелью инициироватьсоздание цифровойподписи, получаетответное сообщение обошибке статусабезопасности. Этоуказывает пользователю онеобходимости верификации.Пользователь предъявляетсистеме биометрическойверификации требуемыйбиометрический образецдля созданиябиометрических данных,которые передаются вICC. ICCзатем сравнивает вновьполученные биометрическиеданные с хранящимсябиометрическим контрольнымшаблоном, и вслучае успешногосравнения ICC обновляетстатус безопасности, чтовпоследствии позволяетICC создавать цифровуюподпись при получениисоответствующих командAPDU.

Рисунок 2 - Общаяархитектура для биометрического распознавания с использованиемсравнения на идентификационной карте

6.4Биометрическое сравнение на идентификационной карте сраспределением нагрузки (техническая поправка Cor 1:2013)

Биометрическое сравнениена идентификационной карте с распределением нагрузки аналогичнобиометрическому сравнению на идентификационной карте за исключениемпроцедуры сравнения. Схема процесса представлена на рисунке 3.Данный способ сравнения предназначен для использования с ICC,которые не обладают достаточными вычислительными возможностями длявыполнения сравнения биометрических данных. В этом случае некоторыефункции, которые требуют достаточно больших вычислительныхмощностей, например математические преобразования, передаютсясистеме биометрической верификации для выполнения расчетов.Результат вычислений возвращается в ICC, таким образом,окончательное решение о результате сравнения принимается на карте.В ходе предварительных вычислений происходит обмен данными междуидентификационной картой и системой биометрической верификации. Длязащиты связи между терминалом и идентификационной картойиспользуется проверенный защищенный канал до тех пор, покапотребность в такой защите отпадает для определенной рабочей среды.Окончательное сравнение производится на идентификационной карте.Подробное описание схемы распределения нагрузки приведено вприложении А.

Рисунок 3 - Общаяархитектура для биометрического распознавания с распределениемнагрузки

Примечание- Биометрическое сравнение на идентификационной карте сраспределением нагрузки (техническая поправка Cor 1:2013) должноиспользоваться только в том случае, когда для используемойбиометрической модальности выполнение процесса биометрическогосравнения на идентификационной карте (техническая поправка Cor1:2013) не отвечает требованиям затрачиваемого времени транзакциидля данного приложения.

6.5Биометрическое сравнение в системе на идентификационной карте(техническая поправка Cor 1:2013)

Биометрическое сравнениев системе на идентификационной карте (техническая поправка Cor1:2013) включает весь процесс верификации биометрического образца,выполняемый на идентификационной

карте. Схемапроцесса представлена на рисунке 4. Для выполнения биометрическогосравнения сканер, встроенный в идентификационную карту,регистрирует биометрический образец и извлекает биометрическиеданные. Полученные биометрические данные затем используются длябиометрической верификации. Процесс биометрической верификациивыполняется на идентификационной карте. Статус безопасностиидентификационной карты обновляется один раз после окончаниябиометрической верификации. Биометрический образец или данныебиометрического контрольного шаблона не передаются сидентификационной карты или на нее.

Рисунок 4 - Общаяархитектура для биометрического распознавания с использованиемсравнения на идентификационной карте

7Общая структура приложений биометрического сравнения наидентификационной карте (техническая поправка Cor 1:2013)

7.1Данные для биометрического сравнения на идентификационной карте(техническая поправка Cor 1:2013)

7.1.1 Общиеположения

В7.1.2-7.1.5 установлены требования:

-к обработке данных биометрического контрольного шаблона;

-данным конфигурации для биометрической верификации;

-общему интерфейсу для нескольких приложений;

-управлению счетчиком повторов.

7.1.2Обработка данных биометрического контрольного шаблона

С цельюобеспечения совместимости данных биометрического контрольногошаблона для биометрического сравнения на идентификационной карте(техническая поправка Cor 1:2013) следует использовать

биометрическиеданные в формате, определенном в комплексе стандартов ГОСТ Р ИСО/МЭК 19794. Пример приведен вприложении В.

Втом случае если требования к совместимости данных биометрическогоконтрольного шаблона отсутствуют для определенной рабочей среды,следует использовать биометрические данные в формате, определенномв комплексе стандартов ГОСТ РИСО/МЭК 19794.

Примечание -Рекомендуется использовать форматы обмена биометрическими данными,определенные в комплексе стандартов ГОСТ Р ИСО/МЭК 19794.

7.1.3Данные конфигурации для биометрическойверификации

7.1.3.1 Объекты данныхдля данных конфигурации

Данные конфигурации длябиометрической верификации состоят из набора объектов данных,описанных в таблице 1. Для извлечения данных конфигурациииспользуют правила доступа, связанные с логическими структурамиданных, которые хранят эту информацию. Если данные конфигурациидоступны, они хранятся в шаблоне биометрической информации (BIT)(см. ГОСТ Р ИСО/МЭК 7816-11).Эти данные конфигурации должны быть закодированы при наличии тега'В1' BIT (см. ГОСТ Р ИСО/МЭК7816-11), как показано в таблице 1.

Таблица 1 - Объекты данных для элементов данных конфигурации

Тег

Длина

Значение

Описание

'80'

От '01' до'03'

Максимальная длина данныхбиометрической верификации

'81'

От '01' до'03'

Максимальная длина данныхбиометрического контрольного шаблона

'82'

1

От '00' до'FF'

Поддерживаемое числобиометрических образцов ('00' - информация отсутствует)

'83'

1

'00': Повторнаярегистрация невозможна

'01': Повторнаярегистрация возможна

RFU: Другиезначения

Отметка, указывающаявозможность повторной биометрической регистрации

'85'

Переменная

В соответствиис требованиями ГОСТ Р ИСО/МЭК29794-1

Минимальное поддерживаемоекачество данных биометрической верификации в соответствии стребованиями, определенными в комплексе стандартов ГОСТ Р ИСО/МЭК 19794 и ГОСТ Р ИСО/МЭК 29794

'86'

1

Исходное значение счетчикаповторов, указывающее максимальное поддерживаемое число разрешенныхпопыток биометрической верификации

'87'

Переменная

Внутренние ограничениякачества для выполнения сравнения

'8F'

Переменная

Проприетарные данные

'90'

Переменная

См. таблицу 3(техническая поправка Cor 1:2013)

Типы биометрическогораспознавания и, если применимо, представления идентификационнойкарты

'А4'

2

В соответствиис требованиями регистрирующего органа, определенными в ГОСТ Р ИСО/МЭК 19785-2

Зарезервировано для будущегоиспользования; идентификатор алгоритма в соответствии стребованиями ИСО/МЭК СТК 1/ПК 37 "Биометрия"

Примечание - Кодированиедругих параметров конфигурации, таких как:

- требуемый статусбезопасности для выполнения биометрической верификации;

- требуемый статусбезопасности для выполнения биометрической регистрации;

- установка статусабезопасности после положительной верификации выходит за рамкинастоящего стандарта.

7.1.3.2 Параметрыалгоритма биометрического сравнения

Передвыполнением биометрической верификации необходимо считать сидентификационной карты набор параметров биометрического сравнения.В таблицах 2 и 3 представлены параметры алгоритмов

биометрического сравнения, хранящиеся в BIT, для выполнениябиометрического сравнения на идентификационной карте (техническаяпоправка Cor 1:2013) (тег '91'/B1' в соответствии с нормативнымдокументом*), где первичные параметры обозначены тегом '91', аполученные параметры - тегом 'В1' и включают общую длину.

_______________

*См. [1].

Таблица 2 - Объекты данных для параметров алгоритма биометрическогосравнения

Тег

Длина

Значение

Описание

'81'

*

*

Минимальная и максимальнаядлина биометрических данных в соответствии с требованиями,определенными в комплексе стандартов ГОСТ Р ИСО/МЭК 19794

'82'

*

*

Упорядочиваниепоследовательности, если применимо, биометрических признаков вбиометрических данных в соответствии с требованиями, определеннымив комплексе стандартов ГОСТ РИСО/МЭК 19794

'83'

*

*

Индикатор обработки признака всоответствии с требованиями, определенными в комплексе стандартовГОСТ Р ИСО/МЭК 19794(техническая поправка Cor 1:2013)

'84'

*

*

Информация об ориентации всоответствии с требованиями, определенными в комплексе стандартовГОСТ Р ИСО/МЭК 19794

'85'

**

**

Минимальное поддерживаемоекачество данных биометрической верификации (см. таблицу 1)

'90'

1

См. таблицу 3(техническая поправка Cor 1:2013)

Тип аутентификации иустойчивость алгоритма

'91'

2

От '0001' до'FFFF'

Максимальное время ответа,мс

Карта, выполняющая трудоемкие операции,должна поддерживать соответствующее увеличение времени ожидания всоответствии с ГОСТ Р ИСО/МЭК7816-3.

Примечания

1 * означает, что значениеданной переменной определяется в комплексе стандартов ГОСТ Р ИСО/МЭК 19794.

2 ** означает, что значениеданной переменной определяется в комплексе стандартов ГОСТ Р ИСО/МЭК 19794 и ГОСТ Р ИСО/МЭК 29794.

Биометрическое сравнениена идентификационной карте (техническая поправка Cor 1:2013)может

потребоватьвыполнения правил доступа, включая использование любого защищенногоканала для защиты процесса обмена командами и ответами APDU,необходимыми для завершения процесса.

Поле данныхAPDU, передающего биометрические данные на идентификационную картуили из нее, должно быть закодировано в соответствии с требованияминастоящего стандарта. Правила доступа и безопасный обменсообщениями, использующиеся для защиты APDU, должны соответствоватьтребованиям ГОСТ Р ИСО/МЭК7816-4.

Таблица 3 - Тип аутентификации и дискриминирующая способность

b7

b6

b5

b4

b3

b2