5 技術架構

5.1　總體架構

基于生物特征識別的移動智能終端身份鑒別技術框架主要包括移動智能終端和服務器側的若干功能單元，總體技術架構如圖1所示。

圖1　基于生物特征識別的移動智能終端身份鑒別技術架構

移動智能終端側一般包括移動應用、身份鑒別中間件、身份鑒別可信應用、生物特征識別器、采集元件等功能單元。對于有較高安全需求的應用，本標準所規范的技術框架基于可信環境實現，運行于移動智能終端的身份鑒別協議解析、用戶生物特征采集、比對、存儲與呈現攻擊檢測等均在可信環境中進行。對于大多數移動智能終端而言，本標準中可信環境的具體實現方式可采用但不限于TEE或TEE與SE組合使用的方式。

服務器側包括身份鑒別服務器和依賴方服務器。身份鑒別服務器包括身份鑒別服務模塊，可具備可信應用管理和可信設備管理等模塊。

注1：TEE（可信執行環境）一般指運行在移動設備中的隔離執行環境，具備較強的安全能力，以確保運行其中的應用程序、敏感數據等在相對可信的環境中得到存儲、處理和保護。

注2：SE（安全元件）一般指具有防篡改能力的微處理芯片，能夠在其內部安全地運行應用程序并存儲敏感數據。