9.1 移動智能終端側安全要求

9.1.1　移動應用

移動應用要求如下：

a) 應符合GB/T 34975-2017第4章所規定的安全要求；

b) 應采取有效的技術手段，確認與其通信的依賴方或身份鑒別服務器的真實性。

9.1.2　可信環境

可信環境應具備安全邊界，在環境內部應提供技術手段，對位于可信環境中的代碼和數據的安全性提供保證，如保密性、完整性和可用性等。可信環境安全相關的說明可參見附錄A。

9.1.3　身份鑒別可信應用

應采取有效的技術手段，確保身份鑒別可信應用的生命周期管理如下載、安裝、更新、卸載等的安全可控。身份鑒別可信應用安全要求如下:

a) 可采取有效的技術手段，對生物特征識別器的真實性和完整性進行校驗；

b) 應具備訪問控制機制，確保只有具備訪問權限的移動應用才能通過身份鑒別中間件對身份鑒別可信應用進行訪問調用；

c) 宜支持對生物特征識別器的真實性和完整性進行校驗；

d) 在完成身份鑒別業務流程后，身份鑒別可信應用應及時清除內存中的臨時數據；

e) 應采取有效的技術手段，確保身份鑒別注冊流程中生成的用戶鑒別密鑰的隨機性，并應采取有效的技術手段，確保對生成的用戶鑒別密鑰的安全存儲和使用。

9.1.4　生物特征識別器

應具備有效的技術手段對生物特征識別器的真實性、完整性進行校驗。生物特征識別器安全要求如下：

a) 特征采集模塊

1) 應具備有效的安全機制，確保生物特征樣本采集、質量判斷、呈現攻擊檢測、生物特征項提取和傳輸過程中的用戶生物特征數據的機密性和完整性；

2) 應及時清除未通過質量判斷的用戶生物特征樣本，并確保其不可恢復；

3) 生物特征項提取結束后應及時清除用戶的生物特征樣本，并確保其不可恢復；

4) 宜結合移動智能終端所具有的可信執行環境或安全元件實現上述安全機制。

b) 特征存儲模塊

1) 應具有有效的安全機制，確保已登記用戶生物特征模板與該用戶標識之間的正確關聯關系，防止被非法修改與獲取；

2) 應具備有效的安全機制，確保在對生物特征存儲模塊中用戶生物特征數據進行操作時，如存儲和傳輸時，用戶生物特征數據的機密性和完整性，并在操作完成后對操作過程中的臨時數據（如存儲或傳輸過程中，留存在設備動態內存中的與生物特征樣本等數據），進行及時清除并確保不可恢復；

3) 宜采用加密方式對用戶生物特征模板數據進行存儲；

4) 對于已刪除的用戶生物特征模板數據，應及時進行清除并確保不可恢復；

5) 宜結合移動設備所具有的可信執行環境或安全元件實現上述安全機制。

c) 特征比對模塊

1) 應具備有效的安全機制，確保在進行生物特征比對操作時，生物特征模板讀取的準確性；

2) 生物特征數據不被竊取或篡改；

3) 相似度計算結果不被竊取或篡改；

4) 識別決策結果不被竊取或篡改；

5) 比對結束后，應及時清除用戶生物特征數據和比對過程中所產生的其他臨時數據（如比對得分等）應設定比對失敗嘗試次數限制，比對失敗次數超出限制后，應采取相應的失敗處理機制；

6) 應采取有效的安全機制，確保識別結果輸出時的完整性，不被非法篡改。