附　錄　B （資料性附錄） 指紋識別系統安全描述

B.1　受保護資產

B.1.1　描述目的

在本標準所描述的安全問題描述、安全目的和安全需求，均為了保護本節中所描述的受保護的資產。

B.1.2　用戶數據類

B.1.2.1　概述

用戶數據是指由用戶產生或為用戶產生的數據，這些數據不影響指紋識別系統安全功能的運行。

B.1.2.2　系統配置數據

指紋識別設備、指紋比對模塊、指紋識別決策模塊的系統配置數據。

示例：指位識別設備中進行指紋圖像處理的參數，指紋比對模塊中的閾值，指紋識別決策模塊中決策規則。

B.1.2.3　中間處理數據

為輸出指紋識別結果，由指紋識別系統生成的指紋采集樣本數據、指紋特征中間數據、指紋特征項數據、指紋特征模板數據、指紋模型數據、匹配結果數據。

B.1.2.4　輸入數據

指紋識別過程中，人工輸入的數據。如指紋登記時用戶輸入的身份信息。

B.1.2.5　傳輸數據

傳輸數據包括：

a) 指紋采集設備與指紋處理模塊之間傳輸的數據；

b) 指紋特征數據庫與指紋比對模塊之間傳輸的數據；

c) 指紋特征存儲介質與指紋比對模塊之間傳輸的數據；

d) 指紋識別系統與指紋識別應用程序之間傳輸的數據；

e) 指紋識別前端與指紋認證中心之間傳輸的數據。

B.1.3　安全功能數據類

B.1.3.1　概述

指紋識別系統安全功能數據是指由指紋識別系統產生或為指紋識別系統產生的數據，這些數據可能會影響指紋識別系統安全功能的運行。

B.1.3.2　安全功能受保護數據

除系統的管理者和擁有者外，不允許改變內容但允許公開內容的數據。

注：不管是數據的非管理者用戶還是數據的非擁有者用戶，對指紋識別系統評估對象安全功能受保護數據的改變可能影響該評估對象TOE的運行安全，但對這類數據的泄露是可接受的。

示例：用戶和設備的標識數據（ID）、用戶或系統狀態數據、設備和網絡狀態信息和配置設置、設備安全狀態等均為評估對象安全功能受保護數據。

B.1.3.3　安全功能保密數據

除系統的管理者和擁有者外，既不允許改變內容也不允許公開內容的數據。

注：不管是數據的非管理者用戶還是數據的非擁有者的用戶，對評估對象安全功能保密數據的改變和泄露均可能影響該評估對象TOE的運行安全。

00003示例：用戶和設備的鑒別數據、用戶口令、審計記錄數據、數字證書的私鑰、訪問控制表等均為評估對象TOE保密數據。

B.1.4　安全威脅分析

B.1.4.1　 概述

指紋識別系統作為身份鑒別機制多因子鑒別之一時，處于信息系統的邊界，其安全威脅主要來自惡意用戶對真實身份的偽造與隱瞞，包括假冒者試圖與他人指紋特征參考匹配，以竊取指紋主體的身份標識，也包括隱瞞身份者試圖避免與自己指紋特征參考匹配，以逃脫審計。同時，指紋識別系統作為一種信息系統，自身也面臨信息系統通常遇到的各種安全威脅。

B.1.4.2　指紋識別信息系統安全威脅分析

根據指紋識別系統的結構組成與數據流向，其安全威脅主要來源于以下環節：

a) 偽造指紋。利用偽造的指紋在指紋采集設備上進行特征采集，進而侵入系統。

b) 重復使用指紋特征數據。利用曾經使用過的指紋數據直接作為指紋特征提取模塊的輸入，用預先注入的指紋特征來替代現場采集的指紋。

c) 越過指紋特征提取模塊。利用木馬程序入侵指紋特征提取模塊，并使指紋特征提取模塊提取出的特征是被預先選定的。

d) 篡改提取后的指紋特征數據。指紋特征被提取后，其特征數據被具有偽裝性的特征數據置換。

e) 侵蝕匹配器。人為地修改匹配器，使之能夠更容易地輸出一個較高的匹配分數。

f) 篡改模板數據庫。通過修改存儲的指紋數據，利用偽造的特征數據來進行正確的匹配，或者破壞數據，以至于正確的特征被系統拒絕。

g) 攻擊模板數據庫和匹配器之間的聯接渠道。通過攻擊傳輸渠道進行信息包的篡改。

h) 控制輸出。改寫匹配器的判定結果。

B.1.5　指紋識別技術安全性分析

用戶每次提交的指紋識別樣本都不會完全相同，因此指紋識別系統的性能要求以概率來定義。這樣，指紋識別系統存在統計錯誤，以至冒名頂替者也可能會被授權訪問受保護的資源，而合法的用戶卻被拒絕訪問。經授權的管理用戶可通過設定閾值來決定系統的錯誤接受率FAR和錯誤拒絕率FRR，從而調整系統安全級別。指紋識別系統的FAR和FRR具有負相關性，為了調整指紋識別系統安全性的設置以降低FAR，卻會導致FRR的提高，反之亦然。

指紋識別系統的安全性要求部署人員評估指紋識別決策策略對FAR和FRR的影響，以確定指紋識別系統部署后的性能。根據系統的安全需要，基于風險評估，設定整體的決策策略（閾值、注冊識別率、嘗試次數等）。

B.2　安全假設

有關指紋識別系統運行環境所做出的假定，其目的是使TOE有能力提供安全功能。如果TOE放在一個不滿足這些假定的運行環境中，那么該TOE就不可能提供它的所有安全功能。這樣的假定可以是有關該運行環境的物理方面、人員方面和連接方面，主要包括：

——TOE獨立的物理部件之間，TOE和環境之間的通信路徑應進行保護（如物理保護、加密等）。

——在TOE和運行環境之間存儲、傳輸指紋識別數據（包括特征參考模板、與用戶標識符的綁定等）時應進行保護，防止指紋識別數據內容的暴露和篡改。

——假設個體用戶的指紋特征是穩定的，并可供傳感器識別。

——假設注冊用戶的身份可通過正確的程序來驗證。

——管理員是可信的，經過正式培訓且遵循管理員指南。

——TOE無法獲得通用的計算和存儲能力（例如編譯器、編輯器、用戶應用程序）。

——TOE應部署在供應商定義的正常操作環境（如溫度、濕度）范圍內。

B.3　安全目的

B.3.1　概述

指紋識別系統為指紋識別身份鑒別使用者提供了人類用戶主體作為訪問者的身份鑒別機制，其安全目的為抵御指紋識別系統安全威脅提供解決方案。

B.3.2　針對評估對象的安全目的

B.3.2.1　防止系統配置數據和指紋處理數據未授權的泄露和更改

TOE各模塊均應保護系統配置數據和指紋處理數據，以免未經授權泄露和更改。

示例1：對操作用戶進行標識與鑒別。

示例2：對不同的操作劃分不同的用戶權限。

B.3.2.2　防止輸入數據和傳輸數據的偽造、抵賴和未授權更改

TOE系統各模塊均應保護輸入數據和傳輸數據，以免偽造、抵賴和未授權變更。

示例3：信息傳輸應對通信方進行標識和鑒別，其中的標識應可與事先的設置進行比對。

示例4：信息傳輸應正確鑒別傳輸數據。但不同組件在物理上部署于同一環境時，其對通信方的標識和鑒別可采用不同于網絡傳輸時標識和鑒別的方式進行，也可不再鑒別傳輸數據。

B.3.2.3　防止受保護數據和保密數據偽造和未授權的更改

TOE各模塊均應保護受保護數據和保密數據，以免偽造和未授權變更。

B.3.2.4　防止TSF保密數據泄露

TOE各模塊均應保護TSF保密數據以免未授權泄露。

B.3.2.5　產生安全日志

TOE各模塊均應對所有的涉及到指紋識別的事件和安全事件產生日志，并防止偽造、未授權泄露或更改。

B.3.2.6　防止旁路攻擊

TOE各模塊均應防止旁路攻擊，避免攻擊者從旁路通道通過非授權的驗證。

B.3.2.7　密碼模塊和密碼算法安全

TOE必須以一個安全的方式支持密碼功能，其使用的密碼算法必須符合國家、行業或組織要求的密碼管理相關標準或規范。

B.3.2.8　防偽造攻擊

TOE應防止攻擊者使用高質量的偽造假體通過驗證。

B.3.2.9　防重放攻擊

TOE應提供安全機制以抵御重放攻擊，避免攻擊者重復提交指紋樣本通過驗證。

B.3.2.10　防遺留信息攻擊

TOE應防止攻擊者使用未清除的遺留信息通過驗證。

B.3.2.11　指紋特征參考模板安全保護

TOE應防止攻擊者在指紋登記、指紋比對過程中偽造、篡改指紋特征參考模板。

B.3.3　針對評估對象運行環境的安全目的

TOE內部應能使用可信信道。

TOE與指紋識別應用程序之間應使用可信路徑。