3 術語和定義

應用程序標識符 AppID、

該標識符使用統一資源定位符表示，用來唯一標識依賴方（見3.14）的某一應用程序。

鑒別密鑰標識符 authentication key identifier

該標識符唯一標識用戶使用生物特征識別密鑰管理器（見3.5）在身份鑒別服務器（見3.7）上注冊的某一密鑰。

3.3 鑒別器 authenticator

由生物特征識別密鑰管理器（見3.5）及其相關聯的生物特征識別器（見3.8）組成的實體。

3.4 生物特征識別身份鑒別 biometric authentication

采用生物特征識別技術對用戶的身份進行鑒別。

3.5 生物特征識別密鑰管理器 biometric authentication key manager

負責維護身份鑒別服務器（見3.7）鑒別用戶時需要的相關信息（例如密鑰）的實體。

3.6 生物特征識別密鑰管理器標識符 biometric authentication key manager ID

該標識符用來標識生物特征識別密鑰管理器。

生物特征識別密鑰管理器標識符可供身份鑒別服務器（見3.7）檢索廠商公鑰及生物特征識別密鑰管理器相關信息。

3.7 生物特征識別身份鑒別服務器 biometric authentication server

部署在依賴方（見3.14）或者身份服務提供方（見3.10）的生物特征識別身份鑒別服務軟件，在本標準中簡稱身份鑒別服務器。

3.8 生物特征識別器 biometric matcher

利用人體所固有的生理特征或行為特征來進行個人身份識別的組件。

3.9 發現 discovery

身份鑒別服務器確定用戶設備是否支持本協議，若支持則獲取生物特征識別密鑰管理器相關信息的過程。

3.10 身份服務提供方 identity provider

提供身份管理服務的實體。

3.11 密鑰注冊 key registration

生物特征識別密鑰管理器將其產生的鑒別公鑰安全傳輸到身份鑒別服務器并安全存儲的過程。

3.12 密鑰注冊數據 key registration data

由生物特征識別密鑰管理器構建的與密鑰注冊有關的數據，包含生物特征識別密鑰管理器的標識符，新生成的鑒別公鑰，以及其他一些與生物特征識別密鑰管理器相關的數據，例如生物特征識別密鑰管理器使用的密碼算法以及計數器的值等。密鑰注冊數據使用生物特征識別密鑰管理器的廠商私鑰簽名。

3.13 注冊計數器 registration counter

生物特征識別密鑰管理器的單調遞增的計數器。每使用生物特征識別密鑰管理器進行一次注冊操作，該計數器遞增一次。

3.14 依賴方 relying party

依賴于其他實體（例如身份鑒別服務器）提供的關于用戶的鑒別結果，對用戶所使用的資源或者系統進行授權的實體。

3.15 服務器挑戰 server challenge

身份鑒別服務器在身份鑒別協議請求中提供的隨機值。

3.16 簽名計數器 sign counter

生物特征識別密鑰管理器的單調遞增的計數器。每使用一次鑒別私鑰，該計數器遞增一次。身份鑒別服務器使用該計數器防止攻擊者仿冒、仿制生物特征識別密鑰管理器進行攻擊。

3.17 簽名數據 SignedData

生物特征識別密鑰管理器構建的簽名數據應包含生物特征識別密鑰管理器的基本信息、生物特征識別密鑰管理器相關的密碼算法信息以及計數器值。簽名數據使用相應的鑒別私鑰進行簽名。

3.18 可信環境 trusted environment

用戶設備上的安全區域，該安全區域可更好保證加載到該環境內部數據的安全性，包括機密性、完整性和可用性等，如TEE、SE、TCM或其他具備安全邊界的保護區域。

3.19 鑒別公鑰 user authentication public key

生物特征識別密鑰管理器在用戶注冊過程中生成的密鑰對的公鑰。

3.20 鑒別私鑰 user authentication private key

生物特征識別密鑰管理器在用戶注冊過程中生成的密鑰對的私鑰。

3.21 用戶設備 user device

包含生物特征識別密鑰管理器的計算設備。

3.22 用戶驗證 user verification

生物特征識別密鑰管理器使用生物特征識別器識別用戶，并授權鑒別私鑰或廠商私鑰使用的過程。

3.23 廠商公鑰 vendor public key

用戶設備的制造廠商在生物特征識別密鑰管理器中預先植入的用于證明生物特征識別密鑰管理器身份的密鑰對的公鑰。

3.24 廠商私鑰 vendor private key

用戶設備的制造廠商在生物特征識別密鑰管理器中預先植入的用于證明生物特征識別密鑰管理器身份的密鑰對的私鑰。