5.1　概述

本標準定義基于可信環境的生物特征識別身份鑒別協議，不規定可信環境（TE）的實現方式。本標準規定可信環境中的生物特征識別密鑰管理器應完成的功能以及功能接口參數，不規定具體實現方式。本標準不規定生物特征識別器驗證用戶的方式。協議架構如圖1所示，在基于可信環境的生物特征識別身份鑒別協議架構中，用戶使用用戶設備通過用戶代理訪問依賴方提供的應用，依賴方使用身份服務提供方（IdP）提供的身份鑒別服務對用戶的身份進行鑒別。用戶代理可以是安裝在用戶設備上的瀏覽器或者其他應用。可信環境部署在用戶設備內，用于提供安全可靠的環境，保證用戶信息的安全性。圖中虛線框內表示鑒別器，包括生物特征識別密鑰管理器和生物特征識別器，生物特征識別器將生物特征識別結果返回給生物特征識別密鑰管理器。生物特征識別密鑰管理器必須部署在可信環境中，生物特征識別器可以部署在可信環境中，也可以在可信環境外部部署，生物特征識別密鑰管理器和依賴方可針對生物特征識別器部署的位置采取不同的安全策略，本標準不規定安全策略的相關內容。

在協議架構中，兩個實體直接創建或處理身份鑒別協議消息：

——身份鑒別服務器，可以由依賴方（即依賴方本身也是IdP的情況）實現，也可以由與依賴方具有信任關系的IdP實現，圖1中描述的是由與依賴方具有信任關系的IdP實現的場景。身份鑒別服務器中存儲有用戶的鑒別公鑰，該公鑰是用戶在使用生物特征識別密鑰管理器向身份鑒別服務器注冊時，生物特征識別密鑰管理器生成的鑒別公鑰。

——生物特征識別密鑰管理器，集成在可信環境中。生物特征識別密鑰管理器中存儲有廠商私鑰。生物特征識別密鑰管理器中存儲鑒別私鑰，該私鑰是用戶在使用該生物特征識別密鑰管理器向身份鑒別服務器注冊時，生物特征識別密鑰管理器生成的鑒別私鑰，用于身份鑒別服務器鑒別用戶的身份。生物特征識別密鑰管理器可以與多個生物特征識別器進行交互。

本標準不規定IdP將身份鑒別協議消息遞交給生物特征識別密鑰管理器的具體實現方式。例如：當身份鑒別服務器屬于獨立于依賴方的IdP時，依賴方可將用戶設備使用重定向機制重定向到身份鑒別服務器，使得身份鑒別服務器可以直接與用戶設備交互，從而將身份鑒別協議消息遞交給生物特征識別密鑰管理器；當依賴方內部部署IdP時，應保證轉發信息的安全性。

本標準凡涉及密碼算法的相關內容，按國家有關法規實施；凡涉及到采用密碼技術解決保密性、完整性、真實性、不可否認性需求的須遵循密碼相關國家標準和行業標準。

基于可信環境的生物特征識別身份鑒別協議由生物特征識別密鑰管理器和身份鑒別服務器之間的三種會話組成。這三種會話分別是注冊、鑒別以及注銷。在進行這三種會話前，身份鑒別服務器通過調用發現方法檢查用戶設備是否支持本協議。三種會話如下：

——注冊：用戶將生物特征識別密鑰管理器生成的鑒別公鑰注冊到身份鑒別服務器。

——鑒別：用戶使用已注冊的生物特征識別密鑰管理器進行身份鑒別。

——注銷：用戶將注冊到身份鑒別服務器的鑒別公鑰刪除。

在這三種會話的協議流程中，協議參與方應保護協議消息數據的機密性，宜采用安全傳輸層協議（TLS）、安全套接層虛擬專用網絡（SSL VPN）或者IP安全協議（IPSec）協議。生物特征識別密鑰管理器在收到身份鑒別服務器的消息時，應對身份鑒別服務器的真實性進行驗證，本標準中涉及生物特征識別密鑰管理器驗證身份鑒別服務器真實性的方法，宜采用證書方式或者其他可以驗證身份鑒別服務器真實性的方法。