ГОСТ Р ИСО/МЭК 7816-11-2013

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Карты идентификационные

КАРТЫ НА ИНТЕГРАЛЬНЫХ СХЕМАХ

Часть 11

Верификация личности биометрическими методами

Identification cards. Integrated circuit cards. Part 11. Personal verification through biometric methods

ОКС 35.240.15

ОКП 40 8470

Дата введения 2015-01-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ВНИИНМАШ) и Техническим комитетом по стандартизации ТК 22 "Информационные технологии" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2013 г. N 1632-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 7816-11:2004* "Карты идентификационные. Карты на интегральных схемах. Часть 11. Верификация личности биометрическими методами" (ISO/IEC 7816-11:2004 "Identification cards - Integrated circuit cards - Part 11: Personal verification through biometric methods", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

7 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав    


    Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт - один из серии стандартов, описывающих параметры карт на интегральных схемах с контактами и их применение для обмена информацией.

Настоящий стандарт применим также к картам без контактов.

Международный стандарт ИСО/МЭК 7816-11 подготовлен подкомитетом N 17 "Карты и идентификация личности" совместного технического комитета N 1 ИСО/МЭК "Информационные технологии" (ISO/IEC JTC 1/SC 17).

     1 Область применения

Настоящий стандарт устанавливает межотраслевые команды, связанные с системой защиты и используемые для верификации личности биометрическими методами в картах на интегральной(ых) схеме(ах). В нем также определена структура данных и методы доступа к данным для использования карты в качестве носителя биометрических эталонных данных и/или в качестве устройства, позволяющего выполнить верификацию личности биометрическими методами (т.е. "он-карт" сопоставление). Идентификация личности с помощью биометрических методов выходит за рамки настоящего стандарта.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты.*  Для датированных ссылок следует использовать только указанное издание, для недатированных - последнее издание указанного стандарта, включая все поправки:

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

ISO/IEC 7816-4:2005, Identification cards - Integrated circuit cards - Part 4: Organization, security and commands for interchange (Карты идентификационные. Карты на интегральных схемах. Часть 4. Организация, защита и команды для обмена)

_____________________

* Заменен на ISO/IEC 7816-4:2013

ISO/IEC CD 19785, Information technology - Common Biometric Exchange Formats Framework (CBEFF) (Информационные технологии. Структура форматов обмена общей биометрической информацией)

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 биометрические данные (biometric data): Данные, кодирующие признак или признаки, используемые при биометрической верификации.

3.2 биометрическая информация (biometric information): Информация, необходимая для внешних устройств для создания данных верификации.

3.3 биометрические эталонные данные (biometric reference data): Данные, хранящиеся в карте для сопоставления с данными биометрической верификации.

3.4 биометрическая верификация (biometric verification): Процесс верификации при взаимно однозначном сопоставлении данных биометрический верификации с биометрическими эталонными данными.

3.5 данные биометрической верификации (biometric verification data): Данные, собираемые в процессе верификации для сопоставления с биометрическими эталонными данными.

3.6 шаблон (template): По ИСО/МЭК 7816-4.

Примечание - Термин "шаблон" означает поле значения в составном информационном объекте. Не следует путать с обработанным образцом биометрических данных.

     4 Сокращения

AID - идентификатор приложения (Application Identifier);

AT - шаблон аутентификации (Authentication Template);

BER - базовые правила кодирования (Basic Encoding Rules);

BIT - шаблон биометрической информации (Biometric Information Template);

BD - биометрические данные (Biometric Data);

BDP - BD в проприетарном формате (BD in proprietary format);

BDS - BD в стандартном формате (BD in standardized format);

BDT - шаблон биометрических данных (Biometric Data Template);

CCT - шаблон криптографической контрольной суммы (Cryptographic Checksum Template);

CRT - шаблон управляющих ссылок (Control Reference Template);

CT - шаблон конфиденциальности (Confidentiality Template);

DE - элемент данных (Data Element);

DF - назначенный файл (Dedicated File);

DO - информационный объект (Data Object);

DST - шаблон цифровой подписи (Digital Signature Template);

EFID - элементарный файл идентификатора (Elementary File ID);

FCI - контрольная информация файла (File Control Information);

ID - идентификатор (Identifier);

RD - эталонные данные (Reference Data);

SE - безопасная среда (Security Environment);

SM - безопасный обмен сообщениями (Secure Messaging);

TLV - тег-длина-значение (Tag-Length-Value);

UQ - квалификатор применимости (Usage Qualifier);

VIDO - информационный объект "информация о требованиях к верификации" (Verification requirement Information Data Object);

VIT - шаблон "информация о требованиях к верификации" (Verification requirement Information Template).

     5 Команды для процессов, связанных с биометрической верификацией

Команды для извлечения данных, верификации и аутентификации, определенные по ИСО/МЭК 7816-4, используют при биометрической верификации. Для биометрических данных (например, черты лица, форма ушей, отпечаток пальца, спектр речевых сигналов, образец голоса, клавиатурный почерк) может потребоваться защита от воспроизведения или предъявления данных верификации, полученных от исходных биометрических данных (например, отпечаток пальца, фото анфас). Для предотвращения такого типа нарушения защиты необходимо послать карте данные верификации с криптографической контрольной суммой или цифровую подпись с применением безопасного обмена сообщениями, как определено в ИСО/МЭК 7816-4. Аналогичным образом безопасный обмен сообщениями может быть использован для того, чтобы гарантировать аутентификацию биометрических данных, извлеченных из карты.

     5.1 Команды для извлечения биометрической информации

Для извлечения биометрической информации необходимо использовать команды, определенные в ИСО/МЭК 7816-4 в разделе, описывающем обращение к данным.

     5.2 Команды, используемые в процессе статической биометрической верификации

Командой, используемой в процессе статической верификации (см. приложение А), является команда VERIFY, определенная в ИСО/МЭК 7816-4. Передаваемой информацией является:

- идентификатор биометрических эталонных данных (то есть квалификатор эталонных данных);

- данные биометрической верификации.

Данные биометрической верификации могут быть закодированы как информационные объекты BER-TLV (см. таблицу 2). Байт CLA может указывать, что поле данных команды закодировано в BER-TLV (см. ИСО/МЭК 7816-4).

Для комбинированных биометрических схем может использоваться сцепление команд по ИСО/МЭК 7816-8.

     5.3 Команды, используемые в процессе динамической биометрической верификации

Чтобы создать задачу, для которой требуется ответ пользователя (см. приложение А), необходимо использовать команду GET CHALLENGE.

Тип задачи в процессе биометрической верификации, например фраза для спектрограммы голоса или фраза для верификации клавиатурного почерка, зависит от биометрического алгоритма, который может быть установлен в Р1 команды GET CHALLENGE (см. ИСО/МЭК 7816-4). Или же соответствующий алгоритм может быть выбран при использовании команды MANAGE SECURITY ENVIRONMENT (например, опция SET с CRT AT и DO "квалификатор применимости" и DO "идентификатор алгоритма" в поле данных).

После успешного выполнения команды GET CHALLENGE в карту посылают команду EXTERNAL AUTHENTICATE. Поле данных команды передает соответствующие данные биометрической верификации. Для кодирования данных биометрической верификации применяют те же принципы, что и для команды VERIFY, см 5.1.

     6 Элементы данных

     6.1 Биометрическая информация

Шаблон биометрической информации (BIT) предоставляет наглядную информацию по соответствующим биометрическим данным. Он предусмотрен картой в ответ на извлечение команды, предшествующей процессу верификации. В таблице 1 определены DO "биометрическая информация".

Таблица 1 - DO "биометрическая информация"