《生物特征識別技術應用指南 公共安全領域》

1DB14/TXXXXX-XXXX生物特征識別技術應用指南公共安全領域本文件給出了在公共安全領域中應用虹膜、人臉、指靜脈、指紋生物特征識別技術的策略以及應用細則，包括通用框架、安全細則以及技術細則，并在附錄中給出了典型應用場景下的解決方案。本文件適用于指導公共安全領域應用虹膜、人臉、指靜脈、指紋生物特征識別技術的規(guī)劃、設計和實現(xiàn)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20979—2019信息安全技術虹膜識別系統(tǒng)技術要求GB/T26238—2010信息技術生物特征識別術語GB/T30267.1—2013信息技術生物特征識別應用程序接口第1部分：BioAPI規(guī)范GB/T31488—2015安全防范視頻監(jiān)控人臉識別系統(tǒng)技術要求GB/T32629—2016信息技術生物特征識別應用程序接口的互通協(xié)議GB/T32903—2016信息技術指靜脈識別系統(tǒng)指靜脈圖像數(shù)據(jù)格式GB/T33135—2016信息技術指靜脈識別系統(tǒng)指靜脈采集設備通用規(guī)范GB/T33767.4—2018信息技術生物特征樣本質量第4部分：指紋圖像數(shù)據(jù)GB/T33767.5—2018信息技術生物特征樣本質量第5部分：人臉圖像數(shù)據(jù)GB/T33767.6—2018信息技術生物特征樣本質量第6部分：虹膜圖像數(shù)據(jù)GB/T35735—2017公共安全指紋識別應用采集設備通用技術要求GB/T35742—2017公共安全指靜脈識別應用圖像技術要求GB/T35783—2017信息技術虹膜識別設備通用規(guī)范GB/T36094—2018信息技術生物特征識別嵌入式BioAPIGB/T37076—2018信息安全技術指紋識別系統(tǒng)技術要求GB/T37742—2019信息技術生物特征識別指紋識別設備通用規(guī)范3術語和定義GB/T26238—2010中界定的以及下列術語和定義適用于本文件。3.1公共安全publicsecurity不特定或多數(shù)人的生命、健康或重大公私財產(chǎn)的安全。3.2生物特征識別biometricrecognition2DB14/TXXXXX-XXXX基于個體的行為特征和生物學特征，對該個體進行的自動識別，生物特征識別通常包括辨識和驗證兩種方式。[來源：GB/T26238—2010，2.1.2，有修改]3.3登記enrollment依據(jù)相關策略，生成并存儲模板數(shù)據(jù)記錄。[來源：GB/T26238—2010，.3，有修改]3.4模板template識別系統(tǒng)中存儲的、已登記個體的相關生物特征項集合，可用于與采集的生物特征樣本進行比對。[來源：GB/T26238—2010，.2.9.2，有修改]3.5識別時間recognitiontime從采集生物樣本、進行特征提取、與模板進行比對到給出識別結果的整個過程所需要的時長。注：識別時間受個體配合程度、采集到的圖像質量以及因系統(tǒng)類型不3.6錯誤接受率falseacceptrateFAR在驗證識別過程中，冒充者被錯誤判為接受的比例。[來源：GB/T29268.1—2012，4.6.6]3.7錯誤拒絕率falserejectrateFRR在驗證識別過程中，真實者被錯誤判為拒絕的比例。[來源：GB/T29268.1—2012，4.6.5]3.8呈現(xiàn)攻擊presentationattack以干擾生物識別系統(tǒng)的運行為目的，向生物特征數(shù)據(jù)采集子系統(tǒng)的呈現(xiàn)。注3：生物特征識別系統(tǒng)可能無法區(qū)分以干擾系統(tǒng)運行為目的3.9呈現(xiàn)攻擊檢測presentationattackdetection3DB14/TXXXXX-XXXX對呈現(xiàn)攻擊的自動化測定。注：呈現(xiàn)攻擊檢測無法判定攻擊者的意圖。試圖從數(shù)據(jù)采集過程或采集的樣本中推斷攻擊4縮略語下列縮略語適用于本文件。API：應用程序接口（ApplicationProgrammingInterface）BioAPI：生物特征識別應用程序接口（BiometricApplicationProgrammingInterface）ID：身份（Identity/Identification）FAR：錯誤接受率（FalseAcceptanceRate）FRR：錯誤拒絕率（FalseRejectionRate）5通用框架5.1基本結構生物特征識別技術通常以生物特征識別系統(tǒng)的形式應用于公共安全領域，可以是單一的生物特征識別模式，可以是幾種生物特征識別模式的組合。公共安全領域應用的生物特征識別系統(tǒng)基本結構見圖1。圖1應用于公共安全領域的生物特征識別系統(tǒng)的基本結構在公共安全領域應用的生物特征識別系統(tǒng)，通常包含數(shù)據(jù)采集、信號處理分析、個體登記處理、個體識別處理、數(shù)據(jù)傳輸管理、數(shù)據(jù)存儲管理、應答信息處理等模塊，這些模塊用以實現(xiàn)個體登記和個體識別兩種基本功能。登記或識別過程中，由數(shù)據(jù)采集模塊采集個體生物特征，經(jīng)信號處理分析模塊生成生物特征項，用于個體登記或個體識別。個體登記時，由個體登記處理模塊生成個體登記信息并進行存儲；個體識別時，由個體識別處理模塊生成個體識別信息，并將識別信息與登記信息進行比對，得出識別結果。5.2各模塊的功能及作用5.2.1數(shù)據(jù)采集模塊數(shù)據(jù)采集模塊通過采集裝置（傳感器）采集個體的生物特征，輸出生物特征信息供信號處理分析模塊進行處理。4DB14/TXXXXX-XXXX5.2.2信號處理分析模塊信號處理分析模塊從生物特征信息中提取顯著的、有區(qū)分力的特征，這一過程可能包括分割有效區(qū)域、特征提取和圖像質量控制。在實際應用中，這些操作可能會有所增減，或順序有所調整，確保提取的特征是可識別的。在登記過程中，信號處理分析模塊通過提取到的生物特征創(chuàng)建模板。通常登記過程需要通過多個特征產(chǎn)生模板。5.2.3數(shù)據(jù)存儲管理模塊數(shù)據(jù)存儲管理模塊用于實現(xiàn)生物特征模板的存儲，存儲方式可以是本地存儲或遠程存儲。5.2.4數(shù)據(jù)傳輸管理模塊數(shù)據(jù)傳輸管理模塊保障數(shù)據(jù)在各個模塊之間安全傳輸，保證數(shù)據(jù)的一致性、完整性。5.2.5個體登記處理模塊個體登記處理模塊將信號處理分析模塊提供的信息與個體ID一一對應，并將個體的生物特征數(shù)據(jù)信息提交數(shù)據(jù)存儲管理模塊進行存儲。同一系統(tǒng)中的個體ID是唯一的，可對應一種或多種生物特征屬性。5.2.6個體識別處理模塊將信號處理分析模塊提供的信息與數(shù)據(jù)存儲管理模塊所提供的信息進行比對，按照設定的比對策略實現(xiàn)個體識別處理并形成識別結果。5.2.7應答信息處理模塊根據(jù)需要將來自個體識別處理模塊的識別結果轉換成所要求的應答信息，為應用系統(tǒng)提供支持。5.2.8接口（不包含在結構圖中）可通過API、硬件接口或者通信協(xié)議與外部應用程序或系統(tǒng)進行交互。6公共安全應用場景與公共安全有關的場景及區(qū)域包括但不限于：a)廣播電臺、電視臺、電信、郵政、通訊樞紐、大型電子信息中心等單位的重要部位或者經(jīng)營場所；b)博物館、檔案館、紀念館、展覽館、重點文物保護單位的重要部位；c)危險物品生產(chǎn)、銷售、儲存場所的重要部位；d)金融機構的營業(yè)大廳及貨幣、有價證券、重要票據(jù)、貴重物品、賬簿集中存放的場所；e)大型或者具備相應規(guī)模的旅館、飯店、公共娛樂場所、互聯(lián)網(wǎng)上網(wǎng)服務場所的大廳、通道、出入口等重要部位；f)機場、大型車站、停車場、高速公路、城市主干道、主要交通路口、城市主要出入口以及隧道、大型橋梁、過街天橋、地下通道的重要部位；g)大型能源動力和城市供水、供電、供氣等單位的重要部位；h)江河堤防、水庫、人工湖、重點防洪排澇區(qū)域及其他重要水利工程等單位的重要部位；5DB14/TXXXXX-XXXXi)大型物資儲備單位、大中型商貿(mào)中心、商業(yè)街和大型農(nóng)貿(mào)市場的重要部位；j)體育比賽場（館）、公園、大型廣場、醫(yī)院、學校、幼兒園等公眾活動和聚集場所的重要部位，住宅小區(qū)的出入口和周界；k)大型群眾性活動；l)法律規(guī)定的其他場所和區(qū)域。以上場所可根據(jù)自身特點和需求選擇不同形式的生物特征識別技術和指標，各種生物特征識別技術的基礎技術指標和適用方式見表1。表1各種生物特征識別技術的基礎指標和適用方式7安全細則7.1登記安全在登記個體的生物特征時：a)為保證生物特征模板與登記的個體的真實身份綁定，而不是與登記者所聲稱的其他身份綁定，個體在獲準登記前應向生物特征識別系統(tǒng)的管理人員證明自己的身份；b)應具備呈現(xiàn)攻擊檢測能力。7.2數(shù)據(jù)安全7.2.1傳輸安全在將生物特征數(shù)據(jù)等信息傳輸?shù)礁鱾€模塊時，應采取加密等方式對數(shù)據(jù)進行安全保護，使之不被竊取或篡改，凡采用密碼解決機密性、完整性和真實性的，應遵循密碼相關國家標準和行業(yè)標準。7.2.2存儲安全根據(jù)應用系統(tǒng)的安全等級要求，采用的存儲安全等級應與應用系統(tǒng)的安全等級相一致，并遵循相關國家標準和行業(yè)標準。8技術細則8.1功能8.1.1虹膜識別圖像采集與處理6DB14/TXXXXX-XXXX應符合GB/T20979—2019中6.1.1的要求。虹膜登記應符合GB/T35783—2017中4.3.1的要求。個體識別應符合GB/T35783—2017中4.3.2的要求。呈現(xiàn)攻擊檢測應符合GB/T35783—2017中4.3.4的要求。警告與報警應符合GB/T20979—2019中6.1.7的要求。8.1.2人臉識別圖像采集與處理應符合GB/T31488—2017中5.2的要求，并且在采集人臉圖像數(shù)據(jù)時：a)宜采取技術手段對采集過程中個體所處的環(huán)境光照條件進行判斷，在環(huán)境光照條件不適宜（如環(huán)境光照過亮或過暗等）的情況下應進行提示；b)宜采取技術手段對采集過程中個體在采集區(qū)域中出現(xiàn)的人臉區(qū)域、姿態(tài)等進行判斷，在人臉區(qū)域不全（如有飾物遮擋或只有部分人臉在視頻采集區(qū)域內(nèi)）或姿態(tài)不適宜（人臉俯仰或旋轉角度過大）的情況下應進行提示；c)采集過程中視頻區(qū)域內(nèi)如出現(xiàn)多人臉或無人臉的情況，宜根據(jù)當前業(yè)務場景進行合理處置，如提示個體配合改進或設定規(guī)則選擇主要人臉區(qū)域進行處理等。人臉登記應符合GB/T31488—2015中5.1的要求。個體識別應符合GB/T31488—2015中5.3和5.4的要求。呈現(xiàn)攻擊檢測應具有防靜態(tài)圖像、動態(tài)視頻、面具、頭模等多種呈現(xiàn)攻擊檢測的能力。警告與報警應符合GB/T31488—2015中5.5的要求。8.1.3指靜脈識別圖像采集與處理應符合GB/T32903—2016中第6章的要求。指靜脈登記7DB14/TXXXXX-XXXX應能對應個體ID進行指靜脈信息登記，生成模板并存儲其身份信息。個體識別讀取指靜脈信息后，應能將采集的指靜脈信息與已登記的指靜脈模板進行比對，并提示對比結果，并能夠通過管理軟件顯示個體ID。呈現(xiàn)攻擊檢測應具有防濾光片臟污痕跡、靜態(tài)圖像、假體手指、手指異物等多種呈現(xiàn)攻擊檢測的能力。警告與報警在檢測到異常攻擊時，應能通過文字、聲光等進行報警提示。對設備操作后宜有相應文字或指示燈提示。8.1.4指紋識別圖像采集與處理應符合GB/T35735—2017中5.4的要求。指紋登記應符合GB/T37742—2019中6.3.4的要求。個體識別應符合GB/T37742—2019中6.3.5的要求。呈現(xiàn)攻擊檢測應符合GB/T37742—2019中6.3.3的要求。警告與報警應符合GB/T37076—2018中的要求。8.2性能8.2.1虹膜識別圖像質量采集到的虹膜圖像質量應符合GB/T33767.6—2018中第6章和第7章的要求。FAR和FRR應在總比對次數(shù)不小于500萬次、樣本來源不少于3000只眼睛時，F(xiàn)AR不大于0.0001%時FRR不大于3%。識別時間應符合GB/T35783—2017中4.4.4和4.4.5的要求。使用安全條件8DB14/TXXXXX-XXXX應采用無傷害照明，符合GB/T20979—2019中7.1.5規(guī)定的使用安全條件要求。8.2.2人臉識別圖像質量采集到的人臉圖像質量應符合GB/T33767.5—2018的要求。人臉注冊失敗率在樣本來源不少于10萬張人臉圖像的情況下登記失敗的用戶在總登記人數(shù)中所占比例應不大于1%。識別時間人臉識別系統(tǒng)完成人臉圖像采集、特征提取、特征比對流程的總時間應不大于5s。8.2.3指靜脈識別圖像質量采集到的指靜脈圖像質量應符合GB/T35742—2017中第4章的要求。識別時間采集時間應符合GB/T33135—2016中5.3.7的要求，識別時間應不大于5s。最大個體數(shù)單機版比對時，人數(shù)不大于300人（每人2指），網(wǎng)絡版比對時無人數(shù)限制。8.2.4指紋識別圖像質量采集到的指紋圖像質量應符合GB/T33767.4—2018中第6章的要求。FAR和FRR應在總比對次數(shù)不小于1000萬次、樣本來源不少于5000枚指紋，當FAR為0.01%時，F(xiàn)RR應不大識別時間指紋圖像采集時間應符合GB/T35735—2017中5.4.8的要求，特征提取時間應符合GB/T35735—2017中5.4.9的要求，指紋識別時間不大于5s。8.3接口8.3.1通信接口通信接口應符合產(chǎn)品說明書標示的規(guī)定。8.3.2接口及協(xié)議宜符合GB/T30267.1—2013、GB/T32629—2016、GB/T36094—2018等接口及軟件協(xié)議標準。9DB14/TXXXXX-XXXX（資料性）虹膜識別技術應用案例A.1應用場景為了行動的隱秘性，恐怖分子在進行恐怖活動時，一般都不會使用真實身份，而是偽造或冒用他人身份證件，或者用燙傷等方式把指紋破壞掉，或化妝甚至整容。防恐要求做到精確識別，保證身份識別的準確性、易用性和快捷性。如何在機場、車站、街道等公共場所迅速而準確地發(fā)現(xiàn)并確認恐怖分子是世界各國在反恐斗爭中普遍關注的問題。虹膜識別具有唯一性、穩(wěn)定性、非接觸式采集、防偽性好等特點，適用于反恐維穩(wěn)，包括在日常巡邏時識別可疑人員、在執(zhí)行封鎖和掃蕩行動中進行黑名單對比、以及在出入境口岸、檢查站識別恐怖分子等。A.2解決方案在出入境管理中應用的虹膜識別系統(tǒng)的架構見圖A.1。圖A.1出入境管理應用的虹膜識別系統(tǒng)架構DB14/TXXXXX-XXXX該方案結合了計算機、網(wǎng)絡、虹膜識別設備等，通過自動讀取、比對、識別旅客身份資料，完成通關驗證。在對出入境人員進行虹膜特征識別過程中，可將出入境者的虹膜特征信息與恐怖組織人員和國際犯罪組織人員的虹膜特征庫進行比對，一旦發(fā)現(xiàn)特征吻合，將產(chǎn)生報警信息。出入境人員通過閘機需事先通過虹膜身份識別，只有識別通過后，系統(tǒng)驅動閘機才會放行，同時自動生成人員入境信息記錄便于日后查詢。身份識別未通過時，閘機拒絕開啟放行，同時可以產(chǎn)生報警信息，從而對出入境人員的身份進行準確識別，快速有效的解決出入境人員的真實身份與所持護照信息不符的問題，實現(xiàn)出入境身份驗證的高效管理。DB14/TXXXXX-XXXX（資料性）人臉識別技術應用案例B.1應用場景在酒店、網(wǎng)吧、機場、火車站、碼頭等重點場所采用人臉實時布控系統(tǒng)，能夠以非接觸、非侵擾、無需被識別對象進行配合的方式充分利用現(xiàn)有硬件設備，全區(qū)域、全天候地快速核查目標人物身份信息，從而有效協(xié)助公安機關防范和打擊重點場所公共安全犯罪，極大提高核查人員身份的工作效率。B.2解決方案重點場所應用的人臉布控系統(tǒng)架構見圖B.1。圖B.1重點場所應用的人臉布控系統(tǒng)架構系統(tǒng)根據(jù)重點場所目前使用的身份驗證系統(tǒng)，可準確獲取實拍人臉并實時傳輸至數(shù)據(jù)庫，以作為后續(xù)比對、管理、審查、防控等工作的重要數(shù)據(jù)來源。同時，還能夠實現(xiàn)與公安內(nèi)部其他系統(tǒng)的無縫整合，確保數(shù)據(jù)結構合理安全，數(shù)據(jù)更新及時完備。其主要功能主要包括：——黑名單布控：布控區(qū)域中獲取的圖片與系統(tǒng)中黑名單人臉智能對比，快速確定為布控目標后，依據(jù)實際需求在第一時間發(fā)出報警信息；——信息查詢：可以按需調閱系統(tǒng)工作中產(chǎn)生的歷史數(shù)據(jù)或比對結果，并提供條件篩選功能幫助個體縮小調閱數(shù)據(jù)的范圍，模塊包括歷史數(shù)據(jù)查詢模塊、比對結果分析模塊；——公共管理：對即時信息進行實時采集、發(fā)布；——組織管理：根據(jù)實際需求，添加新增組織機構及新增人員，并可通過相應程序導入或導出相應DB14/TXXXXX-XXXX信息，以便查詢或報備；——系統(tǒng)管理：根據(jù)實際工作需求和業(yè)務操作，可自行設定參數(shù)，進行系統(tǒng)菜單管理、個體管理、視圖管理。DB14/TXXXXX-XXXX（資料性）指靜脈識別技術應用案例C.1應用場景校園的安全與穩(wěn)定是學校教書育人等各項工作開展的重要前提與保證，校園安全防范工作涉及學校的教研、日常管理和后勤服務的各個環(huán)節(jié)。隨著生物識別技術與校園信息化手段的快速融合，指靜脈“一指通”管理系統(tǒng)涉及到了校園管理的方方面面，如：學生的出入管理、考勤簽到、訪客管理、校園信息系統(tǒng)身份驗證（系統(tǒng)登錄）、圖書借閱、費用支付等。C.2解決方案校園應用的指靜脈“一指通”系統(tǒng)架構見圖C.1。圖C.1校園應用的“一指通”系統(tǒng)架構DB14/TXXXXX-XXXX系統(tǒng)通過TCP/IP網(wǎng)絡實現(xiàn)了對出入門禁、食堂消費、水控系統(tǒng)、圖書借閱、考勤系統(tǒng)等現(xiàn)實場景的身份核驗以及消費支付功能。同時，在管理系統(tǒng)中細分出了教務管理、注冊管理、結算管理、自助服務、檔案管理、短信平臺六個模塊，完成了對于校園的生活的全場景覆蓋。指靜脈“一指通”管理系統(tǒng)能夠方便學校