1、ICS 35.040L 71中 华 人 民 共 和 国 国 家 标 准GB/T XXXXXXXXX/ISO/IEC 29164:2011代替 GB/T 信息技术 生物特征识别 嵌入式 BioAPIInformation technology Biometrics Embedded BioAPI(ISO/IEC 29164:2011,IDT)(征求意见稿)(本稿完成日期:2016-08)XXXX - XX - XX 发布 XXXX - XX - XX 实施GB/T XXXXXXXXX/ISO/IEC 29164:2011I目 次前 言 II引 言 .III1 范围 12 符合性 13 规范性引用
2、文件 14 术语和定义 25 缩略语 36 嵌入式 BioAPI环境 .37 嵌入式 BioAPI的通用架构 .58 帧结构 79 嵌入式 BioAPI的 Patron格式 910 嵌入式 BioAPI的安全块格式 911 数据类型、格式与编码 1012 命令定义 12附录 A (规范性附录) 符合性要求 25附录 B (资料性附录) 帧实现示例 27附录 C (资料性附录) 多场景下的命令交换示例 29GB/T XXXXXXXXX/ISO/IEC 29164:2011II前 言本标准按照GB/T 1.1-2009给出的规则起草。本标准等同采用 ISO/IEC 29164:2011信息技术 生
3、物特征识别 嵌入式BioAPI。本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本标准起草单位:本标准主要起草人:GB/T XXXXXXXXX/ISO/IEC 29164:2011III引 言嵌入式系统环境与常规运算环境之间区别颇多。首先,嵌入式系统在处理功能、内存(或存储)空间、操作系统支持以及资源配套方面较为受限。因此,为嵌入式系统配置更多通用接口的做法可能并不合适。对于嵌入式生物特征识别技术来说,识别算法和传感器常被封装进硬件或固件模组中。其次,嵌入式系统设计人员在设计系统软件和固件时并不关心系统在生物特征识别技术上的实现细节,而偏向于通过集成一个外部模组来实现部分或
4、全部生物特征识别功能。对于将生物特征识别功能集成到软件或固件的应用来说,本标准并不适用。此类应用中使用的是BioAPI(GB/T 30267.1)或其无框架版本(见ISO/IEC 19784-1 带Amd.2)。本标准定义的接口提供与此类生物特征识别模块直连。该接口定义综合考虑了接口提供的服务以及发送给生物特征识别模块的命令的报文格式和预期的来自这些模块的响应的报文格式。本标准旨在为不能实现BioAPI(见GB/T 30267.1)的所有生物特征识别系统提供一个通用接口。之前,由于BioAPI对处理能力和内存空间要求范围相当大,因此产生了一些不同的解决方案。其一为无需BioAPI框架而直接使用
5、BioAPI, BioAPI框架是最耗费处理和内存的组件之一。此BioAPI版本称为无框架BioAPI。不过,这个方案尽管对几类应用(如带有操作系统的移动设备中安装的生物特征识别小程序及生物特征识别服务)有大的帮助,但它的要求超出了嵌入式系统的能力范围。因此,本标准提出了一个名为嵌入式BioAPI的全新解决方案,完全不同于上述的无框架BioAPI。嵌入式BioAPI可用于遥控装置、车库开启装置、汽车点火装置、门禁装置、内存卡、鉴权令牌以及手持武器等。相比更常见的应用场景,一个标准接口在这些应用环境下的实用性并不突出,但它具备以下两大重要优势: 当某厂商产品线上的多个设备或组件(仅指内置了数据采
6、集装置的设备或组件,如遥控设备)仅在内置数据采集装置或生物特征识别技术上存在区别时(例如:设备 A采用内置指纹数据采集装置或算法,而设备 B采用面部识别摄像头或功能),标准接口可以帮助该厂商以单个代码库满足多设备生产需求。而由于单代码库有助于简化配置管理,因此可以提高生产效率。 帮助数据采集设备 OEM厂商以单 OEM组件或固件实现多设备厂商支持(即无需考虑数据采集装置内置于何种设备)。本标准中,适合部署嵌入式BioAPI的设备称为“嵌入式BioAPI子组件”。请注意,其它类型的设备同样可以采用本标准,但为了更好地理解本标准,我们在此仅围绕嵌入式BioAPI进行描述。本标准并未说明对嵌入式Bi
7、oAPI子组件等设备的要求,但列明了对实现嵌入式BioAPI所需设备的要求。GB/T XXXXXXXXX/ISO/IEC 29164:20111信息技术 生物特征识别 嵌入式 BioAPI1 范围本标准为设计用于集成到内存空间和运算能力受限的嵌入式系统的硬件生物特征识别模块提供一个标准接口。本标准为此类基于硬件的生物特征模块规定了完整的接口。此接口称为嵌入式BioAPI,它由这些模块所要实现的命令的规范来定义。该规范分为以下两层:底层实现,该规范针对底层实现定义了一个框架以及所有命令及其对应的响应对的编码。作为一个单主/多从半双工协议,可以经由任何通信接口在任何物理和链路层实现这些报文。这些通
8、信接口的定义不属于本标准覆盖范围;一个基于 C语言的函数的报头描述,供那些有以下想法的制造商使用:提供 C语言库作为整个嵌入式系统的集成软件开发包。关于安全,本标准定义了两类设备:A类设备:此类设备由于缺乏处理能力,因此没有实现任何安全机制;B类设备:此类设备实现了用以达到保密性、完整性和/或真实性的安全机制,因此推荐使用。本标准定义了 B类设备的一组最低要求,但设备的安全机制不在本标准范围内。底层实现不在本标准规范部分范围内,而是作为资料性附录(见附录B)予以提供。安全机制虽然在本标准中有所考虑,但它们不在本标准范围内,请参考其他相关标准。特别是,密钥管理也不在本标准范围内,希望在应用本标准
9、前予以处理。嵌入式BioAPI子组件或任何适合实现嵌入式BioAPI的设备的规格和要求不在本标准范围内。2 符合性声称符合本标准的生物特征识别模块必须覆盖本标准规范性要求的所有必选项。只要不修改本标准陈述的行为的前提下, 符合本标准的生物特征识别模块可以提供附加的功能。有关符合性要求的更详细列表见附录A。3 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 26237(所有部分) 信息技术 生物特征识别数据交换格式(ISO/IEC 19794所有部分)GB/T 28
10、826.12012 信息技术 公用生物特征识别交换格式框架 第1部分:数据元素规范(ISO/IEC 19785-1:2006,MOD)GB/T 30267.12013 信息技术 生物特征识别应用程序编程接口 第1部分:BioAPI规范(ISO/IEC 19784-1:2006,IDT)ISO/IEC 19785-3:2008 信息技术 公用生物特征识别交换格式框架 第3部分: Patron格式规范(Information technology-Common biometric exchange formats frameworkPart3:Patron format specification
11、s)GB/T XXXXXXXXX/ISO/IEC 29164:20112ISO/IEC 24761 信息技术 安全技术 生物特征数据认证上下文 (Information technologySecurity techniquesAuthentication context for biometrics)4 术语和定义下列术语和定义适用于本文件。注:功能及数据元并不单独列于本章,而是随本标准正文逐一介绍。4.1 生物特征识别模组 biometric module用于实现与生物特征识别模态相关的部分或全部功能的硬件模组。这些功能包括数据采集、样本处理、比对、存储、登记或任何前述功能的组合。注:生物
12、特征识别模组还可提供其他功能,如发送外部业务的激活信号,但此类功能不在本标准范围内。4.2 生物特征样本 biometric sample直接从传感器获得的或经过进一步处理的生物特征信息。注:参见GB/T 26237.12010中的原始生物特征样本、中间生物特征样本和已处理生物特征。4.3 生物特征模板 biometric template适于存储的生物特征样本或者生物特征样本的集合。其可以作为后续比较的参考。4.4 嵌入式BioAPI子组件 Embedded BioAPI subcomponent可被系统集成商整合进复杂系统或设备的子组件。注 1:子组件可能是由第三方或设备商自行提供。注 2
13、:本标准并未介绍对嵌入式 BioAPI子组件等设备的要求,但列明了对实现嵌入式 BioAPI所需设备的要求。4.5 嵌入式系统 embedded system为实现一个或多个专用功能而设计的专用计算机系统,有时存在实时运算限制。注:通常该系统被内置于一个完整设备,包括硬件、固件及机械部件。相比之下,一台通用型计算机如个人电脑可以通过编程执行各种不同的任务。4.6 帧 frame构成设备间通信中的命令或响应报文的一组字节。4.7 通用处理单元 general processing unit数字系统中负责控制部分或全部信息处理的单元,通常为微处理器、微控制器或内置微处理器的子系统。4.8 主机 h
14、ost嵌入式系统的处理单元,与生物特征识别模组直连。4.9 主嵌入式BioAPI接口 Master Embedded BioAPI interface发送命令和接受响应的嵌入式BioAPI子集。4.10 GB/T XXXXXXXXX/ISO/IEC 29164:20113已处理的生物特征样本 processed biometric sample可用作对比的生物特征样本。4.11 会话密钥 session key用于加密或鉴权的密钥,每次会话使用不同的密钥。注:会话期可定义为电源开/关之间的时间段或设备连接/断连之间的时间段等。当检测到某会话触犯安全机制时,该会话将被视为已过期。4.12 从嵌入
15、式BioAPI接口 Slave Embedded BioAPI interface接收命令和发送响应的嵌入式BioAPI的子集。4.13 模板 template即生物特征模板。4.14 模板存储空间 template storage capacity可存储于一个生物特征识别模组的生物特征模板BIR数量。5 缩略语BIR 生物特征信息记录(Biometric Information Record)OEM 原始设备制造商(Original Equipment Manufacturer)PoS 服务点终端(Point of Service terminal)RFU 预留备用(Reserved for
16、 Future Use)SDK 软件开发工具包(Software Developers Kit)6 嵌入式 BioAPI 环境6.1 嵌入式 BioAPI 运行环境嵌入式BioAPI为安装于嵌入式系统的生物特征识别模组提供标准接口。通常情况下,嵌入式系统的内存空间较小且计算功能较低,以致于无法支持BioAPI(GB/T 30267.1-2013)或其无框架版本(见GB/T 30267.1-2013)。这意味着本标准中定义的接口使应用与生物特征识别模组之间直连连接,而无需使用操作系统解决方案或高级编程语言。该接口的定义综合考虑了接口提供的业务以及生物特征识别模组所接收命令的报文格式和所发送响应的
17、报文格式。没有对待底层实现的细节,此类细节示例见附录B和附录C。为更好地了解嵌入式BioAPI的应用环境,以图1为例进行说明。图1代表一种服务点(PoS)终端(比如接受信用卡支付的商店中用的终端)的模块,图中,将两种生物特征识别模态整合为一种单一形式(例如,指纹和手写签名)。按照应用的设计,可根据实际场景选择其中一种生物特征识别模态。GB/T XXXXXXXXX/ISO/IEC 29164:20114图 1 基于嵌入式 BioAPI 子组件的生物特征识别系统示例为了实现此类PoS终端,制造商必须将所有必需的生物特征识别算法和数据采集装置集成到系统中。因为嵌入式系统的处理功能有限,该终端搭载的微
18、控制器可能无法支持复杂算法。为此,制造商选择向生物特征技术供应商采购已安装所需服务的硬件模组。如图1所示:通过一个内置所有必需服务的独立硬件模组来解决手写签名问题,只需要(通过数据采集装置)提供原始生物特征样本(遵从 GB/T 26237.7)以及(通过 PoS处理单元)提供用户的已登记的生物特征模板。 通过两个级联的独立模组来解决指纹识别问题。其中一个独立模组支持所有必需服务和比对功能,但需要与另一个模组对接以获取数据采集装置接口;另一个独立模组内置数据采集装置和最终信号处理算法(遵从 GB/T 26237.2)。第一个独立模组不需要输入生物特征样本,但需要录入用户已登记的生物特征模板,这样
19、才能与第二个独立模组提取出的已处理生物特征样本进行比对。在以上示例中,模组必须提供所有必须的生物特征识别服务,比如:指纹 采集指纹并与用户模板比对。手写签名 比对: 提供用户的原始生物特征样本及其存储模板(这些模板存储在一个数据库或个人设备中,例如智能卡)。其它系统和模组可能需要其他功能,例如,服务和命令(见第9章)。例如,它们可能需要具备模板的存储功能或登记功能。另外须注意的是,本标准仅规定了针对安全方面的API要求,而并没指定任何必选安全算法或密钥交换机制。这些安全机制还有待确定,比如用户设备之间或各供应商设备之间通信采用的安全机制。本标准建议使用标准化的安全机制,如ISO/IEC JTC
20、1 SC27中定义的那些。正式来讲,嵌入式BioAPI为全BioAPI(于GB/T 30267.1中定义)衍生而来,只不过针对嵌入环境进行了特殊定制处理。与一般BioAPI相比,嵌入式BioAPI具备以下特点:a) 无需框架组件,也不需要利用组件注册表(即应用与生物特征服务提供商(BSP)组件之间存在直连接口);b) 包含全 BioAPI功能的子集(例如,嵌入式 BioAPI不支持一对多比对或相关原语);GB/T XXXXXXXXX/ISO/IEC 29164:20115c) 最大程度减少了所需处理的状态;d) 缺少回调机制;e) 未使用数据句柄;f) 不支持功能提供方接口(FPI);g) 选
21、项缩减至最少。嵌入式BioAPI保持了生物特征识别技术的中立,提供通过通用接口实现生物特征识别登记和验证所需要的基本功能。数据格式(生物特征识别数据信息记录)应当符合GB/T 30267.1和GB/T 26237的相关部分(已发表)的规定。不过嵌入式BioAPI保留了原有的生物特征识别技术,并提供了借助通用接口进行生物特征登记和验证所需的基础功能。数据格式(生物特征数据信息记录)必须遵循GB/T 30267.1标准以及GB/T 26237标准相关部分(针对那些已采用GB/T 26237部分标准的模态)的规定。嵌入式BioAPI组件一般为软件或固件,二者均关联到具体的硬件数据采集设备。嵌入式系统
22、通常存在以下限制:a) 内存和存储空间限制;b) 处理器尺寸和处理速度限制;c) 操作系统支持限制;d) 只支持单个且需要硬连线的数据采集设备;e) 只能独立运行(无法连接到网络)。6.2 嵌入式 BioAPI 的安全性本标准定义了两种设备:A类设备:此类设备由于不提供处理功能以及面向便捷而非安全的设计目的等,因此未采用任何安全机制。B类设备:此类设备采用了相关安全机制以确保保密性、完整性以及 ACBio实例生成。这些机制及其对应算法还有密钥信息取决于目标设备,且将在执行前共享给应用。若只支持加密,BIR的 BDB将被加密;若只支持完整性保护,将保证 SHB和 BDB串接的完整性;若同时支持加
23、密和完整性保护,优先进行加密。注:强烈推荐使用B类设备。下文给出了对B类设备的安全要求,但具体采用何种安全机制不在本标准讨论范围。B类设备中,生物特征数据利用BIR中的安全块(Security Block)进行交换,具体定义见第10章。因此,生物特征数据利用BIR中的安全块(Security Block)进行交换。通信中采用的安全机制可通过底层协议添加,但本标准不负责对此进行额外说明。由于A类设备未采用任何安全机制,因此所有已交换生物特征信息的使用并无涉及BIR中的安全块,具体定义见GB/T 30267.1-2013及GB/T 28826.1-2012。7 嵌入式 BioAPI 的通用架构支持
24、嵌入式BioAPI的生物特征识别模组对应的通用架构由两个组件构成,二者需要进行交互以提供生物特征识别相关功能。其中一个组件为通用处理单元,又称主机。该组件负责提供整机顶层功能,需要与负责完成部分或全部生物特征识别操作(处理、储存、登记以及验证)的嵌入式BioAPI子组件(即生物特征识别模组)相连。嵌入式BioAPI的设计目的在于将嵌入式BioAPI子组件(嵌入式生物特征识别子组件)集成到主机设备。目前存在以下两种集成方式:GB/T XXXXXXXXX/ISO/IEC 29164:20116a) 独立型嵌入式 BioAPI子组件(1 类):指集成了生物特征数据采集装置、存储器和算法的单个嵌入式
25、BioAPI子组件;b) 组合型嵌入式 BioAPI子组件(2 类):指集成了以下至少一项或多项(非全部)功能的单个嵌入式 BioAPI子组件。1) 生物特征数据采集装置用于感应和采集原始生物特征数据;2) 生物特征存储器用于模板数据的板载存储;3) 生物特征识别算法用于处理和比对生物特征数据。两种集成方式如图2所示。图 2 实现 OEM 生物特征识别模组的不同方式1类(独立型)模组示例之一为安装于遥控设备的OEM指纹数据采集装置或芯片板。该模组提供完整的生物特征识别器件,包括指纹数据采集装置、处理器、固件(内置生物特征数据处理和比对算法)以及板载存储器(最多可储存5个指纹模板)。2类(组合型
26、)模组示例之一为支持面部图像捕捉的原厂CCD摄像头(即生物特征数据采集设备)。该摄像头内置于具备面部图像比对功能的家用门禁装置和生物特征识别模组中。这种应用环境下,模板存储与存储控制由应用独立完成或由生物特征识别模组完成。图3对以上两种模组进行了归纳。如图所示,支持嵌入式BioAPI的硬件模组负责执行主机系统要求的部分或全部生物特征识别功能,它通过一个标准接口与主机系统通信,而此处的标准接口即为嵌入式BioAPI。另外,此模组还可能与其它嵌入式BioAPI生物特征识别模组直连。GB/T XXXXXXXXX/ISO/IEC 29164:20117图 3 嵌入式 BioAPI 系统的通用架构当支持
27、BioAPI(GB/T 30267.1)的系统需要使用本标准下的设备,那么开发人员将把该嵌入式BioAPI设备视为BioAPI标准框架下的单元,并开发出相应的生物特征识别服务提供方(BSP)(具体定义见GB/T 30267.1)。对于应用或BioAPI框架下的接口,此BSP必须遵从GB/T 30267.1标准;同时,当BSP与嵌入式BioAPI设备直接对接时,还必须遵从本标准。换而言之,开发人员不得不将与嵌入式BioAPI设备直连的功能进行GB/T 30267.1封装。图 4 嵌入式 BioAPI 和 BioAPI 组件之间的关系8 帧结构当考虑到生物特征识别模组或主机的限制时,通信报文方面有
28、以下注意事项:最大支持 65KB的已处理生物特征样本和模板在模组间传输,而对于原始数据(例如,用于虹膜识别的红外眼球图像),这个上限甚至还将更高;GB/T XXXXXXXXX/ISO/IEC 29164:20118 采用固定长度的方法不可行。因此,一条报文将被拆分成多个帧,每帧长度可变,但都携带了两字节的长度字段; 需要一个用于处理帧数据以及定义帧结构的协议。此处的接口必须支持各种安全机制,比如用于确保生物特征数据保密性、完整性和真实性的安全机制。另外,还需要考虑如下影响通信报文设计的嵌入式BioAPI子组件需求:数据处理时间随应用不同变化很大。响应超时时间应设置为一个较大范围,可短至 100
29、ms,也可长达数秒,尤其在涉及人工干预时更需如此。本标准针对嵌入式BioAPI环境定义了一个单主多从协议,其中的主设备为主机设备,而从设备为各生物特征识别模组。当模组为级联配置时,各生物特征识别模组可进行互连。因此,该协议将在主模式下实现该嵌入式BioAPI接口从而支持与这些模组之间的通信,如图4所示。有关嵌入式BioAPI接口的定义,第9章给出了接口的部分字段。图 5 BioApI 接口的主从配置当嵌入式BioAPI相关应用中的模组数量受限时,不使用真实地址,但会添加一个识别字段(见图3 从设备ID字段S编码)。此外,数据同时在命令和响应中传递。对于嵌入式系统,数据越小越有利于降低对储存和传
30、输的要求。基于此,我们可以将待传输数据的大小初步限制为216字节,对应一个两字节的数据长度字段。单主多从系统中,协议报文作为命令-响应对,其中命令一般由主机发出,而响应来自目的从设备。如第9章所述,命令的长度不到256字节,因此命令识别字段只需占用一个字节。数据以数据块(Data Block)形式进行传输,而生物特征数据将在传输前封装成BIR,详见GB/T 30267.1、 GB/T 28826.1以及如下由ISO/IEC 24761所定义的ACBio流程。如第6.1节所述,对于A类设备,BIR中不包含安全块(Security Block)或ACBio实例。而对于B类设备,BIR中携带了第6章
31、所述的安全块。命令帧结构如下:表 1 命令帧的结构从设备 IDS(1 字节)命令C(1 字节)数据长度L(2字节)数据D(L 字节)GB/T XXXXXXXXX/ISO/IEC 29164:20119响应帧结构如下:表 2 响应帧的结构从设备 IDS(1 字节)状态/错误E(1 字节)数据长度L(2字节)数据D(L 字节)按照所用底层协议定义的规则处理错误。为传输大小超过216字节的数据,需要进行帧级联,此时S字段的最高有效位为一个标志位。当该标志位设为1时,表示还有待发送的帧数据;当设为0时,表示没有待发送的帧数据。启用帧级联后,所有待发送的帧必须保持其第二个字节(命令或状态/错误)的完整性
32、。该字节与级联中的第一个数据帧以及S字段的7个最低有效位相关。9 嵌入式 BioAPI 的 Patron 格式本标准规定的Patron格式为“使用存在位图、字段长度固定且面向比特”的Patron格式。具体定义见第10章的ISO/IEC 19785-3:2007。10 嵌入式 BioAPI 的安全块格式10.1 安全块格式所有人ISO/IEC JTC 1/SC 37。10.2 安全块格式所有人标识符257(0101Hex)。 该标识符已由GB/T 28826.2注册机构分配。10.3 安全块格式名称ISO/IEC JTC 1/SC 37定义的嵌入式BioAPI 安全块格式。10.4 安全块格式标
33、识符l(000l Hex)。当应用ISO/IEC 8825-1定义的基本编码规则(BER)时,已根据GB/T 28826.2标准完成了该标识符的注册。m(000m Hex) 当应用ISO/IEC 8825-3定义的规范编码规则(Canonical XER)时,已根据GB/T 28826.2标准完成了该标识符的注册。10.5 安全块格式的 ASN.1 对象标识符10.5.1 采用 BER 时的安全块格式iso registration-authority embedded-bioapi(29164) organizations(0) jtc-sc37 (257) sbformat(3) ber-
34、encoding(1)或,在XML语言中表示为:1.1.29164.0.257.3.1 。10.5.2 采用 XER 时的安全块格式GB/T XXXXXXXXX/ISO/IEC 29164:201110iso registration-authority embedded-bioapi(29164) organizations(0) jtc-sc37 (257) patronformat(3) xer-encoding(2)或,在XML语言中表示为:1.1.29164.0.257.3.2 。10.6 使用范围本章定义了用于嵌入式BioAPI的安全块格式。10.7 版本标识符该Patron格式规
35、范定义了一个版本标识符(大版本0,小版本0)。10.8 CBEFF 版本该规范符合CBEFF版本(大版本2,小版本0)。10.9 概述SecurityBlockForEmbeddeBioAPI中存在两个字段:subBlockForIntegrity和acBioInstance。因为安全运算中使用的安全算法和密钥为事先交换,所以无需将它们添加到安全块中。如果设备支持加密,BDB会被加密。如果设备支持完整性保护,SBH与BDB级联所需的数字签名或验证码将添加到subBlockForIntegrity字段。如果支持ACBio实例生成,生成的ACBio实例将被添加到acBioInstance字段。10
36、.10 规范SECURITY-FORMAT-FOR-EMBEDDED-BIOAPIiso standard embeddedbioapi(29164)modules(0) sbformat(1) rev(0)DEFINITIONS AUTOMATIC TAGS := BEGINIMPORTSISO/IEC 24761 Authentication context for biometricsACBioInstanceFROM AuthenticationContextForBiometrics iso(1) standard(0) acbio(24761) module(1) acbio(2)
37、 rev(0) ;SecurityBlockForEmbeddeBioAPI := SEQUENCE subBlockForIntegrity OCTET STRING OPTIONAL,acBioInstance ACBioInstance OPTIONALEND11 数据类型、格式与编码11.1 从设备 ID 字段SS字段的编码如下表所示:表 3 从设备 ID 字段S编码GB/T XXXXXXXXX/ISO/IEC 29164:201111b7 b6 b5 b4 b3 b2 b1 b00 没有待发送的帧1 有待发送的帧X X X X X 5比特模态(编码方式见第 11.4节)0 0 采集功
38、能模组0 1 信号处理功能1 0 比对功能1 1 多功能注:嵌入式BioAPI应用环境下,部署一个模态和功能性模组即可,并且无需配置真实地址寻址技术,仅需具备识别不同在位模组的功能。11.2 命令字段C本标准中定义的功能采用层次编码,如下表所示:表 4 命令字段C编码b7 b6 b5 b4 b3 b2 b1 b0 十六进制值0 0 模组管理命令0 0 0 1 1 0 0 1 19 emBioAPI_BSPAttach0 0 0 0 0 1 1 0 06 emBioAPI_BSPDetach0 0 0 0 0 0 0 1 01 emBioAPI_QueryUnit0 0 0 0 0 0 1 0
39、02 emBioAPI_ControlUnit0 0 1 0 1 0 1 0 2A emBioAPI_Cancel0 0 X X X X X X xx RFU0 10 1 0 0 0 0 0 1 41 模板管理命令0 1 0 0 0 0 1 42 emBioAPI_DBStoreBIR0 1 0 0 0 1 0 0 44 emBioAPI_DBGetBIR0 1 X X X X X X xx emBioAPI_DeleteBIR1 0 RFU1 0 0 0 0 0 0 1 81 登记命令1 0 0 0 0 0 1 0 82 emBioAPI_Capture4Enrol1 0 0 0 1 0 0
40、 0 88 emBioAPI_GetBIRxx emBioAPI_CreateTemplate1 0 X X X X X X RFU1 1 生物特征处理命令1 1 0 0 0 0 0 1 C1 emBioAPI_Capture1 1 0 0 0 0 1 0 C2 emBioAPI_Process1 1 0 0 0 0 1 1 C3 emBioAPI_CaptureProcess1 1 0 0 0 1 0 0 C4 emBioAPI_VerifyExternal1 1 0 0 0 1 1 0 C6 emBioAPI_VerifyMatchExternal1 1 0 0 0 1 1 1 C7 em
41、BioAPI_ProcessVerifyMatchExternalGB/T XXXXXXXXX/ISO/IEC 29164:201112b7 b6 b5 b4 b3 b2 b1 b0 十六进制值1 1 0 0 1 1 0 0 CC emBioAPI_VerifyInternal1 1 0 0 1 1 1 0 CE emBioAPI_VerifyMatchInternal1 1 0 0 1 1 1 1 CF emBioAPI_ProcessVerifyMatchInternal1 1 X X X X X X xx RFU11.3 状态/错误字段E状态/错误字段的编码如下表所示:表 5 状态/错误
42、字段E编码b7 b6 b5 b4 b3 b2 b1 b0 C语言定义0 正确处理的命令0 0 0 0 0 0 0 0 NO_ERROR 无错误0 0 0 0 0 0 1 0 MATCH 匹配0 1 1 1 1 1 0 1 NO_MATCH 不匹配0 0 0 0 0 1 0 1 FTA 获取失败0 0 0 0 1 0 0 1 FTE 登记失败0 0 0 1 0 0 0 1 NO_QUALITY 质量要求不达标0 0 1 0 0 0 1 1 WAIT 处理中,请等待!0 X X X X X X X 预留以作备用1 命令处理出错1 0 0 1 1 0 0 1 TIME_OUT 超时1 0 0 1 1
43、 0 1 0 UNK_COMMAND 不支持该命令1 0 0 1 1 1 0 0 INTEGR_FAIL 完整性检查失败1 0 0 1 1 1 0 1 SECURITY_FAIL 安全检查失败1 0 0 1 1 1 0 0 UNDEFINED 意外或未定义的错误1 X X X X X X X 预留以作备用11.4 生物特征识别模态编码按照BioAPI_BIR_BIOMETRIC_TYPE (定义在GB/T 30267.1-2013第7.58节),完成生物特征识别模态编码。为了将32位的值缩短到5位,应用以下规则:按照GB/T 30267.1-2013第7.58节对BioAPI_BIR_BIOM
44、ETRIC_TYPE的定义进行生物特征识别模态编码。为将32比特的值缩短至5比特,须遵循以下规则:1) 所涉及的模态在GB/T 30267.1-2013的第7.58节中有定义,表示为2 X的32比特数字形式;2) S为以 1递增的指数 x(S=x+1);3) S= 0,表示预留以作备用。12 命令定义GB/T XXXXXXXXX/ISO/IEC 29164:201113本章介绍了嵌入式BioAPI相关命令的定义。具体定义方式如下:对命令的描述;命令中待发送的输入参数;生物特征模组回复的响应;相关帧的结构(包括命令和响应)。本标准采用如下表示法: 十六进制值以数字和大写字母表示; 变量符号以非大
45、写的字母表示; 如果命令处理时出错,那么对应的响应帧不携带任何数据。SDK开发的 C函数声明。 任何情况下,返回值均为状态码或错误码; 每个参数均对应一个注释,用于说明该参数为输入(IN)或是输出(OUT)参数。本标准未采用输入和输出(INOUT)字段。命令分为以下四种:模组管理命令模板管理命令登记命令生物特征处理命令所有通过命令交换的生物特征数据应遵循GB/T 28826.1标准以及GB/T 26237系列标准(针对那些已采用GB/T 26237部分标准的模态)相关部分的规定。如紧凑格式(有时称为卡片格式)可用,建议采用该格式。12.1 管理命令12.1.1 emBioAPI_BSPAtta
46、ch(必选) 描述: 通知模组自行开始初始化,从而启用相应服务以及初始化所有安全功能,包括加密、完整性保护和 ACBio实例生成。该命令在每次开启会话(如打开电源、会话变更等)时调用。如果调用该命令失败,那么除 QueryUnit命令之外的其它所有命令将无法执行。该命令在 A类和 B类设备上的功能相同。由于 A类设备不支持安全机制,因此它们将丢弃从主机接收到的安全相关字段,并将空字符填充到响应帧的安全相关字段中。为检测出所连模组是否为 A类设备,主机将检查该设备发送的随机数(RN B)和辅助数据是否填充为 0x00字符。参数: 密钥集 ID: 长度为 1字节,用于指定密钥集的编号。当设备不支持
47、多密钥集或采用默认密钥集时,该参数值为 0x00。虽然主机每次都会发送该字段,但 A类设备会直接忽略它;算法 ID: 长度为 1字节,用于指定加密算法的编号。当设备不支持多种算法或采用默认算法时,该参数值为 0x00。虽然主机每次都会发送该字段,但A类设备会直接忽略它;随机数(RN A):用于模组的会话密钥计算(16 字节)。虽然主机每次都会发送该字段,但 A类设备会直接忽略它;BioAPI_ACBio_PARAMETERS(具体定义见 GB/T 30267.1)。响应: 初始化信息,包括为完成会话密钥计算(保证数据交换安全)而生成的信息、生物特征识别模态信息以及提供的服务。GB/T XXXX
48、XXXXX/ISO/IEC 29164:201114状态码或错误(参见表 5“状态/错误字段E编码”);随机数(RN B),由生物特征识别模组生成,用于完成会话密钥计算(16 字节)。对于 A类设备,该字段填充为空字节;辅助数据长度;辅助数据,如使用计算得到的会话密钥对 RNA进行加密的结果。对于 A类设备,该字段填充为空字节。报文帧: 命令(十六进制):aa 19 vv vv kk gg rr . rr hh hh jj . jj响应(十六进制):aa ee 00 20 bb . bb ll ll cc . cc其中:aa 从设备 ID(见表 3“从设备 ID字段S编码”)ee - 状态/错
49、误码vv vv 命令中的数据长度(取决于 ACBio_Parameters的长度)kk 密钥集 IDgg 算法 IDrr 随机数 RN A(16 字节)hh hh ACBio 参数长度(2 字节)jj . jj ACBio_Parameters(依据 GB/T 30267.1)bb 随机数 RNB(16字节)ll ll 辅助数据长度(2 字节)cc 辅助数据(依辅助数据长度而定)unsigned char emBioAPI_BSPAttach (C 函数声明:unsigned char slaveID, / INunsigned char keysetID, / INunsigned char algid, / INunsigned char *RNA, / INunsigned short length_ac
