2023年5月23日，GB/T 41815.3-2023《信息技术 生物特征识别呈现攻击检测 第3部分：测试与报告》国家标准正式发布，该标准于2023年12月1日开始实施。该标准由全国信息技术标准化技术委员会归口，共有29家单位参与制定。

一、标准立项背景和必要性

当前，利用生物特征进行身份认证的应用场景逐渐增多，相关的产品种类繁多，生物特征数据容易被获取和复制，非法用户利用各种攻击手段对生物特征识别系统进行攻击的现象时有发生，严重危害了合法用户的隐私、人身及财产安全。

为了防止恶意者伪造和窃取他人的生物特征用于身份认证，生物识别系统必须具有呈现攻击检测功能，以确保生物特征识别技术安全可靠。然而，同生物特征识别一样，呈现攻击检测机制也会存在误报和漏报，上层应用采用何种呈现攻击检测机制不仅取决于应用程序安全要求，还需在安全性、证据强度和效率方面进行权衡。因此，需要一套科学、有效的评估方法来衡量呈现攻击检测机制各项指标。

二、标准内容

（一）章节目录

1 范围

2 规范性引用文件

3 术语和定义

4 缩略语

5 符合性

6 呈现攻击检测通则

7 呈现攻击检测机制的评估级别

7.1 通则

7.2 呈现攻击检测机制评估的通用原则

7.3 呈现攻击检测子系统评估

7.4 数据采集子系统评估

7.5 全系统评估

8 假体特性

8.1 生物特征假冒者攻击中呈现攻击工具的特性

8.2 生物特征识别隐匿者攻击中呈现攻击工具的特性

8.3 具有异常特征的合成生物特征样本的特性

9 不符合规范的生物特征采集尝试的考虑

9.1 呈现的方法

9.2 评估的方法

10 假体在PAD机制评估中的创建和使用

10.1 总则

10.2 假体的创建与准备

10.3 假体的使用

10.4 通过迭代试验识别有效假体

11 过程相关的评估因素

11.1 通则

11.2 注册过程的评估

11.3 验证过程的评估

11.4 识别过程的评估

11.5 离线PAD机制的评估

12 基于通用准则框架的评估

12.1 总则

12.2 通用准则与生物特征识别

13 具有PAD机制的生物特征识别系统的评估指标

13.1 通则

13.2 PAD子系统评估的指标

13.3 数据采集子系统评估指标

13.4 全系统评估指标

附录A（资料性） 攻击类型分类

附录B（资料性） 指纹采集设备的PAD子系统评估中使用的假体的示例

附录C（资料性） PAD测试中的角色

参考文献

（一）主要内容

该标准规定了呈现攻击检测机制的性能评估原则、方法和呈现攻击检测机制评估结果的报告及已知攻击类型的分类。

该标准适用于生物特征识别呈现攻击检测相关软硬件产品的设计、开发、集成与检测。

三、标准发布实施的意义

该标准阐述了生物特征识别中呈现攻击可能出现的潜在位置，重点对生物特征识别系统呈现攻击检测机制的评估级别进行了定义，分别从各子系统级到全系统级进行了全面的阐述；同时该标准还对用于呈现攻击的人造制品进行了描述，从冒充者、遮蔽者的角度说明了人造制品的不同特性；对呈现攻击检测机制级别的判定指标在该标准也给出了明确的定义。

该标准的制定对呈现攻击检测测试评估规范，包括评估原则和方法，用于指导相关企业和测试机构完成生物特征识别呈现攻击检测评估工作，提升生物特征识别呈现攻击检测能力，促进生物特征识别技术和产业的健康快速发展。

标准编制和标准符合性测试联系人：中国电子技术标准化研究院物联网研究中心 李伟 博士

联系方式：173 1604 3622，liwei1@cesi.cn

GB/T 41815.3-2023《信息技术 生物特征识别呈现攻击检测 第3部分：测试与报告》标准详细信息见全国标准信息公共服务平台，查询网址：

https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D05000E62EBE05397BE0A0AD5FA