《信息安全技术 虹膜识别产品测评标准》

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXX—XXXX

信息安全技术

虹膜识别系统测评方法

Informationsecuritytechnology

Testandevaluationmethodforirisrecognitionsystem

（报批稿）

200X-××-××发布200X-××-××实施

国家质量监督检验检疫总局发布

I

II

引言

本标准用以指导测评者如何测试和评价虹膜识别系统，说明不同安全保护级别的虹膜识

别系统的测试和评价方法。

本标准按照GB/T20979-2007，即《信息安全技术虹膜识别技术要求》开发的虹膜识别

系统提出了测试和评价标准。

第4章是对虹膜识别系统测评环境和条件的简要描述，其中：测评环境要求为测评前置

条件，对开发者的自测试和测试者的测试结果进行评价为测试后置条件。

第5章是对虹膜识别系统基本功能和性能测评的全面描述。身份识别产品基本功能和性

能的测评是指对虹膜识别系统所提供的用于进行身份识别的基本功能和性能要求的测试和评

价。

第6章是对不同等级的虹膜识别系统在基本功能与性能、安全功能和安全保证方面的不

同技术要求的描述。

第5章和第6章是基本测评内容的总体描述，自第二级起，每级较前级新增加的内容用

黑体字标出。

本标准着重于对按照GB/T20979-2007开发的虹膜识别系统中的虹膜识别产品的测评，

即对虹膜识别系统中用以实现虹膜识别功能的产品的测评。本标准中所称虹膜识别产品均指

上述意义上的产品。本标准中虹膜识别系统的含义与GB/T20979-2007相同。

III

信息安全技术

虹膜识别系统测评方法

1范围

本标准依据GB17859-1999计算机信息系统安全等级划分准则的要求，按照GB/T20979-2007

《信息安全技术虹膜识别系统技术要求》，制定虹膜识别产品的测试与评价方法。

本标准适用于依据GB17859-1999《计算机信息系统安全等级划分准则的要求》，按照GB/T

20979-2007《信息安全技术虹膜识别系统技术要求》所开发的虹膜识别系统的测试与评价，对

虹膜识别系统的设计、管理也可参照使用。

2规范性引用文件

下列文件中的有关条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其

随后所有的修改单（不包括勘误的内容）或修订版本均不适用于本标准，然而，鼓励根据本标准

达成协议的各方研究使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本

标准。

GB17859-1999计算机信息系统安全等级划分准则

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T20979-2007信息安全技术虹膜识别系统技术要求

3术语和定义

GB17859-1999、GB/T20271-2006和GB/T20979-2007中确立的术语和定义适用于本标准。

4测评环境和测评程序

4.1测试环境

虹膜识别产品的测试环境应满足以下要求：

a)对虹膜识别产品的测试应在其实际运行环境或体现实际运行环境的模拟环境进行；

b)典型的实际运行环境或模拟环境应具有：

——测评申请者提供的要求测评的虹膜识别系统（含产品）及自测试文档；

——可以随机采集虹膜样本的使用者人群；

——可以对所测评的虹膜识别系统（含产品）的功能性能进行测试的软件工具；

——可以对所测评的虹膜识别系统（含产品）进行测试的计算机及网络环境。

c)对独立使用的虹膜识别产品，应按产品测评要求进行独立测评；

d)对与计算机信息系统联机运行的虹膜识别产品，应进行联机测评；

1

4.2测评程序

虹膜识别产品测评应按照以下测评程序进行：

a)开发者应先进行自测试，并提供相应的测试文档和测试结果；

b)测试者应根据本标准对开发者提交测试的虹膜识别产品进行测试，得出测试结果；

c)测试者应对被测虹膜识别产品的自测试和测试者的测试结果做出评估。

5基本功能与性能测评

5.1基本功能测评

5.1.1自包含功能测试与评价

虹膜识别产品的开发者应提供自包含功能自测试文档。虹膜识别产品测评者应通过以下方式

进行自包含功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，分析虹膜识别产品是否具有自包含功能；

b)实际测试：通过对虹膜识别产品的实际测试，考查虹膜识别核心算法的运行环境、关键

数据的生成及存储环境属于下述何种状况：

——在虹膜识别产品自置的计算机中；

——在虹膜识别产品内含的微处理芯片中。

c)分析评估：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的自包含功能：

——在虹膜识别产品自置的计算机制中：具有虹膜识别系统级的自包含功能；

——在虹膜识别产品内含的微处理芯片中：具有虹膜识别芯片级的自包含功能。

5.1.2虹膜图像采集与处理测试与评价

虹膜识别产品的开发者应提供虹膜图像采集与处理功能的自测试文档。虹膜识别产品测评者

应通过以下方式进行图像处理功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供对虹膜图像

进行处理的功能。

b)实际测试：通过对虹膜识别产品的实际测试，考查其文档所描述的图像采集与处理功能

是否满足：

——用户虹膜图像由虹膜识别设备采集，不应以任何其他方式输入；

——只处理现场采集的用户虹膜图像；

c)分析评价：对文档检查结构和实际测试情况进行综合分析，确定被测产品是否具有所要

求的图像处理功能。

5.1.3用户标识测试与评价

虹膜识别产品的开发者应提供用户标识功能的自测试文档。虹膜识别产品测评者应通过以下

方式进行用户标识功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供用户标识功

2

能。

b)实际测试：通过对虹膜识别产品的实际测试，考查其文档所描述的用户标识功能是否满

足：

——对所有需要用虹膜特征识别的用户均进行了用户标识；

——所有用户在用户登录时都进行了标识；

——用户标识以用户名、用户ID、组ID实现；

——每个用户只有一个用户标识；

——超级用户以外的一般用户不能自行更改用户标识。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的用户标识功能。

5.1.4用户登记测试与评价

虹膜识别产品的开发者应提供用户登记功能的自测试文档。虹膜识别产品测评者应通过以下

方式进行用户登记功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供用户登记功

能。

b)实际测试：通过对虹膜识别产品的实际测试，考查其文档所描述的用户登记功能是否满

足：

——对所有需要用虹膜特征识别的用户进行登记；

——用户登记应在安全员的监控下进行，安全员实施其操作前应先对其进行使用虹膜识

别的身份识别；

——只应对获准进行用户登记的用户生成模板特征序列，存入特征序列数据库。

——同一用户在不同计算机信息系统中的模板特征序列应具有共同的数据库记录结构；

——对同一计算机信息系统，用户登记是一次性过程，重新登记和数据库更新应由安全

员做出决定；

——在不同计算机信息系统共享同一特征序列数据库的情况下，应保证被共享的特征序

列数据库的数据一致性；

——用户登记应列为安全审计事项；

——用于用户登记的虹膜识别设备应具有用户识别功能。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的用户登记功能。

5.1.5用户识别测试与评价

虹膜识别产品的开发者应提供用户识别功能的自测试文档。虹膜识别产品测评者应通过以下

方式进行用户识别功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供用户识别功

3

能，了解用户识别功能是否包括了用户辨识和用户确认功能。

b)实际测试：通过对虹膜识别产品的实际测试，考查其文档所描述的用户识别功能是否满

足：

——虹膜识别产品具有以用户虹膜图像作为唯一需要的用户识别信息进行用户识别的

功能；

——进行用户识别时，应使用实时采集的用户虹膜图像；

——进行用户识别时，应实时生成样本特征序列；

——进行用户辨识时，应将实时生成的样本特征序列与特征序列数据库中的模板特征序

列逐一进行比对，以确定特征序列数据库中是否有该用户的候选者。

——进行用户确认时，还应给出虹膜图像外的其他用户身份信息，如用户ID；

——进行用户确认时，应根据所给用户身份信息，从特征序列数据库中检索出该用户的

模板特征序列，并将实时生成的样本特征序列与模板特征序列进行比对，以确定该用户

是否为所给用户身份信息的实际持有者；

——确定虹膜识别产品是否具有用户辨识功能和用户确定功能两项功能，或是仅具有两

项功能中的一项。

——用户识别应列为安全审计事项。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的用户识别功能。

5.1.6识别失败判定及处理测试与评价

虹膜识别产品的开发者应提供识别失败判定及处理功能的自测试文档。虹膜识别产品测评者

应通过以下方式进行识别失败判定及处理功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供识别失败判

定及处理功能，了解识别失败判定及处理功能是否在用户登记或用户识别过程中。

b)实际测试：通过对虹膜识别产品的实际测试，考查当出现以下情形中的一项或多项时，

其文档所描述的识别失败判定及处理功能是否能准确地判断出识别失败：

——设备故障：虹膜特征身份识别设备故障，不能成功捕捉图像；

——像质障碍：捕捉的图像质量不适于生成模板特征序列或生成样本特征序列；

——超时断开：终端操作超时断开；

——数据库故障：特征序列数据库故障且在规定尝试次数内未能消除；

——尝试超次：对用户确认与用户识别，应分别设定警告次数阈值，连续警告次数大于

该阈值时视作识别失败；

并提供以下识别失败处理功能：

——制定识别失败返回值表；

——在出现识别失败情况时按照识别失败返回值表返回错误代码或错误值；

4

——针对不同识别失败原因进行相应处理。

d)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的识别失败判定及处理功能，对因像质障碍引起的识别失败，应评测在正确使用情况

下该类障碍出现的频繁程度。

5.1.7防伪造功能测试与评价

虹膜识别产品的开发者应提供防伪造功能的自测试文档。虹膜识别产品测评者应通过以下方

式进行防伪造功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供防伪造功能。

b)实际测试：通过对虹膜识别产品的实际测试，考查其文档所描述的防伪造功能是否可以

对以下防伪造功能进行检测：

——防照片伪造：应能检测或防止使用照片伪造识别图像；

——防隐形镜片伪造：应能检测或防止在隐形镜片上复制伪造身份识别图像；

——防复制伪造：应能检测或防止对当前用户识别数据的复制和非授权保存；

——防录像伪造：应能检测或防止使用录像伪造识别图像；

——防死亡虹膜伪造：应能检测或防止用已经死亡的虹膜组织取代活体虹膜组织。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的防伪造功能。

5.1.8警告与报警测试与评价

虹膜识别产品的开发者应提供警告与报警功能的自测试文档。虹膜识别产品测评者应通过以

下方式进行警告与报警功能的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否提供警告与报警

功能。

b)实际测试：通过对虹膜识别产品的实际测试，考查其文档所描述的警告与报警功能是否

满足：

——进行用户确认时，如用户不是所给用户ID或其他用户身份信息的持有者，或在进

行用户辨识时，特征序列数据库中无用户的候选者，应给出警告信息；

——检测出伪造识别图像、识别数据，或复制、非授权保存图像、数据，或非授权数据

库操作时应给出报警信息。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的警告与报警功能。

5.2基本性能测评

5.2.1错误接受率与错误拒绝率测试与评价

虹膜识别产品的开发者应提供错误接受率与错误拒绝率的自测试文档。虹膜识别产品测评者

应通过以下方式进行错误接受率与错误拒绝率的测试与评价：

5

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否进行了错误接受

率与错误拒绝率测试。

b)实际测试：通过对虹膜识别产品的实际测试，考查其是否具有文档所描述的错误接受率

与错误拒绝率。测试应满足：

——应使用随机样本；

——应通过检测，确定进行了用户登记的不同虹膜组织的总数；

——应通过检测，确定进行了用户识别的不同虹膜组织的总数；

——在统计比对次数时，同一虹膜组织的所有模板特征序列与任一虹膜组织的所有样本

特征序列之间的所有比对，仅计为一次比对；

——应测试错误接受率：在用户识别时，对于本该产生拒绝结果的比对，错误地产生了

接受结果，统计产生这类错误结果的比对次数与总比对次数的比率；

——应测试错误拒绝率：在用户识别时，对于本该产生接受结果的比对，错误地产生了

拒绝结果，统计产生这类错误结果的比对次数与总比对次数的比率；

——应能对错误接受率和错误拒绝率进行调节，使其中之一变大时另一个变小，以满足

不同的应用需要；

——虹膜特征身份识别产品身份认证的可靠性应由错误接受率和错误拒绝率度量，应以

虹膜识别产品能够同时达到的错误接受率和错误拒绝率作为该产品错误接受率和错误

拒绝率的测定值；

——不同安全保护等级的虹膜特征身份识别产品应具有与该等级相应的错误接受率与

错误拒绝率；

——应在使用者正确使用设备的条件下对错误接受率和错误拒绝率进行评测。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的错误接受率与错误拒绝率设计。

5.2.2响应时间测试与评价

虹膜识别产品的开发者应提供响应时间的自测试文档。虹膜识别产品测评者应通过以下方式

进行响应时间的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品是否进行了响应时间

测试。

b)实际测试：通过对虹膜识别产品的实际测试，考查其是否达到文档所描述的响应时间要

求，以主频为450MHz的CPU进行衡量，虹膜识别产品应满足：

——用户登记时间在30秒以下；

——用户识别时间在2秒以下；

——特征序列比对速率在25，000次/秒以上。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

6

求的响应时间设计。

5.2.3适用范围测试与评价

虹膜识别产品的开发者应提供适用范围的自测试文档。虹膜识别产品测评者应通过以下方式

进行适用范围的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品的适用范围是否满足

适用范围要求。

b)实际测试：通过对虹膜识别产品的实际测试，考查其是否满足以下要求：

——适用于不同人种的身份识别；

——既适用于本地用户的登记与识别，也适用于远地用户的登记与识别；

——既适用于一般用户的登记与识别，也适用于特权用户的登记与识别。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否具有所要

求的适用范围设计。虹膜识别产品应能适用于黄种人的身份识别，对其他人种，应评测

其识别技术对于人种的独立性。

5.2.4使用安全条件测试与评价

虹膜识别产品的开发者应提供使用安全条件的自测试文档。虹膜识别产品测评者应通过以下

方式进行使用安全条件的测试与评价：

a)检查文档：检查自测试文档，根据文档的描述，了解虹膜识别产品的使用安全条件。

b)实际测试：通过对虹膜识别产品的实际测试，考查其使用安全条件是否满足：

——使用者与设备无接触方式，使用时虹膜图像采集设备无痕迹残留；

——不应使用紫外光和远红外光线进行照明；

——可以在无自然光照明的环境中工作。

c)分析评价：对文档检查结果和实际测试情况进行综合分析，确定被测产品是否满足所要

求的使用安全条件。

6分等级测评

6.1第一级产品测评

6.1.1基本功能测评

应从以下方面进行测试与评价，以确定虹膜识别产品的基本功能与性能是否满足第一级信息

安全系统的要求：

6.1.1.1自包含功能测试与评价

应按5.1.1所描述的要求与方法进行自包含功能的测试与评价，确定虹膜识别产品是否具有用

户系统级的自包含功能。

6.1.1.2虹膜图像采集与处理测试与评价

应按5.1.2所描述的要求与方法进行图像处理功能的测试与评价，并且：

——可保存用户登记虹膜图像和用户识别虹膜图像；

——可以文件形式保存虹膜图像；

7

——应实时删除未保存的虹膜图像。

6.1.1.3用户标识测试与评价

应按5.1.3所描述的要求与方法进行用户标识功能的测试与评价，确定虹膜识别产品的用户标

识功能是否满足5.1.3中的要求。

6.1.1.4用户登记测试与评价

应按5.1.4所描述的要求与方法进行用户登记功能的测试与评价，并且：

a)用户登记可以两幅可用图像实现；

b)可以文件形式存贮与虹膜特征序列数据库记录具有相同形式的用户模板特征序列；

c)在以数据库存储模板特征序列时，用户登记功能应满足5.1.4中的要求；

d)在数据库记录或文件中，有效载荷数据部分可为空数据；

e)在数据库记录或文件中，签名部分可为空数据。

6.1.1.5用户识别测试与评价

应按5.1.5所描述的要求与方法进行用户识别功能的测试与评价，确定虹膜识别产品的图像处

理功能是否满足5.1.5中的要求，并且：

a)用户识别应以两幅可用图像实现；

b)用户识别可以只具有用户辨识功能或用户确认功能。

6.1.1.6识别失败判定及处理测试与评价

按5.1.6所描述的要求与方法进行识别失败判定及处理功能的测试与评价，确定虹膜识别产品

是否满足5.1.6中的要求，并且：

a）应能对设备故障、像质障碍、超时断开所引起的识别失败事件进行判定。

b）应能在识别失败时，按规定次数进行重新识别。

c）应在用户未能通过用户确认或用户识别时显示识别失败信息。

6.1.1.7防伪造处理测试与评价

按5.1.7所描述的要求与方法进行以下防伪造功能的测试与评价。

a)应满足防复制伪造要求；

b)在检测出伪造或非授权操作事件时应终止违例进程并取消服务。

6.1.2基本性能测评

6.1.2.1错误接受率与错误拒绝率测试与评价

应按5.2.1所描述的要求与方法进行错误接受率与错误拒绝率的测试与评价，测定虹膜识别产

品的错误接受率和错误拒绝率，并应满足：

a)错误接受率不大于万分之一；

b)在错误接受率不大于万分之一时，错误拒绝率不大于百分之一。

6.1.2.2响应时间测试与评价

应按5.2.2所描述的要求与方法进行响应时间的测试与评价，确定虹膜识别产品是否满足5.2.2

8

中的要求。

6.1.2.3适用范围测试与评价

应按5.2.3所描述的要求与方法进行适用范围的测试与评价，确定虹膜识别产品是否满足5.2.3

中的要求。

6.1.2.4使用安全条件测试与评价

应按5.2.4所描述的要求与方法进行使用安全条件的测试与评价，确定虹膜识别产品是否满足

5.2.4中的要求。

6.1.3自身安全功能测评

应从以下方面进行测试与评价，以确定虹膜识别产品的自身安全功能是否满足第一级信息安

全系统的要求：

6.1.3.1物理安全测试与评价

应按GB/T20979-20076.1.3.1的要求，从以下方面对物理安全进行测试与评价：

a)设备安全

应按GB/T20979-20076.1.3.1.2的要求，对设备安全进行测试与评价。

b)记录介质安全

应按GB/T20979-20076.1.3.1.3的要求，对记录介质安全进行测试与评价。

6.1.3.2运行安全测试与评价

应按GB/T20979-20076.1.3.2的要求，从以下方面进行测试与评价：

a)风险分析

风险分析应包括以下内容：

1.1.1.1——分析由于人为的和自然的原因对虹膜识别产品所造成的安全风险；

1.1.1.2——描述虹膜识别产品存在的安全风险，以及克服这些风险的办法；

1.1.1.3——在确定虹膜识别产品所提供的基本功能与性能，所存储、传输和处理数据的保

护需求的基础上，确定虹膜识别产品的安全等级为第一级。

1.1.1.4b)安全审计

1.1.1.5应按GB/T20979-20076.1.3.2.3的要求，进行以下安全审计测试与评价：

——对复制伪造事件做出响应；

1.1.1.6——在检测出伪造或非授权操作事件时应终止违例进程并取消服务；

1.1.1.7——对各项审计事件产生、保护审计数据，提供审计数据查阅功能。

c)备份与故障恢复

应按GB/T20979-20076.2.3.2.4的要求，满足以下要求：

——对模板特征序列及审计数据进行信息备份。

6.1.3.3数据安全测试与评价

a)特权用户身份识别

按GB/T20979-20076.1.3.3.1的要求，对进入虹膜识别系统对该系统进行管理操作的特权用

户（如系统管理员）进行身份识别，并且：

9

——特权用户的身份识别应使用虹膜识别；

b)访问控制

按GB/T20979-20076.1.3.3.2的要求，对以下访问控制功能进行检测：

——虹膜图像采集进程、虹膜图像处理进程、模板特征序列生成进程、样本特征序列生成进

程、特征序列比对进程应自动进行，不应有人工干预；

——确定特权用户对模板特征序列的存储管理权限；

——虹膜识别产品应具有虹膜图像及图像处理过程的输出图像的自动删除功能；

——虹膜识别产品应具有样本特征序列以及比对用模板特征序列的自动删除功能；

——虹膜识别产品应具有用户识别结果的自动传输、自动显示与自动删除功能。

c)数据完整性保护

按GB/T20979-20076.1.3.3.3的要求，对以下数据完整性功能进行检测：

——虹膜识别产品应具有数据完整性保护算法；

——虹膜识别产品应能使用数据完整性保护算法对存储和传输的虹膜特征序列进行数据完整

性保护；

——虹膜识别产品应能用模板特征序列自动生成进程、样本特征序列自动生成进程对处理过

程中的虹膜特征序列进行数据完整性保护。

d)数据保密性保护

按GB/T20979-20076.1.3.3.3的要求，对以下数据保密性功能进行检测：

——虹膜识别产品应能用特权用户对模板特征序列的存储管理授权对模板特征序列进行数据

保密性保护；

——虹膜识别产品应能用用户应用系统的信息安全功能对被传输的虹膜识别特征序列和用户

识别结果进行数据保密性保护；

——虹膜识别产品应能用虹膜图像及虹膜图像处理的输出图像的自动删除功能进行剩余敏感

信息的保护；

——虹膜识别产品应能用样本特征序列、比对用模板特征序列和用户识别结果的自动删除功

能进行剩余敏感信息的保护。

6.1.4安全保证测评

应从以下方面进行测试与评价，以确定虹膜识别产品的安全保证是否满足第一级信息安全系

统的要求：

6.1.4.1虹膜识别产品自身安全保护测试与评价

按GB/T20271-2006中6.2.4的要求检查自测试文档，分析虹膜识别产品是否具有以下自身安

全保护功能：

a)具有程序完整性；

b)能够正确、不间断运行；

10

c)有可靠的时间戳支持；

d)受到物理攻击时能及时进行报告。

6.1.4.2虹膜识别产品设计与实现测试与评价

按GB/T20271-2006中6.2.5的要求检查自测试文档，在虹膜识别产品的设计和实现中：

a）文档编写是否符合要求；

b）产品实现过程是否符合设计要求。

6.1.4.3虹膜识别产品安全管理测试与评价

按GB/T20271-2006中6.2.5的要求检查自测试文档，检查以下安全管理是否制定有相应的操

作、运行规程和行为规章制度：

a)虹膜识别产品的功能管理；

b)虹膜识别产品的安全角色的定义。

6.2第二级产品测评

6.2.1基本功能测评

应从以下方面进行测试与评价，以确定虹膜识别产品的基本功能与性能是否满足第二级信息

安全系统的要求：

6.2.1.1自包含功能测试与评价

应按5.1.1所描述的要求与方法进行自包含功能的测试与评价，确定虹膜识别产品是否具有以

下自包含功能：

a)虹膜识别算法、关键数据的生成具有虹膜识别芯片级自包含功能；

b)关键数据的存储具有虹膜识别系统级自包含功能。

6.2.1.2虹膜图像采集与处理测试与评价

应按5.1.2所描述的要求与方法进行图像处理功能的测试与评价，并且：

——可保存用户登记虹膜图像和用户识别虹膜图像；

——应保存用户登记虹膜图像；

——虹膜图像应以数据库形式保存；

——应实时删除未保存的虹膜图像。

6.2.1.3用户标识测试与评价

应按5.1.3所描述的要求与方法进行用户标识功能的测试与评价，确定虹膜识别产品的用户标

识功能是否满足5.1.3中的要求。

6.2.1.4用户登记测试与评价

应按5.1.4所描述的要求与方法进行用户登记功能的测试与评价，并应：

a)用户登记以两幅可用图像实现；

b)以数据库形式存储模板特征序列；

c)数据库记录中，有效载荷数据部分不应为空数据；

e)在数据库记录中，签名部分可为空数据。

11

6.2.1.5用户识别测试与评价

应按5.1.5所描述的要求与方法进行用户识别功能的测试与评价，确定虹膜识别产品的图像处

理功能是否满足5.1.5中的要求，并且：

a)用户识别应以两幅可用图像实现；

b)用户识别应具有用户辨识和用户确认两种功能。

6.2.1.6识别失败判定及处理测试与评价

按5.1.6所描述的要求与方法进行识别失败判定及处理功能的测试与评价，确定虹膜识别产品

是否满足5.1.6中的要求，并且：

a)应能对设备故障、像质障碍、超时断开所引起的识别失败事件进行判定；

b)应分析识别失败事件产生的原因，提出减少识别失败事件的措施；

c)应能在识别失败时，按规定次数进行重新识别；

d)应在用户未能通过用户确认或用户识别时显示识别失败信息；

e)应将超过规定次数的识别失败作为安全审计事项。

6.2.1.7防伪造测试与评价

按5.1.7所描述的要求与方法进行以下防伪造功能的测试与评价。

a)应满足防复制伪造要求；

b)应能检测出使用复制伪造信息的重放攻击事件；

c)应有防隐形镜片攻击功能；

d)在检测出伪造或非授权操作事件时应终止违例进程并取消服务。

6.2.2基本性能测评

6.2.2.1错误接受率与错误拒绝率测试与评价

应按5.2.1所描述的要求与方法进行错误接受率与错误拒绝率的测试与评价，测定虹膜识别产

品的错误接受率和错误拒绝率，并且：

a)错误接受率不大于十万分之一；

b)在错误接受率不大于十万分之一时，错误拒绝率不大于百分之一；

c)用户登记时，同一虹膜存入模板特征数据库中的模板特征序列测试数据不少于两组；d)

用户识别时，同一虹膜实时生成的样本特征序列测试数据不少于三组。

6.2.2.2响应时间测试与评价

应按5.2.2所描述的要求与方法进行响应时间的测试与评价，确定虹膜识别产品是否满足5.2.2

中的要求。

6.2.2.3适用范围测试与评价

应按5.2.3所描述的要求与方法进行适用范围的测试与评价，确定虹膜识别产品是否满足5.2.3

中的要求。

12

6.2.2.4使用安全条件测试与评价

应按5.2.4所描述的要求与方法进行使用安全条件的测试与评价，确定虹膜识别产品是否满足

5.2.4中的要求。

6.2.3自身安全功能测评

应从以下方面进行测试与评价，以确定虹膜识别产品的自身安全功能是否满足第二级信息安

全系统的要求：

6.2.3.1物理安全测试与评价

应按GB/T20979-20076.2.3.1的要求，从以下方面对物理安全进行测试与评价：

c)设备安全

应按GB/T20979-20076.2.3.1.2的要求，对设备安全进行测试与评价。

d)记录介质安全

应按GB/T20979-20076.2.3.1.3的要求，对记录介质安全进行测试与评价。

6.2.3.2运行安全测试与评价

应按GB/T20979-20076.2.3.2的要求，从以下方面进行测试与评价：

a）风险分析

风险分析应包括以下内容：

1.1.1.8——分析由于人为的和自然的原因对虹膜识别产品所造成的安全风险；

1.1.1.9——描述虹膜识别产品存在的安全风险，以及克服这些风险的办法；

1.1.1.10——描述产品设计前和运行前的静态风险分析方法和过程，及所发现的虹膜识别

产品潜在安全隐患；

1.1.1.11——分析产品运行过程中可能遭受到的攻击事件；

1.1.1.12——在确定虹膜识别产品所提供的基本功能与性能，所存储、传输和处理数据的

保护需求的基础上，确定虹膜识别产品的安全等级为第二级。

1.1.1.13b)安全审计

1.1.1.14应按GB/T20979-20076.2.3.2.3的要求进行安全审计测试与评价，并且：

——对复制伪造事件做出响应；

——对隐形镜片攻击事件做出响应；

——对非授权进行数据库操作事件做出响应；

——对使用复制伪造信息的重放攻击事件做出响应；

——在检测出伪造或非授权操作事件时应终止违例进程并取消服务；

——对各项审计事件产生、保护审计数据，提供审计数据查阅功能。

c)备份与故障恢复

应按GB/T20979-20076.2.3.2.4的要求，满足以下要求：

——对模板特征序列及审计数据进行信息备份；

——在虹膜识别产品运行中出现致使信息丢失的故障时，能依据备份信息进行信息恢复。

13

6.2.3.3数据安全测试与评价

a)特权用户身份识别

应按GB/T20979-20076.2.3.3.1的要求，对进入虹膜识别系统对该系统进行管理操作的特权

用户（如系统管理员）进行身份识别，并且：

——特权用户的身份识别应使用虹膜识别；

——特权用户对模板特征序列的操作应列为审计事件。

b)访问控制

应对以下访问控制功能进行检测：

——虹膜图像采集进程、虹膜图像处理进程、模板特征序列生成进程、样本特征序列生成进

程、特征序列比对进程应自动进行，不应有人工干预；

——确定特权用户对模板特征序列的存储管理权限；

——虹膜识别产品应具有虹膜图像及图像处理过程的输出图像的自动删除功能；

——虹膜识别产品应具有样本特征序列以及比对用模板特征序列的自动删除功能；

——虹膜识别产品应具有用户识别结果的自动传输、自动显示与自动删除功能。

并应按照GB/T20979-2007附录C表C.2所表示的主、客体对应关系及操作规则，通过对

主、客体设置敏感标记，实现对虹膜识别数据和虹膜特征序列数据信息的访问控制：

——模板特征序列数据库记录中的不透明数据（含模板特征序列及有效载荷）只能由模板特

征序列生成进程写入，由特征序列比对进程读出；

——模板特征序列生成进程、样本特征序列生成进程、特征序列比对进程应由虹膜识别产品

芯片级自包含功能中实现；

c)数据完整性保护

应按GB/T20979-20076.2.3.3.3的要求，对以下数据完整性功能进行检测：

——虹膜识别产品在虹膜特征序列存储传输中应具有数据完整性功能；

——虹膜识别产品在虹膜特征序列存储传输中应具有抗篡改功能；

——虹膜识别产品应能用模板特征序列自动生成进程、样本特征序列自动生成进程对处理过

程中的虹膜特征序列进行数据完整性保护。

d)数据保密性保护

应按GB/T20979-20076.2.3.3.3的要求，对以下数据保密性功能进行检测：

——虹膜识别产品应能用特权用户对模板特征序列的存储管理授权对模板特征序列进行数据

保密性保护；

——虹膜识别产品应能用用户应用系统的信息安全功能对被传输的虹膜识别特征序列和用户

识别结果进行数据保密性保护；

——虹膜识别产品应能用虹膜图像及虹膜图像处理的输出图像的自动删除功能进行剩余敏感

信息的保护；

14

——虹膜识别产品应能用样本特征序列、比对用模板特征序列和用户识别结果的自动删除功

能进行剩余敏感信息的保护。

——虹膜识别产品应有模板特征序列加密存储功能，不以明码形式固定存储虹膜特征序列；

——在虹膜特征序列被泄露时，虹膜识别产品应有虹膜特征序列撤消机制；

——在C/S结构中，虹膜识别产品应有服务器对客户机端的认证功能；

6.2.4安全保证测评

应从以下方面进行测试与评价，以确定虹膜识别产品的安全保证是否满足第二级信息安全系

统的要求：

6.2.4.1虹膜识别产品自身安全保护测试与评价

应按GB/T20271-2006中6.2.4的要求检查自测试文档，分析虹膜识别产品是否具有以下自

身安全保护功能：

a)具有程序完整性；

b)能够正确、不间断运行；

c)有可靠的时间戳支持；

d)受到物理攻击时能及时进行报告。

6.2.4.2虹膜识别产品设计与实现测试与评价

应按GB/T20271-2006中6.2.5的要求检查自测试文档，在虹膜识别产品的设计和实现中：

a)文档编写是否符合要求；

b)产品实现过程是否符合设计要求。

6.2.4.3虹膜识别产品安全管理测试与评价

应按GB/T20271-2006中6.2.5的要求检查自测试文档，检查以下安全管理是否制定相应的

操作、运行规程和行为规章制度：

a)虹膜识别产品的功能管理；

b)虹膜识别产品的安全角色的定义。

6.3第三级产品测评

6.3.1基本功能测评

应从以下方面进行测试与评价，以确定虹膜识别产品的基本功能与性能是否满足第三级信息

安全系统的要求：

6.3.1.1自包含功能测试与评价

应按5.1.1所描述的要求与方法进行自包含功能的测试与评价，确定虹膜识别产品是否具有以

下自包含功能：

a)虹膜识别算法、关键数据的生成具有虹膜识别芯片级自包含功能；

b)关键数据的存储具有虹膜识别芯片统级自包含功能。

6.3.1.2虹膜图像采集与处理测试与评价

应按5.1.2所描述的要求与方法进行图像处理功能的测试与评价，并且：

15

——应保存用户登记虹膜图像

——应保存用户识别虹膜图像；

——虹膜图像应以数据库形式保存；

——应实时删除未保存的虹膜图像。

6.3.1.3用户标识测试与评价

应按5.1.3所描述的要求与方法进行用户标识功能的测试与评价，确定虹膜识别产品的用户标

识功能是否满足5.1.3中的要求，并且：

——不应使用用户组ID；

6.3.1.4用户登记测试与评价

应按5.1.4所描述的要求与方法进行用户登记功能的测试与评价，并应：

a)用户登记以四幅可用图像实现；

b)以数据库形式存储模板特征序列；

c)数据库记录中，有效载荷数据部分不应为空数据；

e)在数据库记录中，签名部分不应为空数据。

6.3.1.5用户识别测试与评价

应按5.1.5所描述的要求与方法进行用户识别功能的测试与评价，确定虹膜识别产品的图像处

理功能是否满足5.1.5中的要求，并且：

a)用户识别应以两幅可用图像实现；

b)用户识别应具有用户辨识和用户确认两种功能。

6.3.1.6识别失败判定及处理测试与评价

按5.1.6所描述的要求与方法进行识别失败判定及处理功能的测试与评价，确定虹膜识别产品

是否满足5.1.6中的要求，并且：

a)应能对设备故障、像质障碍、超时断开所引起的识别失败事件进行判定；

b)应分析识别失败事件产生的原因，提出减少识别失败事件的措施；

c)虹膜识别产品应能长期稳定运行；

d)应能在识别失败时，按规定次数进行重新识别；

e)应在用户未能通过用户确认或用户识别时显示识别失败信息；

f)应将超过规定次数的识别失败作为安全审计事项。

6.3.1.7防伪造测试与评价

按5.1.7所描述的要求与方法进行以下防伪造功能的测试与评价。

a)应满足防复制伪造要求；

b)应能检测出使用复制伪造信息的重放攻击事件；

c)应有防隐形镜片攻击功能；

d)应有防图片攻击功能；

16

d)应有防录相攻击功能；

e)应有辨识非活体虹膜组织图像的功能；

f)在检测出伪造或非授权操作事件时应终止违例进程并取消服务。

6.3.2基本性能测评

6.3.2.1错误接受率与错误拒绝率测试与评价

应按5.2.1所描述的要求与方法进行错误接受率与错误拒绝率的测试与评价，测定虹膜识别产

品的错误接受率和错误拒绝率，并应满足：

a)错误接受率不大于三十万分之一；

b)在错误接受率不大于三十万分之一时，错误拒绝率不大于百分之一；

c)用户登记时，同一虹膜存入模板特征数据库中的模板特征序列测试数据不少于三组；

d)用户识别时，同一虹膜实时生成的样本特征序列测试数据不少于四组。

6.3.2.2响应时间测试与评价

应按5.2.2所描述的要求与方法进行响应时间的测试与评价，确定虹膜识别产品是否满足5.2.2

中的要求。

6.3.2.3适用范围测试与评价

应按5.2.3所描述的要求与方法进行适用范围的测试与评价，确定虹膜识别产品是否满足5.2.3

中的要求。

6.3.2.4使用安全条件测试与评价

应按5.2.4所描述的要求与方法进行使用安全条件的测试与评价，确定虹膜识别产品是否满足

5.2.4中的要求。

6.3.3自身安全功能测评

应从以下方面进行测试与评价，以确定虹膜识别产品的自身安全功能是否满足第三级信息安

全系统的要求：

6.3.3.1物理安全测试与评价

应按GB/T20979-20076.3.3.1的要求，从以下方面对物理安全进行测试与评价：

a)设备安全

应按GB/T20979-20076.3.3.1.2的要求，对设备安全进行测试与评价。

b)记录介质安全

应按GB/T20979-20076.3.3.1.3的要求，对记录介质安全进行测试与评价。

6.3.3.2运行安全测试与评价

应按GB/T20979-20076.3.3.2的要求，从以下方面进行测试与评价：

a)风险分析

风险分析应包括以下内容：

1.1.1.15——分析由于人为的和自然的原因对虹膜识别产品所造成的安全风险；

1.1.1.16——描述虹膜识别产品存在的安全风险，以及克服这些风险的办法；

17

1.1.1.17——描述产品设计前和运行前的静态风险分析方法和过程，及所发现的虹膜识别

产品潜在安全隐患；

1.1.1.18——分析产品运行过程中可能遭受到的攻击事件；

1.1.1.19——描述产品运行过程中的动态风险分析方法和过程，及所测试、跟踪并记录的

与风险有关的活动、产品运行期的安全漏洞，以及相应的产品脆弱性分析；

1.1.1.20——描述所采用风险分析工具，所收集、分析、输出的数据，所确定的危险的严

重性等级、危险的可能性及所确定安全对策。

1.1.1.21——在确定虹膜识别产品所提供的基本功能与性能，所存储、传输和处理数据的

保护需求的基础上，确定虹膜识别产品的安全等级为第三级。

1.1.1.22b)安全审计

1.1.1.23应按GB/T20979-20076.3.3.2.3的要求进行安全审计测试与评价，并应满足：

——对复制伪造事件做出响应；

——对隐形镜片攻击事件做出响应；

——对图片攻击事件做出响应；

——对录相攻击事件做出响应；

——对使用非活体虹膜组织图像事件做出响应；

——对非授权进行数据库操作事件做出响应；

——对使用复制伪造信息的重放攻击事件做出响应；

——在检测出伪造或非授权操作事件时应终止违例进程并取消服务；

——对各项审计事件产生、保护审计数据，提供审计数据查阅功能。

c)备份与故障恢复

应按GB/T20979-20076.3.3.2.4的要求，满足以下要求：

——对模板特征序列及审计数据进行信息备份；

——在虹膜识别产品运行中出现致使信息丢失的故障时，能依据备份信息进行信息恢复。

6.3.3.3数据安全测试与评价

a)特权用户身份识别

应按GB/T20979-20076.3.3.3.1的要求，对进入虹膜识别系统对该系统进行管理操作的特权

用户（如系统管理员）进行身份识别，并且：

——特权用户的身份识别应使用虹膜识别；

——特权用户对模板特征序列的操作应列为审计事件。

——特权用户全部操作均应列为审计事件。

b)访问控制

应对以下访问控制功能进行检测：

——虹膜图像采集进程、虹膜图像处理进程、模板特征序列生成进程、样本特征序列生成进

程、特征序列比对进程应自动进行，不应有人工干预；

18

——确定特权用户对模板特征序列的存储管理权限；

——虹膜识别产品应具有虹膜图像及图像处理过程的输出图像的自动删除功能；

——虹膜识别产品应具有样本特征序列以及比对用模板特征序列的自动删除功能；

——虹膜识别产品应具有用户识别结果的自动传输、自动显示与自动删除功能。

并应按照GB/T20979-2007附录C表C.2所表示的主、客体对应关系及操作规则，通过对

主、客体设置敏感标记，实现对虹膜识别数据和虹膜特