Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
CAN CSA ISO/IEC TR 24717-12:2026《信息技术 安全技术 基于生物特征的实体认证保证框架》技术解析
全面解读加拿大采纳之国际技术报告,为生物特征实体认证系统提供分级保证与评估框架
标准概况与适用范围
CAN CSA ISO/IEC TR 24717-12:2026 是加拿大标准协会 (CSA) 采纳并发布的国际技术报告,其技术内容与原 ISO/IEC TR 24717:2010 (及后续修订) 保持一致。该文件属于信息技术安全技术领域,全称为《信息技术 — 安全技术 — 基于生物特征的实体认证保证框架》(Information technology — Security techniques — Framework for biometric-based entity authentication assurance)。
本技术报告的主要目的是为基于生物特征的实体认证系统提供一套结构化的保证框架,定义了认证保证级别 (Authentication Assurance Levels, AAL) 的概念、分级要素以及评估指南。值得注意的是,该文件是一份技术报告 (TR),而非国际标准,因此它不具有强制性要求,而是提供最佳实践与推荐指导,供标准化组织、认证实施者、评估机构以及监管方参考使用。
标准的适用范围涵盖以下场景:
- 基于生物特征(如指纹、人脸、虹膜、声纹等)的实体身份认证系统设计、部署与评估;
- 需要不同安全级别的认证保证场合(如网上银行、物理门禁、移动设备解锁、电子政务等);
- 跨系统、跨组织的生物特征认证互操作性与可信度评价。
技术要点: 本框架并不规定具体的生物特征模态或算法,而是建立等级化保证模型,使评估方能够根据认证场景的风险和需求选择适当的保证级别,并据此设计相应的技术和管理措施。
主要技术内容与要求
保证级别定义
CAN CSA ISO/IEC TR 24717-12 定义了四个实体认证保证级别 (AAL1–AAL4),级别越高,对认证过程的攻击抵抗能力与信任度要求越严格。分级依据包括:
- 认证因子强度: 生物特征采集质量、活体检测措施、特征模板保护强度;
- 认证机制鲁棒性: 匹配算法的准确率、对演示攻击 (Presentation Attack) 的防御能力;
- 环境与操作安全: 传感器安全、数据传输加密、存储安全、密钥管理;
- 审计与追溯: 认证事件记录、异常检测与响应能力。
关键性能指标参考
虽然技术报告并未强制设定具体数值,但推荐了典型场景下的性能阈值,下表归纳了常用生物特征模态在认证保证级别中应达到的参考指标:
| 认证保证级别 | 典型应用场景 | 最大假接受率 (FAR) | 最大假拒绝率 (FRR) | 演示攻击可接受风险 |
|---|---|---|---|---|
| AAL1 | 低风险解锁(个人设备) | ≤1% | ≤5% | 无强制要求 |
| AAL2 | 中等风险(员工门禁、在线账户) | ≤0.1% | ≤2% | 基本活体检测 |
| AAL3 | 高风险(金融交易、关键基础设施) | ≤0.01% | ≤1% | 多模态或强活体检测 |
| AAL4 | 极高风险(国家安全、法定鉴定) | ≤0.001% | ≤0.5% | 多层级抗欺骗机制 |
重要提示: FAR 和 FRR 是一对相互制约的指标,在实际系统中需根据业务容忍度进行平衡。标准强调不可机械追求单一指标,而忽视整体安全性与可用性。此外,演示攻击风险评估应符合 ISO/IEC 30107 系列标准。
框架与过程
标准构建了完整的认证保证评估过程,包括:
- 环境分析: 识别认证场景中的威胁、脆弱点及潜在影响;
- 保证级别选择: 基于风险评估结果选择合适的 AAL;
- 控制措施映射: 将 AAL 要求映射到生物特征系统的各个组件(采集、传输、存储、比对、决策);
- 符合性验证: 采用测试与评估方法(如 ISO/IEC 19795 系列)确认性能指标满足相应级别。
实施益处: 采用本技术报告的分级框架,组织可以:1) 避免过度投入,对低风险场景采用适度保障;2) 为跨系统互信提供统一的保证语言;3) 提升终端用户对生物特征认证的安全信心。
实施与应用要点
系统集成考虑
在实际部署基于生物特征的认证系统时,需结合 CAN CSA ISO/IEC TR 24717-12 框架进行全局设计。关键实施要点包括:
- 全生命周期安全: 从生物特征样本的采集、传输、存储到比对结果,均需考虑隐私与安全保护,建议参考 ISO/IEC 24745《生物特征信息保护》;
- 演示攻击防御: 对 AAL2 及以上级别,必须集成活体检测或反欺骗机制,其评估需依据 ISO/IEC 30107 系列;
- 性能持续监测: 系统上线后需在代表性环境中定期进行性能评估,确保 FAR/FRR 始终维持在目标级别内;
- 用户告知与同意: 符合全球隐私法规(如 GDPR、PIPEDA),征得用户同意并明确告知生物特征数据的使用与保留政策。
测试与符合性评价
本技术报告推荐使用 ISO/IEC 19795-1/2 中定义的测试方法对系统的性能指标进行独立评估。此外,针对不同模态(如指纹、人脸)还可采用相应的行业测试框架(如 NIST 的 MINEX、FRVT)。符合性评价时应明确声明所达到的 AAL 等级及其依据。
安全关键要求: 生物特征数据一旦泄露不可重置,因此 CAN CSA ISO/IEC TR 24717-12 强烈建议:在 AAL3 及以上级别中,禁止明文存储生物特征模板,必须使用可撤销或不可逆变换 (如模糊金库、可撤销生物特征) 以及加密保护。违反此原则可能导致整个认证体系的基础信任崩塌。
与其他标准的关系
本技术报告并非孤立存在,它与多项 ISO/IEC 及 CSA 标准紧密关联:
- ISO/IEC 24745:2022 — 提供生物特征信息保护的基本框架,本报告中的安全措施要求直接引用该标准的术语与原则;
- ISO/IEC 19795-1/2 — 定义了生物特征性能测试的方法学,是验证 AAL 指标达标的必备工具;
- ISO/IEC 30107-1/3 — 提供演示攻击检测 (PAD) 的框架与测试方法,对应本报告中对活体检测的要求;
- ISO/IEC 29146 — 阐述了与认证生命周期管理相关的框架,扩展了本报告中关于账户管理与凭证绑定的内容;
- CAN/CSA-ISO/IEC 27001 — 作为信息安全管理体系标准,可与本报告结合构建从管理到技术的全方位安全认证体系。
通过将上述标准与本技术报告一起使用,组织能够建立起既符合国际共识又兼具本地适用性的生物特征实体认证保障体系。
问:CAN CSA ISO/IEC TR 24717-12 是强制性标准吗?
答: 不,它是一份技术报告 (Technical Report),因此不具有强制性。其目的是提供指导与最佳实践,帮助组织根据自身风险选择合适的生物特征认证保障级别。但加拿大政府或特定行业(如金融服务)可能在其法规或合同中将该报告引用为符合性要求,从而产生约束力。
答: 不,它是一份技术报告 (Technical Report),因此不具有强制性。其目的是提供指导与最佳实践,帮助组织根据自身风险选择合适的生物特征认证保障级别。但加拿大政府或特定行业(如金融服务)可能在其法规或合同中将该报告引用为符合性要求,从而产生约束力。
问:如何确定我的系统应该选用 AAL1 还是 AAL3?
答: 需要进行正式的风险评估。考虑认证失败可能造成的后果(经济损失、隐私影响、声誉损害等)以及攻击者实施欺骗的难度。CAN CSA ISO/IEC TR 24717-12 提供了风险矩阵示例,指导您根据“攻击潜力”与“影响程度”进行等级选择。通常,公开的个人设备解锁可选用 AAL1,远程金融交易建议至少 AAL2,而高价值资产控制则需要 AAL3 或 AAL4。
答: 需要进行正式的风险评估。考虑认证失败可能造成的后果(经济损失、隐私影响、声誉损害等)以及攻击者实施欺骗的难度。CAN CSA ISO/IEC TR 24717-12 提供了风险矩阵示例,指导您根据“攻击潜力”与“影响程度”进行等级选择。通常,公开的个人设备解锁可选用 AAL1,远程金融交易建议至少 AAL2,而高价值资产控制则需要 AAL3 或 AAL4。
问:该技术报告与 Canada 的隐私法律(如 PIPEDA)有何关系?
答: 该报告本身不直接规定隐私法律要求,但其强调的生物特征数据保护措施(最小化、加密、访问控制、透明度)与 PIPEDA 的公平信息原则高度一致。遵循本框架有助于组织证明其在生物特征认证方面采取了合理的保护措施,从而满足合规要求。建议同时参考加拿大隐私专员办公室 (OPC) 发布的生物特征指导文件。
答: 该报告本身不直接规定隐私法律要求,但其强调的生物特征数据保护措施(最小化、加密、访问控制、透明度)与 PIPEDA 的公平信息原则高度一致。遵循本框架有助于组织证明其在生物特征认证方面采取了合理的保护措施,从而满足合规要求。建议同时参考加拿大隐私专员办公室 (OPC) 发布的生物特征指导文件。
