虹膜是瞳孔和鞏膜之間的環(huán)狀組織，是人眼的可見部分。作為人體生物特征識別的虹膜識別，與其他生物特征識別和非生物特征識別一樣，具有鑒別用戶身份真實性的功能。

本標準用以指導設計者如何設計和實現(xiàn)具有所要求級別的虹膜識別系統(tǒng)，說明不同級別的虹膜識別系統(tǒng)的不同技術要求。

虹膜識別系統(tǒng)技術應用標準

虹膜是瞳孔和鞏膜之間的環(huán)狀組織，是人眼的可見部分。作為人體生物特征識別的虹膜識別，與其他生物特征識別和非生物特征識別一樣，具有鑒別用戶身份真實性的功能。在信息系統(tǒng)中，早期的用戶身份鑒別大多使用以口令為基礎的身份鑒別。隨著信息安全攻防技術的發(fā)展，口令鑒別由于其安全強度低，以及使用、記憶等方面所存在的問題，已經(jīng)不能適應安全技術發(fā)展的需要，指紋、虹膜等生物特征識別技術受到青睞。虹膜特征識別技術由于其高效、準確、難以偽造等特性受到關注。為了對虹膜識別技術進行規(guī)范，推動我國具有自主知識產(chǎn)權的虹膜識別技術的發(fā)展，為信息系統(tǒng)安全保護及社會保安提供有效、實用的人體身份鑒別功能，有必要制定虹膜識別系統(tǒng)的安全標準。

虹膜識別系統(tǒng)包含以下功能模塊：虹膜圖像采集、虹膜圖像處理、用戶登記處理、用戶識別處理、數(shù)據(jù)存儲傳輸管理(詳見附錄A.1)。這些模塊用以實現(xiàn)兩種基本功能：用戶登記和用戶識別。進行用戶登記時，由圖像采集模塊采集用戶虹膜圖像，經(jīng)圖像處理模塊處理，由用戶登記處理模塊生成用戶登記信息并存入數(shù)據(jù)庫;用戶識別時，則生成用戶識別信息，并將識別信息與登記信息進行比對，得出識別結果。其中，用戶登記是一次性過程，一個用戶只登記一次。用戶登記信息應具有一致的形式，以加強安全管理并節(jié)省資源。附錄A.2對虹膜識別處理流程進行了描述。所采集的虹膜圖像的幅數(shù)隨著安全等級的升高而增加，以提高虹膜識別的可靠性，減小出現(xiàn)錯誤拒絕和錯誤接受情況的可能性。

虹膜識別系統(tǒng)由軟件系統(tǒng)和硬件系統(tǒng)組成。軟件系統(tǒng)即虹膜信息處理系統(tǒng)，用以實現(xiàn)虹膜圖像處理、用戶登記、用戶識別、虹膜圖像存儲管理、虹膜特征存儲管理等功能;硬件系統(tǒng)包括虹膜圖像采集系統(tǒng)以及支持虹膜信息處理軟件系統(tǒng)運行的硬件環(huán)境。上述軟硬件系統(tǒng)構成一個完整的信息處理系統(tǒng)，實現(xiàn)虹膜識別功能。虹膜識別系統(tǒng)的外部接口為：輸入信息是虹膜圖像;輸出信息則是識別結果。能夠?qū)缒ぷR別系統(tǒng)的運行進行操作和干預的是系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員等特權用戶。這些特權用戶必須經(jīng)過確認授權以后，才能實施所規(guī)定的操作。

虹膜識別系統(tǒng)可以看成是一個由各個軟硬件模塊組成的專用的計算機應用系統(tǒng)。本標準將重點描述作為專用系統(tǒng)所提供的虹膜識別功能和性能要求，以及作為計算機應用系統(tǒng)的虹膜識別系統(tǒng)的軟硬件系統(tǒng)的自身安全要求，也會對支持其運行的環(huán)境安全提出必要的要求。根據(jù)應用環(huán)境的不同，虹膜識別系統(tǒng)可以有獨立運行和聯(lián)機運行兩種模式。

獨立運行模式：將組成虹膜識別系統(tǒng)的虹膜識別機制全部封裝在一個專用的機艙中，構成一個獨立的系統(tǒng)，其應用領域是社會公共安全防范(如門禁)。這時的輸入信息是所采集的虹膜圖像，輸出信息是控制傳感系統(tǒng)的控制信號。

聯(lián)機運行模式：將組成虹膜識別系統(tǒng)的虹膜識別機制嵌入載信息系統(tǒng)中，在組成信息系統(tǒng)的計算機系統(tǒng)合網(wǎng)絡系統(tǒng)的支持下，構成一個實現(xiàn)虹膜識別的子系統(tǒng)，并通過標準的接口為信息系統(tǒng)的用戶身份鑒別提供支持。這時，虹膜識別系統(tǒng)的外部接口為：輸入信息是虹膜圖像，輸出信息則是為信息系統(tǒng)的用戶身份鑒別功能提供支持的虹膜特征識別結果。

實際上，上述虹膜識別系統(tǒng)的不同運行模式，完全是根據(jù)應用需要確定的。從虹膜識別系統(tǒng)的組成與原理的角度看，并沒有本質(zhì)上的區(qū)別。因此，本標準的編寫沒有對不同運行模式的情況加以區(qū)分。為了滿足不同情況對虹膜身份識別的不同要求，本標準從分三個級別對虹膜識別系統(tǒng)的功能、性能要求以及相應的自身安全要求分別進行了描述，并通過對信息安全等級保護相關標準的引用，明確了其自身安全的級別與等級保護級別的相應關系(基本對應關系為：虹膜識別系統(tǒng)的1、2、3級分別對應于信息安全等級保護的2、3、4級)。根據(jù)當前虹膜識別技術和信息安全技術的具體情況，并考慮到以后的發(fā)展，虹膜識別系統(tǒng)第3級的要求確定為當前的最高要求。需要指出的是，由于不同運行模式的環(huán)境不同，其所涉及的自身安全要求也會有所不同。比如，獨立運行模式，不涉及信息的網(wǎng)上傳輸，因而不涉及網(wǎng)上信息傳輸?shù)陌踩珕栴}。總之，虹膜識別系統(tǒng)的自身安全要求是與虹膜識別系統(tǒng)所實現(xiàn)的功能密切相關的。所以，在理解和使用本標準時，應從實際出發(fā)，根據(jù)不同的運行模式確定不同的自身安全要求。另外，虹膜識別系統(tǒng)要求其支撐環(huán)境(包括網(wǎng)絡、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等)具有相應的安全保護等級。