1 范围
本文件规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身
份识别技术要求以及安全要求。
本文件适用于互联网金融服务中与个人身份识别相关的服务与活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 27912—2011 金融服务 生物特征识别 安全框架
GB/T 35273—2020 信息安全技术 个人信息安全规范
GB/T 37036.1—2018 信息技术 移动设备生物特征识别 第1部分:通用要求
GB/T 40660 信息安全技术 生物特征识别信息保护基本要求
GM/T 0028—2014 密码模块安全技术要求
3 术语和定义
下列术语和定义适用于本文件。
3.1
互联网金融 internet finance
利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。
3.2
凭 据 credential
凭证
用来鉴别个人身份的数据。
注1:本文件中,凭据在个人身份核验(3.4)阶段生成。
注2:
在互联网金融领域,典型凭据如数字证书、静态口令、动态口令、生物特征识别信息等。
[来源:ISO12812-1:2017,3.10, 有修改]
3.3
个人身份识别 personal identification
在指定级别的可信度下确定个人声称的身份的过程。
注:个人身份识别通常包括个人身份核验(3.4)和个人身份鉴别(3.5)两个过程。
3.4
个人身份核验 personal identity proofing
个人初始身份鉴别
GB/T 42930—2023
收集个人提交的身份信息,并验证与该个人真实身份是否相符的过程。
注:本文件的个人身份核验主要对应个人开通账户过程的身份识别,身份核验后生成相关凭据。
3.5
个人身份鉴别 personal identity authentication
根据凭据(3.2)确认个人身份的过程。
示例: 通过校验一个口令确认个人身份或基于生物特征识别确认个人身份等。
注:本文件的身份鉴别对应个人开通账户之后,开展互联网金融业务过程中基于凭据的个人身份识别。
[来源:GB/T 5271.8—2001,08.04.12,有修改]
3.6
预设问题回答 preset question and answer
由个人预先设置问题及答案,或由认证服务方根据个人信息、历史行为等要素产生问题而由个人设
置答案;在个人身份鉴别时,向个人展示问题,个人提交答案后由认证服务方验证答案是否匹配的个人
身份鉴别(3.5)方式。
3.7
静态口令 static password
由个人设置,除非个人主动修改,否则不会发生变化的特定字符串。
注:静态口令通常由个人预先设定并存储在认证系统中。
3.8
动态口令 one-time password
基于时间、事件等因素动态生成的一次性口令。
示例:动态数字口令、动态二维码。
3.9
动态口令令牌 one-time password token
用来生成动态口令的软硬件。
注:动态口令令牌可能是一个专门的硬件设备,也可能是在某个通用设备(例如手机)上的一个模块或程序。
3.10
无硬介质证书 certificate without hardware carrier
存放在非专门硬件介质的数字证书。
注: 一般说来,无硬介质证书不具备对存储区域的访问控制物理隔离能力。
3.11
有硬介质证书 certificate stored in hardware
carrier
存储在硬件介质中的数字证书。
注:
一般有硬介质证书具备对存储区域的访问控制物理隔离能力。硬件介质体不同,访问控制的方式和程度不同。
3.12
生物特征识别 biometrics
基于个体的生物学特性和行为特性对该个体的自动识别。
注:个体限指自然人。
[来源:GB/T 5271.37—2021,3.1.3,有修改]
3.13
可 信 环 境 trusted environment
设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性、完整性和可用性等,如可信执
行环境(TEE)、 安全元件(SE)、 可信密码模块(TCM)
或其他具备安全边界的保护区域。
GB/T 42930—2023
[来源:GB/T 36651—2018,3.1,有修改]
3.14
生物特征样本 biometric sample
经过采集和处理得到的初始(原始)生物特征数据。
[来源:GB/T 27912—2011,4.10]
3.15
生物特征识别信息 biometric information
对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然
人身份的个人信息。
注
1 :生物特征识别信息包括个人面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廓、眼纹等。
注 2 :
生物特征识别信息包括生物特征识别原始信息以及生物特征识别比对信息。
[来源:GB/T 40660—2021,3.3]
4 缩略语
下列缩略语适用于本文件。
DNS: 域名系统(Domain Name System)
GSM: 全球移动通信系统(Global System for Mobile Communications)
HTTP: 超文本传输协议(Hypertext Transfer Protocol)
LEI:全球法人识别编码(Legal Entity Identifier)
OTP: 动态口令(One Time Password)
PIN:个人识别码(Personal Identification Number)
SIM: 用户身份模块(Subscriber Identity Module)
TLS: 传输层安全协议(Transport Layer Security)
VPN: 虚拟专用网(Virtual Private Network)
5 个人身份识别技术框架
5.1 框架与各组成部分的作用
互联网金融服务个人身份识别技术框架见图1。互联网金融服务典型场景个人身份识别技术应用
建议见附录 A。
GB/T 42930—2023
注:本图为逻辑框架图,具体实现时可组合统一实现或者委托专业机构实现其中的部分功能,虚框表示相关模块的
要求不属于本文件的范畴。
图 1 互联网金融服务个人身份识别技术框架
互联网金融服务个人身份识别技术框架中各组成部分的主要作用如下:
a) 个人是发起互联网金融服务的主体,同时也是个人身份识别的对象;
b) 金融服务系统为个人提供金融业务,并调用金融身份识别子系统的服务;
c)
金融身份识别子系统向金融服务系统提供个人身份识别结果,包括身份核验模块、凭据管理模
块、身份鉴别模块等;
d)
金融风险防控子系统可在个人身份核验及个人身份鉴别过程中提供相关金融风险防控服务。
5.2 个人身份识别实现的主要功能
互联网金融服务领域中个人身份识别应实现的功能如下:
a)
身份核验,即金融服务系统应收集并验证个人的身份信息资料,确认个人身份,必要时可借助
于身份信息核验源实现;
b)
凭据管理,即完成个人身份核验后,金融身份识别子系统应根据个人选择的认证方式生成凭
据,凭据可由个人或金融身份识别子系统进行安全存储;
c)
身份鉴别,即金融身份识别子系统根据个人凭据来确认个人身份,完成个人的身份鉴别,应结
合金融风险防控实现。
互联网金融个人身份识别典型业务流程见附录 B。
6 个人身份识别凭据技术要求
6.1 概述
按照凭据不同,应用于互联网金融服务中的个人身份识别凭据技术类别如下:
a) 记忆凭据类,包括静态口令、预设问题回答;
b) OTP 令 牌 ;
c) 数字证书,包括无硬介质证书和有硬介质证书;
d) 生物特征识别技术;
GB/T 42930—2023
e) 手机号认证。
6.2 记忆凭据类
6.2.1 静态口令
6.2.1.1 生成要求
静态口令的生成包括但不限于下列方面:
a) 长度应不少于6个字符,宜8个字符以上;
b)
对于非设备绑定个人标识的,静态口令除数字外还应至少包括大小写字母或特殊字符;
c)
对于手势密码等其他静态口令,应满足一定复杂度要求(例如最少连接点数要求);
d)
认证系统应对个人输入口令的强度进行分析,给出口令强度的反馈;对于低强度的口令能警示
个人更换为符合最低强度要求的口令;
e)
如个人标识已经同设备绑定,或结合其他凭据,或受输入设备限制,可采用6个字符的纯数字
口令。
6.2.1.2 使用要求
静态口令的使用要求如下:
a)
通过受理终端或支付客户端应用程序输入静态口令时ÿ