ICS 03.060 CCS A 11 中华人民共和国国家标准 GB/T42930—2023 互联网金融 个人身份识别技术要求 Internet finance-Technical requirements for personal identification 2023-12-01实施 2023-08-06发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42930—2023 目 次 前言 引言 1 范围 规范性引用文件 3术语和定义 缩略语 4 5个人身份识别技术框架 5.1框架与各组成部分的作用 5.2 个人身份识别实现的主要功能 6个人身份识别凭据技术要求 6.1 概述 6.2 记忆凭据类 6.3 OTP令牌 6.4 数字证书 6.5 生物特征识别 6.6 手机号认证 7个人身份识别技术要求 7.1 一般要求 7.2结合金融风险防控的个人身份识别 10 7.3个人身份识别因子 10 7.4持续个人身份鉴别· 8个人身份识别安全要求 附录A(资料性)典型场景个人身份识别技术应用建议 14 附录B(资料性) 典型业务流程 B.1 典型的通用流程 16 B.2个人身份核验 16 B.3 凭据生成 17 B.4 个人身份鉴别 18 参考文献 20 GB/T42930—2023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国金融标准化技术委员会(SAC/TC180)归口。 本文件起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国建设银行股份有限 公司、中国银联股份有限公司、北京旷视科技有限公司、北京同盾科技有限公司、中国农业银行股份有限 公司、上海淇毓信息科技有限公司、证通股份有限公司、京东科技控股股份有限公司、人保金融服务有限 公司、西安银行股份有限公司、拉卡拉支付股份有限公司、海通证券股份有限公司、安信证券股份有限公 司、中互金数据科技有限公司。 本文件主要起草人:陆书春、朱勇、王新华、金磐石、刘燕青、彭晋、林冠辰、李武璐、王琪、梅敬青、 郭振华、赵峰、马丹、国枫、刘涛、陈沛瑶、吴冉青、周超、许蓉、秘建宁、王健、高艳平、高飞荣、郭跃、 段苏隆、李健。 GB/T42930—2023 引 随着互联网金融服务的快速发展,金融服务中对个人身份识别的需求也快速增长。在互联网环境 下满足相关管理机构对于金融行业的严格实名认证要求,是互联网金融从业各方呕须解决的问题之一 一 实施本文件,有助于在互联网金融服务中实现个人信息保护、信息安全、数据安全和交易便捷之间 的良好平衡,助力有关机构实现个人身份识别可信度互认,促进以互联网为渠道的金融业服务的有效发 展,推动互联网金融有序发展。 IV GB/T42930—2023 互联网金融个人身份识别技术要求 1范围 本文件规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身 份识别技术要求以及安全要求, 本文件适用于互联网金融服务中与个人身份识别相关的服务与活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T27912—2011金融服务生物特征识别安全框架 GB/T35273一2020信息安全技术个人信息安全规范 GB/T37036.1一2018信息技术移动设备生物特征识别第1部分:通用要求 GB/T40660信息安全技术生物特征识别信息保护基本要求 GM/T0028—2014密码模块安全技术要求 3术语和定义 下列术语和定义适用于本文件。 3.1 互联网金融internetfinance 利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。 3.2 凭据 credential 凭证 用来鉴别个人身份的数据。 注1:本文件中,凭据在个人身份核验(3.4)阶段生成。 注2:在互联网金融领域,典型凭据如数字证书、静态口令、动态口令、生物特征识别信息等。 [来源:ISO12812-1:2017,3.10,有修改] 3.3 个人身份识别 Jpersonal identification 在指定级别的可信度下确定个人声称的身份的过程。 3.4 个人身份核验 personal identity proofing 个人初始身份鉴别 1 GB/T42930—2023 收集个人提交的身份信息,并验证与该个人真实身份是否相符的过程。 注:本文件的个人身份核验主要对应个人开通账户过程的身份识别,身份核验后生成相关凭据。 3.5 个人身份鉴别 personal identity authentication 根据凭据(3.2)确认个人身份的过程。 示例:通过校验一个口令确认个人身份或基于生物特征识别确认个人身份等。 注:本文件的身份鉴别对应个人开通账户之后,开展互联网金融业务过程中基于凭据的个人身份识别。 [来源:GB/T5271.82001,08.04.12,有修改] 3.6 预设问题回答 preset question and answer 由个人预先设置问题及答案,或由认证服务方根据个人信息、历史行为等要素产生问题而由个人设 置答案;在个人身份鉴别时,向个人展示问题,个人提交答案后由认证服务方验证答案是否匹配的个人 身份鉴别(3.5)方式。 3.7 静态口令staticpassword 由个人设置,除非个人主动修改,否则不会发生变化的特定字符串。 注:静态口令通常由个人预先设定并存储在认证系统中。 3.8 动态口令 one-timepassword 基于时间、事件等因素动态生成的一次性口令。 示例:动态数字口令、动态二维码。 3.9 动态口令令牌 one-time password token 用来生成动态口令的软硬件。 注:动态口令令牌可能是一个专门的硬件设备,也可能是在某个通用设备(例如手机)上的一个模块或程序。 3.10 无硬介质证书 certificate without hardware carrier 存放在非专门硬件介质的数字证书 注:一般说来,无硬介质证书不具备对存储区域的访问控制物理隔离能力。 3.11 有硬介质证书 certificatestored in hardware carrier 存储在硬件介质中的数字证书。 注:一般有硬介质证书具备对存储区域的访问控制物理隔离能力。硬件介质体不同,访问控制的方式和程度不同。 3.12 生物特征识别biometrics 基于个体的生物学特性和行为特性对该个体的自动识别。 注:个体限指自然人。 [来源:GB/T5271.37—2021,3.1.3,有修改] 3.13 可信环境 trusted environment 设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性、完整性和可用性等,如可信执 行环境(TEE)、安全元件(SE)、可信密码模块(TCM)或其他具备安全边界的保护区域。 2 GB/T42930—2023 [来源:GB/T36651—2018,3.1,有修改] 3.14 生物特征样本 biometric sample 经过采集和处理得到的初始(原始)生物特征数据。 [来源:GB/T27912—2011,4.10] 3.15 生物特征识别信息 biometric information 对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然 人身份的个人信息。 注1:生物特征识别信息包括个人面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廓、眼纹等 注2:生物特征识别信息包括生物特征识别原始信息以及生物特征识别比对信息 [来源:GB/T40660—2021,3.3] 4 缩略语 下列缩略语适用于本文件。 DNS:域名系统(DomainNameSystem) GSM:全球移动通信系统(GlobalSystemforMobileCommunications) HTTP:超文本传输协议(HypertextTransferProtocol) LEI:全球法人识别编码(LegalEntityIdentifier) OTP:动态口令(OneTimePassword) PIN:个人识别码(PersonalIdentificationNumber) SIM:用户身份模块(SubscriberIdentityModule) TLS:传输层安全协议(TransportLayerSecurity) VPN:虚拟专用网(VirtualPrivateNetwork) 个人身份识别技术框架 5 5.1框架与各组成部分的作用 互联网金融服务个人身份识别技术框架见图1。互联网金融服务典型场景个人身份识别技术应用 建议见附录A。 3
GB-T 42930-2023 互联网金融 个人身份识别技术要求
文档预览
中文文档
24 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共24页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-09-10 13:10:44上传分享