GB/T 27912-2011金融服務生物特征識別安全框架

ICS033603524040

;

A11...

中華人民共和國國家標準

GB/T27912—2011

金融服務生物特征識別

安全框架

Financialservices—Biometrics—

Securityframework

(ISO19092-1:2006,MOD)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T27912—2011

目次

前言…………………………

Ⅰ

引言…………………………

Ⅲ

范圍………………………

11

符合性……………………

21

規(guī)范性引用文件…………………………

31

術語和定義………………

42

縮略語……………………

57

生物特征識別技術概述…………………

67

技術方面的考慮…………………………

710

生物特征識別結構的基本原理…………

814

管理和安全要求…………………………

918

安全基礎設施…………………………

1022

生物特征身份確認的控制目標………………………

1124

附錄資料性附錄事件日志…………

A()47

附錄規(guī)范性附錄生物特征登記……………………

B()50

附錄規(guī)范性附錄安全考慮…………

C()51

附錄規(guī)范性附錄生物特征識別設備的安全要求…………………

D()61

附錄資料性附錄現(xiàn)有的應用………………………

E()63

參考文獻……………………

65

GB/T27912—2011

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準修改采用金融服務生物特征識別第部分安全框架英文版

ISO19092-1:2006《1:》()。

本標準與的技術性差異如下

ISO19092-1:2006:

刪除全文中涉及的內(nèi)容因提案已被中止且刪除這些內(nèi)容并

a)ISO19092-2(ISO19092-2ISO,

不影響標準的完整性

);

刪除原標準中的因為本節(jié)中的密鑰名稱全部來自于已經(jīng)終止的

b)10.1.2,ISO19092-2;

原標準數(shù)字簽名中哈希算法應滿足相關標準或者等同的國家標準的

c)10.1.2(10.1.3)“ISO()

具體要求改為哈希算法應滿足相關國家標準的具體要求

”“”;

刪除原標準數(shù)字簽名中的列項應通過明文文本數(shù)據(jù)進行哈希運算文本由

d)10.1.2(10.1.3)“,

一個或多個和類型的值組成除了類型和

BiometricHeaderBiometricData,BiometricHeader

值之外還應包括一個類型的值

BiometricData,IntegrityBlock”;

和原標準和中的密鑰管理技術如表所示應按照相關

e)10.1.210.1.3(10.1.310.1.4)“,1,

標準或者等同的國家標準的具體規(guī)定執(zhí)行例如或者

ISO、ISO/IEC(),ISO11568,ISO/

改為密鑰管理技術應按相關國家標準的具體規(guī)定執(zhí)行

IEC11770”“”;

刪除原標準中的表其后表格的編號都減去

f)1(1);

基于數(shù)據(jù)機密性目的的加密中加密算法應按相關的標準或者等同國家標準的

g)10.1.3“ISO()

具體規(guī)定執(zhí)行改為加密算法應按相關的國家標準的具體規(guī)定執(zhí)行

”“”;

中表原標準中表的項密鑰產(chǎn)生使用密鑰產(chǎn)生算法具體如標準或

h)11.3.112(13)147:“,ISO(

者等同的國家標準修改為密鑰產(chǎn)生使用密鑰產(chǎn)生算法具體見相關的國家標準

)”“,”;

附錄的列項中的參考模板描述例如生物特征修改為參考模板描述例

i)A.3.4d)“(,OID)”“(

如生物特征目標標識符

,)”;

刪除的附錄因為該處描述的個體身份識別標準不適合我國國情

j)ISO19092-1:2006B.2,。

本標準還做了下列編輯性修改

:

將原文中的本國際標準的本部分本部分修改為本標準

———“”、“ISO19092”、“ISO19092”、“”“”;

刪除國際標準的前言

———;

為全文統(tǒng)一起見將等錯誤率的定義中的交叉率改稱交叉錯誤率

———,4.21“(crossoverrate)”“

(crossovererrorrate)”;

的列項中提到的再登記的要求使用原始的憑證材料而并非已經(jīng)存在的生物特征

———9.3.3a):“,

模板該方式可提供足夠的保證水平這依賴于已存在的生物特征模板和技術的可靠性和可

。,

用性修改為使用原始的憑證材料而并非已經(jīng)存在的生物特征模板該方式可提供足夠的

”“,。

保證水平這依賴于原始的憑證材料的可靠性和可用性勘誤

,”();

的表集成電路卡生命周期控制中的項除非處于激活狀態(tài)或者再

———11.4.522(ICC)300“CDF

激活狀態(tài)時否則不能用于金融交易修改為除非處于激活狀態(tài)或者再激活狀態(tài)時

,IC”“CDF,

否則不能用于金融交易勘誤

ICC”();

中的對單因子生物特征識別系統(tǒng)使用簡單概率模型在個用戶中不出現(xiàn)系統(tǒng)錯

———C.8“[20],N

誤匹配的概率為修改為對單因子生物特征識別系統(tǒng)使用簡單概率模型在個用

Pr”“[20],N

戶中出現(xiàn)系統(tǒng)錯誤匹配的概率為勘誤

Pr”()。

Ⅰ

GB/T27912—2011

本標準由中國人民銀行提出

。

本標準由全國金融標準化技術委員會歸口

(SAC/TC180)。

本標準負責起草單位中國金融電子化公司

:。

本標準參加起草單位中國農(nóng)業(yè)銀行中信銀行上海銀晨智能識別科技有限公司北京中科虹霸科

:、、、

技有限公司北京握奇數(shù)據(jù)系統(tǒng)有限公司杭州中正生物認證技術有限公司中國人民銀行興化市中心

、、、

支行中國人民銀行太原市中心支行中國人民銀行石家莊市中心支行

、、。

本標準主要起草人王平娃陸書春李曙光劉運趙征林松曾文斌邱顯超余偉華汪雪林

:、、、、、、、、、、

梁敏呂瑛仲志輝張龍龍李軍

、、、、。

Ⅱ

GB/T27912—2011

引言

隨著計算機技術的引入商業(yè)模式已經(jīng)發(fā)生重大變化電子交易替代從前的紙質(zhì)交易降低了成

,。,

本提高了效率這些交易處于一個開放的網(wǎng)絡環(huán)境中存在數(shù)據(jù)被破壞的風險金融業(yè)需求采取相應

,。,,

的措施應對這些風險

。

生物特征識別即你是誰或者能做什么的識別方式已經(jīng)出現(xiàn)若干年包括如指紋識別聲音識

,“”,,、

別眼睛掃描臉像識別等生物特征識別技術在可靠性不斷提高的同時成本逐步降低使其在金融業(yè)

、、。,,

的實施成為可能

。

本標準描述了使用生物特征識別技術作為鑒別機制保護金融業(yè)的遠程電子訪問或本地物理訪問

,

的機制和過程

。

生物特征識別技術可用作物理或邏輯訪問的人員身份鑒別邏輯訪問可包括對應用服務或者授

。、

權的訪問本標準可促進生物特征識別在金融業(yè)內(nèi)的應用并促進生物特征識別信息的管理成為商業(yè)

。,

機構信息安全管理的組成部分本標準通過使用生物特征識別技術提供強度更高的鑒別方式和多因

。,

子鑒別機制為公鑰基礎設施提供更強的鑒別機制另外本標準允許重復確認產(chǎn)生數(shù)字簽名的

,(PKI)。,

人實際上就是有權限訪問私鑰的人

。

生物特征識別系統(tǒng)的廣泛應用建立在一系列因素之上已有的生物特征識別技術在這些因素上表

,

現(xiàn)各異這些因素包括

,:

便利性和易用性

———;

外在的安全水平

———;

性能

———;

非侵犯性

———。

本標準所討論的鑒別機制限于封閉性用戶群體群體成員已同意使用生物特征識別技術進行身份

,

識別這些協(xié)議可為顯性的形式如服務協(xié)議或者隱性的形式如訪問某設施即表明具有執(zhí)行某交易

。(),(

的動機監(jiān)管不確定人員的系統(tǒng)不在本標準討論的范圍之內(nèi)

)。。

本標準闡述的技術用于維護生物特征信息的完整性和機密性及提供鑒別機制然而本標準并不

,。,

確保某項具體實現(xiàn)足夠安全金融機構有責任設置適當?shù)娜珮I(yè)務流程并進行必要的控制以確保業(yè)務

。,

流程安全運行此外為驗證與本標準的一致性控制措施應包括適當?shù)膶徲嫓y試

。,,。

Ⅲ

GB/T27912—2011

金融服務生物特征識別

安全框架

1范圍

本標準規(guī)定了金融業(yè)使用生物特征識別機制鑒別人員身份的安全框架介紹了生物特征識別技術

,

的類型闡述了有關應用問題本標準也描述了實現(xiàn)架構詳細規(guī)定了有效管理的最小安全要求也為

,。,,

專業(yè)人員提供了控制目標和使用建議

。

本標準包括

:

使用生物特征識別技術通過驗證其聲稱的身份或識別其個體身份對參與金融服務的人員和

———,,

雇員身份進行鑒別

;

根據(jù)風險管理的要求對用戶登記時提交的憑證進行確認以支持身份鑒別

———,,;

在整個生命周期內(nèi)包括登記傳輸存儲身份確認身份識別以及終止等過程對生物特征信

———,、、、、,

息進行管理

;

生物特征識別信息在其生命周期內(nèi)的安全性包括數(shù)據(jù)完整性源鑒別和機密性

———,、;

生物特征識別機制在邏輯和物理訪問控制中的應用

———;

保護金融機構及其客戶的監(jiān)控措施

———;

在整個生物特征識別信息生命周期中所使用的物理硬件的安全性

———。

本標準不包括

:

個體生物特征識別信息的隱私權和所有權

———;

有關數(shù)據(jù)采集信號處理與生物特征數(shù)據(jù)匹配以及生物特征匹配決策流程等方面的具體

———、、

技術

;

生物