ICS033603524040

;

A11...

中華人民共和國國家標準

GB/T27912—2011

金融服務生物特征識別

安全框架

Financialservices—Biometrics—

Securityframework

(ISO19092-1:2006,MOD)

2011-12-30發布2012-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T27912—2011

目次

前言…………………………

Ⅰ

引言…………………………

Ⅲ

范圍………………………

11

符合性……………………

21

規范性引用文件…………………………

31

術語和定義………………

42

縮略語……………………

57

生物特征識別技術概述…………………

67

技術方面的考慮…………………………

710

生物特征識別結構的基本原理…………

814

管理和安全要求…………………………

918

安全基礎設施…………………………

1022

生物特征身份確認的控制目標………………………

1124

附錄資料性附錄事件日志…………

A()47

附錄規范性附錄生物特征登記……………………

B()50

附錄規范性附錄安全考慮…………

C()51

附錄規范性附錄生物特征識別設備的安全要求…………………

D()61

附錄資料性附錄現有的應用………………………

E()63

參考文獻……………………

65

GB/T27912—2011

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準修改采用金融服務生物特征識別第部分安全框架英文版

ISO19092-1:2006《1:》()。

本標準與的技術性差異如下

ISO19092-1:2006:

刪除全文中涉及的內容因提案已被中止且刪除這些內容并

a)ISO19092-2(ISO19092-2ISO,

不影響標準的完整性

);

刪除原標準中的因為本節中的密鑰名稱全部來自于已經終止的

b)10.1.2,ISO19092-2;

原標準數字簽名中哈希算法應滿足相關標準或者等同的國家標準的

c)10.1.2(10.1.3)“ISO()

具體要求改為哈希算法應滿足相關國家標準的具體要求

”“”;

刪除原標準數字簽名中的列項應通過明文文本數據進行哈希運算文本由

d)10.1.2(10.1.3)“,

一個或多個和類型的值組成除了類型和

BiometricHeaderBiometricData,BiometricHeader

值之外還應包括一個類型的值

BiometricData,IntegrityBlock”;

和原標準和中的密鑰管理技術如表所示應按照相關

e)10.1.210.1.3(10.1.310.1.4)“,1,

標準或者等同的國家標準的具體規定執行例如或者

ISO、ISO/IEC(),ISO11568,ISO/

改為密鑰管理技術應按相關國家標準的具體規定執行

IEC11770”“”;

刪除原標準中的表其后表格的編號都減去

f)1(1);

基于數據機密性目的的加密中加密算法應按相關的標準或者等同國家標準的

g)10.1.3“ISO()

具體規定執行改為加密算法應按相關的國家標準的具體規定執行

”“”;

中表原標準中表的項密鑰產生使用密鑰產生算法具體如標準或

h)11.3.112(13)147:“,ISO(

者等同的國家標準修改為密鑰產生使用密鑰產生算法具體見相關的國家標準

)”“,”;

附錄的列項中的參考模板描述例如生物特征修改為參考模板描述例

i)A.3.4d)“(,OID)”“(

如生物特征目標標識符

,)”;

刪除的附錄因為該處描述的個體身份識別標準不適合我國國情

j)ISO19092-1:2006B.2,。

本標準還做了下列編輯性修改

:

將原文中的本國際標準的本部分本部分修改為本標準

———“”、“ISO19092”、“ISO19092”、“”“”;

刪除國際標準的前言

———;

為全文統一起見將等錯誤率的定義中的交叉率改稱交叉錯誤率

———,4.21“(crossoverrate)”“

(crossovererrorrate)”;

的列項中提到的再登記的要求使用原始的憑證材料而并非已經存在的生物特征

———9.3.3a):“,

模板該方式可提供足夠的保證水平這依賴于已存在的生物特征模板和技術的可靠性和可

。,

用性修改為使用原始的憑證材料而并非已經存在的生物特征模板該方式可提供足夠的

”“,。

保證水平這依賴于原始的憑證材料的可靠性和可用性勘誤

,”();

的表集成電路卡生命周期控制中的項除非處于激活狀態或者再

———11.4.522(ICC)300“CDF

激活狀態時否則不能用于金融交易修改為除非處于激活狀態或者再激活狀態時

,IC”“CDF,

否則不能用于金融交易勘誤

ICC”();

中的對單因子生物特征識別系統使用簡單概率模型在個用戶中不出現系統錯

———C.8“[20],N

誤匹配的概率為修改為對單因子生物特征識別系統使用簡單概率模型在個用

Pr”“[20],N

戶中出現系統錯誤匹配的概率為勘誤

Pr”()。

Ⅰ

GB/T27912—2011

本標準由中國人民銀行提出

。

本標準由全國金融標準化技術委員會歸口

(SAC/TC180)。

本標準負責起草單位中國金融電子化公司

:。

本標準參加起草單位中國農業銀行中信銀行上海銀晨智能識別科技有限公司北京中科虹霸科

:、、、

技有限公司北京握奇數據系統有限公司杭州中正生物認證技術有限公司中國人民銀行興化市中心

、、、

支行中國人民銀行太原市中心支行中國人民銀行石家莊市中心支行

、、。

本標準主要起草人王平娃陸書春李曙光劉運趙征林松曾文斌邱顯超余偉華汪雪林

:、、、、、、、、、、

梁敏呂瑛仲志輝張龍龍李軍

、、、、。

Ⅱ

GB/T27912—2011

引言

隨著計算機技術的引入商業模式已經發生重大變化電子交易替代從前的紙質交易降低了成

,。,

本提高了效率這些交易處于一個開放的網絡環境中存在數據被破壞的風險金融業需求采取相應

,。,,

的措施應對這些風險

。

生物特征識別即你是誰或者能做什么的識別方式已經出現若干年包括如指紋識別聲音識

,“”,,、

別眼睛掃描臉像識別等生物特征識別技術在可靠性不斷提高的同時成本逐步降低使其在金融業

、、。,,

的實施成為可能

。

本標準描述了使用生物特征識別技術作為鑒別機制保護金融業的遠程電子訪問或本地物理訪問

,

的機制和過程

。

生物特征識別技術可用作物理或邏輯訪問的人員身份鑒別邏輯訪問可包括對應用服務或者授

。、

權的訪問本標準可促進生物特征識別在金融業內的應用并促進生物特征識別信息的管理成為商業

。,

機構信息安全管理的組成部分本標準通過使用生物特征識別技術提供強度更高的鑒別方式和多因

。,

子鑒別機制為公鑰基礎設施提供更強的鑒別機制另外本標準允許重復確認產生數字簽名的

,(PKI)。,

人實際上就是有權限訪問私鑰的人

。

生物特征識別系統的廣泛應用建立在一系列因素之上已有的生物特征識別技術在這些因素上表

,

現各異這些因素包括

,:

便利性和易用性

———;

外在的安全水平

———;

性能

———;

非侵犯性

———。

本標準所討論的鑒別機制限于封閉性用戶群體群體成員已同意使用生物特征識別技術進行身份

,

識別這些協議可為顯性的形式如服務協議或者隱性的形式如訪問某設施即表明具有執行某交易

。(),(

的動機監管不確定人員的系統不在本標準討論的范圍之內

)。。

本標準闡述的技術用于維護生物特征信息的完整性和機密性及提供鑒別機制然而本標準并不

,。,

確保某項具體實現足夠安全金融機構有責任設置適當的全業務流程并進行必要的控制以確保業務

。,

流程安全運行此外為驗證與本標準的一致性控制措施應包括適當的審計測試

。,,。

Ⅲ

GB/T27912—2011

金融服務生物特征識別

安全框架

1范圍

本標準規定了金融業使用生物特征識別機制鑒別人員身份的安全框架介紹了生物特征識別技術

,

的類型闡述了有關應用問題本標準也描述了實現架構詳細規定了有效管理的最小安全要求也為

,。,,

專業人員提供了控制目標和使用建議

。

本標準包括

:

使用生物特征識別技術通過驗證其聲稱的身份或識別其個體身份對參與金融服務的人員和

———,,

雇員身份進行鑒別

;

根據風險管理的要求對用戶登記時提交的憑證進行確認以支持身份鑒別

———,,;

在整個生命周期內包括登記傳輸存儲身份確認身份識別以及終止等過程對生物特征信

———,、、、、,

息進行管理

;

生物特征識別信息在其生命周期內的安全性包括數據完整性源鑒別和機密性

———,、;

生物特征識別機制在邏輯和物理訪問控制中的應用

———;

保護金融機構及其客戶的監控措施

———;

在整個生物特征識別信息生命周期中所使用的物理硬件的安全性

———。

本標準不包括

:

個體生物特征識別信息的隱私權和所有權

———;

有關數據采集信號處理與生物特征數據匹配以及生物特征匹配決策流程等方面的具體

———、、

技術

;

生物