术语
- 互联网金融 internet finance:利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。
- 凭据 credential(凭证):用来鉴别个人身份的数据。在互联网金融领域,典型凭据如数字证书、静态口令、动态口令,生物特征识别信息等。
- 个人身份识别 personal identification :在指定级别的可信度下确定个人声称的身份的过程。个人身份识别通常包括个人身份核验和个人身份鉴别两个过程。
- 个人身份核验 personal identity proofing:个人初始身份鉴别,收集个人提交的身份信息,并验证与个人真实身份是否相符过程。
- 个人身份鉴别 personal identity authentication:确认个人身份的过程,通过校验一个口令确认个人身份或基于生物特征识别确认个人身份等。
- 预设问题回答 preset question and answer:由个人先设置问题答案,或由认证服务方根据人信息、历史行为等要产生网题而由个人设置答案。在个人身份鉴别时,向个人展示问题,个人提变答案后由认证服务方验证答案是否匹配的个人身份鉴别方式。
- 静态口令 static password:由个人设置,除非个人主动修改,否侧不会生变化的固定字符串。
- 动态口令 one-time password:基于时间,事件等因素动态生成的一次口令,动态数字口令,动态二维码。
- 动态口令牌 one-time password token:用来生成动态口令的软硬件。
- 无硬介质证书 certificate without handware carrier:存放在非专硬件介的数字证书。
- 有硬介质证书 certificate stored in handware carrier:存储在件介质的数字证书。
- 生物特征识别 biomeirics:基于个体的生物学特性和行为特性对该个体的自动识别。
- 可信环境 trusted environment:设备的安全区域,可保证加载到内部数据的安全性,完整性和可用性等,如可信执行环境(TEE),安全元件(SE),可信密码模块(TCM)或其安全边界保护区域。
- 生物特征样本 biometric sample:经过采集和处理得到的初始(原始)生物特征数据。
- 生物特征识别信息 biometric information:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
- 生物特征识别信息包括个人面部识别特征、虹膜、指纹、基因、声位、步态、掌纹、耳廓、眼纹等;
- 生物特征识别信息包括生物特征识别原始信息以及生物特征识别比对信息。
缩略语
- DNS:域名系统(Domain Name System)
- GSM:全球移动通信系统(Global System for Mobile Communications)
- HTTP:超文本传输协议(Hypertext Transfer Protocol)
- LEI:全球法人识别编码(Legal Entity Identifier)
- OTP:动态口令(One Time Password)
- PIN:个人识别码(Personal Identification Number)
- SIM:用户身份模块(Subscriber Identity Module)
- TLS:传输层安全协议(Transport Layer Security)
- VPN:虚拟专用网(Virtual Private Network)
个人身份识别技术框架
框架与各组部分的作用
互联网金融服务个人身份识别技术框架
互联网金融服务个人身份识别技术框架中各组成部分的主要作用如下:
- 个人是发起互联网金融服务的主体,同时也是个人身份识别的对象;
- 金融服务系统为个人提供金融业务,并调用金融身份识别子系统的服务;
- 金融身份识别子系统向金融服务系统提供个人身份识别结果,包括身份核验模块、凭据管理模块、身份鉴别模块等;
- 金融风险防控子系统可在个人身份核验及个人身份鉴别过程中提供相关金融风险防控服务;
个人身份识别实现的主要功能
互联网金融服务领域中个人身份识别应实现的功能如下:
- 身份核验,即金融服务系统应收集并验证个人的身份信息资料,确认个人身份,必要时可借助于身份信息核验源实现;
- 凭据管理,即完成个人身份核验后,金融身份识别子系统应根据个人选择的认证方式生成凭据,凭据可由个人或金融身份识别子系统进行安全存储;
- 身份鉴别,即金融身份识别子系统根据个人凭据来确认个人身份,完成个人的身份鉴别,应结合金融风险防控实现;
个人身份识别凭据技术要求
概述
按照凭据不同,应用于互联网金融服务中的个人身份识别凭据技术类别如下:
- 记忆凭据类,包括静态口令,预设问题回答;
- OTP令牌;
- 数字证书,包括无硬介质证书和有硬介质证书;
- 生物特征识别技术;
- 手机号认证;
记忆凭据类
静态口令
生成要求
静态口令的生成包括但不限于下列方面:
- 长度应不少于6个字符,宜8个字符以上;
- 对于非设备绑定个人标识的,静态口令除数字外还应至少包括大小写字母或特殊字符;
- 对于手势密码等其他静态口令,应满足一定复杂度要求(例如最少连接点数要求);
- 认证系统应对个人输入口令的强度进行分析,给出口令强度的反馈,对于低强度的口令能警示个人更换为符合最低强度要求的口令;
- 如个人标识已经同设备绑定,或结合其他凭据,或受输人设备限制,可采用6个字符的纯数字口令;
使用要求
静态口令的使用要求如下:
- 通过受理终端或支付客户端应用程序输入静态口令时,应采取隐藏静态口令反馈信息等措施保护静态口令,且POS机等受理终端应具备口令输人防窥视功能;
- 应具备静态口令验证失败处理功能,可采取结束会话、限制错误密码输入次数,增强后续验证手段以及当网络登录连接超时自动退出等措施;示例:增加图形码,滑块或点击人机交互验证都是增强后续验证手段;
- 应支持静态口令重置,在重置前应进行有效的个人身份识别;重置后的静态口令应符合生成要求;
- 静态口令应端到端加密传输和安全存储;
- 对于提供与个人信息相关的初始简单口令的,在互联网金融应用场景首次登录时应进行修改,且修改后的口令应符合生成要求;
设备要求及安全要求
静态口令设备及安全包括但不限于下列方面:
- 输入设备应具备适宜的物理、逻辑安全机制;比如安全机制如具备入侵检测机制、具备可信环境、具备完整的密钥体系等;
- 在口令输入设备和读卡机具间传输PIN时,应采取有效的措施保护所传输的数据;
- 输入控件应具备安全机制,如使用基于加密芯片实现的分体式安全键盘,基于软件实现的安全随机键盘等输入控件防止采用键盘监听等手段获取口令;
- 在输入控件和终端程序间传输静态口令时,应防止未经授权查看和变更传输的数据;
- 宜定期修改静态口令,口令修改后不应与当前口令一致;
- 宜采用设备风险检测技术对输入设备的环境安全状态变化进行有效感知;
预设问题回答
生成要求
预设问题与对应的答案作为凭据,其生成包括但不限于下列方面:
- 预设问题与答案均应明确最低复杂度,以防范猜测攻击;
- 预设问题不宜与个人身份信息、个人隐私信息相关;
- 预设问题宜能防范被猜测破解;
- 预设问题可设置一定的提示信息,辅助用户记忆;
使用要求
预设问题回答的使用包括但不限于下列方面:
- 应能在通过个人身份识别后重置预设问题或答案;
- 问答应设置在既定概率下能防范猜测攻击的错误尝试次数;
- 连续两次预设问题与答案不应使用完全相同的问题或问题组合;
- 预设问题回答会话应设置超时时间,超时后应重新开始预设问题回答过程,并且计为一次尝试失败;
- 从终端向服务器传输预设问题与答案的相关数据,应进行加密传输;
- 可在一次身份鉴别应用中使用多个预设问题回答;
OPT令牌
生成要求
OTP令牌作为凭据,其生成包括但不限于下列方面:
- 应使用安全可信的OTP生成模块,如安全可信的终端生成模块或服务器端生成模块等;
- OTP应随机生成;
- OTP应设置有效时长,一般不宜超过5min;
使用要求
OTP令牌的使用包括但不限于下列方面:
- 应采取有效措施防范OTP被中间人攻击,比如基于密码的安全传输等为常见措施。
- 每次业务处理中的OTP应各不相同,且使用后立即失效;
- 应具有激活尝试次数限制功能,当激活操作连续错误一定次数之后,在既定概率下能防范穷举攻击的时间段内锁定后才可重新执行激活操作;
- 应设定一定的认证有效期,比如30s~60s均是常见的认证有效期。
- 应限制验证出错次数,超过则采取账户锁定等安全措施;
- 重新获取OTP后,原OTP应失效;
- 凭据宜与同一机构的个人身份标识一对一绑定;
安全要求
OTP令牌安全要求如下:
- 应采取有效措施保证种子密钥数据在整个生命周期的安全;种子密钥是OTP鉴制双方的共享密钥;
- 应防范通过物理攻击的手段获取设备内的敏感信息,比如开盖,搭线,复制都是典型的物理攻击手段;
- 应采相关措施确保只有授权客户才可用,如取静态口令等措施;
- 加密芯片应具抵抗旁路击的能力;
- 外部环境(例如电磁环境等)发生变化时,OTP令牌不应泄露敏感信息或影响安全功能;
- 应具一定的防止意外(例如跌落等)造成种子密钥丢失的功能;
数字证书
无硬介质证书
生成要求
无硬介质证书生成包括但不限于下方面:
- 用于签名公私钥宜在终端的可信环境中生成和存储,如果由服务器生成,应保证生成环境的可信以及下发通道不可被窥探;
- 保证私钥的唯一性;
- 应使用安全措施能防止私钥受到未授权的访问;
- 应通过安全机制防止无硬介质证书对应私钥被非法复制到其他设备上使用,例如证书绑定,可信环存储等;
- 应设置无硬介质证书的有效期,保障该证书过期后不可用;
- 应定期检查无硬介质证书注销列表;
使用要求
无硬介质证书使用包括但不限于下方面:
- 无硬介质证书的发放宜使用离线或VPN专线方式,确需通过公共络发放的,应提供安全通道下载,且应加密传输;
- 无硬介质证书使用时应检查其合法性;
安全要求
无硬介质证书安全但不限于列方面:
- 签名密钥由软件密码模块内部生成,签名密钥等密钥信息不应明文存在非易失性存储备上;
- 对于高安全需求业务,相应的密码模块宜至少符合GM/T0028-2014规定的安全二级要求;
- 使用基于密码学的安全机制等控制软件密码模块的访问权限;
- 采用限制错误作次数等安全制对关键操作(例如签名等)进行保护,防范穷举政击;
- 软件密码模块具备软件完整性检测与关键功能自测试功能;
- 个人可主动发起无硬介质证书注销,特殊情况下服务器侧可发起硬介质证书注销,无硬介质证书销后不应再次使用。
有硬介质证书
生成要求
有硬介质证书生成要求如下:
- 应能支持一个或多个应用;
- 应能提供和保持不同应用之间的安全性;
- 应设置有效期;
使用要求
有硬介质证书使用包括但不限于下列方面:
- 应保证一个应用不会影响另一个应用的安全操作;
- 应保证一个独立应用的信息不能被其它应用访问和修改;
- 证书存储介质在连接到终端设备一段时间内无任何操作时宜自动关闭,应重新连接才继续使用;
- 证书存储介质应能够自动别其是否与终端连接,宜具备在规定的时间与终端连接而进行任何操作时提醒等功能。
设备要求及安全要求
有硬介质证书设备及安全包括但不限于下方面:
- 应使用通过可认证的第三方测评机构安全测的证书存储介质;
- 对于高安全需求业务,相应的密码模块宜至少符合GM/T0026-2014定的安全二级要求;
- 应采取有效措施防范证书存储介质被远程恶意调用,如基于密码学等的授权机制等;
- 证书存储介质应具备各支持密钥生成和数字签名运算能力的安全芯片,敏感操作应在安全芯片内进行;
- 证书存储介质的主文件应受安全机制保护,个人法进行删除和重建;
- 应保证私钥在生成、存储、使用、更新、销毁等全生命周期的安全,比如基于可信环境进行私钥全生命周期管理等;
- 参与密钥、PIN码运算的随机数应在证书存储介质内生成,其随机性指标宜符合国际或国内通用标准的要求;
- 密钥文件在启用期应封闭;
- 签名交易完成后,状态机应立即复位;
- 应保证PIN码的安全;
- 对证书存储介质固件进行任何改动,都应实施以保证证书存储介质中不含隐藏的非法功能和后门指令为目的归档和审计;
- 证书存储介质应具备抵抗旁路攻击的能力;
- 在外部环境发生变化时,证书存储介质不应泄露敏感信息,影响全功能;
- 应采取有效措施防止数据被篡改;
- 未经个人确认,证书存储介质不应输出数据,经过设定时间段后依旧未接到个人确认的情况下,证书存储介质可自动清除数据并复位状态;
生物特征识别
概述
用于个身份识的生物特征识别模态一般包括:
- 人脸识别;
- 指纹识别;
- 声纹识别;
- 虹膜识别;
- 静脉识别;
- 多模态识别;
- 根据技术发展新出现的其他模态识别;
技术要求
基于生物特征识别术的个人身份识别,生物特征识别技术符合GB/T 27912-2011的规定。此外,还包括下列方面:
- 应充分评估所使用的生物特征识别技术的特点及存在风险,按照GB/T 37036.1-2018的要求合理地选择远程模式或本地模式;
- 处理高安全需求业务时(例如网络支付等)应采取适当的指施防范呈现攻击并具备相应的处理机制,防止恶意伪造攻击,检测和理的呈现攻击手段要求如下:
- 形状包括但不限于二维(2D)、三维(3D);
- 载体包括但不限于图像、视频、头模、指纹膜、合成或翻录语音;
- 材质包括但不限于纸质,电子显示屏、硅胶;
- 处理高安全需求业务时(例网络支付等),对于不具备某种生物特征识别呈现政击检测的应用场景[H5, 网页面应用等], 生物特征识别不应作为唯一身份识别手段,应增加其他的随机交互验证手段,比如验证码等;当个人未同意授权生物特征识别时,应提供其他方式完成个人身份识别。
- 对于生物特征识别信息的保护要求符合GB/T4060的规定,并确保生物特征样本采集,质量判断,呈现攻击检测,生物特征项提取和传输等过程中,个人生物特征数据的保密性和完整性。
- 应对生物特征识别验证次数进行限制,接到设置的验证限制次数后,可采取一定时间之后才能再次进行生物特征识别验证,额外增加验证因素等措施;
- 应确保生物特征识别的错误接受率,错误拒绝率,防呈现攻击失败率等指标在可接受的范围内;
- 宜结合可信环境实现生物特征识别;
手机号认证
手机号认证由移动运营商提供,采用“通信网关取号”及SIM卡识别等技术实现一种移动互联网身份识别法,包括但不限于下列方面:
- 应对个人实名手机号进行相关注册或登记;
- 验证时应有通信数据网络信号覆查;
- 一键授权应用场下,应具备授权页面,应用(APP)开发者经个人授权可获得号码,适用于注册、登录等场景;
- “本机号码检验”应用场景下,本机号码校验不返回完整号码,仅验证是否一致的结果;
- 宜具备相关机制保障手机号认证的手机终端为手机号实名人所有并使用;
个人身份识别技术要求
一般要求
在金融服务系统中进行个人身份识别时,应根据金融行业管理求及实际业务需求,提供特定的身份证件,或提供通过有效法定身证件办理的有效身份证明材料,或提供个人生物特征识信息。根据个信息分现分类理的要求,对个人身识别涉及的个人信息及个人金融信息的收集、传输、存储、使用、委托处理、共享、转让、公开披露应符合GB/T 35273-2020的规定。个人身识识别材料真实性,有效性和可追溯性的保障,包括不限于下方面:
- 身份核验时个人应提供法定身份证件,金融服务系统应采取有效措施核验个人提供的实名身份证信息,可采取与三方权威核验源比对的方式确保信息的真实性和有效性;
- 宜对身份核验过中个人本人提交的法定身证件的图像质量行判断,确保个人本人提交的身证件关键信息清晰可辨,如姓名及证件号码等;
- 属于个人通过法定身份证件办理的身份材料(如银行卡信息等),应在有效期内,且状态正常;
- 个人法定身份证件或通过法定身证件办理的身份材料,如其可信程度难以满足金融行业中个人身份识别要求,应用额外的个人身份识别材料来进行身份证识别(如生物特征识别信息等);
- 若采用生物特征识别信息进行个人身份识别,应确保生物特征采集自个人本人并且获得本人单独同意,且保障留存的生物特征样本的质量;
- 对于弱势群体,宜采取相关措施保障无障碍身份识别;
结合金融风防控的个人身份识别
互联网融个人身识别一般结合金融风险防控实现,金融风险防控子系统对服务请求进行风险防控处理并进行风险防控决策,可采取直接拒服务请求、无需显式调用个人身份识别或显式调用不同强度的个人身份识别因子进行身份识别。
在这里插入图片描述
个人身份识别因子
概述
个人发起互联网融业务请求时,金融服务系统需根据个人当前登录认证方式、业务场景等要求,采用单因子、双因子或多因子的方式进行个人身份识别。
单因子个人身份识别
单因子个人身份识别根据本文件中个人身份识别凭据技术中的某个因子进行身份识别,例如记忆凭据或者生物特征识别信息等。
双因子个人身份识别
双因子个人身份识别根据个人身份识别凭据技术中的两个不同因子组合进行身份识别。双因子个人身份识别凭据示例如下:
在这里插入图片描述
多因子个人身份识别
多因子个人身份识别是在双因子个人身份识别基础上,增加额外的个人身份识别因子来进行个人身份识别,提升个人身份识别的真实性和有效性。多因子个人身份识别凭据示例如下:
在这里插入图片描述
持续个人身份鉴别
对于复杂环境,不应仅依赖于网络范围进行个人身份鉴别,环境发生变化时应进行持续个人身份鉴别,具体要求如下:
- 应具备相关机制以保障应用、硬件(服务器)、个人身份等标识的安全可信,相关标识全生命周期内唯一且不可篡改;
- 应具备相关机制保障在环境[服务器、网际互连协议(IP)地址、设备等]发生变化时,启动个人身份鉴别。
注:网络范围指某个确定的网络域,如某个专用网络或者公网等。
个人身份识别安全要求
在个人身份识别过程中,应采取相关防范措施保障个人身份识别的安全,防止攻击者通过虚假身份注册或非法获取合法个人所持有的能够用以证明其身份的凭据,假冒成合法个人造成危害。个人身份识别安全威胁以及防范措施示例见下表:
在这里插入图片描述
在这里插入图片描述
典型场景个人身份识别技术应用建议
在这里插入图片描述
在这里插入图片描述
典型业务流程
典型的通用流程
互联网金融个人身份识别典型的通用流程如下图所示:
在这里插入图片描述
个人身份识别包括个人身份核验(上图中的①进行标注)以及个人身份鉴别(上图中的②进行标注)两个典型通用流程。典型的个人身份识别通用流程示例如下所述。个人身份核验流程:
- 个人发起开通金融业务请求,金融服务系统判断该个人未注册,调用并启动个人身份核验流程;
- 金融服务系统根据业务规则确定所需核验的个人身份信息,采集个人身份信息,调用金融风险防控处理服务,并通过身份信息核验源核实身份信息;
- 个人身份核验成功后,生成凭据;
- 完成个人身份核验并进行注册;
个人身份鉴别流程:
- 个人发起金融业务请求;
- 金融服务系统判断为已注册个人,根据业务规则启动相应的个人身份鉴别流程;
- 金融服务系统调用金融风险防控子系统对请求进行风险判断并处理;
- 根据风险防控处理结果选择不同的个人身份鉴别模式或其组合,进行个人身份鉴别,需要时通过权威身份信息核验源核实个人身份信息;
- 完成个人身份鉴别;
个人身份核验
个人身份核验基于真实身份信息对个人进行确认,个人身份信息可包括个人的法定身份证件。个人自身所拥有的生物特征识别信息或者是个人通过法定身份证件办理的身份材料。个人身份核验由个人的互联网金融服务请求触发,以创建了个人对应的身份识别标识为结束标志。注册阶段典型的个人身份核验流程见下图:
在这里插入图片描述
注册中个人身份信息核验过程包括但不限于如下步骤:
- 个人发起金融业务注册请求;
- 金融服务系统根据服务规则,判断需要核验的身份信息;
- 个人根据需要核验的身份信息,发起身份信息初始化请求;
- 个人身份核验模块完成身份信息的核验,必要时调用第三方权威核验源;
- 通过身份信息核验后,个人发起注册请求;
- 个人身份核验模块提供必要的注册处理,包括但不限于创建个人身份标识等;
- 反馈注册响应;
- 结束个人身份核验过程;
凭据生成
金融服务系统通过个人提供的身份核验材料对个人身份确认后,金融身份识别子系统生成凭据,并在后台将与该凭据关联的凭据信息和个人身份进行绑定。凭据的生成过程中,根据具体所使用的凭据类型,可新创建凭据并提供给个人使用,也可将个人已经拥有的凭据与此次注册过程关联起来。凭据的生成在个人身份核验成功后进行,典型的以个人获取并存储凭据为结束标志。典型的凭据的生成流程如下图所示:
在这里插入图片描述
典型的凭据的生成过程如下:
- 个人发起凭据申请;
- 凭据管理模块生成凭据;
- 将凭据与个人绑定;
- 必要时,将凭据下发给个人;
- 根据凭据的不同,必要时由个人激活凭据;
- 个人或系统安全地存储凭据,必要时进行凭据的注销或更新等操作;
- 结束流程;
个人身份鉴别
个人身份鉴别过程中,个人按照约定的鉴别协议,通过向金融服务系统证明其拥有并控制有效注册凭据来证明其身份。个人身份鉴别由个人发起的互联网金融服务请求触发,以反馈个人身份鉴别结果为结束标志。典型的个人身份鉴别流程如下图所示:
在这里插入图片描述
典型的个人身份鉴别过程如下:
- 个人发起金融业务请求;
- 金融风险防控子系统对业务请求进行风险判断;
- 金融服务系统选择个人身份鉴别的模式,启动个人身份鉴别,要求个人提供相应的凭据;
- 个人提供所要求的凭据;
- 个人身份鉴别完成凭据的校验;
- 金融服务系统根据个人身份鉴别结果进行业务处理;
- 金融服务系统向个人返回业务响应;
- 结束个人身份鉴别流程;
注:根据需要,个人可能需提供多个凭据并成功通过校验后进行业务处理。
参考文献
- [1] GB/T 5271.8-2001 信息技术 词汇 第8部分:安全
- [2] GB/T 5271.37-2021 信息技术 词汇 第37部分:生物特征识别
- [3] GB/T 36651-2018 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架
- [4] GB/T 37036.2-2019 信息技术 移动设备生物特征识别 第2部分:指纹
- [5] GB/T 37036.3-2019 信息技术 移动设备生物特征识别 第3部分:人脸
- [6] GB/T 37036.4-2021 信息技术 移动设备生物特征识别 第4部分:虹膜
- [7] GB/T 38542-2020 信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架
- [8] GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求
- [9] JR/T 0068-2020 网上银行系统信息安全通用规范
- [10] JR/T 0164-2018 移动金融基于声纹识别的安全应用技术规范
- [11] JR/T 0171-2020 个人金融信息保护技术规范
- [12] ISO 12812-1:2017 Core banking-Mobile financial services-Part 1:General framework
- [13] ISO/IEC 7816-11:2022 Identification cards-Integrated circuit cards-Part 11: Personal verification through biometric methods
- [14] ISO/IEC 19790:2012 Information technology-Security techniques-Security requirements for cryptographic modules
- [15] 中国人民银行.非银行支付机构网络支付业务管理办法(中国人民银行公告〔2015〕第43号)
- [16] 中国人民银行、工业和信息化部、公安部、财政部、国家工商总局、国务院法制办、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家互联网信息办公室.关于促进互联网金融健康发展的指导意见(银发〔2015〕221号)
- [17] 中国人民银行.人民币银行结算账户管理办法(中国人民银行令〔2003〕第5号)
- [18] 中国人民银行.人民币银行结算账户管理办法实施细则(银发〔2005〕16号)
- [19] 中华人民共和国反洗钱法,2006年10月31日
- [20] 中国人民银行.移动金融客户端应用软件无障碍服务建设方案(银发〔2021〕69号)
- [21] 中国人民银行.征信业务管理办法(中国人民银行令〔2021]第4号)