ICS03.060
A11
团 体 标 准
T/PCAC0010-2021
移动金融基于声纹识别的安全应用评估规范
Testingspecificationsforvoiceprintrecognitionbasedonsecurityapplicationformobilefinance
2021-06-29发布 2021-06-29实施
中国支付清算协会 发布
T/PCAC0010—
T/PCAC0010—2021
PAGE\*ROMAN
PAGE\*ROMANIII
II
II
目??录
前??言 II
引??言 III
范围 1
规范性引用文件 1
术语和定义 1
声纹识别应用 1
声纹服务器评估 1
客户端软件评估 6
附录A 10
附录B 11
附录C 12
附录D 13
附录E 14
参考文献 16
前??言
本规范由中国支付清算协会提出。
本标准由中国支付清算协会安全与技术标准专业委员会归口。
本标准起草单位:中国支付清算协会、清华大学、北京得意音通技术有限责任公司、公安部第三研究所、北京国家金融科技认证中心、国家应用软件产品质量监督检验中心、国家金融科技测评中心(银行卡检测中心)、中国银联股份有限公司、中国网络安全审查技术与认证中心。
本标准主要起草人:陈波、于沛、侯晓晨、高飞、薛宇、张媛、陈旭东、高展、郑方、邬晓钧、米青山、黄小妮、张艳、胡津铭、张健、李作全、孔昊、王秀君、张文博、李宇、邱雪涛、费志军、刘宇、魏少杰。
T/PCAC0010—
T/PCAC0010—2021
PAGE\*ROMAN
PAGE\*ROMANIII
引??言
为保障手机银行等移动金融客户端应用软件声纹识别应用的标准符合性和安全性,中国人民银行组织相关单位制订了《JR/T0164-2018移动金融基于声纹识别的安全应用技术规范》,对于降低互联网金融的IT风险、保证互联网金融业务的连续性、提升终端用户体验、确保行业主管机构的有效监管,都具有非常积极的意义。
本评估规范依据JR/T0164-2018中的功能、性能、安全要求,为金融行业安全建设和金融行业主管部门对声纹识别的安全技术评估提供参考,为第三方评估机构的安全检测评估提供指导和依据。
T/PCAC0010—
T/PCAC0010—2021
PAGE
PAGE11
PAGE
PAGE10
移动金融基于声纹识别的安全应用评估规范
范围
为保障在移动金融服务场景中声纹识别的安全应用,本文件规定声纹识别的功能、性能和安全等评估要求。
本文件适用于移动金融客户端应用软件利用声纹服务器开展声纹识别应用场景下,对客户端和声纹服务器的技术标准符合性和安全性评估,不包括电话或网络电话(VoIP)中涉及声纹识别的应用场景。其他证券、保险等金融类客户端应用软件可在适用场景中参照执行。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GM/T0021动态口令密码应用技术规范
JR/T0118金融电子认证规范
JR/T0164-2018移动金融基于声纹识别的安全应用技术规范
术语和定义
GM/T0021、JR/T0118、JR/T0164-2018界定的术语和定义适用于本文件。
声纹识别应用
概述
声纹识别是根据待识别语音的声纹特征鉴别该段语音所对应的说话人的过程,在移动金融服务中可用于用户的身份认证。
声纹识别应用流程
声纹识别应用流程应符合JR/T0164-2018中4.2的规定。
声纹识别评估实施要求
为保证本文中评估项的评估结果在实际应用场景中具有参考价值,声纹识别系统的评估实施应符合附录E中的要求。
声纹服务器评估
功能评估
声纹注册
评估目的:检查声纹的注册过程,应包括语音信息的传输、声纹模型的建立、声纹特征存储和用户身份的绑定等。
评估方法:
检查开发文档中对于声纹注册的相关要求及实现过程;
查看传输时是否包含用户属性数据,如用户唯一性标识、移动设备标识等;
查看存储的声纹模型或特征是否与用户属性数据形成映射关系。通过标准:
1) 声纹信息在传输时包含用户的属性数据;注册时建立声纹模型,声纹模型或特征存储时与用户的属性数据形成映射关系。
声纹验证
评估目的:声纹的验证应包含动态声纹密码校验和声纹确认等,实现对关联账户主体身份的验证;动态声纹密码应由服务