JR/T 0164-2018 移动金融基于声纹识别的安全应用技术规范.pdf
- 文档部分内容预览:
6.5语音信息质量判断
应具有语音信息质量判断的能力,包括但不限于截幅比例、信噪比、完整程度
照明设计标准JR/T 01642018
应具有抗噪音能力,以保证系统的可用性
应具有因时间变化而导致声音变化的正确处理能力,以保证系统的可用性。
声纹信息采集基本要求如下: 应使用动态声纹密码。 采集完成后,应立即对声纹信息进行加密处理。 应采取安全措施保证声纹信息不被其他设备或程序非授权获取。 应采取防算改机制保证声纹信息不被其他设备或程序算改。 声纹注册时,声纹信息采集宜使用多组动态声纹密码
7.1. 2 身份认证要求
7.1.3明示同意要求
应向被采集用户进行明示,明确告知声纹信息收集、使用信息的目的、方式和范围,征得用户同意 后方可进行采集。
声纹信息传输应满足以下要求: 应采用安全传输协议,保证声纹信息传输时的完整性和保密性。 声纹识别接口仅限于服务器端之间内部调用,不应暴露在公共、开放的网络上
声纹信息存储应满足以下要求: 客户端应用软件应禁止以任何形式留存声纹信息,包含但不限于声纹采集、声纹验证等过程中 使用的声纹信息。 服务器端应加密保存声纹模型,并防止声纹模型的未授权访问、泄露、募改或者毁损 服务器端如留存语音信息设备安装规范,应对语音信息进行加密或采取高强度安全防护措施防止语音信息的 未授权访问、泄露、算改或者毁损;应对语音信息去标识化或脱敏处理,以确保对外不可用, 服务器端留存的声纹模型信息保存时间应为实现目的所必需的最短时间。 在发生或者可能发生声纹信息遗失、泄露或者毁损等情况时,应当立即采取补救措施,及时告 知用户
JR/T 01642018
7. 4. 1 基本要求
雷纹信息处理应满足以下基本要求: 应采取有效措施,防止声纹模型配置参数的未授权访问、泄露、篡改等。 在声纹注册、验证、变更和注销各个环节,应对关键操作信息进行日志记录。 用户主动发起声纹变更、注销前,应采用7.1.2中要求的身份认证方式验证用户身份。 应具有失败处理措施,在失败时进行相应提示并限制失败次数,如果超过限制次数,应触发相 应的失败控制机制。 声纹信息不应转让,禁止用于声纹注册、验证、变更、注销之外的其他用途,法律另有规定的 除外。 不得向其他客户端应用软件提供声纹信息
应具备抵御常见攻击的能力,包括但不限于: 防语音模仿:在声纹确认过程中,应能够抵御攻击者模仿说话人、试图以说话人的身份通过声 纹验证的攻击行为。 防语音转换及合成:在声纹确认过程中,应能够抵御攻击者通过机械的、电子的方法产生人造 语音的攻击行为,如语音合成技术。 防录音欺诈:在声纹确认过程中,应能够抵御播放已录制好的目标用户声音并尝试通过声纹验 证的攻击行为。 防录音拼接欺诈:在声纹确认过程中,应能够抵御将已录制好的目标用户录音片段拼接成待验 证语音播放并尝试通过声纹验证的攻击行为。
声纹信息删除后,应确保不可被检索、访问。
隧道标准规范范本JR/T 01642018
[1]中华人民共和国网络安全法(全国人民代表大会常务委员会201 日实施) [2]GB/T25069—2010信息安全技术术语 [3]GB/T35273一2017信息安全技术个人信息安全规范 [4]GA/T893一2010安防生物特征识别应用术语 [5]GA/T1179一2014安防声纹确认应用算法技术要求和测试方法 [6]JR/T0068一2012网上银行系统信息安全通用规范 [7]】JR/T0071一2012金融行业信息系统信息安全等级保护实施指引 [8]】JR/T0092一2012中国金融移动支付客户端技术规范 [91SI/T11380一2008自动声纹识别(说话人识别)技术规范
....- 金融标准
- 相关专题: