GB/T 42930-2023
基本信息
标准号: GB/T 42930-2023
中文名称:互联网金融 个人身份识别技术要求
标准类别:国家标准(GB)
英文名称:Internet finance—Technical requirements for personal identification
标准状态:现行
发布日期:2023-08-06
实施日期:2023-12-01
出版语种:简体中文
下载格式:.pdf .zip
标准分类号
标准ICS号:社会学、 服务、公司(企业)的组织和管理、行政、运输>>03.060金融、银行、货币体系、保险
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
出版信息
出版社:中国标准出版社
页数:28页
标准价格:49.0
相关单位信息
起草人:陆书春、朱勇、王新华、金磐石、刘燕青、彭晋、林冠辰、李武璐、王琪、梅敬青、郭振华、赵峰、马丹、国枫、刘涛、陈沛瑶、吴冉青、周超、许蓉、秘建宁、王健、高艳平、高飞荣、郭跃、段苏隆、李健
起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国建设银行股份有限公司、中国银联股份有限公司、北京旷视科技有限公司、北京同盾科技有限公司、中国农业银行股份有限公司、上海淇毓信息科技有限公司、证通股份有限公司、京东科技控股股份有限公司等
归口单位:全国金融标准化技术委员会(SAC/TC 180)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身份识别技术要求以及安全要求。
本文件适用于互联网金融服务中与个人身份识别相关的服务与活动。
标准图片预览
标准内容
ICS 03.060
CCS A 11
中华人民共和国国家标准
GB/T42930—2023
互联网金融
个人身份识别技术要求
Internet finance-Technical requirements for personal identificatior2023-08-06 发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
个人身份识别技术框架
框架与各组成部分的作用
5.2个人身份识别实现的主要功能个人身份识别凭据技术要求
记忆凭据类
OTP令牌
数字证书
生物特征识别
手机号认证
7个人身份识别技术要求
一般要求
7.2结合金融风险防控的个人身份识别7.3个人身份识别因子
7.4持续个人身份鉴别·
8个人身份识别安全要求
附录A(资料性)典型场景个人身份识别技术应用建议附录B(资料性)
典型业务流程
典型的通用流程·
个人身份核验
凭据生成
个人身份鉴别
参考文献
GB/T42930—2023
GB/T42930—2023
本文件按照GB/T1.1—2020《标准化工作导则可第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国建设银行股份有限公司、中国银联股份有限公司、北京旷视科技有限公司、北京同盾科技有限公司、中国农业银行股份有限公司、上海淇毓信息科技有限公司、证通股份有限公司、京东科技控股股份有限公司、人保金融服务有限公司、西安银行股份有限公司、拉卡拉支付股份有限公司、海通证券股份有限公司、安信证券股份有限公司、中互金数据科技有限公司。本文件主要起草人:陆书春、朱勇、王新华、金磐石、刘燕青、彭晋、林冠辰、李武璐、王琪、梅敬青、郭振华、赵峰、马丹、国枫、刘涛、陈沛瑶、吴冉青、周超、许蓉、秘建宁、王健、高艳平、高飞荣、郭跃、段苏隆、李健。
GB/T42930—2023
随着互联网金融服务的快速发展,金融服务中对个人身份识别的需求也快速增长。在互联网环境下满足相关管理机构对于金融行业的严格实名认证要求,是互联网金融从业各方函须解决的问题之实施本文件,有助于在互联网金融服务中实现个人信息保护、信息安全、数据安全和交易便捷之间的良好平衡,助力有关机构实现个人身份识别可信度互认,促进以互联网为渠道的金融业服务的有效发展,推动互联网金融有序发展。IV
1范围
互联网金融个人身份识别技术要求GB/T42930—2023
本文件规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身份识别技术要求以及安全要求。本文件适用于互联网金融服务中与个人身份识别相关的服务与活动。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T27912—2011金融服务生物特征识别安全框架GB/T35273—2020信息安全技术个人信息安全规范GB/T37036.1一2018信息技术移动设备生物特征识别第1部分:通用要求GB/T40660信息安全技术生物特征识别信息保护基本要求GM/T0028—2014密码模块安全技术要求3术语和定义
下列术语和定义适用于本文件。3.1
互联网金融internet finance
利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。3.2
凭据 credential
用来鉴别个人身份的数据。
注1:本文件中,凭据在个人身份核验(3.4)阶段生成。注2:在互联网金融领域,典型凭据如数字证书、静态口令、动态口令、生物特征识别信息等。[来源:ISO12812-1:2017,3.10,有修改]3.3
个人身份识别personal identification在指定级别的可信度下确定个人声称的身份的过程注:个人身份识别通常包括个人身份核验(3.4)和个人身份鉴别(3.5)两个过程。3.4
personalidentityproofing
个人身份核验
个人初始身份鉴别
GB/T42930—2023
收集个人提交的身份信息,并验证与该个人真实身份是否相符的过程注:本文件的个人身份核验主要对应个人开通账户过程的身份识别,身份核验后生成相关凭据。3.5
个人身份鉴别personal identityauthentication根据凭据(3.2)确认个人身份的过程。示例:通过校验一个口令确认个人身份或基于生物特征识别确认个人身份等注:本文件的身份鉴别对应个人开通账户之后,开展互联网金融业务过程中基于凭据的个人身份识别。[来源:GB/T5271.8—2001,08.04.12,有修改]3.6
Fpresetquestionand answer
预设问题回答
由个人预先设置问题及答案,或由认证服务方根据个人信息、历史行为等要素产生问题而由个人设置答案;在个人身份鉴别时,向个人展示问题,个人提交答案后由认证服务方验证答案是否匹配的个人身份鉴别(3.5)方式,
staticpassword
静态口令
由个人设置,除非个人主动修改,否则不会发生变化的特定字符串。注:静态口令通常由个人预先设定并存储在认证系统中。3.8
one-timepassword
动态口令
基于时间、事件等因素动态生成的一次性口令。示例:动态数字口令、动态二维码。3.9
动态口令令牌
早one-timepasswordtoken
用来生成动态口令的软硬件。
注:动态口令令牌可能是一个专门的硬件设备,也可能是在某个通用设备(例如手机)上的一个模块或程序。3.10
certificate without hardware carrier无硬介质证书
存放在非专门硬件介质的数学证书注:一般说来,无硬介质证书不具备对存储区域的访问控制物理隔离能力,3.11
有硬介质证书
certificatestoredinhardwarecarrier存储在硬件介质中的数字证书,注:一般有硬介质证书具备对存储区域的访问控制物理隔离能力。硬件介质体不同,访问控制的方式和程度不同,3.12
biometrics
生物特征识别
基于个体的生物学特性和行为特性对该个体的自动识别。注:个体限指自然人。
[来源:GB/T5271.37—2021,3.1.3,有修改]3.13
可信环境
trustedenvironment
设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性、完整性和可用性等,如可信执行环境(TEE)、安全元件(SE)、可信密码模块(TCM)或其他具备安全边界的保护区域2
[来源:GB/T36651—2018,3.1,有修改生物特征样本biometric sample经过采集和处理得到的初始(原始)生物特征数据。[来源:GB/T27912—2011,4.10]生物特征识别信息
biometric information
GB/T42930—2023
对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
注1:生物特征识别信息包括个人面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廊、眼纹等注2:生物特征识别信息包括生物特征识别原始信息以及生物特征识别比对信息。[来源:GB/T40660—2021,3.3]4缩略语
下列缩略语适用于本文件。
DNS:域名系统(Domain Name System)GSM:全球移动通信系统(GlobalSystemforMobileCommunications)HTTP:超文本传输协议(HypertextTransferProtocol))LEI:全球法人识别编码(LegalEntityIdentifier)OTP:动态口令(OneTimePassword)PIN:个人识别码(PersonalIdentificationNumber)SIM:用户身份模块(SubscriberIdentityModule)TLS:传输层安全协议(TransportLayerSecurity)VPN:虚拟专用网(VirtualPrivateNetwork)5个人身份识别技术框架
5.1框架与各组成部分的作用
互联网金融服务个人身份识别技术框架见图1。互联网金融服务典型场景个人身份识别技术应用建议见附录A。
GB/T42930—2023
身份信息
核验源
金融服务系统
金融业务
金融身份识别子系统
身份核验模块
凭据管理模块
个人身份识别
服务调用
身份鉴别模块
金融风险
防控子系统
注:本图为逻辑框架图,具体实现时可组合统一实现或者委托专业机构实现其中的部分功能,虚框表示相关模块的要求不属于本文件的范畴。
图1互联网金融服务个人身份识别技术框架互联网金融服务个人身份识别技术框架中各组成部分的主要作用如下:a)个人是发起互联网金融服务的主体,同时也是个人身份识别的对象;金融服务系统为个人提供金融业务,并调用金融身份识别子系统的服务;b)
金融身份识别子系统向金融服务系统提供个人身份识别结果,包括身份核验模块、凭据管理模块、身份鉴别模块等;
d)金融风险防控子系统可在个人身份核验及个人身份鉴别过程中提供相关金融风险防控服务。5.2个人身份识别实现的主要功能互联网金融服务领域中个人身份识别应实现的功能如下:a)身份核验,即金融服务系统应收集并验证个人的身份信息资料,确认个人身份,必要时可借助于身份信息核验源实现;
凭据管理,即完成个人身份核验后,金融身份识别子系统应根据个人选择的认证方式生成凭b)
据,凭据可由个人或金融身份识别子系统进行安全存储;身份鉴别,即金融身份识别子系统根据个人凭据来确认个人身份,完成个人的身份鉴别,应结c)
合金融风险防控实现。
互联网金融个人身份识别典型业务流程见附录B6个人身份识别凭据技术要求
6.1概述
按照凭据不同,应用于互联网金融服务中的个人身份识别凭据技术类别如下:记忆凭据类,包括静态口令、预设问题回答;a)
b)(
OTP令牌;
数字证书,包括无硬介质证书和有硬介质证书;d)
生物特征识别技术;
e)手机号认证。
6.2记忆凭据类
6.2.1静态口令
生成要求
静态口令的生成包括但不限于下列方面:长度应不少于6个字符,宜8个字符以上;a)
GB/T42930—2023
对于非设备绑定个人标识的,静态口令除数字外还应至少包括大小写字母或特殊字符:对于手势密码等其他静态口令,应满足一定复杂度要求(例如最少连接点数要求);c)免费标准下载网bzxz
认证系统应对个人输入口令的强度进行分析,给出口令强度的反馈;对于低强度的口令能警示d
个人更换为符合最低强度要求的口令:如个人标识已经同设备绑定,或结合其他凭据,或受输人设备限制,可采用6个字符的纯数字e
口令。
使用要求
静态口令的使用要求如下:
a)通过受理终端或支付客户端应用程序输人静态口令时,应采取隐藏静态口令反馈信息等措施保护静态口令,且POS机等受理终端应具备口令输入防窥视功能应具备静态口令验证失败处理功能,可采取结束会话、限制错误密码输人次数、增强后续验证b)
手段以及当网络登录连接超时自动退出等措施;示例:增加图形验证码、滑块或点击人机交互验证都是增强后续验证手段应支持静态口令重置,在重置前应进行有效的个人身份识别;重置后的静态口令应符合6.2.1.1c)
的要求;
静态口令应端到端加密传输和安全存储;对于提供与个人信息相关的初始简单口令的,在互联网金融应用场景首次登录时应进行修e)
改,且修改后的口令应符合6.2.1.1的要求。6.2.1.3设备要求及安全要求
静态口令设备及安全包括但不限于下列方面:输入设备应具备适宜的物理、逻辑安全机制:a
示例:安全机制如具备入侵检测机制、具备可信环境、具备完整的密钥体系等b)在口令输人设备和读卡机具间传输PIN时,应采取有效的措施保护所传输的数据;输入控件应具备安全机制,如使用基于加密芯片实现的分体式安全键盘、基于软件实现的安全c)
随机键盘等输人控件防止采用键盘监听等手段获取口令;d)
在输人控件和终端程序间传输静态口令时,应防止未经授权查看和变更传输的数据:宜定期修改静态口令,口令修改后不应与当前口令一致;e)
宜采用设备风险检测技术对输入设备的环境安全状态变化进行有效感知,6.2.2预设问题回答
生成要求
预设问题与对应的答案作为凭据,其生成包括但不限于下列方面:5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS A 11
中华人民共和国国家标准
GB/T42930—2023
互联网金融
个人身份识别技术要求
Internet finance-Technical requirements for personal identificatior2023-08-06 发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
个人身份识别技术框架
框架与各组成部分的作用
5.2个人身份识别实现的主要功能个人身份识别凭据技术要求
记忆凭据类
OTP令牌
数字证书
生物特征识别
手机号认证
7个人身份识别技术要求
一般要求
7.2结合金融风险防控的个人身份识别7.3个人身份识别因子
7.4持续个人身份鉴别·
8个人身份识别安全要求
附录A(资料性)典型场景个人身份识别技术应用建议附录B(资料性)
典型业务流程
典型的通用流程·
个人身份核验
凭据生成
个人身份鉴别
参考文献
GB/T42930—2023
GB/T42930—2023
本文件按照GB/T1.1—2020《标准化工作导则可第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国建设银行股份有限公司、中国银联股份有限公司、北京旷视科技有限公司、北京同盾科技有限公司、中国农业银行股份有限公司、上海淇毓信息科技有限公司、证通股份有限公司、京东科技控股股份有限公司、人保金融服务有限公司、西安银行股份有限公司、拉卡拉支付股份有限公司、海通证券股份有限公司、安信证券股份有限公司、中互金数据科技有限公司。本文件主要起草人:陆书春、朱勇、王新华、金磐石、刘燕青、彭晋、林冠辰、李武璐、王琪、梅敬青、郭振华、赵峰、马丹、国枫、刘涛、陈沛瑶、吴冉青、周超、许蓉、秘建宁、王健、高艳平、高飞荣、郭跃、段苏隆、李健。
GB/T42930—2023
随着互联网金融服务的快速发展,金融服务中对个人身份识别的需求也快速增长。在互联网环境下满足相关管理机构对于金融行业的严格实名认证要求,是互联网金融从业各方函须解决的问题之实施本文件,有助于在互联网金融服务中实现个人信息保护、信息安全、数据安全和交易便捷之间的良好平衡,助力有关机构实现个人身份识别可信度互认,促进以互联网为渠道的金融业服务的有效发展,推动互联网金融有序发展。IV
1范围
互联网金融个人身份识别技术要求GB/T42930—2023
本文件规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身份识别技术要求以及安全要求。本文件适用于互联网金融服务中与个人身份识别相关的服务与活动。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T27912—2011金融服务生物特征识别安全框架GB/T35273—2020信息安全技术个人信息安全规范GB/T37036.1一2018信息技术移动设备生物特征识别第1部分:通用要求GB/T40660信息安全技术生物特征识别信息保护基本要求GM/T0028—2014密码模块安全技术要求3术语和定义
下列术语和定义适用于本文件。3.1
互联网金融internet finance
利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。3.2
凭据 credential
用来鉴别个人身份的数据。
注1:本文件中,凭据在个人身份核验(3.4)阶段生成。注2:在互联网金融领域,典型凭据如数字证书、静态口令、动态口令、生物特征识别信息等。[来源:ISO12812-1:2017,3.10,有修改]3.3
个人身份识别personal identification在指定级别的可信度下确定个人声称的身份的过程注:个人身份识别通常包括个人身份核验(3.4)和个人身份鉴别(3.5)两个过程。3.4
personalidentityproofing
个人身份核验
个人初始身份鉴别
GB/T42930—2023
收集个人提交的身份信息,并验证与该个人真实身份是否相符的过程注:本文件的个人身份核验主要对应个人开通账户过程的身份识别,身份核验后生成相关凭据。3.5
个人身份鉴别personal identityauthentication根据凭据(3.2)确认个人身份的过程。示例:通过校验一个口令确认个人身份或基于生物特征识别确认个人身份等注:本文件的身份鉴别对应个人开通账户之后,开展互联网金融业务过程中基于凭据的个人身份识别。[来源:GB/T5271.8—2001,08.04.12,有修改]3.6
Fpresetquestionand answer
预设问题回答
由个人预先设置问题及答案,或由认证服务方根据个人信息、历史行为等要素产生问题而由个人设置答案;在个人身份鉴别时,向个人展示问题,个人提交答案后由认证服务方验证答案是否匹配的个人身份鉴别(3.5)方式,
staticpassword
静态口令
由个人设置,除非个人主动修改,否则不会发生变化的特定字符串。注:静态口令通常由个人预先设定并存储在认证系统中。3.8
one-timepassword
动态口令
基于时间、事件等因素动态生成的一次性口令。示例:动态数字口令、动态二维码。3.9
动态口令令牌
早one-timepasswordtoken
用来生成动态口令的软硬件。
注:动态口令令牌可能是一个专门的硬件设备,也可能是在某个通用设备(例如手机)上的一个模块或程序。3.10
certificate without hardware carrier无硬介质证书
存放在非专门硬件介质的数学证书注:一般说来,无硬介质证书不具备对存储区域的访问控制物理隔离能力,3.11
有硬介质证书
certificatestoredinhardwarecarrier存储在硬件介质中的数字证书,注:一般有硬介质证书具备对存储区域的访问控制物理隔离能力。硬件介质体不同,访问控制的方式和程度不同,3.12
biometrics
生物特征识别
基于个体的生物学特性和行为特性对该个体的自动识别。注:个体限指自然人。
[来源:GB/T5271.37—2021,3.1.3,有修改]3.13
可信环境
trustedenvironment
设备上的安全区域,可保证加载到其内部数据的安全性,包括保密性、完整性和可用性等,如可信执行环境(TEE)、安全元件(SE)、可信密码模块(TCM)或其他具备安全边界的保护区域2
[来源:GB/T36651—2018,3.1,有修改生物特征样本biometric sample经过采集和处理得到的初始(原始)生物特征数据。[来源:GB/T27912—2011,4.10]生物特征识别信息
biometric information
GB/T42930—2023
对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
注1:生物特征识别信息包括个人面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廊、眼纹等注2:生物特征识别信息包括生物特征识别原始信息以及生物特征识别比对信息。[来源:GB/T40660—2021,3.3]4缩略语
下列缩略语适用于本文件。
DNS:域名系统(Domain Name System)GSM:全球移动通信系统(GlobalSystemforMobileCommunications)HTTP:超文本传输协议(HypertextTransferProtocol))LEI:全球法人识别编码(LegalEntityIdentifier)OTP:动态口令(OneTimePassword)PIN:个人识别码(PersonalIdentificationNumber)SIM:用户身份模块(SubscriberIdentityModule)TLS:传输层安全协议(TransportLayerSecurity)VPN:虚拟专用网(VirtualPrivateNetwork)5个人身份识别技术框架
5.1框架与各组成部分的作用
互联网金融服务个人身份识别技术框架见图1。互联网金融服务典型场景个人身份识别技术应用建议见附录A。
GB/T42930—2023
身份信息
核验源
金融服务系统
金融业务
金融身份识别子系统
身份核验模块
凭据管理模块
个人身份识别
服务调用
身份鉴别模块
金融风险
防控子系统
注:本图为逻辑框架图,具体实现时可组合统一实现或者委托专业机构实现其中的部分功能,虚框表示相关模块的要求不属于本文件的范畴。
图1互联网金融服务个人身份识别技术框架互联网金融服务个人身份识别技术框架中各组成部分的主要作用如下:a)个人是发起互联网金融服务的主体,同时也是个人身份识别的对象;金融服务系统为个人提供金融业务,并调用金融身份识别子系统的服务;b)
金融身份识别子系统向金融服务系统提供个人身份识别结果,包括身份核验模块、凭据管理模块、身份鉴别模块等;
d)金融风险防控子系统可在个人身份核验及个人身份鉴别过程中提供相关金融风险防控服务。5.2个人身份识别实现的主要功能互联网金融服务领域中个人身份识别应实现的功能如下:a)身份核验,即金融服务系统应收集并验证个人的身份信息资料,确认个人身份,必要时可借助于身份信息核验源实现;
凭据管理,即完成个人身份核验后,金融身份识别子系统应根据个人选择的认证方式生成凭b)
据,凭据可由个人或金融身份识别子系统进行安全存储;身份鉴别,即金融身份识别子系统根据个人凭据来确认个人身份,完成个人的身份鉴别,应结c)
合金融风险防控实现。
互联网金融个人身份识别典型业务流程见附录B6个人身份识别凭据技术要求
6.1概述
按照凭据不同,应用于互联网金融服务中的个人身份识别凭据技术类别如下:记忆凭据类,包括静态口令、预设问题回答;a)
b)(
OTP令牌;
数字证书,包括无硬介质证书和有硬介质证书;d)
生物特征识别技术;
e)手机号认证。
6.2记忆凭据类
6.2.1静态口令
生成要求
静态口令的生成包括但不限于下列方面:长度应不少于6个字符,宜8个字符以上;a)
GB/T42930—2023
对于非设备绑定个人标识的,静态口令除数字外还应至少包括大小写字母或特殊字符:对于手势密码等其他静态口令,应满足一定复杂度要求(例如最少连接点数要求);c)免费标准下载网bzxz
认证系统应对个人输入口令的强度进行分析,给出口令强度的反馈;对于低强度的口令能警示d
个人更换为符合最低强度要求的口令:如个人标识已经同设备绑定,或结合其他凭据,或受输人设备限制,可采用6个字符的纯数字e
口令。
使用要求
静态口令的使用要求如下:
a)通过受理终端或支付客户端应用程序输人静态口令时,应采取隐藏静态口令反馈信息等措施保护静态口令,且POS机等受理终端应具备口令输入防窥视功能应具备静态口令验证失败处理功能,可采取结束会话、限制错误密码输人次数、增强后续验证b)
手段以及当网络登录连接超时自动退出等措施;示例:增加图形验证码、滑块或点击人机交互验证都是增强后续验证手段应支持静态口令重置,在重置前应进行有效的个人身份识别;重置后的静态口令应符合6.2.1.1c)
的要求;
静态口令应端到端加密传输和安全存储;对于提供与个人信息相关的初始简单口令的,在互联网金融应用场景首次登录时应进行修e)
改,且修改后的口令应符合6.2.1.1的要求。6.2.1.3设备要求及安全要求
静态口令设备及安全包括但不限于下列方面:输入设备应具备适宜的物理、逻辑安全机制:a
示例:安全机制如具备入侵检测机制、具备可信环境、具备完整的密钥体系等b)在口令输人设备和读卡机具间传输PIN时,应采取有效的措施保护所传输的数据;输入控件应具备安全机制,如使用基于加密芯片实现的分体式安全键盘、基于软件实现的安全c)
随机键盘等输人控件防止采用键盘监听等手段获取口令;d)
在输人控件和终端程序间传输静态口令时,应防止未经授权查看和变更传输的数据:宜定期修改静态口令,口令修改后不应与当前口令一致;e)
宜采用设备风险检测技术对输入设备的环境安全状态变化进行有效感知,6.2.2预设问题回答
生成要求
预设问题与对应的答案作为凭据,其生成包括但不限于下列方面:5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。