TPCAC 0010-2021移动金融基于声纹识别的安全应用评估规范.docx

中国支付清算协会发布

ICS03.060

A11

团

体

标准

T/PCAC0010-2021

移动金融基于声纹识别的安全应用评估规范

Testingspecificationsforvoiceprintrecognitionbasedonsecurityapplicationformobilefinance

2021-06-29发布

2021-06-29发布

T/PCAC0010—2021

I

目录

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4声纹识别应用 1

5声纹服务器评估 1

6客户端软件评估 6

附录A 10

附录B 11

附录C 12

附录D 13

附录E 14

参考文献 16

II

前言

本规范由中国支付清算协会提出。

本标准由中国支付清算协会安全与技术标准专业委员会归口。

本标准起草单位：中国支付清算协会、清华大学、北京得意音通技术有限责任公司、公安部第三研究所、北京国家金融科技认证中心、国家应用软件产品质量监督检验中心、国家金融科技测评中心(银行卡检测中心)、中国银联股份有限公司、中国网络安全审查技术与认证中心。

本标准主要起草人：陈波、于沛、侯晓晨、高飞、薛宇、张媛、陈旭东、高展、郑方、邬晓钧、米青山、黄小妮、张艳、胡津铭、张健、李作全、孔昊、王秀君、张文博、李宇、邱雪涛、费志军、刘宇、魏少杰。

T/PCAC0010—2021

III

引言

为保障手机银行等移动金融客户端应用软件声纹识别应用的标准符合性和安全性，中国人民银行组织相关单位制订了《JR/T0164-2018移动金融基于声纹识别的安全应用技术规范》，对于降低互联网金融的IT风险、保证互联网金融业务的连续性、提升终端用户体验、确保行业主管机构的有效监管，都具有非常积极的意义。

本评估规范依据JR/T0164-2018中的功能、性能、安全要求，为金融行业安全建设和金融行业主管部门对声纹识别的安全技术评估提供参考，为第三方评估机构的安全检测评估提供指导和依据。

T/PCAC0010—2021

1

移动金融基于声纹识别的安全应用评估规范

1范围

为保障在移动金融服务场景中声纹识别的安全应用，本文件规定声纹识别的功能、性能和安全等评估要求。

本文件适用于移动金融客户端应用软件利用声纹服务器开展声纹识别应用场景下，对客户端和声纹服务器的技术标准符合性和安全性评估，不包括电话或网络电话(VoIP)中涉及声纹识别的应用场景。其他证券、保险等金融类客户端应用软件可在适用场景中参照执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GM/T0021动态口令密码应用技术规范

JR/T0118金融电子认证规范

JR/T0164-2018移动金融基于声纹识别的安全应用技术规范

3术语和定义

GM/T0021、JR/T0118、JR/T0164-2018界定的术语和定义适用于本文件。

4声纹识别应用

4.1概述

声纹识别是根据待识别语音的声纹特征鉴别该段语音所对应的说话人的过程，在移动金融服务中可用于用户的身份认证。

4.2声纹识别应用流程

声纹识别应用流程应符合JR/T0164-2018中4.2的规定。

4.3声纹识别评估实施要求

为保证本文中评估项的评估结果在实际应用场景中具有参考价值，声纹识别系统的评估实施应符合附录E中的要求。

5声纹服务器评估

5.1功能评估

5.1.1声纹注册

评估目的：检查声纹的注册过程，应包括语音信息的传输、声纹模型的建立、声纹特征存储和用

户身份的绑定等。

评估方法：

2

1)检查开发文档中对于声纹注册的相关要求及实现过程；

2)查看传输时是否包含用户属性数据，如用户唯一性标识、移动设备标识等；

3)查看存储的声纹模型或特征是否与用户属性数据形成映射关系。通过标准：

1)声纹信息在传输时包含用户的属性数据；注册时建立声纹模型，声纹模型或特征存储时与用户的属性数据形成映射关系。

5.1.2声纹验证

评估目的：声纹的验证应包含动态声纹密码校验和声纹确认等，实现对关联账户主体身份的验证；动态声纹密码应由服务器端生成。

评估方法：

1)检查开发文档中对于声纹验证的相关要求；

2)查看声纹的验证功