《四川省基于安全应用的移动金融声纹识别技术评估规范》.docx

PAGE

PAGE5

ICS03.060

A11

团体标准

T/PCAC00XX-2024

四川省基于安全应用的移动金融

声纹识别技术评估规范

TheTechnicalEvaluationSpecificationforMobileFinancialVoiceprintRecognitionBasedonSecurityApplicationsinSichuanProvince

2024-xx-xx发布2024-xx-xx实施

四川省支付清算协会发布

移动金融基于声纹识别的安全应用评估规范

范围

为了确保声纹识别技术在移动金融服务中的安全应用，本文件对声纹识别的功能、性能以及安全性等方面提出了具体的评估要求。

本文件适用于移动金融客户端应用软件在利用声纹服务器进行声纹识别时的技术标准符合性和安全性评估。不涵盖电话或网络电话（VoIP）中使用声纹识别的场景。其他如证券、保险等金融类客户端应用软件可以在相应的场景中参考本文件执行。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GM/T0021动态口令密码应用技术规范JR/T0118金融电子认证规范

JR/T0164-2018移动金融基于声纹识别的安全应用技术规范

T/PCAC0002-2023四川省移动金融基于声纹识别的安全应用技术规范

术语和定义

GM/T0021、JR/T0118、JR/T0164-2018、T/PCAC0002-2023界定的术语和定义适用于本文件。

声纹识别应用

概述

声纹识别是通过分析语音的声纹特征来确定说话人的过程，常用于移动金融服务中的用户身份认证。

声纹识别应用流程

声纹识别应用流程应符合T/PCAC0002-2023中4.2的规定。

声纹识别评估实施要求

为了确保本文中评估项目的结果在实际应用中具有参考价值，声纹识别系统的评估应按照附录F中的要求进行。

声纹服务器评估

功能评估

声纹注册

评估目的：检查声纹的注册过程，应包括语音信息的传输、声纹模型的建立、声纹特征存储以及用户身份的绑定等步骤。

评估方法：

检查开发文档中有关声纹注册的要求及实现过程；

确认传输过程中是否包含用户属性数据，如用户唯一性标识、移动设备标识等；

确认存储的声纹模型或特征是否与用户属性数据建立了映射关系。

通过标准：声纹信息在传输过程中包含用户的属性数据；注册时建立声纹模型，并在存储声纹模型或特征时，与用户属性数据建立了映射关系。

声纹验证

评估目的：声纹验证过程应包括动态声纹密码校验和声纹确认等，以验证关联账户主体的身份；动态声纹密码应由服务器端生成。

评估方法：

检查开发文档中关于声纹验证的相关要求；

确认声纹的验证功能是否包含动态声纹密码校验和声纹确认；

确认动态声纹密码是否由服务器生成；

确认动态声纹密码的有效期是否超过120秒；

确认动态声纹密码的长度是否为6位或者8位；

确认动态声纹密码是否可以连续重复；

确认动态声纹密码在完成验证后是否及时清除。

通过标准：

声纹验证包括动态声纹密码校验和声纹确认。动态声纹密码由服务器生成，且有效期不超过120秒，长度应为6位或8位。密码中的字符不得连续重复，例如“...11...”，且服务器生成的动态声纹密码不得重复。

动态声纹密码在验证完成后确定被立即清除。

声纹变更

评估目的：应具有声纹的变更的功能，即服务器端重新进行声纹模型训练以实现对原有声纹信息的更新。

评估方法：

检查开发文档中对于声纹变更的相关要求；

确认是否具有声纹变更的功能

通过标准：统具备根据定义的模型更新机制对声纹模型进行变更的功能，并支持用户主动发起声纹变更。

声纹注销

评估目的：应具有声纹的注销功能，且注销后应删除与用户相关的声纹信息或做匿名化处理，不应重复使用。

评估方法：

检查开发文档中对于声纹注销的相关要求；

确认声纹注销后是否将与用户相关的声纹信息进行删除或匿名化处理，并且确认这些信息是否可以被重复使用。

通过标准：声纹注销后，立即删除或匿名化与用户相关的声纹信息，并且未重复使用。

性能评估

基本性能指标

评估目的：检查基本性能指标是否满足相关规范要求。

评估方法：

检查开发文档中对于基本性能指标的相关要求；

——参考附录A建立语音样本库，查看声纹验证过程中的错误接受率(FAR)；

——参考附录A建立语音样本库，查看声纹验证过程中错误拒绝率(FRR)。

通过标准：基本性能指标同时满