DB11T 1867.3-2021“北京民生一卡通”技術規(guī)范 第3部分：使用環(huán)境要求　　

DB11北京市市場監(jiān)督管理局發(fā)布 蔡晉昌、周航、高順尉、王寧、李磊、王文文、喬巖、董冬冬、步志文、袁“北京民生一卡通”技術規(guī)范第3部分：使用環(huán)境要求注：“北京民生一卡通”二維碼包括二維標準HTTPS超文本安全傳輸協(xié)議（hypertexttransferprotocoloversecuresocket34G第四代(移動通信技術)(the4thgeneration)5G第五代(移動通信技術)(the5thgeneration)“北京民生一卡通”使用環(huán)境“北京民生一卡通”使用環(huán)境實體卡刷卡刷卡模塊二維碼數據社會保障、待遇發(fā)放、養(yǎng)老優(yōu)待等民生業(yè)務系統(tǒng)用戶憑證受理終端業(yè)務系統(tǒng)掃碼模塊刷臉模塊卡內數據人臉識別人臉數據二維碼“北京民生一卡通”典型功能使用流程見附錄A。b)“北京民生一卡通”使用環(huán)境中處理的各行業(yè)條碼應符合國家相關行業(yè)二維碼要受理終端的掃碼功能應支持識別QRCode等常用碼制，并受理終端可通過語音提示用戶進行相關的操作，并通過量要求且通過活體檢測的人臉圖像時，模塊自動退c)應采用密碼技術對采集到的用戶人臉圖像進行保d)應結合可信環(huán)境對人臉采集過程中涉a)應能防范二維假體攻擊,包括但不限于二維靜態(tài)紙質圖像攻擊、二維靜態(tài)電b)應能防范三維假體攻擊，包括但不限于三維面具攻擊、三維頭b)不同應用不應與個人化要求、實體卡中共存的其他應用規(guī)包括保存在實體卡中的密鑰和用來產生、派生、傳輸這些密b)傳輸敏感數據時，應采用HTTPS等加密傳輸通道，確保傳輸數據的保密性。業(yè)對人臉識別的安全要求。識別的人臉數據不應在公開場合屏幕上a)應具備軟硬件電路防護機制，防止被加b)應保障受理實體卡時安全存儲模塊a)二維碼識讀設備固件和應用程序應由收單機構或其授權的生產、維護企業(yè)進行簽b)二維碼識讀設備和系統(tǒng)應能抵御重放攻擊，防止加密數據和交易報b)二維碼支付中的證書存儲及管理應符合JR/T0025的要求；a)應滿足網絡安全等級保護等國家和b)應使用通過了第三方檢測機構測試認證(資料性)A.1身份認證A.1.1身份認證流程圖A.1實體卡身份認證流程圖圖A.2二維碼身份認證流程圖圖A.3人臉身份認證流程圖A.1.2刷卡身份認證用戶接觸式或非接觸方式刷“北京民生一卡通”實體卡時，向實體卡發(fā)送各種命令，實體卡接收到命令后，經其內在軟件程序或加密算法的分析比對，再將命令轉到相應的功能模塊，完成身份識別和既定操作。當用戶刷身份證、護照等證件時，可關聯(lián)并獲取對應用戶的“北京民生一卡通”信息，按照常規(guī)刷實體卡做用戶身份認證的方式進一步實施業(yè)務流程。A.1.3掃碼身份認證通過掃描二維碼做用戶身份認證。第三方受理終端發(fā)起申請用戶身份認證請求，掃描識別用戶二維碼，調用二維碼解析模塊解析二維碼信息，發(fā)送給后端應用服務器，服務器接收到傳來的解析好的二維碼信息，找到數據庫中對應的用戶信息，完成身份認證并向應用終端回復結果。A.1.4刷臉身份認證通過刷臉做用戶身份認證。人臉識別終端設備啟動后，已注冊用戶向設備提交其人臉圖像進行人臉識別交易申請時，設備能對已注冊的用戶和人臉圖像進行數據庫存儲信息查詢操作并快速將該用戶正確識別；未注冊用戶向設備提交時，則被拒絕。A.2支付交易A.21支付交流流程基于用戶、實體卡、二維碼、人臉數據的用卡環(huán)境支付交易流程圖，如圖A.4-圖A.7所圖A.4基于用戶認證的支付交易流程圖圖A.5實體卡支付交易流程圖圖A.7人臉支付交易流程圖A.22