T-OIDAA 01-2024 智能门锁系统个人身份认证服务基本功能规范

ICS35.240.99CCSL67中关村安信网络身份认证产业联盟发布IT/OIDAA01-2024 2规范性引用文件 3术语和定义 4系统架构 5个人身份认证服务 25.1概述 25.2预订功能 35.3身份认证功能 45.4访问控制功能 85.5信息上报功能 参考文献 图1智能门锁系统的系统架构 2图2系统功能关系 3图3预订流程 4图4基于居民身份证的身份认证流程 5图5基于居民身份网络可信凭证的身份认证流程（一） 6图6基于居民身份网络可信凭证的身份认证流程（二） 7图7基于个人身份信息的身份认证流程 8图8基于居民身份证的访问控制流程 9图9基于网络标识的访问控制流程 图10基于居民身份证的信息上报流程 图11基于网络标识的信息上报流程 T/OIDAA01—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村安信网络身份认证产业联盟提出。本文件起草单位：兴唐通信科技有限公司、四川长虹电子控股集团有限公司、天翼物联科技有限公司、新大陆（福建）公共服务有限公司、北京海鑫智圣技术有限公司、北京中盾安信科技发展有限公司、海十联（上海）智能科技有限公司、杭州闪易科技有限公司、北京中电华大电子设计有限责任公司、重庆中科云从科技有限公司、深圳华视电子读写设备有限公司、北京数字认证股份有限公司、浙江德施曼科技智能股份有限公司、中电信量子科技有限公司、中电福富信息科技有限公司、蚂蚁科技集团股份有限公司。本文件主要起草人：蔡子凡、桑杰、黄德俊、刘鹏飞、温扬睿、周建、贺银苹、姜文昊、唐博、林言国、张鹏宇、曹卫然、武依冰、王朝阳、李丹、任家鲁、许雪姣、刘俊杰、李军、邓松、温浩、尤力、刘晨光、桑胜伟、王丙磊、郑伟平、林冠辰。本文件版权归中关村安信网络身份认证产业联盟所有。未经事先书面许可，本文件的任何部分不得以任何形式或任何手段进行复制、发行、改编、翻译、汇编或将本文件用于其他任何商业目的。T/OIDAA01—2024在旅馆、日租房（网约房）等场景下的实名登记工作中，为落实《旅馆业治安管理办法》《旅馆业治安管理条例》等政策规定，满足《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律对智能门锁系统中个人身份认证过程所涉及的个人信息保护、数据保护等监管要求，加强流动人口管控及旅馆、日租房（网约房）等经营规范化，兼顾老年人等特殊人群在网络应用环境下的便捷需求，特制定本文件。1T/OIDAA01—2024智能门锁系统个人身份认证服务基本功能规范本文件提出了智能门锁系统的系统架构、个人身份认证服务的基本功能及业务流程。本文件适用于旅馆、日租房（网约房）等场景下的智能门锁系统个人身份认证服务。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273信息安全技术个人信息安全规范GB/T42574—2023信息安全技术个人信息处理中告知和同意的实施指南GA/T467—2019居民身份证验证安全控制模块接口技术规范GA/T1721—2020居民身份网络认证通用术语3术语和定义GA/T1721—2020界定的术语和定义适用于本文件。3.1居民身份网络可信凭证cybertrustedidentity用于在网络空间中证明居民个人身份信息的电子文件，与居民身份证件具有一一对应关[来源：GA/T1721—2020，3.1.3]3.2居民身份网络标识cyberidentifier由居民身份网络认证服务系统派发给网证应用系统，用于标识居民个人身份的编码。[来源：GA/T1721—2020，3.1.4]3.3网络标识networkidentifier与居民身份网络标识相关联的衍生标识。3.4识别码identificationcode基于居民身份证信息产生的标识数据。[来源：GA/T467—2019，3.3]3.5智能门锁设备标识smartlockidentification用于标记智能门锁设备身份、接入智能门锁管理平台的唯一标识。4系统架构2T/OIDAA01—2024智能门锁系统的系统架构见图1。图1智能门锁系统的系统架构智能门锁系统应由智能门锁管理平台和智能门锁组成。智能门锁管理平台应对预订信息、入住信息进行管理，同时具备智能门锁的接入认证、安全连接、密钥管理等功能。智能门锁可由主控模块、居民身份证验证安全控制模块、条码阅读器、安全模块、生物特征认证模块、机构控制模块、射频模块及通信接口组成，具备身份认证、门锁控制、数据记录等基本功能。注1：居民身份证验证安全控制模块为可选模块，用于读取、比对居民身份证身份信息及对应用数据进注2：条码阅读器为可选模块，用于读取以二维码、三维码等条码形式展现的居民身份网络可信凭证或注3：生物特征认证模块为可选模块，包含但不限于信息采集、信息比对等功能，用于处理人像信息、注5：安全模块为可选模块，用于保护网络标识等数据安全存储及传输，若以物理存在可以是SE、国密芯片等符合相应安全等级要求的硬件形式，该模块可单独使用，注6：通信接口包含移动网络通信接口、Wifi、蓝牙接口、N智能门锁系统的外部相关方可能涉及预订系统、居民身份网络认证服务系统、居民身份证相关系统和监管系统。预订系统是对互联网预订平台、旅馆/日租房（网约房）业务平台的抽象化逻辑实体；居民身份网络认证服务系统、居民身份证相关系统作为智能门锁系统的支撑，完成个人身份认证服务；监管系统是有关部门的相关系统，主要负责接收由智能门锁系统上报的用户信息，可以实现流动人口动、静态信息的全面管理，必要时将用户信息作为追溯依据。5个人身份认证服务5.1概述智能门锁系统的个人身份认证服务通过识读居民身份证、居民身份网络可信凭证、个人身份信息，并结合生物特征等信息完成用户真实身份信息登记、核验及上报。智能门锁系统包含四种功能：预订功能、身份认证功能、访问控制功能、信息上报功能，系统功能关系见图2。3T/OIDAA01—2024在线上预订阶段，为用户提供预订功能，完成房间预订、智能门锁授权等操作；在首次入住阶段，为用户提供身份认证、访问控制及信息上报等功能，完成用户实名登记入住、入住权限鉴别等操作；在后续开锁阶段，为用户提供访问控制功能和信息上报功能（按需完成入住权限鉴别、动态信息上报（按需）等操作。智能门锁系统在处理个人信息时，向个人告知处理规则、取得个人同意的相关实施方法和步骤应符合GB/T42574—2023的要求。个人身份认证服务涉及的个人信息收集、存储、使用过程应符合GB/T35273的要求。图2系统功能关系5.2预订功能用户通过预订系统提交预订信息后，预订系统与智能门锁系统中的智能门锁管理平台进行交互，完成身份信息核验和房间预订，预订流程见图3。4T/OIDAA01—2024图3预订流程预订流程说明如下：a)用户本人同意使用该服务，并同意提交为实现该服务所需的信息；b)预订系统将用户提交的预订信息发送到智能门锁管理平台；注2：个人身份信息可包含姓名、公民身份号码、手机号、c)智能门锁管理平台向居民身份网络认证服务系统发送预订信息中姓名及公民身份号码（密文）或居民身份网络可信凭证进行身份认证；注3：首次使用居民身份网络可信凭证的用户需通过居民身份网络可信凭证管理客户端、居民身份网络d)认证通过后，居民身份网络认证服务系统向智能门锁管理平台返回认证结果和居民身份网络标识；e)智能门锁管理平台生成用户识别码和网络标识，并同智能门锁设备标识（简称：门锁标识）绑定存储，同时向预订系统返回预订结果，并根据智能门锁设备标识向智能门锁下发识别码和网络标识（未激活状态）；注4：未激活状态是指预订阶段下发的识别码和网络标识在用户完成身份认证功能后才能被用于访问控f)预订系统可向用户发送提示消息（如短信），告知用户预订结果。5.3身份认证功能5.3.1基于居民身份证的身份认证功能基于居民身份证的身份认证流程见图4。5T/OIDAA01—2024图4基于居民身份证的身份认证流程基于居民身份证的身份认证流程说明如下：a)用户根据智能门锁提示音出示居民身份证，即表示经用户本人同意；b)智能门锁中的居民身份证验证安全控制模块核验并读取居民身份证信息，生成识别码并与预存的识别码进行比对；c)智能门锁中的生物特征认证模块实时采集用户生物特征信息的特征值，并与居民身份证中的生物特征信息进行比对；d)人证一致性比对通过后，智能门锁在用户入住期限内将实时采集生物特征信息的特征值进行本地存储；注：实时采集生物特征信息的特征值仅在用户入住期间存储，用户离e)智能门锁将比对结果返回智能门锁管理平台；f)智能门锁管理平台根据比对结果确认用户入住信息，同时根据门锁标识激活智能门锁中的用户识别码和网络标识。5.3.2基于居民身份网络可信凭证的身份认证功能6T/OIDAA01—2024基于居民身份网络可信凭证的身份认证功能有两种实现模式，其流程分别见图5和图6。图5基于居民身份网络可信凭证的身份认证流程（一）基于居民身份网络可信凭证的身份认证功能实现模式（一）的流程说明如下：a)用户本人同意；b)门锁移动端从用户处获取居民身份网络可信凭证，并采集用户人像信息；c)门锁移动端通过智能门锁管理平台向居民身份网络认证服务系统发送居民身份网络可信凭证及人像信息进行身份认证；d)认证通过后，居民身份网络认证服务系统向智能门锁管理平台返回认证结果及居民身份网络标识；e)智能门锁管理平台根据认证生成的网络标识同预订时存储的网络标识比对，确认用户入住信息；f)智能门锁管理平台向门锁移动端返回认证结果和网络标识；g)智能门锁管理平台根据门锁标识激活智能门锁中的用户识别码和网络标识。7T/OIDAA01—2024图6基于居民身份网络可信凭证的身份认证流程（二）基于居民身份网络可信凭证的身份认证功能实现模式（二）的流程说明如下：a)用户本人同意；b)用户通过门锁移动端向智能门锁发送居民身份网络可信凭证；c)智能门锁实时采集用户的人像信息；d)智能门锁通过智能门锁管理平台向居民身份网络认证服务系统发送居民身份网络可信凭证及人像信息进行身份认证；e)认证通过后，居民身份网络认证服务系统向智能门锁管理平台返回认证结果及居民身份网络标识；f)智能门锁管理平台根据认证生成的网络标识同预订时存储的网络标识比对，确认用户入住信息；g)智能门锁管理平台向门锁移动端返回认证结果和网络标识；h)智能门锁管理平台根据门锁标识激活智能门锁中的用户识别码和网络标识。5.3.3基于个人身份信息的身份认证功能基于个人身份信息的身份认证流程见图7。8T/OIDAA01—2024图7基于个人身份信息的身份认证流程基于个人身份信息的身份认证流程说明如下：a)用户本人同意；b)门锁移动端从用户处获取姓名和公民身份号码，并采集用户人像信息；c)门锁移动端通过智能门锁管理平台向居民身份网络认证服务系统发送姓名和公民身份号码（密文）及人像信息进行身份认证；d)认证通过后，居民身份网络认证服务系统向智能门锁管理平台返回认证结果及居民身份网络标识；e)智能门锁管理平台根据认证生成的网络标识同预订时存储的网络标识比对，确认用户入住信息；f)智能门锁管理平台向门锁移动端返回认证结果和网络标识；g)智能门锁管理平台根据门锁标识激活智能门锁中的用户识别码和网络标识。5.4访问控制功能5.4.1基于居民身份证的访问控制功能基于居民身份证的访问控制流程见图8。9T/OIDAA01—2024图8基于居民身份证的访问控制流程基于居民身份证的访问控制流程说明如下：a)智能门锁读取预存的识别码，并发送给智能门锁中的居民身份证验证安全控制模块；b)智能门锁中的居民身份证验证安全控制模块根据居民身份证信息生成识别码，与送入的识别码进行核验；c)核验通过后，智能门锁中的居民身份证验证安全控制模块根据居民身份证信息生成身份信息密文；d)智能门锁中的主控模块向机构控制模块发送开锁信号，门锁开启；e)门锁开启后上传开启记录至智能门锁管理平台。5.4.2基于网络标识的访问控制功能基于网络标识的访问控制流程见图9。T/OIDAA01—2024图9基于网络标识的访问控制流程基于网络标识的访问控制流程说明如下：a)用户通过门锁移动端向智能门锁发送网络标识；b)智能门锁读取预存的网络标识进行核验；c)核验通过后，智能门锁中的主控模块向机构控制模块发送开锁信号，门锁开启；d)门锁开启后上传开启记录至智能门锁管理平台。5.5信息上报功