代替GM/T0021—2012動態口令密碼應用技術規范國家密碼管理局發布I Ⅲ 1 1 1 34.1符號 34.2縮略語 3 35.1概述 35.2生成動態口令 45.3驗證動態口令 65.4動態因子同步 6 7 8 86.2動態口令令牌 96.3動態口令鑒別系統(服務) 6.4種子密鑰管理系統 7動態口令系統檢測方法 7.1試驗條件 7.2動態口令令牌 7.3動態口令鑒別系統(服務) 7.4種子密鑰管理系統 附錄A(資料性)種子密鑰管理方案示例 附錄B(資料性)動態口令令牌的密碼模塊規格 附錄C(資料性)動態口令系統與應用系統對接 20 22Ⅲ本文件按照GB/T起草。本文件代替GM/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定0021—2012《動態口令密碼應用技術規范》,與GM/T0021—2012相比，除結構調整和編輯性改動外，主要技術變化如下：a)刪除了種子密鑰管理系統的兼容性要求(見2012年版的9.3.2);b)增加了規范性引用文件GB/T2423.3—2016(見)、GB/T2423.7—2018(見)、GB/T15852.1—2020(見52.3)、GB/T17901.1—2020(見5.5.1)、GB/T32905(見5)、GM/T0028(見5.5.5)、GM/T0039(見7.2.2)、GM/T0051—2016(見5.5.3)、了規范性引用文件GB/T2423.81995(延2012年版的Z16).GB/T2423.90-2001(見2012年版的7.1.4)、GB/T1833612008(址2012車版的72.5)-GB/T183362—2008(見2012年版的7,2.5)、GB/T1833682008(-2012年版的7.2.5)CB1210702007見2012年版的7.2.5)、CM/T0002—2012602012年6.2.M/T0001201zC見2012年版的6.2.1)以及GM/T0005-2012(見2012年6.2.1)c)刪除了術語“靜態口參2012年版.3)、(見2012年版的3.7)、認證系統”(見2012年版的3.8)、“未激2012年版的3就緒”(L2012作版的3.2012年版的3.11)、“插起(元1年版的3.12)“作廢文見2012年腦的3.3)、自動解鎖”(見2012年版的3.10“密硼管理C頁2012年版的3-15)“硬件密碼設備”(見2012年版的3.16)、“密鑰”(見2012年版的3.17)“服務服表”見2012年版的3.18)、“接口”見2012年版的3.19)“大窗口”(見2012年版的3.20)、“中窗口”(見2012年版的3.21)、“小窗口”(見2012年版的3.22)、“種子密鑰加密密鑰”(見2012年版的3.23)、“廠商生產主密鑰”(見2012年版的3.24)、“主密鑰”(見2012年版的3.25)、“廠商代碼”(見2012年版的3.26)以及“內部挑戰認證”(見2012年版的3.27),增加了術語“置零”(見3.6)“動態口令系統”(見3.7)、“SM3算法”d)增加了縮略語(見4.2);e)增加了“密鑰管理”對密鑰管理相關各方的描述和要求(見5.5);f)刪除了動態口令鑒別系統(服務)與密碼應用無關的功能要求(見2012年版的8.3);g)刪除了種子密鑰管理系統與密鑰管理無關的功能要求(見2012年版的9.3.1);h)增加了“動態口令系統檢測方法”(見第7章)。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由密碼行業標準化技術委員會提出并歸口。本文件起草單位：飛天誠信科技股份有限公司、上海復旦微電子集團股份有限公司、北京集聯網絡技術有限公司、格爾軟件股份有限公司、北京宏思電子技術有限責任公司、北京天融信網絡安全技術有限公司、西安交大捷普網絡科技有限公司、山東漁翁信息技術股份有限公司、上海華虹集成電路有限責 2012年首次發布為GM/T0021—2012:1動態口令密碼應用技術規范本文件規定了動態口令的基本原理、動態口令系統的技術要求以及動態口令系統的檢測方法。本文件適用于動態口令相關產品的研制、生產、應用，也可用于動態口令系統以及相關產品的密碼應用合規性檢測。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T24231-2008電工電子產品環境試驗一第2部分；試驗方法三試驗A:低溫GB/T2423.2—2008電工電產品環境試驗_2部分。試驗方法一試驗B:高溫GB/T2423.3—2016環境武驗一第2部芬：試驗方法一試驗C恒定濕腿試驗GB/T2423.7-2018環境試驗第2部分驗方公試驗相率操作造成的中擊主要用于設備型樣品)GB/T2423.53-2005電于電子聲品環境試驗第2部分試驗方法Xb:由手的摩擦造成標記和印刷文字的磨損GB/T4208-207外殼防護等級OP代碼)GB/T15852.1-2020信息技術安全技術消息鑒別碼第1部分：采用分組密碼的機制GB/T17626.2-2018電磁兼容試驗和測量技術靜電放電抗擾度試驗GB/T17901.1—2020信息技術安全技術密鑰管理第1部分：框架GB/T32905信息安全技術SM3密碼雜湊算法GB/T32907信息安全技術SMA分組密碼算法GB/T32915信息安全技術二元序列隨機性檢測方法GB/T39786信息安全技術信息系統密碼應用基本要求GM/T0008安全芯片密碼檢測準則GM/T0028密碼模塊安全技術要求GM/T0039密碼模塊安全檢測要求GM/T0051—2016密碼設備管理對稱密鑰管理技術規范GM/T0061—2018動態口令密碼應用檢測規范GM/T0062—2018密碼產品隨機數檢測要求GM/Z4001密碼術語3術語和定義GM/Z4001界定的以及下列術語和定義適用于本文件。23%:求余。(動態因子)輸入輸入生成輸入(動態因子)45.2.1計算時間因子ID={T|CllQ}ID——雜湊密碼算法或分組密碼算法的輸入序列；Q——鑒別雙方通過協商輸入的挑戰因子(或其他類型參與運算的因子),使用ASCII碼表示。含目視難以識別的字符(例如空格)或容易混淆的字符(例如數字1和字母1、數字0和字母O、字符’和字符)。輸入序列的長度應不少于128比特，應至少包括T、C兩個因子中的一個。Q為可選參數。未包 (3)5F——算法函數；S——一次性中間值。種子密鑰的長度應不小于128比特。算法函數可使用SM4算法或SM3算法。一次性中間值的輸出長度應為128比特(如果使用SM4算法)或256比特(如果使用SM3算法)。SS圖2使用SM3算法的計算過程a)取K的前128比特數據(從高位記起)作為密鑰參與運算。b)在ID末端填‘O’,至128比特的整數倍長度(應符合GB/T15852.1—2020中6.3.2的要c)將ID?和K作為第一個分組運算的輸入，通過SM4運算生成S?(應符合GB/T15852.1一2020中6.5.2的要求)。將S?與ID?進行算術加運算(高位溢出舍去),其結果與K一起用于第二個分組的輸入，通過SM4運算生成S?。之后的運算以此類推。使用SM4算法的計算過程見圖3。d)將Sm作為一次性中間值輸出(應符合GB/T15852.1—2020中6.8.2的要求)。KKS圖3使用SM4算法的計算過程 (4)OD——截為8個4字節整數，通過公式(5)賦值： (5)6GM/T0021—2023 — P——動態口令(通常顯示為十進制數字);OD——一次性中間值(5.2.4的輸出);動態口令的位數應不小于6。后清除當前驗證碼)為使聲稱方與驗證方所使用的動態因子重新同步，可采用以下方式調戶端生成的連續多個(≥2個)動態口令分別進行比對。如果存在多個動態口令均一致的情況，則將對應的動態因子最大值設為動態因子的當前值，或記錄動態因子最大值與動態因時間因子同步所使用的浮動范圍應為以下之一：7密鑰管理的對象是種子密鑰。密鑰管理涉及以下實體： 制造方(可選):受生產方委托制造動態口令令牌； 密鑰管理中心：對種子密鑰進行生命周期全過程管理密鑰管理中心可設置在生產方或應用方，也可設置為獨立第三方，但不應設置在制造方或建設方。密鑰管理中心使用密碼算法應符合密碼國家標準、行業標準的相關要求，宜使用通過商用密碼產品認證的密碼設備提供的密碼服務。種子密鑰的生命周期包括以下階段：——產生：種子密鑰在密鑰管理中心生成； 待激活：種子密鑰被安裝到動態口令令牌及動態口令鑒別系統(服務); 可用(對應GB/31定義的沒激活沒狀態);和子密鑰能夠被正常使用； 丟棄：種開密鑰脫離受控范如動態風冷令牌丟失產 銷毀：種子密鑰被置種子密鑰的有效期應不大15年(60個月生命周期的各階段邏輯關系如圖年所示。置置零失過期圖4種子密鑰生命周期5.5.2種子密鑰生成種子密鑰的長度應不少于128比特。應使用隨機數發生器生成種子密鑰。隨機數發生器應符合以下要求之一——是通過商用密碼產品認證的密碼產品；89圖5動態口令系統組成框圖6.2動態口令令牌6.2.1密碼服務功能要求生成動態口令的方法應符合52的要求。支持時間因子的動態口令變商時讀產編差應不大于-mn硬件動態口令令牌使用的安全芯片應符合以下條件——是通過商用密碼產品認證的產品；可支持用戶鑒別功能(例如帶有鍵盤，生成動態口令前輸入PIN)。如果用戶鑒別連續多次不通過，動態口令令牌應鎖定(種子密鑰進入鎖住狀態，參見55.1)。觸發鎖定的用戶鑒別連續不通過次數應不大于5次?？芍С纸怄i功能(例如一定時間后自動解鎖)。如支持自動解鎖，從鎖定到解鎖之間的間隔時間應不小于1h。6.2.2密碼應用安全要求動態口令令牌應符合GM/T0028的要求。動態口令令牌的密碼模塊規格見附錄B。動態口令令牌的有效期應與內置的種子密鑰相同。如果內置的種子密鑰過期，動態口令令牌宜失效?？赏ㄟ^更新種子密鑰/重新安裝種子密鑰使動態口令令牌重新生效。應采取有效的技術措施保障更新種子密鑰/重新安裝種子密鑰的安全性。按照GB/T2423.22—2012中試驗方法Na進行測試，嚴酷等級選擇高溫溫度：+50℃,低溫溫按照GB/T2423.7—2018中的“自由跌落——方法1”進行測試，嚴酷等級選擇跌落高度：按照GB/T17626.2—2018中試驗等級3進行測試。測試結束后，硬件動態口令令牌應能正常6.3動態口令鑒別系統(服務)——用戶管理(可選):管理和維護動態口令令牌驗證動態口令所使用的窗口應符合5.3的要求。生成挑戰碼(如果支持挑戰因子)應使用隨機數。生成隨機數所使用的隨求之一：—所使用的隨機數發生器生成的隨機數符合GB/T32915的要求。應符合5.4的要求。說明應不對未激活狀態的令牌進行動態口令鑒別就緒狀態下令牌可用于口令鑒別定后處于鎖定狀態應不對鎖定狀態的令牌進行動態口令鑒別應不對掛起狀態的令牌進行動態口令鑒別應不對作廢狀態的令牌進行動態口令鑒別如令牌連續多次鑒別動態口令不通過，應自動鎖定該令牌。觸發自應不大于5次?？稍谝欢〞r間后自動解鎖，從鎖定到解鎖之間的間隔時間應不小于1h。可基于常見的鑒別協議封裝動態口令密碼服務接口，例如RADIUS(見附錄C)。接口應支持動態應用動態口令技術時，應根據應用系統際情況不取符合GE39786相應等級為動態口令鑒別系統(服務配置的網絡措施應用系統的網絡安全要求。應采取有效的技術措施保明所有儲種子上的機三性和完整推種密鑰存儲應使用以下方式之一：——存儲在密碼設備內——加密后存儲在密碼設備以外的位置(例如數據庫)加密所便用的密鑰加密密鑰存儲在密碼設備內?！獙討B口令鑒別系統(服務)和應用系統●動態口令令牌狀態變更；●動態口令鑒別。 ●生成動態口令的方法符合5.2的要求； 認證的密碼產品提供的隨機數生成服務生成。7.1.4試驗樣品動態口令令牌樣品數量不少于12支。令牌中應導入相同的種子密鑰(從參照種子密鑰管理系統中選取)。如支持事件動態因子，初值應為1;如支持時間因子，初值對應的UTC值應不超過當前時間的UTC值士2min。從樣品中選取6支進行測試，如果受試的樣品在測試結束后能夠生成動態口令且與未受試的樣品一致，則判定為測試后能正常工作。動態口令鑒別系統(服務)樣品數量應為1套。樣品中應導入指定的種子密鑰(從參照種子密鑰管理系統中選取),數量應不少于10個種子密鑰管理系統樣品數量應為1套。7.2動態口令令牌7.2.1密碼服務功能測試生成動態口令的方法按照GM/I00612018日51進行則試。將動態且令令牌樣品生成的動態口令與參照動態令生成軟理使用廂時參數重成的動態目委目對，如參置三致，則測試通過；否則不通過。應核查動態口令令牌的安個心是否通用密碼認證。用戶鑒別按照GM/T00018中5.2.進行側試。鎖定按照GM/T0061-2018主進行測試。解鎖按照GMXT00612016中52工3進行測試7.2.2密碼應用安全測試按照GM/T0039進行測試。7.2.3硬件動態口令令牌按照中的試驗方法和參數進行測試按照中的試驗方法和參數進行測試。按照中的試驗方法和參數進行測試。按照中的試驗方法和參數進行測試。用符合GM/T0030要求且通過商用密碼產品認證的產品)。動態口令令牌制造工裝屬于(建設方)(建設方)(制造方)——密鑰管理中心由K,基于令牌序列號分散獲得Kg,用Ks對種子密鑰計算鑒別碼并加密，將——建設方在密碼機中由K,基于令牌序列號分散獲得Ks,對加密后的(帶鑒別碼的)種子密鑰解表A.1密鑰類型管理密鑰用戶密鑰管理密鑰密鑰加密密鑰密鑰加密密鑰用戶密鑰管理密鑰密鑰加密密鑰密鑰加密密鑰(資料性)硬件動態口令令牌的密碼模塊類型為硬件模塊。密碼邊界是令牌的物理邊要部件包括安全芯片、電池等。組成框圖如圖B.1所示(圖上還標明了密碼邊界、物理端口和邏輯功能鍵物理端口及其對應的邏輯接口類型如表B.1所示。物理實體類型為單芯片。運行環境類型為不可物理端口簡介其他功能按鍵(可選)觸發令牌其他功能(如切換動態因子等)數字按鍵(可選)顯示屏顯示當前動態口令(以及其他信息，例如電量等)數據輸出、狀態輸出線圈(或觸點)角色與權限如表B.2所示。表B.2角色與權限鑒別機制用戶(可選)密碼主管(CO)基于設備認證密鑰B.2軟件動態口令令牌描述為密碼模塊軟件動態口令令牌的密碼模塊類型為軟件模塊。密碼邊界由可執行文件確定。示例如圖B.2所示。運行環境類型為可修改的運行環境。軟件令牌App通用硬件(CPU、觸摸屏等)圖B.2軟件動態口令令牌框圖示例軟件接口及其對應的邏輯接口類型如表B.3所示。表B.3軟件動態口令令牌接口軟件接口數據輸出、數據輸入(挑戰碼，可選)身份鑒別(可選)令牌輸入當前動態口令所需的身份鑒別(資料性)動態口令系統與應用系統對接RADIUS(RemoteAuthenticationDialInUserService,遠程認證撥號用戶服務)是一種應用廣泛的AAA(AuthenticationAuthorizationAccounting,鑒別、授權與計費)服務。RFC2865及RFC2866對RADIUS進行了詳細規定。RADIUS的典型工作過程包括：a)用戶向RADIUS客戶端(或作為RADIUS客戶端使用的NAS)提供鑒別信息(例如用戶名/口令);b)RADIUS客戶端將用戶提交的鑒別信息封裝在接入請求數據包中(數據包中還包括客戶端ID和用戶訪問端口的ID),發給RADIUS服務器；c)RADIUs服務器進行用戶鑒別，將鑒別結果回送給RADIUS客戶端；d)RADiUS客戶端如果收到鑒別結果為“允連接人”則為用戶建立連接，對用戶進行授權和提標進碼Eode長Eee圖DIUS消息結構——Code字段的長度為1字節，其值表示RADIUS消息的類型(請求接人、允許接入、拒絕接入等); Identifier字段的長度為1字節，用于匹配請求消息與回復消息(請求消息與對應的回復消息——Length字段的長度為2字節，其值為整個消息的長度(以字節為單位); Authenticator字段的長度為16字節，其值為基于預共字密鑰生成的消息鑒別碼； Attributes字段包括若干(0個或多個)TLV結構的內容(屬性)。RADIUS定義了包括用戶名和口令在內的一系列屬性，并且預留編碼26作為自定義屬性。PAM(PluggableAuthenticationModules)是一種鑒別機制，在Linux、UNIX等操作系統得到廣泛應用，國產操作系統(例如統信操作系統、優麒麟系統等)也普遍支持。PAM使應用程序與鑒別機制的具體實現分離，當鑒別機制變更時，不需要修改應用