GB-T 38556-2020 信息安全技术 动态口令密码应用技术规范.pdf

《GB-T 38556-2020 信息安全技术 动态口令密码应用技术规范.pdf》由会员分享，可在线阅读，更多相关《GB-T 38556-2020 信息安全技术 动态口令密码应用技术规范.pdf（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书 书 书犐 犆犛 犔?犌犅犜?犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犜 犲 犮 犺 狀 犻 犮 犪 犾狊 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀 狊犳 狅 狉狅 狀 犲 狋 犻 犿犲 狆 犪 狊 狊 狑狅 狉 犱犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮犪 狆 狆 犾 犻 犮 犪 狋 犻 狅 狀?书 书 书目次前言范围规范性引用文件术语和定义符号技术框架 总体框架 系统组成动态口令生成 口令生成方式 算法使用说明鉴别 鉴别模块说明 鉴别模块服务 鉴别模块管理功能 安全要求 密钥管理 概述 模块架构 功能要求

2、系统安全性设计 硬件密码设备接口说明 附录（规范性附录）硬件动态令牌要求 附录（资料性附录）动态口令鉴别原理 附录（资料性附录）鉴别模块接口 附录（规范性附录）运算参数与数据说明用例 附录（资料性附录）动态口令生成算法语言实现用例 附录（规范性附录）动态口令生成算法计算输入输出用例 犌犅犜 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（）提出并归口。本标准起草单位：上海众人网络安全技术有限公司、上海复旦微电子股份有限公司、飞天诚信科技股份有限公司、国家密码管理局商用密码检测中心、北京集联网络技

3、术有限公司、上海华虹集成电路有限责任公司、紫光同芯微电子有限公司、上海林果实业股份有限公司北京科技分公司、格尔软件股份有限公司。本标准主要起草人：谈剑锋、尤磊、李坤、柳逊、郑强、朱鹏飞、田敏求、吕春梅、郭思健、陈岩、李阗、周学庆、王凤珍。犌犅犜 信息安全技术动态口令密码应用技术规范范围本标准规定了动态口令技术框架，动态口令生成算法、鉴别和密钥管理等的相关内容。本标准适用于动态口令相关产品的研制、生产、应用，也可用于指导相关产品的检测。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于

4、本文件。电工电子产品环境试验第部分：试验方法试验：低温 电工电子产品环境试验第部分：试验方法试验：高温 环境试验第部分：试验方法试验：恒定湿热试验 环境试验第部分：试验方法试验：粗率操作造成的冲击（主要用于设备型样品）环境试验第部分：试验方法试验：振动（正弦）电工电子产品环境试验第部分：试验方法试验：低气压 环境试验第部分：试验方法试验：温度变化 电工电子产品环境试验第部分：试验方法试验：由手的摩擦造成标记和印刷文字的磨损 外壳防护等级（代码）电磁兼容试验和测量技术静电放电抗扰度试验 信息技术安全技术信息技术安全性评估准则第部分：简介和一般模型 信息技术安全技术信息技术安全性评估准则第部分：安

5、全功能组件 信息技术安全技术信息技术安全性评估准则第部分：安全保障组件 信息安全技术密码杂凑算法 信息安全技术分组密码算法 信息安全技术二元序列随机性检测方法术语和定义下列术语和定义适用于本文件。动态口令狅 狀 犲 狋 犻 犿犲 狆 犪 狊 狊 狑狅 狉 犱；犱 狔 狀 犪犿 犻 犮狆 犪 狊 狊 狑狅 狉 犱由种子密钥与其他数据，通过特定算法，运算生成的一次性口令。犌犅犜 动态令牌狅 狀 犲 狋 犻 犿犲 狆 犪 狊 狊 狑狅 狉 犱狋 狅 犽 犲 狀；犱 狔 狀 犪犿 犻 犮狋 狅 犽 犲 狀生成并显示动态口令的载体。种子密钥狊 犲 犲 犱犽 犲 狔计算动态口令的密钥。注：种子密钥即令牌种

6、子密钥。静态口令狊 狋 犪 狋 犻 犮狆 犪 狊 狊 狑狅 狉 犱用户设置的，除非用户主动修改，否则不会发生变化的口令。挑战码犮 犺 犪 犾 犾 犲 狀 犵 犲犮 狅 犱 犲可参与到动态口令生成过程中的一种数据。注：挑战码即挑战因子。大端犫 犻 犵 犲 狀 犱 犻 犪 狀数据在内存中的一种表示格式，规定左边为高有效位，右边为低有效位。注：数的高阶字节放在存储器的低地址，数的低阶字节放在存储器的高地址。鉴别模块犪 狌 狋 犺 犲 狀 狋 犻 犮 犪 狋 犻 狅 狀狊 狔 狊 狋 犲犿能够为应用系统提供动态口令身份鉴别服务的系统。服务报表狊 犲 狉 狏 犻 犮 犲犾 犻 狊 狋系统提供的，对于令牌

7、和系统不同时间段对应的状态和结果的统计报表。主密钥犿犪 狊 狋 犲 狉犽 犲 狔用于生成种子密钥、种子密钥加密密钥、厂商生产主密钥等的系统根密钥。种子密钥加密密钥犲 狀 犮 狉 狔 狆 狋 犻 狅 狀犽 犲 狔犳 狅 狉狊 犲 犲 犱犽 犲 狔用于对种子密钥进行加密的密钥。厂商生产主密钥犿犪 犻 狀犽 犲 狔犳 狅 狉犿犪 狀 狌 犳 犪 犮 狋 狌 狉 犲 狉狆 狉 狅 犱 狌 犮 狋 犻 狅 狀生成令牌生产时所需的种子密钥加密密钥。厂商代码犿犪 狀 狌 犳 犪 犮 狋 狌 狉 犲 狉犮 狅 犱 犲用于标识厂商的代码，可以是数字、英文字母、数字与英文字母的混合。内部挑战鉴别犻 狀 狋 犲 狉

8、 狀 犪 犾犮 犺 犪 犾 犾 犲 狀 犵 犲犪 狌 狋 犺 犲 狀 狋 犻 犮 犪 狋 犻 狅 狀一种由用户主动解除令牌异常状态时采用的挑战鉴别方式。符号下列符号适用于本文件。犌犅犜 犖：一个字节当中的第犖个比特位（从低位计起）。：参与运算的事件因子。（）：算法函数。：杂凑及分组算法的输入信息。：防护等级第一特性（防尘），防护等级第二特性（防水）。：长度不少于 比特的运算密钥。：主密钥。：传输密钥。：厂商生产主密钥。：种子密钥加密密钥。犖：令牌或其他终端显示口令的位数。：输出结果。：用于使令牌工作并显示动态口令的一种口令，是一个至少位长度的十进制数。：鉴别双方通过协商输入的挑战因子。：算法函

9、数输出结果。：参与运算的时间因子。：以时间为标准的一个长度为字节的整数。犜：以秒为单位的口令变化周期。（）：截位函数。：距 年月日：时（格林尼治标准时间）的秒数。：幂运算符，即 狀代表的狀次方。：求余运算，即。：连接符，将两组数据根据左右顺序拼接。田：算术加符号，且不进位。技术框架 总体框架动态口令系统为应用系统提供动态口令鉴别服务。由动态令牌、鉴别模块和密钥管理模块组成。动态令牌生成动态口令，鉴别模块验证动态口令的正确性，密钥管理模块负责动态口令的密钥管理，应用系统将动态口令按照指定的协议（报文）发送至鉴别模块进行鉴别。动态口令系统架构如图所示。犌犅犜 图动态口令系统架构 系统组成 动态令牌

10、动态令牌产生动态口令，作为用户身份鉴别依据。硬件动态令牌产品的要求见附录。鉴别模块鉴别模块用于执行动态口令鉴别和令牌同步，以及令牌相关状态的管理及配置等功能。鉴别模块通过鉴别通讯协议与应用系统进行通讯，或支持调用鉴别接口的方式，用以完成动态口令的鉴别、同步等功能。动态口令鉴别原理参见附录。密钥管理模块密钥管理模块用于动态令牌种子密钥的生成、传输和存储进行安全管理，包括系统登录鉴别子模块、用户管理子模块、保护密钥生成子模块、种子密钥生成子模块、令牌序号生成子模块、时间同步子模块（可选）、令牌生产配置子模块、密码机接口模块和动态令牌读写接口等。应用系统应用系统是指集成了将动态口令按照鉴别通讯协议（

11、或鉴别接口）与鉴别模块交互完成动态口令鉴别的应用程序集合，应用系统可以是软件系统，可以是硬件设备，也可以是软件和硬件相结合的形式。鉴别接口鉴别接口是鉴别模块提供的用于连接应用系统与鉴别模块的接口集合。应用系统通过调用接口，可以完成动态口令鉴别、同步等功能。鉴别模块的接口参见附录。鉴别通讯协议鉴别通讯协议是鉴别服务通过标准的通讯协议和应用系统进行通讯的依据。应用系统通过发送报犌犅犜 文的形式完成动态口令的鉴别、同步等功能。动态口令生成 口令生成方式 计算时间因子犜是参与运算的时间因子，是一个字节整数。犜是以时间或用户选择的时间标准为计量标准的一个字节整数。犜是以秒为单位的口令变化周期，最大值为。

12、组装输入序列 是杂凑或分组算法的输入序列。是 的计算结果。是参与运算的事件因子，是一个字节整数。是鉴别双方通过协商输入的挑战因子或其他类型需要参与运算的因子，使用 码表示，最小长度为字节。最小长度为 比特，至少需要包含、的其中一个参数，为可选参数，并按照 的顺序进行数据组装。未包含的参数位置，由下一个参数进行补充。如 由、组成，则数据组装方式为。如 由、组成，则数据组装方式为。如组成 的数据不足 比特，的数据末端填零至 比特。计算一次性中间值（，）是长度不小于 比特的种子密钥，只有鉴别双方持有；（）是算法函数，使用分组算法或者杂凑算法，其中使用时的输出长度为 比特，使用时的输出长度为 比特。截

13、位计算 （）输入为 的输出。（）是截位函数，是其输出结果，长度为 比特。选用作为运算时，定义、为个字节整数，通过如下方法赋值：（）（）使用作为运算时，定义、为个字节整数，通过如下方法赋值：（）（）计算动态口令（犖）犖是令牌或其他终端显示口令的位数，犖不小于。是最终显示的动态口令。犌犅犜 算法使用说明 使用要求算法使用应满足以下要求：分组密码算法应采用算法，应满足 的要求。分组长度为 比特，密钥长度为 比特，运算方式选用加密的工作模式，加密结果长度为 比特。密码杂凑算法应采用算法，应满足 的要求。涉及随机数生成的算法，应满足 的要求。杂凑算法使用说明在（，）环节，当使用算法时，为输入参数。分组算

14、法使用说明在（，）环节，当使用算法时，为运算密钥，为输入参数，或 大于 比特时，运算过程如下：大于 比特时，记的长度为比特。狀为不小于 的最小整数，在末端填充 狀个比特。再将以 比特长度进行分组，高位在前，分别为、狀。大于 比特时，记 的长度为比特。犿为不小于 的最小整数，在 末端填充 犿个比特。再将 以 比特长度进行分组，高位在前，分别为、犿。运算过程如图所示。图犛犕运算过程图 和作为第一个分组运算的输入，通过运算生成。将分别与 和进行算术加运算（高位溢出舍去），获得 和，用于第二个分组的输入，通过运算生成。之后的运算以此类推。如狀和 犿中，狀犿，则犿次运算以后，使用 犿与犻（犿犻狀）算术加

15、运算（高位溢出舍去）生成 犻，参与后续运算。如狀和 犿中，狀犿，则狀次运算以后，使用狀与犻（狀犻犿）算术加运算（高位溢出舍去）生成犻，参与后续运算。如图中所示，犿，狀。数据格式和输入输出用例数据运算与存储，应采用大端（）格式。见附录。犌犅犜 动态口令生成算法的语言实现用例参见附录，输入输出的用例数据见附录。鉴别 鉴别模块说明 鉴别模块构成鉴别模块是为应用系统提供动态令牌鉴别及管理的服务系统，由两个部分构成：）鉴别服务子模块对应用提供鉴别和管理服务。）管理子模块对鉴别模块的运行进行管理。令牌的状态令牌的状态为鉴别模块内保存的令牌工作状态见表。表令牌工作状态表状态描述说明未激活令牌出厂时的状态，应

16、激活后令牌才能进入就绪状态未激活令牌不能提供正常的口令鉴别就绪令牌正常工作状态就绪状态下令牌可用于口令鉴别锁定令牌因连续错误、重放攻击、人工方式等原因被锁定后处于锁定状态锁定状态的令牌不能提供正常的口令鉴别挂起令牌被人为挂起后，处于挂起状态挂起状态的令牌不能提供正常的口令鉴别作废令牌执行作废操作后，进入作废状态作废的令牌不能提供正常的口令鉴别 令牌的数据令牌的数据应包括：令牌序列号、密钥数据、令牌状态、上次使用时间、连续错误次数、令牌偏移量、其他配置参数等，其中：）密钥数据应加密存放。）其他数据应采用校验机制保证完整性。令牌的同步鉴别模块应提供对令牌的内部计数器与系统的令牌计数器之间的同步处理

17、。对于时间型令牌，使用双向时间窗口；对于事件型令牌，使用单向事件窗口。窗口指用于令牌时间与系统时间同步的窗口。时间型令牌根据不同的令牌同步需求，分别采用大窗口、中窗口、小窗口进行同步。使用各种窗口时，要求如下：）大窗口，窗口大小不应超过 。使用大窗口同步时，要求下一个连续的动态口令匹配，同时调整系统的令牌偏移量。大窗口要求使用受限的同步服务，即进一步身份鉴别或需要更高权限才能执行大窗口的同步服务。大窗口可由鉴别模块的授权运维人员使用，并应与应用系统的验证码机制同时使用。）中窗口，窗口大小不应超过。使用中窗口同步时，要求下一个连续的动态口令匹配，同犌犅犜 时调整系统的令牌偏移量。中窗口可由令牌用

18、户或鉴别模块的运维人员使用，并应与应用系统的验证码机制同时使用。）小窗口，窗口大小不应超过。使用小窗口同步时，鉴别模块通过动态口令鉴别，同时调整系统的令牌偏移量。小窗口可由鉴别模块自动调用，在令牌用户使用动态口令进行身份鉴别时使用。）事件型令牌的大窗口、中窗口、小窗口的大小，可由用户与厂商协商制定，但应保证其鉴别的安全性和有效性。自动锁定和自动解锁令牌在使用过程中若连续多次验证错误超过最大次数后，鉴别模块会自动将该令牌状态修改为“锁定”。在超过设定的自动解锁时间后，鉴别模块会自动解除该令牌的锁定状态。自动解锁只能解除被自动锁定的令牌。鉴别模块服务 安全服务 动态口令鉴别对提交的动态口令进行鉴别

19、的服务，鉴别方式包括：静态口令动态口令、动态口令。其中静态口令为与该动态令牌绑定的静态口令。挑战应答鉴别对提交的挑战应答码进行鉴别的服务，鉴别方式包括：挑战鉴别、内部挑战鉴别。挑战鉴别是用户采用向令牌输入应用服务提供的挑战码的方式，获取相应的动态口令，完成鉴别。内部挑战鉴别是用户通过向令牌输入、静态口令等用户私有数据，获取相应的动态口令，完成鉴别。产生挑战码根据应用的请求产生挑战码，生成的挑战码格式包括：数字型、字符型、数字字符型。其中数字为阿拉伯数字，字符为英文字符或符号字符，区分大小写。挑战码的最小长度和最大长度可由鉴别模块进行设置。管理服务 激活将未激活的令牌设为可用状态。激活动态口令令

20、牌的方法如下：）激活时验证动态口令的窗口使用大窗口；）令牌成功激活后，状态设置为就绪；）激活不成功，记录激活错误次数，但不锁定令牌。锁定令牌在连续错误、重放攻击等操作下将就绪状态的令牌设置为锁定状态。令牌被锁定后解决方法如下：犌犅犜 ）令牌被锁定后，应通过解锁服务回到就绪状态；）令牌被锁定后，应通过废止服务设置为废止状态。解锁通过静态口令、静态口令动态口令将锁定状态的令牌解锁，设置为就绪状态。令牌解锁方法如下：）解锁时，要求当前的动态口令；）若设置了静态口令，要求验证静态口令；）若静态口令的验证方式是内部挑战方式，使用内部挑战鉴别；）若静态口令的验证方式是静动态混合方式，使用静态口令动态口令鉴

21、别。挂起将动态令牌设置为挂起状态方法如下：）只有就绪或锁定状态的令牌应被设置为挂起状态；）令牌被挂起后，应通过废止服务设置为废止状态。解挂解除令牌的挂起状态步骤如下：）解挂成功后令牌的状态设置为就绪状态；）要求验证当前的动态口令；）若设置了静态口令，要求验证静态口令；）若静态口令的验证方式是内部挑战方式，使用内部挑战鉴别；）若静态口令的验证方式是普通方式，使用静态口令动态口令鉴别。设置静态口令设置动态令牌绑定的静态口令步骤如下：）要求验证原有的静态口令；）若静态口令的验证方式是内部挑战方式，使用内部挑战鉴别；）若静态口令的验证方式是静动态混合方式，使用静态口令动态口令鉴别。远程解犘 犐 犖鉴别

22、模块可提供远程解 的功能（针对具有 保护的令牌）。根据应用请求，鉴别模块生成当前的远程解 密码，应从以下几个方法来设置：）解 的密码为的数字串，长度最少为位；）解 的操作最大尝试次数不可超过次，若超过最大尝试次数，应至少等待才可继续尝试；）超过最大尝试次数的情况不可超过次，否则令牌应永久锁定，不可再使用。同步与窗口要求鉴别模块提供令牌的同步服务有以下几种：）在大窗口、中窗口内验证令牌的连续个动态口令，若成功，调整令牌的系统偏移量；）在小窗口内验证令牌的当前动态口令，若成功，调整令牌的系统偏移量；犌犅犜 ）令牌的同步服务不改变令牌状态。废止令牌损坏或失效后，可使用鉴别模块的废止服务将其废止。废止

23、的令牌不可再用于用户的身份鉴别和交易验证。系统仅保留该令牌的使用历史记录。令牌信息查询鉴别模块应提供令牌的信息查询服务，包括：令牌的当前状态、上次使用时间、当前累计错误次数等。信息查询服务不改变令牌状态。鉴别模块管理功能 权限管理鉴别模块应对访问人员采取权限控制，不同角色的访问人员赋予不同的操作权限。参数配置鉴别模块应能对鉴别和管理功能参数进行配置。日志管理日志管理包括日志的写入，查询等功能，每条日志至少记录事件的日期和时间、事件类型、主体身份、事件的结果（成功或失效）、日志级别。以下事件应记录日志：）动态口令鉴别，同步的结果；）令牌系统状态的变更；）日志应保留至少年。服务报表鉴别模块应提供对

24、令牌和系统不同时间段对应的状态和结果的统计报表。种子导入鉴别模块应能导入令牌的种子密钥，并设置令牌的初始状态。备份恢复鉴别模块应能对敏感信息进行备份和恢复。安全要求 接入端控制鉴别模块应具有控制应用系统安全接入的方法和措施。通讯敏感字段加密为了防止网络监听的形式对鉴别数据进行窃听和分析，应在鉴别模块和应用系统之间的通讯数据上做加密处理。犌犅犜 种子密钥存储加密鉴别模块中的种子密钥是加密存储的，当鉴别模块接收到鉴别请求时，鉴别模块应首先解密种子密钥加密密钥密文，然后读通过种子密钥和时间因子等信息生成对应的动态口令，并与接收到的动态口令进行比较，从而完成动态口令身份鉴别。令牌安全性控制 锁定及解锁

25、提供锁定机制，当一个令牌连续尝试鉴别失败次数累计达到上限，应对令牌进行锁定，应提供人工解锁和自动解锁机制。防重复鉴别对于已经通过鉴别的动态口令，鉴别模块将予以作废，通过鉴别的动态口令，不能再次通过鉴别。日志安全日志信息应具有校验码，用户对日志信息进行修改可通过校验码检查出来。敏感数据应具有备份恢复机制。鉴别模块针对日志访问应具备相应的访问控制策略，对日志的操作应有记录，以保证日志的完整性和安全性。接入端控制鉴别模块应具有时间校准的处理方法和措施。鉴别模块安全鉴别模块安全应符合目标应用服务或系统的安全需求。密钥管理 概述密钥管理主要是指对种子密钥的生成、传输和存储的安全管理，种子密钥是否安全直接

26、影响到整个鉴别模块是否安全。应从以下几个方面来保护：）生成的安全性；）传输的安全性；）存储的安全性；）使用的安全性。模块架构 模块组成 密钥管理模块组成密钥管理模块主要由系统登录鉴别子模块、用户管理子模块、保护密钥生成子模块、种子密钥生成 犌犅犜 子模块、令牌序号生成子模块、时间同步子模块（可选）、令牌生产配置子模块、硬件密码设备接口子模块和动态令牌读写接口子模块组成，如图所示。图密钥管理模块组成图 系统登录鉴别子模块该模块负责密钥管理模块的用户登录鉴别。用户管理子模块该模块负责密钥管理模块操作员的管理（新建、删除和修改）和权限分配。保护密钥生成子模块该模块主要用于生成密钥系统的根密钥及传输密

27、钥。种子密钥生成子模块该模块的功能是调用硬件密码设备接口生成动态令牌的种子密钥，同时将生成的种子密钥加密后写入导出数据文件。令牌序号生成子模块该模块的功能是根据序号生成规则生成动态令牌的唯一序列号。时间同步子模块（可选）该模块的功能是同步密钥系统的系统时间，以保证种子密钥生成系统与动态口令鉴别模块的时间一致。令牌生产配置子模块该模块的功能是将令牌序列号和种子密钥通过动态令牌读写接口子模块写入动态令牌。犌犅犜 硬件密码设备接口子模块该模块的功能是完成软件与硬件密码设备之间的通讯。动态令牌读写接口子模块该模块的功能是完成软件和令牌之间的通讯。系统安全系统安全的主要目标是保障网络、主机系统、应用系统

28、及数据库运行的安全。应采取防火墙、病毒防治、漏洞扫描、入侵监测、数据备份、灾难恢复等安全防护措施。功能要求 模块功能 系统登录鉴别系统登录鉴别是指密钥管理模块的使用应在系统合法用户登录以后才能使用，且系统对用户分权限管理，不同的用户授权使用不同的功能。用户登录系统一段时间未操作后，系统应能够自动锁定。用户管理用户管理的功能包用户账号和角色的分配、修改和删除。系统角色包括：系统管理员、密钥管理操作员、种子生成操作员和令牌生成操作员。密码管理系统的用户应通过身份鉴别后才能登录系统。保护密钥管理保护密钥管理是指主密钥、传输密钥的生成、备份和更新。密钥的备用载体应使用国家密码管理部门定型的硬件。令牌序

29、列号管理令牌序列号管理功能包括：令牌序列号模板的定义、修改和删除；令牌序列号的生成。种子密钥生成种子密钥管理功能包括：种子密钥的生成和加密导出。令牌生产配置令牌生成配置功能主要是指将种子密钥、序列号和时间（可选）写入动态令牌 时间同步时间同步功能是指生产时间同步令牌时，应预先校对生产电脑的时间。日志日志功能记录密钥管理模块的所有操作及运行日志。兼容性兼容性有以下几种：犌犅犜 ）算法兼容性：能够支持多种分组密码算法来对密钥的管理。）硬件密码设备兼容性：能够兼容多种密码硬件设备，如密码机、密码卡、卡等。系统安全性设计 密钥管理的目的密钥管理的目的是保障系统中所使用的密钥，在其生成、存储、使用等生命

30、周期中的安全性。密钥管理的原则本系统中密钥安全设计应遵循以下原则：）采用国家密码管理局批准的硬件密码设备。）主密钥的生成、存储在硬件密码设备中，并且无法导出。）所有密钥的运算都在硬件密码设备中完成。）种子加密密钥由主密钥对令牌序号分散得到。）主密钥管理机制和灾难恢复机制。密钥管理的机制 对称算法密钥采用非对称算法进行密钥管理保护种子密钥安全时应符合 的原则。对称算法密钥管理模块管理的密钥包括以下种：）主密钥：在令牌应用服务商（如银行、电信公司、企业等）的硬件密码设备中生成与存储、使用。）种子密钥：由硬件密码设备生成。）种子密钥加密密钥：由主密钥对令牌序列号分散获得，用于加密给鉴别模块使用的种子

31、密钥。）厂商生产主密钥：由主密钥对厂商代码分散获得，通过加密提供给厂商使用。）厂商种子密钥加密密钥：由厂商生产主密钥对令牌序列号分散获得，用于加密给动态令牌使用的种子密钥。）传输密钥：由令牌应用服务商的硬件密码设备随机生成，可分拆成多个分量，交付给令牌厂商使用。对称算法密钥管理的示例流程如图所示。犌犅犜 图对称算法密钥管理示例流程图 主密钥主密钥是在令牌应用服务商（如银行、电信公司、企业等）的硬件密码设备中生成与存储，使用 犌犅犜 时不离开该硬件密码设备。有严格的主密钥管理机制和灾难恢复机制。厂商生产主密钥厂商生产主密钥由主密钥分散厂商代码后得到，通过加密提供给厂商使用，存储在令牌应用服务商的

32、硬件密码设备中。传输密钥犓狋用于加密保护厂商生产主密钥的交换。传输密钥随机产生，可分拆成多个分量。解密厂商生产主密钥时，输入传输密钥的多个分量及厂商生产主密钥密文，内部合成传输密钥并解密出厂商生产主密钥保存。种子密钥加密密钥系统中有两种类型的种子密钥加密密钥分别是鉴别硬件密码设备中的种子密钥加密密钥和生产所用的硬件密码设备中的。由主密钥对令牌序号分散后生成。由厂商生产主密钥对令牌序号分散后生成。硬件密码设备内部使用算法负责密钥的分散过程，分散出的种子密钥加密密钥不向硬件密码设备以外导出，不在硬件密码设备内部保存。种子密钥的安全 种子密钥的生成安全种子密钥采用国家密码管理部门批准的随机数发生器生

33、成。种子密钥的传输安全种子密钥的传输安全主要是指种子密钥在生成以后，写入令牌和导入鉴别模块过程中种子密钥的安全。种子密钥写入动态令牌过程的安全该过程应在安全的生产环境中进行，具有安全的管理机制，保证其写入线路的安全性。种子密钥导入鉴别模块过程的安全通过硬件传输方式导入到相关鉴别模块中。数据文件命名规则：厂商代码 数量 。数据文件内容格式如图所示。图数据文件的内部格式 种子密钥的存储安全种子密钥的存储安全是指种子密钥在鉴别模块中的存储安全。当种子密钥在鉴别模块中以算法加密后的密文方式存储时，种子密钥具体的加密流程如下：犌犅犜 ）硬件密码设备使用主密钥对令牌的序列号填充数据到 字节（填充数据为 ）

34、，然后使用算法进行分散，得到种子密钥加密密钥。）对刚刚生成种子密钥进行填充到 字节的整数倍，填充数据的规则遵循中定义的规范（即：对输入数据，在的右端添加（）个取值为（）的字符；也就是说，对，最右端数据块，缺狀个字节则补充狀个数值狀，最少补个 ，最多补 个 （当长度为 字节的整数倍时）。）使用种子密钥加密密钥对填充后的种子密钥数据进行加密。）加密完成后，将种子密钥加密密钥和明文种子密钥数据销毁。）采用上述加密过程好处是每个令牌的种子密钥加密密钥发生重复情况为小概率事件。即便意外失窃一份加密后的令牌种子密钥，并对其破译，对系统内其他令牌的种子密钥安全性也不会造成影响。种子密钥存储时，应包含但不限于

35、以下属性：令牌序列号、密文种子、密钥索引、校验值、创建时间。种子密钥的使用安全种子密钥的使用安全是指使用种子密钥计算动态口令过程中的安全。种子密钥的使用过程全部在硬件密码设备内完成，杜绝了种子密钥在使用过程中泄密的可能。具体使用流程如下：）将令牌序号和密文种子密钥发送到硬件密码设备中，硬件密码设备对加密的种子密钥根据令牌序号进行“种子密钥存储”相同运算，即使用令牌序号由主密钥分散得到种子密钥加密密钥。）对种子密钥密文进行解密获得种子密钥的原文。）使用明文种子密钥和其他相应的参数运算得到动态口令，对客户端发送的鉴别请求进行甄别。）解密完成后，将种子密钥加密密钥和明文种子密钥数据销毁。硬件密码设备

36、接口说明 硬件密码设备应用接口动态口令计算功能：使用种子密钥密文，计算动态口令。鉴别模块密钥管理接口鉴别模块包含以下接口：）种子密钥的生成接口应具备功能：随机产生或运算产生指定长度的种子密钥，根据令牌序号产生种子密钥加密密钥，返回加密后的种子密钥密文。）向令牌导入种子密钥应具备功能：将种子明文写入令牌中。）合成主密钥接口应具备功能：根据密钥成分合成主密钥。）主密钥的备份接口应具备功能：将主密钥备份成多个密文密钥成分。）主密钥的恢复接口应具备功能：将备份的密钥成分，在硬件设备内恢复成主密钥。）传输密钥保护导出主密钥接口 犌犅犜 应具备功能：将主密钥从硬件密码设备中密文导出。）传输密钥保护导入主密

37、钥接口应具备功能：将密文主密要导入硬件密码设备。接口使用权限控制机制建立接口使用权限机制，以达到控制管理接口使用权限的目的。犌犅犜 附录犃（规范性附录）硬件动态令牌要求犃 令牌硬件要求犃 高温按照 中试验方法，严酷等级选择温度：，持续时间：。犃 低温按照 中试验方法，严酷等级选择温度：，持续时间：。犃 高低温冲击按照 ，严酷等级选择高温温度：，低温温度：，暴露试验时间：，转换时间：，循环次数：次。犃 湿度按照 ，严酷等级选择温度：，相对湿度（），试验时间：。犃 工作海拔按照 ，严酷等级选择气压：，持续时间：。犃 跌落按照 中方法一，严酷等级选择跌落高度：。犃 防尘防水按照 中 的要求。犃 标记

38、和印刷按照 ，试验液体：人工合成汗液，力的大小：（），循环次数：次。产品应具备标记文字为：“序列号”和“有效期”。犃 振动按照 ，严酷等级选择频率范围：，振动幅值：，持续时间：。犃 静电放电不低于 中试验等级的标准，即满足外壳端口接触放电，空气放电。犌犅犜 犃 试验过程中试验样品是否处于工作状态的判断标准样品带电运行，目视检查，提供最少 个显示相同动态口令的样品，个一组为参与试验样品，个一组为不参与试验样品，参与试验的样品显示动态口令与不参与试验样品一致即为合格。犃 令牌安全要求犃 种子密钥安全种子密钥为令牌重要安全要素，令牌应保证产品内的种子密钥的完整性，且种子密钥为单向导入令牌（或在令牌内

39、生成），种子密钥不能被导出产品外部。令牌应拥有种子密钥的保护功能。令牌种子密钥加密、存储、使用在令牌芯片的安全区域内实现。犃 令牌芯片安全本标准涉及的令牌芯片，应是国家密码管理部门批准产品型号证书的安全芯片。犃 令牌物理安全令牌具有低电压检测功能。令牌完成种子密钥导入后，通讯端口应失效，不能再输入或输出信息，包括但不限于内部参与口令生成运算的、信息。令牌应防范通过物理攻击的手段获取设备内的敏感信息，物理攻击的手段包括但不限于开盖、搭线、复制等。令牌芯片应具备令牌掉电后，会自动销毁种子密钥的措施。令牌芯片应保证种子密钥无法通过外部或内部的方式读出，包括但不限于：调试接口、改编的程序。令牌芯片可防

40、范通过物理攻击的手段获取芯片内的敏感信息，确保种子密钥和算法程序的安全性。令牌芯片应具备抵抗旁路攻击的能力，包括但不限于：抗攻击能力、抗攻击能力。在外部环境发生变化时，令牌芯片不应泄露敏感信息或影响安全功能。外部环境的变化包含但不限于：高低电压、高低温、强光干扰、电磁干扰、紫外线干扰、静电干扰。犃 使用安全具有数字和功能按键的令牌应具有 保护功能，长度不少于位，并具有 防暴力穷举功能。令牌可具有 找回功能，即令牌用户如果忘记令牌，可通过安全有效的环境与机制找回令牌，或对令牌 进行重新设置（如远程解）。输入错误的次数不可超过次，若超过，应至少等待才可继续尝试。输入超过最大尝试次数的情况不可超过次

41、，否则令牌应永久锁定，不可再使用。令牌基本使用寿命为年，令牌产品最长使用不超过年。室温环境下，令牌时间偏差小于 年。犃 安全评估动态令牌产品安全评估按照 、和 的规定进行评估。犌犅犜 附录犅（资料性附录）动态口令鉴别原理动态口令的鉴别原理是通过客户端（动态令牌）与鉴别服务端（鉴别模块），以相同的运算因子，采用相同的运算方法，生成相同的口令，并进行比对来完成整个鉴别过程。通常，口令的比对是由鉴别服务提供端完成。具体如图 所示。图犅 基本鉴别原理图 犌犅犜 附录犆（资料性附录）鉴别模块接口犆 服务报文格式犆 报文格式鉴别模块的服务报文由报头报体构成。其中报头定义报文类型和选项，报体为具体的服务请求

42、或服务响应数据。报头的格式见表。表犆 鉴别模块的报头格式偏移量名称长度（字节）描述说明报头长度标识报头长度报文类型标识报文类型：请求报文：响应报文：不需要校验：需要校验版本标识报文版本：版本调用者标识调用者为调用者分配的标识，缺省可为个 调用号标识本次调用响应由调用者产生的调用号，调用号应每次不同 报体长度标识报体长度不包含报头的报文长度 校验值如果报文类型 设置为，即需要校验，有本数据项。将报头（不含本项）与报文，使用算法运算，取低位的个字节，作为校验值犆 服务请求报文当报头的报文类型标识的 是时，为服务请求报文。服务请求报文的格式为：请求头数据体。请求头的格式见表。表犆 请求头格式偏移量名

43、称长度（字节）描述说明服务标识标识请求的鉴别模块服务鉴别模块提供的服务。其中 以上为自定义服务 犌犅犜 表犆（续）偏移量名称长度（字节）描述说明服务选项标识服务请求的参数根据具体服务的不同设置参数数据项个数标识服务请求的数据项个数数据体包含的数据项个数犆 服务响应报文当报头的报文类型标识的 是时，为服务响应报文。服务响应报文的格式为：响应头数据体。响应头的格式见表。表犆 响应头格式偏移量名称长度（字节）描述说明服务标识标识响应的服务请求鉴别模块提供的服务。其中 以上为自定义服务结果标识标识服务响应的结果其中 以上标识服务请求错误。第个字节标识具体的结果代码数据项个数标识服务响应的数据项个数数据

44、体包含的数据项个数犆 数据体及数据项格式数据体由请求头或响应头设定的数据项个数的数据单元组成，其格式为：数据项数据项数据项狀每个数据项的格式见表。表犆 数据项格式偏移量名称长度（字节）描述说明数据属性标识数据属性 为，加密数据 为，明文数据数据标识标识数据的含义数据项的含义，其中 以上为自定义数据项数据长度标识数据项的长度数据内容数据长度由数据长度规定的数据内容犆 服务标识鉴别模块的服务标识见表。犌犅犜 表犆 鉴别模块服务标识名称值描述说明动态口令鉴别 动态口令鉴别请求挑战应答鉴别 挑战应答鉴别请求产生挑战码 请求一个挑战码激活 激活令牌锁定 锁定令牌解锁 解锁令牌挂起 挂起令牌解挂 解除令牌

45、挂起设置静态口令 设置令牌绑定的静态口令远程解 请求远程解 密码同步 强制令牌同步更新 更新令牌密钥废止 将令牌废止令牌信息查询 查询令牌信息犆 数据标识鉴别模块的数据标识见表。表犆 鉴别模块的数据标识名称标识描述说明厂商标识 令牌的厂商标识序列号 令牌序列号动态口令 动态口令下一口令 下一个动态口令交易内容 交易内容用于计算挑战码或校验挑战应答口令挑战码 根据交易内容产生的挑战码应答码 应答码用于验证的应答码 码 与令牌绑定的 码新 码 设置的新 码更新码 更新令牌的更新码初次激活时间 初次激活时间最近使用时间 最近使用时间过期时间 过期时间 犌犅犜 表犆（续）名称标识描述说明错误次数 错误

46、次数令牌状态 令牌状态未激活、就绪、锁定、挂起、作废令牌型号 令牌型号犆 返回码鉴别模块的返回码见表。表犆 鉴别模块的返回码名称 描述说明安全服务成功 安全服务成功 动态口令鉴别成功 挑战应答鉴别成功 挑战码成功安全服务失败 安全服务失败 要求下一个口令 动态口令错 码失败 口令已被验证过管理服务成功 管理服务成功 标识对应的管理服务管理服务失败 管理服务失败 要求下一个口令 动态口令错 码失败 口令已被验证过 同步失败令牌错误 令牌错误 没有厂商号 没有这个令牌 令牌记录错误 令牌被锁定 令牌被挂起 令牌未激活 令牌已被废止 犌犅犜 表犆（续）名称 描述说明令牌错误 令牌已过期报文错误 报文

47、错误 报文不正确 报文校验错 未授权的访问 没有指定的服务 服务参数错误犆 应用接口鉴别模块应提供 接口和 接口。犌犅犜 附录犇（规范性附录）运算参数与数据说明用例采用和的运算参数与数据说明用例，为种子密钥，犜为，为时间表示的时间因子，为事件因子，为挑战数据，和输出结果分别是 比特和 比特，截位结果是截位运算后的输出数据。具体见表 和表。表犇 犛犕算法产生动态口令的中间结果实例表输入参与运算的值（）输出结果 截位结果 表犇 犛犕算法产生动态口令的中间结果实例表输入参与运算的值（）输出结果 截位结果 犌犅犜 附录犈（资料性附录）动态口令生成算法犆语言实现用例犈 采用犛犕的动态口令生成算法用例 （

48、）；（）；（）！（）；犌犅犜 （）（）（）（）（）；（）；（，（）；（）；（）；（）；（，）（）（）（）；（）（）；（，）（）（）；（）（）；犌犅犜 （，）（！）；（，）；（）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，），），），），），），）；（，（）；（）（）（）（）（，）（）（！（）犌犅犜 ）；（，）；（！）（）（）；（！（）（！）（）；（！）（）；（）；（）（？（）：）（？（）：）（？（）：）；（）；犌犅犜 ；（）；

49、（，）；（）（，）；（！）（，（）；（）；（！）（，（）；（）；（！）（，（）；（，）；（，（），（）；（）；（：，（，）；（：，（，）；（：，（，）；（：，（，？：（）；（：，（，）；（：，（，）；犌犅犜 （：，（，（）；（！（）（）；（）（，）；（，）；（，）；犈 采用犛犕的动态口令生成算法用例 （，）（）（）？（）：（）（，）（）（）？（）：（）（）犌犅犜 ；（）；（）！（）；（）（）（）（）（）；（）；（，（）；（）；（）；（）；（，）（）犌犅犜 （）（）；（）（）；（，）（）（）；（）（）；（，）（！）；（，）；（）；（，）（，）（，）（，）；（，）（，）（，）（，）；（，）（，）（

50、，）（，）；（，）（，）（，）（，）；（，），），）；（，（）；犌犅犜 （）（）（）（）（，）（）（！（）；（，）；（！）（）（）；（！（）（！）（）；（！）（）；犌犅犜 ；（）；，；（！）；（），（？（）：）（？（）：）（？（）：）；（！）；（）；（）；（，）；（，）；（！）犌犅犜 （，（）；（）；（！）（，（）；（）；（！）（，（）；（，）；（：，（，）；（：，（，）；（：，（，）；（：，（，？：（）；（；）（，）；（）；（：，（，）；（：，（，）；，；犌犅犜 ；（，）；（；）；（）；（）（）；（，）；（；）；（）；（）（）；（，（），（）；（：，（，（）；（！（）（）；（）（，）；（，）