GMT 0021-2023 动态口令密码应用技术规范

代替GM/T0021—2012动态口令密码应用技术规范国家密码管理局发布I Ⅲ 1 1 1 34.1符号 34.2缩略语 3 35.1概述 35.2生成动态口令 45.3验证动态口令 65.4动态因子同步 6 7 8 86.2动态口令令牌 96.3动态口令鉴别系统(服务) 6.4种子密钥管理系统 7动态口令系统检测方法 7.1试验条件 7.2动态口令令牌 7.3动态口令鉴别系统(服务) 7.4种子密钥管理系统 附录A(资料性)种子密钥管理方案示例 附录B(资料性)动态口令令牌的密码模块规格 附录C(资料性)动态口令系统与应用系统对接 20 22Ⅲ本文件按照GB/T起草。本文件代替GM/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定0021—2012《动态口令密码应用技术规范》,与GM/T0021—2012相比，除结构调整和编辑性改动外，主要技术变化如下：a)删除了种子密钥管理系统的兼容性要求(见2012年版的9.3.2);b)增加了规范性引用文件GB/T2423.3—2016(见)、GB/T2423.7—2018(见)、GB/T15852.1—2020(见52.3)、GB/T17901.1—2020(见5.5.1)、GB/T32905(见5)、GM/T0028(见5.5.5)、GM/T0039(见7.2.2)、GM/T0051—2016(见5.5.3)、了规范性引用文件GB/T2423.81995(延2012年版的Z16).GB/T2423.90-2001(见2012年版的7.1.4)、GB/T1833612008(址2012车版的72.5)-GB/T183362—2008(见2012年版的7,2.5)、GB/T1833682008(-2012年版的7.2.5)CB1210702007见2012年版的7.2.5)、CM/T0002—2012602012年6.2.M/T0001201zC见2012年版的6.2.1)以及GM/T0005-2012(见2012年6.2.1)c)删除了术语“静态口参2012年版.3)、(见2012年版的3.7)、认证系统”(见2012年版的3.8)、“未激2012年版的3就绪”(L2012作版的3.2012年版的3.11)、“插起(元1年版的3.12)“作废文见2012年脑的3.3)、自动解锁”(见2012年版的3.10“密硼管理C页2012年版的3-15)“硬件密码设备”(见2012年版的3.16)、“密钥”(见2012年版的3.17)“服务服表”见2012年版的3.18)、“接口”见2012年版的3.19)“大窗口”(见2012年版的3.20)、“中窗口”(见2012年版的3.21)、“小窗口”(见2012年版的3.22)、“种子密钥加密密钥”(见2012年版的3.23)、“厂商生产主密钥”(见2012年版的3.24)、“主密钥”(见2012年版的3.25)、“厂商代码”(见2012年版的3.26)以及“内部挑战认证”(见2012年版的3.27),增加了术语“置零”(见3.6)“动态口令系统”(见3.7)、“SM3算法”d)增加了缩略语(见4.2);e)增加了“密钥管理”对密钥管理相关各方的描述和要求(见5.5);f)删除了动态口令鉴别系统(服务)与密码应用无关的功能要求(见2012年版的8.3);g)删除了种子密钥管理系统与密钥管理无关的功能要求(见2012年版的9.3.1);h)增加了“动态口令系统检测方法”(见第7章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位：飞天诚信科技股份有限公司、上海复旦微电子集团股份有限公司、北京集联网络技术有限公司、格尔软件股份有限公司、北京宏思电子技术有限责任公司、北京天融信网络安全技术有限公司、西安交大捷普网络科技有限公司、山东渔翁信息技术股份有限公司、上海华虹集成电路有限责 2012年首次发布为GM/T0021—2012:1动态口令密码应用技术规范本文件规定了动态口令的基本原理、动态口令系统的技术要求以及动态口令系统的检测方法。本文件适用于动态口令相关产品的研制、生产、应用，也可用于动态口令系统以及相关产品的密码应用合规性检测。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T24231-2008电工电子产品环境试验一第2部分；试验方法三试验A:低温GB/T2423.2—2008电工电产品环境试验_2部分。试验方法一试验B:高温GB/T2423.3—2016环境武验一第2部芬：试验方法一试验C恒定湿腿试验GB/T2423.7-2018环境试验第2部分验方公试验相率操作造成的中击主要用于设备型样品)GB/T2423.53-2005电于电子声品环境试验第2部分试验方法Xb:由手的摩擦造成标记和印刷文字的磨损GB/T4208-207外壳防护等级OP代码)GB/T15852.1-2020信息技术安全技术消息鉴别码第1部分：采用分组密码的机制GB/T17626.2-2018电磁兼容试验和测量技术静电放电抗扰度试验GB/T17901.1—2020信息技术安全技术密钥管理第1部分：框架GB/T32905信息安全技术SM3密码杂凑算法GB/T32907信息安全技术SMA分组密码算法GB/T32915信息安全技术二元序列随机性检测方法GB/T39786信息安全技术信息系统密码应用基本要求GM/T0008安全芯片密码检测准则GM/T0028密码模块安全技术要求GM/T0039密码模块安全检测要求GM/T0051—2016密码设备管理对称密钥管理技术规范GM/T0061—2018动态口令密码应用检测规范GM/T0062—2018密码产品随机数检测要求GM/Z4001密码术语3术语和定义GM/Z4001界定的以及下列术语和定义适用于本文件。23%:求余。(动态因子)输入输入生成输入(动态因子)45.2.1计算时间因子ID={T|CllQ}ID——杂凑密码算法或分组密码算法的输入序列；Q——鉴别双方通过协商输入的挑战因子(或其他类型参与运算的因子),使用ASCII码表示。含目视难以识别的字符(例如空格)或容易混淆的字符(例如数字1和字母1、数字0和字母O、字符’和字符)。输入序列的长度应不少于128比特，应至少包括T、C两个因子中的一个。Q为可选参数。未包 (3)5F——算法函数；S——一次性中间值。种子密钥的长度应不小于128比特。算法函数可使用SM4算法或SM3算法。一次性中间值的输出长度应为128比特(如果使用SM4算法)或256比特(如果使用SM3算法)。SS图2使用SM3算法的计算过程a)取K的前128比特数据(从高位记起)作为密钥参与运算。b)在ID末端填‘O’,至128比特的整数倍长度(应符合GB/T15852.1—2020中6.3.2的要c)将ID₁和K作为第一个分组运算的输入，通过SM4运算生成S₁(应符合GB/T15852.1一2020中6.5.2的要求)。将S₁与ID₂进行算术加运算(高位溢出舍去),其结果与K一起用于第二个分组的输入，通过SM4运算生成S₂。之后的运算以此类推。使用SM4算法的计算过程见图3。d)将Sm作为一次性中间值输出(应符合GB/T15852.1—2020中6.8.2的要求)。KKS图3使用SM4算法的计算过程 (4)OD——截为8个4字节整数，通过公式(5)赋值： (5)6GM/T0021—2023 — P——动态口令(通常显示为十进制数字);OD——一次性中间值(5.2.4的输出);动态口令的位数应不小于6。后清除当前验证码)为使声称方与验证方所使用的动态因子重新同步，可采用以下方式调户端生成的连续多个(≥2个)动态口令分别进行比对。如果存在多个动态口令均一致的情况，则将对应的动态因子最大值设为动态因子的当前值，或记录动态因子最大值与动态因时间因子同步所使用的浮动范围应为以下之一：7密钥管理的对象是种子密钥。密钥管理涉及以下实体： 制造方(可选):受生产方委托制造动态口令令牌； 密钥管理中心：对种子密钥进行生命周期全过程管理密钥管理中心可设置在生产方或应用方，也可设置为独立第三方，但不应设置在制造方或建设方。密钥管理中心使用密码算法应符合密码国家标准、行业标准的相关要求，宜使用通过商用密码产品认证的密码设备提供的密码服务。种子密钥的生命周期包括以下阶段：——产生：种子密钥在密钥管理中心生成； 待激活：种子密钥被安装到动态口令令牌及动态口令鉴别系统(服务); 可用(对应GB/31定义的没激活没状态);和子密钥能够被正常使用； 丢弃：种开密钥脱离受控范如动态风冷令牌丢失产 销毁：种子密钥被置种子密钥的有效期应不大15年(60个月生命周期的各阶段逻辑关系如图年所示。置置零失过期图4种子密钥生命周期5.5.2种子密钥生成种子密钥的长度应不少于128比特。应使用随机数发生器生成种子密钥。随机数发生器应符合以下要求之一——是通过商用密码产品认证的密码产品；89图5动态口令系统组成框图6.2动态口令令牌6.2.1密码服务功能要求生成动态口令的方法应符合52的要求。支持时间因子的动态口令变商时读产编差应不大于-mn硬件动态口令令牌使用的安全芯片应符合以下条件——是通过商用密码产品认证的产品；可支持用户鉴别功能(例如带有键盘，生成动态口令前输入PIN)。如果用户鉴别连续多次不通过，动态口令令牌应锁定(种子密钥进入锁住状态，参见55.1)。触发锁定的用户鉴别连续不通过次数应不大于5次。可支持解锁功能(例如一定时间后自动解锁)。如支持自动解锁，从锁定到解锁之间的间隔时间应不小于1h。6.2.2密码应用安全要求动态口令令牌应符合GM/T0028的要求。动态口令令牌的密码模块规格见附录B。动态口令令牌的有效期应与内置的种子密钥相同。如果内置的种子密钥过期，动态口令令牌宜失效。可通过更新种子密钥/重新安装种子密钥使动态口令令牌重新生效。应采取有效的技术措施保障更新种子密钥/重新安装种子密钥的安全性。按照GB/T2423.22—2012中试验方法Na进行测试，严酷等级选择高温温度：+50℃,低温温按照GB/T2423.7—2018中的“自由跌落——方法1”进行测试，严酷等级选择跌落高度：按照GB/T17626.2—2018中试验等级3进行测试。测试结束后，硬件动态口令令牌应能正常6.3动态口令鉴别系统(服务)——用户管理(可选):管理和维护动态口令令牌验证动态口令所使用的窗口应符合5.3的要求。生成挑战码(如果支持挑战因子)应使用随机数。生成随机数所使用的随求之一：—所使用的随机数发生器生成的随机数符合GB/T32915的要求。应符合5.4的要求。说明应不对未激活状态的令牌进行动态口令鉴别就绪状态下令牌可用于口令鉴别定后处于锁定状态应不对锁定状态的令牌进行动态口令鉴别应不对挂起状态的令牌进行动态口令鉴别应不对作废状态的令牌进行动态口令鉴别如令牌连续多次鉴别动态口令不通过，应自动锁定该令牌。触发自应不大于5次。可在一定时间后自动解锁，从锁定到解锁之间的间隔时间应不小于1h。可基于常见的鉴别协议封装动态口令密码服务接口，例如RADIUS(见附录C)。接口应支持动态应用动态口令技术时，应根据应用系统际情况不取符合GE39786相应等级为动态口令鉴别系统(服务配置的网络措施应用系统的网络安全要求。应采取有效的技术措施保明所有储种子上的机三性和完整推种密钥存储应使用以下方式之一：——存储在密码设备内——加密后存储在密码设备以外的位置(例如数据库)加密所便用的密钥加密密钥存储在密码设备内。——对动态口令鉴别系统(服务)和应用系统●动态口令令牌状态变更；●动态口令鉴别。 ●生成动态口令的方法符合5.2的要求； 认证的密码产品提供的随机数生成服务生成。7.1.4试验样品动态口令令牌样品数量不少于12支。令牌中应导入相同的种子密钥(从参照种子密钥管理系统中选取)。如支持事件动态因子，初值应为1;如支持时间因子，初值对应的UTC值应不超过当前时间的UTC值士2min。从样品中选取6支进行测试，如果受试的样品在测试结束后能够生成动态口令且与未受试的样品一致，则判定为测试后能正常工作。动态口令鉴别系统(服务)样品数量应为1套。样品中应导入指定的种子密钥(从参照种子密钥管理系统中选取),数量应不少于10个种子密钥管理系统样品数量应为1套。7.2动态口令令牌7.2.1密码服务功能测试生成动态口令的方法按照GM/I00612018日51进行则试。将动态且令令牌样品生成的动态口令与参照动态令生成软理使用厢时参数重成的动态目委目对，如参置三致，则测试通过；否则不通过。应核查动态口令令牌的安个心是否通用密码认证。用户鉴别按照GM/T00018中5.2.进行侧试。锁定按照GM/T0061-2018主进行测试。解锁按照GMXT00612016中52工3进行测试7.2.2密码应用安全测试按照GM/T0039进行测试。7.2.3硬件动态口令令牌按照中的试验方法和参数进行测试按照中的试验方法和参数进行测试。按照中的试验方法和参数进行测试。按照中的试验方法和参数进行测试。用符合GM/T0030要求且通过商用密码产品认证的产品)。动态口令令牌制造工装属于(建设方)(建设方)(制造方)——密钥管理中心由K,基于令牌序列号分散获得Kg,用Ks对种子密钥计算鉴别码并加密，将——建设方在密码机中由K,基于令牌序列号分散获得Ks,对加密后的(带鉴别码的)种子密钥解表A.1密钥类型管理密钥用户密钥管理密钥密钥加密密钥密钥加密密钥用户密钥管理密钥密钥加密密钥密钥加密密钥(资料性)硬件动态口令令牌的密码模块类型为硬件模块。密码边界是令牌的物理边要部件包括安全芯片、电池等。组成框图如图B.1所示(图上还标明了密码边界、物理端口和逻辑功能键物理端口及其对应的逻辑接口类型如表B.1所示。物理实体类型为单芯片。运行环境类型为不可物理端口简介其他功能按键(可选)触发令牌其他功能(如切换动态因子等)数字按键(可选)显示屏显示当前动态口令(以及其他信息，例如电量等)数据输出、状态输出线圈(或触点)角色与权限如表B.2所示。表B.2角色与权限鉴别机制用户(可选)密码主管(CO)基于设备认证密钥B.2软件动态口令令牌描述为密码模块软件动态口令令牌的密码模块类型为软件模块。密码边界由可执行文件确定。示例如图B.2所示。运行环境类型为可修改的运行环境。软件令牌App通用硬件(CPU、触摸屏等)图B.2软件动态口令令牌框图示例软件接口及其对应的逻辑接口类型如表B.3所示。表B.3软件动态口令令牌接口软件接口数据输出、数据输入(挑战码，可选)身份鉴别(可选)令牌输入当前动态口令所需的身份鉴别(资料性)动态口令系统与应用系统对接RADIUS(RemoteAuthenticationDialInUserService,远程认证拨号用户服务)是一种应用广泛的AAA(AuthenticationAuthorizationAccounting,鉴别、授权与计费)服务。RFC2865及RFC2866对RADIUS进行了详细规定。RADIUS的典型工作过程包括：a)用户向RADIUS客户端(或作为RADIUS客户端使用的NAS)提供鉴别信息(例如用户名/口令);b)RADIUS客户端将用户提交的鉴别信息封装在接入请求数据包中(数据包中还包括客户端ID和用户访问端口的ID),发给RADIUS服务器；c)RADIUs服务器进行用户鉴别，将鉴别结果回送给RADIUS客户端；d)RADiUS客户端如果收到鉴别结果为“允连接人”则为用户建立连接，对用户进行授权和提标进码Eode长Eee图DIUS消息结构——Code字段的长度为1字节，其值表示RADIUS消息的类型(请求接人、允许接入、拒绝接入等); Identifier字段的长度为1字节，用于匹配请求消息与回复消息(请求消息与对应的回复消息——Length字段的长度为2字节，其值为整个消息的长度(以字节为单位); Authenticator字段的长度为16字节，其值为基于预共字密钥生成的消息鉴别码； Attributes字段包括若干(0个或多个)TLV结构的内容(属性)。RADIUS定义了包括用户名和口令在内的一系列属性，并且预留编码26作为自定义属性。PAM(PluggableAuthenticationModules)是一种鉴别机制，在Linux、UNIX等操作系统得到广泛应用，国产操作系统(例如统信操作系统、优麒麟系统等)也普遍支持。PAM使应用程序与鉴别机制的具体实现分离，当鉴别机制变更时，不需要修改应用