《基于国密动态令牌身份认证管理系统 技术规范》

ICS点击此处添加ICS号

CCS点击此处添加CCS号

SDBMXH

团体标准

T/SDBMXH2023—XXXX

基于国密动态令牌身份认证管理系统

技术规范

IdentityAuthenticationManagementSystemBasedonGMDynamicToken

Technicalspecification

（征求意见稿）

（本草案完成时间：2023.9.21）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

2023-XX-XX发布2023-XX-XX实施

山东省保密协会发布

T/SDBMXH2023—XXXX

基于国密动态令牌身份认证管理系统

技术规范

1范围

本文件规定了基于国密动态令牌身份认证管理系统（以下简称“认证系统”）的总体框架，设计要

求、功能要求以及系统功能的测试方法。

本文件适用于基于国密动态令牌身份认证管理系统。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T38556—2020信息安全技术动态口令密码应用技术规范

3术语、定义和缩略语

术语和定义

下列术语和定义适用于本文件。

3.1.1

动态密码（动态口令）one-time-password，dynamicpassword

由种子密钥与其它数据，通过特定算法，运算生成的一次性密码口令。

3.1.2

动态令牌one-time-passwordtoken，dynamictoken

生成并显示动态密码的载体。

[来源：GB/T38556—2020,3.2]

3.1.3

种子密钥seedkey

即令牌种子密钥，计算动态口令的密钥。

[来源：GB/T38556—2020,3.3]

3.1.4

静态口令staticpassword

用户设置的，除非用户主动修改，否则不会发生变化的口令。

[来源：GB/T38556—2020,3.4]

3.1.5

接入设备AccessDevice

接入基于国密动态令牌身份认证管理系统的所有类型应用系统、网络设备、操作系统。

缩略语

下列缩略语适用于本文。

AD：活动目录（ActiveDirectory）

AAA：认证、授权、审计（Authentication、Authorization、Auditing）

LDAP：轻型目录访问协议（LightweightDirectoryAccessProtocol）

1

T/SDBMXH2023—XXXX

HTTPAPI：基于HTTP（HypertextTransferProtocol）协议定义的应用程序接口(Application

ProgrammingInterface)

SSL：安全套接层（SecureSocketLayer）

SM3:SM3密码杂凑算法

PIN：个人身份识别码（PersonalIdentificationNumber）

Radius：远程用户拨号认证系统（RemoteAuthenticationDialInUserService）

TACACS+：终端访问控制器访问控制系统（TerminalAccessControllerAccess-ControlSystem

Plus）

4总体框架

基于国密动态令牌身份认证管理系统由身份认证管理系统、国密动态令牌、用户自助服务以及认

证插件构成，结合外部用户源（AD/LDAP）为应用系统、网络设备以及操作系统等接入设备提供动态密

码身份认证服务。认证系统如图1所示。

图1基于国密动态令牌身份认证管理系统架构

动态令牌生成显示动态口令，用户主体通过浏览器或应用客户端提交动态密码与身份验证信息，

应用系统按照协商指定的协议（报文）将用户身份信息与动态密码发送至认证系统进行校验，认证系统

依据用户源校验用户身份信息并鉴别动态密码。

5设计要求

设计原则

认证系统应在提供安全有效的动态密码鉴别服务的前提下，遵循以下基础设计原则：

a)令牌的绑定对象为用户主体而非用户账户；

b)单个动态密码仅可使用一次；

c)认证接口仅可供认证系统可管理设备调用；

d)认证系统维护操作的便捷；

e)针对接入设备具备良好的兼容性；

f)认证系统具有高可用性；

g)认证过程具备可追溯性；

h)在无互联网接入情况下提供可运行的动态密码身份认证服务。

用户管理

5.2.1一般要求

2

T/SDBMXH2023—XXXX

用户管理应实现多个接入设备环境下统一用户身份信息管理。可管理的用户源包括认证系统

内新建用户的内部用户源与来自AD或通用LDAP的外部用户源，用户源的管理应采用统一的方式实现

用户组织架构、用户、用户角色管理，若同时具有内部用户源和外部用户源应通过标注或其他方式区分

用户来源。

用户管理应支持维护便捷性，可提供批量导入与导出操作。导出用户不应包含用户密码、用

户所关联动态令牌的密钥。

用户基本信息可管理的内容应与认证系统所实现的认证方式关联，不应收集与认证系统无关

的用户标识信息或隐私信息。对于临时用户应实现其认证的时间段可控，动态令牌应具有有效期控制。

5.2.2密码策略

用户密码策略应可设定密码最大或最小长度、密码有效期、历史密码是否允许使用、历史密

码个数限定、密码到期前通知，密码过期后通知、自动重置已过期的密码并进行通知、密码复杂度以及

密码所须包含字符类型。

弱口令检测规则应可定义。在用户账号设定、修改密码时自动匹配弱口令检测规则，检测为

弱口令时应及时提示，并使得口令设定或修改不能成功执行。

5.2.3用户状态

用户状态应区分用户是否可用以及用户使用过程中异常状态，可使用“启用”、“未启用”、“锁

定”等状态用语标识。

5.2.4账号创建规则

用户账号管理时应可设定账号命名规则，在创建用户账号时应依据账号命名规则检测，对于不符合

规则的账号进行消息提示，并使得账号创建不能成功执行。

5.2.5用户组织架构

用户组织架构宜采用树形结构，默认所有用户属于根节点，子节点仅可管理该节点下用户。

5.2.6用户角色

单个用户应支持拥有多个角色。多个用户角色属于同一个用户时，不应出现用户角色权限冲

突，应有角色权限优先级解决方案。

用户角色权限应遵循完成其工作所需的最小权限分配原则，用户角色权限不应涉及认证系统

管理的权限分配。

5.2.7用户安全

对于同一时间段内同一用户连续登录失败等异常用户登录行为应提供相应的处理措施，如锁定用

户。应支持基于异常登录行为设定用户登录风险预判规则，用户登录行为与风险预判规则匹配时应立即

禁用用户并通过消息通知系统管理员。用户账户被系统禁用后应由系统管理员人为干涉解除风险后启

用用户账户。

5.2.8外部用户源同步

用户来源于外部AD或LDAP时，应提供用户同步功能，能同步外部用户源的用户增、删、改信息。同

步外部用户字段时应支持字段过滤，不应同步涉及用户个人隐私的数据。

令牌管理

5.3.1一般要求

令牌管理应提供令牌的测试、校验与纠偏功能。

使用软件令牌时，认证系统应依据算法生成令牌，至少能基于SM3算法生成令牌，动态密码

的生成应符合GB/T38556—2020第6章。

3

T/SDBMXH2023—XXXX

令牌管理过程中应减少令牌种子密钥的传输过程，并在传输过程中采用安全的方式。认证系

统中不应呈现明文种子密钥或密文种子密钥。

令牌批量管理导出时不应出现种子密钥。令牌的分发与绑定过程应通过令牌序列号进行相应

配置。令牌进行分发或绑定后长期未被使用应自动将令牌置于不可用状态。

5.3.2令牌序列号

令牌序列号应在认证系统内具有唯一标识性与可记忆特性。令牌序列号可采用一定长度的前缀和

特定长度的随机数构成。

5.3.3令牌绑定关系

令牌应通过令牌序列号与用户名形成绑定关系，若用户名支持多个令牌的绑定时，应在该用户名下

通过PIN码明确令牌与用户主体关联关系。

5.3.4令牌激活码

令牌激活码应具有有效期，动态令牌应用对于过期激活码应给出过期提示并忽略令牌种子密

钥。

令牌激活应支持二维码扫码激活、用户密码校验激活，用户名密码校验激活应有消息验证码

验证。

设备管理

5.4.1一般要求

设备管理应支持将接入设备进行分组管理以及设备的基本信息管理。设备基本信息应包含设备标

识名称、设备IP地址、接入通讯协议、通讯交互的共享密钥以及认证方式与认证策略等。

5.4.2接入通讯协议

接入通讯协议为接入设备与认证系统进行数据报文交互通讯的依据。接入通讯协议应包含通

用的Radius、TACACS+以及提供完整说明的HTTPAPI协议。所有接入通讯协议交互过程中共享密钥应

采用密文方式进行交互。

HTTPAPI应提供详尽的参数配置，通讯过程中不应有非规定参数且涉及密码、动态密码字段

均应进行密文传输，HTTPAPI参数定义参见附录A。HTTPAPI应支持SSL传输。

在已有Radius服务器场景下，认证服务器应支持基于Radius完成动态密码认证后转发

Radius数据报文至已有Radius服务器。认证系统应支持Radius属性扩展，通过扩展属性与接入设备

适配。

5.4.3认证策略

认证策略应具有标识名称，可对静态密码、动态密码、PIN码进行组合实现不同需求的认证鉴别。

应支持基于用户角色、用户源、用户组的用户过滤。用户过滤可采用选取或排除的方式进行，使得选取

的用户适用本策略，排除的用户不适用本策略。

授权策略

对于网络设备通过Radius、TACACS+协议接入认证系统应支持认证、授权与审计的AAA认证，应支持

设定基于用户角色、用户组、用户授权特定网络设备操作指令与指令集。对于登录设备的用户使用非授

权指令或涉及影响网络安全的指令时应及时发出消息告警并通知系统管理员。

日志管理

日志应为用户认证或系统管理提供可追溯的依据。认证日志应包含时间、用户、来源设备、动态令

牌、认证结果等字段；操作日志应包含时间、用户、所做操作、操作结果等字段。日志管理应可设定日

4

T/SDBMXH2023—XXXX

志保留时长，所允许的最长保留时长不应低于2年。日志管理应提供按时段批量文件导出。应支持通过

日志传输协议（syslog）将日志传输至外部日志服务器。

系统管理

5.7.1系统管理应提供可分级别的系统管理员，系统管理员级别应至少支持3级且各自级别具有不同

认证系统管理权限。系统管理员登录认证系统应支持动态口令认证，系统管理员应与5.2中的用户具有

完全不同的功能属性。系统管理员为认证系统的内部管理用户，不应作为接入设备的用户。

5.7.2认证系统应提供主备模式或双活模式高可用方案。若认证系统具有用户自助服务能力，用户自

助服务应支持单独部署，不应与认证系统采用统一地址与端口提供服务。

5.7.3认证系统应为令牌激活码推送、消息认证、通知预警信息等提供消息服务，消息服务应支持已

获审批模板短信、邮件、消息服务器或办公通讯软件等推送消息。

6功能要求

功能概述

6.1.1基于第5章的要求应实现用户名密码校验、用户名动态密码校验、用户名密码动态密码校验、

用户名密码PIN码动态密码校验，对于密码、动态密码、PIN码的组合校验应提供单次认证方式与多次

认证方式。

6.1.2当认证请求数据报文进入认证系统时，认证系统应正确且有效的识别该认证请求来自的接入设

备信息；所请求的用户是否具有登录该接入设备的权限。

用户名密码认证要求

认证系统应能有效识别用户所属用户源、用户名密码校验结果以及用户密码有效期。当用户属于认

证系统内部用户时，应能检测其密码强弱级别，对于弱密码应给于反馈并要求修改密码后重新登录。

用户名动态密码认证要求

用户名动态密码认证时，认证系统可依据用户与令牌绑定关系进行动态密码口令校验，返回校验结

果并记录校验过程。若用户名绑定多个令牌，应进行PIN码校验。

组合方式单次认证要求

6.4.1使用用户名与静态密码和动态密码组合在同一个数据报文中进行认证，认证系统应分别校验静

态密码、动态密码，并将校验结果进行与计算作为最终认证校验结果返回。

6.4.2使用用户名与静态密码、动态密码和PIN码组合在同一个数据报文中进行认证，认证系统应分

别校验静态密码、动态密码和PIN码，将三者的校验结果进行与计算作为最终认证校验结果返回。

组合方式多步认证要求

6.5.1使用用户名和密码、动态密码分别在两个数据报文中进行认证，认证系统应能校验用户名密码，

用户名密码校验成功应要求继续进行动态密码校验，否则结束认证过程。在静态密码校验成功后获取到

动态密码认证请求进行动态密码校验，并返回认证结果。

6.5.2使用用户名和密码、PIN码和动态密码分别在两个数据报文中进行认证，认证系统应依据用户

名密码校验结果判断是否继续PIN码和动态密码校验。在用户名密码校验成功后获取PIN码和动态密

码分别进行校验，校验结果采用与计算作为最终校准认证结果返回。

消息推送认证要求

使用消息推送方式认证时应通过移动终端动态令牌应用确认消息并回传动态密码，认证系统通过

消息服务器读取回传的动态口令进行校验，校验结果作为本次认证结果返回认证请求端。不应仅依据是

否确认消息作为认证结果。

扫码登录认证要求

5

T/SDBMXH2023—XXXX

使用扫描二维码登录认证时应通过移动终端动态令牌应用回传唯一会话标识、用户名、动态密码，

认证系统应校验用户与动态密码，校验结果作为本次认证结果返回认证请求端。

操作系统登录认证要求

操作系统作为接入设备应提供动态密码认证登录保护，动态密码认证保护不应在不被允许条件下

卸载。对于操作系统登录认证应支持离线认证，即操作系统无法与认证系统进行通讯时能够正确完成动

态密码校验。

邮件客户端可信化要求

邮件系统作为认证系统接入设备时，应为邮件web与邮件客户端登录提供动态密码双因素认证保护。

邮件客户端应通过动态密码双因素认证后由用户主体设定客户端是否可信。可信化邮件客户端可在认

证系统内进行管理，包括要求邮件客户端重新授权、禁用、锁定。

7测试方法

基本流程

认证系统身份认证基本流程如图2所示：

图2认证系统身份认证基本流程

认证系统身份认证基本流程说明如下：

a)由接入设备通过接入通讯协议向认证服务器发起认证请求；

b)动态密码身份认证服务器接收到认证请求校验接入设备信息，接入设备不存在时，返回失败结

果，结束认证流程；

c)设备信息校验成功，进入认证策略进行条件过滤；

d)依据过滤条件判断用户是否存在，用户不存在返回失败结果，结束认证流程；用户存在则逐步

校验所需验证的信息并检索用户所关联的令牌序列号；

e)依据令牌序列号与请求验证的动态密码进行动态密码校验，并返回认证结果；

f)设备管理模块依据多个验证结果进行与计算通过接入通讯协议返回认证结果，结束认证流程。

检查认证系统服务状态

6

T/SDBMXH2023—XXXX

认证系统在首次启动并初始化完成后，各通讯协议接口应处于监听状态；通过管理界面应能进行管

理员身份鉴别并完成登录；管理员首次登录校验成功应进行管理员密码修改；身份认证基本配置应在管

理界面进行配置。

用户名密码认证测试

用户名密码认证应按照以下流程进行测试：

a)用户主体通过接入设备的用户界面提交用户名、密码等登录信息；

b)由接入设备通过协商一致的接入通讯协议向认证系统发起认证请求完成认证；

c)认证系统返回认证结果，接入设备依据认证结果反馈用户是否登录成功。

此认证过程应符合6.2的功能要求，能正确校验用户是否存在、是否被授权、密码正确与否，并将

校验结果反馈至接入设备。

用户名动态密码认证测试

用户名动态密码认证应按照以下流程进行测试：

a)用户主体通过接入设备的用户界面提交用户名、动态口令等登录信息；

b)由接入设备通过协商一致的通讯协议向认证系统发起动态密码认证请求；

c)认证系统返回认证结果，接入设备依据认证结果反馈用户是否登录成功。

此认证过程应符合6.3的功能要求，应遵循基本认证流程完成动态密码校验。能正确校验用户是否

存在、是否被授权、动态口令正确与否，并将校验结果反馈至接入设备。

组合方式单次认证测试

组合方式单次认证应按照以下流程进行测试：

a)用户主体通过接入设备的用户界面提交用户、密码组合（密码组合包含：静态密码动态密码组

合、静态密码PIN码动态密码组合）等登录信息；

b)接入设备通过通讯协议向认证系统发起认证请求；

c)认证系统返回认证结果，接入设备依据认证结果反馈用户是否登录成功。

此过程应遵循基本流程，应符合6.4的功能要求。能正确校验用户是否存在、是否被授权、密码组

合各个部分正确与否，并将校验结果反馈至接入设备。

组合方式多步认证测试

组合方式多步认证应按照以下流程进行测试：

a)用户主体通过接入设备的用户界面提交用户名、密码等登录信息；

b)接入设备将登录信息通过通讯协议向认证系统发起认证请求；

c)接入设备依据认证系统反馈的登录信息校验结果反馈至用户界面要求提供动态密码组合或结

束登录过程；

d)用户主体依据用户界面的交互提交其登录用户关联的动态密码组合（动态密码组合包含：动态

密码、PIN码和动态密码）；

e)接入设备再次将动态口令发送至认证服务器；

f)认证系统返回认证结果，接入设备依据认证结果反馈用户是否登录成功。

此过程应遵循基本流程，应符合6.5的功能要求。能正确校验用户是否存在、是否被授权、密码组

合各个部分正确与否，并将校验结果反馈至接入设备。

消息推送认证测试

消息推送认证应按照以下流程进行测试：

a)用户主体通过接入设备的用户界面提交用户名、密码等登录信息；

b)接入设备将登录信息通过通讯协议向认证系统发起认证请求；

c)认证系统校验登录信息正确无误后向用户移动终端动态令牌应用推送用户登录消息；

d)用户主体通过移动终端动态令牌确认登录信息，并由动态令牌信息回传校验信息与确认信息；

7

T/SDBMXH2023—XXXX

e)认证系统校验回传的动态口令及相关信息，并将校验结果反馈至接入设备；

f)接入设备依据校验结果反馈用户登录是否成功。

此过程应符合6.6的功能要求。

扫码登录认证测试

扫码登录认证应按照以下流程进行测试：

a)用户主体使用移动终端动态令牌应用扫描接入设备用户界面的二维码；

b)由动态令牌应用将用户信息、动态口令以及会话唯一标识等通过消息发送至认证系统；

c)认证系统校验用户信息与动态口令等，将校验结果反馈至接入设备；

d)接入设备依据校验结果反馈用户登录是否成功。

此过程应符合6.7的功能要求。

操作系统登录认证测试

操作系统登录认证应按照以下流程进行测试：

a)用户主体在操作系统的登录界面分别提交用户名、密码、动态密码信息；

b)认证客户端判断是否能够与认证服务器通信；

c)在通信正常清况下将认证信息发送至认证系统，由认证系统进行校验；

d)人为设置通信异常情况时：

1)当认证系统允许通讯异常情况登录时，认证客户端自主完成校验，并在能够通信时将认证

信息回传至认证系统；

2)当认证系统不允许通讯异常情况登录时，阻止登录系统；

e)认证客户端依据校验结果判定用户是否允许进入操作系统。

此过程应符合6.8的功能要求。

邮件客户端可信化测试

邮件客户端可信化测试应按照以下流程进行：

a)用户主体在邮件客户端配置连接邮件系统信息与用户校验信息；

b)认证系统校验用户信息并推送信息至用户主体的设备终端；

c)用户主体通过消息确认邮件客户端为用户本人所为且授权可信；

d)邮件客户端授权后可正常进行收发邮件。

此过程应符合6.9的功能要求。

认证系统的高可用测试

认证系统应能够通过高可用配置完成不少于2个认证系统间的数据实时同步。在完成配置同步后，

应具备其中任意一个认证系统宕机，其余部分认证系统仍可接管实现第6章要求并通过7.1-7.10、7.12

的检验项目。

用户自助服务测试

认证系统应对用户自助服务进行权限控制，自助服务的用户界面应与管理界面进行区分，不应通过

自助服务界面获取认证管理界面相关信息。用户通过自助服务应可完成授权的密码修改、个人用户信息

管理和个人令牌管理，并能通过自助服务界面获悉令牌的获取方式或渠道。

8

T/SDBMXH2023—XXXX

A

A

附录A

（资料性）

认证系统HTTPAPI接口参数定义

A.1请求参数

请求参数参见表A.1。

表A.1请求参数列表

参数名称参数类型参数值说明必传

此值必须与ckey服务器上所设置

clientNamestring设备名称是

的名称相同，

加密秘钥

sharedSecretstring共享密码加密秘钥说明：是

加密算法AES/CBC/PKCS7Padding

loginCodestring登陆账号登陆用户名是

loginWordstring登陆密码登陆密码是

authTypeinteger(int32)认证类型固定值:‘’5”是

sessionIdstring认证会话id在多步认证时为必传参数否

deviceTypeinteger(int32)设备类型固定值:“6”是

serviceIdstring服务器ID是

authRequestIpstring登陆设备IP必填参数是

A.2返回参数

返回参数参见表A.2。

表A.2返回参数列表

参数名称说明

Accept成功

Challengechallenge请求

Error_code具体信息参见状态码列表

A.3状态码

状态码参见表A.3。

表A.3状态码列表

状态码参数名称说明

200AUTH_PASS认证成功

201AUTH_CHALLENGEchallenge请求

202USER_NOT_EXISTS用户不存在

203AUTH_EQUIP_ERROR认证