GB/T 38556-2020 信息安全技术 动态口令密码应用技术规范

1 范围

      本标准规定了动态口令技术框架，动态口令生成算法、鉴别和密钥管理等的相关内容。

      本标准适用于动态口令相关产品的研制、生产、应用，也可用于指导相关产品的检测。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2423.1-2008 电工电子产品环境试验 第2部分：试验方法 试验A：低温

      GB/T 2423.2-2008 电工电子产品环境试验 第2部分：试验方法 试验B：高温

      GB/T 2423.3-2016 环境试验 第2部分：试验方法 试验Cab：恒定湿热试验

      GB/T 2423.7-2018 环境试验 第2部分：试验方法 试验Ec：粗率操作造成的冲击（主要用于设备型样品）

      GB/T 2423.10-2019 环境试验 第2部分：试验方法 试验Fc：振动（正弦）

      GB/T 2423.21-2008 电工电子产品环境试验 第2部分：试验方法 试验M：低气压

      GB/T 2423.22-2012 环境试验 第2部分：试验方法 试验N：温度变化

      GB/T 2423.53-2005 电工电子产品环境试验 第2部分：试验方法 试验Xb：由手的摩擦造成标记和印刷文字的磨损

      GB/T 4208-2017 外壳防护等级（IP代码）

      GB/T 17626.2-2018 电磁兼容 试验和测量技术 静电放电抗扰度试验

      GB/T 18336.1 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型

      GB/T 18336.2 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能组件

      GB/T 18336.3 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保障组件

      GB/T 32905 信息安全技术 SM3密码杂凑算法

      GB/T 32907 信息安全技术 SM4分组密码算法

      GB/T 32915 信息安全技术 二元序列随机性检测方法

3 术语和定义

      下列术语和定义适用于本文件。

3.1

      动态口令 one-time-password；dynamic password

      由种子密钥与其他数据，通过特定算法，运算生成的一次性口令。

3.2

      动态令牌 one-time-password token;dynamic token

      生成并显示动态口令的载体。

3.3

      种子密钥 seed key

      计算动态口令的密钥。

      注：种子密钥即令牌种子密钥。

3.4

      静态口令 static password

      用户设置的，除非用户主动修改，否则不会发生变化的口令。

3.5

      挑战码 challenge code

      可参与到动态口令生成过程中的一种数据。

      注：挑战码即挑战因子。

3.

      大端 big-end

      big-endian

      数据在内存中的一种表示格式，规定左边为高有效位，右边为低有效位。

      注：数的高阶字节放在存储器的低地址，数的低阶字节放在存储器的高地址。

3.7

      鉴别模块 authentication system

      能够为应用系统提供动态口令身份鉴别服务的系统。

3.8

      服务报表 service list

      系统提供的，对于令牌和系统不同时间段对应的状态和结果的统计报表。

3.9

      主密钥 master key

      用于生成种子密钥、种子密钥加密密钥、厂商生产主密钥等的系统根密钥。

3.10

      种子密钥加密密钥 encryption key for seed key

      用于对种子密钥进行加密的密钥。

3.11

      厂商生产主密钥 main key for manufacturer production

      生成令牌生产时所需的种子密钥加密密钥。

3.12

      厂商代码 manufacturer code

      用于标识厂商的代码，可以是数字、英文字母、数字与英文字母的混合。

3.13

      内部挑战鉴别 internal challenge authentication

      一种由用户主动解除令牌异常状态时采用的挑战鉴别方式。

4 符号

      下列符号适用于本文件。

      bitN：一个字节当中的第N＋1个比特位（从低位计起）。

      C：参与运算的事件因子。

      F（）：算法函数。

      ID：杂凑及分组算法的输入信息。

      IP44：防护等级第一特性4（防尘），防护等级第二特性4（防水）。

      K：长度不少于128比特的运算密钥。

      Km：主密钥。

      K1：传输密钥。

      Kp:厂商生产主密钥。

      K：种子密钥加密密钥。

      N：令牌或其他终端显示口令的位数。

      OD：输出结果。

      PIN：用于使令牌工作并显示动态口令的一种口令，是一个至少6位长度的十进制数。

      Q：鉴别双方通过协商输入的挑战因子。

      S：算法函数输出结果。

      T：参与运算的时间因子。

      To：以UTC时间为标准的一个长度为8字节的整数。

      T：以秒为单位的口令变化周期。

      Truncate（）：截位函数。

      UTC：距1970年1月1日00：00时（格林尼治标准时间）的秒数。

      ^：幂运算符，即2n代表2的n次方。

      ％：求余运算，即5 %3=2。

      ||：连接符，将两组数据根据左右顺序拼接。

      田：算术加符号，且不进位。

5 技术框架

5.1 总体框架

      动态口令系统为应用系统提供动态口令鉴别服务。由动态令牌、鉴别模块和密钥管理模块组成。

      动态令牌生成动态口令，鉴别模块验证动态口令的正确性，密钥管理模块负责动态口令的密钥管理，应用系统将动态口令按照指定的协议（报文）发送至鉴别模块进行鉴别。动态口令系统架构如图1所示。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。