1 范圍

      本標準規定了動態口令技術框架，動態口令生成算法、鑒別和密鑰管理等的相關內容。

      本標準適用于動態口令相關產品的研制、生產、應用，也可用于指導相關產品的檢測。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.1-2008 電工電子產品環境試驗 第2部分：試驗方法 試驗A：低溫

      GB/T 2423.2-2008 電工電子產品環境試驗 第2部分：試驗方法 試驗B：高溫

      GB/T 2423.3-2016 環境試驗 第2部分：試驗方法 試驗Cab：恒定濕熱試驗

      GB/T 2423.7-2018 環境試驗 第2部分：試驗方法 試驗Ec：粗率操作造成的沖擊（主要用于設備型樣品）

      GB/T 2423.10-2019 環境試驗 第2部分：試驗方法 試驗Fc：振動（正弦）

      GB/T 2423.21-2008 電工電子產品環境試驗 第2部分：試驗方法 試驗M：低氣壓

      GB/T 2423.22-2012 環境試驗 第2部分：試驗方法 試驗N：溫度變化

      GB/T 2423.53-2005 電工電子產品環境試驗 第2部分：試驗方法 試驗Xb：由手的摩擦造成標記和印刷文字的磨損

      GB/T 4208-2017 外殼防護等級（IP代碼）

      GB/T 17626.2-2018 電磁兼容 試驗和測量技術 靜電放電抗擾度試驗

      GB/T 18336.1 信息技術 安全技術 信息技術安全性評估準則 第1部分：簡介和一般模型

      GB/T 18336.2 信息技術 安全技術 信息技術安全性評估準則 第2部分：安全功能組件

      GB/T 18336.3 信息技術 安全技術 信息技術安全性評估準則 第3部分：安全保障組件

      GB/T 32905 信息安全技術 SM3密碼雜湊算法

      GB/T 32907 信息安全技術 SM4分組密碼算法

      GB/T 32915 信息安全技術 二元序列隨機性檢測方法

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      動態口令 one-time-password；dynamic password

      由種子密鑰與其他數據，通過特定算法，運算生成的一次性口令。

3.2

      動態令牌 one-time-password token;dynamic token

      生成并顯示動態口令的載體。

3.3

      種子密鑰 seed key

      計算動態口令的密鑰。

      注：種子密鑰即令牌種子密鑰。

3.4

      靜態口令 static password

      用戶設置的，除非用戶主動修改，否則不會發生變化的口令。

3.5

      挑戰碼 challenge code

      可參與到動態口令生成過程中的一種數據。

      注：挑戰碼即挑戰因子。

3.

      大端 big-end

      big-endian

      數據在內存中的一種表示格式，規定左邊為高有效位，右邊為低有效位。

      注：數的高階字節放在存儲器的低地址，數的低階字節放在存儲器的高地址。

3.7

      鑒別模塊 authentication system

      能夠為應用系統提供動態口令身份鑒別服務的系統。

3.8

      服務報表 service list

      系統提供的，對于令牌和系統不同時間段對應的狀態和結果的統計報表。

3.9

      主密鑰 master key

      用于生成種子密鑰、種子密鑰加密密鑰、廠商生產主密鑰等的系統根密鑰。

3.10

      種子密鑰加密密鑰 encryption key for seed key

      用于對種子密鑰進行加密的密鑰。

3.11

      廠商生產主密鑰 main key for manufacturer production

      生成令牌生產時所需的種子密鑰加密密鑰。

3.12

      廠商代碼 manufacturer code

      用于標識廠商的代碼，可以是數字、英文字母、數字與英文字母的混合。

3.13

      內部挑戰鑒別 internal challenge authentication

      一種由用戶主動解除令牌異常狀態時采用的挑戰鑒別方式。

4 符號

      下列符號適用于本文件。

      bitN：一個字節當中的第N＋1個比特位（從低位計起）。

      C：參與運算的事件因子。

      F（）：算法函數。

      ID：雜湊及分組算法的輸入信息。

      IP44：防護等級第一特性4（防塵），防護等級第二特性4（防水）。

      K：長度不少于128比特的運算密鑰。

      Km：主密鑰。

      K1：傳輸密鑰。

      Kp:廠商生產主密鑰。

      K：種子密鑰加密密鑰。

      N：令牌或其他終端顯示口令的位數。

      OD：輸出結果。

      PIN：用于使令牌工作并顯示動態口令的一種口令，是一個至少6位長度的十進制數。

      Q：鑒別雙方通過協商輸入的挑戰因子。

      S：算法函數輸出結果。

      T：參與運算的時間因子。

      To：以UTC時間為標準的一個長度為8字節的整數。

      T：以秒為單位的口令變化周期。

      Truncate（）：截位函數。

      UTC：距1970年1月1日00：00時（格林尼治標準時間）的秒數。

      ^：冪運算符，即2n代表2的n次方。

      ％：求余運算，即5 %3=2。

      ||：連接符，將兩組數據根據左右順序拼接。

      田：算術加符號，且不進位。

5 技術框架

5.1 總體框架

      動態口令系統為應用系統提供動態口令鑒別服務。由動態令牌、鑒別模塊和密鑰管理模塊組成。

      動態令牌生成動態口令，鑒別模塊驗證動態口令的正確性，密鑰管理模塊負責動態口令的密鑰管理，應用系統將動態口令按照指定的協議（報文）發送至鑒別模塊進行鑒別。動態口令系統架構如圖1所示。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。