ICS 35.030 GM CCS L 80 中华人民共和国密码行业标准 GM/T 0021—2023 代替 GM/T 0021—2012 动态口令密码应用技术规范 Technical specifications for one-time-password cryptographic application 2023-12-04 发布 2024-06-01实施 国家密码管理局 发布 GM/T 0021—2023 目 次 前言 II 范围 1 规范性引用文件 2 术语和定义 3 符号和缩略语 4.1符号 缩略语 4.2 动态口令基本原理 5 5.1 概述 5.2 生成动态口令 5.3 验证动态口令 5.4 动态因子同步 5.5 密钥管理 6动态口令系统技术要求 6.1 系统组成 6.2 动态口令令牌 6.3 动态口令鉴别系统(服务) 种子密钥管理系统 6.4 7动态口令系统检测方法 7.1 试验条件。 13 7.2 动态口令令牌 14 7.3动态口令鉴别系统（服务）· 15 7.4种子密钥管理系统 15 附录 A（资料性）种子密钥管理方案示例· 16 附录B（资料性）动态口令令牌的密码模块规格 18 附录C（资料性）动态口令系统与应用系统对接 20 参考文献 22 GM/T 0021—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 调整和编辑性改动外，主要技术变化如下： b）增加了规范性引用文件GB/T 2423.3—2016（见 6.2.3.4）、GB/T 2423.7—2018（见 6.2.3.6）、 GB/T 32907(见 5.2.4）、GB/T 32915（见 5.5.2）、GB/T 39786（见 6.3.3）、GM/T 0008（见 6.2.1.1)、GM/T 0028（见 5.5.5)、GM/T 0039（见 7.2.2)、GM/T 0051—2016（见 5.5.3)、 GM/T 0061—2018(见 7.2.1.1)、GM/T 0062—2018(见 7.3.1.1)以及GM/Z 4001(见第 3章),删除 了规范性引用文件GB/T2423.8—1995（见2012年版的7.1.6）、GB/T2423.9—2001（见2012年 的7.2.5）、GB/T18336.3—2008（见2012年版的7.2.5）、GB/T21079.1—2007（见2012年版的 以及GM/T0005—2012（见2012年版的6.2.1); c）删除了术语“静态口令”（见2012年版的3.3）、“大端”（见2012年版的3.7）、“认证系统”（见 2012年版的3.8）“未激活”（见2012年版的3.9）、“就绪”（见2012年版的3.10）、“锁定”（见 2012年版的3.11）、“挂起”（见2012年版的3.12）、“作废”（见2012年版的3.13）、“自动解锁” （见2012年版的3.14）、“密钥管理”（见2012年版的3.15）、“硬件密码设备”（见2012年版的 ，（，（，（9 的3.19）、“大窗口”（见2012年版的3.20）、“中窗口”（见2012年版的3.21）、“小窗口”（见2012 3.24）、“主密钥”（见2012年版的3.25）、“厂商代码”（见2012年版的3.26）以及“内部挑战认 ，（），（9,（ （见3.8）、“SM4算法”（见3.9）、“声称方”（见3.10）、“验证方”（见3.11）以及“密码设备”（见 3.12); d）增加了缩略语（见 4.2); "（9)，（ 删除了动态口令鉴别系统（服务）与密码应用无关的功能要求（见2012年版的8.3）； 删除了种子密钥管理系统与密钥管理无关的功能要求（见2012年版的9.3.1）； g）t h）增加了“动态口令系统检测方法”（见第7章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：飞天诚信科技股份有限公司、上海复旦微电子集团股份有限公司、北京集联网络 限公司、西安交大捷普网络科技有限公司、山东渔翁信息技术股份有限公司、上海华虹集成电路有限责 II GM/T 0021—2023 任公司、上海林果实业股份有限公司。 本文件主要起草人：朱鹏飞、刘雅静、柳逊、刘岸、郑强、张文婧、刘治平、何建锋、郭刚、吴震、杨剑、 韩玉佳、郭思建、詹榜华、谈剑锋、尤磊、陈达、张志茂、李眞、牛毅 本文件及其所代替文件的历次版本发布情况为： -2012年首次发布为GM/T0021—2012; 一本次为第一次修订。 IV GM/T 0021—2023 动态口令密码应用技术规范 1范围 本文件规定了动态口令的基本原理、动态口令系统的技术要求以及动态口令系统的检测方法。 本文件适用于动态口令相关产品的研制、生产、应用，也可用于动态口令系统以及相关产品的密码 应用合规性检测。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 本文件。 GB/T 2423.1—2008 电工电子产品环境试验第2部分：试验方法试验A：低温 GB/T 2423.2—2008 电工电子产品环境试验第2部分：试验方法试验B：高温 GB/T 2423.3—2016 环境试验第2部分：试验方法试验 Cab:恒定湿热试验 GB/T 2423.7—2018 环境试验‧第2部分:试验方法‧试验Ec:粗率操作造成的冲击（主要用于 设备型样品) GB/T 2423.10- -2019 环境试验第2部分:试验方法试验Fc:振动(正弦) GB/T 2423.21 电工电子产品环境试验第2部分：试验方法试验M:低气压 -2008 GB/T 2423.22—2012 环境试验第2部分：试验方法试验N:温度变化 GB/T 2423.53—2005 电工电子产品环境试验第2部分：试验方法试验 Xb：由手的摩擦造成 标记和印刷文字的磨损 GB/T 4208—2017 外壳防护等级（IP代码） GB/T 15852.1一2020信息技术安全技术消息鉴别码第1部分:采用分组密码的机制 GB/T17626.2—2018电磁兼容试验和测量技术静电放电抗扰度试验 GB/T17901.1一2020信息技术安全技术密钥管理第1部分：框架 GB/T 32905 信息安全技术SM3 密码杂凑算法 GB/T 32907 信息安全技术SM4 分组密码算法 GB/T 32915 信息安全技术 二元序列随机性检测方法 GB/T 39786 信息安全技术‧信息系统密码应用基本要求 GM/T 0008 安全芯片密码检测准则 GM/T 0028 密码模块安全技术要求 密码模块安全检测要求 GM/T 0039 GM/T 0051一2016密码设备管理对称密钥管理技术规范 GM/T 0061- —2018动态口令密码应用检测规范 GM/T 0062 -2018 ，密码产品随机数检测要求 GM/Z 4001 密码术语 ，术语和定义 3 GM/Z4001界定的以及下列术语和定义适用于本文件