GM_T 0021-2012动态口令密码应用技术规范.pdf

ICS 35. 040GML 80备案号：38319-2013中华人民共和国密码行业标准GM/T 0021--2012动态口令密码应用技术规范One time password application ofcryptography algorithm2012-11-22 发布2012-11-22 实施国家密码管理局发布 GM/T 0021—2012目次前言I范围2规范性引用文件3术语和定义符号45动态口令系统5.1概述5.2总体框架5.3基本认证原理简述6　动态口令生成方式6.1概述6.2算法使用说明6.3截位算法7动态令牌特性7.1令牌硬件要求7.2令牌安全特性98 认证系统108.1系统说明·108.2认证系统服务8.3认证系统管理功能8.4安全要求·139密钥管理系统149.1概述·149.2 系统架构·149.3功能要求169.4系统安全性设计179.5硬件密码设备接口说明·21附录A（资料性附录）动态口令生成算法C语言实现用例·22A.1采用SM3的动态口令生成算法用例·..22A.2采用 SM4的动态口令生成算法用例27附录B（资料性附录）动态口令生成算法计算输人输出用例34B.1采用 SM3 的动态口令生成算法输人输出用例34B.2采用 SM4的动态口令生成算法输入输出用例34附录C（资料性附录）运算参数与数据说明用例36附录D（资料性附录）．认证系统接口1 GM/T 0021--2012本标准涉及动态口令生成方式的杂凑算法，应选用SM3杂凑算法，应满足GM/T0004一2012的要求。本标准选用的杂凑值长度为256 比特。本标准涉及随机数生成的算法，应满足GM/T 0005--2012的要求。6.2.2SM3杂凑算法使用说明在 S=F(K,ID)环节,当使用 SM3 算法时,KIID为输入参数。6.2.3SM4分组算法使用说明在 SF(K,ID)环节，当使用 SM4算法时,K 为运算密钥,ID 为输人参数,K 或 ID大于128 比特时，运算过程如下：K大于128比特时，只取其中从高位计起的前128比特数据，作为K参与运算。ID大于128比特时，在ID末端填0至128比特的整数倍长度。再将ID以128比特长度进行分组,高位在前,分别为 ID1、IDz、IDs…*IDm。运算过程如图3所示。ID2输入输入SM4SM4S1SM图 3SM4运算过程图ID和 K 作为第一个分组运算的输人，通过 SM4 运算生成 S1。将 S1与 IDz进行算术加运算(高位溢出舍去）,其结果与 K一起用于第二个分组的输入，通过 SM4 运算生成 S2。之后的运算以此类推。如图 3中所示,S=Sm。6.2.4数据格式数据运算与存储，均采用大端(big-endian)格式。可参考附录C。6.3截位算法Truncate()是动态口令生成过程中，使用的截位函数。其实现分为杂凑结果截位和分组结果截位。杂凑结果截位实现方式如下：定义 S1,S2,S3,S4,S5,S6,S7,S8,表示 8个 4字节整数，通过如下方法赋值：S1=S[0J 24 S[116 1 S[28 S[3]S2=S[4] 24 S[5] 16 S[6] 8 S[7]S3=S[8J 24 S[9116 [10J 8 S[11]S4=S[12]24 — S[13]16 — S[14] 8 —S[15]S5=S[16］ 24 —S[17} 16 S[18] 8 S[19JS6=S[20] 24 1 S[21] 16 — S[22] 8 — S[23]S7=S24] 24—S[25J16 S[26J 8～S[27] GM/T 0021--2012S8=ST28] 24 1 S[29] 16 S[301 8 1 S[31]z0 (8+ 2+9+ sS+ S+ +zS+IS)=0分组结果截位实现方式如下：定义 S1,S2,S3,S4,表示 4个4字节整数，通过如下方法赋值S1=S[0}24S1J16S[28S[3S2=S[424S[5J16S6]8 S[7]S3=S[8] 24 / S[9] 16 S[10] 8 S[11]S4=S[1224— S[13]16 1S[14] 8— S[15]OD=(S1+S2+S3-+S4) MOD 2^327动态令牌特性7.1令牌硬件要求规定和本标准定义的判断标准。7.1.1 高温使用GB/T2423.2---2008中试验方法Bb，严酷等级选择温度：十50℃，持续时间：2h。7.1.2低温使用GB/T2423.1一2008中试验方法Ab，严酷等级选择温度：一10℃,持续时间：2h。7.1.3高低温冲击使用GB/T2423.22-—2002,严酷等级选择高温温度：+50℃，低温温度：--10℃，暴露试验时间：10 mi