飞天诚信牵头修订的新版《动态口令密码应用技术规范》发布

近日，国家密码管理局发布第45号公告，发布GM/T 0126-2023《HTML密码应用置标语法》等25项密码行业标准，自2024年6月1日起实施。其中包括了飞天诚信牵头修订的《动态口令密码应用技术规范》，标准号为GM/T 0021——2023。

动态口令是一种一次性口令机制。用户无需记忆口令，也无需手工更改口令，口令通过用户持有的客户端器件生成，并基于一定的算法与服务端形成同步，从而作为证明用户身份的依据。动态口令机制可广泛用于身份鉴别场合，例如 Web 系统登录、金融支付等（飞天诚信动态令牌OTP获得商用密码产品认证（安全二级））。2012年首次发布的GM/T 0021——2012《动态口令密码应用技术规范》规定了动态口令应用相关的动态口令系统、动态口令生成方式、动态令牌特性、认证系统、密钥管理系统等的内容，适用于动态口令相关产品的研制、生产、使用，以及指导相关产品的检测。商用密码产品认证、商用密码应用安全性评估等商用密码管理措施的落地实施，对动态口令标准提出了新的要求。2012年之后发布的若干与动态口令相关的新标准（包括国家标准GB/T 38556——2020《信息安全技术 动态口令密码应用技术规范》、GM/T 0061——2018《动态口令密码应用检测规范》、GM/T 0028《密码模块安全要求》等等），对动态口令产品提供了新的支撑。为与新的商用密码管理措施相匹配，体现新发布标准对动态口令产品的新要求，对本标准进行修订。

在修订过程中，课题组以国家标准GB/T 20001.5——2017《标准编写规则 第5部分：规范标准》，全面对标规范标准的要求，对标准文本结构进行了调整，补充引用了多项现行国家标准和行业标准，同时特别注意保持实质内容不走样。在此基础上，根据商用密码产品认证的具体情况重点突出了与密码模块标准的协调一致，删除了存在冲突的部分内容。

GM/T 0021——2023规定了动态口令技术和动态口令系统的密码应用技术要求。主要包括与具体产品无关的动态口令技术要求（生成动态口令、验证动态口令、动态因子同步、密钥管理等）以及对应用动态口令技术提供密码服务的系统（包括动态令牌、动态口令鉴别系统、种子密钥管理系统）的技术要求，适用于动态口令相关产品的研制、生产、应用，也可用于指导相关产品的密码应用合规性检测。GM/T 0021——2023不包括对动态口令系统的兼容性等方面的要求。

与GM/T 0021-2012相比，GM/T 0021——2023除了结构调整和编辑性修改以外，主要变化如下：

删除了种子密钥管理系统的兼容性要求（见2012年版的9.3.2）；

增加了规范性引用文件“GB/T 15843.1《信息技术  安全技术  实体鉴别  第1部分：总则》”、“GB/T 15852.1《信息技术 安全技术 消息鉴别码 第1部分：采用分组密码的机制》”、“GB/T 17901.1《信息技术 安全技术 密钥管理 第1部分：框架》”、“GM/T 0028《密码模块安全技术要求》”、“GM/T 0039《密码模块安全检测要求》”、“GM/T 0051《密码设备管理 对称密钥管理技术规范》”、“GM/T 0061《动态口令密码应用检测规范》”、“GM/T 0062《密码产品随机数检测要求》”（见第2章）；

删除了术语“静态口令”（见2012年版的3.3）、“大端”（见2012年版的3.7）、“认证系统”（见2012年版的3.8）、“未激活”（见2012年版的3.9）、“就绪”（见2012年版的3.10）、“锁定”（见2012年版的3.11）、“挂起”（见2012年版的3.12）、“作废”（见2012年版的3.13）、“自动解锁”（见2012年版的3.14）、“密钥管理”（见2012年版的3.15）、“硬件密码设备”（见2012年版的3.16）、“密钥”（见2012年版的3.17）、“服务报表”（见2012年版的3.18）、“接口”（见2012年版的3.19）、“大窗口”（见2012年版的3.20）、“中窗口”（见2012年版的3.21）、“小窗口”（见2012年版的3.22）、“种子密钥加密密钥”（见2012年版的3.23）、“厂商生产主密钥”（见2012年版的3.24）、“主密钥”（见2012年版的3.25）、“厂商代码”（见2012年版的3.26）以及“内部挑战认证”（见2012年版的3.27）；

增加了缩略语（见4.2）；

增加了“密钥管理”对密钥管理相关各方的描述和要求（见5.5）；

删除了动态口令鉴别系统（服务）与密码应用无关的功能要求（见2012年版的8.3）；

删除了种子密钥管理系统与密钥管理无关的功能要求（见2012年版的9.3.1）；

增加了“动态口令系统检测方法”（见第7章）；

删除了2012年版的全部资料性附录（见2012年版的附录A、附录B、附录C、附录D）；

增加了3个资料性附录（见附录A、附录B、附录C）。

飞天诚信是密码行业标准化技术委员会委员。除了GM/T 0021——2023之外，还牵头制定了GM/T 0100——2020《人工确权型数字签名密码应用技术要求》，并先后参与了GM/T 0033——2014《时间戳接口规范》、GM/T 0039——2015《密码模块安全检测要求》、GM/T 0048——2016《智能密码钥匙密码检测规范》、GM/T 0063——2018《智能密码钥匙密码应用接口检测规范》、GM/T 0072——2019《远程移动支付密码应用技术要求》、GM/T 0113——2021《在线快捷身份鉴别协议》等多项密码行业标准的起草工作。密码技术是飞天诚信核心竞争力的重要组成部分。飞天诚信重点关注基于密码技术的身份认证需求，以为各行业客户提供嵌入式软件产品和服务为核心价值，在网络银行安全交易、支付卡及服务、移动支付安全、云认证、身份认证及软件保护等多个领域提供完整的服务和解决方案。飞天诚信将继续发挥自身在密码领域的技术优势，与各方携手共进，共同促进商用密码产业健康有序发展。

END

(飞天诚信)