密码应用安全性评估要点之动态口令技术常见问题商讨

在信息系统安全防护中，身份鉴别作为系统准入的必要手段，始终是一个绕不开又至关重要的话题。身份鉴别经常被解释为：根据“你知道什么”、“你拥有什么”、“你是谁”来证明“你”的身份。身份鉴别信息/介质从传统的物理钥匙、暗号，到静态口令、ID标签卡，到CPU卡、UKey、动态令牌，再到指纹、人脸、虹膜等，推陈出新、各有所长。多因素身份鉴别则是通过综合多种身份鉴别方式，以增强鉴别的强度。

动态令牌是生成并显示动态口令（OTP/One-Time Password）的载体，常见的银行电子密码器、Google的Authenticator身份认证器软件，都属于动态令牌的范畴。由于动态口令认证技术的实现原理不一，这在对信息系统进行合规性检查时，给测评机构和信息系统责任单位带来了一定的困扰。

一、相关概念与标准

OTP：One-Time Password

HOTP：HMAC-Based One-Time Password

TOTP：Time-Based One-Time Password

HMAC：The Keyed-Hash Message Authentication Code

RFC4226 HOTP: An HMAC-Based One-Time Password Algorithm

RFC6238 TOTP: Time-Based One-Time Password Algorithm

FIPS PUB 198 The Keyed-Hash Message Authentication Code(HMAC)

GM/T 0021-2012《动态口令密码应用技术规范》

GB/T 38556-2020《信息安全技术 动态口令密码应用技术规范》

GB/T 37092-2018《信息安全技术 密码模块安全要求》

GB/T 15852.2-2012《信息技术 安全技术 消息鉴别码 第2部分采用专用杂凑函数的机制》

GB/T 15843.1-2017《信息技术 安全技术 实体鉴别 第1部分：总则》

GB/T 15843.4-2008《信息技术 安全技术 实体鉴别 第4部分：采用密码校验函数的机制》

二、动态口令运算方法

对于动态口令生成方式，我们主要关注以下要素：

动态因子

种子密钥

动态口令生成算法

动态口令生成算法中使用的基础密码算法

为了方便起见，我们将4从3中独立了出来，此时动态口令生成算法不指定具体的基础密码算法，而是同一类理论上可替换的密码算法，如对称密码算法、杂凑密码算法。

HOTP生成：HOTP(K,C) = Truncate(HMAC-HASH(K,C))，其中HASH=SHA-1

TOTP生成：TOTP(K,T) = Truncate(HMAC-HASH(K,T))，其中HASH=SHA-1/SHA-256/SHA-512

GMOTP生成：GMOTP(K,T|C|Q)=Truncate(F(K,T|C|Q))，其中F=SM3/SM4

注1：K为种子密钥，T为时间因子，C为事件因子，Q为挑战因子，Truncate()为截位函数。

注2：T|C|Q的含义为T和C必选一个、Q可选，然后进行拼接。

注3：当F为SM3算法时，F(X,Y)=SM3(X|Y)；当F为SM4算法时，F(X,Y)=SM4_ENCX(Y)，采用类似于CBC的模式（IV为0串，异或改为算术加，高位溢出舍去）。

注4：其他细节本文档暂不详解，如时间因子的转化、数据编码/填充/截断等，请以相关标准为准。

三、动态令牌实现身份鉴别

将动态因子对应到时变参数：

时间因子T时间戳

事件因子C序号

挑战因子Q随机数

鉴别发起方和验证方共同拥有种子密钥（鉴别密钥），并约定好动态因子的选取，两方通过相同的动态口令算法（校验函数），对相同的动态因子和种子密钥（时变参数和鉴别密钥）进行计算，分别生成相同的动态口令（校验值），因此满足GB/T 15843.4-2008《信息技术​安全技术​实体鉴别​第4部分：采用密码校验函数的机制》规定的鉴别机制。仅含时间因子或事件因子时，为一次传递单向鉴别；含挑战因子时，为两次传递单向鉴别。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!