T∕ZSA 67.2-2019 移動智能終端密碼模塊技術(shù)框架 第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)

1、ICS 35.240L70/84團(tuán)體T/ZSA 67.2-2019移動智能終端密碼模塊技術(shù)框架第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)Technical framework of cryptographic module for mobile smart terminalPart 2：Key-encrypted local protection2019-12-31發(fā)布2020-03-01實(shí)施中關(guān)村化協(xié)會發(fā)布T/ZSA 67.2-2019目 次前言 . III 引言 . IV 12345范圍 . 1 規(guī)范性引用文件 . 1 術(shù)語和定義 . 1 符號和縮略語 . 3 概述 . 4 5.1方案原理 . 4

2、5.2安全風(fēng)險(xiǎn) . 45.3安全措施 . 4技術(shù)架構(gòu) . 5 工作流程 . 6 7.1概述 . 67.2 MST-CC初始化流程 . 67.3 MST-PPD驗(yàn)證流程 . 7密碼模塊規(guī)格 . 9 8.1概述 . 98.2密碼模塊類型 . 98.3密碼邊界 . 98.4工作模式 . 10密碼模塊接口 . 10 9.1物理和邏輯接口 . 109.2接口類型 . 109.3接口定義 . 109.4可信信道 . 10678910角色、服務(wù)和鑒別 . 10 10.1角色 . 1010.2服務(wù) . 1010.3鑒別 . 1111軟件/固件安全 . 11 12運(yùn)行環(huán)境 . 11 13密碼模塊物理安全 . 1

3、1 14非入侵式安全 . 11 15敏感安全參數(shù)管理 . 11 15.1概述 . 1115.2隨機(jī)比特生成器 . 1215.3敏感安全參數(shù)的生成 . 1315.4敏感安全參數(shù)的建立 . 1315.5敏感安全參數(shù)的輸入輸出 . 1315.6敏感安全參數(shù)存儲 . 1315.7敏感安全參數(shù)置零 . 13IT/ZSA 67.2-201916自測試 . 13 17生命周期保障 . 14 17.1配置管理 . 1417.2設(shè)計(jì) . 1417.3有限狀態(tài)模型（ FSM） . 1417.4開發(fā) . 1417.5廠商測試 . 1517.6配送與操作 . 1517.7生命終止 . 1517.8指南文檔 . 151

4、8對其他攻擊的緩解 . 15 附錄A（資料性附錄）應(yīng)用示例 . 16 IIT/ZSA 67.2-2019前 言T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架分為 5個(gè)部分：第1部分：總則第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)第3部分：密鑰加密服務(wù)端保護(hù)技術(shù)架構(gòu)第4部分：密鑰多端協(xié)同計(jì)算保護(hù)技術(shù)架構(gòu)第5部分：基于安全芯片的技術(shù)架構(gòu)本部分為T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架的第 2部分。本部分按照GB/T 1.1-2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。中關(guān)村化協(xié)會不承擔(dān)識別這些專利的責(zé)任。本部分由中關(guān)村化協(xié)會技術(shù)委員會提出并歸口。本部分主要起草單位：中

5、關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、奇 安信科技集團(tuán)股份有限公司、中國科學(xué)院信息工程研究所、北京江南天安科技有限公司、江蘇通付盾科技有限公司、 北京握奇數(shù)據(jù)股份有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、鼎橋通信技術(shù)有限公司等。本部分主要起草人：張凡、王克、傅文斌、劉宗斌、李勃、張晶、李向榮、魯洪成、張令臣等。IIIT/ZSA 67.2-2019引 言在開放移動網(wǎng)絡(luò)和便攜移動終端系統(tǒng)環(huán)境中，如何保護(hù)敏感安全參數(shù)成為移動智能終端密碼軟件模塊設(shè)計(jì)和實(shí)現(xiàn)的核心問題。在移動智能終端中對敏感安全參數(shù)進(jìn)行加密存儲是解決軟件密碼模塊安全性的主要方法。但如果加密密鑰容易被非法獲得，或密鑰質(zhì)量達(dá)不到要求則對敏感安全參數(shù)安全

6、構(gòu)成威脅。因此，本通過控制主密鑰安全生成與使用 以保證敏感安全參數(shù)加密密鑰的安全。IVT/ZSA 67.2-2019移動智能終端密碼模塊技術(shù)框架第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)1范圍T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架的本部分規(guī)范了移動智能終端（ mobilesmart terminal MST）使用的密鑰加密本地保護(hù)的移動智能終端密碼模塊（ CMMST-KELP）技術(shù)架構(gòu)，給出了方案的安全原理和保障措施，描述了技術(shù)架構(gòu)組成、主要工作流程示例，以及 對GM/T 0028-2014中規(guī)定的 11個(gè)安全域描述，最后給出應(yīng)用示例。本是GM/T 0028-2014在移動智能終端中實(shí)

7、現(xiàn)密碼模塊中的具體展開和補(bǔ)充，適用于指導(dǎo)密碼模塊制造廠家設(shè)計(jì)、實(shí)現(xiàn)移動智能終端密碼模塊。也可作為移動智能終端使用密碼模塊的參考。2規(guī)范性引用文件下列文件中的條款通過 T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架的本部分的引用而成為本部分的條款。GM/T 0003.3-2012 SM2橢圓曲線公鑰密碼算法第 3部分：密鑰交換協(xié)議GM/T 0005- 2012隨機(jī)性檢測規(guī)范GM/T 0008-2012安全芯片密碼檢測準(zhǔn)則GM/T 0019-2012通用密碼服務(wù)接口規(guī)范GM/T 0028-2014密碼模塊安全技術(shù)要求T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架 第1部分：總則3術(shù)

8、語和定義3.1非對稱密鑰對 asymmetric key pair一對相關(guān)的密鑰，其中私有密鑰規(guī)定私有變換，公開密鑰規(guī)定公開變換。3.2關(guān)鍵安全參數(shù) critical security parameter；CSP與安全相關(guān)的秘密信息，這些信息被泄露或被修改后會危及密碼模塊的安全性。如，移動應(yīng)用用戶私鑰。GM/T 0028-2014，定義3.153.31T/ZSA 67.2-2019密碼主管 cryptographic administrator服務(wù)端負(fù)責(zé)密碼組件運(yùn)行的管理者。3.43.5密碼主管PIN cryptographic administrator PIN密碼主管個(gè)人身份識別碼，用來啟

9、動服務(wù)端密碼組件。密鑰派生算法 key derivation algorithm；KDA使用合規(guī)的密鑰產(chǎn)生方法（如 GM/T 0003.3-2012中 5.4.3規(guī)范），通過作用于共享秘密和雙方都知道的其它參數(shù)，產(chǎn)生一個(gè)或多個(gè)共享密鑰的算法。3.6主密鑰 master key；MK為對稱密鑰，通過合規(guī)的密鑰產(chǎn)生方法產(chǎn)生，用來對敏感安全參數(shù)進(jìn)行加密。3.7移動智能終端密碼組件 mobile smart terminal cryptographic components；MST-CC部署在移動智能終端中的密碼組件，或獨(dú)立構(gòu)成，或與服務(wù)端密碼組件（SS-CC）一起構(gòu)成移動智能終端密碼模塊。3.8移動

10、智能終端PPD mobile smart terminal cryptographic components PPD;MST-PPD移動智能終端密碼組件用戶的個(gè)人特征數(shù)據(jù)。3.9個(gè)人特征數(shù)據(jù)personal profile data；PPD個(gè)人知道的因素，如PIN碼，手勢碼，以及個(gè)人的生物特征，如指紋、臉部特征等。3.10公開安全參數(shù) public security parameter;PSP與安全相關(guān)的公開信息，一旦被修改會威脅到密碼模塊安全。如，本中服務(wù)端密碼組件公鑰。GM/T 0028-2014，定義3.733.11敏感安全參數(shù) sensitive security parameter;

11、SSP包括關(guān)鍵安全參數(shù)和公開安全參數(shù)。2T/ZSA 67.2-2019GM/T 0028-2014，定義3.823.12服務(wù)端密碼組件 server side cryptographic components；SS-CC部署在服務(wù)端中的密碼組件，與移動智能終端密碼組件（MST-CC）一起構(gòu)成移動智能終端密碼模塊。3.13主密鑰分量 MK component；MKC服務(wù)端密碼組件針對移動智能終端密碼組件生成的一定長度的隨機(jī)數(shù)（一個(gè)MST-CC對應(yīng)一個(gè)MKC），與移動智能終端PPD一起生成主密鑰。3.14用戶私鑰 user private key在移動應(yīng)用用戶非對稱密鑰對中，只應(yīng)由該用戶使用的密鑰

12、。3.15用戶公鑰 user public key在移動應(yīng)用用戶非對稱密鑰對中，能夠公開的密鑰。4符號和縮略語CC密碼組件（cryptographic components）移動智能終端密碼模塊（mobile smart terminal cryptographiccomponents）CMMSTCMMST-KELP密鑰加密本地保護(hù)移動智能終端密碼模塊（ CMMST of key-encrypted localprotection）CSP關(guān)鍵安全參數(shù)（critical security parameter）密鑰派生算法（key derivation algorithm）主密鑰（master k

13、ey）KDAMKMKCMST主密鑰分量（master key component）移動智能終端（mobile smart terminal）移動智能終端密碼組件（ mobile smart terminal cryptographiccomponents）MST-CCMST-PPD移動智能終端個(gè)人特征數(shù)據(jù)（ mobile smart terminal personal profiledata）PINPPDPSPSDK個(gè)人身份標(biāo)識碼（personal identification number）個(gè)人特征數(shù)據(jù)（personal profile data）公開安全參數(shù)（public security

14、 paramete）軟件開發(fā)套件（software development kit）3T/ZSA 67.2-2019SS服務(wù)端（server side）SSP敏感安全參數(shù)（sensitive security parameter）服務(wù)端密碼組件（server side cryptographic components)服務(wù)端主密鑰分量（server side master key component）SS-CCSS-MKC5概述5.1方案原理基于密鑰加密本地保護(hù)的移動智能終端密碼模塊（CMMST of key-encrypted localprotection；CMMST-KELP）技術(shù)架構(gòu)，

15、是為移動智能終端（ MST）使用軟件密碼模塊而設(shè)計(jì)的。CMMST-KELP通過移動智能終端密碼組件（ MST-CC）向移動應(yīng)用提供核準(zhǔn)的密碼服務(wù)。 CMMST-KELP對密碼模塊關(guān)鍵安全參數(shù)（ CSP），如用戶私鑰，使用主密鑰（ MK）進(jìn)行加密，存儲在 MST中，并采取多項(xiàng)安全措施，以實(shí)現(xiàn) T/EMCG 001.1-2019移動智能終端密碼模塊技術(shù)框架 第1部分：總則的安全目標(biāo)，滿足 GM/T 0028-2014中一級或二級密碼模塊安全要求。CMMST-KELP使用以安全方式產(chǎn)生的主密鑰對CSP進(jìn)行加密，并保護(hù)在 MST中。在MST-CC初始化時(shí)，移動智能終端密碼組件（ MST-CC）、服務(wù)端

16、密碼組件（ SS-CC）分別產(chǎn)生移動端個(gè)人特征數(shù)據(jù)（MST-PPD）和服務(wù)端主密鑰分量（ SS-MKC），MST-CC在本地將PPD和MKC進(jìn)行組合，通過密鑰派生算法（ KDA）生成MK，用MK對CSP進(jìn)行加密保護(hù)。 CMMST-KELP密鑰加密保護(hù)原理如圖 1所示SS-MKCCSP明文MKC|PPDMST-PPDKDAMKCSP密文圖1 CMMST-KELP密鑰加密保護(hù)原理5.2安全風(fēng)險(xiǎn)CMMST-KELP方案主要為防范以下風(fēng)險(xiǎn)設(shè)計(jì)：a)非法產(chǎn)生 MK：移動用戶 MST-PPD和服務(wù)端 SS-MKC同時(shí)泄露可非法產(chǎn)生 MK。b) MK強(qiáng)度：MST-CC在可修改的運(yùn)行環(huán)境中運(yùn)行， MK生成易受

17、干擾，影響密鑰質(zhì)量，造成加密強(qiáng)度不夠。c)運(yùn)行環(huán)境：MST-CC在可修改的運(yùn)行環(huán)境中運(yùn)行， MST-CC敏感安全參數(shù)可能被非法讀取。d)通信：MST-CC與 SS-CC通信使用公開信道，傳遞 SS-MKC信息可被竊聽、重放攻擊，造成 SS-MKC泄露。5.3安全措施4T/ZSA 67.2-2019CMMST-KELP采取以下安全措施防范密碼模塊面臨的安全風(fēng)險(xiǎn)，滿足 GM/T 0028-2014中一級或二級密碼模塊要求。a)移動端和服務(wù)端聯(lián)合保證主密鑰安全。b)移動端 MST-CC完成 PPD輸入，MK生成，敏感安全參數(shù)加密存儲，與 SS-CC安全通信等；c)服務(wù)端 SS-CC完成 SS-MKC

18、產(chǎn)生，MST-PPD驗(yàn)證等。d)MST-CC和 SS-CC軟件代碼保護(hù)。e)采取緩解動靜態(tài)分析、攻擊方法，對 CMMST-KELP代碼進(jìn)行保護(hù)。包括代碼、數(shù)據(jù)完整性檢測，防動態(tài)調(diào)試，可執(zhí)行代碼混淆等。f)運(yùn)行邊界保護(hù)。g)MST-CC運(yùn)行在操作系統(tǒng)獨(dú)立的進(jìn)程空間，移動應(yīng)用通過操作系統(tǒng)進(jìn)程間通信機(jī)制與MST-CC信息交換。h)通信保護(hù)。采用預(yù)置 SS-CC公鑰方式建立 MST-CC和 SS-CC安全通道。6技術(shù)架構(gòu)CMMST-KELP由移動端密碼組件MST-CC和服務(wù)端密碼組件SS-CC組成，移動應(yīng)用調(diào)用MST-CCSDK接口完成核準(zhǔn)的密碼服務(wù)。 MST-CC內(nèi)置SS-CC的公鑰，用此公鑰建立

19、MST-CC與SS-CC加密信道、MST-CC初始化、MST-PPD驗(yàn)證、數(shù)據(jù)加載等功能。SS-CC完成MST-PPD驗(yàn)證，密碼主管 PIN碼輸出等功能。 SS-CC密碼主管通過下發(fā)管理控制指令給MST-CC完成相應(yīng)的管理功能。CMMST-KELP技術(shù)架構(gòu)如圖 2所示：移動智能終端服務(wù)器移動應(yīng)用MST-CC SDK移動端密碼組件(MST-CC)服務(wù)端密碼組件(SS-CC)密碼算法PPD管理MK生成SS-CC通信密碼算法PIN碼管理密鑰容器MST-CC管理MST-CC 服務(wù)接口MST-CC通信操作系統(tǒng)操作系統(tǒng)圖2 CMMST-KELP技術(shù)架構(gòu)MST-CC至少包括完成以下功能的模塊：a)密碼算法。

20、實(shí)現(xiàn)核準(zhǔn)的密碼算法，如 SM2,SM3,SM4.b) PPD管理。負(fù)責(zé) MST-PPD輸入及驗(yàn)證。c) MK生成。負(fù)責(zé)將 MST-PPD（如 PIN碼），通過符合國家相關(guān)要求的密鑰生成機(jī)制（如 GMT0003.4-2012 SM2橢圓曲線公鑰密碼算法5.4.3）生成 MK。5T/ZSA 67.2-2019d) SS-CC通信。負(fù)責(zé)與 SS-CC建立安全通信連接，其中預(yù)置 SS-CC公鑰。e) MST-CC服務(wù)接口。MST-CC與移動應(yīng)用接口，包括數(shù)據(jù)接口、控制接口及狀態(tài)輸出接口。f) SS-CC至少包括完成以下功能的模塊：g)密碼算法。實(shí)現(xiàn)核準(zhǔn)的密碼算法，如 SM2,SM3,SM4。h) PI

21、N碼管理。負(fù)責(zé)密碼主管 PIN碼驗(yàn)證，啟動 SS-CC。i)密鑰容器。存儲管理敏感安全參數(shù)的文件。 SS-CC中的敏感安全參數(shù)均加密存儲在密鑰容器中。密鑰容器只有在密碼主管 PIN碼驗(yàn)證通過后方可使用。j) MST-CC管理。完成 MST-PPD驗(yàn)證和 SS-MKC生成。k) MST-CC通信。提供與 MST-CC的通信連接接口。l) CMMST-KELP通過 MST-CC SDK提供給移動應(yīng)用調(diào)用 MST-CC的軟件接口。 MST-CC運(yùn)行在操作系統(tǒng)獨(dú)立的進(jìn)程空間，移動應(yīng)用通過操作系統(tǒng)進(jìn)程間通信機(jī)制與 MST-CC信息交換。7工作流程7.1概述本節(jié)只給出MST-CC初始化及MST-PPD驗(yàn)證

22、流程，其他密碼服務(wù)（如數(shù)據(jù)加解密、數(shù)據(jù)簽名等）流程與一般密碼模塊相同。下面流程所描述的交換數(shù)據(jù)僅為確保流程安全而定義的必要數(shù)據(jù)，密碼模塊制造廠家可根據(jù)需要進(jìn)行添加。符號說明：KDF()密鑰派生算法A_ENC(KEY，DATA)使用公鑰加密數(shù)據(jù)DATAA_DEC(KEY, ENC_DATA)使用私鑰解密數(shù)據(jù)DATAHash（DATA）計(jì)算DATA雜湊值S_ENC(KEY, DATA)用對稱密鑰KEY加密DATAS_DEC(KEY, ENC_DATA)用對稱密鑰KEY解密DATA|表示“合并”7.2 MST-CC初始化流程MST-CC首次運(yùn)行時(shí)須對 MST-CC進(jìn)行初始化。MST-CC軟件發(fā)布時(shí)內(nèi)

23、置 SS-CC公鑰 PS，用戶已輸入 PPD；SS-CC已啟動，已由密碼主管 PIN碼生成生成 SS-CC存儲密鑰 KSMST-CC初始化過程基本步驟：a) MST-CC自檢；b) MST-CC向 SS-CC請求初始化；c) SS-CC取得隨機(jī)數(shù) R送 MST-CC；d) MST-CC生成 MST-CC公私鑰對（ PM、dM)，計(jì)算 PPD雜湊值 HPPD；6T/ZSA 67.2-2019e) MST-CC使用 PS加密(R|H PPD|PM)得到 CM；f) MST-CC將數(shù)據(jù) CM發(fā)送給 SS-CC；g) SS-CC接收此數(shù)據(jù)，使用自身私鑰 dS解密 CM，得到(R|H PPD|PM)。h

24、) SS-CC生成用戶 ID、SS-MKC，將(HPPD|SS-MKC|P M|PPD嘗試次數(shù))使用 KS加密，以用戶ID為索引存儲在密鑰容器中；i) SS-CC使用 PM加密(R|SS-MKC|用戶 ID)得到 CS；j) SS-CC將 CS發(fā)送給 MST-CC；k) MST-CC使用私鑰 dM解密 CS，得到(R|SS-MKC|用戶 ID)；l) MST-CC保存用戶 ID作為 MST-CC的標(biāo)識；m) MST-CC以(PPD|SS-MKC)為參數(shù)，使用 KDF()計(jì)算得到 MK；n) MST-CC使用 MK加密 CSP（如 dM），保存在密鑰容器中；o)初始化完成。MST-CC初始化流程

25、圖見圖 3。MST-CCSS-CC（PS）（PS, dS） 1) MST-CC 自檢； 2) MST-CC向SS-CC 請求初始化 4) GEN(PM+dM) 5) DATA1 = R|HPPD|PM Cm = A_ENC(PS,DATA1) 7) DATA1 = A_DEC(dS,Cm) DATA1 = R|HPPD|PM 8) GEN(SS-MKC) 9) DATA2 = R|SS-MKC|用戶ID Cs = A_ENC(PM,DATA2) 11) DATA2 = A_DEC(dM,Cs) DATA2=R|SS-MKC|用戶ID 13) MK=KDF(PPD|SS-MKC) 15) 初始化

26、完成圖3 MST-CC初始化流程圖7.3 MST-PPD驗(yàn)證流程7T/ZSA 67.2-2019在得到SS-MKC前，MST-CC無法打開密鑰容器中用戶私鑰， MST-CC不能提供密碼服務(wù)，必須在接收移動應(yīng)用用戶輸入 MST-PPD，并驗(yàn)證其正確性后，解密密鑰容器中用戶私鑰， MST-CC才能提供密碼服務(wù)。在MST-PPD驗(yàn)證前， MST-CC擁有：PSSS-CC公鑰用戶ID移動應(yīng)用用戶標(biāo)識HPPD待驗(yàn)證 MST-PPD雜湊值MST-PPD驗(yàn)證流程如圖 4所示：a） MST-CC向 SS-CC請求 MST-PPD驗(yàn)證；b） SS-CC發(fā)送隨機(jī)數(shù) R給 MST-CC；c） MST-CC使用 PS

27、加密(R|用戶 ID| HPPD| rM)得到 CM,其中 rM為隨機(jī)數(shù)；d） MST-CC將數(shù)據(jù) CM發(fā)送給 SS-CC；e） SS-CC使用自身私鑰 dS解密 CM，得到(R|用戶 ID| HPPD|rM)；f） SS-CC根據(jù)用戶 ID從密鑰容器中得到 MST-CC的對應(yīng)數(shù)據(jù) (HPPD|SS-MKC|P M|PPD嘗試次數(shù))，并用 KS解密，驗(yàn)證 HPPD與 HPPD一致性、PPD嘗試次數(shù)，以上條件有一不滿足，則置 MKC為零（標(biāo)識 MST-PPD驗(yàn)證失?。?，修改 PPD嘗試次數(shù)；g） SS-CC使用 rM加密(R|SS-MKC|PPD嘗試次數(shù))得到 CS,并將 CS發(fā)送給 MST-C

28、C；h） MST-CC使用 rM解密 CS得到(R|SS-MKC|PPD嘗試次數(shù) )；如果 SS-MKC為零，則返回 PPD驗(yàn)證失敗結(jié)果，并附帶 PPD嘗試次數(shù)；否則繼續(xù)；i） MST-CC以(PPD|SS-MKC)為參數(shù)，使用 KDF()計(jì)算得到 MK，使用 MK解密密鑰容器中的敏感安全參數(shù)（如 dM）；j） MST-PPD驗(yàn)證結(jié)束。8T/ZSA 67.2-2019MST-CCSS-CC（PS，PM，rsPM）（PS, dS）3）DATA=(R|用戶ID|H|r)Cm=A_ENC(PS,DATA)5）DATA=A_DEC(dS,Cm)DATA= (R|用戶ID|H|r)6)如PPD碼驗(yàn)證失敗

29、則SS-MKC置零7）DATAS= R|SS-MKC|PPD_TIMECS= S_ENC(rM,DATAS)8）DATAS= S_DEC(rM,CS)如SS-MKC為全零，則返回PPD驗(yàn)證失敗9）MK= KDF(PPD|MKC)10）MST-PPD驗(yàn)證結(jié)束圖 4 MST-PPD驗(yàn)證流程8密碼模塊規(guī)格8.1概述CMMST-KELP在其密碼邊界內(nèi)使用核準(zhǔn)的密碼算法 SM2,SM3,SM4實(shí)現(xiàn)模塊聲明的功能 ,包括數(shù)據(jù)摘要計(jì)算，對稱密鑰加解密，非對稱密鑰加解密，簽名 /驗(yàn)簽等。8.2密碼模塊類型CMMST-KELP為軟件模塊類型，須滿足 GM/T 0028-2014 7.2.2節(jié)關(guān)于軟件模塊的要求。

30、8.3密碼邊界CMMST-KELP邊界為MST-CC、SS-CC的可執(zhí)行文件和文件集。如圖 2所示。MST-CC包括完成以下功能的模塊：密碼算法， PPD管理，MK生成，SS-CC通信，MST-CC服務(wù)接口。SS-CC包括完成以下功能的模塊：密碼算法，密碼主管 PIN碼管理，密鑰容器， MST-CC管理，MST-CC通信。9T/ZSA 67.2-2019MST-CC、SS-CC運(yùn)行在獨(dú)立的進(jìn)程空間中，使用操作系統(tǒng)進(jìn)程間通信接口與密碼邊界外進(jìn)行數(shù)據(jù)交換。 MST-CC與SS-CC通過通信模塊完成數(shù)據(jù)交換。MST-CC SDK不在密碼安全邊界內(nèi)，如，為可集成到移動應(yīng)用的動態(tài)鏈接庫中。8.4工作模式

31、CMMST-KELP的正常工作狀態(tài)按 GM/T 0028-2014 7.2.4.2要求實(shí)施。9密碼模塊接口9.1物理和邏輯接口CMMST-KELP邏輯接口分布在MST-CC和SS-CC上，兩方邏輯接口類型相同。9.2接口類型CMMST-KELP接口類型為軟件或固件模塊接口 (SFMI)類型。9.3接口定義CMMST-KELP接口定義參照 GM/T 0019-2012通用密碼服務(wù)接口規(guī)范。9.4可信信道對于CMMST-KELP此項(xiàng)無要求。10角色、服務(wù)和鑒別10.1角色CMMST-KELP設(shè)有兩種角色：移動應(yīng)用用戶，密碼主管。移動應(yīng)用用戶： MST使用者，使用 MST-CC實(shí)現(xiàn)密鑰生成、數(shù)據(jù)簽名

32、 /驗(yàn)簽及加解密等。密碼主管：負(fù)責(zé)操作 SS-CC，以及CMMST-KELP系統(tǒng)管理。10.2服務(wù)CMMST-KELP除按GM/T 0028-2014 7.4.3.1中對安全一級、安全二級軟件模塊的要求提供必需的服務(wù)外，SS-CC還須提供面向密碼主管角色的操作服務(wù)，包括用戶管理及安全策略管理（如MST-PPD驗(yàn)證次數(shù)設(shè)置）等。10.2.1旁路能力CMMST-KELP不提供旁路能力或功能。10.2.2自啟動密碼服務(wù)能力CMMST-KELP不提供自啟動密碼服務(wù)能力或功能。10.2.3軟件/固件加載10T/ZSA 67.2-2019CMMST-KELP不提供加載外部軟件 /固件功能。10.3鑒別除滿

33、足GM/T 0028-2014 7.4.4中對安全一級、安全二級軟件模塊的要求外，還需支持以下基于角色的鑒別：移動應(yīng)用用戶須輸入 MST-PPD經(jīng)SS-CC驗(yàn)證，方可調(diào) MST-CC密碼服務(wù)；SS-CC驗(yàn)證密碼主管輸入 PIN碼，方可執(zhí)行操作；11軟件/固件安全除滿足GM/T 0028-2014 7.5中對安全一級、安全二級軟件模塊的要求外， CMMST-KELP軟件安全措施還包括但不限于：a)采用 CMMST-KELP自身核準(zhǔn)的完整性算法對 MST-CC和 SS-CC程序進(jìn)行保護(hù)。b)采取緩解動靜態(tài)分析、攻擊方法，對 CMMST-KELP代碼進(jìn)行保護(hù)。如，代碼、數(shù)據(jù)完整性檢測，防動態(tài)調(diào)試，可

34、執(zhí)行代碼混淆等。12運(yùn)行環(huán)境CMMST-KELP運(yùn)行在可修改的運(yùn)行環(huán)境中，可修改運(yùn)行環(huán)境的操作系統(tǒng)采取以下措施滿足GM/T 0028-2014 7.6.3安全一、二級模塊要求：a) MST-CC、SS-CC運(yùn)行在獨(dú)立的進(jìn)程空間中，移動應(yīng)用通過操作系統(tǒng)進(jìn)程間通信機(jī)制與MST-CC信息交換。b) MST-CC須運(yùn)行在合法的操作系統(tǒng)中，如未 root操作系統(tǒng)。c) SS-CC須運(yùn)行在工藝設(shè)計(jì)、硬件配置等方面采取了相應(yīng)的保護(hù)措施，具備基本物理安全防護(hù)的主機(jī)上。131415密碼模塊物理安全CMMST-KELP無物理安全要求。非入侵式安全CMMST-KELP對此無要求。敏感安全參數(shù)管理15.1概述CMMS

35、T-KELP敏感安全參數(shù)包括：MST-CC關(guān)鍵安全參數(shù)：11T/ZSA 67.2-2019rMMST-CC與 SS-CC通信加密使用的隨機(jī)產(chǎn)生的對稱密鑰；dMMST-CC用戶私鑰；MST-PPDMST用戶個(gè)人特征數(shù)據(jù)；MKMST-CC主密鑰；MST-CC公開安全參數(shù)：PMMST-CC公鑰；PSSS-CC公鑰；SS-CC關(guān)鍵安全參數(shù)：dSSS-CC私鑰；rMSSS-CC與 MST-CC通信加密使用的隨機(jī)產(chǎn)生的對稱密鑰；SS-MKCSS-CC產(chǎn)生的 MK密鑰分量，每個(gè) MST-CC對應(yīng)一個(gè) SS-MKC；KS對稱密鑰，用于 SS-CC加密存儲敏感安全參數(shù)，由密碼主管 PIN碼生成；密碼主管員 PI

36、N由密碼主管員人工產(chǎn)生，用于產(chǎn)生 KS啟動 SS-CC工作；SS-CC公開安全參數(shù)：PSSS-CC公鑰；PMMST-CC公鑰。遵照 GM/T 0028-2014 7.9中對安全一級、安全二級軟件模塊的要求， CMMST-KELP對以上敏感安全參數(shù)進(jìn)行管理。a) MST-CC關(guān)鍵安全參數(shù)保護(hù)，防止非授權(quán)的訪問、使用、泄露、修改和替換。dM由MK加密存儲在密碼容器文件中；MK由MST-PPD和SS-MKC組合生成；MST-PPD由用戶保管；rM在模塊內(nèi)臨時(shí)生成、使用，不保存。b) SS-CC關(guān)鍵安全參數(shù)保護(hù)，防止非授權(quán)的訪問、使用、泄露、修改和替換。SS-MKC及SS-CC私鑰dS加密存放在密碼容

37、器中；KS由密碼主管 PIN生成，不永久保存；rMS臨時(shí)生成、使用，不保存。c) MST-CC公開安全參數(shù)保護(hù)，防止非授權(quán)的修改和替換。PS內(nèi)置在MST-CC代碼段，在 MST-CC啟動時(shí)對代碼段做完整性校驗(yàn)；PM由移動應(yīng)用保存。d) SS-CC公開安全參數(shù)保護(hù)，防止非授權(quán)的修改和替換。PS、PM用 SS-CC私鑰簽名保護(hù)。15.2隨機(jī)比特生成器CMMST-KELP須滿足GM/T 0028-2014 7.9.2中對安全一級 ,安全二級軟件模塊的要求。12T/ZSA 67.2-201915.3敏感安全參數(shù)的生成CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.3要求生成。

38、a) CMMST-KELP所有敏感安全參數(shù)均在 MST-CC和SS-CC內(nèi)產(chǎn)生。b) rM、rMS使用核準(zhǔn)的隨機(jī)比特生成器生成，如 GM/T 0005-2012隨機(jī)性檢測規(guī)范。c) PM、dM、PS、dS生成滿足 GM/T 0003.3-2012中相關(guān)要求。d) MK使用KDA衍生，KDA滿足GM/T 0003.3-2012中5.4.3相關(guān)要求。e) KS由密碼主管 PIN衍生，且符合核準(zhǔn)的密鑰生成要求。f) PPD由MST-CC用戶人工產(chǎn)生。g) SS-MKC使用核準(zhǔn)的隨機(jī)比特生成器生成，如GM/T 0005-2012隨機(jī)性檢測規(guī)范。h)密碼主管員 PIN由密碼主管員人工產(chǎn)生。15.4敏感安

39、全參數(shù)的建立CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.4要求建立。15.5敏感安全參數(shù)的輸入輸出a) CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.5要求輸入輸出。b) PPD由用戶通過移動應(yīng)用程序 MST-CC SDK接口人工輸入到密碼模塊中。c)密碼主管員 PIN由密碼主管員通過服務(wù)端軟件 SS-CC SDK接口人工輸入到密碼模塊中。d) PPD和密碼主管員 PIN輸入須滿足 GM/T 0028-2014 7.9.5直接輸入的敏感安全參數(shù)要求。e) rM、rMS在 MST-CC及 SS-CC之間傳遞采用核準(zhǔn)的密碼算法加密保護(hù)。15

40、.6敏感安全參數(shù)存儲CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.6要求存儲。a) MST-CC加密存儲的 CSP均與PPD綁定，驗(yàn)證不通過無法使用 CSP。b) SS-CC加密存儲的 CSP均與密碼主管 PIN綁定關(guān)聯(lián)，綁定驗(yàn)證不通過無法使用 CSP。c) MST-CC、SS-CC中PSP完整性由MST-CC代碼數(shù)據(jù)完整性檢測保證。15.7敏感安全參數(shù)置零遵照GM/T 00282014 7.9.7要求，CMMST-KELP沒有未受保護(hù)的敏感安全參數(shù)，不需置零操作。16自測試CMMST-KELP須滿足GM/T 0028-2014 7.10中對安全一級 ,安全二級軟件

41、模塊的要求。 MST-CC自測試須在 MST-PPD初始化和 MST-CC啟動時(shí)進(jìn)行。 SS-CC在提供安全服務(wù)前須進(jìn)行代碼數(shù)據(jù)完整性自測試。13T/ZSA 67.2-201917生命周期保障17.1配置管理CMMST-KELP須滿足GM/T 0028-2014 7.11.2中對安全一級 ,安全二級軟件模塊的要求。17.2設(shè)計(jì)CMMST-KELP須滿足GM/T 0028-2014 7.11.3中對安全一級 ,安全二級軟件模塊的要求。17.3有限狀態(tài)模型（ FSM）CMMST-KELP的狀態(tài)是指 MST-CC和SS-CC共同處于的狀態(tài)，其有限狀態(tài)模型如圖 5所示：出廠狀態(tài)。密碼模塊集成（安裝）后

42、尚未使用所處的狀態(tài)。初始化狀態(tài)。密碼模塊初始運(yùn)行后進(jìn)入“初始化狀態(tài)”。自測試狀態(tài)。密碼模塊正在執(zhí)行自測試時(shí)所處的狀態(tài)。密碼主管狀態(tài)。 SS-CC密碼主管進(jìn)行模塊管理、密鑰管理（如更換 SS-CC公私鑰對）時(shí)處于的狀態(tài)，此狀態(tài)下 MST-CC不能進(jìn)行密碼服務(wù)。關(guān)鍵安全參數(shù)輸入狀態(tài)。當(dāng) MST-CC接收用戶個(gè)人特征數(shù)據(jù)（ PPD）時(shí)所處的狀態(tài)。鎖定狀態(tài)。關(guān)鍵安全參數(shù)輸入錯(cuò)誤進(jìn)入此狀態(tài)，此狀態(tài)僅可有密碼主管干預(yù)解鎖，回到關(guān)鍵安全參數(shù)輸入狀態(tài)。用戶狀態(tài)。移動應(yīng)用使用密碼模塊進(jìn)行核準(zhǔn)的密碼服務(wù)時(shí)所處的狀態(tài)。核準(zhǔn)的狀態(tài)。密碼模塊正在執(zhí)行核準(zhǔn)的密碼功能時(shí)所處的狀態(tài)，當(dāng)密碼服務(wù)完成后退出此狀態(tài)，轉(zhuǎn)到用戶狀態(tài)。

43、錯(cuò)誤狀態(tài)。當(dāng)密碼模塊遇到錯(cuò)誤狀況時(shí)轉(zhuǎn)到此狀態(tài)。初始化未初始化狀態(tài)密碼主管密碼模塊初始運(yùn)行鑒別成功密碼主管狀態(tài)關(guān)鍵安全參數(shù)輸入密碼管理結(jié)束密碼模塊加載運(yùn)行出廠狀態(tài)自測試狀態(tài)鎖定密碼主管狀態(tài)用戶狀態(tài)解鎖錯(cuò)誤狀態(tài)核準(zhǔn)的狀態(tài)圖5 CMMST-KELP有限狀態(tài)圖17.4開發(fā)CMMST-KELP須滿足GM/T 0028-2014 7.11.5中對安全一級,安全二級軟件模塊的要求。14T/ZSA 67.2-201917.5廠商測試CMMST-KELP須滿足GM/T 0028-2014 7.11.6中對安全一級,安全二級軟件模塊的要求。17.6配送與操作CMMST-KELP采取以下措施進(jìn)行配送：a） CMMS

44、T-KELP安裝、初始化和啟動流程見 6.1.3.1 MST-CC初始化流程。b） SS-CC可在 MST-CC模塊初始化時(shí)對 MST-CC代碼進(jìn)行完整性檢測，確保 MST-CC未被篡改。17.7生命終止MST-CC中加密存儲的敏感安全參數(shù)可由密碼主管角色通過 SS-CC下指令清除。17.8指南文檔CMMST-KELP須滿足GM/T 0028-2014 7.11.9中對安全一級 ,安全二級軟件模塊的要求。18對其他攻擊的緩解CMMST-KELP對此無要求。15T/ZSA 67.2-2019附錄A（資料性附錄）應(yīng)用示例移動應(yīng)用可按下列方法完成對 CMMST-KELP密碼模塊集成。a） CMMST

45、-KELP開發(fā)者將 CMMST-KELP系統(tǒng)提供給用戶（ CMMST-KELP系統(tǒng)所有權(quán)屬于該用戶）。b） CMMST-KELP用戶首次運(yùn)行 SS-CC，SS-CC生成自己的公私鑰對，及主密鑰，并用主密鑰加密存儲自己的私鑰。c）將 SS-CC的公鑰部署在 MST-CC SDK中。d） MST-CC SDK由 CMMST-KELP移動應(yīng)用開發(fā)者使用。e）移動應(yīng)用開發(fā)者將 CMMST-KELP集成到進(jìn)移動應(yīng)用中，為移動應(yīng)用提供密碼服務(wù)，如信息加解密、數(shù)據(jù)簽名與驗(yàn)證等。f）集成 MST-CC的移動應(yīng)用安裝到移動終端后第一次運(yùn)行時(shí)，移動應(yīng)用的用戶輸入 MST-PPD進(jìn)行初始化注冊。g）注冊完成后， S

46、S-CC將 SS-MKC等信息發(fā)送到 MST-CC。h） MST-CC根據(jù)下發(fā)的數(shù)據(jù)將本地 MST-PPD及 SS-MKC組合生成存儲加密主密鑰 MK，用 MK加密存儲移動應(yīng)用密碼模塊敏感安全參數(shù)。 MST-CC初始化流程見本7.1節(jié)。i）當(dāng)再次啟動時(shí)，不需執(zhí)行初始化操作，僅使用 MST-PPD激活 MST-CC即可調(diào)用 MST-CC密碼功能。16ICS 35.240L70/84A s s o s i c a t i o n S t a n d a r dT/ZSA 67.2-2019Technical framework of cryptographic module for mobile

47、smart terminal Part 2：Key-encrypted local protectionIssue Date 12-31-2019Inplemenation Date 03-01-2020Is s ued b y Zh on ggua n cun St a n da rd izat ion Ass ociat ionT/ZSA 67.2-2019Contents FOREWORD . . . .IIIINTRODUCTION . IV 1 SCOPE . 1 2 NOMATIVE REFERENCES . 1 3 TERMS AND DEFINITIONS . 1 4 SYMB

48、OL AND ACRONYMS . 3 5 OVERVIEW . 4 5.1 Plan Principles . 4 5.2 Security Risks . 5 5.3 Security Measures . 5 6 TECHNICAL STRUCTURE . 6 7 WORK FLOW . 7 7.1 Overview . 7 7.2 Initialization Process . 7 7.3 Verification Process . 9 8 CRYPTOGRAPHIC MODULE SPECIFICATIONS . 11 8.1 Overview . 11 8.2 Cryptogr

49、aphic Module Type s . 11 8.3 Cryptographic Boundary . 11 8.4 Work Module . 12 9 CRYPTOGRAPHIC MODULE INTERFACE . 12 9.1 Physical and Logical Interface . 12 9.2 Interface Types . 12 9.3 Interface Definitions . 12 9.4 Trusted Channel . 12 10 ROLES,SERVICES AND IDENTIFICATION . 12 10.1 Roles . 12 10.2

50、Services . 13 10.3 Identification . 13 11 SOFTWARE / FIREWARE SECURITY . 13 12 OPERATING ENVIRONMENT . 14 13 CRYPTOGRAPHIC MODULE PHYSICAL SECURITY . 14 IT/ZSA 67.2-201914 NON-INVASIVE SECURITY . 14 15 SEVSITIVE SECURITY PARAMETER MANAFEMENT . 14 15.1 Overview . 14 15.2 Random Bit Generator . 15 15.

51、3 Generation of Sensitive Security Parameters . 16 15.4 Establishment of Sensitive Safety Parameters . 16 15.5 Input and Output of Sensitive Safety Parameters . 16 15.6 Storage of Sensitive Safety Paramete rs . 16 15.7 Nulling Sensitive Safety Parameters . 17 16 SELF-TEST . 17 17 LIFE CYCLE ASSURANC

52、E. 17 17.1 Configuration Management . 17 17.2 Design . 17 17.3 Finite State Model . 17 17.4 Development. 18 17.5 Manufacturer Test . 18 17.6 Distribution and Operation . 19 17.7 Life Termination . 19 17.8 Guide Document . 19 18 MITIGATION OF OTHER ATTACKS . 19 APPENDIX A . 20 IIT/ZSA 67.2-2019FOREWO

53、RD T /ZSA 67-2019 Technical framework of cryptographic module in mobile smart terminal isdivided into 5 parts:Part 1: GeneralPart 2: Key-encryption local protectionPart 3: Key-encrypted protection on server sidePart 4: Key protection based on multi-party computationPart 5: Based on security chipThis

54、 section is second part of T /ZSA 67-2019 Technical framework of cryptographic module inmobile smart terminal.The section was drafted in accordance with the rules set out in GB/T 1.1-2009.Please note that some contents in this document may involve patents. ZhongguancunStandardization Association sha

55、ll not be held responsible for identifying such patents.The section was proposed and under the jurisdiction of Zhongguancun Standardization Association- Technical Committee.The main drafting companies of this section: Zhongguancun Cyberspace Affairs Industry Alliance,Qianxin Technology Group Co., Lt

56、d., Institute of Information Engineering, Chinese Academy ofSciences, Beijing Jiangnan Tianan Technology Co., Ltd., PayEgis, Beijing Woqi Data Co., Ltd.,Westone Information Industry Co., Ltd., Dingqiao Communication Technology Co., Ltd., etc.The main drafters of this section: Zhang Fan, Wang Ke, Fu

57、Wenbin, Liu Zongbin, Li Bo, Zhang Jing, LiXiangrong, Lu Hongcheng, Zhang Lingchen, etc.IIIT/ZSA 67.2-2019INTRODUCTION In the environment of open mobile networks and portable mobile terminal systems, how to protectsensitive security parameters has become a core issue in the design and implementation

58、ofcryptographic software modules for mobile intelligent terminals. Encrypting and storing sensitivesecurity parameters in mobile smart terminals is the main method to solve the security of softwarecryptographic modules. However, if the encryption key is easily obtained illegally or the quality ofthe

59、 key does not meet the requirements, it poses a threat to the security of sensitive securityparameters. Therefore, this standard controls the secure generation and use of master keys toensure the security of encryption keys with sensitive security parameters.IVT/ZSA 67.2-2019Technical framework of c

60、ryptographic module in mobile smart terminal Part 2：Key-encrypted local protection 1 SCOPEThis section of T / ZSA 67-2019 Mobile Smart Terminal Cryptographic Module TechnicalFramework specifies the technical architecture of the mobile smart terminal crypto module(CMMST-KELP), which is encrypted by t