T∕ZSA 67.4-2019 移動智能終端密碼模塊技術(shù)框架 第4部分：密鑰多端協(xié)同計算保護技術(shù)架構(gòu)

1、ICS 35.240L70/84團 體T/ZSA 67.4-2019移動智能終端密碼模塊技術(shù)框架第4部分：密鑰多端協(xié)同計算保護技術(shù)架構(gòu)Technical framework of cryptographic module in mobile smart terminalPart 4: Key protection based on multi-party computation2019-12-31發(fā)布2020-03-01實施中關(guān)村化協(xié)會發(fā)布T/ZSA 67.4-2019目 次前言 . II 引言 . III 1 范圍 . 1 2 規(guī)范性引用文件 . 1 3 術(shù)語和定義 . 1 4 符號和縮略語

2、 . 3 5 概述 . 3 5.1 引言 . 35.2 密鑰雙端協(xié)同計算保護 . 35.3 密鑰三端協(xié)同計算保護 . 56 密碼模塊規(guī)格 . 7 6.1密碼模塊類型. 76.2密碼邊界. 76.3工作模式. 87 密碼模塊接口 . 8 8 角色、服務和鑒別 . 8 8.1角色. 88.2服務. 98.3鑒別. 99 軟件固件安全 . 9 10 運行環(huán)境 . 9 11 物理安全 . 9 12 非侵入式安全 . 9 13 敏感安全參數(shù)管理 .10 13.1概述. 1013.2隨機比特生成器. 1013.3敏感安全參數(shù)的生成. 1013.4敏感安全參數(shù)的建立. 1013.5敏感安全參數(shù)的輸入輸出.

3、1013.6敏感安全參數(shù)的存儲. 1013.7敏感安全參數(shù)置零.1114 自測試 .11 15 生命周期保障 .11 16 對其他攻擊的緩解 .11 附錄 A（資料性附錄）應用示例 .12 附錄 B（參考性附錄）SM2雙端協(xié)同計算流程示例 .14 附錄 C（參考性附錄）SM2三端協(xié)同計算流程示例 .17 參考文獻 .20 IT/ZSA 67.4-2019前 言T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架分為 5個部分：第 1部分：總則第 2部分：密鑰加密本地保護技術(shù)架構(gòu)第 3部分：密鑰加密云保護技術(shù)架構(gòu)第 4部分：密鑰多端協(xié)同計算保護技術(shù)架構(gòu)第 5部分：基于安全芯片的技術(shù)架構(gòu)本部分為

4、 T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架的第 4部分。本部分按照GB/T 1.1-2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。中關(guān)村化協(xié)會不承擔識別這些專利的責任。本部分由中關(guān)村化協(xié)會技術(shù)委員會提出并歸口。本部分主要起草單位：中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、北京江南天安科技有限公司、中國科學院信息工程研究所、奇安信科技集團股份有限公司、江蘇通付盾科技有限公司、北京握奇數(shù)據(jù)股份有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、鼎橋通信技術(shù)有限公司等。本部分主要起草人：劉宗斌、張晶、李強、王克、史晗暉、張凡、傅文斌、李勃、魯洪成、李向榮、張令臣等。IIT/ZSA 67.4-20

5、19引 言密碼技術(shù)使用的安全性除了算法自身安全性外還取決于算法正確實現(xiàn)和安全參數(shù)可靠保護。在開放移動網(wǎng)絡(luò)和便攜移動終端系統(tǒng)環(huán)境中，如何安全設(shè)計、實現(xiàn)和使用密碼模塊，如何保護敏感安全參數(shù)成為移動智能終端密碼模塊設(shè)計和實現(xiàn)的核心問題。為了解決移動智能終端缺乏可靠密鑰保護環(huán)境的問題，引入密鑰多端協(xié)同計算機制，由兩端或三端協(xié)同生成用戶 SM2私鑰，并由各方獨立保存，協(xié)同完成數(shù)字簽名等密碼運算，保證移動智能終端用戶私鑰的安全，滿足 GM/T 0028 -2014要求。IIIT/ZSA 67.4-2019移動智能終端密碼模塊技術(shù)框架第4部分：密鑰多端協(xié)同計算保護技術(shù)架構(gòu)1范圍T/ZSA 67-2019移動

6、智能終端密碼模塊技術(shù)框架的本部分規(guī)范了移動智能終端密鑰多端協(xié)同計算保護技術(shù)架構(gòu)組成、主要工作流程，以及滿足GM/T 0028-2014各安全域的具體要求。本規(guī)范是GM/T 0028-2014在移動智能終端中實現(xiàn)密碼模塊的具體展開和補充，適用于指導密碼模塊制造廠家設(shè)計、實現(xiàn)移動智能終端密碼模塊，也可作為移動智能終端使用密碼模塊的參考。2規(guī)范性引用文件下列文件中的條款通過T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架的本部分的引用而成為本部分的條款。GM/T 0003-2012 SM2橢圓曲線公鑰密碼算法GM/T 0005-2012 隨機性檢測規(guī)范GM/T 0009-2012 SM2密碼算

7、法使用規(guī)范GM/T 0019-2012 通用密碼服務接口規(guī)范GM/T 0028-2014 密碼模塊安全技術(shù)要求GM/T 0030-2014 服務器密碼機技術(shù)規(guī)范T/ZSA 67-2019移動智能終端密碼模塊技術(shù)框架 第 1部分：總則3術(shù)語和定義3.1非對稱密鑰對 asymmetric key pair一對相關(guān)的密鑰，其中私有密鑰規(guī)定私有變換，公開密鑰規(guī)定公開變換。GB/T 25069-2010，定義2.2.2.333.2服務器密碼機 cryptographic server；又稱主機加密服務器，能夠獨立或并行為多個應用實體提供密碼服務和密鑰管理的設(shè)備。GM/T 0030-2014，定義3.13

8、.3數(shù)字簽名 digital signature1T/ZSA 67.4-2019附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性，并保護數(shù)據(jù)防止被人（例如接收者）偽造或抵賴。GB/T 25069-2010，定義2.2.2.1763.4密鑰多端協(xié)同計算保護 key protection based on multi-party computation；KPBMC將一個密鑰由多方聯(lián)合生成，每一方產(chǎn)生各自的密鑰分量并獨立保存，使用時多方使用各自密鑰分量協(xié)同完成密碼計算（如數(shù)字簽名），任何一方，任何時候都不能獲得完整的密鑰，從而降低

9、密鑰在一方保存存在的泄露風險。本采用密鑰多端協(xié)同計算保護以解決移動智能終端軟件密碼組件密鑰保護環(huán)境不安全問題。3.5移動智能終端密碼組件 mobile smart terminal cryptographic components；MST-CC部署在移動智能終端中的密碼組件，或獨立構(gòu)成，或與服務端密碼組件（SS-CC、TPSS-CC）一起構(gòu)成移動智能終端密碼模塊。3.6個人特征數(shù)據(jù)personal profile data；PPD個人知道或獨具的因素，如PIN碼，手勢碼，以及個人的生物特征，如指紋、臉部特征等。3.7服務端密碼組件 server side cryptographic compo

10、nents；SS-CC部署在服務端中的密碼組件，與移動智能終端密碼組件（MST-CC）一起構(gòu)成移動智能終端密碼模塊。3.8第三方服務端密碼組件 third party server side cryptographic components；TPSS-CC部署在第三方服務端中的密碼組件，與移動智能終端密碼組件（MST-CC）、服務端密碼組件（SS-CC）一起構(gòu)成移動智能終端密碼模塊。3.9用戶私鑰 user private key在某一移動智能終端使用者的非對稱密鑰對中，只應由該用戶掌握和使用的密鑰。正常情況下，私鑰不應泄露。3.10私鑰分量2T/ZSA 67.4-2019在密鑰多端協(xié)同計算保

11、護中，由協(xié)同的某方生成的部分密鑰數(shù)據(jù)，所有分量一起組合構(gòu)成用戶私鑰。如，本中移動智能終端密碼組件（鑰分量。MST-CC）產(chǎn)生的私鑰分量、服務端密碼組件（SS-CC）產(chǎn)生的私3.11用戶公鑰 user public key在移動應用用戶非對稱密鑰對中，能夠公開的密鑰。4符號和縮略語下列符號和縮略語適用于T/EMCG 001-2019移動智能終端密碼模塊技術(shù)框架的本部分。CC密碼組件（cryptographic components）CMMSTCSP移動智能終端密碼模塊（cryptographic module of mobile smart terminal）關(guān)鍵安全參數(shù)（critical se

12、curity parameter）KPBMCMST密鑰多端協(xié)同計算保護（key protection based on multi-party computation）移動智能終端（mobile smart terminal）MST-CCPIN移動智能終端密碼組件（mobile smart terminal cryptographic components）個人身份識別碼（personal identification number）個人特征數(shù)據(jù)（personal profile data）PPDSDK軟件開發(fā)套件（software development kit）SS-CCTPSS-CC服務

13、端密碼組件（server side cryptographic components）第三方服務端密碼組件（third party server side cryptographic components）5概述5.1引言在基于密鑰多端協(xié)同計算保護的移動智能終端密碼模塊（CMMST of key protection based onmulti-partycomputation；CMMST-KPBMC）中，兩端或三端協(xié)同生成用戶（SM2）私鑰分量，各方獨立保存各自生成的私鑰分量，協(xié)同完成數(shù)字簽名、數(shù)據(jù)加解密等核準的密碼服務功能。密碼運算過程中在任意一方不會出現(xiàn)完整的用戶私鑰信息，從而保證移動智

14、能終端用戶私鑰的安全，滿足 GM/T 0028 -2014對安全一、二級密碼模塊的要求。CMMST-KPBMC包括密鑰雙端協(xié)同計算保護和密鑰三端協(xié)同計算保護。5.2密鑰雙端協(xié)同計算保護5.2.1技術(shù)架構(gòu)5.2.1.1概述CMMST-KPBMC 密鑰雙端協(xié)同計算技術(shù)架構(gòu)由移動智能終端密碼組件（MST-CC）和服務端密碼組件（SS-CC）組成。MST-CC以軟件形式部署在 MST中，實現(xiàn) MST-CC私鑰分量生成、協(xié)同簽名與協(xié)同解密等功能；SS-CC 基于服務器密碼機，實現(xiàn) SS-CC 私鑰分量生成、協(xié)同簽名與協(xié)同解密等功能。密鑰雙端協(xié)同計算保護技術(shù)架構(gòu)如圖 1所示。3T/ZSA 67.4-201

15、9MSTSS移動應用MST-CCSS-CC密碼服務接口用戶管理密碼算法PPD輸入服務器密碼機隨機數(shù)生成 SS-CC通信MST-CC通信圖 1 密鑰雙端協(xié)同計算保護技術(shù)架構(gòu)5.2.1.2移動智能終端密碼組件 MST-CCMST-CC完成MST-CC私鑰分量生成、與SS-CC協(xié)同數(shù)字簽名及數(shù)據(jù)加解密等功能，至少包括完成以下功能的模塊：（1）密碼服務接口。移動應用通過調(diào)用密碼服務接口請求密碼服務。（2）密碼算法。實現(xiàn)核準的密碼算法，如SM2、SM3、SM4算法。（3）PPD輸入。采用輸入試錯鎖定、界面劫持告警，收集移動用戶個人特征數(shù)據(jù)（如PIN碼）。（4）隨機數(shù)生成。為密碼計算生成滿足要求的隨機數(shù)。

16、（5）SS-CC通信。實現(xiàn)與SS-CC通信。5.2.1.3服務端密碼組件 SS-CCSS-CC基于服務器密碼機實現(xiàn)SS-CC私鑰分量生成、協(xié)同簽名與協(xié)同解密等功能，至少包括完成以下功能的模塊：（1）用戶密鑰管理。維護移動應用用戶信息、密鑰分量狀態(tài)，根據(jù)MST-CC服務請求提供移動應用密碼服務。（2）服務器密碼機。用戶私鑰協(xié)同生成、SS-CC私鑰分量加解密、協(xié)同數(shù)據(jù)簽名、協(xié)同數(shù)據(jù)解密等需要的密碼計算在密碼機中完成。（3）MST-CC通信。實現(xiàn)與MST-CC通信。5.2.2工作流程5.2.2.1概述本CMMST-KPBMC密鑰雙端協(xié)同計算保護基本工作流程包括協(xié)同密鑰生成、協(xié)同數(shù)據(jù)簽名與協(xié)同數(shù)據(jù)解密

17、流程。數(shù)據(jù)驗簽符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法 第 2部分：數(shù)字簽名算法；數(shù)據(jù)加密符合 GMT 0003.4-2012 SM2橢圓曲線公鑰密碼算法 第 4部分：公鑰加密算法。符號說明：*：點乘操作4T/ZSA 67.4-2019-：點減操作+：點加操作5.2.2.2協(xié)同密鑰生成流程符號定義：dA1、dA2用戶 A的 MST-CC私鑰分量、SS-CC私鑰分量PA用戶 A公鑰協(xié)同密鑰生成基本流程：1) MST-CC向SS-CC發(fā)送密鑰生成請求；2) 根據(jù)具體協(xié)同計算算法進行協(xié)同密鑰生成，生成雙端部分私鑰dA1、dA2，以及公鑰PA；3) SS-CC生成移動應用用戶I

18、D，將ID發(fā)送給MST-CC；4) SS-CC使用密碼機加密保存dA2；5) MST-CC保存用戶ID，用戶輸入PPD，并用該PPD參與運算對dA1進行加密保存，將公鑰PA輸出給移動應用。具體實現(xiàn)算法參見附錄 B，部分步驟可以調(diào)整順序或合并執(zhí)行。5.2.2.3協(xié)同數(shù)據(jù)簽名流程符號定義：dA1、dA2用戶 A的 MST-CC私鑰分量、SS-CC私鑰分量1) MST-CC取出用戶ID，將用戶ID發(fā)送給SS-CC；2) SS-CC根據(jù)用戶ID選擇并恢復相應的SS-CC私鑰分量dA2；3) MST-CC用戶確認簽名信息后輸入PPD，使用PPD恢復簽名私鑰分量dA1；4) 根據(jù)具體協(xié)同計算算法利用dA1

19、和dA2進行協(xié)同數(shù)據(jù)簽名，生成簽名值。具體實現(xiàn)算法參見附錄 B，部分步驟可以調(diào)整順序或合并執(zhí)行。5.2.2.4協(xié)同數(shù)據(jù)解密流程符號定義：dA1、dA2MST-CC私鑰分量、SS-CC私鑰分量a） MST-CC取出用戶ID，將用戶ID發(fā)送給SS-CC；b） SS-CC根據(jù)用戶ID選擇相應的SS-CC私鑰分量dA2；c） MST-CC用戶確認簽名信息后輸入PPD，使用PPD恢復簽名私鑰分量dA1；d） 根據(jù)具體協(xié)同計算算法利用dA1和dA2進行協(xié)同數(shù)據(jù)解密，得到密文。具體實現(xiàn)算法參見附錄 B，部分步驟可以調(diào)整順序或合并執(zhí)行。5.3密鑰三端協(xié)同計算保護5.3.1技術(shù)架構(gòu)5.3.1.1概述CMMST-

20、KPBMC 將用戶私鑰分為三個密鑰分量，分別由 MST-CC、SS-CC 及第三方服務端密碼組件（TPSS-CC）生成，三端協(xié)同進行數(shù)字簽名計算。5T/ZSA 67.4-2019CMMST-KPBMC密鑰三端協(xié)同計算保護可進一步降低密鑰分量非法組合帶來的安全風險，用戶可在兩端協(xié)同計算基礎(chǔ)上引入第三端機構(gòu)參與密鑰協(xié)同計算和保護，加強服務端密鑰管理的可信度。CMMST-KPBMC密鑰三端協(xié)同計算保護技術(shù)架構(gòu)由 MST-CC、SS-CC及 TPSS-CC組成，如圖 2所示：MSTTPSSSS移動應用MST-CCSS-CCTPSS-CC密碼服務接口用戶管理用戶管理密碼算法PPD輸入服務器密碼機服務器密

21、碼機MST-CC、TPSS-CC通信隨機數(shù)生成 SS-CC通信SS-CC通信圖 2 CMMST-KPBMC密鑰三端協(xié)同計算保護技術(shù)架構(gòu)5.3.1.2移動智能終端密碼組件MST-CCMST-CC 為軟件組件，部署在移動智能終端中，負責 MST-CC 用戶私鑰分量生成，并與 SS-CC、TPSS-CC協(xié)同密鑰計算。MST-CC至少包括完成以下功能的模塊：a）密碼服務接口。移動應用通過調(diào)用密碼服務接口請求密碼服務。b）密碼算法。實現(xiàn)核準的密碼算法，如 SM2、SM3、SM4算法。c） PPD輸入。采用輸入試錯鎖定、界面劫持告警，收集移動用戶個人特征數(shù)據(jù)（如 PIN碼）。d）隨機數(shù)生成。為密碼計算生成

22、滿足要求的隨機數(shù)。e）SS-CC通信。實現(xiàn)與 SS-CC通信。5.3.1.3服務端密碼組件SS-CCSS-CC 部署在服務器中，負責生成 SS-CC 用戶私鑰分量，參與三端協(xié)同數(shù)字簽名計算。SS-CC至少包括完成以下功能的模塊：a) 用戶密鑰管理。對注冊的移動應用用戶及其私鑰分量進行管理。b) 服務器密碼機。執(zhí)行密鑰計算，滿足 GM/T 0030-2014服務器密碼機技術(shù)規(guī)范。c) MST-CC、TPSS-CC 通信。實現(xiàn)與 MST-CC、TPSS-CC 通信。5.3.1.4第三方服務端密碼組件TPSS-CCTPSS-CC部署在服務器中，協(xié)同 SS-CC、MST-CC實現(xiàn)相應私鑰分量生成、數(shù)字

23、簽名計算。TPSS-CC至少包括完成以下功能的模塊：a) 用戶密鑰管理。對注冊的移動應用用戶及其私鑰分量進行管理。b) 服務器密碼機。執(zhí)行密鑰計算，滿足GM/T 0030-2014服務器密碼機技術(shù)規(guī)范。c) SS-CC通信模塊。實現(xiàn)與SS-CC通信。6T/ZSA 67.4-20195.3.2工作流程5.3.2.1概述本CMMST-KPBMC 密鑰三端協(xié)同計算保護基本工作流程包括三端協(xié)同密鑰生成和三端協(xié)同數(shù)據(jù)簽名流程。三端數(shù)據(jù)驗簽符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法 第 2部分：數(shù)字簽名算法。5.3.2.2三端協(xié)同密鑰產(chǎn)生流程本流程生成的用戶私鑰符合 GMT 0003

24、.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1 、dA2 、dA3分別為用戶 A的 MST-CC、SS-CC、TPSS-CC私鑰分量PA用戶 A公鑰三端協(xié)同密鑰產(chǎn)生流程：a)b)MST-CC輸入用戶 PPD，產(chǎn)生私鑰分量 dA1，向 SS-CC傳遞必要參數(shù)并發(fā)送密鑰生成請求SS-CC根據(jù)PPD生成用戶ID，產(chǎn)生私鑰分量 dA2，密碼機加密保存 dA2；向 TPSS-CC傳遞必要參數(shù)并發(fā)送密鑰生成請求；c)TPSS-CC產(chǎn)生私鑰分量 dA3，密碼機加密保存 dA3；產(chǎn)生公鑰 PA并驗證公鑰合法性，如公鑰不合法，重新生成 dA3；TPSS-CC將 PA傳遞給 SS-CC；d)e)

25、f)SS-CC將 PA、用戶ID傳遞給 MST-CC；MST-CC對 dA1進行（加密）保護，將用戶公鑰 PA輸出給移動應用。具體實現(xiàn)算法參見附錄 C，部分步驟可以調(diào)整順序或合并執(zhí)行。5.3.2.3三端協(xié)同數(shù)據(jù)簽名流程本流程數(shù)據(jù)簽名符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1 、dA2 、dA3分別為用戶 A的 MST-CC、SS-CC、TPSS-CC私鑰分量三端協(xié)同數(shù)據(jù)簽名流程：a) MST-CC取出用戶ID，向SS-CC發(fā)簽名請求b) SS-CC向TPSS-CC發(fā)簽名請求；c) TPSS-CC根據(jù)用戶ID查找并恢復私鑰分量dA3，做部分簽名計算發(fā)送

26、給SS-CC；d) SS-CC根據(jù)用戶ID查找并恢復私鑰分量dA2，做部分簽名計算發(fā)送給MST-CC；e) MST-CC輸入用戶PPD，使用PPD恢復私鑰分量dA1, 和SS-CC、TPSS-CC協(xié)同得出簽名值。具體實現(xiàn)算法參見附錄C，部分步驟可以調(diào)整順序或合并執(zhí)行。6密碼模塊規(guī)格6.1密碼模塊類型CMMST-KPBMC是混合軟件密碼模塊，包括 MST-CC、SS-CC及 TPSS-CC軟件模塊及服務器密碼機。6.2密碼邊界密鑰雙端協(xié)同計算保護CMMST-KPBMC邊界為 MST-CC、SS-CC的可執(zhí)行文件或文件集以及服務器密7T/ZSA 67.4-2019碼機，如圖 1灰色框所示。a)MS

27、T-CC至少包括完成以下功能的模塊：密碼服務接口，密碼算法，PPD輸入，隨機數(shù)生成，SS-CC通信。b)c)SS-CC至少包括完成以下功能的模塊：用戶密鑰管理，服務器密碼機，MST-CC通信。MST-CC、SS-CC軟件模塊運行在獨立的進程空間中，使用操作系統(tǒng)進程間通信接口與密碼邊界外進行數(shù)據(jù)交換。密鑰三端協(xié)同計算保護 CMMST-KPBMC邊界為 MST-CC、SS-CC、TPSS-CC的可執(zhí)行文件或文件集以及服務器密碼機，如圖 5灰色框所示。a)MST-CC至少包括完成以下功能的模塊：密碼服務接口，密碼算法，PPD輸入，隨機數(shù)生成，SS-CC通信。b)SS-CC至少包括完成以下功能的模塊：

28、用戶密鑰管理，服務器密碼機，MST-CC、TPSS-CC通信。c)d)TPSS-CC至少包括完成以下功能的模塊：用戶密鑰管理，服務器密碼機，SS-CC通信；MST-CC、SS-CC、TPSS-CC軟件模塊運行在獨立的進程空間中，使用操作系統(tǒng)進程間通信接口與密碼邊界外進行數(shù)據(jù)交換。6.3工作模式CMMST-KPBMC運行于密碼模塊核準的工作模式下。7密碼模塊接口7.1物理和邏輯接口CMMST-KELP邏輯接口分布在 MST-CC、SS-CC及 TPSS-CC上，各方邏輯接口類型相同。7.2接口類型CMMST-KPBMC接口類型為混合軟件模塊接口類型。7.3接口定義CMMST-KPBMC接口定義參

29、照 GM/T 0019-2012通用密碼服務接口規(guī)范。7.4可信信道對于CMMST-KPBMC此項無要求。8角色、服務和鑒別8.1角色CMMST-KPBMC支持密碼主管角色、移動應用用戶角色。密碼主管：負責對 SS-CC、TPSS-CC進行操作，以及 CMMST-KPBMC系統(tǒng)管理。（三端協(xié)同計算密碼模塊有兩個密碼主管，分別對 SS-CC、TPSS-CC進行操作。）移動應用用戶：使用 MST-CC實現(xiàn)私鑰分量生成、數(shù)據(jù)簽名/驗簽及加解密等。8T/ZSA 67.4-20198.2服務8.2.1服務通用要求CMMST-KPBMC滿足GM/T 0028-2014 7.4.3要求。8.2.2旁路能力C

30、MMST-KPBMC不提供旁路能力或功能。8.2.3自啟動密碼服務能力CMMST-KPBMC不提供自啟動密碼服務能力或功能。8.2.4軟件/固件加載CMMST-KPBMC不提供加載外部軟件/固件功能。8.3鑒別CMMST-KPBMC除滿足 GM/T 0028-2014 7.4.4對安全二級的要求外，還具備以下功能：a) MST-CC采用PPD對移動應用用戶身份進行鑒別。b) SS-CC及TPSS-CC采用硬件Token（令牌）對密碼主管進行身份認證。9軟件固件安全CMMST-KPBMC滿足 GM/T 0028 -2014 7.5對安全一、二級的技術(shù)要求。10運行環(huán)境CMMST-KPBMC運行于

31、可修改的運行環(huán)境，需滿足 GM/T 0028 -2014 7.6對安全二級的技術(shù)要求。MST-CC、SS-CC 以及 TPSS-CC 的軟件模塊須運行在獨立的進程空間中，依托操作系統(tǒng)的訪問控制機制。11物理安全MST-CC不涉及物理安全。SS-CC、TPSS-CC中的服務器密碼機需滿足 GM/T 0028 -2014 7.7安全二級技術(shù)要求。12非侵入式安全MST-CC不涉及非侵入式安全。SS-CC、TPSS-CC中的服務器密碼機滿足 GM/T 0028 -2014 7.8安全二級技術(shù)要求。9T/ZSA 67.4-201913敏感安全參數(shù)管理13.1概述CMMST-KPBMC敏感安全參數(shù)（SS

32、P）包括：dA1用戶 MST-CC私鑰分量dA2用戶 SS-CC私鑰分量dA3用戶 TPSS-CC私鑰分量PA用戶公鑰PPD用戶個人特征數(shù)據(jù)遵照 GM/T 0028-2014 7.9.1要求，CMMST-KPBMC對以上敏感安全參數(shù)進行管理。a) 關(guān)鍵安全參數(shù)（CSP）dA1、PPD在 MST-CC內(nèi)保護，防止非授權(quán)的訪問、使用、泄露、修改和替換。b) 關(guān)鍵安全參數(shù)（CSP）dA2、dA3在服務器密碼機中生成，防止非授權(quán)的訪問、使用、泄露、修改和替換。c) 公開安全參數(shù)（PSP）PA在保存在 MST-CC內(nèi)，防止非授權(quán)修改和替換。d) 使用移動應用用戶 PPD與 dA1使用相關(guān)聯(lián)。e) 使用服

33、務器密碼機硬件 Token（令牌）將密碼主管角色與 dA2、dA3相關(guān)聯(lián)。13.213.3隨機比特生成器滿足 GM/T 0005-2012隨機性檢測要求。敏感安全參數(shù)的生成CMMST-KPBMC敏感安全參數(shù)遵照 GM/T 00282014 7.9.3要求生成。a)dA1、dA2、dA3分別在 MST-CC、SS-CC、TPSS-CC中生成。b) 密鑰雙端協(xié)同計算架構(gòu)公鑰 PA在移動端生成。c) 密鑰三端協(xié)同計算保護架構(gòu)公鑰 PA在服務端生成。d)PPD由 MST-CC接收用戶輸入生成。13.4敏感安全參數(shù)的建立CMMST-KPBMC敏感安全參數(shù)遵照 GM/T 00282014 7.9.4要求建

34、立。敏感安全參數(shù)的輸入輸出13.5CMMST-KPBMC敏感安全參數(shù)遵照 GM/T 00282014 7.9.5要求輸入輸出。a)b)dA1、dA2、dA3不輸出到密碼模塊外。PPD輸入防護須采用輸入試錯鎖定機制，設(shè)置試錯次數(shù)。13.6敏感安全參數(shù)的存儲CMMST-KPBMC敏感安全參數(shù)遵照 GM/T 00282014 7.9.6要求存儲。a) dA1、dA2、dA3分別在MST-CC、SS-CC、TPSS-CC中存儲。b) 至少使用PPD對dA1進行（加密）保護。c) 使用服務器密碼對dA2、dA3進行（加密）保護。10T/ZSA 67.4-2019d) dA2、dA3應實現(xiàn)禁用或者銷毀。1

35、3.714敏感安全參數(shù)置零遵照 GM/T 00282014 7.9.7要求，CMMST-KPBMC沒有未受保護的敏感安全參數(shù)，不需置零操作。自測試CMMST-KPBMC除滿足 GM/T 0028 -2014 7.10對安全二級的技術(shù)要求外，還符合以下要求：a) 在協(xié)同生成用戶私鑰的同時，應生成自測試密鑰。b) 軟件每次啟用、測試網(wǎng)絡(luò)連通性后，應當對隨機數(shù)進行自測試。c) 軟件每次啟用、測試網(wǎng)絡(luò)連通性后，應當使用自測試密鑰進行功能自測試。1516生命周期保障符合密鑰多端協(xié)同計算技術(shù)架構(gòu)的密碼模塊需滿足 GM/T 0028 -2014 7.11對安全二級的技術(shù)要求。對其他攻擊的緩解符合密鑰多端協(xié)同

36、計算技術(shù)架構(gòu)的密碼模塊需滿足 GM/T 0028 -2014 7.12對安全二級的技術(shù)要求，本技術(shù)框架對于 GM/T 0028 -2014未定義的其他攻擊不提供緩解機制。11T/ZSA 67.4-2019附錄A（資料性附錄）應用示例（移動智能終端數(shù)據(jù)簽名系統(tǒng)）A.1應用需求在滿足國家和行業(yè)合規(guī)要求基礎(chǔ)上，解決移動智能終端硬件密碼模塊成本高、攜帶不方便的問題。A.2密碼模塊應用架構(gòu)CMMST-KPBMC應用部署架構(gòu)如圖 3所示：a) CMMST-KPBMC 移動端密碼組件（ MST-CC）為移動智能終端移動應用 APP 提供密碼服務API-SDK。b) CMMST-KPBMC服務端密碼組件（SS

37、-CC）與應用系統(tǒng)進行業(yè)務對接。c) SS-CC使用服務器密碼機進行多方密鑰協(xié)同運算。d) 當移動應用需要對數(shù)據(jù)進行簽名時，用戶通過輸入指紋（或 PIN碼）啟動 MST-CC與 SS-CC進行協(xié)同計算電子簽名。e) 在對 PC端的認證及簽名應用時，通過移動應用 app掃碼 PC瀏覽器，再輸入指紋（或 PIN碼）進行確認，實現(xiàn)密碼認證及簽名功能。瀏覽器應用系統(tǒng)服務器互聯(lián)網(wǎng)掃描對接移動密碼模塊通信移動應用app服務器服務器密碼機CMMST-KPBSCMST-CCCMMST-KPBSCSS-CC圖3 CMMST-KPBMC應用架構(gòu)A.3適用場景A.3.1手機銀行銀行集成CMMST-KPBMC，可通過

38、在手機上刷指紋方式實現(xiàn)轉(zhuǎn)賬，其安全性與使用外置硬件密碼設(shè)備相同。CMMST-KPBMC對用戶數(shù)字簽名私鑰進行協(xié)同計算保護，通過多方聯(lián)合計算形成數(shù)字簽名，完成帶有數(shù)字簽名的、符合金融行業(yè)要求的移動端大額轉(zhuǎn)賬。A.3.2OA辦公12T/ZSA 67.4-2019可用 CMMST-KPBMC實現(xiàn) OA辦公登錄系統(tǒng)、流程審批等密碼應用。用戶登錄 OA系統(tǒng)時，可使用手機對著電腦屏幕進行掃碼，再輸入指紋確定，可完成用戶身份鑒別登錄 OA系統(tǒng)，這時的多因素的強身份認證是由CMMST-KPBMC完成的。在 OA 流程審批過程中，如用戶在 PC 上簽署“同意此項申請”，就可用手機掃碼方式，在手機端書寫審批意見，

39、再輸入指紋確認，這時的 PC上的審批意見經(jīng)過用戶電子簽名，保證審批意見不可偽造、不可抵賴。A.3.3互聯(lián)網(wǎng)金融在互聯(lián)網(wǎng)金融中，如保險、理財?shù)犬a(chǎn)品，需要在手機端簽署電子合同。CMMST-KPBMC 使用第三方CA的數(shù)字證書，實現(xiàn)對合同原始數(shù)據(jù)，包括個人身份信息、簽字、現(xiàn)場拍照、錄像等信息進行數(shù)字簽名，這些信息的數(shù)字簽名符合電子簽名法，可作為司法證據(jù)。13T/ZSA 67.4-2019附錄B（參考性附錄）SM2雙端協(xié)同計算流程示例B.1協(xié)同密鑰生成流程本流程生成的用戶私鑰符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1、dA2用戶 A的 MST-CC私鑰分量、

40、SS-CC私鑰分量PA用戶 A公鑰如圖 4所示 MST-CC和 SS-CC協(xié)同密鑰生成流程：a) MST-CC向SS-CC發(fā)送密鑰生成請求-CC；b) SS-CC生成移動應用用戶ID，生成簽名密鑰對，產(chǎn)生簽名私鑰分量 dA2，計算對應的公鑰分量PA2，服務器密碼機加密保存dA2；c) SS-CC將用戶ID，PA2發(fā)送給MST-CC；d) MST-CC保存用戶ID，產(chǎn)生簽名私鑰分量dA1，計算完整的簽名公鑰PA；e) MST-CC用戶輸入PPD，并用該PPD參與運算對dA1進行加密保存，將公鑰P輸出給移動應用。MST-CCSS-CC1)請求密鑰生成2）生成用戶ID、 生成簽名私鑰分量dA2， 計

41、算公鑰分量PA2=dA2-1*G, 服務器密碼機加密保存dA2；3）用戶ID，PA24）保存用戶ID、生成私鑰分量dA1 計算公鑰P=dA1-1*PA2-G5）用戶輸入PPD，并用其加密存儲dA1， 將公鑰P輸出給移動應用。圖 4 SM2協(xié)同密鑰生成流程B.2協(xié)同數(shù)據(jù)簽名流程本流程數(shù)據(jù)簽名符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1、dA2用戶 A的 MST-CC私鑰分量、SS-CC私鑰分量圖 5所示 MST-CC和 SS-CC協(xié)同簽名流程：a) MST-CC取出用戶ID，計算簽名數(shù)據(jù)摘要e，生成隨機數(shù)k1，并計算點乘數(shù)據(jù)Q1；14T/ZSA 67.4

42、-2019b) MST-CC將用戶ID，Q1和e發(fā)送給SS-CC；c) SS-CC生成隨機數(shù)k2、k3，利用Q1和消息摘要e，計算部分簽名r，并根據(jù)用戶ID取出SS-CC私鑰分量dA2，生成隨機數(shù)k2、k3，計算部分簽名s2和s3；d) 發(fā)送r、s2和s3給MST-CC；e) MST-CC用戶確認簽名信息后輸入PPD，使用PPD恢復簽名私鑰分量dA1，利用dA1、r、s2和s3，得出簽名值（r，s）。MST-CCSS-CC1）取出用戶ID，計算消息摘要e，產(chǎn)生隨機數(shù)k1，計算點乘Q1=k1*G；2）用戶ID，Q1和e；3）產(chǎn)生隨機數(shù)k 2,k3，計算(x1,y1)=k2*G+k3*Q1，計算r

43、=(x1+e) mod n，計算s2=(dA2k3) mod n，s3=(dA2(r+k2) mod n；4）s2，s3和r；5）確認簽名信息，輸入PPD,恢復簽名私鑰分量d A1，計算s=(dA1k1)s2+dA1s3-r) mod n，得出簽名（r，s）。圖 5 SM2協(xié)同數(shù)字簽名流程B.3協(xié)同數(shù)據(jù)解密流程本流程數(shù)據(jù)解密符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1、dA2MST-CC私鑰分量、SS-CC私鑰分量如圖 6所示 MST-CC與 SS-CC協(xié)同數(shù)據(jù)解密流程：a) MST-CC從密文C中提取C1；b) MST-CC生成隨機數(shù)k，利用k計算T

44、1，發(fā)送T1到SS-CC；c) SS-CC利用dA2、T1，計算得到部分明文T2，并發(fā)送T2回MST-CC；d) MST-CC用戶輸入PPD；15T/ZSA 67.4-2019e) MST-CC利用PPD恢復私鑰分量dA1，f) 利用私鑰分量dA1和T2進行解密，得出明文T。MST-CCSS-CC1）C1|C2|C3=C，驗證C1是否為非無窮遠點；2）生成隨機數(shù)k，計算點T1=k*C1；T13）計算點T2=dA2-1*T1；T24）用戶輸入PPD；5）恢復簽名私鑰分量dA1；6）計算(x2,y2)=k *dA1 *T2-C1，-1 -1計算t= KDF(x2|y2,klen) 并校驗，計算T=

45、C2t，得出明文T,Hash(x2|T|y2)C3則報錯并退出。圖 6 SM2協(xié)同數(shù)據(jù)解密流程16T/ZSA 67.4-2019附錄C（參考性附錄）SM2三端協(xié)同計算流程示例C.1三端協(xié)同密鑰產(chǎn)生流程本流程生成的用戶私鑰符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1 、dA2 、dA3分別為用戶 A的 MST-CC、SS-CC、TPSS-CC私鑰分量PA用戶 A公鑰f()SM2橢圓曲線的單向函數(shù)P()公鑰產(chǎn)生函數(shù)QAi用戶 A公鑰分量三端協(xié)同密鑰產(chǎn)生流程如圖7所示：a) MST-CC輸入用戶PPD，產(chǎn)生私鑰分量dA1、QA0；b) 計算 QA1 =f(Q

46、A0, dA1)，將 PPD、QA1傳遞給 SS-CC；c) SS-CC根據(jù)PPD生成用戶ID，產(chǎn)生私鑰分量 dA2，密碼機加密保存 dA2；計算 QA2 =f(QA1, dA2)；將用戶ID、QA2傳遞給 TPSS-CC；d) TPSS-CC產(chǎn)生私鑰分量 dA3，密碼機加密保存 dA3；計算 QA3 =f(QA2, dA3)；產(chǎn)生公鑰 PA =P(QA3)并驗證公鑰合法；e) 如公鑰不合法，重新生成 dA3；f) TPSS-CC將 PA傳遞給 SS-CC；g) SS-CC將 PA、用戶ID傳遞給 MST-CC；h) 使用 PPD對 dA1進行（加密）保護，將用戶公鑰 PA輸出給移動應用。17

47、T/ZSA 67.4-2019MST-CCSS-CCTPSS-CC1）MST-CC輸入用戶 PPD，產(chǎn)生私鑰分量 dA1；2）計算 QA1 =f(QA0, dA1)；PPD、QA13）SS-CC根據(jù)PPD生成用戶ID，產(chǎn)生私鑰分量 dA2，加密保存 dA2；計算QA2 =f(QA1, dA2；用戶ID、 QA24）TPSS-CC產(chǎn)生私鑰分量 dA3，加密保存 dA3，計算 QA3 =f(QA2, dA3)，產(chǎn)生公鑰 PA =P(Q A3)并驗證公鑰合法；5）如公鑰不合法，重新生成 dA3；6）PA；7）PA，用戶ID；8）使用 PPD對dA1進行（加密）保護,公鑰PA輸出給移動應用。圖 7三端

48、協(xié)同密鑰產(chǎn)生流程C.2三端協(xié)同數(shù)據(jù)簽名流程本流程數(shù)據(jù)簽名符合 GMT 0003.2-2012 SM2橢圓曲線公鑰密碼算法要求。符號定義：dA1 、dA2 、dA3分別為用戶 A的 MST-CC、SS-CC、TPSS-CC私鑰分量fr()單向函數(shù)fs()安全函數(shù)R0、S4初值、常數(shù)fk()、g()表達函數(shù)三端協(xié)同數(shù)據(jù)簽名流程如圖8所示：a) MST-CC取出用戶ID，計算簽名數(shù)據(jù)摘要e，產(chǎn)生隨機數(shù)K1；b) 計算R1= fr (R0,K1)，將用戶ID，e,和R1發(fā)送給SS-CC；c) SS-CC產(chǎn)生隨機數(shù)K2，計算R2= fr(R1, k2)，將用戶ID，e和R2發(fā)送給TPSS-CC；d) T

49、PSS-CC產(chǎn)生隨機數(shù)K3，計算R3= fr(R2, k3)=(x1,y1)，r =x1 + e mod n，根據(jù)用戶ID查找并恢復私鑰分量dA3，計算S3=fs(S4, dA3, K3)，將r, S3發(fā)送給SS-CC；e) SS-CC根據(jù)用戶ID查找并恢復私鑰分量dA2，計算:S2=fs(S3, dA2 , K2)，將r, S2發(fā)送給MST-CC；f) MST-CC輸入用戶PPD，使用PPD恢復私鑰分量dA1, 計算S1=fs(S2, dA1, K2)，得出簽名值s = h(S1,r)。注：SM2_Sign(e, dA, k) =(r, s)最終等效值，隨機數(shù)可表達為：k =fk(K1, K

50、2, K3)，用戶A私鑰dA可表達為： dA= g(dA1, dA2, dA3) 。18T/ZSA 67.4-2019MST-CCSS-CCTPSS-CC1）取出用戶ID，計算簽名數(shù)據(jù)摘要 e，產(chǎn)生隨機數(shù) K1；2）計算R1= fr (R0,K1)；用戶ID，e,和R13）產(chǎn)生隨機數(shù) K2，計算R2= fr(R1, k2)；用戶ID，e和R24）產(chǎn)生隨機數(shù) K3，計算R3= fr(R2, k3)=(x1,y1)，r =x1 + e mod n，根據(jù)用戶ID查找并恢復私鑰分量 dA3，計算S3=fs(S4, dA3, K3)；r, S35）根據(jù)用戶 ID查找并恢復私鑰分量 dA2，計算:S2=f

51、s(S3, dA2 , K2)；r, S26）輸入用戶 PPD，使用PPD恢復私鑰分量 dA1計算S1=fs(S2, dA1, K2)，,得出簽名值 s = h(S1, r)。圖 8三端協(xié)同數(shù)據(jù)簽名流程19T/ZSA 67.4-2019參考文獻1 GM/T 0029-2014簽名驗簽服務器技術(shù)規(guī)范2 GB/T 25069-2010 信息安全技術(shù)_術(shù)語20ICS 35.240L70/84A s s o s i c a t i o n S t a n d a r dT/ZSA 67.4-2019Technical framework of cryptographic module in mobil

52、e smart terminal Part 4: Key protection based on multi-party computation Issue Date 12-31-2019Implemented Date 03-01-2020Is s ued b y Zh o n ggua n cun Sta n da rd izat ion Ass ociat ionIT/ZSA 67.4-2019Contents FOREWORD . IV INTRODUCTION . V 1 SCOPE . 1 2 NORMATIVE REFERENCES . 1 3 TERMS AND DEFINIT

53、IONS . 1 4 SYMBOLS AND ACRONYMS . 3 5 OVERVIEW . 3 5.1 Introduction . 3 5.2 Key Protection Based on Both-party Computation . 3 5.3 Key Three-party Collaborative Computing Protection . 6 6 CRYPTOGRAPHIC MODULE SPECIFICATIONS . 9 6.1 Cryptographic Module Types . 9 6.2 Cryptographic Boundaries . 9 6.3

54、Working Mode . 10 7 CRYPTOGRAPHIC MODULE INTERFACE . 10 7.1 Physical and Logical Interfaces . 10 7.2 Interface Types . 10 7.3 Interface Definition . 10 7.4 Trusted Channel. 10 8 ROLES, SERVICES AND IDENTIFICATION . 10 8.1 Role . 10 8.2 Service . 10 8.3 Identification . 11 9 SOFTWARE/ FIRMWARE SECURI

55、TY . 11 10 OPERATING ENVIRONMENT . 11 11 PHYSICAL SECURITY. 11 12 NON-INTRUSIVE SECURITY . 11 13 SENSITIVE SECURITY PARAMETER MANAGEMENT . 11 13.1 Overview . 11 13.2 Random Bit Generator . 12 13.3 Generation of Sensitive Security Parameters . 12 13.4 Establishment of Sensitive Safety Parameters . 12

56、 13.5 Input and Output of Sensitive Security Parameters . 12 13.6 Storage of Sensitive Security Parameters . 12 13.7 Nulling Sensitive Safety Parameters . 13 14 SELF-TEST . 13 15 LIFE CYCLE GUARANTEE . 13 16 MITIGATION OF OTHER ATTACKS . 13 IIT/ZSA 67.4-2019APPENDIX A.14 A.1 APPLICATION REQUIREMENTS

57、 . 14 A.2 CRYPTOGRAPHIC MODULE APPLICATION STRUCTURE . 14 A.3 APPLICABLE SCENES. 15 APPENDIX B.17 B.1 COLLABORATIVE KEY GENERATION PROCESS . 17 B.2 COLLABORATIVE DATA SIGNATURE PROCESS . 18 B.3 COLLABORATIVE DATA DECRYPTION PROCESS. 19 APPENDIX C .21 C.1 THREE-TERMINAL COLLABORATIVE KEY GENERATION P

58、ROCESS . 21 C.2 THREE-TERMINAL COLLABORATIVE DATA SIGNATURE PROCESS .22REFERENCES .24IIIT/ZSA 67.4-2019FOREWORDT / ZSA 67-2019 Technical framework of cryptographic module in mobile smart terminal isdivided into 5 parts:Part 1: GeneralPart 2: Key-encryption local protectionPart 3: Key-encrypted prote

59、ction on server sidePart 4: Key protection based on multi-party computationPart 5: Based on security chipThis section is forth part of T / ZSA 67-2019 Technical framework of cryptographic module inmobile smart terminal.The section was drafted in accordance with the rules set out in GB/T 1.1-2009.Ple

60、ase note that some contents in this document may involve patents. ZhongguancunStandardization Association shall not be held responsible for identifying such patents.The section was proposed and under the jurisdiction of Zhongguancun Standardization Association- Technical Committee.The main drafting