《基于國密動態(tài)令牌身份認(rèn)證管理系統(tǒng) 技術(shù)規(guī)范》編制說明

《基于國密動態(tài)令牌身份認(rèn)證管理系統(tǒng)

技術(shù)規(guī)范》

團(tuán)體標(biāo)準(zhǔn)編制說明

標(biāo)準(zhǔn)起草工作組

2023年9月

一、工作簡況

（一）任務(wù)來源

本文件根據(jù)山東省保密協(xié)會立項(xiàng)計(jì)劃，由為者常成網(wǎng)絡(luò)

科技有限責(zé)任公司牽頭組織編制，廣泛邀請全國保密行業(yè)相

關(guān)企業(yè)、科研機(jī)構(gòu)等單位參與編制工作，計(jì)劃項(xiàng)目完成時間

是2023年12月。

（二）起草單位

為者常成網(wǎng)絡(luò)科技有限責(zé)任公司、北京中科恒倫科技有

限公司。

（三）起草過程

1.立項(xiàng)階段

為者常成網(wǎng)絡(luò)科技有限責(zé)任公司于2023年6月對基于

國密動態(tài)令牌的密碼身份認(rèn)證管理系統(tǒng)開展了標(biāo)準(zhǔn)預(yù)研工

作，于2023年7月向山東省保密協(xié)會申請了《商用密碼動

態(tài)密碼模塊功能要求》標(biāo)準(zhǔn)的立項(xiàng)。山東省保密協(xié)會標(biāo)準(zhǔn)化

委員會經(jīng)審議批準(zhǔn)，并于2023年8月28日下達(dá)了標(biāo)準(zhǔn)制修

訂計(jì)劃。

2.起草階段

根據(jù)任務(wù)要求，為者常成網(wǎng)絡(luò)科技有限責(zé)任公司、北京

中科恒倫科技有限公司于8月成立了標(biāo)準(zhǔn)起草工作組，組織

標(biāo)準(zhǔn)編制組織工作。標(biāo)準(zhǔn)起草工作組在2023年8月份積極

組織籌備和征集標(biāo)準(zhǔn)起草單位。

2

標(biāo)準(zhǔn)起草工作組制定了標(biāo)準(zhǔn)編制工作計(jì)劃、編寫大綱，

明確任務(wù)分工及各階段進(jìn)度時間。同時，標(biāo)準(zhǔn)起草工作組成

員認(rèn)真學(xué)習(xí)了GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：

標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和編寫規(guī)則》，結(jié)合標(biāo)準(zhǔn)制定工作程序的

各個環(huán)節(jié)，進(jìn)行了探討和研究。

標(biāo)準(zhǔn)起草工作組經(jīng)過技術(shù)調(diào)研、咨詢，收集、消化有關(guān)

資料，并結(jié)合起草單位的技術(shù)研發(fā)和應(yīng)用現(xiàn)狀及技術(shù)發(fā)展趨

勢于9月份編寫完成了標(biāo)準(zhǔn)草案。于2023年9月18日召開

了標(biāo)準(zhǔn)起草工作組首次會議，經(jīng)過會議討論并經(jīng)山東省保密

協(xié)會同意將標(biāo)準(zhǔn)名稱修改為《基于國密動態(tài)令牌身份認(rèn)證管

理系統(tǒng)技術(shù)規(guī)范》，對標(biāo)準(zhǔn)起草的總體框架和主要內(nèi)容進(jìn)

行了完善。9月20日、21日標(biāo)準(zhǔn)起草工作組召開了第二次

會議，對標(biāo)準(zhǔn)內(nèi)容和具體條款進(jìn)行了修改完善。會后標(biāo)準(zhǔn)起

草工作組進(jìn)一步修改完善了標(biāo)準(zhǔn)文本和編制說明，完成了標(biāo)

準(zhǔn)征求意見準(zhǔn)備工作，并將相關(guān)材料報(bào)送山東省保密協(xié)會。

二、標(biāo)準(zhǔn)制定的目的和意義

現(xiàn)今信息化已在各行業(yè)普及，各種辦公環(huán)境都有著信息

系統(tǒng)的接入。登錄驗(yàn)證又是各個信息系統(tǒng)不可或缺的憑證，

其安全性影響到信息系統(tǒng)乃至企業(yè)信息化的安全的第一道

防線。

密碼口令的安全涉及影響企業(yè)的經(jīng)濟(jì)利益與經(jīng)營次序，

密碼口令的不安全事件甚至?xí)：业木W(wǎng)絡(luò)信息安全。在

3

世界范圍內(nèi)弱口令、密碼外泄、賬號信息被撞庫等不安全事

件時有發(fā)生，都對公民、企業(yè)法人以及其他組織造成特定程

度上的危害。

在密碼領(lǐng)域內(nèi)，當(dāng)前主要以“用戶名+密碼+驗(yàn)證碼”普

遍方式在使用。而“驗(yàn)證碼”主要目的在于檢測人的登錄行

為，對于賬號、密碼的保護(hù)并不能起到很好的作用，隨著

AI人工智能、深度學(xué)習(xí)與大數(shù)據(jù)等信息技術(shù)的發(fā)展，各類

新樣式的驗(yàn)證碼包括但不限于圖片識別、移動軌跡等驗(yàn)證碼

都能被解析而實(shí)現(xiàn)自動化登錄操作，如此以來驗(yàn)證碼鑒別登

錄行為的目的都難以達(dá)成。

基于國密動態(tài)令牌身份認(rèn)證管理系統(tǒng)可廣泛應(yīng)用于信

息系統(tǒng)身份鑒權(quán)驗(yàn)證，可替換傳統(tǒng)密碼口令驗(yàn)證方式；有效

提升口令密碼安全級別與加固信息系統(tǒng)安全。

制定團(tuán)體標(biāo)準(zhǔn)有利于將各企業(yè)先進(jìn)的網(wǎng)絡(luò)安全理念與

網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)行業(yè)團(tuán)體規(guī)范與示范效應(yīng)，優(yōu)化基于國密

動態(tài)令牌身份認(rèn)證在網(wǎng)絡(luò)安全方面的應(yīng)用，吸引越來越多的

企業(yè)加入到密碼應(yīng)用行業(yè)，不斷提升團(tuán)體企業(yè)和行業(yè)的創(chuàng)新

有序發(fā)展，為構(gòu)建良好的密碼應(yīng)用生態(tài)打好基礎(chǔ)。

三、標(biāo)準(zhǔn)編制原則、主要技術(shù)內(nèi)容

（一）標(biāo)準(zhǔn)的編制原則

本文件的制定工作遵循“統(tǒng)一性、協(xié)調(diào)性、適用性、一

致性、規(guī)范性”的原則，本著先進(jìn)性、科學(xué)性、合理性和可

4

操作性的原則，按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第

一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》給出的規(guī)則編寫。

（二）標(biāo)準(zhǔn)主要技術(shù)內(nèi)容

1.本文件包括范圍；規(guī)范性引用文件；術(shù)語、定義和縮

略語；總體框架；設(shè)計(jì)要求；功能要求；測試方法7個章節(jié)。

本文件規(guī)定了基于國密動態(tài)令牌身份認(rèn)證管理系統(tǒng)（以

下簡稱“認(rèn)證系統(tǒng)”）的總體框架，設(shè)計(jì)要求、功能要求以

及系統(tǒng)功能的測試方法。

本文件適用于基于國密動態(tài)令牌身份認(rèn)證管理系統(tǒng)。

2.第三章術(shù)語、定義和縮略語中對本文件提及的術(shù)語和

縮略語進(jìn)行了解釋。在術(shù)語中，動態(tài)令牌、種子密鑰、靜態(tài)

口令的定義采用了GB/T38556-2020《信息安全技術(shù)動態(tài)

口令密碼應(yīng)用技術(shù)規(guī)范的給出的定義》，其他術(shù)語為新定義。

3.第四章基于國密動態(tài)令牌身份認(rèn)證系統(tǒng)的總體框架，

概述了認(rèn)證系統(tǒng)如何為應(yīng)用系統(tǒng)提供身份認(rèn)證服務(wù)。

4.第五章闡述了認(rèn)證系統(tǒng)的基礎(chǔ)設(shè)計(jì)原則和認(rèn)證系統(tǒng)

各組成部分的具體要求。其中包括用戶管理、設(shè)備管理、令

牌管理、授權(quán)策略管理、日志管理以及系統(tǒng)管理。

5.第六章列舉了認(rèn)證系統(tǒng)所應(yīng)具備的服務(wù)功能及各功

能要求。其中包括用戶名密碼認(rèn)證、用戶名動態(tài)密碼認(rèn)證、

組合方式單次認(rèn)證、組合方式多步認(rèn)證、消息推送認(rèn)證、掃

碼登錄認(rèn)證以及操作系統(tǒng)登錄認(rèn)證與郵件客戶端可信化管

5

理。

6.第七章為認(rèn)證系統(tǒng)的服務(wù)功能和主要系統(tǒng)功能提供

了測試方法。其中包含基礎(chǔ)服務(wù)狀態(tài)檢測、用戶名密碼認(rèn)證

測試、用戶名動態(tài)密碼認(rèn)證測試、組合方式單次認(rèn)證測試、

組合方式多步認(rèn)證測試、消息推送認(rèn)證測試、掃碼登錄認(rèn)證

測試、操作系統(tǒng)登錄認(rèn)證測試、郵件客戶端可信化測試、認(rèn)

證系統(tǒng)高可用性測試以及自助服務(wù)測試。

四、主要試驗(yàn)（或驗(yàn)證）情況分析、綜述報(bào)告，技術(shù)經(jīng)

濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

（一）驗(yàn)證情況分析：

1.安全性：基于國密動態(tài)令牌身份認(rèn)證系統(tǒng)的動態(tài)密

碼采用時間同步技術(shù)，確保密碼在任何給定時間都是唯一

的，提高了密碼的安全性和不可預(yù)測性。同時，采用加密存

儲技術(shù)，確保密碼存儲在數(shù)據(jù)庫或其他存儲介質(zhì)中不被泄露

或篡改。

2.可靠性：動態(tài)密碼采用多種認(rèn)證方式，如用戶名+密

碼加上手機(jī)令牌、硬件令牌、小程序令牌、軟件令牌、H5

令牌和PIN碼認(rèn)證方式，提高了認(rèn)證的可靠性。同時，采用

防暴力破解技術(shù)，限制用戶連續(xù)錯誤認(rèn)證次數(shù)，防止密碼被

暴力破解。

6

3.互操作性：認(rèn)證系統(tǒng)應(yīng)采用開放標(biāo)準(zhǔn)和技術(shù)協(xié)議，

促進(jìn)不同系統(tǒng)和應(yīng)用之間的互操作性。同時，應(yīng)支持多種設(shè)

備和平臺，方便用戶使用。

4.可擴(kuò)展性：認(rèn)證系統(tǒng)應(yīng)支持大規(guī)模用戶和并發(fā)請求，

同時應(yīng)具備良好的可擴(kuò)展性，能夠靈活應(yīng)對業(yè)務(wù)需求的變

化。

5.可維護(hù)性：認(rèn)證系統(tǒng)應(yīng)具備易于維護(hù)和升級的特性，

方便管理員進(jìn)行系統(tǒng)管理和升級。

（二）綜述報(bào)告：

基于國密動態(tài)令牌身份認(rèn)證管理系統(tǒng)是一種安全、可

靠、互操作、可擴(kuò)展和可維護(hù)的身份驗(yàn)證和安全增強(qiáng)技術(shù)。

它采用時間同步技術(shù)，確保密碼在任何給定時間都是唯一

的，提高了密碼的安全性和不可預(yù)測性。同時，采用多種認(rèn)

證方式，如用戶名+密碼加上手機(jī)令牌、硬件令牌、小程序

令牌、軟件令牌、H5令牌和PIN碼認(rèn)證方式，提高了認(rèn)證

的可靠性。此外，它支持多種設(shè)備和平臺，方便用戶使用，

同時具備良好的可擴(kuò)展性，能夠靈活應(yīng)對業(yè)務(wù)需求的變化。

最后，它還具備易于維護(hù)和升級的特性，方便管理員進(jìn)行系

統(tǒng)管理和升級。

（三）技術(shù)論證：

7

1.認(rèn)證系統(tǒng)動態(tài)口令采用時間同步技術(shù)，確保密碼在

任何給定時間都是唯一的，提高了密碼的安全性和不可預(yù)測

性。

2.認(rèn)證系統(tǒng)采用多種認(rèn)證方式，如用戶名+密碼加上動

態(tài)密碼（硬件令牌、軟件令牌、手機(jī)令牌、小程序令牌、H5

令牌等形式）或PIN碼加動態(tài)密碼、掃碼認(rèn)證（手機(jī)令牌

APP）、推送認(rèn)證（手機(jī)令牌APP）等認(rèn)證方式，提高了認(rèn)

證的可靠性。

3.認(rèn)證系統(tǒng)支持多種設(shè)備（網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、安

全設(shè)備）和應(yīng)用系統(tǒng)，方便用戶無縫對接使用，無需設(shè)備和

應(yīng)用系統(tǒng)廠商二次開發(fā)。

4.認(rèn)證系統(tǒng)具備良好的可擴(kuò)展性，能夠靈活應(yīng)對業(yè)務(wù)

需求的變化。

5.認(rèn)證系統(tǒng)具備易于維護(hù)和升級的特性，方便管理員

進(jìn)行系統(tǒng)管理和升級。

（四）預(yù)期的經(jīng)濟(jì)效果：

1.降低安全風(fēng)險(xiǎn)：采用動態(tài)密碼認(rèn)證可以降低由于密

碼泄露、欺詐和身份盜竊等安全事件引發(fā)的風(fēng)險(xiǎn)，從而減少

潛在的經(jīng)濟(jì)損失。

2.降低運(yùn)營成本：動態(tài)密碼認(rèn)證可以簡化賬戶管理流

程，減少重置密碼、賬戶恢復(fù)等工作量，降低運(yùn)營成本。

8

3.提高工作效率：用戶不再需要頻繁更改密碼或處理

復(fù)雜的身份驗(yàn)證流程，從而提高工作效率。

4.增強(qiáng)客戶信任：采用動態(tài)密碼等先進(jìn)的安全措施可

以增強(qiáng)客戶對在線服務(wù)或交易的信任，提高客戶滿意度和忠

誠度。

5.增加業(yè)務(wù)機(jī)會：通過提供更高級別的安全防護(hù)，可

以吸引更多的客戶并增加業(yè)務(wù)機(jī)會。

綜上所述，基于國密動態(tài)令牌身份認(rèn)證系統(tǒng)是一種安

全、可靠、互操作、可擴(kuò)展和可維護(hù)的身份驗(yàn)證和安全增強(qiáng)

技術(shù)，具有良好的預(yù)期經(jīng)濟(jì)效果。

五、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的情況，與國際、國

內(nèi)同類標(biāo)準(zhǔn)水平的對比情況

本文件未采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)。

目前國內(nèi)沒有同類標(biāo)準(zhǔn)的，本文件與密碼行業(yè)相關(guān)國家

行業(yè)標(biāo)準(zhǔn)協(xié)調(diào)一致。

六、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

本文件與相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致，

沒