GM-T0021-2023动态口令密码应用技术规范.docx

目次前言IIII范围I2规范性引用文件I3术语和定义I4符号和缩略语34.1 符号34.2 缩略语35动态口令基本原理35.1 概述35.2 生成动态口令45.3 验证动态11令65.4 动态因子同步65.5 密的管理76动态口令系统技术要求86.1 系统组成86.2 动态口令令牌96.3 动态口令鉴别系统（服务）I1.6.4 种子密钥管理系统137动态口令系统检测方法137.1 试脸条件137.2 动态口令令牌147.3 动态口令鉴别系统（服务）157.4 种子密钥管理系统15附录A（资料性）种子密钥管理方案示例16附录B（资料性）动态口令令牌的密码模块规格18附录C（资料性）动态口令系统与应用系统对接20参考文献22本文件按照GRT1.1-2020仃示准化工作导则第1部分：标准化文件的结构和起草规则的规定起草.本文件代替GiVT0021-2012动态口令的码应用技术规范§.与GVT0021一2012相比.除结构调整和漏利性改动外，主要技术变化如下：a）删除了种子密物管理系统的兼容性要求（见2012年版的9.3.2）;b）增加规范性引用文件GBb2423.32016（见-2.3.4）、GBT2423.72018（«5.6.2.3.6）、GBTI5852.12020（见5.2.3）、GBjT17901.12020（见5.5.D、GBT32905（见5.2.41、GBT32907见5.2.4）、GBT32915（见5.5.2）、GBT39786（见6.3.3）、GM.T0008（见6.2.1.1）,GM/T0028CJ15.5.5）、GM,T0039见7.2.2）、GMZT00512016（见5.5.3）、GMT00612018（见7.21.D、GMT00622018（见7.3.1.1）以及GMZ4001（见第3率）,删除f规范性引用文件GB/T2423.8-1995（见2012年版的7.1.6）、GB/T2423.2001（见2012年版的7.1.4）、GBrr18336.12008（见2012年版的7.2.5）、GBfr18336.22008（见2012年版的7.2.5）、GBT18336.32008（见2012年版的7.25）、GBrr21079.12007（见2012年版的7.2.5）、GwrOOO22012（见2012年版的6.2.D、GMrrOoo42012（见2012年版的6.2.D以及GM"OOO52（H2见2012年版的6.2.1）：C）删除了术语“静态口令”（见2012年版的3.3）、“大端”（见2012年版的3.7）、“认证系统”（见2012年版的3.8）、“未激活”（见2O10F版的393“就绪”（见201/朽版的3.10）、“锁定”（见201*F版的3.11）、“挂起”（见2012年版的3.12）、“作废”（见2012年版的X13）、“自动解镣”（见2012年版的3.14）、“密的管理”（见2012年版的3.15）,“硬件密码设备”（见2012年版的3.16）、“照钥”（见2012年版的工、“服务表”（31萍版M、“接口”（见2012年版的工19）、"大窗口”（见2012年版的3.20）、“中窗口”（见3012年版的3.21）、“小窗口”（见2012年版的3.22）、“种子密钥M密密钥"（见2012年版的3.23）、“厂商生产主密钥”（见2012年版的124）,“主密钥”（也012年版的3.25）、“厂商代码”（题32年版的3.26）以及“内部挑战认证”（见2012年版的3.27）,增加了术语“置零”（见3.6）、“动态口令系统”（见3.7）、NM3算法”期8）、，514算法”（见3.9）、“声称方”（股10）、“脸证方"（职ID以及“第码设备见3.12）;d）增加了缩略语（见4.2）:c）增加了“密仍管理”对密仍管理相关各方的描述和要求（见5.5）;f）删除了动态口令鉴别系统（服务）与密码应用无关的功能要求（见2012年版的8.3）:g）删除了种子密钥管理系统与密钥管理无关的功能要求（见2012年版的9.3.1）：h）增加了“动态口令系统检测方法”（见第7章）.请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的贡任。本文件由密码行业标准化技术委员全提出并归口.本文件起草单位：E天诚信科技股份有限公司、上海亚旦微电子集团股份有限公司、北京集联网络技术有限公司、格尔软件股份有限公司、北京宏忠电了技术有限贡任公司、北京天融信网络安全技术有限公司、西安交大捷普网络科技有限公司、山东渔翁信息技术股份有限公司、上海华虹柒成电路有限资任公司、上海林果实业股份彳r限公司.本文件主要起洋人：朱胭飞、刘雅静、柳逸、刘岸、郑强、张文妫、刘治平、何建锋、儿刚、灵麓、杨剑、韩玉佳、和以建、启榜华.谈剑牌、尤法、明地、张志茂、李闽、牛毅.本文件及我所代替文件的历次版本发布情况为：2012年首次发布为GMTT00212012:本次为第一次修订.IV动态口令密码应用技术规范1范围本文件规定动态I令的基本原理、动态I令系统的技术要求以及动态U令系统的检测方法。本文件适用于动态I令相关产品的研制、生.产、应用,也可用于动态口令系统以及相关产品的密日应用合规性检测.2规范性引用文件F列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件：不注日期的引用文件.其呆新版本（包括所忏的修改单适用于本文件。GBT2423.12008电工电子产品环境试的第2部分：试验方法iAA:低温GBT2423.2-2008电工电子产品环境试验第2部分：试的方法试验B:离温GB.T2423.3-2016环境试验第2部分：试脸方法试验Cab:恒定湿热试验GB-T2423.7-2018环境试的第2帏分：试验方法试验氏：祗率操作造成的冲击（主要用于设缶型样品)GBT2423.102019环境试验第2«E分：试验方法试4Fc;振动（正弦）GB/T2423.21-2008电工电子产品环境试验第2部分：试验方法试验M:低气压GBT2423.222012环境试验第2部分试验方法试验N:温度变化GBT2423.53-2005电工电子产品环境试的第2部分：试验方法试及Xb:由手的摩擦造成标记和卬刷文字的磨损GBrI42082017外壳防护等媛（IP代码）GBT15852.1-2020信息技术安全技术消息签别码第I部分：采用分组密码的机制GB/T17626.2-2018电梯施容试龄和测网技术静电放电抗扰度试验GB/T17901.1-2020信息技术安全技术密钥管理第I部分：框架GBfr32905信息安全技术SM3岳码杂演算法GB/T32907信息安全技术SM4分殂密玛斯法GB/T32915信息安全技术二元序列防机性检测方法GBT39786信息安全技术信息系统密码应用基本要求GM,T0008安全芯片密码检测准则GMT0028密码模块安全技术要求GMT0039密码模块安全检测要求GMXT00512016密码设备管理对脓密钥管理技术规范GM1T00612018动态口令密码应用检测煨范GMrr00622018密码产品班机数检测Ig求GMXZ4001密码术语3术语和定义GM1Z4001界定的以及下列术语和定义适用于本文件,3.13.23.33.435度.3.63.73.83.93.103.11(JM(M)21.-2023动S口令one-time-password!dynamicPUSSWord由种孑密钥与其他散据.通过特定匏法，运史生成的次性口令.动备口令令牌<xw-ti三-pas*won1.token!dynaictdcen生成并显示动态口令的找体.来源：GM-Z40012013.2.161鼻子富期Sedkey计算动态I令的密的。cha1.1.engeCOde可参与到动态口令生成过程中的一种数据“&探邮里I胰Iii汹子。UTC时间Universa1.TiBeCoordinated由国际无我电咨询委员会规定和推荐，并由困际时间局(B1.H)负ft保持的以秒为荔础的时间标是距1970年I月1日00:00(格林阻泊标准时间的秒数.注1又称协调用小Jt*Zeroziration错强存儡数据和未受保护的埼安全参数，以防止数据恢史的方法.动力口令系观OnC-time-passwordsystem对动态口令进行鉴别、对动态口令令牌及种子密钥进行管理的系统，来懈GMZ40012013217#修改SM3算法SM3a1.j>nrithn一种本码朵凑完法.其输出为256比特.来源：GMZ4001-2013.2.1)9SM4算法SM4a1.gorithm一种分出密码比法，分组长度为128比特，密钥长度为128比特。【来源：GM,-Z40012013.2,1201声称方c1.aimant被鉴别的实体本身或者为了实现验证目标的某代表性实体.注：声科方押竹卷别殛时所必需的螃和私彳徵据.来海GB,T15843.12017,3)16证方verifier要求鉴别其他实体身份的实体本身或实体代表.注：验证7册有从事鉴别交换所必阕的梦作来源GBTI543.1.2017,3.403.12密码设备cryptographydevice为密钥等秘密信息提供安全存储,并施于这些秘花信息提供秘密安全服务的设痣.来源：GMT00512016324符号和«甯4.1 m下更符号适用于本文件.II：拼接，：求余.H1.:算术加，且不进位.4.2 Wff下列缩略语适用于本文件.AAA:'器别、授权与计费(AUthentiCa1.ionAUthoriZatiOnACcoUnting)PAM:可插拔鉴别模块(PIUggabIeAuthenticationModu1.es)PIN:个人识别码(PCrSona1.IdCntifiCatiOnNumber)RADIUS:远程认证拨号用户服务IRemo<eAuihemicationDia1.InUserService)55.1 假建动态U令签别的拓本原理是：声称方与验证方采用相同的运算方法,分别使用各自的种子密切以及当前运。因子(动态因子).牛成一次性的I令,并进行比对,从而完成整个鉴别过程.如图I所示.生成动态口令包恬以下环节：a）计算运就因子：b）如袋输入序列：c）计算一次性中间值：d）限位计算IC）计匏动态口令.其中，运算因子可包括以下一种成多种，时间因子：携尸当航时间（例如Vrc时间）计算而成（见5.2.1）,事件因子：单向变化的计数值（例如母次生成动态U令递增一次）.一一挑战因子：由鉴别服务器生成的一次性字符率.5.2 生成动态口令5.2.1计算时间因子时间因子应按照公式（1）计算：T=To".式中1T参与运制的时间因子，表示为个8字节解数：T0以UTC时间（或应用力选择的时间标准）为计域标准的当前时间，单位为杪（三）;Te口令变化周期，取位为秒，T.应不大于60s4宜选择T.=60S或Te=30s。52.2组装输入序列输入序列应按照公式（2）组装：1D=（TCQ（2）式中：ID一一杂凑密码算法或分组密码兜法的输入序列：T参与运算的时间因子（5.2.I的计算结果）；C-的事件因广，我一为一个4字节整数:Q零别«方通过协商粕入的挑战因子（或其他类型金与运算的因子），使用ASCI1.码表示.挑战因子应由可打印字符细成，应包括不少于4个字符。如包含英文字符.应区分大小写.不贪包含目视雄以识别的字符（例如空格）或容易混访的字符（例加数字1和字母1、数字0和字母O.字符'和字符）。输入序列的长度应不少于128比特，应至少包括T、C两个因子中的个.Q为可选陟数.未包含的参数位置由后续参数补充.例如:一一输入序列由T、Q组成.则数据组装方式为TQ;f入序列IhC、Q组或，则数据汲装方式为QQ.如如成输入序列的数据不足128比特，应在粕入序列的数据末端埴'0.至128比特，5.2.3计算一次性中间值一次性中间值应按赋公式（3）计0：S=F（KJD）式中:三i:ID输入序列（5.2.2的组装结果）：F算法语数；s次性中间（ft-种f密钥的长度应不小干128比特。算法函数可使用SM4算法或SM3算法.一次性中间值的幼出长度应为128比特（如果使用SM4算法）或256比特（如果使用SM3算法）.使用SM3究法时.使用KI1.1.D作为输入参数（如图2所示）.一次性中间值为使用SM3算法对KID计算得到的杂潴值，K"DWO图2使用SM3算法的计算过程使用SM4算法时，K为运算密钥，ID为输入参数，运算过程如下.a）取K的前128比特数据（从高位记起）作为密钥参与运编.b）在ID末端填0,至128比特的整数倍长度（应符合GB门'15852.12020中6.3.2的要求），再将埴充后的ID按128比特长度进行分组，高位在前，分别记作ID1.,ID2、IDSIDm;C）将ID1.和K作为第一个分小运算的输入，通过SM4运算生成S1.（应符合GB"15852.1-2。20中6.5.2的要求中格SaID2进行算术加运算（高位溢出舍去），其结果与K一起用于第二个分组的输入，通过SM4运匏生成S2.之后的运算以此类推，使用SM4算法的计算过程见图3.d）将S«作为一次性中间值输出（应符合GB/T15852.12020中6.8.2的要求）。图3使用SM4算法的计算过程52.4截位计算散位计灯应按照公式（力进行：OD=Truncate（三）（4>式中:OD破位函数的输出结果,OD的长度应为32比特：TroncateO截位函数；S次性中间值（5.2.3的输出）。如选用SM3算法（应符合GRT32905的要求）作为算法函数，定义SI、S2、S3、54、S5、56、S7、S8为8个4字节推数,通过公式（5）赋值：S=SIS2S3S4S5S6US7S8并使用公式(6)计算OD:OD=(SI+S2+S3+S4+S5÷S6+S7+S8)%232(6)如选用SM4算法(应符合GBrr32907的要求作为凭法函数，搬位计算应符合GBjT15852.12020中6.9.3的要求。定义SI、S2、S3.S4为4个4字节将数，通过公式(7)赋值:S=SIS2S3S4并使用公式(8)计算OD:OD=(S1+S2+S3+S4)%22(8)a2.5计IWi口令动态11令应按照公式(9)计算：P=OWi1.ON(9)式中1P动态口令(通常显示为十进制数字)；OD一次性中间伯2.4的航出)：N动态口令的位数.动态口令的位数应不小于6。5.3 帧口令声称方与险证方所使用的动态因子通常是同步变化的.但也有可能不同步(例如时间因子可旎由于双方计时存在误差而不同步),为了避免因为动态因子不同步而导致签别不通过，验证方可使用窗口机制：以当前动志因子为博准在一定范围(称作像口)内浮动，得到一系列动态因子，分别生成若干动态口令，与声称方生成的动态11令分别进行比对.如果其中任意一个动态口令与声称方生成的动态0令一致，则鉴别通过.如果使用时间因子，窗口大小应不超过±2min。如果窗口中包含已经通过签别的动态口令对应的动态因子，则窗口应以该动态因子为界，不褥包含已钱地过鉴别的动态口令时应的动态因子及其之前的动态因子.因此：如果使用裂件因子，应使用单向前口(以当前动态因子为施准同向浮动)；如果使用挑战因子.应保证挑战码是一次性的(例如每次验证时生成新的挑战码.或每次验证后清除当前验证码屋5.4为使声称方与验证方所使用的动态因子中新同步,可采用以下方式调整验证方所使用的动态因子当前依：以当前动态因子为基准在一定范曲内浮动，得到一系列动态因子，分别生成若干动态口令，与客户端生成的连续妥个(32个)动态口令分别进行比对。如果存在多个动态口令均一致的情况，则将对应的动态因子最大值设为动态囚予的当前位，或记录动态因子最大值与动态因子的当前值之间的偏移fit5金证动态I令时在动态因子的当前值基础上增加偏移Ift作为基准.时间因子同步所使用的浮动范胭应为以下之一：大窗口：浮动范的不超过±10min:中窗口：浮动范围不超过士5min.事件因子同步时，动态因子应使用单向窗口.GwrO（>21-2O23一一是通过商用密码产品认证的密码产品的殂成部分，旦该密码产品提供生成Iffi机散服务：生成的Rfi机数符合G&T32915要求.5.5.3 朽国胡传种子密钥的传输包括：一一种子密物在密钥管理中心的备份归档与族发：一一种子密钥从密钥哲理中心导出并传输到（个或多个）生产方：一一种子密钢从生产方导出并传输到个或多个）制造方；一一种子密钥从（而卿在制造方的）制造设答导入动态口令令牌：一一种子密钥从密钥管理中心导出并传输到应用方；一一种子密的导入到部善在应用方的动态口令鉴别系统（由建设方操作）,应使用密码技术保瞭种子密税在各方之间传输的机密性和完整性.宜符合GMJT0051-2016的要求.导入硬件动态口令令牌的种子密钥不陶从硬件动态口令令牌导出.5.5.4 *H时RIXt各方应采取有效的技术抬做保i£所存储种子密钥的机密性和完整性（见附录A）。种子密钥管理系统的种子密钥存铭应使用以下方式之：一一存储在密码设备内：一一加密后存储在密码设备以外的位置（例如数据昨），且加密所使用的密包加密密税存储在密码设备内.6.6.B生成动态口令可使用以下方式之一：-一种子密钥内跟:通过超用穆玛产品认证、具有密码运算功罐的密码产品（倏如安全芯片、密码机'软件密码模块等），使用密用产品进行生成动态口令所需的密码运咏.基于密码运宛结果生成动态口令；一一种子密钥内置于洒过商用密码产品认证、具有生成动态11令功能的渗码产品（例如动态口令令牌），使用密码产品生成动态口令，生成动态口令所使用的密码产品应符合GM"0028的要求，注；使用SM3I7法生成动态口令时，将种子密钥与动态因子拼接作为SM3仇法的输入,这种方法不破密码机支持.6动态口系跳技术要求6.1XttiaA动态口令系统包括以下机成部分.动态口令令牌：生或动态1令.动态口令鉴别系<at务）：脸还动态口令,管理和维护种子密钥.动态因子等鉴别动态口令所需的信息，以及管理动态口令令牌等，此外还提供动态口令密码服务接口，从应用系统接收待差别的动态口令以及种子宓钊索引（令牌序列号或用户标识），以及发送度别结果.一一种子密钥管理系统：密钥管理中心的实现载体.生成和管理种子密切.动态口令系统组成框图如图5所示.蒯除：从系统中去掉一个或多个动态门令夕牌.修改：调整系统中特定的动态口令令牌的数据，包括但不限于：激活：将动态口令令牌的状态从“未激活”改为"就绪”：锁定：将动态口令令牌的状态从“就绪”改为“锁定”；解锁：将动态I1.令令牌的状态从“钺定”改为“就绪”；挂起：将动态口令令牌的状会从“就绪”改为“挂起”；解拉：将动态口令令牌的状态从“挂起”改为“就绪”；废止：将动态口令令牌的状态从其他状态改为“作废”.查沏：检索令牌的当前状态、上次使用时间、当前累计错误次数等.如令牌连续多次鉴别动态1.1.令不逋过,应自动领定该令牌.触发自动锁定的鉴别连续不通过次数应不大于5次.可在一定时间后自动解锁,从锁定到解镇之间的间隔时间应不小于1h.&&2可基于常见的鉴别协议封奘动态口令密码服芬接口,例如RADIUS（见附录C）,接口应支持动态口令鉴别和动态因子同步功能，可支持查询功能，不宜支持除查询之外的动态口令令牌管理功能。注：如果接口支持查询之外的动态口令令蟀理功能,则密码应用安全要求格适用于这券接口.6.3.3应用动态口令技术时，应根据应用系统的实际情况采取符合GB"39786相应等级要求的措施，为动态口令鉴别系统（微分）配置的网络安全保障措施应符合应用系统的网络安全要求.应采取有效的技术措施保证所存储种子密钥的机密性和完整性.种子密钥存储应使用以下方式之一*存储在密码设符内；加密后存储在密码设掠以外的位置（例如数据库），且加密所使用的格期加率率初存储在密码设备内。其他宜采取的信息安全保海措施包括但不限于以卜内容。采取技术措施防止未授权的应用系统极务端接入.对动态口令能别系统（服务）和应用系统服务端之间的通讯数据做加密处理，记录系统日志.蚀发记录系统I1.志的事件包括但不限于：动态口令令牌状态变更：动态I令鉴别.采用密码技术保障系统日志的完整性。6.14jmwjttx宜支持的系统管理功能包括但.不限于以下内容。参数配Sb对认证和管理功能参数进行配置.一用户管理：而访问人员进行权限控制,例如不同角色的访问人员赋予不同的操作权限。11志管理：包括11志生成、杳河等；每条I1.志至少记录十件的11期和时间、加件类型、主体身份、事件的结果（成功或失效、日志娘别。统计报友：对指定范围内的动态H令令牌使用情况进行统计分析.6.4Reraam&4.1功回求种子密期管理系统的功能应符合GM,，T00512016中6.5的要求应支持的功能包括但不限于： 种子密钥导入： 种子密W导出： 种子密钥生成： 种子密钥侪份/恢复； 种子诙羽销毁。各功能的符合GMZT0()512016中5.2的要求.注：对于种子密料管理系统而才fKfW1<iMi-3>i6'1.'a4定义的业务密钥.6.42值息安全要求种子南铝的存储、分发簪应符合5.5的要求，系统安全应符合GMZT(X)512016中5.1的要求.7动态口令系统检潮方法7.1眼I条件7.1.1三Mtafr如未标明特殊要求.所有试脸均在下述条件下进行. 环境温度：15C3SC. 相对湿度：40%80%. 大气压；86WF06kPa。7.1.2KiUttf除非另有规定，所给出的测所色的默讯允空为±5%.7.1.3KIftT*试缝工装包括以下内容。参照动态口令生成软件：具有生成动态口令功能，且应符合以下要求：生成动态口令的方法符合5.2的要求：能监基于任意指定的种子密蝴以及动态因子生成动态口令.一一种子密钥数据集，其中包含的种子密钥数版应1.o1.种子密钥的长度应符合5.5.2的要求。事件动态因子数据集。其中包含的动态因子数量应£10一动态因子的值应£1.一挑战动态因子数据集,其中包含的种子密钥数量应H106参照授时服务器。参照种子密钥管理系统：内置种子密蝴数据集.应符合64的要求.一一参照动态口令应用齐户相：向动态口令器别系统发送动态口令并获取睡别结果(可使用RA.DIUS消息格式或其他格式，见附录。种了密彼和挑战动态因子应使用通过商用密码产品认证的1机数发生器或(史用通过商用密码产品IJW»K（XMtt）动态口令令K的毒0轶4m8.1 慢件给宓口令!*报述为击弓«1筑帔件动态口令个牌的率码然块类型为硬件极块.主码边界是令牌的物理动税.密码边界内部的主要部件包括安全芯片、电池等.组成框图如图H.I所示（图上还标明/密码边界、沏理端口和退轨接口）。IiMItA.WKUtA.»«»111.«<>«*n*mB.1果件动6口1.1.8B示例物理端口及其对应的逻辑接口类型如衣B.1所示.物理实体类型为整芯片.运行环境类型为不可催改的运行环境，«B.1.震件动态口!»«口物理躺口筒介茂耻接口类禁触发功能按说域发令辞K示当前动态口令控制输入其他功陡按at可选）触发令牌箕也功能（如切换动态因子等）控M输入数字按过（可选）摘入PIN.挑战依等教他融入显示屏显示当前动态口令（以及其他信息.例如电奴等）故据输出、状态输出纹圈（或做点）在生产时卜栽冏件及种子密佻数据输入、控制输入政造支全参数（SSP）包括设备序列号、种子密的等.H1.色与权限如表B.2所示。«B.2育色与权角色饕别机制用户（可选）密码主管（Oo生成功态口令、修炊PIN初始化HfPIN基于设备认证密钥8.2 X件动态口迷为宙码块软件动态口令令牌的第码模块类型为软件模块，密码边界由可执行文件确定，示例如图B.2所示.运行环境类型为可修改的运行环境.HB.2软件动态口令令IMIf1.示例软件接口及其对血的逻辑接口类型如表B.3所示，*B.3款件动毒口令凌口ttfttt-箭介现接口类51我在动态口令触发牌Wi出当前动态口令坎露饰出.HtVi1.fi入（排故码，可逢身t整别（可送）令忱始人当的动态”令所布的身份恐加拄制输入初始化设JB朴子他的、从掇作系统兼取动态因子初值BtIe输入射量C（Mtt）动布口系或与应用系统对接C.1.RADIUSRADIUS（RemoteAuthenticationDia1.InUserSerViCC.远程认证拨号用户楸务）是一种应用广泛的AAA（AUthentic;HionAuthorizationAccounting,授权与计费）眼务.RFC2865及RFC2866对RAD1.US进行了详细规定.RADIUS的典型I：作过程包括：a）用户向RADIUS客户端（或作为RADIUS客户端使用的NAS）提供整别信息（例如用户名/口令）：b）RDIUS客户桀格用户提交的鉴别信息为装在接入请求数据包中（数据包中还包括客户维ID和用户访问端口的ID）.发给RADIUS服务照：c）RADIUS眼务器进行用户签别，将要别注果目送给RADIUS客户端；diRADIUS客户端如果收到鉴别结果为“允许接入”，则为用户建立连接,对用户进行授权和提供服务：否则拒绝用户连接.RADIUS消息结构如图C1.所示.iftW(Code)WiH1.t(Identifier)K度。皿向WM(Authenticutar)Uit(Attributcf)BBC.IRADIUSM*MW其中：一C（XjC字段的K度为1字节.其他非示RAD1.US消息的类型（请求接入、允许接入、拒绝接入等）；Identifier字段的长度为I字节,用于匹配请求消息与伸I复消息（请求消息与对应的PI复消息的Identifier值相同）;1.engIh字段的长度为2字节，其假为整个消息的长度（以字节为单位）；一AU1.henIiCaPr字段的长度为16字节，其值为基于预共享密包生成的消息鉴别码；1.trib1.es字段包括若干（0个或多个）T1.V结构的内容（属性）RADIUS定义了包括用户名和口令在内的一系列届性,并且预留编码26作为自定义旧性，C2PAMPAM（P1.uggab1.eAuthenticationMOdU1.eQ是,种推别机制，在.inux、UNIX等悚作系统得到广泛应用,国产探作系统（例如统信操作系统、优1«/系线等）也皆遇支持.PAM使应用程序与鉴别机制的具体实现分肉，当鉴别机制变史时,不需要修改应用程序,只需联系统管理员对用置文件进行修改即可。具体地：系统管理员通过PAM配置文件来制定各个应用程序的能别策略：一一应用程序开发拧通过在源代码中调用PAMAPI来使用箔别服务：PAM服务模块的开发拧通过实现PAA1.SP1.,jPAM接口昨（Iibpam）对接：TAM接口阵UibPam)读取配置文件，将应用程序和相应的PAM限务模块联系起来，BBe2PAM1.WPAM眼务模块包括以卜类型：-鉴别管理(authenticationmanagement).接收用户名和I1令，基于用户名/1.I令进行鉴别：账户管理(MeoUntmanagement).用于检查账户的权限,例如是否被允许登录系统、是否已经过期等：会话管理(SCSSiOnmanagement),用于会话管理和计费:口令管理(PasSWOfdmanagement).用于修改用户口令CC.3Mtt可供应用系统与动态口令系统对接的框架还包括以下内容，OAuth:在传统的。S身份裟证模型中，客户端通过使用资源所有者的凭据向服务器进行身份验证来请求服务上的访问受限资源(受保护资源),为了使第三方应用程序能够访问受限资源，资源所有者需要与第三方共享其凭据.OAutI1通过引入授权层并将客户端的角色与资源所有者的角色分开来解淡这些问遨，在OAUIh中，客户翔通过获取访问令牌而不是使用资源押存拧的凭据来访问受限资源.授权服务器在资淑所有者的批准下才会向第三方客户端颁发访问令牌，客户端使用访问令柳来访问资源服务器托管的受保护资源，RFC6749XjOAU1.h进行了描述,GMjT00682019参考了RFC67491SAM1.fSecurityAssertionMarkup1.angUagC.安全所言置标谱言)：SAM1.是一个基于XM1.的开源标准数据格式，它在当事方之间交换身份险证和授权数据，尤其是在!份提供者和限务提供者之间交换，SAM1.定义了三个角色；委托人(用户)、身份提供者(IdP),服务提供者(SP).委托人向服务提供者请求访向一项服务,服务提供者向身份提供者索取身的断吉,并基于这一断言进行访问捽制.GB,T29242行对SAM1.的相关要求.GMH<>O21-2O23考文tIIJGB-T7408-2005数据元和交换格式信息交换日期和时间表示法2JGBT15843.12017信息技术安全技术实体鉴别第I部分：总则3JGBT29242侑息安全技术鉴别与授权安全断吉置除i?5吉4GBrr379372019北斗卫星授时终端技术要求5GB.tT385562020信息安全技术动态口令密码应用技术规范6JGM.T0030服务器密码机技术规范7GM.'T00682019开放的第三方资源授权协议柢架8)GMrr01072021智能IC卜密钥管理系统茶木技术要求IErF.RFC2865:RCmOICAuthenticationDia1.InUserScrvicdRADIUS)EB.O1.h(ps(hU1.racker.ie1.(.or,dc,rfc2865202(M)1-21.10IETF.RFC2866:RAD1.USAccountingEBO1.JhuKW由racker.ieifa叙dochtm1.'rfc2866.,.202(M)1.-2.11JIETF.RFC6749:ThcOAuth2.0AuthorizationFmmCWQ1.1.EB.'O1.https:/<iata(racker.ie(f.org,docffc67492012-1.(M)8.112OASiS.SAM1.V2.()Protoco1.ExtensionforThird-PartyRequestsEB.O1.https:/www.oasis-opcn.org'standards,27-C5-23.