版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
《基于国密动态令牌身份认证管理系统
技术规范》
团体标准编制说明
标准起草工作组
2023年9月
一、工作简况
(一)任务来源
本文件根据山东省保密协会立项计划,由为者常成网络
科技有限责任公司牵头组织编制,广泛邀请全国保密行业相
关企业、科研机构等单位参与编制工作,计划项目完成时间
是2023年12月。
(二)起草单位
为者常成网络科技有限责任公司、北京中科恒伦科技有
限公司。
(三)起草过程
1.立项阶段
为者常成网络科技有限责任公司于2023年6月对基于
国密动态令牌的密码身份认证管理系统开展了标准预研工
作,于2023年7月向山东省保密协会申请了《商用密码动
态密码模块功能要求》标准的立项。山东省保密协会标准化
委员会经审议批准,并于2023年8月28日下达了标准制修
订计划。
2.起草阶段
根据任务要求,为者常成网络科技有限责任公司、北京
中科恒伦科技有限公司于8月成立了标准起草工作组,组织
标准编制组织工作。标准起草工作组在2023年8月份积极
组织筹备和征集标准起草单位。
2
标准起草工作组制定了标准编制工作计划、编写大纲,
明确任务分工及各阶段进度时间。同时,标准起草工作组成
员认真学习了GB/T1.1—2020《标准化工作导则第1部分:
标准化文件的结构和编写规则》,结合标准制定工作程序的
各个环节,进行了探讨和研究。
标准起草工作组经过技术调研、咨询,收集、消化有关
资料,并结合起草单位的技术研发和应用现状及技术发展趋
势于9月份编写完成了标准草案。于2023年9月18日召开
了标准起草工作组首次会议,经过会议讨论并经山东省保密
协会同意将标准名称修改为《基于国密动态令牌身份认证管
理系统技术规范》,对标准起草的总体框架和主要内容进
行了完善。9月20日、21日标准起草工作组召开了第二次
会议,对标准内容和具体条款进行了修改完善。会后标准起
草工作组进一步修改完善了标准文本和编制说明,完成了标
准征求意见准备工作,并将相关材料报送山东省保密协会。
二、标准制定的目的和意义
现今信息化已在各行业普及,各种办公环境都有着信息
系统的接入。登录验证又是各个信息系统不可或缺的凭证,
其安全性影响到信息系统乃至企业信息化的安全的第一道
防线。
密码口令的安全涉及影响企业的经济利益与经营次序,
密码口令的不安全事件甚至会危害国家的网络信息安全。在
3
世界范围内弱口令、密码外泄、账号信息被撞库等不安全事
件时有发生,都对公民、企业法人以及其他组织造成特定程
度上的危害。
在密码领域内,当前主要以“用户名+密码+验证码”普
遍方式在使用。而“验证码”主要目的在于检测人的登录行
为,对于账号、密码的保护并不能起到很好的作用,随着
AI人工智能、深度学习与大数据等信息技术的发展,各类
新样式的验证码包括但不限于图片识别、移动轨迹等验证码
都能被解析而实现自动化登录操作,如此以来验证码鉴别登
录行为的目的都难以达成。
基于国密动态令牌身份认证管理系统可广泛应用于信
息系统身份鉴权验证,可替换传统密码口令验证方式;有效
提升口令密码安全级别与加固信息系统安全。
制定团体标准有利于将各企业先进的网络安全理念与
网络安全技术实现行业团体规范与示范效应,优化基于国密
动态令牌身份认证在网络安全方面的应用,吸引越来越多的
企业加入到密码应用行业,不断提升团体企业和行业的创新
有序发展,为构建良好的密码应用生态打好基础。
三、标准编制原则、主要技术内容
(一)标准的编制原则
本文件的制定工作遵循“统一性、协调性、适用性、一
致性、规范性”的原则,本着先进性、科学性、合理性和可
4
操作性的原则,按照GB/T1.1—2020《标准化工作导则第
一部分:标准化文件的结构和起草规则》给出的规则编写。
(二)标准主要技术内容
1.本文件包括范围;规范性引用文件;术语、定义和缩
略语;总体框架;设计要求;功能要求;测试方法7个章节。
本文件规定了基于国密动态令牌身份认证管理系统(以
下简称“认证系统”)的总体框架,设计要求、功能要求以
及系统功能的测试方法。
本文件适用于基于国密动态令牌身份认证管理系统。
2.第三章术语、定义和缩略语中对本文件提及的术语和
缩略语进行了解释。在术语中,动态令牌、种子密钥、静态
口令的定义采用了GB/T38556-2020《信息安全技术动态
口令密码应用技术规范的给出的定义》,其他术语为新定义。
3.第四章基于国密动态令牌身份认证系统的总体框架,
概述了认证系统如何为应用系统提供身份认证服务。
4.第五章阐述了认证系统的基础设计原则和认证系统
各组成部分的具体要求。其中包括用户管理、设备管理、令
牌管理、授权策略管理、日志管理以及系统管理。
5.第六章列举了认证系统所应具备的服务功能及各功
能要求。其中包括用户名密码认证、用户名动态密码认证、
组合方式单次认证、组合方式多步认证、消息推送认证、扫
码登录认证以及操作系统登录认证与邮件客户端可信化管
5
理。
6.第七章为认证系统的服务功能和主要系统功能提供
了测试方法。其中包含基础服务状态检测、用户名密码认证
测试、用户名动态密码认证测试、组合方式单次认证测试、
组合方式多步认证测试、消息推送认证测试、扫码登录认证
测试、操作系统登录认证测试、邮件客户端可信化测试、认
证系统高可用性测试以及自助服务测试。
四、主要试验(或验证)情况分析、综述报告,技术经
济论证,预期的经济效果
(一)验证情况分析:
1.安全性:基于国密动态令牌身份认证系统的动态密
码采用时间同步技术,确保密码在任何给定时间都是唯一
的,提高了密码的安全性和不可预测性。同时,采用加密存
储技术,确保密码存储在数据库或其他存储介质中不被泄露
或篡改。
2.可靠性:动态密码采用多种认证方式,如用户名+密
码加上手机令牌、硬件令牌、小程序令牌、软件令牌、H5
令牌和PIN码认证方式,提高了认证的可靠性。同时,采用
防暴力破解技术,限制用户连续错误认证次数,防止密码被
暴力破解。
6
3.互操作性:认证系统应采用开放标准和技术协议,
促进不同系统和应用之间的互操作性。同时,应支持多种设
备和平台,方便用户使用。
4.可扩展性:认证系统应支持大规模用户和并发请求,
同时应具备良好的可扩展性,能够灵活应对业务需求的变
化。
5.可维护性:认证系统应具备易于维护和升级的特性,
方便管理员进行系统管理和升级。
(二)综述报告:
基于国密动态令牌身份认证管理系统是一种安全、可
靠、互操作、可扩展和可维护的身份验证和安全增强技术。
它采用时间同步技术,确保密码在任何给定时间都是唯一
的,提高了密码的安全性和不可预测性。同时,采用多种认
证方式,如用户名+密码加上手机令牌、硬件令牌、小程序
令牌、软件令牌、H5令牌和PIN码认证方式,提高了认证
的可靠性。此外,它支持多种设备和平台,方便用户使用,
同时具备良好的可扩展性,能够灵活应对业务需求的变化。
最后,它还具备易于维护和升级的特性,方便管理员进行系
统管理和升级。
(三)技术论证:
7
1.认证系统动态口令采用时间同步技术,确保密码在
任何给定时间都是唯一的,提高了密码的安全性和不可预测
性。
2.认证系统采用多种认证方式,如用户名+密码加上动
态密码(硬件令牌、软件令牌、手机令牌、小程序令牌、H5
令牌等形式)或PIN码加动态密码、扫码认证(手机令牌
APP)、推送认证(手机令牌APP)等认证方式,提高了认
证的可靠性。
3.认证系统支持多种设备(网络设备、操作系统、安
全设备)和应用系统,方便用户无缝对接使用,无需设备和
应用系统厂商二次开发。
4.认证系统具备良好的可扩展性,能够灵活应对业务
需求的变化。
5.认证系统具备易于维护和升级的特性,方便管理员
进行系统管理和升级。
(四)预期的经济效果:
1.降低安全风险:采用动态密码认证可以降低由于密
码泄露、欺诈和身份盗窃等安全事件引发的风险,从而减少
潜在的经济损失。
2.降低运营成本:动态密码认证可以简化账户管理流
程,减少重置密码、账户恢复等工作量,降低运营成本。
8
3.提高工作效率:用户不再需要频繁更改密码或处理
复杂的身份验证流程,从而提高工作效率。
4.增强客户信任:采用动态密码等先进的安全措施可
以增强客户对在线服务或交易的信任,提高客户满意度和忠
诚度。
5.增加业务机会:通过提供更高级别的安全防护,可
以吸引更多的客户并增加业务机会。
综上所述,基于国密动态令牌身份认证系统是一种安
全、可靠、互操作、可扩展和可维护的身份验证和安全增强
技术,具有良好的预期经济效果。
五、采用国际标准和国外先进标准的情况,与国际、国
内同类标准水平的对比情况
本文件未采用国际标准和国外先进标准。
目前国内没有同类标准的,本文件与密码行业相关国家
行业标准协调一致。
六、与有关的现行法律、法规和强制性国家标准的关系
本文件与相关法律、法规、规章及相关标准协调一致,
没
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年妇幼保健院孕产妇健康管理实施方案
- 2025年放射科影像学培训考核试题及答案解析
- 地下连续墙施工节奏控制组织策划方案
- 临时用电安全检查机制方案
- API密钥管理方案-洞察与解读
- 雨季施工保障全过程组织方案
- 高血压患者社区随访管理方案
- 地下管廊施工组织进度方案
- 精密加工线生产进度跟进方案
- 分部分项量清单审核程序方案
- 内科护理副高答辩题目及答案
- 二郎山隧道高速施工方案
- 上思那板风电场项目环境影响报告表
- 2025年泰州中考数学试卷及答案
- 110KV输电线路工程监理实施细则
- 废金属拆除回收合同范本
- 行业调研方法课件
- 《NBT-页岩气工具设备第4部分:套管漂浮器编制说明》
- 688高考高频词拓展+默写检测- 高三英语
- 贵州省2025届高三下学期普通高中学业水平选择性考试物理试题(解析版)
- 尚贤中学考试试题及答案
评论
0/150
提交评论