硬件动态令牌特性、动态口令生成算法C语言实现用例、计算输入输出用例.docx

附 录 A
（规范性附录）
硬件动态令牌特性
令牌硬件要求
高温
使用 GB/T -2008 中试验方法 Bb，严酷等级选择温度： +50℃，持续时间： 2h。
低温
使用 GB/T -2008 中试验方法 Ab，严酷等级选择温度： -10℃，持续时间： 2h。
高低温冲击
使用 GB/T -2002，严酷等级选择高温温度： +50℃，低温温度： -10℃，暴露试验
时间： 10min ，转换时间：（ 2~3） min ，循环数： 3 个。
湿度
使用 GB/T -2001 ，严酷等级选择温度： 30℃ ±2℃，相对湿度 93%±3%，试验时间：
2h。
工作海拔
使用 GB/T -1991，严酷等级选择气压： 55kPa，持续时间： 2h。
跌落
使用 GB/-1995 中方法一，严酷等级选择跌落高度： 1000mm 。
防尘防水
遵守 GB/T 4208-2008 中 IP44 的要求。

标记和印刷
1000

使用 GB/T -2005 ，试验液体：人工合成汗液，力的大小：
次。产品必须具备标记文字为： “序列号 ”和“有效期 ”。

1N±，循环次数：

振动
使用 GB/T -2008，严酷等级选择频率范围：
持续时间： 60min 。

10Hz 到

300Hz，振动幅值：

，

静电放电
不低于 GB/T -2006 中试验等级 3 的标准，即满足外壳端口接触放电 ±6kV，空气放电 ±8kV。
试验过程中试验样品是否处于工作状态的判断标准
样品带电运行，目视检查，提供最少 12 个显示相同动态口令的样品， 6 个一组为参与
试验样品， 6 个一组为不参与试验样品，参与试验的样品显示动态口令与不参与试验样品一致即为合格。
令牌安全特性
种子密钥安全
种子密钥为令牌重要安全要素， 令牌必须保证产品内的种子密钥的完整性， 且种子密钥为单向导入令牌（或在令牌内生成），种子密钥不能被导出产品外部。
令牌必须拥有种子密钥的保护功能。 令牌种子密钥加密、 存储、使用在令牌芯片的安全区域内实现。
令牌芯片安全
本标准涉及的令牌芯片，应是国家密码管理局批准产品型号证书的安全芯片。

令牌物理安全
令牌具有低电压检测功能。
令牌完成种子密钥导入后，通讯 I/O 端口应失效，不能再输入或输出信息，包括但不限
于内部参与口令生成运算的 K 、 T、 C信息。
令牌应防范通过物理攻击的手段获取设备内的敏感信息， 物理攻击的手段包括但不限于
开盖、搭线、复制等。
令牌芯片必须具备令牌掉电后，会自动销毁种子密钥的措施。
令牌芯片应保证种子密钥无法通过外部或内部的方式读出，包括但不限于：调试接口、
改编的程序。
令牌芯片可防范通过物理攻击的手段获取芯片内的敏感信息， 确保种子密钥和算法程序
的安全性。
令牌芯片应具备抵抗旁路攻击的能力，包括但不限于：抗 SPA/DPA 攻击能力，抗
SEMA/DEMA 攻击能力。
在外部环境发生变化时， 令牌芯片不应泄漏敏感信息或影响安全功能。 外部环境的变化包含但不限于：高低电压、高低温、强光干扰、电磁干扰、紫外线干扰、静电干扰。
使用安全
具有数字和功能按键的令牌必须具有 PIN 保护功能， PIN 长度不少于 6 位，并具有 PIN
防暴力穷举功能。令牌可具有 PIN 找回功能，即令牌用户如果忘记令牌 PIN，可通过安全有
效的环境与机制找回令牌 PIN，或对令牌 PIN 进行重新设置（如远程解 PIN）。
PIN 输入错误的次数不可超过

5 次，若超过，应至少等待

1h

才可继续尝试。
PIN 输入超过最大尝试次数的情况不可超过 5 次，否则令牌应永久锁定，不可再使用。
令牌基本使用寿命为 3 年，令牌产品最长使用不超过 5 年。
室温环境下，令牌时间偏差小于 2min/ 年。
安全评估
动态令牌产品安