T∕ZSA 67.2-2019 移動(dòng)智能終端密碼模塊技術(shù)框架 第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)

1、ICS 35.240L70/84團(tuán)體T/ZSA 67.2-2019移動(dòng)智能終端密碼模塊技術(shù)框架第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)Technical framework of cryptographic module for mobile smart terminalPart 2：Key-encrypted local protection2019-12-31發(fā)布2020-03-01實(shí)施中關(guān)村化協(xié)會(huì)發(fā)布T/ZSA 67.2-2019目 次前言 . III 引言 . IV 12345范圍 . 1 規(guī)范性引用文件 . 1 術(shù)語(yǔ)和定義 . 1 符號(hào)和縮略語(yǔ) . 3 概述 . 4 5.1方案原理 . 4

2、5.2安全風(fēng)險(xiǎn) . 45.3安全措施 . 4技術(shù)架構(gòu) . 5 工作流程 . 6 7.1概述 . 67.2 MST-CC初始化流程 . 67.3 MST-PPD驗(yàn)證流程 . 7密碼模塊規(guī)格 . 9 8.1概述 . 98.2密碼模塊類(lèi)型 . 98.3密碼邊界 . 98.4工作模式 . 10密碼模塊接口 . 10 9.1物理和邏輯接口 . 109.2接口類(lèi)型 . 109.3接口定義 . 109.4可信信道 . 10678910角色、服務(wù)和鑒別 . 10 10.1角色 . 1010.2服務(wù) . 1010.3鑒別 . 1111軟件/固件安全 . 11 12運(yùn)行環(huán)境 . 11 13密碼模塊物理安全 . 1

3、1 14非入侵式安全 . 11 15敏感安全參數(shù)管理 . 11 15.1概述 . 1115.2隨機(jī)比特生成器 . 1215.3敏感安全參數(shù)的生成 . 1315.4敏感安全參數(shù)的建立 . 1315.5敏感安全參數(shù)的輸入輸出 . 1315.6敏感安全參數(shù)存儲(chǔ) . 1315.7敏感安全參數(shù)置零 . 13IT/ZSA 67.2-201916自測(cè)試 . 13 17生命周期保障 . 14 17.1配置管理 . 1417.2設(shè)計(jì) . 1417.3有限狀態(tài)模型（ FSM） . 1417.4開(kāi)發(fā) . 1417.5廠商測(cè)試 . 1517.6配送與操作 . 1517.7生命終止 . 1517.8指南文檔 . 151

4、8對(duì)其他攻擊的緩解 . 15 附錄A（資料性附錄）應(yīng)用示例 . 16 IIT/ZSA 67.2-2019前 言T/ZSA 67-2019移動(dòng)智能終端密碼模塊技術(shù)框架分為 5個(gè)部分：第1部分：總則第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)第3部分：密鑰加密服務(wù)端保護(hù)技術(shù)架構(gòu)第4部分：密鑰多端協(xié)同計(jì)算保護(hù)技術(shù)架構(gòu)第5部分：基于安全芯片的技術(shù)架構(gòu)本部分為T(mén)/ZSA 67-2019移動(dòng)智能終端密碼模塊技術(shù)框架的第 2部分。本部分按照GB/T 1.1-2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。中關(guān)村化協(xié)會(huì)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本部分由中關(guān)村化協(xié)會(huì)技術(shù)委員會(huì)提出并歸口。本部分主要起草單位：中

5、關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、奇 安信科技集團(tuán)股份有限公司、中國(guó)科學(xué)院信息工程研究所、北京江南天安科技有限公司、江蘇通付盾科技有限公司、 北京握奇數(shù)據(jù)股份有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、鼎橋通信技術(shù)有限公司等。本部分主要起草人：張凡、王克、傅文斌、劉宗斌、李勃、張晶、李向榮、魯洪成、張令臣等。IIIT/ZSA 67.2-2019引 言在開(kāi)放移動(dòng)網(wǎng)絡(luò)和便攜移動(dòng)終端系統(tǒng)環(huán)境中，如何保護(hù)敏感安全參數(shù)成為移動(dòng)智能終端密碼軟件模塊設(shè)計(jì)和實(shí)現(xiàn)的核心問(wèn)題。在移動(dòng)智能終端中對(duì)敏感安全參數(shù)進(jìn)行加密存儲(chǔ)是解決軟件密碼模塊安全性的主要方法。但如果加密密鑰容易被非法獲得，或密鑰質(zhì)量達(dá)不到要求則對(duì)敏感安全參數(shù)安全

6、構(gòu)成威脅。因此，本通過(guò)控制主密鑰安全生成與使用 以保證敏感安全參數(shù)加密密鑰的安全。IVT/ZSA 67.2-2019移動(dòng)智能終端密碼模塊技術(shù)框架第2部分：密鑰加密本地保護(hù)技術(shù)架構(gòu)1范圍T/ZSA 67-2019移動(dòng)智能終端密碼模塊技術(shù)框架的本部分規(guī)范了移動(dòng)智能終端（ mobilesmart terminal MST）使用的密鑰加密本地保護(hù)的移動(dòng)智能終端密碼模塊（ CMMST-KELP）技術(shù)架構(gòu)，給出了方案的安全原理和保障措施，描述了技術(shù)架構(gòu)組成、主要工作流程示例，以及 對(duì)GM/T 0028-2014中規(guī)定的 11個(gè)安全域描述，最后給出應(yīng)用示例。本是GM/T 0028-2014在移動(dòng)智能終端中實(shí)

7、現(xiàn)密碼模塊中的具體展開(kāi)和補(bǔ)充，適用于指導(dǎo)密碼模塊制造廠家設(shè)計(jì)、實(shí)現(xiàn)移動(dòng)智能終端密碼模塊。也可作為移動(dòng)智能終端使用密碼模塊的參考。2規(guī)范性引用文件下列文件中的條款通過(guò) T/ZSA 67-2019移動(dòng)智能終端密碼模塊技術(shù)框架的本部分的引用而成為本部分的條款。GM/T 0003.3-2012 SM2橢圓曲線公鑰密碼算法第 3部分：密鑰交換協(xié)議GM/T 0005- 2012隨機(jī)性檢測(cè)規(guī)范GM/T 0008-2012安全芯片密碼檢測(cè)準(zhǔn)則GM/T 0019-2012通用密碼服務(wù)接口規(guī)范GM/T 0028-2014密碼模塊安全技術(shù)要求T/ZSA 67-2019移動(dòng)智能終端密碼模塊技術(shù)框架 第1部分：總則3術(shù)

8、語(yǔ)和定義3.1非對(duì)稱(chēng)密鑰對(duì) asymmetric key pair一對(duì)相關(guān)的密鑰，其中私有密鑰規(guī)定私有變換，公開(kāi)密鑰規(guī)定公開(kāi)變換。3.2關(guān)鍵安全參數(shù) critical security parameter；CSP與安全相關(guān)的秘密信息，這些信息被泄露或被修改后會(huì)危及密碼模塊的安全性。如，移動(dòng)應(yīng)用用戶私鑰。GM/T 0028-2014，定義3.153.31T/ZSA 67.2-2019密碼主管 cryptographic administrator服務(wù)端負(fù)責(zé)密碼組件運(yùn)行的管理者。3.43.5密碼主管PIN cryptographic administrator PIN密碼主管個(gè)人身份識(shí)別碼，用來(lái)啟

9、動(dòng)服務(wù)端密碼組件。密鑰派生算法 key derivation algorithm；KDA使用合規(guī)的密鑰產(chǎn)生方法（如 GM/T 0003.3-2012中 5.4.3規(guī)范），通過(guò)作用于共享秘密和雙方都知道的其它參數(shù)，產(chǎn)生一個(gè)或多個(gè)共享密鑰的算法。3.6主密鑰 master key；MK為對(duì)稱(chēng)密鑰，通過(guò)合規(guī)的密鑰產(chǎn)生方法產(chǎn)生，用來(lái)對(duì)敏感安全參數(shù)進(jìn)行加密。3.7移動(dòng)智能終端密碼組件 mobile smart terminal cryptographic components；MST-CC部署在移動(dòng)智能終端中的密碼組件，或獨(dú)立構(gòu)成，或與服務(wù)端密碼組件（SS-CC）一起構(gòu)成移動(dòng)智能終端密碼模塊。3.8移動(dòng)

10、智能終端PPD mobile smart terminal cryptographic components PPD;MST-PPD移動(dòng)智能終端密碼組件用戶的個(gè)人特征數(shù)據(jù)。3.9個(gè)人特征數(shù)據(jù)personal profile data；PPD個(gè)人知道的因素，如PIN碼，手勢(shì)碼，以及個(gè)人的生物特征，如指紋、臉部特征等。3.10公開(kāi)安全參數(shù) public security parameter;PSP與安全相關(guān)的公開(kāi)信息，一旦被修改會(huì)威脅到密碼模塊安全。如，本中服務(wù)端密碼組件公鑰。GM/T 0028-2014，定義3.733.11敏感安全參數(shù) sensitive security parameter;

11、SSP包括關(guān)鍵安全參數(shù)和公開(kāi)安全參數(shù)。2T/ZSA 67.2-2019GM/T 0028-2014，定義3.823.12服務(wù)端密碼組件 server side cryptographic components；SS-CC部署在服務(wù)端中的密碼組件，與移動(dòng)智能終端密碼組件（MST-CC）一起構(gòu)成移動(dòng)智能終端密碼模塊。3.13主密鑰分量 MK component；MKC服務(wù)端密碼組件針對(duì)移動(dòng)智能終端密碼組件生成的一定長(zhǎng)度的隨機(jī)數(shù)（一個(gè)MST-CC對(duì)應(yīng)一個(gè)MKC），與移動(dòng)智能終端PPD一起生成主密鑰。3.14用戶私鑰 user private key在移動(dòng)應(yīng)用用戶非對(duì)稱(chēng)密鑰對(duì)中，只應(yīng)由該用戶使用的密鑰

12、。3.15用戶公鑰 user public key在移動(dòng)應(yīng)用用戶非對(duì)稱(chēng)密鑰對(duì)中，能夠公開(kāi)的密鑰。4符號(hào)和縮略語(yǔ)CC密碼組件（cryptographic components）移動(dòng)智能終端密碼模塊（mobile smart terminal cryptographiccomponents）CMMSTCMMST-KELP密鑰加密本地保護(hù)移動(dòng)智能終端密碼模塊（ CMMST of key-encrypted localprotection）CSP關(guān)鍵安全參數(shù)（critical security parameter）密鑰派生算法（key derivation algorithm）主密鑰（master k

13、ey）KDAMKMKCMST主密鑰分量（master key component）移動(dòng)智能終端（mobile smart terminal）移動(dòng)智能終端密碼組件（ mobile smart terminal cryptographiccomponents）MST-CCMST-PPD移動(dòng)智能終端個(gè)人特征數(shù)據(jù)（ mobile smart terminal personal profiledata）PINPPDPSPSDK個(gè)人身份標(biāo)識(shí)碼（personal identification number）個(gè)人特征數(shù)據(jù)（personal profile data）公開(kāi)安全參數(shù)（public security

14、 paramete）軟件開(kāi)發(fā)套件（software development kit）3T/ZSA 67.2-2019SS服務(wù)端（server side）SSP敏感安全參數(shù)（sensitive security parameter）服務(wù)端密碼組件（server side cryptographic components)服務(wù)端主密鑰分量（server side master key component）SS-CCSS-MKC5概述5.1方案原理基于密鑰加密本地保護(hù)的移動(dòng)智能終端密碼模塊（CMMST of key-encrypted localprotection；CMMST-KELP）技術(shù)架構(gòu)，

15、是為移動(dòng)智能終端（ MST）使用軟件密碼模塊而設(shè)計(jì)的。CMMST-KELP通過(guò)移動(dòng)智能終端密碼組件（ MST-CC）向移動(dòng)應(yīng)用提供核準(zhǔn)的密碼服務(wù)。 CMMST-KELP對(duì)密碼模塊關(guān)鍵安全參數(shù)（ CSP），如用戶私鑰，使用主密鑰（ MK）進(jìn)行加密，存儲(chǔ)在 MST中，并采取多項(xiàng)安全措施，以實(shí)現(xiàn) T/EMCG 001.1-2019移動(dòng)智能終端密碼模塊技術(shù)框架 第1部分：總則的安全目標(biāo)，滿足 GM/T 0028-2014中一級(jí)或二級(jí)密碼模塊安全要求。CMMST-KELP使用以安全方式產(chǎn)生的主密鑰對(duì)CSP進(jìn)行加密，并保護(hù)在 MST中。在MST-CC初始化時(shí)，移動(dòng)智能終端密碼組件（ MST-CC）、服務(wù)端

16、密碼組件（ SS-CC）分別產(chǎn)生移動(dòng)端個(gè)人特征數(shù)據(jù)（MST-PPD）和服務(wù)端主密鑰分量（ SS-MKC），MST-CC在本地將PPD和MKC進(jìn)行組合，通過(guò)密鑰派生算法（ KDA）生成MK，用MK對(duì)CSP進(jìn)行加密保護(hù)。 CMMST-KELP密鑰加密保護(hù)原理如圖 1所示SS-MKCCSP明文MKC|PPDMST-PPDKDAMKCSP密文圖1 CMMST-KELP密鑰加密保護(hù)原理5.2安全風(fēng)險(xiǎn)CMMST-KELP方案主要為防范以下風(fēng)險(xiǎn)設(shè)計(jì)：a)非法產(chǎn)生 MK：移動(dòng)用戶 MST-PPD和服務(wù)端 SS-MKC同時(shí)泄露可非法產(chǎn)生 MK。b) MK強(qiáng)度：MST-CC在可修改的運(yùn)行環(huán)境中運(yùn)行， MK生成易受

17、干擾，影響密鑰質(zhì)量，造成加密強(qiáng)度不夠。c)運(yùn)行環(huán)境：MST-CC在可修改的運(yùn)行環(huán)境中運(yùn)行， MST-CC敏感安全參數(shù)可能被非法讀取。d)通信：MST-CC與 SS-CC通信使用公開(kāi)信道，傳遞 SS-MKC信息可被竊聽(tīng)、重放攻擊，造成 SS-MKC泄露。5.3安全措施4T/ZSA 67.2-2019CMMST-KELP采取以下安全措施防范密碼模塊面臨的安全風(fēng)險(xiǎn)，滿足 GM/T 0028-2014中一級(jí)或二級(jí)密碼模塊要求。a)移動(dòng)端和服務(wù)端聯(lián)合保證主密鑰安全。b)移動(dòng)端 MST-CC完成 PPD輸入，MK生成，敏感安全參數(shù)加密存儲(chǔ)，與 SS-CC安全通信等；c)服務(wù)端 SS-CC完成 SS-MKC

18、產(chǎn)生，MST-PPD驗(yàn)證等。d)MST-CC和 SS-CC軟件代碼保護(hù)。e)采取緩解動(dòng)靜態(tài)分析、攻擊方法，對(duì) CMMST-KELP代碼進(jìn)行保護(hù)。包括代碼、數(shù)據(jù)完整性檢測(cè)，防動(dòng)態(tài)調(diào)試，可執(zhí)行代碼混淆等。f)運(yùn)行邊界保護(hù)。g)MST-CC運(yùn)行在操作系統(tǒng)獨(dú)立的進(jìn)程空間，移動(dòng)應(yīng)用通過(guò)操作系統(tǒng)進(jìn)程間通信機(jī)制與MST-CC信息交換。h)通信保護(hù)。采用預(yù)置 SS-CC公鑰方式建立 MST-CC和 SS-CC安全通道。6技術(shù)架構(gòu)CMMST-KELP由移動(dòng)端密碼組件MST-CC和服務(wù)端密碼組件SS-CC組成，移動(dòng)應(yīng)用調(diào)用MST-CCSDK接口完成核準(zhǔn)的密碼服務(wù)。 MST-CC內(nèi)置SS-CC的公鑰，用此公鑰建立

19、MST-CC與SS-CC加密信道、MST-CC初始化、MST-PPD驗(yàn)證、數(shù)據(jù)加載等功能。SS-CC完成MST-PPD驗(yàn)證，密碼主管 PIN碼輸出等功能。 SS-CC密碼主管通過(guò)下發(fā)管理控制指令給MST-CC完成相應(yīng)的管理功能。CMMST-KELP技術(shù)架構(gòu)如圖 2所示：移動(dòng)智能終端服務(wù)器移動(dòng)應(yīng)用MST-CC SDK移動(dòng)端密碼組件(MST-CC)服務(wù)端密碼組件(SS-CC)密碼算法PPD管理MK生成SS-CC通信密碼算法PIN碼管理密鑰容器MST-CC管理MST-CC 服務(wù)接口MST-CC通信操作系統(tǒng)操作系統(tǒng)圖2 CMMST-KELP技術(shù)架構(gòu)MST-CC至少包括完成以下功能的模塊：a)密碼算法。

20、實(shí)現(xiàn)核準(zhǔn)的密碼算法，如 SM2,SM3,SM4.b) PPD管理。負(fù)責(zé) MST-PPD輸入及驗(yàn)證。c) MK生成。負(fù)責(zé)將 MST-PPD（如 PIN碼），通過(guò)符合國(guó)家相關(guān)要求的密鑰生成機(jī)制（如 GMT0003.4-2012 SM2橢圓曲線公鑰密碼算法5.4.3）生成 MK。5T/ZSA 67.2-2019d) SS-CC通信。負(fù)責(zé)與 SS-CC建立安全通信連接，其中預(yù)置 SS-CC公鑰。e) MST-CC服務(wù)接口。MST-CC與移動(dòng)應(yīng)用接口，包括數(shù)據(jù)接口、控制接口及狀態(tài)輸出接口。f) SS-CC至少包括完成以下功能的模塊：g)密碼算法。實(shí)現(xiàn)核準(zhǔn)的密碼算法，如 SM2,SM3,SM4。h) PI

21、N碼管理。負(fù)責(zé)密碼主管 PIN碼驗(yàn)證，啟動(dòng) SS-CC。i)密鑰容器。存儲(chǔ)管理敏感安全參數(shù)的文件。 SS-CC中的敏感安全參數(shù)均加密存儲(chǔ)在密鑰容器中。密鑰容器只有在密碼主管 PIN碼驗(yàn)證通過(guò)后方可使用。j) MST-CC管理。完成 MST-PPD驗(yàn)證和 SS-MKC生成。k) MST-CC通信。提供與 MST-CC的通信連接接口。l) CMMST-KELP通過(guò) MST-CC SDK提供給移動(dòng)應(yīng)用調(diào)用 MST-CC的軟件接口。 MST-CC運(yùn)行在操作系統(tǒng)獨(dú)立的進(jìn)程空間，移動(dòng)應(yīng)用通過(guò)操作系統(tǒng)進(jìn)程間通信機(jī)制與 MST-CC信息交換。7工作流程7.1概述本節(jié)只給出MST-CC初始化及MST-PPD驗(yàn)證

22、流程，其他密碼服務(wù)（如數(shù)據(jù)加解密、數(shù)據(jù)簽名等）流程與一般密碼模塊相同。下面流程所描述的交換數(shù)據(jù)僅為確保流程安全而定義的必要數(shù)據(jù)，密碼模塊制造廠家可根據(jù)需要進(jìn)行添加。符號(hào)說(shuō)明：KDF()密鑰派生算法A_ENC(KEY，DATA)使用公鑰加密數(shù)據(jù)DATAA_DEC(KEY, ENC_DATA)使用私鑰解密數(shù)據(jù)DATAHash（DATA）計(jì)算DATA雜湊值S_ENC(KEY, DATA)用對(duì)稱(chēng)密鑰KEY加密DATAS_DEC(KEY, ENC_DATA)用對(duì)稱(chēng)密鑰KEY解密DATA|表示“合并”7.2 MST-CC初始化流程MST-CC首次運(yùn)行時(shí)須對(duì) MST-CC進(jìn)行初始化。MST-CC軟件發(fā)布時(shí)內(nèi)

23、置 SS-CC公鑰 PS，用戶已輸入 PPD；SS-CC已啟動(dòng)，已由密碼主管 PIN碼生成生成 SS-CC存儲(chǔ)密鑰 KSMST-CC初始化過(guò)程基本步驟：a) MST-CC自檢；b) MST-CC向 SS-CC請(qǐng)求初始化；c) SS-CC取得隨機(jī)數(shù) R送 MST-CC；d) MST-CC生成 MST-CC公私鑰對(duì)（ PM、dM)，計(jì)算 PPD雜湊值 HPPD；6T/ZSA 67.2-2019e) MST-CC使用 PS加密(R|H PPD|PM)得到 CM；f) MST-CC將數(shù)據(jù) CM發(fā)送給 SS-CC；g) SS-CC接收此數(shù)據(jù)，使用自身私鑰 dS解密 CM，得到(R|H PPD|PM)。h

24、) SS-CC生成用戶 ID、SS-MKC，將(HPPD|SS-MKC|P M|PPD嘗試次數(shù))使用 KS加密，以用戶ID為索引存儲(chǔ)在密鑰容器中；i) SS-CC使用 PM加密(R|SS-MKC|用戶 ID)得到 CS；j) SS-CC將 CS發(fā)送給 MST-CC；k) MST-CC使用私鑰 dM解密 CS，得到(R|SS-MKC|用戶 ID)；l) MST-CC保存用戶 ID作為 MST-CC的標(biāo)識(shí)；m) MST-CC以(PPD|SS-MKC)為參數(shù)，使用 KDF()計(jì)算得到 MK；n) MST-CC使用 MK加密 CSP（如 dM），保存在密鑰容器中；o)初始化完成。MST-CC初始化流程

25、圖見(jiàn)圖 3。MST-CCSS-CC（PS）（PS, dS） 1) MST-CC 自檢； 2) MST-CC向SS-CC 請(qǐng)求初始化 4) GEN(PM+dM) 5) DATA1 = R|HPPD|PM Cm = A_ENC(PS,DATA1) 7) DATA1 = A_DEC(dS,Cm) DATA1 = R|HPPD|PM 8) GEN(SS-MKC) 9) DATA2 = R|SS-MKC|用戶ID Cs = A_ENC(PM,DATA2) 11) DATA2 = A_DEC(dM,Cs) DATA2=R|SS-MKC|用戶ID 13) MK=KDF(PPD|SS-MKC) 15) 初始化

26、完成圖3 MST-CC初始化流程圖7.3 MST-PPD驗(yàn)證流程7T/ZSA 67.2-2019在得到SS-MKC前，MST-CC無(wú)法打開(kāi)密鑰容器中用戶私鑰， MST-CC不能提供密碼服務(wù)，必須在接收移動(dòng)應(yīng)用用戶輸入 MST-PPD，并驗(yàn)證其正確性后，解密密鑰容器中用戶私鑰， MST-CC才能提供密碼服務(wù)。在MST-PPD驗(yàn)證前， MST-CC擁有：PSSS-CC公鑰用戶ID移動(dòng)應(yīng)用用戶標(biāo)識(shí)HPPD待驗(yàn)證 MST-PPD雜湊值MST-PPD驗(yàn)證流程如圖 4所示：a） MST-CC向 SS-CC請(qǐng)求 MST-PPD驗(yàn)證；b） SS-CC發(fā)送隨機(jī)數(shù) R給 MST-CC；c） MST-CC使用 PS

27、加密(R|用戶 ID| HPPD| rM)得到 CM,其中 rM為隨機(jī)數(shù)；d） MST-CC將數(shù)據(jù) CM發(fā)送給 SS-CC；e） SS-CC使用自身私鑰 dS解密 CM，得到(R|用戶 ID| HPPD|rM)；f） SS-CC根據(jù)用戶 ID從密鑰容器中得到 MST-CC的對(duì)應(yīng)數(shù)據(jù) (HPPD|SS-MKC|P M|PPD嘗試次數(shù))，并用 KS解密，驗(yàn)證 HPPD與 HPPD一致性、PPD嘗試次數(shù)，以上條件有一不滿足，則置 MKC為零（標(biāo)識(shí) MST-PPD驗(yàn)證失?。薷?PPD嘗試次數(shù)；g） SS-CC使用 rM加密(R|SS-MKC|PPD嘗試次數(shù))得到 CS,并將 CS發(fā)送給 MST-C

28、C；h） MST-CC使用 rM解密 CS得到(R|SS-MKC|PPD嘗試次數(shù) )；如果 SS-MKC為零，則返回 PPD驗(yàn)證失敗結(jié)果，并附帶 PPD嘗試次數(shù)；否則繼續(xù)；i） MST-CC以(PPD|SS-MKC)為參數(shù)，使用 KDF()計(jì)算得到 MK，使用 MK解密密鑰容器中的敏感安全參數(shù)（如 dM）；j） MST-PPD驗(yàn)證結(jié)束。8T/ZSA 67.2-2019MST-CCSS-CC（PS，PM，rsPM）（PS, dS）3）DATA=(R|用戶ID|H|r)Cm=A_ENC(PS,DATA)5）DATA=A_DEC(dS,Cm)DATA= (R|用戶ID|H|r)6)如PPD碼驗(yàn)證失敗

29、則SS-MKC置零7）DATAS= R|SS-MKC|PPD_TIMECS= S_ENC(rM,DATAS)8）DATAS= S_DEC(rM,CS)如SS-MKC為全零，則返回PPD驗(yàn)證失敗9）MK= KDF(PPD|MKC)10）MST-PPD驗(yàn)證結(jié)束圖 4 MST-PPD驗(yàn)證流程8密碼模塊規(guī)格8.1概述CMMST-KELP在其密碼邊界內(nèi)使用核準(zhǔn)的密碼算法 SM2,SM3,SM4實(shí)現(xiàn)模塊聲明的功能 ,包括數(shù)據(jù)摘要計(jì)算，對(duì)稱(chēng)密鑰加解密，非對(duì)稱(chēng)密鑰加解密，簽名 /驗(yàn)簽等。8.2密碼模塊類(lèi)型CMMST-KELP為軟件模塊類(lèi)型，須滿足 GM/T 0028-2014 7.2.2節(jié)關(guān)于軟件模塊的要求。

30、8.3密碼邊界CMMST-KELP邊界為MST-CC、SS-CC的可執(zhí)行文件和文件集。如圖 2所示。MST-CC包括完成以下功能的模塊：密碼算法， PPD管理，MK生成，SS-CC通信，MST-CC服務(wù)接口。SS-CC包括完成以下功能的模塊：密碼算法，密碼主管 PIN碼管理，密鑰容器， MST-CC管理，MST-CC通信。9T/ZSA 67.2-2019MST-CC、SS-CC運(yùn)行在獨(dú)立的進(jìn)程空間中，使用操作系統(tǒng)進(jìn)程間通信接口與密碼邊界外進(jìn)行數(shù)據(jù)交換。 MST-CC與SS-CC通過(guò)通信模塊完成數(shù)據(jù)交換。MST-CC SDK不在密碼安全邊界內(nèi)，如，為可集成到移動(dòng)應(yīng)用的動(dòng)態(tài)鏈接庫(kù)中。8.4工作模式

31、CMMST-KELP的正常工作狀態(tài)按 GM/T 0028-2014 7.2.4.2要求實(shí)施。9密碼模塊接口9.1物理和邏輯接口CMMST-KELP邏輯接口分布在MST-CC和SS-CC上，兩方邏輯接口類(lèi)型相同。9.2接口類(lèi)型CMMST-KELP接口類(lèi)型為軟件或固件模塊接口 (SFMI)類(lèi)型。9.3接口定義CMMST-KELP接口定義參照 GM/T 0019-2012通用密碼服務(wù)接口規(guī)范。9.4可信信道對(duì)于CMMST-KELP此項(xiàng)無(wú)要求。10角色、服務(wù)和鑒別10.1角色CMMST-KELP設(shè)有兩種角色：移動(dòng)應(yīng)用用戶，密碼主管。移動(dòng)應(yīng)用用戶： MST使用者，使用 MST-CC實(shí)現(xiàn)密鑰生成、數(shù)據(jù)簽名

32、 /驗(yàn)簽及加解密等。密碼主管：負(fù)責(zé)操作 SS-CC，以及CMMST-KELP系統(tǒng)管理。10.2服務(wù)CMMST-KELP除按GM/T 0028-2014 7.4.3.1中對(duì)安全一級(jí)、安全二級(jí)軟件模塊的要求提供必需的服務(wù)外，SS-CC還須提供面向密碼主管角色的操作服務(wù)，包括用戶管理及安全策略管理（如MST-PPD驗(yàn)證次數(shù)設(shè)置）等。10.2.1旁路能力CMMST-KELP不提供旁路能力或功能。10.2.2自啟動(dòng)密碼服務(wù)能力CMMST-KELP不提供自啟動(dòng)密碼服務(wù)能力或功能。10.2.3軟件/固件加載10T/ZSA 67.2-2019CMMST-KELP不提供加載外部軟件 /固件功能。10.3鑒別除滿

33、足GM/T 0028-2014 7.4.4中對(duì)安全一級(jí)、安全二級(jí)軟件模塊的要求外，還需支持以下基于角色的鑒別：移動(dòng)應(yīng)用用戶須輸入 MST-PPD經(jīng)SS-CC驗(yàn)證，方可調(diào) MST-CC密碼服務(wù)；SS-CC驗(yàn)證密碼主管輸入 PIN碼，方可執(zhí)行操作；11軟件/固件安全除滿足GM/T 0028-2014 7.5中對(duì)安全一級(jí)、安全二級(jí)軟件模塊的要求外， CMMST-KELP軟件安全措施還包括但不限于：a)采用 CMMST-KELP自身核準(zhǔn)的完整性算法對(duì) MST-CC和 SS-CC程序進(jìn)行保護(hù)。b)采取緩解動(dòng)靜態(tài)分析、攻擊方法，對(duì) CMMST-KELP代碼進(jìn)行保護(hù)。如，代碼、數(shù)據(jù)完整性檢測(cè)，防動(dòng)態(tài)調(diào)試，可

34、執(zhí)行代碼混淆等。12運(yùn)行環(huán)境CMMST-KELP運(yùn)行在可修改的運(yùn)行環(huán)境中，可修改運(yùn)行環(huán)境的操作系統(tǒng)采取以下措施滿足GM/T 0028-2014 7.6.3安全一、二級(jí)模塊要求：a) MST-CC、SS-CC運(yùn)行在獨(dú)立的進(jìn)程空間中，移動(dòng)應(yīng)用通過(guò)操作系統(tǒng)進(jìn)程間通信機(jī)制與MST-CC信息交換。b) MST-CC須運(yùn)行在合法的操作系統(tǒng)中，如未 root操作系統(tǒng)。c) SS-CC須運(yùn)行在工藝設(shè)計(jì)、硬件配置等方面采取了相應(yīng)的保護(hù)措施，具備基本物理安全防護(hù)的主機(jī)上。131415密碼模塊物理安全CMMST-KELP無(wú)物理安全要求。非入侵式安全CMMST-KELP對(duì)此無(wú)要求。敏感安全參數(shù)管理15.1概述CMMS

35、T-KELP敏感安全參數(shù)包括：MST-CC關(guān)鍵安全參數(shù)：11T/ZSA 67.2-2019rMMST-CC與 SS-CC通信加密使用的隨機(jī)產(chǎn)生的對(duì)稱(chēng)密鑰；dMMST-CC用戶私鑰；MST-PPDMST用戶個(gè)人特征數(shù)據(jù)；MKMST-CC主密鑰；MST-CC公開(kāi)安全參數(shù)：PMMST-CC公鑰；PSSS-CC公鑰；SS-CC關(guān)鍵安全參數(shù)：dSSS-CC私鑰；rMSSS-CC與 MST-CC通信加密使用的隨機(jī)產(chǎn)生的對(duì)稱(chēng)密鑰；SS-MKCSS-CC產(chǎn)生的 MK密鑰分量，每個(gè) MST-CC對(duì)應(yīng)一個(gè) SS-MKC；KS對(duì)稱(chēng)密鑰，用于 SS-CC加密存儲(chǔ)敏感安全參數(shù)，由密碼主管 PIN碼生成；密碼主管員 PI

36、N由密碼主管員人工產(chǎn)生，用于產(chǎn)生 KS啟動(dòng) SS-CC工作；SS-CC公開(kāi)安全參數(shù)：PSSS-CC公鑰；PMMST-CC公鑰。遵照 GM/T 0028-2014 7.9中對(duì)安全一級(jí)、安全二級(jí)軟件模塊的要求， CMMST-KELP對(duì)以上敏感安全參數(shù)進(jìn)行管理。a) MST-CC關(guān)鍵安全參數(shù)保護(hù)，防止非授權(quán)的訪問(wèn)、使用、泄露、修改和替換。dM由MK加密存儲(chǔ)在密碼容器文件中；MK由MST-PPD和SS-MKC組合生成；MST-PPD由用戶保管；rM在模塊內(nèi)臨時(shí)生成、使用，不保存。b) SS-CC關(guān)鍵安全參數(shù)保護(hù)，防止非授權(quán)的訪問(wèn)、使用、泄露、修改和替換。SS-MKC及SS-CC私鑰dS加密存放在密碼容

37、器中；KS由密碼主管 PIN生成，不永久保存；rMS臨時(shí)生成、使用，不保存。c) MST-CC公開(kāi)安全參數(shù)保護(hù)，防止非授權(quán)的修改和替換。PS內(nèi)置在MST-CC代碼段，在 MST-CC啟動(dòng)時(shí)對(duì)代碼段做完整性校驗(yàn)；PM由移動(dòng)應(yīng)用保存。d) SS-CC公開(kāi)安全參數(shù)保護(hù)，防止非授權(quán)的修改和替換。PS、PM用 SS-CC私鑰簽名保護(hù)。15.2隨機(jī)比特生成器CMMST-KELP須滿足GM/T 0028-2014 7.9.2中對(duì)安全一級(jí) ,安全二級(jí)軟件模塊的要求。12T/ZSA 67.2-201915.3敏感安全參數(shù)的生成CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.3要求生成。

38、a) CMMST-KELP所有敏感安全參數(shù)均在 MST-CC和SS-CC內(nèi)產(chǎn)生。b) rM、rMS使用核準(zhǔn)的隨機(jī)比特生成器生成，如 GM/T 0005-2012隨機(jī)性檢測(cè)規(guī)范。c) PM、dM、PS、dS生成滿足 GM/T 0003.3-2012中相關(guān)要求。d) MK使用KDA衍生，KDA滿足GM/T 0003.3-2012中5.4.3相關(guān)要求。e) KS由密碼主管 PIN衍生，且符合核準(zhǔn)的密鑰生成要求。f) PPD由MST-CC用戶人工產(chǎn)生。g) SS-MKC使用核準(zhǔn)的隨機(jī)比特生成器生成，如GM/T 0005-2012隨機(jī)性檢測(cè)規(guī)范。h)密碼主管員 PIN由密碼主管員人工產(chǎn)生。15.4敏感安

39、全參數(shù)的建立CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.4要求建立。15.5敏感安全參數(shù)的輸入輸出a) CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.5要求輸入輸出。b) PPD由用戶通過(guò)移動(dòng)應(yīng)用程序 MST-CC SDK接口人工輸入到密碼模塊中。c)密碼主管員 PIN由密碼主管員通過(guò)服務(wù)端軟件 SS-CC SDK接口人工輸入到密碼模塊中。d) PPD和密碼主管員 PIN輸入須滿足 GM/T 0028-2014 7.9.5直接輸入的敏感安全參數(shù)要求。e) rM、rMS在 MST-CC及 SS-CC之間傳遞采用核準(zhǔn)的密碼算法加密保護(hù)。15

40、.6敏感安全參數(shù)存儲(chǔ)CMMST-KELP敏感安全參數(shù)遵照 GM/T 00282014 7.9.6要求存儲(chǔ)。a) MST-CC加密存儲(chǔ)的 CSP均與PPD綁定，驗(yàn)證不通過(guò)無(wú)法使用 CSP。b) SS-CC加密存儲(chǔ)的 CSP均與密碼主管 PIN綁定關(guān)聯(lián)，綁定驗(yàn)證不通過(guò)無(wú)法使用 CSP。c) MST-CC、SS-CC中PSP完整性由MST-CC代碼數(shù)據(jù)完整性檢測(cè)保證。15.7敏感安全參數(shù)置零遵照GM/T 00282014 7.9.7要求，CMMST-KELP沒(méi)有未受保護(hù)的敏感安全參數(shù)，不需置零操作。16自測(cè)試CMMST-KELP須滿足GM/T 0028-2014 7.10中對(duì)安全一級(jí) ,安全二級(jí)軟件

41、模塊的要求。 MST-CC自測(cè)試須在 MST-PPD初始化和 MST-CC啟動(dòng)時(shí)進(jìn)行。 SS-CC在提供安全服務(wù)前須進(jìn)行代碼數(shù)據(jù)完整性自測(cè)試。13T/ZSA 67.2-201917生命周期保障17.1配置管理CMMST-KELP須滿足GM/T 0028-2014 7.11.2中對(duì)安全一級(jí) ,安全二級(jí)軟件模塊的要求。17.2設(shè)計(jì)CMMST-KELP須滿足GM/T 0028-2014 7.11.3中對(duì)安全一級(jí) ,安全二級(jí)軟件模塊的要求。17.3有限狀態(tài)模型（ FSM）CMMST-KELP的狀態(tài)是指 MST-CC和SS-CC共同處于的狀態(tài)，其有限狀態(tài)模型如圖 5所示：出廠狀態(tài)。密碼模塊集成（安裝）后

42、尚未使用所處的狀態(tài)。初始化狀態(tài)。密碼模塊初始運(yùn)行后進(jìn)入“初始化狀態(tài)”。自測(cè)試狀態(tài)。密碼模塊正在執(zhí)行自測(cè)試時(shí)所處的狀態(tài)。密碼主管狀態(tài)。 SS-CC密碼主管進(jìn)行模塊管理、密鑰管理（如更換 SS-CC公私鑰對(duì)）時(shí)處于的狀態(tài)，此狀態(tài)下 MST-CC不能進(jìn)行密碼服務(wù)。關(guān)鍵安全參數(shù)輸入狀態(tài)。當(dāng) MST-CC接收用戶個(gè)人特征數(shù)據(jù)（ PPD）時(shí)所處的狀態(tài)。鎖定狀態(tài)。關(guān)鍵安全參數(shù)輸入錯(cuò)誤進(jìn)入此狀態(tài)，此狀態(tài)僅可有密碼主管干預(yù)解鎖，回到關(guān)鍵安全參數(shù)輸入狀態(tài)。用戶狀態(tài)。移動(dòng)應(yīng)用使用密碼模塊進(jìn)行核準(zhǔn)的密碼服務(wù)時(shí)所處的狀態(tài)。核準(zhǔn)的狀態(tài)。密碼模塊正在執(zhí)行核準(zhǔn)的密碼功能時(shí)所處的狀態(tài)，當(dāng)密碼服務(wù)完成后退出此狀態(tài)，轉(zhuǎn)到用戶狀態(tài)。

43、錯(cuò)誤狀態(tài)。當(dāng)密碼模塊遇到錯(cuò)誤狀況時(shí)轉(zhuǎn)到此狀態(tài)。初始化未初始化狀態(tài)密碼主管密碼模塊初始運(yùn)行鑒別成功密碼主管狀態(tài)關(guān)鍵安全參數(shù)輸入密碼管理結(jié)束密碼模塊加載運(yùn)行出廠狀態(tài)自測(cè)試狀態(tài)鎖定密碼主管狀態(tài)用戶狀態(tài)解鎖錯(cuò)誤狀態(tài)核準(zhǔn)的狀態(tài)圖5 CMMST-KELP有限狀態(tài)圖17.4開(kāi)發(fā)CMMST-KELP須滿足GM/T 0028-2014 7.11.5中對(duì)安全一級(jí),安全二級(jí)軟件模塊的要求。14T/ZSA 67.2-201917.5廠商測(cè)試CMMST-KELP須滿足GM/T 0028-2014 7.11.6中對(duì)安全一級(jí),安全二級(jí)軟件模塊的要求。17.6配送與操作CMMST-KELP采取以下措施進(jìn)行配送：a） CMMS

44、T-KELP安裝、初始化和啟動(dòng)流程見(jiàn) 6.1.3.1 MST-CC初始化流程。b） SS-CC可在 MST-CC模塊初始化時(shí)對(duì) MST-CC代碼進(jìn)行完整性檢測(cè)，確保 MST-CC未被篡改。17.7生命終止MST-CC中加密存儲(chǔ)的敏感安全參數(shù)可由密碼主管角色通過(guò) SS-CC下指令清除。17.8指南文檔CMMST-KELP須滿足GM/T 0028-2014 7.11.9中對(duì)安全一級(jí) ,安全二級(jí)軟件模塊的要求。18對(duì)其他攻擊的緩解CMMST-KELP對(duì)此無(wú)要求。15T/ZSA 67.2-2019附錄A（資料性附錄）應(yīng)用示例移動(dòng)應(yīng)用可按下列方法完成對(duì) CMMST-KELP密碼模塊集成。a） CMMST

45、-KELP開(kāi)發(fā)者將 CMMST-KELP系統(tǒng)提供給用戶（ CMMST-KELP系統(tǒng)所有權(quán)屬于該用戶）。b） CMMST-KELP用戶首次運(yùn)行 SS-CC，SS-CC生成自己的公私鑰對(duì)，及主密鑰，并用主密鑰加密存儲(chǔ)自己的私鑰。c）將 SS-CC的公鑰部署在 MST-CC SDK中。d） MST-CC SDK由 CMMST-KELP移動(dòng)應(yīng)用開(kāi)發(fā)者使用。e）移動(dòng)應(yīng)用開(kāi)發(fā)者將 CMMST-KELP集成到進(jìn)移動(dòng)應(yīng)用中，為移動(dòng)應(yīng)用提供密碼服務(wù)，如信息加解密、數(shù)據(jù)簽名與驗(yàn)證等。f）集成 MST-CC的移動(dòng)應(yīng)用安裝到移動(dòng)終端后第一次運(yùn)行時(shí)，移動(dòng)應(yīng)用的用戶輸入 MST-PPD進(jìn)行初始化注冊(cè)。g）注冊(cè)完成后， S

46、S-CC將 SS-MKC等信息發(fā)送到 MST-CC。h） MST-CC根據(jù)下發(fā)的數(shù)據(jù)將本地 MST-PPD及 SS-MKC組合生成存儲(chǔ)加密主密鑰 MK，用 MK加密存儲(chǔ)移動(dòng)應(yīng)用密碼模塊敏感安全參數(shù)。 MST-CC初始化流程見(jiàn)本7.1節(jié)。i）當(dāng)再次啟動(dòng)時(shí)，不需執(zhí)行初始化操作，僅使用 MST-PPD激活 MST-CC即可調(diào)用 MST-CC密碼功能。16ICS 35.240L70/84A s s o s i c a t i o n S t a n d a r dT/ZSA 67.2-2019Technical framework of cryptographic module for mobile

47、smart terminal Part 2：Key-encrypted local protectionIssue Date 12-31-2019Inplemenation Date 03-01-2020Is s ued b y Zh on ggua n cun St a n da rd izat ion Ass ociat ionT/ZSA 67.2-2019Contents FOREWORD . . . .IIIINTRODUCTION . IV 1 SCOPE . 1 2 NOMATIVE REFERENCES . 1 3 TERMS AND DEFINITIONS . 1 4 SYMB

48、OL AND ACRONYMS . 3 5 OVERVIEW . 4 5.1 Plan Principles . 4 5.2 Security Risks . 5 5.3 Security Measures . 5 6 TECHNICAL STRUCTURE . 6 7 WORK FLOW . 7 7.1 Overview . 7 7.2 Initialization Process . 7 7.3 Verification Process . 9 8 CRYPTOGRAPHIC MODULE SPECIFICATIONS . 11 8.1 Overview . 11 8.2 Cryptogr

49、aphic Module Type s . 11 8.3 Cryptographic Boundary . 11 8.4 Work Module . 12 9 CRYPTOGRAPHIC MODULE INTERFACE . 12 9.1 Physical and Logical Interface . 12 9.2 Interface Types . 12 9.3 Interface Definitions . 12 9.4 Trusted Channel . 12 10 ROLES,SERVICES AND IDENTIFICATION . 12 10.1 Roles . 12 10.2

50、Services . 13 10.3 Identification . 13 11 SOFTWARE / FIREWARE SECURITY . 13 12 OPERATING ENVIRONMENT . 14 13 CRYPTOGRAPHIC MODULE PHYSICAL SECURITY . 14 IT/ZSA 67.2-201914 NON-INVASIVE SECURITY . 14 15 SEVSITIVE SECURITY PARAMETER MANAFEMENT . 14 15.1 Overview . 14 15.2 Random Bit Generator . 15 15.

51、3 Generation of Sensitive Security Parameters . 16 15.4 Establishment of Sensitive Safety Parameters . 16 15.5 Input and Output of Sensitive Safety Parameters . 16 15.6 Storage of Sensitive Safety Paramete rs . 16 15.7 Nulling Sensitive Safety Parameters . 17 16 SELF-TEST . 17 17 LIFE CYCLE ASSURANC

52、E. 17 17.1 Configuration Management . 17 17.2 Design . 17 17.3 Finite State Model . 17 17.4 Development. 18 17.5 Manufacturer Test . 18 17.6 Distribution and Operation . 19 17.7 Life Termination . 19 17.8 Guide Document . 19 18 MITIGATION OF OTHER ATTACKS . 19 APPENDIX A . 20 IIT/ZSA 67.2-2019FOREWO

53、RD T /ZSA 67-2019 Technical framework of cryptographic module in mobile smart terminal isdivided into 5 parts:Part 1: GeneralPart 2: Key-encryption local protectionPart 3: Key-encrypted protection on server sidePart 4: Key protection based on multi-party computationPart 5: Based on security chipThis

54、 section is second part of T /ZSA 67-2019 Technical framework of cryptographic module inmobile smart terminal.The section was drafted in accordance with the rules set out in GB/T 1.1-2009.Please note that some contents in this document may involve patents. ZhongguancunStandardization Association sha

55、ll not be held responsible for identifying such patents.The section was proposed and under the jurisdiction of Zhongguancun Standardization Association- Technical Committee.The main drafting companies of this section: Zhongguancun Cyberspace Affairs Industry Alliance,Qianxin Technology Group Co., Lt

56、d., Institute of Information Engineering, Chinese Academy ofSciences, Beijing Jiangnan Tianan Technology Co., Ltd., PayEgis, Beijing Woqi Data Co., Ltd.,Westone Information Industry Co., Ltd., Dingqiao Communication Technology Co., Ltd., etc.The main drafters of this section: Zhang Fan, Wang Ke, Fu

57、Wenbin, Liu Zongbin, Li Bo, Zhang Jing, LiXiangrong, Lu Hongcheng, Zhang Lingchen, etc.IIIT/ZSA 67.2-2019INTRODUCTION In the environment of open mobile networks and portable mobile terminal systems, how to protectsensitive security parameters has become a core issue in the design and implementation

58、ofcryptographic software modules for mobile intelligent terminals. Encrypting and storing sensitivesecurity parameters in mobile smart terminals is the main method to solve the security of softwarecryptographic modules. However, if the encryption key is easily obtained illegally or the quality ofthe

59、 key does not meet the requirements, it poses a threat to the security of sensitive securityparameters. Therefore, this standard controls the secure generation and use of master keys toensure the security of encryption keys with sensitive security parameters.IVT/ZSA 67.2-2019Technical framework of c

60、ryptographic module in mobile smart terminal Part 2：Key-encrypted local protection 1 SCOPEThis section of T / ZSA 67-2019 Mobile Smart Terminal Cryptographic Module TechnicalFramework specifies the technical architecture of the mobile smart terminal crypto module(CMMST-KELP), which is encrypted by t