据商用密码认证业务网(service.scctc.org.cn)显示,飞天诚信科技股份有限公司(以下简称“飞天诚信”)的动态令牌OTP产品已经获得商用密码产品认证证书(证书编号GM001111420230430),安全等级为二级。这是国家密码管理局商用密码检测中心针对动态令牌类产品签发的首张安全二级证书。
动态令牌是《商用密码产品认证目录(第一批)》中的22类商用密码产品之一,认证依据为GM/T 0021《动态口令密码应用技术规范》以及GM/T 0028《密码模块安全技术要求》。GM/T 0021对动态口令的生成方式、动态令牌特性等做出了规定。GM/T 0028针对11个安全域分别给出了四个安全等级的对应要求,高安全等级在低安全等级的基础上进一步提高了安全性。飞天诚信基于身份认证领域多年耕耘积累的技术底蕴,深入研究,认真对标,综合应用多项自主知识产权的专利核心技术,研制成功的新一代动态令牌OTP产品,不仅功能、可靠性、使用寿命等指标符合GM/T 0021的要求,而且在物理安全、固件安全、非入侵式安全、生命周期保障等方面符合GM/T 0028安全二级要求,与传统的动态令牌相比,安全性得到全面提升。
动态口令是一种一次性口令机制,口令通过用户持有的客户端器件生成,并基于一定的算法与服务端形成同步,从而作为证明用户身份的依据。动态口令机制可广泛应用于身份鉴别场合。自7月1日起施行的《商用密码管理条例》第四十一条规定,“网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全”;第三十八条规定,“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护……自行或者委托商用密码检测机构开展商用密码应用安全性评估”(俗称“密评”)。国家标准GB/T 22239《信息安全技术 网络安全等级保护基本要求》中第三级规定,“应采用口令、密码技术、生物技术等两种或两种以上的组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现”;GB/T 25070《信息安全技术 网络安全等级保护安全设计技术要求》中规定,第三级系统安全保护环境“在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别”。在信息系统使用口令的基础上补充部署动态口令系统,基于动态令牌构建“口令+动态口令”的多因素鉴别机制,使用密码技术对用户进行身份鉴别,符合国家网络安全等级保护标准以及信息系统密码应用标准要求,是一种安全合规、使用方便、部署(改造)快捷的身份鉴别解决方案。
飞天诚信动态令牌OTP率先获得国密安全二级认证,为重要信息系统的用户身份鉴别提供了新的选择。
