7.2 鑒別模塊服務

7.2.1　安全服務

7.2.1.1　動態口令鑒別

對提交的動態口令進行鑒別的服務，鑒別方式包括：靜態口令+動態口令、動態口令。其中靜態口令為與該動態令牌綁定的靜態口令。

7.2.1.2　挑戰應答鑒別

對提交的挑戰應答碼進行鑒別的服務，鑒別方式包括：挑戰鑒別、內部挑戰鑒別。

挑戰鑒別是用戶采用向令牌輸入應用服務提供的挑戰碼的方式，獲取相應的動態口令，完成鑒別。

內部挑戰鑒別是用戶通過向令牌輸入PIN、靜態口令等用戶私有數據，獲取相應的動態口令，完成鑒別。

7.2.1.3　產生挑戰碼

根據應用的請求產生挑戰碼，生成的挑戰碼格式包括：數字型、字符型、數字+字符型。其中數字為阿拉伯數字0-9，字符為英文字符或符號字符，區分大小寫。挑戰碼的最小長度和最大長度可由鑒別模塊進行設置。

7.2.2　管理服務

7.2.2.1　激活

將未激活的令牌設為可用狀態。激活時，要求驗證令牌的動態口令。

a) 激活時驗證動態口令的窗口使用大窗口。

b) 令牌成功激活后，狀態設置為就緒。

c) 激活不成功，記錄激活錯誤次數，但不鎖定令牌。

7.2.2.2　鎖定

令牌在連續錯誤、重放攻擊等操作下將就緒狀態的令牌設置為鎖定狀態。

a) 令牌被鎖定后，應通過解鎖服務回到就緒狀態。

b) 令牌被鎖定后，應通過廢止服務設置為廢止狀態。

7.2.2.3　解鎖

通過靜態口令、靜態口令+動態口令將鎖定狀態的令牌解鎖，設置為就緒狀態。

a) 解鎖時，要求當前的動態口令。

b) 若設置了靜態口令，要求驗證靜態口令。

c) 若靜態口令的驗證方式是內部挑戰方式，使用內部挑戰鑒別。

d) 若靜態口令的驗證方式是靜動態混合方式，使用靜態口令+動態口令鑒別。

7.2.2.4　掛起

將動態令牌設置為掛起狀態。

a) 只有就緒或鎖定狀態的令牌應被設置為掛起狀態。

b) 令牌被掛起后，應通過廢止服務設置為廢止狀態。

7.2.2.5　解掛

解除令牌的掛起狀態。

a) 解掛成功后令牌的狀態設置為就緒狀態。

b) 要求驗證當前的動態口令。

c) 若設置了靜態口令，要求驗證靜態口令。

d) 若靜態口令的驗證方式是內部挑戰方式，使用內部挑戰鑒別。

e) 若靜態口令的驗證方式是普通方式，使用靜態口令+動態口令鑒別。

7.2.2.6　設置靜態口令

設置動態令牌綁定的靜態口令。

a) 要求驗證原有的靜態口令。

b) 若靜態口令的驗證方式是內部挑戰方式，使用內部挑戰鑒別。

c) 若靜態口令的驗證方式是靜動態混合方式，使用靜態口令+動態口令鑒別。

7.2.2.7　遠程解PIN

鑒別模塊可提供遠程解PIN的功能（針對具有PIN保護的令牌）。根據應用請求，鑒別模塊生成當前的遠程解PIN密碼。

a) 解PIN的密碼為0-9的數字串，長度最少為6位。

b) 解PIN的操作最大嘗試次數不可超過5次，若超過最大嘗試次數，應至少等待1小時才可繼續嘗試。

c) 超過最大嘗試次數的情況不可超過5次，否則令牌應永久鎖定，不可再使用。

7.2.2.8　同步與窗口要求

鑒別模塊提供令牌的同步服務。

a) 在大窗口、中窗口內驗證令牌的連續2個動態口令，若成功，調整令牌的系統偏移量。

b) 在小窗口內驗證令牌的當前動態口令，若成功，調整令牌的系統偏移量。

c) 令牌的同步服務不改變令牌狀態。

7.2.2.9　廢止

令牌損壞或失效后，可使用鑒別模塊的廢止服務將其廢止。廢止的令牌不可再用于用戶的身份鑒別和交易驗證。系統僅保留該令牌的使用歷史記錄。

7.2.2.10　令牌信息查詢

鑒別模塊應提供令牌的信息查詢服務，包括：令牌的當前狀態、上次使用時間、當前累計錯誤次數等。

信息查詢服務不改變令牌狀態。