附錄A （規范性附錄） 硬件動態令牌要求

A.1　令牌硬件要求

A.1.1　高溫

按照GB/T 2423.2-2008中試驗方法Bb，嚴酷等級選擇溫度：+50℃，持續時間：2小時。

A.1.2　低溫

按照GB/T 2423.1-2008中試驗方法Ab，嚴酷等級選擇溫度：-10℃，持續時間：2小時。

A.1.3　高低溫沖擊

按照GB/T 2423.22-2012，嚴酷等級選擇高溫溫度：+50℃，低溫溫度：-10℃，暴露試驗時間：10分鐘，轉換時間：（2~3）分鐘，循環數：3個。

A.1.4　濕度

按照GB/T 2423.9-2001，嚴酷等級選擇溫度：30℃±2℃，相對濕度93%±3%，試驗時間：2小時。

A.1.5　工作海拔

按照GB/T 2423.21-2008，嚴酷等級選擇氣壓：55kPa，持續時間：2小時。

A.1.6　跌落

按照GB/T 2423.8-1995中方法一，嚴酷等級選擇跌落高度：1000毫米。

A.1.7　防塵防水

遵守GB/T 4208-2017中 IP44的要求。

A.1.8　標記和印刷

按照GB/T 2423.53-2005，試驗液體：人工合成汗液，力的大小：1N±0.2N，循環次數：1000次。產品必須具備標記文字為：“序列號”和“有效期”。

A.1.9　振動

按照GB/T 2423.10-2008，嚴酷等級選擇頻率范圍：10Hz到300Hz，振動幅值：3.5毫米，持續時間：60分鐘。

A.1.10　靜電放電

不低于GB/T 17626.2-2006中試驗等級3的標準，即滿足外殼端口接觸放電±6kV，空氣放電±8kV。

A.1.11　試驗過程中試驗樣品是否處于工作狀態的判斷標準

樣品帶電運行，目視檢查，提供最少12個顯示相同動態口令的樣品，6個一組為參與試驗樣品，6個一組為不參與試驗樣品，參與試驗的樣品顯示動態口令與不參與試驗樣品一致即為合格。

A.2　令牌安全要求

A.2.1　種子密鑰安全

種子密鑰為令牌重要安全要素，令牌必須保證產品內的種子密鑰的完整性，且種子密鑰為單向導入令牌（或在令牌內生成），種子密鑰不能被導出產品外部。

令牌必須擁有種子密鑰的保護功能。令牌種子密鑰加密、存儲、使用在令牌芯片的安全區域內實現。

A.2.2　令牌芯片安全

本標準涉及的令牌芯片，應是國家密碼管理局批準產品型號證書的安全芯片。

A.2.3　令牌物理安全

令牌具有低電壓檢測功能。

令牌完成種子密鑰導入后，通訊I/O端口應失效，不能再輸入或輸出信息，包括但不限于內部參與口令生成運算的K、T、C信息。

令牌應防范通過物理攻擊的手段獲取設備內的敏感信息，物理攻擊的手段包括但不限于開蓋、搭線、復制等。

令牌芯片必須具備令牌掉電后，會自動銷毀種子密鑰的措施。

令牌芯片應保證種子密鑰無法通過外部或內部的方式讀出，包括但不限于：調試接口、改編的程序。

令牌芯片可防范通過物理攻擊的手段獲取芯片內的敏感信息，確保種子密鑰和算法程序的安全性。

令牌芯片應具備抵抗旁路攻擊的能力，包括但不限于： 抗SPA/DPA 攻擊能力，抗SEMA/DEMA 攻擊能力。

在外部環境發生變化時，令牌芯片不應泄漏敏感信息或影響安全功能。外部環境的變化包含但不限于：高低電壓、高低溫、強光干擾、電磁干擾、紫外線干擾、靜電干擾。

A.2.4　使用安全

具有數字和功能按鍵的令牌必須具有PIN保護功能，PIN長度不少于6位，并具有PIN防暴力窮舉功能。令牌可具有PIN找回功能，即令牌用戶如果忘記令牌PIN，可通過安全有效的環境與機制找回令牌PIN，或對令牌PIN進行重新設置（如遠程解PIN）。

PIN輸入錯誤的次數不可超過5次，若超過，應至少等待1小時才可繼續嘗試。

PIN輸入超過最大嘗試次數的情況不可超過5次，否則令牌應永久鎖定，不可再使用。

令牌基本使用壽命為3年，令牌產品最長使用不超過5年。

室溫環境下，令牌時間偏差小于2分鐘/年。

A.2.5　安全評估

動態令牌產品安全評估按照以下國標規定：

GB/T 18336.1

GB/T 18336.2

GB/T 18336.3