GB T 15843.4-1999 信息技术 安全技术 实体鉴别 第4部分采用密码校验函数的机制.pdf

1、中华人民共和国国家标准信息技术安全技术实体鉴别第 部分 采用密码校验函数的机制发布 实施国家质量技术监督局 发布前言本标准等同采用国际标准 信息技术安全技术实体鉴别第部分采用密码校验函数的机制本标准为实体间的信息交换规定了使用密码校验函数的实体鉴别机制 它适合于我国使用在总标题信息技术安全技术实体鉴别下由以下几个部分组成第 部分 概述第 部分 采用对称加密算法的机制第 部分 采用公开密钥算法的实体鉴别第 部分 采用密码校验函数的机制第 部分 采用零知识技术的机制本标准的附录 附录 附录 和附录 均是提示的附录本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准由中国电子技

2、术标准化研究所西南通信技术研究所负责起草本标准主要起草人罗韧鸿 向维良 雷利民前言国际标准化组织和 国际电工委员会 是世界性的标准化专门机构 国家成员体 它们都是 或 的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准 和 的各技术委员会在共同感兴趣的领域内进行合作 与 和 有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术 和 建立了一个联合技术委员会 即 由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决 发布一项国际标准至少需要 的参与表决的国家成员体投票赞成国际标准 是由联合技术委员会 信息技术的分委员会安全技术起草的在总标题信息技

3、术安全技术实体鉴别机制 下由下列部分组成第 部分 采用公开密钥算法的实体鉴别在总标题信息技术安全技术实体鉴别下由下列部分组成第 部分 概述第 部分 采用对称加密算法的实体鉴别第 部分 采用密码校验函数的机制第 部分 采用零知识技术的机制注 上述第 部分的总标题在下一个修订版中将调整为第 第 第 和第 部分之前的总标题也可能还有其他部分跟随其后本标准的附录 和 均是提示性的附录中华人民共和国国家标准信息技术安全技术实体鉴别第 部分 采用密码校验函数的机制国家质量技术监督局 批准 实施范围本标准规定了采用密码校验函数的实体鉴别机制 其中有两种是单个实体的鉴别单向鉴别 其余的是两个实体的相互鉴别本标

4、准所规定的机制采用诸如时间标记顺序号或随机数等时变参数以防止有效的鉴别信息以后又被接受如果采用时间标记或顺序号 对于单向鉴别只需一次传递而要达到相互鉴别则需两次传递 如果采用了使用随机数的询问和应答方法 单向鉴别需两次传递 而达到相互鉴别需要三次传递密码校验函数的例子见附录引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文 本标准出版时所示版本均为有效 所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术实体鉴别第部分 概述定义和记法本标准使用了 中描述的定义和记法 此外还使用下列定义和记法密码校验值通过在数据单元上执行密码变换而得到的信息见密码

5、校验值它是以密钥 和任意字符串 作为输入使用密码校验函数 所得的结果由实体 原发的时变参数 它或者是时间标记 或者是顺序号要求本标准规定的鉴别机制中待鉴别的实体通过表明它拥有某个秘密鉴别密钥来证实其身份 这可通过由该实体以其秘密密钥和特定数据作为输入 使用密码校验函数获得密码校验值来达到密码校验值可由拥有该实体的秘密鉴别密钥的任何实体来校验 这个实体能重新计算密码校验值并与所收到的值进行比较这些鉴别机制有下述要求如果其中任何一个不满足则鉴别进程应会受到损害或根本不能实现向验证者证实其身份的声称者与该验证者共享一个秘密鉴别密钥 在正式启动鉴别机制之前此密钥应为有关各方所知道 向各个实体分发密钥的

6、方法不属本标准的范围声称者和验证者共享的秘密鉴别密钥应仅为这两个实体所知 以及可能为双方都信任的其他方所知以秘密密钥 和一个任意字符串 作为输入以产生 的密码校验函数 应满足下列特性对于任何密钥 和数据串 计算 应是实际可行的对于任意固定的密钥 假定事先不知道 即使知道一组配对 使得要找出一对新的 使得 在计算上是不可行的 其中 的值可以在看到的值后选定各种机制的强度取决于密钥的长度和密钥的保密取决于密码校验函数 也取决于校验值的长度 对这些参数的选择应满足要求的安全级别它们可由安全策略来规定机制这些鉴别机制中 实体 和 在开始具体运行鉴别机制之前应共享一个公共的秘密密钥 或两个单向秘密密钥

7、和 在后一种情况下 单向秘密密钥 和 分别用于由 对 进行鉴别和由 对 进行鉴别这些机制要求使用诸如时间标记顺序号或随机数等时变参数 这些参数的特性尤其是它们很难在鉴别密钥生命期内重复的特性 对于这些机制的安全性是十分重要的 附加信息见附录下列机制中规定的所有文本字段可在本标准范围之外的应用中得到 这些文本字段可能是空的它们的关系和内容还取决于具体的应用 有关文本字段使用的信息见附录如果验证者能够独立确定文本字段例如它被提前知道或以明的方式发送或能从两个源中的一个或两个推导出来 则文本字段可以只包括在密码校验函数的输入中单向鉴别单向鉴别是指使用该机制时两个实体中只有一方被鉴别一次传递鉴别这种鉴

8、别机制中声称者启动此进程并由验证者对他进行鉴别 唯一性时间性是通过产生并校验时间标记或顺序号 见附录 来控制的鉴别机制示于图图声称者 发送给验证者 的权标 形式是此处声称者或者用顺序号 或者用时间标记 作为时变参数 具体选用哪一个取决于声称者与验证者的技术能力以及环境中是否包含可区分标识符 是任选的注 在 中包含可区分标识符 是为了防止敌人假冒实体 来重复使用实体 的 这种包含是任选的 这使得在不会出现这类攻击的环境中可将标识符省去如果使用一个单向密钥那么可区分标识符也可省去向 发送一旦收到包含 的消息 就检验时间标记或顺序号 计算且将其与权标的密码校验值进行比较并验证可区分标识符如果有的话

9、以及时间标记或顺序号的正确性从而验证两次传递鉴别在这种鉴别机制中 验证者 启动此进程并对声称者进行鉴别 唯一性时间性是通过产生并检验随机数 见附录 来控制的鉴别机制示于图图由声称者 发送给验证者 的权标 形式是在 中是否包含可区分标识符 是任选的注 在 中包含可区分标识符 是为了防止所谓的反射攻击 这种攻击的特性是入侵者假冒 将询问反射给 这种包含是任选的 这使得在不会出现这类攻击的环境中可将标识符省去如果使用了单向密钥 则可区分标识符也可省去向 发送一个随机数 并可任选地发送一个文本字段向 发送一旦收到包含 的消息 就计算 且将其与权标的密码校验值进行比较并验证可区分标识符 如果有的话 的正

10、确性以及在步骤 中发送给 的随机数 是否与中所含的随机数相符 从而验证相互鉴别相互鉴别是指两个通信实体运用该机制彼此进行鉴别和 分别采用 和 中描述的两种机制以实现相互鉴别 这两种情况都要求增加一次传递从而增加了两个操作步骤注 相互鉴别的第三种机制可由 中规定的机制的两种情况构成 一种由实体 启动 另一种由 启动两次传递鉴别这种鉴别机制中唯一性时间性是通过产生并检验时间标记或顺序号 见附录 来控制的鉴别机制示于图图由 发送给 的权标 形式与 所规定的相同由 发送给 的权标 形式为在 中是否包含可区分标识符 在 中是否包含可区分标识符 是 独立地任选的注 中包含可区分标识符 是为防止敌方假冒实体

11、 重复使用实体 的 因为同样的原因在中包含可区分标识符 对它们的包含为任选的是为了使得在不会出现这类攻击的环境下将其中之一或二者都可省去如果使用了单向密钥 见下面 则可区分标识符 和 也可省去在这种机制中 选择时间标记还是顺序号取决于声称者与验证者的能力及环境步骤 和步骤 与 一次传递鉴别 中规定的相同向 发送步骤 中的消息处理方式与 的步骤 类似注 这种机制中两条消息之间除了时间上有隐含关系外 没有任何联系 该机制独立地两次使用机制 如果希望这两条消息进一步发生联系 可适当使用文本字段 见附录 来实现如果使用单向密钥 那么 中的密钥 由单向密钥 所代替并在步骤 使用合适的密钥三次传递鉴别这种

12、相互鉴别机制中 唯一性时间性是通过产生并检验随机数 见附录 来控制的鉴别机制示于图图权标形式如下注 中包含 是为了防止由 导出中是否包含可区分标识符 是任选的注 中包含可区分标识符 是为了防止所谓的反射攻击 这种攻击的特性是入侵者假冒 将询问 反射给 对可区分标识符 的包含为任选的是为了使得在不会出现这类攻击的环境中可以将其省去如果使用单向密钥见下面 那么可区分标识符 也可以省去向 发送一个随机数 并可任选地发送一个文本字段向 发送一旦收到包含 的消息 就计算 且将其与权标的密码校验值进行比较 并验证可区分标识符 如果有的话 的正确性以及在步骤中 发送给 的随机数 是否与 中所含的随机数相符从

13、而验证向 发送一旦收到包含 的消息 就计算 且将其与权标的密码校验值进行比较并验证在步骤 中从 所接收到的随机数 是否与 中的随机数相符及在步骤中发给 的随机数 是否与 中的随机数相符过程中使用了验证如果使用单向密钥那么 中的密钥 将由单向密钥 代替并在步骤 使用合适的密钥附录提示的附录文本字段的使用本标准第 章规定的权标包括了文本字段 在一次给定传递中不同文本字段的实际使用及各文本字段间的关系取决于具体应用 下面给出一些例子任何要求进行数据原发鉴别的信息都应在计算权标的密码校验值中使用文本字段可以包含附加的时变参数 例如 如果在机制 中使用了顺序号那么在的文本字段中可以包含时间标记 这样通过

14、要求消息接收者验证消息中的任何时间标记是否都在一个预先规定的时间窗口内可以检测出人为延迟 见附录如果有效密钥不止一个那么明文文本字段可用于包括密钥标识符假如本标准规定的任何一种机制嵌入到这样一种应用 即在此机制启动之前它允许任一个实体采用附加消息开始鉴别那么有些入侵攻击就变得可能 为了抵抗这类攻击 可用文本字段说明哪个实体要求鉴别 这类攻击的特性是入侵者可能重用一个非法获得的权标附录提示的附录时变参数时变参数是用于控制唯一性 时间性的 它们能使先前发送过的消息重演时被检测出来 为实现这一点 各次交换发生时鉴别信息都应不同 验证者应直接或间接地控制其变化某些类型的时变参数也允许检测人为延迟 由敌

15、方引入通信媒体的延迟 在涉及一次以上传递的机制中 可通过其他方法如采用 超时时钟来强行规定具体消息间可允许的最大时间间隙 检测人为延迟本标准使用的三类时变参数是时间标记顺序号和随机数在不同的应用中可根据实现需要选择最可取的时变参数有时也可以适当选用一种以上时变参数如同时选择时间标记和顺序号 有关选择参数的细节不在本标准范围之内时间标记涉及时间标记的机制利用逻辑上链接通信双方的同一个时间基准 建议使用基准时钟是国际标准时间 验证者使用某种固定大小的接收窗口 验证者通过计算接收到的已验证权标中的时间标记与验证者在收到权标时的时间之差来控制时间性 如果差值落在窗口内 消息就被接收 通过在当前窗口中登

16、录所有消息并拒收第二次和以后出现的与该窗口中同样的消息的方法来验证唯一性应该采用某种机制确保声称者和验证者的时钟同步以便时间基准处在验证者间接控制之下而且时钟同步性能要足够好使通过重演达到冒名顶替的可能性小到可接受的程度 还应确保与验证时间标记有关的所有信息特别是两个通信实体的时钟不会被篡改时间标记可用来检测人为延迟顺序号因为顺序号可以使验证者检测消息的重演可以用顺序号控制唯一性 声称者和验证者预先就如何以特定方式给消息编号的策略达成一致基本思想是特定编号的消息只能被接受一次或在规定时间内只接受一次 然后再检验验证者收到的消息根据上述策略判断消息中的顺序号是否可接受 这样顺序号就在验证者的间接

17、控制之下 如果顺序号不符合上述策略则该消息被拒绝使用顺序号时可要求附加簿记 声称者应维护先前用过的顺序号和或将来可用的有效顺序号的记录 该声称者应为所有他希望与之通信的潜在验证者保存上述记录 同样 验证者也应为所有可能的声称者保存这些记录 当正常定序被破坏的情况如系统故障发生时则需要有专用程序来重置和或重新启动顺序号计数器声称者使用顺序号不能保证验证者能检测出人为延迟对于涉及两个或两个以上消息的机制如果消息发送者能检测出消息发送与预期的回复接收之间的时间间隔并在延迟超过预先规定的时间间隙时拒绝此消息就可以测出人为延迟随机数本标准所规定的各种机制中使用的随机数可防止重演攻击或交错攻击 本标准中使

18、用术语 随机数 还包括了满足同一要求的伪随机数为防止重演或交错攻击验证者获得一个发送给声称者的随机数声称者又以将该随机数放在返回权标的鉴别数据中予以响应这通常称为询问 应答 这一过程将包含特定随机数的两个消息联系起来如果同一个随机数被验证者再次使用记录原发鉴别交换的第三方就能将记录下的权标发送给验证者 为了防止这类攻击要求随机数不重复的概率必须很高按照定义随机数是不可预测的而且如果随机数从很大范围内取值则可认为它们的不重复概率可达很高声称者使用随机数不能保证验证者能检测人为延迟附录提示的附录密码校验函数举例消息鉴别算法的应用密码校验值是使用 或 中规定的密码校验函数所产生的结果加密算法与散列函数相结合的应用密码校验值是以秘密密钥 和对数据串 使用 中规定的散列函数所得到的散列代码为输入 使用数据加密算法所获得的结果附录提示的附录参考资料信息处理系统 开放系统互连基本参考模型 第 部分安全体系结构信息技术安全技术用块密码算法 作密码校验函数的数据完整性机制银行业批准的消息鉴别算法第部分银行业批准的消息鉴别算法第部分消息鉴别算法银行业与相关金融业 消息鉴别要求零售信息技术安全技术 散列函数第部分概述信息技术安全技术 散列函数第部分使用 位块密码算法的散列函数金融机构消息鉴别 批发金融机构零售消息鉴别