GB T 18794.2-2002 信息技术 开放系统互连 开放系统安全框架 第2部分;鉴别框架.pdf

1、ICS 35. 100. 01 L 79 华.:H二-、言息技术开发 另!GB/T18794.2-2002 idt ISO/IEC 10181-2: 1996 Information technology Open Systems Interconnection Security frameworks for open systems Part 2: Authentication framework 2002 - 07 -18发布2002-12-01实施 jj. ， 中华人民共和国国家质量监督检验检夜总局发布飞飞G/T 18794. 2-2002 目次前言. . . . . . . . . .

2、 . . . I ISO/IEC前言. . . . . E 引言. . . . . E 1 范围. . .,. . . . . 1 2 引用标准. . . . . 2 3 术语和定义. . . . 2 4 缩略i击. . . . . . . . 4 5 鉴别的概述性讨论. . . . . . . 4 6 鉴别信息和设施. 13 7 鉴别机制特征.19 8 鉴别机制. . 19 9 与其他安全服务/机制交互. . . . . 27 附录A(提示的附录)人类用户鉴别. . . . . 29 附录B(提示的附录)OSI槟型中的鉴别. . . 30 附录C(提示的附录)使用唯一编号或盘问来阻止重发攻击

3、. . . . 31 附录O(提示的附录)根据针对鉴别的几种攻击提供相应保护. . . 32 附录E(提示的附录)参考资料. . . . . . . . 35 附录F(提示的附录鉴别机制特例. . 35 附录G(提示的附录)鉴别设施列表. . 37 GB/T 18794.2-2002 前本标准等同采用国际标准ISO/IEC10181-2，1996C (控制值，日，F(控制饵、唯一-编号、盘宁指纹)l1 AUC()用来表示-个包含所提供参数的线鉴别证书。2 C()用来表示保密性服务应用程序，当控制参数是有效值时适用.图Fl使用在线鉴别证书的唯一编号机制使用在线证书的盘问机制验证者该机制通过在5.

4、3dl中所描述的原则和在8.1.5.2中描述的盘问机制，使用鉴别证书对验证提供保护。鉴别证书保证可信第三方已经使用特定的可区分标识符对其所持有的证书提供鉴别。该机制可以保证申请者持有关于一个给定区别标识的证书。在该例中使用到在线鉴别证书、可区分标识符、保护方法、保护参数和鉴别证书中的有效期，该例允许-个给定的证书被多次使用回保护方法描述了证书中的保护参数与用来保护证书不被非法使用外部控制参数之间的关系。外部控制参数可能与保护参数有单向的关系，比如2一一外部控制参数是一个确认的值，保护参数是对于该确认的值通过所使用的单向函数产生的结果;一一外部控制参数是私有密钥保护参数是对应的公开密钥。当一个确

5、认值被用作外部控制参数，它被发送给验证者以证明其对鉴别证书的所有权。在发送中，该确认值的保密性必须得到保证，比如申请者使用与通讯管道或与通讯管道接收端相关的机密密钥来对其加密。所有权及重发保护是通过使用唯一编号和转换网数来实现的。根据外部控制参数的特性，可以选用三种不同的转换函数(F)。a)单向函数:当外部控制参数是确认的值，唯一编号和该确认的值被使用单向函数来转换，所转换的结果和唯一编号被传送，因此验证者也可执行相同的转换;b)非对称算法s当外部控制参数是私有密钥，盘问被此私有密钥所签署;c)对称贷:法:外部控制参数为秘密密钥，盘问会以确认的l作为秘密密钥来加密或封装$此例适用于数据源和实体

6、鉴别。对于数据源鉴别，数据或数字指纹也可用函数F来转换。获取服务2用于获得在线证书和外部控制参数。生成服务生成一个鉴别请求.在接收到鉴别请求后，验证服务生成盘问以作为交换AI.生成服务通过以下输入执行转换z36 盘问;一一外部控制参数;一一区别标识(可选h千数字指纹(如果是数据源鉴别)。二G(T 18794. 2-2002 另外，当外部控制参数是确认的值或密秘控制密钥时，生成服务将此值以加密的方式发送，这样只有相关的验证者可以解密，并产生交换AI如图16所示。验证服务使用包含在鉴别证书中的保护值来检查交换AI的有效性。另外，当使用确认值或秘密控制密钥时，验证服务会对确认值或秘密控制密钥解密，并

7、根据保护值来校验.并且还要检查确认以前没有正确收到过该盘问。申请者注2鉴别请求、盘问AUC(可区分标识符、保护方法.缸护值，. ) C (控制值，.) F(控制值、盘问、可区分标识符、盘宇指纹)验证者1 AUC(斗用来表示一个包吉所提供参数的线鉴别证书。2 C (. .)用来表示保密性服务应用程序，当控制参数是有效值时适用。活动信4息图F2使用在线鉴别证书的盘问机制鉴别设施列表实体函数管理相关活动实体函数操作相关活动被SDA管理的输入/输出元素在操作中使用的信息类型控制信息附录G(提示的附录)鉴别设施列表元素实体申请者、验证者、可信第一方、主角，管理者。信息对象2鉴别信息实体目的对于实体的申请

8、身份做出保证.安全机构、主角、管理者安装更改iI分发重起卸载申请者验证者可信第二方获取生成验证生成再验证描述信息，如口令、密钥、对协议的使用、盘问和响应表、接受或拒绝、离线证书、状态信息、i1申请Al交换AI验证AI有效期鉴别状态信息中华人民共和国国家标准信息技术开放系统互连开放系统安全框架第2部分g鉴别框架GB/T 18794.2-2002 中国标准出版社出版北京复兴门外三里河北街16号邮政编码，100045电话，6852394668517548 中国标准出版社秦皇岛印刷厂印刷新华书店北京发行所发行各地新华书店经售 开本880X1230 1/16 印张2%字数78千字2002年12月第一版2002年12月第一次印刷印数1-1500 骨书号，155066. 1-19090 网址版权专有侵权必究举报电话:(010)68533533