GB T 27929-2011 银行业务.采用对称加密技术进行报文鉴别的要求.pdf

1、ICS 35.240.40 A 11 道昌中华人民=l:I工-、和国国家标准G/T 27929-2011 银行业务采用对称加密技术进行报文鉴别的要求anking-Requirements for message authentication using symmetric techniques (ISO 16609:2004,MOD) 2011-12-30发布2012-05-01实施数码防伪/ 中华人民共和国国家质量监督检验检瘦总局中国国家标准化管理委员会发布GB/T 27929-2011 目次前言.m 引言.N 1 范围-2 规范性引用文件3 术语和定义4 保护.45 报文鉴别过程6 核准的

2、MAC算法附录A(规范性附录)核准的报文鉴别用分组密码算法附录B(资料性附录)编码字符集的报文鉴别.附录C(资料性附录)编码字符集报文鉴别的示例附录D(资料性附录)标准电传格式的报文鉴别框架.附录E(资料性附录)使用MID防重复和丢失保护附录F(资料性附录)伪随机数发生器.附录G(资料性附录)会话密钥导出.23 附录H(资料性附录)一般指导信息.24 参考文献I GB/T 27929-2011 目。吕本标准修改采用ISO16609 :2004(银行业务采用对称加密技术进行报文鉴别的要求)(英文版)。本标准根据ISO16609: 2004重新起草，与ISO16609:2004的技术性差异为:a)

3、 将标准原文中的b) 在A.4.1中，将为加人本标准而提出的可选鉴别算法应由国家标准机构提交给ISO/T、C6创8，或征得国家标准机构的同意后提交给ISO/TC68修改为为加入本标准而提出的可选鉴别算法应由国家标准机构提交给国家密码相关管理部门，或征得国家标准机构的同意后提交给国家密码相关管理部门气c) 在A.4.4提到算法时，将按照IEC/ISO相关程序对其进行评估修改为按照国家相关程序对其进行评估;d) 在A.4. 5中，将每个新提案应由ISO审查修改为每个新提案应由国家相关机构审查，本段中以及提出的算法是否符合国际标准的条件及要求修改为以及提出的算法是否符合国内标准的条件及要求气e) 在

4、A.4. 7申诉程序中，将提案被拒绝时(见A.4.日，若该提案尚未进行公开审核，发起人可要求ISO/TC68秘书处就该提案进行公开审核(见A.4.的。如果已进行公开审核且仍被拒绝，则发起人可要求TC68秘书处将申请连同有关审核报告的备份提交技术委员会的P成员进行表决，表决采用多数通过原则。循环审查该提案。其投票的简单多数通过即为最终结果修改为提案被拒绝时(见A.4. 5)，发起人可要求国内相关机构就该提案进行审核(见A.4.的，审核结果即为最终结果。为便于使用，本标准还做了下列编辑性修改:a) 将原文中的本国际标准改为本标准气b) 删除ISO16609:2004的前言，修改了ISO16609:

5、 2004的引言。本标准的附录A为规范性附录，附录B附录H为资料性附录。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准负责起草单位z中国金融电子化公司。本标准参加起草单位:中国人民银行、中国工商银行股份有限公司、中国银行股份有限公司、交通银行股份有限公司、中国银联股份有限公司、华北计算技术研究所、北京工商大学、中国人民银行太原中心支行。木标准主要起草人:王平娃、陆书春、李曙光、吕毅、杨颖莉、刘运、全红、林中、张启瑞、刘先、仲忐晖、李彦智、周亦鹏、李劲松、钱湘隆、赵志兰、贾树辉、马小琼、景芸、刘志军、张龙龙。阳山GB/T 27929-2011 51

6、报文鉴别码(MAC)是用于验证报文真实性的一个数据域。它由报文的发送方产生且与报文一起传送。通过验证MAC，接收方能够检测报文是否被改变以及改变是由意外还是故意欺诈引起。本标准适用于与银行业务相关的金融机构希望以安全且有利于双方互操作的方式进行报文鉴别的情况。本标准与被替代的IS08730和IS09807中规定的要求相一致。W G/T 27929-2011 1 范围银行业务采用对称加密技术进行报文鉴别的要求本标准规定了用于保护银行业务报文的完整性和验证报文来源的过程，该过程与所使用的传输过程无关。本标准也给出了使用分组密码进行银行业务报文鉴别的方法。此外，由于通信双方有必要采用相同的数据表示形

7、式，因此本标准中定义了几种数据表示方法。本标准给出了已核准的计算报文鉴别码(MAC)的分组密码列表，也给出了核准附加分组密码的方法。本标准中定义的鉴别方法适用于以编码字符集和二进制形式进行格式化及传输的报文。本标准适用于发送方和接收方采用相同密钥的对称算法，未规定生成共享密钥的方法，也未提供防止报文受到未授权泄漏的加密过程。本标准的使用不能防止发送方和接收方的内部欺诈或者接收方伪造MAC。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO 8583 产生报文的金融交

8、易卡交换报文规范ISO 8732: 1988银行业务密钥管理(批发)ISO/IEC 9797-1: 1999信息技术安全技术报文鉴别码第1部分:分组密码算法的使用ISO/IEC 9797-2 :2002信息技术安全技术报文鉴别码第2部分:哈希函数的使用ISO/IEC 10116 信息技术安全技术n比特分组密码运算模式ISO/IEC 10118-3: 1998信息技术安全技术哈希函数第3部分:专用哈希函数ISO 11568-1 银行业务密钥管理(零售)密钥管理介绍ISO 11568-2 :1994银行业务密钥管理(零售)对称密码的密钥管理技术ISO 11568-3 银行业务密钥管理(零售)对称密

9、码的密钥生命周期ISO 13491(所有部分)银行业务安全加密设备(零售)ANSI X3. 92: 1981 美国信息技术国家标准数据加密算法ANSI X9. 52 :1998美国金融服务业国家标准三重数据加密算法工作模式3 术语和定义下列术语和定义适用于本文件。3. 1 算法algorithm 用于计算的特定数学过程或规则;遵循该过程或规则，能得到规定的结果。3.2 鉴别allthentication 在发送方和接收方之间用于保证数据完整性并提供数据源鉴别的过程。1 GB/T 27929-2011 3.3 3.4 3.5 3.6 3. 7 3.8 3.9 鉴别算法authentication

10、 algorithm 与一个鉴别密钥和一个或多个鉴别元素共同使用的用于鉴别的算法。鉴别元素authentication element 通过鉴别进行保护的报文元素。鉴别密钥authentication key 用于鉴别的密钥。受益人beneficiary 作为转账的结果而被贷记或被支付的最终方。分组密码算法block cipher 能够将固定长度比特串和保密密钥映射到具有相同固定长度的其他比特串的算法。偏差bias 在产生随机数或伪随机数时，某些数出现的几率大大超过其他数的情况。密钥周期cryptoperiod 给定的时间周期，该周期中特定的密钥被授权使用或者在此周期中给定系统中的密钥有效q3

11、. 10 3. 11 3. 12 密码分析cryptanalysis 破解密码的技术和科学。数据完整性data integrity 数据没有被以未授权的方式更改或破坏的特性。计算MAC日期(DMC)date MAC computed (DMC) 发送方计算报文鉴别码的日期。注:DMC可用于通过选择合适的密钥来同步鉴别过程。3. 13 3. 14 3.15 3. 16 2 数据源鉴别data origin authentication 确认接收到的数据源与声明一致。解密decipherment decryption 加密的逆过程。分隔符delimiter 用于描绘数据域的开头和结尾的一组字符。加

12、密encipherment encryption 为产生密文(即隐藏数据信息内容)，通过密码算法进行的(可逆的)数据变换。GB/T 27929-2011 3.17 3. 18 3. 19 3.20 十六进制数bexadecimal digit 在O9、AF(大写字母范围内代表一个4比特串的单个字符。鉴别密钥标识符(IDA)identifier for autbentication key (lDA) 标识鉴别报文时所用的密钥的域。报文鉴别码(MAC)message autbentication code (MAC) MAC算法输出的比特串。报文鉴别码(MAC)算法MAC algoritbm 密

13、码校验函数用于将比特串和秘密密钥映射到固定长度比特串的函数的算法。注，:该算法应满足下述两个特性z一一对于任一固定密钥和任一输入比特串，函数能被有效计算;一一对于任一固定密钥，该密钥未知情况下，即使已知使用该固定密钥的函数的若干输入值和相应输出值，甚至可以自己选择输入值的情况下(已知前i个输入和输出，自己选择第i+l个输入)，计算使用该固定密钥的对应于一个新的输入值(第i+l个的函数输出值(第i+l个)，在计算上是不可行的。注2:计算的可行性取决于用户的特定安全要求及环境。3.21 3.22 报文元素message element 为特定用途指定的一组连续字符。报文标识符(MID)messag

14、e identifier (MID) 系统跟踪审计编号(已被替代)在给定范围(例如DMC)内，用以惟一标识金融报文或交易(例如，发送银行交易参考号)的域。注:在ISO8583中，MID为系统跟踪审计编号(STAN)。3.23 3.24 3.25 3.26 3.27 报文正文message text 在接收方和发送方之间传输的信息，不包括用于传送的头尾信息。当前随机数nonce 仅使用一次的序号。接收方receiver 接收报文的一方。发送方sender 对报文承担责任并被授权发送的一方。起息日value date 资金可由受益人进行支配的日期。3 GB/T 27929-2011 4 保护重要信

15、息:完整性保护仅适用于被选择的鉴别元素，报文的其他部分可能受到未被察觉的更改。用户保证所提交数据的完整性是很重要的。4. 1 鉴别密钥的保护鉴别密钥是由发送方和接收方预先约定的用于鉴别算法中的秘密密钥。这些密钥应为确定的方式或伪随机方式产生的(见附录F和附录G)。用于鉴别的任何密钥应予以保护以防止泄露给未授权方。鉴别密钥的使用应仅限于发送方和接收方(或其授权代理)之间，并且仅用于鉴别目的。密钥应按ISO 11568或ISO8732 :1988的规定进行管理。如果MAC由安全密码设备计算得出，这样鉴别密钥可被很好的保护。该密钥仅在密码设备中为明文形式，且该设备应符合ISO13491中的规定。4.

16、2 鉴别元素MAC计算应包括要求保护以防止欺诈性变更的那些数据元素，这些数据元素由发送方和接收方之间协议规定。MAC计算中包含所有这些报文元素。根据双方协议，MAC计算中也可包括报文中未被传送的数据元素(例如:可由双方通过共享信息计算得到的填充比特或填充数据)。选择MAC中包括的数据取决于其特定应用。下述元素只要出现在报文中均应纳入到MAC计算中:a) 交易金额;b) 币种;c) 鉴别密钥标识符(IDA); d) 被贷记方或被借记方的标识符;e) 受益方标识符;f) 起息日;g) 报文标识符;h) 日期和时间;i) 交易处理标识符。4.3 重复或丢失文本的检测应采用适当技术检测重复或丢失。在不

17、进行进一步的报文交换的情况下，如果能惟一标识交易，则接收方仅能检测到先前交易的重放，然后接收方应检测该惟一标识信息并未出现过。此外，为检测丢失文本，应按顺序对交易进行标识。上述条件可通过在MAC计算中包含某些元素(即，报文元素或密钥元素)实现，这些元素对于交易是惟一的且将该交易与前一交易惟一关联。可通过下述方式的任一种实现:4 a) 在MAC计算中包含一个特定的交易参考号，该参考号在系统的生命期中是不重复的。例如该参考号可能包括发送方ID、接收方ID、交易号和日期;b) 在MAC计算中包含报文标识符(MID)。在下述两种情况发生之前MID是不被重复的: 日期变更，即:计算MAC的日期(DMC)

18、，或; 用于鉴别的密钥加密周期的终止。不论哪种情况先出现。即，不能出现一个以上的具有同一日期和同一报文标识符并使用相同密钥GB/T 27929-20门的报文。MID可以由固定格式报文中的惟一的发送行交易参考号组成。附录E给出了保护的方法。MID也可以包含DMC的日期或为一单独域。c) 对一个交易使用惟一密钥，该密钥可以是z 从先前的交易密钥导出一个新的交易密钥(见1SO11568-2: 1994的示例和附录G)，或; 使用惟一的交易参考号导出密钥，见附录G。d) 结合上述所有技术。5 报文鉴别过程5. 1 准备阶段实施者应对应用进行风险评估以确定应保护的数据(见第4章)、要求的密钥长度和MAC

19、算法，并就下述内容达成一致:一一分组密码算法(如果MAC算法从1SO/1EC9797-1: 1999中选出); 一一哈希函数(如果MAC算法由1SO/1EC9797-2: 2002中选出); 一一-填充方法(如果MAC算法由1SO/1EC9797-1: 1999中选出); 一-MAC的比特长度;一一密钥变更频率(该内容应将加密分析技术的当前情况考虑在内); 通用的密钥的导出方法(如果MAC算法要求)。附录A中给出了核准的分组密码算法。通信双方也应交换秘密的鉴别密钥。在全面理解潜在风险的管理和评估的基础上(见1SO13491)，金融服务应用宜仅在很小心的情况下使用长度小于112比特的密钥，通常宜

20、使用长度不小于112比特的密钥。采用112比特MAC算法密钥时，推荐使用1SO/1EC9797-1 :1999中MAC算法1和算法3(见第6章)。发送方应使用选择的数据元计算MACoMAC附加在传送的报文文本后，使其可被接收方识别。接收方应采用本章中给出的鉴别方法重新计算。如果收到的MAC和计算得出的MAC相等，则报文鉴别通过。执行者也应考虑6.3中给出的性能及效率特性。5.2 报文格式发送方应采用接收方同意的方法格式化及编码报文。5.3 密钥生成基于与接收方的双方协议，报文的发送方可能会为计算MAC而生成新的密钥。这种密钥的导出涉及交易和与报文相关的数据。附录F和附录G给出了密钥产生和导出的

21、部分示例。5.4 MAC生成报文的发送方应使用按双方约定的顺序排列的传送报文中的鉴别元素来生成(例如，以其在报文中出现的顺序)MAC，这些鉴别元素是那些要受已核准的鉴别算法(见第6章)保护的传输报文元素。算法应通过一鉴别密钥激活，该密钥仅由通信双方知晓。该过程产生的MAC应被包含在原始报文文本中。5 GB/T 27929-2011 5.5 MAC的放置MAC应放于za) 报文中为MAC指定的域，或;b) 如果没有指定MAC域，附加在报文数据的尾部。若为了传输的目的，分配域的长度超过MAC长度时，则MAC应在该域内左对齐放置。5.6 MAC校验接收方一接收到报文，应使用鉴别元素、同一鉴别密钥以及

22、同一算法计算参考MACo当接收方计算的参考MAC与在报文中接收到的MAC一致时，鉴别元素的内容和报文源的真实性得到确认。接收的MAC(及其分隔符)不应包含在算法计算中。MAC的计算受鉴别元素处理顺序不同的影响(即，MAC生成后鉴别元素顺序的变化将导致鉴别的失败)。6 核准的MAC算法6. 1 ISO/IEC 9797-1 : 1999概述6. 1. 1 算法1到算法6MAC算法应为ISO/IEC9797-1: 1999中规定的一种方法。本章给出了算法特性的解释以及这些算法与ISO8731和ISO9807替代标准中算法间的对应关系。ISO/IEC 9797-1: 1999中规定了采用秘密密钥和n

23、比特分组密码算法计算m比特MAC的6种MAC算法。ISO/IEC9797-1: 1999中规定的算法是基于分组密码操作模式的密码分组链接(CBC)给出的。注，:在ISO/IEC9797-1: 1999附录B给出的安全分析提供了防止密钥伪造和密钥恢复攻击的实施建议。注2:在ISO/IEC10116中给出了标准的n比特分组密码操作模式。一-MAC算法1.采用单一密钥的CBC-MAC;一一MAC算法2.算法1的变种，采用另一个密钥对算法1的计算结果进行一次附加的最终变换;一MAC算法3.算法1的变种，对算法1的计算结果进行两次附加变换，第1个变换采用另一个密钥，第2个变换采用与算法1相同的密钥;一-

24、MAC算法4:算法2的变种，在使用算法2计算前使用另一个密钥对数据进行一次初始变换，用算法2计算;MAC算法5:先用2个不同的单一长度密钥分别对数据进行算法1计算，再将2个计算结果做逐比特异或;-MAC算法6.先用2个不同的密钥分别对数据进行算法4计算，再将2个计算结果做逐比特异或，其中算法4的计算采用双倍长度密钥。MAC机制的安全强度取决于密钥长度以位表示)和保密性、分组密码的分组长度n(以位表示)和分组密码算法强度、MAC的长度m(以位表示)以及特定的MAC算法。6. 1. 2 与替代标准的关系本条款给出了ISO/IEC9797-1: 1999与其他目前已被废止的标准中规定的算法间的关系，

25、见表1。6 GB/T 27929-2011 表1ISO/IEC 9797-1 : 1999与替代标准的关系标准ISO/IEC 9797-1: 分组密码算法分组大小(n)填充方法MAC大小(m)1999算法IS8731-1 DEA(ANSI X3. 92: 1981) ANSI X9. 9J l 64 1 32 IS 9807 1或3DEA(ANSI X3. 92 ,1 981) 64 1 32 ANSI X9. 19J 6. 1. 3 最小密钥长度MAC应采用至少112比特的密钥(如果密钥长度不足112比特，可参考5.1的相关建议)。6. 1. 4 推荐方法本条给出了ISO/IEC9797-1

26、: 1999推荐采用的方法，见表20ISO/IEC 9797-1:1999中给出了6种MAC算法，但针对金融服务业本标准推荐两种方法:一一采用3-DEA的算法1; 一一采用DEA的算法30表2推荐方法ISO/IEC 9797-1 : 分组密码算法分组大小(n)密钥长度MAC大小(m)1999算法1 3-DEA(ANSI X9. 52: 1998) 64 112 32m64 3 DEA(ANSI X3. 92 ,1 98 1) 64 112 32m64 在ISO/IEC9797-1: 1999附录B给出的安全分析提供了防止伪造和密钥恢复攻击的实施建议。如果采用算法1，则应采纳ISO9797-1:

27、 1999附录B中规定的步骤来防止xor伪造攻击，合适的防范措施是使用填充方法3.如果采用算法3，则应限制用同一密钥产生的MAC数量。为保证不对MAC产生设备的生命周期构成限制，推荐采用会话密钥(见附录G)。直接伪造:如果使用填充方法1，则对方可直接在数据串增加或删除一系列后缀0而不改变MAC.这意味着填充方法1应仅用于数据串长度为双方预先可知的环境，或者具有不同数量后缀0的数据串具有相同的语义。6.2 ISO/IEC 9797-2 :2002概述ISO/IEC 9797-2: 2002中规定了三种使用密钥和产生n比特结果的哈希函数(或其轮函数计算出m比特MAC的算法。该哈希函数选自ISO/I

28、EC10118-3: 1998标准(通常称为SHA-1，RIPEMD-160和RIPEMD-128)。报文鉴别机制的安全强度取决于密钥的长度(比特数)和密钥的保密性、哈希函数的长度n(比特数)及其算法强度、MAC的长度m(比特数)以及使用的指定算法。一一哈希函数1:ISO/IEC 9797-2: 2002中规定的第1种算法，通常称为MDx-MAC.该算法调用一次完整哈希函数，但对轮函数进行了小的修改，即将一个密钥增加到轮函数的附加常量中;一一哈希函数2:ISO/IEC 9797-2: 2002中规定的第2种算法，通常称为HMAC。它调用二次完整哈希函数;7 GB/T 27929-2011 一一

29、哈希函数3:ISO/IEC 9797-2: 2002中规定的第3种算法，是MDx-MAC的变种。该算法只允许输入短字符串(最大为256比特)。它为只输入短字符串的应用带来了更高效率。6.3 实施建议在对ISO/IEC9797-1: 1999和ISO/IEC9797-2: 2002的机制进行选择时有一个简单的标准，即是否拥有该分组密码算法或哈希画数的实现。其他的标准决定严格的参数选择。例如，当使用DEA作为分组密码算法时会出现下述差别z一-ISO/IEC9797-1:1999的机制通常比ISO/IEC9797-2: 2002的机制慢，特别是软件方面;一-ISO/IEC9797-1: 1999的机

30、制比ISO/IEC9797-2: 2002的机制要求内存少;ISO/IEC 9797-2: 2002的机制能提供较长的MAC(最大160比特hISO/IEC 9797-2: 2002的机制1和2所用的密钥比ISO/IEC9797-2: 2002的机制1和2所用的短(单一56比特DEA的算法1不适用)。表3和表4给出了采用DEA和3-DEA作为基本分组密码算法的!SO/IEC9797-1: 1999以及采用SHA-l/RIPEMD-160或RIPEDMD-128作为基础哈希函数的ISO/IEC9797-2 :2002的相关性能特点。如果以3-DEA作为基本分组密码算法使用算法l(代替DEA)，那

31、么DEA计算量应增至3倍。在ISO/IEC9797-1: 1999附录B中给出了所有MAC算法的安全性比较。表3采用DEA的ISO/IEC9797-1: 1999相关性能ISO/IEC 用于评价报文大小的轮函数/分组密码数量MAC算法密9797-1: 1999 分组密码算法MAC大小钥长度分组密码算法8字节64字节1 kB 1 DEA 王三6456 1到28到9128到1292 3-DEA 主二64112 2到39到10129到1303 DEA 王三64112 3到410到11130到1314 DEA 64 112 4到510到11130到1315 DEA 运6456 2到416到18256到

32、2586 DEA 骂王64112 8到1020到22260到262注2后三列值的范围取决于所用的填充方法。表4ISO/IEC 9797-2 :2002相关性能ISO/IEC 9797-2: 用于评价未填充报文大小的轮函数数量2002算法哈希函数MAC大小密钥长度8字节64字节1 kB 1 SHA-1或RIPEMD-160主160128 8 9 24 1 RIPEMD-128 128 128 8 9 24 2 SHA-1或RIPEMD-160王三160160512 4 5 20 2 RIPEMD-128 128 128512 4 5 20 3 SHA-1或RIPEMD-160主三80128 7

33、n/a n/a 3 RIPEMD-128 64 主三1287 n/a n/a 注1:对于一固定密钥，中算法1和3的预计算可节省6个哈希计算。注2:算法3的报文长度限制为最大32个字节。8 GB/T 27929-2011 附录A(规范性附录)核准的报文鉴别用分组密码算法A.1 介绍ISO/IEC 9797-1:1999给出了6种基于分组密码的MAC算法，但对分组密码算法本身未做规定。本附录目的是直接或通过引用来指定给出ISO/IEC9797-1: 1999核准的分组密码算法。本标准也规定了将分组密码算法纳入该附录中的程序。A.2 核准的分组密码算法:DEADEA见ANSIX3. 92: 1981

34、。它是一个64比特分组密码算法，密钥的有效位为56比特。A.3 核准的分组密码算法:3-DEA3-DEA见ANSIX9. 52:19980它是一个64比特分组密码算法，密钥的有效位为112或168比特。A.4 可选分组密码算法的审查程序A.4.1 来源为加入本标准而提出的可选鉴别算法应由国家标准机构提交给国家密码相关管理部门，或征得国家标准机构的同意后提交给国家密码相关管理部门。A.4.2 提案理由提出者应给予以下说明:a) 希望达到的目的;b) 该提案比本标准现有算法更好的达到该目的原因;c) 其他地方未予描述的优点;d) 使用新算法的经验。A.4.3 文档所提算法在提交审查时应具备完备的文

35、档，包括:a) 提出算法的完整描述;b) 对算法满足本标准要求或与其一致的明确说明;c) 用于计算MAC的处理过程的逻辑流程图;d) 任何新术语、参数或引人变量的定义及解释;e) 鉴别密钥的要求、用法及操作说明;f) 以一个典型的金融报文为例，逐步描述计算MAC的步骤(参见附录。;g) 提交前有关该算法测试情况的详细资料，特别是关系到算法安全、稳定和可靠性的信息。这些GB/T 27929-2011 信息应包括所使用的试验步骤的概要、试验结果以及进行试验和验证结果的机构或组织的身份(即，应提交充分的信息以使另一机构能够进行相同试验并比较得到的试验结果)。A.4.4 公开性说明任何提交批准的算法都

36、不属于任何级别的保密资料。如果已对算法的版权提出申请，则应按照国家相关程序对其进行评估。所有的算法文件对于任何个人、组织或机构应为公开信息，以便进行审阅及测试。A.4.5 提案的审查每个新提案均应经国家相关机构审查，并在接到申请后的180天内准备一个有关报告(见A.4.6)。报告应说明是否提案资料已齐全，是否己对其进行适当试验及证明，以及提出的算法是否符合国内标准的条件及要求。也可建议提交该提案进行公开审查(见A.4.的。A.4.6 公开审查当上述报告建议进行公开审查，被认为适合接纳的申请应提交给在该领域权威机构接受公开审查。这些机构和协会在接收到的90天内对提案进行审查并提交报告。注:公开审

37、查的周期可延至180天以准备提案的报告(见A.4.5)。A.4.7 申诉程序提案被拒绝时(见A.4.5)，发起人可要求国内相关机构就该提案进行审核(见A.4.的，审核结果即为最终结果。A.4.8 新鉴别算法的并入被推荐接受的新鉴别算法连同有关的审核报告一起分发，并对是否并入本标准进行书信投票表决。A.4.9 维护对通过本标准描述的步骤而被采纳的算法进行定期复核，间隔不超过5年。10 附录B(资料性附录)编码字符集的报文鉴别B.1 格式选项本附录为欲鉴别的数据编码提供了5种选项z一一二进制数据CB.3) ; 一一编码字符CB.的整个报文文本，不编辑;一一编码字符CB.5)抽取的报文元，不编辑z编

38、码字符03.6)整个报文文本，编辑;一一编码字符CB.7)抽取的报文元，编辑。选项1用于二进制宇符串数据的鉴别。GB/T 27929-2011 选项2和选项3用于当传送介质对于字符集透明时编码字符集中数据的鉴别(例如，根据开放系统互联COSD模式设计的系统和网络。选项4和选项5用于当传送介质对于使用的字符集不透明时，受限制编码字符集中数据的鉴别(例如，博多机、电传和很多国际记录承运商提供的存储转发服务)。格式选项的选择由通讯双方决定并符合双方协议。如ISO/IEC9797-1: 1999附录B指出的，当使用填充方法l(或方法2)的算法1时，防止异或伪造攻击是很重要的。这可以通过接收者获知报文的

39、长度或报文内用分隔符分开的域的数目来实现。B.2 编码字符集(选项2-5中使用)B. 2.1 巴定义的报文元素格式B. 2.1.1 通则DMC，IDA，MAC和MID的域格式应分别符合本标准中格式的要求。其他报文元的格式未被规定。域格式应作为鉴别过程的一部分被验证。如果使用的鉴别选项进行了编辑，则域格式应在编辑前进行验证。如果出现格式错误，则报文鉴别失败。域格式定义如下面几节所述。B.2.1.2 D如1:C发送机构发出报文的日期应按照GB/T7408要求以世纪、年、月、日表示(最好为紧凑形式，即CCYYMMDD)，如19851101为1985年11月1日。B.2. 1. 3 IDA 该域为用于

40、鉴别的密钥的标识符且应符合ISO8732: 1988中密钥标识符的要求。B. 2.1.4 MAC MAC应以十六进制的四组字符表示，每组四个字符中间用一个空格隔开Chhhhbhhhhbhhhhbhhhh);例如，5A6Fb09C3bCD86b1FA4oB. 2. 1. 5 MID 报文标识符应用116个可打印字符表示CAAAAAAAAAAAAAAAA)。允许字符为09、GB/T 27929-2011 AZ(大写字母)、空格(b)、逗号(，)、句点(.)、斜线(/)、星号(祷)以及连接符(少。例如，FN-BC/2.50B.2.2 隐含分隔符如果隐含分隔符在报文中位置固定或以标准化格式规则被明白无

41、误的标识，则可以实现报文元素的隐含分隔。为实现鉴别，应对有线服务商规定的作为隐含分隔符的域名称、序号或标识域标签做处理。B. 2. 3 显示分隔符B. 2. 3.1 通则显示分隔符可用于标识报文元(包括MAC)的开始和结束。这些分隔符可用于所有编码字符集选项。显示分隔符规定如下。B.2.3.2 D如1C示例:QD-和-DQ，例如，QD-YYMMDD-DQ。B. 2. 3. 3 IDA QK-和KQ。例如，QK-1357BANKTOBANKB-KQ。B. 2. 3. 4 MAC QM-和-MQ。例如，QM-hhhhbhhhh-MQo B. 2. 3. 5 MID QX-和-XQ。例如，QX-aa

42、aaaaaaaaaa-XQ。B.2.3.6 其他报文元QT-和-TQ。例如，QT-文本-TQ。在QT-文本-TQ中分隔的text可为通讯服务允许的任意长度。B.2.4 分隔符的使用分隔符的开始和结束应成对出现，中间不能插入显示分隔符。注:如果此条件不满足，报文鉴别失败。报文可能包含若干的分隔text域;然而，DMC、MID，IDA和MAC域在每个报文中出现次数不应超过一次。连接符应出现在所有显示分隔符中。B.2.5 字符表示输入算法中的鉴别元素的所有字符应以8比特字符表示，它包括ISO646中的7比特代码(不包括国家字符分配值)，前跟0开头(例如，0，町，b6.bl)组成。当这些鉴别元素需要译

43、码时，此译码仅用于内部计算。如果报文被转换为不同字符集，则在鉴别过程前应进行逆向转换。B. 2. 6 头尾信息为传送而增加的报文头和报文尾信息(例如，由网络增加)应被忽略(即，不应作为报文正文的一部分或被包含在算法计算中)。12 GB/T 27929-20门B.3 选项1.二进制数据鉴别算法应用于整个报文正文或部分报文正文中，取决于发送方和接收方间的协议。B.4 选项2:编码字符;整个报文;不编辑报文被自动处理且发送方和接收方间报文结构的准确内容均未发生变化，则算法可适用于整个报文。MAC对整个报文正文进行计算(见附录C示例。B.5 选项3:编码字符F抽取的报文元;不编辑当无法对整个报文进行鉴

44、别时，鉴别算法应仅应用于抽取出的报文元。MAC的计算应根据抽取出的元素并按照其出现的顺序完成(见附录C示例)。鉴别的报文元应根据下述规则抽取za) 除了报文元和其相应分隔符删除所有字符;b) 在每一隐含分隔报文元后插入一个空格。B.6 选项4.编码字符;整个报文;编辑应对按下述规则编辑的报文文本计算MAC(见附录C示例)。在用鉴别算法处理前应按照给出顺序对所有报文元(隐含和显示分隔)进行编辑。a) 每个回车符和换行符应用一单个空格代替pb) 小写字母(az)应转换为大写字母(AZ); c) 除了字母AZ、数字。9、空格、逗号(，)、句点(.)、斜线(/)、星号(蕃)、开括号和闭括号以及连接符(

45、少外的所有字符均应被删除;因此，正文结束以及其他格式和控制字符应被删除;d) 所有前导空格应被删除;e) 每个连续空格序列(中间和结尾)应由一单个空格代替。B.7 选项5.编码字符;抽取的报文元;编辑该选项与选项3的使用方法一致。根据选项3的规则抽取报文元。采用选项4的编辑规则。B.8 失败的报文鉴别码(MAC)B. 8.1 无法产生MAC当MAC自动生成时，即由鉴别元素的自动抽取产生，由于违反规则，处理过程可能失败(例如，由于嵌套分隔符)。在此情况下，至少应要求人工读取(例如，纸制、屏幕或缩微胶片)，则应用8个空格，每组四个共两组表示失败。这两组空格以一非十六进制数的字符分隔，最好为星号(提

46、)(例如，当无法使用空格时，应用0代替空格，即0000餐0000)。13 GB/T 27929-2011 B.8.2 收到的MAC无法鉴别当接收的MAC与鉴别过程中产生的参考MAC不相等时(要求MAC具有人工可读性)，应采用在收到MAC空格处插入一非十六进制的可打印字符表示鉴别失败。如果字符集允许，可采用祷表示(例如，5A6F祷09C3)。B.9 鉴别密钥鉴别密钥是发送方和接收方预先交换的用于鉴别算法的秘密密钥。该密钥应随机或伪随机产生(参见附录F)。用于报文鉴别的密钥不应用于其他目的。任何用于鉴别的密钥不应泄漏给未授权方。14 GB/T 27929-2011 附录C(资料性附录)编码字符集报

47、文鉴别的示例C.1 MAC示例一览C. 1. 1 概述本附录给出了采用DEA和3-DEA的编码字符集的报文鉴别示例。这些示例说明了表C.1所示的ISO/IEC9797-1: 1999MAC算法的使用方法。注:本附录中包含的所有计算应在采用ECB和XOR选项的单个数据组进行，且结果应采用CBC在整个数据组的集合上验证。表C.1MAC计算示例总表ISO/IEC 9797-1: 块大小有效密钥MAC大小填充方法分组密示例报文元1999算法码算法比特(m) (n) 1 所有1 1 3-DEA 64 112 32:;m:;64 2 经选择的1 1 3-DEA 64 112 32:;m64 3 所有3 1

48、 DEA 64 112 32:;m64 如ISO/IEC9797-1: 1999附录B指出的，当使用填充方法l(或方法2)的算法1时，防止异或伪造攻击是很重要的。这可以通过接收者获知报文的长度或报文内用分隔符分开的域的数目来实现。示例采用了由ATM产生的交易报文，并且包括了一加密PIN块。示例1和示例3采用整个报文用于MAC计算。仅使用报文文本(整体)而不包括协议相关域，如报头。示例2说明了仅采用报文选择域的MAC计算。如5.1规定，鉴别算法采用密码分组链接(CBC)工作模式。示例中使用的密钥和数据块的符号应符合ISO/IEC9797-1: 1999的要求。C. 1.2 假定预定义协议以ASCII字符(每个字符2个十六进制数的十六进制形式表示鉴别元素。产生MAC的十六进制数为传送应转换为ASCII字符形式-MAC的每个十六进制数应以ASCII字符的09、AF