1、ICS 35040L 80 圆亘中华人民共和国国家标准GBT 1 79031-2008ISOIEC 1 38881:2004代替GBT 1790311999信息技术 安全技术 抗抵赖第1部分:概述2008-06-26发布Information technology-Security techniques-Nonrepudiation-Part 1:General(IS0lIEC 13888 1:2004,IDT)2008-1 1-01实施中华人民共和国国家质量监督检验检疫总局磐士中国国家标准化管理委员会及干扫GBT 179031-2008ISO1EC 13888-1:2004目 次前言引言1范
2、围2规范性引用文件3术语和定义“4符号和缩略语5本部分各章的组织6要求7通用抗抵赖服务-71证据提供与验证过程中涉及的实体72抗抵赖服务一8可信第三方81证据生成过程82证据传输、存储和检索过程83证据验证过程9证据生成与验证机制91安全信封92数字签名93证据验证机制10抗抵赖权标101通用抗抵赖权标102时间戳权标103公证权标11特定的抗抵赖服务111原发抗抵赖112交付抗抵赖113提交抗抵赖114传输抗抵赖12消息传输环境中特定抗抵赖权标的使用I0,8888o00m加加mnn地地地nMGBT】79031-2008ISOIEC 13888-1:2004刖 罱GBT 17903在总标题信息
3、技术安全技术抗抵赖下,由以下几部分组成:第1部分:概述;第2部分:采用对称技术的机制;第3部分:采用非对称技术的机制。本部分是GBT 17903的第1部分,等同采用ISOIEC 138881:2004(信息技术安全技术抗抵赖第1部分:概述,仅有编辑性修改。本部分代替GBT 1790311999信息技术 安全技术 抗抵赖 第1部分:概述。本部分与GB 179031 1999相比,主要差别如下:本部分修订了第3章中的部分术语和定义。本部分对部分叙述进行了文字修订,并把第11章中的“NRDT”修正为“NROT”。本部分对第5章和第6章的顺序进行了调整。本部分删除了原附录A。本部分由全国信息安全标准化
4、技术委员会提出并归口。本部分主要起草单位:中国科学院软件研究所信息安全国家重点实验室。本部分主要起草人:张振峰、冯登国。本部分所代替标准的历次版本发布情况为:GBT 1790811999。GBT 179031-2008ISOIEC 13888-1:2004引 言本部分对应的国际标准ISOIECl38881:2004是由联合技术委员会ISOIEC JTCI(信息技术)分技术委员会SC 27(IT安全技术)提出的。第二版(ISOIEC 138881:2004)撤销并替代了第一版(ISOIEC 138881:1997),并在技术上进行了修改。抗抵赖服务旨在生成、收集、维护、利用和验证有关已声称的事件
5、或动作的证据,以解决关于此事件或动作的已发生或未发生的争议。本部分描述了抗抵赖机制的一种模型,所提供的证据是基于由对称密码或非对称密码技术而生成的密码校验值。首先描述各种抗抵赖服务通用的抗抵赖机制,然后将这一抗抵赖机制应用于一系列特定的抗抵赖服务,诸如:原发抗抵赖;交付抗抵赖;提交抗抵赖;传输抗抵赖。抗抵赖服务生成证据,证据则用于确定某事件或动作的责任。就产生证据所针对的动作或事件而言,对该动作负责或与该事件相关的实体,称为证据主体。主要有两类证据,从本质上讲他们依赖于所使用的密码技术:安全信封,由证据生成机构使用对称密码技术生成;数字签名,由证据生成者或证据生成机构使用非对称密码技术生成。抗
6、抵赖机制提供的协议用于交换各种抗抵赖服务所规定的抗抵赖权标。抗抵赖权标由安全信封和(或)数字签名以及可选的附加数据组成。抗抵赖权标可作为抗抵赖信息予以存储,这些信息以后可以由争议双方或者仲裁者在仲裁争议时使用。依据特定应用下所使用的抗抵赖策略以及该应用操作所处的法律环境,抗抵赖信息可能需要包括以下附加信息:包括时间戳机构提供的可信时间戳在内的证据;公证人提供的证据,以确保数据、行为或事件是由一个或多个实体所生成、执行或参与的。抗抵赖只能在特定应用及其法律环境下、有明确定义的安全策略的范围内才可生效。GBT 179031-2008ISOIEC 138881:2004信息技术安全技术抗抵赖第1部分
7、:概述1范围本部分可作为其他几部分中规定的使用密码技术的抗抵赖机制的一般模型。GBT 17903提供的抗抵赖机制可用于如下阶段的抗抵赖:a)证据生成;b)证据传输、存储和检索;c)证据验证。争议仲裁不在本标准的范围之内。2规范性引用文件下列文件中的条款通过GBT 17903的本部分的引用而成为本部分的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB 15851 1995信息技术安全技术带消息恢复的数字签名方案(idt ISOIEC
8、 9796:1991)GBT 93872 1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt ISO 74982:1989)GBT 158431 1999信息技术安全技术实体鉴别 第1部分:概述(idt ISOIEC 97981:1997)GBT 17902(所有部分)信息技术安全技术带附录的数字签名(idt ISOIEC 14888)GBT 18238(所有部分) 信息技术安全技术散列函数(idt ISOIEC 10118)GBT 187941 2002信息技术开放系统互连开放系统安全框架第1部分:概述(idt ISO1EC 101811:1996)GBT 18794
9、4 2003信息技术开放系统互连 开放系统安全框架 第4部分:抗抵赖框架(ISOIEC 10181-4:1997,IDT)GBT 1790322008信息技术安全技术抗抵赖第2部分:采用对称技术的机制(ISOIEC 138882:1998,IDT)GBT 179033 2008 信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制(ISOIEC 13888-3:1997,IDT)ISOIEC 95948:2001信息处理系统开放系统互连 目录第8部分:鉴别框架ISOIEC 9797(所有部分) 信息技术安全技术消息鉴别码ISOIEC 117703:1999信息技术安全技术密钥管理第3部分
10、:使用非对称技术的机制ISOIEC 18014信息技术安全技术时间戳服务3术语和定义31 GBT 938721995中的定义311可核查性accountability确保一个实体的行为可唯一地追踪到该实体的性质。GBT 179031-2008ISOIEC 13888-1:2004312数据完整性data integrity这一性质表明数据没有遭到非授权的篡改或破坏。313数据源鉴别data origin authentication确认接收到的数据的来源与其声明的一致。314数字签名digital signature附加在数据单元上的数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单
11、元的接收者用于确认数据单元的来源和完整性,并保护数据防止被人(例如接收者)伪造。315安全策略security policy为提供安全服务而制定的一套准则。32 ISOIEC 9594-8:2001中的定义321认证机构certification authority受一个或多个用户信任的职能机构,负责创建和分发证书。认证机构也可创建用户密钥。33 IsOlEc 9797中的定义331消息鉴别码(MAc) message authentication codeMAC算法输出的比特串。注:MAC有时也称作密码校验值(比如GBT 93872)。34 GBT 18238中的定义341散列码hash-c
12、ode散列函数输出的比特串。342散列函数hash-function将比特串映射成固定长度比特串的函数,它具有以下两个性质:a)对一个给定的输出,要找到可映射到该输出的一个输入,在计算上不可行;b)对一个给定的输入,要找到可映射到其输出的第二个输入,在计算上不可行。35 GBT 1879412002中的定义351安全机构security authority负责定义或者执行安全策略的实体。352安全证书security certificate由某一安全机构或可信第三方颁发的,其中带有用于提供完整性和数据源鉴别的安全信息数据集。353安全权标security token一种与安全有关的数据集合,受
13、到完整性和数据源鉴别的保护,以防其来源于非安全机构。354信任trust两个元素之间的一种关系,在一组活动和一个安全策略中,元素x信任元素Y当且仅当元素x确信2GBT 179031-2008ISOIEC 138881:2004元素Y会以不违背安全策略的既定方式(相对于该活动)进行运行。36 GBT 1879442003中的定义361证据生成者evidence generator生成抗抵赖证据的实体。362证据用户evidence user使用抗抵赖证据的实体。363证据验证者evidence verifier验证抗抵赖证据的实体。364抗抵赖服务请求者nonrepudiation servic
14、e requester要求为某特定事件或动作生成抗抵赖证据的实体。37 LSOIEC 11770-3:1999中的定义371密钥key用于控制密码变换操作(例如加密、解密、密码校验函数计算、签名生成或签名验证)的符号序列。372私有密钥私钥private key在实体的非对称密钥对中,只应由该实体使用的密钥。注:在非对称签名机制中,私钥定义签名变换。在非对称加密体制中,私钥定义解密变换。373公开密钥公钥public key在实体的非对称密钥对中,可以公开的密钥。注:在非对称签名机制中,公开密钥定义了验证变换。在非对称加密系统中,公开密钥定义了加密变换。一个可以“公开获知”的密钥并非任何人都可
15、获得,可能只有事先指定的群体中的所有成员可以得到公开密钥。374公钥证书public key certificate实体的公开密钥信息,由证书权威机构签发从而确保是不可伪造的。375秘密密钥secret key一种密钥,用于对称密码技术,只能由一组规定的实体使用。38 ISOIEC 18014中的定义381时间戳time-stamp时间变量参数,表示与通用时间参考相关的一个时间点。382时间戳机构time stamping authority能够可信地提供时间戳服务的可信第三方。39本标准中有关抗抵赖的专用定义下列定义适用于本标准。3GBT 179031-2008ISOIEC 13888-1:
16、2004391证书 certificate关于实体的一种数据,由认证机构的私有密钥或秘密密钥签发,确保其不可伪造性。392交付机构delivery authority发送者所信任的机构,把发送者的数据交付给接收者,并且根据发送者的要求向发送者提供提交和传输数据的证据。393数据存储区data storage存储数据的一种方式,数据可以由此提交递送,交付机构也可以往该区域放置数据。394可区分标识符distinguishing identifier在抗抵赖过程中可以无歧义地识别一个实体的信息。395证据evidence用来证明一个事件或动作的信息,可单独使用或与其他信息一起使用。注;证据本身未必
17、证明了某事件的真实性或存在性,但它可用于提供证明。396证据请求者evidence requester请求另一个实体或可信第三方生成证据的实体。397证据主体evidence suhject对某个动作负责或者与某事件相关的实体,证据即是针对该动作或事件而产生的。398印迹imprint一种比特串,或者是数据串的散列码,或者是该数据串本身。399监控者(监控机构)monitor(monitor authority)对动作或事件进行监控,并可信赖地对其所监控内容提供证据的可信第三方。3910抗抵赖策略non-repudiation policy一组提供抗抵赖服务的准则,确切的说,用于生成和验证证据
18、以及用于仲裁的一组规则。3911抗抵赖信息non-repudiation information一组信息,包括证据的生成和验证所涉及的事件或动作的信息、证据本身以及有效的抗抵赖策略。3912抗抵赖交换nourepudiation exchange以抗抵赖为目的、一次或多次传送抗抵赖信息(NRI)所组成序列。3913创建抗抵赖non-repudiation of creation防止一个实体否认其已经创建的消息(即对消息内容负责)的服务。3914交付抗抵赖nonrepudiation of delivery防止接收者否认已经接收过消息并且认可消息内容的服务。4GBT 179031-2008ISO
19、IEC 138881:20043915认知抗抵赖nonrepudiation of knowledge防止接收者否认其已经注意到所接收消息的内容的服务。3916原发抗抵赖non-repudiation of origin防止消息的原发者否认其创建了消息的内容并且已经发送了该消息的服务。3917接收抗抵赖non-repudiation ofreceipt防止接收者否认其已经接收了消息的服务。3918发送抗抵赖non-repudiation of sending防止发送者否认其已经发送了消息的服务。3919提交抗抵赖nonrepudiation of submission这一服务旨在提供证据以表明
20、交付机构已经接收到了用于传送的消息。3920传输抗抵赖non-repudiation of transport这一服务旨在向消息的原发者提供证据,以表明交付机构已经把消息递送给了指定的接收者。3921抗抵赖权标non-repudiation tokenGBT 1879412002中定义的一种特殊类型的安全权标,由证据和可选的附加数据组成。3922公证notarization公证人提供的、关于一个活动或者事件所涉及实体以及存储或通信数据的性质的证据。3923公证人(公证机构)notary(notary authority)可信第三方,为涉及到的实体以及存储或通信数据的性质提供证据,或者将现有权标
21、的生命期延长到期满和撤消之后。3924公证权标notarization token由公证人生成的抗抵赖权标。3925NRD权标NRD token交付抗抵赖权标。允许发送者为消息建立交付抗抵赖的数据项。3926NRo权标NRo token原发抗抵赖权标。允许接收者为消息建立原发抗抵赖的数据项。3927NRS权标NRS token提交抗抵赖权标。允许原发者(发送者)或交付机构为已提交的、待传输的消息建立提交抗抵赖的数据项。3928NRT权标NRT token传输抗抵赖权标。允许原发者或交付机构为消息建立传输抗抵赖的数据项。5GBT 179031-2008ISOIEC 13888-1:2004392
22、9原发者originator向接收者发送消息的实体,或者产生有待于对其提供抗抵赖服务的消息的实体。3930证明proof按照有效的抗抵赖策略,能够证实证据的合法性的数据。注:证明是用于证明某件事情真实性或者存在性的证据。3931接收者recipient获得(收到或取得)消息的实体,抗抵赖服务针对该消息提供。3932冗余redundancy已知并可以检验的任何消息。3933安全信封(SENV)secure envelope由某实体构造的一组数据项,其构造方式应使得任何持有秘密密钥的实体能够验证这些数据项的完整性和来源。为了生成证据,SENV由可信第三方(TTP)使用仅为TTP所知的秘密密钥来构造
23、和验证。注:其他国际标准也常使用信封这一术语来表示加密的对象。在本标准中,安全信封一般不需要加密。3934签名者signer生成数字签名的实体。3935可信第三方trusted third party(TTP)在安全活动方面为其他实体所信任的安全机构或其代理(见GBT 187941 2002)。注;在本标准中,为了实现抗抵赖的目的,可信第三方为原发者、接收者和(或)交付机构所信任,也可以为其他参与方(如仲裁者)信任。3936可信时间戳trusted time stamp由时间戳机构担保的时间戳。3937验证密钥verification key验证密码校验值时所需要的数值。3938验证者veri
24、fier验证证据的实体。4符号和缩略语41符号A 实体A的可区分标识符B 实体B的可区分标识符CHKx(,) 使用实体x的密钥对数据y计算而得到的密码校验值DA 交付机构的可区分标识符6j-,H(y)Imp(y)MACPolSENvSENVx(y)SIGS工(k(,)Sx(y)rexty z42缩略语CAGNRTNANRDTNRINROTNRSTNRTTNToSITSATSTTTP5本部分各章的组织GBT 179031-200SISOIEC 13888-1:2004标明有效的抗抵赖服务类型的数据项(标记)数据串y的散列码数据串y的印迹,或者是数据串y的散列码,或者是数据串Y待生成证据的消息消息
25、鉴别码适用于证据的抗抵赖策略的可区分标识符安全信封使用实体x的私有密钥对数据y计算而得到的安全信封已签名消息实体x使用其私有密钥对数据y生成的已签名消息使用签名算法和实体x的私有密钥对数据y计算的签名可以构成权标一部分的数据项,包括密钥标识符和(或)消息标识符等附加信息证据生成的El期和时间事件或动作发生的El期和时间使用验证算法和实体x的验证密钥对数据y(安全信封或者数字签名)进行的验证操作y和z按顺序的连接Certification Authority认证机构Generic Non-Repudiation Token通用抗抵赖权标Notary Authority公证机构Non-Repudi
26、ation of Delivery Token交付抗抵赖权标Non-Repudiation Information抗抵赖信息NomRepudiation of Origin Token原发抗抵赖权标Non-Repudiation of Submission Token提交抗抵赖权标Non-Repudiation of Transport Token传输抗抵赖权标Notarization Token公证权标Open Systems Intereonnection开放系统互连Time-Stamping Authority时间戳机构Time-Stamping Token时间戳权标Trusted Th
27、ird Party可信第三方首先在第6章规定抗抵赖服务的基本需求,在第7章描述证据的提供与验证所涉及实体的角色。第8章描述可信第三方在抗抵赖各阶段的参与情况,尤其是证据的提供和验证阶段。第9章描述了证据的生成和验证机制,包括基于对称密码技术的安全信封和基于非对称密码技术的数字签名。为了更好地表示抗抵赖权标,导出了两种基本机制中通用的密码校验函数。第lo章定义了三种权标:第一种是适用于多种抗抵赖服务的通用抗抵赖权标;第二种是由可信时间戳机构生成的时间戳权标;第三种是公证机构生成的公证权标,可以提供有关涉及到的实体以及存储或通信数据的性质的证据。第11章描述了特定的抗抵赖服务和抗抵赖权标。第12章
28、给出了消息发送环境中特定抗抵赖权标的应用实例。6要求下列要求适用于抗抵赖交换所涉及的实体,这些要求与用于生成安全信封和数字签名的密码校验7GBT 179031-2008ISOIEC 13888-1:2004值的导出方式有关,与抗抵赖机制所支持的抗抵赖服务无关。61 抗抵赖交换的实体应信任一个可信第三方。注:使用对称密码算法时总是需要TTP;使用非对称密码算法时,或者需要离线TTP来生成公钥证书,或者需要”P来创建用作证据的数字签名。62在证据生成之前,证据生成者必须清楚以下三件事情:验证者可以接受的抗抵赖策略、所要求的证据类型、以及验证者可以接受的机制集合。63特定抗抵赖交换中的实体必须可以得
29、到用于生成或验证证据的机制;或者必须有一个可信机构来提供这些机制,并且代表证据请求者来执行必要的功能。64适用于这些机制的密钥(如非对称技术中的私有密钥,对称技术中的秘密密钥)只能由相关的实体拥有(必要时可以共享)。65证据的使用者和仲裁者必须能够验证证据。66证据中要求的时间信息包括事件发生的时间和证据生成的时间。67如果需要可信时间戳,或者证据生成者所提供的时钟不可信,那么证据生成者或证据验证者必须可以访问时间戳机构。7通用抗抵赖服务71 证据提供与验证过程中涉及的实体在提供抗抵赖服务时,要涉及到几个不同的实体。证据生成过程涉及到三个实体:a)想要得到证据的证据请求者;b) 执行某动作的或
30、者某事件中涉及到的证据主体;c)生成证据的证据生成者。证据验证过程涉及到两个实体:a) 能够或者不能够直接验证证据的证据用户;b)应证据用户的要求,能够验证证据的证据验证者。在证据生成过程中,事件或动作与证据主体相关。证据可以应证据请求者的请求而提供,也可以应证据主体自己的要求而提供。如果证据主体和证据请求者都不能直接提供证据,那么证据由证据生成者产生。然后证据将返回给证据请求者,或者可以供其使用。证据可以传送给其他实体,或者可供其使用。在证据验证阶段中,证据用户希望验证证据的正确性。如果证据用户不能直接验证证据的正确性,则证据由证据验证者应证据用户的请求而进行验证。72抗抵赖服务通用模型适用
31、于以下六种基本的抗抵赖服务:创建抗抵赖、发送抗抵赖、接收抗抵赖、认知抗抵赖、提交抗抵赖和传输抗抵赖。其他抗抵赖服务可由这些基本服务组合而成。结合创建抗抵赖和发送抗抵赖可以提供原发抗抵赖;结合接收抗抵赖和认知抗抵赖可以提供交付抗抵赖。抗抵赖服务只能在既定的时问周期内提供。有时可能需要在权标颁发之后修改其生命周期,比如,如果一个特定的签名方案发现了攻击,那么其生命周期就需要缩短。另一方面,如果一个抗抵赖权标在其过期之后仍然被看作是(密码意义下)安全的,那么抗抵赖策略就允许延长其生命周期。8可信第三方抗抵赖服务可能需要可信第三方的参与,这依赖于所使用的抗抵赖机制和有效的抗抵赖策略。使用非对称密码技术
32、时需要一个离线的可信第三方来保证密钥的真实性,可信第三方可以是TTP链中的一部分,只要他们同意在抗抵赖服务中履行义务。使用对称密码技术时,需要一个在线的可信第三方的8GBT 179031-2008ISOIEC 138881:2004参与,用于生成和验证安全信封(SENV)。有效的抗抵赖策略可要求部分或者全部证据由可信第三方生成。有效的抗抵赖策略还可能要求;a) 由可信时间戳机构提供的可信时间戳;b)公证机构(公证人),以证实所涉及到的实体以及存储或传输数据的性质,或者将现有权标的生命期延长到期满和撤消之后;c)监控机构,提供有关涉及到的实体的性质和存储或传输数据的性质的证据。可信第三方可以不同
33、程度地参与到抗抵赖过程中。当交换证据时,双方必须知道、被通知到,或者同意适用于证据的抗抵赖策略。根据抗抵赖策略的要求,可以有多个可信第三方参与并担当不同的角色,如公证、时间戳、监控、密钥证明、签名生成、签名验证、安全信封生成、安全信封验证、权标生成或交付等角色。一个可信第三方可能担当一个或多个上述角色。81证据生成过程证据是用于解决争议的信息,由证据生成者代表证据主体、可信第三方生成,或者应证据请求者的请求而生成。在证据生成阶段,TTP可以下述方式参与(关于在线、联线、离线机构的定义,参见IS0 TR 14516):a) 当作为在线机构参与每个抗抵赖服务实例时,可信第三方代表证据主体独立生成证
34、据。当使用对称密码技术来提供证据时,可能要求在线产生密码校验值和抗抵赖权标,如生成GBT 17903中定义的安全信封;b) 当作为联线的证据生成机构时,可信第三方可以自己生成证据(如作为交付机构);c)当作为离线机构时,可信第三方不参与每一个抗抵赖服务实例,而使用签名为生成证据的实体提供离线的公开密钥证书;d)如果担任权标生成机构,可信第三方可构造任何类型的抗抵赖权标,该权标由证据主体、一个或多个可信机构提供的一个或多个抗抵赖权标组成;e) 如果担任数字签名生成机构,可信第三方代表证据主体或者应证据请求者的请求而生成数字签名;f)如果担任时问戳机构(见ISOIEC 18014),可信第三方可信
35、赖地提供包括时间戳权标生成的时间的证据;g)如果担任公证机构(公证人),可信第三方可信赖地提供有关实体以及存储的或实体间通信数据的性质的证据,在现有权标期满或者撤销时公证人可信赖地延长其生命期;h)如果担任监控机构,可信第三方监控动作和事件,并且可信赖地提供其监控内容的证据。82证据传输、存储和检索过程在这一过程中,证据在各参与方间传输,或者在数据存储区之间传输。根据有效的抗抵赖策略,这一阶段的活动未必在抗抵赖服务的所有情况中都进行。本阶段的活动可由可信第三方执行。a)作为交付机构时,可信第三方处于联线状态,完成提交抗抵赖和传输抗抵赖;b)作为证据记录保管机构时,可信第三方记录证据,可供证据用
36、户或仲裁者之后进行检索。83证据验证过程作为证据的验证机构,可信第三方是受证据用户信任的在线机构,用于验证抗抵赖权标提供的每一种抗抵赖信息。当使用对称密码技术生成证据时,证据只能由可信第三方验证;否则,可信第三方的参与是可选的。抗抵赖权标的验证取决于所使用的技术:a)安全信封只能由可信第三方验证;b)数字签名可以使用一个或多个公开密钥证书和证书撤消列表验证(在证据生成时所有这些公9GBT 17903112008ISOIEC 13888-1:2004钥证书及撤销列表都是有效的);c) 公开密钥证书在证据生成时是有效的,这一点必须在出示证据时进行验证。有时可能在几年以后进行验证;d)公开密钥证书撤
37、销列表在证据生成时是有效的,这一点必须在出示证据时进行验证,有时可能在几年以后进行验证;e)如果抗抵赖服务需要使用时间戳机构提供证据,应以下列方式进行:该证据(如时间戳权标)提供的时间必须与证据生成者、可信第三方或证据请求者产生的证据中所附时间进行比较。在验证这些时间充分接近(按安全策略)之后,证据生成实体、可信第三方或者证据请求者产生的证据才可以接受;f) 附加的抗抵赖权标(如公证权标)按照其生成时所使用的技术进行验证。9证据生成与验证机制在本阶段,证据由安全信封(sENv)或者数字签名(sIG)组成的抗抵赖权标表示,两者分别是基于对称密码与非对称密码技术生成的密码校验值(CHK)。对于基于
38、证书的签名,抗抵赖权标基本上由已签名的消息(包括消息及签名)及其公开密钥证书组成。如果公开密钥没有与数字签名一起提供,那么相关实体必须可以得到它。对于基于身份的签名,抗抵赖权标由已签名的消息、签名实体的标识数据和为签名者提供密钥的机构的身份(即可区分标识符)组成。91安全信封安全信封(SENV)要成为证据的一部分,就必须由可信第三方使用仅为可信第三方所知的秘密密钥来生成。注:SENV也可用于抗抵赖交换的实体与TTP之间的原发性或完整性通信保护。此时,SENV由实体与TTP共知的密钥来生成与验证。创建安全信封的方法是:利用实体x的秘密密钥,通过对称完整性技术作用对数据3,进行计算而生成校验值CH
39、K。(,),并把它附在数据Y的后面:SENVj(y)一y|CHKx(,)函数CHKx(,)可由不同的数据完整性机制表示,例如MAC。注:MAC是ISOIEC 9797规定的消息鉴别码。其他机制将在GBT 17903的其他部分进行规定。92数字签名某实体x可以使用其私有密钥和数字签名操作对消息Y做变换从而进行签名,结果表示为SIGx(y)。只要持有实体x的公开密钥的可信拷贝,任何人都可以验证已签名的消息SIGx(,)的有效性。如果数字签名操作不具有消息恢复功能,已签名的消息由消息Y附加上签名Sx(y)组成。SIGx(y)一Y|Sx(y)如果数字签名操作具有消息恢复功能,消息Y的一部分或者全部可以
40、从Sx(,)中恢复,那么已签名的消息SIG。(,)就由Y中不能由签名Sx(,)恢复的那一部分消息附加上sx(y)组成。注1:带消息恢复的数字签名在标准GB 15851 1999和ISOIEC 15945 4中规定;注2:带附录的数字签名在标准GBT 17902和ISOIEC 15946 2中规定。93证据验证机制使用证据生成实体x的验证密钥,利用验证操作n(sENV)和V。(sIG),可以分别对安全信封(SENV)和数字签名(SIG)进行验证。验证结果为肯定或否定。安全信封只能由持有用于生成安全信封的秘密密钥的可信第三方进行验证。注:如果SENV用于原发性或完整性通信保护,那么它可由任何持有对
41、应的秘密密钥的实体验证。持有签名者的公开密钥的任何实体都可以验证数字签名。向验证者提供公开密钥证书的方式依赖1 0GBT 179031-2008ISOIEC 13888-1:2004于生成数字签名的签名方案的类型。a)基于证书的签名使用签名者的公开密钥进行验证,该公开密钥可以从认证机构(cA)颁发的公开密钥证书中得到;b)对于基于身份的签名,持有签名实体的标识数据和可信机构(TA)的公开系统参数的任何实体都可以进行验证。这里,签名者的基于身份的私有密钥是由TA来提供的。对于数字签名来说,必须对一个公开密钥证书链或身份标识符链顺序进行验证才可得到必要的保证。10抗抵赖权标抗抵赖服务以抗抵赖信息为
42、媒介。抗抵赖信息由一个或多个抗抵赖权标组成。证据生成者必须提供至少一个由通用抗抵赖权标(GNRT)导出的抗抵赖权标。验证证据时通常需要附加的权标。附加权标可以提供给验证者,也可以不提供给验证者。当不提供附加权标时,验证者必须可以得到它们(例如公开密钥证书和(或)证书撤消列表)或者请求它们(例如来自时间戳机构的时间戳)。本标准讨论三种通用权标:通用抗抵赖权标(GNRT)、时间戳权标(TST)和公证权标(NT)。根据GNRT导出的权标由证据生成者生成,而其他权标由可信第三方生成:时问戳权标由时间戳机构(TSA)生成,公正权标由公证机构(NA)生成。101通用抗抵赖权标通用抗抵赖权标(GNRT)定义
43、如下:GNRT=text II z|CHK。(2),其中z=Pol|,|A|B|C|D E Tg J1 Ti IQ Imp(m)。数据字段z包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符_厂 所提供的抗抵赖服务类型A 证据主体的可区分标识符B 证据生成者的可区分标识符,如果证据生成者与证据主体不同c 与证据主体(包括消息发送者、消息的预定接收者或交付机构)进行交互的实体的可区分标识符D 证据请求者的可区分标识符,如果证据请求者与证据主体不同E 动作中涉及到的其他实体(如消息的预定接收者)的可区分标识符t 证据生成的日期和时间L 事件或动作发生的日期和时间Q 需要原发性或完整性保护
44、的可选数据Imp(m) 与事件或动作有关的消息的印迹注:根据有效的抗抵赖策略,有些数据项是可选的。可区分标识符A是必不可少的,其他的可区分标识符B,c,D,E不一定出现。如果证据是由某机构代表证据主体产生的,证据生成者的可区分标识符B是必要的。在传输消息时,可区分标识符c是必要的。当证据请求者与证据主体不同时,证据请求者的可区分标识符D必须出现。对于提交给交付机构的抗抵赖情形和交付机构传输的抗抵赖情形,涉及的其他实体的可区分标识符E必须出现。字段。text”包括一些不需要密码保护的附加数据,这些信息与所使用的技术有关:a)对于基于证书的签名,“text”字段包括一个或多个公开密钥证书,或者仅仅
45、包括认证机构的可区分标识符和分配给公开密钥证书的证书序列号。b)对于基于身份的签名,“text”字段包含为签名者提供密钥的机构的可区分标识符。1】GBT 179031-2008ISOIEC 13888-I:2004102时间戳权标如果需要可信的时间,或者抗抵赖权标生成者所提供的时钟不可信,就需要依赖一个可信第三方,即时间戳机构(TsA)。TSA的职责是建立另外的证据以证明权标生成的时间。数据y由请求时间戳服务的实体提供。时间戳权标(TST)定义如下:TsTtext|叫|cHK7甜(叫),其中”一Pol|川TSAIi t lIQ|Imp(y)数据元w包括以下数据项:Pol 适用于证据的抗抵赖策略
46、的可区分标识符, 所提供的抗抵赖服务类型TSA 时间戳机构的可区分标识符t 时间戳操作执行的日期和时间Q 需要原发性或完整性保护的可选数据Imp(y) 待提供可信时间戳的数据Y的印迹103公证权标由公证机构(NA)提供的公证服务用于证实所涉及实体以及存储或通信数据的性质,或用于在现有抗抵赖权标期满或撤消时延长其生命期。数据Y由服务请求实体提供。注:数据y可以是消息、抗抵赖权标,消息的散列码、权标的散列码,或者服务请求者希望得到公证人证实的任何数据。公正权标(NT)定义如下:NTtext|w cHKM(),其中w=Pol II川x j|NA II L|Q|Imp(y)数据元w包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符, 标明公证服务的标记x 请
