1、ICS 35040L 80a雷中华人民共和国国家标准GBT 1 58431-2008IS0IEC 97981:1 997代替GBT 1584311999信息技术 安全技术 实体鉴别第1部分:概述Information technology-Security techniques-Entity authentication-Part 1:General(ISOIEC 97981:1997,IDT)中华冬民共和国国家质量监督检验检疫总局辔士中国国家标准化管理委员会友仲GBT 158431-20081ISOIIEC 97981:1997前言引言1范围2规范性引用文件3术语和定义4符号-5鉴别模型6一
2、般要求和约束附录A(资料性附录) 文本字段的使用附录B(资料性附录)时变参数附录c(资料性附录)证书参考文献目 次I11155678加n刖 昌GBT 158431-2008ISOIEC 97981:1997GBT 15843信息技术安全技术实体鉴别分为五个部分:第1部分:概述第2部分:采用对称加密算法的机制第3部分:采用数字签名技术的机制第4部分:采用密码校验函数的机制第5部分:采用零知识技术的机制可能还会增加其他后续部分。本部分为GBT 15843的第1部分,等同采用ISOIEC 97981:1997信息技术安全技术实体鉴别第1部分:概述(英文版),仅有编辑性修改。本部分代替GBT 1584
3、31 1999信息技术安全技术实体鉴别第l部分:概述。本部分与GB 1584311999相比,主要变化如下:本部分标准修订了第3章中的部分术语、定义和记法。本部分对第6章“一般要求和约束”中的部分叙述进行了文字修订。本部分删除了ISOIEC前言,增加了引言。本部分删除了原附录D,增加了参考文献。本部分的附录A、附录B和附录C均为资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分主要起草单位:中国科学院数据与通信保护研究教育中心(信息安全国家重点实验室)。本部分主要起草人:荆继武、向继、高能、夏鲁宁。本部分所代替标准的历次版本发布情况为:GBT 158431一1995:GBT 1
4、584311999。GBT 158431-2008IS0IEC 97981:1997引 言本部分等同采用国际标准ISOIEC 9798 1:1997,它是由ISOIEC联合技术委员会JTCl(信息技术)的分委员会SC 27(IT安全技术)起草的。本部分给出了GBT 15843的所有部分中使用的术语和符号,并给出了它们的定义。本部分给出了实体鉴别机制的一般模型,各种鉴别机制的细节在GBT 15843后续部分中规定。本部分还给出了实体鉴别机制的一般要求和约束,各种鉴别机制的具体要求分别在GBT 15843的其他各部分中规定。本部分中还给出了在实体鉴别机制中使用文本字段、时变参数和证书的一般要求。本
5、部分凡涉及密码算法的相关内容,按国家有关法规实施。GBT 158431-2008ISOIEC 97981:1997信息技术安全技术 实体鉴别第1部分:概述I范围本部分规定了一个鉴别模型以及采用安全技术的实体鉴别机制的一般要求和约束。这些机制用于证实某个实体就是他所声称的实体。待鉴别的实体通过表明它确实知道某个秘密来证明其身份。这些机制定义实体间的信息交换以及需要时与可信第三方的信息交换。这些机制的细节和鉴别交换的内容未在本部分中规定,而在GBT 15843的其他部分中规定。GBT 15843其他各部分规定的机制能用于帮助提供GBT 17903中规定的抗抵赖服务。抗抵赖服务的有关内容不在GBT
6、15843的范围之内。2规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 938721995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt IS0 74982:1989)GBT 187942 2002信息技术开放系统互连 开放系统安全框架第2部分:鉴别框架(idt IS0IEC 10181-2:1996)3术语和定义31 GBT 93872中确立的下
7、列术语和定义适用于本部分。311密码校验值cryptographic check value通过在数据单元上执行密码变换而得到的信息。312数字签名(签名)digital signature(signature)附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者确认数据单元的来源和完整性,并防止数据单元被人(例如接收者)伪造。313冒充masquerade一个实体伪装成另一个实体。32 GBT 187942中确立的下列术语和定义适用于本部分。321声称方claimant以鉴别为目的,是本体本身或者是代表本体的实体。一个声称方包含了代表本体从事鉴别交换所
8、必需的功能。GBT 158431-2008ISOEC 97981:1997322本体principal其身份能被鉴别的实体。323可信第三方trusted third party在安全相关的活动中,被其他实体所信任的安全机构或其代理。在GBT 15843中,为了鉴别的目的,可信第三方被声称方和(或)验证方所信任。324验证方verifier要求鉴别声称方身份的实体本身或是代表它的实体。验证方包含了从事鉴别交换所必需的功能。33下列术语和定义适用于GBT 15843。331非对称密码技术asymmetric cryptographic technique使用两种相关变换的密码技术,一种是由公开密
9、钥定义的公开变换,另一种是由私有密钥定义的私有变换。两种变换具有以下特性:在给定公开变换的情况下,推导出私有变换在计算上是不可行的。注:基于非对称密码技术的系统可能是加密系统、签名系统,加密与签名组合在一起的系统,或密钥协商系统。非对称密码技术有四种基本变换:签名系统的签名和验证,加密系统的加密和解密。签名和解密变换是拥有方专用的,而相应的验证和加密变换是公开发布的。现在已有仅通过两种变换就可获得四项基本功能的非对称密码系统(如RSA):一个私有变换可同时实现对消息的签名和解密,而一个公开变换可同时实现对消息的验证和加密。然而,由于一般情况并非如此,在GBT 15843中,这四项基本变换及相应
10、的密钥都是分开的。332非对称加密体制asymmetric encipherment system基于非对称密码技术的体制,其公开变换用于加密,而私有变换用于解密。333非对称密钥对asymmetric key pair一对相关的密钥,其中私有密钥定义私有变换,公开密钥定义公开变换。334非对称签名体制asymmetric signature system基于非对称密码技术的体制,其私有变换用于签名,而公开变换用于验证。335激励challenge由验证方随机选择并发送给声称方的数据项;声称方使用此数据项连同其拥有的秘密信息产生一个响应发送给验证方。336密文ciphertext经过变换隐藏其
11、信息内容的数据。337密码校验函数eryptographic check function以秘密密钥和任意字符串作为输入,并以密码校验值作为输出的密码变换。不知道秘密密钥就不可能正确计算校验值。2GBT 158431-2008ISOIEC 97981:1997338解密decipherment一个相应的加密过程的逆过程。339可区分标识符distinguishing identifier不含糊地区别一个实体的信息。3310加密encipherment为了产生密文,即隐藏数据的信息内容,由密码算法对数据进行的(可逆)变换。3311实体鉴别entity authentication证实一个实体就是
12、所声称的实体。3312插空攻击interleaving attack一种冒充攻击手段,它使用从一个或多个正在进行的或先前进行的鉴别交换导出的信息进行冒充。3313密钥key控制密码变换操作(例如:加密、解密、密码校验函数计算、签名生成或签名验证)的符号序列。3314相互鉴别 mutual authentication向双方实体提供对方身份保证的实体鉴别。3315明文plaintext未加密的信息。3316私有解密密钥private decipherment key定义私有解密变换的私有密钥。3317私有密钥private key一个实体的非对称密钥对中只由该实体使用的密钥。注;在非对称签名体制
13、中私有密钥定义签名变换;而在非对称加密体制中,私有密钥定义解密变换。3318私有签名密钥private signature key定义私有签名变换的私有密钥。注:有时称为秘密签名密钥。3319公开加密密钥public encipherment key定义公开加密变换的公开密钥。3320公开密钥public key一个实体的非对称密钥对中能够被公开的密钥。注;在非对称签名体制中,公开密钥定义验证变换;而在非对称加密体制中,它定义加密变换。密钥是“公开的一并不意味着谁都可以获得。密钥可能只有某个事先确定的团体的所有成员才可使用。3GBT 158431-2008ISOIEC 97981:199733
14、21公钥证书(证书)public key certificate(cectificate)实体的公钥信息,它由认证机构签名,因而不可伪造(参见附录c)。3322公钥信息public key information关于单个实体的特定信息,它至少包括该实体的可区分标识符,且至少包括该实体的一个公开密钥。它还可包括有关认证机构、实体及其所含的公开密钥的其他一些信息,诸如公开密钥的有效期、相关私有密钥的有效期、所涉及算法的标识符等(参见附录c)。3323公开验证密钥public verification key定义公开验证变换的公开密钥。3324随机数 random number其值不可预测的时变参数
15、(参见附录B)。3325反射攻击 reflection attack将以前发送的消息发回给其原发者的一种冒充攻击手段。3326重放攻击replay attack使用以前发送的消息的一种冒充攻击手段。3327序号sequence number其值取自一个在一定时期内不重复的特定序列的时变参数(参见附录B)。3328对称密码技术symmetric cryptographic tecbnique原发者变换和接收者变换使用同一秘密密钥的密码技术。如果不知道秘密密钥,推导出原发者或接收者变换在计算上是不可行的。3329对称加密算法symmetric encipherment algorithm原发者变换
16、和接收者变换使用同一秘密密钥的加密算法。3330时间戳time stamp相对于一个公共时间基准的时间点的时变参数(参见附录B)。3331时变参数time variant parameter一种用来验证消息非重放的数据项,如随机数、序号、时间戳(参见附录B)。3332权标token由与特定的通信相关的数据字段构成的消息,它包含使用密码技术进行变换了的信息。3333单向鉴别unilateral authentication只向一个实体提供另一个实体的身份保证,而不向后者提供前者身份保证的实体鉴别。4GBT 158431-2008ISOIEC 97981 1 19974符号下列符号适用于GBT 1
17、5843的本部分:A:实体A的可区分标识符;B:实体B的可区分标识符;TP;可信第三方的可区分标识符;Kxv:实体X和实体Y之间共享的秘密密钥,只用于对称密码技术;Px:与实体X相关的公开验证密钥,只用于非对称加密技术;Sx:与实体X相关的私有签名密钥,只用于非对称加密技术;N。:由实体x给出的序号;Rx:由实体x给出的随机数;Tx:由实体x给出的时间戳;T。1j:由实体x原发的时变参数,它或者是时间戳T;,或者是序号N。;州X JY 0 z:数据项Y和z以Y在前而z在后的顺序拼接的结果;ex(z):用密钥K,对数据z应用对称加密算法加密的结果;dx(z):用密钥K,对数据z应用对称加密算法解
18、密的结果;fK(z):使用以秘密密钥K和任意数据串Z作为输入的密码校验函数f产生的密码校验值Certx:由可信第三方签发给实体x的证书;Token“:实体x发给实体Y的权标;TVP:时变参数;SsY(z):用私有签名密钥S,对数据z进行私有签名变换所产生的签名。5鉴别模型实体鉴别机制的一般模型如图1所示。所有的实体及交换不一定在每一个鉴别机制中都出现。关于GBT15843其他各个部分规定的鉴别机制,对于单向鉴别,把实体A视为声称方,实体B视为验证方。而对于相互鉴别,A和B既是声称方,又是验证方。为了鉴别,实体产生并交换称作权标的标准化消息。在单向鉴别中至少要交换一个权标,而在相互鉴别中至少要交
19、换两个权标。如果不得不发送激励以启动鉴别交换,可能需要增加一次传递。如涉及可信第三方,可能需要再增加几次传递。图1鉴别模型图1中的连线指示可能存在的信息流。实体A和实体B可以彼此直接交互,或直接同可信第三方TP交互,或分别通过B或A间接与可信第三方交互,或利用可信第三方发布的信息。GBT 15843鉴别机制的细节在后续各部分中规定。GBT 158431-2008ISOIEC 97981:19976一般要求和约束为了使一个实体能鉴别另一个实体,二者应使用共同的密码技术和参数集。在密钥的可操作生命周期中,用于密钥操作的所有时变参数值(即:时间戳、序号和随机数)应该是不重复的,至少重复的可能性是极小
20、的。使用鉴别机制期间,假定实体A和B都知道对方声称的身份。这可以通过在两个实体之间交换的信息中包括标识符来实现,或者可以从所使用机制的上下文环境中明显看出。实体的真实性只是在进行鉴别交换的时刻被确认。为了保证后续通信数据的真实性,鉴别交换必须与一种安全的通信手段结合使用(如完整性服务)。GBT 158431-2008ISOIEC 97981:1997附录A(资料性附录)文本字段的使用GBT 15843后续各部分规定的权标包含文本字段。在一次给定传递中不同文本字段的实际使用及各文本字段间的关系依赖于应用。文本字段可以包含附加的时变参数。例如,如果已使用了序号,那么在权标的文本字段中可以包含时间戳
21、。这样,通过要求消息接收者验证消息中的任何时间戳是否都在一个预先规定的时间窗口内,就可以检测出受迫延迟(参见附录B)。如果有多个有效密钥,则一个密钥标识符可包括在明文的文本字段中。如果有多个可信第三方,那么文本字段可用于包括所涉及的那个可信第三方的可区分标识符。文本字段也可用于密钥分配(见ISOIEC 117702和ISOIEC 117703)。假如GBT 15843后续各部分规定的任何一种机制嵌入到这样一种应用,即如果允许两个实体中的任一个在启动鉴别机制之前采用附加消息,那么有些入侵攻击就会变得可能。为了抵抗这类攻击,可用文本字段说明哪个实体要求鉴别。这类攻击的特性是入侵者可能重复使用一个非
22、法获得的权标(见GBT 187942)。上述给出的例子不是完备的。GBT 158431-2008ISOIEC 97981:1997附录B(资料性附录)时变参数时变参数用于控制唯一性和时效性。它们能使先前发送过的消息重放时被检测出来。为实现这一点,对各次交换实例,其鉴别信息都应不同。某些类型的时变参数可以用来检测“受迫延迟”(由敌手引人通信媒体的延迟)。在涉及一次以上传递的机制中,也可以通过其他方法(如采用“超时时钟”来强行规定特定消息间可允许的最大时间间隙)检测受迫延迟。GBT 15843后续各部分使用的三类时变参数是时间戳、序号和随机数。在不同的应用中可根据实现需要选择最可取的时变参数,有时
23、也可以适当选用一种以上的时变参数(如同时选择时间戳和序号)。有关参数选择的细节不在本部分范围之内。B1时间戳涉及时间戳的机制利用逻辑上链接声称方和验证方的同一个时间基准。建议使用的基准时钟是国际标准时间(UTC)。验证方使用固定大小的接受窗口。验证方通过计算接收到的已验证权标中的时间戳与验证方在收到权标时所察觉的时间差值来控制时效性。如果差值落在窗口内,消息就被接受。通过在当前窗口中记录所有消息的日志以及拒收第二次和后续出现在同一个时间窗内的相同消息的方法来验证唯一性。应该采用某种机制确保通信各方的时钟同步。而且,时钟同步性能要足够好,使通过重放达到冒名顶替的可能性小到可接受的程度。还应确保与
24、时间戳验证有关的所有信息,特别是通信双方的时钟不会被篡改。使用时间戳机制可检测受迫延迟。B2序号因为序号可以使验证方检测消息的重放,所以可以用序号控制唯一性。声称方和验证方预先就如何以特定方式给消息编号的策略达成一致,基本思想是特定编号的消息只能被接受一次(或在规定时间内只接受一次)。然后再检验验证方收到的消息,根据上述策略判断与消息一起发送的序号是否可接受。如果此序号不符合上述策略,该消息则被拒绝。使用序号时可要求附加“簿记”。声称方应维护先前用过的序号和或者或将来使用仍将有效的序号的记录。该声称方应为所有他希望与之通信的潜在验证方保存上述记录。同样,验证方也应为所有可能的声称方保存这些记录
25、。当发生正常定序被破坏的情况(如系统故障)时,需要专用程序来重置或重新启动序号计数器。声称方使用序号不能保证验证方能检测出受追延迟。对于涉及两个或两个以上消息的机制,如果消息发送者能检测出发送消息与接收到预期回复消息之间的时间间隔,并在延迟超过预先规定的时槽时拒绝此消息,就可以测出受迫延迟。B3随机数GBT 15843后续各部分规定的各种机制中使用的随机数可防止重放或插空攻击。因此要求GBT 15843中使用的所有随机数选自于一个足够大的范围,使得与同一个密钥使用时出现重复的概率很小,并且第三方预测出特定值的概率也很小。GBT 15843中使用的术语“随机数”还包括了满足同样要求的伪随机数。8
26、GBT 158431-2008ISOIEC 9798-1:1997为防止重放或插空攻击,验证方获得一个发送给声称方的随机数,声称方可以将该随机数放在返回权标的受保护部分予以响应(这通常称为激励响应)。这一过程将包含特定随机数的两个消息联系起来。如果验证方再次使用同样的随机数,那么记录了先前鉴别交换的第三方就可以把所记录的权标发送给验证方验证,从而将自己伪装成声称方并通过验证。为了防止这类攻击,要求随机数重复的概率必须很低。声称方使用随机数不能保证验证方能检测受迫延迟。GBT 158431-2008I$OIEC 97981:1997附录C(资料性附录)证 书在GBT15843后续各部分中,公钥证
27、书(证书)能用来保证公开密钥的真实性。在这种情况下,证书包含实体的公钥信息,此信息至少由该实体的可区分标识符和公开密钥组成。公钥信息中还可以包括有关认证机构、实体和公开密钥的其他信息,例如相关私有密钥的有效期或所涉及算法的标识符。证书要包括由可信第三方签名的公钥信息。对证书的验证包括验证可信第三方的签名,如果需要,还要检验与证书的有效性有关的其他条件,如证书是否撤销或证书有效期。证书不是确保公开密钥的真实性的唯一方式。为了使一个实体能通过其他方式获得其他实体的公开密钥,GBT 15843后续各部分中各种机制对证书的使用是可选的。确保公开密钥的真实性的其他方法包括诸如在GBT 179022中规定
28、的基于身份的签名方案。GBT 158431-2008ISOEC 97981:1997参考文献E1GBT 93871 1998信息处理系统开放系统互连基本参考模型第1部分:基本模型(idt ISClIEC 74981:1994)E2GB 15851 1995信息技术安全技术带消息恢复的数字签名方案(idt ISOIEC 9796:1991)E33 GBT 187941 2002 信息技术 开放系统互连 开放系统安全框架:概述(idt ISCIiEC 101811:1996)1996GBT 179011 1999信息技术安全技术密钥管理第1部分:框架(idt ISOIEC 11770-1ISOIEC 117702:1996信息技术安全技术密钥管理第2部分:采用对称技术的机制ISOIEC 117703:1996信息技术安全技术密钥管理第3部分:采用非对称技术的机制7GBT 179021-1999 信息技术 安全技术 带附录的数字签名 第1部分:概述(idtIS0IEC 14888一l:1998)E8GBT 1790222005信息技术安全技术带附录的数字签名 第2部分:基于身份的机制(idt IS0IEC 148882:1999)9GBT 179023 2005信息技术安全技术带附录的数字签名 第3部分:基于离散对数的机制(idt ISOIEC 148883:1998)
