1、lCS 35040L 80 a雪中华人民共和国国家标准GBT 1 58432-2008ISOIEC 9798-2:1 999代替GB 158432 1997信息技术 安全技术 实体鉴别第2部分:采用对称加密算法的机制Information technology-Security techniques-Entity authentication-Part 2:Mechanisms using symmetric encipherment algorithm2008-06-19发布(IS0IEC 97982:1999,IDT)20081 1_01实施丰瞀嬲紫瓣訾糌瞥星发布中国国家标准化管理委员会“
2、前言引言1范围2规范性引用文件3术语、定义和符号4要求5不涉及可信第三方的机制5O概述51单向鉴别52相互鉴别6涉及可信第三方的机制60概述61四次传递鉴别62五次传递鉴别-附录A(资料性附录) 文本字段的使用参考文献目 次GBT 158432-2008ISOIEC 9798-2:1999V111l222355i89刖 置GBT 158432-2008ISOIEC 9798-2:1999GBT 15843(信息技术 安全技术 实体鉴别分为五个部分:第1部分:概述第2部分:采用对称加密算法的机制第3部分:采用数字签名技术的机制第4部分:采用密码校验函数的机制第5部分:采用零知识技术的机制可能还会
3、增加其他后续部分。本部分为GBT 15843的第2部分,等同采用ISOIEC 9798 2:1999信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制(英文版),仅有编辑性修改。本部分代替GB 1584321997信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制。本部分与GB 1584321997相比,主要变化如下:本部分更新了第4章“要求”,对加密函数以及与它对应的解密函数应具有的属性提出了要求,同时增加了对时变参数特性的要求。本部分在内容上增加了对于基于单向密钥来完成鉴别过程的考虑,因而在对应的各个章条部分都增加了相应的叙述。本部分废止了旧版中关于实体A和B之间共享一个秘密密
4、钥K一e,而K“e只用于B对A的鉴别的相关叙述。-一本郭分删除了1sOiEc前言,增加了引言。本部分的附录A为资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分主要起草单位:中国科学院数据与通信保护研究教育中心(信息安全国家重点实验室)。本部分主要起草人:荆继武、许长志、高能、向继、夏鲁宁。本部分所代替标准的历次版本发布情况为:GB 1 58432 1997。G甄q_f58432-20081SO1EC 9798-2:1 999引 言本部分等同采用国际标准ISOIEC 97982:1999,它是由ISOIEC联合技术委员会JTCl(信息技术)的分委员会SC 27(IT安全技术)起
5、草的。本部分规定了采用对称加密算法的实体鉴别机制,包括单向鉴别机制和相互鉴别机制,不涉及可信第三方的鉴别机制和涉及可信第三方的鉴别机制,并给出了这些鉴别机制的5项要求。在不涉及可信第三方的情况下,单向鉴别机制包括一次传递鉴别和两次传递鉴别两种,相互鉴别机制包括两次传递鉴别和三次传递鉴别两种。如果涉及可信第三方,相互鉴别机制则需要进行四次或者五次传递。本部分凡涉及密码算法的相关内容,按国家有关法规实施。1范围GBT 158432-2008ISOIEC 97982:1999信息技术 安全技术 实体鉴别第2部分:采用对称加密算法的机制本部分规定了采用对称加密算法的实体鉴别机制。其中有四种是两个实体间
6、无可信第三方参与的鉴别机制,而这四种机制中有两种是单个实体鉴别(单向鉴别)+另两种是两个实体相互鉴别。其余的机制都要求有一个可信第三方参与,以便建立公共的秘密密钥,实现相互或单向的实体鉴别。本部分中规定的机制采用诸如时间戳、序号或随机数等时变参数,防止先前有效的鉴别信息以后又被接受或者被多次接受。如果没有可信第三方参与同时又采用时间戳或序号,则对于单向鉴别只需传递一次信息,而要实现相互鉴别必须传递两次。如果没有可信第三方参与同时又采用使用随机数的激励一响应方法时,单向鉴别需传递两次信息,而相互鉴别则需要传递三次。如果有可信第三方参与,则一个实体与可信第三方之间的任何一次附加通信都需要在通信交换
7、中增加两次传递。2规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注明El期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 1 58431 2008信息技术 安全技术 实体鉴别 第1部分:概述(1SOIEC 97981:1997,IDT)ISOIEC 117702:1996信息技术安全技术密钥管理第2部分:采用对称技术的机制3术语、定义和符号GBT 158431中确立的术语、定义和符号适用于本部分。4要求本部分规定的鉴别机
8、制中,待鉴别的实体通过表明它知道某秘密鉴别密钥来证实其身份。这可由该实体用其秘密密钥加密特定数据达到,与其共享秘密鉴别密钥的任何实体都可以将加密后的数据解密。这些鉴别机制有下列要求,若其中任何一个不满足,则鉴别过程就会受到攻击,或者不能成功完成。a) 向验证方证实其身份的声称方,在应用第5章的机制时,应和该验证方共享一个秘密鉴别密钥,在应用第6章的机制时,每个实体应和公共的可信第三方都分别共享一个秘密鉴别密钥。这些密钥应当在正式启动鉴别机制前就为有关各方知道,达到这一点所采用的方法已超出了本部分的范围。b)如果涉及到可信第三方,它应得到声称方与验证方的共同信任。c) 声称方与验证方共享的秘密鉴
9、别密钥,或实体与可信第三方共享的秘密鉴别密钥,应仅为这两方或双方都信任的其他方所知。注l:加密算法与密钥生命周期的选择应保证密钥在其生命周期内就被推算出来在计算上是不可行的。此外,在选择密钥生命周期时还应防止已知明文和选择明文的攻击。1GBT 158432-2008ISOIEC 9798-2:1999d) 对于秘密密钥K的任何取值,加密函数ex以及与它对应的解密函数dx应具有如下的属性。当解密过程dx应用到字符串ex(x)时,它应该能够使得该字符串的接收者可以检测出数据是否被伪造或者被控制,也就是说,只有秘密密钥K的拥有者才能够产生这些字符串,而且只有当这些字符串由解密过程d。检查之后才是能被
10、“接受”。注2:在实际应用中,可以通过很多方法来保证上述属性。两个例子如下:1)如果数据具有或者附加了足够的冗余信息,并且加密算法是精心挑选的,那么完整性是可以满足的。只有冗余信息的正确性被验证之后,解密的数据才能被接受是正确的。2) 用密钥K推导一对密钥K和密钥K”。用密钥K 7来计算待加密数据的消息鉴别码(MAC),而密钥K”用来将该数据和MAC级联在一起加密。接收者在确认已解密数据是正确的之前必须先检查MAC值是否正确。e) 本部分中的机制要求使用时变参数,例如时间戳、序号或者随机数。这些参数的特性,尤其是它们在秘密鉴别密钥的生命周期内极不可能重复的特性,对于这些机制的安全性是十分重要的
11、。5不涉及可信第三方的机制50概述这些鉴别机制中,实体A和B在开始具体运行鉴别机制之前应共享一个公共的秘密鉴别密钥K。,或者两个单向秘密密钥K。和KBA。在后续的实例中,单向密钥K。和Ka一分别由B用来鉴别A和A用来鉴别B。以下机制中规定的所有文本字段同样适用于本部分范围之外的应用(文本字段可能是空的)。它们的关系与内容取决于具体的应用。有关文本字段使用的信息参见附录A。51单向鉴别单向鉴别是指使用该机制时两实体中只有一方被鉴别。511一次传递鉴别这种鉴别机制中,由声称方A启动此过程并被验证方B鉴别。唯一性和时效性是通过产生并检验时间戳或序号(见GBT 1584312008中的附录B)来控制的
12、。鉴别机制如图1所示。a(1)TokenMe l图1 不涉及可信第三方的一次传递单向鉴别机制示意图声称方A发送给验证方B的权标(Tokene)形式是:TokenAB=Text2 1I eK AB(:T“jI B 1j Textl)i、A此处声称方A或者用序号N。,或者用时间戳T。作为时变参数。具体选择哪一个取决于声称方与验证方的技术能力和环境。在Tokene中是否包含可区分标识符B是可选的。注:在Token蚰中包含可区分标识符B是为防止敌手假冒实体B对实体A重用Tokenm包含可区分标识符B之所以作为可选项,是因为在不会出现这类攻击的环境中可将标识符省去。如果使用了单向密钥,该可区分标识符B也
13、可以省去。2GBT 158432-20081SO1EC 97982:1999图1中:(1)A产生并向B发送TokenAB;(2) 一旦收到包含Token“s的消息,B便将加密部分解密(此时解密意味着满足第4章d)的要求)并检验可区分标识符B(如果有)以及时间戳或序号的正确性,从而验证TokenAB。512两次传递鉴别这种鉴别机制中,验证方B启动此过程并对声称方A进行鉴别。唯一性和时效性是通过产生并检验随机数RB(见GBT 158431 2008中的附录B)来控制的。鉴别机制如图2所示。图2不涉及可信第三方的两次传递单向鉴别机制示意图由声称方A发送给验证方B的权标(Token。)形式是:Toke
14、nAsText3 eKB(RB B|Text2)在TokenAB中是否包含可区分标识符B是可选的。注1:为了防止可能的已知明文攻击(即一种密码分析攻击,密码破译者知道一个或者多个密文字符串的完整明文),实体A可以在Text2中包含一个随机数R一。注2:在Tokene中包含可区分标识符B是为防止所谓的反射攻击,这种攻击的特性是入侵者假冒A将激励随机数Re“反射”给B。包含可区分标识符之所以作为可选项,是因为在不会出现这类攻击的环境中可将标识符省去。如果使用了单向密钥,该可区分标识符B也可以省去。图2中:(1)B向A发送一个随机数Re,并可选地发送一个文本字段Textl。(2)A产生并向B发送To
15、kenAB。(3) 一旦收到包含TokenAB的消息,B便将加密部分解密(此时解密意味着满足第4章d)的要求)并检验可区分标识符B(如果有)的正确性以及在步骤(1)中发送给A的随机数R。是否与TokenAB中所含的随机数相符,从而验证Token。52相互鉴别相互鉴别是指两个通信实体运用该机制彼此进行鉴别。521和522分别采用511和512中描述的两种机制,以实现相互鉴别。这两种情况都要求增加一次传递,从而增加了两个操作步骤。注:相互鉴别的第三种机制可由512中规定的机制的两个实例构成,一种由实体A启动,另一种由B启动。521两次传递鉴别这种鉴别机制中,唯一性和时效性是通过产生并检验时间戳或序
16、号(见GBT 158431 2008中的附录B)来控制的。鉴别机制如图3所示。图3不涉及可信第三方的两次传递相互鉴别机制示意图GBT 158432-2008ISO1EC 97982:1999由A发送给B的权标(Token。)形式与511规定的相同。TTokenABText2 II eKB(意“It B【Textl)J、A由B发送给A的权标(Tokenen)形式是:TTokenBA=Text4【l eK AB(:T8【A 11 Text3)、B在Tokene中是否包含可区分标识符B,在Token。中是否包含可区分标识符A。是分别可选的。注1:Token,蚺中的可区分标识符B是为防止敌手假冒实体B
17、对实体A重用Token址。由于同样的原因,Token包含可区分标识符A。包含可区分标识符之所以作为可选项,是因为在不会出现这类攻击的环境中可以将其中之一或二者都省去。如果使用了单向密钥,可区分标识符A和B也可以省去。这种机制中,选择使用时间戳还是序号取决于声称方与验证方的技术能力和环境。图3中:步骤(1)和(2)与5,11中规定的一次传递鉴别相同。(3)B产生并向A发送TokenBA。(4)步骤(3)中的消息处理方式与511步骤(2)类似。注2:这种机制中两条消息之间除了时效性的隐含关系外没有任何绑定关系;该机制两次独立使用机制51 1,可以通过使用适当的文本字段来进一步绑定这些消息。如果使用
18、了单向密钥,那么TokenBA中的密钥KB用密钥Ke。代替,并且在步骤(4)中使用对应的密钥。522三次传递篷剐这种鉴别机制中,唯一性和时效性是通过产生并检验随机数(见GBT 158431 2008中的附录B)来控制的。鉴别机制如图4所示。(5)围4不涉及可信第三方的三次传递相互鉴别机制示意图权标形式如下:TokenABText3 II eKAB(RA|RB Il B ll Text2)Token8AText5 0鼬AB(RB jJ RA jJ Text4)Token“中是否包含可区分标识符B是可选的。注:在Token衄中包含可区分标识符B是为防止所谓的反射攻击,这种攻击的特性是入侵者假冒A将
19、激励随机数Re“反射”给B。可区分标识符的包含之所以作为可选项,是因为在不会出现这类攻击的环境中可将标识符省去。如果使用了单向密钥,该可区分标识符B也可以省去。图4中:(1)B向A发送一个随机数RB,并可选地发送一个文本字段Textl。(2) A产生一个随机数RA,然后产生Tokene并发送给B。(3)一旦收到包含TokenAB的消息,B便将加密部分解密(此时解密意味着满足第4章d)的要求)并裣验可区分标识符B(如果有)的正确性以及步骤(王)中发给A的随机数RB是否与TokenAB中含的随机数相符,从而验证Token。GBT 158432-2008ISOIEC 97982:1999(4)B产生
20、并向A发送TokenBA。(5)一旦收到包含Tokenen的消息,A便将加密部分解密(此时解密意味着满足第4章d)的要求)并检验在步骤(1)中来自B的随机数R。是否与Tokenn。中的随机数相符以及在步骤(2)中发送给B的随机数R。是否与Token。中的随机数相符。如果使用了单向密钥,那么Token。中的密钥KAB用密钥KBA代替,并且在步骤(5)中使用对应的密钥。6涉及可信第三方的机制60概述本章中所述的鉴别机制不是利用两个实体在鉴别过程前共享的秘密密钥,而是利用一个可信第三方(其可区分标识符为TP),实体A和B分别与它共享秘密密钥K一,和K。,。每个机制中,先由一个实体向可信第三方申请密钥
21、KAB。此后再分别采用521和52,2中描述的机制。按照下面的描述,如果只要求单向鉴别,则可省略每个机制中的某些传递。以下机制中规定的所有文本字段同样适用于本部分范围之外的应用(文本字段可能是空的)。它们的关系和内容取决于具体应用。有关文本字段使用的信息见附录A。61四次传递鉴别在这种相互鉴别机制中,唯一性和时效性是通过使用时变参数(见GBT 1584312008中的附录B)控制的。本机制与ISOIEC 117702:1996中的密钥建立机制8等同。鉴别机制如图5所示。(3)(7)5)图5涉及可信第三方的四次传递相互鉴别机制示意图由TP发送给A的权标(Token-n)形式是:个TokenTA=
22、Text4 II eKAT(TVP,KAB|B II Text3)|I eKBT(hIT”II KAB II A Text2)P由A发送给B的权标(Tokene)形式是:TokeneText6 J钒et嘉:J K-s j|A Text2)】J eKs(N1:J B Jj Text5)由B发送给A的权标(Tokennn)形式是:T,TokenBAText8 eKAB(08 II A Text7)、B在本机制中选择使用时间戳还是序号取决于相关实体的技术能力和环境。在图5的步骤(1)到步骤(3)中规定的时变参数TVP“的使用方法与通常的有所不同,它允许A将响应消息(2)与请求消息(1)联系起来。此处
23、时变参数的重要特性是它的不可重复性,以限制先前用过5GBT 158432-2008ISOIEC 9798-2:1999的TokenTA可能被重用。注;时变参数TVP可以是一个随机数。但是与本部分中某些机制所使用的随机数不同的是,该随机数对于第三方不必是不可预测的,由此,不重复的计数器值同样适用于产生该随机数。图5中:(1) A产生并向可信第三方TP发送一个时变参数TVP。、可区分标识符B以及可选地发送一个文本字段Textl。(z) 可信第三方TP产生并向A发送Tokent。(3)一旦收到包含Tokent一的消息,A便将使用K。t加密的数据解密(此时加解密意味着满足第4章d)的要求)并检验可区分
24、标识符B的正确性以及在步骤(1)中发送给TP的时变参数是否与TokenTA中的时变参数相符,从而验证Tokent“。此外,A提取出秘密鉴别密钥KAB,然后再从TokenT。中取出个一eKBT(hxTila|KAB【A II Text2)P并以此来构造TokennB。(4)A产生并向B发送TokenAB。(5)一旦收到包含Tokene的消息,B便将加密部分解密(此时加解密意味着满足第4章d)的要求)并检验可区分标识符A和B以及时间戳或序号的正确性,从而验证TokenAB。此外,B提取出秘密鉴别密钥KAB。(6)B产生并向A发送TokenB一。(7) 一旦收到包含Tokenan的消息,A便将加密部
25、分解密(此时加解密意味着满足第4章d)的要求)并检验可区分标识符A以及时间戳或序号的正确性,从而验证Token。如果只要求B对A的单向鉴别,步骤(6)和(7)可省去。62五次传递鉴别在这种相互鉴别机制中,唯一性和时效性是用随机数(见GBT 1584312008中的附录B)来控制的。该机制与ISOIEC 117702:1996中的密钥建立机制9等同。鉴别机制如图6所示。(4)(8)(时图6涉及可信第三方的五次传递相互鉴别机制示意图TP发送给A的权标(Tokentn)形式是:TokenTAText5 Jf eK Ar(RA J|KAB|f B JText4)jJ eKw(R8 KB|A fJ Te
26、xt3)A发送给B的权标(Tokenas)形式是:TokenABText7【eKBT(RB【KAB|A|Text3)_J eK AB(RA I RB 0 Text6)GBT 158432-2008ISOIEC 9798-2:1999B发送给A的权标(Tokenen)形式是:TokenBAText9|l eKR(RB RA j1 Text8)图6中;(1)B产生并向A发送一个随机数Re,并可选地发送一个文本字段Textl。(2) A产生R 7一,并向可信第三方TP发送随机数RB和Rm、可区分标识符B以及可选地发送一个文本字段Text2。(3) 可信第三方TP产生并向A发送Token,。(4)一旦
27、收到包含Tokentn的消息,A便将使用K。,加密的数据解密(此时加解密意味着满足第4章d)的要求)并检验可区分标识符B的正确性以及在步骤(2)中发给TP的随机数R。是否与Tokent一中的随机数相符,从而验证Tokent一。此外,A提取出秘密鉴别密钥K。,然后再从TokenTB中取出eKRT(RB|KAB A|Text3)以此来构造Tokenm。(5) A产生第二个随机数R一,然后产生并向B发送TokenA丑。(6) 一旦收到包含Token“a的消息,B便将加密部分解密(此时加解密意味着满足第4章d)的要求)并检验可区分标识符A的正确性以及在步骤(1)中发给A的随机数RB是否与TokenAB
28、中的该随机数的两个副本相符,从而验证TokenAB。此外,B还提取出秘密鉴别密钥K。(7)B产生并向A发送Token。(8)一旦收到包含Tokensn的消息,A便将加密部分解密(此时加解密意味着满足第4章d)的要求)并检验在步骤(1)从B收到的随机数Re是否与Tokenn“中包含的那个随机数相符,以及在步骤(5)中发送给B的随机数R。是否与Tokenea中包含的那个随机数相符。如果只要求B对A的单向鉴别,步骤(7)和(8)可以省去。GBT 158432-2008ISOIEC 97982:1999附录A(资料性附录)文本字段的使用本部分的第5章和第6章规定的权标包含了文本宇段。在给定传递中不同文
29、本字段的实际使用及各文本字段间的关系取决于具体应用。以下给出一些实例,也可以参考GBT 158431 2008的附录。如果权标不包含(足够的)冗余,已加密的文本字段可用于提供附加冗余。要求保密性或数据源鉴别的任何信息都应放在该权标的加密部分。1GB 15852-1995(idt ISOIEC 9797:1994)2GBT 18238I一101181:1994)GBT 158432-2008ISOIEC 9798-2:1999参考文献信息技术安全技术用块密码算法作密码校验函数的数据完整性机制2000信息技术 安全技术散列函数第1部分:概述(idt ISOIEC3GBT 1823822002信息技术安全技术散列函数第2部分:采用n位块密码的散列函数(idt IS0IEC FDIS 101182:2000)
