1、ICS 35040L 80 a雪中华人民共和国国家标准GBT 1 58433-2008ISOIEC 97983:1 998代替GBT 1584331998信息技术 安全技术 实体鉴别第3部分:采用数字签名技术的机制Information technology-Security techniques-Entity authentication-Part 3:Mechanisms using digital signature techniques2008-06-19发布(IS0IEC 97983:1 998,IDT)2008-1 1-01实施宰瞀徽鬻瓣訾糌赞星发布中国国家标准化管理委员会覆111
2、GBT 158433-20081S0EC 9798-3:1998目 次前言I引言”1范围12规范性引用文件“13术语、定义和符号14要求-“15机自日-“l50概述-151单向鉴别-2511一次传递鉴别2512两次传递鉴别252相互鉴别3521两次传递鉴别3522三次传递鉴别”4523两次传递并行鉴别4附录A(资料性附录) 文本字段的使用6刖 暑GBT 158433-2008ISOIEC 9798-3:1998GBT 15843信息技术安全技术实体鉴别分为五个部分:第1部分:概述第2部分:采用对称加密算法的机制第3部分:采用数字签名技术的机制第4部分:采用密码校验函数的机制第5部分:采用零知识
3、技术的机制可能还会增加其他后续部分。本部分为GBT 15843的第3部分,等同采用ISOIEC 97983:1998信息技术安全技术实体鉴别第3部分;采用数字签名技术的机制,仅有编辑性修改。本部分代替GBT 1584331998信息技术 安全技术 实体鉴别 第3部分:用非对称签名技术的机制。本部分与GB 158433 1998相比,主要变化如下:本部分修改了名称。本部分根据GBT 15843i的修订,更改了部分术语。本部分删除了ISOIEC前言,并增加了引言。本部分的附录A为资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分主要起草单位:中国科学院数据与通信保护研究教育中心(信
4、息安全国家重点实验室)。本部分主要起草人:荆继武、王平建、夏鲁宁、商能、向继。本部分所代替标准的历次发布情况为:GBT 1584331998。GBT 158433-2008IS01EC 9798-3:1998引 言本部分等同采用国际标准SOIEC 97983:1998,它是由ISOIEC联合技术委员会JTCl(信息技术)的分委员会SC27(IT安全技术)起草的。本部分定义了采用数字签名技术的实体鉴别机制,分为单向鉴别和相互鉴别两种。其中单向鉴别按照消息传递的次数,又分为一次传递鉴别和两次传递鉴别;相互鉴别根据消息传递的次数,分为两次传递鉴别,三次传递鉴别和两次传递并行鉴别。由于签名所使用的证书
5、的分发方式超出本部分范围,证书的发送在所有的机制中是可选的。本部分凡涉及密码算法的相关内容,按国家有关法规实施。1范围GBT 158433-2008ISOIEC 9798-3:1998信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制本部分规定了采用数字签名技术的实体鉴别机制。有两种鉴别机制是单个实体的鉴别(单向鉴别),其余的是两个实体的相互鉴别机制。本部分中规定的机制采用诸如时间戳、序号或随机数等时变参数,防止先前有效的鉴别信息以后又被接受或者被多次接受。如果采用时间戳或序号,则单向鉴别只需一次传递,而相互鉴别则需两次传递。如果采用使用随机数的激励一响应方法,单向鉴别需两次传递,相互鉴
6、别则需三次或四次传递(依赖于所采用的机制),2规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT1584312008信息技术安全技术实体鉴别第1部分:概述(ISOIEC 97981:1997,IDT)GB 15851-1995信息技术安全技术带消息恢复的数字签名方案(idt ISOIEC 9796;1991)3术语、定义和符号GBT 1584312008中确立的术语、定义
7、和符号适用于本部分。4要求本部分规定的鉴别机制中,待鉴别的实体通过表明它拥有某个私有签名密钥来证实其身份。这要由实体使用其私有签名密钥对特定数据签名来完成。该签名能够由使用该实体的公开验证密钥的任何实体来验证。鉴别机制有下述要求:a) 验证方应拥有声称方的有效公开密钥;b)声称方应拥有仅由声称方自己知道的私有签名密钥。若这两条要求中的任何一条没有得到满足,则鉴别过程会被攻击,或者不能成功完成。注1;获得有效公开密钥的一种途径是用证书方式(见GBT 1584312008的附录c)。证书的产生、分发和撤销都超出了本部分的范围。为了以证书形式获取有效公开密钥,可以引入可信第三方。另一种获得有效公开密
8、胡的途径是利用可信的信使。注2:有关数字签名方案的参考文献在GBT 15843I-2008的参考文献中有描述。5机制50概述本部分规定的实体鉴别机制使用了时变参数,如时间戳、序号或随机数(见GBT 1584312008的附录B和下面的注1)。本部分中,权标的形式如下:GBT 158433-2008ISOIEC 9798-3:1998TokenX。1111 x11 s。(Y,1111 Y,)。本部分中,“签名数据”指的是“Yt】”Il Y”,它用作数字签名方案的输入,而“未签名数据”指的是“x,|X”。若权标签名数据所含信息能从签名中恢复,则它不需要包含在权标的未签名数据中(见GB 158511
9、995)。若权标签名数据的文本宇段所含信息不能从签名中恢复,则它应该包含在权标的未签名文本字段中。若在权标的签名数据中的信息(如验证方产生的随机数)对于验证方是已知的,则它不必包含在声称方所发送的权标未签名数据中。以下机制中规定的所有文本字段同样适用于本部分范围之外的应用(文本字段可能是空的)。它们的关系和内容取决于具体应用。有关文本字段使用的信息参见附录A。注1:为了防止一个实体对其签名的数据块是由第二个实体蓄意构造的,第一个实体可在其签名的数据块中包含它自己的随机数。在这种情况下,随机数的加入使得签名值具有了不可预测性,从而防止了对预定义数据的签名。注2:由于证书的分发超出了本部分的范圈,
10、证书的发送在所有的机制中是可选的。51单向鉴别单向鉴别是指使用该机制时两个实体中只有一方被鉴别。511一次传递鉴别这种鉴别机制中,声称方A启动过程并由验证方B对他进行鉴别。唯一性和时效性是通过产生并检验时间戳或序号(见GBT 1584312008的附录B)来控制的。鉴别机制如图1所示。A(1)CertA lj Token柚B图1 一次传递单向鉴别机制示意圈声称方A发送给验证方B的权标(TokenB)形式是t个 TTokenAB_嘉“lI B i|Text2 II SS。(忘:Jj B II Textl)1 1此处声称方A用序号N“或时间戳T作为时变参数。具体选用哪一个取决于声称方与验证方的能力
11、以及环境。注1:为了防止预期的验证方之外的任何实体接受权标,在Tokense的签名数据中必须包含标识符B。注2:在一般情况下,Text2不由这个过程鉴别。注3;这种机制的一种可能的应用是密钥分发(见GBT 1584312008的附录A)。(1) A发送TokenAs给B。是否发送A的证书是可选的。(2)在接收到含有TokenAB的消息时,B执行下列步骤:(i) 通过验证A的证书或者用其他方式确保拥有A的有效公开密钥;(ii)通过检验包含在权标中的A的签名,检验时问戳或序号,以及检验Tokenne签名数据中标识符字段(B)的值是否等于实体B的可区分标识符来验证Token“。512两次传递鉴别在这
12、种鉴别机制中。验证方B启动此过程并对声称方A进行鉴别。唯一性和时效性是通过产生并检验随机数RB(见GBT 158431 2008的附录B)来控制的。鉴别机制如图2所示。2GBT 158433-20081SOIEC 9798-3:1998A(1)R日0 TextlB(2)CertA 0 TokenAB图2两次传递单向鉴别机制示意圈由声称方A发送给验证方B的权标(TokenB)形式是:TokenB=RA Jl RB|f B Jf Text3|j sss(R|RB II B|Text2)在TokenB中是否包含可区分标识符B是可选的,是否使用依赖于鉴别机制的应用环境。注1:在Tokene的签名数据中
13、可选地包含可区分标识符B是为了防止信息被预期的验证方之外的实体所接受(例如。发生中间人攻击时)。注2:在TokenB的签名数据中包台随机敷R一可以防止B在鉴别机制启动之前获得A对由B选择的数据的签名。这种保护方法是需要的例如当A为了实体鉴别之外的其他目的使用同一密甥时。(1)B向A发送随机数RB,并可选地发送一个文本字段Textl。(2) A产生并向B发送TokenB,并可选地发送A的证书。(3)一旦收到包含Token”的消息,B就执行下列步骤t(i) 通过验证A的证书或者用其他方式确保拥有A的有效公开密钥。(ii)通过以下方式验证Token”:检验权标中所含的A的数字签名检验步骤(1)中发送
14、给A的随机数Re是否与包含在Tokena签名数据中的随机数相符;检验Tokene的签名数据中的标识符宇段(B)的值(如果有),它应等于B的可区分标识符。52相互鉴别相互鉴别是指两个通信实体运用该机制彼此进行鉴别。在521和522中,51|1和512中描述的两种机制被扩展以实现相互鉴别。这种扩展增加了一条消息传递,从而增加了两个操作步骤。523中规定的步骤用了四个消息,但是,这些消息不需要依次的发送。这样,鉴别过程可以加快。52,1两次传递鉴别这种鉴剐机制中,唯一性和时效性是通过产生并检验时简藏或謦号(见GBT 1584312008的附录B)来控制的。鉴别机制如图3所示。A(1)CertToke
15、nAaB(3)CertB ll Tok“酏图3两次传递相互鉴别机制示意图由A发送给B的权标(Token。)形式与511所规定的相同。TokenAB兢l Text2|ss麓PI Bxtl)由B发送给A的权标(Tokenn)形式为:TokenBA一芯Il AII Text4慨兢ll Axt3)此处声称方A用序号N。或时间戳T“作为时变参数。具体选用哪一个取决于声称方与验证方的能力以及环境。注1:在Token一8和Token柏的签名数据中包含标识符A和标识符B是必要的,这可以防止权标被预期的验证方之外的实体所接受。3GBT 158433-2008ISOIEC 97983:1998步骤(1)和步骤(2
16、)与511一次传递鉴别的规定相同。(3)B向A发送Tokenn一,是否发送B的证书是可选的。(4) 步骤(3)中的消息处理方式与511的步骤(2)类似。注2:这种机制中两条消息之间除了时效性上有隐古关系外,没有任何联系;该机制独立地两次使用机制5,11。如果希望这两条消息进一步发生联系,可适当使用文本字段来实现。522三次传递鉴别在这种机制中,唯一性和时效性是通过产生并检验隧机数(觅GBT 1584312008的附录B)来控制的。鉴别机制如图4所示。图4三次传递相互鉴别机制示意图权标形式如下;TokenBRA|RBBfText3|ss(Rii RB|B|Text2)TokenB一一Rn|RA|
17、A 1l Text5【l ssD(RB|RA II A ll Text4)TokenAe中是否包含标识符B,以及TokenBA中是否包含标识符A,都是可选的。这依赖于鉴别机制的应用环境。洼;在Tokem,s的签名数据中包含随机数R可以防止B在鉴别机制启动之前获得A对由B选择的数据的签名。这种保护手段是需要的例如当A为了实体鉴别之外的其他目的使用同一密钥时。在TokenB中包台RB也是需要的+它指示A应检查其值是否与第一条消息中发送的值相同,但是在Tokenen中包含R。可能不会提供类似于上述的在Tokerl址串包含R所实现静锞护露为在产生R之前A已经知道了Ra。如果确实需要实行这类保护,B可以
18、在文本字段Text4和Text5之间插人另外一个随机数RB。(1) B向A发送一个随机数R已,并可选地发送一个文本字段Textl。(2) A向B发送随机数权标Token。n,并可选地发送它的证书给B。(3,收到包含Token“的消息后,B执行下列步骤:(i) 通过检验A的证书或者用别的方式确保拥有A的有效公开密钥;(ii)通过以下方式验证Tokenn:检验包含在权标中的A的签名;检验步骤(1)中发送给A的随机数Rs是否与包含在Tokenm签名数据中的随机数相符;检验Tokenns的签名数据中的标识符字段(B)的值(如果有)是否等于B的可区分标识符。(4) B向A发送Tokennm,并可选地发送
19、它的证书给A。(5)收到包含Token”的消息后,A类似地执行(3)中的步骤(i)和(ii)。此外,A检验包含在Tokeae一签名数据中的随机数RB是否与步骤(I)中所接收的随机数相符。523两次传递并行鉴别在这种机制中,鉴别是并行实行的-唯一性和时效性用产生和检验随机数来控制(见GBT 158431-2008的附录B)。鉴别机制如图5所示。图5两次传递并行相互鉴别机制示意图GBT 158433-2008ISO1EC 97983:1998权标的形式与512中类似:TokenB=Rll RB|B|Text4|ss(RA|RB_|B|Text3)TokenaARBI RA II A II Text
20、6 II(RB ll RA II A I】Text5)TokenAB中是否包含标识符B,以及TokenB中是否包含标识符A,都是可选的。这依赖于鉴别机制的应用环境。注1:随机数R一应包含在TokenB中以防止B在鉴别机制启动之前获得A对由B选择的效据的签名。这种保护手段是需要的,铡如当A为了实体鉴别之外的其他目的使用同一密钥时。出于类似的理由,Token队中也包古随机散Rn。依赖于步骤(1)和步骤(1 7)中发送的消息到达接收端的相对时差。当一方选择随机数时,可能会已经知道了另一方的随机数。如果不希望如此,则双方可以分别在TokenB的Text3和Text4之间以及Tokenaa的Texts和
21、Texts之间插入男一个齄机散R和RB 7。(1)A向B发送R“,并可选地发送它的证书和一个文本字段Textl。(1 7)B向A发送RB,并可选地发送它的证书和一个文本字段Text2。(2)A和B通过各自验证对方的证书或其他的方式。确保它们拥有对方的有效公开密钥。(3)A向B发送TokenAB。(3)B向A发送TokenBA。(4)A和B执行下列步骤:它们各自验证所接收到的权标,验证方式是检查权标的签名,并检查权标中的随机数是否与它们先前发送给对方的随机数相符。注2:523中的机制的一种替代方案是将512的机制双向运行。在523中的机制的第一个消息中包舍证书将允许更早的验证证书,因而能够加速鉴
22、别的过程。5GBT 158433-20081SOIEC 9798-3:1998附录A(资料性附录)文本字段的使用本部分第5章规定的权标包括了文本宇段。在一次给定传递中不同文本字段的实际用途及各文本宇段间的关系取决于具体应用。下面给出一些例子,也可参见GBT 1584312008的附录A。若使用了没有消息恢复的数字签名方案,并且签名的文本字段不是空的。则验证方在检验签名之前要拥有文本。在本附录中,。签名文本字段”指签名数据中的文本字段,而“未签名文本字段”指未签名数据中的文本字段。例如,若使用不带消息恢复的数字签名方案,任何器要进行数据起源鉴别的信息都应放到权标的签名文本字段和(作为一部分放到)
23、未签名文本字段中。若权标未含有足够的)冗余,签名文本字段可以用来提供额外的冗余。签名文本字段可以用来指示,权标只有用于实体鉴别目的时才是有效的。还应注意,一个实体可能会蓄意地企图选择一个“退化”的值来让另一个实体签名。为防范这种可能性,另一实体可以在文本字段中引入一个随机数。假如使用某种算法时,某个声称方对所有与之通信的验证方都使用同一密钥,那么将可能发生潜在的攻击。若认为这种潜在的攻击是一个威胁,则需要在签名文本字段和(若必要)未签名文本字段中,包含预期的验证方的身份。未签名文本字段也可以用于向验证方提供信息,以指明声称方正在声称(但尚未被鉴别)的身份。若不用证书方式来分发公开密钥,则要求使用这种信息让验证方确定用哪个公开密钥来鉴别声称方。
