1、ICS 35040L 80 囝目中华人民共和国国家标准GBT 1 58434-2008ISOIEC 9798-4:1 999代替GBT 1584341999信息技术 安全技术 实体鉴别第4部分:采用密码校验函数的机制Information technology-Security techniques-Entity authenticationPart 4:Mechanisms using a cryptographic check function2008-06-19发布(IS0IEC 9798-4:1999,IDT)2008-1 101实施车瞀鹳鬻黼警矬瞥霎发布中国国家标准化管理委员会捉19
2、前言引言一1 范围2规范性引用文件3术语、定义和符号4要求5机制5o概述51单向鉴别511一次传递鉴别512两次传递鉴别52相互鉴别-521两次传递鉴别522三次传递鉴别附录A(资料性附录) 文本字段的使用目 次GBT 158434-2008ISO1EC 97984:1999Vl11l112223345月IJ 昌GBT 1 58484-2008ISOIEC 9798-4:1999GBT 15843信息技术安全技术实体鉴别分为五个部分:第1部分:概述第2部分:采用对称加密算法的机制第3部分:采用数字签名技术的机制第4部分:采用密码校验函数的机制第5部分:采用零知识技术的机制以后还可能增加其他后续
3、部分。本部分为GBT 15843的第4部分,等同采用lsoIEc 97984:1999信息技术 安全技术 实体鉴别第4部分:采用密码校验函数的机制,仅有编辑性修改。本部分代替GBT 1584341999信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制。本部分与GBT 1584341999相比,主要变化如下:本部分删除了ISOIEC前言,并增加了引言。本部分根据GBT 158431的修订,更改部分术语。本部分为与ISOIEC 97984:1999一致,删除了GBT 1584341999中的31,32,33。本部分删除了GBT 1584341999的附录B、附录C、附录D,而统一使用GBT
4、 158431的附录B、附录c和参考文献。本部分的附录A为资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分主要起草单位:中国科学院数据与通信保护研究教育中心(信息安全国家重点实验室)。本部分主要起草人:荆继武、吕春利、夏鲁宁、高能、向继。本部分所代替标准的历次发布情况为;GBT 1584341999。GBT 158434-2008ISOIEC 97984:1999引 言本部分等同采用国际标准Is0IEC 97984:1999,它是由IsOIEC联合技术委员会JTC 1(信息技术)的分委员会SC 27(IT安全技术)起草的。本部分定义了采用密码校验函数的实体鉴别机制,分为单向鉴
5、别和相互鉴别两种。其中单向鉴别按照消息传递的次数,又分为一次传递鉴别和两次传递鉴别;相互鉴别根据消息传递的次数,分为两次传递鉴别和三次传递鉴别。有关密码校验函数的例子,见GB 15852。本部分凡涉及密码算法的相关内容,按国家有关法规实施。GBT 158434-2008ISOIEC 97984:1999信息技术 安全技术 实体鉴别第4部分:采用密码校验函数的机制1范围本部分规定了采用密码校验函数的实体鉴别机制。其中有两种是单个实体的鉴别(单向鉴别),其余的是两个实体的相互鉴别。本部分中规定的机制采用诸如时间戳、序号或随机数等时变参数,防止先前有效的鉴别信息以后又被接受或者被多次接受。如果采用时
6、间戳或序号,对于单向鉴别只需一次传递,而相互鉴别则需两次传递。如果采用使用随机数的激励响应方法,单向鉴别需两次传递,相互鉴别则需三次传递。密码校验函数的例子见GB 15852。2规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 1584312008信息技术安全技术实体鉴别 第1部分:概述(ISOIEC 97981:1997,IDT)GB 15852 1995信息技术 安
7、全技术 用块密码算法作密码校验函数的数据完整性机制(idt ISoIEC 9797:1994)3术语、定义和符号GBT 158431 2008中确立的术语、定义和符号适用于本部分。4要求本部分规定的鉴别机制中,待鉴别的实体通过表明它拥有某个秘密鉴别密钥来证实其身份。这可由该实体使用其秘密鉴别密钥和密码校验函数对指定数据计算密码校验值来实现。密码校验值可由拥有该实体的秘密鉴别密钥的任何其他实体来校验,其他实体能重新计算密码校验值并与所收到的值进行比较。这些鉴别机制有下述要求,如果其中任何一条没有得到满足,则鉴别过程会被攻击,或者不能成功完成:a) 向验证方证实其身份的声称方与该验证方共享一个秘密
8、鉴别密钥。在正式启动鉴别机制之前,此密钥应为有关各方所知道。向各个实体分发密钥的方法不属本部分的范围。b)声称方和验证方共享的秘密鉴别密钥应仅为这两个实体,以及双方都信任的其他实体所知。c) 机制的安全强度依赖于密钥的长度和安全性、密码校验函数的特性,以及密码校验值的长度。这些参数应被仔细选取以满足既定的安全级别,参数选取和安全级别可能在安全策略中有明确规定。5机制50概述这些鉴别机制中,实体A和B在启动鉴别机制之前应共享一个秘密密钥Ke或两个单向秘密密钥1GBT 158434-2008IsO1EC 9798-4:1999KAB和K。在后一种情况下,单向秘密密钥Kns和Ke。分别用于由B对A进
9、行鉴别和由A对B进行鉴别。这些机制要求使用诸如时间戳、序号或随机数等时变参数。这些参数的特性,尤其是它们很难在鉴别密钥生命周期内重复使用的特性,对于这些机制的安全性是十分重要的。详细信息见GBT 158431-2008的附录B。以下机制中规定的所有文本字段同样适用于本部分范围之外的应用(文本字段可能是空的)。它们的关系和内容取决于具体应用。有关文本字段使用的信息参见附录A。如果验证方能够独立确定文本字段,例如:文本字段被提前知道,或以明文的方式发送,或可从两个源中的一个或两个推导出来,则文本字段可以只包括在密码校验函数的输人中。51单向鉴别单向鉴别是指使用该机制时两个实体中只有一方被鉴别。51
10、1一次传递鉴别这种鉴别机制中,声称方A启动此过程并由验证方B对它进行鉴别。唯一性和时效性是通过产生并检验时间戳或序号(见GBT 1584312008的附录B)来控制的。鉴别机制如图1所示。A(1)Token耻B圉l次传递单商鉴别机制示意圉声称方A发送给验证方B的权标(Tokenm)形式是:TokannN1刘Text2慨。麓11 B|Textl)此处声称方使用序号Nn或时间戳TA作为时变参数。具体选用哪一个取决于声称方与验证方的能力以及环境。根据GBT1584312008中的定义,fK(x)表示使用密码校验函数f和密钥K对数据x计算的密码校验值,TokenAB中是否包含可区分标识符B是可选的。注
11、:在TokenAB中包含可区分标识符B是为了防止敌手假冒实体B来对实体A重用TokenAB。包含可区分标识符B之所以作为可选项。是因为在不会出现这类攻击的环境中可将标识符B省去,如果使用单向密钥,那幺可区分标识符B也可省去。(1)A产生并向B发送TokenAB。(z) 一旦收到包含Tokenar的消息,B就检验时间戳或序号,计算,rfK。(忘8怕|Textl)且将其与权标的密码校验值进行比较,并验证可区分标识符B(如果有)以及时间戳或序号的正确性,从而验证Token“。512两次传递鉴别在这种鉴别机制中,验证方B启动此过程并对声称方A进行鉴别。唯一性和时效性是通过产生并检验随机数R。(见GBT
12、 158431-2008的附录B)来控制的。鉴别机制如图2所示。2GBT 158434-2008ISOIEC 9798-4:1999l A (i)RB【|Textl B(2)TokenAB图2两次传递单向鉴别机制示意图由声称方A发送给验证方B的权标(TokenAB)形式是:TokenAB=Text3 l|fK。(RB Jl B|Text2)在TokenAB中是否包含可区分标识符B是可选的。注:在TokenB中包含可区分标识符B是为了防止所谓的反射攻击。这种攻击的特性是人侵者假冒A将激励随机数Re反射给B。包含可区分标识符B之所以作为可选项,是因为在不会出现这类攻击的环境中可将标识符B省去。如果
13、使用了单向密钥,则可区分标识符B也可省去。(1)B产生并向A发送一个随机数Rn,并可选地发送一个文本字段Textl。(2)A产生并向B发送Token“。(3) 一旦收到包含TokenAn的消息,B就计算fK。(RBl【B|Text2)且将其与权标的密码校验值进行比较,并验证可区分标识符B(如果有)的正确性以及在步骤(1)中发送给A的随机数RB是否与TokenAB中所含的随机数相符,从而验证TokennB。52相互鉴别相互鉴别是指两个通信实体运用该机制彼此进行鉴别。521和522分别采用511和512中描述的两种机制以实现相互鉴别。这两种情况都要求增加一次传递,从而增加了两个操作步骤。注:相互鉴
14、别的第三种机制可由512中规定的机制的两个实例构成,一种由实体A启动,另种由B启动。521两次传递鉴别这种鉴别机制中,唯一性和时效性是通过产生并检验时间戳或序号(见GBT 1584312008的附录B)来控制的。鉴别机制如图3所示。l A (1)Tokena|R(3)Tokenr。, B圈3两次传递相互鉴别机制示意图由A发送给B的权标(Token。)形式与511所规定的相同。TokeDAB一麓|Text2 8 fK。麓I Textl)由B发送给A的权标(Tokenen)形式为:TokeDBA蕊II Text4慨。(N1刘A lTextS)在Token。中是否包含可区分标识符B,在Token。中
15、是否包含可区分标识符A都是可选的。GBT 158434-2008ISOIEC 9798-4:1999注1:TokenB中包含可区分标识符B是为防止敌手假冒实体B对实体A重用TokenAB。因为同样的原因TokenBA中包含可区分标识符A。对它们的包含为可选的,在不会出现这类攻击的环境下将其中之一或二者都可省去。如果使用了单向密钥,则可区分标识符A和B也可省去。在这种机制中,选择时间戳还是序号取决于声称方与验证方的能力及环境。步骤(1)和步骤(2)与511一次传递鉴别的规定相同。(3)B产生并向A发送TokenBA。(4)步骤(3)中的消息处理方式与511的步骤(2)类似。注2:这种机制中两条消
16、息之间除了时效性上有隐含关系外,没有任何联系;该机制独立地两次使用机制511。如果希望这两条消息进一步发生联系,可适当使用文本字段(见附录A)来实现。如果使用单向密钥,那么TokensA中的密钥Ke用单向密钥Ke一代替并在步骤(4)使用相应的密钥。522三次传递鉴别这种相互鉴别机制中,唯一性和时效性是通过产生并检验随机数(见GBT 1584312008的附录B)来控制的。鉴别机制如图4所示。I A (2)Tc kenAB B(4】TokenB,、图4三次传递相互鉴别机制示意图权标形式如下:TokenABRA 11 Text3 Il fK。(RA|RB B|Text2)TokensA=Text5
17、 l【fK。(RB|RA|l Text4)TokenAB中是否包含可区分标识符B是可选的。注:Tokenn中包含可区分标识符B是为了防止所谓的反射攻击。这种攻击的特性是人侵者假冒A将激励随机数Re反射给B。包含可区分标识符B之所以作为可选项,是因为在不会出现这类攻击的环境中可将标识符B省去。如果使用单向密钥,那么可区分标识符B也可以省去,(1) B产生并向A发送一个随机数RB并可选地发送一个文本字段Textl。(2) A产生并向B发送随机数RA和权标TokenAB。(3) 一旦收到包含Token,m的消息,B就计算fK。(Rn|Rn|B|Text2)且将其与权标的密码校验值进行比较,并验证可区
18、分标识符B(如果有)的正确性以及在步骤中(1)发送给A的随机数Ra是否与TokenAB中所含的随机数相符,从而验证TokenAB。(4)B产生并向A发送TokenB“。(5)一旦收到包含TokenBA的消息,A就计算fK。(RB II R一|Text4)且将其与权标的密码校验值进行比较,并验证在步骤(1)中从B所接收到的随机数RB是否与Tokene一中的随机数相符,及在步骤(2)中发给B的随机数Ra是否与Tokenen中的随机数相符,从而验证Tokennn。如果使用单向密钥,那么Tokene一中的密钥Ke将由单向密钥KBA代替,并在步骤(5)使用相应的密钥。GBT 158434-2008ISOIEC 9798-4:1999附录A(资料性附录)文本宇段的使用本部分第5章规定的权标包括了文本字段。在一次给定传递中不同文本字段的实际用途及各文本字段间的关系取决于具体应用。举例来说,适当的文本字段,例如511中Tokennn中的Textl,其中的信息可以在计算该权标的密码校验值时被用到。通过这种方法,可以为信息提供数据起源鉴别。关于文本字段的用途的更多示例参见GBT 1584312008的附录A。