1、中华人民共和国国家标准信息技术安全技术实体鉴别第部分用非对称签名技术的机制发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术实体鉴别第部分用非对称签名技术的机制本标准规定的单方鉴别和相互鉴别机制用于保证信息交换的安全该系列标准在总标题信息技术安全技术实体鉴别下由以下几个部分组成第部分概述第部分用对称加密算法的机制第部分用非对称签名技术的机制第部分用密码检验函数的机制第部分用零知识技术的机制将来增加的部分可跟随其后本标准的附录是提示的附录本标准由中华人民共和国电子工业部提出本标准由电子工业部标准化研究所归口本标准起草单位电子工业部标准化研究所电子工业部第三十研究所本标准主要
2、起草人向维良龚奇敏吴世宗雷利民陶仁骥郝伟刚前言国际标准化组织和国际电工委员会共同组成一个世界标准化专门系统或的国家成员体通过涉及特殊技术活动领域的各个组织所建立的技术委员会来参与国际标准开发和的技术委员会在共同感兴趣的领域内合作与和有联络的其他官方和非官方国际性组织也参与这项工作在信息技术领域内和已建立了一个联合技术委员会由联合技术委员会采纳的国际标准草案需分发给各国家成员体表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由联合技术委员会信息技术的分委会安全技术制定的这个第二版取代了第一版对它作了技术上的修订在总标题信息技术安全技术实体鉴别下由以下几部分组成第部分概述第部分
3、用对称加密算法的机制第部分用非对称签名技术的机制第部分用密码检验函数的机制第部分用零知识技术的机制将来增加的部分可跟随其后本标准的附录只作为信息提供中华人民共和国国家标准信息技术安全技术实体鉴别第部分用非对称签名技术的机制国家质量技术监督局批准实施范围本标准规定了用非对称签名技术的实体鉴别机制有两种鉴别机制属单个实体单向的鉴别其余的属两个实体相互鉴别的机制数字签名用于验证实体的身份也可能有可信的第三方参与本标准中规定的机制使用时变参数如时间标记顺序号或随机数可防止先前有效的鉴别信息以后又被接受若使用时间标记或顺序号则单向鉴别只需要一次传递而完成相互鉴别则需两次传递若使用带有随机数的询问和响应方
4、法则单向鉴别需要两次传递则当完成相互鉴别则需要三次或四次传递依赖于所使用的机制引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术实体鉴别第部分概述定义和记法本标准采用中描述的定义和记法要求本标准规定的鉴别机制中待鉴别的实体要通过表明他知道某秘密签名密钥来证实其身份这要由实体使用其秘密签名密钥对特定数据签名来完成该签名能够由使用该实体的公开认证密钥的任何实体来验证鉴别机制有以下的要求验证者应拥有声称者的有效公开密钥声称者应拥有仅由他自己知道和使用的秘密签名密钥若这两者之
5、一未能满足则鉴别进程会受到损害或者不能成功地完成注获得有效公开密钥的一种途径是用证书的方式见的附录证书的产生分发和撤消都超出了本标准的范围为了这个目的这里可以存在可信的第三方另一种获得有效公开密钥的途径是利用可信的信使机制规定的实体鉴别机制利用了时变参数如时间标记顺序号或随机数见的附录假设权标定义如下本标准中签名数据指的是它用作数字签名方案的输入而未签名数据指的是若权标的签名数据中含有的信息能从签名中恢复则它不需要包含在权标的未签名数据中见若权标签名数据的文本字段中所含的信息不能从签名中恢复则它应包含在权标未签名的文本字段中若在权标的签名数据中的信息如随机数对于验证者是已知的则它不必包含在声称
6、者发送的权标未签名数据中在下面机制中规定的所有文本字段在本标准范围之外的应用中使用是有效的它们可以是空的它们的关系和内容依赖于特定的应用对于文本字段使用方面的信息见附录注一个实体对于第二个实体别有用心操纵数据块的签名这能由第一个实体所签名的数据块中含有它自己的随机数来防止在这种情况下是其不可预测性防止了预定义数据的签名由于证书的分配超出了本标准的范围因此证书的发送在所有的机制中是可选的单向机制单向机制意指仅对两个实体中的一个进行鉴别一次传递机制在这种鉴别机制中由声称者启动进程并由验证者鉴别唯一性时效性由产生和检验时间标记或顺序号来控制见的附录该鉴别机制在图中说明图由声称者发送给验证者的权标的形
7、式是式中声称者使用顺序号或时间标记作为时变参数这种选择依赖于环境以及声称者和验证者的技术能力注为了防止意想的验证者之外的任何实体接受权标在签名数据中必须包含标识符在一般情况下不由这个进程鉴别这种机制的一种应用可能是密钥分配见的附录发送给而的证书是否发送可任选在接收到含有的消息时执行下列步骤通过验证的证书或者用其他方式确保拥有的有效公开密钥通过检验包含在权标中的签名检验时间标记或顺序号以及检验签名数据中标识符字段的值是否等于实体的区分标识符来验证两次传递机制在这种机制中验证者启动进程并对声称者进行鉴别唯一性时效性是通过产生并检验随机数见的附录来控制该签别机制在图中说明图由声称者发送给验证者的权标
8、的形式是中是否包含标识符是任选的它依赖于使用这种鉴别机制的环境注在的签名数据中包含可选的标识符能防止权标被除意想的验证者之外的任何实体接受例如中间人的攻击随机数出现在中以防止在鉴别机制启动之前获得对由选择的数据的签名这种预防方法是需要的例如当为了实体鉴别之外的其他目的使用同一密钥发送随机数给并可任选文本字段发送给而的证书是否发送可任选在接收到含有的消息时执行下列步骤通过验证的证书或者用其他方式确保拥有的有效公开密钥通过以下方式验证检验权标中所含的的数字签名检验步骤中发送给的随机数是否与包含在签名数据中的随机数相符检验的签名数据中的标识符字段的值若有的话它应等于的区分标识符相互鉴别相互鉴别的方式
9、是指两个通信实体相互进行鉴别在和中描述的两种机制分别地扩展到和中来完成相互鉴别这通过传送一个消息而引入两个额外的步骤在中规定的步骤用了四个消息但是这些消息不需要全部顺序地发送这样鉴别进程可以加快两次传递鉴别在这种鉴别机制中唯一性时效性是用产生和检验时间标记或顺序号来控制见的附录该鉴别机制在图中说明图由发送给的权标形式与中规定的相同由发送给的权标形式是在这种机制中选择使用时间标记或顺序号依赖于环境以及声称者和验证者的技术能力注在和的签名数据中必须分别含有标识符和标识符以防止权标被意想的验证者之外的任何别的实体接受步骤和与一次传递鉴别的规定相同发送给并且的证书是否发送可任选在步骤中的消息按步骤类似
10、的方法处理注这种机制的两个消息除了隐含的时效性的约束之外不受任何其他方式的约束该机制包含独立使用机制进行两次传递若要进一步约束这些消息可通过适当使用文本字段来完成三次传递鉴别在这种机制中唯一性时效性是用产生和检验随机数来控制见的附录该鉴别机制在图中说明图权标是下面的形式在中是否包含参数和中是否包含参数都是任选的它们取决于该机制使用的环境注随机数应出现在中以防止在鉴别机制启动之前获得对由选择的数据的签名这种预防方法是需要的例如当为了实体鉴别之外其他目的还将使用同一密钥出于类似的理由也使用了随机数但是因为在选择时为已知可能事先就知道中签名的完整数据若这是不希望有的则可在的和字段中插入一个附加的随机
11、数此外出于安全考虑检验随机数在第一个与第三个消息中的随机数是否相同也是必要的发送随机数给并可任选文本字段发送给而的证书是否发送可任选在接收到含有的消息时执行下列步骤通过检验的证书或者用别的方式确保拥有的有效公开密钥通过以下方式验证检验包含在权标中的签名检验步骤中发送给的随机数是否与包含在签名数据中的随机数相符检验的签名数据中的标识符字段的值若有的话它应等于的区分标识符发送给而的证书是否发送可任选在接收到含有的消息时类似地执行在中列出的步骤和此外检验包含在签名数据中的随机数是否与在步骤中所接收的随机数相符两次传递的并行鉴别在这种机制中鉴别是并行实行的唯一性时效性用产生和检验随机数来控制见的附录该
12、鉴别机制在图中说明图权标与中的类似中是否包含参数和中是否包含参数是任选的它们依赖于使用这种权标的环境注随机数应出现在中以防止在鉴别机制启动之前获得对由选择的数据签名这种预防是需要的例如当为了实体鉴别之外的其他目的还将使用同一密钥出于类似的理由也使用了随机数依赖于和中发送的消息被接受的相对时间当一方选其随机数时可能会知道另一方的随机数若这是不希望有的则两方可在的文本字段和中和的文本字段和中分别插入附加的随机数和发送给而的证书和文本字段是否发送可任选发送给而的证书和文本字段是否发送可任选和确保它们拥有另一实体有效的公开密钥或者通过验证各自的证书或者用某种别的方式发送给发送给和执行下列步骤它们各自都
13、验证收到的权标方式是通过检验包含在权标中的签名并检验它先前发送给另一实体的那个随机数看是否与包含在接收的权标签名数据中的随机数相符注中机制的一种替代方案是将的机制双向运行在机制的第一个消息中包含证书将允许更早地验证证书因此能加速鉴别的进程附录提示的附录文本字段的使用本标准第章规定的权标含有文本字段在给定传递中的各种文本字段的实际应用及其之前关系依赖于应用在下面给出一些例子也可见的附录若使用了没有消息恢复的数字签名方案并且签名的文本字段不是空的则验证者在检验签名之间要拥有文本在本附录中签名文本字段是指签名数据中的文本字段而未签名文本字段是指未签名数据中的文本字段例如若使用不带消息恢复的数字签名方
14、案要求数据源鉴别的任何信息都应放到权标中的签名文本字段和作为一部分未签名文本字段中若权标未含有足够的冗余签名的文本字段可以用来提供附加的冗余签名的文本字段可用来指示只有为了实体鉴别的目的权标才是有效的还应注意鉴于一个实体可能会带有恶意企图选择退化的值让另一实体签名而另一实体可以在文本字段中引入一个随机数假如使用某种算法时由于某个声称者对所有与之通信的验证者使用同一密钥而使得进行攻击是可能的并且若认为这种攻击是一个威胁则在签名文本字段和若必要未签名文本字段中均应含有意想的验证者的身份未签名的文本字段也可用于向验证者提供信息以指明声称者正在声称但未被鉴别的身份若不用证书方式来分配公开密钥则要求用这种信息让验证者确定用哪一个公开密钥来鉴别声称者
