1、ICS Q3060A 11 a园中华人民共和国国家标准GBT 21080-2007IS0 11 131:1992银行业务和相关金融服务基于对称算法的签名鉴别Banking and related financial servicesSignon authentication based on symmetric algorithm(ISO 11131:1992,Banking and related financial servicesSignon authentication。IDT)2007-09-05发布 2007-12-01实施车瞀徽紫瓣譬麟瞥鐾发布中国国家标准化管理委员会促19GBT
2、 21080-2007Iso 11 131:1992目 次前言1日l言1范围-一一12规范性引用文件13术语、定义和缩略语14签名鉴别35保护一66互操作性的协议规范6附录A(资料性附录)本标准的局限性13A1本标准提供的保护范围13A2对用户的警告13附录B(资料性附录)本标准技术指标的局限性14刖 暑GBT 21080-2007IS0 1 1131:1992本标准等同采用ISO 11131:1992银行业务和相关金融服务签名鉴别(英文版)。为便于使用,本标准做了下列编辑性修改:a)删除ISO前言;b) “本国际标准”一词改为“本标准”;c)根据目前计算机行业实际发展情况,增加了资料性附录B
3、。附录A和附录B均为资料性附录。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会归口。本标准负责起草单位:中国金融电子化公司。本标准参加起草单位:中国人民银行、中国银行、中国建设银行、中国光大银行、中国银联股份有限公司、北京启明星辰公司。本标准主要起草人:谭国安、杨鲅、陆书春、李曙光、刘运、杜宁、刘志军、张艳、张德栋、戴宏、张晓东、马云、李红建、王威、王沁、孙卫东、李春欢。本标准为首次制定。GBT 21080-20071S0 11 131 1 1992引 言金融机构正在逐渐通过使用电子通讯技术来为其客户提供更及时无误的服务,以满足个人客户的需求。该技术不断加强客户直接访问(或登录)金
4、融机构里计算机应用程序的能力。具体例子包括资金转移和现金管理服务。从历史上看,金融业普遍采用用户(用户识别名)个人标识符与秘密I=1令结合使用作为提供用户直接访问服务供应商系统的标准方法。然而,该口令系统的有效性存在着局限性。鉴别用户的口令能用多种方法破解,例如,它能被猜测出,被窃听或公开地显示出来。假冒和重放也是两种可能的威胁:假冒是通过显示盗取的口令对实体进行模仿,假冒通常伴有其他攻击,例如数据篡改;重放是对近期已记录的有效交换的再次展现,用来产生非授权效果。双方共享通用密钥的安全签名鉴别程序需要实现大量的条件,包括以下内容:a)保持鉴别系统中结点的硬件和软件的完整;b)保持请求者和授权人
5、之间鉴别信息的完整,如:用户标识符的分配(用户名)、口令的选择、IZl令的变更、中断访问的方法、对失败的签名尝试的审计;c)保持成功登录后整个会话期内鉴别的连续性;d)保持对失败登录尝试的审计能力;e)确保抵抗破解和误用的密钥管理系统的完整性;f)确保已传输的鉴别信息的保密性;g)通过对鉴别信息的验证提供检测重放的方法。GBT 21080-2007IS0 11 131:1992银行业务和相关金融服务基于对称算法的签名鉴别1范围本标准实现了引言中的条件f)和条件g)。它规定了请求访问实体和授权允许访问实体之间的三种签名鉴别方式:a)通过诸如口令的个人鉴别信息(PAl)对用户进行鉴别;b)通过用户
6、唯一密钥对用户进行鉴别;c)通过节点唯一密钥对节点进行鉴别。本标准使用对称(密钥)算法,在对称算法中请求方和授权方使用相同密钥。第6章给出了一个满足本标准要求的协议实例,可在实例中获得互操作性。附录A描述了本标准存在的一些局限性。附录B描述了本标准技术指标的一些局限性。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 152771994信息处理64 bit分组密码算法的
7、工作方式(eqv IS0 8372:1987)IsO 8730:1990银行业务报文鉴别要求(批发)IsO 8732:1988银行业务密钥管理(批发)ISO 101261:1991银行业务报文加密程序(批发)第1部分:一般原则ISO 101262:1991银行业务报文加密程序(批发) 第2部分:DEA算法3术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311鉴别密钥authentication key用于鉴别的密钥。312密文eiphertext被加密的信息。313密码有效期cryptoperiod某一密钥被授权可用的时问周期,或给定系统中密钥保持有效的一段特定时间。314解密d
8、ecipherment将密文(不可读)转换为明文(可读)的过程。1GBT 21080-20071S0 11 131:199231b加密encipherment为了安全和保密,将明文(可读)转换成密文(不可读)的过程。316密钥cryptographic key ,用来对数据加密或解密的密钥。317授权者grantor具有授予访问权利的实体。318密钥粒度key granularity密钥代表的个体的数量,例如,最细的粒度是由一个密钥表示一个个体;而一个粗粒度是一个节点密钥。319报文鉴别message authentication对报文的发送源、唯一性和完整性的验证。3110报文标识符Mess
9、age Identifier;MID用于唯一标识金融报文或交易(如发送银行交易参考)的域。3111模2加法modulo 2 addition数学操作符号(+),定义如下:0(+)000(+)1一i1(+)011(+)10位块的模2加法定义为不带进位的逐位加法。3112节点node能发送或接收数据的设备。考虑到鉴别,其标识应无二义性。3I13个人鉴别信息Personal Authenticating Information;PAI用于鉴别用户身份的信息。信息源于用户知道的信息(如密码)、用户拥有的特性(如唯一占有的特定标识)、用户自身的信息(如指纹)或者是这三种的任意组合。3114明文plain
10、text未加密的数据。3115请求者requestor请求签名的实体。3116时间变参数Time Variant Parameter;TVP在密钥的有效期内不能故意重复的随机或伪随机值。2GBT 21080-2007IS0 11 131:19923117密钥变体variant of a key用原始密钥通过某一过程(该过程不必保密)形成的新密钥。新密钥至少有一位非奇偶校验位不同于原始密钥的相应位。32缩略语下列缩略语适用于本标准。缩略语 含义CSM 密码业务报文DATA 数据ECB 电子码本ERF 错误域GSI GSF类型1GS2 GSF类型2GS3 GSF类型3GSF GENERAL SEC
11、URITY函数GSN 新型GSFINF 信息INPUTIVKMAC输入初始化向量密钥报文鉴别码MCL 报文类型MID 报文标识符ORG 始发者PAl 个人鉴别信息PCM 授权者生成的PAI更改报文RCV 接收者SOE 签名错误报文SOM 签名报文TTM TvP传输报文TvP 时间变量参数USR 用户4签名鉴别描述用来传送密钥或控制发报联络相关信息的报文。CRYPTO函数的输入,例如函数COMBINE的结果。实现加密算法的模式。用于标识前一个CSM中发现的差错情况的域。用于当前PAI的第一类GSF鉴别。第二类GSF鉴别。第三类GSF鉴别。在签名过程中保护PAI和鉴别用户或节点的函数。采用新PAI
12、的第一类GSF鉴别。任意用户定义的作为函数COMBINE的参数的信息。SELECT函数的输入,例如CRYPTO函数的结果。加密解密过程的起点。见316发送者和接收者之间的报文中的代码,用来验证发送源和部分或全部报文的有效性。该代码是双方协商的结果。定义GSF类型的域标记。见3110。CSM的发送者的身份。见3113。在签名鉴别CSM中使用的四个报文类型之一。CSM的接收方的身份。在签名鉴别CSM中使用的四个报文类型之一。在签名鉴别CSM中使用的四个报文类型之一。在签名鉴别CSM中使用的四个报文类型之一。见3116。请求访问的用户的身份。本章规定了完成与本标准一致的签名鉴别所需的基本函数和过程。
13、本标准描述了三种签名鉴别类型:a)类型1:通过PAI对用户进行鉴别;b)类型2:通过用户唯一密钥对用户进行鉴别;c)类型3:通过节点唯一密钥对节点进行鉴别。注1:最后两种类型的鉴别非常相似,唯一的根本区别源于所使用的密钥粒度。GBT 21080-2007ISO 1 1 131:1992使用类型1鉴别,密钥粒度可能和用户、节点或组织有关。使用类型2鉴别时,密钥粒度涉及用户。使用类型3鉴别时,密钥粒度涉及节点。每一组通信双方对应拥有密码运算能力并且享有依照ISO 8732:1988分发的密钥(和一个初始向量IV,如果需要)。只有类型1需要PAI。本标准规定的所有报文鉴别程序应符合ISO 8730:
14、1990中的要求。依照本标准完成的所有密钥管理程序应符合ISO 8730:1990中的要求。传输时PAI应被加密。41基本函数这部分定义了在签名鉴别过程中保护PAl,以及对用户或节点进行鉴别的基本函数。411 COMBINE函数:COMBINE(TVP,PAI,INF)COMBINE函数将三个输入值(如TVP、PAI和INF)合并成一个值。如果不是每一个签名鉴别使用不同密钥,则要求有TVP。只有鉴别类型1需要PAI。INF表示任何用户定义的信息,要求至少有一个参数。当用到TVP或PAI时,它们应取自至少100万个可能值集合。TvP值应影响COMBINE函数输出的最左边的比特位(Bit)。COM
15、BINE函数的输出应足够大,以确保至少100万个值能在有效值集合的生存期内是等概率的”。例如,cOMBINE(TVP,PAD可以被定义为等同TVP(+)PAI,其中,(+)是模2加法操作,且不使用INF。412 CRYPTO函数:CRYPTO(IV,K,DATA)CRYPTO函数使用密钥K和可选的初始化向量IV。用密码方式转换输人DATA(如COMBINE函数的结果)。在加密过程中,加密方式应遵照ISO 10126或GBT 15277-1994中描述的电子码本(ECB)的操作模式。ECB仅用于DATA少于或等于64位的情况。ECB加密不使用Iv。进行报文鉴别时,鉴别方式应遵照ISO 8730:
16、1990,同时使TVP与报文标识符(MID)和报文源日期(Date)合并的作用一样。当同时使用报文鉴别和加密时,CRYPTO函数应使用不同的密钥(或密钥及其变体)。当使用加密而不使用ECB时,TVP应保密(如加密),或者DATA参数应在加密之前在不同的密钥(或其变体)下鉴别。413 SELECT函数:SELECT(INPuT)SELECT函数从INPUT(女n CRYPTO函数的结果)中选择和返回所有或部分数据。这便于报文的压缩。应选择SELECT函数,以至于TVP或PAI中变更不影响SELECT函数输出的机率应小于等于百万分之一。当不使用TVP和PAI并且每一次登录密钥改变时,应选择SELE
17、CT函数,以便在密钥改变后获得同样的SELECT函数输出的机率应小于等于百万分之一。例如,SELECT(INPUT)可被定义为等于输入的任意n位。414 GENERAL SECURITY函数:GsF(Iv,K,TvP,pAI,INF)GENERAL SECURITY函数(GSF)用来保护PAI和在签名过程中鉴别用户或节点。它由前面描述的函数以下述方式构成:GSF(IV,K,TVP,PAI,INF)一SELECT(CRYPTO(IV,K,COMBINE(TVP,PAI,INF)GSF的输出应至少有100万个可能的值。注2:存在许多这样的案例,即在签名的连续过程中多于一个单GSF是必要的(例如,当
18、用户改变PAI时,可能需要有两次不同的GSF调用)。1)TVP的值空间通过每一个使用的值而减少。这个空间应保持足够大,以保证有效的TvP值的数量可以超过100万。无论何时,只要超过了极限值。对于那些操作接近极限值的系统,应形成密钥转变机制。GBT 21080-2007IS0”131:199242鉴别过程为了完成签名鉴别,包含GSF函数结果的报文从请求者发送到授权者。每一个通信对应共享密钥和IV(如果需要的话)。请求者和授权者都应知道TVP(女n果被使用)和INF(3fl果被使用)的值。授权者应验证在GSF中使用的参数是否正确,这可以通过比较GSF的结果和请求者发送的在报文中接收的GSF值来确定
19、。也可以出现以下情况,当使用可逆GSF时,授权者能将反向函数应用到报文中接收的GSF值中,以获得随后用于与期望值比较的参数。43通过PAI(鉴别类型1)对用户的鉴别当使用鉴别类型1对用户鉴别时应使用PAI,PAI被传输时应用CRYPTO函数加密。例如,当TVP和PAl少于或等于64位时,可定义如下:COMBINE(TvP,PAI,INF)一TVP(+)PAI,不使用INF;CRYPTO(1V,K,DATA)一eK(DATA),用ECB模式用密钥K对DATA加密;SELECT(INPuT)一INPUT,SELECT是恒等式。在这种情况下:GsF(Iv,K,TvP,PAI,INF)一eK(TvP(
20、+)PAl),使用ECB模式中的密钥K对TVP(+)PAI进行加密。拥有TvP、PAI和K的授权者可对TVP(+)PAI加密,并将计算出的结果与从请求者接收的结果进行比较。用户依靠GSF中使用的PAI进行显式鉴别。注3:在这个例子中,授权者能对接收的GSF值解密,以获得PAl与已存储的PAI进行比较。因为GSF被选为可逆的,所以此为可能。44通过用户唯一密钥(鉴别类型2)对用户的鉴别当使用鉴别类型2对用户进行鉴别时,密钥对用户应是唯一的。例如,当TvP和PAl少于或等于64位,可定义如下:cOMBINE(TvP,PAI,INF)一TVP,不使用PAI和INF;cRYPTO(IV,K,DATA)
21、一eK(DATA),使用ECB模式用密钥K对DATA加密;sELEcT(INPuT)一INPUT,SELECT是恒等式。在这种情况下:GsF(Iv,K,TvP,PAI,INF)一eK(TvP),其中,使用ECB模式对TVP进行加密。拥有TvP和K的授权者可以对TVP加密,并将计算出的结果与从请求者接收的结果进行比较。用户依靠GSF中使用的用户唯一密钥进行隐式鉴别。注4:在这个例子中,授权者能对接收的GSF值解密,以获得TVP与已存储的TVP进行比较。因为GSF是可逆的。所以此为可能。45通过节点唯一密钥(鉴别类型3)对节点的鉴别当使用鉴别类型3对节点进行鉴别时,密钥对节点应是唯一的。除了密钥粒
22、度外,这种方法与44中描述的方式相同。例如,当TvP和PAI少于或等于64位,可定义如下:c0MBINE(TvP,PAI,INF)一TVP,不使用PAl和INF;CRYPTO(IV,K,DATA)一eK(DATA),用ECB模式用密钥K对DATA加密;SELECT(INPUT)一INPUT,SELECT是恒等式。在这种情况下:GSF(IV,K,TvP,PAI,INF)一eK(TVP),用ECB模式密钥K对TVP(+)PAI进行加密。拥有TVP和K的授权者可以对TVP加密,并将计算出的结果与从请求者接收的结果进行比较。节点依靠GSF中使用的节点唯一密钥进行隐式鉴别。注5:在这个例子中,授权者能对
23、接收的GSF值解密,以获得TvP与已存储的TVP进行比较。因为GSF是可逆的,所以此为可能。5GBT 21080-2007ISO 1 1 131:199246双向鉴别鉴别可以在两节点之间或一用户和一节点之间双向进行。在这种情况下,包含GSF的报文应被发送到每一方。当包含在第一个报文中的信息作为参数包括在反向报文的COMBINE函数中时,则提供了更高的安全性。当同一个密钥被用在两个方向上时,应确保被传输的TVP不能返回到它的发送者。5保护要求遵照本标准的程序,应提供下列可测算的保护程度:a)利用先前有效签名报文进行非授权签名的成功机率应不高于百万分之一;b) 修改先前有效签名报文进行非授权签名的
24、成功机率应不高于百万分之一;c)非授权者仅以一次尝试作为授权用户而被成功鉴别的机率应不高于百万分之一;d)传输PAI时应对其加密,以用来验证用户的身份;e)一方PAI的暴露不应造成另一方签名被破解。6互操作性的协议规范本章提供了满足本标准要求的协议实例。而当其他协议满足本标准的要求时,下列描述的特定协议用于提高实施的可操作性。这个协议使用TVP作为从授权者到请求者的“质询”,并且要求有包含对TvP运算的GSF结果作为“应答”。这个协议也定义了可互操作错误报文。协议规定了由四个不同的报文类组成的密码业务报文(CSM)的使用方式,分别是:TVP传输报文(TTM)、签名报文(SOM)、授权者生成的P
25、AI更改报文(PCM)和签名错误报文(SOE)。协议提供了三种不同的鉴别类型:通过PAI的用户鉴别、通过用户唯一密钥的用户鉴别和通过节点唯一密钥的节点鉴别。本章中描述的互操作的实现应具有实现所有三种鉴别类型的能力。协议假定先前的操作已经建立了连接和隐式的访问请求。这先前的操作可能已经建立需要鉴别的“已声明的”身份。如果可能,这个已声明的身份可以允许授权者从以上描述的三种类型中决定一种适当的鉴别类型。61要求下列要求适用于6367中的每一项报文。a) 规定的加密是GBT 15277 1994中定义的ECB加密模式,十六进制筛选如IsO 10126中定义的使用。b) 要求64位的随机或伪随机TVP
26、。c)要求32位到64位的PAI。如果PAI少于64位,PAI域将会用0从右开始填补,直到形成64位。62符号下列符号应被用来规定协议。a)密码业务报文的字符集应是下列符号:数字(o9)、字母(Az)、逗号(,)、句号(。)、空格(b)、斜线分隔符号()、连字符(一)、星号(*)、圆括弧()。字符(b)在报文中应仅用来区分域。字符(。)在域中应仅用来区分子域(如果要求的话)。b) 密码业务报文的存在状态用金融报文域标记“CSM”来表示。c)每一个报文的内容应以开括号“(”开始并以闭括号“)”结束。d)域标签和正文用斜线“”分开。e)域之间用空格(b)来分开。f)为便于说明,明文域用“PPP”来
27、表示,包含GSF输出的域用“fff”来表示。6GBT 21080-20071S0 1 I 131:1992g)确保用户定义的域(如ORG、RCV)中不出现分隔符(如b、“。”)是实现者的责任。h)ORG和RCV是在使用中共享密钥的团体。在通过PAl对用户进行鉴别的情况下,ORG和RCV可以指用户或节点。在通过节点唯一密钥对节点进行鉴别的情况下,ORG和RCV指节点。在通过用户唯一密钥对用户进行鉴别的情况下,ORG和RCV指用户或节点。63 TvP的传输需要用TvP来防止64和65中描述的报文重用。请求者使用的TvP应确切地与TvP传输报文(TTM)中授权者发送的TVP相匹配。631报文格式CS
28、M(MCLTTMbRCVpppbORGpppbTVPpppb)MCL 报文类型TTM TvP传输报文RCV 报文接收方的身份ORG 报文发送者的身份TvP 应用十六进制筛选得到的TVP值632 GSF函数GSF函数不适用本报文。633处理如图1所示,本报文携带TVP值从授权者发送到请求者。这就是应被用于请求者和授权者之间的下一个报文中的TVP。图1如果一报文用一有效的TVP来接收,那么可以按照前述的协议发送一错误报文(见67)。64通过PAl对用户的鉴别此协议满足本标准的要求并且与43中描述的鉴别方式相符合。641报文格式对于这种类型的签名鉴别,包括另外两种报文类型:签名报文(SOM)和授权者
29、产生的PAI更改报文(PCM)。CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSlfffbGSNfffb)MCL 报文类型sOM 签名报文RCV 报文接收方的身份ORG 报文发送者的身份USR 请求访问的用户身份(请求者的身份,也就是用户名)。如果声明的身份已知,则本报文的内容可为空。GSl 用户PAI与TvP模2算法相加,加密,然后通过十六进制筛选。GSN 新用户PAl与TvP+1模2算法相加,并加密,然后通过十六进制筛选。如果希望由其他实体产生新的值,那么这个域的内容可为空。注6;GSN仅被用于包括PAl更改的签名报文。CSM(MCLPCMbRCVpppbORGpppb
30、GSNfffb)MCL 报文类型7GBT 21080-2007IS0”131:1992PCMRCVORGGSN授权者产生的PAI更改报文报文接收者的身份报文发送者的身份新用户PAI与TVP+1模2算法相加,并加密,然后通过十六进制筛选。如果希望由其他实体产生新的值,那么这个域的内容可为空。642 GSF函数GSF函数适用于创建GSl和GSN域。GSl一SELECT(CRYPTO(K,COMBINE(TVP,PAI)一eK(TVP(+)PAI)GSNSELECT(CRYPTO(K,COMBINE(TVP+1,new PAD)一eK(TVP+1(+)new PAI)其中:a)SELECT函数是恒等
31、式。b)对于这个运算,K是RCV和ORG之间共享的密钥。CRYPTO被定义为在GBT 152771994中的ECB操作模式。注7:在ECB模式中不需要IV。c)COMBINE函数是用零填充后两个域的模2加法。643处理签名请求签名请求可以方便地分为两种不同的种类:常规请求和PAI更改请求。6431处理常规签名请求图2说明了使用用户PAI的签名过程。在TTM报文中授权者将TVP传输到请求者。然后,请求者使用TvP填写SOM报文中的GSl域传送给授权者。一旦接收到SOM报文,授权者会将接收到的GSl值与已计算出的GSl值进行比较。或者,授权者可以将接收的GSl值进行解密,以获得TVP(+)PAI值
32、,因此PAI值可被用来与期望的PAI值比较。如果比较结果一致,那么鉴别就完成了。请求者 授权者一CSM(:MCLTTTMbRCVpppbORGpppbTVPpppb)CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSlfftb)一图26432处理PAl更改的签名请求四个PAI更改案例是:a) 请求者产生一个PAI变化并提供一个新PAI值;b) 授权者产生一个PAI变化并要求请求者提供一个新PAI值;c) 请求者产生一个PAI变化并要求授权者提供必要的值;d)授权者产生一个PAI变化并提供所需值。注8:在由新PAI创建的GSN的转换过程中,有意或无意的变化将导致授权者和请求者之
33、间的PAI同步的丢失。为了最大程度降低这种情况发生的可能性,实现所述协议的机构应考虑使用报文完整性和报文源鉴别技术来保护包含从新PAI构造的GSN报文。64321 PAl更改(请求者产生,请求者提供)见图3。TvP由授权者来提供(请求者决定是否需要新PAI)。然后,请求者使用TVP和TVP+1来分别填充GSl和GSN域。授权者将接收到的GSl值与计算出的GSl进行比较(或者,授权者对接收的GSl值进行解密,以获得TVP(+)PAI值,PAl值随后可被用来与期望的PAI值进行比较)。如果比较结果一致,那么授权者对请求者的鉴别就完成了。授权者对接收的GSN值进行解密获得请求者的新PAI。GBT 2
34、1080-2007Is0 11131:1992请求者 授权者一CSM(MCLTTMbRCVpppbORGpppbTVPpppb)CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSlfffbGSNfffb)一图364322 PAI更改(授权者产生,请求者提供)见图4。TvP由授权者提供。然后,请求者使用TvP填充作为常规签名请求的GSl域。授权者将接收的GSI值与已计算出的GSl进行比较(或者,授权者将接收的GSl值进行解密,以获得TvP(+)PAl值,将PAl值与期望的PAI值进行比较)。如果比较结果一致,那么授权者对请求者的鉴别就完成了。授权者决定是否需要PAI更改,并发送
35、带有空GSN的PCM报文。请求者通过检查空的GSN来获取PAI的更改请求。请求者在用TvP+1计算的新SOM报文的GSF域中提供新PAI。授权者对接收的GSN值进行解密获得请求者的新PAl。请求者 授权者一CSM(MCLTTMbRCVpppbORGpppbTVPpppb)CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSIfffb)一一CSM(MCLPCMbRCVpppbORGpppbGSNb)CSM(MCLSOMbRCVpppbOROpppbUSRpppbGSlffibGSNfffh)一图464323 PAl更改(请求者产生,授权者提供)见图5。TVP由授权者来提供。然后,
36、请求者使用TVP填充sOM报文中的GSl。请求者决定是否需要一个新PAI。在同样的sOM报文中,请求者使用空GSN来请求新PAI值。授权者将接收的Gsl值与已计算出的Gsl进行比较(或者,授权者可将接收的Gsl值进行解密,以获得TVP(+)PAI值,PAI值随后可被用来与期望的PAl值进行比较)。如果比较结果一致,那么授权者对请求者的鉴别就完成了。为响应对新PAI值的请求,授权者使用TVP+1和最近生成的PAI来填充PCM报文中GSN。请求者接收到PCM报文时,如果决定接受新PAl,那么随后会返回在新SOM报文中收到的GSN值,从而确认新PAI的信息。请求者 授权者一CSM(MCLTTMbRC
37、VpppbORGpppbTVPpppb)CSM(MCLSOMbRCNpppbORGpppbUSRpppbGSlfffbGSNb)一一CSM(MCLPCMbRCVppobORGpppbGSNfffb)CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSlbGSNfffb)一图5在响应从授权者接收到的PCM报文时,如果请求者决定拒绝刚接收的新PAI,请求者可以发送ERF域中有N的签名错误报文(SoE)来表明新PAl值是不可接受的。授权者可以发送一个新的PCM报文来响应这个SOE报文:再次使用TVP+1和其他最新生成的PAI来填充GSN。此后的过程重复如上。64324 PAI更改(授
38、权者产生,授权者提供)见图6。TVP由授权者来提供。然后,请求者使用TVP来填充sOM报文中的GSl。授权者将接收的GSl值与计算出的GSl值进行比较(或者,授权者可将接收的GSl值进行解密,以获得TVP(+)PAI值,PAI值随后可被用来与期望的PAI值进行比较)。如果比较结果一致,那么请求者对授权者的鉴别就完成了。授权者决定是否需要一个新的PAI更改。然后授权者使用TVP+1和最新生成的PAI来填充PCM报文中GSN。请求者接收到一PCM报文后,如果决定接受刚接收的新PAI,返回在新的sOM报文中收到的GSN值,从而确认新PAI的信息。9GBT 21080-2007IS0 11 131:1
39、992在响应从授权者接收到的PCM报文时,如果请求者决定拒绝刚收到的新PAl,请求者可发送ERF域中有N的签名错误报文(SOE)来表明新PAI值是未被接受的。授权者能发送一个新PCM报文来响应这个SOE报文:再次使用TvP+1和其他最新生成的PAI来填充GSN。此后的过程重复如上。请求者 授权者+CSM(MCLTTMbRCNpppbORGpppbTVPpppb)CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSlKtb)一一CSM(MCLPCMbRCVpppbORGpppbGSNfffb)CSM(MCLSOMbRCVpppbORGpppbUSRpppbGSlbGSNffPo)
40、一图6建议:在任何PAI更改过程中(所有四种情况),请求者和授权者更改过程没有完成时不要更新他们的新PAI。PAI更改过程可因任何一个错误而中止,在这种情况下,返回到初始状态有助于错误恢复。建议:当一个PAI更改过程完成后,如6431部分中描述那样,为验证带有常规签名过程的新PAI,授权者向请求者发送一个新TvP作为新的“质询”。65通过用户唯一密钥对用户的鉴别此协议满足本标准的要求并且与44中描述的鉴别方式相符合。651报文格式对于这种类型的签名鉴别,除了TTM报文外,应使用以下SOM报文。csM(McLsoMbRCVpppbORGpppbGs2fffb)其中:SOM 签名报文RCV 报文接
41、收方的身份ORG 报文发送者的身份(在这种情况下指用户身份,如用户名)GS2 在用户唯一密钥下对TVP加密,然后通过十六进制筛选652 GSF函数GSF函数适用于在GS2域中。GS2一SELECT(CRYPTo(K,COMBINE(TVP)一eK(TVP)其中:a)SELECT函数是恒等式。b)K是请求者和授权者之间共享的密钥。CRYPTO为GBT 15277 1994中定义为ECB操作模式。注9:在ECB模式中不需要Iv。c)COMBINE函数是恒等式。653处理过程过程如图7所示。从授权者发送包含所期望TVP值的TTM报文给请求者。然后,请求者用ECB对TvP值进行加密,再将它放置在SOM
42、报文的GS2域中。授权者收到后,将接收到的GS2值与计算出的GS2值进行比较(或者,授权者可将接收到的GS2值进行解密,获得TvP值用来与期望的TVP值进行比较)。如果比较结果一致,那么授权者对请求者的鉴男就完成了。请求者 授权者一CSM(MCLTTMbRCVpppbORGppphTVPpppb)CSM(MCLSOMbRCWpppbORGpppbGS2Ittb)一图7GBT 21080-2007IS0 11 131:199266通过节点唯一密钥对节点的鉴别此协议满足本标准的要求,并且与45中描述的鉴别方式相符合。661报文格式对于该类签名鉴别,除了TTM报文,应使用下列SOM报文。CSM(MC
43、LSOMbRCVpppbORGpppbGS3fffb)SOM 签名报文RCV 报文接收者的身份(此处指节点身份)ORG 报文发送者的身份(此处指节点身份)GS3 用节点唯一密钥下TVP加密,然后通过十六进制筛选662 GSF函数除了在CRYPTO函数中使用的密钥是始发者与接收者之间共享的节点唯一密钥外,该函数与652中的GSF函数是一样的。GSF函数适用于GS3域。GS3一SELECT(CRYPTO(K,COMBINE(TVP)一eK(TVP)其中:a)SELECT函数是恒等式。b) K是请求者和授权者之间共享的密钥。CRYPTO为GBT 15277 1994中定义的ECB操作模式。注lo:在
44、ECB模式中不需要IV。c)COMBINE函数是恒等式。663处理过程过程如图8所示。授权者将包含期望的TVP值的TTM报文发送给请求者。请求者用ECB对TVP值进行加密形成GS3值,再将它返回给授权者。授权者接收到后,将接收到的GS3值与计算出的GS3值进行比较(或者,授权者能将接收到的GS3值进行解密,获得TVP值用来与期望的TVP值进行比较)。如果比较结果一致,那么授权者对请求者的鉴别就完成了。请求者 授权者一CSM(MCLTTMbRCN|pppbORGpppbTVPpppb)CSM(MCLSOMbRCVpppbORGpppbGS3fffb)一图867错误恢复签名错误报文(SOE)是一类
45、特殊的报文类,用于指示错误报文。如64323和64324中所述,如果授权者产生的新PAI值未被请求者接受,则也应使用此SOE报文。671报文格式SOE报文格式表示如下:CSM(MCLSOEbRCVpppbORGpppbERFpppb)sOE 签名错误报文RCV 报文接收者的身份ORG 报文发送者的身份ERF 错误域错误域的内容应用16个字符表示,它们的值和定义分别表示如下:A 中断签名过程B 未被识别的报文类型】GBT 21080-2007IS0”131:1992C 不能处理D 签名尝试次数太多E 设备不能操作F 格式错误G 不允许改变口令H USR不能被识别(提供这个错误报文可以减少穷举攻击
46、中所需的尝试次数)I 无效签名J GSl无效K GSN无效L GS2无效M GS3无效N 由授权者生成的FAI不被请求者接受O PAI过期PS 保留备用Tz 保留为特定实现用* 同SO 8732:1988中的错误代码672 GSF函数本报文不使用GSF函数。673处理所有的错误报文都以SOE报文类型来处理。在大多数情况下(除了6432中描述的),接收SOE报文将会导致签名过程中断和错误恢复尝试。错误恢复不属于本标准的范畴,但可能有其他实现上或策略上的详细说明。协议规定这些错误报文的可互操作,剩下的就由管理者来决定是否实际产生这样的报文。附录A(资料性附录)本标准的局限性GBT 21080-20
47、07IS0 1 1131:1992A1 本标准提供的保护范围按照本标准中的程序提供的保护仅在下面的情况下有效:a) 防备不知道密钥信息的攻击者;b)在密码处理过程之间,不对在加密过程之前或解密过程之后发生的攻击提供防护;同样,在MAC附加到报文之前和确认之后,不提供任何检测篡改MAC的方法;c)在加密和鉴别同时进行的情况下,则仅当这些过程是以安全方式完成的,且不存在干扰或破坏未被发现的可能性;d)节点保持完整性。本标准不能阻止在签名鉴别成功完成后使用物理窃听来控制会话的攻击者。A2对用户的警告第5章中要求,通过单一尝试,进行重放、篡改或娼然鉴别的未授权签名尝试的成功机率要求不超过百万分之一。需要有适当的机制限制尝试和“质询”次
