1、ICS 35040L 80 a雪中华人民共和国国家标准GBT 1 79033-2008ISOIEC 1 3888-3:1 997代替GBT 179033 1999信息技术 安全技术 抗抵赖第3部分:采用非对称技术的机制Information technology-Security techniques-Nonrepudiation-Part 3:Mechanisms using asymmetric techniques2008-07-02发布(IS0IEC 138883:1997,IDT)2008-12-01实施丰瞀粥鬻瓣警襻瞥星发布中国国家标准化管理委员会促19GBT 179033-200
2、8ISOIEC 138883:1997前言一1范围2规范性引用文件3术语和定义4符号和缩略语5要求6可信第三方的参与7数字签名-8抗抵赖权标-81原发抗抵赖(NRO)权标-82交付抗抵赖(NRD)权标83提交抗抵赖(NRS)权标-84传输抗抵赖(NRT)权标-9不使用交付机构的机制91原发抗抵赖机制-92交付抗抵赖机制-10使用交付机构的机制-101提交抗抵赖机制102传输抗抵赖机制附录A(资料性附录) 其他抗抵赖服务机制目 次GBT 179033-2008ISOIEC 138883:1997刖 昂GBT 17903在总标题信息技术安全技术抗抵赖下,由以下几部分组成:第l部分:概述;第2部分:
3、采用对称技术的机制;第3部分:采用非对称技术的机制。本部分为GBT 17903的第3部分,等同采用ISOIEC 138883:1997信息技术安全技术抗抵赖第3部分:采用非对称技术的机制,仅有编辑性修改。ISOIEC 138883:1997是由联合技术委员会ISOIEC JTCl(信息技术)分技术委员会SC 27(IT安全技术)提出的。本部分代替GBT 179033 1999信息技术安全技术抗抵赖第3部分:采用非对称技术的机制。本部分与GBT 1790321999相比,主要差异如下:本部分根据第1部分的修订,更改部分术语。本部分对部分叙述进行了文字修订,修正了92中的“NROT”。本部分的附录
4、A是资料性附录。本部分由全国信息安全标准化技术委员会提出并归口。本部分主要起草单位:中国科学院软件研究所、信息安全国家重点实验室。本部分主要起草人:张振峰、冯登国。本部分所代替标准的历次版本发布情况为:GBT 1790331999GBT 179033-2008ISOIEC 138883:1997信息技术安全技术抗抵赖第3部分:采用非对称技术的机制1范围抗抵赖服务旨在生成、收集、维护、利用和验证有关已声称事件或动作的证据,以解决有关该事件或动作的已发生或未发生的争议。本部分使用非对称技术规定了用于提供一些特定的、与通信有关的抗抵赖服务机制。抗抵赖机制可以提供以下四种抗抵赖服务:a)原发抗抵赖;b
5、)交付抗抵赖;c)提交抗抵赖;d)传输抗抵赖。抗抵赖机制涉及到各种抗抵赖服务所规定的抗抵赖权标的交换。抗抵赖权标由数字签名和附加数据组成。抗抵赖权标可作为抗抵赖信息予以存储,以备之后发生争议时使用。依据特定应用下有效的抗抵赖策略以及该应用操作所处的法律环境,抗抵赖信息可能包括以下附加信息:a)包括时间戳机构提供的可信时间戳在内的证据;b)公证人提供的证据,以确保动作或事件是由一个或多个实体执行或参与的。抗抵赖只能在特定应用及其法律环境下、有明确定义的安全策略的范围内才可生效。2规范性引用文件下列文件中的条款通过GBT 17903的本部分的引用而成为本部分的条款。凡是注El期的引用文件,其随后所
6、有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB 15851 1995信息技术安全技术带消息恢复的数字签名方案(idt ISOIEC 9796:1991)GBT 938721995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt ISO 74982:1989)GBT 162648 2005信息技术开放系统互连 目录第8部分:鉴别框架(ISOIEC 9594 8:2001,IDT)GBT 17902(所有部分)信息技术安全技术带附录的数字签名(idt
7、ISOIEC 14888)GBT 187941200z信息技术开放系统互连开放系统安全框架第1部分:概述(idt isoIEC 101811:1996)GBT 187944 2003信息技术开放系统互连 开放系统安全框架 第4部分:抗抵赖框架(ISOIEC 101814:1997,IDT)GBT 179031 2008信息技术安全技术抗抵赖第1部分:概述(ISOIEC 138881:2004,IDT)3术语和定义GBT 1790312008的术语和定义适用于本部分。GBT 179033-2008IS0IEC 138883:19974符号和缩略语41符号ABf。Imp(y)mPofQSxtLte
8、xty II z42缩略语DANRDNRDTNR0NRoTNRSNRSTNRTNRTTTSATST5要求消息原发者A的可区分标识符消息接收者B的可区分标识符标明抗抵赖服务类型的数据项(标记)数据串y的印迹,或者是数据串y的散列码,或者是数据串y实体A发送给实体B的消息,抗抵赖服务针对该消息提供适用于证据的抗抵赖策略的可区分标识符包含附加信息的可选数据项,如消息m、签名机制或散列函数的可区分标识符使用签名算法和实体x的私有密钥的签名操作事件或动作发生的日期和时间证据生成的B期和时间包含附加信息的可选数据项,例如密钥标识符和(或)消息标识符J和z按顺序的连接Delivery Authority交付
9、机构,一个可信第三方Non-Repudiation of Delivery交付抗抵赖NonRepudiation of Delivery Token交付抗抵赖权标NonRepudiation of Origin原发抗抵赖Non Repudiation of Origin Token原发抗抵赖权标Non-Repudiation of Submission提交抗抵赖NonRepudiation of Submission Token提交抗抵赖权标NonRepudiation of Transport传输抗抵赖Non-Repudiation of Transport Token传输抗抵赖权标Time
10、-Stamping Authority时间戳机构Time-Stamping Token时间戳权标下列要求适用于本部分中抗抵赖交换所涉及的实体,这些要求与生成抗抵赖权标的基本机制有关,与抗抵赖机制所支持的抗抵赖服务无关。51抗抵赖交换中的实体应信任同一个可信第三方(TTP),在抗抵赖协议许可下,该TTP可以由若干独立的TTP组成。52实体的签名密钥必须由该实体秘密持有。53所用数字签名机制应该满足策略所规定的安全要求。54在生成证据之前,证据生成者必须知道证据的生成所应该遵循的抗抵赖策略、证据的类型以及证据的验证机制。55特定抗抵赖交换中的实体可得到生成或验证证据的机制,或者存在一个可信机构来提
11、供这些机制。56证据生成者和证据验证者可能需要访问可信时间戳或者公证设施。6可信第三方的参与根据所使用的机制和有效的抗抵赖策略,抗抵赖服务的提供可能需要可信第三方的参与。一个可2GBT 179033-2008ISOIEC 138883:1997信第三方可能会担当一个或多个角色。a)交付机构(DA)可信赖地将消息交付给预定的接收者,并提供提交抗抵赖权标或者传输抗抵赖权标;b)使用非对称密码技术时至少需要一个可信第三方的参与,以确保公开验证密钥的真实性,正如GBT 1626482005所指出的那样;c)有效的抗抵赖策略可能要求部分或全部证据由可信第三方生成;d) 时间戳机构(TsA)用于提供可信时
12、间戳。TSA也可用于保证抗抵赖权标在签署该权标的密钥泄漏或者撤消之后仍然是有效的;e)公证机构用于证实所涉及的实体、证实所传输的数据,或者用于将现有权标的生命期延长到期满和撤消之后;f)证据记录机构用于记录证据,供将来解决争议时进行证据提取。可信第三方可以不同身份参与到抗抵赖的各个过程中。当交换证据时,双方必须都知道或者同意适用于证据的抗抵赖策略。7数字签名抗抵赖权标是使用数字签名创建的。GBl5851 1995和GBT17902规定了两种数字签名,即:a) 带消息恢复的签名,其中验证过程可以恢复消息以及特定的冗余信息。b)带附录的签名,其中验证过程需要把消息作为其输入的一部分。签名机制的选取
13、由采用的策略来决定,本部分不予考虑。签名算法和密钥有事先定义的生命周期,在证书机构颁发的密钥证书中规定。因此,本部分所定义的权标也有明确的、由抗抵赖策略规定的生命周期。A2中描述的机制可用于延长权标的生命期。8抗抵赖权标各种抗抵赖权标的使用方法如图1中所示。图1 抗抵赖权标及其应用81 原发抗抵赖(NRo)权标NRO权标用于防止原发者否认其已经发送的消息。NRO权标:a)由消息m的原发者A或机构C生成;b)由A发送给接收者B;c)验证后由接收者B存储。NRO权标的结构为:NROT=textl|ll s(z1),其中3GBT 179033-2008ISOIEC 13888-3:19972,一Po
14、l f,ff A B|C|t|T。J|Q Imp(m)。NRO权标所需信息z,包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符,: 标明原发抗抵赖的标记A 消息m的原发者的可区分标识符B 消息m的预定接收者的可区分标识符(可选项)C 所涉及机构的可区分标识符(可选项)。如果权标由机构C生成,那么本数据项是强制的,而且NRO权标中的签名S。()应替换为s。(z。)t 权标生成的日期和时间,取决于权标的生成者T- 消息m发送的日期和时间,取决于原发者(可选项)Q 包括附加信息的可选数据项,如消息m、签名机制或散列函数的可区分标识符,以及有关证书和公开密钥合法性的信息Imp(m) 消息m
15、的印迹,由消息m或者m的散列码构成82交付抗抵赖(NRD)权标NRD权标用于防止接收者否认其已经接收到消息m并认可消息的内容。NRD权标:a) 由接收者B(或机构C)生成;b) 由B发送给包括消息的原发者A在内的一个或多个实体;c)验证后由这些实体存储。NRD权标的结构为:NRDT=text:j|z2|SB(z2),其中施一Pol|fz|A 1I B II c|t|L II Q 9mp(m)。NRD权标所需信息z。包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符,2 标明交付抗抵赖的标记A B声称的消息m的原发者的可区分标识符(可选项)B 消息m的接收者的可区分标识符C 所涉及机构
16、的可区分标识符(可选项)。如果权标由机构C生成,那么本数据项是强制的,并且NRD权标中的签名S。(z:)应替换为Sc(z。)L 权标生成的日期和时间,取决于权标的生成者n 消息m接收的日期和时间,取决于接收者(可选项)Q 包括附加信息的可选数据项,如消息m、签名机制或散列函数的可区分标识符,以及有关证书和公开密钥合法性的信息Imp(m) 消息m的印迹,由消息m或者m的散列码构成83提交抗抵赖(NRS)权标NRS权标由交付机构创建。此时证据生成者是交付机构DA。原发者A或前一个交付机构x发送消息m给交付机构DA。交付机构DA接收消息m,并发送NRS权标给原发者A或前一个传输代理x,从而提供证据表
17、明消息已经提交以向前递送。NRs权标:a)由交付机构DA生成;b) 由DA发送给消息的原发者A或前一个交付机构x;c)验证后由A或X存储。NRS权标的结构为:4GBT 179033-2008ISOIEC 138883:1997NRST=text 3|z。I|SDA(z3),其中一Pol ,3 l【A iI BC D|E T。|L|Q lfrnp(m)。NRS权标所需信息z,包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符,3 标明提交抗抵赖的标记A 消息m的原发者的可区分标识符(可选项),DA可能验证过标识符A的合法性,也可能没有验证B 消息m的预定接收者的可区分标识符C 交付机构
18、(DA)的可区分标识符D 交付机构x的可区分标识符(如果存在)E 交付机构Y的可区分标识符(如果存在)T。 权标生成的日期和时间,取决于权标的生成者L 消息m提交的日期和时间,取决于权标的生成者Q 包括附加信息的可选数据项,如消息m、签名机制或散列函数的可区分标识符,以及有关证书和公开密钥合法性的信息Imp(m) 消息m的印迹,由消息m或者m的散列码构成84传输抗抵赖(NRT)权标NRT权标是由消息的原发者使用的证据,以证明消息m已经由交付机构DA递送给B。此时,证据的生成者是交付机构DA。原发者A或前一个交付机构x发送消息m给交付机构DA。交付机构DA把消息m递送给接收者B或下一个交付机构。
19、将消息m递送给接收者B的交付机构DA发送NRT权标给消息m的原发者A,从而提供证据以表明消。g m已被递送给B。NRT权标:a)由交付机构DA生成;b)由DA发送给消息的原发者A;c)验证后由A存储。NRT权标的结构为:NRTT=text4 z4 0 sDA(24),其中z。一Pol|,4 ff A|B|C|D|t T4|Q|Imp(m)NRT权标所需信息包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符,4 标明传输抗抵赖的标记A 消息m的原发者的可区分标识符(可选项),DA可能验证过标识符A的合法性,也可能没有验证B 消息m的预定接收者的可区分标识符C 交付机构DA的可区分标识符
20、D 交付机构x的可区分标识符,如果存在(可选项)L 权标生成的日期和时间,取决于权标的生成者t 消息交付的日期和时间,取决于权标的生成者Q 包括附加信息的可选数据项,如消息m、签名机制或散列函数的可区分标识符,以及有关证书和公开密钥合法性的信息Imp(m) 消息m的印迹,由消息m或者m的散列码构成9不使用交付机构的机制本章的抗抵赖机制允许在没有交付机构参与的情况下生成原发抗抵赖(NRO)和交付抗抵赖5GBT 179033-20081S0IEC 13888-3:1997(NRD)证据。实体A欲发送消息m给实体B,于是实体A就成为抗抵赖传输的原发者,实体B为接收者。假定实体A知道自己的签名密钥,实
21、体B也知道自己的签名密钥,并且所有相关实体都知道对应的验证密钥。下面描述两种抗抵赖机制。91原发抗抵赖机制原发抗抵赖(NRO)权标由消息的原发者A生成,并发送给消息的接收者B。步骤:从实体A到实体Ba)实体A生成81规定的NRO权标;b)实体A发送NRO权标(与消息m一起)给实体B。实体B检验NRO权标及其内容的有效性。如果是有效的,则存储NRO权标作为原发抗抵赖的证据;如果是无效的,实体B要求A重颠发送NRO权标。92交付抗抵赖机制交付抗抵赖(NRD)权标由消息的接收者B生成,B在收到消息m后把NRD权标发送给原发者A。步骤1:从消息的原发者A到消息的接收者B实体A向B发送消息m并请求NRD
22、权标。步骤2:从实体B到实体Aa) 实体B接收消息m并验证该NRD权标请求的有效性;b)实体B生成82规定的NRD权标;c)实体B发送NRD权标给实体A;d)实体A检验NRD权标及其内容的有效性。如果是有效的,则存储NRD权标作为B已经接收到消息m的证据;如果是无效的,实体A要求B重新发送NRD权标。10使用交付机构的机制在抗抵赖过程中有许多其他机制使用可信第三方。这些机制结合第9章的基本机制,可满足安全策略的要求。交付机构在发布抗抵赖(NRSNRT)权标时,使用术语“提交”或“传输”。a)NRS权标允许原发者或前一个交付机构得到证据,证明消息在一个存储与传送系统中已经提交以便进行传递;b)
23、NRT权标允许原发者得到证据,证明消息已经由交付机构交付给了预定的接收者。101提交抗抵赖机制本机制的第一步,发送实体x把消息发送给交付机构DA以向前传递。第二步,交付机构发送NRS权标给实体x。提交抗抵赖在第二步建立。步骤1:从实体x到交付机构DA实体x发送消息m给DA并向DA请求NRS权标。步骤2:从DA到实体Xa)DA生成83规定的NRS权标;b)DA向实体x发送NRS权标;c)实体x检验NRS权标及其内容。如果是有效的,则存储NRS权标作为提交抗抵赖(即消息已经提交)的证据。102传输抗抵赖机制本机制的第一步,发送实体x把消息发送给交付机构以向前传递。第二步,DA发送消息给接收者B。第
24、三步,DA生成NRT权标并发送给消息m的原发者,即实体A。传输抗抵赖在第三步建立。6GBT 179033-20081SOIEC 138883:1997步骤1:从实体x到交付机构DA实体x发送消息m给DA。步骤2:从交付机构DA到实体BDA发送消息m给实体B。步骤3:从交付机构DA到实体Aa)DA生成84规定的NRT权标;b)DA发送NRT权标给实体A;c)实体A验证NRT权标及其内容。如果是有效的,则存储NRT权标作为传输抗抵赖(即消息已经交付给预定的接收者B)的证据。GBT 179033-2008ISOIEC 13888-3:1997附录A(资料性附录)其他抗抵赖服务机制根据特定应用的有效抗
25、抵赖策略和该应用操作所处的法律环境,可能需要以下机制来完成抗抵赖服务:a) 时间戤服务机制,提供包含可信时间戳(由时间戳机构生成)在内的证据;b)公证服务机制,提供证据以确保所执行的事件或动作;c)证据记录服务机制,以维护某操作的记录,供将来解决争执时恢复证据。A1时间戳服务机制本章中,TTP通过生成时间戳权标(TST)的方式提供时间戳服务。如果需要可信的时间参照,而权标生成者提供的时钟又不可信,就需要依赖一个可信第三方,即时间戳机构(TSA),其职责是对消息进行会签,建立进一步的证据以表明签名是何时生成的。时间戳服务也可用于保证:即使用于签署权标的密钥已经泄漏或撤消,抗抵赖权标依然是有效的。
26、本机制的第一步,请求实体x发送数据y请求时间戳服务,希望对数据y和时间戳进行会签,其中数据y可以是消息、抗抵赖权标、消息的散列码、权标的散列码,或者用户希望与时间戳进行会签的任何数据。第二步,时间戳机构响应第一步的请求,发送对数据y的时间戳的会签。步骤1:从实体x到时间戳机构TSAa)实体x形成请求R:Rte】:g|y,其中text包括:标明R为时问戳服务请求的标记、请求者x的可区分标识符、TSA的可区分标识符、请求策略;b)实体x把该请求发送给TSA。步骤2:从TSA到实体xa)TSA生成时间戳权标(TST)TsTtext 11 w|sB(w),其中,”一Pol|州TSA L|QlI Imp
27、(y)。数据元”包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符, 标明时间戳权标的标记TSA 时间戳机构的可区分标识符L 证据生成的日期和时间Q 需要保护的可选信息,如数据Y、签名机制或者散列函数的可区分标识符,以及有关证书和公开密钥有效性的信息Imp(y) 数据,的印迹,由数据Y或者Y的散列码构成;b)TSA发送TsT给实体X;c)实体X验证TsT。A2公证服务机制公证服务是由公证机构提供的证据,以证实有关实体和通信数据的性质,并且将现有权标的生命期8GBT 179033-2008ISOIEC 138883:1997延长到期满和撤消之后。本机制的第一步,请求实体x发送想要证实的
28、数据y,请求公证证明,其中数据y可以是消息、抗抵赖权标、消息的散列码、权标的散列码,或者用户希望得到公证机构证实的任何数据。第二步,公证机构响应第一步的请求,返回已证实的数据。步骤1:从实体x到公证机构a)实体x形成请求R:Rtext|Y。这里text可包括:标明R为公证服务请求的标记、实体x的可区分标识符、公证机构的可区分标识符、以及请求生成的日期和时间;b)实体x向公证机构发送请求R和已签名的请求S,(R)。步骤2:从公证机构到实体xa)公证机构检查该请求的有效性ib) 公证机构向实体x发送已证实数据的公证权标(NT)NTtext|w|sm(),其中,一Pol|,x|NA t QI|mp(
29、y)。数据元w包括以下数据项:Pol 适用于证据的抗抵赖策略的可区分标识符, 标明公证服务的标记x 实体x的可区分标识符NA 公证机构的可区分标识符t 证据生成的日期和时间Q 需要保护的可选数据,如数据儿签名机制或者散列函数的可区分标识符,以及有关证书和公开密钥有效性的信息Imp(y) 数据Y的印迹,由数据Y或者数据,的散列码构成;c) 实体x检查已证实的数据并存储这些数据。A3证据记录服务机制证据记录服务可保存操作的记录,用于将来解决争议时恢复数据。证据所有者信任证据记录机构能够记录并安全地保存数据。本机制的第一步,请求实体X发送希望记录的证据,(可以是消息或者抗抵赖权标)请求证据记录服务。
30、第二步,证据记录机构响应第一步的请求,返回确认信息。步骤1:从实体x到证据记录机构a)实体x生成请求R:Rtext|Yi其中text包括:R为证据记录服务请求的标记、证据生成者的可区分标识符、请求者x的可区分标识符、证据记录机构的可区分标识符,以及请求生成的日期和时间;b)实体x向证据记录机构发送请求R和已签名的请求S。(R)。步骤2:从证据记录机构到实体xa) 证据记录机构检查请求的有效性,然后安全地保存正确的时间参照和R;GnT 179033-20081SOIEC 138883:1997b)证据记录机构向实体x发送确认信息;确认信息=*zJJ记录号码;其中text包括:标明数据是证据记录服务的确认信息的数据项、请求尺的全部或部分信息、适用于证据的策略、证据记录的日期和时间、证据记录机构的签名。10
