1、GB/T 18794.4-2003/ISO/IEC 10181-4: 1997 前言GBjT 18794信息技术开放系统互连开放系统安全框架目前包括以下几个部分=第1部分(即GBjT18794. 1):概述第2部分(即GBjT18794.2) :鉴别框架第3部分(即GBjT18794.3) :访问控制框架一一第4部分(即GBjT18794.4) :抗抵赖框架第5部分(即GBjT18794.5) :机密性框架第6部分(即GBjT18794.6):完整性框架第7部分(即GBjT18794.7) :安全审计和报警框架本部分为GBjT1879.4的第4部分,等同采用国际标准ISOjIEC10181-4
2、 ,1997 (信息技术开放系统互连开放系统安全框架z抗抵赖框架以英文版)。按照GBjT1. 1-2000的规定,对ISOjIEC10181-4作了下列编辑性修改za) 增加了我国的前言气b) 本标准一词改为GBjT18794的本部分或本部分气c) 对规范性引用文件一章的导语按GBjT1. 1-2000的要求进行了修改;d) 在引用的标准中,凡己制定了我国标准的各项标准,均用我国的相应标准编号代替。对规范性引用文件一章中的标准,按照GBjT1. 1-2000的规定重新进行了排序。本部分的附录A至附录F都是资料性附录。本部分由中华人民共和国信息产业部提出。本部分由中国电子技术标准化研究所归口。本
3、部分起草单位:四川大学信息安全研究所。本部分主要起草人z方勇、罗万伯、罗建中、周安民、龚海澎、戴宗坤、欧晓聪、李焕洲。皿GB/T 18794.4-2003/ISO/IEC 10181-4 , 1997 百l言抗抵赖服务的目标是为解决有关事件或动作发生与否的纠纷而收集、维护、提供和证实被声称事件或动作的不可反驳的证据。抗抵赖服务能应用于很多不同的上下文和情况。此服务能用于数据生成、数据存储或数据传输。抗抵赖包括生成能用来证明某类事件或动作已发生的证据,以便日后这个事件或动作不能被抵赖。在OSI环境下(见GB/T9387. 2),抗抵赖服务有两种形式=一一具有源证明的抗抵赖,用于对付发送方虚假地否
4、认己发送过数据或其内容。-一具有递交证明的抗抵赖,用于对付接受者虚假地否认已接收过数据或其内容(即数据所代表的信息)。使用OSI协议的应用可能需要其他针对特定应用类别的抗抵赖服务。例如,MHS (GB/T 16284.2)定义提交服务的抗抵赖,而EDI消息处理系统(见GB/T16651)定义检索的抗抵赖和传送服务的抗抵赖。R 本框架中的概念不局限于OSI通信,而可更广泛地解释为包括今后使用的数据创建和存储之类。本部分为提供抗抵赖服务定义通用性框架。本框架s扩展GB/T9387.2中描述的抗抵赖服务的概念,以及描述可以怎样将它们应用于开放系统;描述提供这些服务的可选择的方法;阐明这些服务与其他安
5、全服务的关系。抗抵赖服务可能需要2判决者,他将对由于抵赖事件或动作而可能出现的纠纷做出裁决p一一可信第三方,他将确保用于证据验证的数据的真实性和完整性。GB/T 18794.4-2003用旧/IEC10181-4.1997 信息技术开放系统互连开放系统安全框架第4部分:抗抵赖框架1 范围本开放系统安全框架的标准论述在开放系统环境中安全服务的应用,此处术语开放系统包括诸如数据库、分布式应用、开放分布式处理和开放系统互连这样一些领域。安全框架涉及定义对系统和系统内的对象提供保护的方法,以及系统间的交互。本安全框架不涉及构建系统或机制的方法学。安全框架论述数据元素和操作的序列(而不是协议元素),这两
6、者可被用来获得特定的安全服务。这些安全服务可应用于系统正在通信的实体,系统间交换的数据,以及系统管理的数据。本部分g一定义抗抵赖的基本概念$一-定义通用的抗抵赖服务s确定提供抗抵赖服务的可能的机制;确定抗抵赖服务和机制的通用管理需求。和其他安全服务一样,抗抵赖服务只能在为特定应用而规定的安全策略范围内提供。安全策略的定义则不在本部分范围内。本部分不包括实现抗抵赖所需要完成的协议交换的细节说明,本部分不详细描述可用子支持抗抵赖服务的特定机制,也不给出所支持的安全管理服务和协议的细节。在本框架中描述的某些规程通过应用密码技术实现安全。尽管某些种类的抗抵赖机制可能与特定的算法特性有关,但本框架不依赖
7、于特定密码算法或其他算法的使用,也不依赖于特定的(如对称或非对称密码技术。实际上,的确可能会要使用大量不同的算法。两个希望使用密码保护数据的实体必须支持同一种密码算法.注:密码算法及其登记规程应符合我国有关规定。很多不同类型的标准能使用此框架,包括:1) 体现抗抵赖概念的标准;2) 规定抽象服务、而这些服务含有抗抵赖的标准g3) 规定使用抗抵赖服务的标准p4) 规定在开放系统体系结构内提供抗抵赖方法的标准;5) 规定抗抵赖机制的标准a这些标准可按下述方式使用本框架z一标准类型1)、2)、3)、的或5)能使用本框架的术语;-一一标准类型2)、3)、4)或5)能使用第7章定义的设施;标准类型5)能
8、基于第8章定义的机制类。2 规范性引用文件下述文件中的条款通过GBjT18794的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本部分,然而,鼓励根据本部分达成GB/T 18794.4-23月四月EC10181-4 ,1997 协议的各方研究是否可使用这些文件的最新版本。凡是不注目期的引用文件,其最新版本适用于本部分,GB/T 9387. 1-1998信息技术开放系统互连基本参考模型第1部分z基本模型(idtISO/ IEC 7498-1 ,1 994) GB/T 9387. Z1995信息处理系统开放系统互连基本参考模型第2部分
9、z安全体系结构(idt ISO 7498-2 ,1989 ) GB/T 16264.8-1996信息技术开放系统互连目录第8部分2鉴别框架。dtISO/IEC 9594 8 ,1 990) GB/T 18794. 1-2002信息技术开放系统互连开放系统安全框架第1部分2概述。dt150/ IEC 10181-1,1996) 3 术语和定义下列术语和定义适用于GB/T18794的本部分。3.1 基本参考模型定义GB/T 9387.1一1998确立的下列术语和定义适用于GB/T18794的本部分。(N)实体(N)-entity 3.2 安全体系结构定义GB/T 9387. 2一1995确立的下列
10、术语和定义适用于GB/T18794的本部分.访问控制acc臼scontrol; 一-审计(又称安全审计)audit(al.o security audit); 一一鉴别authentication; 一一信道channel, 一一密码校验值cryptographic checkvalue; 一-密码学cryptography; 一-数据完整性(又称完整性)data integrity(also integrity), 一-数据源鉴jdata origin authentication; 一-解密decipherment 一数字签名(又称签名)digital signature(also sig
11、nature); 一加密enciphermentt 一一密钥key, 一-密钥管理key management; 一-公证notanzatlOn j 一抵赖repudiation; 安全审计跟踪(又称审计跟踪,日志)security audit trail(also audit trail.log), 一-威胁threat。3.3 安全框架概述定义GB/T 18794. 1确立的下列术语和定义适用于GB/T18794的本部分。一-一证书机构certifcation authorty; 一数字指纹digital fingerprint; 一一散列函数hash function; 单向函数one-
12、way function; 私有密钥private key j 一公开密钥public key, 撤销列表证书revocation list certificate; 封印seal; 一一封印的sealed; 一秘密密钥secret keYJ 一一安全证书security certificate; -一安全域securitydomain; 一一安全权标security token; 可信第三方trusted third party. 3.4 附加定义下列术语和定义适用于GB/T18794的本部分。3.4.1 己泄露证据compromised e时denceGB/T 18794.4-2003/1
13、S0/IEC 10181-4 , 1997 曾经是满足要求的、但可信第二方或判决者已不再信任的证据.3.4.2 后随签名counter-sl伊ature附加于已被不同实体(如TTP)签名的数据单元上的数字签名,3.4.3 证据evidence 信息,它本身或者它与其他信息结合使用时可用来解决一个纠纷e3.4.4 证据生威者evidence generator 产生抗抵赖证据的实体。注这个实体可以是抗抵赖服务的请求者、原发者、接受者或配合工作的多方(例如签名者或合作肇名者).3.4.5 证据主体eviden四subj配t被证据证实卷入在一个事件或动作中的实体。3.4.6 证据使用者evidenc
14、e u阻r使用抗抵赖证据的实体。3.4.7 证据验证者evidence verifier 验证抗抵赖证据的实体a3.4.8 消息鉴别码m四sageauthenti咀tioncode 用于提供数据源鉴别和数据完整性的密码校验值。3.4.9 抗抵赖服务请求者Non-repudiation service requester 要求为一个特定事件或动作生成抗抵赖证据的实体。3.4.10 公证者m阳ry可信第二方,向他登记数据以便以后能保证提供数据特征的准确性。3.4.11 原发者originator GB/T 18794.4-2003/ISO/IEC 10181-4: 1997 在数据传送的上下文内,
15、在一个受到抗抵赖服务的动作中发出数据的实体,3.4.12 接受者recipienl 在数据传送的上下文内,在一个受到抗抵赖服务的动作中接收数据的实体。注:在抗抵赖的逻辑模型中,可考虑其他实体,如所有者是制造原始消息的实体而传送代理是传送消息的实体g在这种上下文中,实体被模型化为原发者和接受者B4 缩畸语OSI 开放系统互连(QpenSystems Interconnection) CA 证书机构(CertificationAuthority) TTP 可信第三方CTrustedThird Party) MAC 消息鉴别码CMessageAuthentication Code) 5 抗抵赖的-锻
16、性论述5.1 抗抵赖的基本概念抗抵赖服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据检索和再验证。除非证据已被预先记录,否则纠纷无法解决。本框架所描述的抗抵赖服务的目的是提供关于一个事件或动作的证据。包含在事件或动作以外的其他实体可以请求抗抵赖服务。用抗抵赖服务来保护的动作的示例有2发送一条X.400消息;在数据库中插入一条记录;调用一个远程操作。当包含消息时,为了提供原发证明,必须确认原发者的身份和数据的完整性。为了提供递交证明,必须确认接受者的身份和数据的完整性。在某些情况下,还可能需要证据所涉及的上下文(例如,日期、时间、原发者/接收者的位置)。本服务提供下列能够在企图抵赖
17、的事件中使用的设施2证据生成g一-证据记录;-一已生成证据的验证;一一证据的检索和再验证。各方之间的纠纷可以直接通过检查证据来解决。但是,纠纷可能不得不由一个判决者来解决,他评价证据并且确定是否发生了纠纷动作或事件。只有纠纷各方承认判决者的权威,才能有效地提供判决。为了判决者接受所提供的证据,通常必须由一个或多个可信第三方担保。判决者可以有选择性地充当担保证据的可信第三方。抗抵赖机制使用若干类型的可信第三方和多种形式的证据。5.2 可惜第三方的角色在抗抵赖服务中可包含一个或多个可信第三方。可信第三方,他支持抗抵赖但没有主动地介入在服务的每个使用中时称作离线可信第三方。主动介入证据的生成或验证的
18、TTP称作在线TTPo在所有交互中作为中介进行动作的在线TTP称作内线TTPo可以要求可信第三方记录和/或收集证据,也可以要求他证明证据的有效性。可能有很多可信第三方充当各种角色(例如,公证者、时间戳、监视、密钥证书、签名生成、签名验证,以及递交机构角色)。一个可信第三方可充当个或多个这样的角色。在证据生成角色中.TTP与抗抵赖服务的请求者合作以生成证据。G/T 18794.4-2003/ISO/IEC 1018 1-4, 1997 在证据记录角色中,TTP记录证据,它们以后能被使用者或判决者检索。在时间戳角色中,TTP受委托在收到时间戳请求时提供包含关于时间的证据。在监视角色中,TTP监视动
19、作或事件并受委托提供关于监视情况的证据。在密钥证书角色中,TTP提供与证据生成器有关系的抗抵赖证书,以保证用于抗抵赖目的的公钥有效。在密钥分发角色中,TTP向证据生成者和/或证据验证者提供密钥。它可以对密钥的使用施加约束,特别是在使用对称技术时。在签名生成角色中,TTP受到信任,以数字签名的形式代表证据主体提供证据。在证据验证角色中,TTP在实体的请求下验证证据。在签名验证角色中,TTP受到证据使用者的信任,以数字签名的形式验证证据。注=签名生成角色是证据生成角色的一种特定情况.签名验证角色是证据验证角色的一种特定情况。在公证角色中,TTP提供关于数据属性(例如它的完整性、源、时间或目的地)的
20、担保,这些数据是在两个或多个实体间通信的,并在之前已经向TTP注册。在递交机构角色中,TTP与数据的潜在接受者交互并试图将数据发布给接受者。然后提供数据己被递交、数据未被递交或试图递交但未收到接受者确认的证据。在后一种情况,证据使用者无法确定数据是否被潜在接受者接收。5.3 抗抵赖的各阶段抗抵赖由四个独立的阶段组成s一证据生成;一证据传送、存储和检索p证据验证;一解决纠纷。图1说明前三个阶段,图2说明第四个阶段。注.本图是示意性的,并非定义性的。抗抵菌安全置略证据和其他信息图1参与生成、传送、存储/检索和验证阶段中的实体GB/T 18794.4-2003/ISO/IEC 10181-4 ,19
21、97 抗抵赖置略注本图是示意性的,并非定义性的。图2抗抵赖过程的纠纷解决阶段5.3.1 证据生成在这个阶段中,证据生成请求者请求证据生成者为一个事件或动作生成证据。被证据证实卷入在一个事件或动作中的实体称为证据主体。可对这些实体进行不同的分组2证据主体和证据生成者可以是同一实体,证据主体、证据生成请求者和证据生成者可以是同一实体,证据生成请求者和可信第三方可以是同一实体,证据生成者和可信第三方可以是同一实体,证据生成请求者、证据生成者和可信第三方可以是同一实体样。根据抗抵赖服务的类型,证据可由证据主体生成,或许与可信第三方的服务结合生成,或者由可信第三方单独生成。注.根据抗抵赖服务的上下文,相
22、关证据典型地包括所包含实体的身份、数据、时间和日期。也可包含一些附加信息,如传送模式(例如OSI通信,数据库存储和检索),介入的实体的位置,可区分标识符,以及数据的所有者! 创建者。5.3.2 证据传送、存储和检索在此阶段,证据在实体间传送,或传向存储器,或由存储器传出(见图1)。5.3.3 证据验证在此阶段,证据在证据使用者的请求下被证据验证者验证。本阶段的目的是在出现纠纷的事件时让证据使用者相信所提供的证据是完全恰当的。可信第三方服务也可参加进来提供信息用于验证证据。证据使用者和证据验证者可以是同一实体。5.3.4 解决纠纷在解决纠纷阶段,判决者有责任解决各方之间的纠纷。纠纷方有时被称为原
23、告和被告。图2描述了纠纷解决阶段。判决者解决纠纷时,它从纠纷方和/或可信第二方收集证据。判决者用来解决纠纷的具体过程不在本部分的范围。本阶段并不总是必需的。如果所有利益方对事件或动作的发生(或没有发生)达成一致意见,那么就没有纠纷需要解决。此外,即使出现了纠纷,有时也能够通过纠纷方直接解决而不需要判决者。例如,如果纠纷的一方是诚实的但出现了错误,当看到另一方的证据时他们就会意识到自己错了。尽管本阶段对于抗抵赖服务的每个实例未必都是必需的,但所有的抗抵赖机制必须支持解决纠纷阶段。也就是说,一旦出现了纠纷,它们必须能够解决。5.4 抗抵赖服务的一些形式有许多种形式的抗抵赖服务。在这许多形式中,关联
24、数据传送的抗抵赖服务是经常需要考虑的一种。传送一条消息至少包含两个实体,即原发者和接受者。涉及该事件的潜在纠纷如下:GB/T 18794.4-2003/ISO/IEC 10181-4 ,1997 一纠纷,此处对事件里原发者的介入是有争议的,例如称为原发者的声称消息是接受者伪造的,或者是乔装打扮的攻击者伪造的。二-纠纷,此处对事件里接受者的介入是有争议的,例如称为接受者的声称消息没有被发送,或者在传输中丢失,或者仅被乔装打扮的攻击者所接收。对于消息过程来说,抗抵赖服务可按照其帮助解决的纠纷类型进行分类。消息从原发者传送到接受者可被视为一系列分离的事件1一从原发者到传送代理的消息传输;传送代理之间
25、(如果不只包括一个传输代理)的消息传输;从传送代理到接受者的消息传输。对于每一种事件,存在一些形式的抗抵赖服务,它们提供涉及该事件的证据。相应地,下列附加的抗抵赖服务得到认同2一一一具有提交证明的抗抵赖服务,用于防止传送代理不真实地否认已接受一个传输的消息无论是来自原发者或者来自另个传送代理)。具有运输证明的优抵赖服务,用于防止传送代理不真实地否认已传输一个消息(无论是发送给接受者或者另一个传送代理)。注z具有提交证明的抗抵赖服务和具有运输证明的抗抵顿服务不提供证据证明一个实体是为该消息负责的,或已理解消息所包吉的信息的.5.5 0画I抗抵赖证据的示倒根据所调用的OSI抗抵赖服务,下面介绍的每
26、类事件或动作需要特定形式的证据。5.5.1 对于原发抗抵赖必须包括下列证据(能够被签名或公证), 原发者的可区分标识符;二被发送的数据,或数据的数字指纹。还可包括下列证据2一-接受者的可区分标识符;二一发出数据的日期和时间。5.5.2 对于递交抗抵赖必须包括下列证据(能够被签名或公证), 一一接受者的可区分标识符s接收的数据,或数据的数字指纹。还可包含下列证据:原发者的可区分标识符;接收数据的日期和时间。当使用递交机构时.还可包含下列证据(能够被签名或公证h-一递交机构的可区分标识符g递交机构第一次试图递交的日期和时间;一获知接受者准备好接收数据的日期和时间3递交机构完成递交的日期和时间:二一
27、递交机构不能完成递交的日期和时间;可能造成无法递交条件的原因(例如通信信道坏),一处理需求指示,该需求是递交消息时要满足的。6 抗抵赖策略抗抵赖策略可包括如下准则.GB/T 18794.4-20031IS0/IEC 10181-4: 1997 证据的生成规则,例如,应该为之生成抗抵赖证据的活动分类规范,用于生成证据的TTP规范,TTP可以充当的角色,当生成证据时实体必须遵循的规程;一证据的验证规则,例如,其证据是可接受的TTP的规范;对于每个TTP,将为其接受的证据的形式;一-证据的存储规则,例如,用于保证被存证据完整性的方法;一二证据的使用规则,例如,可使用证据的目的规范;注:对某些抗抵赖机
28、制而言,可能难于防止证据的未授权使用。判决规则,例如,认同的可解决纠纷的判决者规范。这些规则集合中的每-个可由不同的机构定义。例如,证据生成规则可以由系统的所有者定义,而判决规则由国家有关法律或标准定义。如果策略的不同部分是不致的,抗抵赖服务则可能无法正确地运行,例如,允许在纠纷解决阶段成功地否认事实上己发生的一个事件。抗抵赖策略本身可被判决者在解决纠纷时使用。例如,判决者可援引抗抵赖策略来确定证据生成规则是否遵循该策略。安全策略可以被显式地陈述或由实施来隐式地定义。抗抵赖策略的陈述(例如自然语言文档)能够有助于检测不同策略部分间的冲突,并且还能给判决者提供帮助。抗抵赖策略也处理证据己泄露,或
29、者生成证据的密钥己泄露或撤销的情况。安全域间交互的抗抵赖策略可由独立的安全域之间的协商达成,或由超域强加。7 信息和设施7.1 信息能够用来解决纠纷的信息被称为证据。证据可由证据使用者在本地保存或者由可信第三方保存。特定形式的证据有数字签名、安全信封和安全权标。数字签名与公开密钥技术起使用,而安全信封和安全权标与秘密密钥技术起使用。能够组成证据的信息的示例包括2一-抗抵赖安全策略的标识符;一可区分的原发者标识符g一-可区分的接受者标识符;一-数字签名或安全信封;可区分的证据生成者标识符;可区分的证据生成请求者标识符;一一-消息、,或消息的数字指纹;注,当用数字指纹来代替消息时,需要一个指示器来
30、标识导出过程中所使用的方法.消息标识符;一一一秘密密钥指示,该密钥是证实安全权标所需要的;证实数字签名所需的具体的公开密钥的标识(例如,证书机构的可区分标识符以及证书序列号); 一可区分的公证者标识符,时间戳TTP,内线TTP等;一二证据的惟一标识符;一-存储或记录证据的日期和时间;一二生成数字签名或安全权标的日期和时间。7.2 抗抵赖设施本条标识若干用来生成、发送和证实证据或用于TTP保存证据的抗抵赖设施。7.2.1 与管理相关的设施与抗抵赖管理相关的活动可以涉及将信息、口令或密钥(使用密钥管理)分发给需要实现抗抵赖的GB/T 18794.4-2003/ISO/IEC 10181-4: 19
31、97 实体。这可以涉及正在通信的实体与其他提供抗抵赖服务的实体之间的协议使用。抗抵赖管理也可以涉及撤销用予产生证据的密钥。抗抵赖管理设施允许用户获取、修改和删除提供抗抵赖所需的信息。从广义上说这些设施是z安装管理信息;修改管理信息;一一删除管理信息g列出管理信息。支持抗抵赖服务可能需要下列与管理相关的活动=记录在审计跟踪中的事件;一一记录纠纷裁决的结果p一一事件的本地报告;事件的远程报告。每个事件需采取的具体动作取决于实施中的安全策略。7.2.2 与操作相关的设施7.2.2.1 产生证据本设施用于产生证据。证据可直接由证据主体(不包括TTP)产生,由一个或多个代表证据主体行为的TTP产生,或由
32、证据主体与一个或多个TTP共同产生。候选输入包括:抗抵赖策略s可区分的证据主体标识符;一一可区分的抗抵赖服务请求者标识符$数据,或数据的数字指纹;可区分的TTP标识符,该TTP将被用来产生数字签名、安全权标或其他证据。候选输出包括=一一证据(例如数字签名或安全权标),一一可区分的TTP标识符,该TTP用来产生数字签名、安全权标或其他证据。7.2.2.2 生成时间戳本设施用于产生时间戳。候选输入包括2一一请求时间戳的实体的可区分标识符g一一在时间戳角色中的TTP的可区分标识符g一一数据(例如,已签名的消息、确认).或数据的数字签名或数字指纹。候选输出包括:一一由TTP计算的后随签名$标识,用于识
33、别产生后随签名(附带指示是否使用了该数据或数据的数字指纹)的方法和/或加密算法;一一可区分的时间戳服务标识符;一一-收到时间戳请求的日期和时间;一一-生成后随签名的日期和时间;签名信息,它包含时间戳和输入数据的数字指纹。7.2.2.3 生成公证证据本设施用于在TTP中存放证据。候选输入包括2GB/T 18794.4-2003/ISO/IEC 10181-4: 1997 一一可区分的证据生成请求者标识符;证据(例如,数字签名或安全权标);可区分的证据生成者标识符,可区分的抗抵赖策略标识符。候选输出包括3证据的记录号g证据记录的日期和时间。7.2.2.4 证实证据本设施用于证实证据。候选输入包括g
34、证据g可区分的证据主体标识符g可区分的证据使用者标识符z证据验证所用密钥的标识符,证据的潜在用途指示(以便能够作出评估,确定按照抗抵赖策略此证据是否适合该应用)。候选输出包括z一一验证结果(即有效或无效h一证据主体的可区分标识符,一一证据生成者的可区分标识符;证据验证请求者的可区分标识符,可区分的TTP标识符,该TTP验证数字签名或安全权标;数据或数据的数字指纹。7.2.2.5 为内线TTP的敏据传送生成证据数据可以通过TTP传送,而不是在原发者和接受者之间直接发送数据和/或确认,这样便可以由TTP确保抗抵赖证据。当怀疑接受者可能借口通信信道失效而拒绝递交数据时,也可使用本设施。为了使用本设施
35、,必须向内线TTP出示下列信息z一一数据;一一接受者的可区分标识符。另外,可以提供z数据的数字指纹,可区分的原发者标识符g数字签名;可区分的内线TTP标识符;抗抵赖策略。内线可信第三方的候选输出包括2一一可区分内线的可信第三方标识符g-一一可区分的接受者标识符;证据的记录号3一一该记录的日期和时间;一一数据,或数据的数字指纹。B 抗抵赖机制可以在时间戳等其他服务的支持下,通过使用数字签名、加密、公证和数据完整性之类的机制来提10 GB/T 18794.4-2003/ISO/IEC 10181-4: 1997 供抗抵赖服务。对称和非对称密码算法都能用于抗抵赖。抗抵赖服务能使用这些机制和服务的适当
36、组合来满足应用中的安全需要。本章描述能用于提供抗抵赖服务的机制,并描述对这些机制的一些威胁。8.1 使用P安全权标(安全倍封)的抗抵赖在本方案中,抗抵赖证据由一个安全权标构成,用只有TTP才知道的秘密密钥封印。在证据生成请求者的要求下TTP生成安全权标,并随后能为证据使用者或判决者对其进行验证。这种情况下,TTP是证据生成者和证据验证者。证据生成请求者将数据或数据的数字指纹,连同生成安全权标的请求,传输给TTPo该请求必须是受完整性保护(例如使用封印)的,也可以是受机密性保护(例如使用加密)的。受完整性保护的安全权标有时称为安全信封。在安全权标生成中使用的候选输入包括z一一标识,识别用以保证安
37、全权标完整性的密码算法和/或方法;一一标识,识别用以保证安全权标机密性的密码算法和/或方法;一一可区分的证据主体标识符,可区分的证据生成请求者标识符$可应用的抗抵赖策略p事件或动作的日期和时间g描述事件或动作的数据。候选输出包括2一一安全权标;生成安全权标的日期和时间。8.2 使用安全权标和防篡改模块的抗抵赖服务在本方案中,抗抵赖证据由一个安全权标构成,用一个秘密密钥来封印,而该密钥则存储在证据生成者、证据验证者和判决者所拥有的防篡改密码模块中.防篡改模块限制那些可用秘密密钥执行的操作,并防正密钥的值被暴露在模块外面。证据生成者模块允许用秘密密钥来创建一个封印的权标,而证据验证者和判决者拥有的
38、模块只允许权标验证。所有的介入方必须相信秘密密钥已被正确安装在防篡改密码模块中,因此同一个秘密密钥只能被一个实体用于证据生成,而其他实体只能将其用于证据验证。如果出现纠纷,证据使用者向判决者出示封印的权标,并证明该权标必然是使用证据生成者模块创建的,因为拥有同样密钥的其他模块不具有生成安全权标的能力。8.3 使用鼓字签名的抗抵赖服务在本方案中,抗抵赖证据由一个数字化签名的数据结构构成。签名生成使用签名密钥,签名验证使用验证密钥。根据安全策略,可能需要时间信息。这可以包含在由实体提供的和/或由作为时间戳机构的TTP提供的数字签名中。当时间信息不是由TTP提供时,其他实体没有必要相信它。如果判决者
39、需要时间戳和/或上下文信息来解决纠纷时,此信息必须从可信任源(例如TTP)处获取。为检验证据,证据验证者和判决者必须能够获得验证密钥。如果不能保证判决者将通过其他方法知悉证据生成者的公开密钥,则证据还必须为此密钥而包含一个安全证书。数字签名可由证据主体生成或者由签名生成角色中的TTP生成。由证据主体生成的数字签名称作直接数字签名。由代表证据主体的TTP生成的数字签名机制称作中介数字签名。当用作验证签名的证书已被撤销后,单独用数字签名是不足以解决纠纷的。为解决此类纠纷,还必须另外向判决者提供有关该证书撤销的证据(例如证书撤销列表CRL),表明证书在生成数字签名时是GB/T 18794 .4-20
40、03/ISO/IEC 10181-4 ,1997 仍然有效的。然而,当私有密钥的拥有者自愿使用不正确时间时,或攻击者毁坏了用于生成签名的私有密钥时,不允许将本方案用于解决纠纷。为解决此类纠纷,必须另外使用一个可信时间基准,或使用来自其时间戳角色中的TTP的后随签名(参见附件E)。证据验证者可使用目录服务来获得验证过程所需的信息(例如安全证书)。证据验证者必须获得证据生成者的公开密钥。这个密钥可以包含于存储在目录中的安全证书里。可能需要不只一个证书。为确保-个证书是合法的,还有必要请求可用的撤销证书列表。这对出现在证书路径中的每个证书机构来说都是必需的(见GB/T16264.8-1996)。证据
41、使用者可以寻求充当数字签名验证角色中的TTP的帮助来证实数字签名。在这个角色中,TTP验证原始消息(或者消息的数字指纹,如果使用了的话)与数字签名之间的关系。在这种情况下,TTP的作用是降低证据使用者签名验证过程的复杂性,并为了优先响应以后的验证请求而维护先前验证请求的结果。为达到此目的,TTP可能需要与目录进行-些交互,要求充当签名验证角色中的TTP至少持有一个证书机构的公开密钥。TTP也要考虑不同证书机构之间存在的信任关系。8.4 使用时间戳的抗抵赖服务当需要可信时间基准,并且产生数字签名或安全权标的实体提供的时钟又不可信时,有必要依赖可信第三方来提供时间戳。能用时间戳来证实,消息是在签名
42、密钥泄露之前签署的,因此该消息不是伪造的。在时间戳角色中,可信第三方将提供数字签名或安全权标以证实收到请求的时间。证据生成者、抗抵赖服务请求者、证据使用者或证据验证者都可请求时间戳。时间戳将时间、日期以及一个封印或数字签名添加到数据上。时间戳不需要对提出时间戳请求的实体进行鉴别。证据验证者必须确定时间戳是否像安全策略所命令的那样在可接受范围内。时间戳可与签名生成或权标生成结合。如果生成数字签名的实体包含可靠并且可信的时钟,可不需要后随签名。8.5 使用内线可信第三方的抗抵赖内线可信第三方设施能够被特定的事件或动作显式地请求,或者可被隐式地提供。而内线可信第三方,在抗抵赖服务被请求的所有交互中扮
43、演中介角色,并可向证据使用者(如判决者)提供证据。在所有情况中,内线TTP将中继数据并监视该事件或动作。TTP受委托保管用于将来解决纠纷的记录。被TTP保管的数据或数据的数字指纹能够作为证据。8.6 使用公证的抗抵赖在OSI模型中,公证机制为两个或多个实体间通信的数据的属性提供保证,例如完整性、原发、时间和目的地。公证者受所涉及的实体委托,以一种可测试方法持有提供担保所需的必要信息,以及为将来解决纠纷而保管记录。数字签名、加密和完整性机制可在适当时候用于支持公证所提供的服务。在证据生成角色中,公证者将记录保证数据属性的证据,另外,可使用记录号来标识证据。在证据验证角色中,公证者将确定证据的合法
44、性。8.7 抗抵赖面临的威胁没有任何一种抗抵赖机制对所有的威胁都是完全无懈可击的。如果TTP没有按预期的行为方式工作,那么包含该TTP的机制可能是不安全的。这可以有TTP的一次偶然失效引起或由作为内部人员进行的一次攻击所产生。这种威胁的后果可能很严重,但不在标准的本部分中进一步讨论。抗抵赖机制随TTP失误造成的后果以及TTP导致协议失败的难易程度而变化。评估必须针对可能存在的威胁及其在特定环境下这些威胁所产生的严重后果,以便选择一些机制使总体风险保持在可接受的限度内。一些威胁的示例以及可能采取的措施讨论如下。8.7.1 密钥泄露12 GB/T 18794.4-2003/ISO/IEC 1018
45、1-4 ,1997 8.7.1.1 实体生成密钥的泄露在密钥泄露和密钥的合法拥有者检测到该密钥泄露的这一期间,存在着一种风险,即攻击者可能使用被泄露的密钥产生证据,而证据使用者又将其作为有效证据来接受。抗抵赖机制不可能从这样的证据生成密钥的误用而造成的损失中恢复过来。然而,使用证据生成机构(例如签名生成机构)确定损失的程度则是可能的,该证据生成机构然后可以保持对被生成证据的审计跟踪,从而有可能发现生成了哪些证据和这些证据是什么时候生成的。还要尽可能广泛地通告密钥已被误用的事实,但这些通告不一定都会到达所有已收到利用被泄露生成密钥所建立的证据的接受者。密钥合法拥有者一旦检测到密钥被泄露,就需要撤
46、销该生成密钥。如果生成密钥是私有密钥,贝u还需要撤销相应的公开密钥证书。这能够用GB/T16264.8-1996定义的证书撤销列表来完成。然而这还不是充分的,因为它不能预防密钥的误用。可能对抗这种威胁的方式包括使用一种抗抵赖机制,在这种机制中证据生成需要TTP与证据主体的合作。例如,使用中介数字签名或来自时间戳机构的后随签名能防止这种形式的威胁。在后一情况中,抗抵赖策略规定,只有被时间戳机构正确地后随签署的证据才是合法的(参见附录E)。密钥泄露也可能是故意的。如果抗抵赖策略规定证据主体对在密钥泄露与检测出泄露这一时段里的密钥误用不负责任,证据主体则可能利用此规定来声称其密钥已被泄露并进而否认事
47、实上已发生的一个动作或事件。可以定义在报告密钥泄露前所允许的最大时间延迟以对付这种威胁。在这种策略下,如果证据使用者在该时间限制内没有宣布他们的密钥已被泄露,那么证据主体将对任何误用他们密钥的后果负责。因此证据验证者能够肯定,宣布密钥泄露所允许的时间延迟在接受任何证据之前已经到期。8.7. 1. 2 TTP生成密钥的泄露当己检测到TTP的密钥泄露时,必须撤销该密钥。如果生成密钥是私有密钥,则需要撤销相应的公开密钥证书。这能够用GB/T16264.8-1996定义的证书撤销列表来完成。为了处理先前由(可能)巳泄露的密钥所产生的证据,需要TTP对它的密钥的每次使用保持审计跟踪。如果TTP的密钥被泄
48、露了,则能用审计跟踪来解决纠纷。8.7. 1, 3 实体验证密钥的替换这种威胁欺骗证据使用者/证据验证者,使他们相信拥有合法证据。然而当出现纠纷需要判决时,却发现证据无效。也就是说,证据使用者放松了警惕,因为他们对貌似合法的证据深信不疑,而判决者却发现事实正好相反。对付这种威胁的可能措施,包括使用强有力的规程以确保正确的实体与正确的验证密钥相关联。假如出现了替换,一旦检测到该替换密钥,就必须立即将错的验证密钥撤销。8.7. 1. 4 口P验证密钥的替换如果验证密钥是TTP用来直接验证证据的公开密钥,TTP可能被欺骗而接受在将验证密钥运送给判决者(如纸文件、证书链)时所伪造的证据。一个具体的示例
49、是发生在判决者的公开密钥副本被攻击者替换时。当检测到这种攻击时,应尽可能广泛地通告所发生的替换,但应该注意到,将不可能通告到所有的证据使用者,而这些使用者所用的证据可能已经用被替换的密钥来验证了。可能通过使用证据验证机构(如签名验证机构)来确定哪些证据是在替换警告之前已被验证的,该证据验证机构然后可以保持对已验证证据的审计跟踪。通过这种方式可以知道哪些证据是在警告之前验证的,哪些是在警告之后验证的。如果验证密钥是证据使用者用来直接验证证书的公开密钥,一旦检测到替换后应尽快更换。8.7.2 证据泄露曾被接受为证据的信息可以不再是可接受的。这类信息称为己泄露的证据。8.7.2.1 证据的未授权修改和破坏在这种情况下,动作或事件确实己发生,但有意否认该事件的一方有办法修改或毁坏存储的证据。13 GB/T 18794.4-2003/ISO/IEC 10181-4: 1997 该方然后可以成功地否认事实上已发生的事件。能够通过采用适当的防止修改或毁坏证据的安全机制(例如冗余存储)来避免这种威胁。使用T
