信息技術(shù) 安全技術(shù) 實體鑒別 第3部分：采用數(shù)字簽名技術(shù)的機制

信息技術(shù)安全技術(shù)實體鑒別第3部分：采用數(shù)字簽名技術(shù)的機制Part3:Mechanismsusingdigitalsignaturetechniques(ISO/IEC9798-3:2019,ITSPart3:Mechanismsusingdigitalsignaturetechniques,IDT)2023-03-17發(fā)布國家標準化管理委員會 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 14符號和縮略語 24.1符號 24.2縮略語 35通則 35.1時變參數(shù) 3 35.3Text字段的用法 36要求 47不引入在線可信第三方的機制 47.1單向鑒別 47.2雙向鑒別 68引入在線可信第三方的機制 98.1通則 98.2單向鑒別 98.3雙向鑒別 附錄A(規(guī)范性)對象標識符 A.1形式定義 A.2后續(xù)對象標識符的使用 附錄B(資料性)使用指南 B.1安全屬性 B.2機制的比較和選擇 附錄C(資料性)Text字段的使用方法 參考文獻 21I本文件按照GB/T1.1—2020《標準化工作導(dǎo)則本文件是GB/T15843《信息技術(shù)安全技術(shù)——第1部分：總則；第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定實體鑒別》的第3部分。GB/T15843已經(jīng)發(fā)布了——第3部分：采用數(shù)字簽名技術(shù)的機制；——第4部分：采用密碼校驗函數(shù)的機制；——第5部分：使用零知識技術(shù)的機制；——第6部分：采用人工數(shù)據(jù)傳遞的機制。本文件代替GB/T15843.3—2016《信息技術(shù)安全技術(shù)實體鑒別第3部分：采用數(shù)字簽名技a)增加了“符號與縮略語”(見第4章);b)增加了“通則”(見第5章);本文件做了下列最小限度的編輯性改動：——為與我國技術(shù)標準體系協(xié)調(diào)，將標準名稱改為《信息技術(shù)安全技術(shù)實體鑒別第3部分：采用數(shù)字簽名技術(shù)的機制》;——為符合我國技術(shù)表達習(xí)慣，將TP(第三方)統(tǒng)一改為TTP(可信第三方);本文件由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司、中關(guān)村無線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟、國家信息技術(shù)安全研究中心、中國移動通信集團有限公司、中能融合智慧科技有限公司、中國南方電網(wǎng)有限算機技術(shù)及應(yīng)用研究所。本文件及其所代替文件的歷次版本發(fā)布情況為：——1998年首次發(fā)布為GB/T15843.3—1998,2008年第一次修訂，2016年第二次修訂；——本次為第三次修訂。Ⅲ本文件規(guī)定采用數(shù)字簽名技術(shù)的實體鑒別機制，分為單向鑒別和雙向鑒別兩類。其中單向鑒別按照消息傳遞的次數(shù)，分為一次傳遞鑒別、兩次傳遞鑒別和四次傳遞鑒別；雙向鑒別根據(jù)消息傳遞的次數(shù)，分為兩次傳遞鑒別、三次傳遞鑒別、五次傳遞鑒別和七次傳遞鑒別。GB/T15843旨在規(guī)范實體鑒別技術(shù)，由6部分組成。——第1部分：總則。目的在于規(guī)范實體鑒別技術(shù)的模型、框架以及通用要求?！?部分：采用對稱加密算法的機制。目的在于規(guī)范六種基于對稱加密算法的實體鑒別機制及關(guān)要求?！?部分：采用數(shù)字簽名技術(shù)的機制。目的在于規(guī)范十種基于數(shù)字簽名技術(shù)的實體鑒別機制及相關(guān)要求?！?部分：采用密碼校驗函數(shù)的機制。目的在于規(guī)范四種基于密碼校驗函數(shù)的實體鑒別機制及相關(guān)要求?！?部分：使用零知識技術(shù)的機制。目的在于規(guī)范五種基于零知識技術(shù)的實體鑒別機制及相關(guān)要求?！?部分：采用人工數(shù)據(jù)傳遞的機制。目的在于規(guī)范八種基于人工數(shù)據(jù)傳遞的實體鑒別機制由于簽名所使用的證書分發(fā)方式超出本文件范圍，證書的發(fā)送在所有機制中是可選的。本文件的發(fā)布機構(gòu)提請注意，聲明符合本文件時，可能涉及與第8章相關(guān)的CN201510654832.X、US10,652,029B2、JP6543768B2、EP16853050.9、KR10-2107918、CN200910024191.4、US8,751,792BJP5425314B2、EP2472772、KR10-1405509、CN200910023774.5、CN200910023735.5、US8,76JP5468138B2、KR10-1471259、CN200910023734.0、US8,732,464B2、JP5468137B2、CN200810150949.4、CN200810150951.1、CN200710199241.3、US8,417,955B2、JP5323857B2、KR10-1139547、RU2445741C2、CN200710018920.6、US8,356,179B2、EP2214429B1、JP5099568B2、KR10-1117393、RU2458481C2、CN201510654785.9、US10,615,978B2、JP6687728、EP16853041.8、KR10-2141289、CN201510654784.4等專利的使用。本文件的發(fā)布機構(gòu)對于上述專利的真實性、有效性和范圍無任何立場。上述專利持有人已向本文件的發(fā)布機構(gòu)承諾，他愿意同任何申請人在合理且無歧視的條款和條件下，就專利授權(quán)許可進行談判。上述專利持有人的聲明已在本文件的發(fā)布機構(gòu)備案。相關(guān)信息可以通過以下聯(lián)系方式獲得：專利持有人姓名：西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司地址：西安市高新區(qū)科技二路68號西安軟件園秦風閣A201請注意除上述專利外，本文件的某些內(nèi)容仍可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的IN信息技術(shù)安全技術(shù)實體鑒別第3部分：采用數(shù)字簽名技術(shù)的機制本文件規(guī)定了兩類采用數(shù)字簽名技術(shù)的實體鑒別機制。第一類不引入在線可信第三方，包括兩種附錄A定義了本文件規(guī)范的實體鑒別機制的對象標識符。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文GB/T15843.1—2017信息技術(shù)安全技術(shù)實體鑒別第1部分：總則(ISO/IEC9798-1:ISO/IEC9796(所有部分)信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案(Informationtechnology—Securitytechniqu注：GB/T15851.3—2018信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案第3部分：基于離散對數(shù)的機制(ISO/IEC9796-3:2006,MOD)帶附錄的數(shù)字簽名(Informationtechnology—Securitytechniques—Digitalsignatures注：GB/T17902.2—2005信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第2部分：基于身份的機制(ISO/GB/T17902.3—2005信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第3部分：基于證書的機制(ISO/原子性業(yè)務(wù)atomictransaction被鑒別的實體本身或者為了實現(xiàn)驗證目標的某代表性實體。1附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，以使數(shù)據(jù)單元的接收者能夠驗證數(shù)據(jù)單元的來源和完整性。證實一個實體就是所聲稱的實體。為參與的雙方提供相互身份證實的實體鑒別。包含經(jīng)過密碼技術(shù)變換后的數(shù)據(jù)字段的消息?？尚诺谌絫rustedthirdparty在網(wǎng)絡(luò)安全相關(guān)活動中，被參與實體所信任的安全機構(gòu)或其代理。[來源：GB/T15843,1—2017,3.38僅為其中一方提供對另一方身份證實的實體鑒別。要求驗證其他實體身份的實體。4符號和縮略語4.1符號GB/T15843,1—2017界定的以及下列符號適用于本文件。Certx實體X的證書。ix標識實體X的字符串。M輸入到數(shù)字簽名算法的數(shù)據(jù)串。Px實體X的簽名公鑰。Resx對實體X的簽名公鑰或者簽名公鑰證書的驗證結(jié)果。SID唯一標識機制m及該機制中的被簽名數(shù)據(jù)(數(shù)字i)的常量。sSx(M)使用實體X的簽名私鑰對數(shù)據(jù)串M產(chǎn)生的簽名。簽名應(yīng)使M能夠被恢復(fù)。Text可選的文本字段。Tx實體X使用的時變參數(shù)，或是序列號Nx或是時間截Tx。NxX|Y按指定順序?qū)?shù)據(jù)項X和Y連接在一起的結(jié)果。在本文件規(guī)定的機制中，如果對連2注：依據(jù)應(yīng)用的不同，存在多種不同的方式實現(xiàn)唯一解析。例如：a)在機制所定義的范圍內(nèi)，固定每個子字符串的長度，或b)使用能夠保證唯一解碼的方法(例如，使用可區(qū)分的編碼)對連接的字符串序列進行編碼，可參照ISO/IEC8825-1[2]中定義的規(guī)則。GB/T15843.1—2017界定的以及下列縮略語適用于本文件。CR:挑戰(zhàn)/響應(yīng)(challengeresponse)TS:時間戳(timestamp)TTP:可信第三方(trustedthirdparty)UNI:單向(unilateral)5通則本文件規(guī)定的機制使用數(shù)字簽名技術(shù)實現(xiàn)單向或雙向?qū)嶓w鑒別。附錄B解釋了這些機制的安全(見GB/T15843.1—2017的附錄B)。注1:實體可通過在其所要簽名的數(shù)據(jù)塊中加入自選的隨機數(shù)以防止另一實體控制數(shù)據(jù)塊去偽造簽名。這種方法利用了隨機數(shù)的不可預(yù)測性以防止非法實體通過預(yù)先構(gòu)造數(shù)據(jù)去偽造簽名。注2:時變參數(shù)是用于驗證消息非重放的數(shù)據(jù)項。合ISO/IEC9796(所有部分)]或驗證方已經(jīng)擁有該“被簽名數(shù)據(jù)”,則在發(fā)送給聲稱方的令牌中不需要本文件所規(guī)定機制中的所有Text字段均可被其他應(yīng)用所使用(Text字段可能為空)。Text字段3之間的關(guān)系和內(nèi)容取決于特定的應(yīng)用。有關(guān)Text字段的使用方法，見附錄C。本文件規(guī)定的鑒別機制中，聲稱方通過表明其擁有簽名私鑰證明其身份。具體過程是，聲稱方使用簽名私鑰對特定數(shù)據(jù)進行簽名，任何實體能夠使用聲稱方的簽名公鑰驗證簽名。鑒別機制有下述要求。a)驗證方應(yīng)擁有聲稱方的有效簽名公鑰，即聲稱方所聲稱的實體的有效簽名公鑰。獲得有效簽名公鑰的一種途徑是用證書方式(見GB/T15843.1—2017的附錄C)。證書的產(chǎn)生、分發(fā)和撤銷都超出了本文件的范圍。為了以證書形式獲取有效簽名公鑰，可引入可信第三方。另一種獲得有效簽名公鑰的途徑是使用可信的信使。由于證書的分發(fā)不在本文件的范圍之內(nèi)，因此在所有機制中，證書的分發(fā)都是可選的。b)聲稱方應(yīng)擁有僅由聲稱方掌握及使用的簽名私鑰。c)在實現(xiàn)本文件規(guī)定的機制時，所使用的簽名私鑰應(yīng)不同于任何其他應(yīng)用的密鑰。d)在鑒別機制中，應(yīng)組合所有的被簽名數(shù)據(jù)串，以防止它們被互換。為了實現(xiàn)要求d),本文件中的機制在被簽名數(shù)據(jù)中包含了常量SIDm。簽名的接收方應(yīng)驗證被簽名數(shù)據(jù)中的常量SIDm是否符合預(yù)期。若上述要求中的任何一條沒有得到滿足，則會導(dǎo)致鑒別過程的安全性降低或不能成功完成鑒別。7不引入在線可信第三方的機制7.1單向鑒別兩個實體運用單向鑒別機制完成一方對另一方的鑒別。7.1.2UNI.TS機制———次傳遞鑒別該鑒別機制通過產(chǎn)生并檢驗時間戳或序列號(見GB/T15843.1—2017的附錄B)實現(xiàn)唯一性和時效性。聲稱方A啟動鑒別過程，由驗證方B鑒別A。UNI.TS機制見圖1。a)l?ilTokenABABb)聲稱方A發(fā)送給驗證方B的令牌(TokenAB)形式是：此處聲稱方A用序列號N?或時間戳TA作為時變參數(shù)，具體選用哪一個取決于聲稱方與驗證方的4技術(shù)能力及使用場景。該機制執(zhí)行下列步驟。a)A發(fā)送TokenAB給B,并可選地發(fā)送A的標識符I?。b)收到包含TokenAB的消息后，B執(zhí)行下列步驟：1)檢查接收到的標識I?,并通過驗證A的證書或?qū)⑵渑c所存儲的可信實體列表進行匹配，或通過其他方式確定實體A是否可信；注3:B也能檢查接收到的標識是否與自己的標識一致。在許多應(yīng)用中，實體針對自身進行鑒別也被視2)確認擁有A的有效簽名公鑰；3)通過驗證令牌中A的簽名的有效性，檢查令牌中的SID,檢查時間戳或序列號，并檢查TokenAB的被簽名數(shù)據(jù)中的標識字段ig的值是否等于實體B的可區(qū)分標識符，以驗證TokenAB的有效性。7.1.3UNI.CR機制——兩次傳遞鑒別該鑒別機制通過產(chǎn)生并檢驗隨機數(shù)Rg(見GB/T15843.1—2017的附錄B)實現(xiàn)唯一性和時效性。驗證方B啟動鑒別過程，對聲稱方A進行鑒別。UNI.CR機制見圖2。Aa)R,lText1b)l?IlTokenAB聲稱方A發(fā)送給驗證方B的令牌(TokenAB)形式是：注1:為防止預(yù)期驗證方之外的任何實體接受令牌(例如，發(fā)生中間人攻擊時),在TokenAB的被標識ig。注2:在TokenAB的被簽名數(shù)據(jù)中包含隨機數(shù)R?,可防止B在啟動鑒別機制之前通過選擇數(shù)據(jù)獲得A對該選擇的該機制執(zhí)行下列步驟。a)B向A發(fā)送隨機數(shù)R,并可選地發(fā)送一個字段Text1。b)A產(chǎn)生并向B發(fā)送TokenAB,并可選地發(fā)送A的標識符I。c)收到包含TokenAB的消息后，B就執(zhí)行下列步驟：1)檢查接收到的標識符I?,并通過驗證A的證書或?qū)⑵渑c所存儲的可信實體列表進行匹配，或通過其他方式確定實體A是否可信；注3:B也能檢查接收到的標識是否與自己的標識一致。在許多應(yīng)用中，實體針對自身進行鑒別也被視2)確認擁有A的有效簽名公鑰；3)通過驗證令牌中A的簽名的有效性，檢查SID,檢驗步驟a)中發(fā)送給A的隨機數(shù)R;是否與TokenAB的被簽名數(shù)據(jù)中的隨機數(shù)相等，檢驗步驟b)中TokenAB的被簽名數(shù)據(jù)中的標識字段in的值是否等于B的可區(qū)分標識符，以驗證TokenAB的有效性。57.2雙向鑒別兩個實體運用雙向鑒別機制完成相互鑒別。7.1.2和7.1.3描述的兩種機制被擴展以實現(xiàn)雙向鑒別。這種擴展增加了一條消息傳遞，從而增加了兩個操作步驟。7.2.4規(guī)定的步驟使用四條消息，但這些消息不需要依次發(fā)送，鑒別過程可因此加快。7.2.2MUT.TS機制——兩次傳遞鑒別該鑒別機制通過產(chǎn)生并檢驗時間戳或序列號(見GB/T15843.1—2017的附錄B)實現(xiàn)唯一性和時MUT.TS機制見圖3。Aa)l?Ilc)lllTokenABTokenBABb)圖3MUT.TS機制A發(fā)送給B的令牌(TokenAB)格式與7.1.2所規(guī)定的相似。B發(fā)送給A的令牌(TokenBA)形式為：此處聲稱方用序列號或時間戳作為時變參數(shù)，具體選用哪一個取決于聲稱方與驗證方的技術(shù)能力該機制執(zhí)行下列步驟。a)A發(fā)送TokenAB給B,并可選地發(fā)送A的標識符IA。1)檢查接收到的標識符I?,并通過驗證A的證書或?qū)⑵渑c所存儲的可信實體列表進行匹2)確認擁有A的有效簽名公鑰；3)通過驗證令牌中A的簽名的有效性，檢查SID,檢驗時間戳或序列號，以及檢驗TokenAB的被簽名數(shù)據(jù)中標識字段ig的值是否等于實體B的可區(qū)分標識符，以驗證TokenAB的有效性。c)B向A發(fā)送TokenBA,并可選地發(fā)送B的標識符Ig。6GB/T15843.3—2023/ISO/IEC9798-3:2d)收到包含TokenBA的消息后，A執(zhí)行下列步驟：1)檢查接收到的標識符Iμ,并通過驗證B的證書或?qū)⑵渑c所存儲的可信實體列表進行匹配，或通過其他方式確定實體B是否可信；2)確認接收到的標識符Ig與TokenAB中的標識字段ig是否相符；3)確認擁有B的有效簽名公鑰；4)通過驗證令牌中B的簽名的有效性，檢查SID,檢驗時間戳或序列號，以及檢驗TokenBA的被簽名數(shù)據(jù)中標識字段i?的值是否等于實體A的可區(qū)分標識符，以驗證TokenBA的有效性；7.2.3MUT.CR機制——三次傳遞鑒別該鑒別機制通過產(chǎn)生并檢驗隨機數(shù)(見GB/T15843.1—2017的附錄B)實現(xiàn)唯一性和時效性。MUT.CR機制見圖4。AB圖4MUT.CR機制令牌形式如下：TokenBA=Text5sS(SIDxurcR|R|RAlliAText4)注1:當TokenAB中不包含標識ig(或者TokenBA不包含標識iA)時，A無法確定B是否要對A進行鑒別(反之亦該機制執(zhí)行下列步驟。a)B向A發(fā)送一個隨機數(shù)Rμ,并可選地發(fā)送一個字段Text1。b)A向B發(fā)送TokenAB,并可選地發(fā)送它的標識符I?給B。c)收到包含TokenAB的消息后，B執(zhí)行下列步驟：1)檢查接收到的標識符I?,并通過驗證A的證書或?qū)⑵渑c所存儲的可信實體列表進行匹配，或通過其他方式確定實體A是否可信；2)確認擁有A的有效簽名公鑰；3)通過驗證令牌中A的簽名的有效性，檢查SID,檢驗步驟a)中發(fā)送給A的隨機數(shù)Rg是否與TokenAB的被簽名數(shù)據(jù)中的隨機數(shù)相等，檢驗TokenAB的被簽名數(shù)據(jù)中的標識字段ig的值是否等于B的可區(qū)分標識符，以驗證TokenAB的有效性。d)B向A發(fā)送TokenBA,并可選地發(fā)送它的標識符I;給A。71)檢查接收到的標識符Iμ,并通過驗證B的證書或?qū)⑵渑c所存儲的可信實體列表進行匹配，或通過其他方式確定實體B是否可信；2)確認接收到的標識符Ig與TokenAB中的標識字段ig是否相符；4)通過驗證令牌中B的簽名的有效性，檢查SID,檢驗步驟b)中發(fā)送給B的隨機數(shù)RA是否與TokenBA的被簽名數(shù)據(jù)中的隨機數(shù)相等，檢驗TokenBA的被簽名數(shù)據(jù)中標識字段iA的值是否等于實體A的可區(qū)分標識符，以驗證TokenBA的有效性。7.2.4MUT.CR.par機制——兩次傳遞并行鑒別該鑒別機制是并行執(zhí)行的，通過產(chǎn)生和檢驗隨機數(shù)實現(xiàn)唯一性和時效性(見GB/T的附錄B).MUT.CR.par機制見圖5。a)I|a)I|IR||Text1Bc)TokenBAc')TokenABb)b)令牌的形式與7.1.3中類似：TokenAB=Text4||sS?(SIDkwr.cRprR|RlliText3)TokenBA=Text6||sSg(SIDhurcRmr|RRiAText5)該機制執(zhí)行下列步驟。a')B向A發(fā)送Rg,并可選地發(fā)送它的標識符Ig和一個字段Text2。b)A和B各自執(zhí)行下列步驟：1)A和B各自檢查接收到的標識符Ix,并通過驗證對方的證書或?qū)⑵渑c所存儲的可信實體2)A和B各自確認擁有對方的有效簽名公鑰。c)A向B發(fā)送TokenAB,其中包括步驟b)中A所信任的B的標識字段ig。c')B向A發(fā)送TokenBA,其中包括步驟b)中B所信任的A的標識字段i?。d)A和B執(zhí)行下列步驟：1)它們各自驗證令牌中簽名的有效性(使用步驟b)中的簽名公鑰)和檢查SID所接收到的令牌；82)它們各自檢查之前發(fā)送的隨機數(shù)是否與令牌中被簽名數(shù)據(jù)中的第一個隨機數(shù)相等；3)它們各自檢查之前(在步驟a))接收的隨機數(shù)是否與令牌中被簽名數(shù)據(jù)的第二個隨機數(shù)相等；4)它們各自檢查令牌中被簽名數(shù)據(jù)中的標識符Ix是否與自己的標識相同。8引入在線可信第三方的機制8.1通則本章中的機制應(yīng)使用ISO/IEC14888(所有部分)或ISO/IEC9796(所有部分)中定義的簽名算法實現(xiàn)。在本章規(guī)范的三元對等實體鑒別TePA-EA系列機制中，令牌和Text字段的形式遵循第3章和第5章的描述。此外，在本章規(guī)范的機制中，字段ResA、Res、Status和Failure的值應(yīng)具有以下形式：——Resx=(Cert?Status),(ix||Pa)或Failure;——Status=True或False。如果證書驗證(例如，根據(jù)ISO/IEC9594-8[3],ITU-TX.509[5]或TTP所在域的安全策略)失敗，則設(shè)置該字段的值為False,否則設(shè)置該字段的值為True;——Failure:如果TTP無法找到簽名公鑰或?qū)嶓wX的證書，則Resx(X∈《A,B})將設(shè)置為Fail-ure。在本章定義的機制中，如果TTP確認掌握X(X∈{A,B})的身份與簽名公鑰Px的映射關(guān)系，則Ix=ix;否則Ix=Certx,且ix應(yīng)等于Certx的可區(qū)分標識符字段值；如果X或Certx被允許作為一種標識，則應(yīng)預(yù)先定義一種方法使得TTP能夠區(qū)分這兩種類型的標識。Resx(X={A,B})的值應(yīng)按表1確定。域選項1選項2CertxResx(X||Px)或Failure(Certx||Status)或Failure8.2單向鑒別8.2中的實體鑒別機制要求兩個實體A(或B)使用在線可信第三方(可區(qū)分標識符為TTP)驗證對方的簽名公鑰。該可信第三方應(yīng)具有驗證A(或B)簽名公鑰的真實性的能力。實體A(或B)應(yīng)擁有TTP簽名公鑰的可靠副本。8.2中規(guī)定了兩種四次傳遞鑒別機制，它們都實現(xiàn)了實體A和B之間的單向鑒別。8.2中的機制還提供了對TTP的實體鑒別、原發(fā)鑒別和鑒別結(jié)果的防重放功能。四次傳遞鑒別是一種原子性業(yè)務(wù)。機制的實現(xiàn)應(yīng)使用ISO/IEC14888(所有部分)或ISO/IEC9796(所有部分)中規(guī)定的簽名機制之一：98.2.2TTP.UNI.1機制——四次傳遞鑒別(A發(fā)起)該鑒別機制中，聲稱方B被驗證方A鑒別。該機制由A發(fā)起，A擁有可信第三方TTP簽名公鑰的可靠副本，借助TTP參與鑒別。TTP能夠驗證實體B的簽名公鑰的有效性。TTP.UNI.1機制見圖6。c)RAIIgl|Text4a)R?I|Text1b)TokenBAe)TokenTA令牌結(jié)構(gòu)如下：TokenBA=Text2|M|sSg(SIDfruNIRAliAlTokenTA=Text5||MllsSrrp(SIDirruNI||R'||Resgll該機制執(zhí)行下列步驟。Text3)Text6)a)A發(fā)送隨機數(shù)RA及可選文本Textl給B。b)B發(fā)送令牌TokenBA給A。c)A發(fā)送隨機數(shù)R^,標識符Ig以及可選文本Text4給TTP。d)TTP收到A在步驟c)發(fā)來的消息后，執(zhí)行下列步驟：如果Ig是ig,TTP提取P;如果Ig是Certg,TTP檢查證書Certg的有效性。TTP檢查證書有效性的過程可能需要防范拒絕服務(wù)攻擊，具體的防范方法超出了本文件的范圍。分標識符及其簽名公鑰，或者是Failure失敗標識。f)實體A收到TTP在步驟e)發(fā)來的消息后，執(zhí)行下列操作：1)通過驗證TokenTA中的TTP的簽名的有效性，檢查SID,檢查被簽名數(shù)據(jù)中包含的隨機數(shù)R(是否與在步驟c)中發(fā)送給TTP的隨機數(shù)R相等，并檢查Resp不為Failure來驗證TokenTA;2)從消息中提取實體B的簽名公鑰，通過校驗在步驟b)收到的令牌中實體B的簽名，檢查SID,檢查TokenBA中的標識字段i?的值是否等于實體A的可區(qū)分標識符，并檢查To-kenBA中的隨機數(shù)RA是否與在步驟a)發(fā)送給B的隨機數(shù)相等，以驗證TokenBA的有效性。8.2.3TTP.UNI.2機制——四次傳遞鑒別(B發(fā)起)該鑒別機制中，聲稱方A被驗證方B鑒別，該機制由實體B發(fā)起，B擁有可信第三方TTP簽名公鑰的可靠副本，借助TTP參與鑒別。TTP能夠驗證實體A的簽名公鑰的有效性。TTP.UNI.2機制見圖7。TTPb)Rgll?I|Text2Aa)R||Text]e)TokenABB令牌結(jié)構(gòu)如下：TokenTA=Text3|M|lsSrrp(SIDlrpuN?|R||ResAText4)TokenAB=Text5||M|TokenTA||sS?(SIDrre.uN2|RlligText6)該機制執(zhí)行下列步驟。a)B發(fā)送隨機數(shù)R;及可選文本b)A發(fā)送Rg,IA和可選字段Text2給TTP。c)收到A在步驟b)中發(fā)來的消息后，TTP執(zhí)行如下操作：如果I?是iA,TTP提取P;如果I是Cert?,TTP檢查證書CertA的有效性。TTP檢查證書有效性的過程可能需要防范拒絕服務(wù)攻擊，具體的防范方法超出了本文件的范圍。8.3雙向鑒別8.3中規(guī)定的鑒別機制要求兩個實體A和B使用一個或兩個在線可信第三方驗證彼此簽名公鑰的有效性。如果使用兩個在線可信第三方，則它們的可區(qū)分標識符分別用TTPA和TTP表示。僅通過TTPA驗證A的簽名公鑰的有效性，僅通過TTP驗證B的簽名公鑰的有效性。實體A信任TTPA(A認為由TTPA簽名的任何斷言都是有效的),并應(yīng)擁有TTPA的簽名公鑰的可靠副本。實體B信任TTPg(B認為TTP?簽名的任何斷言都是有效的),并應(yīng)擁有TTP;的簽名公鑰的可靠副本。TTPA和TTP?互相信任。TTPA具有TTP。的簽名公鑰的可靠副本，且TTP具有TTPA的簽名公鑰的可靠副本。8.3中規(guī)定了兩種五次傳遞鑒別機制和一種七次傳遞鑒別機制。所有這些機制均實現(xiàn)了實體A和B之間的雙向鑒別。此外，這些機制還提供了對TTP,TTPA或TTP的實體鑒別，以及原發(fā)鑒別和鑒別結(jié)果的防重放功能。五次傳遞鑒別和七次傳遞鑒別都是一種原子性業(yè)務(wù)。如果選項1應(yīng)用于B(或A)知道TTP正在為B(或A)驗證A(或B)身份的場景中，選項1中TTP簽名的Text字段宜包括I?(或Iμ)。更具體地講，TTP使用IA作為TokenTA第一個簽名的Text字段部分，使用I?作為TokenTA第二個簽名的Text字段部分。在這種情況下，A、B和TTP宜就Text字段中包括的I?(或In)格式和位置達成共識。8.3.2TTP.MUT.1機制——五次傳遞鑒別(A發(fā)起)該鑒別機制通過產(chǎn)生和檢查隨機數(shù)實現(xiàn)唯一性和時效性(見GB/T15843.1—2017的附錄B)TTP.MUT.1機制見圖8。TTPd)e)Text7|TokenTAc)RIIRIIIBText4Aa)RII?Text1b)Igl|TokenBAg)TokenABB令牌結(jié)構(gòu)如下：選項1:TokenBA=Text3||sSμ(SID}reMurA-1llig|RA|RlliAllText2)TokenTA=sSrrp(SID{reMuTI-IR|ReSg|lText6)||sSr(SIDireMUTI-I||RReSlText5)TokenAB=Text9|lsSre(SID-rPMUTA-I||R|ReSAlText5)|lsS?(SID-rEMUTA-IⅡRμR"llie選項2:TokenBA=Text3|sSg(SIDFreMUr?-2igRRliText2)TokenTA=sSrrp(SID-MUTI-2|R^|R|ReSReSa|lText5)TokenAB=Text9||TokenTA|sS?(SID2reMura-2|Rμ|R"lliglliallText8)該機制執(zhí)行下列步驟。b)B發(fā)送TokenBAd)收到來自步驟c)中A的消息后，TTP執(zhí)行下列步驟：如果I?=i?,且Ig=ig,則TTP提取PA和P;如果I?=Cert,且Ig=Certμ,則TTP檢查Cert?和Certg的有效性。TTP檢查證書有效性的過程可能需要防范拒絕服務(wù)攻擊，具體的防范方法超出了本文件的范圍。e)TTP發(fā)送可選字段Text7和TokenTA到A。TokenTA中的ResA和Resg應(yīng)為A和B的證書及其狀態(tài)，或者是A和B的可區(qū)分標識符及其簽名公鑰，或者是指示符Failure。f)收到來自步驟e)中TTP的消息后，A執(zhí)行下列步驟1)通過驗證TokenTA中TTP的簽名的有效性，檢查SID,檢查步驟c)中發(fā)送給TTP的隨機數(shù)R'與TokenTA中TTP的簽名數(shù)據(jù)中的隨機數(shù)R^是否一致是否相等，以驗證To-kenTA的有效性，宜檢查包含Resg的簽名，可選地檢查不包含Resg的簽名，如果檢查不包2)從消息中提取B的簽名公鑰，通過驗證步驟b)中收到的令牌B的簽名的有效性，檢查SID,檢查TokenBA中B的簽名數(shù)據(jù)中的標識字段i?的值是否等于A的可區(qū)分標識符，檢查TokenBA中隨機數(shù)RA與在步驟a)中發(fā)送給B的隨機數(shù)R、是否相等，以驗證Token-BA的有效性。1)通過驗證TokenTA(實體A)或者TokenAB(實體B)中TTP的簽名的有效性，檢查SID,檢查TokenTA中TTP的簽名數(shù)據(jù)的隨機數(shù)R;與在步驟b)中發(fā)送給A的隨機數(shù)R;是否2)從消息中提取A的簽名公鑰，通過驗證TokenAB中A的簽名的有效性，檢查SID,檢查TokenAB中A的簽名數(shù)據(jù)中的標識字段i的值是否等于B的可區(qū)分標識符，檢查To-kenAB中A的簽名數(shù)據(jù)的隨機數(shù)R與在步驟b)中發(fā)送給A的隨機數(shù)R?是否相等，以驗證TokenAB的有效性。8.3.3TTP.MUT.2機制——五次傳遞鑒別(B發(fā)起該鑒別機制通過產(chǎn)生和檢查隨機數(shù)實現(xiàn)唯一性和時效性(見GB/T15843,1—2017的附錄B)TTP.MUT.2機制見圖9。TTPd)Text5|TokenTAb)R|Rglll\lgl|Text2Aa)RgllIllText1e)lJlTokenBAg)TokenBA令牌結(jié)構(gòu)如下：選項1:TokenTA=sSrrp(SID!reMUTz-I|R|ReS;|Text4)llsSrrp(SIDfrpMUT2-I|Rg|ReSA|Text3)TokenAB=Text7|sSrrp(SID?rMUTz-1|RReSA|Text3)||sS?(SIDirMUTz-1RgRAilliA||Text6)TokenBA=Text9||sSμ(SID+reMTz-iⅡix|RA|RlliText8)選項2:TokenTA=sSrp(SIDFreMuT2-2|R'||R|ReSA|ReSg|lText3)TokenAB=Text7|lTokenTAsS?(SID?reMrz-2ⅡRRllilliAText6)TokenBA=Text9|sSμ(SIDreMUTz-2ⅡRAR|iAliText8)該機制執(zhí)行下列步驟。a)B發(fā)送隨機數(shù)R、標識符I,和可選字段Text1到A。b)A發(fā)送隨機數(shù)R^、隨機數(shù)Rn、標識符I?、標識符I?以及可選字段Text2到TTP。c)收到來自步驟b)中A的消息后，TTP執(zhí)行下列步驟：如果IA=iA,且Ig=ig,則TTP提取PA和P;如果IA=CertA,且Iμ=Certg,則TTP檢查Cert?和Certg的有效性。TTP檢查證書有效性的過程可能需要防范拒絕服務(wù)攻擊，具體的防范方法超出了本文件的范圍。d)TTP發(fā)送可選字段Text5和TokenTA到A。TokenTA中的ResA和Res應(yīng)為A和B的證書及其狀態(tài)，或者是A和B的可區(qū)分標識符及其簽名公鑰，或者是指示符Failure。e)A發(fā)送身份I?和TokenAB到B。f)收到來自步驟e)中A的消息后，B執(zhí)行下列步驟：1)通過驗證TokenAB中TTP的簽名的有效性，檢查SID,檢查步驟a)中發(fā)送給A的隨機數(shù)Rg與TokenAB中TTP的簽名數(shù)據(jù)中的隨機數(shù)R,是否相等，以驗證TokenAB的有效性；2)從消息中提取A的簽名公鑰，通過驗證TokenAB中A的簽名的有效性，檢查SID,檢查的可區(qū)分標識符，檢查TokenAB中的A的簽名數(shù)據(jù)的隨機數(shù)R與在步驟a)中發(fā)送給A的隨機數(shù)R;是否相等，以驗證TokenAB的有效性。g)B發(fā)送TokenBA到Ah)收到來自步驟g)中B的消息后，A執(zhí)行下列步驟：1)通過驗證TokenTA中TTP的簽名的有效性，檢查TokenTA中TTP的簽名數(shù)據(jù)的隨機數(shù)R^與在步驟b)中發(fā)送給TTP的隨機數(shù)R^是否相等，以驗證步驟d)消息中的Token-TA的有效性，宜檢查包含Resg的簽名，可選地檢查不包含Resg的簽名；2)從步驟d)的消息中提取B的簽名公鑰，通過驗證TokenBA中B的簽名的有效性，檢查TokenBA中B的簽名數(shù)據(jù)中的標識字段i?的值是否等于A的可區(qū)分標識符，檢查To-kenBA中隨機數(shù)RA與步驟e)中發(fā)送給B的隨機數(shù)RA是否相等，以驗證TokenBA的有8.3.4TTP.MUT.3機制——七次傳遞鑒別該鑒別機制包含七條消息的傳遞，使用兩個在線可信第三方(TTPA和TTPg),通過產(chǎn)生和檢查隨機數(shù)實現(xiàn)唯一性和時效性(見GB/T15843.1—2017的附錄B)。TTP.MUT.3機制見圖10。f)TokenTTPBATTP?d)RmaTokenTTPABj)a)Rg?TgllText1i)TokenABI|lk)TokenBAh)TokenTATTP?B圖10TTP.MUT.3機制令牌結(jié)構(gòu)如下：TokenTTPAB=M|sSrrPA(SIDHrPMT3|ReS||IgRText3)TokenTTPBA=MllsSrrpg(SIDrMuT3ReS||R|Text4)||sSrrpg(SIDMTResRrrAⅡText5)TokenTA=MsSrrPA(SIDfrEMUT3ReSgR'A|Text6)|lsSrrp(SID-TEMUT3ReSARText4)TokenAB=MsSrrp(SIDfmXuT3||ReSA|lR|Text4)||sS?(SIDTMUTRRiliAText7)TokenBA=M||sSμ(SIDTrPMUT?RA|RlliAlliText8)該機制執(zhí)行下列步驟。Cert?,則TTP?檢查Cert?的有效性。TTPA檢查證書有效性的過程可能需要防范拒絕服務(wù)攻2)如果Ig=ig,則TTP提取P;如果Ig=Certg,則TTP檢查Certg的有效性。簽名的有效性，檢查TokenTTPBA中的被簽名數(shù)據(jù)的隨機數(shù)RrpA與步驟d)中發(fā)送給TTP。1)通過驗證TokenAB中TTP的簽名的有效性，檢查TokenAB中被簽名數(shù)據(jù)的隨機數(shù)Rg注1:B也能檢查接收到的標識是否與自己的標識一致。在許多應(yīng)用中，實體針對自身進行鑒別也被視為安全事項。注2:A也能檢查接收到的標識是否與自己的標識一致。在許多應(yīng)用中，實體針對自身進行鑒別也被視為安全事項。2)從消息中提取B的簽名公鑰，通過驗證TokenB(規(guī)范性)EntityAuthenticationMechaniso(1)standard(0)e-auth-mechanisms(9798)paasnl-module(0)object-idenDEFINITIONSEXPLICITOID::=OBJECTIDis9798-3OID::={iso(1)standard(0)e-auth-mechanisms(9798)Part3(3)}mechanismOID::={is9798--不引入在線可信第三方的機制--nottp-mechanismOID::={mechanisnottp-uni-mechanismOID::={nottp-mechanismnottp-mut-mechanismOID::={nouni-tsOID::={nottp-uni-muni-crOID::={notmut-crOID::={nottp-mut-mechanism2}uni(1)}mut-cr-ParallelOID::={nottp-mut-mechanism3}ttp-mechanismOID::=《mechanismuni(1)}ttp-uni-mechanismOID::={ttp-meuni(1)}ttp-mut-mechanismOID::={ttp-mechanismttp-uni-1OID::={ttp-uni-mechanisttp-uni-2OID::={ttp-uttp-mut-2OID::={ttp-mutttp-mut-3OID::={ttp-mutEND-EntityAuthenticationMechanisms-3--在標示某個機制的對象標識符之后，應(yīng)立即跟隨另外一個標示數(shù)字簽名算法的對象標識符[例如，在ISO/IEC14888(所有部分)或ISO/IEC9796(所有部分)中規(guī)范的算法]。(資料性)使用指南B.1安全屬性實體鑒別的目的是證實一個實體是其所聲稱的實體。為了形式化地描述該屬性，根據(jù)GB/T15843.1—2017,攻擊者將被認為可以執(zhí)行中間人、重放、反射和強制延遲等攻擊方法。有關(guān)本文件的廣泛安全性分析，見[1]。該報告考慮以下安全屬性：——對方是存活的(存在且正常響應(yīng)的);——與對方在有關(guān)代理及其角色方面存在弱共識；——在可能的情況下，與對方就隨機數(shù)和Text字段達成數(shù)據(jù)一致。提供上述屬性的機制可抵御中間人攻擊、反射攻擊和重放攻擊(在按照GB/T15843.1—2017附錄B正確地使用了時變參數(shù)的情況下)。對于涉及在線可信第三方的機制，盡管實體A和B都確信TTP的存活性(反之沒有),但僅在A和B之間考慮這些屬性，在TTP和A(或B)之間并沒有考慮這些屬性。B.1.2單向和雙向鑒別單向鑒別協(xié)議僅能保證對等方之一的安全性。例如，向?qū)嶓wB保證A的存活性、弱共識和數(shù)據(jù)一致，反之則不然。在雙向鑒別中，兩個對等方可以確保彼此的存活性、弱共識和數(shù)據(jù)一致。注：弱共識和數(shù)據(jù)一致的要求意味著不能通過簡單組合兩種單向鑒別機制就實現(xiàn)雙向鑒別。B.1.3證書分發(fā)與可信所有機制都允許在消息中包含Ix作為可選字段。Ix包含證書Certx或標識X。這允許聲稱方將關(guān)于其標識和(或)證書的信息提供給驗證方。但是，聲稱方?jīng)]有為驗證方提供能夠?qū)β暦Q方所提供信息加以信任的方法。驗證方仍然需要驗證證書，或者等效地，需要擁有聲稱方的簽名公鑰的可靠副本。但機制UNI.TS,UNI.CR,MUT.TS,MUT.CR和MUT.CR中由給A和(或)B進行證書和(或)簽名公鑰的驗證(可能涉及輔助機制，例如與第三方合作的OCSP)。TTP.UNI.1,TTP.UNI.2和TTP.MUT.1到TTP.MUT.3機制直接包含一個或兩個可信第三方(TTP)以驗證A和B的簽名公鑰或證書。這將驗證證書和(或)簽名公鑰的任務(wù)從參與方A和B轉(zhuǎn)移到TTP。注意，TTP如何執(zhí)行此驗證步驟超出了本文件的范圍。假定TTP的標識和簽名公鑰對于A和B都是已知的(或者在兩個TTP的情況下，每一方都知道各自TTP的標識和簽名公鑰),即，該機制只能在具有固定TTP的封閉環(huán)境中使用。TTP在實體鑒別機制執(zhí)行期間僅與參與方之一交互，但向雙方提供證書驗證結(jié)果。對于該機制的每次執(zhí)行，TTP需要在線可用。而且，TTP會在每次執(zhí)行該機制時了解所涉及雙方的未經(jīng)驗證的身份。在某些設(shè)置中，并不希望第三方獲取有關(guān)通信雙方身份的信息，而不論該信息是否真實。B.2機制的比較和選擇B.2.1比較表B.1總結(jié)了本文件所有機制的安全屬性和協(xié)議的已知限制。該表僅在包括所有可選字段時顯示屬性。省略這些字段會導(dǎo)致較低的安全保證，如相應(yīng)機制的注釋中所述。參考文獻[1]中提出的安全性問題已通過(在可能的范圍內(nèi))使用唯一標識符標記每個簽名消息以及在整個機制中確保對串聯(lián)字符串的唯一解碼的方法加以解決。表B