信息技術安全技術-密鑰管理第3部分：采用非對稱技術的機制

GB/TXXXX—XXXXPAGE7GB/TXXXX—XXXXPAGE8信息技術安全技術密鑰管理第3部分：采用非對稱技術的機制范圍本部分定義了基于非對稱密碼技術的密鑰管理機制，以達到如下目的：通過密鑰協商建立一個共享密鑰，用于實體A和實體B間的對稱加密。在密鑰協商機制中，密鑰必須通過實體A和實體B交換的數據計算得到，任何實體一方不能預先確定共享密鑰值。通過密鑰傳遞建立一個共享密鑰，用于實體A和實體B間的對稱加密。在密鑰傳遞機制中，密鑰由實體A選擇，采用非對稱密碼保護技術，傳給實體B。通過密鑰傳遞將實體A的公鑰傳給其它實體。在公鑰傳遞機制中，實體A的公鑰經鑒別后傳給其它實體，但不需保密。本部分定義的一些機制基于GB/T15843.3[3]相對應的鑒別機制。本部分不包含以下密鑰管理內容：密鑰生存期管理產生或確定非對稱密鑰對機制密鑰的存儲、存檔、刪除等機制注意：該機制不涉及實體私鑰的分發(fā)；可采用公鑰簽名系統對密鑰交換消息進行簽名操作。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語GB/T32918.1-2016信息安全技術SM2橢圓曲線公鑰密碼算法第1部分：總則GB/T32918.2-2016信息安全技術SM2橢圓曲線公鑰密碼算法第2部分：數字簽名算法GB/T32918.3-2016信息安全技術SM2橢圓曲線公鑰密碼算法第3部分：密鑰交換協議GB/T32918.4-2016信息安全技術SM2橢圓曲線公鑰密碼算法第4部分：公鑰加密算法GB/T32905-2016信息安全技術SM3密碼雜湊算法GB/T17901.1-AAAA信息技術安全技術密鑰管理第1部分：框架術語和定義下列術語和定義適用于本文件。非對稱密鑰對asymmetrickeypair一對相關密鑰，其中私有密鑰規(guī)定私有變換，公開密鑰規(guī)定公開變換。非對稱密碼技術asymmetriccryptographictechnique一種采用兩種相關變換，由公鑰定義的公開變換和由私鑰定義的私有變換的密碼技術。這兩個變換具有如下特性，即對給定的公鑰導出私鑰在計算上是不可行的。公開密鑰/公鑰publickey在某一實體的非對稱密鑰對中，能夠公開的密鑰。公鑰證書publickeycertificate由證書權威機構對一個實體簽發(fā)并不可偽造的、有關其公鑰信息的數據結構。可信第三方trustedthirdparty在與安全相關的事件中，被其它實體信任的安全機構或代理。秘密密鑰secretkey用于對稱密碼技術中的一種密鑰，并僅由一組規(guī)定實體所使用。密鑰建立keyestablishment為一個或多個實體產生一個可用的、共享的秘密密鑰的過程。密鑰建立包括密鑰協商、密鑰傳送等。密鑰派生函數keyderivationfunction通過作用于共享秘密和雙方均知道的其它參數，產生一個或多個共享秘密密鑰的函數。密鑰權標keytoken在密鑰建立機制執(zhí)行期間，一個實體向另一個實體發(fā)送密鑰建立的消息。密鑰協商keyagreement在實體之間建立一個共享的秘密密鑰的過程，其中任何實體都不能預先確定該密鑰的值。簽名系統signaturesystem一種基于非對稱密碼技術，其私有密鑰用于簽署變換，其公開密鑰用于驗證變換的系統。雜湊/雜湊函數hashfunction將比特串映射為固定長度的比特串的函數，該函數滿足下列兩特性：對于給定輸出，找出映射為該輸出的輸入，在計算上是不可行的；對于給定輸入，找出映射為同一輸出的第二個輸入，在計算上是不可行的。數字簽名digitalsignature附加在數據單元上的數據，或對數據單元所作的密碼變換，這種數據或變換允許數據單元的接收者用以確認數據單元的來源和完整性，并保護數據防止被人（如接收者）偽造或抵賴。私有密鑰/私鑰privatekey在某一實體的非對稱密鑰對中，只應由該實體使用的密鑰。時間變量timevariantparameter（TVP）用于驗證數據沒有被重發(fā)的數據，例如一個隨機數，一個序列號，或者時間戳。如果使用時間戳，則必須同步實體間的時鐘。如果使用序列號，必須維持和驗證兩邊的序列號計數器同步性。時間戳timestamp相對于一個共同時間基準的一個時間數據項。橢圓曲線密碼算法EllipticCurvesCryptography一種公鑰加密算法，它利用橢圓曲線上的有理點構成Abel加法群上橢圓離散對數的計算困難性。消息鑒別碼messageauthenticationcode（MAC）通過公開函數和密鑰產生一個固定長度的值作為鑒別標識，用于鑒別消息的完整性。證書認證機構certificateauthority（CA）負責產生、簽發(fā)和管理證書的、受用戶信任的權威機構。用戶可選擇該機構為其創(chuàng)建特定密鑰。符號和縮略語下列符號和縮略語適用于本文件。A，B，C實體A、B、C的區(qū)分標識BE加密的數據塊BS帶符號的數據塊簽名的數據塊CA認證機構CertA實體A的公鑰證書DA實體A的私有解密變換函數dA實體A的私有解密密鑰E橢圓曲線，給定在域GF(p)上的方程Y2=X3+aX+b，當p>3并且m為正整數，給定在域GF(2m)上方程Y2+XY=X3+AX2+B，或者在域GF(3m)上的方程Y2=X3+AX2+B，有一額外的參考點OE稱為無窮遠點，分別記為E/GF(pm)，E/GF(2m),或E/GF(3m)EA實體A的公開加密變換函數eA實體A的公開加密密鑰F密鑰協商函數FP基于對的密鑰協商函數F(h,g)使用參數h和公共參數g作為輸入的密鑰協商函數G以n為順序E上的點GF(pm),GF(2m),GF(3m)對素數p>3并且m為正整數pm,2m,3m的有限域g密鑰協商函數F使用的所有實體共享的公共參數hash雜湊函數hA實體A的私鑰協商密鑰j用于余子式乘法中的余子式K對稱加密系統的密鑰KT密鑰權標KTA實體A的密鑰權標KTAi實體A處理第i次交互后發(fā)送的密鑰權標KAB在實體A與B間共享的密鑰kdf密鑰派生函數l余子式乘法采用的值M數據消息MAC消息鑒別碼MACK(Z)以密鑰K和隨機數據串Z作為輸入的MAC算法輸出n橢圓曲線E在有限域中的序列的素因數OE橢圓曲線的無限遠點P橢圓曲線E上的點PX實體A在橢圓曲線E上的公開密鑰協商密鑰PKIA實體A的公開密鑰信息parameter密鑰派生數函數使用的參數pA，pB實體A，B的公開密鑰協商密鑰q素數p≠3且m≥1的素數冪pmr隨機生成數rA實體A的密鑰協商機制的隨機數S1,S2,S3元素集合SA實體A的私有簽名變換函數sA實體A的私有簽名密鑰T可信第三方TVP隨時間變化的參數，如一隨機數，一時間戳，或一序列號Texti包括在一數據塊中第i個文本、數據或其它信息VA實體A的公開驗證變換函數vA實體A的公開驗證密鑰w單向函數X(p)點P的x坐標Y(p)點P的y坐標√q一個正數q的平方根#E橢圓曲線E的順序（或基數）‖兩數據元素連接「x大于或等于實數x的最小整數∑數字簽名π(p)(X(P)&(2「ρ/2-1))+2「ρ/2，其中，ρ=「log2n，X(p)為p點的x軸坐標要求本部分要求所涉及的實體彼此知道其所聲稱的身份，這可通過兩個實體間信息交換時所包含的標識符來實現，或從該機制所使用的上下文明顯看出。身份驗證意味著檢查一個收到的標識符與某個已知的（可信的）或預期值是否相同。如果一個公鑰屬于某實體，那么該實體必須確保它擁有相應的私鑰（密鑰注冊參見GB/T17901.1-AAAA）。本部分涉及使用橢圓曲線簽名驗證、公鑰加解密的算法見GB/T32918.2和GM/T0003.4。密鑰派生函數第10章描述的對稱密鑰系統導出的共享密鑰，建議對其做進一步處理。通過密鑰派生函數可導出共享密鑰，建議使用一個單向函數作為密鑰派生函數，譬如使用雜湊函數。密鑰派生函數產生的密鑰與隨機產生的密鑰很難區(qū)分。但密鑰派生函數需輸入一個共享秘密和一組密鑰推導參數，并產生輸出所需長度的密鑰。為了讓參與同一個密鑰建立機制的雙方能夠協商出共同的密鑰，密鑰派生函數應事先商定。達成這一協定的方法超出了本規(guī)范的范圍。附錄C提供了密鑰派生函數的例子。余子式乘法這一章只適用使用橢圓曲線密碼算法的機制。第11章描述的密鑰協商機制和第12、13章描述的密鑰傳送機制都要求用戶的私鑰或者密鑰權標和另一個實體的公鑰或者密鑰權標混合使用。在橢圓曲線密碼算法中，如果另一個實體的公鑰或者密鑰權標不是有效的（即它不是橢圓曲線上的一個點，或者不在n階子群中），那么該操作的執(zhí)行可能會導致私鑰中的某些位泄露給攻擊者，例如，“小子群攻擊”。“小子群攻擊”可參閱[32]的描述。有兩種選擇方法，可防止“小子群攻擊”和類似的攻擊：一種方法是采用公鑰鑒別法對從另一方接收到的公鑰和密鑰權標進行驗證（參照本標準的規(guī)定）。另一種方法是采用余子式乘法對公鑰進行驗證，余子式乘法將在第11章中具體規(guī)范。下面定義的j和l的值，將在余子式乘法中用到。使用余子式乘法時有兩種選擇：如果不要求與未使用余子式相乘的實體兼容，則設j=＃E/N和l=1。在這種情況下，要求參與雙方都應同意使用該選項，否則該機制不起作用。如果要求與未使用余子式相乘的實體兼容，則設j=#E/N和l=j-1modn。由于要求n>4√qQUOTE，因此gcd(n,j)=1，所以j-1modn的值始終存在。如果不需要用到余子式相乘，則j=l=1。無論是否使用了余子式相乘法，如果共享密鑰（或者共享密鑰的一個組成部分）的計算結果為無窮遠點（OE），則用戶認為密鑰協商過程失敗。公鑰驗證法或余子式乘法特別適合下列情況：實體的公鑰未經驗證；密鑰權標未經驗證；用戶的公鑰希望長期使用。如果另一實體的公鑰已被驗證且余子式較小，可被泄露的信息相當有限，則可不需完成這些測試。密鑰承諾第11章將描述一種密鑰協商機制，通過單向函數及私鑰協商密鑰來建立密鑰。然而，某實體可能在選擇自己的私鑰前就知道另一實體的公鑰或密鑰權標。所以，在該實體發(fā)現其它實體的公鑰和選定自己私鑰的間隔內，可以以生成2s個私鑰協商密鑰候選值為代價，控制其所要建立的密鑰中s個二進制比特位的值。增加一個附加信息或協議傳遞的代價是使用密鑰承諾方法。密碼承諾的執(zhí)行可以通過讓第一實體對公鑰或者密鑰權標進行雜湊變換并將雜湊碼送給第二實體；接著第二實體回復自己的公鑰或者密鑰權標，然后第一實體回復自己的公鑰或者密鑰權標給第二實體，第二個實體可對它進行雜湊變換并驗證雜湊碼是否等于之前第一實體所發(fā)送的值。密鑰確認顯式密鑰確認過程是通過添加附加消息到一個提供隱式密鑰鑒別的密鑰建立協議中，因此提供了顯式密鑰鑒別和實體鑒別。顯式密鑰確認可以被添加到任何不包含它本身的方法中。密鑰確認通常是通過交換一個值來實現，這個值在很大的概率下只有密鑰建立計算成功時才能正確計算出來。從實體A到實體B的密鑰確認是通過實體A計算一個值并發(fā)送給實體B以確認實體A的計算。如果要求相互密鑰確認，則每個實體需發(fā)送一個不同的值給對方。隱式密鑰確認是在已建立的密鑰的后續(xù)使用中提供密鑰確認，當發(fā)生某種錯誤時，就立即檢測到。在這種情況下，不需顯式密鑰確認。如果一個實體不在線（如在單輪通信協議中，存儲和轉發(fā)（電子郵件）的場景），另一個實體就不可能獲得密鑰確認。然而，有時建立的密鑰在后來才使用，或者密鑰建立過程的實體并不知道所產生的密鑰是否會被立即使用。在這些情況下，通常需使用顯式密鑰確認方法，否則一旦錯誤檢測出來糾正它就可能太晚。顯式密鑰確認可看作是密鑰建立過程中具有“堅固”安全屬性的一種方式，且可認作為是一個保守的協議設計。使用MAC提供密鑰確認的例子如下：實體A和B首先執(zhí)行本規(guī)范中第11及12章中采用的其中一個密鑰建立過程，期望共享一個的MAC密鑰KAB，執(zhí)行的步驟如下：實體B產生一個八位位組串的消息M，由幾部分組成：消息標識符八位位組0x02，實體B的標識符，實體A的標識符，對應于實體B的密鑰權標的八位位組串KTB（如不存在，省略），對應于實體A的密鑰權標的八位位組串KTA（如不存在，省略），對應于實體B的密鑰建立公鑰pB（如不存在，省略），對應于實體A的密鑰建立公鑰pA（如不存在，省略），及可選的附加文本Text1（如存在的話），即：M=02||B||A||KTB||KTA||pB||pA||Text1，其中0x02是消息序號。實體B計算KB=kdf(KAB)，采用共享密鑰KB，用一個合適的MAC機制對消息M計算出MACKBQUOTEMACKB（M）。實體B將消息M和MACKBQUOTEMACKB（M）發(fā)送給實體A。實體A計算KA=kdf(KAB)，用收到的消息M計算MACKAQUOTEMACKA（M），并驗證MACKB（M）=MACKAQUOTEMACKA（M）。假設MAC驗證，實體A已收到實體B的密鑰確認（即實體A知道KA=KB）。如需相互密鑰確認，則實體A繼續(xù)執(zhí)行協議，產生八位位組串的消息M'，由幾部分組成：消息標識符八位位組0x03，實體A的標識符，實體B的標識符，對應于實體A的密鑰權標的八位位組串KTA（如不存在，省略），對應于實體B的密鑰權標的八位位組串KTB（如不存在，省略），對應于實體A的密鑰建立公鑰pA（如不存在，省略），對應于實體B的密鑰建立公鑰pB（如不存在，省略），以及可選的附加文本Text2（如存在的話），即：M'=03||A||B||KTA||KTB||pA||pB||Text2，其中0x03是消息序號。實體A采用共享密鑰KA，用一個合適的MAC機制計算MACKAQUOTEMACKA（M'）。實體A將M'和MACKAQUOTEMACKA（M'）發(fā)送給實體B。對消息M'，實體B用KB驗證MACKAQUOTEMACKA（M'）。假設MAC驗證，實體B已收到實體A的密鑰確認（即實體B知道KA=KB）。也可采用其它確認密鑰方法，如果共享密鑰用于數據加密，那么一實體可將另一實體已知的一些特定的明文進行加密，并發(fā)送給該實體，如全0或全1的二進制塊，但應注意后續(xù)使用該密鑰時，不再加密用于密鑰確認時使用過的同一明文。密鑰管理框架概要本章包含了對密鑰建立機制框架的高級描述，定義了四種機制（雙方密鑰協商，三方密鑰協商，私鑰傳送以及公鑰傳送）以及各自的使用要求。雙方密鑰協商本節(jié)適用于本標準中第11.1-11.11部分描述的雙方密鑰協商的密鑰協商機制。雙方密鑰協商是一個在A與B兩實體間建立共享密鑰的過程，任何一方不能預先確定共享密鑰的值。密鑰協商機制可以提供隱式密鑰鑒別；在密鑰建立的條件下，隱式密鑰鑒別意味著機制實施后只有經確定的實體才可擁有正確的共享密鑰。A與B兩實體間的密鑰協商發(fā)生在雙方共享一段內容的條件下。該內容包括兩個集合S1,S2和一個密鑰協商函數F。函數F應滿足以下規(guī)定：F:S1*S2->S2將元素(h,g)∈S1*S2映射到S2的元素，寫成y=F(h,g)。F滿足可交換：F(hA,F(hB,g))=F(hB,F(hA,g)).從F(h1,g),F(h2,g)和g計算得到F(h1,F(h2,g))是困難的，意味著F(??,g)是單向函數。實體A和B共享S2中的一個公共元素g，該元素是公開的。此設置下的實體可以高效計算函數值F(h,g)，并有效地產生S1中的隨機元素。在特定的密鑰協商中，可進一步包括一些條件。1：附錄D和附錄E給出密鑰協商函數F的例子。2：如第6章中描述，在密鑰協商機制的實際實現中，需對共享密鑰做進一步處理。3：一般來講，必須檢查收到的函數值F(h,g)是否為弱值。如果為弱值，該協議將終止。三方密鑰協商本節(jié)適用于描述第11.12部分描述的三方之間密鑰協商的密鑰協商機制。三方密鑰協商在三個實體A,B,C間建立一個共享密鑰，三方中的任何一方不能預先確定共享密鑰的值。三實體A,B,C間的密鑰協商發(fā)生在三方共享一段內容的條件下，該內容包括三個集合S1,S2,S3，密鑰協商函數F和FP。密鑰協商函數F和FP應滿足以下規(guī)定：F:S1*S2->S2將元素(h,g)∈S1*S2映射到S2的元素，寫成y=F(h,g)。F滿足可交換：F(hA,F(hB,g))=F(hB,F(hA,g))。從F(h1,g),F(h2,g)和g計算F(h1,F(h2,g))是困難的，意味著F(??,g)是單向函數。F:S1*S2*S2->S3將元素(hC,F(hA,g),F(hB,g))∈S1*S2*S2映射到S3的元素，寫成：z=FP(hC,F(hA,g),F(hB,g))。FP滿足可交換性：FP(hC,F(hA,g),F(hB,g))=FP(hC,F(hB,g),F(hA,g))=FP(hB,F(hA,g),F(hC,g))=FP(hA,F(hB,g),F(hC,g))=FP(hA,F(hC,g),F(hB,g))=FP(hB,F(hC,g),F(hA,g)).從F(hA,g),F(hB,g),F(hC,g)和g計算得到FP(hC,F(hA,g),F(hB,g))是困難的，意味著F(??,pA,pB)是單向函數。實體A,B,C共享一個S2中的一個公共元素g，該元素是公開的。此設置下的實體可以高效計算函數值F(h,g)和FP(hC,F(hA,g),F(hB,g))，并有效地產生在S1中的隨機元素。在特定的密鑰協商中，可進一步包括一些條件。：如第6章描述，在密鑰協商機制的實際實現中，需對共享密鑰做進一步處理，共享派生密鑰應通過以下途徑計算：直接從共享私鑰KABC提取一些比特位；或將共享私鑰KABC和選用一些非秘密數據經過一個單向函數計算，從輸出中提取一些比特位。秘密密鑰傳送秘密密鑰傳送（也稱密鑰傳遞）是一個傳遞秘密密鑰的過程，由一實體（或可信任中心）選擇，傳給另一實體，并通過非對稱密碼算法加密保護。公鑰傳送公鑰傳送使一實體的公鑰可讓其它實體以鑒別方式得到，公鑰鑒別分發(fā)是一個基本的安全需求。分發(fā)主要通過以下兩種方式：沒有可信第三方的公鑰分發(fā)；通過可信第三方的公鑰分發(fā)，例如證書頒發(fā)機構。實體A的公鑰是實體A公鑰信息的一部分，公鑰信息至少包括實體A的區(qū)分標識符和實體A的公鑰。密鑰協商密鑰協商機制1該密鑰協商機制以非交互方式在實體A和B間建立包含相互隱式密鑰鑒別的共享密鑰，應滿足以下規(guī)定：每個實體X在S1中有一個密鑰協商私鑰hX和一個密鑰協商公鑰pX=F(hX,g)。每個實體可得到另一實體的已鑒別的密鑰協商公鑰副本，可用第13章描述的機制來實現。密鑰協商機制1如圖1所示。該機制用于以離線方式在兩個實體之間協商共享密鑰。密鑰協商機制1密鑰建立（A1）：實體A用其私鑰協商密鑰hA和實體B的公鑰協商密鑰pB計算共享秘密密鑰KAB=F(hA,pB)。密鑰建立（B1）：實體B用其私鑰協商密鑰hB和實體A的公鑰協商密鑰pA計算共享私鑰KAB=F(hB,pA)。在第10章中對F進行了規(guī)定，以保證密鑰KAB的兩個計算值一致。1：交互次數為0。2：該機制提供了相互隱式密鑰鑒別。該零交互協議將產生相同的密鑰。解決該問題的方法是確保密鑰只用一次。也可用唯一的初始化矢量與密鑰一起使用來解決該問題。3：該機制不提供密鑰確認。4：該機制是一個密鑰協商機制，它建立的密鑰是實體A和B的私鑰hA和hB的單向函數。然而，一實體可能在選擇私鑰前就知道另一實體的公鑰。因此，如第8章所描述，一實體可選擇所建立密鑰的s位，代價是在發(fā)現另一個實體的公鑰和選擇私鑰的間隔中，為私鑰產生2s個備選值。5：附錄E.3給出該機制的例子。密鑰協商機制2該機制適用于參與協商密鑰的兩個實體中僅有一方知道對方身份，且只需在線交互一次的場景，采用實體B到A的隱式密鑰鑒別方式，在實體A和實體B間經一次交互建立一個共享私鑰，但實體B不鑒別實體A（即實體B不知道和誰建立共享密鑰）。該機制需滿足以下規(guī)定：實體B在S1中有一個密鑰協商私鑰hB和一個密鑰協商公鑰pB=F(hB,g)。實體A可以通過第13章描述的機制獲得實體B已鑒別的密鑰協商公鑰pB的副本。密鑰協商機制2如圖2所示。密鑰權標創(chuàng)建(A1)：實A隨機并秘密產生r（r在S1中），計算F(r,g)，并將密鑰權標：KTA1=F(r,g)||Text發(fā)送給實體B。密鑰創(chuàng)建(A2)：實體A計算共享密鑰KAB=F(r,pB)。密鑰創(chuàng)建(B1)：實體B從接收到的密鑰權標KTA1中提取F(r,g)，并計算共享密鑰：KAB=F(hB,F(r,g))。在第10章中對F進行了規(guī)定，以保證密鑰KAB的兩個計算值一致。1：交互次數為1。2：該機制提供從實體B到實體A的隱式鑒別（實體B是除了實體A之外唯一可計算出共享密鑰的實體）。3：該機制不提供密鑰確認。4：該機制是一個密鑰協商機制，它建立的密鑰是實體A提供的隨機值r和實體B的密鑰協商私鑰的單向函數。因此，如第8章所描述，實體A可在選取r的值之前就得到實體B的公鑰，實體A可選擇所建立密鑰的s位，代價是在發(fā)現實體B的公鑰和發(fā)送KTA的間隔中，為r產生2s個備選值。5：由于實體B是從未鑒別的實體A收到可計算出密鑰KAB的信息，實體B對KAB的使用必須被限制在不需實體A鑒別的范圍內，例如，解密和消息鑒別碼的生成。密鑰協商機制2及機制8密鑰協商機制3該機制適用于參與協商密鑰的兩個實體彼此知道對方身份，且只需在線交互一次的場景，通過相互隱式密鑰鑒別以及實體A到實體B的實體鑒別，在實體A和實體B間經一次交互建立共享秘密密鑰。應滿足以下要求:實體A擁有非對稱簽名系統(SA,VA)。實體B可得到已鑒別的公開驗證變換VA的副本，可通過第13章所描述的機制實現。實體B有密鑰(hB,pB)的密鑰協商方案。實體A可獲取已鑒別的實體B密鑰協商公鑰pB的副本，可通過第13章所描述的機制實現。(可選)如果被使用,TVP可為時間戳或序列號。如果使用時間戳,需有安全和同步的時鐘;如果使用序列號,則需維護和校驗雙邊計數器。實體A和B在MAC函數和使用KAB作為該MAC函數密鑰的方法上應一致。MAC函數可參照ISO/IEC9797規(guī)范。密鑰協商機制3如圖3所示。密鑰協商機制3密鑰創(chuàng)建(A1.1)：實體A隨機并秘密產生r（r在S1中），計算F(r,g)，按KAB=F(r,pB)計算共享秘密密鑰。實體A使用共享秘密密鑰KAB對發(fā)送者實體A的區(qū)分標識符及可選的TVP（時間戳或序列號）的級聯，計算出MAC。密鑰權標簽名(A1.2):實體A用其私有簽名轉換SA對MAC進行簽名。實體A形成密鑰權標,它由發(fā)送者實體A的區(qū)分標識符、密鑰輸入F(r,g)、TVP(可選)、已簽名的MAC和一些可選數據組成,即KTA1=A||F(r,g)||TVP||SA(MACKAB(A||TVP))||Text1然后將它發(fā)送給實體B。密鑰創(chuàng)建(B1.1):實體B從接收到的密鑰權標中提取出F(r,g)，并用其私鑰協商密鑰hB計算共享秘密密鑰,KAB=F(hB,F(r,g))。實體B使用共享秘密密鑰KAB對發(fā)送者實體A的區(qū)分標識符和(可選)TVP計算出MAC。簽名驗證(B1.2):實體B使用發(fā)送者的公開驗證轉換VA驗證實體A的簽名以及接收到的密鑰權標KTA1的完整性和來源。然后驗證權標的及時性(通過檢查（可選）TVP)。1：交互次數為1.2：該機制提供從實體A到實體B的顯式密鑰鑒別和從實體B到實體A的隱式密鑰鑒別。3：該機制提供從實體A到實體B的密鑰確認。注4：該機制是一個密鑰協商機制，它建立的密鑰是實體A提供的隨機值r和實體B的私鑰協商密鑰的單向函數,如第8章所描述，實體A可在選取r的值之前就得到實體B的公鑰，實體A可選擇所建立密鑰的s位，代價是在發(fā)現實體B的公鑰和發(fā)送KTA的間隔中，為r產生2s個備選值。5：(可選)TVP防止從實體A向實體B的密鑰權標重放。6：如果Text1被用來傳送實體A的公鑰證書,那么第11.3的要求2可放寬到實體B擁有一個已鑒別的CA公開密鑰副本。密鑰協商機制4該機制適用于參與協商密鑰的兩個實體彼此不知道對方身份，且在線交互兩次的場景，實體A和B事先沒有交換密鑰信息，通過采用聯合密鑰控制方法，經兩次交互建立共享秘密密鑰。該機制既不提供實體鑒別也不提供密鑰鑒別。密鑰協商機制4如圖４所示。密鑰權標創(chuàng)建(A1):實體A隨機并秘密產生rA（rA在S1中），計算F(rA,g),構造密鑰權標KTA1=F(rA,g)||Text1,然后發(fā)給實體B。密鑰權標創(chuàng)建(B1):實體B隨機并秘密產生rB（rB在S1中）,計算F(rB,g),構造密鑰權標KTB1=F(rB,g)||Text2,然后發(fā)給實體A。密鑰創(chuàng)建(A2):實體A從收到的密鑰權標KTB1中提取F(rB,g)，并計算共享密鑰KAB=F(rA,F(rB,g))。密鑰創(chuàng)建(B2):實體B從收到的密鑰權標KTA1中提取F(rA,g)，并計算共享密鑰KAB=F(rB,F(rA,g))。1：交互次數為2.2：該機制不提供顯式或隱式密鑰鑒別，但該機制可用于通過其它方式核實密鑰權標的真實性的情況。例如,可通過第二通信信道在實體間交換密鑰權標的雜湊碼。參見公鑰傳送機制2.3：可采用單獨的信道或方法核實密鑰權標。?4：該機制不提供密鑰確認。5：該機制是一個密鑰協商機制，它建立的密鑰是實體A和實體B提供的隨機值rA和rB的單向函數，如第8章所描述,實體B可在選擇rB的值之前就得到F(rA,g),實體B可選擇所建立密鑰的s位，代價是在接收KTA1和發(fā)送KTB1的間隙中，為rB產生2s個備選值。密鑰協商機制4如圖4所示。密鑰協商機制4，5，9密鑰協商機制5該機制適用于參與協商密鑰的兩個實體彼此知道對方身份，且在線交互兩次的場景，通過相互顯式密鑰別和聯合密鑰控制方法，經兩次交互在實體A和B間建立一個共享秘密密鑰。應滿足以下條件:每個實體X有一個私鑰協商密鑰hX（hX在S1中）,和一個公鑰協商密鑰pX=F(hX,g)。每個實體可獲取其它實體的已鑒別的公鑰協商密鑰副本，可通過第13章所描述的機制實現兩個實體有共同的單向函數w。密鑰協商機制5如圖4所示。密鑰權標創(chuàng)建(A1):實體A隨機和秘密地產生rA（rA在S1中），計算F(rA,g),并將密鑰權標KTA1＝F(rA,g)||Text1發(fā)送給實體B。密鑰權標創(chuàng)建(B1):實體B隨機和秘密地產生rB（rB在S1中）,計算F(rB,g),并將密鑰權標KTB1＝F(rB,g)||Text2發(fā)送給實體A。密鑰創(chuàng)建(B2):實體B從收到的密鑰權標KTA1中提取F(rA,g),并計算共享秘密密鑰:KAB=w(F(hB,F(rA,g))||F(rB,pA)),其中w為單向函數。密鑰創(chuàng)建(A2):實體A從收到的密鑰權標KTB1中提取F(rB,g),并計算共享秘密密鑰：KAB=w(F(rA,pB)||F(hA,F(rB,g)))。1：交互次數為2。2：該機制提供相互隱式密鑰鑒別。如果數據域Text2含有一個由密鑰KAB對已知數據計算得到的MAC,則該機制提供實體B到實體A的顯式密鑰鑒別。3：如果數據域Text2含有一個由密鑰KAB對已知數據計算得到,則該機制提供實體B到實體A的密鑰確認。4：該機制是一個密鑰協商機制,它建立的密鑰是實體A和實體B提供的隨機值rA和rB的單向函數。5：如果Text1和Text2分別包含實體A和實體B的密鑰協商密鑰的公鑰證書,則第11.5的要求2替代為:每個實體擁有一個已鑒別的CA公開驗證密鑰副本。6：在某種情況下該機制可能會遭受源替換攻擊，考慮到這種情況,可以這樣來避免這種攻擊：作為提交公鑰給CA獲得證書的一部分，提交者應證明其持有相應私鑰。該類攻擊對于基于橢圓曲線的協議更為嚴重。密鑰協商機制6該機制適用于參與協商密鑰的兩個實體彼此鑒別對方身份，且在線交互兩次的場景，基于同時使用非對稱加密方案和簽名系統，通過相互隱式密鑰鑒別和聯合密鑰控制，經兩次交互在實體A和B間建立一個共享密鑰。應滿足以下要求：實體A具有非對稱加密系統及變換（EA，DA）。實體B具有非對稱簽名系統及變換（SB，VB）。實體A可得到經鑒別的實體B公鑰驗證變換VB副本，可使用第13章的機制來實現。實體B可得到經鑒別的實體A的公鑰加密變換EA副本，可使用第13章的機制來實現。密鑰協議機制6如圖5所示。密鑰協商機制6密鑰權標創(chuàng)建(A1):實體A產生隨機數rA，創(chuàng)建密鑰權標KTA1=rA||Text1，并將其發(fā)送給實體B。密鑰權標處理(B1):實體B產生隨機數rB，使用其私有簽名變換SB，對數據塊簽名，該數據塊的組成是：實體A的區(qū)分標識符、隨機數rA、隨機數rB和可選數據文本Text2，得到BS=SB(A||rA||rB||Text2)。然后實體B用實體A的基于公鑰加密變換EA對數據塊加密，該數據塊的組成是：區(qū)分標識符（可選）、簽名塊BS及可選的數據Text3，實體B將密鑰權標KTB1=EA(||BS||Text3)||Text4返回給實體A，或實體B可包括其標識符B：KTB1=EA(B||BS||Text3)||Text4。密鑰創(chuàng)建(B2): 經密鑰派生函數，共享秘密密鑰由簽名塊BS中實體B所有或其中一部分簽名Σ組成（見第4章注2）。密鑰權標處理(A2):實體A使用其私有解密變換DA解密密鑰權標KTB1，檢查發(fā)送者的標識（可選），并采用實體B的公鑰驗證變換VB驗證簽名塊BS的數字簽名。然后實體A檢查接收者標識符和簽名塊BS中隨機數rA是否等于在發(fā)送的權標KTA1中的隨機數rA。如果所有檢查都成功，實體A接受所有采用密鑰派生函數的簽名塊BS中實體B所有或其中一部分簽名作為共享秘密密鑰。 1：交互次數為2。2：簽名Σ部分作為實體A和B間建立的秘密密鑰的基礎需要事先商定。3：該機制提供從實體A與實體B的隱式密鑰鑒別和從實體B向實體A的顯式密鑰鑒別。4：如果Text3包含用密鑰KAB對已知數據計算出的MAC，則該機制提供實體B向實體A密鑰確認。5：該機制是一個密鑰協商機制，它建立的密鑰是由實體A和實體B提供的隨機值rA和rB的單向函數，如第8章所討論,實體B可在選擇rB的值之前就得到F(rA,g),實體B可選擇所建立密鑰的s位，代價是在接收KTA1和發(fā)送KTB1的間隙中，為rB產生2s個備選值。6：如果Text1和Text4分別包含有實體A加密密鑰的公鑰證書的和實體B驗證密鑰的公鑰證書，則第11.6節(jié)的要求3和4可放寬到：每個實體擁有已鑒別的CA公開驗證密鑰副本。7：該機制有一個顯著特征，實體B的身份可對竊聽者匿名，這是無線通信環(huán)境中有潛在意義的屬性。密鑰協商機制7該機制適用于參與協商密鑰的兩個實體采用GB/T15843.3規(guī)定的三輪交互鑒別機制彼此鑒別對方身份，且在線交互兩次的場景，通過相互鑒別在實體A和B間建立共享秘密密鑰。應滿足以下要求：每個實體X有一個非對稱簽名系統（SX，VX）。實體雙方均可得到另一實體已鑒別的公開驗證變換副本，可使用第13章的機制來實現。兩實體使用同一MAC函數。密鑰協商機制7如圖6所示。密鑰權標創(chuàng)建(A1):實體A隨機及秘密生成rA（rA在S1中），計算F（rA,g），構建密鑰權標KTA1=F(rA,g)||Text1，并將其發(fā)送給實體B。密鑰權標處理及密鑰創(chuàng)建(B1):實體B隨機及秘密生成rB，（rB在S1中），計算F（rB,g），計算共享密鑰：KAB=F（rB，F（rA，g）），并構建簽名密鑰權標KTB1=SB(DB1)||MACKAB(DB1)||Text3,其中DB1=F(rB,g)||F(rA,g)||A||Text2，并送回給實體A。通過在KTB1中包含MACKAB（DB1）提供密鑰確認。如果雙方有一個共同的對稱加密系統，用KTB1=||EKAB（SB（DB1））取代KTB1提供密鑰確認，其中E是對稱加密函數。密鑰權標處理(A2):實體A使用實體B的公開驗證密鑰驗證實體B對密鑰權標KTB1的簽名，然后驗證A的區(qū)分標識符以及步驟（A1）中F（rA，g）值。如果檢查成功，實體A計算共享秘密密鑰:KAB=F（rA，F（rB，g））。實體A使用KAB，驗證MACKAB（DB1），構造經簽名的密鑰權標：KTA2=SA（DB2）||MACKAB（DB2）||Text5，其中DB2=F(rA,g)||F(rB,g)||B||Text4，并發(fā)送給實體B。通過在KTA2中包含MACKAB（DB2）提供密鑰確認。也可用KTA2=EKAB（SA（DB2））取代KTA2提供密鑰確認。密鑰權標處理(B2):實體B使用實體A的公開驗證密鑰驗證實體A對密鑰權標KTA2的簽名，然后驗證實體B的區(qū)分標識符以及F（rA，g）和F（rB，g）的值是否與之前協商的一致。如果驗證成功，實體B使用KAB=F(rB,F(rA,g))驗證MACKAB（DB2）。1：交互次數為3。2：該機制提供相互顯式密鑰鑒別和相互實體鑒別。3：該機制提供相互密鑰確認。4：該機制是一個密鑰協商機制，它建立的密鑰是實體A和實體B提供的隨機值rA和rB的單向函數，如第8章所討論,實體B可在選擇rB的值之前就得到F(rA,g),實體B可選擇所建立密鑰的s位，代價是在接收KTA1和發(fā)送KTB1的間隙中，為rB產生2s個備選值。5：該機制符合GB/T15843.3[3]。KTA1，KTB1和KTA2與GB/T15843.3的第5.2.2描述的三輪交互鑒別機制的權標相同[3]。TVP也相同，在下列使用上做些改變：將TVPRA（GB/T15843.3的三個權標[3]，5.2.2）設置為F（rA,g）；以及將TVPRB（GB/T15843.3的三個權標[3]，5.2.2）設置為F（rB,g）。6：如果數據域Text1和Text3（或Text5和Text3）分別包含實體A和B的公鑰證書，則第11.7的第二個要求可放寬到：每個實體擁有一份已鑒別的CA公開驗證密鑰副本。7：如果使用帶有文本雜湊的簽名機制，則F（rA,g）及/或F（rB,g）不需在密鑰權標KTB1中發(fā)送。同樣，F（rA,g）和F（rB,g）不需在密鑰權標KTA2中發(fā)送，但在各簽名的計算中應包括隨機數。8：密鑰確認也可通過加密簽名中的一部分來實現，在這種情況下，在第11.7中的第三要求可不采用。密鑰協商機制7密鑰協商機制8該機制適用于參與協商密鑰的兩個實體采用橢圓曲線密碼算法且在線交互一次的場景，通過相互隱式密鑰鑒別及一次交互在實體A和B間建立一個共享秘密密鑰。應滿足以下要求：每個實體X在S1中都有一個私鑰協商密鑰hX和一個公鑰協商密鑰pX=F（hX,g）。每個實體可得到另一個實體已鑒別的公鑰協商密鑰副本，可使用第13章的機制來實現。密鑰協商機制8如圖2所示。l和j值用于余子式乘法（見第7章）。還需采用一個函數將一橢圓點P轉換為整數，例如，函數π(P)=(X(P)mod2ρ/2)+2ρ/2，其中ρ=log2n，X(P)為點P的x坐標。密鑰權標創(chuàng)建(A1): 實體A隨機并秘密地產生rA（rA在S1中），計算F(rA,g)，構建密鑰權標KTA1=F(rA,g)，并將其發(fā)送給實體B。密鑰創(chuàng)建(A2):實體A計算共享秘密密鑰：KAB=lj(1+π(pB))(F(rA,pB)+π(KTA1)F(hA,pB))密鑰創(chuàng)建(B1):實體B計算共享秘密密鑰：KAB=lj(1+π(pB))(F(hB,KTA1)+π(KTA1)F(hB,pA))1：交互次數為1。2：該機制提供相互隱式密鑰鑒別。密鑰協商機制9該機制適用于參與協商密鑰的兩個實體采用橢圓曲線密碼算法且在線交互兩次的場景，通過相互隱式密鑰鑒別，經兩輪交互在實體A和實體B間建立一個共享秘密密鑰。應滿足下面條件:每個實體X在S1中有一個私鑰協商密鑰hx和一個公鑰協商密鑰px=F(hx,g)。每個實體可得到另一個實體已鑒別的公鑰協商密鑰副本，可使用第13章的機制來實現。密鑰協商機制9如圖4所示。l和j值用于余子式乘法（見第7章）。還需采用一個函數將一橢圓點P轉換為整數，例如，函數π(P)=(X(P)mod2ρ/2)+2ρ/2，其中ρ=log2n，X(P)為點P的x坐標。密鑰權標創(chuàng)建(A1):實體A隨機及秘密地產生rA（rA在S1中）,計算F(rA,g),構建密鑰權標KTA1=F(rA,g),然后發(fā)給實體B。密鑰權標創(chuàng)建(B1):實體B隨機及秘密地產生rB（rB在S1中）,計算F(rB,g),構建密鑰權標KTB1=F(rB,g),然后發(fā)給實體A。密鑰創(chuàng)建(A2):實體A計算共享密鑰：KAB=lj(1+π(pB))F(rA,pB)+π(KTA1)F(hA,pB))密鑰創(chuàng)建(B2):實體B計算共享密鑰：KAB=lj(1+π(pB))F(hB,KTA1)+π(KTA1)F(hB,pA))1：交互次數為2。2：該機制提供相互隱式密鑰鑒別。3：在某些情況下，該機制可能會受到源替換攻擊，但可以通過增加延遲檢測來避免這種攻擊，其它對策，可參閱[21]。密鑰協商機制10該機制適用于參與協商密鑰的兩個實體采用SM2橢圓曲線密碼算法且在線交互三次的場景，見GB/T32918.3-2016。該密鑰協商機制采用橢圓曲線密碼體制,通過三次交互采用相互隱式密鑰鑒別，在實體A和實體B間建立一個共享密鑰。需滿足下面條件:每個實體X在S1中有一個私鑰協商密鑰hx和一個公鑰協商密鑰px=F(hx,g)。每個實體可得到另一個實體已鑒別的公鑰協商密鑰副本，可使用第13章的機制來實現。密鑰協商機制10如圖7所示。l和j值用于余子式乘法（見第7章）。還需采用一個函數將一橢圓點P轉換為整數，函數π(P)=(X(P)&(2「ρ/2-1))+2「ρ/2，其中ρ=「log2n，X(P)為點P的x坐標。密鑰協商機制10密鑰權標創(chuàng)建(A1):實體A隨機及秘密地產生rA（rA在S1中）,計算F(rA,g),構建密鑰權標KTA1=F(rA,g),然后發(fā)給實體B。密鑰創(chuàng)建(B1):實體B隨機及秘密地產生rB（rB在S1中）,計算F(rB,g),構建密鑰權標KTB1=F(rB,g),計算共享秘密密鑰：KAB=((hB+π(KTB1)rB)l)(pA+π(KTA1)j(KTA1))實體B計算密鑰K=kdf(KAB||ZA||ZB)。并進一步構建MACK(2||Y(KAB)||MACK(X(KAB)||ZA||ZB||KTA1||KTB1))，然后將KTB1及MACK(2||Y(KAB)||MACK(X(KAB)||ZA||ZB||KTA1||KTB1))發(fā)給實體A。密鑰創(chuàng)建(A2):實體A計算共享秘密密鑰：KAB=((hA+π(KTA1)rA)l)(pB+π(KTB1)j(KTB1))，計算密鑰K=kdf(KAB||ZA||ZB)及MACK(2||Y(KAB)||MACK(X(KAB)||ZA||ZB||KTA1||KTB1))并驗證實體B發(fā)送的內容。然后計算:MACK(3||Y(KAB)||MACK(X(KAB)||ZA||ZB||KTA1||KTB1))，然后將其發(fā)送給實體B。驗證(B2):實體B計算MACK(3||Y(KAB)||MACK(X(KAB)||ZA||ZB||KTA1||KTB1))。1：交互次數為3。2：該機制提供相互顯式密鑰鑒別。3：附錄E.3給出該機制的一個例子。密鑰協商機制11該機制適用于參與協商密鑰的兩個實體中僅有一方知道對方身份，且在線交互四次的場景，通過四次交互在實體A和實體B間建立一個共享密鑰，應滿足下面條件:實體B有一個采用(EB,DB)變換的非對稱加密系統。實體A可得到公開驗證變換的一個已鑒別副本,用于驗證CertB。雙方實體使用同一密鑰派生函數kdf。密鑰協商機制11如圖8所示。實體確認(A1)：實體A選擇一個隨機整數rA,發(fā)送一個消息M1=(rA||Text1)給實體B。?實體確認(B1)：實體B選擇一個隨機整數rB,發(fā)送一個消息M2=(rB||CertB||Text2)給實體A。?密鑰權標和密鑰創(chuàng)建(A2)：實體A驗證CertB以得到實體B公鑰的可信副本，并產生一個隨機整數r'A,計算共享密鑰KAB=kdf(rA,rB,r'A)。然后發(fā)送密鑰權標KTA2=EB(r'A)和MACKAB(M1||KTA2)給實體B。密鑰創(chuàng)建(B2)：實體B解密KTA2,計算共享密鑰KAB=kdf(rA,rB,r'A)。計算MACKAB(M1||KTA2),并與接收到的MAC值進行比較。實體B把MACKAB(M2)發(fā)給實體A。密鑰驗證(A3):實體A計算MACKAB(M2),并與接收到的MAC值進行比較。1：交互次數為4。2：該機制提供實體B到A的隱式密鑰鑒別。?3：該機制源于傳輸層安全協議(TLS)，在TLS中密鑰協商過程稱為TLS握手階段。在TLS中,每個實體有一個“密碼套件”,即實體支持的一系列算法。作為“密碼套件協商”過程的一部分，Text1和Text2用來交換這些密碼套件。密鑰協商機制11密鑰協商機制12該機制用于以離線方式在三個實體之間協商共享密鑰，非交互式地采用相互隱式密鑰鑒別在實體A、B和C間建立一個共享密鑰，應滿足下列條件:每個實體X在S1中有一個密鑰協商私鑰hX和一個密鑰協商公鑰pX=F(hX,g)。每個實體可得到其它實體已鑒別的密鑰協商公鑰副本，可使用第13章的機制來實現。?密碼協商機制12如圖9所示。密鑰協商機制12密鑰創(chuàng)建(A1)：實體A使用自己的私鑰協商密鑰hA、實體B的公鑰協商密鑰pB、實體C的公鑰協商密鑰pC計算共享秘密密鑰KABC=FP(hA,pB,pC)。?密鑰創(chuàng)建(B1)：實體B用自己的私鑰協商密鑰hB、實體A的公鑰協商密鑰pA、實體C的公鑰協商密鑰pC計算共享秘密密鑰KABC=FP(hB,pC,pA)。密鑰創(chuàng)建(C1)：實體C用自己的私鑰協商密鑰hC、實體A的公鑰協商密鑰pA、實體B的公鑰協商密鑰pB計算共享秘密密鑰KABC=FP(hC,pA,pB)。?根據第10章中規(guī)定的函數F和FP條件,密鑰KABC的三個計算值相等。1：交互次數為0。2：該機制提供相互隱式密鑰鑒別。然而,這種零交互協議總是產生相同的密鑰，一種消除該問題帶來隱患的辦法是確保該密鑰只被使用一次。此外,每次使用該密鑰時并用一個唯一初始向量也可以解決該問題。?3：該機制不提供密鑰確認。?4：這是一個密鑰協商機制，它建立的密鑰分別是實體A、B、C私鑰協商密鑰的單向函數。密鑰傳遞密鑰傳遞機制1該機制適用于參與密鑰傳遞的兩個實體中僅有一方知道對方身份，且只需在線交互一次的場景，通過實體B到實體A的隱式密鑰鑒別,經一次交互實體A將一個秘密密鑰傳給實體B,應滿足以下幾個要求:實體B有一個非對稱加密系統(EB,DB)實體A能訪問實體B已鑒別的公開加密變換EB副本,可使用第13章的機制來實現。?可選的TVP可為一時間戳或一序列號，如果使用時間戳,那么實體A和實體B必須保持時鐘同步；如果使用序列號,那么實體A和實體B必須維護雙邊計數器。密鑰傳遞機制1如圖10所示。密鑰傳遞機制1密鑰權標創(chuàng)建(A1)：假設K是實體A希望安全傳遞給實體B的一個秘密密鑰。實體A創(chuàng)建一個密鑰數據塊,該數據塊包含其可區(qū)分標識符(可選)、密鑰K、一個可選的TVP和一個可選的數據域Text1。實體A使用接收者的公開加密變換EB對該密鑰數據塊加密,然后將密鑰權標KTA1=EB(A||K||TVP||Text1)||Text2發(fā)送給實體B。密鑰權標解構(B1):實體B使用自己的私有解密變換DB將接收到的密鑰權標加密部分進行解密,恢復密鑰K,檢查可選的TVP,將恢復的密鑰K與聲稱是發(fā)送方的實體A相關聯。1：交互次數為1。2：由于只有實體B才能恢復密鑰K，該機制提供從實體B到實體A的隱式密鑰鑒別。3：該機制不提供密鑰確認。4：實體A可選擇密鑰。5：由于實體B從未經鑒別的實體A接收到密鑰K,實體B對密鑰K的安全使用限于不需對實體A做鑒別的功能。例如,可執(zhí)行解密和產生消息鑒別碼,但不執(zhí)行加密和驗證消息鑒別碼。??密鑰傳遞機制2該密鑰傳遞機制是GB/T15843.3[3]一次交互實體鑒別機制的擴展,它通過實體A到實體B的顯式密鑰鑒別,實體B到實體A的隱式密鑰鑒別,從實體A傳遞一個經加密和簽名的秘密密鑰給實體B,應滿足以下條件:實體A有一個非對稱簽名系統(SA,VA)。實體B有一個非對稱加密系統(EB,DB)。實體A能夠訪問實體B已鑒別的公開加密變換EB副本,可使用第13章的機制來實現。實體B能夠訪問實體A已鑒別的公開驗證變換VA副本,可使用第13章的機制來實現?？蛇x的TVP是一時間戳或一序列號,如果使用時間戳,那么實體A和實體B必須保持時鐘同步，或使用一可信第三方時間戳機構；如使用序列號,那么實體A和實體B必須維護雙邊計數器。密鑰傳遞機制2如圖11所示。??密鑰加密(A1.1):假設K是實體A希望安全傳遞給實體B的一個密鑰,實體A形成一個密鑰數據塊,該數據塊包含發(fā)送方可區(qū)分識別符、密鑰K、和一個可選數據域Text1。實體A用實體B的公開加密變換EB對密鑰數據塊進行加密,形成加密數據塊BE=EB(A||K||Text1)。密鑰權標創(chuàng)建(A1.2):實體A創(chuàng)建權標數據塊,包括接收者的可區(qū)分識別符、可選的TVP(時間戳或序列號),經加密的數據塊BE和可選的數據域Text2。實體A用其私有簽名變換SA簽署數據,附加上可選的Text3,然后形成密鑰權標KTA1=SA(B||TVP||BE||Text2)||Text3，發(fā)送給實體B。密鑰權標驗證(B1.1):實體B用發(fā)送方的公開驗證變換VA來驗證接收的密鑰權標中的數字簽名,然后實體B檢查KTA1中的識別符和可選的TVP。密鑰解密(B1.2):實體B用其私有解密變換DB解密塊BE,然后將包含在塊BE中的實體A的識別符和簽名實體的身份進行比較,如果所有的檢查成功,那么實體B將接受密鑰K。1：交互次數為1。?2：該機制提供了實體A到實體B的的實體鑒別，該機制還提供從實體B到實體A的隱式密鑰鑒別。?3：該機制提供了實體A到實體B的密鑰確認。實體B確信它與實體A分享正確的密鑰,但實體A在它收到實體B用密鑰K加密答復之后,才能確信實體B已經收到該密鑰。?4：可選的TVP提供實體A到實體B的實體鑒別，并防止密鑰權標重放。為了防止密鑰數據塊BE的重放,需在Text1中增加一個TVP。5：實體A可選擇密鑰KA,因為它是發(fā)起實體。類似的,實體B也能選擇密鑰KB。聯合密鑰控制可以通過將實體A和實體B的密鑰KA和KB結合起來（可通過這個機制的兩個例子傳遞）,形成一個共享秘密密鑰KAB。聯合密鑰控制需額外的一次交互。這種結合應是單向的,否則實體A就能夠選擇共享秘密密鑰。這種機制可被分類為密鑰協商機制。?6：實體A的可區(qū)分標識符包括在被加密的塊BE中,以防止實體A的加密密鑰塊被另一實體盜用。抵抗該攻擊的方法是要求實體B比較實體A的標識符和實體A對權標的簽名。7：與GB/T15843.3[3]一致,采用公鑰算法KTA1的實體鑒別和單次鑒別機制的權標發(fā)送兼容。通過使用BE||Text2取代GB/T15843.3機制中的Text1，該權標能夠幫助密鑰K的傳送。8：數據域Text3可用來傳遞實體A的公鑰證書,在這種情況下,第12.2的第四個要求可放寬為，實體B擁有CA一個已鑒別的公開驗證密鑰副本。密鑰傳遞機制2密鑰傳遞機制3該密鑰傳遞機制中,實體A采用單邊密鑰確認通過一次交互將經簽名及加密的秘密密鑰傳給實體B。應滿足以下幾個要求:實體A有一個非對稱的簽名系統(SA,VA)。實體B有一個非對稱的加密系統(EB,DB)。實體A得到實體B已鑒別的公開加密變換EB副本,可使用第13章的機制來實現。實體B得到實體A已鑒別的公開鑒別變換VA副本,可使用第13章的機制來實現?？蛇x的TVP是一時間戳或一序列號,如果使用時間戳,那么實體A和實體B必須保持同步時鐘；如果使用序列號,那么實體A和實體B必須維護雙邊計數器。密鑰傳遞機制3如圖12所示。密鑰傳遞機制3密鑰塊簽名(A1.1):假設實體A希望將一個秘密密鑰K安全傳遞給實體B,實體A形成一個密鑰數據塊,該數據塊包含接收方的可區(qū)分識別符、密鑰K、可選的TVP(序列號或時間戳)和可選數據,然后用其私有簽名變換SA對密鑰塊進行簽名,產生簽名后的數據塊BS=SA(B||K||TVP||Text1)。密鑰權標創(chuàng)建(A1.2):實體A構建權標數據塊,它包括已簽名的塊BS和可選項Text2。實體A用接收者的公開加密變換EB加密權標數據塊,附上可選的Text3,然后形成密鑰權標KTA1=EB(BS||Text2)||Text3，并送給實體B。密鑰權標解密(B1.1):實體B使用其私有解密變換DB解出接收到的密鑰權標加密部分。密鑰塊驗證(B1.2):實體B使用發(fā)送方的公開驗證變換VA驗證BS的完整性和來源,確認它確實是權標的接收者(通過檢查BS中的標識符),并可選擇地確認TVP在可接受的范圍內(驗證權標的時間性),如所有的驗證都成功,實體B將接受該密鑰K。1：交互次數為1。2：該機制提供實體A到實體B的的實體鑒別和從實體B到實體A的隱式密鑰鑒別。?3：該機制提供實體A到實體B的密鑰確認,實體B確信它與實體A分享正確的密鑰,但實體A在它收到實體B用密鑰K加密答復之后,才能確信實體B已經收到該密鑰。?4：實體A可選擇密鑰。5：實體B的可區(qū)分標識符包括在被簽名的密鑰塊BS中,來明確表明密鑰的接收者,從而防止由實體B簽名的塊BS被濫用。?6：數據域Text3能用來傳遞實體A的公鑰證書,在這種情況下,第12.3的第四個要求可被放寬為實體B擁有CA已鑒別的公開驗證密鑰副本。7：如果將該密鑰傳遞機制的兩種實施方法結合起來(從實體A到實體B,從實體B到實體A),那么就可以提供相互實體鑒別和聯合密鑰控制(取決于可選項TVP的使用)。密鑰傳遞機制4該機制適用于參與密鑰傳遞的兩個實體彼此鑒別對方身份，且在線交互兩次的場景，基于GB/T15843.3中的兩次交互鑒別機制,將密鑰從實體B傳遞到實體A。應滿足以下要求:實體A有一個非對稱加密系統(EA,DA)。實體B有一個非對稱簽名系統(SB,VB)。實體A可得到實體B已鑒別的公鑰驗證變換VB副本,可使用第13章的機制來實現。實體B可得到實體A已鑒別的公鑰加密變換EA副本,可使用第13章的機制來實現。密鑰傳遞機制4如圖13所示。密鑰權標創(chuàng)建(A1)：實體A產生一個隨機數rA,將rA和可選的數據域Text1組成密鑰權標KTA1,KTA1=rA||Text1并把它送給實體B。密鑰塊加密(B1.1)：假設實體B希望將一個秘密密鑰K安全傳遞到實體A,實體B構建一個由發(fā)送者的區(qū)分標識符、密鑰K和一可選的數據域Text2組成的密鑰數據塊。，實體B用實體A的公鑰變換EA將密鑰數據塊加密,構成加密塊BE=EA（B||K||Text2）。密鑰權標創(chuàng)建(B1.2)：實體B可選地生成隨機數rB,并形成權標數據塊,該權標數據塊由接收者的區(qū)分標識符、步驟A1中接收的隨機數rA、新的隨機數rB(可選)、加密塊BE以及可選的數據域Text3組成，然后實體B用其私鑰簽名變換SB形成簽名,附加可選的Text4,產生密鑰權標KTB1=SB(A||rA||rB||BE||Text3)，并送給實體A。密鑰權標驗證(A2.1)：實體A使用發(fā)送者的公鑰驗證變換VB驗證接收到的公鑰權標KTB1中的數字簽名,然后實體A檢查KTB1中的區(qū)分標識符,并檢查接收到的值rA與步驟A1發(fā)送的隨機數是否一致。密鑰塊解密(A2.2)：實體A用其私鑰解密變換DA解密加密塊BE,然后驗證BE中的發(fā)送者區(qū)分標識符。如所有檢查都成功,實體A接受該密鑰K。1：交互次數為2。2：該機制提供從實體A到實體B的隱式密鑰鑒別。3：該機制提供實體B到實體A的密鑰確認,實體A確信它與實體B分享正確的密鑰,但實體B在它收到實體A用密鑰K加密答復之后,才能確信實體A已經收到該密鑰。?4：實體B可選擇密鑰。5：權標KTA1和KTB1與GB/T15843.3的第5.1.2中所描述的兩次交互鑒別機制里發(fā)送的權標一致(注意此時實體A和實體B的角色互換)，通過使用BE||Text3取代GB/T15843.3機制中的Text2，該權標能夠幫助密鑰K的傳送。6：如果該密鑰傳遞機制在兩個實體間并行執(zhí)行兩次,那么得到的相互密鑰傳遞機制與GB/T15843.3中第5.2.3所描述的機制一致。7：為了與GB/T15843.3保持一致性，將數據域rB包含在內。但由于KTB1中存在BE,，rB在此機制中就不再是必須的，而是可選的。密鑰傳遞機制4密鑰傳遞機制5該機制適用于參與密鑰傳遞的兩個實體采用GB/T15843.3規(guī)定的三次交互鑒別機制彼此鑒別對方身份，且在線交互三次的場景，通過相互實體鑒別的和密鑰確認傳遞兩個共享密鑰，一個從實體A傳給實體B,另一個從實體B傳給實體A。應滿足以下條件:每個實體X有一個非對稱的簽名系統(Sx,Vx)。每個實體X有一個非對稱的加密系統(Ex,Dx)。每個實體可得到其它實體已鑒別的公開驗證變換副本,可使用第13章的機制來實現。每個實體可得到其它實體已鑒別的公開加密變換副本,可使用第13章的機制來實現。密鑰傳遞機制5如圖14所示。密鑰傳遞機制5密鑰權標創(chuàng)建(A1)：實體A隨機生成rA,構建密鑰權標KTA1=rA||Text1。并將其發(fā)送給實體B。密鑰塊加密(B1.1)：假設實體B希望將一個秘密密鑰K安全傳遞到實體A,實體B構建一個由它自己的區(qū)分標識符、密鑰KB以及可選的Text2組成的塊,然后用接收者的公鑰加密變換EA加密這個塊:BE1=EA(B||KB||Text2)密鑰權標創(chuàng)建(B1.2)：實體B隨機生成rB,構建一個包含rB、rA、接收者標識、加密的密鑰塊BE1以及可選的Text3數據塊。實體B用其私鑰簽名變換SB簽名這個數據塊，附加可選的Text4,形成密鑰權標塊KTB1，KTB1=SB(rB||rA||A||BE1||Text3)||Text4，并發(fā)給實體A。密鑰權標確認(A2.1)：實體A使用實體B的公鑰驗證變換VB來驗證實體B對密鑰權標KTB1的簽名。檢查它在KTB1中的區(qū)分標識符,并檢查接收到的rA是否與步驟A1發(fā)送的隨機數一致。密鑰塊解密(A2.2)：實體A使用其私鑰解密變換DA解密加密塊BE1,并檢查實體B的區(qū)分標識符,如果所有的檢查結果都成功,實體A接受密鑰KB。密鑰塊加密(A2.3)：實體A構建一個包含其區(qū)分標識符、其私鑰KA及可選的Text5的數據塊,并使用接收者的公開加密變換EB加密這個加密塊：BE2=EB(A||KA||Text5)。密鑰權標創(chuàng)建(A2.4)：實體A構建一個包含隨機數rA、隨機數rB、接收者的區(qū)分標識符、加密的密鑰塊BE2和可選的Text6數據塊。實體A用其私鑰簽名變換SA來簽名這個數據塊,附上可選的Text7，并發(fā)送這個密鑰權標KTA2=SA(rA||rB||B||BE2||Text6||Text7)給實體B。密鑰權標驗證(B2.1)：實體B使用實體A的公鑰驗證變換VA驗證實體A的簽名,檢查KTA2中它自己的區(qū)分標識符,并檢查接收到的rB是否與步驟B1.2發(fā)送的隨機數一致,此外,B還檢查接收到的rA是否與KTA1中的數值是一致。密鑰塊解密(B2.2)：實體B用其私鑰變換DB解密加密數據塊BE2,驗證實體A的區(qū)分標識符,如果所有的檢查成功,那么實體B接受密鑰KA,如果只是要求單方密鑰傳輸,則BE1或BE2可省略。1：交互次數為3。2：該機制提供相互實體鑒別,即實體B到實體A的KA隱式密鑰鑒別和實體A到實體B的KB隱式密鑰鑒別。3：該機制對KA和KB都進行從發(fā)送端到接收端的密鑰確認,此外如果實體A在KB中包含一個MAC,那么就KB而言,這種機制可以進行相互密鑰確認。4：由于實體A是發(fā)送實體，它可選擇密鑰KA。類似的,實體B也可選擇密鑰KB。聯合密鑰控制可通過將兩個密鑰KA和KB組合在一起構成一個共享秘密密鑰KAB來實現。組合函數應為單向的，否則實體A可選擇共享秘密密鑰。這種機制可分類為一種密鑰協商機制。?5：KTA1、KTB1和KTA2與GB/T15843.3第5.2.2中描述的三次交互鑒別機制中發(fā)送的密鑰權標兼容。通過使用BE1||Text3取代GB/T15843.3機制中的Text2，第二個權標能夠幫助密鑰KB的傳送。通過使用BE2||Text6取代GB/T15843.3中的Text4,第三個權標能夠幫助密鑰KA的傳送,第三個權標還能夠幫助Text6里的MAC的傳送。6：如果數據域Text1和Text4(或Text7和Text4)包含實體A和實體B的公鑰證書,那么第12.5的第三條和第四條要求可以放寬為，兩個實體都擁有CA經鑒別的公開驗證密鑰副本。密鑰傳遞機制6該機制適用于參與密鑰傳遞的兩個實體采用以零知識技術為基礎，且在線交互三次的場景，經三次交互安全傳遞兩個密鑰,一個從實體A到實體B,另一個從實體B到實體A。此外,該機制還實現相互實體鑒別及對各密鑰分別進行相互密鑰確認。該機制基于以下要求:每個實體X有一個非對稱的加密系統(EX,DX)。每個實體可得到其它實體已鑒別的公開加密變換副本?？墒褂玫?3章的機制來實現。密鑰傳遞機制6如圖15所示。密鑰傳遞機制6密鑰權標創(chuàng)建(A1)：實體A獲得一個密鑰KA,并希望把它安全地傳送給實體B。實體A選擇一個隨機數rA并構造一個包含其區(qū)分標識符、密鑰KA、隨機數rA以及可選的數據塊Text1的密鑰數據塊,然后用實體B的公鑰加密變換EB將密鑰塊加密,產生加密數據塊BE1=EB(A||KA||rA||Text1)。實體A構造一個密鑰權標KTA1，它由加密數據塊BE1及可選數據域Text2組成，KTA1=BE1||Text2，并發(fā)送給實體B。密鑰權標創(chuàng)建(B1)：實體B從接收到的密鑰權標KTA1中提取加密密鑰塊BE1,并用其私鑰解密變換DB來將它解密,然后檢查解密后的密鑰塊BE1中包含的實體A標識符。實體B獲得一個密鑰KB,并希望把它安全地傳送給實體A。實體B選擇一個隨機數rB,并構造一個包含其區(qū)分標識符、密鑰KB、隨機數rB、隨機數r??（從解密塊提取）及可選的數據域Text3的密鑰數據塊。實體B用實體A的公鑰加密變換EA將密鑰塊加密,構造加密數據塊BE2=EA(B||KB||rA||rB||Text3)。實體B構造一個密鑰權標KTB1，它由加密數據塊BE2及可選數據域Text4組成，KTB1=BE2||Text4，并發(fā)送給實體A。密鑰和實體確認(A2.1)：實體A從接收到的密鑰權標KTB1中提取加密密鑰塊BE2,并使用其私鑰解密變換DA將它解密。實體A通過比較隨機數rA與包含在加密塊BE2中的隨機數rA檢查密鑰權標的有效性。如果驗證成功,那么實體A確認密鑰KA已安全到達實體B。密鑰權標響應(A2.2)：實體A從解密的密鑰塊中提取隨機數rB,并用隨機數rB和可選的數據域Text5構建密鑰權標KT??2=rB||Text5。然后實體送給實體B。密鑰和實體確認(B2)：實體B驗證從KT??2提取的響應rB與KTB1中的隨機數rB是否一致,如果驗證成功,那么實體B就實現對實體A的鑒別,同時確認密鑰KB已安全到達實體A。1：交互次數是32：該機制提供從實體B到實體A的KA隱式密鑰鑒別，以及實體A到實體B的KB隱式密鑰鑒別。3：由于實體A是發(fā)送實體，實體A可選擇密鑰KA。類似的,實體B也可選擇密鑰KB。聯合密鑰控制可通過將兩個密鑰KA和KB組合在一起構成一個共享秘密密鑰KAB來實現。組合函數應為單向的，否則實體B可選擇共享秘密密鑰。這種機制可分類為一種密鑰協商機制。4：該機制使用非對稱技術相互傳遞兩個秘密密鑰，KA從實體A傳到實體B，KB從實體B傳到實體A。該機制可用于如下密鑰功能分離：實體A用密鑰KA加密傳輸給實體B的消息以及驗證來自實體B的認證碼。實體B使用得到的密鑰KA解密A傳來的消息并生成給實體A的認證碼。密鑰KB的密鑰功能也采用類似的方式分離。這樣，非對稱密鑰傳遞機制就可拓展為密鑰使用。5：該機制以零知識技術為基礎，通過使用該機制，雙方實體除了自己能夠計算得到的信息之外，不會了解到任何其它信息。公鑰傳遞公鑰傳遞機制1如果實體A經一個受保護通道到實體B，（例如提供數據源鑒別及數據完整性的通道），如速遞，注冊郵件等，那么實體A可將其公鑰信息直接通過該受保護通道傳遞給實體B。這是傳遞公鑰最基本的形式。該機制需滿足以下要求：實體A的公鑰信息PKIA至少要包含實體A的可區(qū)分標識符和實體A的公鑰。此外，它還可以包含序列號，有效期，時間戳和其它數據元素。由于公鑰信息不包含任何秘密數據，所以通信信道不需提供保密性。公鑰傳遞機制1如圖16所示。公鑰傳輸機制1密鑰權標創(chuàng)建(A1)：實體A生成密鑰權標KTA1，它包含實體A的公鑰信息和可選的數據字段Text，并通過受保護的通道將KTA1=PKIA||Text傳給實體B。密鑰權標接收(B1)：實體B得到從受保護通道傳遞的實體A的密鑰權標，得到實體A的公鑰PKIA并將實體A的公鑰保存在有效的公鑰列表中（該列表需防止被篡改）。1：該機制可用于傳遞公開驗證密鑰（對于非對稱簽名系統），或公開加密密鑰（對于非對稱加密系統），或公鑰協商密鑰。2：鑒別包括數據完整性和數據源鑒別（如ISO7498-2[1]所定義）。公鑰傳遞機制2該傳遞機制通過不受保護的通道將實體A的公鑰信息傳遞給實體B。為了確認完整性以及接收到公鑰信息的來源，需使用另外一條鑒別通道。該機制有效地用于：當公鑰信息PKI以電子形式通過高帶寬通道傳輸，而公鑰信息的鑒別經低帶寬通道執(zhí)行，如電話，速遞或者注冊郵件等。作為一種附加要求，如GB/T32905-2016所定義，實體間需共享通用的雜湊函數。需滿足以下要求：實體A的公鑰信息PKIA至少要包含實體A的可區(qū)分標識符和實體A的公鑰。此外，它還可包含序列號，有效期，時間戳和其它數據元素。由于公鑰信息不包含任何秘密數據，所以通信信道不需提供保密性。公鑰傳遞機制2如圖17所示。公鑰傳遞機制2密鑰權標創(chuàng)建(A1)：實體A生成密鑰權標KTA1，它包含實體A的公鑰信息和可選的數據字段Text，并通過受保護的通道將KTA1=PKIA||Text傳給實體B。密鑰權標接收(B1)：實體B得到從受保護信道傳遞的實體A的密鑰權標，得到實體A的公鑰PKIA并且將實體A的公鑰保存并防止被篡改，以便接下來的鑒別和使用。驗證權標創(chuàng)建(A2)：實體A用其公鑰計算檢驗雜湊值hash（PKIA），并將這個檢驗值和可選的實體A和B的可區(qū)分標識符通過第二條單獨的已鑒別信道（如速遞或注冊郵件）傳輸給實體B，其中KTA2=A||B||hash(PKIA)||Text2密鑰權標驗證(B2)：一旦收到驗證權標KTA2，實體B選擇性的檢驗實體A和B的可區(qū)分標識符，根據實體A收到的KTA1里的公鑰信息計算出檢驗值，并于KTA2中的檢驗值做比較，如果校驗成功，實體B將實體A的公鑰保存在有效的公鑰列表中（該列表需防止被篡改）。1：該機制可用于傳遞公開驗證密鑰（對于非對稱簽名系統），或公開加密密鑰（對于非對稱加密系統），或公鑰協商密鑰。2：鑒別包括數據完整性和數據源鑒別。3：如果傳遞的公鑰用于非對稱數字簽名系統，而不是消息恢復，那么實體A可用相應的私有簽名密鑰對KTA1簽名。這樣，步驟B1中使用接收到的公開驗證密鑰進行的實體A的簽名驗證可確保實體A知道對應的私有簽名密鑰，因此可以推測，實體A是在權標創(chuàng)建時知道相應的私有簽名密鑰的唯一實體。如果PKIA中使用時間戳，那么驗證可確保實體A當前知道相應的私有簽名密鑰。4：來自實體A的人工簽名信可用于驗證權標。公鑰傳遞機制3該機制通過可信第三方的身份鑒別方式從實體A傳遞一個公鑰到實體B。使用公鑰證書形式交換公鑰可確保證實體的公鑰鑒別。實體A的公鑰證書包括公鑰信息以及可信第三方（證書認證機構）的數字簽名。引入證書認證機構將減少鑒別用戶公鑰的分發(fā)問題，轉為證書認證機構（CA）公鑰分發(fā)問題，參閱GB/TAAAA.1-AAAA，也可參閱ISO/IEC9594-8[2]。該機制基于這樣假設：一個帶有實體A公鑰信息PKIA的有效公鑰證書CertA由某CA機構發(fā)布，且實體B可獲取發(fā)布公鑰證書的CA機構已鑒別的公開驗證變換VCA副本。公鑰傳遞機制3如圖18所示。公鑰傳遞機制3密鑰權標創(chuàng)建(A1)：實體A生成密鑰權標KTA1，它包含A的公鑰證書，并將KTA1=PKIA||Text傳遞給實體B。密鑰權標驗證(B1)：實體B一旦接收到公鑰證書，就通過CA的公開驗證變換VCA驗證公鑰信息，并校驗實體A公鑰的有效性。如果實體B希望確認實體A的公鑰證書最近是否被取消，那么實體B應通過某種可信途徑咨詢可信第三方（如CA機構）。1：交互次數為1，但實體B可以要求實體A傳輸公鑰證書。這個額外的交互是可選的，這里不顯示。實體A的公鑰證書也可通過目錄分發(fā)，在這種情況下，需在目錄和實體B間執(zhí)行公鑰傳輸機制。2：該機制不提供實體鑒別